物理隔离(精选10篇)
物理隔离 篇1
0 引言
随着网络技术的飞速发展, 计算机网络、互联网已经成为推动社会发展的重要力量, 许多企业及政府机构都已经或筹备建设了自己的内部网络作为整个部门的信息系统中枢, 并通过多种方式将内部网络接入互联网, 从而极大的提高了自身的信息获取与处理能力。然而内部网也受到了日益严重的网络安全威胁, 如黑客入侵、病毒干扰等。对内部网络的安全保护, 已成为一个重要的课题。
1 物理隔离系统建设方案及其应用分析
下面结合个人经验就目前常见的各种计算机物理隔离网络系统建设方案的组网结构、工程实施、经济性、易用性和安全性一一进行分析。
1.1 双布线系统方案
双布线系统设计方案是一种严格的物理隔离方案, 在单位里对内、外网络分别规划、设计网络中间连接设备和布线, 两套网络布线之间完全物理隔离, 它们之间没有任何物理通路相互联通, 物理上任何时刻只能与一个网络相连, 不能越过物理屏障侵入别一个网络, 而用户端接入内、外网络有两种接入方式。
用户端配备双电脑, 分别接入内网和外网。本方案的特点是非常直观的将内外网络分离, 内、外网通过两套不同的信道和客户端实现彻底物理隔离, 因此安全性极高。但投资成本高, 工程实施较为麻烦甚至受实际环境影响, 双电脑利用率较低, 造成严重资源浪费。本方案的优点是使用方便, 用户可在同一时间访问内网和外网而不需要切换。随着隔离卡、隔离集线器等物理隔离产品的诞生, 本方案因投资大, 而且政策也不允许, 目前已经较少被采用。
用户端配备一台电脑, 需访问内外网的用户电脑上安装双硬盘和一个物理隔离卡, 两个硬盘分别安装用于内网和外网的两套操作系统和应用程序, 物理隔离卡则起隔离和切换硬盘和网络连接的作用 (如图1所示) 。当用户访问内网时, 内网硬盘和操作系统被启动, 同时外网的硬盘电源和网络连接被切断, 而用户改为访问外网时, 内网软件系统停止, 内网硬盘电源和网络连接被切断, 同时外网硬盘和操作系统被启动并接通外网网络连接。任何时刻只有一个硬盘和相应网络连接被启用, 而另一个硬盘和相应网络连接被物理隔断。本方案具有易于管理和维护, 有较高的网络安全性, 同样存在工程实施较为麻烦甚至受实际环境影响, 但每个用户只需要配备一台电脑, 所以节省了投资。缺点是不能同时访问内外两个网络, 访问不同的网络需要重新开机和启动, 频繁地在内外两个网络之间进行切换, 给实际操作与应用带来了麻烦和不便。但总体综合性能较好, 是目前较常用的一种网络物理隔离方法。
1.2 单布线系统方案
单布线系统设计方案是一种最为常用的布线方案, 在单位里对内、外网络只需要规划、设计一套网络布线系统, 工程简单、易于实现, 而用户端接入内、外网络有三种接入方式。
用户端配备专用上网电脑, 供有需要访问外网的用户上网。本方案是一种非常简单的物理隔离手段, 单位内配备专用上网电脑, 而其他电脑均不直接或间接地与外网连接, 内、外网的信息交换要在管理人员的监控下通过如软盘、光盘、U盘等移动介质的使用来实现。本方案的优点是投资小、工程简单、易于实现, 但用户上网很不方便, 理论上安全性较高, 但人工投入管理开销大, 无法发挥网络带来的快速、时效的优点, 难以监控和管理。
用户端配备一台电脑, 装有一个硬盘、一个网卡、操作系统、IP切换软件, 没有物理隔离卡, 网络中加装和IP切换软件相配合的物理隔离集线器 (如图2所示) 。利用物理隔离集线器的多路开关切换功能, 当用户切换内外网络时, 不需要重启机器, 只需点击IP切换软件的切换图标, 自动完成IP地址转换并向物理隔离集线器发出切换信号, 物理隔离集线器随即实现切换和内、外网的隔离。本方案的优点是投资小, 网络切换和数据交换十分方便, 但由于访问内外网时使用同一存储介质这一准物理隔离方案, 并不是完全意义上的物理隔离, 依然存在安全隐患, 网络安全性较低, 适用于不存储涉密信息单位采用。
用户端配备一台电脑, 装有双硬盘、物理隔离卡, 网络中加装和物理隔离卡配合的物理隔离集线器来切换访问内外网络。在物理隔离卡与物理隔离集线器的配合工作下, 客户端对隔离卡的操作, 在对硬盘进行切换的同时通过物理隔离集线器对网络也进行了切换, 通过区分内外网信号就可以避免内外网线被交叉使用的安全风险。本方案的优点是对网络进行隔离成本较低, 投资较小, 也节约了空间, 网络切换和数据交换操作十分方便, 网络安全性很高。由于物理隔离集线器的技术目前已经较成熟, 价格不断下降, 实施较方便, 本方案是一种目前十分常用的方案。
1.3 物理隔离网闸GAP系统方案
近年来逐渐兴起了以GAP技术为基础的安全隔离网闸系统, 物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。如图3所示为典型应用实例由于物理隔离网闸所连接的两个独立主机系统之间, 通过专用硬件使得两个网络在不连通的情况下进行网络数据传输和资源共享, 使用高速安全隔离电子开关, 只支持单向网络连接, 保证内外网在物理链路层上是完全断开的, 不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议, 不存在依据协议的信息包转发, 只有数据文件的无协议“摆渡”, 且对固态存储介质只有“读”和“写”两个命令。所以, 物理隔离网闸是从物理上隔离、阻断了具有潜在攻击可能的一切连接, 使“黑客”无法入侵、无法攻击、无法破坏, 不但消除了通用协议漏洞给涉密内网带来的威胁, 同时也使内部的系统、软件后门和漏洞不会被外部利用, 有效防御未知攻击, 从而保证了涉密网络的安全, 实现了真正意义上的安全。
2 结束语
物理隔离技术具有较高的安全性, 但还存在以下不足:
(1) 现在的物理安全产品都是通过电子开关实现的, 电子开关都有一定的寿命, 同时也限制了数据传输与交换的速度。随着网络信息的迅速增长, 电子开关很可能成为数据交换和对外访问的瓶颈。
(2) 物理隔离产品很难集成到已有的网络结构中, 安装和配置都较复杂, 一些错误的配置会带来安全风险。
(3) 对于交换数据的安全性还依赖于病毒检测技术的提高。
从上面可以看出, 物理隔离技术还有待于进一步提高。新一代物理隔离技术应该朝更安全、更智能化、更易集成管理的方向发展, 在满足现有的要求和目前技术特点的前提下应具备一些新特点, 如具有VPN功能, 提供远程用户的安全访问;具有密码加速功能, 提高数据交换的速度;具有负载均衡功能, 提高数据处理速度, 同时提高网络的灵活性和可靠性。
物理隔离技术是安全技术的一种, 不能取代其他所有的安全技术, 它只是网络安全防御中一个很重要的环节, 作为全面的安全解决方案应该把多种安全技术结合起来, 以达到最好的效果。
摘要:本文介绍了物理隔离技术的原理和方法, 讨论了物理隔离技术的功能及安全性;根据网络系统建设方案设计原则, 结合个人实践经验就物理隔离网络系统建设方案的组网结构、安全性、经济性、易用性和工程实施等进行了分析和对比研究;分析了物理隔离技术的发展趋势。
关键词:物理隔离,网络安全,数据交换
参考文献
[1]张蒲生.物理隔离环境下数据安全转发的技术构思.计算机应用研究.2003.
[2]Carmeli B. Gap Appliance Enhance Security. Network World.2001.
[3]Avolio F M. E-Business and the Need for "Air Gap" Technology.A Whale Communication White Paper.http://www.whalecommunications.com .1999.
