“多安全域划分”技术
“多安全域划分”技术就是根据内网的安全需求将内网中具有不同信任度(安全等级)网段划分成独立的安全域,通过在这些安全域间加载独立的访问控制策略来限制内网中不同信任度网络间的相互访问。这样,即使某个低安全级别区域出现了安全问题,其他安全域也不会受到影响。考试大提供
利用网络隔离技术(GAP)实现办公内网的“多安全域划分”
首先,必须根据办公内网的实际情况将内网划分出不同的安全区域,根据需要赋予这些安全区域不同的安全级别。安全级别越高则相应的信任度越高,安全级别较低则相应的信任度较低,然后安全人员按照所划分的安全区域对GAP设备进行安装。系统管理员依照不同安全区域的信任度高低,设置GAP设备的连接方向。GAP设备的内网处理单元安装在高安全级别区域,GAP设备的外网处理单元安装在低信任度的安全区域,专用隔离硬件交换单元则布置在这两个安全区域之间。内网处理单元代理高安全级别区域(假设为A区域)用户的网络服务请求,外网处理单元负责从低安全级别区域(设为B区域)取得网络数据,专用隔离硬件则将B区域的网络数据转移至A区域,最终该网络数据返回给发出网络服务请求的A区域用户。这样,A区域内用户可通过GAP系统访问B区域内的服务器、邮件服务器、进行邮件及网页浏览等。同时,A区域内管理员可以进行A区域与B区域之间的批量数据传输、交互操作,而B区域的用户则无法访问A区域的资源。这种访问的不对称性符合不同安全区域信息交互的要求,实现信息只能从低安全级别区域流向高安全级别区域的“安全隔离与信息单向传输”。
这样,较易出现安全问题的低安全区(包括人员和设备)就不会对高安全区造成安全威胁,保证了核心信息的机密性和完整性。同时,由于在GAP外网单元上集成了入侵检测和防火墙模块,其本身也综合了访问控制、代理检测、内容过滤、病毒查杀,因此,GAP可限制指定格式的文件,采用专用映射协议实现系统内部的纯数据传输,限定了内网局部安全问题只能影响其所在的那个安全级别区域,控制了其扩散的范围。
“多安全域划分”的防护效果
由于GAP实现内网的信任度划分和安全区域设定,使办公内网的安全性极大提高,办公内网易出现的安全问题得到有效控制。
首先,安装GAP设备并进行内网的信任度划分,会使单位领导形成内网安全级别的概念,明白其所在的安全区域具有较高的安全级别,因而对于网络基本情况,包括网络规模、网络结构、网络设备、网络出口等情况有更多的了解,提高他们的安全意识。
此外,对于内部办公人员,无论其安全意识是否淡漠或别有用心进行破坏,在GAP设备的有效防护下,内部人员无法拷贝到核心的机密信息或将其修改删除,因为他们所在的区域根本就不被允许对高安全级别的区域进行访问。即使内部人员实施了不安全的行为,如私自拨号上网或在办公计算机上运行黑客软件等,也只能将损失限制在其所在的低安全区域,不会给整个办公内部网络造成太大的影响,而且根据发生安全问题的区域还能够很快找出越轨的内部人员。同时,网络病毒在内网的广泛传播也将得到有效的遏制。
