双网隔离解决方案.docx

双网隔离解决方案尊敬的院领导：根据最近一段时间对市场的调查和了解，目前在国内主要采用的双网隔离方案有三种，现在分别向院领导介绍一下这三种方案的优点和缺点，以供参考和决策：第一种：双机隔离；即每个办公室配备两台电脑，一台只上内网，一台只上外网，这是目前附属医院、第一人民医院及政府重要部门（公检法）所采用的方法，这种方案的优点就是能保证内网安全的情况下，还能保证保存在内网电脑上的数据不会通过网络外泄，同时不需要学习与双网隔离相关的必要操作，也是目前最安全的双网隔离方式。缺点：投资高，占用办公空间较大。备注：我院目前财务科和办公室（人事科）具备了上述条件。第二种：双网隔离卡；即在电脑内安装一台隔离设备（主流品牌市场价在400元左右），另配备一块硬盘(160G/SATA接口硬盘市场价350元左右，也是目前市面上价格最低廉的硬盘类型)，通过必要的隔离操作来确定是连接外网还是内网，上外网时连接内网的硬盘处于断电状态起到了物理隔离的作用。此方案优点：成本较低，能保护内网数据不外泄，也是大部分企事业单位最常用的隔离方案。缺点：操作繁琐，需要投资双份网络版防病毒软件系统来确保内网工作站的数据安全。备注：此方案除近期新购置的工作站可以实现外，其他办公室工作站因设备陈旧、相关配件在市场上已经消失多年（即使市面上还有销售的，也都是陈年老货，而且价格高于目前主流配件），并且有部分工作站因主机内部构造无法安装更多的硬盘而无法采用。（例如医教科、护理部等均是03年5月中旬配置的机器，时至今日硬件技术已更新了数代）第三种：双网切换器；即在电脑外安装一个切换设备，掰到外网开关上立即可以上网查询资料，再掰到内网开关上立即就能查询医院信息，此方案是07年后才开始逐渐兴起的隔离方案，我市部分政府机构已经开始使用此方案来解决双网隔离问题。此方案优点：价格便宜，该设备市场价一般在100多元，质量好的也就在200元附近，操作简单，一套网络版防病毒软件就能保护本机系统。缺点：按照此设备设计逻辑来分析（因没有使用经验，只能按照正常逻辑分析）会因为一段时间的频繁切换操作导致设备接触不良或者损坏，换句话说，此设备的更换频率会比前两者要高一些。涉密数据不能存在本机上，否则当连接上外网后有泄密的风险（利用文件加密技术能好一些，但不会完全避免）。备注：此方案我院所有类型的机器均可使用，只是此方案因共用一个操作系统，系统中毒后有可能会影响到内网，新核心服务器采用了更安全的保护措施能有效预防此方案实施后带来的风险，已将风险降到最低！即使中毒，对服务器及其他内网工作站的影响也很有限。以上三种方案均可对内网实现完全的物理隔离，对来自互联网的黑客攻击起到了绝对的安全保护。但无论实施哪种方案、无论采用功能多么强大的防病毒系统，如果操作员没有足够的网络安全意识、没有控制自我上网行为的能力及没养成良好的上网习惯，也无法避免病毒对网络的影响，甚至有可能给医院带来治安风险及政治风险！所以说，营造一个安全、稳定的网络环境需要全院职工的共同参与而非仅网络中心自己的事情。建议在双网隔离方案实施后，定期或不定期给涉外网工作站的操作人员进行培训，培训内容包括但不仅限于网络安全意识的建立与培养、如何养成良好的上网习惯、我国现阶段已经颁布实施的相关法律法规以及应承担的法律义务，例如公安部要求单位用户（包括政府机关及企事业单位）保留至少60天上网日志记录，以方便配合公安部门调查等制度。根据我院现在的综合布线情况，医技行政楼在网络拓扑结构上已经具备直接实施双网隔离的硬件基础了，新病房楼、北门诊楼、后勤楼及儿康楼的外网光缆已经到位，但缺少收发设备和交换机，如果按照现有设备标准要求上设备的话，还需要一万多元的投入。以现在的外网应用网络规模（北门诊楼和后勤楼各一个外网网点，分别是社防科及门诊部）投入万余元资金显然有些浪费，社防科和门诊部可以临时从机房直接出去两根屏蔽超五类(CAT5e)网线连接（社防科已经按此方法实施了），现在要做投入的就是新病房楼，本次改造光纤收发设备已经到位，要投入的只是一部交换机，因病房楼只有两个点需要上外网，故购买一个8口10/100Mbps交换机即可满足现有规模的需求，此等规格的交换机质量好点的市场价一般在300元以下，另加两对光纤跳线（一对几十元）新病房楼就能实现双网隔离了。下表列出了我院目前需要连接外网的工作站名称，其中包含了需要配备双网隔离设备的工作站：工作站名称上网类型数量所在位置卢院长办公室双网隔离1医技行政楼杜院长办公室双网隔离1医技行政楼邵院长办公室双网隔离1医技行政楼梅院长办公室双网隔离1医技行政楼财务科办公室外网1医技行政楼信息科办公室外网1医技行政楼院办公室外网1医技行政楼医教科双网隔离1医技行政楼医务科双网隔离1医技行政楼网络中心（网管）双网隔离1医技行政楼社防科外网1北门诊楼门诊部外网1后勤服务楼医保科（备注）外网3新病房楼九楼会议室外网1新病房楼出生证明外网1儿康楼儿童保健外网1儿康楼 备注：医保科的三台工作站分别是市医保、任城新农合及中区新城合，根据这三台工作站的互联网接入模式，网络中心已通过共享技术满足了各工作站的工作需要并与医保科工作人员协商后确定不需要投入双网隔离设备就能满足日常工作，利用市医保工作站的接入模式来实现共享内网数据。上表共有18台工作站需要连接外网，其中需要安装双网隔离设备的有7台。我院现使用的网络防病毒软件是赛门铁克公司开发的10用户企业版防病毒软件，而我院上外网的工作站总数已经快达到此软件管理范围的两倍，此软件于2007年9月4日注册使用，到2008年9月3日到期。在过期之前，网络中心将根据各工作站的工作任务分轻重缓急的部