网络隔离技术
网络隔离,是指两个或两个以上的计算机或网络,不相连,不相通,相互断开。不需要信息交换的网络隔离很容易实现,只需要完全断开,不通信不联网就可以了,也不需要什么技术。但需要交换信息的网络隔离却不容易,需要特定的技术来实现。我们所说的网络隔离技术 ,是指在需要信息交换的情况下,实现网络隔离的技术。
网络隔离是一个复杂的系统概念,而且与人们的常识表面上看是矛盾的。既要隔离又要交换数据,这怎么可能?人们的印象是要交换数据就要联网,要隔离就不能交换数据。但实际上是不矛盾的。人工拷盘就是在网络隔离的情况下实现了文件交换。
人工拷盘是已知的最早的网络隔离技术。最早的计算机是单机的,不同的计算机还没有联网。没有联网的两个计算机之间要交换数据,最简单的办法是人工拷盘。要特别强调,在人工拷盘的任何时刻,两个计算机之间是完全断开的,没有联网的。在拷盘的时候,当计算机操作人员在一台计算机里拷盘时,与另外一台计算机是完全断开的;当计算机操作人员把磁盘拿出的时候,与两台计算机都是完全断开的;当计算机操作人员把文件数据复制到目的计算机时,与原来的计算机是完全断开的。在任何时候,两台交换文件数据的计算机,总是断开的。
在互联网广泛应用的今天,经常会碰到网络故障或网络断了,用户因此无法上网,无法通过网络去得到信息或交换数据。时间长了,用户的印象是网络断开就无法交换数据。这个印象对理解网络隔离是一个非常大的障碍。之所以要强调人工拷盘,就是要让用户知道,在网络隔离的情况下,两个主机之间是可以通过非网络方式如拷盘来交换静态可携带的文件数据。
网络隔离在我国也经历了一个概念澄清的过程。我国最早对网络隔离的表述为“不得直接或间接地与国际互联网或者其他公共信息网络相连接,必须实行物理隔离”,意思是不准进行网络连接。人们早期并不知道网络隔离的技术架构是什么,但人们对网络安全的要求是明确的,一句话,要消除一切潜在的网络安全威胁。第一个阶段采取的策略是从严,“物理隔离”这个词就诞生了。由于无法给出一个准确的技术上“物理隔离”的定义,产品和市场都没有发展起来。在“物理隔离”的技术定义上出现了一些歧义。有一种观点认为,任何有物理接触的都不是物理隔离。后来发现这种理解不行,两台计算机放在桌子上,在物理上桌面与两台计算机是连接的,你能说它进行了网络连接,显然没有,它是断开的。隔离卡现在被定义为物理隔离卡。按照上述观点,隔离卡的两个网口可是在同一块电路版上,也应该不是物理隔离的,但实际上隔离卡已经被认定是物理隔离的。反过来,没有物理连接就是物理隔离的?也不是,现在已经开始发展太空中的互联网。无线联网可以在真空中进行。因此,没有现实中的物理连接也可能是联网的。要给出“物理隔离”在技术名词上的定义是困难的,甚至不可行。
第二个阶段采取的策略是从宽,“安全隔离”这个词就诞生了,“安全隔离”是我国对网络隔离的另外一种提法。这种观点主张,从物理隔离走向安全隔离,主张以安全隔离来代替物理隔离。放宽要求之后,一下出现了大量的产品。为了减少从宽的策略带来的风险,“安全隔离”被限制在一定的场合下使用,在另外一些场合下被禁止使用。安全隔离多采用直接连接的办法,在机箱内部,用以太线将两个主机连接起来,通过协议转换的方式,进行联网。
协议转换增加了一些安全性,但没有发现与VPN有什么本质的不同。另外,安全隔离还是一种网络直接连接的方式,两个网络还是联网的,这与不准进行网络连接,不准联网,是矛盾的。
目前国外国内的趋势都是用网络隔离这个名词。用网络隔离来代替物理隔离或安全隔离等名词的理由很多。首先,隔离的概念是基于网络来谈隔离的。没有联网的概念就没有隔离的必要。两个独立的主机,根本就没有联网,要搞什么隔离?两个完全独立的网络,完全不相关,也没有联网,有什么必要搞隔离?离开网络来谈隔离是没有意义的。其次,没有信息交换或资源共享的概念,也谈不上隔离。两个完全独立的网络,一不需要信息交换,二不需要共享资源,本身就是完全不相关也没有联系的,既不需要联网也不需要隔离。因此,隔离的本质是在需要交换信息甚至是共享资源的情况下才出现,既要信息交换或共享资源,也要隔离。三是物理隔离和安全隔离无法给出一个技术上的精确定义。四是网络隔离可以给出一个完整准确的技术定义。
