【IT168 报道】国际互联网的广泛应用，大大提高了我们的工作效率，在给我们带来极大便利的同时也带来了严重的安全问题，尤其是病毒破坏、黑客入侵造成的危害越来越大。尽管我们可以使用防火墙、代理服务器、入侵检测等安全措施，但是这些技术都是基于软件的逻辑隔离，对于黑客和内部用户而言是可能被操纵的，无法满足政府、军队、金融、电信、企业等部门对数据安全的要求。再加上目前我国使用的计算机核心软硬件都依赖进口，谁也无法保证这些软硬件中没有后门、没有漏洞。因此最好的办法就是让用户重要的数据和外部的互联网没有物理上的连接，让黑客无机可乘，但是这样又不便利用互联网上丰富的信息资源。所以就需要一种技术来帮助用户既能有效地隔离内外网络，又能方便地使用内外网的资源，这就是物理隔离技术要完成的任务。在90年代初期，以色列某些计算机学术性组织最先提出了物理隔离的概念，在西方国家的关键网络中，普遍采用物理隔离技术来保护网络的安全。

　　我国国家安全主管部门对于物理隔离技术十分重视，根据国家保密局2001年1月1日起颁布实施的《计算机信息系统国际联网保密管理规定》第二章保密制度第六条的规定：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行物理隔离。”另外中共中央办公厅针对电子政务网络中涉密网、政务外网和互联网三个不同级别的网络环境在中办发[2002]17号文件中明确指出：“电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离。”

　　随着我国政府大力推动的电子政务、电子商务等工程的实施，采用物理隔离技术对不同安全级别的网络进行保护是必须考虑的一个重要措施。

物理隔离技术概述

　　最初物理隔离的概念是双终端、双网络，即每个用户拥有两台独立的计算机，分别接入两个互相独立的网络，这种方式的最大缺点就是对资源的严重浪费。随着硬件和软件技术的飞速发展，许多新型物理隔离产品相继问世。这些新产品不论是在技术上还是成本上都较第一代有了极大的改进与提高，大大的方便了客户，降低了成本，但还是有很多问题没有得到妥善的解决。因此到目前为止还没有一种产品可以完全满足用户的需求，也正是这一原因促使各国纷纷开发新一代网络安全物理隔离产品。随着我国信息化建设的快速发展，对这种产品的需求也呈不断上升的趋势。

物理隔离在技术上主要解决以下三个方面的问题：

• 在物理传导上隔断内部网与外部网，确保外部网不能通过网络连接而侵入内部网；同时防止内部网信息通过网络连接泄露到外部网。
• 在物理存储上隔断内部网与外部网，对于断电后会逸失信息的部件，如内存、处理器等暂存部件，要在网络转换时作清除处理，防止残留信息窜网；对于断电后非逸失性设备如磁带机、硬盘等存储设备，内部网与外部网信息要分开存储；严格限制软盘、光盘等可移动介质的使用。
• 在物理辐射上隔断内部网与外部网，确保内部网信息不会通过电磁辐射或耦合方式泄露到外部网。

物理隔离与逻辑隔离

　　物理隔离与逻辑隔离有很大的不同。物理隔离的哲学是不安全就不连网，要绝对保证安全；逻辑隔离的哲学是在保证网络正常使用的情况下，尽可能安全。两者是完全不同的概念。

　　防火墙不是物理隔离产品，有防火墙的根本起因是不同网络间既要保证需要的数据交换和相互访问，又要防御恶意或非法访问。而无论从包过滤技术还是从代理技术来说，其关键点都在于使数据有选择地通过，而不是彻底地把数据隔离。

　　物理隔离技术与防火墙是两个概念，它们功能互补，但不能互相代替。其安全策略非常清楚，即：把需要保密的核心数据，进行严格的保护，实行物理隔离；而对一般的数据，则交由防火墙去保护。

物理隔离产品简介

　　物理隔离产品根据其技术的发展过程，可分为第一代、第二代，等等，从其在网络中所处的位置来划分，又可分为终端隔离产品、信道隔离产品、网络/服务器隔离产品。 终端隔离是指在计算机上采取一定的防护手段，使得用户计算机可以和两个网络系统中的一个实现物理连接，并且按需进行切换。终端隔离产品目前主要采用各种类型的物理隔离卡，其基本原理是通过在计算机上安装硬件插卡，使用双硬盘及操作系统隔离技术来分时访问内外网络，它通过控制内外网络的硬盘电源、IDE线、网线实现网络间的选择和切换。内外网硬盘分别安装独立的操作系统，并独立导入，两个硬盘不会同时激活，切换时需要重启计算机以清除内存信息并更换操作系统，这样一台PC可当作两台独立的PC使用，实现内外网络彻底的物理隔离。

