信安精品课:第11章网络物理隔离技术原理与应用精讲笔记
第11章网络物理隔离技术原理与应用精讲笔记
一、本章知识框架
二、本章大纲要求
11、网络物理隔离技术原理与应用
11.1 网络物理隔离概述
•网络物理隔离概念
•网络物理隔离工作原理
11.2 网络物理隔离系统与类型
•网络物理隔离系统组成
•双向网络物理隔离系统
•单向网络物理隔离系统
•终端物理隔离系统
11.3 网络物理隔离机制与实现技术
•专用计算机
•多PC
•外网代理服务
•内外网线路切换器
•单硬盘内外分区
•双硬盘
•网闸
•协议隔离技术
•单向传输部件
•信息摆渡技术
•物理断开技术
11.4 网络物理隔离主要技术指标与产品
•网络物理隔离主要技术指标(功能技术指标理解、性能技术指标理解、安全技术指标理解等)
•网络物理隔离产品工作机制分析、网络物理隔离产品标准理解、网络物理隔离产品适用场景等
11.5 网络物理隔离应用
•内网用户安全访问互联网
•业务生产网与互联网隔离
•内外网安全物理隔离
•不同安全区域信息交换
三、本章重要易考知识点清单
11.1 网络物理隔离概述
为了实现更高级别的网络安全,网络安全专家建议,“内外网及上网计算机实现物理隔离,以求减少来自外网的威胁”。《计算机信息系统国际联网保密管理规定》第二章第六条规定,“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相联接,必须实行物理隔离。”
既能满足内外网信息及数据交换需求,又能防止网络安全事件出现的安全技术就应运而生了,这种技术称为“物理隔离技术”,其基本原理是避免两台计算机之间直接的信息交换以及物理上的连通,以阻断两台计算机之间的直接在线网络攻击。隔离的目的是阻断直接网络攻击活动,避免敏感数据向外部泄露,保障不同网络安全域之间进行信息及数据交换。
网络物理隔离有利于强化网络安全的保障,增强涉密网络的安全性,但是不能完全确保网络的安全性。
网络物理隔离安全风险
1. 网络非法外联
2. U 盘摆渡攻击
网络攻击者利用U盘作为内外网络的摆渡工具,攻击程序将敏感数据拷贝到U盘中,然后由内部人员通过U盘泄露。据报道,有一种名为“U 盘泄密者”的病毒,该病毒可以自动复制计算机和介质中的文件到指定目录下,使工作人员在不经意间造成内网敏感信息的泄露。其次,采用这种方式进行数据传输也为不法分子进行主动窃密提供了有效途径。
3. 网络物理隔离产品安全隐患
网络隔离产品的安全漏洞, 导致 DoS/DDoS 攻击, 使得网络物理隔离设备不可用。或者,网络攻击者通过构造恶意数据文档,绕过物理隔离措施,从而导致内部网络受到攻击。
4. 针对物理隔离的攻击新方法
将被隔离计算机中的数据转换为声波、热量、电磁波等模拟信号后发射出去,在接收端通过模数转换复原数据,从而达到窃取信息的目的。
2015 年 3 月,以色列研究人员设计出了名为 Bit whisper 的窃密技术, 该技术在攻击者与目标系统之间通过检测设备发热量建立一条隐蔽的信道窃取数据。其基本原理是利用发送方计算机受控设备的温度升降来与接收方系统进行通信,然后后者利用内置的热传感器侦测出温度变化,再将这种变化转译成二进制代码,从而实现两台相互隔离的计算机之间的通信。
11.2 网络物理隔离系统与类型
网络物理隔离系统是指通过物理隔离技术,在不同的网络安全区域之间建立一个能够实现物理隔离、信息交换和可信控制的系统,以满足不同安全域的信息或数据交换。
按照隔离的对象来分,网络物理隔离系统一般可以分为单点隔离系统和区域隔离系统。其中单点隔离系统主要是保护单独的计算机系统,防止外部直接攻击和干扰。区域隔离系统针对的是网络环境,防止外部攻击内部保护网络。
按照网络物理隔离的信息传递方向,网络物理隔离系统可分为双向网络物理隔离系统与单向网络物理隔离系统。
11.3 网络物理隔离机制与实现技术
物理隔离机制的实现技术,主要包括专用计算机上网、多 PC、外网代理服务、内外网线路切换器、单硬盘内外分区、双硬盘、网闸、协议隔离、单向传输、信息摆渡、物理断开等技术。
专用计算机上网
在内部网络中指定一台计算机,这台计算机只与外部网相连,不与内部网相连。用户必须到指定的计算机才能上网,并要求用户离开自己的工作环境。
