售前電話
135-3656-7657
售前電話 : 135-3656-7657
本文介紹8種物理隔離技術(shù)的方案,供讀者參考。
1.專線接入方案
通過專線上網(wǎng),使用防火墻保護整個內(nèi)部網(wǎng)絡(luò)系統(tǒng),將外網(wǎng)隔離在防火墻之外,方案的結(jié)構(gòu)如圖1所示。
圖1所示的方式存在兩方面的安全漏洞:一是防火墻自身的不安全性,一些高水平的黑客軟件能突破防火墻;二是在受防火墻保護的內(nèi)網(wǎng)中,若未涉密用戶終端通過Modem撥號連接Internet,如果其他終端沒有采取任何防范措施,則會使整個網(wǎng)絡(luò)暴露在黑客眼下,造成嚴重的泄密。
這種方案使用了兩套獨立的布線系統(tǒng),但計算機依靠網(wǎng)絡(luò)拔插的方式輪流登錄涉密網(wǎng)絡(luò)或因特網(wǎng),方式存在的問題是:在使用的終端計算機上只有一套硬盤系統(tǒng),當(dāng)該計算機訪問外網(wǎng)時,會受到各種駐留式黑客病毒的入侵,當(dāng)該計算機在內(nèi)網(wǎng)工作時會將病毒傳播到內(nèi)網(wǎng).當(dāng)計算機再次上網(wǎng)將造成網(wǎng)上信息大量泄密,同時該計算機上的信息在訪問外網(wǎng)時將完全暴露。
圖1 專線接入方案
2.雙硬盤隔離方案
在實施物理隔離過程中,用戶可以選擇雙硬盤隔離技術(shù)方案。其基本思想是:客戶端安裝兩塊硬盤,當(dāng)用戶登錄內(nèi)網(wǎng)時,內(nèi)網(wǎng)硬盤有效,外網(wǎng)硬盤無效;用戶登錄外網(wǎng)時,外網(wǎng)硬盤有效,內(nèi)網(wǎng)硬盤無效。根據(jù)網(wǎng)絡(luò)的不同,該方案又可以分為單網(wǎng)方案和雙網(wǎng)方案。單網(wǎng)方案在網(wǎng)絡(luò)選擇端添加了安全集線器,該集線器負責(zé)與客戶端通信,并根據(jù)用戶的選擇連通內(nèi)外網(wǎng)絡(luò)。該方案具有部署簡單、使用方便的特點,適合大多數(shù)普通用戶采用。方案的結(jié)構(gòu)如圖2所示。
3.三網(wǎng)間隔離方案
很多企事業(yè)單位的內(nèi)部財務(wù)網(wǎng)是一個相對獨立的網(wǎng)絡(luò),與內(nèi)部辦公網(wǎng)絡(luò)隔離,并且當(dāng)該網(wǎng)用戶登錄互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡(luò)時,需要在財務(wù)網(wǎng)、內(nèi)網(wǎng)和外部互聯(lián)網(wǎng)三網(wǎng)之間進行切換。該方案具有三網(wǎng)隔離能力,部署簡單,適合內(nèi)部還有獨立小網(wǎng)絡(luò)的用戶采用。其結(jié)構(gòu)如圖3所示。
4.對外提供服務(wù)的隔離方案
許多單位在要求內(nèi)外網(wǎng)隔離的同時能夠提供電子報稅等對外服務(wù)。當(dāng)外部Web服務(wù)器在接受互聯(lián)網(wǎng)上發(fā)來的電子稅表時,會接通外部網(wǎng)絡(luò),斷開內(nèi)部網(wǎng)絡(luò),電子稅表暫存在本地,當(dāng)滿足了一定條件后,才會斷開外部網(wǎng)絡(luò),接通內(nèi)部網(wǎng)絡(luò),把電子稅表轉(zhuǎn)發(fā)到內(nèi)部業(yè)務(wù)系統(tǒng)中,同時從內(nèi)部網(wǎng)絡(luò)接受上次內(nèi)部業(yè)務(wù)系統(tǒng)處理完成的電子稅表。交換完畢后,再次斷開內(nèi)部網(wǎng)絡(luò),接通外部網(wǎng)絡(luò),接受新的電子稅表。這種方式就好像用戶在河的兩岸,通過一艘船來回傳遞兩岸的貨物,而不會存在直接連接兩岸的橋梁或者船只同時停靠兩岸的問題,這樣既保證了對外服務(wù)需求,又保證了網(wǎng)絡(luò)安全。該方案在實現(xiàn)物理隔離的同時,能夠提供對外服務(wù)。其結(jié)構(gòu)如圖4所示。
圖2 雙硬盤隔離方案 圖3 三網(wǎng)間隔離方案
圖4 能提供對外服務(wù)的隔離方案
5.基于無盤系統(tǒng)的隔離方案
一些用戶希望在做到內(nèi)外網(wǎng)隔離的同時能加強內(nèi)部管理,防止內(nèi)部用戶泄漏單位秘密。有這種需求的用戶,可以采用基于無盤系統(tǒng)的隔離方案。該方案采用單硬盤方式,當(dāng)用戶登錄內(nèi)網(wǎng)時,無盤啟動系統(tǒng)通過網(wǎng)絡(luò)從服務(wù)器上啟動操作系統(tǒng),同時屏蔽本地的硬盤、光驅(qū)和軟驅(qū)等存儲設(shè)備,用戶所見的硬盤實際上是服務(wù)器分配給用戶的硬盤鏡像,客戶端相當(dāng)于一個瘦終端。這樣,內(nèi)部用戶無法通過本地下載、拆卸硬盤等手段竊取內(nèi)部信息。該方案在做到內(nèi)外網(wǎng)隔離的同時,能有效防止內(nèi)部網(wǎng)絡(luò)的信息泄密。其結(jié)構(gòu)如圖5所示。
6.單機接入方案
針對單機用戶,一般使安全隔離卡HI型,配備雙硬盤。其結(jié)構(gòu)如圖6所示。