信息安全:网络物理隔离技术原理与应用.

信息安全:网络物理隔离技术原理与应用.

随着网络攻击技术不断增强,恶意入侵内部网络的风险性也相应急剧提高。满足内外网信息及数据交换需求,又能防止网络安全事件出现的安全技术就应运而生了,这种技术称为“物理隔离技术”

基本原理是避免两台计算机之 间直接的信息交换以及物理上的连通,以阻断两台计算机之间的直接在线网络攻击。

隔离的目的是阻断直接网络攻击活动,避免敏感数据向外部泄露,保障不同网络安全域之间进行信息及数据交换。


目录:

网络物理隔离安全风险:

(1)网络非法外联:

(2)盘摆渡攻击:

(3)网络物理隔离产品安全隐患:

(4)针对物理隔离的攻击新方法:

网络物理隔离系统与类型:

(1)网络物理隔离系统:

(2)网络物理隔离类型:

网络物理隔离机制与实现技术:

(1)专用计算机上网:

(2)多PC:

(3)外网代理服务:

(4)内外网线路切换:

(5)单硬盘内外分区:

(6)双硬盘:

(7)网闸:

(8)协议隔离技术:

(9)单向传输部件:

(10)信息摆渡技术:

(11)物理断开技术:

网络物理隔离主要产品与技术指标:

(1)网络物理隔离主要产品:

(2)网络隔离产品:

(3)网络单向导入产品:

(4)网络物理隔离技术指标 :

网络物理隔离应用:

(1)工作机安全上网实例:

(2)电子政务中网闸应用实例:


网络物理隔离安全风险:

网络物理隔离有利于强化网络安全的保障,增强涉密网络的安全性,但是不能完全确保网络的安全性。
   

(1)网络非法外联:

一旦处于隔离状态的网络用户私自连接互联网或第三方网络,则物理隔离安全措施失去保护作用。
   

(2)盘摆渡攻击:

网络攻击者利用U盘作为内外网络的摆渡工具,攻击程序将敏感数据拷贝到U盘中,然后由内部人员通过U盘泄露。
   

(3)网络物理隔离产品安全隐患:

网络隔离产品的安全漏洞,导致 DoS/DDoS 攻击,使得网络物理隔离设备不可用。或者,网络攻击者通过构造恶意数据文档,绕过物理噪离措施,从而导致内部网络受到攻击。
   

(4)针对物理隔离的攻击新方法:

原理是利用各种手段,将被隔离计算机中的数据转换为声波、热量、电磁波等模拟信号后发射出去,在接收端通过模数转换复原数据,从而达到窃取信息的目的。


网络物理隔离系统与类型:

(1)网络物理隔离系统:

网络物理隔离系统是指通过物理隔离技术,在不同的网络安全区域之间建立一个能够实现物理隔离、信息交换和可信控制的系统,以满足不同安全域的信息或数据交换。
  

(2)网络物理隔离类型:

按照隔离的对象来分,网络物理隔离系统 般可以分为单点隔离系统区域隔离系统
单点隔离系统主要是保护单独的计算机系统,防止外部直接攻击和干扰
区域隔离系统针对的是网络环境,防止外部攻击内部保护网络。
    
按照网络物理隔离的信息传递方向分:双向网络物理隔离系统单向网络物理隔离系统
   

网络物理隔离机制与实现技术:

(1)专用计算机上网:

在内部网络中指定 台计算机,这台计算机只与外部网相连,不与内部网相连。用户必须到指定的计算机才能上网,并要求用户离开自己的工作环境。

(2)多PC:

内部网络中,在上外网的用户桌面上安放两台PC, 分别连接两个分离的物理网络,一台用于连接外部网络,另一台用于连接内部网络.
   

(3)外网代理服务:

在内部网指定一台或多台计算机充当服务器,负责专门搜集外部网的指定信息,然后把外网信息手工导入内部网,供内部用户使用,从而实现内部用户”上网”,又切断内网与外网的物理连接,避免内网的计算机受到来自外网的攻击.

(4)内外网线路切换:

在内部网中,上外网的计算机上连接一个物理线路 A / B 交换盒,通过交换盒的开关设置控制计算机的网络物理连接.
   

