信息安全:网络物理隔离技术原理与应用.

news2024/11/23 12:08:42

信息安全:网络物理隔离技术原理与应用.

随着网络攻击技术不断增强,恶意入侵内部网络的风险性也相应急剧提高。满足内外网信息及数据交换需求,又能防止网络安全事件出现的安全技术就应运而生了,这种技术称为“物理隔离技术”

基本原理是避免两台计算机之 间直接的信息交换以及物理上的连通,以阻断两台计算机之间的直接在线网络攻击。

隔离的目的是阻断直接网络攻击活动,避免敏感数据向外部泄露,保障不同网络安全域之间进行信息及数据交换。


目录:

网络物理隔离安全风险:

(1)网络非法外联:

(2)盘摆渡攻击:

(3)网络物理隔离产品安全隐患:

(4)针对物理隔离的攻击新方法:

网络物理隔离系统与类型:

(1)网络物理隔离系统:

(2)网络物理隔离类型:

网络物理隔离机制与实现技术:

(1)专用计算机上网:

(2)多PC:

(3)外网代理服务:

(4)内外网线路切换:

(5)单硬盘内外分区:

(6)双硬盘:

(7)网闸:

(8)协议隔离技术:

(9)单向传输部件:

(10)信息摆渡技术:

(11)物理断开技术:

网络物理隔离主要产品与技术指标:

(1)网络物理隔离主要产品:

(2)网络隔离产品:

(3)网络单向导入产品:

(4)网络物理隔离技术指标 :

网络物理隔离应用:

(1)工作机安全上网实例:

(2)电子政务中网闸应用实例:


网络物理隔离安全风险:

网络物理隔离有利千强化网络安全的保障,增强涉密网络的安全性,但是不能完全确保网络的安全性。
   

(1)网络非法外联:

一旦处于隔离状态的网络用户私自连接互联网或第三方网络,则物理隔离安全措施失去保护作用。
   

(2)盘摆渡攻击:

网络攻击者利用U盘作为内外网络的摆渡工具,攻击程序将敏感数据拷贝到U盘中,然后由内部人员通过U盘泄露。
   

(3)网络物理隔离产品安全隐患:

网络隔离产品的安全漏洞,导致 DoS/DDoS 攻击,使得网络物理隔离设备不可用。或者,网络攻击者通过构造恶意数据文档,绕过物理噪离措施,从而导致内部网络受到攻击。
   

(4)针对物理隔离的攻击新方法:

原理是利用各种手段,将被隔离计算机中的数据转换为声波、热量、电磁波等模拟信号后发射出去,在接收端通过模数转换复原数据,从而达到窃取信息的目的。


网络物理隔离系统与类型:

(1)网络物理隔离系统:

网络物理隔离系统是指通过物理隔离技术,在不同的网络安全区域之间建立一个能够实现物理隔离、信息交换和可信控制的系统,以满足不同安全域的信息或数据交换。
  

(2)网络物理隔离类型:

按照隔离的对象来分,网络物理隔离系统 般可以分为单点隔离系统区域隔离系统
单点隔离系统主要是保护单独的计算机系统,防止外部直接攻击和干扰
区域隔离系统针对的是网络环境,防止外部攻击内部保护网络。
    
按照网络物理隔离的信息传递方向分:双向网络物理隔离系统单向网络物理隔离系统
   

网络物理隔离机制与实现技术:

(1)专用计算机上网:

在内部网络中指定 台计算机,这台计算机只与外部网相连,不与内部网相连。用户必须到指定的计算机才能上网,并要求用户离开自己的工作环境。

(2)多PC:

内部网络中,在上外网的用户桌面上安放两台PC, 分别连接两个分离的物理网络,一台用于连接外部网络,另一台用于连接内部网络.
   

(3)外网代理服务:

在内部网指定一台或多台计算机充当服务器,负责专门搜集外部网的指定信息,然后把外网信息手工导入内部网,供内部用户使用,从而实现内部用户”上网”,又切断内网与外网的物理连接,避免内网的计算机受到来自外网的攻击.

(4)内外网线路切换:

在内部网中,上外网的计算机上连接一个物理线路 A / B 交换盒,通过交换盒的开关设置控制计算机的网络物理连接.
   

