当前位置:首页 > 商业/管理/HR > 质量控制/管理 > 确保网络安全的物理隔离技术
确保网络安全的物理隔离技术1确保网络安全的物理隔离技术03级软件工程黄志艳[摘要]文章介绍了网络工程所要采取的安全措施,并重点介绍了物理隔离技术,阐述了几种物理隔离技术对各种环境下网络和单机进行信息安全保护的措施及方法,以及它们各自的特点。[关键词]物理隔离逻辑机制涉密网隔离卡1引言近年来,我国信息产业的发展突飞猛进,极大地提高了我国的综合竞争实力。互联网的方便快捷令人受益匪浅,也使我们的工作效率得到了很大提高,但与此同时,信息网络的普及给我们带来了新的威胁,诸如数据窃贼、黑客侵袭、病毒骚扰甚至系统内部泄密等等,使我们的工作、生活、个人利益、国家利益遭受损失。所以,互联网的安全性能对我们在进行网络互联时如何确保企业、国家的秘密不受侵犯提出了挑战,安全保护成了亟待解决的首要问题。2现有的网络安全解决方案面对网络安全的各种威胁,现在常见的安全防护方法主要有:法规和行政命令、软件解决方案的物理隔离方案三大类。2.1法规和行政命令法规和行政命令对安全工作是绝对必要的,严格的工作纪律是安全防护的重要保证。但是老虎也有打盹的时候,当然不能排除工作中的稍微疏忽所导致的破坏行政规则,泄露机密信息的情况,况且还可能有故意泄露或破坏者。所以,在这个经济高度发展的社会仅有人为的安全法规和命令是远远不够的。2.2软件解决方案现在正在广泛应用的是许多复杂的软件和部分硬件技术,如防火墙、加密技术、鉴别技术、数字签名技术、审计监控技术、病毒防治技术等手段,用预先设置的规则来检测和拒绝可能有害的操作和信息,降低来自Internet的危险。但是由于这些技术都是基于软件的保护,属于一种逻辑机制,所以对于逻辑实体(黑客或内部用户)而言是可能被操纵或破解的。再者由于这些技术的极端复杂性与有限性,这些在线分析技术无法满足某些组织(如政府、金融、电信、研究机构和高科技企业)提出的高度数据安全要求。从这些方面来看,软件技术可以保障网络的正常运作和常规安全,但并不能满足高度机密部门的内部涉密网万无一失的安全要求。2.3物理隔离方案根据国家保密局2000年1月1日起颁布实施的《计算机信息系统国际联网保密管理规定》之规定:“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行物理隔离”,于是物理隔离安全技术应运而生。它是采用硬件物理隔离方案,将内部涉密网与外部网彻底地物理隔离开,没有任何线路连接。这样可以保证网上黑客无法连接内部涉密网,具有极高的安全性,但也可能会造成工作不便、数据交流困难、设备场地增加和维护费用提高等负面影响。尽管如此,瑕不掩玉,物理隔离是目前保障信息安全的最有效的措施。3物理隔离的要求与分类3.1物理隔离在安全上的要求主要概括为两点其一是在物理传导上使涉密网络和公共网络隔断,确保公共网络不能通过网络连接而侵确保网络安全的物理隔离技术2入涉密网络,同时防止涉密网络信息通过网络连接泄露到公共网络。其二是在物理储存上隔断涉密网络和公共网络,对于断电后会遗失信息的部件,如内存、处理器等暂存部件,要在网络转换时作清除处理,防止残留信息泄露;对于断电后信息非遗失性设备如磁带机、硬盘等存储设备,涉密网络与公共网络信息要分开存储。3.2物理隔离的分类当前的网络物理隔离主要在如下几个方面作防护:3.2.1客户端的物理隔离现在应用最多的是客户端的物理隔离方案,这种方案用于解决网络的客户端的信息安全问题,假定某机构的网络已经分为了两个网络,一个是内部涉密网,一个是外部公共网,内部涉密网用于工作于安全的涉密环境,不与外部网络有任何的连接;外部公共网则是开放的,可以连接Internet发布信息。在网络的客户端应用物理隔离卡产品可以使一台工作站计算机既可以连接内部网又可连接外部网,可在内外网上分时工作,同时绝对保证内外网之间物理隔离,起到了方便工作、节约资源的目的。3.2.2集线器级的物理隔离集线器级的物理隔离产品需要与客户端的物理隔离产品结合起来应用,可以在客户端的内外双网的布线上使用一条网络线来通过远端切换器连接内外双网,实现一台工作站连接内外两个网络的目的,并在网络部线上避免了客户端计算机要用两条网络线连接网络。