网络安全域隔离方案

1. 谁可以提供网络安全物理隔离卡解决方案

网络安全物理隔离卡解决方案 随着计算机网络及国际互联网的应用飞速发展，使我们进入了前所未有的网络信息时代。用一台计算机可知天下事，政府的各部门、各企业均已采用先进的互联网技术建立自己的内部办公网。但由于公众网（INTRENET）的开放性，使得网络安全受到严重的威胁。因此保密局规定：内部办公网络计算机与公众网（INTERNET）间必需实现物理隔离。基于上述原因，河北省科学院应用数学研究所为实现网络的物理隔离，自主研制推出了网络卫士物理隔离卡产品。
网络卫士产品简介及产品特点
一、 产品简介
1、 该产品解决了内外网络之间的物理隔离。以在原有计算机上加装一块“网络卫士物理隔离卡”的方式，来实现局域网与互联网的网络通道隔离。当局域网中任何一台计算机一经接入互联网，将完全与内部网（涉密网)彻底隔离，可以在互联网上无拘无束的冲浪，又能保证内网的绝对安全。
2、 本产品是一种通过硬件配以软件控制，来实现内、外网的切换，操作方便，安全可靠。真正符合国家保密局《计算机信息系统国际连网保密管理》第六条的规定。
3、 功能上等效于两台独立的计算机。内、外网两套系统共享一块硬盘及计算机中的所有资源，节省了大量的投资与办公场地。
4、 本产品分为内置式和外置式两种类型。内置式是直接固定于主板的PCI插槽上，不占用计算机的资源，与计算机主板之间没有数据通信，不存在任何兼容性问题；外置式是放置于机箱外部，方便更换、检查及处理。
5、 支持ADSL拨号上网或是政府网的用户使用。
6、 独立研发、专利设计。拥有自主知识产权， 并申报国家专利（专利号：99257640.7）该产品并已通过公安部的安全性能检测，检验报告编号：公计检（委）字第99046号。颁发了产品批量生产许可证，批准证书编号：XKC30213；该产品也获得了国家保密局关于涉密信息系统产品检测认证证书（编号：ISSTEC2003YT0049)。可以确保内部网络及资源不受外界公众网窃取和攻击，真正做到简单、可靠、可信、安全无忧地使用电脑。

二、网络卫士物理隔离卡的主要特点
真正实现物理隔离
全部采用触点式继电器，在单片机2051的控制下实现三组继电器跳转，保证了内、外网的真正物理隔离。
软件控制，操作简单、快捷
只需用鼠标点击”网络卫士”控制软件上相应的按钮，网络卫士通过串行口发送指令，系统自动关闭计算机，重新开机后到另一个硬盘系统。
安装简单，维护方便
网络卫士物理隔离卡的安装并不复杂，在一台工作站PC上选择一个PCI插槽插上隔离卡，卡上的控制线和两个硬盘相连接，具有安装网卡经验的人员经过简单的培训即可顺利安装、维护。
使用范围广泛
本产品适用于政府机关、金融机构、部队、企业单位、个人等需接入互联网而又需要保护本地操作系统，及保护本地数据资源的一切个人电脑。
广泛适用于Win98、win2000、WIN XP等各种操作系统。

产品功能及性能
网络卫士隔离卡是一种功能相对简单又较为经济的隔离产品，作为一个优秀的双硬盘物理隔离产品系列，本产品已具备同类产品中最高的技术和性能。
本产品是PC机的硬件插卡，它插在PCI插槽上，卡上有三个电源接口，分别与主机电源、内网硬盘电源接口及外网硬盘电源接口相连接。内外网硬盘各自安装独立的操作系统，分别与内外网相对应。卡上还有内外网络线缆接口用于连接内外网络接口的通断。在同一时间内只有一个硬盘供电并与相应的网络接通，另外一个硬盘不供电，其对应的网络也切断，实现内外网络彻底的物理隔离。
纯硬件设计，真正实现物理隔离。当网络卫士物理隔离卡处于内网状态向外网切换时NetGuard 会自动检测软盘驱动器是否有软盘存在，若驱动器中有软盘存在，则给出警告不能切换并且返回，取出软盘后方可进行网络切换。这就防止了在内网状态下软盘中数据被外网访问的可能。
隔离卡与计算机通过串行口通讯，控制程序对计算机串行口具有自适应性，可选择任意一个串行口安装和使用，更换串行口需要重新配置；
一台计算机实现两台计算机的功能，两套系统共享除硬盘以外的所有设备，可节省大量投资和办公场地。
网络卫士安全隔离解决方案
针对政府部门对于内外网络必须达到物理隔离的要求，我们特提出以下解决方案：在原基础上安装第二块硬盘，通过安装使用网络卫士隔离卡，使每块硬盘专用于某个网络，而与另一块硬盘及网络是完全物理隔离的。

