網路安全域隔離方案

1. 誰可以提供網路安全物理隔離卡解決方案

網路安全物理隔離卡解決方案 隨著計算機網路及國際互聯網的應用飛速發展，使我們進入了前所未有的網路信息時代。用一台計算機可知天下事，政府的各部門、各企業均已採用先進的互聯網技術建立自己的內部辦公網。但由於公眾網（INTRENET）的開放性，使得網路安全受到嚴重的威脅。因此保密局規定：內部辦公網路計算機與公眾網（INTERNET）間必需實現物理隔離。基於上述原因，河北省科學院應用數學研究所為實現網路的物理隔離，自主研製推出了網路衛士物理隔離卡產品。
網路衛士產品簡介及產品特點
一、 產品簡介
1、 該產品解決了內外網路之間的物理隔離。以在原有計算機上加裝一塊「網路衛士物理隔離卡」的方式，來實現區域網與互聯網的網路通道隔離。當區域網中任何一台計算機一經接入互聯網，將完全與內部網（涉密網)徹底隔離，可以在互聯網上無拘無束的沖浪，又能保證內網的絕對安全。
2、 本產品是一種通過硬體配以軟體控制，來實現內、外網的切換，操作方便，安全可靠。真正符合國家保密局《計算機信息系統國際連網保密管理》第六條的規定。
3、 功能上等效於兩台獨立的計算機。內、外網兩套系統共享一塊硬碟及計算機中的所有資源，節省了大量的投資與辦公場地。
4、 本產品分為內置式和外置式兩種類型。內置式是直接固定於主板的PCI插槽上，不佔用計算機的資源，與計算機主板之間沒有數據通信，不存在任何兼容性問題；外置式是放置於機箱外部，方便更換、檢查及處理。
5、 支持ADSL撥號上網或是政府網的用戶使用。
6、 獨立研發、專利設計。擁有自主知識產權， 並申報國家專利（專利號：99257640.7）該產品並已通過公安部的安全性能檢測，檢驗報告編號：公計檢（委）字第99046號。頒發了產品批量生產許可證，批准證書編號：XKC30213；該產品也獲得了國家保密局關於涉密信息系統產品檢測認證證書（編號：ISSTEC2003YT0049)。可以確保內部網路及資源不受外界公眾網竊取和攻擊，真正做到簡單、可靠、可信、安全無憂地使用電腦。

二、網路衛士物理隔離卡的主要特點
真正實現物理隔離
全部採用觸點式繼電器，在單片機2051的控制下實現三組繼電器跳轉，保證了內、外網的真正物理隔離。
軟體控制，操作簡單、快捷
只需用滑鼠點擊」網路衛士」控制軟體上相應的按鈕，網路衛士通過串列口發送指令，系統自動關閉計算機，重新開機後到另一個硬碟系統。
安裝簡單，維護方便
網路衛士物理隔離卡的安裝並不復雜，在一台工作站PC上選擇一個PCI插槽插上隔離卡，卡上的控制線和兩個硬碟相連接，具有安裝網卡經驗的人員經過簡單的培訓即可順利安裝、維護。
使用范圍廣泛
本產品適用於政府機關、金融機構、部隊、企業單位、個人等需接入互聯網而又需要保護本地操作系統，及保護本地數據資源的一切個人電腦。
廣泛適用於Win98、win2000、WIN XP等各種操作系統。

產品功能及性能
網路衛士隔離卡是一種功能相對簡單又較為經濟的隔離產品，作為一個優秀的雙硬碟物理隔離產品系列，本產品已具備同類產品中最高的技術和性能。
本產品是PC機的硬體插卡，它插在PCI插槽上，卡上有三個電源介面，分別與主機電源、內網硬碟電源介面及外網硬碟電源介面相連接。內外網硬碟各自安裝獨立的操作系統，分別與內外網相對應。卡上還有內外網路線纜介面用於連接內外網路介面的通斷。在同一時間內只有一個硬碟供電並與相應的網路接通，另外一個硬碟不供電，其對應的網路也切斷，實現內外網路徹底的物理隔離。
純硬體設計，真正實現物理隔離。當網路衛士物理隔離卡處於內網狀態向外網切換時NetGuard 會自動檢測軟盤驅動器是否有軟盤存在，若驅動器中有軟盤存在，則給出警告不能切換並且返回，取出軟盤後方可進行網路切換。這就防止了在內網狀態下軟盤中數據被外網訪問的可能。
隔離卡與計算機通過串列口通訊，控製程序對計算機串列口具有自適應性，可選擇任意一個串列口安裝和使用，更換串列口需要重新配置；
一台計算機實現兩台計算機的功能，兩套系統共享除硬碟以外的所有設備，可節省大量投資和辦公場地。
網路衛士安全隔離解決方案
針對政府部門對於內外網路必須達到物理隔離的要求，我們特提出以下解決方案：在原基礎上安裝第二塊硬碟，通過安裝使用網路衛士隔離卡，使每塊硬碟專用於某個網路，而與另一塊硬碟及網路是完全物理隔離的。