我国提出物理隔离是在20世纪90年代的中后期。同其他国家的情况不同,率先提出的不是军方,却是国家保密局。这一点对我国的网络隔离技术的研究有很大的影响,后来的技术路线较多地强调在防泄密上,就与此有关。 而国外的技术路线多强调消除来自网络的安全威胁。国家保密局在1998年发布的《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》中明确规定:涉密系统不得直接或间接与国际联网,必须实行物理隔离;2000年1月1日正式实施的《计算机信息系统国际联网保密管理规定》中也明确规定:“凡涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或者其他公共信息网络相连接,必须实行物理隔离。”
网络隔离是一项网络安全技术,网络隔离可能对防泄密管理有很大的帮助,但这不意味着网络隔离是一项完全的防泄密技术。将网络隔离技术完全等同于防泄密技术是一种错误的理解。实际上即使是网络隔离,也没有解决类似于电磁辐射所导致的泄密,只有防电磁辐射泄密技术如TEMPEST才能解决这类问题。
网络隔离是目前最好的网络安全技术,它消除了基于网络和基于协议的安全威胁,但网络隔离技术也存在局限性,对非网络的威胁如内容安全,就无法从理论上彻底排除,就像人工拷盘一样,交换的数据本身可能带有病毒,即使查杀病毒也不一定可以查杀干净。但它不是网络安全问题,不存在攻击和入侵之类的威胁。如果用户确定交换的内容是完全可信和可控的,那么网络隔离是用户解决网络安全问题的最佳选择。
网络隔离,是指两个或两个以上的计算机或网络,不相连,不相通,相互断开。不需要信息交换的网络隔离很容易实现,只需要完全断开,不通信不联网就可以了,也不需要什么技术。但需要交换信息的网络隔离却不容易,需要特定的技术来实现。我们所说的网络隔离技术 ,是指在需要信息交换的情况下,实现网络隔离的技术。
网络隔离是一个复杂的系统概念,而且与人们的常识表面上看是矛盾的。既要隔离又要交换数据,这怎么可能?人们的印象是要交换数据就要联网,要隔离就不能交换数据。但实际上是不矛盾的。人工拷盘就是在网络隔离的情况下实现了文件交换。
人工拷盘是已知的最早的网络隔离技术。最早的计算机是单机的,不同的计算机还没有联网。没有联网的两个计算机之间要交换数据,最简单的办法是人工拷盘。要特别强调,在人工拷盘的任何时刻,两个计算机之间是完全断开的,没有联网的。在拷盘的时候,当计算机操作人员在一台计算机里拷盘时,与另外一台计算机是完全断开的;当计算机操作人员把磁盘拿出的时候,与两台计算机都是完全断开的;当计算机操作人员把文件数据复制到目的计算机时,与原来的计算机是完全断开的。在任何时候,两台交换文件数据的计算机,总是断开的。
在互联网广泛应用的今天,经常会碰到网络故障或网络断了,用户因此无法上网,无法通过网络去得到信息或交换数据。时间长了,用户的印象是网络断开就无法交换数据。这个印象对理解网络隔离是一个非常大的障碍。之所以要强调人工拷盘,就是要让用户知道,在网络隔离的情况下,两个主机之间是可以通过非网络方式如拷盘来交换静态可携带的文件数据。