产 品 使 用 指 南
一、 系统要求
1、 在具有一块硬盘的基础上再加装一块硬盘，这两块硬盘需安装有自己独立的Win98/2000Professial/WinXP等操作系统，并安装软件NetGuard。
2、 进行网络切换时系统要通过串行口（COM1/COM2)发送指令到网络卫士物理隔离卡，因此在系统中，要确定和网络卫士物理隔离卡相连接的串行口COM1或COM2未被占用。
二、 安装
1、硬件安装
（1)关掉电源,打开机箱；
（2)将网络卫士隔离卡插在PCI槽上（只起到对隔离卡的固定作用，不从PCI插槽取电，不占用系统中断资源，不影响启动速度）；
（3)把内、外网线，对照卡上网线接口相连接，（内网线为标识为LAN的插槽，外网为标识为INTRNET的插槽，CARD插槽与网卡用蓝色网线相连)。
（4)用灰色通讯线将卡上串口与PC机上的通讯串口相连。
（5)内、外网硬盘及PC机电源线与卡上相对应的电源线序连接。
2、软件安装
在两块不同的硬盘上分别安装网络卫士切换软件。
具体安装方法如下：
●双击‘我的电脑’里面的光驱盘符，找到与当前系统对应的切换软件文件夹，双击里边的SETUP.EXE文件开始安装，连续选择“NEXT”按钮，最后选择“FINISH”完成安装。
●不需要时可从“控制面板”中的“添加/删除程序”中卸载。
三、 使用说明

在Windows系统桌面上点击“网络卫士”图标 即可打开网络卫士切换软件。只需用鼠标双击选择要切换到的网络按钮，系统将自动关闭计算机，重新开机后自动转换为对应的网络状态。

网络卫士物理隔离卡与其它网络安全方法的比较

保护网络安全的方法 安全隔离性能 比较结果
1．配置两台电脑，分别接上内部局域网和公众网 可靠，符合国家有关网络
安全的规定 1． 使用不方便。
2． 投资成本巨大、浪费资源。
3． 网络设置复杂、维护难度大。
4． 占用更多的办公空间。
2．采用代理服务器和防火墙技术 不可靠、不符合国家有关
网络安全隔离的规定 1． 投资成本大。
2． 即使是我国自主开发的防火墙产品，只要
CPU、操作系统是国外，安全程度亦难以保证。
3．安全隔离专用计算机 可靠、符合国家有关网络
安全隔离的规定 1． 重新购置该计算机，增加投资。
2． 单位现有的计算机造成浪费。
3． 一套机箱内二套设备, 技术上不合理。
4． 兼容机性能不稳定,价格高。
4．网络物理隔离卡 采用符合国家规定的物
理隔离法，安全可靠 1． 在原有设备上引入，不需增加太多投资。

2． 无需重新购买电脑设备，不占用原有的办公空间。

3． 纯硬件设计，操作使用简单、安全、可靠。 具体的可以看 http://forum.chinesehonker.org/thread-6486-1-1.html

2. 安全隔离技术有哪些

安全隔离技术有物理的隔离，工作机制的隔离，技术上的隔离。

物理的隔离，主要是场地的隔离。工作机制的隔离，是通过制度实行相应的安全生产隔离。技术上的隔离，通过一些防护服务或者是潇洒化学反应等具体举措，可以起到安全隔离的作用。

物理隔离主要用来解决网络安全问题的，尤其是在那些需要绝对保证安全的保密网，专网和特种网络与互联网进行连接时，为了防止来自互联网的攻击和保证这些高安全性网络的保密性、安全性、完整性、防抵赖和高可用性，几乎全部要求采用物理隔离技术。

物理隔离包含隔离网闸技术、物理隔离卡等。物理隔离产品是用来解决网络安全问题的。尤其是在那些需要绝对保证安全的保密网，专网和特种网络与互联网进行连接时，为了防止来自互联网的攻击和保证这些高安全性网络的保密性，安全性，完整性，防抵赖和高可用性，几乎全部要求采用物理隔离技术。

