由两套各自独立的系统分别连接和非的网络,两套系统之间通过网闸进行信息摆渡,保证两套系统之间没有直接的物理通路。在通信过程中,当存储介质与的网络连通时,断开与非网络连接;当与非网络连通时,断开与网络的连接;通过分时地使用两套系统中的数据通路进行数据交换,以达到隔离与交换的目的。此外,在数据交换过程中,需同时进行防病毒、防恶意代码等信息过滤,以保证信息的。
根据国家保密局公开的文献资料,我国目前流行的网络隔离技术的产品和方案如下:
(1)独立网络方案
根据信息保密需求的不同,将信息存放到两个独立的网络中。其一是内部网络,用于存储、处理、传输涉密信息;另一个是外部网络,与互联网相连。内部网络和外部网络物理断开。两个网络之间如果有数据交换需要,则采用人工操作(如通过软盘、磁带等)的方式。
(2)终端级解决方案
用户使用一台客户端设备排他性选择连接内部网络和外部网络,主要类型可分为以下几种。
(1)双主板,双硬盘型:通过设置两套独立计算机的设备实现,使用时,通过客户端开关分别选择两套计算机系统。
(2)单主板,双硬盘型:客户端通过增加一块隔离卡、一块硬盘,将硬盘接口通过添加的隔离卡转接到主板,网卡也通过该卡引出两个网络接口。通过该卡控制客户端存储设备,同时选择相应的网络接口,达到网络隔离的效果。
(3)单主板,单硬盘型:客户端需要增加一块隔离卡,存储器通过隔离卡连接到主板,网卡也通过隔离卡引出两个网络接口。对硬盘上划分区、非区,通过隔离卡控制客户端存储设备分时使用区和非区,同时对相应的网络接口进行选择,以实施网络隔离。
代网闸的技术原理是利用单刀双掷开关使内外网的处理单元分时存取共享存储设备来完成数据交换的,实现了在空气缝隙隔离(AirGap)情况下的数据交换。原理是通过应用层数据提取与审查达到杜绝基于协议层的攻击和增强应用层的效果。
第二代网闸是在吸取了代网闸优点的基础上,创造性地利用全新理念的专用交换通道PET(Private Exchange Tunnel)技术,在不降低性的前提下能够完成内外网之间高速的数据交换,有效地克服了代网闸的弊端。第二代网闸的数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现的。虽然仍是通过应用层数据提取与审查达到杜绝基于协议层的攻击和增强应用层效果的,但却提供了比代网闸更多的网络应用支持,并且由于其采用的是专用高速硬件通信卡,使得处理能力大大提高,达到代网闸的几十倍之多。而私有通信协议和加密签名机制保证了内外处理单元之间数据交换的机密性、完整性和可信性,从而在保证性的同时,提供更好的处理性能,能够适应复杂网络对隔离应用的需求。
由两套各自独立的系统分别连接和非的网络,两套系统之间通过网闸进行信息摆渡,保证两套系统之间没有直接的物理通路。在通信过程中,当存储介质与的网络连通时,断开与非网络连接;当与非网络连通时,断开与网络的连接;通过分时地使用两套系统中的数据通路进行数据交换,以达到隔离与交换的目的。此外,在数据交换过程中,需同时进行防病毒、防恶意代码等信息过滤,以保证信息的。
根据国家保密局公开的文献资料,我国目前流行的网络隔离技术的产品和方案如下:
(1)独立网络方案
根据信息保密需求的不同,将信息存放到两个独立的网络中。其一是内部网络,用于存储、处理、传输涉密信息;另一个是外部网络,与互联网相连。内部网络和外部网络物理断开。两个网络之间如果有数据交换需要,则采用人工操作(如通过软盘、磁带等)的方式。
(2)终端级解决方案
用户使用一台客户端设备排他性选择连接内部网络和外部网络,主要类型可分为以下几种。
(1)双主板,双硬盘型:通过设置两套独立计算机的设备实现,使用时,通过客户端开关分别选择两套计算机系统。
(2)单主板,双硬盘型:客户端通过增加一块隔离卡、一块硬盘,将硬盘接口通过添加的隔离卡转接到主板,网卡也通过该卡引出两个网络接口。通过该卡控制客户端存储设备,同时选择相应的网络接口,达到网络隔离的效果。
(3)单主板,单硬盘型:客户端需要增加一块隔离卡,存储器通过隔离卡连接到主板,网卡也通过隔离卡引出两个网络接口。对硬盘上划分区、非区,通过隔离卡控制客户端存储设备分时使用区和非区,同时对相应的网络接口进行选择,以实施网络隔离。
由两套各自独立的系统分别连接和非的网络,两套系统之间通过网闸进行信息摆渡,保证两套系统之间没有直接的物理通路。在通信过程中,当存储介质与的网络连通时,断开与非网络连接;当与非网络连通时,断开与网络的连接;通过分时地使用两套系统中的数据通路进行数据交换,以达到隔离与交换的目的。此外,在数据交换过程中,需同时进行防病毒、防恶意代码等信息过滤,以保证信息的。
根据国家保密局公开的文献资料,我国目前流行的网络隔离技术的产品和方案如下:
(1)独立网络方案
根据信息保密需求的不同,将信息存放到两个独立的网络中。其一是内部网络,用于存储、处理、传输涉密信息;另一个是外部网络,与互联网相连。内部网络和外部网络物理断开。两个网络之间如果有数据交换需要,则采用人工操作(如通过软盘、磁带等)的方式。
(2)终端级解决方案
用户使用一台客户端设备排他性选择连接内部网络和外部网络,主要类型可分为以下几种。
(1)双主板,双硬盘型:通过设置两套独立计算机的设备实现,使用时,通过客户端开关分别选择两套计算机系统。
(2)单主板,双硬盘型:客户端通过增加一块隔离卡、一块硬盘,将硬盘接口通过添加的隔离卡转接到主板,网卡也通过该卡引出两个网络接口。通过该卡控制客户端存储设备,同时选择相应的网络接口,达到网络隔离的效果。
(3)单主板,单硬盘型:客户端需要增加一块隔离卡,存储器通过隔离卡连接到主板,网卡也通过隔离卡引出两个网络接口。对硬盘上划分区、非区,通过隔离卡控制客户端存储设备分时使用区和非区,同时对相应的网络接口进行选择,以实施网络隔离。