內外網隔離網絡安全解決方案

內外網隔離網絡安全解決方案●網絡狀與安全隱目前，大多數企業(yè)都安裝有隔離卡等設備將企業(yè)分為兩個網絡：內網和外網，內網用作內部的辦公自動化外網用來外發(fā)布信息獲得因特網上的即時消息以及用電子郵件進行信息交流了數據的安全性網和外網都通過隔離卡或網閘等方式實現內外網的物理隔離，從一定程度上杜絕了內外網的混合使用造成的信息外泄。如下圖所示：然而，對于內網中移動存儲介質的隨意使用以及外部終端非法接入內網來泄露內部信息的安全隱患，仍然得不到解決。存的安全隱患主要有：1.移動儲介質泄密◆外來移動存儲介質拷去內網信息；◆內網移動存儲介質相互混用，造成泄密；◆涉密介質丟失造成泄密2.終端成泄密◆計算機終端各種端口的隨意使用，造成泄密；◆外部終端非法接入內網泄密；◆內網終端非法外聯(lián)外部網絡泄密●捍衛(wèi)解決方案終端設口理1)對于

使用者根具體情況將終端的不常使用的外設（紅外、藍牙、串口、并口等）設置為禁用或是只讀（刻錄機口有該功能旦定則無法從“設備管理器“啟用，只能通過捍衛(wèi)者啟用圖所示部分終端外設禁用狀態(tài)，這樣可以有效的解決終端外設泄密。2端口：內網終端的端建議設置為讀，這樣外網使用的存儲介質可以向內網拷貝數據，但是不能從內網終端拷貝出數據防病毒考慮也可以設置為完全禁用這只有授權存儲介質才能根據授權使用，外部移動存儲介質無法使用。移動儲質權理對內部的移動存儲介質進行統(tǒng)一的授權管理根據需求設定當前USB端口的狀態(tài)（即USB端加密樣外來移動存儲介質在內部終端不可以使用或是只讀，即解決了移動儲存介質的隨意插拔使用又防止了木馬、病毒的傳播泛濫。在授權過程中，首先選擇給移動存儲介質的使用范圍，可以分域授權使用，一對一或一對多的和終端綁定使用（這樣移動存儲介質在一定的范圍內可以任意使用輸入移動存儲介質的保管者確將動存儲介質分配到個人管理后可以對移動存儲介質

添加使用限制，如：授權使用幾天、授權使用范圍、累計使用天數等。這樣在移動存儲介質授權的過程中既明確了移動存儲介質的保管者丟失可以查詢責任人又限定了使用范圍。舉例說明，某單位內網三個部門：信息中心、行政部、財務部，移動存儲介授為信息中心這樣A只在信息中心的計算機上隨意使用動儲介質C授為信息中心和財務部這樣C既在信息中心用也以在財務部使用而外來設備D則需根據這三個部門的計算機對端口的具體設置來決定使用情況了移動設備的分部門管理及移動設備與計算機一對一、一對多綁定使用。除此之外若被權為信息中心只讀盤，則A1只能在信息中心的計算機上進行只讀操作。如(3-2)所示：A（正常使用）A1（只操作器C

部C部C

B（盤被屏蔽，不能使用）C（正常使用）C（正常使用）A（盤被屏蔽，不B（正常使用）C（盤被屏蔽，不

圖3-2分域授權使用存儲介質示意圖<3>U盤全略1）單位內部普通u盤使設置：單位內部員工的使用普通u盤過軟件對普通u授權權過的u盤內部匹配的計算機上可以正常使用，同時記錄u盤使用日志：普通授權過的u盤外部未安裝的軟件上不收安全保護，可以正常使用2）捍衛(wèi)者專屬u盤全使用策略：計算機通過安裝usb管理基礎版件后算機端口設置為禁用狀態(tài)來u盤不可以在計算機上隨意使用購買專屬后通過對專屬授權專u盤可以在授權匹配

的安裝基礎版軟件的計算機上使用部計算機間流通的文件拷到專屬u盤，專屬u盤設加密區(qū)加區(qū)的數據在外部是不可以讀取的護了u盤的數據安全若單位領導或外出人員需要打開加密區(qū)的數據以選配帶外攜功能的專屬u盤帶攜功能的專屬盤在外部未安裝軟件的計算機上可以通過密碼打開u盤內網端絡理主要是通過軟件方式設置可信網絡，該可信網絡內部互信計算機間可以正常相互訪問，非法計算機未經授權不能接入可信網絡信絡內部終端也不能非法外聯(lián)非可信網絡外此系統(tǒng)還可以管理網絡外的其他形式對網絡可信終端的訪問如外牙口口USB接口等等，通過本系統(tǒng)一個織可以低成本實現內外網軟件隔離和終端信息安全防護，對于已經實施內外網物理隔離單位還可以作為終端信息防護的解決方案終端因為非法接入、外聯(lián)導致泄密。非法終端捍衛(wèi)者終端安全及訪問審計控制系統(tǒng)示意圖以上兩種解決方案可以作為模塊組合為一個系統(tǒng)樣解決了信息安全隱患時節(jié)約了成本，方便了安裝與維護，