华为FusionCloud多网隔离方案

监管部门要求金融机构业务网络与办公网络实施隔离，但没明确限制为物理还是逻辑分区
4
公安行业需求：
公安城域网包括内部的公安专网和外部的INTERNET两部分。
公安内网是独立于互联网的应用专网，与外网的连接采用物 理隔离方式。在既要访问互联网又要访问公安网络的机器上面安 装了物理隔离设备
。
5
物理隔离安全需求分析
双PC存在的各类弊端
数据驻留客户端本地 易致造成错误的网络连接 客户端本地易受攻击 客户端存储影响用户数据安全可靠 成本高昂、维护困难
Enterprise
11
Internet
Content
1 2
3 4
双网隔离的需求 双网隔离传统方案 数据中心双网隔离方案 瘦终端双网隔离方案 全网组合方案
电子政务系统包含着大量的国家机密内容。因此，电子政务系统涉及涉密网络 与非涉密网络之间的连接，也有政府办公外网与非涉密网的连接，故拓扑结构 非常复杂。要根据涉密规定作具体分析。接入方式分为物理隔离、逻辑隔离、 基于物理隔离的数据交换等几种不同形式，原则上办公单位与数据中心的连接 均用防火墙进行逻辑隔离，保证可信的数据传输及对非法访问的拒绝。
12
5
数据中心 安全隔方案简介
按照客户对安全性的要求和设备网络的共享程度，在数据中心和接入网络， 在数据中心，有三种方案： 物理隔离方案：两套或多套物理计算单元和存储单元，两套或多套桌面云管理系统， 虚拟机间通过物理网络进行隔离。 集群隔离方案：一套物理计算单元和存储单元，一套云管理系统，虚拟机通过集群 方式隔离。 逻辑隔离方案：一套物理计算单元和存储单元，一套桌面云管理系统，虚拟机通过 VLAN、防火墙ACL进行逻辑隔离，使用双账号或者多虚拟机进行隔离。
8
Internet
传统双网隔离解决方案-双硬盘形式
双硬盘形式存在的各类弊端
双硬盘/双系统 数据驻留客户端本地 易致造成错误的网络连接
内网硬盘
外网硬盘
客户端本地易受攻击 客户端存储影响用户数据安全可靠 双系统切换时间长
Enterprise
9
Internet
传统双网隔离解决方案-双PC形式
3
金融行业：银监会指引文件 — 要求金融机构业务网络与办公网络 实施隔离

银行业金融机构信息系统风险管理指引2006

第二十五条 银行业金融机构应加强网络安全管理。生产网络与开发测试网络、业务网络与办公网络、内 部网络与外部网络应实施隔离；加强无线网、互联网接入边界控制；使用内容过滤、身份认证、防火墙、 病毒防范、入侵检测、漏洞扫描、数据加密等技术手段，有效降低外部攻击、信息泄漏等风险。
物理隔离在安全上主要有以下3点要求： （1）在物理传导上使内外网络隔断，确保外部网络不能通过网络连接而侵入内 部网络；同时防止内部网络信息通过网络连接泄漏到外部网络。
（2）在物理辐射上隔断内部网络与外部网络，确保内部网络信息不会通过电磁 辐射或耦合方式泄漏到外部网络。
（3）在物理存储上隔断两个网络环境，对于断电后会遗失信息的部件，如内存、 处理器等暂存部件，要在网络转换时清除处理，防止残留信息出网；对于断电非遗 失性设备如磁带机、硬盘等存储设备，内部网与外部网要分开存储。
13
数据中心全部物理隔离
涉密网云平台
VM VM FusionSphere
Байду номын сангаас办公内网云平台
VM VM FusionSphere
办公外网云平台
VM
VM
FusionSphere
物 理 隔 离
物 理 隔 离
14
集群隔离，共用管理节点
云管理FusionManager(主备)
桌面管理FusionAccess(主备)
2
政府行业的三张网
政务内网: 政府的内部办公业务信息网，处理政府部门间涉密信息。政务内网是涉密网络，主 要运行国家秘密和工作秘密信息。 政务专网: 党政机关的非涉密内部办公网，主要用于机关非涉密公文、信息的传递和业务流转， 政务专网不是涉密网，又可实现广泛的内部互联，还可与外网实现安全信息交换。 政务外网: 政府对外服务的业务专网，与国际互联网通过防火墙逻辑隔离，主要用于机关访问 国际互联网，发布政府公开信息，受理、反馈公众请求和运行安全级别不需要在政务专网运营 的业务。 从承建部门来看，只有两个网：政务内网和政务外网。 1：保密局负责建设政务内网: 加密机+MPLS+物理隔离（网闸也不许连），务是涉密的。 2：国家/省信息中心（发改委下属）负责建设政务外网，包含“专网”和“外网”，20+部委 采用MPLS隔离，不加密。专网运行内部公文、办公系统；外网即互联网服务区，防止各种对 外的网站、服务系统，也有公务员的上网PC；专网和外网用网闸隔离。
IT基础服务
AD DNS DHCP
涉密网集群VRM（主备）
VM VM VM VM VM VM CNA CNA SAN
逻辑集群
办公内网集群VRM（主备）
VM VM VM VM VM VM CNA CNA SAN
逻辑集群
办公外网集群VRM（主备）
6
Content
1 2
3 4
双网隔离的需求 双网隔离传统方案 数据中心双网隔离方案 瘦终端双网隔离方案 全网组合方案
7
5
传统双网隔离解决方案-硬盘隔离卡形式
硬盘隔离卡技术存在的各类弊端
数据驻留客户端本地 易致造成错误的网络连接 客户端本地易受攻击 客户端存储影响用户数据安全可靠 方案整体稳定可靠性差 双系统切换时间长 Enterprise

商业银行信息科技风险管理指引2009

第二十四条 商业银行应根据信息安全级别，将网络划分为不同的逻辑安全域（以下简称为域）。应该对 下列安全因素进行评估，并根据安全级别定义和评估结果实施有效的安全控制，如对每个域和整个网络进 行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等
华为FusionCloud多网隔离方案
Content
1 2
3 4 5
双网隔离的需求 双网隔离传统方案 数据中心双网隔离方案 瘦终端双网隔离方案 全网组合方案
1
政府行业需求：电子政务网隔离需求
国家保密局发布的《计算机信息系统国际联网保安管理规定》中第二章第六条 规定：“涉及国家秘密的计算机系统，不得直接或间接地与国际互联网或其他 公共信息网络相连接，必须实行物理隔离”