第11 章网络物理隔离技术原理与应用

11.1网络物理隔离概述

11.1.1 网络物理隔离概念

  随着网络攻击技术不断增强，恶意入侵内部网络的风险性也相应急剧提高。同时，内部网的用户因为安全意识薄弱，可能有意或者无意地将敏感数据泄露出去。因此，就有专家提建议，“内外网及上网计算机实现物理隔离，以求减少来自外网的威胁”。《计算机信息系统国际联网保密管理规定》第二章第六条规定，“涉及国家秘密的计算机系统不得直接或间接的与国际互联网或其他公共信息网络相连接，必须实行物理隔离”。尽管物理隔离能够强化保障涉密信息系统的安全，却不便于不同安全域之间的信息交换，尤其是低级别安全域向高级别安全域导入数据。

  目前，网络和大数据应用日益普及，国家和企事业单位重要信息系统之间的数据交换日趋频繁，各单位机构对信息和数据的时效性要求越来越高，完全切断不同安全城之间的信息及数据交换已不太现实。因而，能满足内外网信息及数据交换需求，又能防止网络安全事件出现的安全技术就应运而生了，这种技术称为“物理隔离技术”，其基本原埋是避免两台计算机之间直接的信息交换以及物理上的连通。以阻断两台计算机之间的直接在线网络攻击。隔离的目的是阻断直接网络攻击活动，避免敏感数据向外部泄露，保障不同网络安全城之间进行信息及数据交换。

11.1.2 物理隔离安全风险

  网络物理隔离有利于强化网络安全的保障，增强涉密网络的安全性，但是不能完全确保网络的安全性。采用物理隔离安全保护措施的网络仍然面临以下网络安全风险。

• 网络非法外联
• U盘摆渡攻击。攻击者将敏感数据拷贝到U盘中，然后由内部人员通过u盘泄露。
• 网络物理隔离产品安全隐患。网络物理隔离产品的安全漏洞，导致Dos/DDos攻击，使得网络物理设备不可用。或者攻击者通过构造恶意数据文档，绕过物理隔离措施，从而导致内部网络受到攻击
• 针对物理隔离的攻击新方法。

11.2网络物理隔离系统与类型

• 网络物理隔离系统是指通过物理隔离技术，在不同的网络安全区域之间建立一个能够实现物理隔离，信息交换和可信控制的系统，以满足不同安全区域的信息或数据交换
• 网络物理隔离类型
    （1）按照隔离的对象来分：网络物理隔离系统一般可以分为单点隔离系统和区域隔离系统。其中单点隔离系统主要是保护单独的计算机系统，防止外部直接攻击和干扰。区域隔离系统针对的是网络环境，防止外部攻击内部保护网络。
    （2）按照网络物理隔离的信息传递方向，网络物理隔离系统可分为双向网络物理隔离系统与单向网络物理隔离系统。

11.2.1 网络物理隔离系统

随着大数据技术应用的深度发展，数据互联成为新的发展趋势，不同安全等级的网络信息系统之间的数据交换日益频繁，具有安全性好、效率高、抗攻击性强、高可靠性等优点的网络安全隔离与信息交换系统成为市场迫切需求。目前，国家重要部门和关键信息系统中越来越多地应用网络安全隔离与信息交换系统，以保障重要信息系统的网络安全。
网络物理隔离系统是指通过物理隔离技术，在不同的网络安全区域之间建立一个能够实现物理隔离、信息交换和可信控制的系统，以满足不同安全域的信息或数据交换。

11.2.2网络物理隔离类型

按照隔离的对象来分，网络物理隔离系统一般可以分为单点隔离系统和区域隔离系统。其中单点隔离系统主要是保护单独的计算机系统，防止外部直接攻击和干扰。区域隔离系统针对的是网络环境，防止外部攻击内部保护网络。
按照网络物理隔离的信息传递方向，网络物理隔离系统可分为双向网络物理隔离系统与单向网络物理隔离系统。

Mark Joseph Edwards对协议隔离进行了归类，他将现有的隔离技术从理论上分为了以下五类。

(1)第一代隔离技术-完全隔离
第一代隔离技术是完全物理隔离，让被隔离网络、系统处于信息孤岛状态。该技术要求建设两套网络、系统，信息交换极为不便和建造成本较高，使用和运维极其不便。

(2)第二代隔离技术-硬件卡隔离。
第二代隔离技术就是在客户机上增加硬件隔离卡及多个硬盘，用户使用不同的硬盘对应硬件隔离卡的不同网口，从而连接到不同网络。这种方式，往往仍然需要布两套物理网络。

