‘壹’ 如何实现既内外网隔离,又能内外网业务工作的开展
保密机关单位由于其工作的性质,所涉及到的一部分数据资料必须处于完全的安全 状态下,然而工作的需求还需联入INTERNET,这样就无法保证公司内部局域网的安全。我公司依据上述情况,制定以下解决方案,以便参考。 上述情况的唯一可行的解决方案就是物理隔离安全网和公共网,现在国际上最新颖的物理隔离解决思路是:在同一时间、同一空间,单个用户是不可能同时使用两个系统的。所以,总有一个系统处于"空闲"状态。只要使两个系统在空间上物理隔离,在不同的时间运行,就可以得到两个完全物理隔离的系统,即一个区连接外部网,一个区连接内部网。 在方案一:用一根网线实现内外网的传输方式,计算机用户只使用单个硬盘,这种方式是绝大多数用户所采用的。单硬盘网络安全隔离卡。应用此方案一个优点就是可以免去另外布线。只需安装网络安全隔离集线器与安装了网络安全隔离卡的安全计算机配合使用可以满足对单网布线的要求,即桌面计算机只用一条网线就可连接到远端的双网上。
具体实施物理隔离措施的过程当中,为了避免使用两套独立的计算机网络系统,做到物理隔离和使用方便相结合,实行物理隔离采用网络隔离卡是一种简单易行的方法。将一台工作站或pc机的单个硬盘物理分割为两个分区,即公共区(public)和安全区(secure)。这些分区容量可以由用户指定,因此使一台pc能连接两个网络。通过公共区连接外部网,如internet,主机只能使用硬盘的公共区与外部网连接,而此时与内部网是断开的,且硬盘安全区也是被封闭的。而安全区则连接内部网,主机只能使用硬盘的安全区与内部网连接,而此时与外部网(如internet)连接是断开的,且硬盘的公共区的通道是封闭的。两个分区分别安装各自的操作系统,是两个完全独立的环境,操作者一次只能进入其中一个系统,从而实现内外网的完全隔离。
网络安全隔离卡的功能即是以物理方式将一台PC虚拟为两个电脑,实现工作站的双重状态,既可在安全状态,又可在公共状态,两个状态是完全隔离的,从而使一部工作站可在完全安全状态下联结内、外网网络安全隔离卡实际是被设置在PC中最低的物理层上,通过卡上一边的IDE总线联结主板,另一边联结IDE硬盘,内、外网的联接均须通过网络安全隔离卡,PC机硬盘被物理分隔成为两个区域,在IDE总线物理层上,在固件中控制磁盘通道,在任何时候,数据只能通往一个分区。 在安全状态时,主机只能使用硬盘的安全区与内部网联结,而此时外部网(如Internet)联接是断开的,且硬盘的公共区的通道是封闭的。在公共状态时,主机只能使用硬盘的公共区,可以与外部网联结,而此时与内部网是断开的,且硬盘安全区也是被封闭的。 转换便捷 当两种状态转换时,是通过鼠标点击操作系统上的切换键,即进入一个热启动过程,切换时,系统通过硬件重启信号重新启动,这样,PC的内存所有数据被消除,两个状态分别是有独立的操作系统,并独立导入,两个硬盘分区不会同时激活。 数据交换 为了安全的保证,两个分区不能直接交换数据,但是用户可以通过我们的一个独特的设计,来安全方便地实现数据交换,即在两个分区以外,网络安全隔离在硬盘上另外设置了一个功能区,功能区在PC处于不同的状态下转换,即在两个状态下,功能区均表现为硬盘的D盘,各个分区可以通过功能区作为一个过渡区来交换数据。当然根据用户需要,也可创建单向的安全通道,即数据只能从公共区向安全区转移,但不能逆向转移,从而保证安全区的数据安全。 安全区控制 基于安全威胁来自内外两方面的关系,即除了外来的黑客攻击、病毒发布以外,系统内部有意或无意的泄密,也是必须防止的威胁。因此,网络安全隔离卡可以对安全区作只读控制,即可禁止内部使用者以软驱、光驱复制数据或纂改安全区的数据。 技术的广泛应用 由于网络安全隔离卡是控制主IDE总线,在PC机硬件最底层的基础上,因此广泛支持几乎所有奔腾以及奔腾兼容芯片。 由于网络安全隔离卡是完全独立于操作系统的,因此也支持几乎所有主流的操作系统。网络安全隔离卡对网络技术和协议完全透明,因此,对目前主要协议广泛支持,如以太网、快速以太网、令牌环行网、光纤、ATM、ISDN、ADSL。