　　相对于在终端进行物理隔离的产品而言，信道隔离产品是在终端的传输线路上进行内外网的切换，主要应用在单网线布线的环境中。它的作用是将对内外网的切换转移到远端隔离设备上进行，对终端而言只用一条网线就可连接到内外网上。解决了特定环境下无法重新布线的问题。

　　网络/服务器隔离产品是一种新型的网络安全产品，应用于重要服务器和关键子网的入口处，在保持内外网络物理隔离的同时，进行适度的、可控的内外网络数据交换，提供比防火墙级别更高的安全保护，属于准物理隔离。该类产品通常集成了安全操作系统、入侵监测、病毒查杀、身份认证、访问控制等多种安全措施，用软硬件一体化的安全机制转发内外网之间的数据，对需要传输的数据类型、内容等，都进行严格的检查和过滤，从而解决了隔离网络间信息安全交流的问题。

　　物理隔离产品以其卓越的安全性、稳定性，将会逐步在安全领域占有更多的市场份额，得到更广泛的认可，并最终可能成为新一代主流的网络安全产品。

联想网御SIS物理隔离解决方案概述

方案定位

　　联想网御SIS物理隔离系统是面向政府机关、军队、大中型企业和一般行业用户推出的一整套网络安全物理隔离解决方案，可广泛应用于不同安全级别网络之间的安全隔离，并可在此基础上进行可靠的适度的数据交换。产品种类丰富，不仅可完善地保护内部网络资源和敏感信息的安全，而且可优化网络资源，提高管理效率，同时降低网络安全建设成本，完全符合我国政府对网络物理隔离的要求。

设计理念

　　随着国际互联网的广泛应用以及我国电子政务、电子商务等工程的深入实施，网络信息安全正受到日益严重的威胁，因此如何在确保内部网络数据安全的前提下获取外网的信息，已成为众多部门的强烈要求。绝对的隔离虽然是安全的，但带来使用上的复杂，并且不便从互联网上获取丰富的信息资源。联想基于对客户需求的深刻理解，本着符合国家保密政策，保护用户网络已有投资、降低网络安全建设成本的原则，依托在物理隔离技术上的多年积累和不断创新，综合运用终端隔离、信道隔离、网络/服务器隔离等多项技术，研制开发并推出了网御SIS物理隔离系统和物理隔离全面解决方案。

典型应用

　　下图以电子政务中的三网隔离为例，展示了联想网御物理隔离全面解决方案。

#$[*47245.jpg*#a*#0*#0*#center*]$#

终端级隔离：

　　基于这样一个原理：连接内部网络时，启动内网硬盘及其操作系统，并同时关闭外网硬盘；连接外部网络时，启动外网硬盘及其操作系统，并同时关闭内网硬盘，任何外部攻击都无法链接到内网资源，从而在物理上彻底隔断两个网络环境。

信道级隔离：

　　通过与终端隔离系统配合，可以灵活组建双网隔离、三网隔离、甚至多网隔离方案。它可以在物理传导上使政务内网与政务外网物理隔离，确保外网不能通过网络连接而侵入政务内网；同时防止政务内网信息通过网络连接泄漏到外网；在物理辐射上隔断政务内网与政务外网，确保政务内网信息不会通过电磁辐射或耦合方式泄漏到外网。信道级隔离系统主要应用在单网线布线的网络环境中，将多个用户从桌面联接到两个不同的网络上去。

网络级隔离：

　　网络级隔离系统是针对不同安全级别网络之间的隔离需求而研制的一种新型物理隔离系统，工作在TCP/IP应用层，适用于重要服务器和关键子网的安全保护。它采用国际上最新的信息轮渡机制，集成了安全操作系统、入侵监测内核、身份认证、访问控制和安全审计等多种安全技术，对传输数据的类型、内容等进行检查和过滤。它终断了原有的TCP/IP连接，没有任何存活的TCP/IP连接能穿过该系统，从而有效防止针对网络协议和操作系统漏洞的各种攻击，并能在物理上断开内外网络连接的同时，保持适度的、可控的内外网络数据交换。它可广泛应用于不同安全级别的网络/服务器的准物理隔离。

