售前電話
135-3656-7657
售前電話 : 135-3656-7657
國家高新技術企業 省級專精特新企業
咨詢熱線:135-3656-7657 400-6333-661
國家高新技術企業 省級專精特新企業
咨詢熱線:135-3656-7657 400-6333-661
1、物理隔離技術的路線
美國早在1999年就強制規定軍方涉密網絡必須與Internet斷開。我國政府在2000年也在不斷強調保密問題,要求秘密信息要與網絡物理隔離。作為物理隔離技術的路線,一是把網絡分為內部涉密網和外部網(公共網絡),建立封閉的網上辦公環境,這是確保涉密單位內部辦公網絡不受來自外網,特別是境外網絡非法攻擊的有效舉措;二是在物理傳導上使涉密網絡和公共網絡徹底地物理隔離開,沒有任何線路連接,確保內部涉密網和外部網不能連通;三是使外部網、互聯網的信息互聯互通,讓使用者在確保安全的前提下,享受互聯網等公共網絡的資源。為使使用者的工作、個人利益、國家利益不被數據竊賊、黑客侵襲、病毒騷擾,確保網絡安全,需要進行物理隔離。
作為物理隔離,一般是客戶端選擇設備和網絡選擇器,用戶通過開關設備或鍵盤鍵控制選擇不同的存儲介質體,管理端設立內、外網存儲介質,通過防火墻、路由器與外界相連。
2、物理隔離的產品
物理隔離產品從出現到現在,基本上可劃分為四代。
(1)第一代產品
第一代產品采用的是雙網機技術,其工作原理是:
在一個機箱內,設有兩塊主機板、兩套內存、兩塊硬盤和兩個CPU,相當于兩臺計算機共用一個顯示器。用戶通過客戶端開關,分別選擇兩套計算機系統。使用單位不可避免地存在重復投資和浪費。
第一代產品的特點是客戶端的成本高,并要求網絡布線為雙網線結構,技術水平相對而言比較簡單。
(2)第二代產品
第二代產品主要采用雙網線的安全隔離卡技術,其表現為:客戶端需要增加一塊PCI卡,客戶端硬盤或其他存儲設備首先連接到該卡,然后再轉接到主板,這樣通過該卡用戶就能控制客戶端的硬盤或其他存儲設備。用戶在選擇硬盤的時候,同時也選擇了該卡上所對應的網絡接口,從而連接到不同的網絡。
第二代產品與第一代產品相比,技術水平提高了,成本也降低了,但是這一代產品仍然要求網絡布線采用雙網線結構。如果用戶在客戶端交換兩個網絡的網線連接,內外網的存儲介質也同時被交換了,這時信息的安全還存在著隱患。
(3)第三代產品
第三代產品采用基于單網線的安全隔離卡,加上網絡選擇器的技術。客戶端仍然采用類似于第二代雙網線安全隔離卡的技術,所不同的是,第三代產品只利用一個網絡接口,通過網線將不同的電平信息傳遞到網絡選擇端,在網絡選擇端安裝網絡選擇器,并根據不同的電平信號,選擇不同的網絡連接,這類產品能夠有效利用用戶現有的單網線網絡環境,實現成本較低,由于選擇網絡的選擇器不在客戶端,系統的安全性有了很大的提高。
(4)第四代產品
第四代產品可分為網閘和雙網隔離。
1)網閘。網閘由軟件和硬件組成。網閘的硬件設備由三部分組成:外部處理單元、內部處理單元、隔離硬件。網閘帶有多種控制功能專用硬件,即可以在電路上切斷網絡之間的鏈路層連接,并能夠在網絡間進行安全適度的應用數據交換的網絡安全設備。
2)雙網隔離。雙網隔離采用“整機隔離”技術,突破了傳統隔離只能實現硬盤、網絡隔離的局限,創造性地實現了內存隔離。它通過內外網絡絕對的物理隔離方式,在兩個網絡間實施在線、自由地切換,保證計算機中的數據在網絡之間不被重用。這就解決了傳統隔離技術在雙網切換時,由于內存數據不能有效刷新所可能導致的數據泄露等安全隱患,相當于用一臺PC實現了兩臺PC物理隔離的效果。
目前在網絡綜合布線行業中,第一代、第二代產品已被淘汰,以第三代和第四代產品為主。
3、第一代、第二代和第三代產品的不足之處
第一代、第二代和第三代產品物理隔離技術的不足之處主要表現在以下4個方面:
1)物理隔離技術僅僅是一種被動的隔離開關,手段單一,沒有與其他安全技術進行配合。
2)物理隔離不能做到安全狀態檢測,容易被非法人員利用而混入內部網絡。
