本節(jié)介紹8種物理隔離技術的方案，供讀者參考。

一、專線接入方案

通過專線上網(wǎng)，使用防火墻保護整個內部網(wǎng)絡系統(tǒng)，將外網(wǎng)隔離在防火墻之外，方案的結構如圖1所示。

圖1 專線接入方案

圖1所示的方式存在兩方面的安全漏洞：一是防火墻自身的不安全性，一些高水平的黑客軟件能突破防火墻；二是在受防火墻保護的內網(wǎng)中，若未涉密用戶終端通過Modem撥號連接Internet,如果其他終端沒有采取任何防范措施，則會使整個網(wǎng)絡暴露在黑客眼下，造成嚴重的泄密。

這種方案使用了兩套獨立的布線系統(tǒng)，但計算機依靠網(wǎng)絡拔插的方式輪流登錄涉密網(wǎng)絡或因特網(wǎng)，方式存在的問題是：在使用的終端計算機上只有一套硬盤系統(tǒng)，當該計算機訪問外網(wǎng)時，會受到各種駐留式黑客病毒的入侵，當該計算機在內網(wǎng)工作時會將病毒傳播到內網(wǎng).當計算機再次上網(wǎng)將造成網(wǎng)上信息大量泄密，同時該計算機上的信息在訪問外網(wǎng)時將完全暴露。

二、雙硬盤隔離方案

在實施物理隔離過程中，用戶可以選擇雙硬盤隔離技術方案。其基本思想是：客戶端安裝兩塊硬盤，當用戶登錄內網(wǎng)時，內網(wǎng)硬盤有效，外網(wǎng)硬盤無效；用戶登錄外網(wǎng)時，外網(wǎng)硬盤有效，內網(wǎng)硬盤無效。根據(jù)網(wǎng)絡的不同，該方案又可以分為單網(wǎng)方案和雙網(wǎng)方案。單網(wǎng)方案在網(wǎng)絡選擇端添加了安全集線器，該集線器負責與客戶端通信，并根據(jù)用戶的選擇連通內外網(wǎng)絡。該方案具有部署簡單、使用方便的特點，適合大多數(shù)普通用戶采用。方案的結構如圖2所示。

圖2 雙硬盤隔離方案

三、三網(wǎng)間隔離方案

很多企事業(yè)單位的內部財務網(wǎng)是一個相對獨立的網(wǎng)絡，與內部辦公網(wǎng)絡隔離，并且當該網(wǎng)用戶登錄互聯(lián)網(wǎng)和內部網(wǎng)絡時，需要在財務網(wǎng)、內網(wǎng)和外部互聯(lián)網(wǎng)三網(wǎng)之間進行切換。該方案具有三網(wǎng)隔離能力，部署簡單，適合內部還有獨立小網(wǎng)絡的用戶采用。其結構如圖3所示。

圖3 三網(wǎng)間隔離方案

四、對外提供服務的隔離方案

許多單位在要求內外網(wǎng)隔離的同時能夠提供電子報稅等對外服務。當外部Web服務器在接受互聯(lián)網(wǎng)上發(fā)來的電子稅表時，會接通外部網(wǎng)絡，斷開內部網(wǎng)絡，電子稅表暫存在本地，當滿足了一定條件后，才會斷開外部網(wǎng)絡，接通內部網(wǎng)絡，把電子稅表轉發(fā)到內部業(yè)務系統(tǒng)中，同時從內部網(wǎng)絡接受上次內部業(yè)務系統(tǒng)處理完成的電子稅表。交換完畢后，再次斷開內部網(wǎng)絡，接通外部網(wǎng)絡，接受新的電子稅表。這種方式就好像用戶在河的兩岸，通過一艘船來回傳遞兩岸的貨物，而不會存在直接連接兩岸的橋梁或者船只同時?？績砂兜膯栴},這樣既保證了對外服務需求，又保證了網(wǎng)絡安全。該方案在實現(xiàn)物理隔離的同時，能夠提供對外服務。其結構如圖4所示。

圖4 能提供對外服務的隔離方案

五、基于無盤系統(tǒng)的隔離方案

一些用戶希望在做到內外網(wǎng)隔離的同時能加強內部管理，防止內部用戶泄漏單位秘密。有這種需求的用戶，可以采用基于無盤系統(tǒng)的隔離方案。該方案采用單硬盤方式，當用戶登錄內網(wǎng)時，無盤啟動系統(tǒng)通過網(wǎng)絡從服務器上啟動操作系統(tǒng)，同時屏蔽本地的硬盤、光驅和軟驅等存儲設備，用戶所見的硬盤實際上是服務器分配給用戶的硬盤鏡像，客戶端相當于一個瘦終端。這樣，內部用戶無法通過本地下載、拆卸硬盤等手段竊取內部信息。該方案在做到內外網(wǎng)隔離的同時，能有效防止內部網(wǎng)絡的信息泄密。其結構如圖5所示。

圖5 基于無盤系統(tǒng)的隔離方案

六、單機接入方案

針對單機用戶，一般使安全隔離卡HI型，配備雙硬盤。其結構如圖6所示。

圖6 單機接入方案

這種結構具有內、外網(wǎng)的硬盤，無論是在內網(wǎng)還是外網(wǎng)的硬盤上工作，產(chǎn)生的文件、數(shù)據(jù)存放于硬盤還是軟盤，都是相當安全的。

七、雙網(wǎng)線接入方案

雙網(wǎng)線接入方案需要兩套布線系統(tǒng)，但使用Internet的用戶數(shù)量不是很多，在網(wǎng)絡布線接口較為富余的情況下，采用雙網(wǎng)線方式，并使用安全隔離卡II型，結構如圖7所示。

圖7 雙網(wǎng)線接入方案

雙網(wǎng)線接入方式在上網(wǎng)時涉密用戶配置安全隔離卡D和雙硬盤，兩條網(wǎng)絡線同時接到隔離卡上，通過隔離卡連接到本機網(wǎng)卡上，通過手動按鈕或軟件控制隔離卡上的開關，使其在選擇涉密硬盤的同時選擇連接內網(wǎng)。因此，安裝該卡時一定要注意內外網(wǎng)線不能顛倒。

八、單網(wǎng)線接入方案

在實際應用中，許多綜合布線系統(tǒng)在每個終端位置上的端口均有限，不能滿足每臺設備占用兩個端口的需求，此時必須使用單網(wǎng)線方式，如圖8所示。

圖8 單網(wǎng)線接入方案

此方式需要在每臺設備上安裝安全隔離卡I和雙硬盤，并在每個網(wǎng)絡設備間配置內外網(wǎng)遠程切換Hub，終端通過一條標準網(wǎng)線連接到設備管理間的內外網(wǎng)遠程切換Hub上，該Hub分別連接內網(wǎng)Hub和外網(wǎng)Hubo終端隔離卡通過利用5類網(wǎng)絡線中未使用的第4、5、7、8對線控制遠端內外網(wǎng)遠程切換Hub，使用戶可以靈活選擇接通內網(wǎng)或外網(wǎng)。