3. 网络安全防护的防护措施

访问控制：对用户访问网络资源的权限进行严格的认证和控制。例如，进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限，等等。数据加密防护：加密是防护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。
网络隔离防护：网络隔离有两种方式，一种是采用隔离卡来实现的，一种是采用网络安全隔离网扎实现的。
其他措施：其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。

4. 如何实现内网与外网的有效隔离

5月5日 23:04 保密要求比较高的场所可以使用物理隔离卡，有现成的产品卖
有如下品牌
· 易思克
· 伟思
· XWELL
· 宙斯盾
· HARD LINK
· 中孚
· 联想
· 图文
· 威讯

关于物理隔离

如今，我们已越来越发觉，我们必须联结网络，无论是Internet、www、电子邮件等等，"联结"令我们受益匪浅，当你已进入了互联网时代，你将很难再离开网络，但与此同时，我们也正受到日益严重的来自网络的安全威胁，诸如网络的数据窃贼、黑客的侵袭、病毒发布者，甚至系统内部的泄密者。
尽管我们正在广泛地使各种复杂的软件技术，如防火墙、代理服务器、侵袭探测器、通道控制机制，但是由于这些技术都是基于软件的保护，是一种逻辑机制，这对于逻辑实体（即黑客或内部用户）而言是可能被操纵的，即由于这些技术的极端复杂性与有限性，这些在线分析技术无法提供某些组织（如军队、军工、政府、金融、研究院、电信以及企业）提出的高度数据安全要求。
基于安全官员的立场"如果不存在与网络的物理联接，网络安全威胁便受到了真正的限制"，以及我国《计算机信息系统国际联网保密管理规定》中第六条规定"涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行物理隔离"，基于上述政策与规定，我们开发出了这一全新的网络安全技术--网络安全物理隔离技术，以及实现这一技术功能的产品--伟思信安网络安全隔离卡。

技术原理

网络安全隔离卡的功能即是以物理方式将一台PC虚拟为两个电脑，实现工作站的双重状态，既可在安全状态，又可在公共状态，两个状态是完全隔离的，从而使一部工作站可在完全安全状态下联结内、外网。 网络安全隔离卡实际是被设置在PC中最低的物理层上，通过卡上一边的IDE总线联结主板，另一边联结IDE硬盘，内、外网的联接均须通过网络安全隔离卡，PC机硬盘被物理分隔成为两个区域，在IDE总线物理层上，在固件中控制磁盘通道，在任何时候，数据只能通往一个分区。

图1

在安全状态时，主机只能使用硬盘的安全区与内部网联结，而此时外部网（如Internet）联接是断开的，且硬盘的公共区的通道是封闭的。
在公共状态时，主机只能使用硬盘的公共区，可以与外部网联结，而此时与内部网是断开的，且硬盘安全区也是被封闭的。

转换便捷

当两种状态转换时，是通过鼠标点击操作系统上的切换键，即进入一个热启动过程，切换时，系统通过硬件重启信号重新启动，这样，PC的内存所有数据被消除，两个状态分别是有独立的操作系统，并独立导入，两个硬盘分区不会同时激活。

数据交换

为了安全的保证，两个分区不能直接交换数据，但是用户可以通过我们的一个独特的设计，来安全方便地实现数据交换，即在两个分区以外，网络安全隔离在硬盘上另外设置了一个功能区，功能区在PC处于不同的状态下转换，即在两个状态下，功能区均表现为硬盘的D盘，各个分区可以通过功能区作为一个过渡区来交换数据。当然根据用户需要，也可创建单向的安全通道，即数据只能从公共区向安全区转移，但不能逆向转移，从而保证安全区的数据安全。

安全区控制

基于安全威胁来自内外两方面的关系，即除了外来的黑客攻击、病毒发布以外，系统内部有意或无意的泄密，也是必须防止的威胁。因此，网络安全隔离卡可以对安全区作只读控制，即可禁止内部使用者以软驱、光驱复制数据或纂改安全区的数据。

技术的广泛应用

由于网络安全隔离卡是控制主IDE总线，在PC机硬件最底层的基础上，因此广泛支持几乎所有奔腾以及奔腾兼容芯片。
由于网络安全隔离卡是完全独立于操作系统的，因此也支持几乎所有主流的操作系统。 网络安全隔离卡对网络技术和协议完全透明，因此，对目前主要协议广泛支持，如以太网、快速以太网、令牌环行网、光纤、ATM、ISDN、ADSL。

安装与使用

网络安全隔离卡的安装并不复杂，一般情况，并不需要改变用户原有的网络结构，安装人员的技术水平要求相当安装普通网卡的水平。 安装网络安全隔离卡，一般情况下，不必因为担心丢失数据，而去复制硬盘上数据。 用户的使用也只须接受简单的培训，不存在日后的维护问题。

