隔离技术产品

6.3.1　隔离技术产品

物理隔离技术产品可分为终端隔离产品、信道隔离产品、网络-网络隔离产品。

1.终端隔离

终端隔离是指在一台计算机上采用两个系统、两个硬盘，按需要启动不同的系统，并连接不同的网络。终端隔离产品目前主要采用各种类型的物理隔离卡，其基本原理是通过在计算机上安装硬件插卡，使用双硬盘及双操作系统隔离技术来分时访问内外网络，它通过控制内外网络的硬盘电源、IDE数据线、网线实现网络间的选择和切换，有的产品还能在使用外网时屏蔽软驱和光驱等移动存储设备，以防在外网环境下使用这些存储设备而泄密。

内外网硬盘分别安装独立的操作系统，并独立引导，两个硬盘不会同时激活，切换时需要重启计算机，这样一台PC可当作两台独立的PC使用，实现内外网络彻底地物理隔离。

现在市面见到的隔离卡产品在设计上主要分为两大类：不集成网卡功能，所谓的“传统型物理隔离卡”（最常见）；集成网卡功能，所谓的“增强型物理隔离卡”。前者是一块插在电脑主机内的插卡，有内、外网选择开关，有接入来自网卡的网卡输入口，有内、外网输出口，以及为硬盘提供电源的电源插座，通过外接手动开关来控制电脑中两块硬盘的电源，以及内、外网线的切换，隔断了涉密网与外网的数据信息交换途径。后者在隔离卡基础上集成了10/100M自适应网卡，这样的设计提高了网络传输的稳定性，为标准PCI总线，支持即插即用功能。增强型物理隔离卡一般都不用选择开关而代之以软件来选择引导系统。

2.信道隔离

信道隔离产品是在终端的传输线路上进行内外网的切换，主要应用在单网线布线的环境中。这样的产品通称它为网络切换器，外形像交换机。它的作用是将对内外网的切换转移到远端隔离设备上进行，对终端而言只用一条网线就可连接到内外网上，解决了特定环境下无法重新布线的问题。网络切换器主要用于信息点为单网线的布线环境。它通常安装在机房配线架上，介于用户终端与交换机之间。它既可独立使用，也可以与隔离卡配合使用，灵活组建多种隔离解决方案以满足不同用户的需求。

3.网络-网络隔离

网络-网络隔离产品是一种新型的网络安全产品，应用于一般网络和关键子网的入口处，在保持内外网络物理隔离的同时，进行适度的、可控的内外网络数据交换，提供比防火墙级别更高的安全保护。这类产品的名称是安全隔离网闸（GAP）。

它是一种采用嵌入式安全操作系统，通过对系统内核的安全增强，实现了强制性访问控制。由带有多种控制功能的专用硬件在电路上切断网络之间的链路层连接，同时能够在网络间进行安全适度的应用数据交换的网络安全设备。GAP通过专用隔离硬件在链路层断开，彻底切断网络连接，采用高速电子隔离固件和专有协议，确保内外网在任意时刻物理链路完全断开。

它采用信息摆渡机制，任何需要在内、外网之间传输的数据都必须转换成特定的“摆渡文件”，并通过安全检测后，才能复制到对端网络。GAP通常放置于信任网络和非信任网络之间，管理员仅可以从信任网络一方对安全隔离网闸进行管理。