网络物理隔离概述
基本原理:避免两台计算机之间直接的信息交换以及物理上的连通,以阻断两台计算机之间的直接在线网络攻击。
网络物理隔离安全风险
网络非法外联、U盘摆渡攻击、网络物理隔离产品安全隐患、针对物理隔离的攻击新方法
网络物理隔离系统与类型
按照隔离对象分:单点隔离系统和区域隔离系统
按照信息传递方向分:双向网络物理隔离系统与单向网络物理隔离系统
网络物理隔离机制与实现技术
专用计算机上网
多PC
外网代理服务
内外网线路切换器
单硬盘内外分区
优点:
- 提供数据分类存放和加工处理
- 有效防止外部窃走内部网数据
- 实现一台PC功能多用,节省资源开支
威胁来源:
- 操作失误,将敏感数据存放到对外硬盘分区
- 驱动程序软件bug
- 计算机病毒潜入
- 内部人员故意泄露数据
- 特洛伊木马程序
双硬盘
网闸
技术原理:GAP技术,使用一个具有控制功能多开关读写存储安全设备,通过开关的设置来连接或切断两个独立主机系统的数据交换
协议隔离技术
单向传输部件
信息摆渡技术
使用中间缓冲区域传输
物理断开技术
网络物理隔离主要产品与技术指标
网络物理隔离主要产品
终端隔离产品(采用物理断开技术)
网络隔离产品(采用协议隔离和信息摆渡技术)
网络单向导入产品(通过物理方式基于电信号或光信号传输)
网络物理隔离技术指标
| 产品名称 | 功能要求 |
|---|---|
| 终端隔离产品 | 访问控制、不可旁路和客体重用 |
| 网络隔离产品 | 访问控制、抗攻击、安全管理、标识和鉴别、审计、域隔离、容错、数据完整性和密码支持 |
| 网络单向导入 | 访问控制、抗攻击、安全管理、标识和鉴别、审计、域隔离、配置数据保护和运行状态监测 |
网络物理隔离应用
工作机安全上网实例、电子政务中网闸应用实例详见P224-P226