常用的网络物理隔离方案,通常包括客户端选择设备和网络选择器。用户或通过开关设备,或通过键盘选择,控制客户端选择不同的存储介质,在必要时网络选择器还要同时对客户端设备进行相应的网络连接跳转。网络物理隔离技术的发展先后出现了以下不同方案。
1.双网机技术方案
采用这种方案的客户端计算机,在一个机箱内配置了两块主板、两套内存、两块硬盘和两个CPU,相当于两台计算机,但是共用一个显示器,用户通过客户端开关,分别选择两套计算机系统。这种方案要求网络布线为双网线结构,技术水平相对简单,但是客户端成本仍然很高。
2.基于双网线的安全隔离卡技术方案
这种方案是在客户端计算机内增加一块PCI总线专用适配器卡和配置两块硬盘(或其他存储设备)。硬盘首先连接到该适配器卡,然后转接到主板上。通过该适配器卡可以控制客户端计算机的硬盘。当用户选择不同的硬盘时,同时选择了该适配器卡上不同的网络接口,连接到不同的网络。该方法大大降低了成本,但是仍然需要网络布线为双网线结构。如果在客户端计算机处接错了两个网络的网线连接,则该计算机的内外网、存储介质也就被交换了,因此其客户端计算机还存在安全隐患。
3.基于单网线的安全隔离卡技术方案
这是一种单网线安全隔离卡加网络选择器的方案。客户端计算机仍然采用类似于双网线安全隔离卡的技术,但是它只用一个网络接口,而通过网线传递不同的电平信号到网络选择端。在网络选择端配置网络选择器。网络选择器可以根据不同的电平信号,选择不同的网络连接。这种方案能够有效地利用现有的单网线网络环境,成本较低,由于选择网络的选择器不在客户端,安全性也有所提高。
4.单硬盘物理隔离卡方案
单硬盘物理隔离卡方案的工作原理,是通过对单个硬盘上磁道的读写控制技术,在一个硬盘上分隔出两个工作区间,使这两个区间无法互相访问。单硬盘物理隔离卡技术以物理方式将一台计算机虚拟为两台计算机,实现计算机的双重工作模式,既可工作在安全模式,又可工作在公共模式,且这两种工作模式是完全隔离的,从而使一部计算机可在完全安全模式下连接内部网。安全隔离卡设置在计算机的物理层上,内外网的连接均需通过网络安全隔离卡。在任何时候,数据只能通往一种硬盘工作区间。当计算机工作在安全模式时,主机只能使用硬盘的安全区与内部网连接,而此时外部网的连接是断开的,且硬盘的公共区的通道是封闭的。当计算机工作在公共模式时,主机只能使用硬盘的公共区与外部网连接,而此时与内部网是断开的,且硬盘安全区也是被封闭的 .
当两种工作模式转换时,用户可以通过鼠标单击操作系统上的切换键,即进入一个热启动过程。切换时,系统通过硬件重启信号重新启动,内存中所有数据被消除。两种工作模式分别有各自独立的操作系统并独立引导,两个硬盘分区不会被同时激活。