口口随着互联网应用越来越广泛，网络安全始终是人们需要解决的大问题，提高互联网用户计算机网络的可靠性和安全性应该成为当务之急。相关资料显示，美国在网络安全投入方面，占整个网络建设的 15% ～ 20% ，而中国还不到 1% 。国内网络安全专家尤其提醒政府机关和企业要关注网络安全问题，否则将根本无法保证内网信息安全。

二、网络现状分析

口口海南省水务局办公室布设在 1 、 2 、 3 层，内有单布线网络，约有 50 个信息点，终端机约有 50 台。现有 2 台 TP-LINK 交换机都已不同程度的损坏，使得局域网不能正常使用，内网服务器也停用。（详见： 附 1 　网络拓扑结构图 ）

三、安全需求分析

口口如今，我们已越来越发觉，我们必须联接网络，无论是 Internet、www、电子邮件、网上办公等等，“联接”令我们受益匪浅，当你已进入了互联网时代，你将很难再离开网络，但与此同时，我们也正受到日益严重的来自网络的安全威胁，诸如网络的数据窃贼、黑客的侵袭、病毒发布者，甚至系统内部的泄密者。 　　
口口尽管我们正在广泛地使各种复杂的软件技术，如防火墙、代理服务器、侵袭探测器、通道控制机制，但是由于这些技术都是基于软件的保护，是一种逻辑机制，这对于逻辑实体（即黑客或内部用户）而言是可能被操纵的，即由于这些技术的极端复杂性与有限性，这些在线分析技术无法提供某些组织（如军队、军工、政府、金融、研究院、电信以及企业）提出的高度数据安全要求。 国家保密局在 2000年1月1日发布并施行了《 计算机信息系统国际联网保密管理规定 》  ，规定中第二章第六条明确规定：“凡是 涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行物理隔离 ”。

四、网络安全解决方案

1.双布线双网隔离方案

口口这种方案通过其中公共网集中出口连接 Internet（视需要也要安装防火墙、入侵检测及防病毒等措施），部分计算机需要能够接入两个网络，但同时又要保证内外网的完全物理隔离。还有一些机构的网络由于内部功能的划分，本身就有几个分离的网络，采用物理隔离方案将更好地把这些网络整合在一起，变为一个全范围公共网加上几个内部安全子网的多网互动的有效网络格局。 如下图：

附 1 　网络拓扑结构图

2.单布线双网隔离方案

五、安全隔离产品介绍

口口基于国家有关保密的规定，伟思的网络安全物理隔离技术，正完全符合这一点。因此，本技术适用于几乎所有既要求十分严格的数据安全，同时又期望接入互联网的各类机构，诸如政府机关、军事机构、金融、电信、科研院校及大型企业等等。 伟思的“网络安全隔离卡”与“网络安全隔离集线器”已通过国家公安部和国家信息安全评测认证中心等国家权威机构的认证，并已具备了相关的产品证书

1.伟思网络安全双硬盘物理隔离卡 (V1.0)

口口V1.0-C++是第二代双硬盘网络安全隔离卡产品，它是PC机的硬件插卡，插在PCI插槽上，卡上有内外网络线缆接口用于连接内外网络接口的通断。内外网硬盘各自安装独立的操作系统，分别与内外网相对应。在同一时间内只有一个硬盘与相应的网络接通，其对应的网络也切断，实现内外网络彻底的物理隔离。

2.伟思网络安全单硬盘物理隔离卡 (V3.0)

口口技术原理：
口口网络安全隔离卡的功能即是以物理方式将一台 PC虚拟为两个电脑，实现工作站的双重状态，既可在安全状态，又可在公共状态，两个状态是完全隔离的，从而使一部工作站可在完全安全状态下联接内、外网。网络安全隔离卡实际是被设置在PC中最低的物理层上，通过卡上一边的IDE总线联接主板，另一边联接IDE硬盘，内、外网的联接均须通过网络安全隔离卡，PC机硬盘被物理分隔成为两个区域，在IDE总线物理层上，在固件中控制磁盘通道，在任何时候，数据只能通往一个分区。在安全状态时，主机只能使用硬盘的安全区与内部网联结，而此时外部网（如Internet）联接是断开的，且硬盘的公共区的通道是封闭的。 在公共状态时，主机只能使用硬盘的公共区，可以与外部网联结，而此时与内部网是断开的，且硬盘安全区也是被封闭的。

