在本方案中介绍使用的双网隔离卡只需增加一块硬盘,即可将一台普通计算机分成两台虚拟计算机,分别连接内部网或外部网,实现安全环境和不安全环境的绝对隔离,以保证内部机密信息的安全。同时通过桌面切换软件,在保存工作现场的同时快速的在内外网之间切换,既保障了内外网的物理隔离,又保证了用户工作的流畅性。
1 双网隔离系统总体方案
- 使用最先进的物理隔离技术,以较高的性价比,实现用户内部网和互联网的物理隔离,保障用户机密信息的安全;
- 在安全的基础上,满足用户易用的需求,实现安全易用的统一。
2 双网隔离系统实现目标
- 在物理传导上使内外网络绝对隔离,确保外部网不能通过网络连接侵入内部网,同时防止内部网信息通过网络连接泄漏到外部网;保障用户的机密数据和信息的安全;
- 在物理存储上隔断两个网络环境,对于断电后会遗失信息的部件,如内存、处理器等缓存部件,在切换网络时进行清空,杜绝了残留信息泄漏的可能;对于断电非遗失性设备如硬盘等存储设备,采用本公司的发明专利实现硬盘的分区读写保护,保证需要进行读写保护的区域绝对不会被读写,不会产生任何信息泄露;严格限制可移动介质的使用范围及环境,如光盘、软盘和USB等。
3 双网隔离系统实施要点
- 对用户的网络系统要求能够做到内外网分别拥有独立的服务器;而客户终端的计算机被虚拟成两台计算机,分别连接内外网络,实现区域和网络的物理隔离。
- 对网络平台以前能够做到内外网核心交换机和分层交换机分开设置,以保障信息传导过程的物理隔离。
在本方案中介绍使用的双网隔离卡只需增加一块硬盘,即可将一台普通计算机分成两台虚拟计算机,分别连接内部网或外部网,实现安全环境和不安全环境的绝对隔离,以保证内部机密信息的安全。同时通过桌面切换软件,在保存工作现场的同时快速的在内外网之间切换,既保障了内外网的物理隔离,又保证了用户工作的流畅性。
4 双网隔离系统工作原理
PC网络安全隔离卡把一台普通计算机分成二个区,一个公共区(外网);另一个为安全区(内网),每次只能进入其中的一个网。内外网分别拥有独立的操作系统,并能通过各自的专用接口与网络连接,使得内网安全区工作时只有内网网络连接;外网公共区工作时,只有外网网络连接,保证了任何时候两个分区不存在共享数据,实现了内外网完全的物理隔离。
用户通过网络切换软件在内外网之间进行切换的时候, 隔离卡将对CPU、内存、显示缓存等各种缓存进行物理清零,以确保内外网信息不会经缓存相互间接传递,从而真正达到物理隔离的要求。
本公司所提供的网络解决方案,是将用户的内部网络和外部互联网隔离,用户原有的网络作为内部网使用,仅仅传输内部数据,保证内部机密资料不会被外部网络所窃取,达到相应的安全级别。网络结构构成:
- 内部网:利用用户原有的网络改造而成,去掉原有网络上的互联网接入设备。与外部断开可能的信息交换,保证安全。
- 外部网:利用有线或者无线的方式,建立一个新的网络,并加入互联网连接设备 以及VPN等安全设备,作为连接互联网专用。
- 客户PC:安装我公司生产的PC网络安全物理隔离卡,在一台电脑上安装两个相互独立的操作系统,在进入相应的操作系统后,连接上相应的网线,接入相应的网络。进入相应的系统之后,只能访问相应的网络资源和信息。
5 办公网络改造方案
5.1双布线方案
布线建造双网隔离系统只需在终端加载双布线双硬盘隔离卡,拓扑图如下:
5.2单布线方案
单线双网隔离系统一般适用于网络改造时不方便重新布线的情况。对相应系统改造将增加一涛交换机、双硬盘隔离卡、网络隔离控制器,具体方案为:
- 在每台办公PC安装神易PC网络安全隔离卡,将硬盘数据区域和网络部分物理隔离成外部网和内部网两部分;
- 保留原有的网络设备作为改造后的内部网,新增的外部网平台使用新增的交换机与信息中心连接;
- 采用网络隔离控制器,放在内网交换机和外网交换机之间,使得原有一条网线分时传送两套网络信号且相互物理隔离,即终端计算机状态切换的同时隔离控制器也同时切换,使得终端计算机一个时间只能处于一种状态和一个网络之中。既达到了物理隔离的效果,又节省了布线施工;
