【文章內(nèi)容簡介】 信息安全意識的培養(yǎng)和信息安全知識的普及，樹立信息安全第一的思想，同時倡導(dǎo)信息倫理，提高公務(wù)員和公民的信息安全自律水平。 ? 安全監(jiān)管強調(diào)通過管理手段實現(xiàn)管理方式的安全保護(hù)，主要內(nèi)容包括人員管理、設(shè)備管理、軟件管理、介質(zhì)管理、密鑰管理、口令管理、文檔管理等。 安全組織 管理（ 3） ? 安全服務(wù)主要是通過各種技術(shù)手段實現(xiàn)技術(shù)層次的安全保護(hù)，主要技術(shù)包括主機監(jiān)控、網(wǎng)絡(luò)監(jiān)控、身份驗證、數(shù)字簽名、訪問控制、攻擊監(jiān)測、審計跟蹤等。 ? 安全防御就是通過分析網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用情況，在與公共網(wǎng)絡(luò)連接的關(guān)鍵點上設(shè)置安全屏障，在局域網(wǎng)的不同級別子網(wǎng)之間放置安全屏障。安全屏障包括安全通道、安全隧道和安全門道。主要的安全技術(shù)有防火墻技術(shù)、安全路由器技術(shù)和信道加密技術(shù)等。 第 4節(jié) 電子政務(wù)安全關(guān)鍵技術(shù) ? 訪問控制 ? 認(rèn)證 ? 保密通信 ? 網(wǎng)絡(luò)監(jiān)控 ? 安全網(wǎng)管 訪問控制 ? 防火墻 ? 物理隔離 認(rèn)證 ? 身份認(rèn)證 ? 電子簽名 保密通信 ? 電子郵件安全 ? VPN ? SSL 網(wǎng)絡(luò)監(jiān)控 安全網(wǎng)管 ? 風(fēng)險評估 ? 安全審計 ? 取證跟蹤 第三章 物理隔離技術(shù) ? 第 1節(jié) 兩類隔離技術(shù) ? 第 2節(jié) 物理隔離原理 ? 第 3節(jié) 物理隔離分類 ? 第 4節(jié) 物理隔離應(yīng)用 ? 第 5節(jié) 物理隔離不足 第 1節(jié) 兩類隔離技術(shù) ? 防火墻概念 ? 物理隔離概念 ? 物理隔離優(yōu)點 ? 兩者之間關(guān)系 防火墻概念 ? 防火墻技術(shù)依賴于對通過防火墻的數(shù)據(jù)包的信息進(jìn)行檢查，檢查的越多就越安全。當(dāng)然，檢查的越多，對防火墻系統(tǒng)設(shè)備性能的要求就越高。在防火墻的體系架構(gòu)中，效率速度與防火墻的安全性，一直是一個折中方案，高性能，高安全性，易用性方面的矛盾并沒有很好的解決。防火墻技術(shù)實現(xiàn)的是被保護(hù)對象和外部網(wǎng)絡(luò)系統(tǒng)間的邏輯隔離。操作系統(tǒng)和防火墻軟件系統(tǒng)是防火墻系統(tǒng)的必要組成部分，兩者的缺陷自然造成防火墻的安全瓶頸。防火墻體系架構(gòu)在高安全性方面的缺陷和邏輯隔離的特性，驅(qū)使人們追求更高安全性的解決方案，物理隔離技術(shù)應(yīng)運而生。 物理隔離概念 ? “物理隔離”就是指實現(xiàn)內(nèi)部網(wǎng)不直接或間接地通過有線或無線等任何手段連接到公共網(wǎng)，從而使內(nèi)部網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)在物理上處于隔離狀態(tài)的一種物理安全技術(shù)。從這個概念上看，物理隔離是保證物理安全的一個有效手段，物理安全的目的是保護(hù)路由器、工作站、各種網(wǎng)絡(luò)服務(wù)器等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊；只有使內(nèi)部網(wǎng)和公共網(wǎng)“物理隔離”，才能真正保證內(nèi)部信息網(wǎng)絡(luò)不受來自互聯(lián)網(wǎng)的黑客攻擊。