适用范围与政府论证

基于国家有关保密的规定，伟思的网络安全物理隔离技术，正完全符合这一点。因此，本技术适用于几乎所有既要求十分严格的数据安全，同时又期望接入互联网的各类机构，诸如政府机关、军事机构、金融、电信、科研院校及大型企业等等。 伟思的"网络安全隔离卡"与"网络安全隔离集线器"已通过国家公安部和国家信息安全评测认证中心等国家权威机构的认证，并已具备了相关的产品证书。
如需要了解更多资料，欢迎到<技术支持>栏目的下载区下载本产品的详细资料或联系我们。

5. 怎么实现内外网的完全隔离

可安装物理安全隔离装置进行内外网隔离。物理安全隔离网关是通过具有多种控制功能的专用硬件，切断电路上网络之间的链路层连接，在网络之间安全、适度地交换应用数据的一种网络安全设备。

该设备主要用于解决网络安全问题，特别是那些需要绝对安全的秘密网络、专用网络和专用网络接入互联网时，防止来自互联网的攻击，保证这些高安全网络的机密性、安全性和完整性。

(5)网络安全域隔离方案扩展阅读：

安全隔离网闸门原理

网关是利用具有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。

在物理隔离网关连接的两个独立主机系统之间，没有物理连接、逻辑连接、信息传输命令、信息传输协议、按协议进行的包转发，没有数据文件的协议“轮渡”，只有固态存储介质的“读”和“写”。

