您好,欢迎访问三七文档
本文档为网上收集,若侵犯了您的利益,请联系(QQ:253169161),我将立即核对删除。浅谈双网隔离方案随着互联网技术日新月异的飞速发展,信息产业发展速度不断升级,特别是政府上网工程、网上银行、电子商务以及网上教学等信息化进程的加快和应用的普及,越来越多的党政各级部门和企业用户都建立了内部计算机网络,网络已经成为人们工作、学习、生活的一个重要工具,成为现代社会高速运转的一个基石。但与此同时,另一方面,越来越多的安全漏洞和问题不断地困扰着我们的计算机信息系统和开放的互联网络世界,我们也正受到日益严重的来自网络的安全威胁,诸如网络的数据窃贼、黑客的侵袭、病毒发布者,甚至系统内部的泄密者。上述问题解决不好将危及我国的政治、军事、经济、社会生活的各个方面,使国家处于信息战和高度经济金融风险的威胁之中,同时我们个人的一些私密信息也缺乏相应的保护。尽管我们正在广泛地使各种复杂的软件技术,如防火墙、代理服务器、入侵检测器、通道控制机制提高系统的安全性和抗攻击能力,但是由于这些技术大多都是基于软件的保护,是一种逻辑机制,这对于逻辑实体(即黑客或内部用户)而言是可能被操纵的,即由于这些技术的极端复杂性与有限性,这些在线分析技术无法提供某些组织提出的高度数据安全要求。信息安全是一个巨大而复杂的系统工程,物理隔离措施是其中一个最有效、彻底、安全的解决方案,国家保密局在《计算机信息系统国际联网保密管理规定》中第二章第六条明确指出:“凡是涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离”。什么是物理隔离呢?所谓“物理隔离”是指内部网不得直接或间接地连接公共网即国际互联网。众所周知,国际互联网是国际化、开放和互联为特点的,而安全度和开放度永远是一对矛盾。虽然,目前可以利用防火墙、代理服务器、入侵监测等技术手段来抵御来自互联网的非法入侵,但至今这些技术手段都还存在许多漏洞,还不能彻底保证内网信息的绝对安全,只有使内部网和公共网“物理隔离”,才能真正保证党政机关的内部信息网络不受来自互联网的黑客攻击。此外,物理隔离也为政府内部网划定了明确的安全边界,使得网络的可控性增强,便于内部管理。物理隔离在安全上主要有以下3点要求:(1)在物理传导上使内外网络隔断,确保外部网络不能通过网络连接而侵入内部网络;同时防止内部网络信息通过网络连接泄漏到外部网络。(2)在物理辐射上隔断内部网络与外部网络,确保内部网络信息不会通过电磁辐射或耦合方式泄漏到外部网络。(3)在物理存储上隔断两个网络环境,对于断电后会遗失信息的部件,如内存、处理器等暂存部件,要在网络转换时清除处理,防止残留信息出网;对于断电非遗失性设备如磁带机、硬盘等存储设备,内部网与外部网要分开存储。网络隔离技术的发展是跟随电子政务的需求逐渐成熟完善的,而隔离产品的大量出现,也是经历了五代隔离技术不断的实践和理论相结合后得来的。第一代隔离技术——完全的隔离。第一批电子政务系统都是孤立于互联网的,主要做一些系统报表等工作,这些报表通常由个别人员制作,并且仅由个别领导人员查看,因此对双网的要求不高,于是便出现了完全的物理隔离技术。完全的隔离技术即是完全切断PC与互联网的联系,从而形成完全的物理隔离,但是这种隔离技术使得网络处于信息孤岛状态,若想从互联网获取信息则需要另一台能够连接互联网的电脑,如此两套网络和系统不仅造成信息交流的不便和成本的提高,同时也给维护和使用带来了极大的不便,因此很快被持续发展的电子政务需求所淘汰。第二代隔离技术——硬件卡隔离。随着办公信息化进程发展,完全的物理隔离技术已经无本文档为网上收集,若侵犯了您的利益,请联系(QQ:253169161),我将立即核对删除。法满足工作的需要,于是能够实现内外网互换的隔离卡开始进入行业视线,并被广泛应用于政府等单位。硬件卡隔离技术是在客户端增加一块硬件卡,这样,客户端硬盘或其他存储设备首先连接到该卡,然后再转接到主板上,通过隔离卡能够控制客户端硬盘或其他存储设备。