终端设备物理隔离技术策略研究

赵 毅

(天津公安警官职业学院治安系，天津 300382)

0 引言

随着信息时代的到来，政府、企事业等单位对公共网、内部网、专网的依赖越来越强。然而，病毒感染、黑客人侵、软件漏洞、信息泄漏等各种问题不断威胁着计算机信息的安全，传统的防火墙、病毒扫描、代理服务器、人侵检测等网络安全技术虽然具有一定的防范能力，但基于软件的防范措施，无法确保源于网络的危害。2000年1月1日起颁布实施的《计算机信息系统国际联网保密管理规定》明确规定:“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行物理隔离。”物理隔离(Physical Isolation)是指公共网络和专网在网络物理连线上是完全隔离的，且没有任何公用的存储信息［1］。

当公共网络和专网在网络物理连线上是完全隔离的情况下，同一台终端设备既可以连接公共网，又可以连接专网时，其硬盘、内存的数据就可能被重用，还可能通过软盘和光盘、U盘为媒介被窃取，该终端设备也会成为网际间病毒传播的中间体。因此，只有在终端设备上实现物理隔离才能彻底避免网际信息被非控制情况下重用和防止病毒在网际间通过终端设备传播［2］。

只要连接网络，存储于终端设备的个人隐私、商业秘密、国家机密就可能被窃取，重要数据就可能篡改或破坏，甚至因为病毒传染而使系统瘫痪、信息丢失。为了确保信息安全，存储涉密信息的终端设备硬盘必须与连接网络的硬盘物理隔离。

本文通过对现有终端设备物理隔离技术策略的分析，以安全可靠、方便经济为出发点，借鉴其它领域成熟技术，提出端设备物理隔离技术新策略。

1 网际间逻辑隔离

1.1 安装逻辑隔离部件实现网络隔离的技术策略

通过逻辑隔离的方式实现网络间隔离，该部件的连接如图1所示。

图1 逻辑隔离部件示意图

1.1.1 以开关型物理隔离网闸(gap)实现网络隔离

第一代网闸的技术原理是利用单刀双掷开关，使得内外网的处理单元分时存取共享存储设备来完成数据交换，实现在空气缝隙隔离(Air Gap)情况下的数据交换。网闸位于两个不同安全域之间，通过协议转换的手段，以信息摆渡的方式实现数据交换，且只有被系统明确要求传输的信息可以通过［2］。如图2所示。

这种信息摆渡的交换方式，物理传输信道只在传输进行时存在。信息传输时，信息先由信息源所在安全域一端传输至中间缓存区域，同时物理断开中间缓存区域与信息目的所在安全域的连接;随后接通中间缓存区域与信息目的所在安全域的传输信道，将信息传输至信息目的所在安全域，同时在信道上物理断开信息源所在安全域与中间缓存区域的连接。在任一时刻，中间缓存区域只与一端安全域相连。

图2 物理隔离网闸工作原理示意图

内、外网络通道的分时隔离、交替连通，数据的间接存储、中转，并不能隔断破坏者在外网通过此通道对专网进行危害。就如同分时操作系统运行道理一样，主机处理器的运行分成若干个时间片，各应用进程由操作系统进行分时调度交由处理器进行处理，对应用系统而言主机的分时处理就像是透明的一样，丝毫不影响应用，所以难以达到物理隔离的根本目的［3］。

因此，安装物理隔离网闸不能完全保障专、外网信息交换时专网信息的安全保密性，国家保密局对该类产品的鉴定意见是只适用于:(1)不同涉密网络之间;(2)同一涉密网络的不同安全域之间;(3)与互联网物理隔离的网络与秘密级网络之间;(4)未与涉密网络连接的网络与互联网络之间。不过在涉密级别要求不是太高的网络环境下，安装隔离网闸不失为一种折衷的解决办法［4］。

