本文介紹8種物理隔離技術的方案����,供讀者參考。
1.專線接入方案
通過專線上網�,使用防火墻保護整個內部網絡系統(tǒng),將外網隔離在防火墻之外�,方案的結構如圖1所示�。
圖1所示的方式存在兩方面的安全漏洞:一是防火墻自身的不安全性�,一些高水平的黑客軟件能突破防火墻;二是在受防火墻保護的內網中�,若未涉密用戶終端通過Modem撥號連接Internet,如果其他終端沒有采取任何防范措施,則會使整個網絡暴露在黑客眼下���,造成嚴重的泄密�。
這種方案使用了兩套獨立的布線系統(tǒng)����,但計算機依靠網絡拔插的方式輪流登錄涉密網絡或因特網,方式存在的問題是:在使用的終端計算機上只有一套硬盤系統(tǒng)�����,當該計算機訪問外網時�����,會受到各種駐留式黑客病毒的入侵��,當該計算機在內網工作時會將病毒傳播到內網.當計算機再次上網將造成網上信息大量泄密���,同時該計算機上的信息在訪問外網時將完全暴露�����。
圖1 專線接入方案
2.雙硬盤隔離方案
在實施物理隔離過程中�����,用戶可以選擇雙硬盤隔離技術方案��。其基本思想是:客戶端安裝兩塊硬盤��,當用戶登錄內網時���,內網硬盤有效���,外網硬盤無效�;用戶登錄外網時,外網硬盤有效�,內網硬盤無效。根據(jù)網絡的不同�����,該方案又可以分為單網方案和雙網方案�����。單網方案在網絡選擇端添加了安全集線器,該集線器負責與客戶端通信�,并根據(jù)用戶的選擇連通內外網絡。該方案具有部署簡單�����、使用方便的特點��,適合大多數(shù)普通用戶采用�����。方案的結構如圖2所示�。
3.三網間隔離方案
很多企事業(yè)單位的內部財務網是一個相對獨立的網絡,與內部辦公網絡隔離�,并且當該網用戶登錄互聯(lián)網和內部網絡時,需要在財務網��、內網和外部互聯(lián)網三網之間進行切換��。該方案具有三網隔離能力���,部署簡單�����,適合內部還有獨立小網絡的用戶采用����。其結構如圖3所示。
4.對外提供服務的隔離方案
許多單位在要求內外網隔離的同時能夠提供電子報稅等對外服務�。當外部Web服務器在接受互聯(lián)網上發(fā)來的電子稅表時,會接通外部網絡�,斷開內部網絡,電子稅表暫存在本地���,當滿足了一定條件后���,才會斷開外部網絡,接通內部網絡��,把電子稅表轉發(fā)到內部業(yè)務系統(tǒng)中�����,同時從內部網絡接受上次內部業(yè)務系統(tǒng)處理完成的電子稅表�。交換完畢后���,再次斷開內部網絡���,接通外部網絡�,接受新的電子稅表�����。這種方式就好像用戶在河的兩岸�����,通過一艘船來回傳遞兩岸的貨物�����,而不會存在直接連接兩岸的橋梁或者船只同時?�?績砂兜膯栴},這樣既保證了對外服務需求��,又保證了網絡安全�。該方案在實現(xiàn)物理隔離的同時,能夠提供對外服務�。其結構如圖4所示。
圖2 雙硬盤隔離方案 圖3 三網間隔離方案
圖4 能提供對外服務的隔離方案
5.基于無盤系統(tǒng)的隔離方案
一些用戶希望在做到內外網隔離的同時能加強內部管理,防止內部用戶泄漏單位秘密��。有這種需求的用戶�����,可以采用基于無盤系統(tǒng)的隔離方案���。該方案采用單硬盤方式����,當用戶登錄內網時�,無盤啟動系統(tǒng)通過網絡從服務器上啟動操作系統(tǒng),同時屏蔽本地的硬盤���、光驅和軟驅等存儲設備�����,用戶所見的硬盤實際上是服務器分配給用戶的硬盤鏡像�����,客戶端相當于一個瘦終端。這樣��,內部用戶無法通過本地下載、拆卸硬盤等手段竊取內部信息�。該方案在做到內外網隔離的同時,能有效防止內部網絡的信息泄密����。其結構如圖5所示。
6.單機接入方案
針對單機用戶��,一般使安全隔離卡HI型����,配備雙硬盤。其結構如圖6所示�����。
