物理隔离是指采用物理方法将内网与外网隔离从而避免入侵或信息泄露的风险的技术手段。
物理隔离主要用来解决网络安全问题的,尤其是在那些需要绝对保证安全的保密网,专网和特种网络与互联网进行连接时。
为了防止来自互联网的攻击和保证这些高安全性网络的保密性、安全性、完整性、防抵赖和高可用性,几乎全部要求采用物理隔离技术。物理隔离包含隔离网闸技术 、物理隔离卡等。
物理隔离的功能:
1、阻断网络的直接连接,即没有两个网络同时连在隔离设备上。
2、阻断网络的互联网逻辑连接,即TCP/IP的协议必需被剥离,将原始数据通过P2P的非TCP/IP连接协议透过隔离设备传递。
3、隔离设备的传输机制具有不可编程的特性,因此不具有感染的特性。
4、任何数据都是通过两级移动代理的方式来完成,两级移动代理之间是物理隔离的。
5、隔离设备具有审查的功能。
6、隔离设备传输的原始数据,不具有攻击或对网络安全有害的特性。就像txt文本不会有病毒一样,也不会执行命令等。
物理隔离是指内部网不得直接或间接地连接公共网。物理隔离包含是SU-GAP隔离网闸技术 、物理隔离卡。
1.SU-GAP隔离网闸技术
GAP,源于英文的"air gap",gap技术是一种通过专用硬件使两个或者两个以上的网络在不连通的情况下,实现安全数据传输和资源共享的技术。gap中文名字叫做安全隔离网闸,它采用独特的硬件设计,能够显著地提高内部用户网络的安全强度。
2.物理隔离卡
在每台电脑中通过主板插槽安装物理隔离卡,把一台普通计算机分成两台虚拟计算机,实现真正的物理隔离。
物理隔离技术之争
最早在2000年的时候物理隔离领域出现的单硬盘隔离卡和双硬盘隔离卡,就引发出了一个谁是物理隔离的争议,由于单硬盘隔离卡,在安装时只需要加一块隔离卡,然后对原有的硬盘采用软件技术上的处理。所以成本相对来讲比较低一些。而双硬盘隔离卡在安装时除了需要加一块隔离卡,还需要新加一块硬盘。但是对于原来的硬盘不需要任何的处理,只需要在新装的硬盘上安装操作系统即可。
1、定义不同
逻辑隔离主要通过逻辑隔离器实现,逻辑隔离器是一种不同网络间的隔离部件,被隔离的两端仍然存在物理上数据通道连线,但通过技术手段保证被隔离的两端没有数据通道,即逻辑上隔离。
物理隔离,是指采用物理方法将内网与外网隔离从而避免入侵或信息泄露的风险的技术手段。
2、作用不同
物理隔离:为防止涉及国家秘密的计算机及信息系统受到来自互联网等公共信息网络的攻击,确保国家秘密信息的安全,党和国家多次强调要求涉密计算机及信息系统要与互联网等公共信息网实行物理隔离,
国家保密局2000年1月1日起实施的《计算机信息系统国际联网保密管理规定》第二章保密制度第六条明确规定,“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连接,必须实行物理隔离”。
逻辑隔离:逻辑隔离最新实现手段是利用虚拟化技术实现逻辑隔离。利用虚拟化技术,可以让用户在一台计算机上打开一个或多个虚拟桌面,每个虚拟桌面以及该计算机的真实操作系统之间都可以互相隔离,数据不能相互传输。
因此可以将不同的虚拟桌面以及真实系统连接到不同安全级别的网络,比如利用虚拟桌面来访问外部互联网,而本地真实操作系统则连接到内部机密网络进行研发设计工作,这样就实现了内外的隔离;
此时不同安全级别的网络之间,有着物理上的连接,但互相之间不能相互访问,只有指定的协议才能通过,符合逻辑隔离的国家标准定义,因此属于逻辑隔离的范畴。
3、特点不同
物理隔离:物理隔离技术为信息网络提供了更高层次的安全防护能力,不仅使信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生,它至今已发展到了第二代;第一代网闸的技术原理是利用单刀双掷开关,使得内外网的处理单元分时存取共享存储设备来完成数据交换,
实现了在物理隔离下的数据交换;第二代网闸在吸取了第一代网闸优点的基础上,创造性地利用全新理念的专用交换通道 peTprivate exchange tunnel)技术,在不降低安全性的前提下,完成内外网之间高速的数据交换它的安全数据交换过程由专用硬件通信卡、私有通信协议加密签名机制来实现,
仍通过应用层数据提取与安全审査来杜绝基于协议层的攻击,并增强应用层安全.它提供了更多的网络应用支持,能够适应复杂网络对隔离应用的需求
逻辑隔离:虚拟化的逻辑隔离较之传统的逻辑隔离手段,特点在于使用的便利性,在同一台计算机上进行窗口切换即可实现不同安全级别网络的访问,同时也不降低安全性。目前市面上一些上网安全桌面类的产品就属于虚拟化逻辑隔离范畴。
参考资料:百度百科-逻辑隔离
参考资料:百度百科-物理隔离
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)