1���、物理隔離技術(shù)的路線
美國(guó)早在1999年就強(qiáng)制規(guī)定軍方涉密網(wǎng)絡(luò)必須與Internet斷開���。我國(guó)政府在2000年也在不斷強(qiáng)調(diào)保密問(wèn)題���,要求秘密信息要與網(wǎng)絡(luò)物理隔離。作為物理隔離技術(shù)的路線���,一是把網(wǎng)絡(luò)分為內(nèi)部涉密網(wǎng)和外部網(wǎng)(公共網(wǎng)絡(luò))���,建立封閉的網(wǎng)上辦公環(huán)境,這是確保涉密單位內(nèi)部辦公網(wǎng)絡(luò)不受來(lái)自外網(wǎng)���,特別是境外網(wǎng)絡(luò)非法攻擊的有效舉措���;二是在物理傳導(dǎo)上使涉密網(wǎng)絡(luò)和公共網(wǎng)絡(luò)徹底地物理隔離開,沒有任何線路連接���,確保內(nèi)部涉密網(wǎng)和外部網(wǎng)不能連通���;三是使外部網(wǎng)、互聯(lián)網(wǎng)的信息互聯(lián)互通���,讓使用者在確保安全的前提下���,享受互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)的資源���。為使使用者的工作、個(gè)人利益���、國(guó)家利益不被數(shù)據(jù)竊賊���、黑客侵襲、病毒騷擾���,確保網(wǎng)絡(luò)安全���,需要進(jìn)行物理隔離���。
作為物理隔離���,一般是客戶端選擇設(shè)備和網(wǎng)絡(luò)選擇器,用戶通過(guò)開關(guān)設(shè)備或鍵盤鍵控制選擇不同的存儲(chǔ)介質(zhì)體���,管理端設(shè)立內(nèi)���、外網(wǎng)存儲(chǔ)介質(zhì)���,通過(guò)防火墻、路由器與外界相連���。
2���、物理隔離的產(chǎn)品
物理隔離產(chǎn)品從出現(xiàn)到現(xiàn)在,基本上可劃分為四代���。
(1)第一代產(chǎn)品
第一代產(chǎn)品采用的是雙網(wǎng)機(jī)技術(shù)���,其工作原理是:
在一個(gè)機(jī)箱內(nèi),設(shè)有兩塊主機(jī)板���、兩套內(nèi)存���、兩塊硬盤和兩個(gè)CPU,相當(dāng)于兩臺(tái)計(jì)算機(jī)共用一個(gè)顯示器。用戶通過(guò)客戶端開關(guān)���,分別選擇兩套計(jì)算機(jī)系統(tǒng)���。使用單位不可避免地存在重復(fù)投資和浪費(fèi)���。
第一代產(chǎn)品的特點(diǎn)是客戶端的成本高,并要求網(wǎng)絡(luò)布線為雙網(wǎng)線結(jié)構(gòu)���,技術(shù)水平相對(duì)而言比較簡(jiǎn)單���。
(2)第二代產(chǎn)品
第二代產(chǎn)品主要采用雙網(wǎng)線的安全隔離卡技術(shù),其表現(xiàn)為:客戶端需要增加一塊PCI卡���,客戶端硬盤或其他存儲(chǔ)設(shè)備首先連接到該卡���,然后再轉(zhuǎn)接到主板,這樣通過(guò)該卡用戶就能控制客戶端的硬盤或其他存儲(chǔ)設(shè)備���。用戶在選擇硬盤的時(shí)候���,同時(shí)也選擇了該卡上所對(duì)應(yīng)的網(wǎng)絡(luò)接口���,從而連接到不同的網(wǎng)絡(luò)���。
第二代產(chǎn)品與第一代產(chǎn)品相比���,技術(shù)水平提高了,成本也降低了���,但是這一代產(chǎn)品仍然要求網(wǎng)絡(luò)布線采用雙網(wǎng)線結(jié)構(gòu)���。如果用戶在客戶端交換兩個(gè)網(wǎng)絡(luò)的網(wǎng)線連接,內(nèi)外網(wǎng)的存儲(chǔ)介質(zhì)也同時(shí)被交換了���,這時(shí)信息的安全還存在著隱患���。
(3)第三代產(chǎn)品
第三代產(chǎn)品采用基于單網(wǎng)線的安全隔離卡,加上網(wǎng)絡(luò)選擇器的技術(shù)���?��?蛻舳巳匀徊捎妙愃朴诘诙p網(wǎng)線安全隔離卡的技術(shù),所不同的是���,第三代產(chǎn)品只利用一個(gè)網(wǎng)絡(luò)接口���,通過(guò)網(wǎng)線將不同的電平信息傳遞到網(wǎng)絡(luò)選擇端���,在網(wǎng)絡(luò)選擇端安裝網(wǎng)絡(luò)選擇器,并根據(jù)不同的電平信號(hào)���,選擇不同的網(wǎng)絡(luò)連接���,這類產(chǎn)品能夠有效利用用戶現(xiàn)有的單網(wǎng)線網(wǎng)絡(luò)環(huán)境,實(shí)現(xiàn)成本較低���,由于選擇網(wǎng)絡(luò)的選擇器不在客戶端���,系統(tǒng)的安全性有了很大的提高。
(4)第四代產(chǎn)品
第四代產(chǎn)品可分為網(wǎng)閘和雙網(wǎng)隔離���。
1)網(wǎng)閘���。網(wǎng)閘由軟件和硬件組成。網(wǎng)閘的硬件設(shè)備由三部分組成:外部處理單元���、內(nèi)部處理單元���、隔離硬件。網(wǎng)閘帶有多種控制功能專用硬件���,即可以在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接���,并能夠在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。
2)雙網(wǎng)隔離���。雙網(wǎng)隔離采用“整機(jī)隔離”技術(shù)���,突破了傳統(tǒng)隔離只能實(shí)現(xiàn)硬盤、網(wǎng)絡(luò)隔離的局限���,創(chuàng)造性地實(shí)現(xiàn)了內(nèi)存隔離���。它通過(guò)內(nèi)外網(wǎng)絡(luò)絕對(duì)的物理隔離方式,在兩個(gè)網(wǎng)絡(luò)間實(shí)施在線���、自由地切換���,保證計(jì)算機(jī)中的數(shù)據(jù)在網(wǎng)絡(luò)之間不被重用���。這就解決了傳統(tǒng)隔離技術(shù)在雙網(wǎng)切換時(shí),由于內(nèi)存數(shù)據(jù)不能有效刷新所可能導(dǎo)致的數(shù)據(jù)泄露等安全隱患���,相當(dāng)于用一臺(tái)PC實(shí)現(xiàn)了兩臺(tái)PC物理隔離的效果���。
目前在網(wǎng)絡(luò)綜合布線行業(yè)中,第一代���、第二代產(chǎn)品已被淘汰���,以第三代和第四代產(chǎn)品為主。
3���、第一代���、第二代和第三代產(chǎn)品的不足之處
第一代、第二代和第三代產(chǎn)品物理隔離技術(shù)的不足之處主要表現(xiàn)在以下4個(gè)方面:
1)物理隔離技術(shù)僅僅是一種被動(dòng)的隔離開關(guān)���,手段單一���,沒有與其他安全技術(shù)進(jìn)行配合���。
2)物理隔離不能做到安全狀態(tài)檢測(cè)���,容易被非法人員利用而混入內(nèi)部網(wǎng)絡(luò)���。
