物理隔离卡

物理隔离卡
小酷的一个朋友这几天正在为某监狱管理局设计一个办公网络，因此就有关
设备选型咨询在下。

其中安全部分提到“物理隔离”的问题，要求办公内网要与外网隔离，但需要时又可以访问外部公网。

当时小酷就很不在意，随口而出：那就办公内网不连上对外网络了。

但朋友
说客户就是如上死规定，不能更改，并有提出“物理隔离卡”的设备需求。

既然客户是政府部门的网络提出来的要求，想必有很大的文章在里面，正好又看到论坛上有人发出了这样的求教，因此就来了兴致写了本文。

希望能对设计政府网的朋友，以及政府网的管理者们有所帮助。

社会信息化正在如火如荼的进行，政府信息化也不例外。

但由于政府各部门
担负着管理国家事务的重任，政府的信息资源涉及国家机密信息。

因此政府上网，首先要解决的是安全问题，如果安全得不到解决，宁可不上网。

政府上网工程的必要性和政府网络安全必要性问题引起国家有关部门的高度重视，出台了许多相关法律法规。

如国家保密局的《计算机信息系统国际联网保密管理规定》第六条，就规定
：涉及国家秘密的计算机信息系统不得直接或间接地与国际互联网或其他公共信息网联接，必须实行物理隔离。

所以说在政府网络建设中，物理隔离不仅仅是现实安全的考虑，而且还提升
到国家法规的遵守的高度，必然引起有关部门领导的高度重视。

物理隔离技术：
在需要保护的内网与公共的外网之间的安全解决方案中存在着两种概念的隔离，这就是物理隔离和逻辑隔离。

物理隔离是要保证绝对安全，内网和外网在物
理实体上完全分开，不能有任何连接；逻辑隔离的是保证网络正常使用的情况下
，尽可能的安全，通过软件的功能进行内网与外网的隔离。

常见的防火墙属于逻辑隔离的范畴，它的功能是不同网络间既要保证需要的数据交换和相互访问，又要防御恶意或非法访问。

它的工作是使数据有选择地通过，而不是彻底地把数据隔离。

物理隔离技术与防火墙是两个不同的概念，当要把需要保密的核心数据，进行严格的保护时，就需要实行物理隔离；而对一般的数据，则交由防火墙去保护。

物理隔离技术产品可分为终端隔离产品、信道隔离产品、网络/网络隔离产品。

（1）终端隔离是指在一台计算机上采用两个系统，两个硬盘，按需要启动不
同的系统，并连接不同的网络。

终端隔离产品目前主要采用各种类型的物理隔离卡，其基本原理是通过在计算机上安装硬件插卡，使用双硬盘及双操作系统隔离技术来分时访问内外网络，它通过控制内外网络的硬盘电源、IDE数据线、网线实现网络间的选择和切换，有的产品还能在使用外网时屏蔽软驱和光驱等移动存储设备，以防在外网环境下使用这些存储设备而泄密。

内外网硬盘分别安装独立的操作系统，并独立引导，两个硬盘不会同时激活
，切换时需要重启计算机，这样一台PC 可当作两台独立的PC 使用，实现内外网络彻底的物理隔离。