[4]张少波.涉密网络安全隔离解决方案.信息安全与通讯保密.2003.
物理隔离 篇2
第一代隔离卡采用硬盘电源切换技术,技术简单、成本低廉,其缺点是容易损坏硬盘,必须彻底关机后才能切换,否则在硬盘高速旋转时猛然切换内外网,隔离卡突然给硬盘断电和加电,硬盘磁头会划伤硬盘,造成硬盘物理损毁或数据丢失。由于数据丢失频繁,过几天就要重新安装内、外网系统,给用户造成很大的额外工作负担。现在第一代隔离卡技术已经被淘汰,但是在市面上仍能见到一些隔离卡厂家推销积压的旧卡,并且宣称其兼容性好,该类隔离卡的特征是卡上有三个硬盘电源插座,用户购买时请认真鉴别。★ 隔离病区规章制度
★ 消毒隔离制度
★ 居家隔离14天承诺书
★ 学会思考是一种人生方式
★ 物理学史进入物理教科书的基本方式
★ “体验”是最重要的教育方式
★ 隔离点综合组规章制度
★ 安全知识:什么是复合防盗窗
★ 会议签到方式
物理隔离 篇3
关键词 网络安全 物理隔离 信息安全
中图分类号:TP393 文献标识码:A
在当今,网络应用蓬勃发展,Internet逐渐融入到社会的各个方面,网络用户成分越来越复杂,由此带来的安全问题也十分突出,而物理隔断技术的发展为彻底斩断网上黑手提供可能。
1物理隔离的提出
互联网的方便快捷使我们的工作效率得到了极大地提高,但与此同时,我们也正受到日益严重的来自网络的安全威胁,诸如数据窃贼、黑客侵袭、病毒骚扰,甚至系统内部的泄密者。互联网的安全性能对我们在进行网络互联时如何保护国家、公司秘密提出了挑战。尽管我们广泛地使用各种复杂的软件技术,如防火墙、代理服务器、侵袭探测器、通道控制机制等等,但是由于这些技术都是基于软件的保护,是一种逻辑机制,这对于逻辑实体(即黑客和内部用户)而言是可能被操纵的。由于这些技术复杂性与有限性,无法提供高度数据安全要求,所以提出了物理隔离技术,它主要是基于这样的思想:如果不存在与网络的物理连接,网络安全威胁便受到了真正的限制。
2物理隔离在安全上的三点要求
(1)在物理传导上使内外网络隔断,确保外部网不能通过网络连接而侵入内部;同时防止内部网信息通过网络连接泄漏到外部网。
(2)在物理辐射上隔断内部网与外部网,确保内部网信息不会通过电磁辐射或耦合方式泄漏到外部网。
(3)在物理存储上隔断两个网络环境,对于断电后会遗失信息的部件,如内存、处理器等暂存部分,要在网络转换时作清除处理,防止残留信息出网;对于断电非遗失性设备如磁带机、硬盘等存储设备,内部网与外部网信息要分开存储。
3物理隔离的实现
3.1单主板安全隔离计算机
这种方案适合小型的单网结构的局域网,其核心技术是双硬盘技术,将内外网络转换功能做入BIOS中,并将插槽也分为内网和外网,使用更方便,也更安全。单主板安全隔离计算机,它是采用彻底实现内外网物理隔离的个人计算机,并且由于这种安全电脑是在较低层的BIOS上开发的,处理器、主板、外设的升级不会给电脑带来什么“不兼容”的影响。它很好地解决了接入网络后局域网信息安全、系统安全、操作安全和环境安全等问题,彻底实现了网络物理隔离。安全计算机在传统Pc主板结构上形成两个物理隔离的网络终端接入环境,分别对应于Internet和内部局域网,保证局域网信息不会被互联网上的黑客和病毒破坏。主板BIOS控制由网卡和硬盘成的网络接入和信息存储环境各自独立,并只能在相应的网络环境下工作,不可能在一种网络环境下使用另一环境才使用的设备。BIOS还提供所有涉及信息发送和输出设备的控制,包括:对软驱、光驱提供限制功能等。
3.2双网解决方案
这种方案适合中大型机构的局域网布局。在这里网络分为内部网和外部公共网,其中公共网通过集中出口连接Internet(视需要也要安装防火墙、入侵检测及防病毒等措施),部分计算机需要能够接入两个网络,但同时又要保证内外网的完全物理隔离。
实现如下图所示:
3.3隔离卡技术
网络安全隔离卡,其功能是以物理方式将一台Pc虚拟为两部电脑,实现工作站的双重状态,既可在安全状态,又可在公共状态,两种状态是完全隔离的,从而使一部工作站可在完全安全状态下连接内外网。启动外网时关闭内网硬盘,启动内网时关闭外网硬盘,使两个网络和硬盘物理隔离,也不仅用于两个网络物理隔离的情况,也可用于个人资料要保密又要上互联网的个人计算机情况。网络安全隔离卡是被设置在Pc中最低的物理层上,通过卡上一边的IDE总线连接主板,另一边连接IDE硬盘,内、外网的连接均须通过网络安全隔离卡,PC机硬盘被物理分隔成为两个区域,在IDE总线物理层上,在任何时候,数据只能通往一个分区。在安全状态时,主机只能使用硬盘的安全区与内部网连接,而此时外部网的连接是断开的,且硬盘的公共区的通道是封闭的。在公共状态时,主机只能使用硬盘的公共区与外部网连接,此时与内部网是断开的,且硬盘安全区也是被封闭的。当两种状态转换时,是通过鼠标点击操作系统上的切换键,即进入一个热启动过程。切换时,系统通过硬件重启信号重新启动,这样Pc内存的所有数据就被消除,两个状态分别是有独立的操作系统,并独立引导,两种硬盘分区不会同时激活。为了保证安全,两个分区不能直接交换数据,用户可以通过一个独特的设计,来安全方便地实现数据交换。即在两个分区以外,网络安全隔离在硬盘上另外设置了一个功能区,该功能区在Pc处于不同的状态下转换,即在两种状态下功能区均表现为硬盘的D盘,各个分区可以通过功能区作为一个过渡区来交换数据。当然根据用户需要,也可创建单向的安全通道,即数据只能从公共区向安全区转移,但不能逆向转移,从而保证安全区的数据安全。
4物理安全隔离技术的不足
在目前,网络安全对于整个网络的发展来说应该还是个大难题,虽然保证安全的方法很多,防火墙、防病毒产品等等,但是就目前的技术来讲,还没有哪一种或者哪一些技术能够很好地解决,所以通过物理隔离来实现物理安全应该说还是一个行之有效的方法,但是这种方法也不是最好的,很大程序上来说它只是技术发展过程中的一个权宜之策,因为这种方法在给人们带来安全的同时,也带来的很多的不便,比如简单的隔离带来的内网访问外部网的权限问题等。
5结束语
网络安全是未来的网络信息建设的重要基础。一般来说,安全性越高,其实现就越复杂,费用也相应的越高,所以需要对网络中需保护的信息和数据进行详细的经济性评估,决定投资强度。企业的网络安全工作可以根据本企业的主营方向来决定建设自己的网络安全服务队伍还是购买市场上的服务。网络安全的技术研究在国内起步较晚,虽然目前许多网络专家开始注意并研究相关的技术,但是总体来说网络安全技术的专门人才还比较缺乏。因此多数网络的建设者和运行者并不拥有相应的技术力量。我们认为制定适当完备的网络安全策略是实现网络安全的前提,高水平的网络安全技术队伍是保证,严格的管理与落实是关键。
参考文献[1] 禹晓庆.网络物理隔离安全防御技术.中国电子出,2000,(6):59.
[2] 林中. 网络安全隔离技术浅析.福建建设科技,2002,(3):33-34.
[3] 张震.网络隔离的技术分析与安全模型的应用.微型机与应用,2002,(11):33-34.
[4] 谭浩强.C 程序设计.北京:清华大学出版社,1995.157-267.
