1. 什麼是物理隔離卡
1.1什麼是物理隔離
所謂「物理隔離」是指內部網不得直接或間接地連接公共網。物理安全的目的是保護路由器、工作站、各種網路伺服器等硬體實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊;只有使內部網和公共網「物理隔離」,才能真正保證黨政機關的內部信息網路不受來自互聯網的黑客攻擊。此外,"物理隔離"也為政府內部網劃定了明確的安全邊界,使得網路的可控性增強,便於內部管理。
1.2為什麼要物理隔離
隨著計算機網路及國際互聯網的應用飛速發展,使我們進入了網路科技時代。用一台網路計算機可知天下事,政府部門、企業均已採用先進的互聯網技術建立自己的內部辦公網路或企業管理網。但由於網際網(INTRENET)的開放性,使得網路安全受到嚴重的威脅,網路系統會遭到一些人的破壞或感染病毒,泄密情況嚴重。據不完全統計,全球計算機網路由於遭受到非法攻擊而造成的直接經濟損失高達百億美元以上。因此各國政府或各企業對網路的安全極度重視,甚至規定內部辦公網路計算機不準與網際網(INTERNET)互聯。但這樣眾多公司內部的區域網用戶就無法查詢公眾網上豐富的信息資源和使用便捷的電子郵件服務,使資源造成了很大的浪費。 與此同時,一大批開發網路防火牆、防病毒系統,對網路進行入侵檢測和漏洞掃描等軟體的企業應運而生。但經過實驗證明,防火牆及名種軟體在根本上無法解決網路安全的問題,因此依舊會造成泄密和嚴重的經濟損失。根據國家保密局於2000年1月1日起頒布實施的《計算機信息系統國際聯網保密管理規定》,其中的第二章第六條規定「涉及國家秘密的計算機信息系統,不得直接或間接地與國際互聯網或其它公共信息網相連接,必須實行物理隔離」。正因為如此,我們的涉密網不能把機密數據的安全完全寄託在用概率來作判斷的防護上,必須有一道絕對安全的大門,來保證涉密網的信息不被泄漏和破壞,這就是在涉密網上實現物理隔離所起到的作用
1.3 現有的物理隔離技術
正因為軟體技術不完全可靠。對重要用戶採取物理隔離的安全措施,在世界各國已普遍採用。中國政府也採取必要措施,要求涉及國家安全的重要機構的計算機網路系統必須採用物理隔離的措施,保證信息的絕對安全。應該看到,隨著全世界網上經濟活動的日益普及,物理隔離對保證企業和個人的重要計算機數據的安全也是非常必要的。
但普通的物理隔離方法雖然安全,但也造成了工作不便、數據交流困難、設備場地增加等,我們還必須購買多套的硬體設備和為每台計算機購買應用軟體,同時軟硬體維護工作量和費用也相應加大。以下是現有、常見的幾種物理隔離技術:
指定通信室
在指定通信室使用與內部網路隔離的單機與外部網路連接,用戶需到通信室實現對互連網路的訪問。
缺點: 1、每次上外網到指定通信室、使用極不方便;
2、佔用專用的辦公空間;
3、需要額外的上網設備;
4、離開工作環境,進入通信室極大地影響了用戶的工作流程,降低了用戶的工作效率。
兩個獨立網路
建立兩個獨立網路,每個用戶兩個PC機,分別連接內部網路和外部網路
缺點: 1、使用不方便,
2、投資成本巨大、浪費資源,
3、網路設置復雜、維護難度大,
4、佔用更多的辦公空間;
5、長期使用、工作稍稍疏忽,可能會導致敏感數據的的泄露。
物理切換開關A/B交換盒,
使用物理切換開關A/B交換盒,在一個機箱內裝有兩套獨立的硬體
缺點: 1、重新購置該計算機,增加投資;
2、單位現有的計算機造成浪費;
3、一套機箱內二套設備, 技術上不合理;
4、特別設備、價格高
5、長期使用、工作稍稍疏忽,可能會導致敏感數據的的泄露。
物理隔離卡
在每台電腦中通過PCI安裝物理隔離卡,把一台普通計算機分成兩台虛擬計算機,實現真正的物理隔離
缺點: 在電腦內須額外加卡
使用兩台計算機連接內外兩個網路