(5)单硬盘内外分区:

单硬盘内外分区的技术原理是把单一硬盘分隔成不同的区域,在 IDE 总线物理层上,通过一块 IDE 总线信号控制卡截取 IDE 总线信号,控制磁盘通道的访问,在任一时间内,仅允许操作系统访问指定的分区.
单硬盘内外分区技术的优点是:
• 提供数据分类存放和加工处理;
• 可有效防止外部窃走内部网数据;
• 实现一台 PC 功能多用,节省资源开支。但是,单硬盘内外分区技术仍然存在安全威胁,这些威胁来源主要有:
• 操作失误,如误将敏感数据存放在对外硬盘分区中;
• 驱动程序软件 bug;
• 计算机病毒潜入
• 内部人员故意泄露数据;
• 特洛伊木马程序。

(6)双硬盘:

在一台机器上安装两个硬盘,通过硬盘控制卡对硬盘进行切换控制,用户在连接外网时,挂接外网硬盘,而当用内网办公时,重新启动系统,挂接内部网办公硬盘,在两个硬盘实际上安装了两个操作系统。这种技术在理论上说可以防止内部数据流向外网,但是用户在使用时又必须不断地重新启动切换,造成用户使用不方便,而且也不易统一管理。

(7)网闸:

网闸通过利用一种 GAP 技术 ,使两个或者两个以上的网络在不连通的情况下,实现它们之间的安全数据交换和共享。其技术原理是使用一个具有控制功能的开关读写存储安全设备,通过开关的设置来连接或切断两个独立主机系统的数据交换.
两个独立主机系统与网闸的连接是互斥的,因此,两个独立主机不存在通信的物理连接,而且主机对网闸的操作只有“读”和“写“。所以,网闸从物理上隔离、阻断了主机之间的直接攻击,从而在很大程度上降低了在线攻击的可能性。
  
但是,网闸仍然存在安全风险,例如,入侵者可以利用恶意数据驱动攻击,将恶意代码隐藏在电子文档中,将其发送到目标网络中,通过具有恶意代码功能的电子文档触发,构成对内部网络的安全威胁。

(8)协议隔离技术:

协议隔离指处于不同安全域的网络在物理上是有连线的,通过协议转换的手段保证受保护信息在逻辑上是隔离的,只有被系统要求传输的、内容受限的信息可以通过。其中,协议转换的定义是协议的剥离和重建。

(9)单向传输部件:

传输部件由一对独立的发送和接收部件构成,发送和接收部件只能以单工方式工作.

(10)信息摆渡技术:

信息摆渡技术是信息交换的 种方式,物理传输信道只在传输进行时存在。信息传输时,信息先由信息源所在安全域 端传输至中间缓存区域,同时物理断开中间缓存区域与信息目的所在安全域的连接;随后接通中间缓存区域与信息目的所在安全域的传输信道,将信息传输至信息目的所在安全域,同时在信道上物理断开信息源所在安全域与中间缓存区域的连接。在任何时刻,中间缓存区域只与 端安全域相连。

(11)物理断开技术:

物理断开是指处于不同安全域的网络之间不能以直接或间接的方式相连接。在 个物理网络环境中,实施不同安全域的网络物理断开,在技术上应确保信息在物理传导、物理存储上的断开。物理断开通常由电子开关来实现。

网络物理隔离主要产品与技术指标:

(1)网络物理隔离主要产品:

①终端隔离产品用于同时连接两个不同的安全域,采用物理断开技术在终端上实现安全域物理隔离的安全隔离卡或安全隔离计算机。
    
终端隔离产品一般以隔离卡的方式接入目标主机。隔离卡通过电子开关以互斥的形式同时连通安全域 所连硬盘、安全域 或安全域 所连硬盘、安全域 B, 从而实现内外两个安全域的物理隔离。

(2)网络隔离产品:

网络隔离产品用于连接两个不同的安全域,实现两个安全域之间的应用代理服务、协议转换、信息流访问控制、内容过滤和信息摆渡等功能。产品技术原理采用 “2+1" 的架构即以两台主机+专用隔离部件构成,采用协议隔离技术和信息摆渡技术在网络上实现安全域安全隔离与信息交换。


(3)网络单向导入产品:

网络单向导入产品位于两个不同的安全域之间,通过物理方式(可基于电信号传输或光信号传输)构造信息单向传输的唯一通道,实现信息单向导入,并且保证只有安全策略允许传输的信息可以通过,同时反方向无任何信息传输或反馈。

(4)网络物理隔离技术指标 :

① 网络和终端隔离产品的技术指标主要有安全功能指标、安全保障指标、性能指标.


