关于现有双网隔离计算机安全隐患的分析及应对措施(2)

　　与普通计算机以及基于隔离卡技术的双网计算机相比，除了使用彻底的物理隔离，安全计算机应该具备特殊功能以保证高安全性能。
　　1）具有防范非法开机的自我保护功能。开机系统采用的是普通密码+指纹识别+开机与头像比对开机三重保护系统。只有通过保护系统的认证，才可以开启涉密内网主机的电源。
　　2）具有运行状态下的非法进入自我保护功能。系统一旦启动成功处于运行状态，其内置的适时人像采集对比系统就自动启动并进入后台对比运行模式，确保计算机运行中不被非授权用户操作，防止泄密发生。
　　3）具有内、外网同时在网的安全应用功能。本方案采用双主机、双硬盘、双光驱、单显示器、单键盘/鼠标实现物理切换的隔离模式。
　　4）内外网网口异型化设计。内网、外网网络接口采用不同的插头和插座，既能同时接入各自的网络，又能防止两类安全涉密等级不同的网络之间由于相同的接口设计而错误接入，防止有意或无意的泄密行为发生。
　　5）内外网主机中的数据的单向传递功能。外网数据可以通过光驱刻录后导入内网硬盘，而内网主机仅有只读光驱，不能向外导出数据。
　　6）具有被盗后遥控自毁功能。一旦发现丢失，在确认无法找回的情况下，使用者可以通过监控中心发出自毁命令，只要自毁命令发出，该计算机一旦开机，涉密硬盘就会发生自毁，确保涉密硬盘信息数据部泄露。
　　7）键鼠专用化设计。应该对键鼠使用特殊的设计，使得普通的键鼠无法在一机双网物理隔离计算机上使用，也防止了U盘插入键鼠USB接口造成的存储器共享，提高了计算机自身的安全等级。
　　5一机双网物理隔离计算机的防泄密能力
　　按照上述要求实现的一机双网物理隔离计算机，能够从容应对和防范各种有意或无意的原因造成的安全泄密事故，例如网络黑客攻击、软件病毒及木马程序、操作系统漏洞、CPU或主板内固化的病毒及木马程序、插错网线导致的内外网隔离失败、使用光盘传递数据导致内外网的隔离失败、使用U盘传递数据导致内外网的隔离失败、共用的键盘鼠标USB接口导致内外网的隔离失败、非授权用户的入侵、授权用户开启计算机后，给予非授权用户使用、计算机失窃导致的数据泄密、计算机脱离设定工作区域导致的数据泄密、计算机被物理破拆盗取硬盘导致的数据泄密。
　　通过前面的分析可以得出结论，一机双网物理隔离计算机方案不仅解决了目前双网隔离计算机产品的所有已知缺陷，从技术上杜绝了各种泄密的途径，在不影响用户使用便利性的同时，达到了前所未有的安全保密性能；同时，由于一机双网的实现，有效地解决了办公环境双机配置引起的操作繁琐、不安全、不方便、不整洁等一系列问题。
　　此外，两个独立的主机，使得采用国产CPU（如龙芯）更加便利，从而有利于国产操作系统和相关产业的推广和使用。因此它具有广泛的应用前景，必将成为保障我国的信息安全的坚强后盾。
　　注：所谓指纹识别加电，是"一体化保密计算机"专利中独创的一项技术，其区别于当前计算机管理中的任何指纹识别模式。
　　该项技术的引入使得计算机的开机管理更加安全保密，具体实现方式是在普通的计算机上，增加了一套底层的嵌入式防护系统，在启动计算机之前首先要通过指纹识别，只有合法授权用户才能通过嵌入式防护系统的管理认证，嵌入式防护系统才可以对计算机的主板加电，启动计算机。非授权用户如果不能通过指纹识别认证，计算机嵌入式防护系统，就不会发出电源向计算机主板供电的指令，使得任何非授权用户，都无法绕开指纹识别模块来启动计算机。因为用它替代了普通计算机上的电源开机按钮，所以我把他叫做指纹加电。
　　作者简介：
　　李予温（1968-），男，本科学历，累计申请计算机类发明及实用新型专利20余项。1995年起先后在《农村电气化》、《电气时代》、《电力设备》、《电力技术经济》、《农电管理》等刊物发表技术及管理类文章数十篇，现任中晟国计科技有限公司总经理，长期关注计算机信息安全保密领域，拥有多个一机双网物理隔离计算机整机专利技术。
　　张学军（1975-），男，获浙江大学学士及北京邮电大学硕士学位，曾在朗讯贝尔实验室工作11年，参与世界领先移动通信网络设备的研发。现任中晟国计科技有限公司研发测试中心主任，负责国内首个一机双网物理隔离计算机的研发工作，长期关注通信、计算机、安全保密等相关领域。