而在选择不同的硬盘时,同时选择了该卡上不同的网络接口,连接到不同的网络。因为隔离卡通过选择不通硬盘连接到不同网络,所以也被称为硬盘隔离技术。但是,硬盘隔离技术虽然能够一定程度的对内外网进行隔离,但是两套系统仍然公用内存,因此存在着较大的安全隐患。且普通PC搭配隔离卡时经常会遇到兼容性风险,不仅系统不够稳定,而且网络切换动辄几分钟的等待时间造成工作的极度不便。第三代隔离技术—整机隔离。随着电子政务的进一步发展,不但安全性突出的重要,而且效率也被提上日程。政府、军队等保密单位的工作不但需要经常在内外网间进行切换,以获取有效信息,同时,工作效率也越来越被领导所重视,于是,对双网隔离技术的要求也被提高到新的高度——既要更加安全,同时也要大幅提高切换速度。整机隔离是突破了网络隔离和硬盘隔离的限制,实现了内存的物理隔离,从而实现了PC内部所有存储部件的完全隔离,因此是完整意义上的物理隔离,安全性得到大幅度提升。第四代隔离技术—空气开关隔离。它是通过使用单刀双掷开关,使得内外部网络分时访问临时缓存器来完成数据交换的,但在安全和性能上存在有许多问题。第五代隔离技术—安全通道隔离。此技术的实现原理是通过专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术,进行不同安全级别网络之间的数据交换,彻底阻断了网络间的直接TCP/IP连接,同时对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制,从而保证了网间数据交换的安全、可控,杜绝了由于操作系统和网络协议自身漏洞带来的安全风险。它不仅解决了以前隔离技术存在的问题,并有效地把内外部网络隔离开来,而且高效地实现了内外网数据的安全交换,透明支持多种网络应用,成为当前隔离技术的发展方向。虽然双网隔离的重要性是显而易见的,其技术在最近几年内也获得了长足的发展,有关主管部门也已经多次重申政府网络必须实施内外双网并物理隔离,但事实上双网隔离工作在我国政府上网工程和重点企业用户中的建设的进度却一直缓慢,这里面有多种原因,主要原因之一是许多用户已经建有单网的网络系统,不愿意再兴师动众重新改造成双网;二是建立双网费用的确较高,许多用户由于经费的原因,不愿意构造内、外网双网;三是在日常的使用过程中需要在内外网之间不断地转换,许多用户觉得非常烦琐,不愿意使用;四是内外网物理隔离后难以共享数据,过去习惯了在工作时也不断地在互联网上浏览和交互信息的用户,在内外网隔离后感觉非常不方便;五是有些用户不在乎网络上的信息数据的安全,认为没有必要做这么严格的防护,因此不关心做好双网隔离的工作。殊不知网络安全是关系到国家安全的大事,任何人都不能等闲视之,那么,现在比较成熟的双网隔离方案都是有哪些呢?网络隔离卡方案网络物理隔离卡是一种应用在电脑终端上的硬件插卡式数据安全设备,主要用于彻底保护用户的数据安全、解决内网电脑在互联网上泄密、窃密、篡改数据、黑客攻击、病毒侵入等一系列信息安全问题。在“物理隔离”措施具体实施当中,为了让用户避免使用两套独立的计算机网络系统,做到“物理隔离”和使用方便相结合,实行物理隔离采用网络隔离卡是本文档为网上收集,若侵犯了您的利益,请联系(QQ:253169161),我将立即核对删除。一种简单易行的方法。在同一时间、同一空间单个用户是不可能同时使用两个系统的,所以,总有一个系统处于“空闲”状态。我们只要使两个系统在空间上物理隔离,在不同的时间运行,用户就可以得到两个完全物理隔离的系统,即通过一个区联接外部网,一个区则联接内部网,由于内外网的隔离是在物理层上,其操作和指令在固件中运行,因此是真正意义上的物理隔离。根据其工作环境和工作介质的不同,大致可以分为单硬盘隔离卡和双硬盘隔离卡以及笔记本隔离卡,在这其中,根据实现双网隔离所需的网线数量又可以分为单网线双网型和双网线双网型。单硬盘网络物理隔离卡是针对只有一块硬盘的计算机设计的,是保护计算机数据安全的一种装置,它把一台普通的计算机分隔成两台虚拟计算机,分别对应内网、外网,使两个网络之间实现物理隔离,即各个网络之间没有物理连接途径,使每个网络的信息不会外泄,从而实现安全环境和不安全环境的绝对隔离,满足用户对数据安全和获取信息的多重要求,保护信息及机密数据免受威胁。