安全保障指标主要是关于产品的质量和服务保障要求,如配置管理、交付和运行、开发和指导性文档、测试、脆弱性评定等。


性能要求则是对网络和终端陲离产品应达到的性能指标做出规定,包括交换速率和硬件切换时间。


网络物理隔离应用:

(1)工作机安全上网实例:

为了实现既能上因特网,又能阻断内部信息泄露到因特网中,用户在需要上因 特网的计算机中安装一块物理隔离卡,通过物理隔离卡,使一台工作机在上因特网时,从物理上断开与内部网的连接,因而减少内部网的安全威胁。


(2)电子政务中网闸应用实例:

国家管理政策文件明确指出: “电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离。
税务网络系统与互联网连接,其中,税务网络系统又分为税务外网和税务内网税务外网的服务器要与税务内网的服务器进行数据交换必须通过该安全隔离系统,除了此通道没有其他逻辑通道存在,这就保证了税务外网与税务内网物理隔离并仍能进行实时的信息交换。
   
    
    
     
     
学习书籍:信息安全工程师教程.

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/144408.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

企业工程项目管理系统源码(三控:进度组织、质量安全、预算资金成本、二平台:招采、设计管理)

工程项目管理软件(工程项目管理系统)对建设工程项目管理组织建设、项目策划决策、规划设计、施工建设到竣工交付、总结评估、运维运营,全过程、全方位的对项目进行综合管理 工程项目各模块及其功能点清单 一、系统管理 1、数据字典&am…

照片后期处理软件DxO FilmPack 6 mac中文说明

DxO FilmPack 6 for Mac是一款照片后期处理软件。它可以模拟超过60种著名胶片品牌和类型的色彩和颗粒感,使照片具有复古、艺术和时尚风格。 ​DxO FilmPack 6 mac支持RAW和JPG格式的照片,并提供丰富的调整选项,如亮度、对比度、曝光、阴影和高…

web:[极客大挑战 2019]Upload

题目 页面显示为一个上传&#xff0c;猜测上传一句话木马文件 先查看源代码看一下有没有有用的信息&#xff0c;说明要先上传图片&#xff0c;先尝试上传含有一句话木马的图片 构造payload <?php eval($_POST[123]);?> 上传后页面显示为&#xff0c;不能包含<&…

MySQL 索引介绍和最佳实践

目录 一、前言二、索引类型1.1 主键索引&#xff08;PRIMARY KEY&#xff09;1.2 唯一索引&#xff08;UNIQUE&#xff09;1.3 普通索引&#xff08;NORMAL&#xff09;1.3.1 单列普通索引1.3.2 单列前缀普通索引1.3.3 多列普通索引1.3.4 多列前缀普通索引 1.4 空间索引&#x…

微信小程序开发基础(一)认识小程序

微信小程序&#xff0c;小程序的一种&#xff0c;英文名Wechat Mini Program&#xff0c;是一种不需要下载安装即可使用的应用&#xff0c;它实现了应用“触手可及”的梦想&#xff0c;用户扫一扫或搜一下即可打开应用。微信小程序是一种不用下载就能使用的应用&#xff0c;也是…

React(react18)中组件通信06——redux-toolkit + react-redux

React&#xff08;react18&#xff09;中组件通信06——redux-toolkit react-redux 1 前言1.1 redux 和 react-redux1.2 关于redux-toolkit1.2.1 官网1.2.2 为什么要用Redux Toolkit&#xff1f; 1.3 安装 Redux Toolkit1.4 Redux Toolkit相关API 2. 开始例子——官网例子2.1 …

更直观地学习 Git 命令

theme: condensed-night-purple 前言 本文参考于 Learn Git Branching 这个有趣的 Git 学习网站。 在该网站&#xff0c;可以使用 show command 命令展示所有可用命令。 你也可以直接访问网站的sandbox&#xff0c;自由发挥。 本地篇 基础篇 git commit git commit将暂…

文件I/O与标准I/O

如果不知道inode&#xff0c;请看这篇文章inode 我们知道当打开一个文件时&#xff0c;OS会先使用inode编号在磁盘文件系统里面去寻找这个文件&#xff0c;找到以后根据文件的属性为其创建一个内核层面的结构体来描述这个文件&#xff0c;该结构体里面含有文件的属性信息&#…

蓝桥杯 题库 简单 每日十题 day11

01 质数 质数 题目描述 给定一个正整数N&#xff0c;请你输出N以内&#xff08;不包含N&#xff09;的质数以及质数的个数。 输入描述 输入一行&#xff0c;包含一个正整数N。1≤N≤10^3 输出描述 共两行。 第1行包含若干个素数&#xff0c;每两个素数之间用一个空格隔开&…

