内外网隔离网络安全解决方案

1、内外网隔离网络安全解决方案内外网隔离网络安全解决方案网络现状与安全隐患目前，大多数企业都安装有隔离卡等设备将企业分为两个网络:内网和外网，内网用作内部的办公自动化，外网用来对外发布信息、 获得因特网上的即时消息，以及用电子邮件进行信息交流。为了数据 的XX，内网和外网都通过隔离卡或网闸等方式实现内外网的物理隔 离，从一定程度上XX了内外网的混合使用造成的信息外泄。 如下图所示:Web11盘量列诵?网曙碾人云物g隅対*j帼 电：心爲壬丄峠： 、FTPMail图创：下恰忏K*政府电子段务物理隔离剧络然而，对于内网中移动存储介质的随意使用以及外部终端非法接入内网来泄露内部信息的安全隐患，仍然得不到解

2、决。存在的安全隐患主要有:1.移动存储介质泄密外来移动存储介质拷去内网信息;内网移动存储介质相互混用，造成泄密;涉密介质丢失造成泄密2. 终端造成泄密计算机终端各种端口的随意使用，造成泄密;外部终端非法接入内网泄密;内网终端非法XX外部网络泄密捍卫者解决方案<1> 终端外设端口管理1） 对于非常用端口：使用捍卫者US安全管理系统，根据具体情况将该终端的不常使 用的外设（如XX、XX、串口、并口等）设置为禁用或是只读（刻录 机，USB端口有该功能），一旦设定则无法从“设备管理器“启用, 只能通过捍卫者启用， 如下图所示部分终端外设禁用状态， 这样可以 有效的解决终端外设泄密。閨庾 酉

3、"昌31夷:a *-JX FAD06755D&492-】BVDZCT-EOH 嶽器Generic DTO-ROH SCSI CdKom Device1+ 号 IDE AIA/ATAPl SMS+奪SCSI和RAID控制器土 处理器+ y阳盘駆动器-6调制解调器 .St. -Jii :i. - . -y 端口 (ton 和 LFT)X通讯端口 COML)X iSiflSS 口 C0H2)+ j计算机+ § as视器1+二F*键盘£ 0声音、观频和游戏控制器t+竄标和苴它指卅设备+珞通用串行总线控制器-田冒网貉适配器 ADMttk AB983 10/100 P

4、CI Adtptar畛 Eealtek RTLS139/810k Family Fast Ethernet MIC+ J 设备I* §显示肯2) USB端口: 内网终端的USB端口建议设置为只读，这样外网使用的存储介质可以向内网拷贝数据，但是不能从内网终端拷贝出数据。 从防病毒考虑，也可以设置为完全禁用，这样只有授权存储介质才能根据授权使用，外部移动存储介质无法使用。<2>移动存储介质授权管理 对内部的移动存储介质进行统一的授权管理， 然后在根据需求设定当前USB端口的状态（即USB端口 XX），这样外来的移动存储介质在内部终端不可以使用或是只读，即解决了移动储存介质的随

5、意插拔使用又防止了木马、病毒的传播泛滥。在授权过程中， 首先选择给移动存储介质的使用范围， 可以分域 授权使用， 一对一或一对多的和终端绑定使用 （这样移动存储介质在 一定的范围内可以任意使用）；然后输入移动存储介质的保管者，明 确的将移动存储介质分配到个人管理； 最后还可以对移动存储介质添 加使用限制，如：授权使用几天、授权使用范围、累计使用天数等。这样在移动存储介质授权的过程中既明确了移动存储介质的保管者 丢失可以查询责任人又限定了使用范围。举例说明，某单位内网三个部门：信息中心、行政部、财务部， 移动存储介质A授权为信息中心，这样A只能在信息中心的计算机上 随意使用，移动存储介质C授权为

6、信息中心和财务部，这样C既能在 信息中心使用，也可以在财务部使用，而外来设备D则需要根据这三 个部门的计算机对端口的具体设置来决定使用情况， 做到了移动设备 的分部门管理及移动设备与计算机一对一、 一对多绑定使用。 除此之 外，A1若被授权为信息中心只读盘，则 A1只能在信息中心的计算机 上进行只读操作。如图 （3-2） 所示：图 3-2 分域授权使用存储介质示意图<3>U盘安全策略1 ）单位内部普通 u 盘使用设置：单位内部员工的使用普通 u 盘，通过软件对普通 u 盘授权，授权 过的u盘在内部匹配的计算机上可以正常使用，同时记录u盘的使用XX。（注：普通授权过的u盘在外部未安装

7、的软件上不收安全保护, 可以正常使用。）2）捍卫者专属 u 盘安全使用策略：计算机通过安装 usb 管理基础版软件后， 计算机端口设置为禁用 状态，外来 u 盘不可以在计算机上随意使用；购买专属 u 盘后，通过 对专属u盘授权，专属u盘即可以在授权匹配的安装基础版软件的计 算机上使用，需要内部计算机间流通的文件， 可以拷贝到专属 u 盘中， 专属 u 盘预设 xx 区， xx 区的数据在外部是不可以读取的，保护了 u 盘内的数据安全。若单位领导或外出人员需要打开 xx 区的数据，可 以选配带外携功能的专属u盘，带外携功能的专属u盘，在外部未安 装软件的计算机上可以通过密码打开 u盘。<4> 内网终端网络管理主要是通过软件方式设置可信网络， 该可信网络内部互信计算机 间可以正常相互访问， 非法计算机未经授权不能接入可信网络。 可信网络内部终端也不能非法 xx 非可信网络，另外此系统还可以管理网络外的其他形式对网络可信终端的访问如：XX、XX、串口、并口、USB接口等等，通过本系统一个组织可以低成本实现内外网软件隔离和终 端信息安全防护， 对于已经实施内外网物理隔离单位还可以作为终端 信息防护的解决方案，防止终端因为非法接入、 xx 导致泄密。口口内网授信网络合法终端合法终端合法终端/合法终端非法终端捍卫者终端安全及访问审计控制系统示意图以上两种解决方案可以作为模块组合为