典型案例分析

       某银行的总行下设多个分行，分行除了通过网络与总行进行业务往来以外，分行的员工还需要通过总行专线直接登录Internet,频繁地登录Internet会诱发各种安全隐患。在未实行物理隔离时其结构如图9所示。

图9      未实施物理隔离时的网络结构

       起初为了确保信息安全，该银行采用强制手段来限制员工登录外网，甚至设立专门的访问Internet的办公室。这样一来，不仅降低工作效率，而且由于分行均通过专线上网，还会产生昂贵的专线上网费用。该银行需要一个既可以进行外网隔离，又能够确保安全上网的物理隔离解决方案。

       根据该银行的网络状况（单网线环境及通信方式）和应用需求，韩国三星计算机安全公司为其提供了一个性价比很高的解决方案。

       1）在总行安装NetSwitchn-M.将内部网和互联网进行彻底的物理隔离。

       2）总行下的若干分行安装NetSwitchU-R产品。NetSwitchU-R产品可将各分行的内部网和互联网物理隔离。只有当分行需要与总行进行业务联系时，才与总行服务器进行连接。各分行若登录Internet,则可通过NetSwitchH-R的WAN接口连接互联网，无须借用总行专线上网，这样大大降低了总行专线上网的成本。而且由于众多分行均通过NetSwitchII-R提供的WAN接口上网，专线带宽占用量少，总行还可以在保证总行业务正常运行的情况下适当降低带宽速率。除此之外，NetSwitchII-R本身还内置SwitchingHub和防火墙功能，使各分行网络安全建设成本又进一步降低。确保内、外网资源完全隔离并毫不相干，网络管理员可方便地控制Internet的访问行为。

       NetSwitchII-M和NetSwitchII-R的组合，不仅能实现网络的物理隔离，而且还是一个构建网络安全高性价比的解决方案。实施物理隔离后的网络结构如图10所示。

图10   实施物理隔离后的网络结构

安全隔离卡原理与分类

       通过前面的叙述可知，对安全隐患最根本的解决办法是使用两套物理设备来分别处理涉密和非涉密信息。但这样做设备投入将非常大，同时设备的利用率很低。通过仔细分析可以发现，两套计算机系统分别在内网(涉密网)和外网(Internet)上工作所具有的安全性主要表现在具有两套独立工作的信息存储系统，那么只要在一台计算机上具有两套独立的存储系统就能够满足安全的需求，因此我们可以通过设计安全隔离系统来保证信息系统的安全。

       安全隔离系统的基本原理如图11所示。在一台计算机上安装一块安全隔离卡和两块硬盘，两块硬盘和软盘驱动器的电源线连接在安全隔离卡上，通过手动或软件控制安全隔离卡上的开关接通软盘或硬盘等存储设备的电源。当计算机在外网工作时，外网硬盘加电工作，内网硬盘不加电，当计算机在内网工作时则相反，同时为了控制网络用户使用Modem和软盘驱动器，只有当用户在外网工作时使用Modem,在内网时使用软盘驱动器。这样就可以做到内网和外网信息完全隔离。

图11  安全隔离卡原理图

       根据上述原理，在信息安全隔离系统的基础上再配置灵活的网络选择设备及接口，我们就可以构建一个安全、经济、灵活、适用的网络。根据用户上网环境，可将安全网络用户分为三种类型：单机、双网线和单网线，并分别对应三种安全隔离设备。

        隔离设备有安全隔离卡I、安全隔离卡II和安全隔离卡Ⅲ型，如图12所示，它们分别有一个网络接口、有两个网络接口和没有网络接口。

图12      安全隔离卡

现有产品

1.京泰公司的物理隔离产品

       北京京泰网络科技有限公司以中科院计算所为技术背景，研制网络安全和信息安全技术的硬件产品。该公司的物理隔离产品（安全隔离卡与安全集线器）已经通过公安部、国家保密局和军队系统的检测与鉴定。