由兩套各自獨(dú)立的系統(tǒng)分別連接和非的網(wǎng)絡(luò)，兩套系統(tǒng)之間通過(guò)網(wǎng)閘進(jìn)行信息擺渡，保證兩套系統(tǒng)之間沒(méi)有直接的物理通路。在通信過(guò)程中，當(dāng)存儲(chǔ)介質(zhì)與的網(wǎng)絡(luò)連通時(shí)，斷開(kāi)與非網(wǎng)絡(luò)連接；當(dāng)與非網(wǎng)絡(luò)連通時(shí)，斷開(kāi)與網(wǎng)絡(luò)的連接；通過(guò)分時(shí)地使用兩套系統(tǒng)中的數(shù)據(jù)通路進(jìn)行數(shù)據(jù)交換，以達(dá)到隔離與交換的目的。此外，在數(shù)據(jù)交換過(guò)程中，需同時(shí)進(jìn)行防病毒、防惡意代碼等信息過(guò)濾，以保證信息的。

根據(jù)國(guó)家保密局公開(kāi)的文獻(xiàn)資料，我國(guó)目前流行的網(wǎng)絡(luò)隔離技術(shù)的產(chǎn)品和方案如下：

（1）獨(dú)立網(wǎng)絡(luò)方案

根據(jù)信息保密需求的不同，將信息存放到兩個(gè)獨(dú)立的網(wǎng)絡(luò)中。其一是內(nèi)部網(wǎng)絡(luò)，用于存儲(chǔ)、處理、傳輸涉密信息；另一個(gè)是外部網(wǎng)絡(luò)，與互聯(lián)網(wǎng)相連。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)物理斷開(kāi)。兩個(gè)網(wǎng)絡(luò)之間如果有數(shù)據(jù)交換需要，則采用人工操作（如通過(guò)軟盤(pán)、磁帶等）的方式。

（2）終端級(jí)解決方案

用戶(hù)使用一臺(tái)客戶(hù)端設(shè)備排他性選擇連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，主要類(lèi)型可分為以下幾種。

（1）雙主板，雙硬盤(pán)型：通過(guò)設(shè)置兩套獨(dú)立計(jì)算機(jī)的設(shè)備實(shí)現(xiàn)，使用時(shí)，通過(guò)客戶(hù)端開(kāi)關(guān)分別選擇兩套計(jì)算機(jī)系統(tǒng)。

（2）單主板，雙硬盤(pán)型：客戶(hù)端通過(guò)增加一塊隔離卡、一塊硬盤(pán)，將硬盤(pán)接口通過(guò)添加的隔離卡轉(zhuǎn)接到主板，網(wǎng)卡也通過(guò)該卡引出兩個(gè)網(wǎng)絡(luò)接口。通過(guò)該卡控制客戶(hù)端存儲(chǔ)設(shè)備，同時(shí)選擇相應(yīng)的網(wǎng)絡(luò)接口，達(dá)到網(wǎng)絡(luò)隔離的效果。

（3）單主板，單硬盤(pán)型：客戶(hù)端需要增加一塊隔離卡，存儲(chǔ)器通過(guò)隔離卡連接到主板，網(wǎng)卡也通過(guò)隔離卡引出兩個(gè)網(wǎng)絡(luò)接口。對(duì)硬盤(pán)上劃分區(qū)、非區(qū)，通過(guò)隔離卡控制客戶(hù)端存儲(chǔ)設(shè)備分時(shí)使用區(qū)和非區(qū)，同時(shí)對(duì)相應(yīng)的網(wǎng)絡(luò)接口進(jìn)行選擇，以實(shí)施網(wǎng)絡(luò)隔離。

網(wǎng)閘是使用帶有多種控制功能的固態(tài)開(kāi)關(guān)讀寫(xiě)介質(zhì)，連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息設(shè)備。由于兩個(gè)獨(dú)立的主機(jī)系統(tǒng)通過(guò)網(wǎng)閘進(jìn)行隔離，使系統(tǒng)間不存在通信的物理連接、邏輯連接及信息傳輸協(xié)議，不存在依據(jù)協(xié)議進(jìn)行的信息交換，而只有以數(shù)據(jù)文件形式進(jìn)行的無(wú)協(xié)議擺渡。因此，網(wǎng)閘從邏輯上隔離、阻斷了對(duì)內(nèi)網(wǎng)具有潛在攻擊可能的一切網(wǎng)絡(luò)連接，使外部攻擊者無(wú)法直接入侵、攻擊或破壞內(nèi)網(wǎng)，保障了內(nèi)部主機(jī)的。

由兩套各自獨(dú)立的系統(tǒng)分別連接和非的網(wǎng)絡(luò)，兩套系統(tǒng)之間通過(guò)網(wǎng)閘進(jìn)行信息擺渡，保證兩套系統(tǒng)之間沒(méi)有直接的物理通路。在通信過(guò)程中，當(dāng)存儲(chǔ)介質(zhì)與的網(wǎng)絡(luò)連通時(shí)，斷開(kāi)與非網(wǎng)絡(luò)連接；當(dāng)與非網(wǎng)絡(luò)連通時(shí)，斷開(kāi)與網(wǎng)絡(luò)的連接；通過(guò)分時(shí)地使用兩套系統(tǒng)中的數(shù)據(jù)通路進(jìn)行數(shù)據(jù)交換，以達(dá)到隔離與交換的目的。此外，在數(shù)據(jù)交換過(guò)程中，需同時(shí)進(jìn)行防病毒、防惡意代碼等信息過(guò)濾，以保證信息的。

