物理隔離技術在信息安全上的應用及實現

張立志

摘 要 Internet的普及極大地推動了信息化的發展，但由此帶來的安全問題也十分突出。在網絡信息安全的重要性日益凸現的現實環境下，如何做好網絡信息安全工作已成為一個重要的研究課題。物理隔離技術在此背景下應運而生。物理隔離目前常見的實現方式以隔離卡和隔離集線器為主，實現多個網絡的真正物理隔離。物理隔離作為一種更徹底、更安全的網絡安全技術，在保密性要求較高的網絡中得到了較廣泛的應用。

關鍵詞 網絡安全 物理隔離 信息安全

中圖分類號：TP393 文獻標識碼：A

在當今，網絡應用蓬勃發展，Internet逐漸融入到社會的各個方面，網絡用戶成分越來越復雜，由此帶來的安全問題也十分突出，而物理隔斷技術的發展為徹底斬斷網上黑手提供可能。

1物理隔離的提出

互聯網的方便快捷使我們的工作效率得到了極大地提高，但與此同時，我們也正受到日益嚴重的來自網絡的安全威脅，諸如數據竊賊、黑客侵襲、病毒騷擾，甚至系統內部的泄密者。互聯網的安全性能對我們在進行網絡互聯時如何保護國家、公司秘密提出了挑戰。盡管我們廣泛地使用各種復雜的軟件技術，如防火墻、代理服務器、侵襲探測器、通道控制機制等等，但是由于這些技術都是基于軟件的保護，是一種邏輯機制，這對于邏輯實體（即黑客和內部用戶）而言是可能被操縱的。由于這些技術復雜性與有限性，無法提供高度數據安全要求，所以提出了物理隔離技術，它主要是基于這樣的思想：如果不存在與網絡的物理連接，網絡安全威脅便受到了真正的限制。

2物理隔離在安全上的三點要求

（1）在物理傳導上使內外網絡隔斷，確保外部網不能通過網絡連接而侵入內部；同時防止內部網信息通過網絡連接泄漏到外部網。

（2）在物理輻射上隔斷內部網與外部網，確保內部網信息不會通過電磁輻射或耦合方式泄漏到外部網。

（3）在物理存儲上隔斷兩個網絡環境，對于斷電后會遺失信息的部件，如內存、處理器等暫存部分，要在網絡轉換時作清除處理，防止殘留信息出網；對于斷電非遺失性設備如磁帶機、硬盤等存儲設備，內部網與外部網信息要分開存儲。

3物理隔離的實現

3.1單主板安全隔離計算機

這種方案適合小型的單網結構的局域網，其核心技術是雙硬盤技術，將內外網絡轉換功能做入BIOS中，并將插槽也分為內網和外網，使用更方便，也更安全。單主板安全隔離計算機，它是采用徹底實現內外網物理隔離的個人計算機，并且由于這種安全電腦是在較低層的BIOS上開發的，處理器、主板、外設的升級不會給電腦帶來什么“不兼容”的影響。它很好地解決了接入網絡后局域網信息安全、系統安全、操作安全和環境安全等問題，徹底實現了網絡物理隔離。安全計算機在傳統Pc主板結構上形成兩個物理隔離的網絡終端接入環境，分別對應于Internet和內部局域網，保證局域網信息不會被互聯網上的黑客和病毒破壞。主板BIOS控制由網卡和硬盤成的網絡接入和信息存儲環境各自獨立，并只能在相應的網絡環境下工作，不可能在一種網絡環境下使用另一環境才使用的設備。BIOS還提供所有涉及信息發送和輸出設備的控制，包括：對軟驅、光驅提供限制功能等。

3.2雙網解決方案

這種方案適合中大型機構的局域網布局。在這里網絡分為內部網和外部公共網，其中公共網通過集中出口連接Internet（視需要也要安裝防火墻、入侵檢測及防病毒等措施），部分計算機需要能夠接入兩個網絡，但同時又要保證內外網的完全物理隔離。