1.1.2 以PET物理隔离网闸实现网络隔离

第二代网闸创造性地利用全新理念的专用交换通道PET(Private Exchange Tunnel)技术，在不降低安全性的前提下能够完成内外网之间高速的数据交换，有效地克服了第一代网闸的弊端，第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现的，虽然仍是通过应用层数据提取与安全审查，达到杜绝基于协议层的攻击和增强应用层安全效果的，但却提供了比第一代网闸更多的网络应用支持，并且由于其采用的是专用高速硬件通信卡，使得处理能力大大提高，而私有通信协议和加密签名机制保证了内外处理单元之间数据文换的机密性、完整性和可信性，从而在保证安全的同时，提供更好的处理性能，能够适应复杂网络对隔离应用的需求。

PET物理隔离网闸不光检查所有的协议，还把协议给剥离掉，直接还原成最原始的数据，对数据可以检查和扫描，防止恶意代码和病毒，甚至对数据的属性进行要求，不支持TCP/IP，不依赖操作系统。

PET物理隔离网闸应用于移动网络，可能会出现:网络包通过无线运营商到达移动警务平台时，数据会有被窃听、被篡改以及无法保证完整性的风险;可能通过移动接入攻入内网问题［5］。

1.1.3 单向隔离网闸实现网络隔离

按照公安部《端设备隔离部件安全技术要求》的定义，单向隔离部件包括2个特征:(1)数据流无法从专网流向公网;(2)数据流能在指定存储区域从公网流向专网，对专网而言，能使用公网的某些指定的要导入的数据。可以实现网络间物理层和网络协议断开的同时进行数据交换。该部件的连接如图3所示。

图3 单向隔离部件示意图

这种不可逆转的单向传输不仅在软件层面采用多次冗余校验，不使用PCI总线。而且从硬件层面采用看门狗电路，可靠性较高。适合用于办公网与业务网之间、局域网与互联网之间、业务网与互联网之间、电子政务的内网与专网之间隔离［6］。

1.2 设置一种定时数据缓冲装置

针对专外网共享信息处理的方法，尤其适用于目前正在陆续或己经开始的通过互联网方式对社会提供服务的部门，比如通过互联网进行的申报和审批工作。针对有不少外网的信息需要放到内部OA系统(多数是涉密网)来处理的问题，一般的解决办法是采用人工拷贝数据的方式，但是这种方式比较费时费力。通过设置一种定时数据缓冲装置，在一个时间段内将数据缓冲装置与外部网服务器连通，快速拷取数据，然后断开连接，再将数据缓冲器与内部网服务器连通，将数据传送给内部网服务器，这样既解决了对外部网共享信息的处理问题，又有效地防止了时间和人力的浪费［7］。

2 网络终端设备物理隔离

终端设备物理隔离的技术标准是:在信息物理传导上使内外网络隔断，确保外部网不能通过网络连接侵入内部网;同时阻止内部网信息通过网络连接泄露到外部网;在信息物理存储上隔断两个网络环境，对于断电后会遗失信息的部件，如内存、寄存器等暂存部件，要在网络转换时作清零处理，防止遗留信息窜网;对于断电后不会遗失信息的设备，如磁带机、硬盘等存储设备，内部网与外部网信息要以不同存储设备分开存储;对移动存储介质，如光盘、软盘、USB硬盘等，应在网络转换前提示用户干预或禁止在双网时同时使用这些设备。

2.1 安装网络安全隔离卡实现端设备物理隔离

网络安全隔离卡是目前符合国家保密局认证的，而且是正在市场上应用的硬盘物理隔离产品。在不增加其它硬件和软件成本、不用对系统重新设置的情况下，实现单台计算机连接内外两个网络替代用独立的两套计算机网络实施的物理隔离方案［8］。网络安全隔离卡切换界面如图4所示。

图4 网络安全隔离卡切换界面

2.1.1 网络安全隔离卡的工作原理

它安装在计算机主板上，通过硬盘分区及硬件数据读写控制，将操作环境物理地分割为两个工作区，分别安装有独立的操作系统，可以将其视为两台独立工作的虚拟计算机(以下简称为内部机和公共机)。但用户在同一时间段内，只能在其中一个工作区的操作系统环境下工作，不能同时对两个工作区进行数据操作。每个工作区各自连接不同的网络(一个连接内部涉密网，一个连接外部网络，见图5)。网络安全隔离卡的控制系统在低层硬件结构上对计算机的硬盘数据存取进行监控，防止任何跨工作区和跨网络的非法操作，有效地保护单机和网络的信息安全。用户可以两个工作区之间自由切换，并在整个切换过程中，两个工作区始终处于隔离状态［9］。

