本節介紹8種物理隔離技術的方案,供讀者參考。
一、專線接入方案
透過專線上網,使用防火牆保護整個內部網路系統,將外網隔離在防火牆之外,方案的結構如圖1所示。
圖1 專線接入方案
圖1所示的方式存在兩方面的安全漏洞:一是防火牆自身的不安全性,一些高水平的駭客軟體能突破防火牆;二是在受防火牆保護的內網中,若未涉密使用者終端透過Modem撥號連線Internet,如果其他終端沒有采取任何防範措施,則會使整個網路暴露在駭客眼下,造成嚴重的洩密。
這種方案使用了兩套獨立的佈線系統,但計算機依靠網路拔插的方式輪流登入涉密網路或因特網,方式存在的問題是:在使用的終端計算機上只有一套硬碟系統,當該計算機訪問外網時,會受到各種駐留式駭客病毒的入侵,當該計算機在內網工作時會將病毒傳播到內網。當計算機再次上網將造成網上資訊大量洩密,同時該計算機上的資訊在訪問外網時將完全暴露。
二、雙硬碟隔離方案
在實施物理隔離過程中,使用者可以選擇雙硬碟隔離技術方案。其基本思想是:客戶端安裝兩塊硬碟,當用戶登入內網時,內網硬碟有效,外網硬碟無效;使用者登入外網時,外網硬碟有效,內網硬碟無效。根據網路的不同,該方案又可以分為單網方案和雙網方案。單網方案在網路選擇端添加了安全集線器,該集線器負責與客戶端通訊,並根據使用者的選擇連通內外網路。該方案具有部署簡單、使用方便的特點,適合大多數普通使用者採用。方案的結構如圖2所示。
圖2 雙硬碟隔離方案
三、三網間隔離方案
很多企事業單位的內部財務網是一個相對獨立的網路,與內部辦公網路隔離,並且當該網使用者登入網際網路和內部網路時,需要在財務網、內網和外部網際網路三網之間進行切換。該方案具有三網隔離能力,部署簡單,適合內部還有獨立小網路的使用者採用。其結構如圖3所示。
圖3 三網間隔離方案
四、對外提供服務的隔離方案
許多單位在要求內外網隔離的同時能夠提供電子報稅等對外服務。當外部Web伺服器在接受網際網路上發來的電子稅表時,會接通外部網路,斷開內部網路,電子稅表暫存在本地,當滿足了一定條件後,才會斷開外部網路,接通內部網路,把電子稅錶轉發到內部業務系統中,同時從內部網路接受上次內部業務系統處理完成的電子稅表。交換完畢後,再次斷開內部網路,接通外部網路,接受新的電子稅表。這種方式就好像使用者在河的兩岸,透過一艘船來回傳遞兩岸的貨物,而不會存在直接連線兩岸的橋樑或者船隻同時停靠兩岸的問題,這樣既保證了對外服務需求,又保證了網路安全。該方案在實現物理隔離的同時,能夠提供對外服務。其結構如圖4所示。
圖4 能提供對外服務的隔離方案
五、基於無盤系統的隔離方案
一些使用者希望在做到內外網隔離的同時能加強內部管理,防止內部使用者洩漏單位秘密。有這種需求的使用者,可以採用基於無盤系統的隔離方案。該方案採用單硬碟方式,當用戶登入內網時,無盤啟動系統透過網路從伺服器上啟動作業系統,同時遮蔽本地的硬碟、光碟機和軟碟機等儲存裝置,使用者所見的硬碟實際上是伺服器分配給使用者的硬碟映象,客戶端相當於一個瘦終端。這樣,內部使用者無法透過本地下載、拆卸硬碟等手段竊取內部資訊。該方案在做到內外網隔離的同時,能有效防止內部網路的資訊洩密。其結構如圖5所示。
圖5 基於無盤系統的隔離方案
六、單機接入方案
針對單機使用者,一般使安全隔離卡HI型,配備雙硬碟。其結構如圖6所示。
圖6 單機接入方案
這種結構具有內、外網的硬碟,無論是在內網還是外網的硬碟上工作,產生的檔案、資料存放於硬碟還是軟盤,都是相當安全的。
七、雙網線接入方案
雙網線接入方案需要兩套佈線系統,但使用Internet的使用者數量不是很多,在網路佈線介面較為富餘的情況下,採用雙網線方式,並使用安全隔離卡II型,結構如圖7所示。
圖7 雙網線接入方案
雙網線接入方式在上網時涉密使用者配置安全隔離卡D和雙硬碟,兩條網路線同時接到隔離卡上,透過隔離卡連線到本機網絡卡上,透過手動按鈕或軟體控制隔離卡上的開關,使其在選擇涉密硬碟的同時選擇連線內網。因此,安裝該卡時一定要注意內外網線不能顛倒。
八、單網線接入方案
在實際應用中,許多綜合佈線系統在每個終端位置上的埠均有限,不能滿足每臺裝置佔用兩個埠的需求,此時必須使用單網線方式,如圖8所示。
圖8 單網線接入方案
此方式需要在每臺裝置上安裝安全隔離卡I和雙硬碟,並在每個網路裝置間配置內外網遠端切換Hub,終端透過一條標準網線連線到裝置管理間的內外網遠端切換Hub上,該Hub分別連線內網Hub和外網Hubo終端隔離卡透過利用5類網路線中未使用的第4、5、7、8對線控制遠端內外網遠端切換Hub,使使用者可以靈活選擇接通內網或外網。
——END——
需要弱電資料可以私信我
或關注公眾號:弱電學習之家
我叫老梁。一個從業12年的弱電愛好者。
這裡只有免費和分享!