(3)第三代隔离技术-数据转播隔离。
第三代隔离技术是用分时复制文件的方法进行物理隔离，这种方法效率低，耗时长，往往需要人工完成，几乎没有实际的应用。

(4)第四代隔离技术-空气开关隔离。
第四代隔离技术使用单刀双掷开关的方式，能实现分开访问外部、内部网络。

5)第五代隔离技术-安全通道隔离。

第五代隔离技术通过专用通信硬件、专有安全协议等实现内外部网络的隔离和数据交换。

11.3网络物理隔离机制与实现技术

本节讲述物理隔离机制的实现技术，主要包括专用计算机上网、多PC、外网代理服务、内外网线路切换器、单硬盘内外分区、双硬盘、网闸、协议隔离、单向传输、信息摆渡、物理断开等技术。

​ 本章的重点，主要记忆这些机制和技术

11.3.1 专用计算机上网

用计算机上网：在内部网络中指定一台计算机，这台计算机只与外网连接，不与内网相连。用户必须到指定的计算机上才能上网，并要求离开自己的工作环境

11.3.2 多PC

多PC：内部网中，在上外网的用户桌面上安放两台PC，分别连接两个分离的物理网络一台用于连接外部网络，另一台用于连接内部网络。

11.3.3 外网代理服务

在内部网指定一台或多台计算机充当服务器，负责专门搜集外部网的指定信息，然后把外网信息手工导入内部网，供内部用户使用，从而实现内部用户“上网”，又切断内网与外网的物理连接，避免内网的计算机受到来自外网的攻击，如图11-2所示。

11.3.4 内外网线路切换器

内外网路线切换器：在内网中，上外网的计算机上连接一个物理线路A/B交换机，通过交换盒的开关控制计算机的网络物理连接，如图

11.3.5 单硬盘内外分区

单硬盘内外分区：把单一 硬盘分隔成不同的区域，在IDE总线物理层上，通过一块IDE总线信号控制卡截取IDE总线信号，控制磁盘通道的访问，在任何一时间内，仅允许操作系统访问指定的分区。

单硬盘内外分区技术的优点是:

• 提供数据分类存放和加工处理;
• 可有效防止外部窃走内部网数据;
• 实现一台 PC 功能多用，节省资源开支。

但是，单硬盘内外分区技术仍然存在安全威胁，这些威胁来源主要有:

• 操作失误，如误将敏感数据存放在对外硬盘分区中;
• 驱动程序软件 bug;
• 计算机病毒潜入;
• 内部人员故意泄露数据:
• 特洛伊木马程序。

11.3.6 双硬盘

双硬盘：pc上安装两个硬盘，通过硬盘控制卡对硬盘进行切换控制，用户在连接外网时，挂接外网硬盘，而当内网办公时，重新启动系统，挂接内部网办公硬盘。（这样很不方便，而且不易统一管理）

11.3.7 网闸

网闸：通过利用一种GAP技术（Air Gap），使两个或两个以上的网络在不连通的情况下，实现安全的数据交换和共享。其技术原理就是使用一个具有控制功能的开关读写存储安全设备，通过开关的设置来连接或切断两个独立主机系统的数据交换

同一时间，两网闸（开关）不同时开

网络物理隔离技术

11.3.8 协议隔离技术

协议隔离技术：协议隔离技术指处于不同安全域的网络在物理上是由连线的，通过协议转换的手段保证受保护信息在逻辑上是隔离的，只有被系统要求传输的、内容受限的信息可以通过。

11.3.9 单向传输部件

单向传播部件：指一对具有物理上单向传输特性的传输部件，该传输部件由一对独立的发送和接收部件构成，发送和接收的部件只能以单工方式工作，发送部件仅具有单一的接收功能，两者构成可信的单向信道，该信道无任何反馈信息。其中，协议转换的定义是协议的剥离和重建。把基于网络的公共协议中的应用数据剥离出来，封装为系统专用协议传递至所属其他安全域的隔离产品另一端，再将专用协议剥离，并封装成需要的格式。

11.3.10 信息摆渡技术

信息摆渡技术：是信息交换的一种方式，物理传输信道只在传输时存在。信息传输时，信息先由信息源所在安全域一端传输至中间缓存区域，同时物理断开中间缓存区域与信息目的所在安全域的连接;随后接通中间缓存区域与信息目的所在安全域的传输信道，将信息传输至信息目的所在安全域，同时在信道上物理断开信息源所在安全域与中间缓存区域的连接。在任何时刻，中间缓存区域只与一端安全域相连。

任何时刻，中间缓存区域只与一段安全域相连

11.3.11 物理断开技术

物理断开技术：指处于不同安全区域的网络之间不能以直接或间接的方式相连接。在一个物理网络环境中，实施不同安全域的网络物理断开，在技术上应确保信息在物理传导、物理存储上的断开。物理断开常由电子开关来实现

