一些组织根据自身业务的特点，在有不同 安全需求的网络之间也使用了物理隔离的措施。
基础知识－物理隔离
物理隔离带来的问题
物理隔离使得正常的信息交流被阻断了
部分重要的与业务相关的数据需要在涉密网络 和非涉密网络间交换
物理隔离成为电子政务、电子商务的数据传输 瓶颈
基础知识－传统物理隔离解决方案 人工拷盘
A网
B网
数
数
据
据
DB SERVER
移 动 存 储 介 质
基础知识－传统物理隔离解决方案
人工拷盘
优点
– 保持了网络间物理隔离的特性，有效防止了对涉 密网络的直接网络攻击
缺点
– 延时长 – 速度慢 – 可靠性低 – 在防病毒、内容过滤等方面效果较差 – 人工操作风险高
基础知识－安全隔离网闸解决方案 安全隔离网闸
安全隔离网闸的优势在于它通过在不可信网络中牺 牲自己来积极有效地应对攻击，以充分保护可信网 络，避免受到基于操作系统和网络的各种攻击 。
非可信域
IDC
黑客
攻击代码
可信域
IDC
漏洞系统
完全控制
基础知识－物理隔离
安全层
附加方式 • 防火墙服务器 • 代理服务器 • NAT • 文件系统安全 • 用户级安全
非常高 高
良好 非常低
物理隔离 隔离协议 TCP/IP 路由安全 不限定 Internet 网关
基础知识－物理隔离
国家有关规定
中共中央办公厅第十七号文件规定 “电子政务网 络由政务内网和政务外网构成，两网之间物理隔离，政 务外网与互联网之间逻辑隔离。” 国家保密局制定的《计算机信息系统国际联网保密 管理规定》中第六条规定：“涉及国家秘密的计算机信 息系统，不得直接或间接地与国际互联网或其他公共信 息相连接，必须实行物理隔离”。
安全隔离网闸产品原理介绍
方案营销处 2003-12
网基络础威知胁识－网络安全漏洞 基于文件的病毒、恶意代码
非可信域
可信域
网基络础威知胁识－网络安全漏洞 恶意命令:HTTP,FTP的GET,PUT POST命令等
非可信域
越权客户端
GET命令
可信域
IDC
FTP服务器
网基络础威知胁识－网络安全漏洞 系统的BUG、后门，不稳定性
数
数
பைடு நூலகம்
据
据
DB SERVER
数 据
基础知识－安全隔离网闸 网闸与人工拷盘相比的优越性
安全性提高 具有较高的实时性 不改变原有业务模式 应用更丰富
基础知识－安全隔离网闸
网闸与防火墙的区别
安全隔离网闸的指导思想与防火墙有很大的不同： 防火墙是在保障互联互通的前提下，尽可能安全； 安全隔离网闸是在保证必须安全的前提下，尽可能 互联互通。