所謂“物理隔離”是指內部網不直接或間接地連線公共網。物理隔離的目的是保護路由器、工作站、網路伺服器等硬體實體和通訊鏈路免受自然災害、人為破壞和搭線竊聽攻擊。只有使內部網和公共網物理隔離,才能真正保證內部資訊網路不受來自網際網路的駭客攻擊。此外,物理隔離也為內部網劃定了明確的安全邊界,使得網路的可控性增強,便於內部管理。如何實現物理隔離網路隔離技術目前有如下兩種技術:1.單主機板安全隔離計算機:其核心技術是雙硬碟技術,將內網路絡轉換功能做入BIOS中,並將插槽也分為內網和網路,使用更方便,也更安全,價格界乎於雙主機和隔離卡之間。2.隔離卡技術:其核心技術是雙硬碟技術,啟動網路時關閉內網硬碟,啟動內網時關閉網路硬碟,使兩個網路和硬碟物理隔離,它不僅用於兩個網路物理隔離的情況,也可用於個人資料要保密又要上網際網路的個人計算機的情況。其優點是價格低,但使用稍麻煩,因為轉換內網路要關機和重新開機。單主機板安全隔離計算機單主機板安全隔離計算機是採用徹底實現內網路物理隔離的個人電腦,這種安全電腦的成本僅僅增加了25%左右,並且由於這種安全電腦是在較低層的BIOS上開發的,處理器、主機板、外設的升級不會給電腦帶來什麼“不相容”的影響。它很好地解決了接入網路後區域網絡資訊保安、系統安全、操作安全和環境安全等問題,徹底實現了網路物理隔離。安全電腦在傳統PC主機板結構上形成了兩個物理隔離的網路終端接入環境,分別對應於國際網際網路和內部區域網,保證區域網資訊不會被網際網路上的駭客和病毒破壞。主機板BIOS控制由網絡卡和硬碟構成的網路接入和資訊儲存環境各自獨立,並只能在相應的網路環境下工作,不可能在一種網路環境下使用另一環境才使用的裝置。BIOS還提供所有涉及資訊傳送和輸出裝置的控制,包括:一、對軟碟機、光碟機提供限制功能。在系統引導時不允許驅動器中有移動儲存介質。雙網計算機提供軟碟機關閉/禁用功能。二、對雙向埠裝置提供限制功能。雙向埠包括印表機介面/並行介面、序列介面、USB介面、MIDI介面,這些介面如果使用不當,也是安全漏洞,需要加強使用管制。對於BIOS,則由防寫跳線防止病毒破壞、非法重新整理或破壞以及改變BIOS的控制特性。目前金長城世恆雙網計算機就是採用這種構架的產品。網路安全隔離卡網路安全隔離卡的功能是以物理方式將一臺PC虛擬為兩部電腦,實現工作站的雙重狀態,既可在安全狀態,又可在公共狀態,兩種狀態是完全隔離的,從而使一部工作站可在完全安全狀態下連線內網路。 網路安全隔離卡實際是被設定在PC中最低的物理層上,透過卡上一邊的IDE匯流排連線主機板,另一邊連線IDE硬碟,內、網路的連線均須透過網路安全隔離卡,PC機硬碟被物理分隔成為兩個區域,在IDE匯流排物理層上,在韌體中控制磁碟通道,在任何時候,資料只能通往一個分割槽。在安全狀態時,主機只能使用硬碟的安全區與內部網連線,而此時外部網(如Internet)連線是斷開的,且硬碟的公共區的通道是封閉的;在公共狀態時,主機只能使用硬碟的公共區與外部網連線,而此時與內部網是斷開的,且硬碟安全區也是被封閉的。當兩種狀態轉換時,是透過滑鼠點選作業系統上的切換鍵,即進入一個熱啟動過程。切換時,系統透過硬體重啟訊號重新啟動,這樣,PC記憶體的所有資料就被消除,兩個狀態分別是有獨立的作業系統,並獨立匯入,兩種硬碟分割槽不會同時啟用。 為了保證安全,兩個分割槽不能直接交換資料,但是使用者可以透過一個獨特的設計,來安全方便地實現資料交換,即在兩個分割槽以外,網路安全隔離在硬碟上另外設定了一個功能區,該功能區在PC處於不同的狀態下轉換,即在兩種狀態下功能區均表現為硬碟的D盤,各個分割槽可以透過功能區作為一個過渡區來交換資料。當然根據使用者需要,也可建立單向的安全通道,即資料只能從公共區向安全區轉移,但不能逆向轉移,從而保證安全區的資料安全。珠海的偉思公司推出的網路安全隔離卡就採用了上述的技術。
