物理隔离产品怎么选
互联网的广泛普及应用,带来了严重的计算机安全问题。尤其是病毒破坏、黑客入侵造成的危害越来越大。尽管可以采用防火墙、入侵检测系统等安全措施,但这些技术手段至今都还存在许多漏洞,还不能彻底保证内网信息的安全。再加上目前我国使用的计算机核心软硬件都依赖进口,谁也不能保证这些软硬件中没有后门、没有错误。因此,最好的办法,就是让用户重要的数据和外部的互联网没有物理上的连接,把用户可以上网的信息和不可以上网的信息隔离开来,让黑客无机可乘。这样,就需要一种技术来帮助用户既能有效地隔离内外网络,又能方便地使用内外网络,这就是物理隔离技术要完成的任务,物理隔离技术作为网络与信息安全技术的重要实现手段,越来越受到业界的重视。
所谓“物理隔离”是指内部网不直接或间接地连接公共网。物理隔离的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网和公共网物理隔离,才能真正保证内部信息网络不受来自互联网的黑客攻击。此外,物理隔离也为内部网划定了明确的安全边界,使得网络的可控性增强,便于内部管理。 实施内外网物理隔离,技术上可以确保: 在物理传导上使内外网络隔断,确保外部网不能通过网络连接而侵入内部网,同时防止内部网信息通过网络连接泄露到外部网。
物理隔离的指导思想与防火墙有很大的不同:防火墙绝不是物理隔离产品,防火墙的根本起因是不同网络间既要保证需要的数据交换和相互访问,又要防御恶意或非法访问。而无论从包过滤技术还是从代理技术来说,其关键的都在于使数据有选择的通过,而不是彻底的把数据隔离。物理隔离与防火墙是两个不同的安全策略,它们功能互补,但不能互相代替。它们二者的安全策略非常清楚,即:把需要保密的内部数据,进行100%的保护,实行物理隔离,而对可公开的数据,则交由防火墙去保护。为了更好的掌握物理隔离技术及物理隔离产品的选择重点,我们从以下几个方面进行探讨:
一:物理隔离的方式
物理隔离常见的方式有物理安全隔离卡、物理隔离集线器、物理隔离网闸等。
1,物理安全隔离卡
物理安全隔离卡是物理隔离的低级实现形式,一个物理安全隔离卡只能管一台个人计算机,甚至只能在Windows环境下工作,每次切换都需要开关机一次。物理安全隔离卡的功能即是以物理方式将一台PC虚拟为两个电脑,实现工作站的双重状态,既可在安全状态,又可在公共状态,两个状态是完全隔离的,从而使一台工作站可在完全安全状态下联结内、外网。物理安全隔离卡实际是被设置在PC中最低的物理层上,通过卡上一边的IDE总线连接主板,另一边连接IDE硬盘,内、外网的连接均须通过网络安全隔离卡。PC机硬盘被物理分隔成为两个区域,在IDE总线物理层上,在固件中控制磁盘通道,在任何时候,数据只能通往一个分区。
在安全状态时,主机只能使用硬盘的安全区与内部网联结,而此时外部网(如Internet)联接是断开的,且硬盘的公共区的通道是封闭的。在公共状态时,主机只能使用硬盘的公共区,可以与外部网联结,而此时与内部网是断开的,且硬盘安全区也是被封闭的。
隔离卡 |
网络安全隔离集线器是一种多路开关切换设备,它与网络安全隔离卡配合使用。它具有标准的RJ-45接口,入口与网络安全隔离卡相连,出口分别与内外网络的集线器(HUB)相连。它检测网络安全隔离卡发出的特殊信号,识别出所连接的计算机,自动将其网络线切换至相应的网络HUB上。实现多台独立的安全计算机与内外两个网络的安全连接以及自动切换,进一步提高了系统的安全性。并且解决了多网布线问题,可以让连接两个网络的安全计算机只通过一条网络线即可与多网切换连接。对现存网络改进有较大帮助。
隔离集线器 |
3,物理隔离网闸
物理隔离网闸,是利用双主机形式,从物理上来隔离阻断潜在攻击的连接。其中包括一系列的阻断特征,如没有通信连接,没有命令,没有协议,没有TCP/IP连接,没有应用连接,没有包转发,只有文件“摆渡”,对固态介质只有读和写两个命令。其结果是无法攻击,无法入侵,无法破坏。
隔离网闸 |
物理隔离网闸(GAP)的硬件主要包括三部分:分别是专用安全隔离切换装置(数据暂存区)、内部处理单元和外部处理单元。系统中的专用安全隔离切换装置分别连接内部处理单元和外部处理单元。这种独特和巧妙的设计,保证了安全隔离切换装置中的数据暂存区在任一时刻仅连通内部或者外部处理单元,从而实现内外网的安全隔离。
物理隔离网闸体系结构示意图:
隔离网闸体系结构示意图 |
二:物理安全隔离产品常用的典型接口
产品类型 | 接口类型 |