產 品 使 用 指 南
一、 系統要求
1、 在具有一塊硬碟的基礎上再加裝一塊硬碟，這兩塊硬碟需安裝有自己獨立的Win98/2000Professial/WinXP等操作系統，並安裝軟體NetGuard。
2、 進行網路切換時系統要通過串列口（COM1/COM2)發送指令到網路衛士物理隔離卡，因此在系統中，要確定和網路衛士物理隔離卡相連接的串列口COM1或COM2未被佔用。
二、 安裝
1、硬體安裝
（1)關掉電源,打開機箱；
（2)將網路衛士隔離卡插在PCI槽上（只起到對隔離卡的固定作用，不從PCI插槽取電，不佔用系統中斷資源，不影響啟動速度）；
（3)把內、外網線，對照卡上網線介面相連接，（內網線為標識為LAN的插槽，外網為標識為INTRNET的插槽，CARD插槽與網卡用藍色網線相連)。
（4)用灰色通訊線將卡上串口與PC機上的通訊串口相連。
（5)內、外網硬碟及PC機電源線與卡上相對應的電源線序連接。
2、軟體安裝
在兩塊不同的硬碟上分別安裝網路衛士切換軟體。
具體安裝方法如下：
●雙擊『我的電腦』裡面的光碟機盤符，找到與當前系統對應的切換軟體文件夾，雙擊里邊的SETUP.EXE文件開始安裝，連續選擇「NEXT」按鈕，最後選擇「FINISH」完成安裝。
●不需要時可從「控制面板」中的「添加/刪除程序」中卸載。
三、 使用說明

在Windows系統桌面上點擊「網路衛士」圖標 即可打開網路衛士切換軟體。只需用滑鼠雙擊選擇要切換到的網路按鈕，系統將自動關閉計算機，重新開機後自動轉換為對應的網路狀態。

網路衛士物理隔離卡與其它網路安全方法的比較

保護網路安全的方法 安全隔離性能 比較結果
1．配置兩台電腦，分別接上內部區域網和公眾網 可靠，符合國家有關網路
安全的規定 1． 使用不方便。
2． 投資成本巨大、浪費資源。
3． 網路設置復雜、維護難度大。
4． 佔用更多的辦公空間。
2．採用代理伺服器和防火牆技術 不可靠、不符合國家有關
網路安全隔離的規定 1． 投資成本大。
2． 即使是我國自主開發的防火牆產品，只要
CPU、操作系統是國外，安全程度亦難以保證。
3．安全隔離專用計算機 可靠、符合國家有關網路
安全隔離的規定 1． 重新購置該計算機，增加投資。
2． 單位現有的計算機造成浪費。
3． 一套機箱內二套設備, 技術上不合理。
4． 兼容機性能不穩定,價格高。
4．網路物理隔離卡 採用符合國家規定的物
理隔離法，安全可靠 1． 在原有設備上引入，不需增加太多投資。

2． 無需重新購買電腦設備，不佔用原有的辦公空間。

3． 純硬體設計，操作使用簡單、安全、可靠。 具體的可以看 http://forum.chinesehonker.org/thread-6486-1-1.html

2. 安全隔離技術有哪些

安全隔離技術有物理的隔離，工作機制的隔離，技術上的隔離。

物理的隔離，主要是場地的隔離。工作機制的隔離，是通過制度實行相應的安全生產隔離。技術上的隔離，通過一些防護服務或者是瀟灑化學反應等具體舉措，可以起到安全隔離的作用。

物理隔離主要用來解決網路安全問題的，尤其是在那些需要絕對保證安全的保密網，專網和特種網路與互聯網進行連接時，為了防止來自互聯網的攻擊和保證這些高安全性網路的保密性、安全性、完整性、防抵賴和高可用性，幾乎全部要求採用物理隔離技術。

