典型案例分析
某銀行的總行下設(shè)多個(gè)分行����,分行除了通過(guò)網(wǎng)絡(luò)與總行進(jìn)行業(yè)務(wù)往來(lái)以外�,分行的員工還需要通過(guò)總行專(zhuān)線直接登錄Internet,頻繁地登錄Internet會(huì)誘發(fā)各種安全隱患���。在未實(shí)行物理隔離時(shí)其結(jié)構(gòu)如圖9所示。
圖9 未實(shí)施物理隔離時(shí)的網(wǎng)絡(luò)結(jié)構(gòu)
起初為了確保信息安全��,該銀行采用強(qiáng)制手段來(lái)限制員工登錄外網(wǎng)��,甚至設(shè)立專(zhuān)門(mén)的訪問(wèn)Internet的辦公室��。這樣一來(lái)�,不僅降低工作效率,而且由于分行均通過(guò)專(zhuān)線上網(wǎng)���,還會(huì)產(chǎn)生昂貴的專(zhuān)線上網(wǎng)費(fèi)用�����。該銀行需要一個(gè)既可以進(jìn)行外網(wǎng)隔離�����,又能夠確保安全上網(wǎng)的物理隔離解決方案�。
根據(jù)該銀行的網(wǎng)絡(luò)狀況(單網(wǎng)線環(huán)境及通信方式)和應(yīng)用需求�,韓國(guó)三星計(jì)算機(jī)安全公司為其提供了一個(gè)性價(jià)比很高的解決方案。
1)在總行安裝NetSwitchn-M.將內(nèi)部網(wǎng)和互聯(lián)網(wǎng)進(jìn)行徹底的物理隔離。
2)總行下的若干分行安裝NetSwitchU-R產(chǎn)品���。NetSwitchU-R產(chǎn)品可將各分行的內(nèi)部網(wǎng)和互聯(lián)網(wǎng)物理隔離����。只有當(dāng)分行需要與總行進(jìn)行業(yè)務(wù)聯(lián)系時(shí)�����,才與總行服務(wù)器進(jìn)行連接����。各分行若登錄Internet,則可通過(guò)NetSwitchH-R的WAN接口連接互聯(lián)網(wǎng),無(wú)須借用總行專(zhuān)線上網(wǎng)�����,這樣大大降低了總行專(zhuān)線上網(wǎng)的成本��。而且由于眾多分行均通過(guò)NetSwitchII-R提供的WAN接口上網(wǎng)�,專(zhuān)線帶寬占用量少,總行還可以在保證總行業(yè)務(wù)正常運(yùn)行的情況下適當(dāng)降低帶寬速率��。除此之外�����,NetSwitchII-R本身還內(nèi)置SwitchingHub和防火墻功能����,使各分行網(wǎng)絡(luò)安全建設(shè)成本又進(jìn)一步降低。確保內(nèi)�、外網(wǎng)資源完全隔離并毫不相干,網(wǎng)絡(luò)管理員可方便地控制Internet的訪問(wèn)行為����。
NetSwitchII-M和NetSwitchII-R的組合,不僅能實(shí)現(xiàn)網(wǎng)絡(luò)的物理隔離�����,而且還是一個(gè)構(gòu)建網(wǎng)絡(luò)安全高性價(jià)比的解決方案���。實(shí)施物理隔離后的網(wǎng)絡(luò)結(jié)構(gòu)如圖10所示��。
圖10 實(shí)施物理隔離后的網(wǎng)絡(luò)結(jié)構(gòu)
安全隔離卡原理與分類(lèi)
通過(guò)前面的敘述可知����,對(duì)安全隱患最根本的解決辦法是使用兩套物理設(shè)備來(lái)分別處理涉密和非涉密信息�����。但這樣做設(shè)備投入將非常大,同時(shí)設(shè)備的利用率很低���。通過(guò)仔細(xì)分析可以發(fā)現(xiàn)�,兩套計(jì)算機(jī)系統(tǒng)分別在內(nèi)網(wǎng)(涉密網(wǎng))和外網(wǎng)(Internet)上工作所具有的安全性主要表現(xiàn)在具有兩套獨(dú)立工作的信息存儲(chǔ)系統(tǒng)�����,那么只要在一臺(tái)計(jì)算機(jī)上具有兩套獨(dú)立的存儲(chǔ)系統(tǒng)就能夠滿足安全的需求�,因此我們可以通過(guò)設(shè)計(jì)安全隔離系統(tǒng)來(lái)保證信息系統(tǒng)的安全。
安全隔離系統(tǒng)的基本原理如圖11所示�����。在一臺(tái)計(jì)算機(jī)上安裝一塊安全隔離卡和兩塊硬盤(pán)����,兩塊硬盤(pán)和軟盤(pán)驅(qū)動(dòng)器的電源線連接在安全隔離卡上,通過(guò)手動(dòng)或軟件控制安全隔離卡上的開(kāi)關(guān)接通軟盤(pán)或硬盤(pán)等存儲(chǔ)設(shè)備的電源�。當(dāng)計(jì)算機(jī)在外網(wǎng)工作時(shí),外網(wǎng)硬盤(pán)加電工作�����,內(nèi)網(wǎng)硬盤(pán)不加電,當(dāng)計(jì)算機(jī)在內(nèi)網(wǎng)工作時(shí)則相反���,同時(shí)為了控制網(wǎng)絡(luò)用戶使用Modem和軟盤(pán)驅(qū)動(dòng)器,只有當(dāng)用戶在外網(wǎng)工作時(shí)使用Modem,在內(nèi)網(wǎng)時(shí)使用軟盤(pán)驅(qū)動(dòng)器���。這樣就可以做到內(nèi)網(wǎng)和外網(wǎng)信息完全隔離����。
圖11 安全隔離卡原理圖
根據(jù)上述原理�,在信息安全隔離系統(tǒng)的基礎(chǔ)上再配置靈活的網(wǎng)絡(luò)選擇設(shè)備及接口,我們就可以構(gòu)建一個(gè)安全�、經(jīng)濟(jì)、靈活����、適用的網(wǎng)絡(luò)。根據(jù)用戶上網(wǎng)環(huán)境��,可將安全網(wǎng)絡(luò)用戶分為三種類(lèi)型:?jiǎn)螜C(jī)�、雙網(wǎng)線和單網(wǎng)線,并分別對(duì)應(yīng)三種安全隔離設(shè)備�。
隔離設(shè)備有安全隔離卡I、安全隔離卡II和安全隔離卡Ⅲ型���,如圖12所示���,它們分別有一個(gè)網(wǎng)絡(luò)接口��、有兩個(gè)網(wǎng)絡(luò)接口和沒(méi)有網(wǎng)絡(luò)接口���。
圖12 安全隔離卡
現(xiàn)有產(chǎn)品
1.京泰公司的物理隔離產(chǎn)品
北京京泰網(wǎng)絡(luò)科技有限公司以中科院計(jì)算所為技術(shù)背景,研制網(wǎng)絡(luò)安全和信息安全技術(shù)的硬件產(chǎn)品���。該公司的物理隔離產(chǎn)品(安全隔離卡與安全集線器)已經(jīng)通過(guò)公安部����、國(guó)家保密局和軍隊(duì)系統(tǒng)的檢測(cè)與鑒定�。