网络隔离在我国也经历了一个概念澄清的过程。我国最早对网络隔离的表述为“不得直接或间接地与国际互联网或者其他公共信息网络相连接,必须实行物理隔离”,意思是不准进行网络连接。人们早期并不知道网络隔离的技术架构是什么,但人们对网络安全的要求是明确的,一句话,要消除一切潜在的网络安全威胁。第一个阶段采取的策略是从严,“物理隔离”这个词就诞生了。由于无法给出一个准确的技术上“物理隔离”的定义,产品和市场都没有发展起来。在“物理隔离”的技术定义上出现了一些歧义。有一种观点认为,任何有物理接触的都不是物理隔离。后来发现这种理解不行,两台计算机放在桌子上,在物理上桌面与两台计算机是连接的,你能说它进行了网络连接,显然没有,它是断开的。隔离卡现在被定义为物理隔离卡。按照上述观点,隔离卡的两个网口可是在同一块电路版上,也应该不是物理隔离的,但实际上隔离卡已经被认定是物理隔离的。反过来,没有物理连接就是物理隔离的?也不是,现在已经开始发展太空中的互联网。无线联网可以在真空中进行。因此,没有现实中的物理连接也可能是联网的。要给出“物理隔离”在技术名词上的定义是困难的,甚至不可行。
第二个阶段采取的策略是从宽,“安全隔离”这个词就诞生了,“安全隔离”是我国对网络隔离的另外一种提法。这种观点主张,从物理隔离走向安全隔离,主张以安全隔离来代替物理隔离。放宽要求之后,一下出现了大量的产品。为了减少从宽的策略带来的风险,“安全隔离”被限制在一定的场合下使用,在另外一些场合下被禁止使用。安全隔离多采用直接连接的办法,在机箱内部,用以太线将两个主机连接起来,通过协议转换的方式,进行联网。
协议转换增加了一些安全性,但没有发现与VPN有什么本质的不同。另外,安全隔离还是一种网络直接连接的方式,两个网络还是联网的,这与不准进行网络连接,不准联网,是矛盾的。
目前国外国内的趋势都是用网络隔离这个名词。用网络隔离来代替物理隔离或安全隔离等名词的理由很多。首先,隔离的概念是基于网络来谈隔离的。没有联网的概念就没有隔离的必要。两个独立的主机,根本就没有联网,要搞什么隔离?两个完全独立的网络,完全不相关,也没有联网,有什么必要搞隔离?离开网络来谈隔离是没有意义的。其次,没有信息交换或资源共享的概念,也谈不上隔离。两个完全独立的网络,一不需要信息交换,二不需要共享资源,本身就是完全不相关也没有联系的,既不需要联网也不需要隔离。因此,隔离的本质是在需要交换信息甚至是共享资源的情况下才出现,既要信息交换或共享资源,也要隔离。三是物理隔离和安全隔离无法给出一个技术上的精确定义。四是网络隔离可以给出一个完整准确的技术定义。
我国提出物理隔离是在20世纪90年代的中后期。同其他国家的情况不同,率先提出的不是军方,却是国家保密局。这一点对我国的网络隔离技术的研究有很大的影响,后来的技术路线较多地强调在防泄密上,就与此有关。 而国外的技术路线多强调消除来自网络的安全威胁。国家保密局在1998年发布的《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》中明确规定:涉密系统不得直接或间接与国际联网,必须实行物理隔离;2000年1月1日正式实施的《计算机信息系统国际联网保密管理规定》中也明确规定:“凡涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或者其他公共信息网络相连接,必须实行物理隔离。”
网络隔离是一项网络安全技术,网络隔离可能对防泄密管理有很大的帮助,但这不意味着网络隔离是一项完全的防泄密技术。将网络隔离技术完全等同于防泄密技术是一种错误的理解。实际上即使是网络隔离,也没有解决类似于电磁辐射所导致的泄密,只有防电磁辐射泄密技术如TEMPEST才能解决这类问题。
网络隔离是目前最好的网络安全技术,它消除了基于网络和基于协议的安全威胁,但网络隔离技术也存在局限性,对非网络的威胁如内容安全,就无法从理论上彻底排除,就像人工拷盘一样,交换的数据本身可能带有病毒,即使查杀病毒也不一定可以查杀干净。但它不是网络安全问题,不存在攻击和入侵之类的威胁。如果用户确定交换的内容是完全可信和可控的,那么网络隔离是用户解决网络安全问题的最佳选择。
6203
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
