【IT168 报道】国际互联网的广泛应用，大大提高了我们的工作效率，在给我们带来极大便利的同时也带来了严重的安全问题，尤其是病毒破坏、黑客入侵造成的危害越来越大。尽管我们可以使用防火墙、代理服务器、入侵检测等安全措施，但是这些技术都是基于软件的逻辑隔离，对于黑客和内部用户而言是可能被操纵的，无法满足政府、军队、金融、电信、企业等部门对数据安全的要求。再加上目前我国使用的计算机核心软硬件都依赖进口，谁也无法保证这些软硬件中没有后门、没有漏洞。因此最好的办法就是让用户重要的数据和外部的互联网没有物理上的连接，让黑客无机可乘，但是这样又不便利用互联网上丰富的信息资源。所以就需要一种技术来帮助用户既能有效地隔离内外网络，又能方便地使用内外网的资源，这就是物理隔离技术要完成的任务。在90年代初期，以色列某些计算机学术性组织最先提出了物理隔离的概念，在西方国家的关键网络中，普遍采用物理隔离技术来保护网络的安全。

　　我国国家安全主管部门对于物理隔离技术十分重视，根据国家保密局2001年1月1日起颁布实施的《计算机信息系统国际联网保密管理规定》第二章保密制度第六条的规定：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行物理隔离。”另外中共中央办公厅针对电子政务网络中涉密网、政务外网和互联网三个不同级别的网络环境在中办发[2002]17号文件中明确指出：“电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离。”

　　随着我国政府大力推动的电子政务、电子商务等工程的实施，采用物理隔离技术对不同安全级别的网络进行保护是必须考虑的一个重要措施。

物理隔离技术概述

　　最初物理隔离的概念是双终端、双网络，即每个用户拥有两台独立的计算机，分别接入两个互相独立的网络，这种方式的最大缺点就是对资源的严重浪费。随着硬件和软件技术的飞速发展，许多新型物理隔离产品相继问世。这些新产品不论是在技术上还是成本上都较第一代有了极大的改进与提高，大大的方便了客户，降低了成本，但还是有很多问题没有得到妥善的解决。因此到目前为止还没有一种产品可以完全满足用户的需求，也正是这一原因促使各国纷纷开发新一代网络安全物理隔离产品。随着我国信息化建设的快速发展，对这种产品的需求也呈不断上升的趋势。

物理隔离在技术上主要解决以下三个方面的问题：

• 在物理传导上隔断内部网与外部网，确保外部网不能通过网络连接而侵入内部网；同时防止内部网信息通过网络连接泄露到外部网。
• 在物理存储上隔断内部网与外部网，对于断电后会逸失信息的部件，如内存、处理器等暂存部件，要在网络转换时作清除处理，防止残留信息窜网；对于断电后非逸失性设备如磁带机、硬盘等存储设备，内部网与外部网信息要分开存储；严格限制软盘、光盘等可移动介质的使用。
• 在物理辐射上隔断内部网与外部网，确保内部网信息不会通过电磁辐射或耦合方式泄露到外部网。

物理隔离与逻辑隔离

　　物理隔离与逻辑隔离有很大的不同。物理隔离的哲学是不安全就不连网，要绝对保证安全；逻辑隔离的哲学是在保证网络正常使用的情况下，尽可能安全。两者是完全不同的概念。

　　防火墙不是物理隔离产品，有防火墙的根本起因是不同网络间既要保证需要的数据交换和相互访问，又要防御恶意或非法访问。而无论从包过滤技术还是从代理技术来说，其关键点都在于使数据有选择地通过，而不是彻底地把数据隔离。

　　物理隔离技术与防火墙是两个概念，它们功能互补，但不能互相代替。其安全策略非常清楚，即：把需要保密的核心数据，进行严格的保护，实行物理隔离；而对一般的数据，则交由防火墙去保护。

物理隔离产品简介

　　物理隔离产品根据其技术的发展过程，可分为第一代、第二代，等等，从其在网络中所处的位置来划分，又可分为终端隔离产品、信道隔离产品、网络/服务器隔离产品。 终端隔离是指在计算机上采取一定的防护手段，使得用户计算机可以和两个网络系统中的一个实现物理连接，并且按需进行切换。终端隔离产品目前主要采用各种类型的物理隔离卡，其基本原理是通过在计算机上安装硬件插卡，使用双硬盘及操作系统隔离技术来分时访问内外网络，它通过控制内外网络的硬盘电源、IDE线、网线实现网络间的选择和切换。内外网硬盘分别安装独立的操作系统，并独立导入，两个硬盘不会同时激活，切换时需要重启计算机以清除内存信息并更换操作系统，这样一台PC可当作两台独立的PC使用，实现内外网络彻底的物理隔离。

　　相对于在终端进行物理隔离的产品而言，信道隔离产品是在终端的传输线路上进行内外网的切换，主要应用在单网线布线的环境中。它的作用是将对内外网的切换转移到远端隔离设备上进行，对终端而言只用一条网线就可连接到内外网上。解决了特定环境下无法重新布线的问题。

　　网络/服务器隔离产品是一种新型的网络安全产品，应用于重要服务器和关键子网的入口处，在保持内外网络物理隔离的同时，进行适度的、可控的内外网络数据交换，提供比防火墙级别更高的安全保护，属于准物理隔离。该类产品通常集成了安全操作系统、入侵监测、病毒查杀、身份认证、访问控制等多种安全措施，用软硬件一体化的安全机制转发内外网之间的数据，对需要传输的数据类型、内容等，都进行严格的检查和过滤，从而解决了隔离网络间信息安全交流的问题。

　　物理隔离产品以其卓越的安全性、稳定性，将会逐步在安全领域占有更多的市场份额，得到更广泛的认可，并最终可能成为新一代主流的网络安全产品。