『壹』 如何實現既內外網隔離,又能內外網業務工作的開展
保密機關單位由於其工作的性質,所涉及到的一部分數據資料必須處於完全的安全 狀態下,然而工作的需求還需聯入INTERNET,這樣就無法保證公司內部區域網的安全。我公司依據上述情況,制定以下解決方案,以便參考。 上述情況的唯一可行的解決方案就是物理隔離安全網和公共網,現在國際上最新穎的物理隔離解決思路是:在同一時間、同一空間,單個用戶是不可能同時使用兩個系統的。所以,總有一個系統處於"空閑"狀態。只要使兩個系統在空間上物理隔離,在不同的時間運行,就可以得到兩個完全物理隔離的系統,即一個區連接外部網,一個區連接內部網。 在方案一:用一根網線實現內外網的傳輸方式,計算機用戶只使用單個硬碟,這種方式是絕大多數用戶所採用的。單硬碟網路安全隔離卡。應用此方案一個優點就是可以免去另外布線。只需安裝網路安全隔離集線器與安裝了網路安全隔離卡的安全計算機配合使用可以滿足對單網布線的要求,即桌面計算機只用一條網線就可連接到遠端的雙網上。
具體實施物理隔離措施的過程當中,為了避免使用兩套獨立的計算機網路系統,做到物理隔離和使用方便相結合,實行物理隔離採用網路隔離卡是一種簡單易行的方法。將一台工作站或pc機的單個硬碟物理分割為兩個分區,即公共區(public)和安全區(secure)。這些分區容量可以由用戶指定,因此使一台pc能連接兩個網路。通過公共區連接外部網,如internet,主機只能使用硬碟的公共區與外部網連接,而此時與內部網是斷開的,且硬碟安全區也是被封閉的。而安全區則連接內部網,主機只能使用硬碟的安全區與內部網連接,而此時與外部網(如internet)連接是斷開的,且硬碟的公共區的通道是封閉的。兩個分區分別安裝各自的操作系統,是兩個完全獨立的環境,操作者一次只能進入其中一個系統,從而實現內外網的完全隔離。
網路安全隔離卡的功能即是以物理方式將一台PC虛擬為兩個電腦,實現工作站的雙重狀態,既可在安全狀態,又可在公共狀態,兩個狀態是完全隔離的,從而使一部工作站可在完全安全狀態下聯結內、外網網路安全隔離卡實際是被設置在PC中最低的物理層上,通過卡上一邊的IDE匯流排聯結主板,另一邊聯結IDE硬碟,內、外網的聯接均須通過網路安全隔離卡,PC機硬碟被物理分隔成為兩個區域,在IDE匯流排物理層上,在固件中控制磁碟通道,在任何時候,數據只能通往一個分區。 在安全狀態時,主機只能使用硬碟的安全區與內部網聯結,而此時外部網(如Internet)聯接是斷開的,且硬碟的公共區的通道是封閉的。在公共狀態時,主機只能使用硬碟的公共區,可以與外部網聯結,而此時與內部網是斷開的,且硬碟安全區也是被封閉的。 轉換便捷 當兩種狀態轉換時,是通過滑鼠點擊操作系統上的切換鍵,即進入一個熱啟動過程,切換時,系統通過硬體重啟信號重新啟動,這樣,PC的內存所有數據被消除,兩個狀態分別是有獨立的操作系統,並獨立導入,兩個硬碟分區不會同時激活。 數據交換 為了安全的保證,兩個分區不能直接交換數據,但是用戶可以通過我們的一個獨特的設計,來安全方便地實現數據交換,即在兩個分區以外,網路安全隔離在硬碟上另外設置了一個功能區,功能區在PC處於不同的狀態下轉換,即在兩個狀態下,功能區均表現為硬碟的D盤,各個分區可以通過功能區作為一個過渡區來交換數據。當然根據用戶需要,也可創建單向的安全通道,即數據只能從公共區向安全區轉移,但不能逆向轉移,從而保證安全區的數據安全。 安全區控制 基於安全威脅來自內外兩方面的關系,即除了外來的黑客攻擊、病毒發布以外,系統內部有意或無意的泄密,也是必須防止的威脅。因此,網路安全隔離卡可以對安全區作只讀控制,即可禁止內部使用者以軟碟機、光碟機復制數據或纂改安全區的數據。 技術的廣泛應用 由於網路安全隔離卡是控制主IDE匯流排,在PC機硬體最底層的基礎上,因此廣泛支持幾乎所有奔騰以及奔騰兼容晶元。 由於網路安全隔離卡是完全獨立於操作系統的,因此也支持幾乎所有主流的操作系統。網路安全隔離卡對網路技術和協議完全透明,因此,對目前主要協議廣泛支持,如乙太網、快速乙太網、令牌環行網、光纖、ATM、ISDN、ADSL。
