典型案例分析
某銀行的總行下設多個分行����,分行除了通過網(wǎng)絡與總行進行業(yè)務往來以外,分行的員工還需要通過總行專線直接登錄Internet,頻繁地登錄Internet會誘發(fā)各種安全隱患���。在未實行物理隔離時其結(jié)構(gòu)如圖9所示��。
圖9 未實施物理隔離時的網(wǎng)絡結(jié)構(gòu)
起初為了確保信息安全,該銀行采用強制手段來限制員工登錄外網(wǎng)���,甚至設立專門的訪問Internet的辦公室����。這樣一來,不僅降低工作效率���,而且由于分行均通過專線上網(wǎng)�,還會產(chǎn)生昂貴的專線上網(wǎng)費用���。該銀行需要一個既可以進行外網(wǎng)隔離���,又能夠確保安全上網(wǎng)的物理隔離解決方案。
根據(jù)該銀行的網(wǎng)絡狀況(單網(wǎng)線環(huán)境及通信方式)和應用需求�����,韓國三星計算機安全公司為其提供了一個性價比很高的解決方案���。
1)在總行安裝NetSwitchn-M.將內(nèi)部網(wǎng)和互聯(lián)網(wǎng)進行徹底的物理隔離���。
2)總行下的若干分行安裝NetSwitchU-R產(chǎn)品。NetSwitchU-R產(chǎn)品可將各分行的內(nèi)部網(wǎng)和互聯(lián)網(wǎng)物理隔離。只有當分行需要與總行進行業(yè)務聯(lián)系時��,才與總行服務器進行連接����。各分行若登錄Internet,則可通過NetSwitchH-R的WAN接口連接互聯(lián)網(wǎng),無須借用總行專線上網(wǎng)�,這樣大大降低了總行專線上網(wǎng)的成本。而且由于眾多分行均通過NetSwitchII-R提供的WAN接口上網(wǎng)����,專線帶寬占用量少,總行還可以在保證總行業(yè)務正常運行的情況下適當降低帶寬速率�����。除此之外�,NetSwitchII-R本身還內(nèi)置SwitchingHub和防火墻功能,使各分行網(wǎng)絡安全建設成本又進一步降低���。確保內(nèi)�����、外網(wǎng)資源完全隔離并毫不相干���,網(wǎng)絡管理員可方便地控制Internet的訪問行為。
NetSwitchII-M和NetSwitchII-R的組合�,不僅能實現(xiàn)網(wǎng)絡的物理隔離,而且還是一個構(gòu)建網(wǎng)絡安全高性價比的解決方案���。實施物理隔離后的網(wǎng)絡結(jié)構(gòu)如圖10所示���。
圖10 實施物理隔離后的網(wǎng)絡結(jié)構(gòu)
安全隔離卡原理與分類
通過前面的敘述可知,對安全隱患最根本的解決辦法是使用兩套物理設備來分別處理涉密和非涉密信息���。但這樣做設備投入將非常大���,同時設備的利用率很低。通過仔細分析可以發(fā)現(xiàn)�����,兩套計算機系統(tǒng)分別在內(nèi)網(wǎng)(涉密網(wǎng))和外網(wǎng)(Internet)上工作所具有的安全性主要表現(xiàn)在具有兩套獨立工作的信息存儲系統(tǒng)���,那么只要在一臺計算機上具有兩套獨立的存儲系統(tǒng)就能夠滿足安全的需求�,因此我們可以通過設計安全隔離系統(tǒng)來保證信息系統(tǒng)的安全����。
安全隔離系統(tǒng)的基本原理如圖11所示�����。在一臺計算機上安裝一塊安全隔離卡和兩塊硬盤�,兩塊硬盤和軟盤驅(qū)動器的電源線連接在安全隔離卡上��,通過手動或軟件控制安全隔離卡上的開關接通軟盤或硬盤等存儲設備的電源�。當計算機在外網(wǎng)工作時,外網(wǎng)硬盤加電工作���,內(nèi)網(wǎng)硬盤不加電��,當計算機在內(nèi)網(wǎng)工作時則相反�,同時為了控制網(wǎng)絡用戶使用Modem和軟盤驅(qū)動器����,只有當用戶在外網(wǎng)工作時使用Modem,在內(nèi)網(wǎng)時使用軟盤驅(qū)動器。這樣就可以做到內(nèi)網(wǎng)和外網(wǎng)信息完全隔離��。
圖11 安全隔離卡原理圖
根據(jù)上述原理����,在信息安全隔離系統(tǒng)的基礎上再配置靈活的網(wǎng)絡選擇設備及接口�,我們就可以構(gòu)建一個安全�����、經(jīng)濟����、靈活�、適用的網(wǎng)絡。根據(jù)用戶上網(wǎng)環(huán)境��,可將安全網(wǎng)絡用戶分為三種類型:單機�����、雙網(wǎng)線和單網(wǎng)線����,并分別對應三種安全隔離設備。
隔離設備有安全隔離卡I����、安全隔離卡II和安全隔離卡Ⅲ型,如圖12所示���,它們分別有一個網(wǎng)絡接口���、有兩個網(wǎng)絡接口和沒有網(wǎng)絡接口�。
圖12 安全隔離卡
現(xiàn)有產(chǎn)品
1.京泰公司的物理隔離產(chǎn)品
北京京泰網(wǎng)絡科技有限公司以中科院計算所為技術背景�,研制網(wǎng)絡安全和信息安全技術的硬件產(chǎn)品。該公司的物理隔離產(chǎn)品(安全隔離卡與安全集線器)已經(jīng)通過公安部�����、國家保密局和軍隊系統(tǒng)的檢測與鑒定�。
