内外网隔离网络安全解决方案.docx

内外网隔离网络安全解决方案●网络现状与安全隐患目前,大多数企业都安装有隔离卡等设备将企业分为两个网络:内网和外网,内网用作内部的办公自动化,外网用来对外发布信息、获得因特网上的即时消息,以及用电子邮件进行信息交流。为了数据的安全性,内网和外网都通过隔离卡或网闸等方式实现内外网的物理隔离,从一定程度上杜绝了内外网的混合使用造成的信息外泄。如下图所示:然而,对于内网中移动存储介质的随意使用以及外部终端非法接入内网来泄露内部信息的安全隐患,仍然得不到解决。 存在的安全隐患主要有:移动存储介质泄密◆外来移动存储介质拷去内网信息;◆内网移动存储介质相互混用,造成泄密;◆涉密介质丢失造成泄密终端造成泄密◆计算机终端各种端口的随意使用,造成泄密;◆外部终端非法接入内网泄密;◆内网终端非法外联外部网络泄密●捍卫者解决方案<1>终端外设端口管理1)对于非常用端口:使用捍卫者USB安全管理系统,根据具体情况将该终端的不常使用的外设(如红外、蓝牙、串口、并口等)设置为禁用或是只读(刻录机,USB端口有该功能),一旦设定则无法从“设备管理器“启用,只能通过捍卫者启用, 如下图所示部分终端外设禁用状态,这样可以有效的解决终端外设泄密。2)USB端口:内网终端的 USB端口建议设置为只读,这样外网使用的存储介质可以向内网拷贝数据,但是不能从内网终端拷贝出数据。 从防病毒考虑,也可以设置为完全禁用, 这样只有授权存储介质才能根据授权使用,外部移动存储介质无法使用。<2>移动存储介质授权管理对内部的移动存储介质进行统一的授权管理, 然后在根据需求设定当前 USB端口的状态(即USB端口加密),这样外来的移动存储介质在内部终端不可以使用或是只读,即解决了移动储存介质的随意插拔使用又防止了木马、病毒的传播泛滥。在授权过程中,首先选择给移动存储介质的使用范围,可以分域授权使用,一对一或一对多的和终端绑定使用(这样移动存储介质在一定的范围内可以任意使用) ;然后输入移动存储介质的保管者, 明确的将移动存储介质分配到个人管理; 最后还可以对移动存储介质添加使用限制,如:授权使用几天、授权使用范围、累计使用天数等。这样在移动存储介质授权的过程中既明确了移动存储介质的保管者丢失可以查询责任人又限定了使用范围。举例说明,某单位内网三个部门:信息中心、行政部、财务部,移动存储介质 A授权为信息中心,这样A只能在信息中心的计算机上随意使用, 移动存储介质 C授权为信息中心和财务部,这样C既能在信息中心使用, 也可以在财务部使用, 而外来设备 D则需要根据这三个部门的计算机对端口的具体设置来决定使用情况, 做到了移动设备的分部门管理及移动设备与计算机一对一、一对多绑定使用。除此之外, A1若被授权为信息中心只读盘,则 A1只能在信息中心的计算机上进行只读操作。如图 (3-2)所示:A(正常使用)A1(只能对移动设备内数据进行导出操作)信息中心注释B(盘被屏蔽,不能使用)A:信息中心的开放盘C(正常使用)A1:信息中心的只读盘B:行政部的开放盘C:信息中心与财务部通用盘C(正常使用)D:外来盘:正常使用:受限使用服务器PC财务部PC:不能使用(盘被屏蔽,不能使用):根据具体情况而定AB(正常使用)C(盘被屏蔽,不能使用)行政部PCD(根据端口状态而定禁用:不能使用只读:只能导出盘内数据开放:盘正常使用)图