许昌市公安局信息安全应用案例(1)

目录

一、网络安全现状与隔离技术应用

二、案例介绍

2.1许昌市公安局用户需求

2.1.1物理隔离

2.1.2数据交换

2.2网络部署

2.3解决方案

2.4实现的功能

2.5性能指标

2.6整体方案

三、总结

一、网络安全现状与隔离技术应用

随着互联网技术和应用的不断发展，信息存储，交流，发布都变得十分便利。基于网络技术发展起来的电子政务极大的提高了人们的工作效率，改变了部门间的管理方式，降低了企业运作的成本，方便了人们的生活。可是，人们在享受互联网所带来的方便的同时，总是有各种各样的破坏者，出于各种目的，来利用计算机系统的安全漏洞来对网络上的主机、服务器和软件等要素实施攻击，给企业，政府部门造成极大的经济和社会损失。银行，政府，军队等国家高度涉密的部门，更是“谈黑色变”。对于网络安全的忧虑极大的妨碍了办公自动化的推进。网络安全，成为国家信息化建设的最需要迫切解决的问题。

为有效地保障机密数据，国家有关部门于2000年1月1日起颁布实施《计算机信息系统国际联网保密管理规定》，“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相连接，必须实行物理隔离”。

但是内部网络绝不应是可以定义边界的信息孤岛，要发挥网络的优势，内网外网之间必须进行数据交互。许昌市公安局内部网络上运行着各种关键信息系统，安全性至关重要，又绝对不能和Internet直接相连。所以，必须采用既能保证网络之间的物理隔离，又能够进行安全的交换数据的技术措施和方案。

而对于网络间的数据交换需求，在讨论新的安全技术之前我们首先来看以前的设计方案中经常使用的两种进行信息交换的两种方案：

1、人工方式(磁盘、移动式硬盘、手提式电脑等)

2、每日的定时拨号(连通外网和内网)

560)this.style.width=560; onmousewheel = javascript:return big(this) onerror="this.src=http://www.yesky.com/image20010518/157153.gif;" hspace=0 src="http://solution.chinabyte.com/image20010518/157153.gif" align=center border=0>

图1 传统隔离交换示意图

对第一种方案我们看到它确实实现了物理隔离，而且也能够进行信息交换(把外网的数据通过人工的方式拷贝到内网)，但是我们应当看到它所带来的问题：1、安全性：由于实现了物理隔离，安全性比使用一般的安全设备如防火墙要高，但是也有可能引来人为的安全问题，如传输时所使用的磁盘是否带有病毒等等，并没有一个很好的控制方式。2、时效性：采用人工方式不可避免带来时效性低下的问题，在电子政务初期采用人工方式可能对整个系统的性能影响不是很明显，但是随着业务的开展，采用人工方式必将妨碍整个工作开展，会极大的降低整个系统的工作效率。

第二种方案无论是安全还是时效性来说都存在问题，特别是安全性方面：定时拨号其实在内网和外网之间建立了物理链路上的连接，一旦外网出现安全隐患(如网站被攻破)，尽管其间采用安全工具(防火墙等)保护，就有很大可能把这些隐患带给内网，因此这种方案单从安全角度来说就存在极大的安全风险，时效性也不能得到很好的保证，而且随着整个系统对时效性的要求越高，内外网连通的频率越高，内网就越不安全。

电子政务旨在简化政府的工作流程，提高工作效率。如果在安全和时效性方面都得不到很好的保证，就会违背当初设计的初衷。以网上审批程序为例：对于用户通过互联网递交到电子政务对外网站上的申请，政府人员对其进行审批、登记备注的信息只能通过手工方式递交给内部网。这样导致信息无法及时传递给内网，制约了整个电子政务业务的开展，采用人工数据方式弊端也就暴露无遗。可一旦在内外网上建立一般的数据交换通道(如采用防火墙、VPN等)却又没有办法保证核心数据安全。这里采用以前的设计可能就导致出现了矛盾：安全性高就束缚了业务的发展，业务的正常开展却又带来安全隐患。

那么是否有一种既能保证电子政务的正常开展又能保证物理隔离(核心数据安全)的解决方案呢？网络隔离系统SafeDoor(上网模块、邮件模块、数据交换模块、反向代理模块、流代理模块)提供了一整套安全解决方案。