根據(jù)國(guó)家保密局公開(kāi)的文獻(xiàn)資料，我國(guó)目前流行的網(wǎng)絡(luò)隔離技術(shù)的產(chǎn)品和方案如下：

（1）獨(dú)立網(wǎng)絡(luò)方案

根據(jù)信息保密需求的不同，將信息存放到兩個(gè)獨(dú)立的網(wǎng)絡(luò)中。其一是內(nèi)部網(wǎng)絡(luò)，用于存儲(chǔ)、處理、傳輸涉密信息；另一個(gè)是外部網(wǎng)絡(luò)，與互聯(lián)網(wǎng)相連。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)物理斷開(kāi)。兩個(gè)網(wǎng)絡(luò)之間如果有數(shù)據(jù)交換需要，則采用人工操作（如通過(guò)軟盤(pán)、磁帶等）的方式。

（2）終端級(jí)解決方案

用戶(hù)使用一臺(tái)客戶(hù)端設(shè)備排他性選擇連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，主要類(lèi)型可分為以下幾種。

（1）雙主板，雙硬盤(pán)型：通過(guò)設(shè)置兩套獨(dú)立計(jì)算機(jī)的設(shè)備實(shí)現(xiàn)，使用時(shí)，通過(guò)客戶(hù)端開(kāi)關(guān)分別選擇兩套計(jì)算機(jī)系統(tǒng)。

（2）單主板，雙硬盤(pán)型：客戶(hù)端通過(guò)增加一塊隔離卡、一塊硬盤(pán)，將硬盤(pán)接口通過(guò)添加的隔離卡轉(zhuǎn)接到主板，網(wǎng)卡也通過(guò)該卡引出兩個(gè)網(wǎng)絡(luò)接口。通過(guò)該卡控制客戶(hù)端存儲(chǔ)設(shè)備，同時(shí)選擇相應(yīng)的網(wǎng)絡(luò)接口，達(dá)到網(wǎng)絡(luò)隔離的效果。

（3）單主板，單硬盤(pán)型：客戶(hù)端需要增加一塊隔離卡，存儲(chǔ)器通過(guò)隔離卡連接到主板，網(wǎng)卡也通過(guò)隔離卡引出兩個(gè)網(wǎng)絡(luò)接口。對(duì)硬盤(pán)上劃分區(qū)、非區(qū)，通過(guò)隔離卡控制客戶(hù)端存儲(chǔ)設(shè)備分時(shí)使用區(qū)和非區(qū)，同時(shí)對(duì)相應(yīng)的網(wǎng)絡(luò)接口進(jìn)行選擇，以實(shí)施網(wǎng)絡(luò)隔離。

網(wǎng)閘實(shí)現(xiàn)了內(nèi)外網(wǎng)的邏輯隔離，在技術(shù)特征上，主要表現(xiàn)在網(wǎng)絡(luò)模型各層的斷開(kāi)。

（1）物理層斷開(kāi)

網(wǎng)閘采用的網(wǎng)絡(luò)隔離技術(shù)，就是要保證網(wǎng)閘的外部主機(jī)和內(nèi)部主機(jī)在任何時(shí)候是完全斷開(kāi)的。但外部主機(jī)與固態(tài)存儲(chǔ)介質(zhì)，內(nèi)部主機(jī)與固態(tài)存儲(chǔ)介質(zhì)，在進(jìn)行數(shù)據(jù)傳遞的時(shí)候，有條件地進(jìn)行單個(gè)連通，但不能同時(shí)相連。在實(shí)現(xiàn)上，外部主機(jī)與固態(tài)存儲(chǔ)介質(zhì)之間、內(nèi)部主機(jī)與固態(tài)存儲(chǔ)介質(zhì)之間均存在一個(gè)開(kāi)關(guān)電路。網(wǎng)絡(luò)隔離必須保證這兩個(gè)開(kāi)關(guān)不會(huì)同時(shí)閉合，從而保證OSI模型上的物理層的斷開(kāi)機(jī)制。

（2）鏈路層斷開(kāi)

由于開(kāi)關(guān)的同時(shí)閉合可以建立一個(gè)完整的數(shù)據(jù)通信鏈路，因此必須消除數(shù)據(jù)鏈路的建立，這就是鏈路層斷開(kāi)技術(shù)。任何基于鏈路通信協(xié)議的數(shù)據(jù)交換技術(shù)，都無(wú)法消除數(shù)據(jù)鏈路的連接，因此不是網(wǎng)絡(luò)隔離技術(shù)，如基于以太網(wǎng)的交換技術(shù)、串口通信或高速串口通信協(xié)議的USB等。

（3）TCP/IP協(xié)議隔離

為了消除TCP/IP協(xié)議（OSI的3~4層）的漏洞，必須剝離TCP/IP協(xié)議。在經(jīng)過(guò)網(wǎng)閘進(jìn)行數(shù)據(jù)擺渡時(shí)，必須再重建TCP/IP協(xié)議。

（4）應(yīng)用協(xié)議隔離

為了消除應(yīng)用協(xié)議（OSI的5~7層）的漏洞，必須剝離應(yīng)用協(xié)議。剝離應(yīng)用協(xié)議后的原始數(shù)據(jù)，在經(jīng)過(guò)網(wǎng)閘進(jìn)行數(shù)據(jù)擺渡時(shí)，必須重建應(yīng)用協(xié)議。