既有机房施工时如何物理隔离

A. 如何实现物理隔离

所谓“物理隔离”是指内部网不直接或间接地连接公共网。物理隔离的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网和公共网物理隔离，才能真正保证内部信息网络不受来自互联网的黑客攻击。此外，物理隔离也为内部网划定了明确的安全边界，使得网络的可控性增强，便于内部管理。

物理隔离技术是解决网络不安全性的一种技术，物理隔离从广义上讲分为网络隔离和数据隔离，只有达到这两种要求才是真正意义上的隔离，并介绍了网络隔离和数据隔离。现在我们主要介绍物理隔离及其产品。

3．物理隔离产品

物理隔离产品有效地解决了上述数据隔离和计算机终端的网络隔离问题。它能实现在建好两个网络的前提下使一台计算机能连接两个网络，并且在同一时间，用户在装有物理隔离产品的计算机里，只能应用其中的一个网络系统。

物理隔离产品利用了计算机的数据处理方式，用户所有计算机应用操作都必须依赖操作系统和应用系统来完成。有了操作系统，用户才能方便、快捷地把数据存储在硬盘上。所以，只要对硬盘的读写进行全面控制，就可以实现数据隔离。对硬盘的读写进行控制可以用软件实现，也可以用硬件实现。可利用计算机加电启动后必须读主引导记录这一特点，把对硬盘读写控制的代码放在主引导程序中。这样，只要计算机一启动，这段代码就会被激活，所有对硬盘的读写就完全被这段代码接管。如果再利用硬件对硬盘的主引导记录进行写保护的特性，计算机就可以实现数据隔离。但是像这种用软件实现的数据隔离依然存在漏洞，因为那些被激活的对硬盘进行读写控制的代码是放在内存中的，而内存中的任何数据都可以通过程序来释放，黑客就可以利用这一特点编写相应的代码，先释放这段代码，然后读取他想读取或想破坏的任何数据。但是，我们如果能把对硬盘进行读写控制的代码用硬件实现，那么不管是黑客还是病毒都无能为力了。

最后，物理隔离产品控制网络与计算机的连接，这样就实现了一台计算机既能连接两个网络，又能实现完全数据隔离的目的。

随着网络化、信息化的迅猛发展，“安全源于物理隔离”的概念将不断深入到各行业、各部门、各地区。

B. 单机如何实现物理隔离

1、单主板安全隔离计算机：其核心技术是双硬盘技术，将内外网络转换功能做入BIOS中，并将插槽也分为内网和外网，使用更方便，也更安全，价格界乎于双主机和隔离卡之间。 2、隔离卡技术：其核心技术是双硬盘技术，启动外网时关闭内网硬盘，启动内网时关闭外网硬盘，使两个网络和硬盘物理隔离，它不仅用于两个网络物理隔离的情况，也可用于个人资料要保密又要上互联网的个人计算机的情况。其优点是价格低，但使用稍麻烦，因为转换内外网要关机和重新开机。 一、单主板安全隔离计算机 单主板安全隔离计算机是采用彻底实现内外网物理隔离的个人电脑，这种安全电脑的成本仅仅增加了25%左右，并且由于这种安全电脑是在较低层的BIOS上开发的，处理器、主板、外设的升级不会给电脑带来什么“不兼容”的影响。它很好地解决了接入网络后局域网络信息安全、系统安全、操作安全和环境安全等问题，彻底实现了网络物理隔离。 安全电脑在传统PC主板结构上形成了两个物理隔离的网络终端接入环境，分别对应于国际互联网和内部局域网，保证局域网信息不会被互联网上的黑客和病毒破坏。主板BIOS控制由网卡和硬盘构成的网络接入和信息存储环境各自独立，并只能在相应的网络环境下工作，不可能在一种网络环境下使用另一环境才使用的设备。BIOS还提供所有涉及信息发送和输出设备的控制，包括： 1、对软驱、光驱提供限制功能。在系统引导时不允许驱动器中有移动存储介质。双网计算机提供软驱关闭/禁用功能。 2、对双向端口设备提供限制功能。双向端口包括打印机接口/并行接口、串行接口、USB接口、MIDI接口，这些接口如果使用不当，也是安全漏洞，需要加强使用管制。对于BIOS，则由防写跳线防止病毒破坏、非法刷新或破坏以及改变BIOS的控制特性。目前金长城世恒双网计算机就是采用这种构架的产品。 二、网络安全隔离卡 网络安全隔离卡的功能是以物理方式将一台PC虚拟为两部电脑，实现工作站的双重状态，既可在安全状态，又可在公共状态，两种状态是完全隔离的，从而使一部工作站可在完全安全状态下连接内外网。 网络安全隔离卡实际是被设置在PC中最低的物理层上，通过卡上一边的IDE总线连接主板，另一边连接IDE硬盘，内、外网的连接均须通过网络安全隔离卡，PC机硬盘被物理分隔成为两个区域，在IDE总线物理层上，在固件中控制磁盘通道，在任何时候，数据只能通往一个分区。 在安全状态时，主机只能使用硬盘的安全区与内部网连接，而此时外部网（如Internet）连接是断开的，且硬盘的公共区的通道是封闭的；在公共状态时，主机只能使用硬盘的公共区与外部网连接，而此时与内部网是断开的，且硬盘安全区也是被封闭的。 当两种状态转换时，是通过鼠标点击操作系统上的切换键，即进入一个热启动过程。切换时，系统通过硬件重启信号重新启动，这样，PC内存的所有数据就被消除，两个状态分别是有独立的操作系统，并独立导入，两种硬盘分区不会同时激活。 为了保证安全，两个分区不能直接交换数据，但是用户可以通过一个独特的设计，来安全方便地实现数据交换，即在两个分区以外，网络安全隔离在硬盘上另外设置了一个功能区，该功能区在PC处于不同的状态下转换，即在两种状态下功能区均表现为硬盘的D盘，各个分区可以通过功能区作为一个过渡区来交换数据。当然根据用户需要，也可创建单向的安全通道，即数据只能从公共区向安全区转移，但不能逆向转移，从而保证安全区的数据安全。珠海的伟思公司推出的网络安全隔离卡就采用了上述的技术。