2、安装与使用 网络安全隔离卡的安装并不复杂,一般情况,并不需要改变用户原有的网络结构,安装人员的技术水平要求相当安装普通网卡的水平。安装网络安全隔离卡,一般情况下,不必因为担心丢失数据,而去复制硬盘上数据。用户的使用也只须接受简单的培训,不存在日后的维护问题。设备清单 现状:共有50台客户端,每台客户端都需要实现内外网的访问所需设备列表
(1)两组交换机,每组共有50个端口以上
(2)24口的网络安全隔离集线器需要:7个
(3)网络安全隔离卡:50个
(4)在同一个硬盘安装两套操作系统
(5)内外网的相互转换应用用户选择界面来执行的,只对机器进行热启动,即可完成安全转换。
方案二:重新布线到各客户端,按照客户需求共需50个点的布线,这样在客户端共需两个节点来满足要求。 所需的设备: 50个节点的布线材料 两组端口数超过50个口的交换机组50块安全隔离卡
‘贰’ 如何用一台电脑实现网络隔离和安全管控
由于工作性质的不同,很多企业是不允许员工上外网的,一旦有需求上网查找资料,必须要在指定的网域通过专门的电脑进行查询和下载。这样表面看是保障了内部网络的安全性,防止内部信息泄漏到外网,但从实际操作过程来看,管理复杂,效率低,资源不能合理利用,给员工工作带来很多不便。
还有一些单位,为了保障内部信息的安全,采用虚拟化的方式,将所有文件存储在远端服务器上,也就是传说中的“云端”,本地不保存文件,投入了巨资建设这套虚拟化系统,但往往由于网络带宽资源和后续维护不到位,导致更多的麻烦出现。
研发部门作为企业的核心竞争优势的主体部门,一直是企业内部信息保护的重点,所以还有一些单位直接将他们的所有文件都做加密处理,这样来控制企业的内部信息安全,这确实也是信息保护最强有力的手段。
由于内容性质不同,有些企业希望降低管理难度,节约保护成本,将内外网有效的隔离开来,采取许进不许出的原则进行控制就可以,既不影响效率,又能保证安全。但如果网络隔离后,要配置多台电脑,成本又增加了,所以市场在呼唤更有效的隔离方案来解决信息安全的问题!
亿赛通凭借自己十余市场发展经验,运用成熟的沙箱技术和加解密技术,在充分保持兼容性强的前提下,为研发企业、金融单位、军工单位、政府行业等有多种网络办公环境需求的单位提供了一套虚拟安全隔离管控系统,该系统能够有效创建并隔离多个安全域环境,保障各安全域环境中应用与原始系统一致,另一方面各个安全域环境中的数据安全隔离,全磁盘加密存储,从而达到安全防护的目的,主要特点如下:
1. 环境隔离及加密存储
各安全域环境可实现单向或双向隔离,保障不同环境间数据存储与使用安全,实现物理隔离效果。安全域环境所产生的所有数据均被重定向保存至虚拟加密磁盘中,确保隔离数据在硬盘上的存储安全,防止非法用户窃取磁盘泄密。
2. 安全身份认证
支持多种身份认证方式,包括:用户名与口令认证、硬件USB双因子认证和AD单点登录认证等,并支持与CA证书统一集成认证。
3. 网络加密与隔离
各安全域环境内网络通讯均完整加密与隔离,同一安全域环境内可组建加密安全隔离网络,各安全域环境间可实现相互隔离,并可实现对核心应用系统的访问隔离,保障应用系统的安全认证和访问安全。
4. 端口及外设管控
可对计算机端口及外设进行启用或禁用控制,包含USB存储设备、手机同步、物理打印、光驱、串口、并口、红外、蓝牙等。
5. 域内安全共享与传输
同一安全域环境内,用户间可进行安全即时通讯和文件安全共享传输,在确保安全域隔离传输安全的同时提高内部协同效率。
6. 离线安全外带
针对出差办公或网络中断等特殊场景,系统支持设置离线策略与时限;在正常策略权限下,用户可离线正常使用安全域及隔离数据,但禁止非授权导出及网络外发,系统将详细记录操作日志及审计。
7. 数据安全外发
