醫(yī)院內(nèi)外網(wǎng)隔離方案_第1頁
醫(yī)院內(nèi)外網(wǎng)隔離方案_第2頁
醫(yī)院內(nèi)外網(wǎng)隔離方案_第3頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、內(nèi)外網(wǎng)隔離方案一、前言:所謂物理隔離,是指內(nèi)部網(wǎng)不得直接或間接地連接公共網(wǎng)即國際互聯(lián)網(wǎng)。眾所周知,國際互聯(lián)網(wǎng)是國際化、開放和互聯(lián)為特點(diǎn)的,而安全度和開放度永遠(yuǎn)是一對(duì)矛盾。雖然目前可以利用防火墻、代理服務(wù)器、入侵監(jiān)測等技術(shù)手段來抵御來自互聯(lián)網(wǎng)的非法入侵,但至今這些技術(shù)手段都還存在許多漏洞,還不能徹底保證內(nèi)網(wǎng)信息的絕對(duì)安全,只有使內(nèi)部網(wǎng)和公共網(wǎng)實(shí)現(xiàn)物理隔離,才能真正保證黨政機(jī)關(guān)的內(nèi)部信息網(wǎng)絡(luò)不受來自互聯(lián)網(wǎng)的黑客攻擊。此外,物理隔離也為政府內(nèi)部網(wǎng)劃定了明確的安全邊界,使得網(wǎng)絡(luò)的可控性增強(qiáng),便于內(nèi)部管理。二、現(xiàn)狀分析保密機(jī)關(guān)單位由于其工作的性質(zhì),所涉及到的一部分?jǐn)?shù)據(jù)資料必須處于完全的安全狀態(tài)下,然而工

2、作的需求還需聯(lián)入 internet,這樣就無法保證公司內(nèi)部局域網(wǎng)的安全。我公司依據(jù)上述情況,制定以下解決方案,以便參考。上述情況的唯一可行的解決方案就是物理隔離安全網(wǎng)和公共網(wǎng),現(xiàn)在國際上最新穎的物理隔離解決思路是:在同一時(shí)間、同一空間,單個(gè)用戶是不可能同時(shí)使用兩個(gè)系統(tǒng)的。所以,總有一個(gè)系統(tǒng)處于空閑狀態(tài)。只要使兩個(gè)系統(tǒng)在空間上物理隔離,在不同的時(shí)間運(yùn)行,就可以得到兩個(gè)完全物理隔離的系統(tǒng),即一個(gè)區(qū)連接外部網(wǎng),一個(gè)區(qū)連接內(nèi)部網(wǎng)。在方案一:用一根網(wǎng)線實(shí)現(xiàn)內(nèi)外網(wǎng)的傳輸方式,計(jì)算機(jī)用戶只使用單個(gè)硬盤,這種方式是絕大多數(shù)用戶所采用的。單硬盤網(wǎng)絡(luò)安全隔離卡。應(yīng)用此方案一個(gè)優(yōu)點(diǎn)就是可以免去另外布線。只需安裝網(wǎng)絡(luò)

3、安全隔離集線器與安裝了網(wǎng)絡(luò)安全隔離卡的安全計(jì)算機(jī)配合使用可以滿足對(duì)單網(wǎng)布線的要求,即桌面計(jì)算機(jī)只用一條網(wǎng)線就可連接到遠(yuǎn)端的雙網(wǎng)上。工作原理圖如下:具體實(shí)施物理隔離措施的過程當(dāng)中,為了避免使用兩套獨(dú)立的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng),做到物理隔離和使用方便相結(jié)合,實(shí)行物理隔離采用網(wǎng)絡(luò)隔離卡是一種簡單易行的方法。將一臺(tái)工作站或 pc 機(jī)的單個(gè)硬盤物理分割為兩個(gè)分區(qū),即公共區(qū)(public)和安全區(qū)(secure)。這些分區(qū)容量可以由用戶指定,因此使一臺(tái) pc 能連接兩個(gè)網(wǎng)絡(luò)。通過公共區(qū)連接外部網(wǎng),如 internet,主機(jī)只能使用硬盤的公共區(qū)與外部網(wǎng)連接,而此時(shí)與內(nèi)部網(wǎng)是斷開的,且硬盤安全區(qū)也是被封閉的。而安全區(qū)

4、則連接內(nèi)部網(wǎng),主機(jī)只能使用硬盤的安全區(qū)與內(nèi)部網(wǎng)連接,而此時(shí)與外部網(wǎng)(如 internet)連接是斷開的,且硬盤的公共區(qū)的通道是封閉的。兩個(gè)分區(qū)分別安裝各自的操作系統(tǒng),是兩個(gè)完全獨(dú)立的環(huán)境,操作者一次只能進(jìn)入其中一個(gè)系統(tǒng),從而實(shí)現(xiàn)內(nèi)外網(wǎng)的完全隔離。三、解決方案1、網(wǎng)絡(luò)安全隔離卡技術(shù)原理網(wǎng)絡(luò)安全隔離卡的功能即是以物理方式將一臺(tái)pc 虛擬為兩個(gè)電腦,實(shí)現(xiàn)工作站的雙重狀態(tài),既可在安全狀態(tài),又可在公共狀態(tài),兩個(gè)狀態(tài)是完全隔離的,從而使一部工作站可在完全安全狀態(tài)下聯(lián)結(jié)內(nèi)、外網(wǎng)。網(wǎng)絡(luò)安全隔離卡實(shí)際是被設(shè)置在pc 中最低的物理層上,通過卡上一邊的ide 總線聯(lián)結(jié)主板,另一邊聯(lián)結(jié) ide 硬盤,內(nèi)、外網(wǎng)的聯(lián)接均