图5 安装网络安全隔离卡后的工作站示意图

2.1.2 网络安全隔离卡的特点

内外网切换只需点击图标热切换，用户操作界面好，简洁方便;特设的硬盘数据交换区可以让内外网间在安全条件下，按设定的单向交换数据;在安全区及内网连接状态下可以禁用软驱、光驱等设备防止内部数据泄密;卡上集成多项功能，适用于各种不同的网络环境下;兼容多种操作系统，不占用任何系统资源，不影响系统运行速度;网络安全隔离卡和网络安全隔离集线器配合使用，可以使工作站计算机用单网线控制远端切换连接内外双网，解决了连接内外双网的布线问题［10］。网络安全隔离卡插卡部件图如图6所示。

图6 网络安全隔离卡插卡部件图

2.2 单硬盘物理隔离技术策略

操作系统允许用户将单个硬盘分成数个不同的容量的分区。使用单硬盘来实现分区的多操作系统环境，并以两个不同的操作系统环境分别连接内外双网。使用网络安全隔离卡，则可以用硬件来保证不同分区之间的数据绝对物理隔离。在现有计算机上不增加任何成本，便能够安全连接内外两个网络，计算机原操作系统可继续应用;由单硬盘分区为安全区和公共区，分别安装有独立的操作系统，分别连接内外两个网络，并完全采用硬件方案对硬盘不同分区的数据及内网和外网进行隔离，保证系统的数据安全;内外网切换只需点击图标热切换［11］。

2.3 多硬盘物理隔离技术

安全计算机中采用双硬盘，A硬盘中存储一套操作系统用于与内部涉密网相连，B硬盘中存储另一套操作系统用于与外部公共网相连;隔离卡插入计算机PCI插槽内，A、B两个硬盘的电源通过隔离卡接到计算机电源上，隔离卡上可连接两条网络线及两条Modem线，并可通过继电器对其接通或切断;隔离卡根据当前的计算机状态控制网络隔离状态，两个硬盘必须分时工作，两条网络线也同样分时接通;切换采用操作系统界面上的图标，不需要硬开关，只要点击屏幕上的图标即可实现内外网操作系统的转换［12］。

3 网络终端设备身份鉴别同步物理隔离新策略

上述隔离策略主要着眼于防范通过网络实施的远程侵害，为保障计算机信息系统安全，防范来自终端设备本地的侵害，国家发布了《计算机信息系统安全保护等级划分准则》。准则将保护等级划分为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。这5个级别均要求通过口令等方式，进行身份鉴别实现访问控制［13］。硬件密钥作为独立产品应运而生。如果物理隔离部件硬件集成硬件密钥，就能够同时兼具防范远、近程侵害功能。本文从有线和无线控制两个方面探讨这种新策略的具体技术路线。

3.1 有线控制

在计算机上安装两个以上的硬盘，在电源输出电路上集成继电器切换开关，切换开关与电源、供电输出线路之间采用“一路入，多路出”方式电连接，以实现对不同(A/B/C)硬盘供电切换，实现不同硬盘的物理隔离。同步控制网络隔离时，这个切换开关一端与两个以上的网络接口连接，另一端与对应计算机网络接口的插接件连接，形成“多路入，一路出”网线切换电路，切换控制给硬盘供电的同时，对应同步切换控制计算机硬盘A或B或C与网络连接。用身份识别卡(如，内置密钥的IC卡、磁卡等)通过阅读器控制继电器开关，电连接对应计算机电源和硬盘供电线路的插件，控制硬盘供电与否和供电切换，同时实现开机使用身份认证、控制硬盘使用权限。刷A卡，可以进入A硬盘操作系统，连接A网络;使用B卡，可以进入B硬盘操作系统，连接B网络。同步实现网络安全隔离、网络管理、被隔离硬盘信息保护、计算机开机授权管理等多项功能［14］。将身份鉴别和物理隔离2个产品集成为1个产品，成本降低，操作更加简便。

