第2章 电子政务系统中网络综合布线的物理隔离技术精品.ppt

南 京 大 学 软 件 学 院 物理隔离的几种技术方案（续2） 三网间隔离方案 很多企事业单位的内部财务网是一个相对独立的网络，与内部办公网络需要隔离，并且当该网用户登陆互联网和内部网络时，需要在财务网、内网和外部互联网三网之间进行切换 具有三网隔离能力，部署简单，适合内部还有独立小网络的用户采用 南 京 大 学 软 件 学 院 物理隔离的几种技术方案（续3） 对外提供服务的隔离方案 许多单位在要求内外网隔离的同时，能够提供电子报税等对外服务。当外部Web服务器在接受互联网上发来的电子税表时，会接通外部网络，断开内部网络，电子税表暂存在本地，当满足了一定条件后，才会断开外部网络，接通内部网络，把电子税表转发到内部业务系统中，同时从内部网络接受上次内部业务系统处理完的电子税表。交换完毕后，再次断开内部网络，接通外部网络，接受新的电子税表 好像用户在河的两岸，通过一只船来回传递两岸的货物，而不会存在直接连接两岸的桥梁或者船同时停靠的两岸的问题，这样既保证了对外服务需求，又保证了网络安全 南 京 大 学 软 件 学 院 物理隔离的几种技术方案（续4） 基于无盘系统的隔离方案 一些用户希望在做到内外网隔离的同时加强内部管理，防止内部用户泄漏单位秘密。可采用基于无盘系统的隔离方案。该方案采用单硬盘方式。当用户登陆内网时，无盘启动系统通过网络从服务器上启动操作系统，同时屏蔽本地的硬盘、光驱和软驱等存储设备，用户所见的硬盘实际上是服务器分配给用户的硬盘镜像，客户端相当于一个瘦终端。内部用户无法通过本地下载、拆卸硬盘等手段窃取内部信息 该方案在做到内外网隔离的同时，能有效的防止内部网络的信息泄密 南 京 大 学 软 件 学 院 物理隔离的几种技术方案（续5） 单机接入方案：单机用户一般使安全隔离卡Ⅲ型，配备双硬盘 这种结构具有内、外网的硬盘，无论是在内网不外网的硬盘上工作时，产生的文件、数据存放于硬盘还是软盘，都是相当安全的 南 京 大 学 软 件 学 院 物理隔离的几种技术方案（续6） 双网线接入方案：需要两套布线系统，但使用Internet的用户数量不是很多，网络布线接口较为富余的情况下 双网线方式，并使用安全隔离卡II型 上网时涉密用户配置安全隔离卡Ⅱ和双硬盘，两条网络线同时接到隔离卡上，通过隔离卡连接到本机网卡上，通过手动按钮或软件控制隔离卡上的开关，使其在选择涉密硬盘的同时选择连接内网 南 京 大 学 软 件 学 院 物理隔离的几种技术方案（续7） 单网线接入方案 实际应用中许多综合布线系统在每个终端位置上的端口均有限，不能满足每台设备占用两个端口的需求 需要在每台设备上安装安全隔离卡I和双硬盘，并在每个网络设备间配置内外网远程切换Hub。终端通过一条标准网线连接到内外网远程切换Hub上。终端隔离卡通过利用五类网络线中未使用的第4、5、7、8对线控制远端内外网远程切换Hub，使其能选择接通内网或外网 南 京 大 学 软 件 学 院 物理隔离的几种技术方案（续8） 在当代技术条件下，网络互联互通采用网络互联协议TCP/IP为标准和虚拟专用网（VPN）为主要技术手段 按照国家电子政务技术参考模型，电子政务系统网络是由公众服务器、应用层、应用支撑层和网络基础设施层以及贯穿各层的管理和信息安全等组成 网络基础设施层位于底层，是各层的基础，用来提供信息传输的通道 南 京 大 学 软 件 学 院 物理隔离的几种技术方案（续8） 虚拟专用网（VPN，Virtual Private Network）是利用公网来构建专用网络，其核心是被称为“隧道”的技术。它是通过特殊设计的硬件和软件直接通过共享的IP网所建立的隧道来完成的 南 京 大 学 软 件 学 院 物理隔离的几种技术方案（续8） VPN物理隔离这种解决方法适用于远程办公的政府机构，其核心思想就是在网关设备中加载VPN模块，网关设备上拥有多个端口，端口之间彼此物理隔离，通过Internet进行数据通信的远程用户与安全性要求很高的内部网络分别接入不同的端口，这样远程接入用户就与内部网络在物理层一级实现安全隔离 南 京 大 学 软 件 学 院 物理隔离的几种技术方案（续8） 在规划VPN时，另一个重要的因素是服务供应商的网络是否能够覆盖公司所在的特定地理区域。全球各大VPN服务供应商的网络都有各自的地理覆盖范围 VPN代表了当今网络发展的最新趋势，它综合了传统数据网络的性能优点和共享数据网络结构的优点，能够提供远程访问，外部网和内部网的连接，价格比专线或者帧中继网络要低得多 南 京 大 学 软 件 学 院 物理隔离的几种技术方案（续9） 网闸物理隔离方案 物理隔离网闸的定义 物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备 物理隔离网闸的信息交换方式 物理隔