[5] 许海燕, 付炎.嵌入式系统技术与应用.北京: 机械工业出版社, 2002.64-99.
物理隔离 篇4
某电厂在进行网络工程改造时, 将总部与分部之间原来用于办公网络传输的数据链路改为传输生产数据 (图1) , 要求此链路与原办公网络完全物理隔离。系统集成商在完工报告中描述:在此链路中只保留了一台二层交换机和必要的光纤传输设备, 并将此交换机上的端口进行了物理关闭, 只保留一条生产用网络所需端口, 此时, 甲方要求检测单位对这条生产用网络专线进行安全验证检测, 以验证其是否与无关网络实现了物理隔离。
2 解决问题的思路
检测单位接收任务后, 通过仔细研究, 按照国家标准GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》中的要求, 从独立第三方入手分析, 解决问题的思路为:要验证此数据链路是否与无关网络实现物理隔离, 就必须测试此链路上是否有未知网络设备或无关数据的介入, 以证明这一专线的安全性, 从而满足用户对专线安全性的验证要求。
进一步分析, 我们认为:
1) 此链路跨度范围大 (两端点间直线距离约500米) , 而且基本为隐蔽工程, 单纯的物理排查无法保证没有遗漏, 而且改造后的网络拓扑结构图由集成商提供, 依据此拓扑图排查, 无法保证检测机构的第三方公正性;
2) 链路从原网络脱离时, 涉及到多台网络设备的剔除, 剔除的网络设备要重新进行网络规划, 并保证与原网络的兼容, 难度较大。这样, 集成商就有可能为了简化操作、节省成本, 并不将链路完全物理分割, 而仅仅是通过子网划分、VLAN等技术实现网路的逻辑隔离。
基于以上所述, 我们最终将检测点落在验证此链路中是否有其他网络设备或无关数据的介入。因为我们知道, 所有能对网络构成潜在威胁的主机设备只要在网络上联机, 就会留下痕迹, 而我们要验证的是网段上没有任何未知的主机或无关数据, 这就省去了通常在网络分析中较为复杂的定位问题, 提高了检测效率。通过对此未知网段的综合分析我们能够验证其间是否接有其他网络设备, 进而证明专网是否能实现数据的物理安全。
3 验证过程
采用综合分析的方法, 通过多种测试方法综合判定, 具体如下:
3.1 网络拓扑检测
网络拓扑检测主要是从物理的角度发现网段上存在的主机设备, 我们采用网络测试仪、MAC地址扫描器、ping命令三种方法综合分析, 从而最终确定此网段上是否存在未知设备。
3.1.1 使用工具
安捷伦网络测试仪;
MAC地址扫描器;
路由器ios中的Ping测试命令。
3.1.2 原理
网络测试仪:安捷伦FS350网络测试仪可以自动发现所连接网段的所有主机设备, 包括路由器、服务器、主机、远程站点等。我们将测试仪接入此专线, 并对找到的主机设备进行分析, 从而发现未知主机。
MAC地址扫描器:该软件用于批量获取网内主机网卡物理地址, 并对找到的MAC地址进行分析, 从而发现未知网卡。
Ping测试命令:我们在总部路由器ios中使用测试命令ping 0.0.0.0, 因为路由器具有数据转发功能, 当ping全网段ip地址0.0.0.0时, 路由器自动搜寻网段内所有ip地址, 有回应的ip地址将自动反馈在命令窗口中, 从而发现未知ip地址。
通过以上三种方法, 就能验证在这一专线上是否有接有未知的设备, 从而验证专线的安全性。
3.1.3 网络测试仪检测过程
1) 采用HUB将测试设备接入此专线, 因HUB对数据的转发是没有选择性的, 对所有端口进行复制转发, 这样就能保证数据的完整性 (接入方式见图1) 。
2) 专线两端路由器端口IP地址分别为12.1.1.1/24和12.1.1.2/24, 我们将网络测试仪网络地址设定为12.1.1.3/24。
3) 先开启网络测试仪, 再将专线两端设备开启, 这样就能保证在网络设备收敛时将测试仪包括在内, 测试过程自动完成。
4) 网络测试仪在本网段找到的主机如下:
路由器:12.1.1.1;路由器:12.1.1.2;安捷伦网络测试仪:12.1.1.5
5) 检测结果:未发现其他主机设备。
3.1.4 MAC地址扫描器检测过程
1) 采用HUB将设备接入此专线, 因HUB对数据的转发是没有选择性的, 对所有端口进行复制转发, 这样就能保证数据的完整性 (接入方式见图1) 。
2) 将地址扫描器配置完毕, 接入测试网段, 点击开始, 测试自动完成。
3) MAC地址扫描器找到的地址如下
路由器:12.1.1.1;路由器:12.1.1.2;扫描器测试电脑:12.1.1.6
4) 此时若在集线器位置人为加入一台网络设备:路由器 (12.1.1.7) , 扫描器找到的结果中将增加此路由器信息。
5) 检测结果:未发现其他新MAC地址。
3.1.5 Ping测试检测过程
1) 取出集线器等测试用的网络设备。
2) 登陆分部出口路由器 (思科) ios系统, 键入命令debug ip packet (产生有关数据包的信息, 这种数据包未经路由器进行快速转换) 、debug ip icmp (打开icmp调试开关, 用来显示接收或发送的icmp数据包的内容, 包括:类型、源地址、目的地址。)
3) 输入命令ping 0.0.0.0, 显示结果只包含两台路由器 (12.1.1.1、12.1.1.2) 信息。
4) 检测结果:可以看到, 除本路由信息外, 测试只找到一台主机设备, 经验证为总部路由器。
3.1.6 结论
上述三种检测结果均验证在单纯的此网段并未发现其他网络主机设备连接。
3.2 网络协议分析
3.2.1 使用工具
网络协议分析仪
3.2.2 原理
网络技术是不断变化的, 如果仅用拓扑检测法进行分析, 并不能保证覆盖所有的网络类型, 所以我们接着采用数据分析的方法验证此网段中是否有其他未知数据的接入。
我们知道, 所有网络上打开的设备即使不传输工作数据也要定期产生数据流量, 以用来维护本地信息或收敛网络, 而专线所传输的数据类型通常较为单一, 本例中专线所传输的数据均为UDP协议, 目标和源地址也相对固定。基于这一原理, 我们抓取专线上一定时长的数据进行分析, 如果未发现任何可疑数据, 则能验证此专线的安全性。出于对用户信息安全性的考虑, 我们对本文引用的抓包数据在不影响结论的前提下进行了修改。
3.2.3 检测过程
1) 采用网络分接器代替集线器, 将网络分析仪接入此专线, 因网络分接器对网络传输性能无任何影响, 不干扰数据流, 不占用IP, 这样就能保证数据的完整性。
2) 在系统正常工作状态下, 启动协议分析仪对数据包进行抓取, 持续一定时长后保存并分析。
3) 端点分析
端点测试结果如图2。
从图2可以看出, 本网段上所有数据流量的产生只涉及四个地址, 分别是192.168.0.90、192.168.0.92、192.168.0.100、192.168.0.255, 结合已有数据可知此四点分别对应总部路由器、分部路由器、网络协议分析仪、广播地址, 90号主机向92号发送流量35.014MB (共56269个数据包) , 92号向90号发送流量1.351MB (共11905个数据包) , 协议分析仪发送了一个广播包, 大小为247B, 所有数据均正常。如此时人为加入一个路由器 (cisco:6A:2F:30) , 即使该路由器不发送数据, 也会应产生其他数据包而被发现.经进一步协议分析, 测试时间内, 新加入的路由器共产生8个数据包, 7个为环回协议数据, 1个为cisco私有发现协议CDP。
4) 协议分析
正常测试共发现协议两种, 分别是UDP和NBDGM, UDP协议均产生在90号和92号主机之间, 用于传输正常数据;NBDGM协议数据包由协议分析仪产生, NBDGM是Windows的网络数据报输入输出协议, 通过UDP的138端口发送数据包, 用于网络浏览和登录, 是测试用笔记本产生的无用数据。
5) IP矩阵分析
IP矩阵检测结果显示该网段结构简单, 流向单一, 数据均在90号、92号之间传送。
6) 数据包分析
我们选取一个有代表性的数据包分析如下 (见图3) :
该数据包源地址与目的地址正确, 数据结构正常。
3.2.4 检测结果
综合各项数据分析可以看出, 此专线上的数据均为正常的工作数据, 没有可疑数据流量。
3.3 网络入侵检测系统 (IDS) 测试
3.3.1 使用工具
网络入侵检测系统 (IDS)
3.3.2 原理
网络入侵检测系统 (IDS) 专业上讲就是依照一定的安全策略, 对网络、系统的运行状况进行监视, 尽可能发现各种攻击企图、攻击行为或者攻击结果, 以保证网络系统资源的机密性、完整性和可用性。如果网络中接入了不安全的网络设备, 必定会对系统安全造成影响, 这主要依靠网络攻击产生, IDS长时间在线监测网络运行, 如果是专线传输, 则不会有攻击行为产生。
3.3.3 检测过程
因为要验证此专线的安全性, 所以IDS替换网络分析仪, 部署在这一专线上启动入侵监测系统, 模拟生产数据连续运行10天, IDS未发现有网络异常行为数据。
4 综述
结合以上三种检测结果, 我们可以确定, 某电厂所用生产网络专线是安全的, 从物理上实现了与无关网络的隔离。
本文所述的此类型网络专线被广泛应用在银行、证券、政府等信息网络系统的建设中, 随着用户对网络安全要求的日益提高, 对此类型专线的检测也将被越来越重视, 这一检测市场也将被逐渐开发出来。
参考文献
[1]Mark A.Dye.思科网络技术学院教程:网络安全[M].北京:人民邮电出版社.2008.