所謂“物理隔離”是指內部網不直接或間接地連線公共網。物理隔離的目的是保護路由器、工作站、網路伺服器等硬體實體和通訊鏈路免受自然災害、人為破壞和搭線竊聽攻擊。只有使內部網和公共網物理隔離,才能真正保證內部資訊網路不受來自網際網路的駭客攻擊。此外,物理隔離也為內部網劃定了明確的安全邊界,使得網路的可控性增強,便於內部管理。如何實現物理隔離網路隔離技術目前有如下兩種技術:1.單主機板安全隔離計算機:其核心技術是雙硬碟技術,將內網路絡轉換功能做入BIOS中,並將插槽也分為內網和網路,使用更方便,也更安全,價格界乎於雙主機和隔離卡之間。2.隔離卡技術:其核心技術是雙硬碟技術,啟動網路時關閉內網硬碟,啟動內網時關閉網路硬碟,使兩個網路和硬碟物理隔離,它不僅用於兩個網路物理隔離的情況,也可用於個人資料要保密又要上網際網路的個人計算機的情況。其優點是價格低,但使用稍麻煩,因為轉換內網路要關機和重新開機。單主機板安全隔離計算機單主機板安全隔離計算機是採用徹底實現內網路物理隔離的個人電腦,這種安全電腦的成本僅僅增加了25%左右,並且由於這種安全電腦是在較低層的BIOS上開發的,處理器、主機板、外設的升級不會給電腦帶來什麼“不相容”的影響。它很好地解決了接入網路後區域網絡資訊保安、系統安全、操作安全和環境安全等問題,徹底實現了網路物理隔離。安全電腦在傳統PC主機板結構上形成了兩個物理隔離的網路終端接入環境,分別對應於國際網際網路和內部區域網,保證區域網資訊不會被網際網路上的駭客和病毒破壞。主機板BIOS控制由網絡卡和硬碟構成的網路接入和資訊儲存環境各自獨立,並只能在相應的網路環境下工作,不可能在一種網路環境下使用另一環境才使用的裝置。BIOS還提供所有涉及資訊傳送和輸出裝置的控制,包括:一、對軟碟機、光碟機提供限制功能。在系統引導時不允許驅動器中有移動儲存介質。雙網計算機提供軟碟機關閉/禁用功能。二、對雙向埠裝置提供限制功能。雙向埠包括印表機介面/並行介面、序列介面、USB介面、MIDI介面,這些介面如果使用不當,也是安全漏洞,需要加強使用管制。對於BIOS,則由防寫跳線防止病毒破壞、非法重新整理或破壞以及改變BIOS的控制特性。目前金長城世恆雙網計算機就是採用這種構架的產品。網路安全隔離卡網路安全隔離卡的功能是以物理方式將一臺PC虛擬為兩部電腦,實現工作站的雙重狀態,既可在安全狀態,又可在公共狀態,兩種狀態是完全隔離的,從而使一部工作站可在完全安全狀態下連線內網路。 網路安全隔離卡實際是被設定在PC中最低的物理層上,透過卡上一邊的IDE匯流排連線主機板,另一邊連線IDE硬碟,內、網路的連線均須透過網路安全隔離卡,PC機硬碟被物理分隔成為兩個區域,在IDE匯流排物理層上,在韌體中控制磁碟通道,在任何時候,資料只能通往一個分割槽。在安全狀態時,主機只能使用硬碟的安全區與內部網連線,而此時外部網(如Internet)連線是斷開的,且硬碟的公共區的通道是封閉的;在公共狀態時,主機只能使用硬碟的公共區與外部網連線,而此時與內部網是斷開的,且硬碟安全區也是被封閉的。當兩種狀態轉換時,是透過滑鼠點選作業系統上的切換鍵,即進入一個熱啟動過程。切換時,系統透過硬體重啟訊號重新啟動,這樣,PC記憶體的所有資料就被消除,兩個狀態分別是有獨立的作業系統,並獨立匯入,兩種硬碟分割槽不會同時啟用。 為了保證安全,兩個分割槽不能直接交換資料,但是使用者可以透過一個獨特的設計,來安全方便地實現資料交換,即在兩個分割槽以外,網路安全隔離在硬碟上另外設定了一個功能區,該功能區在PC處於不同的狀態下轉換,即在兩種狀態下功能區均表現為硬碟的D盤,各個分割槽可以透過功能區作為一個過渡區來交換資料。當然根據使用者需要,也可建立單向的安全通道,即資料只能從公共區向安全區轉移,但不能逆向轉移,從而保證安全區的資料安全。珠海的偉思公司推出的網路安全隔離卡就採用了上述的技術。