一、产品概述
宇光公司针对市场上物理隔离产品的缺陷,秉承了现在国际上最先进的物理隔离安全技术,巧妙地把网络加密技术运用到物理隔离技术上,切合用户实际研发出既能防止外面黑客攻击和病毒破坏,又能防止内部人员主动泄密或无意泄密的更安全更完善的新一代物理隔离安全产品 。
二、产品组成
宇光单硬盘物理隔离卡增强型是由物理隔离卡和数据加密模块组成,在实际工作中,两者配合着使用。
(一)物理隔离卡
1、关于物理隔离卡
在互联网技术发展日新月异的今天,网络已经成为人们工作、学习、生活的一个重要工具,成为现代社会高速运转的一个基石。由于互联网采用的开放式结构和标准,使得任何人只要愿意都可以了解所有网络的细节,由此,带来了互联网的安全问题,尤其表现在互联网上如何保证单位和组织内部局域网上重要的数据不被黑客通过互联网窃走或者破坏。目前,常见的各种安全保护方式是安装防火墙、入侵检测系统、网络安全管理软件等等,但是这类“软”保护具有不确定性,谁也不能保证这些软件中没有后门、没有错误。最好的办法,就是让用户重要的数据和外部的互联网没有物理上的连接,把用户可以上网的信息和不可以上网的信息隔离开来,让黑客无机可乘。这样,就需要一种技术来帮助用户方便、有效地隔离内外网络,这就是物理隔离技术要完成的任务。
我国政府高度重视网络安全问题,在多项政策法规中,对政府和有关单位的安全上网做了严格而明确的规定。如《计算机信息系统国际联网保密管理规定》中第六条规定“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行物理隔离”等等,对政府等国家部门明确提出了物理隔离的要求。正是在这样一种需求背景下,基于这样的背景,我们开发出了这一全新的网络安全技术--网络安全物理隔离技术,以及实现这一技术功能的产品—宇光网络安全隔离卡。
图一:宇光单硬盘物理隔离卡
2、技术原理
宇光单硬盘物理隔离系统是我公司为网络终端用户计算机采用单硬盘隔离方式保护信息安全而提供的一种数据安全产品。它将单一的PC物理隔离成两个虚拟工作站,分别有自己独立的硬盘分区和操作系统,并能通过各自的专用接口与网络连接。它通过有效而全面地控制计算机的硬盘数据线,使得计算机一次只能访问及使用其中的一个硬盘分区,从而最大限度地保证了安全(内网)与非安全(外网)之间的物理隔离。该产品采用我公司最新的专利技术,能够兼容WINDOWS2000、WIN NT、WINDOWS9X。
根据用户的特别需要, 该产品在安装过程中可以创建一个数据交换区。该数据交换区在外网区域时可以读/写文件,而在内网区域时只可以读取文件,这样就创建了一个只能从外网到内网、操作简便且非常安全的单向数据通道。
图二:宇光单硬盘物理隔离卡原理图
(二)网络加密模块
1、关于网络加密
目前市场上的物理隔离安全产品对内外网络确实能做到了绝对的物理隔离,把外部黑客和病毒彻底杜绝在外。但是,我们都知道现在的物理隔离安全产品都是在保证使用内网的人是可靠的前提下设计的。这样势必给内网安全带来潜在的威胁。在实际生活中,机密泄露事件时有发生,经过调查,多数是内部人员所为,内部人员泄密有两种可能,一是主动泄密;二是无意泄密。主动泄密是指行为人为了谋取私利,把本单位重要商业机密泄露给对手;无意泄密是指行为在工作中无意间把机密信息泄露出去。不管是主动泄密还是无意泄密,都将给集体和社会造成一定的经济损失或社会危害。因此,防止内部人员泄密就变得非常重要。
宇光公司针对市场上物理隔离产品的缺陷,我们开发了一种能配合物理隔离技术使用的网络加密技术,网络加密技术很好地解决了内部人员泄密问题,是现在市场上物理隔离技术很好的补充,使网络隔离更彻底,更安全。