C. 数据机房桥架物理隔离距离是多少

为了防止人体触及或过分接近带电体，或防止车辆和其他物体碰撞带电体，以及避免发生各种短路、火灾和爆炸事故，在人体与带电体之间、带电体与地面之间、带电体与带电体之间、带电体与其他物体和设施之间，都必须保持一定的距离。

D. 什么是物理隔离装置 和防火墙有什么区别

物理隔离，是指采用物理方法将内网与外网隔离从而避免入侵或信息泄露的风险的技术手段。物理隔离主要用来解决网络安全问题的，尤其是在那些需要绝对保证安全的保密网。

为了防止来自互联网的攻击和保证这些高安全性网络的保密性、安庆并唯全性、完整性、防抵赖和高可用性，几乎全部要求采用物理隔离技术。

区别：

1，防火墙传输数据可以双向，支持TCP/IP七层协议。

2，防火墙代主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障，从而实现对计算机不安全网络因素的阻断。

3，无论从功能还是实现原理上讲，安全隔离网闸和防火墙是完全不同的两个产品，防火墙是保证网络层安全的边界安全工具（如通常的非军事化区），而安全隔离网闸重点是保护内部网络的安全。因此两种产品由于定位的不同，不能相互取代。

4，物理隔离装置也就是安全网闸，只能单向传输数据，不是正向就是反向。不能同时双向，这样也就切断了黑客的访问连接。

5，物理隔离装置针对的是一区二区与三区之间传输间才用到的，横向隔离装置相当于是安全网闸，数据只能单向传输，不能双向。

(4)既有机房施工时如何物理隔离扩展阅读

防火墙一般在进行IP包转发的同时，通过对IP包的处理，实现对TCP会话的控制，但是对应用数据的内容不进行检查。这种工作方式无法防止泄密，也无法防止病毒和黑客程序的攻击。

只有在防火墙同意情况下，用户才能够蔽卖进入计算机内，如果不同意就会被阻挡于外，防火墙技术的警报功能十分强大，在外部的用户要进入到计算机内时，防火墙就会迅速的发出相应的警报，并提醒用户的行为。

进行自我的判断来决定是否允许外部的用户进入到内部，只要是在网络环境内的用户，这誉培种防火墙都能够进行有效的查询，同时把查到信息朝用户进行显示，然后用户需要按照自身需要对防火墙实施相应设置，对不允许的用户行为进行阻断。

通过防火墙还能够对信息数据的流量实施有效查看，并且还能够对数据信息的上传和下载速度进行掌握，便于用户对计算机使用的情况具有良好的控制判断，计算机的内部情况也可以通过这种防火墙进行查看，还具有启动与关闭程序的功能，计算机系统的内部中具有的日志功能。

E. 如何实现既内外网隔离，又能内外网业务工作的开展

保密机关单位由于其工作的性质，所涉及到的一部分数据资料必须处于完全的安全 状态下，然而工作的需求还需联入INTERNET，这样就无法保证公司内部局域网的安全。我公司依据上述情况，制定以下解决方案，以便参考。 上述情况的唯一可行的解决方案就是物理隔离安全网和公共网，现在国际上最新颖的物理隔离解决思路是：在同一时间、同一空间，单个用户是不可能同时使用两个系统的。所以，总有一个系统处于"空闲"状态。只要使两个系统在空间上物理隔离，在不同的时间运行，就可以得到两个完全物理隔离的系统，即一个区连接外部网，一个区连接内部网。 在方案一：用一根网线实现内外网的传输方式，计算机用户只使用单个硬盘，这种方式是绝大多数用户所采用的。单硬盘网络安全隔离卡。应用此方案一个优点就是可以免去另外布线。只需安装网络安全隔离集线器与安装了网络安全隔离卡的安全计算机配合使用可以满足对单网布线的要求，即桌面计算机只用一条网线就可连接到远端的双网上。

