网络综合布线系统中的物理隔离技术-内网外网隔离方案.doc

网络综合布线系统中的物理隔离技术 一、物理隔离技术的意义与作用 物理隔离技术作为网络与信息安全技术的重要实现手段，越来越受到业界的重视。物理隔离的概念，简单地说就是让存有用户重要数据的内网和外部的互联网不具有物理上的连接，将用户涉密信息与非涉密的可以公布到互联网上的信息隔离开来，让黑客无机可乘。这样就需要一种技术来帮助用户方便、有效地隔离内、外网络。尤其是“政府上网”保安部门、军事部门、商业运作筹划部门、重要的科研部门更需要物理隔离技术。 我们国家非常重视计算机网络的安全，国家保安局发布的《计算机信息系统国际联网保安管理规定》中第二章第六条规定“涉及国家秘密的计算机系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行物理隔离”。对网络物理隔离的技术研究和产品的生产起作推动作用，并有着它的应用市场和迅速发展的趋势。 作为物理隔离技术，仅仅是一种被动的隔离方法，目的是为了保证内外网络信息的隔离，而信息是保存在存储介质上的，物理隔离就是要保证隔离双方的信息不会出现在同一个存储介质上，也不会都出现在对方的网络中，而二个存储介质在同一时刻只能有一个在发挥其作用。 作为物理隔离技术，需要做到以下5点。 高度安全。物理隔离要从物理链路上切断网络连接，达到高度安全的可行性。 较低的成本。建立物理隔离时要考虑其成本，如果物理隔离的成本达到或超过了两套网络的建设费用，那就失去了物理隔离的意义。 容易部置。在实施物理隔离时，既要满足内外网络的功能又要易于部置，结构要简单。 操作简单。物理隔离技术应用的对象是工作人员与网络专业技术人员，因此要求工作站的网络端要简单易行、方便用户，使用者不会感觉到操作的困难性。 灵活性与扩展性 物理隔离是具有多种配置的，我们可根据现有网络系统的特性，进行灵活改造，达到物理隔离的功能，同时考虑在网络中可随时添加新设备、不会给网络安全带来任何不利的影响。 在具体的应用范围上要区分5种状况： 政府部门。政府部门要解决网络安全防范问题，除了具有防火墙功能外（从软件检测入侵的手段）能够满足保安部门、财务部门、人事部门的不同应用需求，把黑客、情报盗窃、破坏者拒绝于门外。 军队部门。军队部门要解决安全控制，能够满足军队内部各部门的网络连接和物理隔离的限制。杜绝国防工程、军事技术与各种先进技术的泄密。 金融证券部门。金融证券部门要解决上级部门与下级部门、同级部门之间网络安全防范，同时要实现业务工作与对外服务工作的有效隔离。 企业部门。企业部门要解决内部网与外部网的安全控制，满足不同部门的应用需求与安全控制。新产品技术、财务、人事、销售渠道等与整个网络进行局部隔离。 科研部门。科研部门，既要考虑Internet的应用，又要考虑本身研究的课题保密性，避免泄密和被盗窃，应有着严格的隔离限制。 二、物理隔离技术的不足之处。 物理隔离技术的不足之处主要表现在4个方面，它们是： 物理隔离技术仅仅是一种被动的隔离开关，手段单一，没有与其他安全技术进行配合； 物理隔离不能做到安全状态检测，容易被非法人员利用而混入内部网络； 内部防范措施。由于内外网的存储介质都在本地，不能有效地防止内部人员的信息主动泄密行为，尤其是内部人员作案问题； 复核取证难度大。内部网络信息一旦泄露出去，无法进行复核、取证、确认信息泄露的行为人有相当的困难。 三、物理隔离技术的路线 美国早在1999年就强制规定军方涉密网络必须与Internet断开。我国政府在近二年也在不断强调保密问题，要求有秘密的信息要与网络物理隔离，作为物理隔离技术的路线，一般是客户端选择设备和网络选择器，用户通过开关设备或键盘链控制选择不同的存储介质体，管理端设立内、外网存储介质，通过防火墙、路由器与外界相连。 物理隔离技术从出现到现在，目前基本上可划分为三代产品。 （1）第一代产品 第一代产品采用的是双网机技术，其工作原理是： 在一个机箱内，设有两块主机板、两套内存、两块硬盘和两CPU、相当于两台计算机共用一个显示器。用户通过客户端开关，分别选择两套计算机系统。 第一代产品的特点是客户端的成本很高，并要求网络布线为双网线结构，技术水平相对而言是简单的。 （2）第二代产品 第二代产品主要采用双网线的安全隔离卡技术，其表现为： 客户端需要增加一块PCI卡，客户端硬盘或其它存储设备首先连接到该卡，然后再转接到主板，这样通过该卡用户就能控制客户端的硬盘或其它存储设备。用户在选择硬盘的时候，同时也选择了该卡上所对应的网络接口，连接到不同的网络。 第二代产品与第一代产品相比，技术水平提高了，成本也降低了，但是这一代产品仍然要求网络布线采用双网线结构。如果用户在客户端交换两个网络的网线连接，内外网的存储介质也同时被交换了，这时信息的安全还存在着隐患。 （3）第三代产品 第三代产品采用基于单网线的安全隔