3.2 无线控制

随着汽车防盗技术的不断发展，出现了密码学习式跳码防盗器。其特点是:遥控器的密码除身份码和指令码外，多了跳码部分。跳码即密码依一定的编码函数，每发射一次，密码随即变化一次，密码不会被轻易复制或盗取，安全性极高。密码组合上亿组，根本杜绝了重复码。主机无密码，主机通过学习遥控器的密码，从而实现主机与遥控器之间的相互识别。若遥控器丢失，可安全且低成本地更换遥控器。这种密码自学习的跳码密钥，完全能够满足身份鉴别的要求。利用该类技术生产的无线收发模块与身份识别卡和阅读器身份鉴别方式相比，具有体积小、成本低、操作更为简便的特点［15］。

制作3硬盘2网络物理隔离兼身份鉴别部件的具体方案:选购3继电器锁存型接收板，用接收板上的3个继电器对应控制3个硬盘2个网络的连线和光驱、软驱、USB口的通断，并对应发射机的3个按键，动作的逻辑关系是锁存方式，也就是说，按下发射机的一个按键比如A，对应接收板的A继电器就吸合，松开按键，A继电器仍然保持吸合，给A硬盘供电，可以连接A网络，根据需求可以同步控制光驱、软驱、USB口的通断。直到下次按动B、C中的任意一个按键时，B、C中的对应继电器吸合，而A继电器释放，也就是说接收板能记忆上次遥控的状态，并且能够自锁保持，直到接收到下次的遥控指令才改变继电器的状态，而且接收板不支持多路数据同时输入，如果同时按下ABC三个发射机按键，那么接收板的ABC三个继电器只有一个保持吸合。

根据授权也可以让接收板上的3个继电器分别对应A、B、C三个发射机的遥控器，使得持有A发射机遥控器的人员只有开启A硬盘，连接A网络的权限。

在此基础上加装GSM块，用户可实现通过手机感知和控制终端机的开、关，实现远程控制［16］。

4 结束语

计算机信息的安全防范是一个系统工程，物理隔离与身份鉴别只是其中的一个组成部分。要确保计算机信息安全还需要通过机箱加锁、完善安全防范设施与建设防盗报警系统等综合措施来实现。

采用网络终端设备身份鉴别同步物理隔离方案不仅能够确保计算机信息安全与个人隐私，还可以实现1台终端机多个用途、多个人使用，从而降低成本和节约空间与能源消耗。

［1］GA 370-2001，端设备隔离部件安全技术要求［S］.

［2］GB/T 20279-2006，信息安全技术、网络和终端设备隔离部件安全技术要求［S］.

［3］刘建国.物理隔离的目标及实现［J］.计算机安全，2004(7):23-25.

［4］北京勤思科技开发有限公司.计算机网络的物理隔离［J］.中国现代教育装备，2006(7):127.

［5］周平，施正威.物理隔离技术在移动警务安全接入系统中的应用［J］.警察技术，2010(1):15-18.

［6］高欢.浅谈单向物理隔离网闸系统［J］.科技经济市场，2007(12):146，148.

［7］黄小红.物理隔离:防范涉密计算机网络入侵的手段［J］.华南金融电脑，2007，15(9):77-78.

［8］夏洪图，李静.物理隔离卡在政府部门信息安全中的应用［J］.网络安全技术与应用，2010(7):43-44，49.

［9］李之奇.采用网络物理隔离技术加强计算机信息系统安全［J］.世界有色金属，2011(7):74-75.

［10］广州市图文科技有限公司.一键式图文物理隔离卡［J］.信息安全与通信保密，2009(2):36.

［11］谭敏，黄日升，董君，等.单主板型网络安全计算机:中国，99121960.0［P］.2001-02-14.

［12］GB17859-1999，计算机信息系统安全保护等级划分准则［S］.

［13］赵毅.一种计算机信息安全保护装置:中国，200420004032.0［P］.2005-02-02.

［14］斑斓.魔高一尺 道高一丈——汽车防盗器知识问答(2)［J］.汽车与驾驶维修，1998(7):38.

［15］王伟.浅析汽车防盗器的类型与应用［J］.中国新技术新产品，2008(15):68.

［16］王光欣，王立峰，陶乐文，等.基于单片机和GSM模块的双向汽车遥控系统［J］.机电产品开发与创新，2011(4):117-118，129.