2、时钟开关
物理隔离是通过开关来实现的。目前常见的物理隔离开关技术有三种:实时开关(Real-Time Switch),单向连接(One-Way Link),和网络开关(Network Switch)。实时开关和单向连接的速度要快一些,网络开关的速度要慢一些。人们普遍存在对开关速度的担忧,担心开关速度直接影响网络的性能。如果开关的速度低,网络的性能肯定受到影响。即使开关的速度高,网闸的性能也受主机性能的限制。不管开关速度的高低,网闸的性能的上限都不会超过主机的上限。
物理隔离网闸通过采用主机的CPU时钟作为开关,将开关功能在系统的内核中实现,成功的达到网闸的最高性能,优于常见的三种开关技术。内核的效率要远远高于外设的效率。
3、抗攻击内核
物理隔离网闸中断了两个网络的直接物理连接,因此,已知的攻击和未知的攻击都不会攻击到被物理隔离的网络。但物理隔离设备本身涉及到不可信网络的一部分还是会受到来自不可信网络的攻击。物理隔离网闸可以保护别人,却无法避免自己被攻击。就像防火墙一样,可以保护别人,无法保护防火墙本身。物理隔离网闸本身的安全非常重要。
物理隔离网闸,除了采用专用的安全操作系统,除了对内核进行安全加固和最小化服务外,还采用了中网独有的宙斯盾抗攻击内核,保证物理隔离网闸本身具有最高的抗攻击特性。
4、完全支持所有的互联网标准(RFC)
物理隔离机制要求剥离所有的TCP/IP协议(Protocol),以防止来自协议的攻击。从IP协议开始,到TCP协议,以一个会话(Session)为单元,到第七层应用层(Application),最后还原成为可以存储的文件格式,以便通过低级物理介质“摆渡”数据。
物理隔离网闸,根据不同的应用,完整遵循相关的互联网标准RFC。根据相关的RFC,一个一个应用来实现的。
5、基于协议的内容检测
因物理隔离网闸从网络的第一层一直工作到第七层,因此可以基于协议对内容进行检查。不同的应用,对应第七层的协议不同,检查的机制和模块也不同。
检查的内容可以包括但不限于内容过滤、防病毒、防恶意代码、防泄密、文件格式控制等。
6、支持身份认证
物理隔离网闸,要保护高安全性要求的网络免受来自不可信网络的攻击,决定了高安全性要求的网络必须支持身份认证。为了保证网闸配置的可信和可靠性,要求从可信方发起配置请求,而且必须进行身份认证。为了防止泄密情况的发生,可信网络的使用者,也必须进行身份认证。对一些具体的应用,也可以要求进行身份认证。
九、结束语
目前各地都在分步骤、分阶段实现区域及全市的平安城市综合管理系统建设,平安城市综合管理信息公共服务平台是以片区为基础单位,对片区内的各项环境参数和治安状况进行实时监测,为综合管理信息公共服务平台提供最直观的信息数据。并将相关信息汇总处理,通过政务专网分发传送至市、区政府及相关职能部门,使各主管部门(城管、公安、环保、交管、市政、消防等)和街道(或片区)办事处、派出所、警务室、居委会(工作站)能够对所发生的情况进行实时监控和及时处理。为了确保这样一个庞大的智能化系统长期正常运行,网络安全建设就成为构建“平安城市综合管理信息公共服务平台”的重要环节。