确保网络安全的物理隔离技术

确保网络安全的物理隔离技术

03级软件工程黄志艳

[摘要]文章介绍了网络工程所要采取的安全措施，并重点介绍了物理隔离技术，阐述了几种物理隔离技术对各种环境下网络和单机进行信息安全保护的措施及方法，以及它们各自的特点。

[关键词]物理隔离逻辑机制涉密网隔离卡

1引言

近年来，我国信息产业的发展突飞猛进，极大地提高了我国的综合竞争实力。互联网的方便快捷令人受益匪浅，也使我们的工作效率得到了很大提高，但与此同时，信息网络的普及给我们带来了新的威胁，诸如数据窃贼、黑客侵袭、病毒骚扰甚至系统内部泄密等等，使我们的工作、生活、个人利益、国家利益遭受损失。所以，互联网的安全性能对我们在进行网络互联时如何确保企业、国家的秘密不受侵犯提出了挑战，安全保护成了亟待解决的首要问题。

2现有的网络安全解决方案

面对网络安全的各种威胁，现在常见的安全防护方法主要有：法规和行政命令、软件解决方案的物理隔离方案三大类。

2.1法规和行政命令

法规和行政命令对安全工作是绝对必要的，严格的工作纪律是安全防护的重要保证。但是老虎也有打盹的时候，当然不能排除工作中的稍微疏忽所导致的破坏行政规则，泄露机密信息的情况，况且还可能有故意泄露或破坏者。所以，在这个经济高度发展的社会仅有人为的安全法规和命令是远远不够的。

2.2软件解决方案

现在正在广泛应用的是许多复杂的软件和部分硬件技术，如防火墙、加密技术、鉴别技术、数字签名技术、审计监控技术、病毒防治技术等手段，用预先设置的规则来检测和拒绝可能有害的操作和信息，降低来自Internet的危险。但是由于这些技术都是基于软件的保护，属于一种逻辑机制，所以对于逻辑实体（黑客或内部用户）而言是可能被操纵或破解的。再者由于这些技术的极端复杂性与有限性，这些在线分析技术无法满足某些组织（如政府、金融、电信、研究机构和高科技企业）提出的高度数据安全要求。

从这些方面来看，软件技术可以保障网络的正常运作和常规安全，但并不能满足高度机密部门的内部涉密网万无一失的安全要求。

2.3 物理隔离方案

根据国家保密局2000年1月1日起颁布实施的《计算机信息系统国际联网保密管理规定》之规定：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行物理隔离”，于是物理隔离安全技术应运而生。它是采用硬件物理隔离方案，将内部涉密网与外部网彻底地物理隔离开，没有任何线路连接。这样可以保证网上黑客无法连接内部涉密网，具有极高的安全性，但也可能会造成工作不便、数据交流困难、设备场地增加和维护费用提高等负面影响。尽管如此，瑕不掩玉，物理隔离是目前保障信息安全的最有效的措施。

3物理隔离的要求与分类

3.1 物理隔离在安全上的要求主要概括为两点

其一是在物理传导上使涉密网络和公共网络隔断，确保公共网络不能通过网络连接而侵

入涉密网络，同时防止涉密网络信息通过网络连接泄露到公共网络。

其二是在物理储存上隔断涉密网络和公共网络，对于断电后会遗失信息的部件，如内存、处理器等暂存部件，要在网络转换时作清除处理，防止残留信息泄露；对于断电后信息非遗失性设备如磁带机、硬盘等存储设备，涉密网络与公共网络信息要分开存储。

3.2 物理隔离的分类

当前的网络物理隔离主要在如下几个方面作防护：

3.2.1客户端的物理隔离

现在应用最多的是客户端的物理隔离方案，这种方案用于解决网络的客户端的信息安全问题，假定某机构的网络已经分为了两个网络，一个是内部涉密网，一个是外部公共网，内部涉密网用于工作于安全的涉密环境，不与外部网络有任何的连接；外部公共网则是开放的，可以连接Internet发布信息。在网络的客户端应用物理隔离卡产品可以使一台工作站计算机既可以连接内部网又可连接外部网，可在内外网上分时工作，同时绝对保证内外网之间物理隔离，起到了方便工作、节约资源的目的。

3.2.2 集线器级的物理隔离

集线器级的物理隔离产品需要与客户端的物理隔离产品结合起来应用，可以在客户端的内外双网的布线上使用一条网络线来通过远端切换器连接内外双网，实现一台工作站连接内外两个网络的目的，并在网络部线上避免了客户端计算机要用两条网络线连接网络。

3.2.3 服务器端的物理隔离

服务器端的物理隔离产品是一种崭新的高级隔离产品，现在一些国外的产品已经应用，但在国内还没有较好的产品，它通过复杂的软硬件技术实现了在服务器端的数据过滤和传输任务，其技术关键还是在同一时刻内外网络没有物理上的数据连通，但又快速分时地处理并传递数据。

4 如何实现物理隔离

网络隔离技术目前有如下两种：（1）单主板安全隔离计算机：其核心技术是双硬盘技术，将内外网络转换功能做入BIOS中，并将插槽也分为内网和外网，使用更方便，也更安全，价格界乎于双主机和隔离卡之间。（2）隔离卡技术：其核心技术是双硬盘技术，启动外网时关闭内网硬盘，启动内网时关闭外网硬盘，使两个网络和硬盘物理隔离，它不仅用于两个物理隔离的情况，也可用于个人资料要保密又要上互联网的个人计算机的情况。其优点是价格低，但使用稍麻烦，因为转换内外网要关机和重新开机。

4.1 单主板安全隔离计算机

单主板安全隔离计算机是采用彻底实现内外网物理隔离的个人电脑，这种安全电脑的成本仅仅增加了25%左右，并且由于这种安全电脑是在较低层的BIOS上开发的，处理器、主板、外设的升级不会给电脑带来“不兼容”的影响。它很好的解决了接入网络后局域网络信息安全、系统安全、操作安全和环境安全等问题，彻底实现了网络物理隔离。

安全电脑在传统PC主板结构上形成了两个物理隔离的网络终端接入环境，分别对应于国际互联网和内部局域网，保证局域网信息不会被互联网上的黑客和病毒破坏。主板BIOS 控制由网卡和硬盘构成的网络接入和信息存储环境各自独立，并只能在相应的网络环境下工作，不可能在一种网络环境下使用另一环境才使用的设备。BIOS还提供所有涉及信息发送和输出设备的控制，包括：

（1）对软驱、光驱提供限制功能。在系统引导时不允许驱动器中有移动存储介质。双网计算机提供软驱关闭/禁用功能。

（2）对双向端口设备提供限制功能。双向端口包括打印机并行接口、串行接口、USB接口、MIDI接口，这些接口如果使用不当，也是安全漏洞，需要加强使用管制。对于BIOS，则由防写跳线防止病毒破坏、非法刷新或破坏以及改变BIOS的控