现在市面见到的隔离卡产品在设计上主要分为两大类：不集成网卡功能，所
谓的“传统型物理隔离卡”（最常见）；集成网卡功能，所谓的“增强型物理隔离卡”。

前者是一块插在电脑主机内的插卡，有内、外网选择开关，有接入来自网卡的网卡输入口，有内、外网输出口，以及为硬盘提供电源的电源插座。

通过外接手动开关来控制电脑中两块硬盘的电源、以及内、外网线的切换，
隔断了涉密网与外网的数据信息交换途径。

后者在隔离卡基础上集成了10/100M自适应网卡，这样的设计提高了网络传输的稳定性，为标准PCI总线，支持即插即用功能。

增强型物理隔离卡一般都不用选择开关而代之以软件来选择引导系统。

（2）信道隔离产品是在终端的传输线路上进行内外网的切换，主要应用在单网线
布线的环境中。

这样的产品通称它为网络切换器，外形象交换机。

它的作用是将
对内外网的切换转移到远端隔离设备上进行，对终端而言只用一条网线就可连接
到内外网上。

解决了特定环境下无法重新布线的问题。

网络切换器主要用于信息点为单网
线的布线环境。

它通常安装在机房配线架上，介于用户终端与交换机之间。

它既
可独立使用，也可以与隔离卡配合使用，灵活组建多种隔离解决方案以满足不同
用户的需求。

（3）网络--网络隔离产品是一种新型的网络安全产品，应用于一般网络和关
键子网的入口处，在保持内外网络物理隔离的同时，进行适度的、可控的内外网
络数据交换，提供比防火墙级别更高的安全保护。

这类产品的名称是安全隔离网
闸（GAP）。

它是一种采用嵌入式安全操作系统，通过对系统内核的安全增强，实现了强
制性访问控制。

由带有多种控制功能的专用硬件在电路上切断网络之间的链路层
连接，同时能够在网络间进行安全适度的应用数据交换的网络安全设备。

GAP通过
专用隔离硬件在链路层断开，彻底切断网络连接，采用高速电子隔离固件和专有
协议，确保内外网在任意时刻物理链路完全断开。

采用信息摆渡机制，任何需要在内、外网之间传输的数据都必须转换成特定
的“摆渡文件”，并通过安全检测后，才能复制到对端网络。

GAP通常放置于信任
网络和非信任网络之间，管理员仅可以从信任网络一方对安全隔离网闸进行管理。

方案实现：
针对上述不同的隔离产品也相应有三种实现方案。

但我们得注意：在实际组
网中，是可以综合使用的。

（1）物理隔离卡方案
单独采用物理隔离卡来组网时，它其实是一个双网线、双硬盘双网隔离系统。

每
台终端计算机安装有一张物理隔离卡；两个硬盘，分别装有操作系统；两条分属
内网和外网的网线连接到对应的内网交换机和外网交换机。

（见图1）
当终端计算机按需要选择启动不同的内网环境或外网环境时，计算机将根据
所选引导并启动所需系统，计算机启动完成后，就可以处在所需的内网环境或外网环境，而另外一块硬盘根本不工作，所以两块硬盘不可能互相通信。

值得注意的是：这方案需要双重布线，布线工程显得很复杂，若所有交换机
就集中在机房时，则双绞线股将成倍加大，可能很不利于施工。

（2）信道隔离方案：
（点击看大图）
（图2）
信道隔离方案是在终端计算机是单网线连接的模式下使用的，这个方案可以
用网络切换器与隔离卡配合使用，是“隔离卡+网络切换器+单网线”的结构。

（见图2）
单网线模式通过隔离卡和网络切换器协同工作，隔离卡通过网络切换器传送
不同的电平信号，网络切换器根据不同的电平信号选择网络，隔离卡与网络切换器连接的网线根据需要传输内网或外网，达到了硬盘和网络的同时切换。

网络切换器与物理隔离卡配合（并且网络切换器处于网管中心）使用会更安
全，因为避免了在本地终端人为的更换内、外网线，防止内部人员的主动泄密。

（3）安全隔离网闸方案：
（点击看大图）
（图3）
安全隔离网闸方案是个适度开放，可控的内网与外网指定数据交换的解决方
案（见图3），它可将特定数据转换为纯文本文件（可以信任的文件格式），因而能容易进行精确检测和过滤。

网闸作为网络链路层安全隔离设备，具有比防火墙更高的安全性。

可在涉密
网络之间、涉密网络与内部网之间、内部网与互联网之间信任的进行专用数据信
息的安全交换。

适用于政府、军队、金融等单位的网间非实时信息（如：话音和视频除外）交换环境。

在图3所示的网络拓朴图中，政府局域网分为两个区：政府内网（办公区）和政府外网（对外公共服务区）。

在一般的内部办公情况下，并不需要与外网的服务区交换数据，但外网的网上办公和公共资源等还是在必要的情况下交换数据，所以网闸就可以放置在两个区的边界做为“信息摆渡”，这是一种很特殊的交换，必须通过网闸这个“中间人”。

隔离产品举例：
感谢您的阅读，祝您生活愉快。