您的位置:360文档中心› 内外网隔离网络安全解决方案

内外网隔离网络安全解决方案

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

内外网隔离网络安全解决方案

●网络现状与安全隐患

目前,大多数企业都安装有隔离卡等设备将企业分为两个网络:内网与外网,内网用作内部得办公自动化,外网用来对外发布信息、获得因特网上得即时消息,以及用电子邮件进行信息交流。为了数据得安全性,内网与外网都通过隔离卡或网闸等方式实现内外网得物理隔离,从一定程度上杜绝了内外网得混合使用造成得信息外泄.如下图所示:

然而,对于内网中移动存储介质得随意使用以及外部终端非法接入内网来泄露内部信息得安全隐患,仍然得不到解决。存在得安全隐患主要有:

1、移动存储介质泄密

◆外来移动存储介质拷去内网信息;

◆内网移动存储介质相互混用,造成泄密;

◆涉密介质丢失造成泄密

2、终端造成泄密

◆计算机终端各种端口得随意使用,造成泄密;

◆外部终端非法接入内网泄密;

◆内网终端非法外联外部网络泄密

●捍卫者解决方案

<1>终端外设端口管理

1)对于非常用端口:

使用捍卫者USB安全管理系统,根据具体情况将该终端得不常使用得外设 (如红外、蓝牙、串口、并口等)设置为禁用或就是只读(刻录机,USB端口有该功能),一旦设定则无法从“设备管理器“启用,只能通过捍卫者启用,如下图所示部分终端外设禁用状态,这样可以有效得解决终端外设泄密。

2)USB端口:

内网终端得USB端口建议设置为只读,这样外网使用得存储介质可以向内网拷贝数据,但就是不能从内网终端拷贝出数据。从防病毒考虑,也可以设置为完全禁用,这样只有授权存储介质才能根据授权使用,外部移动存储介质无法使用。

〈2〉移动存储介质授权管理

对内部得移动存储介质进行统一得授权管理,然后在根据需求设定当前USB端口得状态(即USB端口加密),这样外来得移动存储介质在内部终端不可以使用或就是只读,即解决了移动储存介质得随意插拔使用又防止了木马、病毒得传播泛滥。

在授权过程中,首先选择给移动存储介质得使用范围,可以分域授权使用,一对一或一对多得与终端绑定使用(这样移动存储介质在一定得范围内可以任意使用);然后输入移

动存储介质得保管者,明确得将移动存储介质分配到个人管理;最后还可以对移动存储介质添加使用限制,如:授权使用几天、授权使用范围、累计使用天数等。这样在移动存储介质授权得过程中既明确了移动存储介质得保管者丢失可以查询责任人又限定了使用范围。

举例说明,某单位内网三个部门:信息中心、行政部、财务部,移动存储介质A 授权为信息中心,这样A 只能在信息中心得计算机上随意使用,移动存储介质C 授权为信息中心与财务部,这样C 既能在信息中心使用,也可以在财务部使用,而外来设备D 则需要根据这三个部门得计算机对端口得具体设置来决定使用情况,做到了移动设备得分部门管理及移动设备与计算机一对一、一对多绑定使用.除此之外,A1若被授权为信息中心只读盘,则A1只能在信息中心得计算机上进行只读操作.如图(3-2)所示:

(正常使用)

(只能对移动设备内数据进行导出操作)

(正常使用)

(正常使用)

(盘被屏蔽,不能使用)(正常使用)

(盘被屏蔽,不能使用)(根据端口状态而定

禁用:不能使用

只读:只能导出盘内数据

开放:盘正常使用)

图3-2 分域授权使用存储介质示意图

<3〉U 盘安全策略

1)单位内部普通u盘使用设置:

单位内部员工得使用普通u 盘,通过软件对普通u盘授权,授权过得u 盘在内部匹配得计算机上可以正常使用,同时记录u 盘得使用日志.(注:普通授权过得u 盘在外部未安装得软件上不收安全保护,可以正常使用。)

2)捍卫者专属u 盘安全使用策略:

计算机通过安装u sb 管理基础版软件后,计算机端口设置为禁用状态,外来u 盘不可以

在计算机上随意使用;购买专属u盘后,通过对专属u 盘授权,专属u 盘即可以在授权匹配得安装基础版软件得计算机上使用,需要内部计算机间流通得文件,可以拷贝到专属u盘中,专属u 盘预设加密区,加密区得数据在外部就是不可以读取得,保护了u 盘内得数据安全.若单位领导或外出人员需要打开加密区得数据,可以选配带外携功能得专属u 盘,带外携功能得专属u 盘,在外部未安装软件得计算机上可以通过密码打开u 盘。

<4> 内网终端网络管理

主要就是通过软件方式设置可信网络,该可信网络内部互信计算机间可以正常相互访问,非法计算机未经授权不能接入可信网络。可信网络内部终端也不能非法外联非可信网络,另外此系统还可以管理网络外得其她形式对网络可信终端得访问如:红外、蓝牙、串口、并口、U SB接口等等,通过本系统一个组织可以低成本实现内外网软件隔离与终端信息安全防护,对于已经实施内外网物理隔离单位还可以作为终端信息防护得解决方案,防止终端因为非法接入、外联导致泄密。

合法终端

捍卫者终端安全及访问审计控制系统示意图 以上两种解决方案可以作为模块组合为一个系统,这样既解决了信息安全隐患,同时节约了成本,方便了安装与维护,除此之外,服务器支持多级级联,方便了管理,也可以适用大规模网络。

●适用范围

本方案可广泛适用于政府、监狱、证券、金融、大型企业等单位,具有极低得投资与极高得安全性,并且维护方便、升级简单。

相关文档
最新文档