使用安裝了物理隔離卡的計算機連接內外兩個網路
2 雙硬碟網路安全隔離卡
2.1 雙硬碟隔離卡概術
雙硬碟物理隔離卡產品是第二代物理隔離產品,是一種功能相對簡單但較為經濟的物理隔離產品。它以其安全度高、成本低、操作簡單等優勢迅速發展起來。
2.1.1 雙硬碟隔離卡原理
在市面上的雙硬碟物理隔離卡品種繁多,但都是基於這樣一個基本原理:在連接內部網路的同時,啟動內網硬碟及其操作系統,與此同時關閉外網硬碟;在連接外部網路的同時,啟動外網硬碟及其操作系統,與此同時關閉內網硬碟。
而隔離卡在這中間就相當於一個開關的作用,控制硬碟和網路的連接,當要進入到內部網路的時候,隔離卡就接通內部網路的硬碟和網線,這時外部網路的硬碟和網線完全斷開,使其能夠使用內部網路的資源的同時免受外部的影響(如病毒、黑客攻擊等);當要進入到外部網路的時候,隔離卡就接通外部網路的硬碟和網線,這時內部網路的硬碟和網線完全斷的,使其能夠使用外部網路(如Internet)的大量資源的同時,保證內部網路免受影響。利用這個原理把一台電腦變成兩台分離的虛擬工作站,如下圖所示:
2.1.2雙硬碟隔離卡分類
我們可以根據物理隔離卡和計算機通訊方式、網路的布線方式、對硬碟的控制方式來進行分類。
根據物理隔離卡與計算機通訊方式的不同,我們可以將其分為以下三種類型:
1. 手動切換方式: 即硬切換。它的最大特點是無需安裝軟體。內外網通過手動開關上的指示燈或者其按鍵高低來顯示。這樣的隔離卡在市場上已趨於淘汰。
2. 串口通訊方式:它是通過軟體控制,實現計算機網路狀態的切換。隔離卡與計算機的通訊方式是通過串口來實現的。它的最大特點,智能化高,能自動監測出當前的網路狀態。並且界面友好,使用方便,還具有軟盤、光碟提示等功能。3. PCI介面方式:也是通過軟體控制實現內外網路狀態的檢測和切換。同串口通訊方式相比,它最大的特點是,節省了有限的串口資源。
如果以不同的布線來做個比較的話,我們又可以將雙硬碟隔離卡分為,雙網,單網,和支持MODEM功能。
雙網主要適用於政府、軍隊、企業等已經擁有內外網兩套環境和設備的用戶。單網最大的特點是能夠節省大量投資和辦工場地,用一根網線實現內外網登陸。但需要配合相應的網路安全切換器使用。市場上,大多公司都具有以上兩種類型的隔離卡。支持MODEM功能,主要是為了那些即為了安全,又需要上互聯網的小型用戶配置的。
根據物理隔離卡對硬碟控制方式的不同,可分電源控制、和數據線控制、電源和數據線控制兼而有之。
控制電源方式:通過切斷硬碟電源來實現內外網硬碟的轉換,在市場上較為普遍。但它的穩定性和兼容性相對較差。控制數據線方式:通過控制硬碟數據線來實現內外網硬碟轉換的隔離卡,無兼容性問題,但成本較高。為了解決切斷電源帶來的不兼容性問題,於是出現對部分硬碟數據線實行切斷控制的雙硬碟隔離卡。這種卡是軟切換方式,既解決了兼容性問題,也降低了成本。
我國雙硬碟物理隔離技術的發展已經逐步趨於成熟,日趨完善的物理隔離產品已成為網路安全保密體系中不可缺少的重要環節。
2.2 雙硬碟網路安全隔離卡系列功能簡介
雙硬碟網路安全隔離卡系列具有前面所描述的全部系列隔離卡,為不同的用戶提供所需。在各個雙硬碟隔離卡生產廠家中,公司在多個不同的產業中投資,穩定性強,可持續發展;其產品系列化,後續研發能力強,保證產品更新;服務嚴密周到,服務隊伍強,全國統一調度,可按長期計劃提供服務;提供從低檔到高檔的全系列,並可在將來進一步升級。
雙硬碟網路安全隔離卡系列產品比較
型號
功能 V1.00-A V1.00-B V1.00-C V1.00-C+ 1.00-
C++ V1.00-D
純硬體設計,真正實現物理隔離 √ √ √ √ √ √
防止病毒和網路黑客通過Internet對內部網路的攻擊 √ √ √ √ √ √
界面友好,使用方便 √ √ √ √ √ √