[2]彭祖林.网络系统集成工程测试与鉴定验收[M].北京:国防工业出版社, 2004.
物理隔离 篇5
5.2 邮件交换效率高
基于Ethernet 的通讯,10M-100M/s
5.3 分布式架构,扩展性强
邮件路由表可以随时修改,可以随时增删隔离区缓冲服务器,
5.4 完全自动运行,无需人工干预,减少人为失误。
系统定时器定时触发邮件路由转发程序,无需人工干预。
5.5 数据同步周期、频率可根据需要和邮件数据量大小随时更改,
提供了更为方便、灵活的选择。
5.6 与邮件系统监控程序配合使用,可以在线监控邮件数据流量,随时掌握系统运行状况。
5.7 预留邮件过滤程序、病毒扫描程序调用接口,可以实现系统级的垃圾邮件过滤和病毒扫描 。
6、注意事项* 以上IP地址为假定IP, 具体实施时需要根据SIIM的实际网络环境指定IP。
* 最小邮件数据交换时间间隔 >= 1个交换周期内邮件数据量传输所需时间。
物理隔离 篇6
关键词:政府机关,内部网络,公共网络,物理隔离
虽然当前, 有些政府部门设置有内部网络, 并且也采取了一定的防护措施, 拥有一定的防护能力, 但是却仍然难以获得最好的防御效果。面对这种情况, 物理隔离技术的应用就显得相当重要。因此探讨内外网隔离技术在政府机关办公系统中的应用有着相当重要的现实意义。
1当前政府机关办公系统安全防护措施
(1) 软件措施。包含了部分硬件技术与相对负载的软件技术, 这类技术都是属于逻辑机制, 只能够对于预先所设置好的可能存在有危害的信息或者是操作进行检测或者拒绝, 对于完全意义上的病毒很难发挥效果, 很难满足对内部涉密网络的安全需要。
(2) 行政与法规命令。行政与法规命令是政府办公网络的重要安全保障, 对于办公纪律提出了严格的、具体的要求, 但是随着网络技术的发展, 行政与法规命令本就会存在有一定的延时性, 也会存在一定的疏漏, 因此难以完全杜绝机密信息的泄露。
(3) 物理隔离。这种方法就是通过一定的手段, 将政府机关办公的内部网络与外部网络进行隔离, 让其不具备物理上的任意线路连接。传统的物理隔离, 一方面可以有效的对黑客对于涉密网络的入侵进行有效的阻止, 改善安全的水平;另外一方面还会带来数据交流困难、维护费用增加以及设备场地增加等多种现象, 让政府机关办公不方便。
2常用的内外网隔离方案
(1) 双机完全隔离。这种方案就是为每一位工作人员都配备两套计算机, 其中一套用来访问政府机关的内部涉密网络, 另外一套用来访问公共网。政府机关的办公平台置于内部网上, 主要的日常工作活动都是在内部网上, 公共网则是为其获得个各种外部信息与资源的途径。这样的方案是完全意义上的物理隔离, 内部网和连接Internet的公共网之间不存在物理连接, 因此有着相当好的安全性与保密性。相对来讲, 这种方案对于政府机关的软硬件资源的要求比较高。在很多时候都必须要建立起一套拥有足够网络资源的计算机网络来将内部网与公共网进行彻底的隔离与划分。需要重新布线、增加交换设备以及服务器, 这些都需要大量的开支。
(2) 使用硬件卡隔离。硬件卡也被称为物理隔离卡或者是加密卡。主要是为计算机安装上一块硬件加密来将内部网与公共网进行隔离, 硬件卡通常的形式有3个网络接口, 其中两进一出, 两进接口分别为内部网与公共网的进线接口, 一出接口为计算机网卡, 利用硬件开关来实现对内部网和公共网之间的切换。计算机存储则分为单硬盘方案与双硬盘方案。单硬盘方案之中, 硬件卡连接在计算机硬盘上, 在硬盘中划分安全区与非安全区, 利用硬件开关来切换不同的网络, 并且根据访问的网络来赋予对硬盘的不同访问权限。公共网络主要是拥有访问硬盘的非安全区的访问权限, 内部网络拥有访问硬盘的安全区的权限, 两者相互不交叉。在双硬盘方案中, 对内部网与公共网络各自分配一块独立的硬盘, 硬件卡根据硬件开关所切换的网络来访问相应的硬盘, 并通过切断数据通道或者是关闭硬盘电源的清理来实现禁止访问。还可以通过主板BIOS和网络绑定的方式来限制访问不同的硬盘。硬件卡方案相对来讲, 成本较低, 实施较为方便, 但是存在的安全隐患相对于双机完全隔离来讲更加严重。同时硬件卡需要进行手动操作, 大多数时候需要重启计算机, 这样会降低工作的效率, 适用性不强。
(3) 网闸方案。该方案是通过一种带有多宗控制功能的专用硬件在电路上来切断网络之间的链路层连接, 并且是可以在不同的网络之间进行安全适度的应用数据交换的网络安全设备。通过专门的设备、安全协议以及加密验证机制以及应用层数据提取与鉴别认证技术, 开展不同安全级别的网络之间的数据交换, 阻断网络上的直接TCP/IP连接, 并同时对网络之间的通信开展严格的认真与安全审计, 对数据的安全交换提供保障。安全闸主要由软件硬件两个部分组成, 并布置在内部网与公共网之间, 包含有多个模块。相对来讲, 这种方案显得更加的智能化, 但是其性能受到硬件处理能力以及软件控制等多方面的影响, 需要与其他的方式配合使用才可以取得良好的效果。
(4) 无盘站隔离。主要是使用无盘站技术将所有的数据都集中存储在服务器端, 在本地计算机上不进行存储, 几乎所有的工作都是基于无盘计算机网络完成的。相对来讲, 这种技术的实施成本较低, 并且在管理、维护上都较为简单, 操作系统与应用软件的升级都是由服务器端来完成的, 让工作平台得到高度的统一。相对来讲, 无盘站对于服务器端的要求相当高, 这是因为一旦服务器出现了故障, 那么就会导致整个网络的瘫痪, 在极端的情况下还可能会导致数据的全部丢失, 存在较大的风险。并且要做到双网隔离, 仍然是需要为每一位工作人员提供两套客户端, 无盘站则知识基于服务器的内部网工作平台。近年来所兴起的云计算技术和无盘站类似, 两者在实施的时候可以进行借鉴。
参考文献
[1]赵毅.终端设备物理隔离技术策略研究[J].计算机与现代化, 2013 (1)
物理隔离 篇7