物理隔離包含隔離網閘技術、物理隔離卡等。物理隔離產品是用來解決網路安全問題的。尤其是在那些需要絕對保證安全的保密網，專網和特種網路與互聯網進行連接時，為了防止來自互聯網的攻擊和保證這些高安全性網路的保密性，安全性，完整性，防抵賴和高可用性，幾乎全部要求採用物理隔離技術。

3. 網路安全防護的防護措施

訪問控制：對用戶訪問網路資源的許可權進行嚴格的認證和控制。例如，進行用戶身份認證，對口令加密、更新和鑒別，設置用戶訪問目錄和文件的許可權，控制網路設備配置的許可權，等等。數據加密防護：加密是防護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。
網路隔離防護：網路隔離有兩種方式，一種是採用隔離卡來實現的，一種是採用網路安全隔離網扎實現的。
其他措施：其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。

4. 如何實現內網與外網的有效隔離

5月5日 23:04 保密要求比較高的場所可以使用物理隔離卡，有現成的產品賣
有如下品牌
· 易思克
· 偉思
· XWELL
· 宙斯盾
· HARD LINK
· 中孚
· 聯想
· 圖文
· 威訊

關於物理隔離

如今，我們已越來越發覺，我們必須聯結網路，無論是Internet、www、電子郵件等等，"聯結"令我們受益匪淺，當你已進入了互聯網時代，你將很難再離開網路，但與此同時，我們也正受到日益嚴重的來自網路的安全威脅，諸如網路的數據竊賊、黑客的侵襲、病毒發布者，甚至系統內部的泄密者。
盡管我們正在廣泛地使各種復雜的軟體技術，如防火牆、代理伺服器、侵襲探測器、通道控制機制，但是由於這些技術都是基於軟體的保護，是一種邏輯機制，這對於邏輯實體（即黑客或內部用戶）而言是可能被操縱的，即由於這些技術的極端復雜性與有限性，這些在線分析技術無法提供某些組織（如軍隊、軍工、政府、金融、研究院、電信以及企業）提出的高度數據安全要求。
基於安全官員的立場"如果不存在與網路的物理聯接，網路安全威脅便受到了真正的限制"，以及我國《計算機信息系統國際聯網保密管理規定》中第六條規定"涉及國家秘密的計算機信息系統，不得直接或間接地與國際互聯網或其它公共信息網路相聯接，必須實行物理隔離"，基於上述政策與規定，我們開發出了這一全新的網路安全技術--網路安全物理隔離技術，以及實現這一技術功能的產品--偉思信安網路安全隔離卡。

技術原理

網路安全隔離卡的功能即是以物理方式將一台PC虛擬為兩個電腦，實現工作站的雙重狀態，既可在安全狀態，又可在公共狀態，兩個狀態是完全隔離的，從而使一部工作站可在完全安全狀態下聯結內、外網。 網路安全隔離卡實際是被設置在PC中最低的物理層上，通過卡上一邊的IDE匯流排聯結主板，另一邊聯結IDE硬碟，內、外網的聯接均須通過網路安全隔離卡，PC機硬碟被物理分隔成為兩個區域，在IDE匯流排物理層上，在固件中控制磁碟通道，在任何時候，數據只能通往一個分區。

圖1

在安全狀態時，主機只能使用硬碟的安全區與內部網聯結，而此時外部網（如Internet）聯接是斷開的，且硬碟的公共區的通道是封閉的。
在公共狀態時，主機只能使用硬碟的公共區，可以與外部網聯結，而此時與內部網是斷開的，且硬碟安全區也是被封閉的。

轉換便捷

當兩種狀態轉換時，是通過滑鼠點擊操作系統上的切換鍵，即進入一個熱啟動過程，切換時，系統通過硬體重啟信號重新啟動，這樣，PC的內存所有數據被消除，兩個狀態分別是有獨立的操作系統，並獨立導入，兩個硬碟分區不會同時激活。

數據交換

為了安全的保證，兩個分區不能直接交換數據，但是用戶可以通過我們的一個獨特的設計，來安全方便地實現數據交換，即在兩個分區以外，網路安全隔離在硬碟上另外設置了一個功能區，功能區在PC處於不同的狀態下轉換，即在兩個狀態下，功能區均表現為硬碟的D盤，各個分區可以通過功能區作為一個過渡區來交換數據。當然根據用戶需要，也可創建單向的安全通道，即數據只能從公共區向安全區轉移，但不能逆向轉移，從而保證安全區的數據安全。

