1. 什么是“物理隔離”

“物理隔離”是指內(nèi)部網(wǎng)不直接或間接地連接公共網(wǎng)。物理隔離的目的是保護(hù)路由器、工作站、網(wǎng)絡(luò)服務(wù)器等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊。只有使內(nèi)部網(wǎng)和公共網(wǎng)物理隔離，才能真正保證內(nèi)部信息網(wǎng)絡(luò)不受來自互聯(lián)網(wǎng)的黑客攻擊。此外，物理隔離也為內(nèi)部網(wǎng)劃定了明確的安全邊界，使得網(wǎng)絡(luò)的可控性增強(qiáng)，便于內(nèi)部管理。 

2.如何實(shí)現(xiàn)物理隔離 

網(wǎng)絡(luò)隔離技術(shù)目前有如下兩種技術(shù)： 

       單主板安全隔離計(jì)算機(jī)：其核心技術(shù)是雙硬盤技術(shù)，將內(nèi)外網(wǎng)絡(luò)轉(zhuǎn)換功能做入BIOS中，并將插槽也分為內(nèi)網(wǎng)和外網(wǎng)，使用更方便，也更安全，價(jià)格界乎于雙主機(jī)和隔離卡之間。 但由于技術(shù)要求比較高，一般不采用此種隔離技術(shù)。

       隔離卡技術(shù)：其核心技術(shù)是雙硬盤技術(shù)，啟動(dòng)外網(wǎng)時(shí)關(guān)閉內(nèi)網(wǎng)硬盤，啟動(dòng)內(nèi)網(wǎng)時(shí)關(guān)閉外網(wǎng)硬盤，使兩個(gè)網(wǎng)絡(luò)和硬盤物理隔離，它不僅用于兩個(gè)網(wǎng)絡(luò)物理隔離的情況，也可用于個(gè)人資料要保密又要上互聯(lián)網(wǎng)的個(gè)人計(jì)算機(jī)的情況。其優(yōu)點(diǎn)是價(jià)格低，但使用稍麻煩，因?yàn)檗D(zhuǎn)換內(nèi)外網(wǎng)要關(guān)機(jī)和重新開機(jī)。 

       單主板安全隔離計(jì)算機(jī) 

       單主板安全隔離計(jì)算機(jī)是采用徹底實(shí)現(xiàn)內(nèi)外網(wǎng)物理隔離的個(gè)人電腦，這種安全電腦的成本僅僅增加了25%左右，并且由于這種安全電腦是在較低層的BIOS上開發(fā)的，處理器、主板、外設(shè)的升級(jí)不會(huì)給電腦帶來什么“不兼容”的影響。它很好地解決了接入網(wǎng)絡(luò)后局域網(wǎng)絡(luò)信息安全、系統(tǒng)安全、操作安全和環(huán)境安全等問題，徹底實(shí)現(xiàn)了網(wǎng)絡(luò)物理隔離。 

       安全電腦在傳統(tǒng)PC主板結(jié)構(gòu)上形成了兩個(gè)物理隔離的網(wǎng)絡(luò)終端接入環(huán)境，分別對(duì)應(yīng)于國(guó)際互聯(lián)網(wǎng)和內(nèi)部局域網(wǎng)，保證局域網(wǎng)信息不會(huì)被互聯(lián)網(wǎng)上的黑客和病毒破壞。主板BIOS控制由網(wǎng)卡和硬盤構(gòu)成的網(wǎng)絡(luò)接入和信息存儲(chǔ)環(huán)境各自獨(dú)立，并只能在相應(yīng)的網(wǎng)絡(luò)環(huán)境下工作，不可能在一種網(wǎng)絡(luò)環(huán)境下使用另一環(huán)境才使用的設(shè)備。 

       網(wǎng)絡(luò)安全隔離卡 

       網(wǎng)絡(luò)安全隔離卡的功能是以物理方式將一臺(tái)PC虛擬為兩部電腦，實(shí)現(xiàn)工作站的雙重狀態(tài)，既可在安全狀態(tài)，又可在公共狀態(tài)，兩種狀態(tài)是完全隔離的，從而使一部工作站可在完全安全狀態(tài)下連接內(nèi)外網(wǎng)。 網(wǎng)絡(luò)安全隔離卡實(shí)際是被設(shè)置在PC中最低的物理層上，通過卡上一邊的IDE總線連接主板，另一邊連接IDE硬盤，內(nèi)、外網(wǎng)的連接均須通過網(wǎng)絡(luò)安全隔離卡，PC機(jī)硬盤被物理分隔成為兩個(gè)區(qū)域，在IDE總線物理層上，在固件中控制磁盤通道，在任何時(shí)候，數(shù)據(jù)只能通往一個(gè)分區(qū)。 

       在安全狀態(tài)時(shí)，主機(jī)只能使用硬盤的安全區(qū)與內(nèi)部網(wǎng)連接，而此時(shí)外部網(wǎng)（如Internet）連接是斷開的，且硬盤的公共區(qū)的通道是封閉的；在公共狀態(tài)時(shí)，主機(jī)只能使用硬盤的公共區(qū)與外部網(wǎng)連接，而此時(shí)與內(nèi)部網(wǎng)是斷開的，且硬盤安全區(qū)也是被封閉的。 

       當(dāng)兩種狀態(tài)轉(zhuǎn)換時(shí)，是通過鼠標(biāo)點(diǎn)擊操作系統(tǒng)上的切換鍵，即進(jìn)入一個(gè)熱啟動(dòng)過程。切換時(shí)，系統(tǒng)通過硬件重啟信號(hào)重新啟動(dòng)，這樣，PC內(nèi)存的所有數(shù)據(jù)就被消除，兩個(gè)狀態(tài)分別是有獨(dú)立的操作系統(tǒng)，并獨(dú)立導(dǎo)入，兩種硬盤分區(qū)不會(huì)同時(shí)激活。 為了保證安全，兩個(gè)分區(qū)不能直接交換數(shù)據(jù)，但是用戶可以通過一個(gè)獨(dú)特的設(shè)計(jì)，來安全方便地實(shí)現(xiàn)數(shù)據(jù)交換，即在兩個(gè)分區(qū)以外，網(wǎng)絡(luò)安全隔離在硬盤上另外設(shè)置了一個(gè)功能區(qū)，該功能區(qū)在PC處于不同的狀態(tài)下轉(zhuǎn)換，即在兩種狀態(tài)下功能區(qū)均表現(xiàn)為硬盤的D盤，各個(gè)分區(qū)可以通過功能區(qū)作為一個(gè)過渡區(qū)來交換數(shù)據(jù)。當(dāng)然根據(jù)用戶需要，也可創(chuàng)建單向的安全通道，即數(shù)據(jù)只能從公共區(qū)向安全區(qū)轉(zhuǎn)移，但不能逆向轉(zhuǎn)移，從而保證安全區(qū)的數(shù)據(jù)安全。