高中学生感觉物理学习困难是普遍存在的事实, 究其原因颇多, 解决这一难题, 让学生摆脱这一困境并不是一朝一夕的事情, 而是一项艰巨的工作, 但毋庸置疑, 若能让高中学生在特定的时间内, 特定的环境中, 建立物理模型, 寻找破解方法, 解答特定的习题, 迅速提炼出合适的解题方法对于提高学习兴趣, 增强学习物理的信心, 最终解决学习物理困难的问题, 提高物理学习的能力是很有帮助的。实际上, 掌握科学的思维方法是培养高素质人才的途径, 也是素质教育的一个重要措施。拉普拉斯曾经说过:“研究解决问题的方法对于科学的进步并不比发现问题本身有更少用处。”高中物理常用解题法有以下几种:整体法和隔离法、合成分解法、图象法、构建模型法、等效替代法、对称法、微元法、割补法, 等等。接下来笔者将通过对一些高考试题的解析, 浅析整体隔离法在高中物理解题中的灵活应用。一、方法介绍在物理学中, 两个或两个以上物体相互连接构成的系统称为连接体。研究连接体组成的系统的运动以及系统中的个体的受力、运动情况时, 通常先把系统当成研究对象, 找到一定的规律, 然后再隔离出系统中的某一物体作为研究对象, 作进一步的分析, 称之为整体隔离法。综合、灵活地运用整体法和隔离法, 可使问题的解决更简单快捷。二、整体隔离法在平衡问题中的应用源题:如图1所示, 用等长的轻绳悬挂两个质量相同的小球a、b, 今在两小球上分别施加大小相等、方向相反的水平恒力, 则平衡后应该如图2中的 () 图1图2解析:将a, b视为整体, 水平方向合力为O, 所以上段轻绳一定处在竖直方向上。再隔离b, 知下段绳将向左偏, 故选A.变式题 (1) 变“施一般力”为“施电场力”习题1:如图3所示, 用等长的轻绳悬挂两个质量相同的小球a、b, 今使两小球分别带有等量异种电荷, 而使整个装置处在水平方向的匀强电场中, 则平衡后应该如图4中的 () 图3图4解析:a, b两小球受匀强电场的作用力分别为向右、向左且大小相等, 同上分析, 能很快得出选项A. (2) 变“水平施力”为“倾斜施力”习题2:如图5所示, 用等长的轻绳悬挂两个质量相同的小球a、b, 今在两小球上分别施加大小相等、方向相反、且与水平线夹角相同的恒力, 则平衡后应该如图6中的 () 解析:同上分析, 选A。图5图6 (3) 变“力大小相等”为“力大小不等”习题3:如图7所示, 用等长的轻绳悬挂两个质量相同的小球a、b, 今在两小球上分别施加大小分别为3F和F、方向相反的水平恒力, 则平衡后应该如图8中的 () 图7图8解析:视a, b为整体, 水平方向合力大小2F, 向右, 总重力2mg, 所以上段轻绳与竖直方向夹角tan a=2F2mgF/mg, 偏右;隔离b, 下段绳左偏与竖直方向夹角tanβ=F/mg=tan a, 所以应选B. (4) 变“质量相同”为“质量不同”习题4:如图9所示, 用等长的轻绳悬挂两个质量分别为2m和m小球, 今在两小球上分别施加大小分别为3F和F、方向相反的水平恒力, 则平衡后应该如图10中的 () 图9图10解析:同上分析, 上段绳偏右, 与竖直方向夹角tan a=2F/3mg, 下段绳偏左, 与竖直方向夹角tanβ=F/mg, B>a故选D.从以上各题可以看出, 尽管高中物理题型多变, 有些甚至表面上看背景新颖, 富有时代气息, 但万变不离其宗, 其内在的实质就是中学物理的知识内容体系。掌握基本的方法技能, 掌握基本模型的分析, 就可以“以不变应万变”。多题归一, 将有利于理清分析问题的思路, 认识和掌握解决问题的一般性方法, 同时还可有效地防止思维定势。那么, 在分析和求解连接体问题时, 遇到的关键问题是什么呢?是研究对象的选取!⒈隔离法的选取原则需要求物体之间的作用力就要把物体从系统中隔离出来, 分析物体的受力情况和运动情况, 隔离法是受力分析的基础, 应重点掌握.⒉整体法的选取原则不需要求物体之间的作用力, 可以把它们看成一个整体 (当成一个质点) 来分析整体的受力情况和运动情况。例1 (天津卷) 如图所示, 表面粗糙的固定斜面顶端安有滑轮, 两物块P、Q用轻绳连接并跨过滑轮 (不计滑轮的质量和摩擦) , P悬于空中, Q放在斜面上, 均处于静止状态。当用水平向左的恒力推Q时, P、Q仍静止不动, 则A.Q受到的摩擦力一定变小B.Q受到的摩擦力一定变大C.轻绳上拉力一定变小D.轻绳上拉力一定不变解析:当只需研究系统内物体的受力时, 那么只用隔离法就可以。隔离P, 因P总处于静止, 所以绳对P拉力等于P的重力不变.再隔离Q, 因不知P、Q质量关系, 所以未施水平力时Q受的摩擦力方向可沿斜面向上, 也可能沿斜面向下, 故施水平力后Q受的摩擦力大小变化不能确定。所以选D.例2 (海南卷) 如图, 质量为M的楔形物块静置在水平地面上, 其斜面的倾角为θ。斜面上有一质量为m的小物块, 小物块与斜面之间存在摩擦。用恒力F沿斜面向上拉小物块, 使之匀速上滑.在小物块运动的过程中, 楔形物块始终保持静止。地面对楔形物块的支持力为 () A. (M+m) g B. (M+m) g-FC. (M+m) g+FsinθD. (M+m) g-Fsinθ解析:当只需研究系统受到的外力时, 那么只用整体法就可以。将m、M视为整体, 将F分解水平方向和竖直方向, 则可知选D.还可以知道M受到的摩擦力向右, 大小为Fcosθ。一般地说, 对于不要求讨论系统内部情况的, 首选整体法, 解题过程简明、快捷;要讨论系统内部情况的, 必须运用隔离法。实际应用中, 对于大多数动力学问题, 单纯采用整体法或隔离法并不一定能解决。隔离法和整体法是互相依存, 互相补充的。两种方法互相配合交替应用, 能更有效地解决有关连接体的问题。三、整体隔离法在牛顿运动定律中的应用例3:如图所示, 光滑水平面上放置质量分别为μmg和2m的四个木块, 其中两个质量为μmg的木块间用一不可伸长的轻绳相连, 木块间的最大静摩擦力是μmg现用水平拉力F拉其中一个质量为2m的木块, 使四个木块以同一加速度运动, 则轻绳对m的最大拉力为 () 解析:取B, C, D为整体, 合力最大为AB间最大摩擦力μmg, 据牛顿运动定律, 所以最大加速度为a=μmg/4m, 再取CD为整体, 据牛顿运动定律, 有F=3ma, 则轻绳最大拉力为。选B. (灵活选取研究对象是解决本问题的关键) 例4 (上海卷) 如图, A、B、C三物体质量分别为m、2m、3m, AB用一根轻绳通过定滑轮连接, OB段水平, OA段竖直, 且A紧挨着C的前壁, 不计所有摩擦和滑轮质量。求水平力F为多大时三物体保持相对静止。解析:视A、B、C为整体, 加速度向右, 有F= (m+2m+3m) a①隔离A:竖直方向平衡T绳=mg②隔离B:水平方向T绳=2ma③解①②③得F=3mg.例5 (理综四川卷) 水平面上有带圆弧形凸起的长方形木块A, 木块A上的物体B用绕过凸起的轻绳与物体C相连, B与凸起之间的绳是水平的。用一水平向左的拉力F作用在物体B上, 恰使物体A、B、C保持相对静止, 如图, 已知物体A、B、C的质量均为m, 重力加速度为g, 不计所有的摩擦, 则拉力F应为多大?解析:设绳中张力为T, A、B、C共同的加速度为a, 与C相连部分的绳与竖直线夹角为α, 同例4, 应用牛顿运动定律, 先对A、B、C组成的整体列式, 再分别隔离B、C, 分别对B、C列式。联立求解, 可得f=姨3mg。不难总结出:若连接体内各物体具有相同的加速度, 且要求物体之间的作用力时, 可以先用整体法求出加速度, 然后再用隔离法选取合适的研究对象, 应用牛顿第二定律求作用力。即“先整体求加速度, 后隔离求内力”。这就是整体法、隔离法交替运用的原则。无论是平衡问题, 还是动力学问题, 一般都需要进行受力分析, 隔离法与整体法是最常用、最重要的思想方法, 每年高考都会对其进行考查。在物理学习过程中适时地、有机地将科学的解题方法如整体法、隔离法进行归纳、总结, 及时消化吸收, 领悟其精髓, 提高了物理解题能力和解题技巧, 学习物理也就没有那么难了。
