物理隔离与逻辑隔离的区别.doc

物理隔离与逻辑隔离的区别所谓“物理隔离”是指内部网不直接或间接地连接公共网。物理隔离的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网和公共网物理隔离, 才能真正保证内部信息网络不受来自互联网的黑客攻击。此外, 物理隔离也为内部网划定了明确的安全边界,使得网络的可控性增强,便于内部管理。如何实现物理隔离网络隔离技术目前有如下两种技术: 1 .单主板安全隔离计算机:其核心技术是双硬盘技术,将内外网络转换功能做入 BIOS 中,并将插槽也分为内网和外网,使用更方便, 也更安全,价格界乎于双主机和隔离卡之间。 2 .隔离卡技术:其核心技术是双硬盘技术,启动外网时关闭内网硬盘, 启动内网时关闭外网硬盘, 使两个网络和硬盘物理隔离, 它不仅用于两个网络物理隔离的情况, 也可用于个人资料要保密又要上互联网的个人计算机的情况。其优点是价格低, 但使用稍麻烦, 因为转换内外网要关机和重新开机。单主板安全隔离计算机单主板安全隔离计算机是采用彻底实现内外网物理隔离的个人电脑, 这种安全电脑的成本仅仅增加了 25% 左右, 并且由于这种安全电脑是在较低层的 BIOS 上开发的,处理器、主板、外设的升级不会给电脑带来什么“不兼容”的影响。它很好地解决了接入网络后局域网络信息安全、系统安全、操作安全和环境安全等问题, 彻底实现了网络物理隔离。安全电脑在传统 PC 主板结构上形成了两个物理隔离的网络终端接入环境, 分别对应于国际互联网和内部局域网, 保证局域网信息不会被互联网上的黑客和病毒破坏。主板 BIOS 控制由网卡和硬盘构成的网络接入和信息存储环境各自独立,并只能在相应的网络环境下工作, 不可能在一种网络环境下使用另一环境才使用的设备。 BIOS 还提供所有涉及信息发送和输出设备的控制,包括: 一、对软驱、光驱提供限制功能。在系统引导时不允许驱动器中有移动存储介质。双网计算机提供软驱关闭/ 禁用功能。二、对双向端口设备提供限制功能。双向端口包括打印机接口/ 并行接口、串行接口、 USB 接口、 MIDI 接口,这些接口如果使用不当,也是安全漏洞,需要加强使用管制。对于 BIOS ,则由防写跳线防止病毒破坏、非法刷新或破坏以及改变 BIOS 的控制特性。目前金长城世恒双网计算机就是采用这种构架的产品。网络安全隔离卡网络安全隔离卡的功能是以物理方式将一台 PC 虚拟为两部电脑,实现工作站的双重状态, 既可在安全状态, 又可在公共状态, 两种状态是完全隔离的,从而使一部工作站可在完全安全状态下连接内外网。网络安全隔离卡实际是被设置在 PC 中最低的物理层上,通过卡上一边的 IDE 总线连接主板, 另一边连接 IDE 硬盘,内、外网的连接均须通过网络安全隔离卡, PC 机硬盘被物理分隔成为两个区域,在 IDE 总线物理层上, 在固件中控制磁盘通道, 在任何时候, 数据只能通往一个分区。在安全状态时, 主机只能使用硬盘的安全区与内部网连接, 而此时外部网(如 )连接是断开的,且硬盘的公共区的通道是封闭的; 在公