1、物理隔離技術的路線
美國早在1999年就強制規(guī)定軍方涉密網(wǎng)絡必須與Internet斷開�。我國政府在2000年也在不斷強調(diào)保密問題,要求秘密信息要與網(wǎng)絡物理隔離�����。作為物理隔離技術的路線���,一是把網(wǎng)絡分為內(nèi)部涉密網(wǎng)和外部網(wǎng)(公共網(wǎng)絡)��,建立封閉的網(wǎng)上辦公環(huán)境�����,這是確保涉密單位內(nèi)部辦公網(wǎng)絡不受來自外網(wǎng)�����,特別是境外網(wǎng)絡非法攻擊的有效舉措����;二是在物理傳導上使涉密網(wǎng)絡和公共網(wǎng)絡徹底地物理隔離開���,沒有任何線路連接�����,確保內(nèi)部涉密網(wǎng)和外部網(wǎng)不能連通����;三是使外部網(wǎng)、互聯(lián)網(wǎng)的信息互聯(lián)互通����,讓使用者在確保安全的前提下�,享受互聯(lián)網(wǎng)等公共網(wǎng)絡的資源。為使使用者的工作�、個人利益、國家利益不被數(shù)據(jù)竊賊���、黑客侵襲��、病毒騷擾����,確保網(wǎng)絡安全�����,需要進行物理隔離。
作為物理隔離����,一般是客戶端選擇設備和網(wǎng)絡選擇器,用戶通過開關設備或鍵盤鍵控制選擇不同的存儲介質(zhì)體�,管理端設立內(nèi)、外網(wǎng)存儲介質(zhì)��,通過防火墻���、路由器與外界相連��。
2�����、物理隔離的產(chǎn)品
物理隔離產(chǎn)品從出現(xiàn)到現(xiàn)在��,基本上可劃分為四代����。
(1)第一代產(chǎn)品
第一代產(chǎn)品采用的是雙網(wǎng)機技術��,其工作原理是:
在一個機箱內(nèi)�,設有兩塊主機板����、兩套內(nèi)存�����、兩塊硬盤和兩個CPU,相當于兩臺計算機共用一個顯示器����。用戶通過客戶端開關,分別選擇兩套計算機系統(tǒng)���。使用單位不可避免地存在重復投資和浪費。
第一代產(chǎn)品的特點是客戶端的成本高�����,并要求網(wǎng)絡布線為雙網(wǎng)線結(jié)構�����,技術水平相對而言比較簡單�。
(2)第二代產(chǎn)品
第二代產(chǎn)品主要采用雙網(wǎng)線的安全隔離卡技術,其表現(xiàn)為:客戶端需要增加一塊PCI卡�����,客戶端硬盤或其他存儲設備首先連接到該卡,然后再轉(zhuǎn)接到主板���,這樣通過該卡用戶就能控制客戶端的硬盤或其他存儲設備��。用戶在選擇硬盤的時候����,同時也選擇了該卡上所對應的網(wǎng)絡接口��,從而連接到不同的網(wǎng)絡���。
第二代產(chǎn)品與第一代產(chǎn)品相比��,技術水平提高了����,成本也降低了��,但是這一代產(chǎn)品仍然要求網(wǎng)絡布線采用雙網(wǎng)線結(jié)構�。如果用戶在客戶端交換兩個網(wǎng)絡的網(wǎng)線連接,內(nèi)外網(wǎng)的存儲介質(zhì)也同時被交換了��,這時信息的安全還存在著隱患。
(3)第三代產(chǎn)品
第三代產(chǎn)品采用基于單網(wǎng)線的安全隔離卡�,加上網(wǎng)絡選擇器的技術?���?蛻舳巳匀徊捎妙愃朴诘诙p網(wǎng)線安全隔離卡的技術,所不同的是�����,第三代產(chǎn)品只利用一個網(wǎng)絡接口��,通過網(wǎng)線將不同的電平信息傳遞到網(wǎng)絡選擇端���,在網(wǎng)絡選擇端安裝網(wǎng)絡選擇器����,并根據(jù)不同的電平信號�,選擇不同的網(wǎng)絡連接��,這類產(chǎn)品能夠有效利用用戶現(xiàn)有的單網(wǎng)線網(wǎng)絡環(huán)境�,實現(xiàn)成本較低,由于選擇網(wǎng)絡的選擇器不在客戶端�,系統(tǒng)的安全性有了很大的提高�。
(4)第四代產(chǎn)品
第四代產(chǎn)品可分為網(wǎng)閘和雙網(wǎng)隔離�����。
1)網(wǎng)閘���。網(wǎng)閘由軟件和硬件組成��。網(wǎng)閘的硬件設備由三部分組成:外部處理單元��、內(nèi)部處理單元����、隔離硬件��。網(wǎng)閘帶有多種控制功能專用硬件����,即可以在電路上切斷網(wǎng)絡之間的鏈路層連接,并能夠在網(wǎng)絡間進行安全適度的應用數(shù)據(jù)交換的網(wǎng)絡安全設備�。
2)雙網(wǎng)隔離。雙網(wǎng)隔離采用“整機隔離”技術�����,突破了傳統(tǒng)隔離只能實現(xiàn)硬盤、網(wǎng)絡隔離的局限�,創(chuàng)造性地實現(xiàn)了內(nèi)存隔離。它通過內(nèi)外網(wǎng)絡絕對的物理隔離方式��,在兩個網(wǎng)絡間實施在線���、自由地切換�,保證計算機中的數(shù)據(jù)在網(wǎng)絡之間不被重用����。這就解決了傳統(tǒng)隔離技術在雙網(wǎng)切換時,由于內(nèi)存數(shù)據(jù)不能有效刷新所可能導致的數(shù)據(jù)泄露等安全隱患�����,相當于用一臺PC實現(xiàn)了兩臺PC物理隔離的效果����。
目前在網(wǎng)絡綜合布線行業(yè)中,第一代�����、第二代產(chǎn)品已被淘汰��,以第三代和第四代產(chǎn)品為主����。
3、第一代�、第二代和第三代產(chǎn)品的不足之處
第一代、第二代和第三代產(chǎn)品物理隔離技術的不足之處主要表現(xiàn)在以下4個方面:
1)物理隔離技術僅僅是一種被動的隔離開關���,手段單一��,沒有與其他安全技術進行配合�����。
2)物理隔離不能做到安全狀態(tài)檢測��,容易被非法人員利用而混入內(nèi)部網(wǎng)絡����。