具体实施物理隔离措施的过程当中，为了避免使用两套独立的计算机网络系统，做到物理隔离和使用方便相结合，实行物理隔离采用网络隔离卡是一种简单易行的方法。将一台工作站或pc机的单个硬盘物理分割为两个分区，即公共区（public）和安全区（secure）。这些分区容量可以由用户指定，因此使一台pc能连接两个网络。通过公共区连接外部网，如internet，主机只能使用硬盘的公共区与外部网连接，而此时与内部网是断开的，且硬盘安全区也是被封闭的。而安全区则连接内部网，主机只能使用硬盘的安全区与内部网连接，而此时与外部网（如internet）连接是断开的，且硬盘的公共区的通道是封闭的。两个分区分别安装各自的操作系统，是两个完全独立的环境，操作者一次只能进入其中一个系统，从而实现内外网的完全隔离。

网络安全隔离卡的功能即是以物理方式将一台PC虚拟为两个电脑，实现工作站的双重状态，既可在安全状态，又可在公共状态，两个状态是完全隔离的，从而使一部工作站可在完全安全状态下联结内、外网网络安全隔离卡实际是被设置在PC中最低的物理层上，通过卡上一边的IDE总线联结主板，另一边联结IDE硬盘，内、外网的联接均须通过网络安全隔离卡，PC机硬盘被物理分隔成为两个区域，在IDE总线物理层上，在固件中控制磁盘通道，在任何时候，数据只能通往一个分区。 在安全状态时，主机只能使用硬盘的安全区与内部网联结，而此时外部网（如Internet）联接是断开的，且硬盘的公共区的通道是封闭的。在公共状态时，主机只能使用硬盘的公共区，可以与外部网联结，而此时与内部网是断开的，且硬盘安全区也是被封闭的。 转换便捷 当两种状态转换时，是通过鼠标点击操作系统上的切换键，即进入一个热启动过程，切换时，系统通过硬件重启信号重新启动，这样，PC的内存所有数据被消除，两个状态分别是有独立的操作系统，并独立导入，两个硬盘分区不会同时激活。 数据交换 为了安全的保证，两个分区不能直接交换数据，但是用户可以通过我们的一个独特的设计，来安全方便地实现数据交换，即在两个分区以外，网络安全隔离在硬盘上另外设置了一个功能区，功能区在PC处于不同的状态下转换，即在两个状态下，功能区均表现为硬盘的D盘，各个分区可以通过功能区作为一个过渡区来交换数据。当然根据用户需要，也可创建单向的安全通道，即数据只能从公共区向安全区转移，但不能逆向转移，从而保证安全区的数据安全。 安全区控制 基于安全威胁来自内外两方面的关系，即除了外来的黑客攻击、病毒发布以外，系统内部有意或无意的泄密，也是必须防止的威胁。因此，网络安全隔离卡可以对安全区作只读控制，即可禁止内部使用者以软驱、光驱复制数据或纂改安全区的数据。 技术的广泛应用 由于网络安全隔离卡是控制主IDE总线，在PC机硬件最底层的基础上，因此广泛支持几乎所有奔腾以及奔腾兼容芯片。 由于网络安全隔离卡是完全独立于操作系统的，因此也支持几乎所有主流的操作系统。网络安全隔离卡对网络技术和协议完全透明，因此，对目前主要协议广泛支持，如以太网、快速以太网、令牌环行网、光纤、ATM、ISDN、ADSL。

2、安装与使用 网络安全隔离卡的安装并不复杂，一般情况，并不需要改变用户原有的网络结构，安装人员的技术水平要求相当安装普通网卡的水平。安装网络安全隔离卡，一般情况下，不必因为担心丢失数据，而去复制硬盘上数据。用户的使用也只须接受简单的培训，不存在日后的维护问题。设备清单 现状：共有50台客户端，每台客户端都需要实现内外网的访问所需设备列表
（1）两组交换机，每组共有50个端口以上
（2）24口的网络安全隔离集线器需要：7个
（3）网络安全隔离卡：50个
（4）在同一个硬盘安装两套操作系统
（5）内外网的相互转换应用用户选择界面来执行的，只对机器进行热启动，即可完成安全转换。
方案二：重新布线到各客户端，按照客户需求共需50个点的布线，这样在客户端共需两个节点来满足要求。 所需的设备： 50个节点的布线材料 两组端口数超过50个口的交换机组50块安全隔离卡