物理隔离:让数据河水不犯井水
2008-09-10 13:22:28 来源:WEB开发网网络作为未来世界的主要信息载体已成为不可逆转的潮流。但有些单位(包括政府、部队、银行等部门)为确保网络安全,全面禁止上网。但事实上,政府、证券、部队、银行不仅要上网,而且要走在前列。况且全面禁止上网也存在安全隐患。
目前我们正在广泛的使用各种复杂的软件保护。是一种逻辑机制。这对于逻辑的实体(黑客或内部用户)而言是可能被操纵的。
我国《计算机信息系统国际互联网管理规定》第六条:涉及国家秘密的计算机系统不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离。
实行物理隔离,采用网络隔离卡是一种简单易行的方法。作用是将一台工作站或PC机的单个硬盘物理分割为两个分区,即公共区(Public)和安全区(Secure)。使一台PC能够连接两个网络,我们通过公共区联接外部网,如Internet,主机只能使用硬盘的公共区与外部网连接,而此时与内部网是断开的,且硬盘安全区也是被封闭的。而安全区则联接内部网,主机只能使用硬盘的安全区与内部网连接,而此时与外部网(如Internet)连接是断开的,且硬盘的公共区的通道是封闭的。两个分区分别安装各自的操作系统,是两个完全独立的环境。操作者一次只能进入其中一个系统,从而实现内外网的完全隔离。
当两种状态转换时,是通过鼠标点击操作系统上的切换键,即进入一个热启动过程。切换时,系统通过硬件重启信号重新启动,这样,PC内存的所有数据就被消除,两个状态分别是有独立的操作系统,并独立导入,两种硬盘分区不会同时激活。 为了保证安全,两个分区不能直接交换数据,但是用户可以通过一个独特的设计,来安全方便地实现数据交换,即在两个分区以外,网络安全隔离在硬盘上另外设置了一个功能区,该功能区在PC处于不同的状态下转换,即在两种状态下功能区均表现为硬盘的D盘,各个分区可以通过功能区作为一个过渡区来交换数据。当然根据用户需要,也可创建单向的安全通道。目前网络安全市场上有一种伟思(Victory-idea)网络安全物理隔离卡,正完全符合这一点。此技术适用于几乎所有既要求十分严格的数据安全,同时又期望接入互联网的各类机构,诸如政府机关、军事机构、金融、电信、科研院校及大型企业等等。
当用户需要联接两个不同的网络,比如LAN和Internet,这将导致了重复的网络设施,或者用户在已有的网络结构上如需再联结一个网,也会需要安装整体的结构改造,这都会导致很大的额外成本、繁重的工作和大量的时间。采用网络安全集线器将是一种完善实用的解决方式,它不需重复布线,并可使用已有的单条以太网/快速以太网,将已装有网络安全隔离卡的用户安全地从桌面联接到两个不同的网络上去。当工作站处于公共状态时,将只能联结外部网,而处于安全状态时,则只能联结内部网。
赞助商链接