因此，物理隔离网关在物理上隔离和屏蔽所有可能受到攻击的连接，使“黑客”无法入侵、攻击或破坏，实现真正的安全。

6. 如何实现网络安全措施

网安措施
计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面，各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。
（一）保护网络安全。
网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下：
（1）全面规划网络平台的安全策略。
（2）制定网络安全的管理措施。
（3）使用防火墙。
（4）尽可能记录网络上的一切活动。
（5）注意对网络设备的物理保护。
（6）检验网络平台系统的脆弱性。
（7）建立可靠的识别和鉴别机制。
（二）保护应用安全。
保护应用安全，主要是针对特定应用（如Web服务器、网络支付专用软件系统）所建立的安全防护措施，它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠，如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密，都通过IP层加密，但是许多应用还有自己的特定安全要求。
由于电子商务中的应用层对安全的要求最严格、最复杂，因此更倾向于在应用层而不是在网络层采取各种安全措施。
虽然网络层上的安全仍有其特定地位，但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。
（三）保护系统安全。
保护系统安全，是指从整体电子商务系统或网络支付系统的角度进行安全防护，它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施：
（1）在安装的软件中，如浏览器软件、电子钱包软件、支付网关软件等，检查和确认未知的安全漏洞。
（2）技术与管理相结合，使系统具有最小穿透风险性。如通过诸多认证才允许连通，对所有接入数据必须进行审计，对系统用户进行严格安全管理。
（3）建立详细的安全审计日志，以便检测并跟踪入侵攻击等。
商交措施
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。
各种商务交易安全服务都是通过安全技术来实现的，主要包括加密技术、认证技术和电子商务安全协议等。
（一）加密技术。
加密技术是电子商务采取的基本安全措施，交易双方可根据需要在信息交换的阶段使用。加密技术分为两类，即对称加密和非对称加密。
（1）对称加密。
对称加密又称私钥加密，即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露，那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。
（2）非对称加密。
非对称加密又称公钥加密，使用一对密钥来分别完成加密和解密操作，其中一个公开发布（即公钥），另一个由用户自己秘密保存（即私钥）。信息交换的过程是：甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开，得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方，甲方再用自己保存的私钥对加密信息进行解密。
（二）认证技术。
认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术，即确认双方的身份信息在传送或存储过程中未被篡改过。
（1）数字签名。
数字签名也称电子签名，如同出示手写签名一样，能起到电子文件认证、核准和生效的作用。其实现方式是把散列函数和公开密钥算法结合起来，发送方从报文文本中生成一个散列值，并用自己的私钥对这个散列值进行加密，形成发送方的数字签名；然后，将这个数字签名作为报文的附件和报文一起发送给报文的接收方；报文的接收方首先从接收到的原始报文中计算出散列值，接着再用发送方的公开密钥来对报文附加的数字签名进行解密；如果这两个散列值相同，那么接收方就能确认该数字签名是发送方的。数字签名机制提供了一种鉴别方法，以解决伪造、抵赖、冒充、篡改等问题。
（2）数字证书。
数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件数字证书的最主要构成包括一个用户公钥，加上密钥所有者的用户身份标识符，以及被信任的第三方签名第三方一般是用户信任的证书权威机构（CA），如政府部门和金融机构。用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书，然后用户就可以公开这个证书。任何需要用户公钥的人都可以得到此证书，并通过相关的信任签名来验证公钥的有效性。数字证书通过标志交易各方身份信息的一系列数据，提供了一种验证各自身份的方式，用户可以用它来识别对方的身份。
（三）电子商务的安全协议。
除上文提到的各种安全技术之外，电子商务的运行还有一套完整的安全协议。比较成熟的协议有SET、SSL等。
（1）安全套接层协议SSL。
SSL协议位于传输层和应用层之间，由SSL记录协议、SSL握手协议和SSL警报协议组成的。SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时，双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash算法上达成一致，然后互相验证对方身份，最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息，客户和服务器各自根据此秘密信息产生数据加密算法和Hash算法参数。SSL记录协议根据SSL握手协议协商的参数，对应用层送来的数据进行加密、压缩、计算消息鉴别码MAC，然后经网络传输层发送给对方。SSL警报协议用来在客户和服务器之间传递SSL出错信息。
（2）安全电子交易协议SET。
SET协议用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系，给定交易信息传送流程标准。SET主要由三个文件组成，分别是SET业务描述、SET程序员指南和SET协议描述。SET协议保证了电子商务系统的机密性、数据的完整性、身份的合法性。
SET协议是专为电子商务系统设计的。它位于应用层，其认证体系十分完善，能实现多方认证。在SET的实现中，消费者帐户信息对商家来说是保密的。但是SET协议十分复杂，交易数据需进行多次验证，用到多个密钥以及多次加密解密。而且在SET协议中除消费者与商家外，还有发卡行、收单行、认证中心、支付网关等其它参与者。
加密方式
链路加密方式
安全技术手段
物理措施：例如，保护网络关键设备(如交换机、大型计算机等)，制定严格的网络安全规章制度，采取防辐射、防火以及安装不间断电源（UPS）等措施。
访问控制：对用户访问网络资源的权限进行严格的认证和控制。例如，进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限等等。
数据加密：加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。防止计算机网络病毒，安装网络防病毒系统。
网络隔离：网络隔离有两种方式，一种是采用隔离卡来实现的，一种是采用网络安全隔离网闸实现的。
隔离卡主要用于对单台机器的隔离，网闸主要用于对于整个网络的隔离。这两者的区别可参见参考资料。
其他措施：其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。围绕网络安全问题提出了许多解决办法，例如数据加密技术和防火墙技术等。数据加密是对网络中传输的数据进行加密，到达目的地后再解密还原为原始数据，目的是防止非法用户截获后盗用信息。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限。
安全防范意识
拥有网络安全意识是保证网络安全的重要前提。许多网络安全事件的发生都和缺乏安全防范意识有关。
主机安全检查
要保证网络安全，进行网络安全建设，第一步首先要全面了解系统，评估系统安全性，认识到自己的风险所在，从而迅速、准确得解决内网安全问题。由安天实验室自主研发的国内首款创新型自动主机安全检查工具，彻底颠覆传统系统保密检查和系统风险评测工具操作的繁冗性，一键操作即可对内网计算机进行全面的安全保密检查及精准的安全等级判定，并对评测系统进行强有力的分析处置和修复。
主机物理安全
服务器运行的物理安全环境是很重要的，很多人忽略了这点。物理环境主要是指服务器托管机房的设施状况，包括通风系统、电源系统、防雷防火系统以及机房的温度、湿度条件等。这些因素会影响到服务器的寿命和所有数据的安全。我不想在这里讨论这些因素，因为在选择IDC时你自己会作出决策。
在这里着重强调的是，有些机房提供专门的机柜存放服务器，而有些机房只提供机架。所谓机柜，就是类似于家里的橱柜那样的铁柜子，前后有门，里面有放服务器的拖架和电源、风扇等，服务器放进去后即把门锁上，只有机房的管理人员才有钥匙打开。而机架就是一个个铁架子，开放式的，服务器上架时只要把它插到拖架里去即可。这两种环境对服务器的物理安全来说有着很大差别，显而易见，放在机柜里的服务器要安全得多。
如果你的服务器放在开放式机架上，那就意味着，任何人都可以接触到这些服务器。别人如果能轻松接触到你的硬件，还有什么安全性可言?
如果你的服务器只能放在开放式机架的机房，那么你可以这样做：
（1)将电源用胶带绑定在插槽上，这样避免别人无意中碰动你的电源；
（2)安装完系统后，重启服务器，在重启的过程中把键盘和鼠标拔掉，这样在系统启动后，普通的键盘和鼠标接上去以后不会起作用(USB鼠标键盘除外)
（3)跟机房值班人员搞好关系，不要得罪机房里其他公司的维护人员。这样做后，你的服务器至少会安全一些。

