政府网络中物理隔离技术的应用.docVIP

政府网络中物理隔离技术的应用 一、我国网络信息安全现状随着政府上网、海关上网、电子商务等一系列网络应用的蓬勃发展，Internet正在逐渐融入到社会的各个方面。一方面，网络用户成分越来越多样化，出于各种目的的网络入侵和攻击越来越频繁；另一方面，网络应用越来越深地渗透到金融、商务、国防等等关键要害领域。换言之，Internet网的安全，包括其中的信息数据安全和网络设备服务的运行安全，日益成为与国家、政府、企业的利益休戚相关的大事情。 安全保障能力是新世纪一个国家综合国力、经济竞争实力和生存能力的重要组成部分。不夸张地说，它在下个世纪里完全可以与核武器对一个国家的重要性相提并论。这个问题解决不好，将全方位地危及我国的政治、军事、经济、文化、社会生活的各个方面，使国家处于信息战和高度经济金融风险的威胁之中。在政府网络中，内部网络上有着大量高度机密的数据和信息，网络安全是放在首位的。如果网络安全得不到保证，那么将会给国家、社会及网络用户带来严重威胁，可能造成政治、经济等各方面的巨大损失。在政府工作不断地实现信息化、高效便捷的同时，安全保护成了亟待解决的问题。二、现有的安全解决方案面对网络安全的威胁，现在常用的安全防护方法主要有： ◆ 软件解决方案  法规和行政命令  理隔离方案 软件解决方案现在正在广泛应用的是许多复杂的软件及部分硬件技术，如用防火墙、代理服务器、入侵探测器、通道控制等手段来降低来自Internet的危险。但是，任何此类基于软件的保护都是一种逻辑机制，用预先设置的规则来检测和拒绝可能有害的操作或信息。但这些防护都可能被破解，在美丽莎事件中，软件基础上的安全工具面对完全陌生的病毒无计可施。 从这一角度来说，软件技术可以保障网络的正常运作和常规安全保障，但并不能满足一个高度机密部门的内部涉密网的万全的安全要求。法规和行政命令法规和行政命令对安全工作是绝对必须的，严格的工作纪律是安全防护的重要保证。但是同样不能排除在工作中的稍稍疏忽，可能会破坏行政规则，泄露机密信息。况且我们不能排除故意泄密或破坏的存在。物理隔离方案采用硬件物理隔离方案，即将内部涉密网与外部网彻底地物理隔离开，没有任何线路连接。这样可以保证网上黑客无法连接内部涉密网，具有极高的安全性。普通的物理隔离方法虽然安全。但也造成了工作不便、数据交流困难、设备场地增加和维护费用加大等负面影响。 三、物理隔离解决方案在政府网络中的应用按照国家有关政策的要求，政府上网必须实行网络的内外网划分，及实现内外网的物理隔离。这是解决政府信息化过程中机密信息安全问题的必要方法。用物理隔离产品可对各种环境下网络和单机进行信息安全保护。下面只列举几个简单的方案说明。单内网解决方案这种方案适合小型的单网结构的局域网。在一些小规模的政府部门中（如只有5-15台计算机组成的网络），由于功能比较单一，没有必要划分几个网络，同时为节约成本，只有部分工作站节点机需要单独通过Modem等拨号设备接入Internet网。这样可以在需要接入Internet的工作站节点计算机上安装物理隔离产品，让其能够在与网络隔离的状态下拨号上网，确保内部网络的安全。如下图所示。 图1 单内网解决方案 远程解决方案适用各种让远程计算机在安全环境下连接到内部安全网络中的案例上。例如一个政府部门的信息中心向分布在城市各处的分支机构查询数据，或分支机构向信息中心汇总数据时，需要有非常安全的措施保障内部网络不受非法侵犯。如下图所示。 图2 远程解决方案 双网解决方案这种方案适合中大型机构的局域网布局。在这里，某个政府机构内的网络分为内部涉密网和外部公共网，其中公共网通过集中出口连接Internet（视需要也要安装防火墙、入侵检测及防病毒等措施），部分计算机需要能够接入两个网络，但同时又要保证内外网的完全物理隔离。还有一些机构的网络由于内部功能的划分，本身就有几个分离的网络，采用伟思（victory-idea）物理隔离方案将更好地把这些网络整合在一起，变为一个全范围公共网加上几个内部安全子网的多网互动的有效网络格局。 图3 双网工作站节点物理隔离解决方案 单线连接双网方案伟思网络安全隔离集线器与安装了网络安全隔离卡的安全计算机配合使用可以满足对单网布线的要求，即桌面计算机只用一条网线就可连接到远端的双网上。如果用户因某种原因无法使用双网布线时，可采用此方案。如图： 图4 单线连接双网方案 四、解决方案中采用的物理隔离产品 1. 高端的单硬盘物理隔离产品  网络安全隔离卡  网络安全隔离集线器 以伟思公司的网络安全隔离卡和网络安全隔离集线器为例，其网络安全隔离卡是符合国家保密局认证的的单硬盘物理隔离产品。是与IBM-