所謂“物理隔離”是指內部網不得直接或間接地連接公***網。物理安全的目的是保護路由器、工作站、各種網絡服務器等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊;只有使內部網和公***網“物理隔離”,才能真正保證黨政機關的內部信息網絡不受來自互聯網的黑客攻擊。此外,"物理隔離"也為政府內部網劃定了明確的安全邊界,使得網絡的可控性增強,便於內部管理。
1.2為什麽要物理隔離
隨著計算機網絡及國際互聯網的應用飛速發展,使我們進入了網絡科技時代。用壹臺網絡計算機可知天下事,政府部門、企業均已采用先進的互聯網技術建立自己的內部辦公網絡或企業管理網。但由於網際網(INTRENET)的開放性,使得網絡安全受到嚴重的威脅,網絡系統會遭到壹些人的破壞或感染病毒,泄密情況嚴重。據不完全統計,全球計算機網絡由於遭受到非法攻擊而造成的直接經濟損失高達百億美元以上。因此各國政府或各企業對網絡的安全極度重視,甚至規定內部辦公網絡計算機不準與網際網(INTERNET)互聯。但這樣眾多公司內部的局域網用戶就無法查詢公眾網上豐富的信息資源和使用便捷的電子郵件服務,使資源造成了很大的浪費。 與此同時,壹大批開發網絡防火墻、防病毒系統,對網絡進行入侵檢測和漏洞掃描等軟件的企業應運而生。但經過實驗證明,防火墻及名種軟件在根本上無法解決網絡安全的問題,因此依舊會造成泄密和嚴重的經濟損失。根據國家保密局於2000年1月1日起頒布實施的《計算機信息系統國際聯網保密管理規定》,其中的第二章第六條規定“涉及國家秘密的計算機信息系統,不得直接或間接地與國際互聯網或其它公***信息網相連接,必須實行物理隔離”。正因為如此,我們的涉密網不能把機密數據的安全完全寄托在用概率來作判斷的防護上,必須有壹道絕對安全的大門,來保證涉密網的信息不被泄漏和破壞,這就是在涉密網上實現物理隔離所起到的作用
1.3 現有的物理隔離技術
正因為軟件技術不完全可靠。對重要用戶采取物理隔離的安全措施,在世界各國已普遍采用。中國政府也采取必要措施,要求涉及國家安全的重要機構的計算機網絡系統必須采用物理隔離的措施,保證信息的絕對安全。應該看到,隨著全世界網上經濟活動的日益普及,物理隔離對保證企業和個人的重要計算機數據的安全也是非常必要的。
但普通的物理隔離方法雖然安全,但也造成了工作不便、數據交流困難、設備場地增加等,我們還必須購買多套的硬件設備和為每臺計算機購買應用軟件,同時軟硬件維護工作量和費用也相應加大。以下是現有、常見的幾種物理隔離技術:
指定通信室在指定通信室使用與內部網絡隔離的單機與外部網絡連接,用戶需到通信室實現對互連網絡的訪問。
缺點: 1、每次上外網到指定通信室、使用極不方便;
2、占用專用的辦公空間;
3、需要額外的上網設備;
4、離開工作環境,進入通信室極大地影響了用戶的工作流程,降低了用戶的工作效率。
兩個獨立網絡建立兩個獨立網絡,每個用戶兩個PC機,分別連接內部網絡和外部網絡
缺點: 1、使用不方便,
2、投資成本巨大、浪費資源,
3、網絡設置復雜、維護難度大,
4、占用更多的辦公空間;
5、長期使用、工作稍稍疏忽,可能會導致敏感數據的的泄露。
物理切換開關A/B交換盒,使用物理切換開關A/B交換盒,在壹個機箱內裝有兩套獨立的硬件
缺點: 1、重新購置該計算機,增加投資;
2、單位現有的計算機造成浪費;
3、壹套機箱內二套設備, 技術上不合理;
4、特別設備、價格高
5、長期使用、工作稍稍疏忽,可能會導致敏感數據的的泄露。
物理隔離卡在每臺電腦中通過PCI安裝物理隔離卡,把壹臺普通計算機分成兩臺虛擬計算機,實現真正的物理隔離
缺點: 在電腦內須額外加卡
使用兩臺計算機連接內外兩個網絡
使用安裝了物理隔離卡的計算機連接內外兩個網絡
2 雙硬盤網絡安全隔離卡
2.1 雙硬盤隔離卡概術
雙硬盤物理隔離卡產品是第二代物理隔離產品,是壹種功能相對簡單但較為經濟的物理隔離產品。它以其安全度高、成本低、操作簡單等優勢迅速發展起來。
2.1.1 雙硬盤隔離卡原理
在市面上的雙硬盤物理隔離卡品種繁多,但都是基於這樣壹個基本原理:在連接內部網絡的同時,啟動內網硬盤及其操作系統,與此同時關閉外網硬盤;在連接外部網絡的同時,啟動外網硬盤及其操作系統,與此同時關閉內網硬盤。
