企业安全解决方案的制定是建立在对现有上网方式进行安全分析基础上的，只有找出现有上网方式存在的隐患，有针对性的采取对策，才能建立相对安全的网络体系。

    目前，企业上网主要有拨号上网和专线上网两种方式，主要安全隐患有三个：

    1、指定个别机拨号上网。此方式只是在软盘或其他移动载体上读写涉密信息，但许多软件在工作时会在磁盘上存放临时工作文件，如果该机在工作的同时也上网，软盘或其他移动载体上的信息也可以被网上用户浏览到，造成泄密。

    2、是通过专线上网，使用防火墙保护整个内部网络系统，将外网隔离在防火墙外。

    此方式存在两方面的安全漏洞:一是防火墙自身的不安全性，一些先进的黑客软件能突破防火墙；二是在受防火墙保护的内网中，若未涉密用户终端通过Modem拨号进入Internet，如果其他终端没有采取任何防范措施，则会使整个网络暴露无遗，造成严重的泄密。

    3、是虽然使用了两套独立的布线系统，其中某些计算机依靠网线拔插的方式轮流登录涉密网和因特网。此方式存在的问题是：在使用的终端计算机上只有一套硬盘系统，当该计算机访问外网时会受到各种驻留式黑客病毒的入侵，当该计算机在内网上工作时会将病毒传播到内网上，当计算机再次上网将造成网上信息大量泄密，同时该计算机上的信息在访问外网时将完全暴露。

    综合分析上述安全隐患，最根本的解决办法是使用两套物理设备来分别处理涉密和非涉密信息。但这样做设备投入将非常大，同时设备的利用率很低。通过仔细分析可以发现，两套计算机系统分别在内网（涉密网）和外网（Internet）上工作所具有的安全性主要表现在具有两套独立工作的信息存储系统，那么只要在一台计算机上具有两套独立的存储系统就能够满足安全的需求，因此我们可以通过设计安全隔离系统来保证信息系统的安全。

    针对这3种现存的网络结构，我们提出了以下的解决方案：单机物理隔离技术和企业级物理隔离隔离系统。

    单机物理隔离技术

    单机级物理隔离技术实现了内、外网的物理隔离，较好地满足了内网用户访问internet和收发邮件的需求。但是不能在内、外网隔离的前提下实现联机、动态、准实时的数据交换。

    企业级物理隔离技术

    近一两年才在国内发展起来的企业级物理隔离技术通过专用硬件使得联机、动态、准实时的数据交换在内、外网隔离的条件下得以实现。

    企业级物理隔离系统包括内网处理单元、外网处理单元和专用隔离硬件卡三个部分。系统中的专用隔离硬件卡分别连接内网处理单元和外网处理单元，这种独特设计保证了专用隔离硬件卡中的数据暂存区在任一时刻仅连通内网或者外网，既实现了内外网的物理隔离，又实现了数据的联机、动态和准实时交换。与单机级物理隔离技术的另一不同之处是，企业物理隔离是在网关处而不是在客户端处实施隔离。通常来说，企业级物理隔离技术还能够集成安全操作系统、入侵监测内核、病毒查杀技术、身份认证、访问控制和安全审计等多种安全技术，利用软硬一体的安全机制转发内外网之间的数据，对传输数据的类型、内容等进行严格的检查和过滤。在保证内网与外网安全物理隔离的同时，该技术使用户做到安全收发外部邮件和浏览外部网页，或者进行其他类型的数据交换。目前，企业级物理隔离技术因受专用硬件切换时间的限制，网络延迟时间大约有几十秒左右，数据交换是准实时的，随着技术的快速发展，这种延迟将会被缩短至毫秒内，届时将会实现数据的实时交换。企业级物理隔离系统部署于内部网络与不信任网络之间。

    一、单内网单机物理隔离技术解决方案

    这种方案适合小型的单网结构的局域网。在一些小规模的政府部门中，由于功能比较单一，只有部分工作站节点机需要单独通过Modem等拨号设备接入Internet网。这样可以在需要接入Internet的工作站节点计算机上安装物理隔离产品，让其能够在与网络隔离的状态下拨号上网，确保内部网络的安全。

单网络单机物理隔离技术解决方案图