物理隔離

計算機網路安全防護

物理隔離,是指採用物理方法將內網與外網隔離從而避免入侵或信息泄露的風險的技術手段。物理隔離主要用來解決網路安全問題的,物理隔離包含隔離網閘技術、物理隔離卡等。

介紹


技術介紹

物理隔離產品是用來解決網路安全問題的。物理隔離技術一般包括:
1.靜態包過濾(Static Packet Filter)
2.動態包過濾(Dynamic or Stateful Packet Filter)
3.電路網關(Circuit Level Gateway)
4.應用網關(Application Level Gateway)
5.狀態檢測包過濾(Stateful Inspection Packet Filter)
6.切換代理(Cutoff Proxy)
7.物理隔離(Air Gap)
物理隔離包含隔離網閘技術、物理隔離卡等。
1、SU-GAP隔離網閘,它創建一個這樣的環境,內、外網物理斷開,但邏輯地相連。就是在這兩個網路之間創建了一個物理隔斷,這意味著網路數據包不能從一個網路流向另外一個網路,並且可信網路上的計算機和不可信網路上的計算機從不會有實際的連接。
物理隔離網閘是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備。由於物理隔離網閘所連接的兩個獨立主機系統之間,不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議,不存在依據協議的信息包轉發,只有數據文件的無協議“擺渡”,且對固態存儲介質只有“讀”和“寫”兩個命令。所以,物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接,使“黑客”無法入侵、無法攻擊、無法破壞,實現了真正的安全。
2、在每台電腦中通過主板插槽安裝物理隔離卡,把一台普通計算機分成兩台虛擬計算機,實現真正的物理隔離。也就是說,只有使內部網和公共網物理隔離,才能真正保證內部信息網路不受來自網際網路的黑客攻擊。此外,物理隔離也為內部網劃定了明確的安全邊界,使得網路的可控性增強,便於內部管理。

功能


物理隔離的功能表現為以下幾個方面:
1.阻斷網路的直接連接,即沒有兩個網路同時連在隔離設備上。
2.阻斷網路的網際網路邏輯連接,即TCP/IP的協議必需被剝離,將原始數據通過P2P的非TCP/IP連接協議透過隔離設備傳遞。
3.隔離設備的傳輸機制具有不可編程的特性,因此不具有感染的特性。
4.任何數據都是通過兩級移動代理的方式來完成,兩級移動代理之間是物理隔離的。
5.隔離設備具有審查的功能。
6.隔離設備傳輸的原始數據,不具有攻擊或對網路安全有害的特性。就像txt文本不會有病毒一樣,也不會執行命令等。
7.強大的管理和控制功能。

隔離方法


1、USB自動運行和固件攻擊
2、U盤用作射頻發射器
將普通正常U盤用作射頻(RF)發射器,在物理隔離的主機和攻擊者的接收器間傳遞數據,進而載入漏洞利用程序和其他工具,以及從目標主機滲漏數據。
3、CPU電磁信號
利用CPU泄露的電磁信號建立隱秘通道突破物理隔離。
4、突破法拉第籠的電磁通道
安全人員對電磁通道威脅的響應可能是將高度敏感的物理隔離系統置入法拉第籠中。但法拉第籠的電磁屏蔽並非總是有效。研究表明,法拉第籠也擋不住目標主機和移動設備接收電磁傳輸信號。
5、LED狀態指示燈
利用LED狀態指示燈從未聯網系統中傳輸信息到IP攝像頭的方法。
6、紅外遙控
7、無線電廣播和移動設備
利用手機中的FM接收器捕獲到了物理隔離主機上用戶每次擊鍵時顯卡散發出的FM無線電信號。
8、超聲波通信
利用超聲波在多台物理隔離主機間創建通信通道。即便主機未接入標準麥克風或者禁用了麥克風,攻擊者都能將揚聲器和耳機變身為麥克風使用。這些音頻設備可用於通信,有效建立雙工傳輸模式。

學術爭議


最早在2000年的時候物理隔離領域出現的單硬碟隔離卡和雙硬碟隔離卡,就引發出了一個誰是物理隔離的爭議,由於單硬碟隔離卡,在安裝時只需要加一塊隔離卡,然後對原有的硬碟採用軟體技術上的處理。所以成本相對來講比較低一些。而雙硬碟隔離卡在安裝時除了需要加一塊隔離卡,還需要新加一塊硬碟。但是對於原來的硬碟不需要任何的處理,只需要在新裝的硬碟上安裝操作系統即可。在2000年北京國家保密會議上圖文明確提出了雙硬碟隔離是物理隔離,單硬碟隔離不是物理隔離是邏輯隔離卡的觀點。此觀點引起學術界的強烈反彈。隨著時間的推移,單硬碟隔離卡逐漸退出了市場,也證明了雙硬碟是物理隔離的觀點。