(5)单硬盘内外分区:

单硬盘内外分区的技术原理是把单一硬盘分隔成不同的区域,在 IDE 总线物理层上,通过一块 IDE 总线信号控制卡截取 IDE 总线信号,控制磁盘通道的访问,在任一时间内,仅允许操作系统访问指定的分区.
单硬盘内外分区技术的优点是:
• 提供数据分类存放和加工处理;
• 可有效防止外部窃走内部网数据;
• 实现一台 PC 功能多用,节省资源开支。

但是,单硬盘内外分区技术仍然存在安全威胁,这些威胁来源主要有:
• 操作失误,如误将敏感数据存放在对外硬盘分区中;
• 驱动程序软件 bug;
• 计算机病毒潜入
• 内部人员故意泄露数据;
• 特洛伊木马程序。

(6)双硬盘:

在一台机器上安装两个硬盘,通过硬盘控制卡对硬盘进行切换控制,用户在连接外网时,挂接外网硬盘,而当用内网办公时,重新启动系统,挂接内部网办公硬盘,在两个硬盘实际上安装了两个操作系统。这种技术在理论上说可以防止内部数据流向外网,但是用户在使用时又必须不断地重新启动切换,造成用户使用不方便,而且也不易统一管理。
   

(7)网闸:

网闸通过利用一种 GAP 技术 ,使两个或者两个以上的网络在不连通的情况下,实现它们之间的安全数据交换和共享。其技术原理是使用一个具有控制功能的开关读写存储安全设备,通过开关的设置来连接或切断两个独立主机系统的数据交换.
两个独立主机系统与网闸的连接是互斥的,因此,两个独立主机不存在通信的物理连接,而且主机对网闸的操作只有“读”和“写“。所以,网闸从物理上隔离、阻断了主机之间的直接攻击,从而在很大程度上降低了在线攻击的可能性。
  
但是,网闸仍然存在安全风险,例如,入侵者可以利用恶意数据驱动攻击,将恶意代码隐藏在电子文档中,将其发送到目标网络中,通过具有恶意代码功能的电子文档触发,构成对内部网络的安全威胁。

(8)协议隔离技术:

协议隔离指处千不同安全域的网络在物理上是有连线的,通过协议转换的手段保证受保护信息在逻辑上是隔离的,只有被系统要求传输的、内容受限的信息可以通过。其中,协议转换的定义是协议的剥离和重建。

(9)单向传输部件:

传输部件由一对独立的发送和接收部件构成,发送和接收部件只能以单工方式工作.

(10)信息摆渡技术:

信息摆渡技术是信息交换的 种方式,物理传输信道只在传输进行时存在。信息传输时,信息先由信息源所在安全域 端传输至中间缓存区域,同时物理断开中间缓存区域与信息目的所在安全域的连接;随后接通中间缓存区域与信息目的所在安全域的传输信道,将信息传输至信息目的所在安全域,同时在信道上物理断开信息源所在安全域与中间缓存区域的连接。在任何时刻,中间缓存区域只与 端安全域相连。

(11)物理断开技术:

物理断开是指处于不同安全域的网络之间不能以直接或间接的方式相连接。在 个物理网络环境中,实施不同安全域的网络物理断开,在技术上应确保信息在物理传导、物理存储上的断开。物理断开通常由电子开关来实现。

网络物理隔离主要产品与技术指标:

(1)网络物理隔离主要产品:

①终端隔离产品用于同时连接两个不同的安全域,采用物理断开技术在终端上实现安全域物理隔离的安全隔离卡或安全隔离计算机。
    
终端隔离产品一般以隔离卡的方式接入目标主机。隔离卡通过电子开关以互斥的形式同时连通安全域 所连硬盘、安全域 或安全域 所连硬盘、安全域 B, 从而实现内外两个安全域的物理隔离。

(2)网络隔离产品:

网络隔离产品用千连接两个不同的安全域,实现两个安全域之间的应用代理服务、协议转换、信息流访问控制、内容过滤和信息摆渡等功能。产品技术原理采用 “2+1" 的架构即以两台主机+专用隔离部件构成,采用协议隔离技术和信息摆渡技术在网络上实现安全域安全隔离与信息交换。


(3)网络单向导入产品:

网络单向导入产品位于两个不同的安全域之间,通过物理方式(可基于电信号传输或光信号传输)构造信息单向传输的唯一通道,实现信息单向导入,并且保证只有安全策略允许传输的信息可以通过,同时反方向无任何信息传输或反馈。

(4)网络物理隔离技术指标 :

① 网络和终端隔离产品的技术指标主要有安全功能指标、安全保障指标、性能指标.


