导图社区 2020信息安全工程师(第二版)第十一章: 网络物理隔离技术原理与应用
物理隔离是实现网络信息安全的重要技术方法,总结了各种物理隔离的技术方法和原理,包括专用计算机上网、内外网线路切换器、单硬盘内外分区、多pc、外网代理服务、网闸等;并给出了物理隔离卡、网闸的安全应用。
本导图主要概括了网络信息安全的总体概述、体系架构、工作内容、思维的底层逻辑,可以构建学习者的思维框架,对网络安全知识体系有一个总体的认识,明白学习的方向。
本图从网络安全法、关键信息基础设施安全保护条例和保护要求标准的基础,全面概括出关键信息基础设施保护工作的主要内容,体系,为掌握关键信息基础设施奠定了基础,形成系统性认识。
这是一篇关于商用密码应用安全性评估的思维导图。本篇思维导图是按新实施的《密码法》主要介绍商用密码的概念、评估的内容和流程,明确密评的工作方案。
社区模板帮助中心,点此进入>>
互联网9大思维
安全教育的重要性
组织架构-单商户商城webAPP 思维导图。
个人日常活动安排思维导图
域控上线
西游记主要人物性格分析
17种头脑风暴法
python思维导图
css
CSS
第11章 网络物理隔离技术原理与应用
11.1 网络物理隔离概述
11.1.1 网络物理隔离概念
既能满足内外网信息与数据交换需求,又能防止网络安全事件出现的新技术出现了,这种技术就是物理隔离技术
隔离的目的是阻断直接网络攻击活动,避免敏感数据向外部泄露,保障不同网络安全域之间进行信息及数据交换
11.1.2 网络物理隔离安全风险
有利于强化网络安全的保障,增强涉密网络的安全性,但不能确保网络的安全性
网络非法外联
U 盘摆渡攻击
网络物理隔离产品安全隐患(DDoS、绕过)
针对物理隔离的攻击新方法(数据转换为声波、热量、电磁波等)
11.2网络物理隔离系统与类型
11.2.1 网络物理隔离系统
通过物理隔离技术,在不同的安全网络区域间建立一个能够实现物理隔离、信息交换和可信控制的系统,满足不同安全域的信息或数据交换
11.2.2 网络物理隔离类型
隔离对象
单点隔离系统
区域隔离系统
信息传递方向
双向
单向
11.3 网络物理隔离机制与实现技术
11.3.1 专用计算机上网
在内部网络中,指定一台计算机,这台计算机只与外部网相连,不与内部网相连
11.3.2 多PC
在内部网络中,上外网的用户桌面安放两台PC,分别连接两个分离的物理网络,一台连接外部网络,一台连接内部网络
11.3.3 外网代理服务
在内部网中指定一台或多台服务器,搜集外部网的制定信息,并手工导入内部网,供内部用户使用
11.3.4 内外网线路切换期
内部网络中,上外网的计算机连接物理线路A/B交换盒,通过交换盒开关设置控制计算机的网络物理连接
11.3.5 单硬盘内外分区
原理
把单一硬盘分割成不同区域,在IDE总线物理层上,通过一块IDE总线信号控制卡截取IDE总线信号,控制磁盘通道的访问,任一时间,仅允许操作系统访问指定分区
单硬盘内外分区技术将单台物理PC虚拟成逻辑上的两台PC,使单台计算机在某一时刻只能连接到内部网或外部网
优点:①数据分类存放和加工;②防止外部窃走内部数据;③节省资源,一台PC多用
缺点:①操作失误,数据存放错误;②驱动程序bug;③病毒入侵;④内部人员泄露
11.3.6 双硬盘
原理:一台机器安装两块硬盘,通过硬盘控制卡对硬盘进行切换控制,两个硬盘安装两个系统
缺点:切换时需重启
11.3.7 网闸
技术原理
使用一个具有控制功能的开关读写存储安全设备,通过开关的设置来连接或者切断两个独立主机系统的数据交换
示意图
网闸从物理上隔离,阻断了主机之间的直接攻击,很大程度上降低了在线攻击的可能性
缺点:不能阻止恶意代码驱动攻击
11.3.8 协议隔离技术
原理:处于不同安全域的网络在物理上有链接,通过协议转换手段保证受保护信息在逻辑上是隔离的,只有被系统要求传输的、内容受限的信息可以通过
关键技术:协议的剥离与重建
11.3.9 单项传输部件
概念:指一对具有物理上单向传输特性的传输部件,由一对独立的发送和接受部件构成,只能以单工方式工作,二者构成可信的单向信道,信道内无反馈信息
11.3.10 信息摆渡技术
物理传输信道只在传输进行时存在。与一方通信时,必与另一方断开
11.3.11 物理断开技术
概念:不同安全域的网络之间不能以直接或间接的方式相连接(电子开关实现)
11.4 网络物理隔离主要产品与技术指标
11.4.1 主要产品
终端隔离产品
网络隔离产品
实现两个安全域之间应用代理服务、协议转换、信息流访问控制、内容过滤、信息摆渡功能
2+1 架构:两台主机+专用隔离部件
隔离部件:包含电子开关并固化信息摆渡控制逻辑的专用隔离芯片,或经过安全强化的运行专用信息传输逻辑控制程序的主机
网络单项导入产品
不同安全域,通过物理方式(电信号或光信号)构造信息单向传输的唯一通道,实现信息单向导入,并保证只有安全策略允许传输的信息可以通过,反方向无任何反馈
11.4.2 技术指标
安全功能指标
终端隔离产品:访问控制、不可旁路和客体重用
网络隔离产品:访问控制、抗攻击、安全管理、标识和鉴别、审计、域隔离、容错、数据完整性和密码支持
网络单向导入:访问控制、抗攻击、安全管理、标识和鉴别、审计、域隔离、配置数据保护和运行状态监测
安全保障指标
质量和服务保障要求(配置管理、交付和运行、开发指导文档、测试)
性能指标
交换速率、硬件切换事件
11.5 网络物理隔离应用
主要应用于不同安全域之间的网络信息交换
11.5.1 工作机安全上网实例
11.5.2 电子政务中网闸应用实例
11.6 本章小结
物理隔离是实现网络信息安全的重要技术方法,总结了各种物理隔离的技术方法和原理,包括专用计算机上网、内外网线路切换器、单硬盘内外分区、多pc、外网代理服务、网闸等;并给出了物理隔离卡、网闸的安全应用
