物理隔离技术及产品的选购要点
互联网的广泛普及应用,带来了严重的计算机安全问题。尤其是病毒破坏、黑客入侵造成的危害越来越大。尽管可以采用防火墙、入侵检测系统等安全措施,但这些技术手段至今都还存在许多漏洞,还不能彻底保证内网信息的安全。再加上目前我国使用的计算机核心软硬件都依赖进口,谁也不能保证这些软硬件中没有后门、没有错误。因此,最好的办法,就是让用户重要的数据和外部的互联网没有物理上的连接,把用户可以上网的信息和不可以上网的信息隔离开来,让黑客无机可乘。这样,就需要一种技术来帮助用户既能有效地隔离内外网络,又能方便地使用内外网络,这就是物理隔离技术要完成的任务,物理隔离技术作为网络与信息安全技术的重要实现手段,越来越受到业界的重视。
所谓“物理隔离”是指内部网不直接或间接地连接公共网。物理隔离的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网和公共网物理隔离,才能真正保证内部信息网络不受来自互联网的黑客攻击。此外,物理隔离也为内部网划定了明确的安全边界,使得网络的可控性增强,便于内部管理。 实施内外网物理隔离,技术上可以确保: 在物理传导上使内外网络隔断,确保外部网不能通过网络连接而侵入内部网,同时防止内部网信息通过网络连接泄露到外部网。
物理隔离的指导思想与防火墙有很大的不同:防火墙绝不是物理隔离产品,防火墙的根本起因是不同网络间既要保证需要的数据交换和相互访问,又要防御恶意或非法访问。而无论从包过滤技术还是从代理技术来说,其关键的都在于使数据有选择的通过,而不是彻底的把数据隔离。物理隔离与防火墙是两个不同的安全策略,它们功能互补,但不能互相代替。它们二者的安全策略非常清楚,即:把需要保密的内部数据,进行100%的保护,实行物理隔离,而对可公开的数据,则交由防火墙去保护。
为了更好的掌握物理隔离技术及物理隔离产品的选择重点,我们从以下几个方面进行探讨:
一:物理隔离的方式
物理隔离常见的方式有物理安全隔离卡、物理隔离集线器、物理隔离网闸等。
1,物理安全隔离卡
物理安全隔离卡是物理隔离的低级实现形式,一个物理安全隔离卡只能管一台个人计算机,甚至只能在Windows环境下工作,每次切换都需要开关机一次。物理安全隔离卡的功能即是以物理方式将一台PC虚拟为两个电脑,实现工作站的双重状态,既可在安全状态,又可在公共状态,两个状态是完全隔离的,从而使一台工作站可在完全安全状态下联结内、外网。物理安全隔离卡实际是被设置在PC中最低的物理层上,通过卡上一边的IDE总线连接主板,另一边连接IDE硬盘,内、外网的连接均须通过网络安全隔离卡。PC机硬盘被物理分隔成为两个区域,在IDE总线物理层上,在固件中控制磁盘通道,在任何时候,数据只能通往一个分区。
在安全状态时,主机只能使用硬盘的安全区与内部网联结,而此时外部网(如Internet)联接是断开的,且硬盘的公共区的通道是封闭的。在公共状态时,主机只能使用硬盘的公共区,可以与外部网联结,而此时与内部网是断开的,且硬盘安全区也是被封闭的。
隔离卡
2,物理隔离集线器
网络安全隔离集线器是一种多路开关切换设备,它与网络安全隔离卡配合使用。它具有标准的RJ-45接口,入口与网络安全隔离卡相连,出口分别与内外网络的集线器(HUB)相连。它检测网络安全隔离卡发出的特殊信号,识别出所连接的计算机,自动将其网络线切换至相应的网络HUB上。实现多台独立的安全计算机与内外两个网络的安全连接以及自动切换,进一步提高了系统的安全性。并且解决了多网布线问题,可以让连接两个网络的安全计算机只通过一条网络线即可与多网切换连接。对现存网络改进有较大帮助。
隔离集线器
3,物理隔离网闸
物理隔离网闸,是利用双主机形式,从物理上来隔离阻断潜在攻击的连接。其中包括一系列的阻断特征,如没有通信连接,没有命令,没有协议,没有TCP/IP连接,没有应用连接,没有包转发,只有文件“摆渡”,对固态介质只有读和写两个命令。其结果是无法攻击,无法入侵,无法破坏。
隔离网闸
物理隔离网闸(GAP)的硬件主要包括三部分:分别是专用安全隔离切换装置(数据暂存区)、内部处理单元和外部处理单元。系统中的专用安全隔离切换装置分别连接内部处理单元和外部处理单元。这种独特和巧妙的设计,保证了安全隔离切换装置中的数据暂存区在任一时刻仅连通内部或者外部处理单元,从而实现内外网的安全隔离。
物理隔离网闸体系结构示意图:
二:物理安全隔离产品常用的典型接口
产品类型 接口类型