內、外網通過軟體切換 √ √ √ √ √ √
DOS/WINDOWS9.X/ME/NT/2000/XP √ √ √ √ √ √
節省大量投資和辦公場地 √ √ √ √ √ √
不佔用計算機內部資源 √ √ √ √ √ √
安裝簡單、快捷,免維護 √ √ √ √ √ √
外網或內網環境下實現屏蔽光軟碟機 √ √ √ √ √
具有軟盤、光碟提示功能 √ √ √ √ √ √
內網屏蔽Modem功能 √ √ √ √ √
單雙網線布線方式可選 √ √ √ √
通過串列口控制網路隔離狀態 √ √ √ √ √
通過PCI介面控制網路隔離狀態 √
切斷硬碟電源 √ √ √ √ √
切斷IDE數據線 部分 全部 部分
解決部分硬體的兼容性問題 √ √ √
開機時出現切換選擇菜單 √ √ √ √ √
切換時可選擇無需關機,只需熱啟動 √ √ √ √ √
備注
2.2 特點
符合國家保密局《計算機信息系統國際聯網保密管理規定》第六條關於「計算機內網和外網必須實行物理隔離」的要求。
純硬體設計,真正實現物理隔離。有效地防止網路病毒和網路黑客通過外網對內網進行攻擊,使內網運行在一個非常安全的環境中。
安全計算機中採用雙硬碟(A硬碟和B硬碟),A硬碟中存儲一套操作系統用於與內網相連,B硬碟中存儲另一套操作系統用於與外網相連。
隔離卡插入計算機PCI插槽內,隔離卡上的網路線,分別連接內、外兩個網路。由隔離卡控制內外網的硬碟和相應網路的接通與斷開
2. 怎樣安裝隔離卡
由於不同的隔離卡的安裝要求不同,所以沒有固定的答案.不過可以給你一些提示:
1,雙硬碟的隔離卡,首先是准備好兩塊硬碟,都接好電源線
2,把隔離卡插到PCI槽,
3,根據隔離卡上的提示,首先用一跟數據線把隔離卡與主板連接
4,然後用數據線把隔離卡與兩個硬碟連接
5,開機,看時候運行正常
3. 誰可以提供網路安全物理隔離卡解決方案
網路安全物理隔離卡解決方案 隨著計算機網路及國際互聯網的應用飛速發展,使我們進入了前所未有的網路信息時代。用一台計算機可知天下事,政府的各部門、各企業均已採用先進的互聯網技術建立自己的內部辦公網。但由於公眾網(INTRENET)的開放性,使得網路安全受到嚴重的威脅。因此保密局規定:內部辦公網路計算機與公眾網(INTERNET)間必需實現物理隔離。基於上述原因,河北省科學院應用數學研究所為實現網路的物理隔離,自主研製推出了網路衛士物理隔離卡產品。
網路衛士產品簡介及產品特點
一、 產品簡介
1、 該產品解決了內外網路之間的物理隔離。以在原有計算機上加裝一塊「網路衛士物理隔離卡」的方式,來實現區域網與互聯網的網路通道隔離。當區域網中任何一台計算機一經接入互聯網,將完全與內部網(涉密網)徹底隔離,可以在互聯網上無拘無束的沖浪,又能保證內網的絕對安全。
2、 本產品是一種通過硬體配以軟體控制,來實現內、外網的切換,操作方便,安全可靠。真正符合國家保密局《計算機信息系統國際連網保密管理》第六條的規定。
3、 功能上等效於兩台獨立的計算機。內、外網兩套系統共享一塊硬碟及計算機中的所有資源,節省了大量的投資與辦公場地。
4、 本產品分為內置式和外置式兩種類型。內置式是直接固定於主板的PCI插槽上,不佔用計算機的資源,與計算機主板之間沒有數據通信,不存在任何兼容性問題;外置式是放置於機箱外部,方便更換、檢查及處理。
5、 支持ADSL撥號上網或是政府網的用戶使用。
6、 獨立研發、專利設計。擁有自主知識產權, 並申報國家專利(專利號:99257640.7)該產品並已通過公安部的安全性能檢測,檢驗報告編號:公計檢(委)字第99046號。頒發了產品批量生產許可證,批准證書編號:XKC30213;該產品也獲得了國家保密局關於涉密信息系統產品檢測認證證書(編號:ISSTEC2003YT0049)。可以確保內部網路及資源不受外界公眾網竊取和攻擊,真正做到簡單、可靠、可信、安全無憂地使用電腦。