安全保障指标主要是关于产品的质量和服务保障要求,如配置管理、交付和运行、开发和指导性文档、测试、脆弱性评定等。


性能要求则是对网络和终端陲离产品应达到的性能指标做出规定,包括交换速率和硬件切换时间。


网络物理隔离应用:

(1)工作机安全上网实例:

为了实现既能上因特网,又能阻断内部信息泄露到因特网中,用户在需要上因 特网的计算机中安装一块物理隔离卡,通过物理隔离卡,使一台工作机在上因特网时,从物理上断开与内部网的连接,因而减少内部网的安全威胁。


(2)电子政务中网闸应用实例:

国家管理政策文件明确指出: “电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离。
税务网络系统与互联网连接,其中,税务网络系统又分为税务外网和税务内网税务外网的服务器要与税务内网的服务器进行数据交换必须通过该安全隔离系统,除了此通道没有其他逻辑通道存在,这就保证了税务外网与税务内网物理隔离并仍能进行实时的信息交换。
   
    
    
     
     
学习书籍:信息安全工程师教程.

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1038343.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

如何用Postman做接口自动化测试

前言 什么是自动化测试 把人对软件的测试行为转化为由机器执行测试行为的一种实践。 例如GUI自动化测试,模拟人去操作软件界面,把人从简单重复的劳动中解放出来。 本质是用代码去测试另一段代码,属于一种软件开发工作,已经开发完…

应用开发平台集成工作流系列之12——流程导航功能设计与实现

背景 流程模板主要是用于流程建模的,对于业务用户而言,需要一个业务流程的导航页,分门别类展示业务流程清单,用于发起新的流程。 并且需要根据当前用户过滤,只显示有权限发起的流程。 业务流程类别的处理 一个企业的…

OCR -- 文本检测

目标检测: 不仅要解决定位问题,还要解决目标分类问题,给定图像或者视频,找出目标的位置(box),并给出目标的类别; 文本检测: 给定输入图像或者视频,找出文本的…

基于 SpringBoot+Vue 的口腔管理平台,附源码,数据库

第一章 简介 本项目,是基于 Java SpringBoot 开发的,主要功能包括首页、个人中心、病例就诊信息管理、复查提醒管理、预约挂号管理、我的收藏管理、订单管理,前台首页;首页、牙齿保健产品、牙齿保护小知识、留言反馈、个人中心、…

React(react18)中组件通信05——redux ➕ react-redux(含数据共享)

React(react18)中组件通信05——redux ➕ react-redux(含数据共享) 1. 前言1.1 React中组件通信的其他方式1.2 介绍React-Redux1.2.1 简单介绍React-Redux1.2.2 官网 1.3 安装react-redux 2. 简单改写redux的例子2.1 提供store2.2…

【从0学习Solidity】37. 数字签名 Signature

【从0学习Solidity】37. 数字签名 Signature 博主简介:不写代码没饭吃,一名全栈领域的创作者,专注于研究互联网产品的解决方案和技术。熟悉云原生、微服务架构,分享一些项目实战经验以及前沿技术的见解。关注我们的主页&#xff0…

提示计算机丢失msvcp140.dll怎么办,缺少msvcp140.dll一键修复

在计算机使用过程中,我们可能会遇到各种稀奇古怪的问题。其中,msvcp140.dll 文件丢失算是比较常见的一种。那么,究竟什么是 msvcp140.dll 文件?它为什么会丢失?我们又该如何解决这个问题呢?本文将围绕这些问…

向量数据库库Milvus Cloud2.3 技术选型中性能、成本、扩展性是重点

技术选型中性能、成本、扩展性是重点 对于向量数据库来说,用户最关心的莫过于性能、成本和扩展性。 Milvus 2.x 从 Day 1 开始就将扩展性作为设计的第一优先级,在众多用户环境中落地了十亿至百亿级别场景。不止如此,对于 Milvus 来说,扩展性不仅仅意味着支持百亿级别向量,…

vue指令(代码部分)

注&#xff1a;此部分为学习uni-app时接触到的vue <template><view><view>当前标题&#xff1a;{{title}}</view><view> {{num}}</view><view>{{arr[2]}}</view><view>{{obj}}</view><view>{{obj.name}}&l…

导览软件定制开发方案

随着智能手机的普及和人们对文化、旅游等方面的需求不断增加&#xff0c;导览软件市场前景广阔。本文将围绕导览软件定制开发方案展开&#xff0c;包括以下部分&#xff1a; 一、行业现状及市场需求 导览软件市场发展迅速&#xff0c;各类导览软件层出不穷。通过对市场…