3.2.3服务器端的物理隔离服务器端的物理隔离产品是一种崭新的高级隔离产品,现在一些国外的产品已经应用,但在国内还没有较好的产品,它通过复杂的软硬件技术实现了在服务器端的数据过滤和传输任务,其技术关键还是在同一时刻内外网络没有物理上的数据连通,但又快速分时地处理并传递数据。4如何实现物理隔离网络隔离技术目前有如下两种:(1)单主板安全隔离计算机:其核心技术是双硬盘技术,将内外网络转换功能做入BIOS中,并将插槽也分为内网和外网,使用更方便,也更安全,价格界乎于双主机和隔离卡之间。(2)隔离卡技术:其核心技术是双硬盘技术,启动外网时关闭内网硬盘,启动内网时关闭外网硬盘,使两个网络和硬盘物理隔离,它不仅用于两个物理隔离的情况,也可用于个人资料要保密又要上互联网的个人计算机的情况。其优点是价格低,但使用稍麻烦,因为转换内外网要关机和重新开机。4.1单主板安全隔离计算机单主板安全隔离计算机是采用彻底实现内外网物理隔离的个人电脑,这种安全电脑的成本仅仅增加了25%左右,并且由于这种安全电脑是在较低层的BIOS上开发的,处理器、主板、外设的升级不会给电脑带来“不兼容”的影响。它很好的解决了接入网络后局域网络信息安全、系统安全、操作安全和环境安全等问题,彻底实现了网络物理隔离。安全电脑在传统PC主板结构上形成了两个物理隔离的网络终端接入环境,分别对应于国际互联网和内部局域网,保证局域网信息不会被互联网上的黑客和病毒破坏。主板BIOS控制由网卡和硬盘构成的网络接入和信息存储环境各自独立,并只能在相应的网络环境下工作,不可能在一种网络环境下使用另一环境才使用的设备。BIOS还提供所有涉及信息发送和输出设备的控制,包括:(1)对软驱、光驱提供限制功能。在系统引导时不允许驱动器中有移动存储介质。双网计算机提供软驱关闭/禁用功能。(2)对双向端口设备提供限制功能。双向端口包括打印机并行接口、串行接口、USB接口、MIDI接口,这些接口如果使用不当,也是安全漏洞,需要加强使用管制。对于BIOS,则由防写跳线防止病毒破坏、非法刷新或破坏以及改变BIOS的控确保网络安全的物理隔离技术3制特性。4.2网络安全隔离卡网络安全隔离卡的功能是以物理方式将一台PC机虚拟为两部电脑,实现工作站的双重状态,既可在安全状态,又可在公共状态,两种状态是完全隔离的,从而使一部工作站可在完全安全状态下连接内外网。网络安全隔离卡实际是被设置在PC中最低的物理层上,通过卡上一边的IDE总线连接主板,另一边连接IDE硬盘,内、外网的连接均须通过网络安全隔离卡,PC机硬盘被物理分隔成为两个区域,在IDE总线物理层上,在固件中控制磁盘通道,在任何时候数据只能通过一个分区。在安全状态时,主机只能使用硬盘的安全区与内部网连接,而此时外部网(如Internet)连接是断开的,且硬盘的公共区的通道是封闭的;在公共状态时,主机只能使用硬盘的公共区与外部网连接,而此时与内部网是断开的,且硬盘安全区也是被封闭的。当两种状态转换时,可通过鼠标点击操作系统上的切换键,即进入一个热启动过程。切换时,系统通过硬件重启信号重新启动,这样,PC内存的所有数据就被消除,两个状态分别是有独立的操作系统,并独立导入,两种硬盘分区不会同时激活。为了保证安全,两个分区不能直接交换数据,但是用户可以通过一个独特的设计,来安全方便地实现数据交换,即在两个分区以外,网络安全隔离在硬盘上另外设置了一个功能区,该功能区在PC处于不同的状态下转换,即在两种状态下功能区均表现为硬盘的D盘,各个分区可以通过功能区作为一个过渡区来交换数据。当然根据用户需要,也可创建单向的安全通道,即数据只能从公共区向安全区转移,但不能逆向转移,从而保证安全区的数据安全。5结束语在二十一世纪的今天,网络安全是一个部门和一个国家安全保障的基石,也是部门、国家未来建设发展的基础。网络安全的技术研究在国内起步较晚,虽然目前许多国家网络专家开始注意并研究相关的技术,但是总体来说网络安全技术的专门人才还比较缺乏,因此多数网络的建设者和运行者并不拥有相应的技术力量。所以企业尤其是高科技企业的网络安全工作,可以根据本企业的主营方向来决定建设自己的网络安全服务队伍还是购买市场上的服务。总之,制定适当完备的网络安全策略,有高水平的网络安全技术队伍和严格的管理体制是实现网络安全的保证与关键。
本文标题:确保网络安全的物理隔离技术
链接地址:https://www.777doc.com/doc-2180698 .html