网络安全隔离卡产品介绍
网络安全隔离卡解决方案

网络安全隔离卡常见问题

1. 何谓网络安全隔离卡？

网络安全隔离卡是安装在终端用户PC上的数据安全设备。

许多处理分类信息的组织禁止安全LAN与不安全网络（如Internet）间的连接。这样必须获得分离的专用PC站与Internet连接。这样两个分离专用PC工作站的购买费用与维护费用就相当昂贵了。

事实上，对Internet连接的需求高于专用的工作站。这种情况会破坏安全，使得组织的数据安全官员难以控制。一个反例便是终端用户使用电话线拨号Modem与分类电脑进行连接。

终端用户工作站通常是安全链中的"弱点"，这是因为与中央服务器不同，它难以受到系统管理员的注意。

2. 网络安全隔离卡是如何解决这一问题的？

网络安全隔离卡将单个PC分隔成两个分离的系统（虚拟PC）：一个为了分类应用程序，与分类网络连接（如，组织的LAN）；另一个为了其它应用程序（如，Internet）。为了这个目的，网络安全隔离卡将硬盘分隔成两个不同的区域（安全与公共）。当电脑与安全网络连接时，公共网络被断开，任何对公共网络的访问被阻止。当电脑与公共网络连接时，安全网络被断开，任何对安全网络的访问被阻止。

在两个系统进行转换时，电脑的硬件重置被执行，这是为了防止安全与公共环境间的信息转移。

3. 谁需要网络安全隔离卡的安全解决途径？

任何处理分类与未分类信息的用户

任何使用物理分离通信网络，拥有不同安全分类的组织

任何处理分类信息，并对接入Internet有兴趣，但不必购买与维护专用PC机的组织

4. 在保障对Internet访问方面，网络安全隔离卡与防火墙有何区别？

网络安全隔离卡与防火墙截然不同。防火墙是一种复杂的软件工具，通常设置在安全的内部LAN与外界Internet间，通过比对已定义的规则分析通信包，从而提供数据安全。相对应地，这有效的操作与本地设置与维护密切相关，而且通常是一项专家的工作。网络安全隔离卡通常在工作站水平，通过物理分离提供高水平的数据安全。这是一个在简单、无须维修的低物理层上运行的硬件设备。使用网络安全隔离卡，可以在一个PC机上创立两个虚拟系统。用户可以将公共网络连接到Internet。这样，防火墙可以用在网络安全隔离卡之上来限制用户访问特定站点并保护他的公共PC，同时网络安全隔离卡保证安全PC与组织分类信息的安全。

5. 网络安全隔离卡可以用来在一个组织内分离两个内部网络吗？

是的。网络安全隔离卡可以使PC机与网络A或网络B连接（两个网络彼此分离）。任何一个网络可以是LAN（如以太网）或外界网络（如电话线）。

6. 网络安全隔离卡是否可以在令牌环形(token ring)网络中工作？在其它网络中呢？

网络安全隔离卡不依赖任何网络结构。从网络角度来讲，网络安全隔离卡作为连接或断开通信线路的物理开关，因此可以在任何网络环境中工作。

7. 在与两个网络连接时，是否可能使用单一网络卡？

网络安全隔离卡并非通信设备，而是通信开关。因此，如果分类网络与未分类网络在设施上相同的话，可以在PC上使用单一网络卡。网络安全隔离卡在两个网络间进行转换，一会儿与分类网络连接，一会儿与未分类网络连接，但不可能同时与两个网络连接。

8. 继电器在两个网络间转换时，可靠性有多大？

用于转换的继电器极为可靠，转换操作次数达106　MTBF。在正常情况下，MTBF可超过250年（！！！）。然而，网络安全隔离卡提供一个重复的系统，在网络间进行转换时，使用两个分离的继电器，提供完全可靠的数据安全。

9. 我使用拨号Modem。我能够使用网络安全隔离卡吗？

是的。在没有未分类LAN的组织内，可以通过拨号连接与Internet接上。网络安全隔离卡将电话线视为其它的通信线。
此外，网络安全隔离卡可以用来支持普通的电话连接器（RJ－11）与通信网络连接器（RJ－45）。