物理隔离 篇8
近年来,我国信息化正以令世界惊奇的速度发展,信息产业的发展促进了我国综合实力的提高,Internet正在逐渐融入到社会生活的各个方面。随着政府上网、政务公开、电子政务等一系列网络应用的蓬勃发展,在政府网络中,内部网络上有着大量高度机密的数据和信息,内部机密信息在网络上泄密以及内部网络被攻击破坏已经成为信息化的重大问题,以往无数个此类案例的发生,给国家造成了严重的损失,向我们敲响了警钟。如果网络安全得不到保证,那么将会给国家、社会及网络用户带来严重的威胁,可能造成政治、经济、军事等各方面的巨大损失。因此,在政府工作不断实现信息化、自动化的同时,信息安全成了亟待解决的问题,信息安全必须得到重视和加强。
1 国家对政府机关信息安全的要求及其相关技术
国家保密局在1999年作出规定,涉密网络不得与公共信息网连接,必须要实行物理隔离。国家政府部门由于其特殊的性质必须要严格执行国家保密局的规定,在其工作网络上实现内外网的分割和物理隔离。
“物理隔离”是指内部网不得直接或间接地连接公共网,即我们平时所说的互联网。众所周知,互联网是开放的国际化的互联空间,而安全和开放却永远是一对矛盾。合理配置内部网和公共网“物理隔离”,可以最大限度保证政府部门的内部信息网络不受来自互联网的黑客攻击。此外,“物理隔离”也为政府内部网划定了明确的安全边界,使得网络的可控性增强,便于内部管理。
双硬盘物理隔离技术是隔离器与主板之间无数据交换途径,双硬盘分别独立运行于内外网,保证内外网实现彻底分离,真正实现了网络隔离和数据隔离。内网和外网的切换通过手动物理开关来实现,且只能由用户自己操作,任何网上软件的操作方法都无效,不存在软件操作隐患。
2 宁夏政府相关部门信息安全实践经验
2.1 未实施物理隔离前的状况
作为自治区政府部门,在实行物理隔离之前,我们对网络的信息安全也采取了许多其它的措施,如在网络中加入防火墙、网络版杀病毒软件、网络漏洞扫描等。但为了落实有关信息保密规定,只允许一小部分没有办公信息的机器能上Internet,大部分用于办公不能上Internet,对机关干部职工获取外部信息造成了很大的困难,很多处室加大计算机的配置量,解决上外网的问题,增加了经费开支,致使网络没有充分发挥应有的作用。
2.2 实施物理隔离取得明显成效
2004年,为遵守信息保密规定和实现办公自动化,我们对原有网络进行改造,对外网与内网实施物理隔离,内网办公,外网联通Internet。这样即保障了信息安全又打开了对外的信息大门,具体措施如下:
(1)机房改造
机房原有外网服务器、防火墙、交换机不变,加装用于内网的服务器、交换机等。
(2)工作站改造
为每台工作站配置了可接双网线双硬盘的物理隔离卡和第二硬盘,双网线双硬盘分别独立运行于内外网,保证内外网实现彻底分离。工作人员使用一台电脑既可方便上因特网也可安全上内网办公,节省了硬件投入,方便了工作。
(3)网络改造
机关各办公室采用两条非五类屏蔽双绞线,形成内外网,分别接物理隔离卡内外网口。对一人以上的办公室增加两台性价比较好的8口集线器,分别用于内外网,连接多个工作站。
(4)加强服务器操作系统的安全防范
安全的操作系统是网络安全的重要基础。所有的政务应用系统和安全措施都依赖提供底层支持的操作系统。操作系统的漏洞或配置不当将有可能导致整个网络安全体系的崩溃。我们加强服务器操作系统日常维护,利用安全扫描工具定期检查系统漏洞和配置更改情况,及时打上新补钉,堵塞系统漏洞。
(5)加强内网病毒的防范
即便是内网,我们也采用网络版瑞星杀毒软件,集中管理,自动更新病毒库,定时杀毒。
我们经过改造,顺利通过了自治区保密局的验收。网络安全性能全面提升,有效防止了信息泄露,抵御外部网络的攻击,保障了网络信息安全。
3 物理隔离卡使用过程中的问题
使用物理隔离卡后信息安全达到了预期的效果,每年都能通过安全部门的检查,但在实际工作中也发现了一些不可忽视的信息安全问题。
3.1 内外网集线器接错线
在多人共同办公的办公室,由于打扫卫生、更换工作站位置、更换计算机或请外面计算机公司的技术人员维修机器时,他们对内外网结构不熟悉,重新用集线器接线时将内外网线接反,造成内外网联通,给信息安全造成极大的隐患。
3.2 物理隔离卡内外网口接错线
同样,由于人为的原因造成内外网线与物理隔离卡内外网口接反,造成该计算机内网与外网联通,也给信息安全造成极大的隐患。
3.3 移动存储介质(U盘、移动硬盘等)内外网共用
在内网使用的移动存储介质存储了大量的内部信息,在转换到外网时没有将其及时移去,使得大量内网信息暴露在外网中,或内外网共用一个移动存储介质,这些都会造成内网信息泄露。
3.4 笔记本电脑使用不当
现在笔记本电脑使用频率越来越高。笔记本电脑在没有加装隔离器的情况下内外网混用也极易造成信息泄露。
4 进一步加强信息网络安全管理的建议
(1)健全信息安全管理机制和运行机制安全管理机制是网络安全中控制风险、降低损失的保证;安全运行机制保障了系统的稳定可靠性;技术手段只有在安全管理机制与安全运行机制下,才能保证信息安全。因此,要建立安全管理机制和运行机制,制定和落实安全管理制度,包括:系统运行维护管理制度、操作和管理人员管理制度、机房安全管理制度、定期检查与监督制度、网络通信安全管理制度、病毒防治管理制度、安全等级保护制度、对外交流合作安全制度以及上网信息审批制度等。
(2)规范移动存储介质、笔记本电脑的使用。内外网间的信息交换建议使用指纹识别U盘,进一步加强对信息保护的手段。
(3)加强工作人员的保密意识教育,做到谁主管谁负责,谁使用谁负责,把信息安全落实到人。物理隔离卡虽然有效地解决了内外网信息安全的问题,但信息安全绝对不单纯是一个技术性问题,工作人员保密意识不强,形成的“身在密中不知密”情况就如同一个由铜墙铁壁建成的保险柜却把钥匙插在门上一样,再坚固的门也不起作用。再好的保密技术,工作人员不认真按规范去做,仍然做不好信息保密工作。只有把有效的管理方法、技术手段与工作人员保密意识进行紧密结合,才能够最大程度地防范和解决电子政务中的信息安全问题。
参考文献
[1]郝卫东.网络环境下的电子商务与电子政务建设[M].北京:清华大学出版社.2006.
