1、物理隔离技术的路线
美国早在1999年就强制规定军方涉密网络必须与Internet断开。我国政府在2000年也在不断强调保密问题,要求秘密信息要与网络物理隔离。作为物理隔离技术的路线,一是把网络分为内部涉密网和外部网(公共网络),建立封闭的网上办公环境,这是确保涉密单位内部办公网络不受来自外网,特别是境外网络非法攻击的有效举措;二是在物理传导上使涉密网络和公共网络彻底地物理隔离开,没有任何线路连接,确保内部涉密网和外部网不能连通;三是使外部网、互联网的信息互联互通,让使用者在确保安全的前提下,享受互联网等公共网络的资源。为使使用者的工作、个人利益、国家利益不被数据窃贼、黑客侵袭、病毒骚扰,确保网络安全,需要进行物理隔离。
作为物理隔离,一般是客户端选择设备和网络选择器,用户通过开关设备或键盘键控制选择不同的存储介质体,管理端设立内、外网存储介质,通过防火墙、路由器与外界相连。
2、物理隔离的产品
物理隔离产品从出现到现在,基本上可划分为四代。
(1)第一代产品
第一代产品采用的是双网机技术,其工作原理是:
在一个机箱内,设有两块主机板、两套内存、两块硬盘和两个CPU,相当于两台计算机共用一个显示器。用户通过客户端开关,分别选择两套计算机系统。使用单位不可避免地存在重复投资和浪费。
第一代产品的特点是客户端的成本高,并要求网络布线为双网线结构,技术水平相对而言比较简单。
(2)第二代产品
第二代产品主要采用双网线的安全隔离卡技术,其表现为:客户端需要增加一块PCI卡,客户端硬盘或其他存储设备首先连接到该卡,然后再转接到主板,这样通过该卡用户就能控制客户端的硬盘或其他存储设备。用户在选择硬盘的时候,同时也选择了该卡上所对应的网络接口,从而连接到不同的网络。
第二代产品与第一代产品相比,技术水平提高了,成本也降低了,但是这一代产品仍然要求网络布线采用双网线结构。如果用户在客户端交换两个网络的网线连接,内外网的存储介质也同时被交换了,这时信息的安全还存在着隐患。
(3)第三代产品
第三代产品采用基于单网线的安全隔离卡,加上网络选择器的技术。客户端仍然采用类似于第二代双网线安全隔离卡的技术,所不同的是,第三代产品只利用一个网络接口,通过网线将不同的电平信息传递到网络选择端,在网络选择端安装网络选择器,并根据不同的电平信号,选择不同的网络连接,这类产品能够有效利用用户现有的单网线网络环境,实现成本较低,由于选择网络的选择器不在客户端,系统的安全性有了很大的提高。
(4)第四代产品
第四代产品可分为网闸和双网隔离。
1)网闸。网闸由软件和硬件组成。网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。网闸带有多种控制功能专用硬件,即可以在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。
2)双网隔离。双网隔离采用“整机隔离”技术,突破了传统隔离只能实现硬盘、网络隔离的局限,创造性地实现了内存隔离。它通过内外网络绝对的物理隔离方式,在两个网络间实施在线、自由地切换,保证计算机中的数据在网络之间不被重用。这就解决了传统隔离技术在双网切换时,由于内存数据不能有效刷新所可能导致的数据泄露等安全隐患,相当于用一台PC实现了两台PC物理隔离的效果。
目前在网络综合布线行业中,第一代、第二代产品已被淘汰,以第三代和第四代产品为主。
3、第一代、第二代和第三代产品的不足之处
第一代、第二代和第三代产品物理隔离技术的不足之处主要表现在以下4个方面:
1)物理隔离技术仅仅是一种被动的隔离开关,手段单一,没有与其他安全技术进行配合。
2)物理隔离不能做到安全状态检测,容易被非法人员利用而混入内部网络。
3)内部防范措施。由于内外网的存储介质都在本地,不能有效地防止内部人员的信息主动泄密行为,尤其是内部人员作案问题。
4)复核取证难度大。内部网络信息一旦泄露出去,无法进行复核、取证,确认信息泄露的行为人有相当大的困难。
