1. 什么是物理隔离卡
1.1什么是物理隔离
所谓“物理隔离”是指内部网不得直接或间接地连接公共网。物理安全的目的是保护路由器、工作站、各种网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击;只有使内部网和公共网“物理隔离”,才能真正保证党政机关的内部信息网络不受来自互联网的黑客攻击。此外,"物理隔离"也为政府内部网划定了明确的安全边界,使得网络的可控性增强,便于内部管理。
1.2为什么要物理隔离
随着计算机网络及国际互联网的应用飞速发展,使我们进入了网络科技时代。用一台网络计算机可知天下事,政府部门、企业均已采用先进的互联网技术建立自己的内部办公网络或企业管理网。但由于网际网(INTRENET)的开放性,使得网络安全受到严重的威胁,网络系统会遭到一些人的破坏或感染病毒,泄密情况严重。据不完全统计,全球计算机网络由于遭受到非法攻击而造成的直接经济损失高达百亿美元以上。因此各国政府或各企业对网络的安全极度重视,甚至规定内部办公网络计算机不准与网际网(INTERNET)互联。但这样众多公司内部的局域网用户就无法查询公众网上丰富的信息资源和使用便捷的电子邮件服务,使资源造成了很大的浪费。 与此同时,一大批开发网络防火墙、防病毒系统,对网络进行入侵检测和漏洞扫描等软件的企业应运而生。但经过实验证明,防火墙及名种软件在根本上无法解决网络安全的问题,因此依旧会造成泄密和严重的经济损失。根据国家保密局于2000年1月1日起颁布实施的《计算机信息系统国际联网保密管理规定》,其中的第二章第六条规定“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网相连接,必须实行物理隔离”。正因为如此,我们的涉密网不能把机密数据的安全完全寄托在用概率来作判断的防护上,必须有一道绝对安全的大门,来保证涉密网的信息不被泄漏和破坏,这就是在涉密网上实现物理隔离所起到的作用
1.3 现有的物理隔离技术
正因为软件技术不完全可靠。对重要用户采取物理隔离的安全措施,在世界各国已普遍采用。中国政府也采取必要措施,要求涉及国家安全的重要机构的计算机网络系统必须采用物理隔离的措施,保证信息的绝对安全。应该看到,随着全世界网上经济活动的日益普及,物理隔离对保证企业和个人的重要计算机数据的安全也是非常必要的。
但普通的物理隔离方法虽然安全,但也造成了工作不便、数据交流困难、设备场地增加等,我们还必须购买多套的硬件设备和为每台计算机购买应用软件,同时软硬件维护工作量和费用也相应加大。以下是现有、常见的几种物理隔离技术:
指定通信室
在指定通信室使用与内部网络隔离的单机与外部网络连接,用户需到通信室实现对互连网络的访问。
缺点: 1、每次上外网到指定通信室、使用极不方便;
2、占用专用的办公空间;
3、需要额外的上网设备;
4、离开工作环境,进入通信室极大地影响了用户的工作流程,降低了用户的工作效率。
两个独立网络
建立两个独立网络,每个用户两个PC机,分别连接内部网络和外部网络
缺点: 1、使用不方便,
2、投资成本巨大、浪费资源,
3、网络设置复杂、维护难度大,
4、占用更多的办公空间;
5、长期使用、工作稍稍疏忽,可能会导致敏感数据的的泄露。
物理切换开关A/B交换盒,
使用物理切换开关A/B交换盒,在一个机箱内装有两套独立的硬件
缺点: 1、重新购置该计算机,增加投资;
2、单位现有的计算机造成浪费;
3、一套机箱内二套设备, 技术上不合理;
4、特别设备、价格高
5、长期使用、工作稍稍疏忽,可能会导致敏感数据的的泄露。
物理隔离卡
在每台电脑中通过PCI安装物理隔离卡,把一台普通计算机分成两台虚拟计算机,实现真正的物理隔离
缺点: 在电脑内须额外加卡
使用两台计算机连接内外两个网络
