软考-信息安全工程师学习笔记41——网络物理隔离产品和技术指标

互推小编 2023-08-05

网络物理隔离主要产品

1. 终端隔离产品

终端隔离产品用于同时连接两个不同的安全域，采用物理断开技术在终端上实现安全域物理隔离的安全隔离卡或安全隔离计算机。

终端隔离产品一般以隔离卡的方式接入目标主机。隔离卡通过电子开关以互斥的形式同时连通安全域 A 所连硬盘、安全域Ａ或安全域 B 所连硬盘、安全域 B，从而实现内外两个安全域的物理隔离。该类产品也可将隔离卡整合入主机，以整机的形式作为产品。终端隔离产品典型运行环境如图所示。

2. 网络隔离产品

网络隔离产品用于连接两个不同的安全域，实现两个安全域之间的应用代理服务、协议转换、信息流访问控制、内容过滤和信息摆渡等功能。产品技术原理采用“2+1”的架构，即以两台主机+专用隔离部件构成，采用协议隔离技术和信息摆渡技术在网络上实现安全域安全隔离与信息交换。其中，专用隔离部件一般采用包含电子开关并固化信息摆渡控制逻辑的专用隔离芯片构成的隔离交换板卡，或者是经过安全强化的运行专用信息传输逻辑控制程序的主机。网络隔离产品典型运行环境如图所示。

3. 网络单向导入产品

网络单向导入产品位于两个不同的安全域之间，通过物理方式(可基于电信号传输或光信号传输)构造信息单向传输的唯一通道，实现信息单向导入，并且保证只有安全策略允许传输的信息可以通过，同时反方向无任何信息传输或反馈。图为网络单向导入产品的一个典型运行环境。网络单向导入产品一般以双机方式组成，即数据发送处理单元和数据接收处理单元，双机之间采用单向传输部件相连。网络单向导入产品部署在两个安全域之间，其中，数据发送处理单元网络接口连接信息发送方安全域 A，数据接收处理单元网络接口连接信息接收方安全域 B，信息流由发送数据的安全域 A 单向流入接收数据的安全域 B。单向传输部件利用单向传输的物理特性建立两个安全域之间唯一的单向传输通道，数据在这个通道中只能沿数据发送处理单元向数据接收处理单元方向的可信路径单向传输，无任何反馈信号