物理隔离是指内部网不得直接或间接地连接公共网。
在网络环境下,用户可能遇到两个网络:对外的公网和对内的专网。
公网资源丰富,用户可以获得较多信息 但是安全性较差,易遭受网络攻击,也易导致机密信息泄露专网是指内部网络,只有授权用户才能访问。
专网安全性较高 并且有严格的安全管理要求 ,但是资源有限。
在这样的环境下,内部用户想要获取丰富的外网资源,如不加防范,外部恶意的数据就有可能进入到内网,内部数据也有泄露到外网的风险。
物理隔离的原因
如果用户在同一时间访问公网专网,会带来很多安全隐患,如:
因此,如果因为需要访问公网和专网,则必须保证用户在同一时刻只能连接到一个网络。
物理隔离技术
实现两种或两种以上服务不能相互访问的访问控制技术称之为隔离技术。 两种网络不能访问同一种资源,隔离一般用来对安全域网络进行访问控制。有两种实现方式:逻辑隔离和物理隔离。
逻辑隔离
逻辑隔离(logical isolation)是指公共网络和专网在物理上是有连线的,通过技术手段保证在逻辑上是隔离的。
物理隔离
物理隔离(physical isolation)是指处于不同安全域的网络之间不能以直接或间接的方式相连接。
例如,如果公共网络和专网在网络物理连线上完全隔离,则二者之间不会有任何公用的存储信息。
物理隔离的基本技术要求
(1)在物理传导上使内网和外网隔离,确保外部网络不能通过网络连接而入侵内部网络,同时防止内部网络的信息通过网络连接泄露到外部网络中。
(2)计算机屏幕上应有当前处于内网还是外网的明显标识,从而提醒用户目前所处的环境是外网还是内网。
(3)内部网络和外部网络的接口处应有明确的标识,以防止用户接错网络接口。
(4)当从内部网络切换到外部网络,或者从外部网路切换到内部网络时,应重新启动计算机,以清除内存、处理器等暂存部件残余信息,防止秘密信息串到外网上。
(5)移动存储介质未从计算机取出时,不能进行内外网络切,用来确保物理设备得到有效的隔离。
(6)防止内部网络信息通过电磁辐射泄露到外部网络上。
物理隔离是通过物理隔离部件来实现的,这是在物理手段实现不同安全域之间信息断开的信息安全部件。 从物理位置来看,隔离部件是处于不同安全域的网络之间的唯一连接点。 常见的物理隔离技术包括物理断开、单向隔离、网闸隔离等。
在所有的物理隔离中,物理隔离部件必须是处于不同安全域网络之间的唯一连接点。 必须确保不能双向直接通信
物理断开指处于不同安全域的网络之间不能以直接或间接的方式相连接。
物理隔离通过物理断开隔离部件来实现。所谓物理断开隔离部件,就是在物理上实现信息物理断开的信息安全部件,如物理隔离卡。
在一个物理网络环境中,实施不同安全域的网络物理断开,在技术上应确保信息在物理传导、物理存储上必须是完全断开的。
物理断开的作用
对于内部网络和外部网络确保在信息物理传导上使内外网络隔断,确保外部网不能通过网络连接侵入内部网。
可以阻止内部网络的信息通过网络连接泄露到外部网络。对于内部网络和外部网络的存储设备
无法在二者之间进行数据交换,断电后会自动逸失信息的存储部件(如内存、寄存器等),可以在网络转换时重启系统作清零处理。
断电后不会自动逸失信息的设备(如硬盘等),内部网络与外部网络的信息要以不同存储设备进行分开存储。 内部网络使用内部网络的存储设备,外网用外部网络的存储设备,确保不同的设备之间不会存在数据的交换。
对移动存储介质(如光盘、软盘、USB 硬盘等),必须确保在网络转换前提示用户取下这些设备。 单项隔离技术
单向隔离是由硬件来控制信息交换,实现信息在不同的安全域之间只能单向流动技术。
