售前電話
135-3656-7657
售前電話 : 135-3656-7657
典型案例分析
某銀行的總行下設(shè)多個分行,分行除了通過網(wǎng)絡(luò)與總行進(jìn)行業(yè)務(wù)往來以外,分行的員工還需要通過總行專線直接登錄Internet,頻繁地登錄Internet會誘發(fā)各種安全隱患。在未實(shí)行物理隔離時其結(jié)構(gòu)如圖9所示。
圖9 未實(shí)施物理隔離時的網(wǎng)絡(luò)結(jié)構(gòu)
起初為了確保信息安全,該銀行采用強(qiáng)制手段來限制員工登錄外網(wǎng),甚至設(shè)立專門的訪問Internet的辦公室。這樣一來,不僅降低工作效率,而且由于分行均通過專線上網(wǎng),還會產(chǎn)生昂貴的專線上網(wǎng)費(fèi)用。該銀行需要一個既可以進(jìn)行外網(wǎng)隔離,又能夠確保安全上網(wǎng)的物理隔離解決方案。
根據(jù)該銀行的網(wǎng)絡(luò)狀況(單網(wǎng)線環(huán)境及通信方式)和應(yīng)用需求,韓國三星計算機(jī)安全公司為其提供了一個性價比很高的解決方案。
1)在總行安裝NetSwitchn-M.將內(nèi)部網(wǎng)和互聯(lián)網(wǎng)進(jìn)行徹底的物理隔離。
2)總行下的若干分行安裝NetSwitchU-R產(chǎn)品。NetSwitchU-R產(chǎn)品可將各分行的內(nèi)部網(wǎng)和互聯(lián)網(wǎng)物理隔離。只有當(dāng)分行需要與總行進(jìn)行業(yè)務(wù)聯(lián)系時,才與總行服務(wù)器進(jìn)行連接。各分行若登錄Internet,則可通過NetSwitchH-R的WAN接口連接互聯(lián)網(wǎng),無須借用總行專線上網(wǎng),這樣大大降低了總行專線上網(wǎng)的成本。而且由于眾多分行均通過NetSwitchII-R提供的WAN接口上網(wǎng),專線帶寬占用量少,總行還可以在保證總行業(yè)務(wù)正常運(yùn)行的情況下適當(dāng)降低帶寬速率。除此之外,NetSwitchII-R本身還內(nèi)置SwitchingHub和防火墻功能,使各分行網(wǎng)絡(luò)安全建設(shè)成本又進(jìn)一步降低。確保內(nèi)、外網(wǎng)資源完全隔離并毫不相干,網(wǎng)絡(luò)管理員可方便地控制Internet的訪問行為。
NetSwitchII-M和NetSwitchII-R的組合,不僅能實(shí)現(xiàn)網(wǎng)絡(luò)的物理隔離,而且還是一個構(gòu)建網(wǎng)絡(luò)安全高性價比的解決方案。實(shí)施物理隔離后的網(wǎng)絡(luò)結(jié)構(gòu)如圖10所示。
圖10 實(shí)施物理隔離后的網(wǎng)絡(luò)結(jié)構(gòu)
安全隔離卡原理與分類
通過前面的敘述可知,對安全隱患最根本的解決辦法是使用兩套物理設(shè)備來分別處理涉密和非涉密信息。但這樣做設(shè)備投入將非常大,同時設(shè)備的利用率很低。通過仔細(xì)分析可以發(fā)現(xiàn),兩套計算機(jī)系統(tǒng)分別在內(nèi)網(wǎng)(涉密網(wǎng))和外網(wǎng)(Internet)上工作所具有的安全性主要表現(xiàn)在具有兩套獨(dú)立工作的信息存儲系統(tǒng),那么只要在一臺計算機(jī)上具有兩套獨(dú)立的存儲系統(tǒng)就能夠滿足安全的需求,因此我們可以通過設(shè)計安全隔離系統(tǒng)來保證信息系統(tǒng)的安全。
安全隔離系統(tǒng)的基本原理如圖11所示。在一臺計算機(jī)上安裝一塊安全隔離卡和兩塊硬盤,兩塊硬盤和軟盤驅(qū)動器的電源線連接在安全隔離卡上,通過手動或軟件控制安全隔離卡上的開關(guān)接通軟盤或硬盤等存儲設(shè)備的電源。當(dāng)計算機(jī)在外網(wǎng)工作時,外網(wǎng)硬盤加電工作,內(nèi)網(wǎng)硬盤不加電,當(dāng)計算機(jī)在內(nèi)網(wǎng)工作時則相反,同時為了控制網(wǎng)絡(luò)用戶使用Modem和軟盤驅(qū)動器,只有當(dāng)用戶在外網(wǎng)工作時使用Modem,在內(nèi)網(wǎng)時使用軟盤驅(qū)動器。這樣就可以做到內(nèi)網(wǎng)和外網(wǎng)信息完全隔離。
圖11 安全隔離卡原理圖
根據(jù)上述原理,在信息安全隔離系統(tǒng)的基礎(chǔ)上再配置靈活的網(wǎng)絡(luò)選擇設(shè)備及接口,我們就可以構(gòu)建一個安全、經(jīng)濟(jì)、靈活、適用的網(wǎng)絡(luò)。根據(jù)用戶上網(wǎng)環(huán)境,可將安全網(wǎng)絡(luò)用戶分為三種類型:單機(jī)、雙網(wǎng)線和單網(wǎng)線,并分別對應(yīng)三種安全隔離設(shè)備。
隔離設(shè)備有安全隔離卡I、安全隔離卡II和安全隔離卡Ⅲ型,如圖12所示,它們分別有一個網(wǎng)絡(luò)接口、有兩個網(wǎng)絡(luò)接口和沒有網(wǎng)絡(luò)接口。
圖12 安全隔離卡
現(xiàn)有產(chǎn)品
1.京泰公司的物理隔離產(chǎn)品
北京京泰網(wǎng)絡(luò)科技有限公司以中科院計算所為技術(shù)背景,研制網(wǎng)絡(luò)安全和信息安全技術(shù)的硬件產(chǎn)品。該公司的物理隔離產(chǎn)品(安全隔離卡與安全集線器)已經(jīng)通過公安部、國家保密局和軍隊系統(tǒng)的檢測與鑒定。