内外网隔离网络安全解决方案

1、内外网隔离网络平安解决方案网络现状与平安隐患目前，大多数企业都安装有隔离卡等设备将企业分为两个网络：内网和外网，内网用作内部的办公自动化， 外网用来对外发布信息、 获得因特网上的即时消息，以及用电子邮件进行信息交流。为了数据的平安性，内网和外网都通过隔离卡或网闸等方式实现内外网的物理隔离，从一定程度上杜绝了内外网的混合使用造成的信息外泄。如下列图所示：W I:Mail政府电子政务恸目隔离网蠕1n|-F+-nei1丈t枷花屮恰 啾人式伽曳事鶴网M然而，对于内网中移动存储介质的随意使用以及外部终端非法接入内网来泄露内部信 息的平安隐患，仍然得不到解决。存在的平安隐患主要有：1.移动存储介质泄密外来

2、移动存储介质拷去内网信息；内网移动存储介质相互混用，造成泄密；涉密介质丧失造成泄密2.终端造成泄密计算机终端各种端口的随意使用，造成泄密;外部终端非法接入内网泄密；内网终端非法外联外部网络泄密保卫者解决方案<1>终端外设端口管理1对于非常用端口:使用保卫者us平安管理系统，根据具体情况将该终端的不常使用的外设如红外、蓝牙、串口、并口等设置为禁用或是只读刻录机，US喘口有该功能，一旦设定那么无法从“设备管理器“启用，只能通过保卫者启用，如下列图所示局部终端外设禁用状态，这样可以有效的解决终端外设泄密。口回貝型 文件® 廉作® 查着迪 関口 稱助旦计第机管理计茸机昔

3、理体地融系領工具+捆事件查看器* Q共享立件来+聖本地用户和组+羁性能日志和警报 蚤设备苣理器 工存储+習可移动存話B磁盘碎片整理程序 密磁盘管理10效劳和应用程序算视盘计监讒-割 FA0DET55ABD飙號-,> DVL/CD-ROH 3動器 .彗 Generic DVD-RDII SCSI CdKom Device* J IDE ATA/ATAPI 控UM器+爲SCSI和RAID控制器+ 处理器+ *脱盘菠动器-L调制解调器-y端口血和u-TX通讯谛口 OM1y jSffliSQCOM2庄Ji+ 4f+ A+内 声音S观频和游戏控制器+鼠标和耳它指¥t设备+曲通用串行总线授

4、制器-理网貉适配器 些切毗胡 AH83 10/100 PCI Ad«ttarRe al lek RTL8139/810x Family Fast Ethernet NIC甲4累理设备+ 显示卡2USB端 口：内网终端的USB端口建议设置为只读，这样外网使用的存储介质可以向内网拷贝数据，但是不能从内网终端拷贝出数据。从防病毒考虑，也可以设置为完全禁用，这样只有授权存储介质才能根据授权使用，外部移动存储介质无法使用。<2>移动存储介质授权管理对内部的移动存储介质进行统一的授权管理，然后在根据需求设定当前 USB端口的状态即USB端口加密，这样外来的移动存储介质在内部终端不可以

5、使用或是只读，即解决了 移动储存介质的随意插拔使用又防止了木马、病毒的传播泛滥。在授权过程中，首先选择给移动存储介质的使用范围，可以分域授权使用，一对一或;然后输入移一对多的和终端绑定使用这样移动存储介质在一定的范围内可以任意使用动存储介质的保管者，明确的将移动存储介质分配到个人管理；最后还可以对移动存储介质添加使用限制，如：授权使用几天、授权使用范围、累计使用天数等。这样在移动存储介质 授权的过程中既明确了移动存储介质的保管者丧失可以查询责任人又限定了使用范围。举例说明，某单位内网三个部门：信息中心、行政部、财务部，移动存储介质A授权为信息中心，这样A只能在信息中心的计算机上随意使用，移动存

6、储介质 C授权为信息中心和财务部，这样C既能在信息中心使用， 也可以在财务部使用， 而外来设备D那么需要根据这三 个部门的计算机对端口的具体设置来决定使用情况，做到了移动设备的分部门管理及移动设备与计算机一对一、一对多绑定使用。除此之外，A1假设被授权为信息中心只读盘，那么A1只能在信息中心的计算机上进行只读操作。如图3-2所示:信息中心a半效劳器PC财务部PCA行政部PCO正常使用O只能对移动设备内数据进行导岀操作O盘被屏蔽，不能使用O正常使用正常使用O盘被屏蔽，不能使用O正常使用盘被屏蔽，不能使用根据端口状态而定禁用：不能使用 只读：只能导岀盘内数据 开放：盘正常使用注释A:信息中心的开放

7、盘A1：信息中心的只读盘B:行政部的开放盘C:信息中心与财务部通用盘D:外来盘:正常使用:受限使用:不能使用:根据具体情况而定图3-2分域授权使用存储介质示意图<3>U盘平安策略1单位内部普通 u盘使用设置：单位内部员工的使用普通 u盘，通过软件对普通 u盘授权，授权过的u盘在内部匹配的 计算机上可以正常使用，同时记录 u盘的使用日志。注：普通授权过的 u盘在外部未安装 的软件上不收平安保护，可以正常使用。 2保卫者专属u盘平安使用策略：计算机通过安装usb管理根底版软件后，计算机端口设置为禁用状态，外来u盘不可以在计算机上随意使用； 购置专属u盘后，通过对专属U盘授权，专属U盘即

8、可以在授权匹配 的安装根底版软件的计算机上使用，需要内部计算机间流通的文件，可以拷贝到专属u盘中，专属u盘预设加密区，加密区的数据在外部是不可以读取的，保护了 u盘内的数据平安。 假设单位领导或外出人员需要翻开加密区的数据，可以选配带外携功能的专属 u盘，带外携功能的专属u盘，在外部未安装软件的计算机上可以通过密码翻开u盘。<4>内网终端网络管理主要是通过软件方式设置可信网络，该可信网络内部互信计算机间可以正常相互访问，非法计算机未经授权不能接入可信网络。可信网络内部终端也不能非法外联非可信网络，另外此系统还可以管理网络外的其他形式对网络可信终端的访问如：红外、蓝牙、串口、并口、USB接口等等，通过本系统一个组织可以低本钱实现内外网软件隔离和终端信息平安防护， 对于已经实施内外网物理隔离单位还可以作为终端信息防护的解决方案，防止终端因为非法接入、外联导致泄密。合法终端非法终端保卫者终端平安及访问审计控制系统示意图以上两种解决方案可以作为