物理隔离技术在信息安全上的应用及实现

2014-04-29 00:44张立志
电脑迷 2014年9期
关键词:信息安全网络安全

张立志

摘 要 Internet的普及极大地推动了信息化的发展,但由此带来的安全问题也十分突出。在网络信息安全的重要性日益凸现的现实环境下,如何做好网络信息安全工作已成为一个重要的研究课题。物理隔离技术在此背景下应运而生。物理隔离目前常见的实现方式以隔离卡和隔离集线器为主,实现多个网络的真正物理隔离。物理隔离作为一种更彻底、更安全的网络安全技术,在保密性要求较高的网络中得到了较广泛的应用。

关键词 网络安全 物理隔离 信息安全

中图分类号:TP393 文献标识码:A

在当今,网络应用蓬勃发展,Internet逐渐融入到社会的各个方面,网络用户成分越来越复杂,由此带来的安全问题也十分突出,而物理隔断技术的发展为彻底斩断网上黑手提供可能。

1物理隔离的提出

互联网的方便快捷使我们的工作效率得到了极大地提高,但与此同时,我们也正受到日益严重的来自网络的安全威胁,诸如数据窃贼、黑客侵袭、病毒骚扰,甚至系统内部的泄密者。互联网的安全性能对我们在进行网络互联时如何保护国家、公司秘密提出了挑战。尽管我们广泛地使用各种复杂的软件技术,如防火墙、代理服务器、侵袭探测器、通道控制机制等等,但是由于这些技术都是基于软件的保护,是一种逻辑机制,这对于逻辑实体(即黑客和内部用户)而言是可能被操纵的。由于这些技术复杂性与有限性,无法提供高度数据安全要求,所以提出了物理隔离技术,它主要是基于这样的思想:如果不存在与网络的物理连接,网络安全威胁便受到了真正的限制。

2物理隔离在安全上的三点要求

(1)在物理传导上使内外网络隔断,确保外部网不能通过网络连接而侵入内部;同时防止内部网信息通过网络连接泄漏到外部网。

(2)在物理辐射上隔断内部网与外部网,确保内部网信息不会通过电磁辐射或耦合方式泄漏到外部网。

(3)在物理存储上隔断两个网络环境,对于断电后会遗失信息的部件,如内存、处理器等暂存部分,要在网络转换时作清除处理,防止残留信息出网;对于断电非遗失性设备如磁带机、硬盘等存储设备,内部网与外部网信息要分开存储。

3物理隔离的实现

3.1单主板安全隔离计算机

这种方案适合小型的单网结构的局域网,其核心技术是双硬盘技术,将内外网络转换功能做入BIOS中,并将插槽也分为内网和外网,使用更方便,也更安全。单主板安全隔离计算机,它是采用彻底实现内外网物理隔离的个人计算机,并且由于这种安全电脑是在较低层的BIOS上开发的,处理器、主板、外设的升级不会给电脑带来什么“不兼容”的影响。它很好地解决了接入网络后局域网信息安全、系统安全、操作安全和环境安全等问题,彻底实现了网络物理隔离。安全计算机在传统Pc主板结构上形成两个物理隔离的网络终端接入环境,分别对应于Internet和内部局域网,保证局域网信息不会被互联网上的黑客和病毒破坏。主板BIOS控制由网卡和硬盘成的网络接入和信息存储环境各自独立,并只能在相应的网络环境下工作,不可能在一种网络环境下使用另一环境才使用的设备。BIOS还提供所有涉及信息发送和输出设备的控制,包括:对软驱、光驱提供限制功能等。

3.2双网解决方案

这种方案适合中大型机构的局域网布局。在这里网络分为内部网和外部公共网,其中公共网通过集中出口连接Internet(视需要也要安装防火墙、入侵检测及防病毒等措施),部分计算机需要能够接入两个网络,但同时又要保证内外网的完全物理隔离。

实现如下图所示:

3.3隔离卡技术

网络安全隔离卡,其功能是以物理方式将一台Pc虚拟为两部电脑,实现工作站的双重状态,既可在安全状态,又可在公共状态,两种状态是完全隔离的,从而使一部工作站可在完全安全状态下连接内外网。启动外网时关闭内网硬盘,启动内网时关闭外网硬盘,使两个网络和硬盘物理隔离,也不仅用于两个网络物理隔离的情况,也可用于个人资料要保密又要上互联网的个人计算机情况。网络安全隔离卡是被设置在Pc中最低的物理层上,通过卡上一边的IDE总线连接主板,另一边连接IDE硬盘,内、外网的连接均须通过网络安全隔离卡,PC机硬盘被物理分隔成为两个区域,在IDE总线物理层上,在任何时候,数据只能通往一个分区。在安全状态时,主机只能使用硬盘的安全区与内部网连接,而此时外部网的连接是断开的,且硬盘的公共区的通道是封闭的。在公共状态时,主机只能使用硬盘的公共区与外部网连接,此时与内部网是断开的,且硬盘安全区也是被封闭的。当两种状态转换时,是通过鼠标点击操作系统上的切换键,即进入一个热启动过程。切换时,系统通过硬件重启信号重新启动,这样Pc内存的所有数据就被消除,两个状态分别是有独立的操作系统,并独立引导,两种硬盘分区不会同时激活。为了保证安全,两个分区不能直接交换数据,用户可以通过一个独特的设计,来安全方便地实现数据交换。即在两个分区以外,网络安全隔离在硬盘上另外设置了一个功能区,该功能区在Pc处于不同的状态下转换,即在两种状态下功能区均表现为硬盘的D盘,各个分区可以通过功能区作为一个过渡区来交换数据。当然根据用户需要,也可创建单向的安全通道,即数据只能从公共区向安全区转移,但不能逆向转移,从而保证安全区的数据安全。

4物理安全隔离技术的不足

在目前,网络安全对于整个网络的发展来说应该还是个大难题,虽然保证安全的方法很多,防火墙、防病毒产品等等,但是就目前的技术来讲,还没有哪一种或者哪一些技术能够很好地解决,所以通过物理隔离来实现物理安全应该说还是一个行之有效的方法,但是这种方法也不是最好的,很大程序上来说它只是技术发展过程中的一个权宜之策,因为这种方法在给人们带来安全的同时,也带来的很多的不便,比如简单的隔离带来的内网访问外部网的权限问题等。

5结束语

网络安全是未来的网络信息建设的重要基础。一般来说,安全性越高,其实现就越复杂,费用也相应的越高,所以需要对网络中需保护的信息和数据进行详细的经济性评估,决定投资强度。企业的网络安全工作可以根据本企业的主营方向来决定建设自己的网络安全服务队伍还是购买市场上的服务。网络安全的技术研究在国内起步较晚,虽然目前许多网络专家开始注意并研究相关的技术,但是总体来说网络安全技术的专门人才还比较缺乏。因此多数网络的建设者和运行者并不拥有相应的技术力量。我们认为制定适当完备的网络安全策略是实现网络安全的前提,高水平的网络安全技术队伍是保证,严格的管理与落实是关键。

参考文献[1] 禹晓庆.网络物理隔离安全防御技术.中国电子出,2000,(6):59.

[2] 林中. 网络安全隔离技术浅析.福建建设科技,2002,(3):33-34.

[3] 张震.网络隔离的技术分析与安全模型的应用.微型机与应用,2002,(11):33-34.

[4] 谭浩强.C 程序设计.北京:清华大学出版社,1995.157-267.

[5] 许海燕, 付炎.嵌入式系统技术与应用.北京: 机械工业出版社, 2002.64-99.

猜你喜欢
信息安全网络安全
网络安全知多少?
《信息安全与通信保密》征稿函
网络安全
信息安全专业人才培养探索与实践
网络安全人才培养应“实战化”
上网时如何注意网络安全?
保护信息安全要滴水不漏
高校信息安全防护
保护个人信息安全刻不容缓
我国拟制定网络安全法