而隔離卡在這中間就相當於壹個開關的作用,控制硬盤和網絡的連接,當要進入到內部網絡的時候,隔離卡就接通內部網絡的硬盤和網線,這時外部網絡的硬盤和網線完全斷開,使其能夠使用內部網絡的資源的同時免受外部的影響(如病毒、黑客攻擊等);當要進入到外部網絡的時候,隔離卡就接通外部網絡的硬盤和網線,這時內部網絡的硬盤和網線完全斷的,使其能夠使用外部網絡(如Internet)的大量資源的同時,保證內部網絡免受影響。利用這個原理把壹臺電腦變成兩臺分離的虛擬工作站,如下圖所示:
2.1.2雙硬盤隔離卡分類
我們可以根據物理隔離卡和計算機通訊方式、網絡的布線方式、對硬盤的控制方式來進行分類。
根據物理隔離卡與計算機通訊方式的不同,我們可以將其分為以下三種類型:
1. 手動切換方式: 即硬切換。它的最大特點是無需安裝軟件。內外網通過手動開關上的指示燈或者其按鍵高低來顯示。這樣的隔離卡在市場上已趨於淘汰。
2. 串口通訊方式:它是通過軟件控制,實現計算機網絡狀態的切換。隔離卡與計算機的通訊方式是通過串口來實現的。它的最大特點,智能化高,能自動監測出當前的網絡狀態。並且界面友好,使用方便,還具有軟盤、光盤提示等功能。3. PCI接口方式:也是通過軟件控制實現內外網絡狀態的檢測和切換。同串口通訊方式相比,它最大的特點是,節省了有限的串口資源。
如果以不同的布線來做個比較的話,我們又可以將雙硬盤隔離卡分為,雙網,單網,和支持MODEM功能。
雙網主要適用於政府、軍隊、企業等已經擁有內外網兩套環境和設備的用戶。單網最大的特點是能夠節省大量投資和辦工場地,用壹根網線實現內外網登陸。但需要配合相應的網絡安全切換器使用。市場上,大多公司都具有以上兩種類型的隔離卡。支持MODEM功能,主要是為了那些即為了安全,又需要上互聯網的小型用戶配置的。
根據物理隔離卡對硬盤控制方式的不同,可分電源控制、和數據線控制、電源和數據線控制兼而有之。
控制電源方式:通過切斷硬盤電源來實現內外網硬盤的轉換,在市場上較為普遍。但它的穩定性和兼容性相對較差。控制數據線方式:通過控制硬盤數據線來實現內外網硬盤轉換的隔離卡,無兼容性問題,但成本較高。為了解決切斷電源帶來的不兼容性問題,於是出現對部分硬盤數據線實行切斷控制的雙硬盤隔離卡。這種卡是軟切換方式,既解決了兼容性問題,也降低了成本。
我國雙硬盤物理隔離技術的發展已經逐步趨於成熟,日趨完善的物理隔離產品已成為網絡安全保密體系中不可缺少的重要環節。
2.2 雙硬盤網絡安全隔離卡系列功能簡介
雙硬盤網絡安全隔離卡系列具有前面所描述的全部系列隔離卡,為不同的用戶提供所需。在各個雙硬盤隔離卡生產廠家中,公司在多個不同的產業中投資,穩定性強,可持續發展;其產品系列化,後續研發能力強,保證產品更新;服務嚴密周到,服務隊伍強,全國統壹調度,可按長期計劃提供服務;提供從低檔到高檔的全系列,並可在將來進壹步升級。
雙硬盤網絡安全隔離卡系列產品比較
型號
功能 V1.00-A V1.00-B V1.00-C V1.00-C+ 1.00-
C++ V1.00-D
純硬件設計,真正實現物理隔離 √ √ √ √ √ √
防止病毒和網絡黑客通過Internet對內部網絡的攻擊 √ √ √ √ √ √
界面友好,使用方便 √ √ √ √ √ √
內、外網通過軟件切換 √ √ √ √ √ √
DOS/WINDOWS9.X/ME/NT/2000/XP √ √ √ √ √ √
節省大量投資和辦公場地 √ √ √ √ √ √
不占用計算機內部資源 √ √ √ √ √ √
安裝簡單、快捷,免維護 √ √ √ √ √ √
外網或內網環境下實現屏蔽光軟驅 √ √ √ √ √
具有軟盤、光盤提示功能 √ √ √ √ √ √
內網屏蔽Modem功能 √ √ √ √ √
單雙網線布線方式可選 √ √ √ √
通過串行口控制網絡隔離狀態 √ √ √ √ √
通過PCI接口控制網絡隔離狀態 √
切斷硬盤電源 √ √ √ √ √
切斷IDE數據線 部分 全部 部分
解決部分硬件的兼容性問題 √ √ √
開機時出現切換選擇菜單 √ √ √ √ √
切換時可選擇無需關機,只需熱啟動 √ √ √ √ √
備註
2.2 特點
符合國家保密局《計算機信息系統國際聯網保密管理規定》第六條關於“計算機內網和外網必須實行物理隔離”的要求。 純硬件設計,真正實現物理隔離。有效地防止網絡病毒和網絡黑客通過外網對內網進行攻擊,使內網運行在壹個非常安全的環境中。 安全計算機中采用雙硬盤(A硬盤和B硬盤),A硬盤中存儲壹套操作系統用於與內網相連,B硬盤中存儲另壹套操作系統用於與外網相連。隔離卡插入計算機PCI插槽內,隔離卡上的網絡線,分別連接內、外兩個網絡。由隔離卡控制內外網的硬盤和相應網絡的接通與斷開