既有機房施工時如何物理隔離

A. 如何實現物理隔離

所謂「物理隔離」是指內部網不直接或間接地連接公共網。物理隔離的目的是保護路由器、工作站、網路伺服器等硬體實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊。只有使內部網和公共網物理隔離，才能真正保證內部信息網路不受來自互聯網的黑客攻擊。此外，物理隔離也為內部網劃定了明確的安全邊界，使得網路的可控性增強，便於內部管理。

物理隔離技術是解決網路不安全性的一種技術，物理隔離從廣義上講分為網路隔離和數據隔離，只有達到這兩種要求才是真正意義上的隔離，並介紹了網路隔離和數據隔離。現在我們主要介紹物理隔離及其產品。

3．物理隔離產品

物理隔離產品有效地解決了上述數據隔離和計算機終端的網路隔離問題。它能實現在建好兩個網路的前提下使一台計算機能連接兩個網路，並且在同一時間，用戶在裝有物理隔離產品的計算機里，只能應用其中的一個網路系統。

物理隔離產品利用了計算機的數據處理方式，用戶所有計算機應用操作都必須依賴操作系統和應用系統來完成。有了操作系統，用戶才能方便、快捷地把數據存儲在硬碟上。所以，只要對硬碟的讀寫進行全面控制，就可以實現數據隔離。對硬碟的讀寫進行控制可以用軟體實現，也可以用硬體實現。可利用計算機加電啟動後必須讀主引導記錄這一特點，把對硬碟讀寫控制的代碼放在主引導程序中。這樣，只要計算機一啟動，這段代碼就會被激活，所有對硬碟的讀寫就完全被這段代碼接管。如果再利用硬體對硬碟的主引導記錄進行防寫的特性，計算機就可以實現數據隔離。但是像這種用軟體實現的數據隔離依然存在漏洞，因為那些被激活的對硬碟進行讀寫控制的代碼是放在內存中的，而內存中的任何數據都可以通過程序來釋放，黑客就可以利用這一特點編寫相應的代碼，先釋放這段代碼，然後讀取他想讀取或想破壞的任何數據。但是，我們如果能把對硬碟進行讀寫控制的代碼用硬體實現，那麼不管是黑客還是病毒都無能為力了。