7. 如何用一台电脑实现网络隔离和安全管控

由于工作性质的不同，很多企业是不允许员工上外网的，一旦有需求上网查找资料，必须要在指定的网域通过专门的电脑进行查询和下载。这样表面看是保障了内部网络的安全性，防止内部信息泄漏到外网，但从实际操作过程来看，管理复杂，效率低，资源不能合理利用，给员工工作带来很多不便。

还有一些单位，为了保障内部信息的安全，采用虚拟化的方式，将所有文件存储在远端服务器上，也就是传说中的“云端”，本地不保存文件，投入了巨资建设这套虚拟化系统，但往往由于网络带宽资源和后续维护不到位，导致更多的麻烦出现。

研发部门作为企业的核心竞争优势的主体部门，一直是企业内部信息保护的重点，所以还有一些单位直接将他们的所有文件都做加密处理，这样来控制企业的内部信息安全，这确实也是信息保护最强有力的手段。

由于内容性质不同，有些企业希望降低管理难度，节约保护成本，将内外网有效的隔离开来，采取许进不许出的原则进行控制就可以，既不影响效率，又能保证安全。但如果网络隔离后，要配置多台电脑，成本又增加了，所以市场在呼唤更有效的隔离方案来解决信息安全的问题!

亿赛通凭借自己十余市场发展经验，运用成熟的沙箱技术和加解密技术，在充分保持兼容性强的前提下，为研发企业、金融单位、军工单位、政府行业等有多种网络办公环境需求的单位提供了一套虚拟安全隔离管控系统，该系统能够有效创建并隔离多个安全域环境，保障各安全域环境中应用与原始系统一致，另一方面各个安全域环境中的数据安全隔离，全磁盘加密存储，从而达到安全防护的目的，主要特点如下：

1. 环境隔离及加密存储

各安全域环境可实现单向或双向隔离，保障不同环境间数据存储与使用安全，实现物理隔离效果。安全域环境所产生的所有数据均被重定向保存至虚拟加密磁盘中，确保隔离数据在硬盘上的存储安全，防止非法用户窃取磁盘泄密。

2. 安全身份认证

支持多种身份认证方式，包括：用户名与口令认证、硬件USB双因子认证和AD单点登录认证等，并支持与CA证书统一集成认证。

3. 网络加密与隔离

各安全域环境内网络通讯均完整加密与隔离，同一安全域环境内可组建加密安全隔离网络，各安全域环境间可实现相互隔离，并可实现对核心应用系统的访问隔离，保障应用系统的安全认证和访问安全。

4. 端口及外设管控

可对计算机端口及外设进行启用或禁用控制，包含USB存储设备、手机同步、物理打印、光驱、串口、并口、红外、蓝牙等。

5. 域内安全共享与传输

同一安全域环境内，用户间可进行安全即时通讯和文件安全共享传输，在确保安全域隔离传输安全的同时提高内部协同效率。

6. 离线安全外带

针对出差办公或网络中断等特殊场景，系统支持设置离线策略与时限;在正常策略权限下，用户可离线正常使用安全域及隔离数据，但禁止非授权导出及网络外发，系统将详细记录操作日志及审计。

7. 数据安全外发

安全域内重要文档需要外发时，需提交明文外发或密文外发申请，在审核通过后才可将文档输出至安全域外;当密文外发时，外发文档将以加密的方式提交给外部使用，防止重要文档被非法扩散及泄密。密文外发可设置文档打开认证方式、使用权限、阅读次数以及阅读时限等控制。

8. 数据集中管控与云存储

安全域中所有隔离数据可集中存储至服务器中，实现“数据大集中、终端不留痕”的高保密要求。

亿赛通虚拟安全隔离管控系统，真正的应用环境隔离防护，让之前杂乱无章的工作环境变得安全可控;该产品应用影响小、与现有环境集成快、而且安全域环境之间可一键快速切换， 真正做到安全与效率并存。