企业内部网通常都通过某种安全保护措施与Internet相连,这种连接为企业内部网的用户在信息共享和利用方面带来了极大的方便,但是同时为网络的安全管理带来了难题。目前常见的各种安全保护措施有安装防火墙、入侵检测系统、网络安全管理软件等,但是这类“软”保护具有不确定性,谁也不能保证这些软件中没有后门、没有错误。因此,如何保证企事业机构内部局域网上重要的、涉密的信息不被黑客通过Internet窃走或者破坏,是网络管理员急需解决的问题。最稳妥的方法,就是让企事业机构存放和处理重要涉密信息的计算机及其网络与外部的Internet没有物理上的连接,把可以上Internet的部分和不可以上Internet的部分隔离开来,让黑客无机可乘。这样,就需要一种技术来帮助用户方便、有效地隔离内外网络,这就是网络物理隔离要解决的问题。
计算机网络的安全是政府高度重视的问题。在多项政策法规中,国家对政府部门和有关机构的安全上网做了严格而明确的规定。如在《计算机信息系统国际联网保密管理规定》中规定,涉及国家秘密的计算机信息系统,不得直接或间接地与Internet或其他公共信息网络相连接,必须实行物理隔离。
所谓物理隔离,首先在物理传输上要实现内外网络隔离,确保外部网不能通过网络连接而侵入内部网;同时防止内部网中的信息通过网络连接泄露到外部网上。物理隔离的另一个方面是必须在物理辐射上阻断内部网与外部网,确保内部网信息不会通过电磁辐射或耦合方式泄露到外部网中。最后,还必须在物理存储上隔断两个网络环境,对于断电后会丢失信息的部件,如内存、处理器等暂存部件,要在网络转换时做清除处理工作,防止残留信息串网;对于断电后信息非丢失性设备,如磁带机、硬盘等存储设备,内部网与外部网的信息要分开存储,严格限制可移动介质的使用。
计算机网络物理隔离技术的主要应用对象,是需要对内部重要数据进行安全保护的国家各级政府部门、军队系统、金融系统等。这些部门由于任务和职责的特点,对网络安全要求比较高,不但要防止信息被篡改、还要防止信息泄露。因此,对安全的需求不仅仅满足于防火墙、入侵检测等“软”的手段,更需要一种“硬”的措施从物理上切断黑客的攻击途径和内部数据外流的途径。
物理隔离最彻底的解决方案是安装两套网络和计算机设备,一套应用于内部安全办公,另一套连接外部Internet,两套网络各自独立,彼此无关,互不干扰。工作人员在进行不同工作时,使用不同的网络和计算机,这样不需要特别的技术就达到了物理隔离的要求。但是,这种方案在现实中存在许多问题:首先是投资代价高,无论是新建还是改造,相当于构建两个网络工程的费用;其次是用户工作时需要在两台计算机之间来回操作,即麻烦又不方便,影响工作效率。一个理想的计算机网络物理隔离方案应该满足安全、低成本、易部署、操作简单等要求。由于网络的物理隔离会导致的使用不方便和内外网信息交流的不方便。