最後，物理隔離產品控制網路與計算機的連接，這樣就實現了一台計算機既能連接兩個網路，又能實現完全數據隔離的目的。

隨著網路化、信息化的迅猛發展，「安全源於物理隔離」的概念將不斷深入到各行業、各部門、各地區。

B. 單機如何實現物理隔離

1、單主板安全隔離計算機：其核心技術是雙硬碟技術，將內外網路轉換功能做入BIOS中，並將插槽也分為內網和外網，使用更方便，也更安全，價格界乎於雙主機和隔離卡之間。 2、隔離卡技術：其核心技術是雙硬碟技術，啟動外網時關閉內網硬碟，啟動內網時關閉外網硬碟，使兩個網路和硬碟物理隔離，它不僅用於兩個網路物理隔離的情況，也可用於個人資料要保密又要上互聯網的個人計算機的情況。其優點是價格低，但使用稍麻煩，因為轉換內外網要關機和重新開機。 一、單主板安全隔離計算機 單主板安全隔離計算機是採用徹底實現內外網物理隔離的個人電腦，這種安全電腦的成本僅僅增加了25%左右，並且由於這種安全電腦是在較低層的BIOS上開發的，處理器、主板、外設的升級不會給電腦帶來什麼「不兼容」的影響。它很好地解決了接入網路後區域網絡信息安全、系統安全、操作安全和環境安全等問題，徹底實現了網路物理隔離。 安全電腦在傳統PC主板結構上形成了兩個物理隔離的網路終端接入環境，分別對應於國際互聯網和內部區域網，保證區域網信息不會被互聯網上的黑客和病毒破壞。主板BIOS控制由網卡和硬碟構成的網路接入和信息存儲環境各自獨立，並只能在相應的網路環境下工作，不可能在一種網路環境下使用另一環境才使用的設備。BIOS還提供所有涉及信息發送和輸出設備的控制，包括： 1、對軟碟機、光碟機提供限制功能。在系統引導時不允許驅動器中有移動存儲介質。雙網計算機提供軟碟機關閉/禁用功能。 2、對雙向埠設備提供限制功能。雙向埠包括列印機介面/並行介面、串列介面、USB介面、MIDI介面，這些介面如果使用不當，也是安全漏洞，需要加強使用管制。對於BIOS，則由防寫跳線防止病毒破壞、非法刷新或破壞以及改變BIOS的控制特性。目前金長城世恆雙網計算機就是採用這種構架的產品。 二、網路安全隔離卡 網路安全隔離卡的功能是以物理方式將一台PC虛擬為兩部電腦，實現工作站的雙重狀態，既可在安全狀態，又可在公共狀態，兩種狀態是完全隔離的，從而使一部工作站可在完全安全狀態下連接內外網。 網路安全隔離卡實際是被設置在PC中最低的物理層上，通過卡上一邊的IDE匯流排連接主板，另一邊連接IDE硬碟，內、外網的連接均須通過網路安全隔離卡，PC機硬碟被物理分隔成為兩個區域，在IDE匯流排物理層上，在固件中控制磁碟通道，在任何時候，數據只能通往一個分區。 在安全狀態時，主機只能使用硬碟的安全區與內部網連接，而此時外部網（如Internet）連接是斷開的，且硬碟的公共區的通道是封閉的；在公共狀態時，主機只能使用硬碟的公共區與外部網連接，而此時與內部網是斷開的，且硬碟安全區也是被封閉的。 當兩種狀態轉換時，是通過滑鼠點擊操作系統上的切換鍵，即進入一個熱啟動過程。切換時，系統通過硬體重啟信號重新啟動，這樣，PC內存的所有數據就被消除，兩個狀態分別是有獨立的操作系統，並獨立導入，兩種硬碟分區不會同時激活。 為了保證安全，兩個分區不能直接交換數據，但是用戶可以通過一個獨特的設計，來安全方便地實現數據交換，即在兩個分區以外，網路安全隔離在硬碟上另外設置了一個功能區，該功能區在PC處於不同的狀態下轉換，即在兩種狀態下功能區均表現為硬碟的D盤，各個分區可以通過功能區作為一個過渡區來交換數據。當然根據用戶需要，也可創建單向的安全通道，即數據只能從公共區向安全區轉移，但不能逆向轉移，從而保證安全區的數據安全。珠海的偉思公司推出的網路安全隔離卡就採用了上述的技術。

C. 數據機房橋架物理隔離距離是多少

為了防止人體觸及或過分接近帶電體，或防止車輛和其他物體碰撞帶電體，以及避免發生各種短路、火災和爆炸事故，在人體與帶電體之間、帶電體與地面之間、帶電體與帶電體之間、帶電體與其他物體和設施之間，都必須保持一定的距離。

D. 什麼是物理隔離裝置 和防火牆有什麼區別

物理隔離，是指採用物理方法將內網與外網隔離從而避免入侵或信息泄露的風險的技術手段。物理隔離主要用來解決網路安全問題的，尤其是在那些需要絕對保證安全的保密網。

為了防止來自互聯網的攻擊和保證這些高安全性網路的保密性、安慶並唯全性、完整性、防抵賴和高可用性，幾乎全部要求採用物理隔離技術。

區別：

1，防火牆傳輸數據可以雙向，支持TCP/IP七層協議。

2，防火牆代主要是藉助硬體和軟體的作用於內部和外部網路的環境間產生一種保護的屏障，從而實現對計算機不安全網路因素的阻斷。

3，無論從功能還是實現原理上講，安全隔離網閘和防火牆是完全不同的兩個產品，防火牆是保證網路層安全的邊界安全工具（如通常的非軍事化區），而安全隔離網閘重點是保護內部網路的安全。因此兩種產品由於定位的不同，不能相互取代。

