1、內外網隔離網絡安全解決方案網絡現狀與安全隱患目前，大多數企業都安裝有隔離卡等設備將企業分為兩個網絡：內網和外網，內網用作內部的辦公自動化，外網用來對外發布信息、獲得因特網上的即時消息，以及用電子郵件進行信息交流。為了數據的安全性，內網和外網都通過隔離卡或網閘等方式實現內外網的物理隔離，從一定程度上杜絕了內外網的混合使用造成的信息外泄。如下圖所示： 然而，對于內網中移動存儲介質的隨意使用以及外部終端非法接入內網來泄露內部信息的安全隱患，仍然得不到解決。 存在的安全隱患主要有： 1. 移動存儲介質泄密 外來移動存儲介質拷去內網信息；內網移動存儲介質相互混用，造成泄密；涉密介質丟失造成泄密 2. 終

2、端造成泄密 計算機終端各種端口的隨意使用，造成泄密； 外部終端非法接入內網泄密；內網終端非法外聯外部網絡泄密捍衛者解決方案<1> 終端外設端口管理1 / 61)對于非常用端口：使用捍衛者USB安全管理系統，根據具體情況將該終端的不常使用的外設 （如紅外、藍牙、串口、并口等）設置為禁用或是只讀（刻錄機，USB端口有該功能），一旦設定則無法從“設備管理器“啟用，只能通過捍衛者啟用，如下圖所示部分終端外設禁用狀態，這樣可以有效的解決終端外設泄密。 2）USB端口：內網終端的USB端口建議設置為只讀，這樣外網使用的存儲介質可以向內網拷貝數據，但是不能從內網終端拷貝出數據。從防病毒考慮，也可

3、以設置為完全禁用，這樣只有授權存儲介質才能根據授權使用，外部移動存儲介質無法使用。<2> 移動存儲介質授權管理 對內部的移動存儲介質進行統一的授權管理，然后在根據需求設定當前USB端口的狀態（即USB端口加密），這樣外來的移動存儲介質在內部終端不可以使用或是只讀，即解決了移動儲存介質的隨意插拔使用又防止了木馬、病毒的傳播泛濫。 在授權過程中，首先選擇給移動存儲介質的使用范圍，可以分域授權使用，一對一或一對多的和終端綁定使用（這樣移動存儲介質在一定的范圍內可以任意使用）；然后輸入移動存儲介質的保管者，明確的將移動存儲介質分配到個人管理；最后還可以對移動存儲介質添加使用限制，如：授權使

4、用幾天、授權使用范圍、累計使用天數等。這樣在移動存儲介質授權的過程中既明確了移動存儲介質的保管者丟失可以查詢責任人又限定了使用范圍。舉例說明，某單位內網三個部門：信息中心、行政部、財務部，移動存儲介質A授權為信息中心，這樣A只能在信息中心的計算機上隨意使用，移動存儲介質C授權為信息中心和財務部，這樣C既能在信息中心使用，也可以在財務部使用，而外來設備D則需要根據這三個部門的計算機對端口的具體設置來決定使用情況，做到了移動設備的分部門管理及移動設備與計算機一對一、一對多綁定使用。除此之外，A1若被授權為信息中心只讀盤，則A1只能在信息中心的計算機上進行只讀操作。如圖(3-2)所示： 圖3-2 分

5、域授權使用存儲介質示意圖<3>U盤安全策略1）單位內部普通u盤使用設置：單位內部員工的使用普通u盤，通過軟件對普通u盤授權，授權過的u盤在內部匹配的計算機上可以正常使用，同時記錄u盤的使用日志。（注：普通授權過的u盤在外部未安裝的軟件上不收安全保護，可以正常使用。）2）捍衛者專屬u盤安全使用策略：計算機通過安裝usb管理基礎版軟件后，計算機端口設置為禁用狀態，外來u盤不可以在計算機上隨意使用；購買專屬u盤后，通過對專屬u盤授權，專屬u盤即可以在授權匹配的安裝基礎版軟件的計算機上使用，需要內部計算機間流通的文件，可以拷貝到專屬u盤中，專屬u盤預設加密區，加密區的數據在外部是不可以讀取

6、的，保護了u盤內的數據安全。若單位領導或外出人員需要打開加密區的數據，可以選配帶外攜功能的專屬u盤，帶外攜功能的專屬u盤，在外部未安裝軟件的計算機上可以通過密碼打開u盤。<4> 內網終端網絡管理主要是通過軟件方式設置可信網絡，該可信網絡內部互信計算機間可以正常相互訪問，非法計算機未經授權不能接入可信網絡。可信網絡內部終端也不能非法外聯非可信網絡，另外此系統還可以管理網絡外的其他形式對網絡可信終端的訪問如：紅外、藍牙、串口、并口、USB接口等等，通過本系統一個組織可以低成本實現內外網軟件隔離和終端信息安全防護，對于已經實施內外網物理隔離單位還可以作為終端信息防護的解決方案，防止終端因為非法接入、外聯導致泄密。 捍衛者終端安全及訪問審計控制系統示意圖以上兩種解決方案可以作為模塊組合為一個系統，這樣既解決了信息安全隱患，同時節約了成本，方便了安