内外网隔离网络安全解决方案

内外网隔离网络安全解决方案

2）USB端口：

内网终端的USB端口建议设置为只读，这样外网使用的存储介质可以向内网拷贝数据，但是不能从内网终端拷贝出数据。从防病毒考虑，也可以设置为完全禁用，这样只有授权存储介质才能根据授权使用，外部移动存储介质无法使用。

<2> 移动存储介质授权管理

对内部的移动存储介质进行统一的授权管理，然后在根据需求设定当前USB端口的状态（即USB端口加密），这样外来的移动存储介质在内部终端不可以使用或是只读，即解决了移动

储存介质的随意插拔使用又防止了木马、病毒的传播泛滥。

在授权过程中，首先选择给移动存储介质的使用范围，可以分域授权使用，一对一或一对多的和终端绑定使用（这样移动存储介质在一定的范围内可以任意使用）；然后输入移动存储介质的保管者，明确的将移动存储介质分配到个人管理；最后还可以对移动存储介质添加使用限制，如：授权使用几天、授权使用范围、累计使用天数等。这样在移动存储介质授权的过程中既明确了移动存储介质的保管者丢失可以查询责任人又限定了使用范围。

举例说明，某单位内网三个部门：信息中心、行政部、财务部，移动存储介质A授权为信息中心，这样A只能在信息中心的计算机上随意使用，移动存储介质C授权为信息中心和财务部，这样C既能在信息中心使用，也可以在财务部使用，而外来设备D则需要根据这三个部门的计算机对端口的具体设置来决定使用情况，做到了移动设备的分部门管理及移动设备与计算机一对一、一对多绑定使用。除此之外，A1若被授权为信息中心只读盘，则A1只能在信息中心的计

算机上进行只读操作。如图(3-2)所示：

服务器PC 信息中心

财务部

PC

行政部PC

A（正常使用）

A1（只能对移动设备内数据进行导出操作）

B

注释

A:信息中心的开放盘

A1：信息中心的只读盘

B：行政部的开放盘

C：信息中心与财务部通用盘D：外来盘

:正常使用

:受限使用

:不能使用

:根据具体情况而定

C（正常使用）

C（正常使用）

A（盘被屏蔽，不能使用）

B（正常使用）

C（盘被屏蔽，不能使用）

D（根据端口状态而定

禁用：不能使用

只读：只能导出盘内数据

开放：盘正常使用）

图3-2 分域授权使用存储介质示意图

<3>U盘安全策略

1）单位内部普通u盘使用设置：

单位内部员工的使用普通u盘，通过软件对普通u盘授权，授权过的u盘在内部匹配的计算机上可以正常使用，同时记录u盘的使用日志。（注：普通授权过的u盘在外部未安装的软件上不收安全保护，可以正常使用。）

2）捍卫者专属u盘安全使用策略：

计算机通过安装usb管理基础版软件后，计算机端口设置为禁用状态，外来u盘不可以在计

算机上随意使用；购买专属u盘后，通过对专属u盘授权，专属u盘即可以在授权匹配的安装基础版软件的计算机上使用，需要内部计算机间流通的文件，可以拷贝到专属u盘中，专属u盘预设加密区，加密区的数据在外部是不可以读取的，保护了u盘内的数据安全。若单位领导或外出人员需要打开加密区的数据，可以选配带外携功能的专属u盘，带外携功能的专属u盘，在外部未安装软件的计算机上可以通过密码打开u 盘。

<4> 内网终端网络管理

主要是通过软件方式设置可信网络，该可信网络内部互信计算机间可以正常相互访问，非法计算机未经授权不能接入可信网络。可信网络内部终端也不能非法外联非可信网络，另外此系统还可以管理网络外的其他形式对网络可信终端的访问如：红外、蓝牙、串口、并口、USB接口等等，通过本系统一个组织可以低成本实现内外网软件隔离和终端信息安全防护，对于已经实施内外网物理隔离单位还可以作为终端信息防护

的解决方案，防止终端因为非法接入、外联导致泄密。

外部非授信网络

合法终端

内网授信网络

合法终端

合法终端

合法终端

非法终端

捍卫者终端安全及访问审计控制系统示意图

以上两种解决方案可以作为模块组合为一个系统，这样既解决了信息安全隐患，同时节约了成本，方便了安装与维护，除此之外，服务器支持多级级联，方便了管理，也可以适用大规模网络。

●适用范围

本方案可广泛适用于政府、监狱、证券、金融、大型企业等单位，具有极低的投资和极高的安全性，并且维护方便、升级简单。