安全區控制

基於安全威脅來自內外兩方面的關系，即除了外來的黑客攻擊、病毒發布以外，系統內部有意或無意的泄密，也是必須防止的威脅。因此，網路安全隔離卡可以對安全區作只讀控制，即可禁止內部使用者以軟碟機、光碟機復制數據或纂改安全區的數據。

技術的廣泛應用

由於網路安全隔離卡是控制主IDE匯流排，在PC機硬體最底層的基礎上，因此廣泛支持幾乎所有奔騰以及奔騰兼容晶元。
由於網路安全隔離卡是完全獨立於操作系統的，因此也支持幾乎所有主流的操作系統。 網路安全隔離卡對網路技術和協議完全透明，因此，對目前主要協議廣泛支持，如乙太網、快速乙太網、令牌環行網、光纖、ATM、ISDN、ADSL。

安裝與使用

網路安全隔離卡的安裝並不復雜，一般情況，並不需要改變用戶原有的網路結構，安裝人員的技術水平要求相當安裝普通網卡的水平。 安裝網路安全隔離卡，一般情況下，不必因為擔心丟失數據，而去復制硬碟上數據。 用戶的使用也只須接受簡單的培訓，不存在日後的維護問題。

適用范圍與政府論證

基於國家有關保密的規定，偉思的網路安全物理隔離技術，正完全符合這一點。因此，本技術適用於幾乎所有既要求十分嚴格的數據安全，同時又期望接入互聯網的各類機構，諸如政府機關、軍事機構、金融、電信、科研院校及大型企業等等。 偉思的"網路安全隔離卡"與"網路安全隔離集線器"已通過國家公安部和國家信息安全評測認證中心等國家權威機構的認證，並已具備了相關的產品證書。
如需要了解更多資料，歡迎到<技術支持>欄目的下載區下載本產品的詳細資料或聯系我們。

5. 怎麼實現內外網的完全隔離

可安裝物理安全隔離裝置進行內外網隔離。物理安全隔離網關是通過具有多種控制功能的專用硬體，切斷電路上網路之間的鏈路層連接，在網路之間安全、適度地交換應用數據的一種網路安全設備。

該設備主要用於解決網路安全問題，特別是那些需要絕對安全的秘密網路、專用網路和專用網路接入互聯網時，防止來自互聯網的攻擊，保證這些高安全網路的機密性、安全性和完整性。

(5)網路安全域隔離方案擴展閱讀：

安全隔離網閘門原理

網關是利用具有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備。

在物理隔離網關連接的兩個獨立主機系統之間，沒有物理連接、邏輯連接、信息傳輸命令、信息傳輸協議、按協議進行的包轉發，沒有數據文件的協議「輪渡」，只有固態存儲介質的「讀」和「寫」。