物理安全隔离卡 RJ-45接口
物理安全隔离网闸 RJ-45接口
物理安全隔离集线器 RJ-45接口
三:物理隔离卡的切换方式
物理安全隔离卡等产品在内外网切换时一般有两种切换方式:软件切换和开关切换。
软件的切换的好处是不用即时关机,在线操作时即可用鼠标轻松点击完成,缺点是系统一旦瘫痪,切换控制软件便会无效,需重新安装调试且安装方式稍微复杂。
软件切换界面
而开关切换则不依赖于软件系统,只需在关机时拨动切换开关后重新开机即可达到内网和外网的切换,这种方式的不足之处在于必须在关机的状态下方可完成切换功能。
四:内网屏蔽MODEM功能
对于政府机关、科研机构等重要部门的办公用机,采用安全隔离卡,就是要让内网绝对安全,不能连接到Internet等外网。所以安全隔离卡一般应具有使用内网时屏蔽掉MODEM的功能,保证在使用内网时用户无法通过任何途径连到外网。
五:切断硬盘电源功能
第一代隔离卡采用硬盘电源切换技术,技术简单、成本低廉,其缺点是容易损坏硬盘,必须彻底关机后才能切换,否则在硬盘高速旋转时猛然切换内外网,隔离卡突然给硬盘断电和加电,硬盘磁头会划伤硬盘,造成硬盘物理损毁或数据丢失。由于数据丢失频繁,过几天就要重新安装内、外网系统,给用户造成很大的额外工作负担。现在第一代隔离卡技术已经被淘汰,但是在市面上仍能见到一些隔离卡厂家推销积压的旧卡,并且宣称其兼容性好,该类隔离卡的特征是卡上有三个硬盘电源插座,我们在购买时应认真鉴别。
六:切断IDE数据线功能
较新的隔离卡采用切换硬盘数据线的方式,数据线的电压较低,切换时不需要断开硬盘电源,因此切换数据线比较安全,不会损坏硬盘。但由于硬盘数据线的数量达几十根,传输的信号频率很高、线间距离较小,线间信号干扰较大等因素,因此,对其进行隔离就比较复杂,对继电器性能的要求也很严格。现在市面上切换数据线的隔离卡种类还不是很多,该类隔离卡的特征是卡上只有三个硬盘数据线插座,没有硬盘电源插座,我们在采购时,应选择此类隔离卡。
七:操作系统
对于需要软件切换实现隔离的隔离卡而言,支持的操作系统主要包括DOS、Windows 98、Windows NT、Windows 2000、Windows XP、Linux、Unix等。由于市面上的隔离卡大多需要安装驱动程序,因此,对操作系统的兼容性问题就显得很重要,所以在选购隔离卡等产品时一定要查看所购产品能够支持的操作系统。
八:隔离网闸产品的其它要点
隔离网闸作为一种通过专用硬件使两个或者两个以上的网络在不连通的情况下,实现安全数据传输和资源共享的技术和产品被越来越多的应用到网络中来。我们对于隔离网闸的选择及应用首先应保证以下两点:
1,安全性:隔离网闸应具有专用隔离硬件确保内外网任意时刻链路断开,同时应集成多种安全技术如内核防护、协议转化、病毒查杀、身份验证、访问控制、安全审计等以形成软硬一体化的防护。
2,数据交换性能:对于数据交换,不单是传输效率和切换时间,更重要是满足多种交换方式以满足用户应用。应具有文件交换、邮件交换、数据库交换和提供API应用接口的功能。
除此以外,作为隔离网闸应同时具有较高的传输速率和低的延迟性。(it168)
- 1泛普软件:在采购OA系统时如何更好进行成本控制
- 2霍邱县政务协同办公(OA)系统启用暨业务培训会召开
- 3企业管理模式需革新 OA来应对
- 4OA系统为企业创造更多的价值
- 5整体安全注重哪些细节
- 6OA架起矿产行业信息化桥梁
- 7网络管理管什么?
- 8移动OA正在崛起
- 9OA行业产品型定制型谁主沉浮
- 10OA办公系统带来无纸化办公受政府青睐
- 11准备金下调是央行货币政策转向的一个信号?
- 12移动OA解决方案开启绿色、高效会议时代
- 13降低IM风险的10大定律
- 14南昌OA系统采购申请单与ERP数据对接
- 15使管理员账号更安全的方法
- 16怎样提高NCPI的可用性
- 17服务器技术八大走势
- 18什么是高效安全远程连接
- 19把握数据仓库中的“键”
- 20SQL Server 2005升级的十个步骤
- 21为什么网络只发不收?
- 22企业管理离不开OA协同这个润滑剂
- 23聚焦中小企业OA选型 易用性很重要
- 2410大安全难题困扰企业
- 25SOFFICE产品功能图
- 26反垃圾邮件的前世今生
- 27现代企业办公需要智能化OA
- 28你在路上,办公在手上
- 29网络机房发展回顾及技术趋势预期
- 30OA,打开企业高效管理之门