样，即使某个低安全级别区域出现了安全问题，其他安全域也不会受到影响。
利用网络隔离技术（GAP）实现办公内网的“多安全域划分”

    首先，必须根据办公内网的实际情况将内网划分出不同的安全区域，根据需要赋予这些安全区域不同的安全级别。安全级别越高则相应的信任度越高，安全级别较低则相应的信任度较低，然后安全人员按照所划分的安全区域对GAP设备进行安装。系统管理员依照不同安全区域的信任度高低，设置GAP设备的连接方向。GAP设备的内网处理单元安装在高安全级别区域，GAP设备的外网处理单元安装在低信任度的安全区域，专用隔离硬件交换单元则布置在这两个安全区域之间。内网处理单元代理高安全级别区域（假设为A区域）用户的网络服务请求，外网处理单元负责从低安全级别区域（设为B区域）取得网络数据，专用隔离硬件则将B区域的网络数据转移至A区域，最终该网络数据返回给发出网络服务请求的A区域用户。这样，A区域内用户可通过GAP系统访问B区域内的服务器、邮件服务器、进行邮件及网页浏览等。同时，A区域内管理员可以进行A区域与B区域之间的批量数据传输、交互操作，而B区域的用户则无法访问A区域的资源。这种访问的不对称性符合不同安全区域信息交互的要求，实现信息只能从低安全级别区域流向高安全级别区域的“安全隔离与信息单向传输”。

    这样，较易出现安全问题的低安全区（包括人员和设备）就不会对高安全区造成安全威胁，保证了核心信息的机密性和完整性。同时，由于在GAP外网单元上集成了入侵检测和防火墙模块，其本身也综合了访问控制、代理检测、内容过滤、病毒查杀，因此，GAP可限制指定格式的文件，采用专用映射协议实现系统内部的纯数据传输，限定了内网局部安全问题只能影响其所在的那个安全级别区域，控制了其扩散的范围。

“多安全域划分”的防护效果

    由于GAP实现内网的信任度划分和安全区域设定，使办公内网的安全性极大提高，办公内网易出现的安全问题得到有效控制。

    首先，安装GAP设备并进行内网的信任度划分，会使单位领导形成内网安全级别的概念，明白其所在的安全区域具有较高的安全级别，因而对于网络基本情况，包括网络规模、网络结构、网络设备、网络出口等情况有更多的了解，提高他们的安全意识。

    此外，对于内部办公人员，无论其安全意识是否淡漠或别有用心进行破坏，在GAP设备的有效防护下，内部人员无法拷贝到核心的机密信息或将其修改删除，因为他们所在的区域根本就不被允许对高安全级别的区域进行访问。即使内部人员实施了不安全的行为，如私自拨号上网或在办公计算机上运行黑客软件等，也只能将损失限制在其所在的低安全区域，不会给整个办公内部网络造成太大的影响，而且根据发生安全问题的区域还能够很快找出越轨的内部人员。同时，网络病毒在内网的广泛传播也将得到有效的遏制。

上一页  [1] [2]