　　联想物理隔离系统可以根据不同的网络环境，灵活组合，再配以防火墙等逻辑隔离设备，可组成多层次的网络防御结构，从而确保信息安全。

　　需要强调的是，物理隔离虽然从技术上杜绝了网络入侵，但内外网隔离并不能保证网络绝对安全，杜绝内部犯罪（包括占很大比例的误操作）是非常重要的。因此建立严格的管理制度、提高人员的安全意识同样是保障网络安全的重要手段。

联想物理隔离解决方案的优势

• 纯硬件设计，真正实现物理隔离；
• 根据网络环境和使用需求灵活组合，形成两网、三网、多网隔离解决方案，满足用户的个性化需求，保护用户已有投资；
• 通过隔离不同的网络，可分离网络之间的通讯量，降低网络负荷；
• 无需升级，维护费用低。

联想网御SIS物理隔离全面解决方案

　　联想网御SIS物理隔离解决方案可以全面优化安全网络的结构、保护内部网络资源和敏感信息的安全，同时还可以进一步降低用户构建安全网络的成本。联想网御SIS物理隔离解决方案完全符合我国政府对网络物理隔离的要求。目前，联想根据客户的需求推出了5种应用于不同网络环境的物理隔离解决方案，与此同时，联想还可根据客户的需求，为客户咨询定制适合其网络实际情况的物理隔离解决方案，为保证客户内外网信息安全提供全面的方案服务。

　　　方案一、 基于主机的隔离解决方案
　　　方案二 、基于信道的隔离解决方案
　　　方案三 、基于主机-信道的双网隔离解决方案
　　　方案四 、基于主机-信道的多网隔离解决方案
　　　方案五 、基于网络的隔离解决方案

方案一 基于主机的隔离解决方案

方案介绍

　　适用于内外网络均直接布线到桌面信息点的双网布线环境，用户需要访问内部网和Internet网，同时要确保内部网的绝对安全。适用于安全级别最高的客户端电脑。可广泛应用于电子政务、电子商务中涉密网络的安全保护。推荐使用网御SIS-1201/1202终端隔离卡或开天4600系列双网安全电脑。

　　在用户终端上安装一块终端隔离卡、两块硬盘和两套操作系统，在软件开关或硬件开关控制下，通过终端隔离卡硬件电路控制，将一块硬盘和对应的网络连接悬空，使系统与另一块硬盘和另一套网络信道相连接。通过自动控制系统重启实现内外网的物理切换。

#$[*47247.jpg*#a*#0*#0*#center*]$#

方案特点

• 纯硬件设计，以最简方式实现物理隔离，使一台计算机变成两台虚拟工作站；
• 不会对现有的网络环境造成任何的影响；
• 无需升级，维护成本低。

方案构建

• 开天4600双网安全电脑
  如果用户需新添电脑，则可选购联想开天4600系列双网安全电脑

#$[*47248.jpg*#a*#0*#0*#center*]$#

• 网御SIS-1201/1202终端隔离卡
  对于已购电脑的用户，则可选择网御SIS-1201/1202终端隔离卡（如果是单硬盘PC，还需另购一块硬盘）。

#$[*47249.jpg*#网御SIS-1201*#0*#0*#center*]$##$[*47250.jpg*#网御SIS-1202 *#0*#0*#center*]$#

方案二 基于信道的隔离解决方案

方案介绍

　　适用于数据大集中和B-S架构的网络应用环境中，终端PC不存储涉密信息，但需要在单网线布线环境下访问内外网络，同时要确保内网中各类数据库的绝对安全。如金融企业、科研院所、SOHO等。推荐使用网御SIS-2012/2024或网御SIS-2112网络隔离器。

　　SIS-2012/2024/2112网络隔离器应用在单网线布线的环境中，可适用于任何一台普通终端或笔记本电脑。对终端而言只用一条网线就可连接到内外网上，无须安装隔离卡。内外网切换时不需要重启机器，只需点击IPManager桌面图标，即可自动完成IP地址转换和网线切换。当用户连接内部网时，与外部网是完全隔离的；反之当用户连接外部网时，与内部网是完全隔离的，Internet上的任何攻击都无法链接到内部网络资源。由于访问内外网时使用同一存储介质，因此这是一种准物理隔离方案，但网络切换和数据交换十分方便。如果和防火墙、杀毒软件配合使用，则可强化对终端的安全保护。

#$[*47254.jpg*#a*#0*#0*#center*]$#

方案特点

• 不用进行二次布线，即可在单网线环境下实现内外网的准物理隔离；
• 网络切换操作简单，无需重启机器，单击桌面图标即可完成；
• 通过分离内外网的通讯量来降低网络负荷；
• 无需升级，维护费用低。