使用安装了物理隔离卡的计算机连接内外两个网络
2 双硬盘网络安全隔离卡
2.1 双硬盘隔离卡概术
双硬盘物理隔离卡产品是第二代物理隔离产品,是一种功能相对简单但较为经济的物理隔离产品。它以其安全度高、成本低、操作简单等优势迅速发展起来。
2.1.1 双硬盘隔离卡原理
在市面上的双硬盘物理隔离卡品种繁多,但都是基于这样一个基本原理:在连接内部网络的同时,启动内网硬盘及其操作系统,与此同时关闭外网硬盘;在连接外部网络的同时,启动外网硬盘及其操作系统,与此同时关闭内网硬盘。
而隔离卡在这中间就相当于一个开关的作用,控制硬盘和网络的连接,当要进入到内部网络的时候,隔离卡就接通内部网络的硬盘和网线,这时外部网络的硬盘和网线完全断开,使其能够使用内部网络的资源的同时免受外部的影响(如病毒、黑客攻击等);当要进入到外部网络的时候,隔离卡就接通外部网络的硬盘和网线,这时内部网络的硬盘和网线完全断的,使其能够使用外部网络(如Internet)的大量资源的同时,保证内部网络免受影响。利用这个原理把一台电脑变成两台分离的虚拟工作站,如下图所示:
2.1.2双硬盘隔离卡分类
我们可以根据物理隔离卡和计算机通讯方式、网络的布线方式、对硬盘的控制方式来进行分类。
根据物理隔离卡与计算机通讯方式的不同,我们可以将其分为以下三种类型:
1. 手动切换方式: 即硬切换。它的最大特点是无需安装软件。内外网通过手动开关上的指示灯或者其按键高低来显示。这样的隔离卡在市场上已趋于淘汰。
2. 串口通讯方式:它是通过软件控制,实现计算机网络状态的切换。隔离卡与计算机的通讯方式是通过串口来实现的。它的最大特点,智能化高,能自动监测出当前的网络状态。并且界面友好,使用方便,还具有软盘、光盘提示等功能。3. PCI接口方式:也是通过软件控制实现内外网络状态的检测和切换。同串口通讯方式相比,它最大的特点是,节省了有限的串口资源。
如果以不同的布线来做个比较的话,我们又可以将双硬盘隔离卡分为,双网,单网,和支持MODEM功能。
双网主要适用于政府、军队、企业等已经拥有内外网两套环境和设备的用户。单网最大的特点是能够节省大量投资和办工场地,用一根网线实现内外网登陆。但需要配合相应的网络安全切换器使用。市场上,大多公司都具有以上两种类型的隔离卡。支持MODEM功能,主要是为了那些即为了安全,又需要上互联网的小型用户配置的。
根据物理隔离卡对硬盘控制方式的不同,可分电源控制、和数据线控制、电源和数据线控制兼而有之。
控制电源方式:通过切断硬盘电源来实现内外网硬盘的转换,在市场上较为普遍。但它的稳定性和兼容性相对较差。控制数据线方式:通过控制硬盘数据线来实现内外网硬盘转换的隔离卡,无兼容性问题,但成本较高。为了解决切断电源带来的不兼容性问题,于是出现对部分硬盘数据线实行切断控制的双硬盘隔离卡。这种卡是软切换方式,既解决了兼容性问题,也降低了成本。
我国双硬盘物理隔离技术的发展已经逐步趋于成熟,日趋完善的物理隔离产品已成为网络安全保密体系中不可缺少的重要环节。
2.2 双硬盘网络安全隔离卡系列功能简介
双硬盘网络安全隔离卡系列具有前面所描述的全部系列隔离卡,为不同的用户提供所需。在各个双硬盘隔离卡生产厂家中,公司在多个不同的产业中投资,稳定性强,可持续发展;其产品系列化,后续研发能力强,保证产品更新;服务严密周到,服务队伍强,全国统一调度,可按长期计划提供服务;提供从低档到高档的全系列,并可在将来进一步升级。
双硬盘网络安全隔离卡系列产品比较
型号
功能 V1.00-A V1.00-B V1.00-C V1.00-C+ 1.00-
C++ V1.00-D
纯硬件设计,真正实现物理隔离 √ √ √ √ √ √
防止病毒和网络黑客通过Internet对内部网络的攻击 √ √ √ √ √ √
