软件方案：宇光多硬盘物理隔离系统

2004-5-8　发布方：上海宇光　网友评论 0 条　点击进入论坛

在中共十五届五中全会上，党中央明确指出：要把推进国民经济和社会信息化放在优先位置。信息和网络技术已经广泛地应用于国民经济的各行各业和社会生活的各个领域。Internet不仅改变了人们的生活、工作方式，而且成为了人们生活和工作的一个基本内容。一方面，我们享受着信息与网络技术的巨大优越性；另一方面，越来越多的安全漏洞和问题不断地困扰着我们的计算机信息系统和开放的互联网络世界。

    2002年７月３日国家信息化领导小组在北京召开第二次会议。会议强调，要高度重视信息安全体系建设。坚持一手抓信息化，一手抓网络信息安全。要改进技术手段，全面强化管理，建立健全信息安全保障体系和防范机制。

    据《美国金融时报》报道，去年平均每20秒就发生一次侵入互联网计算机的事件，超过三分之一的网络防火墙被黑客攻破。据调查显示，计算机病毒在2000年造成的全球经济损失多达1.6万亿美元。

    据行业主管部门统计，中国60%的行政事业单位的网络可以自由进入，政府部门中70%的信息安全设备是进口的，特别是我国信息网络和信息系统中使用的关键芯片与核心技术几乎全部都依赖进口，客观上留下了长期隐患。

除了计算机的病毒与黑客的攻击外，还有出于政治目的而设下的陷阱和“信息炸弹”。敌对势力能够通过信息产品的渗透性轻而易举的控制着我们重要的计算机信息系统命脉。对此，我们不能再高枕无忧，必须居“安”思危！

物理隔离的现状和发展

众所周知，通过Internet造成政府部门和企业内部机密信息流失或被破坏的现象与日俱增。其中主要的原因是：
1. 从软件工程学的观点出发，防火墙等安全软件技术有其本身不可避免的安全性缺陷。任何软件设计和编程工程师均无法证明和保证安全软件的源代码完全没有错误和漏洞；

2. 内部网络中，若一个用户终端通过Modem拨号进入Internet，则有可能使整个网络暴露在黑客威胁之下，造成严重的内部机密信息泄密事件；

3. 有些局域网采用两套独立的布线系统，通过网线插拔或切换的方式轮流登录涉密网和Internet。但是，网络终端计算机上只有一套操作系统和一块硬盘，当该计算机访问Internet时有可能受到各种驻留式黑客程序的入侵，当该计算机在内部网上工作时就会将黑客程序传播到涉密网上，当计算机再次进入Internet时就可能造成严重的机密信息泄漏事件。

信息安全是一个巨大而复杂的系统工程，物理隔离措施是其中一个最有效、彻底、安全的解决方案。国家保密局于2000年1月1日起颁布实施了《计算机信息系统国际联网保密管理规定》，其中的第二章第六条规定“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网相连接，必须实行物理隔离”。

目前已经或曾经采用的解决方案有：
1. 双机方案：用两台电脑分别接入内网和外网。该方案成本太高，不能很好地解决内外网数据的安全交换问题；

2. 双主板方案：把两台计算机放入一个机箱中，共用一个显示器和键盘。该方案成本也太高，也没有解决安全进行内外网数据交换的问题；

3. 双硬盘方案：在一台计算机中安装两个硬盘，共用一个主板、显示器和键盘。当外部网（或内部网）启动后，内部网（或外部网）的硬盘及网络联接从物理上隔离，即绝对不可用。这样一台计算机既可以使用内部网及外部网，又保证内外网隔离及内部数据的安全。该方案成本较底，但存在内外网数据安全交换不方便的问题；

4. 单硬盘方案：在一个硬盘上物理分隔出两个分区，每个分区均有自己的操作系统，分别对应于内部网和外部网，计算机通过选择启动内部网或外部网。当计算机系统处于外部网时，硬盘内部网分区的数据保证不能够读写，从而实现内部网的信息安全。同时，还可以在硬盘上实现一个交换区，在外网启动时该区能读写，而在内网启动后，该区只读不写。该方案成本最低。同时，在保证安全隔离的前提下，可以灵活而安全地实现外网数据单向传递至内网。