单硬盘网络物理隔离卡的作用是将一台工作站或PC机的单个硬盘物理分割为两个分区,即公共区(Public)和安全区(Secure),这些分区容量可以由用户指定,原来要两台PC工作,现在只要一台PC加一块网络隔离卡就能够连接两个网络了。它们分别拥有独立的磁盘空间,并能通过各自的专用接口与网络连接。它安装在主板和硬盘之间,控制了网络连接及通讯线路。使用电子开关控制内外网之间的转换和网络连接,能够保证两个系统的绝对隔离,并且存在一个数据共享区,以方便用户进行内外网文件传输。彻底阻塞黑客进入未授权区域的通路,防止信息泄露和破坏。同时,用户可以根据需要自如方便地进行内部网和外部网之间的转换。我们通过公共区联接外部网,如(Internet),主机只能使用硬盘的公共区与外部网连接,而此时与内部网是断开的,且硬盘安全区也是被封闭的。而安全区则联接内部网,主机只能使用硬盘的安全区与内部网连接,而此时与外部网(如Internet)连接是断开的,且硬盘的公共区的通道是封闭的。两个分区分别安装各自的操作系统,是两个完全独立的环境。操作者一次只能进入其中一个系统,从而实现内外网的完全隔离。单硬盘隔离方案具有最大限度节约软硬件资源、切换方便、安装简单和网络维护工作方便等特点。此外,该产品还充分考虑了各种应用需要,不仅在硬盘上营造了一个安全的数据交换通道,这样内网应用时可轻松的查看到外网共享区域的信息,同时内网也可以保证外网信息不入侵,在确保隔离的前提下实现双网数据的安全交换,而且该方案还提供在内网环境中对软驱、光驱的禁止使用,在技术上减少了内部人员泄密的可能性。单网隔离技术的另一个好处就是性价比高,一块硬盘也可实现内外网分区,有效杜绝Internet黑客侵入,防止内部信息泄露和被破坏。相对于单硬盘物理隔离卡,双硬盘的隔离方案为我们提供了更为彻底的隔离方式。使用双硬盘隔离卡,只需增加一块硬盘,即可使一台计算机变成两台相对独立的计算机。两个硬盘分别连接内外网,在内外网之间实施有效的物理隔离,每个网络环境分别拥有独立的硬盘和操作系统,确保内网信息安全,彻底阻塞黑客进入未授权区域的通路,防止信息泄露和破坏,同时方便连接国际互联网。隔离卡安装在主板和硬盘之间,完全控制硬盘通道,并通过继电器来控制硬盘转换和网络的连接,保证其工作状态的稳定性及可靠性能。双硬盘的隔离方案虽然增加一定的投资,但由于内、外网系统分别使用不同的硬盘,两套系统,分时工作,相互隔离,因此独立性强,安全性高,可以为我们提供了更高级别的物理隔离,同时也在一定程度上为我们的计算机提供了扩展的空间;并且隔离卡安装在主板和硬盘之间,安全控制硬盘通道,通过切IDE信号线控制内网和外网转换,与“切电”方式相比,由于不存在硬盘突然断电和加电的情况,所以不会对硬盘造成损伤,延长了硬盘的使用寿命,稳定性和可靠性也十分出众。无论是传统的单硬盘隔离卡还是双硬盘隔离卡,在使用的过程中都存在一个内外网切换时本文档为网上收集,若侵犯了您的利益,请联系(QQ:253169161),我将立即核对删除。间过长的问题,这个时间有时候甚至可能会达到2分钟左右。现在有些隔离卡生产厂商已经研制出新一代实时切换物理隔离卡,该产品能够解决传统隔离卡每次进行内外网络切换时都需要耗费大量的时间,以及不能保存内外网操作系统工作现场等长期困扰隔离卡使用的关键问题。实时切换隔离卡大大提高了内外网络切换速度,切换时间由原来的两分钟左右缩短至约20秒,而且能够保存用户在内外网操作系统中工作现场程序,(打开的窗口、编辑的文档和启动的软件程序等),待下次切换回来时可直接使用,使用户在内外网络工作时几乎不受网络切换的影响。另外值得一提的是在内外网切换过程中,这种实时切换隔离卡系统还可以自动清除内存中的残留
本文标题:浅谈双网隔离方案
链接地址:https://www.777doc.com/doc-2314079 .html