2021信息安全工程师学习笔记（十一）

网络物理隔离技术原理与应用

1、网络物理隔离概述

网络物理隔离概念：既能满足内外网信息及数据交换需求，又能防止网络安全事件出现。

• 原理：避免两台计算机之间直接的信息交换以及物理上的联通。
• 目的：阻断直接网络攻击活动，避免敏感数据向外泄露。

网络物理隔离安全风险

• 网络非法外联：处于隔离状态的网络用户私自连接互联网或第三方网络；
• U盘摆渡攻击：利用U盘传病毒；
• 网络物理隔离产品安全隐患：网络隔离产品（防火墙）的安全漏洞；
• 针对物理隔离的攻击新方法：将被隔离计算机中的数据转换为声波、热量、电磁波等模拟信号后发射出去。

2、网络物理隔离系统与类型

网络物理隔离系统：通过物理隔离技术，在不同的网络安全区域之间建立一个能够实现物理隔离、信息交换和可信控制的系统。

网络物理隔离类型：按照隔离的对象来分

• 单点隔离系统：保护单独的计算机系统；
• 区域隔离系统：针对的是网络环境，防止外部攻击内部保护网络。

按照物理隔离的信息传递方向，网络物理隔离系统可分为：双向网络物理隔离系统与单向网络物理隔离系统。

3、网络物理隔离机制与实现技术

专用计算机上网：在内部 网络中指定一台计算机，这台计算机只与外部网相连，不与内部网相连，用户必须到指定的计算机才能上网。

多PC：两台PC，分别连接两个分离的物理网络，一台连接外网，一台连接内网。

外网代理服务：内部网指定一台或多台计算机充当服务器，负责专门搜集外部网的制定信息，然后把外网信息手工导入内部网 ，供内部用户使用。

内外网线路切换器：在内部网中，上外网的计算机上连接一个物理线路A/B交换盒，通过交换盒的开关设置控制计算机的网络物理连接。

单硬盘内外分区：把单一硬盘分隔成不同的区域，控制磁盘通道的访问，在任一时间 内，仅允许操作系统访问指定的分区。单硬盘内外分区技术讲单台物理PC虚拟成逻辑上的两台PC，使得单台计算机在某一时刻只能连接到内部网或外部网。

双硬盘：在一台机器上安装两个硬盘，通过硬盘控制卡对硬盘进行切换控制。在两个硬盘上实际安装了两个操作系统。缺点是需要不断地重启系统，不易统一管理。

网闸：通过利用一种GAP技术，使两个或者两个以上的网络在不连通的情况下，实现它们之间的安全数据交换和共享。

• 原理：使用一个具有控制功能的开关读写存储安全设备，通过开关连接或切断数据交换。
• 安全风险：入侵者可以利用恶意数据驱动攻击，将恶意代码隐藏在电子文档中。
  
  协议隔离技术：指处于不同安全域的网络在物理上是有连线的，通过协议转换的手段保证受保护信息在逻辑上是隔离的，只有被系统要求传输的、内容受限的信息可以通过。协议转换的定义是协议的剥离和重建。

单向传输部件：指对一对具有物理上单向传输特性的传输部件，该传输部件由一对独立的发送和接收部件构成，发送和接收的部件只能以单工方式工作。

信息摆渡技术：是信息交换的一种方式，物理传输信道只在传输进行时存在。

物理断开技术：处于不同安全域的网络之间不能以直接或间接的方式相连接。实施不同安全域的网络2物理断开，在技术上确保信息在物理传导、物理存储上断开

4、网络物理隔离产品与技术指标

网络物理隔离主要产品

• 终端隔离产品
  
• 网络隔离产品
  
• 网络单向导入产品
  
  网络物理隔离技术指标：安全功能指标、安全保障指标、性能指标。

安全功能指标

安全保障指标：关于产品的质量和服务保障要求，如配置管理、交付和运行。

性能要求：对网络和终端隔离产品应达到的性能指标做出规定，包括交换速率和硬件切换时间。

5、网络物理隔离应用

工作机安全上网实例：在需要上因特网的计算机中安装一块物理隔离卡。从物理上断开与内部网段连接。
电子政务中网闸应用实例：电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离。