因此，物理隔離網關在物理上隔離和屏蔽所有可能受到攻擊的連接，使「黑客」無法入侵、攻擊或破壞，實現真正的安全。

6. 如何實現網路安全措施

網安措施
計算機網路安全措施主要包括保護網路安全、保護應用服務安全和保護系統安全三個方面，各個方面都要結合考慮安全防護的物理安全、防火牆、信息安全、Web安全、媒體安全等等。
（一）保護網路安全。
網路安全是為保護商務各方網路端系統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網路安全的重要因素。保護網路安全的主要措施如下：
（1）全面規劃網路平台的安全策略。
（2）制定網路安全的管理措施。
（3）使用防火牆。
（4）盡可能記錄網路上的一切活動。
（5）注意對網路設備的物理保護。
（6）檢驗網路平台系統的脆弱性。
（7）建立可靠的識別和鑒別機制。
（二）保護應用安全。
保護應用安全，主要是針對特定應用（如Web伺服器、網路支付專用軟體系統）所建立的安全防護措施，它獨立於網路的任何其他安全防護措施。雖然有些防護措施可能是網路安全業務的一種替代或重疊，如Web瀏覽器和Web伺服器在應用層上對網路支付結算信息包的加密，都通過IP層加密，但是許多應用還有自己的特定安全要求。
由於電子商務中的應用層對安全的要求最嚴格、最復雜，因此更傾向於在應用層而不是在網路層採取各種安全措施。
雖然網路層上的安全仍有其特定地位，但是人們不能完全依靠它來解決電子商務應用的安全性。應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網路支付等應用的安全性。
（三）保護系統安全。
保護系統安全，是指從整體電子商務系統或網路支付系統的角度進行安全防護，它與網路系統硬體平台、操作系統、各種應用軟體等互相關聯。涉及網路支付結算的系統安全包含下述一些措施：
（1）在安裝的軟體中，如瀏覽器軟體、電子錢包軟體、支付網關軟體等，檢查和確認未知的安全漏洞。
（2）技術與管理相結合，使系統具有最小穿透風險性。如通過諸多認證才允許連通，對所有接入數據必須進行審計，對系統用戶進行嚴格安全管理。
（3）建立詳細的安全審計日誌，以便檢測並跟蹤入侵攻擊等。
商交措施
商務交易安全則緊緊圍繞傳統商務在互聯網路上應用時產生的各種安全問題，在計算機網路安全的基礎上，如何保障電子商務過程的順利進行。
各種商務交易安全服務都是通過安全技術來實現的，主要包括加密技術、認證技術和電子商務安全協議等。
（一）加密技術。
加密技術是電子商務採取的基本安全措施，交易雙方可根據需要在信息交換的階段使用。加密技術分為兩類，即對稱加密和非對稱加密。
（1）對稱加密。
對稱加密又稱私鑰加密，即信息的發送方和接收方用同一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快，適合於對大數據量進行加密，但密鑰管理困難。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露，那麼機密性和報文完整性就可以通過這種加密方法加密機密信息、隨報文一起發送報文摘要或報文散列值來實現。
（2）非對稱加密。
非對稱加密又稱公鑰加密，使用一對密鑰來分別完成加密和解密操作，其中一個公開發布（即公鑰），另一個由用戶自己秘密保存（即私鑰）。信息交換的過程是：甲方生成一對密鑰並將其中的一把作為公鑰向其他交易方公開，得到該公鑰的乙方使用該密鑰對信息進行加密後再發送給甲方，甲方再用自己保存的私鑰對加密信息進行解密。
（二）認證技術。
認證技術是用電子手段證明發送者和接收者身份及其文件完整性的技術，即確認雙方的身份信息在傳送或存儲過程中未被篡改過。
（1）數字簽名。
數字簽名也稱電子簽名，如同出示手寫簽名一樣，能起到電子文件認證、核准和生效的作用。其實現方式是把散列函數和公開密鑰演算法結合起來，發送方從報文文本中生成一個散列值，並用自己的私鑰對這個散列值進行加密，形成發送方的數字簽名；然後，將這個數字簽名作為報文的附件和報文一起發送給報文的接收方；報文的接收方首先從接收到的原始報文中計算出散列值，接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密；如果這兩個散列值相同，那麼接收方就能確認該數字簽名是發送方的。數字簽名機制提供了一種鑒別方法，以解決偽造、抵賴、冒充、篡改等問題。
（2）數字證書。
數字證書是一個經證書授權中心數字簽名的包含公鑰擁有者信息以及公鑰的文件數字證書的最主要構成包括一個用戶公鑰，加上密鑰所有者的用戶身份標識符，以及被信任的第三方簽名第三方一般是用戶信任的證書權威機構（CA），如政府部門和金融機構。用戶以安全的方式向公鑰證書權威機構提交他的公鑰並得到證書，然後用戶就可以公開這個證書。任何需要用戶公鑰的人都可以得到此證書，並通過相關的信任簽名來驗證公鑰的有效性。數字證書通過標志交易各方身份信息的一系列數據，提供了一種驗證各自身份的方式，用戶可以用它來識別對方的身份。