二、網路衛士物理隔離卡的主要特點
真正實現物理隔離
全部採用觸點式繼電器,在單片機2051的控制下實現三組繼電器跳轉,保證了內、外網的真正物理隔離。
軟體控制,操作簡單、快捷
只需用滑鼠點擊」網路衛士」控制軟體上相應的按鈕,網路衛士通過串列口發送指令,系統自動關閉計算機,重新開機後到另一個硬碟系統。
安裝簡單,維護方便
網路衛士物理隔離卡的安裝並不復雜,在一台工作站PC上選擇一個PCI插槽插上隔離卡,卡上的控制線和兩個硬碟相連接,具有安裝網卡經驗的人員經過簡單的培訓即可順利安裝、維護。
使用范圍廣泛
本產品適用於政府機關、金融機構、部隊、企業單位、個人等需接入互聯網而又需要保護本地操作系統,及保護本地數據資源的一切個人電腦。
廣泛適用於Win98、win2000、WIN XP等各種操作系統。
產品功能及性能
網路衛士隔離卡是一種功能相對簡單又較為經濟的隔離產品,作為一個優秀的雙硬碟物理隔離產品系列,本產品已具備同類產品中最高的技術和性能。
本產品是PC機的硬體插卡,它插在PCI插槽上,卡上有三個電源介面,分別與主機電源、內網硬碟電源介面及外網硬碟電源介面相連接。內外網硬碟各自安裝獨立的操作系統,分別與內外網相對應。卡上還有內外網路線纜介面用於連接內外網路介面的通斷。在同一時間內只有一個硬碟供電並與相應的網路接通,另外一個硬碟不供電,其對應的網路也切斷,實現內外網路徹底的物理隔離。
純硬體設計,真正實現物理隔離。當網路衛士物理隔離卡處於內網狀態向外網切換時NetGuard 會自動檢測軟盤驅動器是否有軟盤存在,若驅動器中有軟盤存在,則給出警告不能切換並且返回,取出軟盤後方可進行網路切換。這就防止了在內網狀態下軟盤中數據被外網訪問的可能。
隔離卡與計算機通過串列口通訊,控製程序對計算機串列口具有自適應性,可選擇任意一個串列口安裝和使用,更換串列口需要重新配置;
一台計算機實現兩台計算機的功能,兩套系統共享除硬碟以外的所有設備,可節省大量投資和辦公場地。
網路衛士安全隔離解決方案
針對政府部門對於內外網路必須達到物理隔離的要求,我們特提出以下解決方案:在原基礎上安裝第二塊硬碟,通過安裝使用網路衛士隔離卡,使每塊硬碟專用於某個網路,而與另一塊硬碟及網路是完全物理隔離的。
產 品 使 用 指 南
一、 系統要求
1、 在具有一塊硬碟的基礎上再加裝一塊硬碟,這兩塊硬碟需安裝有自己獨立的Win98/2000Professial/WinXP等操作系統,並安裝軟體NetGuard。
2、 進行網路切換時系統要通過串列口(COM1/COM2)發送指令到網路衛士物理隔離卡,因此在系統中,要確定和網路衛士物理隔離卡相連接的串列口COM1或COM2未被佔用。
二、 安裝
1、硬體安裝
(1)關掉電源,打開機箱;
(2)將網路衛士隔離卡插在PCI槽上(只起到對隔離卡的固定作用,不從PCI插槽取電,不佔用系統中斷資源,不影響啟動速度);
(3)把內、外網線,對照卡上網線介面相連接,(內網線為標識為LAN的插槽,外網為標識為INTRNET的插槽,CARD插槽與網卡用藍色網線相連)。
(4)用灰色通訊線將卡上串口與PC機上的通訊串口相連。
(5)內、外網硬碟及PC機電源線與卡上相對應的電源線序連接。
2、軟體安裝
在兩塊不同的硬碟上分別安裝網路衛士切換軟體。
具體安裝方法如下:
●雙擊『我的電腦』裡面的光碟機盤符,找到與當前系統對應的切換軟體文件夾,雙擊里邊的SETUP.EXE文件開始安裝,連續選擇「NEXT」按鈕,最後選擇「FINISH」完成安裝。
●不需要時可從「控制面板」中的「添加/刪除程序」中卸載。
三、 使用說明