2、技术原理
网络加密模块包括网络数据传输加密和客户机端存储加密。在内网服务器和客户机端分别安装服务器端加密驱动程序和客户机端机密驱动程序。服务器端驱动程序主要功能是对网络上传输的数据进行加密和解密。客户机端加密驱动程序主要功能是对网络上传输的数据加密和解密,同时,还对客户机端的数据存储加密,这样客户机端硬盘上的
要网络数据传输机密是指内网上传输的数据包的IP层加密进行实时加密和解密。首先在在内网服务器上安装网络加密模块,然后启动加密服务。这样做的主要目的是为了对内网服务器上的数据进行加密。上启动一个网络加密模块的加密服务。就象网络可以提供的其它服务一样。启动加密服务程序,将使网络上所有合法用户可以访问到内网上的所有信息。用户在客户端启用内网时,同时也启动网络加密模块,客户机端安装加密模块,加密模块服务启动后,为用户提供数据实时加密和解密服务。
三、产品基本功能
数据加密
主要是对内网上传输的数据和客户端数据存储进行加密。网络加密系统模块分别运行在内网服务器和客户端。这样,在内网上传输的加密数据就不会被别有用心者窃取、篡改和破坏。同时,用户在工作站上看到的数据都是经过是系统解密后的数据。因此,即使内网服务器上的涉密数据被泄露出去,那些数据也只是一堆乱码,根本无法被解读,这样彻底保证了内网涉密数据的安全。
转换便捷
当两种状态转换时,是通过鼠标点击操作系统上的切换键,即进入一个热启动过程,切换时,系统通过硬件重启信号重新启动,这样,PC的内存所有数据被消除,两个状态分别是有独立的操作系统,并独立导入,两个硬盘分区不会同时激活。
数据交换
为了安全的保证,两个分区不能直接交换数据,但是用户可以通过我们的一个独特的设计,来安全方便地实现数据交换,即在两个分区以外,网络安全隔离在硬盘上另外设置了一个功能区,功能区在PC处于不同的状态下转换,即在两个状态下,功能区均表现为硬盘的D盘,各个分区可以通过功能区作为一个过渡区来交换数据。当然根据用户需要,也可创建单向的安全通道,即数据只能从公共区向安全区转移,但不能逆向转移,从而保证安全区的数据安全。
安全区控制
基于安全威胁来自内外两方面的关系,即除了外来的黑客攻击、病毒发布以外,系统内部有意或无意的泄密,也是必须防止的威胁。因此,网络安全隔离卡可以对安全区作只读控制,即可禁止内部使用者以软驱、光驱复制数据或纂改安全区的数据。
四、技术的广泛应用
由于网络安全隔离卡是控制主IDE总线,在PC机硬件最底层的基础上,因此广泛支持几乎所有奔腾以及奔腾兼容芯片。
由于网络安全隔离卡是完全独立于操作系统的,因此也支持几乎所有主流的操作系统。 网络安全隔离卡对网络技术和协议完全透明,因此,对目前主要协议广泛支持,如以太网、快速以太网、令牌环行网、光纤、ATM、ISDN、ADSL。
五、安装与使用
网络安全隔离卡的安装并不复杂,一般情况,并不需要改变用户原有的网络结构,安装人员的技术水平要求相当安装普通网卡的水平。 安装网络安全隔离卡,一般情况下,不必因为担心丢失数据,而去复制硬盘上数据。 用户的使用也只须接受简单的培训,不存在日后的维护问题。
六、适用范围与政府论证
基于国家有关保密的规定,伟思的网络安全物理隔离技术,正完全符合这一点。因此,本技术适用于几乎所有既要求十分严格的数据安全,同时又期望接入互联网的各类机构,诸如政府机关、军事机构、金融、电信、科研院校及大型企业等等。 伟思的"网络安全隔离卡"与"网络安全隔离集线器"已通过国家公安部和国家信息安全评测认证中心等国家权威机构的认证,并已具备了相关的产品证书。