（三）電子商務的安全協議。
除上文提到的各種安全技術之外，電子商務的運行還有一套完整的安全協議。比較成熟的協議有SET、SSL等。
（1）安全套接層協議SSL。
SSL協議位於傳輸層和應用層之間，由SSL記錄協議、SSL握手協議和SSL警報協議組成的。SSL握手協議被用來在客戶與伺服器真正傳輸應用層數據之前建立安全機制。當客戶與伺服器第一次通信時，雙方通過握手協議在版本號、密鑰交換演算法、數據加密演算法和Hash演算法上達成一致，然後互相驗證對方身份，最後使用協商好的密鑰交換演算法產生一個只有雙方知道的秘密信息，客戶和伺服器各自根據此秘密信息產生數據加密演算法和Hash演算法參數。SSL記錄協議根據SSL握手協議協商的參數，對應用層送來的數據進行加密、壓縮、計算消息鑒別碼MAC，然後經網路傳輸層發送給對方。SSL警報協議用來在客戶和伺服器之間傳遞SSL出錯信息。
（2）安全電子交易協議SET。
SET協議用於劃分與界定電子商務活動中消費者、網上商家、交易雙方銀行、信用卡組織之間的權利義務關系，給定交易信息傳送流程標准。SET主要由三個文件組成，分別是SET業務描述、SET程序員指南和SET協議描述。SET協議保證了電子商務系統的機密性、數據的完整性、身份的合法性。
SET協議是專為電子商務系統設計的。它位於應用層，其認證體系十分完善，能實現多方認證。在SET的實現中，消費者帳戶信息對商家來說是保密的。但是SET協議十分復雜，交易數據需進行多次驗證，用到多個密鑰以及多次加密解密。而且在SET協議中除消費者與商家外，還有發卡行、收單行、認證中心、支付網關等其它參與者。
加密方式
鏈路加密方式
安全技術手段
物理措施：例如，保護網路關鍵設備(如交換機、大型計算機等)，制定嚴格的網路安全規章制度，採取防輻射、防火以及安裝不間斷電源（UPS）等措施。
訪問控制：對用戶訪問網路資源的許可權進行嚴格的認證和控制。例如，進行用戶身份認證，對口令加密、更新和鑒別，設置用戶訪問目錄和文件的許可權，控制網路設備配置的許可權等等。
數據加密：加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。防止計算機網路病毒，安裝網路防病毒系統。
網路隔離：網路隔離有兩種方式，一種是採用隔離卡來實現的，一種是採用網路安全隔離網閘實現的。
隔離卡主要用於對單台機器的隔離，網閘主要用於對於整個網路的隔離。這兩者的區別可參見參考資料。
其他措施：其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。圍繞網路安全問題提出了許多解決辦法，例如數據加密技術和防火牆技術等。數據加密是對網路中傳輸的數據進行加密，到達目的地後再解密還原為原始數據，目的是防止非法用戶截獲後盜用信息。防火牆技術是通過對網路的隔離和限制訪問等方法來控制網路的訪問許可權。
安全防範意識
擁有網路安全意識是保證網路安全的重要前提。許多網路安全事件的發生都和缺乏安全防範意識有關。
主機安全檢查
要保證網路安全，進行網路安全建設，第一步首先要全面了解系統，評估系統安全性，認識到自己的風險所在，從而迅速、准確得解決內網安全問題。由安天實驗室自主研發的國內首款創新型自動主機安全檢查工具，徹底顛覆傳統系統保密檢查和系統風險評測工具操作的繁冗性，一鍵操作即可對內網計算機進行全面的安全保密檢查及精準的安全等級判定，並對評測系統進行強有力的分析處置和修復。
主機物理安全
伺服器運行的物理安全環境是很重要的，很多人忽略了這點。物理環境主要是指伺服器託管機房的設施狀況，包括通風系統、電源系統、防雷防火系統以及機房的溫度、濕度條件等。這些因素會影響到伺服器的壽命和所有數據的安全。我不想在這里討論這些因素，因為在選擇IDC時你自己會作出決策。
在這里著重強調的是，有些機房提供專門的機櫃存放伺服器，而有些機房只提供機架。所謂機櫃，就是類似於家裡的櫥櫃那樣的鐵櫃子，前後有門，裡面有放伺服器的拖架和電源、風扇等，伺服器放進去後即把門鎖上，只有機房的管理人員才有鑰匙打開。而機架就是一個個鐵架子，開放式的，伺服器上架時只要把它插到拖架里去即可。這兩種環境對伺服器的物理安全來說有著很大差別，顯而易見，放在機櫃里的伺服器要安全得多。
如果你的伺服器放在開放式機架上，那就意味著，任何人都可以接觸到這些伺服器。別人如果能輕松接觸到你的硬體，還有什麼安全性可言?
如果你的伺服器只能放在開放式機架的機房，那麼你可以這樣做：
（1)將電源用膠帶綁定在插槽上，這樣避免別人無意中碰動你的電源；
（2)安裝完系統後，重啟伺服器，在重啟的過程中把鍵盤和滑鼠拔掉，這樣在系統啟動後，普通的鍵盤和滑鼠接上去以後不會起作用(USB滑鼠鍵盤除外)
（3)跟機房值班人員搞好關系，不要得罪機房裡其他公司的維護人員。這樣做後，你的伺服器至少會安全一些。

