科先达物理隔离方案

    企业安全解决方案的制定是建立在对现有上网方式进行安全分析基础上的，只有找出现有上网方式存在的隐患，有针对性的采取对策，才能建立相对安全的网络体系。

目前，企业上网主要有拨号上网和专线上网两种方式，主要安全隐患有三个：

1．指定个别机拨号上网。此方式只是在软盘或其他移动载体上读写涉密信息，但许多软件在工作时会在磁盘上存放临时工作文件，如果该机在工作的同时也上网，软盘或其他移动载体上的信息也可以被网上用户浏览到，造成泄密。

2．是通过专线上网，使用防火墙保护整个内部网络系统，将外网隔离在防火墙外。

    此方式存在两方面的安全漏洞:一是防火墙自身的不安全性，一些先进的黑客软件能突破防火墙；二是在受防火墙保护的内网中，若未涉密用户终端通过Modem拨号进入Internet，如果其他终端没有采取任何防范措施，则会使整个网络暴露无遗，造成严重的泄密。

3．是虽然使用了两套独立的布线系统，其中某些计算机依靠网线拔插的方式轮流登录涉密网和因特网。此方式存在的问题是：在使用的终端计算机上只有一套硬盘系统，当该计算机访问外网时会受到各种驻留式黑客病毒的入侵，当该计算机在内网上工作时会将病毒传播到内网上，当计算机再次上网将造成网上信息大量泄密，同时该计算机上的信息在访问外网时将完全暴露。

    综合分析上述安全隐患，最根本的解决办法是使用两套物理设备来分别处理涉密和非涉密信息。但这样做设备投入将非常大，同时设备的利用率很低。通过仔细分析可以发现，两套计算机系统分别在内网（涉密网）和外网（Internet）上工作所具有的安全性主要表现在具有两套独立工作的信息存储系统，那么只要在一台计算机上具有两套独立的存储系统就能够满足安全的需求，因此我们可以通过设计安全隔离系统来保证信息系统的安全。

    针对这3种现存的网络结构，我们提出了以下的解决方案：单机物理隔离技术和企业级物理隔离隔离系统。

单机物理隔离技术
    单机级物理隔离技术实现了内、外网的物理隔离，较好地满足了内网用户访问internet和收发邮件的需求。但是不能在内、外网隔离的前提下实现联机、动态、准实时的数据交换。
 
企业级物理隔离技术
    近一两年才在国内发展起来的企业级物理隔离技术通过专用硬件使得联机、动态、准实时的数据交换在内、外网隔离的条件下得以实现。

    企业级物理隔离系统包括内网处理单元、外网处理单元和专用隔离硬件卡三个部分。系统中的专用隔离硬件卡分别连接内网处理单元和外网处理单元，这种独特设计保证了专用隔离硬件卡中的数据暂存区在任一时刻仅连通内网或者外网，既实现了内外网的物理隔离，又实现了数据的联机、动态和准实时交换。与单机级物理隔离技术的另一不同之处是，企业物理隔离是在网关处而不是在客户端处实施隔离。通常来说，企业级物理隔离技术还能够集成安全操作系统、入侵监测内核、病毒查杀技术、身份认证、访问控制和安全审计等多种安全技术，利用软硬一体的安全机制转发内外网之间的数据，对传输数据的类型、内容等进行严格的检查和过滤。在保证内网与外网安全物理隔离的同时，该技术使用户做到安全收发外部邮件和浏览外部网页，或者进行其他类型的数据交换。目前，企业级物理隔离技术因受专用硬件切换时间的限制，网络延迟时间大约有几十秒左右，数据交换是准实时的，随着技术的快速发展，这种延迟将会被缩短至毫秒内，届时将会实现数据的实时交换。企业级物理隔离系统部署于内部网络与不信任网络之间。

单内网单机物理隔离技术解决方案
    这种方案适合小型的单网结构的局域网。在一些小规模的政府部门中，由于功能比较单一，只有部分工作站节点机需要单独通过Modem等拨号设备接入Internet网。这样可以在需要接入Internet的工作站节点计算机上安装物理隔离产品，让其能够在与网络隔离的状态下拨号上网，确保内部网络的安全。 

单网络单机物理隔离技术解决方案图

双网单机物理隔离技术解决方案
    这种方案适合中大型机构的局域网布局。针对网络分为内部涉密网和外部公共网的政府机构，其中公共网通过集中出口连接Internet（通常有防火墙、入侵检测及防病毒等安全措施），部分计算机需要能够接入两个网络，但同时又要保证内外网的完全物理隔离。 
  

双网单机物理隔离技术解决方案图

企业级物理隔离技术解决方案
    国家有关政策规定，政府上网必须实行网络的内外网划分，及实现内外网的物理隔离。这是解决政府信息化过程中机密信息安全问题的必要方法。
 
    电子政务系统是面向政府机关、企事业单位和社会公众的、基于互联网技术的信息处理系统。该系统通过机关内部处理流程模拟、协作以及受理各类申请、投诉和建议来实现政务，各类数据库是电子政务系统的应用基础。电子政务的各个环节都对安全性有很高的要求，尤其是在电子政务网上审批环节中，既需要保证审批数据库的高度安全性，又要把外部数据库的数据及时准确地交换进来。在采用企业级物理隔离技术以前，数据库的数据交换通常采用人工和定时拨号两种方式进行，安全性和时效性都不能得到保证。

    采用企业级物理隔离技术不需要对政府机关的现有网络做任何修改，只需对数据交换系统进行简单配置便可使用。

    采用企业级物理隔离后，电子政务能够做到以下三点：外网与公众互联网相连接，提供政府与社会的信息沟通渠道；政务专网和内部局域网与公众互联网物理隔离，保障信息安全；专网与内网之间进行逻辑隔离，保障业务信息的有序共享和互不干扰。   
 

电子政务“网上审批”安全数据交换解决方案图

• ·天联（TeamLink)-远程视频监控
• ·石油化工行业控制网连接的安全解决方案[图]
• ·大唐AS2800 WLAN无线局域网系统[图]
• ·首创网络"无线"酒店解决方案[图]
• ·Telindus建设中国国家金融数据通信网网络介绍[图]

• ·星网锐捷网警 金融局域网安全改造方案
• ·SonicWALL无线局域网安全方案[组图]
• ·东方卫士中小企业版 局域网络安全的守护神[图]
• ·宽带小区的无线局域网接入解决方案[图]
• ·WL-500g.P中小企业和SOHO局域网方案