實施物理隔離的內網有哪些風險

實施物理隔離的內網有以下風險：

• 網絡非法外聯：一旦處于隔離狀態的網絡用戶私自連接互聯網或第三方網絡，則物理隔離安全措施失去保護作用。

• U盤擺渡攻擊：網絡攻擊者利用U盤作為內外網絡的擺渡工具，攻擊程序將敏感數據拷貝到盤中，然后由內部人員通過盤泄露。其次，采用這種方式進行數據傳輸也為不法分子進行主動竊密提供了有效途徑。

• 網絡物理隔離產品安全隱患：網絡隔離產品的安全漏洞，導致DoS/DDoS攻擊，使得網絡物理隔離設備不可用。或者，網絡攻擊者通過構造惡意數據文檔，繞過物理噪離措施，從而導致內部網絡受到攻擊。

• 針對物理隔離的攻擊新方法：針對網絡物理隔離的竊密技術已經出現，其原理是利用各種手段，將被隔離計算機中的數據轉換為聲波、熱量、電磁波等模擬信號后發射出去，在接收端通過模數轉換復原數據，從而達到竊取信息的目的。

• 計算機病毒及惡意代碼的威脅：局域網內的網絡用戶，由于網絡安全意識單薄，不及時安裝防毒軟件和操作系統補丁或者不及時更新病毒庫。一些黑客會利用這些漏洞編寫計算機病毒，使局域網內的計算機受到攻擊，或者對數據信息進行篡改，或者造成數據的丟失。對于我們公司，由于圖紙較多，一旦受到攻擊有可能導致圖紙的丟失，從而造成不可估量的損失。

• IP地址沖突：局域網用戶，在同一個網段經常有IP地址沖突的現象。這樣每次啟動計算機就會頻繁出現地址沖突的提示，以至于計算機無法正常工作；如果網絡上某項應用的安全策略（諸如訪問權限，存取控制等）是基于IP地址進行的，這種非法的IP用戶會對應用系統的安全造成嚴重威脅。

可以采用以下方案來加強物理隔離內網的安全：

• 網絡分段方案：網絡分段是保證安全的一項重要措施，同時也是一項基本手段，其指導思想在于將非法用戶與網絡資源相互隔離，從而達到限制用戶非法訪問的目的。網絡分段可分為物理分段和邏輯分段兩種方式。在實際應用過程中，通常采取物理分段與邏輯分段相結合的方法來實現對網絡系統的安全性控制。物理分段通過硬件路由，交換機等組建網絡，邏輯分段通過劃分VLAN劃分廣播域隔絕網絡。

• 網絡層安全防護設計方案：通過FW、IPS模塊實現網絡層訪問控制、惡意代碼防護、入侵防御。 在各個內網安全域邊界處，部署防火墻實現域邊界的網絡層訪問控制。在內網邊界處部署流量監控設備，實現全景網絡流量監控與審計，并對數據包進行解析，通過會話時間、協議類型等判斷業務性能和交互響應時間。

• 主機層安全防護與設計方案：在各個區域的核心交換處部署安全沙箱，實現主機入侵行為和未知威脅分析與預警。通過自適應安全監測系統，對主機操作系統類型、版本、進程、賬號權限、反彈shell、漏洞威脅等進行全面的監控與預警。

• 應用層安全防護與設計方案：在通過外部服務域部署WAF設備實現應用層基于入侵特征識別的安全防護。通過自適應安全監測系統，對應用支撐系統的類型、版本、框架路徑、訪問權限、漏洞威脅等進行全面的監控與預警。

• 數據層安全防護與設計方案：在數據資源域邊界處部署數據庫防護墻實現敏感信息的訪問控制。在數據資源域邊界處部署數據庫審計設備實現數據庫的操作審計。在互聯網接入域部署VPN設備，實現對敏感數據傳輸通道的加密。

• 安全數據分析方案：部署態勢感知系統，根據告警信息定位失陷主機，檢測各類植入攻擊，識別漏洞入侵的惡意代碼。部署全景流量分析系統，建立正常網絡流量模型，設定檢測規則及閾值檢測異常流量并報警處理。

• 安全管控措施方案：基于漏洞檢測的主動防御，云安全防護虛擬資源池提供系統層漏掃、web層漏掃、數據庫漏掃等檢測工具，基于已知或未知風險進行安全策略調整、漏洞修復、補丁更新等主動防御行為內網統一身份認證與權限管理。建立統一身份庫，設立各級權限賬戶唯一身份標識，通過堡壘機實現訪問。外部訪問通過驗證加入外部用戶身份庫，實現資源訪問。

回答所涉及的環境：聯想天逸510S、Windows 10。