界面友好,使用方便 √ √ √ √ √ √
内、外网通过软件切换 √ √ √ √ √ √
DOS/WINDOWS9.X/ME/NT/2000/XP √ √ √ √ √ √
节省大量投资和办公场地 √ √ √ √ √ √
不占用计算机内部资源 √ √ √ √ √ √
安装简单、快捷,免维护 √ √ √ √ √ √
外网或内网环境下实现屏蔽光软驱 √ √ √ √ √
具有软盘、光盘提示功能 √ √ √ √ √ √
内网屏蔽Modem功能 √ √ √ √ √
单双网线布线方式可选 √ √ √ √
通过串行口控制网络隔离状态 √ √ √ √ √
通过PCI接口控制网络隔离状态 √
切断硬盘电源 √ √ √ √ √
切断IDE数据线 部分 全部 部分
解决部分硬件的兼容性问题 √ √ √
开机时出现切换选择菜单 √ √ √ √ √
切换时可选择无需关机,只需热启动 √ √ √ √ √
备注
2.2 特点
符合国家保密局《计算机信息系统国际联网保密管理规定》第六条关于“计算机内网和外网必须实行物理隔离”的要求。
纯硬件设计,真正实现物理隔离。有效地防止网络病毒和网络黑客通过外网对内网进行攻击,使内网运行在一个非常安全的环境中。
安全计算机中采用双硬盘(A硬盘和B硬盘),A硬盘中存储一套操作系统用于与内网相连,B硬盘中存储另一套操作系统用于与外网相连。
隔离卡插入计算机PCI插槽内,隔离卡上的网络线,分别连接内、外两个网络。由隔离卡控制内外网的硬盘和相应网络的接通与断开
2. 怎样安装隔离卡
由于不同的隔离卡的安装要求不同,所以没有固定的答案.不过可以给你一些提示:
1,双硬盘的隔离卡,首先是准备好两块硬盘,都接好电源线
2,把隔离卡插到PCI槽,
3,根据隔离卡上的提示,首先用一跟数据线把隔离卡与主板连接
4,然后用数据线把隔离卡与两个硬盘连接
5,开机,看时候运行正常
3. 谁可以提供网络安全物理隔离卡解决方案
网络安全物理隔离卡解决方案 随着计算机网络及国际互联网的应用飞速发展,使我们进入了前所未有的网络信息时代。用一台计算机可知天下事,政府的各部门、各企业均已采用先进的互联网技术建立自己的内部办公网。但由于公众网(INTRENET)的开放性,使得网络安全受到严重的威胁。因此保密局规定:内部办公网络计算机与公众网(INTERNET)间必需实现物理隔离。基于上述原因,河北省科学院应用数学研究所为实现网络的物理隔离,自主研制推出了网络卫士物理隔离卡产品。
网络卫士产品简介及产品特点
一、 产品简介
1、 该产品解决了内外网络之间的物理隔离。以在原有计算机上加装一块“网络卫士物理隔离卡”的方式,来实现局域网与互联网的网络通道隔离。当局域网中任何一台计算机一经接入互联网,将完全与内部网(涉密网)彻底隔离,可以在互联网上无拘无束的冲浪,又能保证内网的绝对安全。
2、 本产品是一种通过硬件配以软件控制,来实现内、外网的切换,操作方便,安全可靠。真正符合国家保密局《计算机信息系统国际连网保密管理》第六条的规定。
3、 功能上等效于两台独立的计算机。内、外网两套系统共享一块硬盘及计算机中的所有资源,节省了大量的投资与办公场地。
4、 本产品分为内置式和外置式两种类型。内置式是直接固定于主板的PCI插槽上,不占用计算机的资源,与计算机主板之间没有数据通信,不存在任何兼容性问题;外置式是放置于机箱外部,方便更换、检查及处理。
5、 支持ADSL拨号上网或是政府网的用户使用。
6、 独立研发、专利设计。拥有自主知识产权, 并申报国家专利(专利号:99257640.7)该产品并已通过公安部的安全性能检测,检验报告编号:公计检(委)字第99046号。颁发了产品批量生产许可证,批准证书编号:XKC30213;该产品也获得了国家保密局关于涉密信息系统产品检测认证证书(编号:ISSTEC2003YT0049)。可以确保内部网络及资源不受外界公众网窃取和攻击,真正做到简单、可靠、可信、安全无忧地使用电脑。