物理安全隔离卡 | RJ-45接口 |
物理安全隔离网闸 | RJ-45接口 |
物理安全隔离集线器 | RJ-45接口 |
三:物理隔离卡的切换方式
物理安全隔离卡等产品在内外网切换时一般有两种切换方式:软件切换和开关切换。
软件的切换的好处是不用即时关机,在线操作时即可用鼠标轻松点击完成,缺点是系统一旦瘫痪,切换控制软件便会无效,需重新安装调试且安装方式稍微复杂。
软件切换界面 |
而开关切换则不依赖于软件系统,只需在关机时拨动切换开关后重新开机即可达到内网和外网的切换,这种方式的不足之处在于必须在关机的状态下方可完成切换功能。
四:内网屏蔽MODEM功能
对于政府机关、科研机构等重要部门的办公用机,采用安全隔离卡,就是要让内网绝对安全,不能连接到Internet等外网。所以安全隔离卡一般应具有使用内网时屏蔽掉MODEM的功能,保证在使用内网时用户无法通过任何途径连到外网。
五:切断硬盘电源功能
第一代隔离卡采用硬盘电源切换技术,技术简单、成本低廉,其缺点是容易损坏硬盘,必须彻底关机后才能切换,否则在硬盘高速旋转时猛然切换内外网,隔离卡突然给硬盘断电和加电,硬盘磁头会划伤硬盘,造成硬盘物理损毁或数据丢失。由于数据丢失频繁,过几天就要重新安装内、外网系统,给用户造成很大的额外工作负担。现在第一代隔离卡技术已经被淘汰,但是在市面上仍能见到一些隔离卡厂家推销积压的旧卡,并且宣称其兼容性好,该类隔离卡的特征是卡上有三个硬盘电源插座,我们在购买时应认真鉴别。
六:切断IDE数据线功能
较新的隔离卡采用切换硬盘数据线的方式,数据线的电压较低,切换时不需要断开硬盘电源,因此切换数据线比较安全,不会损坏硬盘。但由于硬盘数据线的数量达几十根,传输的信号频率很高、线间距离较小,线间信号干扰较大等因素,因此,对其进行隔离就比较复杂,对继电器性能的要求也很严格。现在市面上切换数据线的隔离卡种类还不是很多,该类隔离卡的特征是卡上只有三个硬盘数据线插座,没有硬盘电源插座,我们在采购时,应选择此类隔离卡。
七:操作系统
对于需要软件切换实现隔离的隔离卡而言,支持的操作系统主要包括DOS、Windows 98、Windows NT、Windows 2000、Windows XP、Linux、Unix等。由于市面上的隔离卡大多需要安装驱动程序,因此,对操作系统的兼容性问题就显得很重要,所以在选购隔离卡等产品时一定要查看所购产品能够支持的操作系统。
八:隔离网闸产品的其它要点
隔离网闸作为一种通过专用硬件使两个或者两个以上的网络在不连通的情况下,实现安全数据传输和资源共享的技术和产品被越来越多的应用到网络中来。我们对于隔离网闸的选择及应用首先应保证以下两点:
1,安全性:隔离网闸应具有专用隔离硬件确保内外网任意时刻链路断开,同时应集成多种安全技术如内核防护、协议转化、病毒查杀、身份验证、访问控制、安全审计等以形成软硬一体化的防护。
2,数据交换性能:对于数据交换,不单是传输效率和切换时间,更重要是满足多种交换方式以满足用户应用。应具有文件交换、邮件交换、数据库交换和提供API应用接口的功能。
除此以外,作为隔离网闸应同时具有较高的传输速率和低的延迟性。(it168)
- 1信息系统工程项目的投资费用构成
- 2中小企业眼中的服务:不可忽视的应有的权益
- 3远程虚拟仪器管理实战
- 4寻宝新一代互联网
- 5电子电器 OA办公软件协同OA建设目标
- 6怎么样给企业级防火墙“体检”
- 7中小企业信息化知易行难
- 8企业电子用户的工作环境
- 9软件方案商如何走出转型“泥沼”
- 10net.com公司的生存链
- 11工业数据的采集处理
- 12戳到软肋,还得偷着乐
- 13如何公平合法的对员工实施监控
- 14VoIP在企业应用中的五大要点
- 15ERP咨询顾问必备的7种公关能力
- 16ERP实际收益与期望收益间的差距
- 17怎样实现容量管理与ITIL的结合
- 18如何加强外包安全策略
- 19—元数据管理技术及应用现状
- 20CIO用商业科技重塑米奇
- 21全球外包企业100
- 22石家庄OA软件的生产计划体系-车间作业计划
- 23网络系统集成工程师应具备哪些技能?
- 24如何衡量项目成功
- 25视频会议租用模式走进中小企业视野
- 26OA软件可进一步弘扬集团公司踏实的经营作风
- 27怎样最大化BPM的价值
- 28如何降低公司内部交易成本的研究
- 29制作用户手册的15个巧门
- 30企业警惕垃圾邮件危机