內(nèi)外網(wǎng)隔離網(wǎng)絡(luò)安全解決方案參考模板

1、內(nèi)外網(wǎng)隔離網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)現(xiàn)狀與安全隱患目前，大多數(shù)企業(yè)都安裝有隔離卡等設(shè)備將企業(yè)分為兩個(gè)網(wǎng)絡(luò)：內(nèi)網(wǎng)和外網(wǎng)，內(nèi)網(wǎng)用作內(nèi)部的辦公自動(dòng)化，外網(wǎng)用來(lái)對(duì)外發(fā)布信息、獲得因特網(wǎng)上的即時(shí)消息，以及用電子郵件進(jìn)行信息交流。為了數(shù)據(jù)的安全性，內(nèi)網(wǎng)和外網(wǎng)都通過(guò)隔離卡或網(wǎng)閘等方式實(shí)現(xiàn)內(nèi)外網(wǎng)的物理隔離，從一定程度上杜絕了內(nèi)外網(wǎng)的混合使用造成的信息外泄。如下圖所示： 然而，對(duì)于內(nèi)網(wǎng)中移動(dòng)存儲(chǔ)介質(zhì)的隨意使用以及外部終端非法接入內(nèi)網(wǎng)來(lái)泄露內(nèi)部信息的安全隱患，仍然得不到解決。 存在的安全隱患主要有： 1. 移動(dòng)存儲(chǔ)介質(zhì)泄密 外來(lái)移動(dòng)存儲(chǔ)介質(zhì)拷去內(nèi)網(wǎng)信息；內(nèi)網(wǎng)移動(dòng)存儲(chǔ)介質(zhì)相互混用，造成泄密；涉密介質(zhì)丟失造成泄密 2. 終

2、端造成泄密 計(jì)算機(jī)終端各種端口的隨意使用，造成泄密； 外部終端非法接入內(nèi)網(wǎng)泄密；內(nèi)網(wǎng)終端非法外聯(lián)外部網(wǎng)絡(luò)泄密捍衛(wèi)者解決方案<1> 終端外設(shè)端口管理1 / 61)對(duì)于非常用端口：使用捍衛(wèi)者USB安全管理系統(tǒng)，根據(jù)具體情況將該終端的不常使用的外設(shè) （如紅外、藍(lán)牙、串口、并口等）設(shè)置為禁用或是只讀（刻錄機(jī)，USB端口有該功能），一旦設(shè)定則無(wú)法從“設(shè)備管理器“啟用，只能通過(guò)捍衛(wèi)者啟用，如下圖所示部分終端外設(shè)禁用狀態(tài)，這樣可以有效的解決終端外設(shè)泄密。 2）USB端口：內(nèi)網(wǎng)終端的USB端口建議設(shè)置為只讀，這樣外網(wǎng)使用的存儲(chǔ)介質(zhì)可以向內(nèi)網(wǎng)拷貝數(shù)據(jù)，但是不能從內(nèi)網(wǎng)終端拷貝出數(shù)據(jù)。從防病毒考慮，也可

3、以設(shè)置為完全禁用，這樣只有授權(quán)存儲(chǔ)介質(zhì)才能根據(jù)授權(quán)使用，外部移動(dòng)存儲(chǔ)介質(zhì)無(wú)法使用。<2> 移動(dòng)存儲(chǔ)介質(zhì)授權(quán)管理 對(duì)內(nèi)部的移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行統(tǒng)一的授權(quán)管理，然后在根據(jù)需求設(shè)定當(dāng)前USB端口的狀態(tài)（即USB端口加密），這樣外來(lái)的移動(dòng)存儲(chǔ)介質(zhì)在內(nèi)部終端不可以使用或是只讀，即解決了移動(dòng)儲(chǔ)存介質(zhì)的隨意插拔使用又防止了木馬、病毒的傳播泛濫。 在授權(quán)過(guò)程中，首先選擇給移動(dòng)存儲(chǔ)介質(zhì)的使用范圍，可以分域授權(quán)使用，一對(duì)一或一對(duì)多的和終端綁定使用（這樣移動(dòng)存儲(chǔ)介質(zhì)在一定的范圍內(nèi)可以任意使用）；然后輸入移動(dòng)存儲(chǔ)介質(zhì)的保管者，明確的將移動(dòng)存儲(chǔ)介質(zhì)分配到個(gè)人管理；最后還可以對(duì)移動(dòng)存儲(chǔ)介質(zhì)添加使用限制，如：授權(quán)使

