簡介
物理隔離產品是用來解決網路安全問題的。尤其是在那些需要絕對保證安全的保密網,專網和特種網路與網際網路進行連線時,為了防止來自網際網路的攻擊和保證這些高安全性網路的保密性、安全性、完整性、防抵賴和高可用性,幾乎全部要求採用物理隔離技術。物理隔離技術一般包括:
1.靜態包過濾(Static Packet Filter)
2.動態包過濾(Dynamic or Stateful Packet Filter)
3.電路網關(Circuit Level Gateway)
4.套用網關(Application Level Gateway)
5.狀態檢測包過濾(Stateful Inspection Packet Filter)
6.切換代理(Cutoff Proxy)
7.物理隔離(Air Gap)
1、SU-GAP隔離
網閘,它創建一個這樣的環境,內、外網物理斷開,但邏輯地相連。就是在這兩個網路之間創建了一個物理隔斷,這意味著網路數據包不能從一個網路流向另外一個網路,並且
可信網路上的計算機和不可信網路上的計算機從不會有實際的連線。
物理隔離網閘是使用帶有多種控制功能的固態開關讀寫介質連線兩個獨立主機系統的信息安全設備。由於物理隔離網閘所連線的兩個獨立主機系統之間,不存在通信的物理連線、邏輯連線、信息傳輸命令、信息傳輸協定,不存在依據協定的信息包轉發,只有數據檔案的無協定“擺渡”,且對固態存儲介質只有“讀”和“寫”兩個命令。所以,物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連線,使“黑客”無法入侵、無法攻擊、無法破壞,實現了真正的安全。
2、在每台電腦中通過主機板插槽安裝
物理隔離卡,把一台普通計算機分成兩台
虛擬計算機,實現真正的物理隔離。
也就是說,只有使內部網和公共網物理隔離,才能真正保證內部信息網路不受來自網際網路的
黑客攻擊。此外,物理隔離也為內部網劃定了明確的安全邊界,使得網路的可控性增強,便於內部管理。
功能
物理隔離的功能表現為以下幾個方面:
1.阻斷網路的直接連線,即沒有兩個網路同時連在隔離設備上;
2.阻斷網路的網際網路邏輯連線,即TCP/IP的協定必需被剝離,將原始數據通過P2P的非TCP/IP連線協定透過隔離設備傳遞;
3.隔離設備的傳輸機制具有不可程式的特性,因此不具有感染的特性;
4.任何數據都是通過兩級移動代理的方式來完成,兩級移動代理之間是物理隔離的;
5.隔離設備具有審查的功能;
6.隔離設備傳輸的原始數據,不具有攻擊或對網路安全有害的特性。就像txt文本不會有病毒一樣,也不會執行命令等。
7.強大的管理和控制功能。
物理隔離技術之爭
最早在2000年的時候物理隔離領域出現的單
硬碟隔離卡和
雙硬碟隔離卡,就引發出了一個誰是物理隔離的爭議,由於單硬碟隔離卡,在安裝時只需要加一塊隔離卡,然後對原有的硬碟採用軟體技術上的處理。所以成本相對來講比較低一些。而雙硬碟隔離卡在安裝時除了需要加一塊隔離卡,還需要新加一塊硬碟。但是對於原來的硬碟不需要任何的處理,只需要在新裝的硬碟上安裝作業系統即可。在2000年北京國家保密會議上圖文明確提出了雙硬碟隔離是物理隔離,單硬碟隔離不是物理隔離是邏輯隔離卡的觀點。此觀點引起學術界的強烈反彈。隨著時間的推移,單硬碟隔離卡逐漸退出了市場,也證明了雙硬碟是物理隔離的觀點。
黑客突破物理隔離方法
1、USB自動運行和固件攻擊
2、隨身碟用作射頻發射器
將普通正常隨身碟用作射頻(RF)發射器,在物理隔離的主機和攻擊者的接收器間傳遞數據,進而載入漏洞利用程式和其他工具,以及從目標主機滲漏數據。
3、CPU電磁信號
利用CPU泄露的電磁信號建立隱秘信道突破物理隔離。
4、突破法拉第籠的電磁信道
安全人員對電磁信道威脅的回響可能是將高度敏感的物理隔離系統置入法拉第籠中。但法拉第籠的電磁禁止並非總是有效。研究表明,法拉第籠也擋不住目標主機和移動設備接收電磁傳輸信號。
5、LED狀態指示燈
利用LED狀態指示燈從未聯網系統中傳輸信息到IP攝像頭的方法。
6、紅外遙控
7、無線電廣播和移動設備
利用手機中的FM接收器捕獲到了物理隔離主機上用戶每次擊鍵時顯示卡散發出的FM無線電信號。
8、超音波通信
利用超音波在多台物理隔離主機間創建通信信道。即便主機未接入標準麥克風或者禁用了麥克風,攻擊者都能將揚聲器和耳機變身為麥克風使用。這些音頻設備可用於通信,有效建立雙工傳輸模式。