版权归原作者所有,如有侵权,请联系我们

[科普中国]-物理隔离

科学百科
原创
科学百科为用户提供权威科普内容,打造知识科普阵地
收藏

物理隔离,是指采用物理方法将内网与外网隔离从而避免入侵或信息泄露的风险的技术手段。物理隔离主要用来解决网络安全问题的,尤其是在那些需要绝对保证安全的保密网,专网和特种网络与互联网进行连接时,为了防止来自互联网的攻击和保证这些高安全性网络的保密性、安全性、完整性、防抵赖和高可用性,几乎全部要求采用物理隔离技术。物理隔离包含隔离网闸技术 、物理隔离卡等。12

简介物理隔离产品是用来解决网络安全问题的。尤其是在那些需要绝对保证安全的保密网,专网和特种网络与互联网进行连接时,为了防止来自互联网的攻击和保证这些高安全性网络的保密性、安全性、完整性、防抵赖和高可用性,几乎全部要求采用物理隔离技术。物理隔离技术一般包括:

1.静态包过滤(Static Packet Filter)

2.动态包过滤(Dynamic or Stateful Packet Filter)

3.电路网关(Circuit Level Gateway)

4.应用网关(Application Level Gateway)

5.状态检测包过滤(Stateful Inspection Packet Filter)

6.切换代理(Cutoff Proxy)

7.物理隔离(Air Gap)

物理隔离包含隔离网闸技术 、物理隔离卡等。

1、SU-GAP隔离网闸,它创建一个这样的环境,内、外网物理断开,但逻辑地相连。就是在这两个网络之间创建了一个物理隔断,这意味着网络数据包不能从一个网络流向另外一个网络,并且可信网络上的计算机和不可信网络上的计算机从不会有实际的连接。

物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。

2、在每台电脑中通过主板插槽安装物理隔离卡,把一台普通计算机分成两台虚拟计算机,实现真正的物理隔离。

也就是说,只有使内部网和公共网物理隔离,才能真正保证内部信息网络不受来自互联网的黑客攻击。此外,物理隔离也为内部网划定了明确的安全边界,使得网络的可控性增强,便于内部管理。

功能物理隔离的功能表现为以下几个方面:

1.阻断网络的直接连接,即没有两个网络同时连在隔离设备上;

2.阻断网络的互联网逻辑连接,即TCP/IP的协议必需被剥离,将原始数据通过P2P的非TCP/IP连接协议透过隔离设备传递;

3.隔离设备的传输机制具有不可编程的特性,因此不具有感染的特性;

4.任何数据都是通过两级移动代理的方式来完成,两级移动代理之间是物理隔离的;

5.隔离设备具有审查的功能;

6.隔离设备传输的原始数据,不具有攻击或对网络安全有害的特性。就像txt文本不会有病毒一样,也不会执行命令等。

7.强大的管理和控制功能。3

物理隔离技术之争最早在2000年的时候物理隔离领域出现的单硬盘隔离卡和双硬盘隔离卡,就引发出了一个谁是物理隔离的争议,由于单硬盘隔离卡,在安装时只需要加一块隔离卡,然后对原有的硬盘采用软件技术上的处理。所以成本相对来讲比较低一些。而双硬盘隔离卡在安装时除了需要加一块隔离卡,还需要新加一块硬盘。但是对于原来的硬盘不需要任何的处理,只需要在新装的硬盘上安装操作系统即可。在2000年北京国家保密会议上图文明确提出了双硬盘隔离是物理隔离,单硬盘隔离不是物理隔离是逻辑隔离卡的观点。此观点引起学术界的强烈反弹。随着时间的推移,单硬盘隔离卡逐渐退出了市场,也证明了双硬盘是物理隔离的观点。

黑客突破物理隔离方法1、USB自动运行和固件攻击

2、U盘用作射频发射器

将普通正常U盘用作射频(RF)发射器,在物理隔离的主机和攻击者的接收器间传递数据,进而加载漏洞利用程序和其他工具,以及从目标主机渗漏数据。

3、CPU电磁信号

利用CPU泄露的电磁信号建立隐秘信道突破物理隔离。

4、突破法拉第笼的电磁信道

安全人员对电磁信道威胁的响应可能是将高度敏感的物理隔离系统置入法拉第笼中。但法拉第笼的电磁屏蔽并非总是有效。研究表明,法拉第笼也挡不住目标主机和移动设备接收电磁传输信号。

5、LED状态指示灯

利用LED状态指示灯从未联网系统中传输信息到IP摄像头的方法。

6、红外遥控

7、无线电广播和移动设备

利用手机中的FM接收器捕获到了物理隔离主机上用户每次击键时显卡散发出的FM无线电信号。

8、超声波通信

利用超声波在多台物理隔离主机间创建通信信道。即便主机未接入标准麦克风或者禁用了麦克风,攻击者都能将扬声器和耳机变身为麦克风使用。这些音频设备可用于通信,有效建立双工传输模式。4

本词条内容贡献者为:

徐恒山 - 讲师 - 西北农林科技大学