随着计算机通信技术的飞速发展,网络也日益面临着各种各样安全隐患的威胁,诸如黑客的入侵、病毒的破坏等,都给我们如何确保国家机密较高的网络安全问题提出了挑战。尽管我们采用了各种复杂的防护技术,如防火墙、侵袭探测器、通道控制机制等,这些技术都是一种逻辑机制的保护,对于逻辑实体而言是可能被操纵的;同时,逻辑机制的极端复杂性与局限性,所形成的在线分析技术也是无法满足高速信息交换的需求。因此,为确保网络的信息安全,我们采用了一种全新的物理隔离技术,在所要保护的网络数据通道上,建立一个独立的物理隔离数据交换系统,从而消除了网络被攻击的途径,使网络安全威胁受到了真正的限制。 物理隔离数据交换系统主要由内网处理单元、外网处理单元和控制单元三部分构成。外网处理单元,负责对由非信任网络(外网)传递的数据进行处理和安全检查,剥离出“原始”数据转发给数据交换模块;内网处理单元,连接可信任网络(内网),依据安全策略对由数据交换模块传递的数据进行安全检查、认证和处理,安全的信息传送给内网,否则屏蔽;控制单元,负责内、外网处理单元和数据交换模块之间的数据转换,起到一个中转站和网闸开关的作用。 本文主要完成了物理隔离数据交换系统的软、硬件结构、数据流程和子模块功能的设计与实现,并分析了隔离系统的优势与不足,提出了改进意见。