10. 网络安全隔离卡如何确保在Internet上操作时，无人能渗入Internet？

在Internet（或其它未分类网络）上操作时，网络安全隔离卡会通过电机继电器断开安全LAN。当通过电话线modem与Internet连接时，电脑可以作为一个单机工作站。

11. 网络安全隔离卡使用何种IRQ？

都不是。网络安全隔离卡旨在向PC中断资源透明。网络安全隔离卡与PC主板间的唯一通信渠道是IDE总线（穿过网络安全隔离卡，并受其控制）。网络安全隔离卡被动使用ISA插槽来获得操作电源与时钟信号，并且监测电脑活动（如重置信号与软盘）。因此网络安全隔离卡很容易安装，无须维护，且对用户与系统中的应用程序完全透明。

12. 是否有必要为两种模式定义相同大小的磁盘分区？

没有必要。网络安全隔离卡允许任意分隔公共与安全区域的大小比例，只要每个区域有足够的空间安装操作系统。

13. 是否可以在每个区域安装不同的OS？

当然可以。每个"区域"都是一个独立的PC，各自使用自己的操作系统。每个区域都可以安装：DOS, Windows 3.11, Windows NT, Windows95 和Unix。

14. 网络安全隔离卡安装后，能否在PC机中使用访问控制软件与其它的保护软件？

是的。网络安全隔离卡对电脑操作完全透明，所以任何访问控制，加密等软件都不受影响。

15. 网络安全隔离卡能够防止病毒从Internet渗入内部LAN或其它电脑中吗？

能。当电脑的公共区域活跃，且与Internet连接，任何病毒或攻击只会进入磁盘的公共区域，而不可能进入安全区域。对磁盘所有的访问都经过网络安全隔离卡控制器，因此对禁区的访问会遭到网络安全隔离卡的阻止。在与Internet连接时，网络安全隔离卡断开安全网络。于是，不可访问到安全区域上的信息或与安全网络连接的电脑。

16. 网络安全隔离卡对无意的用户错误的保护程序有多大？

网络安全隔离卡不仅用来防止外界黑客，也防止人员错误。一个特别优化的支架从PC机内部将通信连接器锁住。于是，用户不可能无意地开关连接器，不可能错误地将安全磁盘区域与公共网络连接。

17. 如果侵袭者企图跳过网络安全隔离卡安全保障而直接访问磁盘上的物理区域，会发生什么？

网络安全隔离卡通过控制所有向磁盘传输的IDE的命令，在最低的物理层保护所有对磁盘的访问。这样，当系统在公共状态时，任何试图对安全区域的访问都会被网络安全隔离卡防止。

18. 网络安全隔离卡是保护主引导记录（MBR）的？

网络安全隔离卡并不保护写在磁盘第一扇区的主引导记录！而是在安装期间，当网络安全隔离卡处于设置模式时，将主引导记录写入专用的非易失性储存设备。结果，在操作模式中，MBR无法写入，任何企图对MBR的写入都会失败。网络安全隔离卡卡中的非易失性储存设备在正常操作模式下都是写保护的。为了写入非易失性储存芯片，一个将网络安全隔离卡转向设置模式的专用插头必须放置到卡上。

19. 如何保证两个网络不会同时接上？

在两种状态（安全与公共）进行转换时，一个中间虚拟第三"电脑"被打开。这一"安全转换"系统在空间与时间上作为非军事化区域，分化为两个不同的系统。安全转换被储存在磁盘的分离区上，而且在操作过程中，安全与公共网络都被断开。在转换过程中，网络安全隔离卡执行与安全有关的过程，如全部删除RAM为了保证系统间的完全分离。安全转换"电脑"具有开放性结构，安全步骤如访问控制软件可以自动运行。系统甚至可以监视与举手赞成专用硬件设备。