4，物理隔離裝置也就是安全網閘，只能單向傳輸數據，不是正向就是反向。不能同時雙向，這樣也就切斷了黑客的訪問連接。

5，物理隔離裝置針對的是一區二區與三區之間傳輸間才用到的，橫向隔離裝置相當於是安全網閘，數據只能單向傳輸，不能雙向。

(4)既有機房施工時如何物理隔離擴展閱讀

防火牆一般在進行IP包轉發的同時，通過對IP包的處理，實現對TCP會話的控制，但是對應用數據的內容不進行檢查。這種工作方式無法防止泄密，也無法防止病毒和黑客程序的攻擊。

只有在防火牆同意情況下，用戶才能夠蔽賣進入計算機內，如果不同意就會被阻擋於外，防火牆技術的警報功能十分強大，在外部的用戶要進入到計算機內時，防火牆就會迅速的發出相應的警報，並提醒用戶的行為。

進行自我的判斷來決定是否允許外部的用戶進入到內部，只要是在網路環境內的用戶，這譽培種防火牆都能夠進行有效的查詢，同時把查到信息朝用戶進行顯示，然後用戶需要按照自身需要對防火牆實施相應設置，對不允許的用戶行為進行阻斷。

通過防火牆還能夠對信息數據的流量實施有效查看，並且還能夠對數據信息的上傳和下載速度進行掌握，便於用戶對計算機使用的情況具有良好的控制判斷，計算機的內部情況也可以通過這種防火牆進行查看，還具有啟動與關閉程序的功能，計算機系統的內部中具有的日誌功能。

E. 如何實現既內外網隔離，又能內外網業務工作的開展

保密機關單位由於其工作的性質，所涉及到的一部分數據資料必須處於完全的安全 狀態下，然而工作的需求還需聯入INTERNET，這樣就無法保證公司內部區域網的安全。我公司依據上述情況，制定以下解決方案，以便參考。 上述情況的唯一可行的解決方案就是物理隔離安全網和公共網，現在國際上最新穎的物理隔離解決思路是：在同一時間、同一空間，單個用戶是不可能同時使用兩個系統的。所以，總有一個系統處於"空閑"狀態。只要使兩個系統在空間上物理隔離，在不同的時間運行，就可以得到兩個完全物理隔離的系統，即一個區連接外部網，一個區連接內部網。 在方案一：用一根網線實現內外網的傳輸方式，計算機用戶只使用單個硬碟，這種方式是絕大多數用戶所採用的。單硬碟網路安全隔離卡。應用此方案一個優點就是可以免去另外布線。只需安裝網路安全隔離集線器與安裝了網路安全隔離卡的安全計算機配合使用可以滿足對單網布線的要求，即桌面計算機只用一條網線就可連接到遠端的雙網上。

具體實施物理隔離措施的過程當中，為了避免使用兩套獨立的計算機網路系統，做到物理隔離和使用方便相結合，實行物理隔離採用網路隔離卡是一種簡單易行的方法。將一台工作站或pc機的單個硬碟物理分割為兩個分區，即公共區（public）和安全區（secure）。這些分區容量可以由用戶指定，因此使一台pc能連接兩個網路。通過公共區連接外部網，如internet，主機只能使用硬碟的公共區與外部網連接，而此時與內部網是斷開的，且硬碟安全區也是被封閉的。而安全區則連接內部網，主機只能使用硬碟的安全區與內部網連接，而此時與外部網（如internet）連接是斷開的，且硬碟的公共區的通道是封閉的。兩個分區分別安裝各自的操作系統，是兩個完全獨立的環境，操作者一次只能進入其中一個系統，從而實現內外網的完全隔離。