物理隔离 篇9
广西人民广播电台数字化建设始于1999年,是全国范围内最早的建立了数字音频制播系统的省级电台之一。但随着这10年间数字化、网络化的飞速发展,原有传统制播系统的结构、使用模式以及设备的性能已远远不能满足我台高速推进的发展要求,成为制约广播发展的一个瓶颈,安全性也无法得到保障。2009年,在自治区领导、宣传部以及广电局的高度关注与大力支持下,广西人民广播电台正式启动数字化改造项目,该项目不单是在原有数字化制播系统的基础上进行升级改造,而是以国家广电总局颁布的《数字化网络化建设白皮书》作为指导依据,以广播行业未来发展的趋势作为导向,融合多种新业务、新媒体为一身的综合性广播台网,基于物理隔离 (1+1) +1架构的异构冗余播出系统是其中针对安全播出而建设的一个纯播出系统,该系统从系统安全性着手,拓展播出途径,为灾难性故障做应急准备,同时保护原有的系统投资。
1“基于物理隔离 (1+1) +1架构的异构冗余播出系统”建设方案
广西人民广播电台现有6个直播频率,每天累计播音118个小时。传统的制播系统基本是以制作和播出同网的方式,实现制作端与服务端、服务端与播出端的数据交流,这种方式结构简单,功能实现也相对较为容易,但却存在着缺陷,首先是体现在安全性方面,系统的故障一旦发生在核心区域,如服务器、核心交换机等,会造成全局性的影响,无论制作、编排还是播出系统均会出现异常,造成制播流程的瘫痪;其次在规模扩充方面,无论是需要对采录、制作、编排还是播出终端进行增加,都需要与核心系统进行对接,即便使用VLAN方式进行网段划分,也依然涉及核心交换部分接入问题,而且随着制作终端的数量增加,对核心区域的压力也会增大,进而直接影响播出性能和安全,可谓“牵一发而动全局”。
根据这个情况,我们的系统引入“制播分离”的新概念,将节目的制作与播出进行独立部署,把制作系统从播出网络中进行剥离,进而建设纯播出用的播出系统,系统中除了仅保留简单的一套应急用制作站,以防外部网络出现灾难性故障时使用外,不再直接涉及制作系统。播出系统单独建设,建立各种冗余备份机制,把播出系统的功能纯粹化、单一化、专属化和独立化,既提高安全性又增加维护的独立性,降低维护的复杂度。
为了实现播出系统的各种安全性,系统实行了“三步走”的建设方法,以求达到最大的安全保障能力。
1.1 建立系统内(1+1)备份机制
播出系统内的服务器、存储阵列、交换设备、链路还是播出终端,均采用互备和双路冗余的方式进行搭建。每个频道的服务器除了承载本频道的数据库服务外,实时对另一频道进行数据库备份,如图1。
相应的磁盘阵列存储区域中同时本频道和备份频道的数据,而且数据库和数据都是硬件分离的,即所备份的频道源数据放置于另一个服务器和磁盘阵列中,起到容灾的实际效果,对于这两个频道而言,数据库和数据都有了主用和备用两个区域,实现实时异地备份,如图2。
播出终端采用双机冗余,主站和备站采用相同配置,数据也时刻保持一致,同时项目间互不影响,实现无差异播出,播出终端使用基于混合模式网络优先型播出技术,减少网络延迟、服务器和远程数据库等因素的影响。交换设备和链路均使用双机双路冗余的方式,服务器与核心交换机进行主备双路接入,服务器上做SLB (Smart Load Balance,智能负载均衡)双网卡绑定,楼层交换机采用双路接入核心主、备交换机,主、备播出终端分别接于主、备楼层交换机,如图3。
通过以上这几种方式,完全实现播出系统内服务、数据、链路和终端的(1+1)备份机制。
1.2 建立系统间(1+1)+1异构备份机制
在现有完善的系统内安全备份措施的基础上,系统还以异地、异构、简易和完整的“扁平化”原则,建立一套独立于系统之外的简易播出机制,具备已编排节目的服务、存储和播出功能,系统不是对整个播出数据库和节目数据进行备份,而是通过从主播出系统内宏大的数据结构中剥离已编排、待播出的节目单、广告单和对应的音频文件进行导出,利用与日常节目单、节目和广告等相对应的接口程序,在异地进行导入和备份,同时使用不同于主播出机制的播出系统,实现(1+1)+1的容灾性异构备份和播出。
1.3 建立基于物理隔离(1+1)+1架构的异构播出系统间的安全链接方式
系统有了安全的内部备份机制和完善的系统间备份措施,系统建设的关键进而转向如何将主系统与“+1异构”系统间进行安全连接,既要保证数据交换通畅,又必须做到相互独立,保证安全,如图4。
对所需要交互的数据进行分析不难发现,连接主要的功能是将数据表单和对应的音频文件进行传输,不涉及任何软件和应用程序,只要能通过特定的设备和协议将表单和音频文件进行单向传输,就可以将两个系统安全的连接起来。我们引入网间媒体数据过滤技术,通过单向私有协议的方式,在备份系统端对表单和音频文件进行主动获取,更新备份系统中的表单让其与主播出单保持一致。通过对所传输的音频文件进行二次编码和对非授权格式文件的粉碎技术实现物理隔离,既得到最新的编排列表和音频文件,又能确保数据的完整性和安全性,杜绝病毒感染和恶意攻击的可能,完成基于物理隔离(1+1)+1架构的异构播出系统的建设。
2 系统使用的关键技术介绍
基于物理隔离 (1+1) +1架构的异构冗余播出系统的建设,除了从实际需求出发,引入各种创新理念作为主导,还使用了各种先进的技术来把方案变为现实。
2.1 SOA架构特性
设立了两台播出系统与制作系统接口服务器,这两台服务器上将运行Web Service搭配FTP和流媒体软件,作为提供中间件的服务器,承担播出网络与其他网络进行数据交换的服务,接口服务器的安全性也不会影响播出系统内部的运行正常,因此具备了SOA框架结构所要求的松耦合性。
2.2 基于混合模式网络优先型播出技术
播出终端首先收集有关播出的节目串联单,找到对应的声音文件并将其目同步至本地,在节目播出时首先对本地和服务器之间的文件进行多方面的校验,如果确认没有差异,则播出本地已存文件。如果发现差异,则判断为节目有更新,以服务器上文件为主进行播出。
2.3 基于大容量节目播出缓存和冗余技术
在播出终端本地设立大容量播出缓存,如果网络或服务器出现故障造成播出终端与服务器失去联系,依然可以读取本地文件进行播出。这种机制可以在正常情况下,减少网络延迟、服务器和远程数据库等因素带来的种种隐患。
2.4 网间媒体数据过滤技术
网间媒体数据过滤技术是在两个网络安全隔离的基础上实现安全信息交换和资源共享的技术,使用带有多种控制功能的固态开关读写介质连接两个独立主机系统,技术涉及三部分内容:内网处理单元、外网处理单元和专用隔离硬件交换单元。在网络互联时,将设备的内网处理单元与播出网络连接,外网处理单元连接其他网络,其专用隔离硬件交换单元在任一时刻点仅连接内网处理单元或外网处理单元,与两者间的连接受硬件电路控制高速切换。这种工作方式保证了专用隔离硬件交换单元在任一时刻仅联通广播制播网或者其他功能网,既满足了广播制播网与其他功能网网络物理隔离的要求,又能实现数据的动态交换,更使播出网络或者外部其他功能网间不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议以及普通协议的信息包转发,当数据从一端通过多核网间媒体数据过滤设备传递到另一端时,网间媒体数据过滤设备会将数据包中的裸数据剥离,并对它采用自定义数据通讯协议进行重新封装后,实现数据包静态“摆渡”,同时还能对网络协议、数据格式进行检测,当发现数据包存在安全隐患,则会立即丢弃和粉碎。