此外， 物理隔離 也為內(nèi)部網(wǎng)劃定了明確的安全邊界，使得網(wǎng)絡(luò)的可控性增強，便于內(nèi)部管理。 物理隔離優(yōu)點 ? 中斷直接連接，并且有強大的檢查機制，具有最高的安全性。它的缺點是：對協(xié)議不透明，針對每一種協(xié)議都要一種具體的實現(xiàn)。利用SCSI接口技術(shù)，物理隔離在性能上可以達(dá)到320MBps的速度，利用實時交換可以達(dá)到1000Mbps的速度。在安全性上，針對目前存在的安全問題，對物理隔離而言在理論上都不存在任何威脅。這就是各國政府和軍方都強制推行物理隔離的主要原因。 兩者之間關(guān)系 ? 物理隔離的指導(dǎo)思想與防火墻絕然不同：防火墻的思路是在保障互聯(lián)互通的前提下，盡可能安全，而物理隔離的思路是在保證必須安全的前提下，盡可能互聯(lián)互通。 第 2節(jié) 物理隔離原理 ? 網(wǎng)絡(luò)開關(guān)（ Network Switcher） ? 實時交換（ Realtime Switch） ? 單向連接（ One Way Link） 網(wǎng)絡(luò)開關(guān)（ Network Switcher） ? 在一個系統(tǒng)里安裝兩套虛擬系統(tǒng)和一個數(shù)據(jù)系統(tǒng)，數(shù)據(jù)被寫入到一個虛擬系統(tǒng)，然后交換到數(shù)據(jù)系統(tǒng)，再交換到另一個虛擬系統(tǒng) 實時交換（ Realtime Switch） ? 實時交換，相當(dāng)于在兩個系統(tǒng)之間，共用一個交換設(shè)備，交換設(shè)備連接到網(wǎng)絡(luò) A，得到數(shù)據(jù)，然后交換到網(wǎng)絡(luò) B 單向連接（ One Way Link） ? 單向連接，早期指數(shù)據(jù)向一個方向移動，一般指從安全性高的網(wǎng)絡(luò)向安全性低的網(wǎng)絡(luò)移動 第 3節(jié) 物理隔離分類 ? 第一代隔離技術(shù) ? 第二代隔離技術(shù) ? 第三代隔離技術(shù) ? 第四代隔離技術(shù) ? 第五代隔離技術(shù) 第一代隔離技術(shù) ? 第一代隔離技術(shù)：完全的隔離 。 此方法使得網(wǎng)絡(luò)處于信息孤島狀態(tài) ， 做到了完全的物理隔離 ， 需要至少兩套網(wǎng)絡(luò)和系統(tǒng) ， 更重要的是信息交流的不便和成本的提高 ， 這樣給維護(hù)和使用帶來了極大的不便 。 第二代隔離技術(shù) ? 第二代隔離技術(shù)：硬件卡隔離 。 在客戶端增加一塊硬件卡 ， 客戶端硬盤或其他存儲設(shè)備首先連接到該卡 ， 然后再轉(zhuǎn)接到主板上 ， 通過該卡能控制客戶端硬盤或其他存儲設(shè)備 。 而在選擇不同的硬盤時 ， 同時選擇了該卡上不同的網(wǎng)絡(luò)接口 ， 連接到不同的網(wǎng)絡(luò) 。 相比之下 ， 單硬盤隔離卡更為先進(jìn) ， 其實現(xiàn)原理是將原計算機的單個硬盤從物理層上分割為公共和安全兩個分區(qū) ， 安裝兩套操作系統(tǒng) ， 從而實現(xiàn)內(nèi)外網(wǎng)的安全隔離 。 用戶可以根據(jù)自己的需要在不同的網(wǎng)絡(luò)環(huán)境 （ 內(nèi)網(wǎng)或外網(wǎng) ） 中自由切換 ， 操作時感受不到任何區(qū)別 。 但是 ， 不管哪種隔離卡技術(shù) ，仍然需要網(wǎng)絡(luò)布線為雙網(wǎng)線結(jié)構(gòu) ， 這樣勢必存在著較大的安全隱患 。 第三代隔離技術(shù) ? 第三代隔離技術(shù)：數(shù)據(jù)轉(zhuǎn)播隔離 。 利用轉(zhuǎn)播系統(tǒng)分時復(fù)制文件的途徑來實現(xiàn)隔離 ， 切換時間非常之久 ， 甚至需要手工完成 ， 不僅明顯地減緩了訪問速度 ， 更不支持常見的網(wǎng)絡(luò)應(yīng)用 ， 失去了網(wǎng)絡(luò)存在的意義 。 