方案构建

　　基于信道的物理隔离方案可以根据用户数量及外网接入方式分为两种：

• A、网御SIS-2012/2024网络隔离器 + IPManager软件
  如果用户数量较多且通过专线上外网/互联网，则推荐使用该方案。

#$[*47256.jpg*#a*#0*#0*#center*]$#

#$[*47259.jpg*#a*#0*#0*#center*]$#

#$[*47261.jpg*#网御SIS-2024网络隔离器*#0*#0*#center*]$##$[*47263.jpg*#网御SIS-2012网络隔离器*#0*#0*#center*]$#

IPManager软件：

　　IPManager是安装在Windows 95/98/Me/NT/2000/XP环境下的一套管理软件，安装后单击显示器上的图标即可控制网御SIS-2012/2024/2112网络隔离器进行内、外网线路的切换，无须重启终端。

　　IPManager具有三大功能：首先，它会生成一个IP包并将其发往网御SIS-2012/2024/2112，指示网络隔离器进行相应的网络连接；其次当用户需要进行网络转换时，只要点击IPManager图标，就可以在不重新启动系统的情况下自动重置IP地址；最后它还提供独特的文件夹隐藏功能，使远在Internet的黑客无法看到被隐藏的文件夹，从而达到保护电脑资料安全的目的。其主要功能如下。

• 支持多种操作系统Windows9X/Me/NT/2000/XP
• 兼容所有网卡
• 文件夹隐藏功能(Windows 95/98/Me)，可在用户登录互联网时有效保护资讯的安全
• 单击图标即可实现内/外网切换
• 支持2个以上IP地址切换
• 支持Novell Netware3.x/4.x
• 支持DHCP
• 显示网络使用状态
• 支持所有网络协议

• B、 网御SIS-2112网络隔离器 + IPManager软件
  如果是小型用户或SOHO环境且通过xDSL/ISDN/Cable Modem/Dialup Modem上互联网，则推荐使用该方案。

#$[*47266.jpg*#a*#0*#0*#center*]$# 

　　网御SIS-2112是面向小型用户和SOHO环境推出的一款信道隔离产品，不仅具有网御SIS-2012/2024的所有功能，还集成了访问外网所具备的交换式Hub、防火墙的功能，并且还提供WAN接口，支持多种Internet连接方式。可节约购买防火墙、代理服务器的费用，是分支机构和SOHO环境下的非常好的选择！

#$[*47269.jpg*#网御SIS-2112网络隔离器*#0*#0*#center*]$#

网御SIS-2112的主要功能:

• 连接互联网功能：内置BroadBand Router功能，提供WAN接口（1个10BaseT端口和一个串口），支持xDSL、Cable Modem、ISDN、Dialup Modem等多种Internet连接方式。
• 内置10/100M 交换式Hub，无需为外网额外购置Hub。
• 支持标准的Ethernet(IEEE 802.3)，Ethernet 10/100M自适应。
• LED显示网络工作状态。
• 提供12个10/100BaseT Ethernet端口及一个Uplink端口。
• 内置防火墙和入侵检测功能：
  －基于策略的过滤功能
  －信息包状态检查
  －阻断URL功能
  －网络地址转换NAT功能
  －DMZ设置，可以将具有合法IP的主机设为FTP服务器及WEB服务器等。

方案三 基于主机-信道的双网隔离解决方案

方案介绍

　　适用于桌面信息点为单网线布线环境下的物理隔离，用户需要访问内部网和Internet网，同时要确保内部网的绝对安全。推荐使用网御SIS-2208/2224网络隔离器 + 网御SIS-1101/1102终端隔离卡或联想开天4600系列双网安全电脑。

#$[*47277.jpg*#a*#0*#0*#center*]$#

　　在用户终端上安装（或预装）一块终端隔离卡、两块硬盘和两套操作系统，在软件开关或硬件开关控制下，通过隔离卡硬件电路控制，将一块硬盘和对应的网络连接悬空，同时控制网络隔离器进行相应的网络线路切换，使系统与另一块硬盘和另一套网络信道相连接。通过自动控制系统重启实现内外网的物理切换。

方案特点

• 不用进行二次布线，即可以在单网线环境下实现内外网物理隔离，使一台计算机变成两台虚拟工作站；
• 通过网络隔离器和隔离卡方便地构成双重网，节约双网建设费用；
• 通过分离内外网的通讯量来降低网络负荷；
• 无需升级，维护费用低。

