企業(yè)安全是每個網(wǎng)絡(luò)安全管理員所不停思考的，本篇文章通過介紹物理隔離網(wǎng)閘的原理和起源分析企業(yè)是否需要物理隔離網(wǎng)閘系統(tǒng)。通過本篇文章，我們可以知道物理隔離網(wǎng)閘與物理隔離卡、安全隔離網(wǎng)閘的區(qū)別，并且了解物理隔離網(wǎng)閘五種典型應(yīng)用場合。

物理隔離網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個獨(dú)立主機(jī)系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議“擺渡”，且對固態(tài)存儲介質(zhì)只有“讀”和“寫”兩個命令。 

物理隔離網(wǎng)閘最早出現(xiàn)在美國、以色列、俄羅斯等國家的軍方，用以解決涉密網(wǎng)絡(luò)與公共網(wǎng)絡(luò)連接時的安全。俄羅斯的Ry Jones，以色列的Buky Carmeli，Elad Baron，Daniel Steiner等人都是該領(lǐng)域的先驅(qū)，后者現(xiàn)在美國開公司。目前最大的物理隔離公司當(dāng)屬美國的Whale communications公司，Spearhead公司也不小。隨著我國電子政務(wù)快速發(fā)展，外部網(wǎng)絡(luò)連接著廣大民眾，內(nèi)部網(wǎng)絡(luò)連接著政府公務(wù)員桌面辦公系統(tǒng)，專網(wǎng)連接著各級政府的信息系統(tǒng)，在外網(wǎng)、內(nèi)網(wǎng)、專網(wǎng)之間交換信息是基本要求。如何在保證內(nèi)網(wǎng)和專網(wǎng)資源安全的前提下，實現(xiàn)從民眾到政府的網(wǎng)絡(luò)暢通、資源共享、方便快捷是電子政務(wù)系統(tǒng)建設(shè)中必須解決的技術(shù)問題。一般采取的方法是在內(nèi)網(wǎng)與外網(wǎng)之間實行防火墻的邏輯隔離，在內(nèi)網(wǎng)與專網(wǎng)之間實行物理隔離。出于對重要信息、文件保護(hù)的目的，物理隔離網(wǎng)閘開始被人們接受，物理隔離網(wǎng)閘成為電子政務(wù)信息系統(tǒng)必須配置的設(shè)備。

與物理隔離卡、安全隔離網(wǎng)閘的區(qū)別

物理隔離網(wǎng)閘主要由內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元、安全隔離與信息交換處理單元三部分組成。外網(wǎng)處理單元與外網(wǎng)（如Internet）相連，內(nèi)網(wǎng)處理單元與內(nèi)網(wǎng)（如軍隊網(wǎng)）相連；安全隔離與信息交換處理單元通過專用硬件斷開內(nèi)、外網(wǎng)的物理連接，并在任何時刻只與其中一個網(wǎng)絡(luò)連接，讀取等待發(fā)送的數(shù)據(jù)，然后“推送”到另一個網(wǎng)絡(luò)上。在切換速度非?？斓那闆r下，可以實現(xiàn)信息的實時交換。

物理隔離卡是物理隔離的低級實現(xiàn)形式，一個物理隔離卡只能管一臺個人計算機(jī)，甚至只可能在Windows環(huán)境下工作，每次切換都需要開關(guān)機(jī)一次。物理隔離網(wǎng)閘是物理隔離的高級實現(xiàn)形式，網(wǎng)閘可以管理整個網(wǎng)絡(luò)，不需要開關(guān)機(jī)。網(wǎng)閘實現(xiàn)后，原則上不再需要物理隔離卡。安全隔離是一種邏輯隔離，防火墻就是一種邏輯隔離，因此防火墻也是一種安全隔離。有些廠商對安全隔離增加了一些特點，如采用了雙主機(jī)結(jié)構(gòu)，但雙主機(jī)之間卻是通過包來轉(zhuǎn)發(fā)的。

無論雙主機(jī)之間采用了多么嚴(yán)格的安全檢查，但只要是包轉(zhuǎn)發(fā)，就存在基于包的安全漏洞，存在對包的攻擊。這在本質(zhì)上同兩個防火墻串聯(lián)并無本質(zhì)的差別。從目前已經(jīng)存在的安全隔離網(wǎng)閘，包括以下類型：通過串口或并口來實現(xiàn)雙主機(jī)之間的包轉(zhuǎn)發(fā)，通過USB或1394或firewire（火線）等方式來實現(xiàn)雙主機(jī)之間的包轉(zhuǎn)發(fā)，甚至是直接通過以太線來實現(xiàn)雙主機(jī)之間的包轉(zhuǎn)發(fā)，以及其他任何形式的通信方式來實現(xiàn)雙主機(jī)之間的包轉(zhuǎn)發(fā)如專用ASIC開關(guān)電路，ATM，Myrinet卡等，都是安全隔離網(wǎng)閘，但都不是物理隔離網(wǎng)閘。

物理隔離網(wǎng)閘五種典型應(yīng)用場合

1、局域網(wǎng)與互聯(lián)網(wǎng)之間（內(nèi)網(wǎng)與外網(wǎng)之間）

有些局域網(wǎng)絡(luò)，特別是政府辦公網(wǎng)絡(luò)，涉及政府敏感信息，有時需要與互聯(lián)網(wǎng)在物理上斷開，用物理隔離網(wǎng)閘是一個常用的辦法。

