1����、物理隔離技術(shù)的路線
美國(guó)早在1999年就強(qiáng)制規(guī)定軍方涉密網(wǎng)絡(luò)必須與Internet斷開(kāi)���。我國(guó)政府在2000年也在不斷強(qiáng)調(diào)保密問(wèn)題���,要求秘密信息要與網(wǎng)絡(luò)物理隔離。作為物理隔離技術(shù)的路線�,一是把網(wǎng)絡(luò)分為內(nèi)部涉密網(wǎng)和外部網(wǎng)(公共網(wǎng)絡(luò)),建立封閉的網(wǎng)上辦公環(huán)境����,這是確保涉密單位內(nèi)部辦公網(wǎng)絡(luò)不受來(lái)自外網(wǎng),特別是境外網(wǎng)絡(luò)非法攻擊的有效舉措�����;二是在物理傳導(dǎo)上使涉密網(wǎng)絡(luò)和公共網(wǎng)絡(luò)徹底地物理隔離開(kāi)���,沒(méi)有任何線路連接�,確保內(nèi)部涉密網(wǎng)和外部網(wǎng)不能連通;三是使外部網(wǎng)����、互聯(lián)網(wǎng)的信息互聯(lián)互通,讓使用者在確保安全的前提下�����,享受互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)的資源�。為使使用者的工作、個(gè)人利益�����、國(guó)家利益不被數(shù)據(jù)竊賊����、黑客侵襲、病毒騷擾�,確保網(wǎng)絡(luò)安全,需要進(jìn)行物理隔離��。
作為物理隔離��,一般是客戶(hù)端選擇設(shè)備和網(wǎng)絡(luò)選擇器����,用戶(hù)通過(guò)開(kāi)關(guān)設(shè)備或鍵盤(pán)鍵控制選擇不同的存儲(chǔ)介質(zhì)體,管理端設(shè)立內(nèi)��、外網(wǎng)存儲(chǔ)介質(zhì)�����,通過(guò)防火墻���、路由器與外界相連�。
2���、物理隔離的產(chǎn)品
物理隔離產(chǎn)品從出現(xiàn)到現(xiàn)在��,基本上可劃分為四代�。
(1)第一代產(chǎn)品
第一代產(chǎn)品采用的是雙網(wǎng)機(jī)技術(shù)���,其工作原理是:
在一個(gè)機(jī)箱內(nèi)����,設(shè)有兩塊主機(jī)板���、兩套內(nèi)存�����、兩塊硬盤(pán)和兩個(gè)CPU,相當(dāng)于兩臺(tái)計(jì)算機(jī)共用一個(gè)顯示器����。用戶(hù)通過(guò)客戶(hù)端開(kāi)關(guān),分別選擇兩套計(jì)算機(jī)系統(tǒng)����。使用單位不可避免地存在重復(fù)投資和浪費(fèi)。
第一代產(chǎn)品的特點(diǎn)是客戶(hù)端的成本高����,并要求網(wǎng)絡(luò)布線為雙網(wǎng)線結(jié)構(gòu),技術(shù)水平相對(duì)而言比較簡(jiǎn)單����。
(2)第二代產(chǎn)品
第二代產(chǎn)品主要采用雙網(wǎng)線的安全隔離卡技術(shù),其表現(xiàn)為:客戶(hù)端需要增加一塊PCI卡��,客戶(hù)端硬盤(pán)或其他存儲(chǔ)設(shè)備首先連接到該卡��,然后再轉(zhuǎn)接到主板,這樣通過(guò)該卡用戶(hù)就能控制客戶(hù)端的硬盤(pán)或其他存儲(chǔ)設(shè)備��。用戶(hù)在選擇硬盤(pán)的時(shí)候�����,同時(shí)也選擇了該卡上所對(duì)應(yīng)的網(wǎng)絡(luò)接口���,從而連接到不同的網(wǎng)絡(luò)。