二、网络卫士物理隔离卡的主要特点
真正实现物理隔离
全部采用触点式继电器,在单片机2051的控制下实现三组继电器跳转,保证了内、外网的真正物理隔离。
软件控制,操作简单、快捷
只需用鼠标点击”网络卫士”控制软件上相应的按钮,网络卫士通过串行口发送指令,系统自动关闭计算机,重新开机后到另一个硬盘系统。
安装简单,维护方便
网络卫士物理隔离卡的安装并不复杂,在一台工作站PC上选择一个PCI插槽插上隔离卡,卡上的控制线和两个硬盘相连接,具有安装网卡经验的人员经过简单的培训即可顺利安装、维护。
使用范围广泛
本产品适用于政府机关、金融机构、部队、企业单位、个人等需接入互联网而又需要保护本地操作系统,及保护本地数据资源的一切个人电脑。
广泛适用于Win98、win2000、WIN XP等各种操作系统。
产品功能及性能
网络卫士隔离卡是一种功能相对简单又较为经济的隔离产品,作为一个优秀的双硬盘物理隔离产品系列,本产品已具备同类产品中最高的技术和性能。
本产品是PC机的硬件插卡,它插在PCI插槽上,卡上有三个电源接口,分别与主机电源、内网硬盘电源接口及外网硬盘电源接口相连接。内外网硬盘各自安装独立的操作系统,分别与内外网相对应。卡上还有内外网络线缆接口用于连接内外网络接口的通断。在同一时间内只有一个硬盘供电并与相应的网络接通,另外一个硬盘不供电,其对应的网络也切断,实现内外网络彻底的物理隔离。
纯硬件设计,真正实现物理隔离。当网络卫士物理隔离卡处于内网状态向外网切换时NetGuard 会自动检测软盘驱动器是否有软盘存在,若驱动器中有软盘存在,则给出警告不能切换并且返回,取出软盘后方可进行网络切换。这就防止了在内网状态下软盘中数据被外网访问的可能。
隔离卡与计算机通过串行口通讯,控制程序对计算机串行口具有自适应性,可选择任意一个串行口安装和使用,更换串行口需要重新配置;
一台计算机实现两台计算机的功能,两套系统共享除硬盘以外的所有设备,可节省大量投资和办公场地。
网络卫士安全隔离解决方案
针对政府部门对于内外网络必须达到物理隔离的要求,我们特提出以下解决方案:在原基础上安装第二块硬盘,通过安装使用网络卫士隔离卡,使每块硬盘专用于某个网络,而与另一块硬盘及网络是完全物理隔离的。
产 品 使 用 指 南
一、 系统要求
1、 在具有一块硬盘的基础上再加装一块硬盘,这两块硬盘需安装有自己独立的Win98/2000Professial/WinXP等操作系统,并安装软件NetGuard。
2、 进行网络切换时系统要通过串行口(COM1/COM2)发送指令到网络卫士物理隔离卡,因此在系统中,要确定和网络卫士物理隔离卡相连接的串行口COM1或COM2未被占用。
二、 安装
1、硬件安装
(1)关掉电源,打开机箱;
(2)将网络卫士隔离卡插在PCI槽上(只起到对隔离卡的固定作用,不从PCI插槽取电,不占用系统中断资源,不影响启动速度);
(3)把内、外网线,对照卡上网线接口相连接,(内网线为标识为LAN的插槽,外网为标识为INTRNET的插槽,CARD插槽与网卡用蓝色网线相连)。
(4)用灰色通讯线将卡上串口与PC机上的通讯串口相连。
(5)内、外网硬盘及PC机电源线与卡上相对应的电源线序连接。
2、软件安装
在两块不同的硬盘上分别安装网络卫士切换软件。
具体安装方法如下:
●双击‘我的电脑’里面的光驱盘符,找到与当前系统对应的切换软件文件夹,双击里边的SETUP.EXE文件开始安装,连续选择“NEXT”按钮,最后选择“FINISH”完成安装。
●不需要时可从“控制面板”中的“添加/删除程序”中卸载。
三、 使用说明