方案构成

A、如果用户需要新购电脑，则选择开天4600系列双网安全电脑+网御SIS-2208/2224网络隔离器。

B、对于已购电脑用户，则选择网御SIS-1101/1102隔离卡+网御SIS-2208/2224网络隔离器

#$[*47279.jpg*#a*#0*#0*#center*]$#

#$[*47281.jpg*#网御SIS-1201终端隔离卡*#0*#0*#center*]$##$[*47283.jpg*#网御SIS-1202终端隔离卡*#0*#0*#center*]$##$[*47284.jpg*#网御SIS-2208网络隔离器*#0*#0*#center*]$##$[*47285.jpg*#网御SIS-2224网络隔离器*#0*#0*#center*]$#

　　适用于多个网络之间的物理隔离，一台主机要分别访问多个不同密级的网络，同时要确保涉密网络的绝对安全。可用于已经建有多个网络的部门。

　　联想网御SIS物理隔离系统可以根据用户网络环境的不同而灵活组合，完全满足用户的不同使用需求。下面以三个典型的方案为例，介绍多网隔离解决方案。

• A 、双网线布线环境下的三网隔离

　　方案介绍

　　适用于桌面信息点为双网线布线环境下的三网隔离。推荐使用网御SIS-2208/2224网络隔离器+网御SIS-1201/1202隔离卡 + IP切换软件。

　　用户终端安装网御SIS-1201/1202终端隔离卡，外网硬盘安装IP切换软件。使用内部网硬盘和系统来访问保密网，将保密网和其他网络物理隔离，确保保密网绝对安全；利用外网硬盘和网御SIS-2208/2224网络隔离器来分时访问内网和外网，实现准物理隔离，而且无需重启机器，利用IP切换软件即可重置IP地址并控制网络切换。当用户连接保密网时，与外网及内网是完全物理隔离的；反之当用户连接外网或内网时，与保密网是完全物理隔离的，Internet上的任何攻击都无法链接到内部保密网络资源。

#$[*47287.jpg*#a*#0*#0*#center*]$#

　　方案特点

• 利用双网线，通过网络隔离器和隔离卡即可实现三网隔离，使一台计算机变成三台虚拟工作站；
• 切换外网和内网时只需单击桌面图标，无需重新启动机器，操作简单快捷；
• 通过分离不同网络的通讯量来降低网络负荷；
• 无需升级，维护费用低。

　　方案构建

#$[*47289.jpg*#a*#0*#0*#center*]$# 

• B、 单网线布线环境下的三网隔离

　　方案介绍

　　适用于桌面信息点为单网线布线环境下的三网隔离。推荐使用网御SIS-2306网络隔离器+网御SIS-1103终端隔离卡+IP切换软件。

　　用户终端安装网御SIS-1103终端隔离卡，外部网硬盘安装IP切换软件。网御SIS-2306网络隔离器是一种多路开关切换设备，它的入口与终端网线相连，出口分别与三个网络的HUB连接，可根据终端隔离卡发出的控制信号，自动将终端与相应的网络连接。用户终端使用内部网硬盘和系统来访问保密网，将保密网和其他网络物理隔离，确保保密网绝对安全；利用外部网硬盘和网御SIS-2306网络隔离器来分时访问内部网和外网，实现准物理隔离，而且无需重启机器，利用IP切换软件即可重置IP地址并控制网络切换。当用户连接保密网时，与外网及内网是完全物理隔离的；反之当用户连接外网或内网时，与保密网是完全物理隔离的，Internet上的任何攻击都无法链接到内部保密网资源。

#$[*47291.jpg*#a*#0*#0*#center*]$#

　　方案特点

• 利用单网线，通过网络隔离器和隔离卡即可实现三网隔离，使一台计算机变成三台虚拟工作站；
• 切换外网和内网时只需单击桌面图标，无需重新启动机器，操作简单快捷；
• 通过分离不同网络的通讯量来降低网络负荷；
• 无需升级，维护费用低。

　　方案构建

#$[*47292.jpg*#a*#0*#0*#center*]$#

#$[*47296.jpg*#网御SIS-1103终端隔离卡*#0*#0*#center*]$#
#$[*47301.jpg*#网御SIS-2306网络隔离器*#0*#0*#center*]$# 