2、安裝與使用 網路安全隔離卡的安裝並不復雜,一般情況,並不需要改變用戶原有的網路結構,安裝人員的技術水平要求相當安裝普通網卡的水平。安裝網路安全隔離卡,一般情況下,不必因為擔心丟失數據,而去復制硬碟上數據。用戶的使用也只須接受簡單的培訓,不存在日後的維護問題。設備清單 現狀:共有50台客戶端,每台客戶端都需要實現內外網的訪問所需設備列表
(1)兩組交換機,每組共有50個埠以上
(2)24口的網路安全隔離集線器需要:7個
(3)網路安全隔離卡:50個
(4)在同一個硬碟安裝兩套操作系統
(5)內外網的相互轉換應用用戶選擇界面來執行的,只對機器進行熱啟動,即可完成安全轉換。
方案二:重新布線到各客戶端,按照客戶需求共需50個點的布線,這樣在客戶端共需兩個節點來滿足要求。 所需的設備: 50個節點的布線材料 兩組埠數超過50個口的交換機組50塊安全隔離卡
『貳』 如何用一台電腦實現網路隔離和安全管控
由於工作性質的不同,很多企業是不允許員工上外網的,一旦有需求上網查找資料,必須要在指定的網域通過專門的電腦進行查詢和下載。這樣表面看是保障了內部網路的安全性,防止內部信息泄漏到外網,但從實際操作過程來看,管理復雜,效率低,資源不能合理利用,給員工工作帶來很多不便。
還有一些單位,為了保障內部信息的安全,採用虛擬化的方式,將所有文件存儲在遠端伺服器上,也就是傳說中的「雲端」,本地不保存文件,投入了巨資建設這套虛擬化系統,但往往由於網路帶寬資源和後續維護不到位,導致更多的麻煩出現。
研發部門作為企業的核心競爭優勢的主體部門,一直是企業內部信息保護的重點,所以還有一些單位直接將他們的所有文件都做加密處理,這樣來控制企業的內部信息安全,這確實也是信息保護最強有力的手段。
由於內容性質不同,有些企業希望降低管理難度,節約保護成本,將內外網有效的隔離開來,採取許進不許出的原則進行控制就可以,既不影響效率,又能保證安全。但如果網路隔離後,要配置多台電腦,成本又增加了,所以市場在呼喚更有效的隔離方案來解決信息安全的問題!
億賽通憑借自己十餘市場發展經驗,運用成熟的沙箱技術和加解密技術,在充分保持兼容性強的前提下,為研發企業、金融單位、軍工單位、政府行業等有多種網路辦公環境需求的單位提供了一套虛擬安全隔離管控系統,該系統能夠有效創建並隔離多個安全域環境,保障各安全域環境中應用與原始系統一致,另一方面各個安全域環境中的數據安全隔離,全磁碟加密存儲,從而達到安全防護的目的,主要特點如下:
1. 環境隔離及加密存儲
各安全域環境可實現單向或雙向隔離,保障不同環境間數據存儲與使用安全,實現物理隔離效果。安全域環境所產生的所有數據均被重定向保存至虛擬加密磁碟中,確保隔離數據在硬碟上的存儲安全,防止非法用戶竊取磁碟泄密。
2. 安全身份認證
支持多種身份認證方式,包括:用戶名與口令認證、硬體USB雙因子認證和AD單點登錄認證等,並支持與CA證書統一集成認證。
3. 網路加密與隔離
各安全域環境內網路通訊均完整加密與隔離,同一安全域環境內可組建加密安全隔離網路,各安全域環境間可實現相互隔離,並可實現對核心應用系統的訪問隔離,保障應用系統的安全認證和訪問安全。
4. 埠及外設管控
可對計算機埠及外設進行啟用或禁用控制,包含USB存儲設備、手機同步、物理列印、光碟機、串口、並口、紅外、藍牙等。
5. 域內安全共享與傳輸
同一安全域環境內,用戶間可進行安全即時通訊和文件安全共享傳輸,在確保安全域隔離傳輸安全的同時提高內部協同效率。
6. 離線安全外帶
針對出差辦公或網路中斷等特殊場景,系統支持設置離線策略與時限;在正常策略許可權下,用戶可離線正常使用安全域及隔離數據,但禁止非授權導出及網路外發,系統將詳細記錄操作日誌及審計。
7. 數據安全外發