20. 网络安全隔离卡给磁盘运行增加了什么操作？

网络安全隔离卡的磁盘访问控制器在飞快的电子硬件设备中实施，因此额外的操作几乎为零（低于1％）。

21. 在网络安全隔离卡在两个状态间转换时，是否可以结合访问控制？

是的。转换区域可以根据组织的数据安全政策，用来运行不同的软件应用程序。这可以包括访问控制、病毒扫描等。需要重点指出的是，在正常操作中，用户不得访问转换区域，因此在内运行的应用程序可以自动进行，用户错误无碍于程序的运行。

22. 如果用户试图通过在两个状态间转换期间用磁盘启动来跳过网络安全隔离卡安全，会发生什么？

网络安全隔离卡监测软盘驱动器，当发现有软盘的时候，会禁止安全与公共状态间的转换。当转换启动时发现有磁盘，网络安全隔离卡会警告用户将磁盘移走。但是，如果主机PC在转换时访问磁盘，网络安全隔离卡会通过阻止所有的硬盘访问并断开两个网络来停止系统。如果要重新工作，需重启硬件。

23. 是否可以使用可移磁盘？

网络安全隔离卡支持固定的内部磁盘与外界/可移磁盘的设置。在这个设置中，内部固定磁盘为缺省值，外界/可移磁盘只可在一个状态（安全或公共）下使用。

24. 在网络安全隔离卡创建两个系统间如果实现信息交换？

有可能在网络安全隔离卡创建的两个系统间通过磁盘转移信息，如果组织政府允许的话。但是，可以建立安全的单向通道来进行有效、安全的信息转移。网络安全隔离卡启用了磁盘的额外区域（功能性区域）作为两个系统的共同区域。该区域可以设置成只读或可读/可写来满足用户的需求。

通常，功能性区域在安全状态设为只读，在公共状态设为可读/可写。这样用户可以将Internet上的信息转移到安全区域，但不能反方向操作（从安全到公共）。安全区域将功能性区域设为只读的方式是通过网络安全隔离卡在硬件中完成的，而且完全阻止了任何分类资料转移到公共区域的可能性。这样，网络安全隔离卡拥有了保障通道的功能。

25. 网络安全隔离卡可以帮助控制软盘用途吗？

网络安全隔离卡拥有一个I/O端口，这个端口可以用于多种应用程序。一个作用就是控制软盘的供电性能，这样它只能在公共环境中有用，在安全状态下无效。

26. 在病毒进入安全环境前，如何扫描来自Internet的数据？

在安全转换状态下（在公共与安全间的转换），防病毒程序会自动激活来扫描功能性共同区域，以确保到达公共系统的资料与本地网络的清洁。

27. 如果电力发生故障，会发生什么？

电脑总是进入缺省状态（安全或公共），这是由安装时设置的。

28. 如果我们将网络安全隔离卡分成两个区域的磁盘安装到没有网络安全隔离卡的不同PC上，会发生什么？

这取决于安装参数：一种可能是磁盘的一个区域（公共或安全）可以访问。但不可能访问到磁盘的两个区域。在网络安全隔离卡安装时，磁盘也可以设置成如果没有网络安全隔离卡，磁盘不可读取。这样MBR不在磁盘的第一扇区，没有第一扇区，就不可能访问数据。

29. 网络安全隔离卡是否可以用在Unix环境中？

是的。网络安全隔离卡是独立于操作系统的。它与操作系统仅有的接口是"启动转换"软件驱动器，现在可为Windows95, Windows3.11, DOS与UNIX的近期的版本服务。

30. 安装网络安全隔离卡需要什么技术知识？

安装网络安全隔离卡十分简单，比安装modem或LAN卡还简单。

31. 在新电脑上安装网络安全隔离卡与在旧电脑上安装有区别吗？对电脑上已有的信息有何影响？

两者的主要区别在于保存已有的信息。在旧电脑上安装时，磁盘的再分区是在碎片整理的基础上进行的，以保存安全区域中的已有信息。为了此目的，网络安全隔离卡结合了PowerQuest Inc.公司的著名软件PartitionMagic?。该软件在全球无数次的安装后表现出卓越的可靠性。