计算机网络信息安全理论与实践教程第13章

第 13章 网络物理隔离技术的原理与应用 第 13章 网络物理隔离技术的原理与应用13.1 网络物理隔离概况 13.2 网络物理隔离技术 13.3 网络物理隔离典型应用案例 13.4 本章小结本章思考与练习 第 13章 网络物理隔离技术的原理与应用 13.1 网络物理隔离概况 13.1 网络物理隔离概况为了实现更高级别的网络安全，安全技术专家建议， “ 内外网及上网计算机实现物理隔离，以求减少来自外网的威胁。” 但是，从目前网络应用来说，要想完全避免网络连接的发生并不太现实，计算机连网是必然的趋势。因而，具有满足解决内外网信息交换需求，又能防止安全事件出现的安全技术就出现了，这种技术称为 “ 物理隔离技术 ” 。它的基本原理是保证避免两台计算机之间直接的信息交换以及物理上的连通，以阻断两台计算机之间的直接在线网络攻击。 第 13章 网络物理隔离技术的原理与应用 13.2 网络物理隔离技术 13.2.1 专用计算机上网内部网络中指定一台计算机只与外部网相连，不与内部网相连。用户必须到指定的计算机才能上网，并要求用户离开自己的工作环境。 第 13章 网络物理隔离技术的原理与应用 13.2.2 多 PC机在内部网络中，上外网的用户桌面上安放着两台 PC机，分别连接两个分离的物理网络，一台用于连接外部网络，另一台用于连接内部网络，如图 13-1所示。 第 13章 网络物理隔离技术的原理与应用 图 13-1 “ 多 PC机 ” 物理隔离原理示意图 第 13章 网络物理隔离技术的原理与应用 13.2.3 外网代理服务在内部网指定一台或多台计算机充当服务器，负责专门搜集外部网指定的信息，然后把外网信息手工导入到内部网，供内部用户使用，从而实现内部用户 “ 上网 ” ，又切断内网与外网的物理连接，避免内网的计算机受到来自外网的攻击，如图13-2所示。 第 13章 网络物理隔离技术的原理与应用 图 13-2 “ 外网代理服务 ” 物理隔离原理示意图 第 13章 网络物理隔离技术的原理与应用 13.2.4 内外网线路切换器在内部网中上外网的计算机上连接一个物理线路 A/B交换盒，通过交换盒的开关设置可以控制计算机的网络物理连接，如图 13-3所示。 第 13章 网络物理隔离技术的原理与应用 图 13-3 “ 内外网线路切换器 ” 物理隔离原理示意图 第 13章 网络物理隔离技术的原理与应用 13.2.5 单硬盘内外分区“ 单硬盘内外分区 ” 技术原理是把单一硬盘分隔成不同的区域，在 IDE总线物理层上，通过一块 IDE总线信号控制卡截取 IDE总线信号，控制磁盘通道的访问：在任一时间内，仅允许操作系统访问指定的分区，如图 13-4所示。这样， “ 单硬盘内外分区 ” 技术将单台物理 PC机虚拟成逻辑上的两台 PC机，使得单台计算机某一时刻只能连接到内部网或外网。当连接内部网时，就启用硬盘内部分区，用于处理内部业务敏感数据文件，此时，计算机只能与内部 LAN连接，而与外部网（因特网或不可信网）物理开关连接断开。当连接外部网时，就启用对外的硬盘分区，与外部网直接物理相连，但与内部 LAN断开，而且不可访问内部使用的硬盘分区。 第 13章 网络物理隔离技术的原理与应用 图 13-4 “ 单硬盘内外分区 ” 物理隔离原理示意图 第 13章 网络物理隔离技术的原理与应用 “ 单硬盘内外分区 ” 技术的优点是：* 提供数据分类存放和加工处理；* 可有效防止外部网窃走内部网数据；* 可实现一台 PC机功能多用，节省资源开支。 第 13章 网络物理隔离技术的原理与应用 但是， “ 单硬盘内外分区 ” 技术仍然会存在安全威胁，这些威胁来源主要有：* 操作失误，如误将敏感数据存放在对外硬盘分区中；* 驱动程序软件 BUG；* 计算机病毒潜入；* 内部人员故意泄露数据；* 特洛伊木马程序。 第 13章 网络物理隔离技术的原理与应用 13.2.6 双硬盘在一台机器上安装两个硬盘，通过硬盘控制卡对硬盘进行切换控制，用户在连接外网时，挂接外网硬盘，而当用内网办公时，重新启动系统，挂接内部网办公硬盘，如图 13-5所示。在两个硬盘上实际上安装了两个操作系统。这种技术在理论上说可以防止内部数据流向外网，但是用户在使用时又必须不断地重新启动切换，造成用户使用不方便，而且也不易统一管理。 第 13章 网络物理隔离技术的原理与应用 图 13-5 “ 双硬盘 ” 物理隔离原理示意图 第 13章 网络物理隔离技术的原理与应用 13.2.7 网闸网闸通过利用一种 GAP技术 (源于英文的 “ Air Gap” )，使两个或者两个以上的网络在不连通的情况下，实现它们之间的安全数据交换和共享。其技术原理是一个具有控制功能的开关读写存储安全设备，通过开关的设置来连接或切断两个独立主机系统的数据交换，如图 13-6所示。 第 13章 网络物理隔离技术的原理与应用 图 13-6 网闸原理示意图 第 13章 网络物理隔离技术的原理与应用 13.3 网络物理隔离典型应用案例 13.3.1 工作机安全上网实例 国内已有不少公司掌握了网络物理隔离技术，下面以珠海伟思为例来说明。如图 13-7所示，这种方案适用于小规模上网用户，在一个局域网络中，只有部分工作站节点机需要单独通过 Modem等拨号设备接 Internet网。这样可以在需要接入Internet的工作站节点计算机上安装伟思公司的物理隔离产品，让其能够在与网络隔离的状态下拨号上网，以确保网络的安全。 第 13章 网络物理隔离技术的原理与应用 图 13-7 内网工作站节点机安全隔离上网示意图 第 13章 网络物理隔离技术的原理与应用 13.3.2 电子政务中网闸应用实例电子政务系统涉及到不同安全等级的网络信息交换。传统方法是通过手工拷贝数据方式来实现信息交换，但是对于大量的网络间数据交换，手工方式难以适应需求，而且人工量大。虽然手工方式确保了网络的安全性，但这种信息交换机制的局限性，造成信息流通不畅，限制了应用的发展。为此，人们普遍采用网闸技术，以物理隔离为基础，在确保安全性的同时，解决了网络之间信息交换的困难。下面以浪潮公司为某税务系统提供的信息交换系统方案为例来说明，如图 13-8所示。 第 13章 网络物理隔离技术的原理与应用 图 13-8 某税务网络网闸应用示意图 第 13章 网络物理隔离技术的原理与应用 13.4 本 章 小 结 “ 物理隔离 ” 是实现信息安全的重要技术方法，本章总结了各种物理隔离技术的方法和原理，包括专用计算机上网、多PC机、外网代理服务、内外网线路切换器、单硬