--------------------------------------------------------------------------------

关于“物理隔离”的叙述
　　“物理隔离”是指单位内部局域网如果在任何时间都不存在与互联网的直接物理连接，目的是保障内部网络的安全真正得以实现。

　　国家保密局2000年1月1日起颁布实施的《计算机信息系统国际联网保密管理规定》第二章保密制度第六条规定：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行物理隔离。”许多机构要求有效地保障机密数据，包括：政府、军队、金融、媒体等涉密单位的内网，防止通过内部环境与外界敌对环境之间的物理联系而遭受网络侵袭。

“物理隔离”构造图


　　　　　　　
系统实现功能概述
　　面对涉密型单位的需要，华北推出了适合“物理隔离”系统的“物理隔离”服务器，实现了“物理隔离”系统给涉密型单位带来安全的同时，也解决了“物理隔离”系统应用中诸多的不便。此方案具备以下功能：}

1、为隔离内外网和信息的安全导入，在内外网之间设立物理隔离服务器，它将内部的局域网与外界的互联网隔离开来。
2、在外网设置代理服务器，将外网的电脑统一接入internet，对外网用户的使用权限和浏览内容进行控制
管理。
3、对定制的网站可实时监控，当其内容更新时，系统会自动将更新的内容及时下载到本地。已经下载的信息将按用户定义的周期自动保存和清除。
4、载信息先存储于外网，然后由外网向内网进行“物理隔离”级的安全导入，在内网浏览信息时，实际上是通过局域网访问已下载的内容，速度可提高几十倍。采用定时下载功能，在晚上费用低和网络流量少时下载，还可大大提高互联网的使用效率。
5、采用“船闸”式开关、放行原理实施信息导入，过程全部自动化，周期可调，安全、快速、高效。当服务器用公共区的操作系统启动后，它通过外网与互联网连接，这时安全区及内部局域网被屏蔽掉，是不可见并保持与内网间物理隔离，此时的交换分区可见并且可以对其进行读、写操作。软件会将外网中最新定制下载的互联网信息写入交换分区。
6、随后通过BIOS控制的切换功能，服务器自动转换到安全区的操作系统启动,此刻计算机与内网连通，公共区不可见并与互联网物理隔绝，转换分区可根据安全级别的要求设置为可“读”且“写”，或只“读”状态。当设为只“读”状态时，交换区内信息可写入安全区，传入内网；安全区连接的内网数据不能写入交换区，从而杜绝了内部涉密信息的外泄。当设置为可“读”且“写”时，内外网的所有信息可保持完全同步镜像。
7、通过物理隔离服务器可在物理上隔离办公网和互联网，防止信息泄露，同时完成互联网信息下载、信息过滤、信息从外向内的安全导入、以及清杀病毒等功能。物理隔离服务器还可以自动完成文件系统、电子邮件、数据库系统的单向导入、或双向导入导出。
8、订制信息的发布：定制的互联网信息以B/S结构在网上发布。
开放的企业信息平台：提供与传统业务系统的信息接口，单位各部门的管理和业务信息只要采用Web形式浏览，就可以自动分类发布上网。

网络拓扑图

　　　　　
硬件配置：
2U机箱 RPC-205
P4级工业CPU卡 NORCO -740GVE
CPU P4 1.8GMHz
内存 256M DDR
硬盘 40G

评述
　　国家保密局提出通过“物理隔离”来保证政府、军队、金融、媒体等涉密单位内网的真正安全，这也给华北工控等工控企业提供了“大显身手”空间。作为国内工控机的领导品牌，持有“工控机生产许可证”的大型硬件平台厂商，华北工控很早就开始为信息安全行业提供各种类型的硬件产品，并成为国内众多著名网络安全系统集成商OEM和ODM的指定生产厂商。随着网络安全越来越被重视和电子政务的深入，信息安全行业会有更深入的发展，华北工控将会为一如既往的为网络安全系统集成商提供更具有竞争力的OEM、ODM产品。