3 结束语
基于物理隔离 (1+1) +1架构的异构冗余播出系统已于2010年全面建设完成并投入使用,从系统内部到系统之间都建立了冗余机制。由于实行了制播分离,只有有关播出的信息和数据才存在于播出网内,无论外部系统发生任何异常,都不会对播出系统造成区域性影响;系统间建立异构冗余播出机制,利用“扁平化”部署原则,简化备份机制,既可以为出现灾难性故障时提供有效的播出保障,又不会给系统开销增加负担。虽然伴随着此次建设更换了播出系统的软件开发商,但原系统依然可以为异构冗余播出所用,在大力推广节约型社会的今天,成为保护原有投资的实例。
物理隔离 篇10
隔离法就是将研究对象从其周围的环境中隔离出来单独进行研究, 这个研究对象可以是一个物体, 也可以是物体的一个部分, 广义的隔离法还包括将一个物理过程从其全过程中隔离出来。整体法是将几个物体看作一个整体, 或将看上去具有明显不同性质和特点的几个物理过程作为一个整体过程来处理。隔离法和整体法看上去相互对立, 但两者在本质上是统一的, 因为将几个物体看作一个整体之后, 还是要将它们与周围的环境隔离开来的。
对于连结体问题, 通常用隔离法, 但有时也可采用整体法。如果能够运用整体法, 我们应该优先采用整体法, 这样涉及的研究对象少, 未知量少, 方程少, 求解简便;不计物体间相互作用的内力, 或物体系内的物体的运动状态相同, 一般首先考虑整体法。对于大多数动力学问题, 单纯采用整体法并不一定能解决, 通常采用整体法与隔离法相结合, 综合应用。
这两种方法广泛地应用在受力分析、动量定理、动量守恒、动能定理、机械能守恒等问题中。
一、静力学中的整体法与隔离法
通常在分析外力对系统的作用时, 用整体法;在分析系统内各物体 (各部分) 间相互作用时, 用隔离法。解题中应遵循“先整体、后隔离”的原则。
【例1】将长方形均匀木块锯成如图所示的三部分, 其中B、C两部分完全对称, 现将三部分拼在一起放在粗糙水平面上, 当用与木块左侧垂直的水平向右力F作用时, 木块恰能向右匀速运动, 且A与B、A与C均无相对滑动, 图中的θ角及F为已知, 求A与B之间的压力为多少?
解析:以整体为研究对象, 木块平衡得F=f合, 又因为m A=2m B=2m C, 且动摩擦因数相同,
所以f B=F/4, 再以B为研究对象, 受力如图所示, 因B平衡, 所以F1=f Bsinθ
即:F1=Fsinθ/4
二、牛顿运动定律中的整体法与隔离法
【例2】如图, 质量M=10kg的木楔ABC静置于粗糙水平地面上,
与地面动摩擦因数μ=0.02。在木楔的倾角θ为300的斜面上, 有一质量为m=1.0kg的物块由静止开始沿斜面下滑。当滑行路程s=1.4m时, 其速度v=1.4m/s。在这个过程中木楔没有动。求地面对木楔的摩擦力的大小和方向。 (重力加速度g=10m/s2)
解析:由匀加速运动的公式v2=vo2+2as, 得物块沿斜面下滑的加速度为:
由于a
分析木楔受力, 它受五个力作用, 如图。对于水平方向, 由牛顿定律, 有:
由此可解的地面对木楔的摩擦力:
此力方向与图中所设的一致 (由C指向B的方向) 。
上面是用隔离法解得, 下面我们用整体法求解。
(1) 式同上。选M、m组成的系统为研究对象, 系统受到的外力如图。将加速度a分解为水平的acosθ和竖直的asinθ, 对系统运用牛顿定律 (M加速度为0) , 有:
水平方向:maf- (28) - (28) 61.0cosN
“-”表示方向与图示方向相反
竖直方向: (M (10) m) g-F (28) masin可解出地面对M的支持力。
从上面例题中可看出, 若系统内各物体加速度不相同而又不需要求系统内物体间的相互作用力时, 只对系统分析外力, 不考虑物体间相互作用的内力, 可以大大简化数学运算。运用此方法时, 要抓住两点: (1) 只分析系统受到的外力; (2) 分析系统内各物体的加速度的大小和方向。
【例3】如图所示, 五个木块并排放在水平地面上, 它们的质量相同, 与地面的摩擦不计。当用力F推第一块使它们共同加速运动时, 第2块对第3块的推力为__________。
解析:五个木块具有相同的加速度, 可以把它们当作一个整体。这个整体在水平方向受到的合外力为F, 则F=5ma。所以。要求第2块对第3块的作用力F23, 要在2于3之间隔离开。把3、4、5当成一个小整体, 可得这一小整体在水平方向只受2对3的推力F23, 则。
四、动量、能量问题中的整体法与隔离法
【例4】如图, 两根足够长的固定的平行金属导轨位于同一水平面内, 两导轨间的距离为l。导轨上面横放着两根导体棒ab和cd, 构成矩形回路, 如图所示。两根导体棒的质量皆为m, 电阻皆为R, 回路中其余部分的电阻可不计。在整个导轨平面内都有竖直向上的匀强磁场, 磁感强度为B。设两导体棒均可沿导轨无摩擦地滑行。开始时, 棒cd静止, 棒ab有指向棒cd的初速度v0, 若两导体棒在运动中始终不接触, 求在运动中产生的焦耳热最多是多少?
【分析】从初始至两棒达到速度相同的过程中, 两棒总动量守恒, 有:
根据能量守恒, 整个过程中产生的总热量为
五、物理过程的整体与隔离
对于某些由多个过程组合起来的总过程的问题, 若不要求解题过程的全部细节, 而只是需求出过程的初末状态或者是过程的某一总的特征, 则可以把多个过程总合为一个整体过程来处理。
【例5】一个质量为m, 带有电荷为-q的小物体可在水平轨道Ox上运动, O端有一与轨道垂直的固定墙, 场强大小为E, 方向沿x正方向, 如图。今小物体以初速度v0从x0点沿Ox轨道运动, 运动中受到大小不变的摩擦阻力f作用, 且f
解析:由于Eq>f, 故小物体在任何一个x≠0的位置, 其受力均不可能平衡, 则小物体最后静止只可能是靠在墙上, 即位于x=0处, 比较小物体的初末两态, 知其动能和电势能都减少了, 从能量的转化和守恒关系看, 其损失的动能和电势能都是由于小物体在运动中克服摩擦阻力做功而转化成了内能, 这一关系为:
小物体在电场力q E和摩擦力f两力作用下的运动是匀变速运动, 其沿+x方向运动时为匀减速运动, 加速度, 沿-x方向运动时为匀加速运动。加速度。
若根据匀变速运动的规律, 可求得小物体将无限多次的与墙壁相碰, 且每次碰墙后反弹离开墙的最远距离将成等比数列减小。将这些往返的路程按无穷递减等比数列求和公式求和, 可得出本题的答案。显然, 这种详细讨论全过程的每一子过程的解法要比上述的整体法的解法复杂得多。
通过以上分析和举例, 我们看到在分析多个物体相互作用时, 灵活运用整体法和隔离法对问题的解决将会带来很大的方便, 特别是在教学过程中有意识地培养学生整体法的思维意识, 帮助学生能够更加全面地理解力和运动的相互关系, 更加有利于学生思维能力的提升。
摘要:整体法和隔离法是解决物理问题常用的分析方法, 恰当、灵活运用整体法和隔离法对物理问题的解决将会带来很大的方便。
关键词:整体法,隔离法
参考文献
[1]张三慧:《大学物理学》, 清华大学出版社, 2000年。
[2]马文蔚:《物理学》, 高等教育出版社, 1993年。