超级会员免费看
数据二极管助力可信网络基础设施安全
1. 数据二极管概述
数据二极管为两个网络间提供了一种强制严格单向通信的物理机制。通常是通过移除双向通信系统一侧的发射组件和另一侧的接收组件来实现,比如在光纤系统中,仅一侧具备发射(TX)能力,另一侧具备接收(RX)能力。数据二极管只能将信息从一个网络(即“低”网络)发送到另一个网络(即“高”网络),且“高”网络的数据分类级别通常高于“低”网络。
1.1 防护能力
- 保密性 :若单向连接是两个网络间唯一的通信链路,数据二极管能为“高”网络到“低”网络提供强大的保密性,信息只能从“低”到“高”流动,不会有数据回流。
- 完整性 :能为“低”网络到“高”网络提供强大的完整性保障,“高”网络中的恶意组件无法破坏“低”网络的数据,也不能对其进行基于网络的攻击,从而提高“低”网络的可用性。
1.2 防护不足
数据二极管并不能保护“高”网络免受网络攻击。许多网络攻击无需会话或双向通信,快速传播的蠕虫或恶意软件可能只需一个数据包就能感染机器,自扩展恶意软件或自复制程序甚至会减少数据包所需的字节数。在工业控制系统中,若过程控制网络(PCN)连接到“高”端,数据二极管无法保护其免受“低”网络的攻击,尽管信息可能不会从PCN外泄,但破坏性程序仍会影响其完整性和可用性。
1.3 局限性
数据二极管不能与标准的TCP/IP协议配合使用,它需要不要求确认的专有单向协议。在数据二极管两侧,网关会将单向协议转换为标准的双向协议,以连接到网络的其他部分。不过,一些高
订阅专栏 解锁全文
扫一扫
1838
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