宇光多硬盘物理隔离系统简介

宇光多硬盘物理隔离系统是采用宇光公司独创的DiskControl和DataEncrypt技术实现多网的物理隔离。在不改变网络拓扑的情况下，做到和市场上流行的“双硬盘物理隔离卡”同样的物理隔离安全级别，因为宇光多硬盘物理隔离系统采用DataEncrypt的数据加密技术，对涉密网硬盘上数据进行加密，同时对网络上传输的数据进行加密，保证涉密网上的数据高度安全。

系统组成
宇光多硬盘物理隔离系统是由下面两个部分组成：
DiskControl：主要功能是控制硬盘的断电和通电。它可以使硬盘处于断电状态。并且这种断电是完全不可逆的，除了重新启动计算机外，不管采用任何手段都无法使处于断电状态的硬盘通电工作，

DataEncrypt：主要功能是实现网络隔离。通过对内网和外网上传输的数据进行不同的加密算法进行加密，形成两套虚拟网络。同时对内外网硬盘存储数据进行加密，保证数据绝对安全。

技术特点
1、多网络绝对隔离
只需增加一个或多个硬盘，即可使一台或多台计算机变成两台或多台相对独立的计算机。多个硬盘分别连接多个隔离网，在多网之间实施有效的物理隔离，确保涉密网数据安全，同时方便连接国际互联网。多网使用鼠标在屏幕上软件进行自由切换。

2、数据加密
宇光多硬盘物理隔离系统通过网络传输数据加密，虚拟成多套网络布线，多套网络在逻辑上物理隔开。这样确保公司涉密网上的数据不会被别有用心者窃听、篡改和破坏。同时，宇光多硬盘物理隔离系统还采用客户端数据存储加密机制，彻底地解决了由于企业内部人员不可信，造成故意或无意泄露企业敏感信息的问题。

3、数据安全交换
外网（互联网）和涉密网之间的数据交换是依靠运行在BIOS层的数据交换模块来实现的。数据交换模块在计算机BIOS启动后操作系统还启动前完成隔离网之间（硬盘之间）的数据交换，保证在数据交换过程中涉密网和外网物理隔开。

4、日志功能
系统管理员可以实时查看各个隔离网在线用户数，同时系统还记录了用户在隔离网上停留的时间和上线时间，以备日后查询。

产品优点
1、既防内，又防外
宇光多硬盘物理隔离系统采用先进的数据加密技术，对网络传输的数据进行加密，同时，还对客户端上的涉密网硬盘数据存储加密。保证做到防外的同时，又很好的做到了防内。

2、对硬件依赖性小
宇光多硬盘物理隔离系统除了对硬盘有一定的依赖外，对其他硬件设备没有任何依赖，因此，系统具有良好的兼容性和卓越的稳定性。

3、数据安全交换
目前市场上的双硬盘物理隔离卡（硬件）都无法方便做到外网和涉密网之间的数据安全交换。只能通过软盘（第三方媒介）来实现数据交换，这样就很难防止内部别有用心者泄密。宇光多一硬盘物理隔离系统采用BIOS层数据交换模块，不依赖任何第三方媒介方便地实现外网和涉密网的数据交换，数据交换更安全，更方便。

4、良好的扩展性能
宇光多硬盘物理隔离系统采用先进的模块化设计的思想，用户可以很容易在双硬盘物理隔离系统的基础上扩展成为三硬盘甚至多硬盘物理隔离系统。满足用户网络扩展的需要。

5、升级容易
宇光多硬盘物理隔离系统是一种纯软件实现的物理隔离系统，天生具备比硬件升级容易的优势，软件升级大大减轻用户系统升级的压力。

6、不改变网络拓扑
宇光多硬盘物理隔离系统采用先进的DiskControl和DataEncrypt技术，在系统实施过程中不需要改变原有的网络拓扑结构，做到内外网物理隔开，为用户降低了系统实施成本，为企业节约了资金。

产品应用

基于国家有关保密的规定，宇光的网络安全物理隔离技术，正完全符合这一点。因此，本技术适用于几乎所有既要求十分严格的数据安全，同时又期望接入互联网的各类机构，诸如政府机关、军事机构、金融、电信、科研院校及大型企业等等。

已有 0 位对此文章感兴趣的网友发布了看法　

我来评两句	用户名：密码：
请您在这里发表您的个人看法，发言时请各位遵纪守法并注意语言文明！
	匿名发表