上一期《光闸的前世今生（系列一）》，从宏观的角度进行剖析，讲述了光闸从"信息孤岛"到隔离交换的演变历程，引起了大家广泛的关注。

本期《光闸的前世今生（系列二）》将从国外和国内两个维度，分别对「光闸出现前的安全隔离产品发展史」进行介绍。

一、 安全隔离概念及产品的出现

安全隔离概念及产品最早出现在国外。

上世纪90年代中期俄罗斯人Ry Jones首先提出"AirGap"隔离概念;其后，以色列首先研制成功物理隔离卡，实现网络之间的安全隔离;

接着，美国WhaleCommunications公司和以色列SpearHead公司又先后推出了e-Gap和NetGap产品，利用专有硬件实现两个网络在不连通的情况下数据的安全交换和资源共享，从而使网络隔离从单纯实现"网络隔离禁止交换"的安全隔离发展到"安全隔离和可靠交换"的安全隔离。

目前，美国较多重要政府部门均采用隔离产品保障信息安全。

二、我国的安全隔离技术及产品的发展

我国的安全隔离技术及产品的发展也经历了类似过程。从早期的完全物理隔离到隔离卡，再到以网闸为代表的网络隔离系统，整个发展和完善的过程中，对应的各类安全隔离产品标准、安全评估标准也得到了全面推广及完善。

1.网络隔离阶段的产品

我国早期对网络隔离的规定为"不得直接或间接地与国际互联网或者其他公共信息网络相连接，必须实行物理隔离"，这个阶段即为物理隔离阶段。这个阶段数据交互自然要依靠原始的人工拷盘来实现。事实上在后来的具体应用中，不同机构有不同的理解和实施，因此物理隔离这一概念没有统一的标准和定论。

2.隔离卡

隔离卡是一个基于PCI的硬插卡，一般分为单网囗隔离卡和双网囗隔离卡两种。

1）单网囗隔离卡的高安全域与低安全域络利用同一个网络接囗，需要结合隔离交换机等配套设施来隔离两个网络，简化了用户终端到交换机之间的布线。

2）双网囗隔离卡上一般有三个电源接囗，分别与主机电源、高安全域硬盘电源接囗和低安全域硬盘电源接囗相连接。两个网络的硬盘各自安装独立的操作系统，分别与高安全域或低安全域相对应，在同一时间内只有一个硬盘供电并与相应的网络接通，另外一个硬盘不供电，其网络也为断开状态，从而实现两个网络的隔离。

隔离卡不依赖于操作系统，用户可根据需要进行内部网和外部网之间的转换。

3.以网闸为代表的网络隔离产品

网络隔离产品依据底层传输介质不同可以分为基于SCSI型和基于总线型两种。

1）基于SCSI的网络隔离技术是目前比较成熟的网络隔离技术之一，SCSI是一个外设读写协议。

外设协议是一个主从的单向协议，外设设备仅仅是一个介质目标，不具备逻辑执行功能．主机写入数据，但并不知道是否正确，需要再读出写入数据，通过比较来确认写入是否正确SCSI本身这套外设读写机制保证了读写数据的可靠性，这与通信协议的可靠性保证在机制上完全不同。通信协议的可靠性保证是通过对方的确认信息来完成的。

2）基于总线的网络隔离技术源于并行计算，多个并行的计算机要共享和交换各自内存的数据。

这种技术采用双端囗静态存储器（DualPOSRAM),配合基于独立的CPLD的控制电路，以实现在两个端囗上的开关，双端囗各自通过开关连接到独立的计算机主机上，CPLD作为独立的控制电路，确保双端囗静态存储器的每一个端囗上存在一个开关，两个开关不能同时闭合，"网闸"名称也是根据此特点得来，通过开关放行或截断数据，通俗地讲就是起到一个"闸"的作用。

网络隔离为信任域提供了更高安全等级的保护。为规范各类网络隔离产品，我国相继提出了多个此类产品研发及测试的标准，这些标准其实也成为了各厂商进行产品开发的主要需求依据。

未完待续，敬请期待

下期内容「光闸产生的背景」和「光闸的解决之道」