網路安全隔離卡的功能即是以物理方式將一台PC虛擬為兩個電腦，實現工作站的雙重狀態，既可在安全狀態，又可在公共狀態，兩個狀態是完全隔離的，從而使一部工作站可在完全安全狀態下聯結內、外網網路安全隔離卡實際是被設置在PC中最低的物理層上，通過卡上一邊的IDE匯流排聯結主板，另一邊聯結IDE硬碟，內、外網的聯接均須通過網路安全隔離卡，PC機硬碟被物理分隔成為兩個區域，在IDE匯流排物理層上，在固件中控制磁碟通道，在任何時候，數據只能通往一個分區。 在安全狀態時，主機只能使用硬碟的安全區與內部網聯結，而此時外部網（如Internet）聯接是斷開的，且硬碟的公共區的通道是封閉的。在公共狀態時，主機只能使用硬碟的公共區，可以與外部網聯結，而此時與內部網是斷開的，且硬碟安全區也是被封閉的。 轉換便捷 當兩種狀態轉換時，是通過滑鼠點擊操作系統上的切換鍵，即進入一個熱啟動過程，切換時，系統通過硬體重啟信號重新啟動，這樣，PC的內存所有數據被消除，兩個狀態分別是有獨立的操作系統，並獨立導入，兩個硬碟分區不會同時激活。 數據交換 為了安全的保證，兩個分區不能直接交換數據，但是用戶可以通過我們的一個獨特的設計，來安全方便地實現數據交換，即在兩個分區以外，網路安全隔離在硬碟上另外設置了一個功能區，功能區在PC處於不同的狀態下轉換，即在兩個狀態下，功能區均表現為硬碟的D盤，各個分區可以通過功能區作為一個過渡區來交換數據。當然根據用戶需要，也可創建單向的安全通道，即數據只能從公共區向安全區轉移，但不能逆向轉移，從而保證安全區的數據安全。 安全區控制 基於安全威脅來自內外兩方面的關系，即除了外來的黑客攻擊、病毒發布以外，系統內部有意或無意的泄密，也是必須防止的威脅。因此，網路安全隔離卡可以對安全區作只讀控制，即可禁止內部使用者以軟碟機、光碟機復制數據或纂改安全區的數據。 技術的廣泛應用 由於網路安全隔離卡是控制主IDE匯流排，在PC機硬體最底層的基礎上，因此廣泛支持幾乎所有奔騰以及奔騰兼容晶元。 由於網路安全隔離卡是完全獨立於操作系統的，因此也支持幾乎所有主流的操作系統。網路安全隔離卡對網路技術和協議完全透明，因此，對目前主要協議廣泛支持，如乙太網、快速乙太網、令牌環行網、光纖、ATM、ISDN、ADSL。

2、安裝與使用 網路安全隔離卡的安裝並不復雜，一般情況，並不需要改變用戶原有的網路結構，安裝人員的技術水平要求相當安裝普通網卡的水平。安裝網路安全隔離卡，一般情況下，不必因為擔心丟失數據，而去復制硬碟上數據。用戶的使用也只須接受簡單的培訓，不存在日後的維護問題。設備清單 現狀：共有50台客戶端，每台客戶端都需要實現內外網的訪問所需設備列表
（1）兩組交換機，每組共有50個埠以上
（2）24口的網路安全隔離集線器需要：7個
（3）網路安全隔離卡：50個
（4）在同一個硬碟安裝兩套操作系統
（5）內外網的相互轉換應用用戶選擇界面來執行的，只對機器進行熱啟動，即可完成安全轉換。
方案二：重新布線到各客戶端，按照客戶需求共需50個點的布線，這樣在客戶端共需兩個節點來滿足要求。 所需的設備： 50個節點的布線材料 兩組埠數超過50個口的交換機組50塊安全隔離卡