主题:【原创】一个廉价的内外网隔离解决方案设想,请各位高手指教 -- 闲云野熊
共:💬26 🌺5 新:
家园 这样算物理隔离吗? 对内网内容的保护以及网卡的切换都通过软件实现。一旦身份认证被破译,就没有可靠的保护了。
家园 身份认证也可以通过CA认证实现,使用内网认证,信息不外泄 至于客户端软件的保护,考虑到3721蟑螂般的生命力,可以认为是能够较满意解决的。
家园 身份认证在本地进行,可以不通过网络传输认证信息,并不容易破译 而且软件可以通过自身完整性检测避免被更改。至于算不算物理隔离,我想应该属于擦边范围。
家园 这样的物理隔离安全性不一定比那种设置网关的隔离好 而且每台机器都需要设置隔离算法,每一个人都可以跨网传输数据。我觉得这样的安全形同虚设。
如果要达到严格保密要求,不应该每个人都能直接接触外网。安全系统里最薄弱的环节不是软件或硬件,而是人。
家园 我有一个观点,安全是服务,而不是目的 不能因为安全因素影响应用,例如很多科研单位的工作人员需要上网查资料同时从事保密工作,如果因为安全因素影响了课题研究您认为是合算的吗?您可能会说如果泄密更不合算,但作为安全提供者为什么不考虑设计提供方便又可靠的安全工具呢?
作为安全系统的设计者,应该考虑安全工具的部署使用简单易用,同时避免无意操作或误操作导致安全问题。
对于内网的关键设备和核心数据当然还需安全设施保护,本方案思路只不过解决了桌面平台上外网的安全保护。
又:您所提到的为每台设备提供隔离策略并不时本方案的弱点,我已经提到可以用集中式管理解决访问控制策略问题这与网络杀病毒软件的强制策略完全类似。
家园 我们公司的安全防护是 每个人必须敲密码才能上网,网关有内容过滤,不容许有大文件的FTP。邮件有备份。不同部门有专门的路由器。
这样设置同样可以上网。据我所知,大部分的公司都是这样做的。
我觉得即使用两台机器,分别连内网和外网,也不能提供足够的安全性。这要求内部每个人员都安全可靠,一旦有人故意,从内网把资料弄到外网,那么很难跟踪和控制。不如设一个路由器,所有内容都必须从那里走,这样只需一个可靠警觉的管理员就可以了。