實現如下圖所示：

3.3隔離卡技術

網絡安全隔離卡，其功能是以物理方式將一臺Pc虛擬為兩部電腦，實現工作站的雙重狀態，既可在安全狀態，又可在公共狀態，兩種狀態是完全隔離的，從而使一部工作站可在完全安全狀態下連接內外網。啟動外網時關閉內網硬盤，啟動內網時關閉外網硬盤，使兩個網絡和硬盤物理隔離，也不僅用于兩個網絡物理隔離的情況，也可用于個人資料要保密又要上互聯網的個人計算機情況。網絡安全隔離卡是被設置在Pc中最低的物理層上，通過卡上一邊的IDE總線連接主板，另一邊連接IDE硬盤，內、外網的連接均須通過網絡安全隔離卡，PC機硬盤被物理分隔成為兩個區域，在IDE總線物理層上，在任何時候，數據只能通往一個分區。在安全狀態時，主機只能使用硬盤的安全區與內部網連接，而此時外部網的連接是斷開的，且硬盤的公共區的通道是封閉的。在公共狀態時，主機只能使用硬盤的公共區與外部網連接，此時與內部網是斷開的，且硬盤安全區也是被封閉的。當兩種狀態轉換時，是通過鼠標點擊操作系統上的切換鍵，即進入一個熱啟動過程。切換時，系統通過硬件重啟信號重新啟動，這樣Pc內存的所有數據就被消除，兩個狀態分別是有獨立的操作系統，并獨立引導，兩種硬盤分區不會同時激活。為了保證安全，兩個分區不能直接交換數據，用戶可以通過一個獨特的設計，來安全方便地實現數據交換。即在兩個分區以外，網絡安全隔離在硬盤上另外設置了一個功能區，該功能區在Pc處于不同的狀態下轉換，即在兩種狀態下功能區均表現為硬盤的D盤，各個分區可以通過功能區作為一個過渡區來交換數據。當然根據用戶需要，也可創建單向的安全通道，即數據只能從公共區向安全區轉移，但不能逆向轉移，從而保證安全區的數據安全。

4物理安全隔離技術的不足

在目前，網絡安全對于整個網絡的發展來說應該還是個大難題，雖然保證安全的方法很多，防火墻、防病毒產品等等，但是就目前的技術來講，還沒有哪一種或者哪一些技術能夠很好地解決，所以通過物理隔離來實現物理安全應該說還是一個行之有效的方法，但是這種方法也不是最好的，很大程序上來說它只是技術發展過程中的一個權宜之策，因為這種方法在給人們帶來安全的同時，也帶來的很多的不便，比如簡單的隔離帶來的內網訪問外部網的權限問題等。

5結束語

網絡安全是未來的網絡信息建設的重要基礎。一般來說，安全性越高，其實現就越復雜，費用也相應的越高，所以需要對網絡中需保護的信息和數據進行詳細的經濟性評估，決定投資強度。企業的網絡安全工作可以根據本企業的主營方向來決定建設自己的網絡安全服務隊伍還是購買市場上的服務。網絡安全的技術研究在國內起步較晚，雖然目前許多網絡專家開始注意并研究相關的技術，但是總體來說網絡安全技術的專門人才還比較缺乏。因此多數網絡的建設者和運行者并不擁有相應的技術力量。我們認為制定適當完備的網絡安全策略是實現網絡安全的前提，高水平的網絡安全技術隊伍是保證，嚴格的管理與落實是關鍵。

參考文獻[1] 禹曉慶.網絡物理隔離安全防御技術.中國電子出，2000，（6）：59.

[2] 林中. 網絡安全隔離技術淺析.福建建設科技，2002，（3）：33-34.

[3] 張震.網絡隔離的技術分析與安全模型的應用.微型機與應用，2002，（11）：33-34.

[4] 譚浩強.C 程序設計.北京：清華大學出版社，1995.157-267.

[5] 許海燕， 付炎.嵌入式系統技術與應用.北京： 機械工業出版社， 2002.64-99.