5、須通過網(wǎng)絡(luò)安全隔離卡,pc 機(jī)硬盤被物理分隔成為兩個(gè)區(qū)域,在 ide 總線物理層上,在固件中控制磁盤通道,在任何時(shí)候,數(shù)據(jù)只能通往一個(gè)分區(qū)。在安全狀態(tài)時(shí),主機(jī)只能使用硬盤的安全區(qū)與內(nèi)部網(wǎng)聯(lián)結(jié),而此時(shí)外部網(wǎng)(如 internet)聯(lián)接是斷開的,且硬盤的公共區(qū)的通道是封閉的。在公共狀態(tài)時(shí),主機(jī)只能使用硬盤的公共區(qū),可以與外部網(wǎng)聯(lián)結(jié),而此時(shí)與內(nèi)部網(wǎng)是斷開的,且硬盤安全區(qū)也是被封閉的。轉(zhuǎn)換便捷當(dāng)兩種狀態(tài)轉(zhuǎn)換時(shí),是通過鼠標(biāo)點(diǎn)擊操作系統(tǒng)上的切換鍵,即進(jìn)入一個(gè)熱啟動(dòng)過程,切換時(shí),系統(tǒng)通過硬件重啟信號(hào)重新啟動(dòng),這樣,pc 的內(nèi)存所有數(shù)據(jù)被消除,兩個(gè)狀態(tài)分別是有獨(dú)立的操作系統(tǒng),并獨(dú)立導(dǎo)入,兩個(gè)硬盤分區(qū)不會(huì)同時(shí)激

6、活。數(shù)據(jù)交換為了安全的保證,兩個(gè)分區(qū)不能直接交換數(shù)據(jù),但是用戶可以通過我們的一個(gè)獨(dú)特的設(shè)計(jì),來安全方便地實(shí)現(xiàn)數(shù)據(jù)交換,即在兩個(gè)分區(qū)以外,網(wǎng)絡(luò)安全隔離在硬盤上另外設(shè)置了一個(gè)功能區(qū),功能區(qū)在 pc 處于不同的狀態(tài)下轉(zhuǎn)換,即在兩個(gè)狀態(tài)下,功能區(qū)均表現(xiàn)為硬盤的 d 盤,各個(gè)分區(qū)可以通過功能區(qū)作為一個(gè)過渡區(qū)來交換數(shù)據(jù)。當(dāng)然根據(jù)用戶需要,也可創(chuàng)建單向的安全通道,即數(shù)據(jù)只能從公共區(qū)向安全區(qū)轉(zhuǎn)移,但不能逆向轉(zhuǎn)移,從而保證安全區(qū)的數(shù)據(jù)安全。安全區(qū)控制基于安全威脅來自內(nèi)外兩方面的關(guān)系,即除了外來的黑客攻擊、病毒發(fā)布以外,系統(tǒng)內(nèi)部有意或無意的泄密,也是必須防止的威脅。因此,網(wǎng)絡(luò)安全隔離卡可以對(duì)安全區(qū)作只讀控制,即可

7、禁止內(nèi)部使用者以軟驅(qū)、光驅(qū)復(fù)制數(shù)據(jù)或纂改安全區(qū)的數(shù)據(jù)。技術(shù)的廣泛應(yīng)用由于網(wǎng)絡(luò)安全隔離卡是控制主 ide 總線,在 pc 機(jī)硬件最底層的基礎(chǔ)上,因此廣泛支持幾乎所有奔騰以及奔騰兼容芯片。由于網(wǎng)絡(luò)安全隔離卡是完全獨(dú)立于操作系統(tǒng)的,因此也支持幾乎所有主流的操作系統(tǒng)。 網(wǎng)絡(luò)安全隔離卡對(duì)網(wǎng)絡(luò)技術(shù)和協(xié)議完全透明,因此,對(duì)目前主要協(xié)議廣泛支持,如以太網(wǎng)、快速以太網(wǎng)、令牌環(huán)行網(wǎng)、光纖、atm、isdn、adsl。2、安裝與使用網(wǎng)絡(luò)安全隔離卡的安裝并不復(fù)雜,一般情況,并不需要改變用戶原有的網(wǎng)絡(luò)結(jié)構(gòu),安裝人員的技術(shù)水平要求相當(dāng)安裝普通網(wǎng)卡的水平。安裝網(wǎng)絡(luò)安全隔離卡,一般情況下,不必因?yàn)閾?dān)心丟失數(shù)據(jù),而去復(fù)制硬盤上數(shù)據(jù)。用戶的使用也只須接受簡單的培訓(xùn),不存在日后的維護(hù)問題。設(shè)備清單現(xiàn)狀:共有50臺(tái)客戶端,每臺(tái)客戶端都需要實(shí)現(xiàn)內(nèi)外網(wǎng)的訪問所需設(shè)備列表(1)兩組交換機(jī),每組共有50個(gè)端口以上(2)24口的網(wǎng)絡(luò)安全隔離集線器需要:7個(gè)(3)網(wǎng)絡(luò)安全隔離卡:50個(gè)(4)在同一個(gè)硬盤安裝兩套操作系統(tǒng)(5)內(nèi)外網(wǎng)的相互轉(zhuǎn)換應(yīng)用用

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論