4、用幾天、授權(quán)使用范圍、累計(jì)使用天數(shù)等。這樣在移動(dòng)存儲(chǔ)介質(zhì)授權(quán)的過(guò)程中既明確了移動(dòng)存儲(chǔ)介質(zhì)的保管者丟失可以查詢責(zé)任人又限定了使用范圍。舉例說(shuō)明，某單位內(nèi)網(wǎng)三個(gè)部門：信息中心、行政部、財(cái)務(wù)部，移動(dòng)存儲(chǔ)介質(zhì)A授權(quán)為信息中心，這樣A只能在信息中心的計(jì)算機(jī)上隨意使用，移動(dòng)存儲(chǔ)介質(zhì)C授權(quán)為信息中心和財(cái)務(wù)部，這樣C既能在信息中心使用，也可以在財(cái)務(wù)部使用，而外來(lái)設(shè)備D則需要根據(jù)這三個(gè)部門的計(jì)算機(jī)對(duì)端口的具體設(shè)置來(lái)決定使用情況，做到了移動(dòng)設(shè)備的分部門管理及移動(dòng)設(shè)備與計(jì)算機(jī)一對(duì)一、一對(duì)多綁定使用。除此之外，A1若被授權(quán)為信息中心只讀盤，則A1只能在信息中心的計(jì)算機(jī)上進(jìn)行只讀操作。如圖(3-2)所示： 圖3-2 分

5、域授權(quán)使用存儲(chǔ)介質(zhì)示意圖<3>U盤安全策略1）單位內(nèi)部普通u盤使用設(shè)置：?jiǎn)挝粌?nèi)部員工的使用普通u盤，通過(guò)軟件對(duì)普通u盤授權(quán)，授權(quán)過(guò)的u盤在內(nèi)部匹配的計(jì)算機(jī)上可以正常使用，同時(shí)記錄u盤的使用日志。（注：普通授權(quán)過(guò)的u盤在外部未安裝的軟件上不收安全保護(hù)，可以正常使用。）2）捍衛(wèi)者專屬u盤安全使用策略：計(jì)算機(jī)通過(guò)安裝usb管理基礎(chǔ)版軟件后，計(jì)算機(jī)端口設(shè)置為禁用狀態(tài)，外來(lái)u盤不可以在計(jì)算機(jī)上隨意使用；購(gòu)買專屬u盤后，通過(guò)對(duì)專屬u盤授權(quán)，專屬u盤即可以在授權(quán)匹配的安裝基礎(chǔ)版軟件的計(jì)算機(jī)上使用，需要內(nèi)部計(jì)算機(jī)間流通的文件，可以拷貝到專屬u盤中，專屬u盤預(yù)設(shè)加密區(qū)，加密區(qū)的數(shù)據(jù)在外部是不可以讀取

6、的，保護(hù)了u盤內(nèi)的數(shù)據(jù)安全。若單位領(lǐng)導(dǎo)或外出人員需要打開加密區(qū)的數(shù)據(jù)，可以選配帶外攜功能的專屬u盤，帶外攜功能的專屬u盤，在外部未安裝軟件的計(jì)算機(jī)上可以通過(guò)密碼打開u盤。<4> 內(nèi)網(wǎng)終端網(wǎng)絡(luò)管理主要是通過(guò)軟件方式設(shè)置可信網(wǎng)絡(luò)，該可信網(wǎng)絡(luò)內(nèi)部互信計(jì)算機(jī)間可以正常相互訪問(wèn)，非法計(jì)算機(jī)未經(jīng)授權(quán)不能接入可信網(wǎng)絡(luò)?？尚啪W(wǎng)絡(luò)內(nèi)部終端也不能非法外聯(lián)非可信網(wǎng)絡(luò)，另外此系統(tǒng)還可以管理網(wǎng)絡(luò)外的其他形式對(duì)網(wǎng)絡(luò)可信終端的訪問(wèn)如：紅外、藍(lán)牙、串口、并口、USB接口等等，通過(guò)本系統(tǒng)一個(gè)組織可以低成本實(shí)現(xiàn)內(nèi)外網(wǎng)軟件隔離和終端信息安全防護(hù)，對(duì)于已經(jīng)實(shí)施內(nèi)外網(wǎng)物理隔離單位還可以作為終端信息防護(hù)的解決方案，防止終端因?yàn)榉欠ń尤?、外?lián)導(dǎo)致泄密。 捍衛(wèi)者終端安全及訪問(wèn)審計(jì)控制系統(tǒng)示意圖以上兩種解決方案可以作為模塊組合為一個(gè)系統(tǒng)，這樣既解決了信息安全隱患，同時(shí)節(jié)約了成本，方便了安