在Windows系統桌面上點擊「網路衛士」圖標 即可打開網路衛士切換軟體。只需用滑鼠雙擊選擇要切換到的網路按鈕,系統將自動關閉計算機,重新開機後自動轉換為對應的網路狀態。
網路衛士物理隔離卡與其它網路安全方法的比較
保護網路安全的方法 安全隔離性能 比較結果
1.配置兩台電腦,分別接上內部區域網和公眾網 可靠,符合國家有關網路
安全的規定 1. 使用不方便。
2. 投資成本巨大、浪費資源。
3. 網路設置復雜、維護難度大。
4. 佔用更多的辦公空間。
2.採用代理伺服器和防火牆技術 不可靠、不符合國家有關
網路安全隔離的規定 1. 投資成本大。
2. 即使是我國自主開發的防火牆產品,只要
CPU、操作系統是國外,安全程度亦難以保證。
3.安全隔離專用計算機 可靠、符合國家有關網路
安全隔離的規定 1. 重新購置該計算機,增加投資。
2. 單位現有的計算機造成浪費。
3. 一套機箱內二套設備, 技術上不合理。
4. 兼容機性能不穩定,價格高。
4.網路物理隔離卡 採用符合國家規定的物
理隔離法,安全可靠 1. 在原有設備上引入,不需增加太多投資。
2. 無需重新購買電腦設備,不佔用原有的辦公空間。
3. 純硬體設計,操作使用簡單、安全、可靠。 具體的可以看 http://forum.chinesehonker.org/thread-6486-1-1.html
4. 物理隔離卡 內外網切換
PC網路安全隔離卡把用戶的計算機硬碟物理分隔成二個區:一個公共區(外網),另一個為安全區(內網),分別擁有獨立的操作系統,通過各自的專用介面與網路連接,安裝在主板和硬碟之間,用硬體方式完全控制了硬碟讀寫操作,使用繼電器控制分區之間的轉換和網路連接,任何時候二個分區均不存在共享數據,保證了內外網之間的絕對隔離。同時,用戶可以根據需要自如方便地從一個分區切換到另一個分區。 一、技 術 特 點
1、內外網絕對隔離
PC網路安全隔離卡把用戶的計算機硬碟物理分隔成二個區:一個公共區(外網),另一個為安全區(內網),分別擁有獨立的操作系統,通過各自的專用介面與網路連接,安裝在主板和硬碟之間,用硬體方式完全控制了硬碟讀寫操作,使用繼電器控制分區之間的轉換和網路連接,任何時候二個分區均不存在共享數據,保證了內外網之間的絕對隔離。同時,用戶可以根據需要自如方便地從一個分區切換到另一個分區。
2、阻塞信息泄露通道
PC網路安全隔離卡能夠根據用戶的要求,在計算機的二個硬碟或硬碟分區之間相互轉換,並通過有效地控制IDE(或SATA)匯流排,徹底阻塞黑客進入未授權分區的通路,防止信息泄露和破壞,並可根據用戶需求實現從互聯網到內部網路的單向數據傳輸通道,絕對安全可靠。
3、應用廣泛
PC網路安全隔離卡與操作系統無關,兼容所有操作系統,支持ATA133標准,可以應用於所有IDE-ATA標準的硬碟;對網路技術和協議完全透明,支持單、雙布線網路和MODEM上網。
4、實現成本低
PC網路安全隔離卡價格低廉,簡單實用,方便網路管理工作。
二、技 術 原 理
PC網路安全隔離卡屬於端設備物理隔離設備,通過物理隔離的方式,在二個網路間轉換時,保證計算機的數據在網路之間不被重用。根據本產品設計方法:當計算機進入其中一個網路時,物理隔離部件保證被隔離的計算機硬碟(或硬碟分區)及網路相互不連通。在計算機處於內網狀態時,物理隔離部件可以禁止用戶使用光、軟碟機。計算機轉換網路時必須重新啟動,清空內存,不存在殘留信息泄漏的問題。
PC網路安全隔離卡---單硬碟型:將用戶的計算機硬碟物理分隔成二個區:一個公共區(外網),另一個為安全區(內網),分別擁有獨立的操作系統,通過各自的專用介面與網路連接,安裝在主板和硬碟之間,完全控制了網路連接及通訊線路,使用繼電器控制分區之間的轉換和網路連接,任何時候二個分區均不存在共享數據。同時,用戶可以根據需要自如方便地從一個分區切換到另一個分區。