安全域内重要文档需要外发时,需提交明文外发或密文外发申请,在审核通过后才可将文档输出至安全域外;当密文外发时,外发文档将以加密的方式提交给外部使用,防止重要文档被非法扩散及泄密。密文外发可设置文档打开认证方式、使用权限、阅读次数以及阅读时限等控制。
8. 数据集中管控与云存储
安全域中所有隔离数据可集中存储至服务器中,实现“数据大集中、终端不留痕”的高保密要求。
亿赛通虚拟安全隔离管控系统,真正的应用环境隔离防护,让之前杂乱无章的工作环境变得安全可控;该产品应用影响小、与现有环境集成快、而且安全域环境之间可一键快速切换, 真正做到安全与效率并存。
‘叁’ 防火墙和交换机如何实现内外网隔离
防火墙和交换机还是比较常用的,于是我研究了一下 ,在这里拿出来和大家分享一下,希望对大家有用。随着网络技术和因特网技术的成熟和高速发展,越来越多的企事业单位开始组建网络来实现办公自动化和共享因特网的信息。但是, 安全问题也突现出来,iMaxNetworks(记忆网络公司)根据电子政务网络的特点提出了以交换机、防火墙和交换机相结合实现内外网隔离的解决方案。 方案一:交换机实现内外网的物理隔离 网络系统由内部局域网和外部因特网两个相对独立又相互关联的部分组成,均采用星形拓扑结构和100M交换式快速以太网技术。内部网与外部网之间不存在物理上的连接,使来自Internet的入侵者无法通过计算机从外部网进入内部网,从而最有效地保障了内部网重要数据的安全,内部局域网和外部因特网实现物理隔离。 imaxnetworks终端提供了经济安全的内外网物理隔离功能,它通过物理开关进行内外网的切换,在物理上信息终端只与其中一个网络连通,所以黑客即使侵入其中一个网络也无法越过物理屏障侵入另一个网络。建立内外网隔离方案需要在内网和外网各安装至少一台终端服务器。 方案二:防火墙和交换机结合,实现内外网隔离 VLAN隔离内外网:电子政务网络中存在多种业务,要实现多网的统一互联,同时又要保证各个网络的安全,除了在应用层上通过加密、签名等手段避免数据泄漏和篡改外,在局域网的交换机上采用VLAN技术进行,将不同业务网的设备放置在不同的VLAN中进行物理隔离,彻底避免各网之间的不必要的任意相互访问。在实现VLAN的技术中,以基于以太网交换机端口的VLAN(IEEE 802.1Q)最为成熟和安全,防火墙访问控制保证。 网络核心安全:为了网络构建简单,避免采用太多的设备使管理复杂化,从而降低网络的安全性,可以放置一个高速防火墙,通过这个这个防火墙和交换机,对所有出入中心的数据包进行安全控制及过滤,保证访问核心的安全。另外,为保证业务主机及数据的安全,不允许办公网及业务网间的无控制互访,应在进行VLAN划分的三层交换机内设置ACL。数据加密传输:对于通过公网(宽带城域网)进行传输的数据及互联,数据加密是必须的,在对关键业务做加密时,可以考虑采用更强的加密算法。 设置DMZ区进行外部访问:通常对于外部网络的接入,必须采取的安全策略是拒绝所有接受特殊的原则。即对所有的外部接入,缺省认为都是不安全的,需要完全拒绝,只有一些特别的经过认证和允许的才能进入网络内部。
‘肆’ 如何用VLAN技术将公司的财务部门的网络与其他部门隔离
在所有连接财务部门PC的交换机接口上都打一个单独的VLAN,比如VLAN100,其他部门都用VLAN10。这样就隔离了呀。
只要财务部门的使用一个VLAN,其他部门使用另外一个VLAN就实现部门间的隔离了,没啥特殊的。
‘伍’ 办公网络和监控网络如何分离优点
优点就是网络好。
大型监控网络占用了大量的带宽,导致办公网络使用性太差,造成不好的用户体验,现在的办公网络一般在百兆之内,如果大型监控网络中有1000个摄像机,那么再和办公网络共用,可想而知,用户上网会是什么样子。
企业网络和监控网络完全分开,可采用物理隔离的方式,即设计两套完全物理隔离的网络。
从网络的前端到后端的设备完全隔离。交换机,服务器以及网络的布线可以完全分开,相当于建立两个网络系统。