• C 、四网隔离解决方案

　　方案介绍

　　适用于双网线布线环境下的四网隔离。推荐使用网御SIS-2208/2224网络隔离器+网御SIS-1201/1202终端隔离卡+IP切换软件。

　　用户终端安装网御SIS-1201/1202终端隔离卡，两块硬盘上均安装IP切换软件。使用内网硬盘系统，在网御SIS-2208/2224网络隔离器的配合下来分时访问涉密网和财务网，无需重启机器，利用IP切换软件即可更改IP地址并控制网络切换，并和其他网络物理隔离，确保秘密信息的绝对安全；利用外网硬盘系统和网御SIS-2208/2224网络隔离器来分时访问内网和互联网，而且无需重启机器直接利用IP切换软件进行网络切换。仅在两个硬盘之间进行切换时需要重启机器，这样就实现了四网隔离，而且内外硬盘系统之间是严格物理隔离的。

　　Internet上的任何攻击都无法链接到其他三个网络资源，如果和防火墙、杀毒软件配合使用，则可强化对外网硬盘系统的实时检测和安全保护。

#$[*47304.jpg*#a*#0*#0*#center*]$#

　　方案特点

• 利用双网线，通过网络隔离器和隔离卡即可实现四网隔离，使一台计算机变成四台虚拟工作站；
• 切换内网和互联网或涉密网和财务网时只需单击桌面图标，2秒内实现网络切换，无需重新启动机器，操作简单快捷；
• 通过分离不同网络的通讯量来降低网络负荷；
• 无需升级，维护费用低。

　　方案构建

#$[*47305.jpg*#a*#0*#0*#center*]$#

方案五 基于网络的隔离解决方案

方案介绍

　　适用于关键子网和重要服务器的安全保护，在保持内外网络物理隔离的同时，进行适度的、可控的内外网络数据交换，提供比防火墙级别更高的安全保护，可广泛应用于不同安全级别网络的准物理隔离。推荐使用网御SIS-3001安全隔离网闸。

　　网御SIS-3001安全隔离网闸是针对不同安全级别网络之间的隔离需求而研制的一种新型物理隔离系统，放置在内外网之间，是工作在TCP/IP应用层的一种新型网络安全设备，从根本上解决了隔离网络间信息的安全交流问题。它由安全服务器、安装在内外网应用服务器上的安全转发代理（软件）组成，通过内置的高速固态开关控制其网络通断状态。它采用国际上最新的信息轮渡机制，集成了安全操作系统、入侵监测内核、身份认证、访问控制和安全审计等多种安全技术，对传输数据的类型、内容等进行检查和过滤，专门设计于保护服务和数据的安全。它只关心通过它的服务请求和进出的数据，由于这类服务请求是以一种明确的表单形式提交的，这样安全隔离网闸有足够的能力和效率对这些服务请求根据用户的逻辑进行检验。同时，由于高速开关的隔断作用，内网网络的安全转发代理不会受到攻击，所有访问均通过该代理唯一的向应用系统提交，保证了应用系统获取数据的合法性，从而大大提高了系统整体的安全性。为用户提供了一个基于物理层隔离的安全信息交换平台。

#$[*47310.jpg*#a*#0*#0*#center*]$#

方案特点

• 物理隔离：内置高速固态开关在内外网络之间切换，在任意一个时刻，系统在物理链路上只能处于内网或者外网的一侧。
• 信息交换：连入外网时，与内网断开，从外网获取需要交换的数据；断开外网连接，过滤数据，连接内网，交换数据到内网。往复不断，从而完成内外网络信息的交换。
• 数据过滤：可根据数据特点设定每个数据项的校验策略，在应用层对出入数据进行校验和过滤，校验合格的数据被放行，否则被屏蔽。
• 建立数据特征库：可结合应用要求，提取应用数据的特征，形成用户特有的数据特征库，作为运行过程中数据校验的基础。
• 专用安全协议：信息在内外网之间传输时，采用专用的安全传输协议，对数据进行重新分片和重组，保障数据的传输安全。
• 支持多种应用，如文件传输、数据库同步、邮件传输等，并且能基于特定的应用定制支持协议集。
• 支持多种平台，支持双机热备和多机负载均衡，能够有效的为大规模应用提供有力的保证。
• 安全服务器本身不开放任何服务，采取主动向两侧安全转发代理建立链接的工作模式，可杜绝安全服务器因此可能受到的攻击。

联想网御SIS物理隔离系统产品明细表

#$[*47311.jpg*#a*#0*#0*#center*]$##$[*47312.jpg*#a*#0*#0*#center*]$##$[*47313.jpg*#a*#0*#0*#center*]$##$[*47314.jpg*#a*#0*#0*#center*]$#