物理隔离技术作为网络与信息安全技术的重要实现手段,越来越受到业界的重视。物理隔离的概念,简单地说就是让存有用户重要数据的内网和外部的互联网不具有物理上的连接,将用户涉密信息与非涉密的可以公布到互联网上的信息隔离开来,让黑客无机可乘。这样就需要一种技术来帮助用户方便、有效地隔离内、外网络。尤其是“政府上网”保安部门、军事部门、商业运作筹划部门、重要的科研部门更需要物理隔离技术。
我们国家非常重视计算机网络的安全。2002年8月,中共中央办公厅、国务院办公厅下发的《关于我国电子政务建设指导意见》明确要求:“电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离。”国家发布的《计算机信息系统国际联网保密管理规定》中第二章第六条规定:“涉及国家秘密的计算机系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行物理隔离。实行内部网和公共网(互联网)的物理隔离,可确保内部网不会受到外部公共网络的非法攻击。同时,实行物理隔离也为涉密计算机及信息系统划定了明确的安全边界,使得网络的可控性增强.便于内部管理和防范。”2010年10月1日起正式施行新修订的《保密法》规定,对由于疏忽大意而导致的信息泄露将追究刑事责任,强调信息化手段在加强安全建设过程中起到的作用。为确保物理隔离技术和新产品的安全保密,国家保密局对物理隔离提出了明确的保密技术要求:
1)在物理传导上使内外网隔离,确保外部网络不能通过网络连接入侵内部网络,同时防止内部网络的信息通过网络连接泄露到外部网络。
2)计算机屏幕上应有当前处于内网还是外网的明显标识。
3)外网的接口处应有明确的标识。
4)内外网络切换时应重新启动计算机,以清除内存、处理器等暂存部件残余信息,防止秘密信息串到外网上。
5)移动存储介质未从计算机取出时,不能进行内外网络切换。
6)防止内部网络信息通过电磁辐射泄露到外部网络上。
这对网络物理隔离的技术研究和产品的生产起到推动作用,使其应用市场也有迅速发展的趋势。
所谓“物理隔离”,是指内部网不直接或间接地连接公共网。物理隔离的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受人为破坏及搭线窃听攻击,保证内部信息网络不受来自互联网的黑客攻击。
物理隔离的解决思路是:在同一时间、同一空间,单个用户是不可能同时使用两个系统的。所以,总有一个系统处于“空闲”状态。我们只要使两个系统在空间上物理隔离,在不同的时间运行,用户就可以得到两个完全物理隔离的系统。
物理隔离技术仅仅是一种被动的隔离方法,目的是保证内外网络信息的隔离,而信息是保存在存储介质上的,物理隔离就是要保证隔离双方的信息不会出现在同一个存储介质上,也不会都出现在对方的网络中,而两个存储介质在同一时刻只能有一个发挥作用。
物理隔离技术需要做到以下5点:
1)高度安全。物理隔离要从物理链路上切断网络连接,达到高度安全的可行性。
2)较低的成本。建立物理隔离时要考虑其成本,如果物理隔离的成本达到或超过了两套网络的建设费用,那就失去了物理隔离的意义。
3)容易布置。在实施物理隔离时.既要满足内外网络的功能又要易于布置,结构要简单。
4)操作简单。物理隔离技术应用的对象是工作人员与网络专业技术人员,因此要求工作站的网络端要简单易行、方便用户,使用者不会感觉操作困难。
5)灵活性与扩展性。物理隔离是具有多种配置的,我们可根据现有网络系统的特性进行灵活改造,达到物理隔离的功能,同时考虑在网络中可随时添加新设备而不会给网络安全带来任何不利的影响。
在具体的应用范围上,要区分5种状况:
1)政府部门。政府部门要解决网络安全防范问题,除了具有防火墙功能外(从软件检测入侵的手段),还要能够满足保安部门、财务部门、人事部门的不同应用需求,把黑客、情报盗窃、破坏者拒绝于门外。
2)军队部门。军队部门要解决安全控制,能够满足军队内部各部门的网络连接和物理隔离的限制。杜绝国防工程、军事技术与各种先进技术的泄密。
3)金融证券部门。金融证券部门要解决上级部门与下级部门、同级部门之间的网络安全防范,同时要实现业务工作与对外服务工作的有效隔离。
4)企业部门。企业部门要解决内部网与外部网的安全控制,满足不同部门的应用需求与安全控制。新产品技术、财务、人事、销售渠道等与整个网络进行局部隔离。
5)科研部门。科研部门既要考虑Internet的应用,又要考虑本身研究的课题保密性,避免泄密和被盗,应有着严格的隔离限制。
网络物理隔离在今后的网络工程中会得到广泛的应用。
物理隔离的方法
物理隔离的方法可分为以下几种。
1.客户端的物理隔离
客户端的物理隔离用于解决网络客户端的信息安全问题,把网络分为内部涉密网和外部公共网,内部涉密网用于安全的涉密环境,不与外部网络有任何连接;外部公共网则是开放的,可以连接Internet发布信息。网络客户端应用物理隔离卡产品可以使一台计算机既可以连接内部网又可连接外部网。
2.集线器级的物理隔离
集线器级的物理隔离产品需要与客户端的物理隔离产品结合起来应用,以在客户端的内外双网的布线上使用一条网络线通过远端切换器连接内外双网,实现一台工作站连接内外两个网络的目的,并在网络布线上避免客户端计算机要用两条网络线连接网络。
3.网闸物理隔离
物理隔离网闸与外网、内网之间是完全断开的,网闸、外网、内网之间不存在物理连接和逻辑连接。网闸主要是用以解决内、外网之间的数据交换问题,网闸就是要保证网闸的外部主机和内部主机在任何时候都是完全断开的。
4.服务器端的物理隔离
服务器端的物理隔离产品通过复杂的软硬件技术实现了在服务器端的数据过滤和传输任务,其技术关键还是在同一时刻内外网络没有物理上的数据连通,但又可以快速分时地处理并传递数据。
