网络安全 频道

物理隔离:网络安全必杀技

背景:
    小酷的一个朋友这几天正在为某监狱管理局设计一个办公网络,因此就有关设备选型咨询在下。其中安全部分提到“物理隔离”的问题,要求办公内网要与外网隔离,但需要时又可以访问外部公网。

    当时小酷就很不在意,随口而出:那就办公内网不连上对外网络了。但朋友说客户就是如上死规定,不能更改,并有提出“物理隔离卡”的设备需求。既然客户是政府部门的网络提出来的要求,想必有很大的文章在里面,正好又看到论坛上有人发出了这样的求教,因此就来了兴致写了本文。希望能对设计政府网的朋友,以及政府网的管理者们有所帮助。

    社会信息化正在如火如荼的进行,政府信息化也不例外。但由于政府各部门担负着管理国家事务的重任,政府的信息资源涉及国家机密信息。因此政府上网,首先要解决的是安全问题,如果安全得不到解决,宁可不上网。政府上网工程的必要性和政府网络安全必要性问题引起国家有关部门的高度重视,出台了许多相关法律法规。

    如国家保密局的《计算机信息系统国际联网保密管理规定》第六条,就规定:涉及国家秘密的计算机信息系统不得直接或间接地与国际互联网或其他公共信息网联接,必须实行物理隔离。

    所以说在政府网络建设中,物理隔离不仅仅是现实安全的考虑,而且还提升到国家法规的遵守的高度,必然引起有关部门领导的高度重视。

物理隔离技术:

    在需要保护的内网与公共的外网之间的安全解决方案中存在着两种概念的隔离,这就是物理隔离和逻辑隔离。物理隔离是要保证绝对安全,内网和外网在物理实体上完全分开,不能有任何连接;逻辑隔离的是保证网络正常使用的情况下,尽可能的安全,通过软件的功能进行内网与外网的隔离。

    常见的防火墙属于逻辑隔离的范畴,它的功能是不同网络间既要保证需要的数据交换和相互访问,又要防御恶意或非法访问。它的工作是使数据有选择地通过,而不是彻底地把数据隔离。物理隔离技术与防火墙是两个不同的概念,当要把需要保密的核心数据,进行严格的保护时,就需要实行物理隔离;而对一般的数据,则交由防火墙去保护。

    物理隔离技术产品可分为终端隔离产品、信道隔离产品、网络/网络隔离产品。

    (1)终端隔离是指在一台计算机上采用两个系统,两个硬盘,按需要启动不同的系统,并连接不同的网络。终端隔离产品目前主要采用各种类型的物理隔离卡,其基本原理是通过在计算机上安装硬件插卡,使用双硬盘及双操作系统隔离技术来分时访问内外网络,它通过控制内外网络的硬盘电源、IDE数据线、网线实现网络间的选择和切换,有的产品还能在使用外网时屏蔽软驱和光驱等移动存储设备,以防在外网环境下使用这些存储设备而泄密。

    内外网硬盘分别安装独立的操作系统,并独立引导,两个硬盘不会同时激活,切换时需要重启计算机,这样一台PC 可当作两台独立的PC 使用,实现内外网络彻底的物理隔离。
0
相关文章