企業(yè)內(nèi)部網(wǎng)通常都通過某種安全保護措施與Internet相連,這種連接為企業(yè)內(nèi)部網(wǎng)的用戶在信息共享和利用方面帶來了極大的方便,但是同時為網(wǎng)絡(luò)的安全管理帶來了難題。目前常見的各種安全保護措施有安裝防火墻、入侵檢測系統(tǒng)、網(wǎng)絡(luò)安全管理軟件等,但是這類“軟”保護具有不確定性,誰也不能保證這些軟件中沒有后門、沒有錯誤。因此,如何保證企事業(yè)機構(gòu)內(nèi)部局域網(wǎng)上重要的、涉密的信息不被黑客通過Internet竊走或者破壞,是網(wǎng)絡(luò)管理員急需解決的問題。最穩(wěn)妥的方法,就是讓企事業(yè)機構(gòu)存放和處理重要涉密信息的計算機及其網(wǎng)絡(luò)與外部的Internet沒有物理上的連接,把可以上Internet的部分和不可以上Internet的部分隔離開來,讓黑客無機可乘。這樣,就需要一種技術(shù)來幫助用戶方便、有效地隔離內(nèi)外網(wǎng)絡(luò),這就是網(wǎng)絡(luò)物理隔離要解決的問題。
計算機網(wǎng)絡(luò)的安全是政府高度重視的問題。在多項政策法規(guī)中,國家對政府部門和有關(guān)機構(gòu)的安全上網(wǎng)做了嚴格而明確的規(guī)定。如在《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》中規(guī)定,涉及國家秘密的計算機信息系統(tǒng),不得直接或間接地與Internet或其他公共信息網(wǎng)絡(luò)相連接,必須實行物理隔離。
所謂物理隔離,首先在物理傳輸上要實現(xiàn)內(nèi)外網(wǎng)絡(luò)隔離,確保外部網(wǎng)不能通過網(wǎng)絡(luò)連接而侵入內(nèi)部網(wǎng);同時防止內(nèi)部網(wǎng)中的信息通過網(wǎng)絡(luò)連接泄露到外部網(wǎng)上。物理隔離的另一個方面是必須在物理輻射上阻斷內(nèi)部網(wǎng)與外部網(wǎng),確保內(nèi)部網(wǎng)信息不會通過電磁輻射或耦合方式泄露到外部網(wǎng)中。最后,還必須在物理存儲上隔斷兩個網(wǎng)絡(luò)環(huán)境,對于斷電后會丟失信息的部件,如內(nèi)存、處理器等暫存部件,要在網(wǎng)絡(luò)轉(zhuǎn)換時做清除處理工作,防止殘留信息串網(wǎng);對于斷電后信息非丟失性設(shè)備,如磁帶機、硬盤等存儲設(shè)備,內(nèi)部網(wǎng)與外部網(wǎng)的信息要分開存儲,嚴格限制可移動介質(zhì)的使用。
計算機網(wǎng)絡(luò)物理隔離技術(shù)的主要應用對象,是需要對內(nèi)部重要數(shù)據(jù)進行安全保護的國家各級政府部門、軍隊系統(tǒng)、金融系統(tǒng)等。這些部門由于任務和職責的特點,對網(wǎng)絡(luò)安全要求比較高,不但要防止信息被篡改、還要防止信息泄露。因此,對安全的需求不僅僅滿足于防火墻、入侵檢測等“軟”的手段,更需要一種“硬”的措施從物理上切斷黑客的攻擊途徑和內(nèi)部數(shù)據(jù)外流的途徑。
物理隔離最徹底的解決方案是安裝兩套網(wǎng)絡(luò)和計算機設(shè)備,一套應用于內(nèi)部安全辦公,另一套連接外部Internet,兩套網(wǎng)絡(luò)各自獨立,彼此無關(guān),互不干擾。工作人員在進行不同工作時,使用不同的網(wǎng)絡(luò)和計算機,這樣不需要特別的技術(shù)就達到了物理隔離的要求。但是,這種方案在現(xiàn)實中存在許多問題:首先是投資代價高,無論是新建還是改造,相當于構(gòu)建兩個網(wǎng)絡(luò)工程的費用;其次是用戶工作時需要在兩臺計算機之間來回操作,即麻煩又不方便,影響工作效率。一個理想的計算機網(wǎng)絡(luò)物理隔離方案應該滿足安全、低成本、易部署、操作簡單等要求。由于網(wǎng)絡(luò)的物理隔離會導致的使用不方便和內(nèi)外網(wǎng)信息交流的不方便。
