硬盘隔离技术在计算机安全上的应用.pdfVIP

应 用 安 全 硬盘隔离技术在计算机安全上的应用 王天明 郝帅 闫国海 长春工业大学计算机科学与工程学院 吉林 1300 12 摘要：本文提出了一种新的计算机安全技术——硬盘隔离技术,把一块硬盘分割为两个区，即公共区和安全区。公共区用 于连接国际互联网，安全区用于连接内部网，只有使内部网和公共网实现物理隔离才能真正保证内部信息网络不受来自互联 网的黑客攻击。此外，物理隔离也为内部网划定了明确的安全边界，使得网络的可控性增强，便于内部管理。 关键词：物理隔离；磁头；柱面；扇区 0 引言 由于技术的发展大容量硬盘的出现，从几十G 到上百G ， 随着国家大力推动政府上网工程及实现政府机关办公自动 要用两块硬盘必定有大量的存储空间的浪费，所以应设计出 化的进程，越来越多的党政部门及军队、银行等系统都建立了 一套把一块硬盘分割为两个区，即 “公共区”和 “安全区”。 内部计算机网络。由于这些内部网络涉及大量的机密信息，因 由于大容量硬盘有LBA(logical block addressing)逻辑块寻 此在建立内部网的过程中，安全保密是工程中的重要环节。 址.LBA 寻址模式是直接以扇区为单位进行寻址。不在用 “磁 1 物理隔离 头/ 柱面/ 扇区”三种单位来进行寻址。但为了保持与CH S (heads cylinder sector)式兼容。逻辑块寻址(LBA ，Logical Block 物理隔离技术是本文介绍的一种有效解决内部网在接入 国际互联网安全保密的手段。所谓物理隔离，是指内部网不 Addressing)技术：为每一个扇区都指定了一个连续的线性号 码，每个线性号码经过ATA 寄存器后可由内部电路寻址到对 得直接或间接地连接公共网即国际互联网。众所周知，国际 应的扇区。在主板方面，BIOS 从INT 13h 寄存器调用参数时， 互联网是以国际化、开放和互联为特点的，而安全度和开放 仍然以 “柱面/ 磁头/ 扇区”的方式进行，但数值需要进行正 度永远是一对矛盾。虽然目前可以利用防火墙、代理服务器、 入侵检测等技术手段来抵御来自互联网的非法入侵，但至今 确的转换：先确定硬盘总扇区数，然后除以63 得到新数值， 这些技术手段都还存在许多漏洞，因此不能彻底保证内网信 再用新数值除以1 6 得到柱面数，如果这个柱面数不大于 息的绝对安全，只有使内部网和公共网实现物理隔离，才能 1024 ，这个硬盘的参数可以认为是：总扇区/ 1008(即63 ×16) 真正保证党政机关的内部信息网络不受来自互联网的黑客攻 个柱面、16 个磁头和63 个扇区(磁道) ；如果柱面值大于1024 ， 击。此外，物理隔离也为政府内部网划定了明确的安全边界， 则将新数值除以32 ，看结果是否不大于1024 。依此类推，除 使得网络的可控性增强，便于内部管理。 数分别为16 、32 、64 、128 和255(LBA 方式中磁头数最大为 物理隔离解决思路是：在同一时间、同一空间，单个用 255) 。采用这种方法后，可以按照 “柱面/ 磁头/ 扇区”的方 户是不可能同时使用两个系统的。所以，总有一个系统处于 式传递参数给INT 13h ，然后BIOS 再将此参数变为LBA 值写 “空闲”状态。只要使两个系统在空间上物理隔离，在不同的 入ATA 寄存器完成寻址过程。(LBA ，方式下，表示扇区的数 时间运行，就可以得到两个完全物理隔离的系统，即一个区 0 也是有效的，因为它组成LBA 地址值的一部分而不是表示 连接外部网，一个区连接内部网。 存在的0 扇区。)在访问硬盘时，由IDE 控制器把由柱面、磁头、 为此，我