邏輯隔離
邏輯隔離
邏輯隔離主要通過邏輯隔離器實現,邏輯隔離器是一種不同網路間的隔離部件,被隔離的兩端仍然存在物理上數據通道連線,但通過技術手段保證被隔離的兩端沒有數據通道,即邏輯上隔離。
邏輯隔離又叫協議隔離,國家標準對邏輯隔離是這樣定義,,協議隔離:指處於不同安全域的網路在物理上是有連線的,通過協議轉換的手段保證受保護信息在邏輯上是隔離的,只有被系統要求傳輸的、內容受限的信息可以通過(GB17859-1999和GB/T20271-2006中確立的術語)。邏輯隔離的核心是協議,協議是可定義傳輸方向和被監控。傳輸的方向是可控制的單向傳輸,可雙向。但所有的傳輸是可以被監控,非封閉或加密的協議。被保護端和公開端間的數據傳輸是可以監控的。
邏輯隔離有兩種情形:一種是數據存儲有物理連接,單硬碟隔離卡在隔離的時候數據是放在同一個硬碟上,數據存儲沒有物理上的斷開,雖然可以採用軟體技術控制內外網數據放於不同區域,但是數據還是有物理上的連接,所以不屬於物理隔離。另外一種是網路有物理連接,有些單位在裝上雙硬碟隔離卡時,將內外網通過一條網線連接到電腦網卡,通過在交換機兩個不同的IP段,來控制IP地址,雖然這兩個網路也是不可互相訪問,但是兩個網路的數據是在同一條線路上傳輸,網路的數據沒有物理上的斷開,也是邏輯隔離。這種情況下如果要實現物理隔離,必須內外網有單獨的交換機。
邏輯隔離最新實現手段是利用虛擬化技術實現邏輯隔離。利用虛擬化技術,可以讓用戶在一台計算機上打開一個或多個虛擬桌面,每個虛擬桌面以及該計算機的真實操作系統之間都可以互相隔離,數據不能相互傳輸。因此可以將不同的虛擬桌面以及真實系統連接到不同安全級別的網路,比如利用虛擬桌面來訪問外部網際網路,而本地真實操作系統則連接到內部機密網路進行研發設計工作,這樣就實現了內外的隔離;此時不同安全級別的網路之間,有著物理上的連接,但互相之間不能相互訪問,只有指定的協議才能通過,符合邏輯隔離的國家標準定義,因此屬於邏輯隔離的範疇。
虛擬化的邏輯隔離較之傳統的邏輯隔離手段,特點在於使用的便利性,在同一台計算機上進行窗口切換即可實現不同安全級別網路的訪問,同時也不降低安全性。目前市面上一些上網安全桌面類的產品就屬於虛擬化邏輯隔離範疇。