医院内外网隔离方案.pdf

内外网隔离方案内外网隔离方案 一 前言 所谓物理隔离 是指内部网不得直接或间接地连接公共网即国际互联网 众所周知 国 际互联网是国际化 开放和互联为特点的 而安全度和开放度永远是一对矛盾 虽然目前可 以利用防火墙 代理服务器 入侵监测等技术手段来抵御来自互联网的非法入侵 但至今这 些技术手段都还存在许多漏洞 还不能彻底保证内网信息的绝对安全 只有使内部网和公共 网实现物理隔离 才能真正保证党政机关的内部信息网络不受来自互联网的黑客攻击 此外 物理隔离也为政府内部网划定了明确的安全边界 使得网络的可控性增强 便于内部管理 二 现状分析 保密机关单位由于其工作的性质 所涉及到的一部分数据资料必须处于完全的安全 状态下 然而工作的需求还需联入 INTERNET 这样就无法保证公司内部局域网的安全 我公司依据上述情况 制定以下解决方案 以便参考 上述情况的唯一可行的解决方案就是物理隔离安全网和公共网 现在国际上最新颖的物理隔 离解决思路是 在同一时间 同一空间 单个用户是不可能同时使用两个系统的 所以 总 有一个系统处于 空闲 状态 只要使两个系统在空间上物理隔离 在不同的时间运行 就可 以得到两个完全物理隔离的系统 即一个区连接外部网 一个区连接内部网 在方案一 用一根网线实现内外网的传输方式 计算机用户只使用单个硬盘 这种方式是绝 大多数用户所采用的 单硬盘网络安全隔离卡 应用此方案一个优点就是可以免去另外布线 只需安装网络安全隔 离集线器与安装了网络安全隔离卡的安全计算机配合使用可以满足对单网布线的要求 即桌 面计算机只用一条网线就可连接到远端的双网上 工作原理图如下 具体实施物理隔离措施的过程当中 为了避免使用两套独立的计算机网络系统 做到物理隔 离和使用方便相结合 实行物理隔离采用网络隔离卡是一种简单易行的方法 将一台工作站 或 pc 机的单个硬盘物理分割为两个分区 即公共区 public 和安全区 secure 这些分区 容量可以由用户指定 因此使一台 pc 能连接两个网络 通过公共区连接外部网 如 internet 主机只能使用硬盘的公共区与外部网连接 而此时与内部网是断开的 且硬盘安全区也是被 封闭的 而安全区则连接内部网 主机只能使用硬盘的安全区与内部网连接 而此时与外部 网 如 internet 连接是断开的 且硬盘的公共区的通道是封闭的 两个分区分别安装各自 的操作系统 是两个完全独立的环境 操作者一次只能进入其中一个系统 从而实现内外网 的完全隔离 三 解决方案 1 网络安全隔离卡技术原理 网络安全隔离卡的功能即是以物理方式将一台PC虚拟为两个电脑 实现工作站的双重状态 既可在安全状态 又可在公共状态 两个状态是完全隔离的 从而使一部工作站可在完全安 全状态下联结内 外网 网络安全隔离卡实际是被设置在PC中最低的物理层上 通过卡上一边的IDE总线联结主板 另一边联结 IDE硬盘 内 外网的联接均须通过网络安全隔离卡 PC 机硬盘被物理分隔成 为两个区域 在 IDE 总线物理层上 在固件中控制磁盘通道 在任何时候 数据只能通往 一个分区 在安全状态时 主机只能使用硬盘的安全区与内部网联结 而此时外部网 如 Internet 联 接是断开的 且硬盘的公共区的通道是封闭的 在公共状态时 主机只能使用硬盘的公共区 可以与外部网联结 而此时与内部网是断开的 且硬盘安全区也是被封闭的 转换便捷 当两种状态转换时 是通过鼠标点击操作系统上的切换键 即进入一个热启动过程 切换时 系统通过硬件重启信号重新启动 这样 PC的内存所有数据被消除 两个状态分别是有独 立的操作系统 并独立导入 两个硬盘分区不会同时激活 数据交换 为了安全的保证 两个分区不能直接交换数据 但是用户可以通过我们的一个独特的设计 来安全方便地实现数据交换 即在两个分区以外 网络安全隔离在硬盘上另外设置了一个功 能区 功能区在 PC 处于不同的状态下转换 即在两个状态下 功能区均表现为硬盘的 D 盘 各个分区可以通过功能区作为一个过渡区来交换数据 当然根据用户需要 也可创建单向的 安全通道 即数据只能从公共区向安全区转移 但不能逆向转移 从而保证安全区的数据安 全 安全区控制 基于安全威胁来自内外两方面的关系 即除了外来的黑客攻击 病毒发布以外 系统内部有 意或无意的泄密 也是必须防止的威胁 因此 网络安全隔离卡可以对安全区作只读控制 即可禁止内部使用者以软驱 光驱复制数据或纂改安全区的数据 技术的广泛应用 由于网络安全隔离卡是控制主 IDE总线 在 PC机硬件最底层的基础上 因此广泛支持几乎 所有奔腾以及奔腾兼容芯片 由于网络安全隔离卡是完全独立于操作系统的 因此也支持几乎所有主流的操作系统 网 络安全隔离卡对网络技术和协议完全透明 因此 对目前主要协议广泛支持 如以太网 快 速以太网 令牌环行网 光纤 ATM ISDN ADSL 2 安装与使用 网络安全隔离卡的安装并不复杂 一般情况 并不需要改变用户原有的网络结构 安装人员 的技术水平要求相当安装普通网卡的水平 安装网络安全隔离卡 一般情况下 不必因为 担心丢失数据 而去复制硬盘上数据 用户的使用也只须接受简单的培训 不存在日后的 维护问题 设备清单 现状 共有50台客户端 每台客户端都需要实现内外网的访问所需设备列表 1 两组交换机 每组共有50个端口以上 2 24口的网络安全隔离集线器需要 7个 3 网络安全隔离卡 50个 4 在同一个硬盘安装两套操作系统 5 内外网的相互转换应用用户