多 PC
内部网络中,在上外网的用户桌面上安放两台 PC,分别连接两个分离的物理网络, 一台用于连接外部网络,另一台用于连接内部网络。
外网代理服务
在内部网指定一台或多台计算机充当服务器,负责专门搜集外部网的指定信息,然后把外网信息手工导入内部网,供内部用户使用,从而实现内部用户“上网”,又切断内网与外网的物理连接,避免内网的计算机受到来自外网的攻击
内外网线路切换器
在内部网中,上外网的计算机上连接一个物理线路 A/B 交换盒,通过交换盒的开关设置控制计算机的网络物理连接
单硬盘内外分区
单硬盘内外分区的技术原理是把单一硬盘分隔成不同的区域, 在 IDE 总线物理层上, 通过一块 IDE 总线信号控制卡截取 IDE 总线信号, 控制磁盘通道的访问, 在任一时间内, 仅允许操作系统访问指定的分区,如图 11-4 所示。这样,单硬盘内外分区技术将单台物理 PC 虚拟成逻辑上的两台 PC,使得单台计算机在某一时刻只能连接到内部网或外部网。当连接内部网时,就启用硬盘内部分区, 用于处理内部业务敏感数据文件, 此时, 计算机只能与内部 LAN 连接,而与外部网(因特网或不可信网)物理开关连接断开。当连接外部网时,就启用对外的硬盘分区, 与外部网直接物理相连, 但与内部 LAN 断开, 而且不可访问内部使用的硬盘分区。
单硬盘内外分区技术的优点是:
● 提供数据分类存放和加工处理;
● 可有效防止外部窃走内部网数据;
● 实现一台 PC 功能多用,节省资源开支。
但是,单硬盘内外分区技术仍然存在安全威胁,这些威胁来源主要有:
● 操作失误,如误将敏感数据存放在对外硬盘分区中;
● 驱动程序软件 bug;
● 计算机病毒潜入;
● 内部人员故意泄露数据;
● 特洛伊木马程序。
双硬盘
在一台机器上安装两个硬盘,通过硬盘控制卡对硬盘进行切换控制,用户在连接外网时,挂接外网硬盘,而当用内网办公时,重新启动系统,挂接内部网办公硬盘。
在两个硬盘实际上安装了两个操作系统。这种技术在理论上说可以防止内部数据流向外网,但是用户在使用时又必须不断地重新启动切换,造成用户使用不方便, 而且也不易统一管理。
网闸
网闸通过利用一种 GAP 技术(源于英文的 Air Gap) ,使两个或者两个以上的网络在不连通的情况下,实现它们之间的安全数据交换和共享。其技术原理是使用一个具有控制功能的开关读写存储安全设备,通过开关的设置来连接或切断两个独立主机系统的数据交换
两个独立主机系统与网闸的连接是互斥的,因此,两个独立主机不存在通信的物理连接,而且主机对网闸的操作只有“读”和“写”。所以,网闸从物理上隔离、阻断了主机之间的直接攻击,从而在很大程度上降低了在线攻击的可能性。但是,网闸仍然存在安全风险,例如,入侵者可以利用恶意数据驱动攻击,将恶意代码隐藏在电子文档中, 将其发送到目标网络中,通过具有恶意代码功能的电子文档触发,构成对内部网络的安全威胁。
协议隔离技术
协议隔离指处于不同安全域的网络在物理上是有连线的,通过协议转换的手段保证受保护信息在逻辑上是隔离的,只有被系统要求传输的、内容受限的信息可以通过。其中,协议转换的定义是协议的剥离和重建。把基于网络的公共协议中的应用数据剥离出来,封装为系统专用协议传递至所属其他安全域的隔离产品另一端,再将专用协议剥离, 并封装成需要的格式。
单向传输部件
单向传输部件是指一对具有物理上单向传输特性的传输部件,该传输部件由一对独立的发送和接收部件构成,发送和接收部件只能以单工方式工作,发送部件仅具有单一的发送功能,接收部件仅具有单一的接收功能,两者构成可信的单向信道,该信道无任何反馈信息。
信息摆渡技术
信息摆渡技术是信息交换的一种方式,物理传输信道只在传输进行时存在。信息传输时,信息先由信息源所在安全域一端传输至中间缓存区域,同时物理断开中间缓存区域与信息目的所在安全域的连接;随后接通中间缓存区域与信息目的所在安全域的传输信道,将信息传输至信息目的所在安全域,同时在信道上物理断开信息源所在安全域与中间缓存区域的连接。在任何时刻,中间缓存区域只与一端安全域相连。
物理断开技术
物理断开是指处于不同安全域的网络之间不能以直接或间接的方式相连接。在一个物理网络环境中,实施不同安全域的网络物理断开,在技术上应确保信息在物理传导、物理存储上的断开。物理断开通常由电子开关来实现。
