由两套各自独立的系统分别连接和非的网络,两套系统之间通过网闸进行信息摆渡,保证两套系统之间没有直接的物理通路。在通信过程中,当存储介质与的网络连通时,断开与非网络连接;当与非网络连通时,断开与网络的连接;通过分时地使用两套系统中的数据通路进行数据交换,以达到隔离与交换的目的。此外,在数据交换过程中,需同时进行防病毒、防恶意代码等信息过滤,以保证信息的。
根据国家保密局公开的文献资料,我国目前流行的网络隔离技术的产品和方案如下:
(1)独立网络方案
根据信息保密需求的不同,将信息存放到两个独立的网络中。其一是内部网络,用于存储、处理、传输涉密信息;另一个是外部网络,与互联网相连。内部网络和外部网络物理断开。两个网络之间如果有数据交换需要,则采用人工操作(如通过软盘、磁带等)的方式。
(2)终端级解决方案
用户使用一台客户端设备排他性选择连接内部网络和外部网络,主要类型可分为以下几种。
(1)双主板,双硬盘型:通过设置两套独立计算机的设备实现,使用时,通过客户端开关分别选择两套计算机系统。
(2)单主板,双硬盘型:客户端通过增加一块隔离卡、一块硬盘,将硬盘接口通过添加的隔离卡转接到主板,网卡也通过该卡引出两个网络接口。通过该卡控制客户端存储设备,同时选择相应的网络接口,达到网络隔离的效果。
(3)单主板,单硬盘型:客户端需要增加一块隔离卡,存储器通过隔离卡连接到主板,网卡也通过隔离卡引出两个网络接口。对硬盘上划分区、非区,通过隔离卡控制客户端存储设备分时使用区和非区,同时对相应的网络接口进行选择,以实施网络隔离。
(1)涉密网与非涉密网之间。有些政府办公网络涉及敏感信息,当它与外部非涉密网连接的时候可以用单向物理隔离网闸将两者隔开。
(2)局域网与互联网之间(内网与外网之间)。有些局域网络,特别是政府办公网络,涉及政府敏感信息,有时需要与互联网在逻辑上断开,物理隔离网闸是一个常用的办法。
(3)办公网与业务网之间。由于办公网络与业务网络的信息敏感程度不同,例如,银行的办公网络和银行业务网络就是很典型的信息敏感程度不同的两类网络。为了提高工作效率,办公网络有时需要与业务网络交换信息。为解决业务网络的,比较好的办法就是在办公网与业务网之间使用物理隔离网闸,实现两类网络的逻辑隔离。
(4)电子政务的内网与专网之间。在电子政务系统建设中要求政府内网与外网之间用逻辑隔离,在政府专网与内网之间用逻辑隔离。现常用的方法是用物理隔离网闸来实现。
(5)业务网与互联网之间。电子商务网络一边连接着业务网络服务器,一边通过互联网连接着广大用户。为了保障业务网络服务器的,在业务网络与互联网之间应实现逻辑隔离。
(1)网闸产品应有国家相关部门的证书。
(2)网闸设置加长口令,网络管理人员调离或退出本岗位时口令应立即更换。
(3)网闸密码不得以明文形式出现在纸质材料上,密码应隐式记录,记录材料应存放于保险柜中。
(4)监控配置更改,改动网闸配置时,进行监控。
(5)定期备份配置和日志。
(6)明确责任,维护人员对更改网闸配置的时间、操作方式、原因和权限需要明确,在进行任何更改之前,制定详细的逆序操作规程。
由两套各自独立的系统分别连接和非的网络,两套系统之间通过网闸进行信息摆渡,保证两套系统之间没有直接的物理通路。在通信过程中,当存储介质与的网络连通时,断开与非网络连接;当与非网络连通时,断开与网络的连接;通过分时地使用两套系统中的数据通路进行数据交换,以达到隔离与交换的目的。此外,在数据交换过程中,需同时进行防病毒、防恶意代码等信息过滤,以保证信息的。
根据国家保密局公开的文献资料,我国目前流行的网络隔离技术的产品和方案如下:
(1)独立网络方案
根据信息保密需求的不同,将信息存放到两个独立的网络中。其一是内部网络,用于存储、处理、传输涉密信息;另一个是外部网络,与互联网相连。内部网络和外部网络物理断开。两个网络之间如果有数据交换需要,则采用人工操作(如通过软盘、磁带等)的方式。
(2)终端级解决方案
用户使用一台客户端设备排他性选择连接内部网络和外部网络,主要类型可分为以下几种。
(1)双主板,双硬盘型:通过设置两套独立计算机的设备实现,使用时,通过客户端开关分别选择两套计算机系统。
(2)单主板,双硬盘型:客户端通过增加一块隔离卡、一块硬盘,将硬盘接口通过添加的隔离卡转接到主板,网卡也通过该卡引出两个网络接口。通过该卡控制客户端存储设备,同时选择相应的网络接口,达到网络隔离的效果。
(3)单主板,单硬盘型:客户端需要增加一块隔离卡,存储器通过隔离卡连接到主板,网卡也通过隔离卡引出两个网络接口。对硬盘上划分区、非区,通过隔离卡控制客户端存储设备分时使用区和非区,同时对相应的网络接口进行选择,以实施网络隔离。