第四代隔離技術(shù) ? 第四代隔離技術(shù)：空氣開關(guān)隔離 。 它是通過使用單刀雙擲開關(guān) ， 使得內(nèi)外部網(wǎng)絡(luò)分時訪問臨時緩存器來完成數(shù)據(jù)交換的 ， 但在安全和性能上存在有許多問題 第五代隔離技術(shù) ? 第五代隔離技術(shù)：安全通道隔離，又稱為網(wǎng)閘技術(shù)。此技術(shù)通過專用通信硬件和專有安全協(xié)議等安全機制，來實現(xiàn)內(nèi)外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)交換，不僅解決了以前隔離技術(shù)存在的問題，并有效地把內(nèi)外部網(wǎng)絡(luò)隔離開來，而且高效地實現(xiàn)了內(nèi)外網(wǎng)數(shù)據(jù)的安全交換，透明支持多種網(wǎng)絡(luò)應(yīng)用，成為當(dāng)前隔離技術(shù)的發(fā)展方向。 第 4節(jié) 物理隔離應(yīng)用 ? 客戶端的物理隔離 ? 集線器級的物理隔離 ? 服務(wù)器端的物理隔離 ? 應(yīng)用概論 客戶端的物理隔離 ? 客戶端的物理隔離：到目前為止 ， 應(yīng)用得最多的是客戶端的物理隔離方案 。 這種方案用于解決網(wǎng)絡(luò)客戶端的信息安全問題 。 假定某機構(gòu)的網(wǎng)絡(luò)已經(jīng)分為了兩個網(wǎng)絡(luò) ， 一個是內(nèi)部涉密網(wǎng) ，一個是外部公共網(wǎng) ， 內(nèi)部涉密網(wǎng)用于安全工作的涉密環(huán)境 ， 不與外部網(wǎng)絡(luò)有任何的連接；外部公共網(wǎng)則是開放的 ， 可以連接 Inter等公眾網(wǎng)以獲取及發(fā)布信息 。 在網(wǎng)絡(luò)的客戶端應(yīng)用物理隔離卡產(chǎn)品 ， 可以使一臺工作站計算機既可連接內(nèi)網(wǎng)又可連接外網(wǎng) ， 可在內(nèi)外網(wǎng)上分時工作 ， 同時 ， 絕對保證內(nèi)外網(wǎng)之間物理隔離 ， 起到了方便工作 、 節(jié)約資源等目的 。 在客戶端物理隔離產(chǎn)品中 ， 應(yīng)用較廣的是第二代的物理隔離卡技術(shù) 。 集線器級的物理隔離 ? 集線器級的物理隔離：集線器級的物理隔離產(chǎn)品需要與客戶端的物理隔離產(chǎn)品結(jié)合起來應(yīng)用 ， 可以在客戶端的內(nèi)外雙網(wǎng)的布線上使用一條網(wǎng)絡(luò)線來通過遠(yuǎn)端切換器連接內(nèi)外雙網(wǎng) ， 實現(xiàn)一臺工作站連接內(nèi)外兩個網(wǎng)絡(luò)的目的 ， 并在網(wǎng)絡(luò)布線上避免了客戶端計算機要用兩條網(wǎng)絡(luò)線連接網(wǎng)絡(luò) 。 服務(wù)器端的物理隔離 ? 服務(wù)器端的物理隔離：服務(wù)器端的物理隔離技術(shù)是一種嶄新的高級隔離技術(shù) ，現(xiàn)在國外的產(chǎn)品已經(jīng)應(yīng)用 ， 它通過復(fù)雜的軟硬件技術(shù)實現(xiàn)了在服務(wù)器端的數(shù)據(jù)過濾和傳輸任務(wù) 。 第四 、 第五代物理隔離技術(shù)都是基于服務(wù)器的產(chǎn)品 。 應(yīng)用概論 ? 我國目前對物理隔離產(chǎn)品有需求的行業(yè)范圍為軍事 、 政府部門 、 金融 、 安全機構(gòu)等已經(jīng)建立或正在建立獨立的信息通訊系統(tǒng)的行業(yè) ， 而這些行業(yè)都需要一種足以保障自身安全又可以實現(xiàn)網(wǎng)絡(luò)通訊的產(chǎn)品 。 同時出于對產(chǎn)品的絕對了解 ，