网络隔离设备是如何工作的?
说来惭愧,小编在没有进入安全行业的时候,除了个人信息安全防范意识有一点,对于企业、工厂、基础设施等单位上用的网络与互联网是不同的这一点完全不知道,更别说还有什么内外网之分。那么关于企业里不同网络、不同业务需求之间如何做好网络隔离工作,咱们借个案例来小小了解一下。
需求背景:
某电力集团在信息化建设当中已经明确了双网建设原则,重要业务系统、日常办公计算机都处于内部网络,而一些业务系统,例如:综合数据库系统、OA系统、邮件系统和网银系统、防病毒恶意代码升级、操作系统补丁升级等,所需要的基础数据却来自外部业务网络,甚至互联网络。
内外部网络分开建设,有效保护了内部信息的安全,但是物理断开造成了应用与数据的脱节,影响了行政执行能力和行政效率。实际上,断开不是目的,在保护内部网络的适度安全情况下,实现双网隔离,保证数据的互联互通才是真正的目的。
解决方案:
通过在内网与外网之间边界处部署利谱工业网闸,实现双网隔离,保证数据的互联互通。对于集团的核心业务数据库服务均部署在内网,通过内网的业务系统对数据库进行操作,并将结果展示给使用者。但有些业务系统的数据需要来源于外网(例如外部采集数据),这些数据需要从外网传递到内网。我们将采用两种方式进行设计。
方案一:是对某些应用可以在外网建立一个外网数据库前置机,这些数据库中只存储外部网络获取的数据,不存储其他敏感数据,当需要将这些数据交换到内网时,通过隔离网闸实现,如图:
隔离网闸上部署数据库同步模块,该同步模块将只允许将外网数据库中的特定数据同步到内网数据库中,反向不允许数据库信息传输。
方案二适合于外网不建数据库前置机的情况。外网有某个业务系统服务在运行,其中需要的数据信息来源于内网数据库,同时需要对数据库进行修改。此时的部署设计如下:
隔离网闸配置内网数据库的映射模式,在外端机启用数据库代理模块,当外网业务系统访问数据库代理时,数据库代理将请求转发给内网数据库,隔离网闸将反馈信息给外网业务系统。
方案价值:
1. 部署隔离网闸后,缺省情况下安全隔离系统屏蔽了内、外网之间的所有网络连接,实现了移动办公时安全访问内网的OA系统。
2. 实现了数据库信息安全交换,内外网上使用者可以通过隔离网闸安全的调用外网或内网数据库的信息。
3. 实现了邮件的交换功能,在内网的用户可以通过外网邮件服务进行邮件的接收。
4. 实现了网银应用隔离,通过隔离网闸实现跨网与银行进行财务结算。