第十一章网络物理隔离技术与原理

11.1 网络物理隔离技术

11.1.1 网络物理隔离概述

网络物理隔离是既满足内外网数据交换需求，又能防止网络安全事件出现的安全技术称为物理隔离技术。基本原理是避免计算机之间直接连通，以阻断在线网络攻击。

网络物理隔离安全风险：

(1)网络非法外联。处于隔离状态的网络用户私自连接互联网或第三方网络。

(2)U盘摆渡攻击。攻击者利用U盘作为摆渡工具，将敏感数据拷贝到U盘中，通过U盘泄露。

(3)网络物理隔离产品安全隐患。网络隔离产品的安全漏洞，导致Dos/DDoS攻击，使得网络物理隔离设备不可用。或者，网络攻击者通过构造恶意数据文档，绕过物理隔离措施，从而导致内部网络受到攻击。

(4)针对物理隔离的攻击新方法。将计算机中的数据转换为声波、热量、电磁波等模拟信号后发射出去，在接收端通过模数转换复原数据，从而达到窃取信息的目的。如Bitwhisper窃密技术，是利用温度升降原理。

11.1.2 物理隔离机制与实现技术

专用计算机上网：指定一台计算机，这台计算机只与外部网相连，不与内部网相连。用户必须到指定的计算机才能上网，并要求用户离开自己的工作环境。

多PC：桌面部署两台PC，分别连接两个分离的物理网络，一台用于外网，一台用于内网。

外网代理服务：在内网指定服务器，负责专门搜集外网的指定信息，然后把外网信息手工导入内网，从而实现内部用户“上网”，又切断了内网与外网的物理连接，避免内网的计算机受到外网攻击。

内外网线路切换器：在内部网中，上外网的计算机上连接一个物理线路A/B交换盒，通过交换盒的开关设置控制计算机的网络物理连接。

单硬盘内外分区：将单台物理PC虚拟成逻辑上的两台PC，使得单台计算机在某一时刻只能连接到内部网或外部网。

双硬盘：在一台机器上安装两个硬盘，通过硬盘控制卡对硬盘进行切换控制，用户在连接外网时，挂接外网硬盘，而当用内网办公时，重新启动系统，挂接内部网办公硬盘。在两个硬盘上实际上安装了两个操作系统。缺点是需要不断地重启系统，不易统一管理。

11.1.3 其他物理隔离机制与实现技术

协议隔离技术：处于不同安全域的网络在物理上是有连线的，通过协议转换的手段保证受保护信息在逻辑上是隔离的，只有被系统要求传输的、内容受限的信息可以通过。其中，协议转换的定义是协议的剥离和重建。把基于网络的公共协议中的应用数据剥离出来，封装为系统专用协议传递至所属其他安全域的隔离产品另一端，再将专用协议剥离，并封装成需要的格式。

单向传输部件：是指一对具有物理上单向传输特性的传输部件，该传输部件由一对独立的发送和接收部件构成，发送和接收部件只能以单工方式工作，发送部件仅具有单一的发送功能，接收部件仅具有单一的接收功能，两者构成可信的单向通道，该通道无任何反馈信息。

信息摆渡技术：信息先由信息源所在安全域一端传输至中间缓存区域，同时物理断开中间缓存区域与信息目的所在安全域的连接；随后接通中间缓存区域与信息目的所在安全域的传输信道，将信息传输至信息目的所在安全域同时在信道上物理断开信息源所在安全域与中间缓存区域的连接。在任何时刻，中间缓存区域只与一段安全域相连。

物理断开技术：指处于不同安全域的网络之间不能以直接或间接的方式相连接。在物理网络环境中，实施不同安全域的网络物理断开，在技术上应确保信息在物理传导、物理存储上的断开。物理断开通常由电子开关实现。

11.2 网络物理隔离产品

11.2.1 终端隔离产品

终端隔离产品用于同时连接两个不同的安全域，采用物理断开技术在终端上实现安全域物理隔离的安全隔离卡或安全隔离计算机。

隔离卡通过电子开关以互斥形式同时连通安全域A所连硬盘、安全域A或安全域B所连硬盘、安全域B，从而实现内外两个安全域的物理隔离。该类产品也可将隔离卡整合入主机，以整机的形式作为产品，终端隔离产品典型运行环境如图所示。

11.2.2 网络隔离产品

网络隔离产品用于连接两个不同的安全域，实现两个安全域之间的应用代理服务、协议转换、信息流访问控制、内容过滤和信息摆渡等功能，产品技术原理采用“2+1”的架构，即以两台主机+专用隔离部件构成，采用协议隔离技术和信息摆渡技术在网络上实现安全域安全隔离与信息交换。其中，专用隔离部件一般采用包含电子开关并固化信息摆渡控制逻辑的专用隔离芯片构成的隔离交换板卡，或者是经过安全强化的运行专用信息传输逻辑控制程序的主机。网络隔离产品典型运行环境如图所示。

11.2.3 网络单向导入产品

网络单向导入产品位于两个不同的安全域之间，通过物理方式（可基于电信号传输或光信号传输）构造信息单向传输的唯一通道，实现信息单向导入，并且保证只有安全策略允许传输的信息可以通过，同时反方向无任何信息传输或反馈。图为网络单向导入产品的一个典型运行环境，网络单向导入产品一般以双机方式组成，即数据发送处理单元和数据接收处理单元，双机之间采用单向传输部件相连。网络单向导入产品部署在两个安全城之间，其中，数据发送处理单元网络接口连接信息发送方安全域A，数据接收处理单元网络接口连接信息接收方安全域B，信息流由发送数据的安全城A单向流入接收数据的安全域B。单向传输部件利用单向传输的物理特性建立两个安全域之间唯一的单向传输通道，数据在这个通道中只能沿数据发送处理单元向数据接收处理单元方向的可信路径单向传输，无任何反馈信号。