- 程序有所改变。发帖如还有问题请报告
- 【征集】西西河的经济学,及清流措施,需要主动参与者,『稷下学宫』新认证方式,24年网站打算和努力目标
主题:【原创】一个廉价的内外网隔离解决方案设想,请各位高手指教 -- 闲云野熊
物理隔离是网络安全界公认的最安全的设置,不是绝对安全,而是在其他条件相同情况下,和其他设置相比它可以提供最好的保护。另外它和软件保护并不冲突。也就是说物理隔离的系统仍然可以附加软件保护。不光中国,各国有安全级的网络一样有此要求。
软保护再好也不会等于硬隔离。一来加密算法没有绝对安全一说(移位这种简单算法很好破的),二来IT人员和用户常常会因为不知道或者疏忽而人为制造安全漏洞。物理隔离可以把这种可能减到最小。另外也有不同程度的物理隔离,整机隔离还是硬盘隔离内存隔离等等。一般认为至少要硬盘隔离,也就是说连外网时内网用硬盘要断电。如果要实现内外网同时上可以快速切换,那么内存等其他可以存放可执行指令的部件也都要隔离。不过这样其实和两台机器加kvm切换实际已经没有了太大区别。网卡分不分开没有多大实际意义,也就是用起来方便。如果你相信操作系统的安全性,个人防火墙就可以实现所需功能。而针用户权限(这里就是指区分内外网用户)的软保护从早期的大型机就有了,比如ibm早期的虚拟机操作系统。现在sun还把它跟smartcard认证结合起来,富士通等也在做指纹等biometric认证。
你的想法实际仍然是软保护范畴,不能提供和物理隔离同等的安全性。当然这决不是说软保护没有用处,正相反大多数系统采用的是软保护,比如各种安全操作系统,加密文件系统等等都是例子。这里涉及到一个具体用户要求的问题,如果用户需要的安全性用软保护就可以提供,那么就没有必要非要物理隔离。至于中国政府网有没有必要物理隔离大概就不属于本贴的讨论范围了
- 相关回复 上下关系8
双网卡+NAT,或者使用路由器就可以解决了吧? 大溪水 字0 2005-08-24 23:32:59
说到底这只是软加密 ragtime 字492 2005-08-24 21:30:15
搞到硬盘数据不难,如何解释呢? 闲云野熊 字337 2005-08-25 01:51:08
再多说两句
😉你这个方案没有太看懂,并且觉得怪怪的。我从来没有见过这样的网络设计。 1 Highway 字451 2005-08-24 00:14:52
公路兄可能一直生活在国外,这是国内一种很普通的需求 闲云野熊 字0 2005-08-24 00:45:42
😉我可以理解这个概念提出的背景。因为如果想做到信息的绝对 1 Highway 字146 2005-08-24 00:50:36
这也算一个特殊需求吧 海上不二 字97 2005-08-24 00:25:54