安全生产工作离不开信息化管理,网络技术在社会活动中的运用不断扩大。利用一台计算机甚至一部微型的手持计算设备,我们就可以自由地获取信息和数据,这为安全生产管理工作提供了很大的便利。然而便利与安全始终是一对矛盾体,信息容易获取的事实对普通计算机用户和怀有恶意的计算机黑客来说都是对等的。我们必须利用技术手段确保自己信息的安全,以保证安全生产管理工作的顺利实施。
笔者在这里介绍物理隔离技术。这是一种独特的、具有特殊功用的计算机安全保护技术,可以解决很多常规防护措施无法解决的问题。
我们知道,防火墙是网络安全防护中最常用也最有效的产品类型。然而一些“先天”的问题使得防火墙并不能适用于所有的环境,操作系统的安全问题会转嫁到防火墙上,降低防火墙的抗攻击能力,从而威胁到网络的安全。
物理隔离技术最主要的特色是在于物理隔离产品的理念。与防火墙这样的产品不同的是,物理隔离产品是在保证绝对安全的基础上,提供网络之间的互通性;而防火墙产品恰恰相反,首先要保障网络互通能力,在此基础上向用户提供安全保护功能。所以在要求绝对安全的环境下,物理隔离产品比防火墙更具安全性,因为其功能更加纯粹,本身的坚固程度也更加突出。从这一点也可以看出,物理隔离技术并不是对某些已有安全技术的替代,而更多的是一种特定条件下的网络安全解决方案。
常见的应用形式
物理隔离最常见的一种应用形式是用于分离外网和内网。在通常情况下,外网和内网被物理隔离设备完全隔开,两个网络之间无法进行任何数据交换。当外网有数据抵达内网的时候,位于外网的服务器会向物理隔离设备发起一个专用的网络连接,隔离设备负责将接到的数据与所有网络和应用协议剥离,最终将数据写入专用的存储介质。在数据完全存储到存储介质之后,物理隔离设备会断开外网与物理设备之间的连接,再次发起一个与内网之间的专用连接,内网可以经由这个连接从专用的存储介质中读取所请求的数据。当数据写入到存储设备以及提供给内网之前,可以执行诸如数据完整性检测、防病毒检测这样的内容安全检测,以确保所传递的数据是安全的。对于内网向外网发送数据的情况也是如此。物理隔离设备始终保持内、外网之间不直接连通。这样可以避免由于各种协议的封装而带来的不安全问题,因为内网和外网的计算机设备并不直接通信。
主要的物理隔离产品
物理隔离卡。物理隔离卡是物理隔离技术的一种低成本实现,其安全性和功能性相对较差。将隔离卡安装到计算机之后,该计算机就具有了两种不同的工作状态,并可以在这两种状态之间进行切换。这种隔离卡可以连接计算机的硬盘和控制计算机的网络连接。在插接了隔离卡的计算机上,硬盘从物理层次被划分为两个区域,隔离卡的固件通过数据传输总路线控制磁盘通道。在任何情况下,数据只能在一个区域上操作。另外,隔离卡可以保证在同一时间只连接到一个网络当中。
物理隔离集线器。这种设备从本质上讲是一种多路开关切换装置,往往与物理隔离卡配合使用。与物理隔离卡一样,物理隔离集线器也采用标准的RJ-45网络接口,其入口与物理隔离卡相连,出口则分别与内网和外网的集线器设备相连。这种设备在工作的时候会检测网络隔离卡发出的专用信号,识别出所连接计算机的工作状态,并将其网络连接切换到相应的网络中。使用物理隔离集线器可以实现多台独立的计算机在内外网之间的切换,有效提高网络的安全程度。
物理隔离网闸。物理隔离网闸虽购置成本高,但安全强度高。它采用“双主机”的工作模式,可以从物理层面阻断所有攻击连接。虽然采用两台计算机也可以搭建这种模式的物理隔离装置,但是由于计算机本身具有操作系统,所以在安全性上不如集成式的、专用的物理隔离网闸设备。由于物理隔离网闸没有任何网络通讯功能,也不具备应用层功能,所以很难被攻破。事实上这类设备只是依据物理隔离技术原理进行文件在内外网之间的互递,甚至没有自己的操作系统,只是在固件当中集成了特定的一些读写命令。物理隔离网闸主要包含三个部分的硬件,分别是专用安全隔离切换装置、内部处理单元和外部处理单元。
上一篇:强化执行力 实现企业健康发展
下一篇:保障安全生产 建设和谐社会