7. 如何用一台電腦實現網路隔離和安全管控

由於工作性質的不同，很多企業是不允許員工上外網的，一旦有需求上網查找資料，必須要在指定的網域通過專門的電腦進行查詢和下載。這樣表面看是保障了內部網路的安全性，防止內部信息泄漏到外網，但從實際操作過程來看，管理復雜，效率低，資源不能合理利用，給員工工作帶來很多不便。

還有一些單位，為了保障內部信息的安全，採用虛擬化的方式，將所有文件存儲在遠端伺服器上，也就是傳說中的「雲端」，本地不保存文件，投入了巨資建設這套虛擬化系統，但往往由於網路帶寬資源和後續維護不到位，導致更多的麻煩出現。

研發部門作為企業的核心競爭優勢的主體部門，一直是企業內部信息保護的重點，所以還有一些單位直接將他們的所有文件都做加密處理，這樣來控制企業的內部信息安全，這確實也是信息保護最強有力的手段。

由於內容性質不同，有些企業希望降低管理難度，節約保護成本，將內外網有效的隔離開來，採取許進不許出的原則進行控制就可以，既不影響效率，又能保證安全。但如果網路隔離後，要配置多台電腦，成本又增加了，所以市場在呼喚更有效的隔離方案來解決信息安全的問題!

億賽通憑借自己十餘市場發展經驗，運用成熟的沙箱技術和加解密技術，在充分保持兼容性強的前提下，為研發企業、金融單位、軍工單位、政府行業等有多種網路辦公環境需求的單位提供了一套虛擬安全隔離管控系統，該系統能夠有效創建並隔離多個安全域環境，保障各安全域環境中應用與原始系統一致，另一方面各個安全域環境中的數據安全隔離，全磁碟加密存儲，從而達到安全防護的目的，主要特點如下：

1. 環境隔離及加密存儲

各安全域環境可實現單向或雙向隔離，保障不同環境間數據存儲與使用安全，實現物理隔離效果。安全域環境所產生的所有數據均被重定向保存至虛擬加密磁碟中，確保隔離數據在硬碟上的存儲安全，防止非法用戶竊取磁碟泄密。

2. 安全身份認證

支持多種身份認證方式，包括：用戶名與口令認證、硬體USB雙因子認證和AD單點登錄認證等，並支持與CA證書統一集成認證。

3. 網路加密與隔離

各安全域環境內網路通訊均完整加密與隔離，同一安全域環境內可組建加密安全隔離網路，各安全域環境間可實現相互隔離，並可實現對核心應用系統的訪問隔離，保障應用系統的安全認證和訪問安全。

4. 埠及外設管控

可對計算機埠及外設進行啟用或禁用控制，包含USB存儲設備、手機同步、物理列印、光碟機、串口、並口、紅外、藍牙等。

5. 域內安全共享與傳輸

同一安全域環境內，用戶間可進行安全即時通訊和文件安全共享傳輸，在確保安全域隔離傳輸安全的同時提高內部協同效率。

6. 離線安全外帶

針對出差辦公或網路中斷等特殊場景，系統支持設置離線策略與時限;在正常策略許可權下，用戶可離線正常使用安全域及隔離數據，但禁止非授權導出及網路外發，系統將詳細記錄操作日誌及審計。

7. 數據安全外發

安全域內重要文檔需要外發時，需提交明文外發或密文外發申請，在審核通過後才可將文檔輸出至安全域外;當密文外發時，外發文檔將以加密的方式提交給外部使用，防止重要文檔被非法擴散及泄密。密文外發可設置文檔打開認證方式、使用許可權、閱讀次數以及閱讀時限等控制。

8. 數據集中管控與雲存儲

安全域中所有隔離數據可集中存儲至伺服器中，實現「數據大集中、終端不留痕」的高保密要求。

億賽通虛擬安全隔離管控系統，真正的應用環境隔離防護，讓之前雜亂無章的工作環境變得安全可控;該產品應用影響小、與現有環境集成快、而且安全域環境之間可一鍵快速切換， 真正做到安全與效率並存。