2、辦公網(wǎng)與業(yè)務(wù)網(wǎng)之間

由于辦公網(wǎng)絡(luò)與業(yè)務(wù)網(wǎng)絡(luò)的信息敏感程度不同，例如，銀行的辦公網(wǎng)絡(luò)和銀行業(yè)務(wù)網(wǎng)絡(luò)就是很典型的信息敏感程度不同的兩類網(wǎng)絡(luò)。為了提高工作效率，辦公網(wǎng)絡(luò)有時需要與業(yè)務(wù)網(wǎng)絡(luò)交換信息。為解決業(yè)務(wù)網(wǎng)絡(luò)的安全，比較好的辦法就是在辦公網(wǎng)與業(yè)務(wù)網(wǎng)之間使用物理隔離網(wǎng)閘，實現(xiàn)兩類網(wǎng)絡(luò)的物理隔離。

3、電子政務(wù)的內(nèi)網(wǎng)與專網(wǎng)之間

  在電子政務(wù)系統(tǒng)建設(shè)中要求政府內(nèi)望與外網(wǎng)之間用邏輯隔離，在政府專網(wǎng)與內(nèi)網(wǎng)之間用物理隔離?，F(xiàn)常用的方法是用物理隔離網(wǎng)閘來實現(xiàn)。

4、業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)之間

電子商務(wù)網(wǎng)絡(luò)一邊連接著業(yè)務(wù)網(wǎng)絡(luò)服務(wù)器，一邊通過互聯(lián)網(wǎng)連接著廣大民眾。為了保障業(yè)務(wù)網(wǎng)絡(luò)服務(wù)器的安全，在業(yè)務(wù)網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間應(yīng)實現(xiàn)物理隔離。

5、涉密網(wǎng)與非涉密網(wǎng)之間

電子政務(wù)建設(shè)中一般都對網(wǎng)絡(luò)按照安全級別進(jìn)行了安全域的劃分，這在一定程度上保證了信息的安全，非涉密的系統(tǒng)及面向公眾的信息采集和發(fā)布系統(tǒng)主要運(yùn)行在非涉密網(wǎng)部分。涉密網(wǎng)、非涉密網(wǎng)之間物理隔離，依照涉密信息“最小化”原則，進(jìn)行涉密網(wǎng)和非涉密網(wǎng)之間兩個不同的信息安全域信息的適度“可靠交換”。

物理隔離網(wǎng)閘的應(yīng)用發(fā)展

物理隔離網(wǎng)閘在網(wǎng)絡(luò)的第七層將數(shù)據(jù)還原為原始數(shù)據(jù)文件，然后以“擺渡文件”的形式來傳遞原始數(shù)據(jù)。任何形式的數(shù)據(jù)包、信息傳輸命令和TCP/IP協(xié)議都不可能穿透物理隔離網(wǎng)閘。根據(jù)我國計算機(jī)網(wǎng)絡(luò)安全管理的規(guī)定，物理隔離網(wǎng)閘需要取得公安部、國家保密局和中國信息安全測評認(rèn)證中心的安全產(chǎn)品的測評認(rèn)證證書。在此基礎(chǔ)上，進(jìn)入軍事領(lǐng)域，還需要軍隊測評認(rèn)證中心的認(rèn)證證書。

涉及國家秘密的計算機(jī)信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相連接，必須實行物理隔離。涉密網(wǎng)絡(luò)必須在物理隔離的基礎(chǔ)上實現(xiàn)WWW瀏覽和自由收發(fā)E-mail。各級政府機(jī)關(guān)和涉密單位，必須將已建成的辦公局域網(wǎng)同Internet或上一級專網(wǎng)實行物理隔離，正在建設(shè)的電子政務(wù)網(wǎng)絡(luò)必須實現(xiàn)物理隔離。除了黨政軍外，其他行業(yè)和部門紛紛頒布建設(shè)規(guī)范和管理辦法，要求使用物理隔離。電力、鐵道、金融、銀行、證券、保險、稅務(wù)、海關(guān)、水利、交通、民航、社保、石化等行業(yè)部門，要求在物理隔離的條件下實現(xiàn)安全的數(shù)據(jù)庫數(shù)據(jù)交換。為了保證電子政務(wù)和電子商務(wù)體系中關(guān)鍵系統(tǒng)的安全性，物理隔離網(wǎng)閘將確保關(guān)鍵網(wǎng)絡(luò)和涉密網(wǎng)絡(luò)萬無一失，同時又能提供網(wǎng)絡(luò)業(yè)務(wù)的互聯(lián)互通。

目前市場上出現(xiàn)專門應(yīng)用于特定行業(yè)的物理隔離網(wǎng)閘，如供應(yīng)電力專用物理隔離網(wǎng)閘是一種專門用為是一種專門用為電力系統(tǒng)“二次安全防護(hù)設(shè)計的”一款單向物理隔離網(wǎng)閘。主要應(yīng)用于實時控制區(qū)(I區(qū)、或者DCS網(wǎng))、非控制生產(chǎn)區(qū)（II區(qū)）與生產(chǎn)管理區(qū)（III、IV區(qū)、或MIS網(wǎng)）完全的網(wǎng)絡(luò)物理隔離，并保證I、II區(qū)可向III、IV有效實時地傳輸數(shù)據(jù)，但反過來，任何網(wǎng)絡(luò)入侵、病毒的攻擊均被有效地阻隔，這樣就可在最大的限度上防止黑客、病毒的侵害。
 

【編輯推薦】

1. 防火墻安全測試之漏洞掃描
2. 防火墻安全測試之?dāng)?shù)據(jù)包偵聽
3. 防火墻安全測試之規(guī)則分析工具
4. Web應(yīng)用防火墻的主要特性
5. 防止入侵從Web應(yīng)用安全漏洞做起