1�����、物理隔離技術的路線
美國早在1999年就強制規(guī)定軍方涉密網(wǎng)絡必須與Internet斷開�。我國政府在2000年也在不斷強調保密問題�,要求秘密信息要與網(wǎng)絡物理隔離����。作為物理隔離技術的路線�,一是把網(wǎng)絡分為內部涉密網(wǎng)和外部網(wǎng)(公共網(wǎng)絡),建立封閉的網(wǎng)上辦公環(huán)境�,這是確保涉密單位內部辦公網(wǎng)絡不受來自外網(wǎng),特別是境外網(wǎng)絡非法攻擊的有效舉措��;二是在物理傳導上使涉密網(wǎng)絡和公共網(wǎng)絡徹底地物理隔離開�,沒有任何線路連接�,確保內部涉密網(wǎng)和外部網(wǎng)不能連通�;三是使外部網(wǎng)���、互聯(lián)網(wǎng)的信息互聯(lián)互通,讓使用者在確保安全的前提下�����,享受互聯(lián)網(wǎng)等公共網(wǎng)絡的資源�。為使使用者的工作�、個人利益�����、國家利益不被數(shù)據(jù)竊賊、黑客侵襲����、病毒騷擾����,確保網(wǎng)絡安全,需要進行物理隔離�����。
作為物理隔離�����,一般是客戶端選擇設備和網(wǎng)絡選擇器,用戶通過開關設備或鍵盤鍵控制選擇不同的存儲介質體���,管理端設立內、外網(wǎng)存儲介質�����,通過防火墻�����、路由器與外界相連�����。
2��、物理隔離的產(chǎn)品
物理隔離產(chǎn)品從出現(xiàn)到現(xiàn)在����,基本上可劃分為四代����。
(1)第一代產(chǎn)品
第一代產(chǎn)品采用的是雙網(wǎng)機技術���,其工作原理是:
在一個機箱內,設有兩塊主機板��、兩套內存�、兩塊硬盤和兩個CPU,相當于兩臺計算機共用一個顯示器。用戶通過客戶端開關�����,分別選擇兩套計算機系統(tǒng)���。使用單位不可避免地存在重復投資和浪費�����。
第一代產(chǎn)品的特點是客戶端的成本高�,并要求網(wǎng)絡布線為雙網(wǎng)線結構,技術水平相對而言比較簡單�。
(2)第二代產(chǎn)品
第二代產(chǎn)品主要采用雙網(wǎng)線的安全隔離卡技術,其表現(xiàn)為:客戶端需要增加一塊PCI卡�����,客戶端硬盤或其他存儲設備首先連接到該卡�,然后再轉接到主板,這樣通過該卡用戶就能控制客戶端的硬盤或其他存儲設備�����。用戶在選擇硬盤的時候���,同時也選擇了該卡上所對應的網(wǎng)絡接口����,從而連接到不同的網(wǎng)絡��。
第二代產(chǎn)品與第一代產(chǎn)品相比�,技術水平提高了,成本也降低了�,但是這一代產(chǎn)品仍然要求網(wǎng)絡布線采用雙網(wǎng)線結構。如果用戶在客戶端交換兩個網(wǎng)絡的網(wǎng)線連接��,內外網(wǎng)的存儲介質也同時被交換了�����,這時信息的安全還存在著隱患�����。
(3)第三代產(chǎn)品
第三代產(chǎn)品采用基于單網(wǎng)線的安全隔離卡����,加上網(wǎng)絡選擇器的技術�����。客戶端仍然采用類似于第二代雙網(wǎng)線安全隔離卡的技術��,所不同的是����,第三代產(chǎn)品只利用一個網(wǎng)絡接口,通過網(wǎng)線將不同的電平信息傳遞到網(wǎng)絡選擇端�,在網(wǎng)絡選擇端安裝網(wǎng)絡選擇器�,并根據(jù)不同的電平信號,選擇不同的網(wǎng)絡連接�����,這類產(chǎn)品能夠有效利用用戶現(xiàn)有的單網(wǎng)線網(wǎng)絡環(huán)境����,實現(xiàn)成本較低�,由于選擇網(wǎng)絡的選擇器不在客戶端�����,系統(tǒng)的安全性有了很大的提高。
(4)第四代產(chǎn)品
第四代產(chǎn)品可分為網(wǎng)閘和雙網(wǎng)隔離。
1)網(wǎng)閘���。網(wǎng)閘由軟件和硬件組成。網(wǎng)閘的硬件設備由三部分組成:外部處理單元�、內部處理單元���、隔離硬件�。網(wǎng)閘帶有多種控制功能專用硬件,即可以在電路上切斷網(wǎng)絡之間的鏈路層連接��,并能夠在網(wǎng)絡間進行安全適度的應用數(shù)據(jù)交換的網(wǎng)絡安全設備���。
2)雙網(wǎng)隔離。雙網(wǎng)隔離采用“整機隔離”技術��,突破了傳統(tǒng)隔離只能實現(xiàn)硬盤���、網(wǎng)絡隔離的局限�����,創(chuàng)造性地實現(xiàn)了內存隔離����。它通過內外網(wǎng)絡絕對的物理隔離方式,在兩個網(wǎng)絡間實施在線���、自由地切換�,保證計算機中的數(shù)據(jù)在網(wǎng)絡之間不被重用���。這就解決了傳統(tǒng)隔離技術在雙網(wǎng)切換時,由于內存數(shù)據(jù)不能有效刷新所可能導致的數(shù)據(jù)泄露等安全隱患���,相當于用一臺PC實現(xiàn)了兩臺PC物理隔離的效果�。
目前在網(wǎng)絡綜合布線行業(yè)中���,第一代��、第二代產(chǎn)品已被淘汰����,以第三代和第四代產(chǎn)品為主。
3��、第一代�、第二代和第三代產(chǎn)品的不足之處
第一代�、第二代和第三代產(chǎn)品物理隔離技術的不足之處主要表現(xiàn)在以下4個方面:
1)物理隔離技術僅僅是一種被動的隔離開關,手段單一�,沒有與其他安全技術進行配合����。
2)物理隔離不能做到安全狀態(tài)檢測�����,容易被非法人員利用而混入內部網(wǎng)絡��。