11.4 网络物理隔离主要产品与技术指标
终端隔离产品用于同时连接两个不同的安全域,采用物理断开技术在终端上实现安全域物理隔离的安全隔离卡或安全隔离计算机。终端隔离产品一般以隔离卡的方式接入目标主机。隔离卡通过电子开关以互斥的形式同时连通安全域 A 所连硬盘、安全域A或安全域 B 所连硬盘、安全域 B,从而实现内外两个安全域的物理隔离。该类产品也可将隔离卡整合入主机,以整机的形式作为产品。
终端隔离产品典型运行环境如图 11-7 所示
网络隔离产品用于连接两个不同的安全域,实现两个安全域之间的应用代理服务、协议转换、信息流访问控制、内容过滤和信息摆渡等功能。产品技术原理采用“2+1” 的架构,即以两台主机+专用隔离部件构成,采用协议隔离技术和信息摆渡技术在网络上实现安全域安全隔离与信息交换。其中,专用隔离部件一般采用包含电子开关并固化信息摆渡控制逻辑的专用隔离芯片构成的隔离交换板卡,或者是经过安全强化的运行专用信息传输逻辑控制程序的主机。
网络隔离产品典型运行环境如图 11-8 所示
网络单向导入产品位于两个不同的安全域之间,通过物理方式(可基于电信号传输或光信号传输)构造信息单向传输的唯一通道,实现信息单向导入,并且保证只有安全策略允许传输的信息可以通过,同时反方向无任何信息传输或反馈。
图 11-9 为网络单向导入产品的一个典型运行环境。
网络单向导入产品一般以双机方式组成,即数据发送处理单元和数据接收处理单元,双机之间采用单向传输部件相连。网络单向导入产品部署在两个安全域之间,其中,数据发送处理单元网络接口连接信息发送方安全域 A,数据接收处理单元网络接口连接信息接收方安全域 B,信息流由发送数据的安全域 A 单向流入接收数据的安全域 B。单向传输部件利用单向传输的物理特性建立两个安全域之间唯一的单向传输通道,数据在这个通道中只能沿数据发送处理单元向数据接收处理单元方向的可信路径单向传输,无任何反馈信号。
网络物理隔离技术指标
网络和终端隔离产品的技术指标主要有安全功能指标、安全保障指标、性能指标。
安全保障指标主要是关于产品的质量和服务保障要求,如配置管理、交付和运行、开发和指导性文档、测试、脆弱性评定等。
性能要求则是对网络和终端隔离产品应达到的性能指标做出规定,包括交换速率和硬件切换时间。
11.5 网络物理隔离应用
网络物理隔离技术应用于不同安全区域之间的网络信息交换。
工作机安全上网实例
为了实现既能上因特网,又能阻断内部信息泄露到因特网中,用户在需要上因特网的计算机中安装一块物理隔离卡,通过物理隔离卡,使一台工作机在上因特网时,从物理上断开与内部网的连接,因而减少内部网的安全威胁。
电子政务中网闸应用实例
在电子政务系统中,涉及不同安全等级的网络信息交换,传统方法通过手工拷贝数据的方式来实现信息交换,但是对于大量的网络间数据交换,手工方式难以适应需求, 而且人工工作量大。
国家管理政策文件明确指出:电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离。
采用网闸技术,以物理隔离为基础,在确保安全性的同时,解决了网络之间信息交换的困难。
以浪潮集团有限公司为某税务系统提供的信息交换系统方案为例进行说明
该税务网络系统与互联网连接,其中,税务网络系统又分为税务外网和税务内网。税务外网的服务器要与税务内网的服务器进行数据交换必须通过该安全隔离系统,除了此通道没有其他逻辑通道存在,这就保证了税务外网与税务内网物理隔离并仍能进行实时的信息交换。
该方案采用浪潮网泰安全隔离网闸,其技术原理是切断网络之间的通用协议连接,将数据包进行分解或重组为静态数据,然后对静态数据进行安全审查,包括网络协议检查和代码扫描等,确认后的安全数据流入内部单元,内部用户通过严格的身份认证机制获取所需数据。
浪潮网泰安全隔离网闸的设计目标如下:
(1) 最大限度规避泄密风险,保证内外网物理断开;
(2) 所有信息以纯文本方式交换,并对其内容进行审查;
通过密级标识管理、过滤向外传送的文件。
四、本章历年考点分布
详见2020软考信安精讲课程群
五、本章历年真题及答案解析
详见2020软考信安精讲课程群