第二代產(chǎn)品與第一代產(chǎn)品相比����,技術(shù)水平提高了,成本也降低了��,但是這一代產(chǎn)品仍然要求網(wǎng)絡(luò)布線采用雙網(wǎng)線結(jié)構(gòu)�����。如果用戶(hù)在客戶(hù)端交換兩個(gè)網(wǎng)絡(luò)的網(wǎng)線連接�,內(nèi)外網(wǎng)的存儲(chǔ)介質(zhì)也同時(shí)被交換了,這時(shí)信息的安全還存在著隱患���。
(3)第三代產(chǎn)品
第三代產(chǎn)品采用基于單網(wǎng)線的安全隔離卡��,加上網(wǎng)絡(luò)選擇器的技術(shù)����。客戶(hù)端仍然采用類(lèi)似于第二代雙網(wǎng)線安全隔離卡的技術(shù)�,所不同的是,第三代產(chǎn)品只利用一個(gè)網(wǎng)絡(luò)接口�,通過(guò)網(wǎng)線將不同的電平信息傳遞到網(wǎng)絡(luò)選擇端,在網(wǎng)絡(luò)選擇端安裝網(wǎng)絡(luò)選擇器�,并根據(jù)不同的電平信號(hào),選擇不同的網(wǎng)絡(luò)連接�,這類(lèi)產(chǎn)品能夠有效利用用戶(hù)現(xiàn)有的單網(wǎng)線網(wǎng)絡(luò)環(huán)境,實(shí)現(xiàn)成本較低���,由于選擇網(wǎng)絡(luò)的選擇器不在客戶(hù)端��,系統(tǒng)的安全性有了很大的提高����。
(4)第四代產(chǎn)品
第四代產(chǎn)品可分為網(wǎng)閘和雙網(wǎng)隔離�。
1)網(wǎng)閘。網(wǎng)閘由軟件和硬件組成�。網(wǎng)閘的硬件設(shè)備由三部分組成:外部處理單元、內(nèi)部處理單元��、隔離硬件。網(wǎng)閘帶有多種控制功能專(zhuān)用硬件�����,即可以在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接�,并能夠在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。
2)雙網(wǎng)隔離���。雙網(wǎng)隔離采用“整機(jī)隔離”技術(shù),突破了傳統(tǒng)隔離只能實(shí)現(xiàn)硬盤(pán)��、網(wǎng)絡(luò)隔離的局限���,創(chuàng)造性地實(shí)現(xiàn)了內(nèi)存隔離����。它通過(guò)內(nèi)外網(wǎng)絡(luò)絕對(duì)的物理隔離方式��,在兩個(gè)網(wǎng)絡(luò)間實(shí)施在線�、自由地切換,保證計(jì)算機(jī)中的數(shù)據(jù)在網(wǎng)絡(luò)之間不被重用��。這就解決了傳統(tǒng)隔離技術(shù)在雙網(wǎng)切換時(shí)�,由于內(nèi)存數(shù)據(jù)不能有效刷新所可能導(dǎo)致的數(shù)據(jù)泄露等安全隱患,相當(dāng)于用一臺(tái)PC實(shí)現(xiàn)了兩臺(tái)PC物理隔離的效果。
目前在網(wǎng)絡(luò)綜合布線行業(yè)中��,第一代���、第二代產(chǎn)品已被淘汰���,以第三代和第四代產(chǎn)品為主。
3���、第一代�、第二代和第三代產(chǎn)品的不足之處
第一代�、第二代和第三代產(chǎn)品物理隔離技術(shù)的不足之處主要表現(xiàn)在以下4個(gè)方面:
1)物理隔離技術(shù)僅僅是一種被動(dòng)的隔離開(kāi)關(guān),手段單一�����,沒(méi)有與其他安全技術(shù)進(jìn)行配合����。
2)物理隔離不能做到安全狀態(tài)檢測(cè),容易被非法人員利用而混入內(nèi)部網(wǎng)絡(luò)��。