口口转换便捷：
口口当两种状态转换时，是通过鼠标点击操作系统上的切换键，即进入一个热启动过程，切换时，系统通过硬件重启信号重新启动，这样， PC的内存所有数据被消除，两个状态分别是有独立的操作系统，并独立导入，两个硬盘分区不会同时激活。

口口数据交换：
口口为了安全的保证，两个分区不能直接交换数据，但是用户可以通过我们的一个独特的设计，来安全方便地实现数据交换，即在两个分区以外，网络安全隔离在硬盘上另外设置了一个功能区，功能区在 PC处于不同的状态下转换，即在两个状态下，功能区均表现为硬盘的D盘，各个分区可以通过功能区作为一个过渡区来交换数据。当然根据用户需要，也可创建单向的安全通道，即数据只能从公共区向安全区转移，但不能逆向转移，从而保证安全区的数据安全。

口口安全区控制：
口口基于安全威胁来自内外两方面的关系，即除了外来的黑客攻击、病毒发布以外，系统内部有意或无意的泄密，也是必须防止的威胁。因此，网络安全隔离卡可以对安全区作只读控制，即可禁止内部使用者以软驱、光驱复制数据或纂改安全区的数据。

口口技术的广泛应用：
口口由于网络安全隔离卡是控制主 IDE总线，在PC机硬件最底层的基础上，因此广泛支持几乎所有奔腾以及奔腾兼容芯片。
　　 由于网络安全隔离卡是完全独立于操作系统的，因此也支持几乎所有主流的操作系统。 网络安全隔离卡对网络技术和协议完全透明，因此，对目前主要协议广泛支持，如以太网、快速以太网、令牌环行网、光纤、ATM、ISDN、ADSL。

口口安装与使用：
口口网络安全隔离卡的安装并不复杂，一般情况，并不需要改变用户原有的网络结构，安装人员的技术水平要求相当安装普通网卡的水平。 安装网络安全隔离卡，一般情况下，不必因为担心丢失数据，而去复制硬盘上数据。 用户的使用也只须接受简单的培训，不存在日后的维护问题。

3.伟思网络安全物理隔离集线器

口口当用户需要联接两个不同的网络，比如 LAN和Internet，这将导致了重复的网络设施，或者用户在已有的网络结构上如需再联结一个网，也会需要安装整体的结构改造，这都会导致很大的额外成本、繁重的工作和大量的时间。而作为网络安全隔离卡的一项配套产品，将是一个完善的解决方式，这将节省额外的布线，并可使用已有的单条以太网/快速以太网，将已装有网络安全隔离卡的用户安全地从桌面联接到两个不同的网络上去。

口口在安装了网络安全隔离卡的工作站上，实际上存在着安全区与公共区两种状态，当工作站通过网络安全隔离集线器联结内外网时，当工作站处于公共状态说，将只能联结外部网，而处于安全状态时，则只能联结内部网。网络安全隔离集线器是一个标准的 19″IU修补面板，支持最多8个终端用户工作站。这种设备不能视为以太网设备，它对以太网信号的减弱可以忽略不计（与电缆的长度相比小于30cm）。连接于现有集线器开关与LAN之间的网络电缆通过网络安全隔离集线器与数据安全保护器（控制以太网/快速以太网）进行排线。在电线（TX与RX对）增加一个“超宽”DC（直电流）电压信号能够可靠地控制两个不同网络间的转接。信号的极性可以测定哪一个网络通过网络安全隔离集线器与工作站连接。网络安全隔离集线器与数据安全保护器抹去DC元素，并用清晰、标准的IEEE802.3信号将网络端口呈现在“背面”。