请各位大侠看我这个院区网方案：关于物理隔离

Kenn

我所在单位是一个国防事业研究机构.

最近要上院区网. 大概300个点. 属于保密网络。

根据要求, 找了一家有保密网络资格认证的公司来做我们的网络：江苏意源。

我现正在写具体的方案, 汇报给领导.


整个院区网通过ISDN与行业外网相连.  
又要求每个楼有一些点专门用来上INTERNET,这些点与院区网互不相通,不能上行业外网.

行业网与INTERNET之间必须物理隔离.

最初的设想就是做两套网,两组光纤, 两套交换设备.  
一套是院区网, 上行业外网.
另一套专门上INTERNET.
两套网物理隔离.

说到这里,请问各位大侠, 对于我们这种要求, 有什么好办法吗?


下面我说一下我刚做的方案，还不知是否符合保密的物理隔离要求:
做一套网，把所有机器连在一起，然后接入防火墙。
该防火墙有四个端口，同时连接INTERNET和行业外网。

防火墙与INTERNET之间加一个 江苏意源 的安全产品：网络物理隔离数据交换系统
该产品可以实现内、外网之间的物理隔离，通过了国家保密认证。
简单说，该产品就是一个高速单刀双掷电子开关和一个缓存器。
开关接通内网与缓存器，然后接通外网与缓存器。不停高速切换。
还有一套机制来分析过滤缓存器中的数据。
就这样，理论上，确实是完美的物理隔离，任意时间，内网与外网都是物理断开的。
http://www.ideabank.net.cn/chanpin1-1.htm
但我实在有些怀疑这形式上的物理隔离的作用。
可人家通过了国家保密认证啊，这就好使。

院区网做VLAN，再用防火墙来控制哪些机器访问行业外网，哪些访问INTERNET。

这就是我的方案。 请大侠指正。


关于网络杀毒，该公司推荐用 北信源 的产品。我不看好。
请教各位。

我想再加入远程控制的组件，使网管人员可以远程控制下面的点，解决故障。
请教各位，有什么好软件？

dddkkk213

这样可以物理隔离？

Kenn

人家这个产品是通过保密认证的，国家认为这就是物理隔离

dddkkk213

那干吗，现在大部分的政务网都是内网，外网两套？

lqj001

根据统计资料,90%的信息泄密是内部人员干的,这样仍然不能保证真正的信息保密.

bingocn

要是内网要能上internet的话，只能用物理隔离网闸了。要不真的物理隔离，内部人员可能自己拨号上网，反而不安全。

坠落的star

　　　2000年1月，国家保密局发布的《计算机信息系统国际联网保密管理规定》中规定：涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网相联接，必须进行物理隔离。
　　　2001年12月，国家公安部发布的《端设备隔离部件安全技术要求》中对物理隔离（Physical Isolation）做了明确的定义：公共网络和专网在网络物理连线上是完全隔离的，且没有任何公用的存储信息。
　　　2002年7月，国家信息化领导小组颁布的《国家信息化领导小组关于我国电子政务建设指导意见》中规定：电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离。此外，国家保密局在保密知识培训中也多次指出，网络之间只有在线路、设备和存储三个方面均实现了独立，才满足物理隔离的要求。到目前为止，国家保密局在网闸类产品的鉴定书中均给出了相同的适用范围：“不同的涉密网络之间、同一涉密网络的不同安全域之间、与互联网络物理隔离的网络和秘密级涉密网络之间、未与涉密网络相连接的网络和互相网络之间”。通过对以上国家政策的学习，我们不仅知道了判定物理隔离的标准和依据，而且明确了在涉密网和互联网之间必须进行物理隔离，在非涉密网和互联网之间可以采取逻辑隔离，并且清楚了网闸产品的适用范围。


要具体部署网闸　且听下回分解

无名客

我听过一种方法你看一下。
网线通信时只用到了1、3、2、6四条线还剩余4、5、7、8四条。
你这样，把需要既上外网又需要上内网的机子的水晶头做两个，分别用来上内网和外网，但不要给他装双网卡，必须一次只能上一个。
只上内网或外网的则只做一个，
这样，我觉得，如果不是你的服务器或既能上外网又能上内网的机子泄密的话就没有问题了。
不过要想达到最安全就最好是物理隔离。

beansprouts1981

只要物理连接，就不可能安全。
要隔离就要物理分开，不用考虑那么多。

dddkkk213

老大，物理隔离就是一台机子只能上内网或外网了，怎么可能，一会上内网，一会上外网？