在Windows系统桌面上点击“网络卫士”图标 即可打开网络卫士切换软件。只需用鼠标双击选择要切换到的网络按钮,系统将自动关闭计算机,重新开机后自动转换为对应的网络状态。
网络卫士物理隔离卡与其它网络安全方法的比较
保护网络安全的方法 安全隔离性能 比较结果
1.配置两台电脑,分别接上内部局域网和公众网 可靠,符合国家有关网络
安全的规定 1. 使用不方便。
2. 投资成本巨大、浪费资源。
3. 网络设置复杂、维护难度大。
4. 占用更多的办公空间。
2.采用代理服务器和防火墙技术 不可靠、不符合国家有关
网络安全隔离的规定 1. 投资成本大。
2. 即使是我国自主开发的防火墙产品,只要
CPU、操作系统是国外,安全程度亦难以保证。
3.安全隔离专用计算机 可靠、符合国家有关网络
安全隔离的规定 1. 重新购置该计算机,增加投资。
2. 单位现有的计算机造成浪费。
3. 一套机箱内二套设备, 技术上不合理。
4. 兼容机性能不稳定,价格高。
4.网络物理隔离卡 采用符合国家规定的物
理隔离法,安全可靠 1. 在原有设备上引入,不需增加太多投资。
2. 无需重新购买电脑设备,不占用原有的办公空间。
3. 纯硬件设计,操作使用简单、安全、可靠。 具体的可以看 http://forum.chinesehonker.org/thread-6486-1-1.html
4. 物理隔离卡 内外网切换
PC网络安全隔离卡把用户的计算机硬盘物理分隔成二个区:一个公共区(外网),另一个为安全区(内网),分别拥有独立的操作系统,通过各自的专用接口与网络连接,安装在主板和硬盘之间,用硬件方式完全控制了硬盘读写操作,使用继电器控制分区之间的转换和网络连接,任何时候二个分区均不存在共享数据,保证了内外网之间的绝对隔离。同时,用户可以根据需要自如方便地从一个分区切换到另一个分区。 一、技 术 特 点
1、内外网绝对隔离
PC网络安全隔离卡把用户的计算机硬盘物理分隔成二个区:一个公共区(外网),另一个为安全区(内网),分别拥有独立的操作系统,通过各自的专用接口与网络连接,安装在主板和硬盘之间,用硬件方式完全控制了硬盘读写操作,使用继电器控制分区之间的转换和网络连接,任何时候二个分区均不存在共享数据,保证了内外网之间的绝对隔离。同时,用户可以根据需要自如方便地从一个分区切换到另一个分区。
2、阻塞信息泄露通道
PC网络安全隔离卡能够根据用户的要求,在计算机的二个硬盘或硬盘分区之间相互转换,并通过有效地控制IDE(或SATA)总线,彻底阻塞黑客进入未授权分区的通路,防止信息泄露和破坏,并可根据用户需求实现从互联网到内部网络的单向数据传输通道,绝对安全可靠。
3、应用广泛
PC网络安全隔离卡与操作系统无关,兼容所有操作系统,支持ATA133标准,可以应用于所有IDE-ATA标准的硬盘;对网络技术和协议完全透明,支持单、双布线网络和MODEM上网。
4、实现成本低
PC网络安全隔离卡价格低廉,简单实用,方便网络管理工作。
二、技 术 原 理
PC网络安全隔离卡属于端设备物理隔离设备,通过物理隔离的方式,在二个网络间转换时,保证计算机的数据在网络之间不被重用。根据本产品设计方法:当计算机进入其中一个网络时,物理隔离部件保证被隔离的计算机硬盘(或硬盘分区)及网络相互不连通。在计算机处于内网状态时,物理隔离部件可以禁止用户使用光、软驱。计算机转换网络时必须重新启动,清空内存,不存在残留信息泄漏的问题。
PC网络安全隔离卡---单硬盘型:将用户的计算机硬盘物理分隔成二个区:一个公共区(外网),另一个为安全区(内网),分别拥有独立的操作系统,通过各自的专用接口与网络连接,安装在主板和硬盘之间,完全控制了网络连接及通讯线路,使用继电器控制分区之间的转换和网络连接,任何时候二个分区均不存在共享数据。同时,用户可以根据需要自如方便地从一个分区切换到另一个分区。