双网隔离 安全与便捷不再是矛与盾

互联网 | 编辑: 杨朝栋 2010-07-12 00:00:00转载-投稿

随着信息化建设的深入,跨网络访问和应用整合逐渐成为组织信息化建设的重点。原来独立运行在不同内部网络的系统,现在需要跨部门、跨网络访问;原来在内部网的系统,现在由于业务拓展需要从外部网络访问;原来只有内部员工访问的系统,现在需要允许伙伴和客户访问;原来只需要内部使用的系统,由于信息公开的要求需要允许互联网访问。

跨网络的应用和数据访问必然带来安全的影响,所以为保障网络和信息安全,安全部门发布了网络互联隔离规定和技术规范,并因此出现了网络安全隔离产品市场。

网络安全隔离是指不同安全等级网络之间互相通信访问的限制,也就是常说的“双网隔离”。

最安全的方式是物理隔离,两个网络之间没有通信,保证了安全但是不能满足跨网访问的应用需求。

为了解决隔离和访问的矛盾,网闸产品应运而生,网闸“位于两个不同安全域之间,通过协议转换的手段,以信息摆渡的方式实现数据交换,且只有被系统明确传输的信息可以通过。其信息流一般是通用应运服务。”这里有两个概念,协议转换是指“协议的剥离和重建”,信息摆渡是说网闸“物理传输信道只在传输进行时存在”,并且不能同时连接信息源所在安全域和信息目的所在的安全域。

网闸在一定程度上解决了跨网互联和安全的问题。从微观层面看,网闸基于“协议转换”和“信息摆渡”的原理,再综合利用一些信息检查、过滤技术,尽可能地保证传输数据的合法性、安全性。但是从宏观层面来看,网闸所连接的两个不同安全之间实现了协议数据的互通,虽然可以阻断传统连线攻击,但对一些安全敏感数据和关键业务数据,却不能起到安全保护作用,这些合法数据可以堂而皇之地通过网闸从高安全域传递到低安全域。

安全和便捷难道始终是一对不可调和的矛盾吗?

不是的,采用沟通科技设计的Janeos安全接入堡垒平台与网闸结合,可以完美地解决这个问题。其原理图如下:
 

图中安全接入堡垒机,采用虚拟化技术分离应用的表现与计算,低安全域中移动办公个人计算机与高安全域应用服务器之间只传输加密的键盘、鼠标和荧屏变化等交互信息,因为应用客户端程序运行在网闸后面的堡垒机上,而不是在移动办公个人计算机上。这种应用模式,保证没有实际的业务数据流到低安全域个人计算机,它上面显示的只是服务器上应用运行的显示映像,从而提升了跨域应用访问的安全性。

此解决方案的价值:

1、网闸,在不同安全域之间起到通信隔离的作用,可以阻断传统的网络攻击;

2、安全接入堡垒机,采用虚拟应用访问技术,形成一种新型的网络应用安全方案,真实的业务数据不通过隔离层传递到不可信的网域。解决了物理隔离就不能访问、和网闸隔离却不安全难题。

3、与组织已有防火墙、接入认证、安全审计等安全设施集成,可以构成一个多层次纵深防御安全体系。


 

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