目錄
一����、網(wǎng)絡安全現(xiàn)狀與隔離技術(shù)應用
二�、案例介紹
2.1許昌市公安局用戶需求
2.1.1物理隔離
2.1.2數(shù)據(jù)交換
2.2網(wǎng)絡部署
2.3解決方案
2.4實現(xiàn)的功能
2.5性能指標
2.6整體方案
三、總結(jié)
一��、網(wǎng)絡安全現(xiàn)狀與隔離技術(shù)應用
隨著互聯(lián)網(wǎng)技術(shù)和應用的不斷發(fā)展,信息存儲�����,交流���,發(fā)布都變得十分便利�����。基于網(wǎng)絡技術(shù)發(fā)展起來的電子政務極大的提高了人們的工作效率��,改變了部門間的管理方式����,降低了企業(yè)運作的成本,方便了人們的生活�����?��?墒?��,人們在享受互聯(lián)網(wǎng)所帶來的方便的同時�����,總是有各種各樣的破壞者�����,出于各種目的���,來利用計算機系統(tǒng)的安全漏洞來對網(wǎng)絡上的主機、服務器和軟件等要素實施攻擊�,給企業(yè),政府部門造成極大的經(jīng)濟和社會損失�。銀行,政府�����,軍隊等國家高度涉密的部門��,更是“談黑色變”����。對于網(wǎng)絡安全的憂慮極大的妨礙了辦公自動化的推進。網(wǎng)絡安全,成為國家信息化建設的最需要迫切解決的問題�。
為有效地保障機密數(shù)據(jù),國家有關(guān)部門于2000年1月1日起頒布實施《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》��,“涉及國家秘密的計算機信息系統(tǒng)�����,不得直接或間接地與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡相連接��,必須實行物理隔離”�。
但是內(nèi)部網(wǎng)絡絕不應是可以定義邊界的信息孤島����,要發(fā)揮網(wǎng)絡的優(yōu)勢,內(nèi)網(wǎng)外網(wǎng)之間必須進行數(shù)據(jù)交互�。許昌市公安局內(nèi)部網(wǎng)絡上運行著各種關(guān)鍵信息系統(tǒng),安全性至關(guān)重要�����,又絕對不能和Internet直接相連�。所以,必須采用既能保證網(wǎng)絡之間的物理隔離����,又能夠進行安全的交換數(shù)據(jù)的技術(shù)措施和方案����。
而對于網(wǎng)絡間的數(shù)據(jù)交換需求���,在討論新的安全技術(shù)之前我們首先來看以前的設計方案中經(jīng)常使用的兩種進行信息交換的兩種方案:
1�、人工方式(磁盤���、移動式硬盤�����、手提式電腦等)
2�、每日的定時撥號(連通外網(wǎng)和內(nèi)網(wǎng))
對第一種方案我們看到它確實實現(xiàn)了物理隔離��,而且也能夠進行信息交換(把外網(wǎng)的數(shù)據(jù)通過人工的方式拷貝到內(nèi)網(wǎng))��,但是我們應當看到它所帶來的問題:1���、安全性:由于實現(xiàn)了物理隔離���,安全性比使用一般的安全設備如防火墻要高����,但是也有可能引來人為的安全問題�����,如傳輸時所使用的磁盤是否帶有病毒等等����,并沒有一個很好的控制方式。2�、時效性:采用人工方式不可避免帶來時效性低下的問題,在電子政務初期采用人工方式可能對整個系統(tǒng)的性能影響不是很明顯�����,但是隨著業(yè)務的開展����,采用人工方式必將妨礙整個工作開展���,會極大的降低整個系統(tǒng)的工作效率�。
第二種方案無論是安全還是時效性來說都存在問題�����,特別是安全性方面:定時撥號其實在內(nèi)網(wǎng)和外網(wǎng)之間建立了物理鏈路上的連接,一旦外網(wǎng)出現(xiàn)安全隱患(如網(wǎng)站被攻破)�����,盡管其間采用安全工具(防火墻等)保護�,就有很大可能把這些隱患帶給內(nèi)網(wǎng),因此這種方案單從安全角度來說就存在極大的安全風險���,時效性也不能得到很好的保證�,而且隨著整個系統(tǒng)對時效性的要求越高����,內(nèi)外網(wǎng)連通的頻率越高,內(nèi)網(wǎng)就越不安全�。
電子政務旨在簡化政府的工作流程,提高工作效率��。如果在安全和時效性方面都得不到很好的保證���,就會違背當初設計的初衷��。以網(wǎng)上審批程序為例:對于用戶通過互聯(lián)網(wǎng)遞交到電子政務對外網(wǎng)站上的申請�,政府人員對其進行審批、登記備注的信息只能通過手工方式遞交給內(nèi)部網(wǎng)��。這樣導致信息無法及時傳遞給內(nèi)網(wǎng)����,制約了整個電子政務業(yè)務的開展,采用人工數(shù)據(jù)方式弊端也就暴露無遺�����??梢坏┰趦?nèi)外網(wǎng)上建立一般的數(shù)據(jù)交換通道(如采用防火墻、VPN等)卻又沒有辦法保證核心數(shù)據(jù)安全�����。這里采用以前的設計可能就導致出現(xiàn)了矛盾:安全性高就束縛了業(yè)務的發(fā)展���,業(yè)務的正常開展卻又帶來安全隱患��。
那么是否有一種既能保證電子政務的正常開展又能保證物理隔離(核心數(shù)據(jù)安全)的解決方案呢?網(wǎng)絡隔離系統(tǒng)SafeDoor(上網(wǎng)模塊���、郵件模塊�����、數(shù)據(jù)交換模塊�、反向代理模塊、流代理模塊)提供了一整套安全解決方案��。
