本文介紹8種物理隔離技術(shù)的方案�,供讀者參考���。
1.專線接入方案
通過專線上網(wǎng)�����,使用防火墻保護整個內(nèi)部網(wǎng)絡(luò)系統(tǒng)�,將外網(wǎng)隔離在防火墻之外���,方案的結(jié)構(gòu)如圖1所示����。
圖1所示的方式存在兩方面的安全漏洞:一是防火墻自身的不安全性,一些高水平的黑客軟件能突破防火墻�;二是在受防火墻保護的內(nèi)網(wǎng)中,若未涉密用戶終端通過Modem撥號連接Internet,如果其他終端沒有采取任何防范措施����,則會使整個網(wǎng)絡(luò)暴露在黑客眼下,造成嚴(yán)重的泄密����。
這種方案使用了兩套獨立的布線系統(tǒng),但計算機依靠網(wǎng)絡(luò)拔插的方式輪流登錄涉密網(wǎng)絡(luò)或因特網(wǎng)�����,方式存在的問題是:在使用的終端計算機上只有一套硬盤系統(tǒng)�����,當(dāng)該計算機訪問外網(wǎng)時���,會受到各種駐留式黑客病毒的入侵��,當(dāng)該計算機在內(nèi)網(wǎng)工作時會將病毒傳播到內(nèi)網(wǎng).當(dāng)計算機再次上網(wǎng)將造成網(wǎng)上信息大量泄密����,同時該計算機上的信息在訪問外網(wǎng)時將完全暴露�。
圖1 專線接入方案
2.雙硬盤隔離方案
在實施物理隔離過程中,用戶可以選擇雙硬盤隔離技術(shù)方案�����。其基本思想是:客戶端安裝兩塊硬盤�����,當(dāng)用戶登錄內(nèi)網(wǎng)時����,內(nèi)網(wǎng)硬盤有效��,外網(wǎng)硬盤無效���;用戶登錄外網(wǎng)時����,外網(wǎng)硬盤有效,內(nèi)網(wǎng)硬盤無效���。根據(jù)網(wǎng)絡(luò)的不同����,該方案又可以分為單網(wǎng)方案和雙網(wǎng)方案��。單網(wǎng)方案在網(wǎng)絡(luò)選擇端添加了安全集線器���,該集線器負(fù)責(zé)與客戶端通信�����,并根據(jù)用戶的選擇連通內(nèi)外網(wǎng)絡(luò)�����。該方案具有部署簡單���、使用方便的特點,適合大多數(shù)普通用戶采用�。方案的結(jié)構(gòu)如圖2所示����。
3.三網(wǎng)間隔離方案
很多企事業(yè)單位的內(nèi)部財務(wù)網(wǎng)是一個相對獨立的網(wǎng)絡(luò)��,與內(nèi)部辦公網(wǎng)絡(luò)隔離��,并且當(dāng)該網(wǎng)用戶登錄互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡(luò)時���,需要在財務(wù)網(wǎng)、內(nèi)網(wǎng)和外部互聯(lián)網(wǎng)三網(wǎng)之間進行切換���。該方案具有三網(wǎng)隔離能力���,部署簡單,適合內(nèi)部還有獨立小網(wǎng)絡(luò)的用戶采用��。其結(jié)構(gòu)如圖3所示���。
4.對外提供服務(wù)的隔離方案
許多單位在要求內(nèi)外網(wǎng)隔離的同時能夠提供電子報稅等對外服務(wù)�。當(dāng)外部Web服務(wù)器在接受互聯(lián)網(wǎng)上發(fā)來的電子稅表時����,會接通外部網(wǎng)絡(luò)���,斷開內(nèi)部網(wǎng)絡(luò),電子稅表暫存在本地��,當(dāng)滿足了一定條件后�,才會斷開外部網(wǎng)絡(luò)�,接通內(nèi)部網(wǎng)絡(luò),把電子稅表轉(zhuǎn)發(fā)到內(nèi)部業(yè)務(wù)系統(tǒng)中����,同時從內(nèi)部網(wǎng)絡(luò)接受上次內(nèi)部業(yè)務(wù)系統(tǒng)處理完成的電子稅表。交換完畢后�����,再次斷開內(nèi)部網(wǎng)絡(luò)�����,接通外部網(wǎng)絡(luò)�,接受新的電子稅表。這種方式就好像用戶在河的兩岸����,通過一艘船來回傳遞兩岸的貨物����,而不會存在直接連接兩岸的橋梁或者船只同時?�?績砂兜膯栴},這樣既保證了對外服務(wù)需求�����,又保證了網(wǎng)絡(luò)安全�。該方案在實現(xiàn)物理隔離的同時�,能夠提供對外服務(wù)。其結(jié)構(gòu)如圖4所示��。
圖2 雙硬盤隔離方案 圖3 三網(wǎng)間隔離方案
圖4 能提供對外服務(wù)的隔離方案
5.基于無盤系統(tǒng)的隔離方案
一些用戶希望在做到內(nèi)外網(wǎng)隔離的同時能加強內(nèi)部管理�,防止內(nèi)部用戶泄漏單位秘密。有這種需求的用戶��,可以采用基于無盤系統(tǒng)的隔離方案����。該方案采用單硬盤方式,當(dāng)用戶登錄內(nèi)網(wǎng)時����,無盤啟動系統(tǒng)通過網(wǎng)絡(luò)從服務(wù)器上啟動操作系統(tǒng)���,同時屏蔽本地的硬盤、光驅(qū)和軟驅(qū)等存儲設(shè)備�����,用戶所見的硬盤實際上是服務(wù)器分配給用戶的硬盤鏡像���,客戶端相當(dāng)于一個瘦終端�����。這樣��,內(nèi)部用戶無法通過本地下載���、拆卸硬盤等手段竊取內(nèi)部信息。該方案在做到內(nèi)外網(wǎng)隔離的同時�����,能有效防止內(nèi)部網(wǎng)絡(luò)的信息泄密。其結(jié)構(gòu)如圖5所示��。
6.單機接入方案
針對單機用戶��,一般使安全隔離卡HI型�,配備雙硬盤。其結(jié)構(gòu)如圖6所示���。