SpringMVC+统一表现层返回值+异常处理器

一、统一表现层返回值 根据我们不同的处理方法&#xff0c;返回的数据格式都会不同&#xff0c;例如添加只返回true|false&#xff0c;删除同理&#xff0c;而查询却返回数据。 Result类 为此我们封装一个result类来用于表现层的返回。 public class Result {//描述统一格式…

测试OpenCvSharp库的模板匹配功能

微信公众号“Dotnet讲堂”的文章《c#实现模板匹配&#xff0c;并输出匹配坐标》&#xff08;参考文献1&#xff09;中介绍了采用OpenCVSharp库实现模板匹配功能&#xff0c;也即在目标图片中定位指定图片内容的示例&#xff0c;本文参照参考文献1-4&#xff0c;学习并测试OpenC…

基于SpringBoot的飘香水果购物网站

目录 前言 一、技术栈 二、系统功能介绍 水果信息管理 减积分管理 会员购买订单管理 首页 水果 购买水果订单管理 三、核心代码 1、登录模块 2、文件上传模块 3、代码封装 前言 随着信息互联网购物的飞速发展&#xff0c;一般企业都去创建属于自己的电商平台以及购物…

让文件传输变得更简单高效——推荐强大的Mac FTP客户端Transmit 5

无论是个人用户还是专业人士&#xff0c;文件传输都是我们日常工作中不可或缺的一部分。而针对Mac用户&#xff0c;Transmit 5正是一款强大且易用的FTP客户端&#xff0c;为您提供了最佳的文件传输体验。 Transmit 5在功能上非常丰富&#xff0c;可以满足各种文件传输需求。首…

数据结构学习笔记——查找算法中的树形查找(平衡二叉树)

目录 一、平衡二叉树的定义二、平衡因子三、平衡二叉树的插入和构造&#xff08;一&#xff09;LL型旋转&#xff08;二&#xff09;LR型旋转&#xff08;三&#xff09;RR型旋转&#xff08;四&#xff09;RL型旋转 四、平衡二叉树的删除&#xff08;一&#xff09;叶子结点&a…

【网络协议】TCP

TCP协议全称为传输控制协议(Transmission Control Protocol).要理解TCP就要从他的特性开始说&#xff0c;这些特性各自之间或多或少各有联结&#xff0c;需要以宏观视角来看待。 目录&#xff1a; 1.TCP报文格式 因为报文解释过于繁琐&#xff0c;具体内容请看这篇文章TCP报文…

oracle分组合并数值带顺序

比如&#xff1a;有如下一张设备电子围栏位置坐标的表&#xff08;tb_equ_point&#xff09;。 equ_name:设备电子围栏名称 point_id:点位坐标id point_x:点位x坐标 point_y:点位y坐标。 附数据&#xff1a; INSERT INTO "tb_equ_point" ("EQU_NAME",…

Spark SQL案例【电商购买数据分析】

数据说明 Spark 数据分析 &#xff08;Scala&#xff09; import org.apache.spark.rdd.RDD import org.apache.spark.sql.{DataFrame, SparkSession} import org.apache.spark.{SparkConf, SparkContext}import java.io.{File, PrintWriter}object Taobao {case class Info(u…

十六)Stable Diffusion教程:出图流程化

今天说一个流程化出图的案例&#xff0c;适用很多方面。 1、得到线稿&#xff0c;自己画或者图生图加线稿lora出线稿&#xff1b;如果想sd出图调整参数不那么频繁细致&#xff0c;则线稿的素描关系、层次、精深要表现出来&#xff0c;表现清楚。 2、文生图&#xff0c;seed随机…

Java进阶篇--网络编程

​​​​​​​ 目录 计算机网络体系结构 什么是网络协议&#xff1f; 为什么要对网络协议分层&#xff1f; 网络通信协议 TCP/IP 协议族 应用层 运输层 网络层 数据链路层 物理层 TCP/IP 协议族 TCP的三次握手四次挥手 TCP报文的头部结构 三次握手 四次挥手 …

Fiddler抓取Https请求配置

官网&#xff1a;https://www.telerik.com/fiddler 配置抓取https包 1.Tools->Options->Https&#xff0c;勾选下面。 2.Actions ->Trust Root Certificate.安装证书到本地 3.在手机端设置代理&#xff1a;本机ip如&#xff1a;192.168.1.168 端口号:8888。 4.手机…