内外网隔离网络安全解决方案

1、内外网隔离网络安全解决方案 网络现状与安全隐患 目前，大多数企业都安装有隔离卡等设备将企业分为两个网络：内网和外网，内网用 作内部的办公自动化， 外网用来对外发布信息、 获得因特网上的即时消息， 以及用电子邮件 进行信息交流。 为了数据的安全性， 内网和外网都通过隔离卡或网闸等方式实现内外网的物 理隔离，从一定程度上杜绝了内外网的混合使用造成的信息外泄。如下图所示： 然而，对于内网中移动存储介质的随意使用以及外部终端非法接入内网来泄露内部信 息的安全隐患，仍然得不到解决。 存在的安全隐患主要有： 1. 移动存储介质泄密 外来移动存储介质拷去内网信息； 内网移动存储介质相互混用，造成泄密； 涉密

2、介质丢失造成泄密 2. 终端造成泄密 计算机终端各种端口的随意使用，造成泄密； 外部终端非法接入内网泄密； 内网终端非法外联外部网络泄密 捍卫者解决方案 终端外设端口管理 1）对于非常用端口： 使用捍卫者US安全管理系统，根据具体情况将该终端的不常使用的外设（如红外、蓝牙、 串口、并口等）设置为禁用或是只读（刻录机，US喘口有该功能），一旦设定则无法从“设 备管理器“启用，只能通过捍卫者启用， 如下图所示部分终端外设禁用状态，这样可以有效 的解决终端外设泄密。 2）USB端 口： 内网终端的USB端口建议设置为只读，这样外网使用的存储介质可以向内网拷贝数据， 但是不能从内网终端拷贝出数据。 从

3、防病毒考虑， 也可以设置为完全禁用， 这样只有授权存储介质才能根据授权使用，外部移动存储介质无法使用。 移动存储介质授权管理 对内部的移动存储介质进行统一的授权管理，然后在根据需求设定当前 USB端口的状态 （即USB端口加密），这样外来的移动存储介质在内部终端不可以使用或是只读，即解决了 移动储存介质的随意插拔使用又防止了木马、病毒的传播泛滥。 在授权过程中，首先选择给移动存储介质的使用范围，可以分域授权使用，一对一或 一对多的和终端绑定使用（这样移动存储介质在一定的范围内可以任意使用）；然后输入移 动存储介质的保管者，明确的将移动存储介质分配到个人管理；最后还可以对移动存储介质 添加使用限

4、制，如：授权使用几天、授权使用范围、累计使用天数等。这样在移动存储介质 授权的过程中既明确了移动存储介质的保管者丢失可以查询责任人又限定了使用范围。 举例说明，某单位内网三个部门：信息中心、行政部、财务部，移动存储介质A授权为 信息中心，这样A只能在信息中心的计算机上随意使用，移动存储介质 C授权为信息中心和 财务部，这样C既能在信息中心使用， 也可以在财务部使用， 而外来设备D则需要根据这三 个部门的计算机对端口的具体设置来决定使用情况，做到了移动设备的分部门管理及移动设 备与计算机一对一、一对多绑定使用。除此之外，A1若被授权为信息中心只读盘，则A1只 能在信息中心的计算机上进行只读操作。

5、如图（3-2）所示： 行政部PC D O （正常使用） O （只能对移动设备内数据进行导岀操作） O （盘被屏蔽，不能使用） O （正常使用） O （正常使用） Q （盘被屏蔽，不能使用） O （正常使用） O （盘被屏蔽，不能使用） O （根据端口状态而定 禁用：不能使用 只读：只能导岀盘内数据 开放：盘正常使用） A:信息中心的开放盘 A1：信息中心的只读盘 B:行政部的开放盘 C：信息中心与财务部通用盘 D:外来盘 F言正常使用 :受限使用 :不能使用 （:根据具体情况而定 图3-2分域授权使用存储介质示意图 U盘安全策略 1）单位内部普通 u 盘使用设置： 单位内部员工的使用普通 u盘

6、，通过软件对普通 u盘授权，授权过的u盘在内部匹配的 计算机上可以正常使用，同时记录 u盘的使用日志。（注：普通授权过的 u盘在外部未安装 的软件上不收安全保护，可以正常使用。 ） 2）捍卫者专属 u 盘安全使用策略： 计算机通过安装 usb 管理基础版软件后， 计算机端口设置为禁用状态， 外来 u 盘不可以 在计算机上随意使用； 购买专属u盘后，通过对专属u盘授权，专属u盘即可以在授权匹配 的安装基础版软件的计算机上使用，需要内部计算机间流通的文件， 可以拷贝到专属u盘中， 专属u盘预设加密区，加密区的数据在外部是不可以读取的，保护了 u盘内的数据安全。 若 单位领导或外出人员需要打开加密区

7、的数据，可以选配带外携功能的专属 u盘，带外携功能 的专属 u 盘，在外部未安装软件的计算机上可以通过密码打开 u 盘。 内网终端网络管理 主要是通过软件方式设置可信网络，该可信网络内部互信计算机间可以正常相互访问， 非法计算机未经授权不能接入可信网络。 可信网络内部终端也不能非法外联非可信网络， 另 外此系统还可以管理网络外的其他形式对网络可信终端的访问如：红外、蓝牙、串口、并口、 USB接口等等，通过本系统一个组织可以低成本实现内外网软件隔离和终端信息安全防护， 对于已经实施内外网物理隔离单位还可以作为终端信息防护的解决方案，防止终端因为非法 接入、外联导致泄密。 合法终端 合法终端 捍卫者终端安全及访问审计控制系统示意图 同时节 以上两种解决方案可以作为模块组合为一个系统，这样既解决了信息安全隐