@爆米花
2年前 提问
1个回答

网络物理隔离机制与实现技术有哪些

GQQQy
2年前

网络物理隔离机制与实现技术主要有:

  • 专用计算机上网:在内部网络中指定一台计算机,这台计算机只与外部网相连,不与内部网相连。用户必须到指定的计算机才能上网,并要求用户离开自己的工作环境。

  • 多PC:内部网络中,在上外网的用户桌面上安放两台PC,分别连接两个分离的物理网络,一台用于连接外部网络,另一台用于连接内部网络。

  • 外网代理服务:在内部网指定一台或多台计算机充当服务器,负责专门搜集外部网的制定信息,然后把外网信息手工导入内部网,供内部用户使用,从而实现内部用户“上网”,又切断内网与外网的物理连接,避免内网的计算机受到来自外网的攻击。

  • 内外网线路切换器:在内部网中,上外网的计算机上连接一个物理线路AB交换盒,通过交换盒的开关设置控制计算机的网络物理连接。

  • 单硬盘内外分区:是把单一硬盘分隔成不同的区域,在IDE总线物理层上,通过一块IDE总线信号控制卡截取IDE总线信号,控制磁盘通道的访问,在任一时间内,仅允许操作系统访问指定的分区。这样,单硬盘内外分区技术将单台物理PC虚拟成逻辑上的两台PC,使得单台计算机在某一时刻只能连接到内部网或外部网。

  • 双硬盘:在一台机器上安装两个硬盘,通过硬盘控制卡对硬盘进行切换控制,用户在连接外网时,挂接外网硬盘,而当用内网办公时,重新启动系统,挂接内部网办公硬盘。在两个硬盘上实际上安装了两个操作系统。缺点是需要不断地重启系统,不易统一管理。

  • 网闸:通过利用一种GAP技术,使两个或者两个以上的网络在不连通的情况下,实现它们之间的安全数据交换和共享。其技术原理是使用一个具有控制功能的开关读写存储安全设备,通过开关的设置来连接或切断两个独立主机系统的数据交换。安全风险:入侵者可以利用恶意数据驱动攻击,将恶意代码隐藏在电子文档中,将其发送到目标网络中,通过具有恶意代码功能的电子文档触发,构成对内部网络的安全威胁。

  • 协议隔离技术:指处于不同安全域的网络在物理上是有连线的,通过协议转换的手段保证受保护信息在逻辑上是隔离的,只有被系统要求传输的、内容受限的信息可以通过。其中,协议转换的定义是协议的剥离和重建。把基于网络的公共协议中的应用数据剥离出来,封装为系统专用协议传递至所属其他安全域的隔离产品另一端,再将专用协议剥离,并封装成需要的格式。

  • 单向传输部件:是指一对具有物理上单向传输特性的传输部件,该传输部件由一对独立的发送和接收部件构成,发送和接收部件只能以单工方式工作,发送部件仅具有单一的发送功能,接收部件仅具有单一的接收功能,两者构成可信的单向通道,该通道无任何反馈信息。

  • 信息摆渡技术:是信息交换的一种方式,物理传输信道只在传输进行时存在。信息传输时,信息先由信息源所在安全域一端传输至中间缓存区域,同时物理断开中间缓存区域与信息目的所在安全域的连接;随后接通中间缓存区域与信息目的所在安全域的传输信道,将信息传输至信息目的所在安全域,同时在信道上物理断开信息源所在安全域与中间缓存区域的连接。在任何时刻,中间缓存区域只与段安全城相连。

  • 物理断开技术:是指处于不同安全域的网络之间不能以直接或间接的方式相连接。在一个物理网络环境中,实施不同安全域的网络物理断开,在技术上应确保信息在物理传导、物理存储上的断开。物理断开通常由电子开关实现。