单向隔离通过单向隔离卡(unilateral separation components)来实现,保证信息的单向流动。单向隔离卡就是在物理上实现信息只能从一个安全域流向另外一个安全域的信息安全部件。单项隔离不仅可以控制网络,也可以控制数据流动的方向 。
单项隔离的作用
通过单向隔离部件连接的不同网络,数据流动方向由物理部件控制,且只能按照安全策略规定的方向流动,而不能反向流动。
单项隔离卡只允许数据从低高安全等级低的安全域进入安全等级高的安全域。
数据从外部网络进入内部网络特殊存储区域对于实现单向隔离极为重要,一般采用断电非逸失性存储设备(如存储卡)。
网闸隔离技术网闸是一种特殊的安全组件,是位于两个不同安全域之间,通过协议转换的手段,以信息摆渡的方式实现数据交换,且只有被系统明确要求传输的信息可以通过。
协议转换:交换数据的格式 ,将通用的数据格式转换成网闸所特有的专用数据格式。信息摆渡:交换数据的方式 ,将数据封装为只有网闸所能理解的数据格式。明确要求传输:交换数据的访问控制与检测 ,只有符合网闸访问数据规则的数据才可以被网闸进行转换。网闸中的协议转换技术
协议转换(Protocol Conversion),就是协议的剥离和重建过程。
(1)首先在某一安全域的隔离部件将通用协议数据中的应用数据剥离出来;
(2)其次,网闸将通用的数据封装为系统专用协议数据传递到其他安全域;
(3)最后,网闸将专用协议数据中的应用数据剥离,并封装成需要通用协议数据格式,便于应用的理解和解析。
网闸最常用的通用协议数据就是TCP/IP协议数据,而专用协议数据由具体的应用规定。
信息摆渡
信息摆渡(Information Ferry),就是信息交换的一种方式,物理传输信道只在信息传输进行时存在,信息传输结束时,物理传输信道也就消失。
(1)确保内部网络连接和外部网络连接无法同时工作。
(2)需要进行数据交换时,数据由内部网络所在安全域一端传输至中间缓存区域,同时物理断开中间缓存区域与内部网络所在安全域的连接。
(3)需要获取数据的时候,网闸接通中间缓存区域与外部网络所在安全域的传输信道,连接外部网络并获得相应数据,实现交互。
(4)使用结束之后,将数据传输至中间缓存区域后,断开外部链接,确保中间存储区无法与任何网络有所接触。
(5)当需要交换新的数据时,重新连接内部网络连接,从中间缓存区域获得相应数据。
网闸通过控制网络连接和数据存放实现网络隔离,在任一时刻,中间缓存区域只能够与一个安全域相连。
可以通过网闸的数据
网闸仅允许符合安全策略的数据通过中间缓存区域进入内部网络。 根据数据包的特征制定访问控制策略,从而允许或拒绝相应的数据包进入内部网络。
网闸可以根据数据包中的源IP、目的IP、源端口号、目的端口号、应用层协议、应用层关键字等来制定安全策略,从而提供明确的访问保障能力和拒绝访问能力
网闸的工作过程
网闸的工作原理和工作过程:以HTTP访问外部网络为例。
(1)管理员通过设置网闸的安全参数,允许用户访问外部HTTP服务。
(2)当用户试图通过网闸访问外部HTTP服务时,网闸查询本地安全策略确认是否有访问权限,如果没有则拒绝访问。
(3)如果用户具有访问外部HTTP的权限,网闸将用户的HTTP协议数据封装为网闸专用协议数据后,发送至中间缓存区。
(4)网闸断开与内部网络的连接,从中间缓存区取出数据并按照预先设定的专用协议数据进行协议剥离,得到HTTP数据。
(5)网闸建立与外部网络的连接,通过访问外部网络,获得相应的数据。
(6)对数据进行安全检查,如果符合安全策略则封装为专用协议数据暂存到中间缓存区。
(7)网闸断开与外部网络的,用户从暂存缓冲区中取出专用协议数据,通过协议剥离得到HTTP通用协议数据。