价值1000的情感爆文写作prompt,助你写出10万+阅读微信爆文

原文&#xff1a;价值1000的情感爆文写作prompt&#xff0c;助你写出10万阅读微信爆文 - 知乎 是否经常看到一些自媒体晒出这样的图片&#xff1f; 或者是这样的10w的阅读文章 那么这是真实能赚钱的吗&#xff1f;还是自媒体夸大其说&#xff0c;吸引流量。 我们先简单了解什…

ElementUI之登陆+注册->饿了吗完成用户登录界面搭建,axios之get请求,axios之post请求,跨域,注册界面

饿了吗完成用户注册登录界面搭建axios之get请求axios之post请求跨域 1.饿了吗完成用户注册登录界面搭建 将端口号8080改为8081 导入依赖&#xff0c;在项目根目录使用命令npm install element-ui -S&#xff0c;添加Element-UI模块 -g&#xff1a;将依赖下载node_glodal全局依…

网络上怎么赚点零花钱

现代物质社会中&#xff0c;我们常常会被琐碎的开销困扰。无论是衣食住行还是休闲娱乐&#xff0c;总有一些额外的花费&#xff0c;使我们不得不时常思索如何赚点零花钱。而现如今&#xff0c;随着互联网的飞速发展&#xff0c;我们有了更多的机会通过网络来实现这个目标。现在…

Centos7做回收站功能-防止误删除

Centos7做回收站功能&#xff0c;就算误删了文件&#xff0c;也可以还原回来 小白教程&#xff0c;一看就会&#xff0c;一做就成。 1.先创建一个回收站的目录&#xff08;我在/data下&#xff09; 在大磁盘的目录下创建.trash文件夹 mkdir -p /data/.trash 2.在/root/.bas…

Vue之ElementUI实现登陆及注册

目录 ​编辑 前言 一、ElementUI简介 1. 什么是ElementUI 2. 使用ElementUI的优势 3. ElementUI的应用场景 二、登陆注册前端界面开发 1. 修改端口号 2. 下载ElementUI所需的js依赖 2.1 添加Element-UI模块 2.2 导入Element-UI模块 2.3 测试Element-UI是否能用 3.编…

Nodejs基于Vue.js编程语言在线学习平台的设计与实现5y4p2

本编程语言在线学习平台是为了提高用户查阅信息的效率和管理人员管理信息的工作效率&#xff0c;可以快速存储大量数据&#xff0c;还有信息检索功能&#xff0c;这大大的满足了用户和管理员这二者的需求。操作简单易懂&#xff0c;合理分析各个模块的功能&#xff0c;尽可能优…

【08】FISCOBCOS一键部署【07+08即可完成一键部署,默认生成两个节点的链】

官方文档https://webasedoc.readthedocs.io/zh_CN/latest/docs/WeBASE/install.html#id1 一键部署 ​ 一键部署可以在 同机 快速搭建WeBASE管理台环境&#xff0c;方便用户快速体验WeBASE管理平台。 ​ 一键部署会搭建&#xff1a;节点&#xff08;FISCO-BCOS 2.0&#xff09;…

SQL数据库基础

目录 1.SQL分类 2.SQL-DDL 2.1 数据库操作 查询 创建 删除 使用某个数据库 2.2 数据表操作 创建表 查询表 修改表 3.SQL-DML(增删改) 3.1 插入 3.2 修改 3.3 删除 4.SQL-DQL(查) 4.1 基础查询 4.2 条件查询 4.3 聚合函数查询 4.4 分组查询 4.5 排序查询 …

递归法求最大公约数

如果a或b不是不是正整数&#xff0c;则函数返回-1。 主程序样例&#xff1a; 这里给出主函数及对Gcd函数的调用样例&#xff1a; #include <stdio.h> int Gcd(int a, int b); int main() { int a, b, c; scanf(“%d %d”, &a, &b); c Gcd(a,b); if (c ! -1) {…

Python实战实例代码-网络爬虫-数据分析-机器学习-图像处理

Python实战实例代码-网络爬虫-数据分析-机器学习-图像处理 Python实战实例代码1. 网络爬虫1.1 爬取网页数据1.2 爬取图片1.3 爬取动态数据&#xff08;使用Selenium&#xff09; 2. 数据分析2.1 数据清洗2.2 数据变换2.3 数据聚合 3. 机器学习3.1 线性回归3.2 随机森林3.3 K-Me…