安全域內重要文檔需要外發時,需提交明文外發或密文外發申請,在審核通過後才可將文檔輸出至安全域外;當密文外發時,外發文檔將以加密的方式提交給外部使用,防止重要文檔被非法擴散及泄密。密文外發可設置文檔打開認證方式、使用許可權、閱讀次數以及閱讀時限等控制。
8. 數據集中管控與雲存儲
安全域中所有隔離數據可集中存儲至伺服器中,實現「數據大集中、終端不留痕」的高保密要求。
億賽通虛擬安全隔離管控系統,真正的應用環境隔離防護,讓之前雜亂無章的工作環境變得安全可控;該產品應用影響小、與現有環境集成快、而且安全域環境之間可一鍵快速切換, 真正做到安全與效率並存。
『叄』 防火牆和交換機如何實現內外網隔離
防火牆和交換機還是比較常用的,於是我研究了一下 ,在這里拿出來和大家分享一下,希望對大家有用。隨著網路技術和網際網路技術的成熟和高速發展,越來越多的企事業單位開始組建網路來實現辦公自動化和共享網際網路的信息。但是, 安全問題也突現出來,iMaxNetworks(記憶網路公司)根據電子政務網路的特點提出了以交換機、防火牆和交換機相結合實現內外網隔離的解決方案。 方案一:交換機實現內外網的物理隔離 網路系統由內部區域網和外部網際網路兩個相對獨立又相互關聯的部分組成,均採用星形拓撲結構和100M交換式快速乙太網技術。內部網與外部網之間不存在物理上的連接,使來自Internet的入侵者無法通過計算機從外部網進入內部網,從而最有效地保障了內部網重要數據的安全,內部區域網和外部網際網路實現物理隔離。 imaxnetworks終端提供了經濟安全的內外網物理隔離功能,它通過物理開關進行內外網的切換,在物理上信息終端只與其中一個網路連通,所以黑客即使侵入其中一個網路也無法越過物理屏障侵入另一個網路。建立內外網隔離方案需要在內網和外網各安裝至少一台終端伺服器。 方案二:防火牆和交換機結合,實現內外網隔離 VLAN隔離內外網:電子政務網路中存在多種業務,要實現多網的統一互聯,同時又要保證各個網路的安全,除了在應用層上通過加密、簽名等手段避免數據泄漏和篡改外,在區域網的交換機上採用VLAN技術進行,將不同業務網的設備放置在不同的VLAN中進行物理隔離,徹底避免各網之間的不必要的任意相互訪問。在實現VLAN的技術中,以基於乙太網交換機埠的VLAN(IEEE 802.1Q)最為成熟和安全,防火牆訪問控制保證。 網路核心安全:為了網路構建簡單,避免採用太多的設備使管理復雜化,從而降低網路的安全性,可以放置一個高速防火牆,通過這個這個防火牆和交換機,對所有出入中心的數據包進行安全控制及過濾,保證訪問核心的安全。另外,為保證業務主機及數據的安全,不允許辦公網及業務網間的無控制互訪,應在進行VLAN劃分的三層交換機內設置ACL。數據加密傳輸:對於通過公網(寬頻城域網)進行傳輸的數據及互聯,數據加密是必須的,在對關鍵業務做加密時,可以考慮採用更強的加密演算法。 設置DMZ區進行外部訪問:通常對於外部網路的接入,必須採取的安全策略是拒絕所有接受特殊的原則。即對所有的外部接入,預設認為都是不安全的,需要完全拒絕,只有一些特別的經過認證和允許的才能進入網路內部。
『肆』 如何用VLAN技術將公司的財務部門的網路與其他部門隔離
在所有連接財務部門PC的交換機介面上都打一個單獨的VLAN,比如VLAN100,其他部門都用VLAN10。這樣就隔離了呀。
只要財務部門的使用一個VLAN,其他部門使用另外一個VLAN就實現部門間的隔離了,沒啥特殊的。
『伍』 辦公網路和監控網路如何分離優點
優點就是網路好。
大型監控網路佔用了大量的帶寬,導致辦公網路使用性太差,造成不好的用戶體驗,現在的辦公網路一般在百兆之內,如果大型監控網路中有1000個攝像機,那麼再和辦公網路共用,可想而知,用戶上網會是什麼樣子。
企業網路和監控網路完全分開,可採用物理隔離的方式,即設計兩套完全物理隔離的網路。
從網路的前端到後端的設備完全隔離。交換機,伺服器以及網路的布線可以完全分開,相當於建立兩個網路系統。