本文介紹8種物理隔離技術(shù)的方案����,供讀者參考。
1.專線接入方案
通過專線上網(wǎng)����,使用防火墻保護整個內(nèi)部網(wǎng)絡(luò)系統(tǒng)����,將外網(wǎng)隔離在防火墻之外,方案的結(jié)構(gòu)如圖1所示����。
圖1所示的方式存在兩方面的安全漏洞:一是防火墻自身的不安全性,一些高水平的黑客軟件能突破防火墻����;二是在受防火墻保護的內(nèi)網(wǎng)中����,若未涉密用戶終端通過Modem撥號連接Internet,如果其他終端沒有采取任何防范措施����,則會使整個網(wǎng)絡(luò)暴露在黑客眼下,造成嚴重的泄密����。
這種方案使用了兩套獨立的布線系統(tǒng),但計算機依靠網(wǎng)絡(luò)拔插的方式輪流登錄涉密網(wǎng)絡(luò)或因特網(wǎng)����,方式存在的問題是:在使用的終端計算機上只有一套硬盤系統(tǒng),當該計算機訪問外網(wǎng)時����,會受到各種駐留式黑客病毒的入侵,當該計算機在內(nèi)網(wǎng)工作時會將病毒傳播到內(nèi)網(wǎng).當計算機再次上網(wǎng)將造成網(wǎng)上信息大量泄密����,同時該計算機上的信息在訪問外網(wǎng)時將完全暴露。
圖1 專線接入方案
2.雙硬盤隔離方案
在實施物理隔離過程中����,用戶可以選擇雙硬盤隔離技術(shù)方案����。其基本思想是:客戶端安裝兩塊硬盤����,當用戶登錄內(nèi)網(wǎng)時,內(nèi)網(wǎng)硬盤有效����,外網(wǎng)硬盤無效;用戶登錄外網(wǎng)時����,外網(wǎng)硬盤有效,內(nèi)網(wǎng)硬盤無效����。根據(jù)網(wǎng)絡(luò)的不同����,該方案又可以分為單網(wǎng)方案和雙網(wǎng)方案。單網(wǎng)方案在網(wǎng)絡(luò)選擇端添加了安全集線器����,該集線器負責與客戶端通信����,并根據(jù)用戶的選擇連通內(nèi)外網(wǎng)絡(luò)����。該方案具有部署簡單、使用方便的特點����,適合大多數(shù)普通用戶采用。方案的結(jié)構(gòu)如圖2所示����。
3.三網(wǎng)間隔離方案
很多企事業(yè)單位的內(nèi)部財務(wù)網(wǎng)是一個相對獨立的網(wǎng)絡(luò),與內(nèi)部辦公網(wǎng)絡(luò)隔離����,并且當該網(wǎng)用戶登錄互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡(luò)時,需要在財務(wù)網(wǎng)����、內(nèi)網(wǎng)和外部互聯(lián)網(wǎng)三網(wǎng)之間進行切換。該方案具有三網(wǎng)隔離能力,部署簡單����,適合內(nèi)部還有獨立小網(wǎng)絡(luò)的用戶采用。其結(jié)構(gòu)如圖3所示����。
4.對外提供服務(wù)的隔離方案
許多單位在要求內(nèi)外網(wǎng)隔離的同時能夠提供電子報稅等對外服務(wù)。當外部Web服務(wù)器在接受互聯(lián)網(wǎng)上發(fā)來的電子稅表時����,會接通外部網(wǎng)絡(luò),斷開內(nèi)部網(wǎng)絡(luò)����,電子稅表暫存在本地,當滿足了一定條件后����,才會斷開外部網(wǎng)絡(luò),接通內(nèi)部網(wǎng)絡(luò)����,把電子稅表轉(zhuǎn)發(fā)到內(nèi)部業(yè)務(wù)系統(tǒng)中����,同時從內(nèi)部網(wǎng)絡(luò)接受上次內(nèi)部業(yè)務(wù)系統(tǒng)處理完成的電子稅表����。交換完畢后����,再次斷開內(nèi)部網(wǎng)絡(luò),接通外部網(wǎng)絡(luò)����,接受新的電子稅表。這種方式就好像用戶在河的兩岸����,通過一艘船來回傳遞兩岸的貨物,而不會存在直接連接兩岸的橋梁或者船只同時?���?績砂兜膯栴},這樣既保證了對外服務(wù)需求,又保證了網(wǎng)絡(luò)安全����。該方案在實現(xiàn)物理隔離的同時,能夠提供對外服務(wù)����。其結(jié)構(gòu)如圖4所示����。
圖2 雙硬盤隔離方案 圖3 三網(wǎng)間隔離方案
圖4 能提供對外服務(wù)的隔離方案
5.基于無盤系統(tǒng)的隔離方案
一些用戶希望在做到內(nèi)外網(wǎng)隔離的同時能加強內(nèi)部管理����,防止內(nèi)部用戶泄漏單位秘密。有這種需求的用戶����,可以采用基于無盤系統(tǒng)的隔離方案。該方案采用單硬盤方式����,當用戶登錄內(nèi)網(wǎng)時,無盤啟動系統(tǒng)通過網(wǎng)絡(luò)從服務(wù)器上啟動操作系統(tǒng)����,同時屏蔽本地的硬盤、光驅(qū)和軟驅(qū)等存儲設(shè)備����,用戶所見的硬盤實際上是服務(wù)器分配給用戶的硬盤鏡像,客戶端相當于一個瘦終端����。這樣,內(nèi)部用戶無法通過本地下載����、拆卸硬盤等手段竊取內(nèi)部信息。該方案在做到內(nèi)外網(wǎng)隔離的同時����,能有效防止內(nèi)部網(wǎng)絡(luò)的信息泄密。其結(jié)構(gòu)如圖5所示����。
6.單機接入方案
針對單機用戶,一般使安全隔離卡HI型����,配備雙硬盤。其結(jié)構(gòu)如圖6所示����。
