实施物理隔离的内网有哪些风险

实施物理隔离的内网有以下风险：

• 网络非法外联：一旦处于隔离状态的网络用户私自连接互联网或第三方网络，则物理隔离安全措施失去保护作用。

• U盘摆渡攻击：网络攻击者利用U盘作为内外网络的摆渡工具，攻击程序将敏感数据拷贝到盘中，然后由内部人员通过盘泄露。其次，采用这种方式进行数据传输也为不法分子进行主动窃密提供了有效途径。

• 网络物理隔离产品安全隐患：网络隔离产品的安全漏洞，导致DoS/DDoS攻击，使得网络物理隔离设备不可用。或者，网络攻击者通过构造恶意数据文档，绕过物理噪离措施，从而导致内部网络受到攻击。

• 针对物理隔离的攻击新方法：针对网络物理隔离的窃密技术已经出现，其原理是利用各种手段，将被隔离计算机中的数据转换为声波、热量、电磁波等模拟信号后发射出去，在接收端通过模数转换复原数据，从而达到窃取信息的目的。

• 计算机病毒及恶意代码的威胁：局域网内的网络用户，由于网络安全意识单薄，不及时安装防毒软件和操作系统补丁或者不及时更新病毒库。一些黑客会利用这些漏洞编写计算机病毒，使局域网内的计算机受到攻击，或者对数据信息进行篡改，或者造成数据的丢失。对于我们公司，由于图纸较多，一旦受到攻击有可能导致图纸的丢失，从而造成不可估量的损失。

• IP地址冲突：局域网用户，在同一个网段经常有IP地址冲突的现象。这样每次启动计算机就会频繁出现地址冲突的提示，以至于计算机无法正常工作；如果网络上某项应用的安全策略（诸如访问权限，存取控制等）是基于IP地址进行的，这种非法的IP用户会对应用系统的安全造成严重威胁。

可以采用以下方案来加强物理隔离内网的安全：

• 网络分段方案：网络分段是保证安全的一项重要措施，同时也是一项基本手段，其指导思想在于将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。网络分段可分为物理分段和逻辑分段两种方式。在实际应用过程中，通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。物理分段通过硬件路由，交换机等组建网络，逻辑分段通过划分VLAN划分广播域隔绝网络。

• 网络层安全防护设计方案：通过FW、IPS模块实现网络层访问控制、恶意代码防护、入侵防御。 在各个内网安全域边界处，部署防火墙实现域边界的网络层访问控制。在内网边界处部署流量监控设备，实现全景网络流量监控与审计，并对数据包进行解析，通过会话时间、协议类型等判断业务性能和交互响应时间。

• 主机层安全防护与设计方案：在各个区域的核心交换处部署安全沙箱，实现主机入侵行为和未知威胁分析与预警。通过自适应安全监测系统，对主机操作系统类型、版本、进程、账号权限、反弹shell、漏洞威胁等进行全面的监控与预警。

• 应用层安全防护与设计方案：在通过外部服务域部署WAF设备实现应用层基于入侵特征识别的安全防护。通过自适应安全监测系统，对应用支撑系统的类型、版本、框架路径、访问权限、漏洞威胁等进行全面的监控与预警。

• 数据层安全防护与设计方案：在数据资源域边界处部署数据库防护墙实现敏感信息的访问控制。在数据资源域边界处部署数据库审计设备实现数据库的操作审计。在互联网接入域部署VPN设备，实现对敏感数据传输通道的加密。

• 安全数据分析方案：部署态势感知系统，根据告警信息定位失陷主机，检测各类植入攻击，识别漏洞入侵的恶意代码。部署全景流量分析系统，建立正常网络流量模型，设定检测规则及阈值检测异常流量并报警处理。

• 安全管控措施方案：基于漏洞检测的主动防御，云安全防护虚拟资源池提供系统层漏扫、web层漏扫、数据库漏扫等检测工具，基于已知或未知风险进行安全策略调整、漏洞修复、补丁更新等主动防御行为内网统一身份认证与权限管理。建立统一身份库，设立各级权限账户唯一身份标识，通过堡垒机实现访问。外部访问通过验证加入外部用户身份库，实现资源访问。