- 若对外网加载防火墙等设备,只需按照防火墙的正常要求安装即可,与双网隔离改造不冲突。
相关文章
-
信息安全方针及安全策略
本系列文章来自于此前的真实项目案例,是一个学校安全系统建设中部分服务的内容,是给该单位的一套《安全制度汇编》,本篇文章信息安全方针及安全策略,倒是契合当下网络安全态势。原文档开放下载中~ 第一章 目的 第一条 为了深入贯彻落实国家信息安全政策文件要求和信息安全等级保护政策要求,加强重庆XX中学的信息安全管理工作,增强重庆XX中学全员信息安全意识,切实提高重庆XX中学信息系统安全保障能力,特制定本方针。 第二章 范围 第二条 适用于重庆XX中学信息安全管理活动。 第三章 职责 第三条 由领导和各科…
-
移动存储介质安全管理制度
为规范重庆XX中学内部移动存储介质的使用和管理,防止出现因移动存储的使用造成重庆XX中学网络与信息系统感染病毒、信息外泄等情况, 根据西重庆XX中学信息安全建设及保密工作需要,特编制本规定。本管理程序适用于重庆XX中学对可移动介质的安全管理。 第一章 目的 第一条 为规范重庆XX中学内部移动存储介质的使用和管理,防止出现因移动存储的使用造成重庆XX中学网络与信息系统感染病毒、信息外泄等情况, 根据西重庆XX中学信息安全建设及保密工作需要,特编制本规定。 第二章 范围 第二条 本管理程序适用于重庆…
-
文件评审及发布制度(通用文档)
本制度由信息安全工作小组的主体部门网络安全办公室负责信息安全管理体系文件的维护,包括制订、修订和评审,由信息安全领导小组负责体系文件的批准、发布和作废。 第一章 目的 第一条 为规范重庆XX中学信息安全管理体系文件的制订、修订及评审,特制定本制度。 第二章 范围 第二条 本管理规范适用于信息安全领导小组和工作小组对信息安全管理体系文件的维护管理。 第三章 职责 第三条 由信息安全工作小组的主体部门网络安全办公室负责信息安全管理体系文件的…
-
系统运维保密协议,科技装设备维护服务保密协议
甲方:重庆市x 乙方:重庆众平科技有限公司 受甲方委托,乙方对委托的XXXX2023年度科技装设备进行维护服务,为了促进双方合作,依据《中华人民共和国合同法》的规定并经双方经友好协商,签订如下协议(以下简称本协议)。 1.乙方不得在维护服务中获取非甲方提供的保密信息,乙方不得将甲方的保密信息透露给任何第三方,而应尽力避免由于疏忽将保密信息披露给任何第三方,所使用的计算机必须坚持“专网专用”、“专机专用”的原则,实行“谁管理、谁负责”、“谁使用、谁负责”的安全责任制,严禁私自将自带笔记本电脑接入业…
-
信息安全领导机构组成与职责
本系列文章来自于此前的真实项目案例,是一个学校安全系统建设中部分服务的内容,是给该单位的一套《安全制度汇编》,本篇文章信息安全领导机构组成与职责,适用于一般单位的信息安全机构建立。原文档见附件。 第一章 目的 第一条 为更好的实现对重庆XX中学信息系统的安全管理,促进各项制度、措施的落实,经领导研究决定成立以信息安全领导小组为管理机构、信息安全工作小组为执行机构的组织架构,负责重庆XX中学信息安全建设及防护。 第二章 范围 第二条 本标准针对重庆XX中学信息安全组织建设相关事务,规定了组织框架和…
-
视频防泄密安全防护解决方案
视频防泄密,即类似于视频网闸的功能,以下方案文档基于金盾,若有需要请联系相关厂商。本例提供综合化安全防护方案,前端防护层面,对网络内接入的各类设备进行识别、过滤、阻断,确保接入视频监控网络设备的合法性和安全性,对运行中的设备进行实时监控,利用独有的感知发现技术,及时发现网络中伪冒、入侵、异常的设备。数据防护层面是基于视频数据的整个生命周期,从对视频数据存储的访问安全控制、使用管控到事后的溯源追责,为用户提供整套的视频数据安全防护解决方案。 1、前端接入层防护 1.1准入控制 新一代准入控制技术以…
