浅谈双网隔离方案.pdfVIP

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.

浅谈双网隔离方案

随着互联网技术日新月异的飞速发展，信息产业发展速度不断升级，特别是政府上网工程、

网上银行、电子商务以及网上教学等信息化进程的加快和应用的普及，越来越多的党政各

级部门和企业用户都建立了内部计算机网络，网络已经成为人们工作、学习、生活的一个

重要工具，成为现代社会高速运转的一个基石。但与此同时，另一方面，越来越多的安全

漏洞和问题不断地困扰着我们的计算机信息系统和开放的互联网络世界，我们也正受到日

益严重的来自网络的安全威胁，诸如网络的数据窃贼、黑客的侵袭、病毒发布者，甚至系

统内部的泄密者。上述问题解决不好将危及我国的政治、军事、经济、社会生活的各个方

面，使国家处于信息战和高度经济金融风险的威胁之中，同时我们个人的一些私密信息也

缺乏相应的保护。

尽管我们正在广泛地使各种复杂的软件技术，如防火墙、代理服务器、入侵检测器、通道

控制机制提高系统的安全性和抗攻击能力，但是由于这些技术大多都是基于软件的保护，

是一种逻辑机制，这对于逻辑实体（即黑客或内部用户）而言是可能被操纵的，即由于这

些技术的极端复杂性与有限性，这些在线分析技术无法提供某些组织提出的高度数据安全

要求。信息安全是一个巨大而复杂的系统工程，物理隔离措施是其中一个最有效、彻底、

安全的解决方案，国家保密局在《计算机信息系统国际联网保密管理规定》中第二章第

六条明确指出：“凡是涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或

其它公共信息网络相联接，必须实行物理隔离”。

什么是物理隔离呢？所谓“物理隔离”是指内部网不得直接或间接地连接公共网即国际互联

网。众所周知，国际互联网是国际化、开放和互联为特点的，而安全度和开放度永远是一

对矛盾。虽然，目前可以利用防火墙、代理服务器、入侵监测等技术手段来抵御来自互联

网的非法入侵，但至今这些技术手段都还存在许多漏洞，还不能彻底保证内网信息的绝对

安全，只有使内部网和公共网“物理隔离”，才能真正保证党政机关的内部信息网络不受来

自自互联网的互联网的黑客攻击黑客攻击。此。此外外，，物物理隔离理隔离也为政府内部网划定了明确的安全边界，使得网

络的可控性增强，便于内部管理。物理隔离在安全上主要有以下3点要求：

（1）在物理传导上使内外网络隔断，确保外部网络不能通过网络连接而侵入内部网络；

同时防止内部网络信息通过网络连接泄漏到外部网络。

（2）在物理辐射上隔断内部网络与外部网络，确保内部网络信息不会通过电磁辐射或

耦合方式泄漏到外部网络。

（3）在物理存储上隔断两个网络环境，对于断电后会遗失信息的部件，如内存、处理

器等暂存部件，要在网络转换时清除处理，防止残留信息出网；对于断电非遗失性设备如

磁带机、硬盘等存储设备，内部网与外部网要分开存储。

网络隔离技术的发展是跟随电子政务的需求逐渐成熟完善的，而隔离产品的大量出现，也

是经历了五代隔离技术不断的实践和理论相结合后得来的。

第一代隔离技术——完全的隔离。第一批电子政务系统都是孤立于互联网的，主要做一些

系统报表等工作，这些报表通常由个别人员制作，并且仅由个别领导人员查看，因此对双

网的要求不高，于是便出现了完全的物理隔离技术。

完全的隔离技术即是完全切断PC与互联网的联系，从而形成完全的物理隔离，但是

这种隔离技术使得网络处于信息孤岛状态，若想从互联网获取信息则需要另一台能够连接

互联网的电脑，如此两套网络和系统不仅造成信息交流的不便和成本的提高，同时也给维

护和使用带来了极大的不便，因此很快被持续发展的电子政务需求所淘汰。

第二代隔离技术——硬件卡隔离。随着办公信息化进程发展，完全的物理隔离技术已经无

法满足工作的需要，于是能够实现内外网互换的隔离卡开始进入行业视线，并被广泛应用

1文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.

于政府等单位。

硬件卡隔离技术是在客户端增加一块硬件卡，这样，客户端硬盘或其他存储设备首先

连接到该卡，然后再转接到主板上，通过隔离卡能够控制客户端硬盘或其他存储设备。而

在选择不同的硬盘时，同时选择了该卡上不同的网络接口，连接到不同的网络。因为隔离

卡通过选择不通硬盘连接到不同网络，所以也被称为硬盘隔