11.4网络物理隔离主要产品与技术指标

11.4.1 物理隔离主要产品

1. 终端隔离产品--双硬盘技术

  终端隔离产品用于同时连接两个不同的安全域，采用物理断开技术在终端上实现安全域物理隔离的安全隔离卡或安全隔离计算机。

  终端隔离产品一般以隔离卡的方式接入目标主机。隔离卡通过电子开关以互斥的形式同时连通安全域A所连硬盘、安全域A或安全域B所连硬盘、安全域B，从而实现内外两个安全域的物理隔离。该类产品也可将隔离卡整合入主机，以整机的形式作为产品。终端隔离产品典型运行环境如图所示。

2. 网络隔离产品

  网络隔离产品用于连接两个不同安全域，实现两个安全域之间的应用代理服务、协议转换、信息流访问控制、内容过滤和信息摆渡等功能。产品技术原理采用“2+1”的构架，即以两台主机+专用隔离部件构成，采用协议隔离技术和信息摆渡技术在网络上实现安全域安全隔离与信息交换。

3. 网络单向导入产品

  网络单向导入产品位于两个安全与之间，通过物理方式（可基于电信号传输或光信号传输）构造信息单向传输的唯一通道，实现信息单向导入，并且保证只有安全策略允许传输的信息可以通过，同时反方向无任何信息传输反馈。

11.4.2 物理隔离技术指标

  网络和终端隔离产品的技术指标主要有安全功能指标、安全保障指标、性能指标。

• 安全功能指标主要是关于产品的质量和服务保障要求，如配置管理、交付和运行、开发和指导性文档、测试、脆弱性评定等
• 性能要求则是对网络和终端隔离产品应达到的性能指标做出规定，包括交换速率和硬件切换时间

11.5网络物理隔离应用

11.5.1 工作机安全上网实例

  为实现既能上因特网，又能阻断内部信息泄露到因特网中，在用户计算机中安装一台物理隔离卡，使工作机在上因特网上因特网时，从物理上断开与内部网的连接，因而减少内部网的安全威胁。

11.5.1 工作机安全上网实例

  目前，上网获取信息是工作的需要，但是一些业务部门涉及敏感信息，不能够直接把计算机接到因特网。为了实现既能上因特网，又能阻断内部信息泄露到因特网中，用户在需要上因特网的计算机中安装一块物理隔离卡，通过物理隔离卡，使一台工作机在上因特网时，从物理上断开与内部网的连接，因而减少内部网的安全威胁。
  国内已有不少公司掌握网络物理隔离技术，下面以珠海经济特区伟思有限公司的物理隔离产品为例进行说明，如图 11-10所示。这种方案适合小规模上网用户，在一个局域网络中，只有部分工作站节点机需要单独通过 Modem 等拨号设备接入因特网。这样可以在需要接入因特网的工作站节点计算机上安装物理隔离产品，让其能够在与网络隔离的状态下拨号上网，确保网络的安全。

11.5.2 电子政务中网闸应用实例

在电子政务系统中，涉及不同安全等级的网络信息交换，传统方法通过手工拷贝数据的方式来实现信息交换，但是对于大量的网络间数据交换，手工方式难以适应需求，而且人工工作量大。虽然手工方式确保了网络的安全性，但这种信息交换机制的局限性，造成信息流通不畅限制了应用发展。国家管理政策文件明确指出:“电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离。”为此，相关部门采用网闸技术，以物理隔离为基础，在确保安全性的同时，解决了网络之间信息交换的困难。下面以浪潮集团有限公司为某税务系统提供的信息交换系统方案为例进行说明，如图11-11所示。

​ 该税务网络系统与互联网连接，其中，税务网络系统又分为税务外网和税务内网。税务外网的服务器要与税务内网的服务器进行数据交换必须通过该安全隔离系统，除了此通道没有其他逻辑通道存在，这就保证了税务外网与税务内网物理隔离并仍能进行实时的信息交换。

​ 该方案采用浪潮网泰安全隔离网闸，其技术原理是切断网络之间的通用协议连接，将数据包进行分解或重组为静态数据，然后对静态数据进行安全审查，包括网络协议检查和代码扫描等，确认后的安全数据流入内部单元，内部用户通过严格的身份认证机制获取所需数据如图 11-12 所示。

浪潮网泰安全隔离网闸的设计目标如下:
(1)最大限度规避泄密风险，保证内外网物理断开;

(2)所有信息以纯文本方式交换，并对其内容进行审查;

(3)通过密级标识管理、过滤向外传送的文件。

11.6 本章小结

物理隔离是实现网络信息安全的重要技术方法。本章总结了各种物理隔离的技术方法和原理，包括专用计算机上网、内外网线路切换器、单硬盘内外分区、多PC、外网代理服务、网闸等;同时，还给出了物理隔离卡、网闸的安全应用实例。