为了确保信息安全,尤其是对于那些对保密要求极高的网络环境,通常会禁止含有敏感信息的电脑直接访问互联网,以避免数据未经授权就被传输到外部。
然而,员工在工作中又经常需要查阅资料、进行信息交流。因此,许多企业会选择部署两套独立的网络系统:一套专用于内部生产和数据交换,另一套则用于与互联网连接。这两套网络在物理层面严格隔离,互不相通,并对USB等外接设备进行管控,以强化数据保护。
实施方法如下:
- 双网络架构:通过配置两组交换机或者利用V-LAN技术划分交换机端口,将网络线路明确划分为“内网”和“外网”,两者间无任何直接通信途径。每个工作位配备两台电脑,分别接入内、外两张网络。
文件共享区:设立一个内外网均可访问的文件中转共享区,外网电脑可向该区域上传文件,内网电脑只能读取,不可写入。这样,员工既能便捷地获取互联网上的信息,又能有效防止内部文件被非法传至互联网。
当然,这样的方案,每个办公网要放置两套电脑,有点浪费资金和桌面空间。我们还可以使用以下办法来进行精简和优化:
方案一:物理隔离卡:
在电脑主机内部安装物理隔离卡,使其如同拥有两台独立主机。隔离卡具备两个网卡接口和硬盘接口,可分别连接内、外网线及安装对应操作系统。开机时,用户通过菜单选择登录内网或外网。
缺点(或许也是优点):切换网络时需重启电脑,且无法同时运行两个系统。
方案二:KVM切换器:
若仅考虑节省桌面空间,可采用KVM切换器。只需一套键盘、鼠标、显示器,就能轻松在两台主机间切换。低成本,操作简便,
缺点:无法同时查看两台电脑的屏幕内容。
。
方案三:KVM延长器:
若担忧主机在工位上可能遭遇恶意攻击或硬盘失窃,可使用KVM延长器。将主机集中存放在安全的机房,工位上仅保留输入输出设备(键盘、鼠标、显示器)。通过延长器远程操控主机,既保障安全,又节省空间。
缺点:视频信号经过加工转发,可能导致画面切换有延时产生,一般来说是不会感觉到的,但实施前需测试确认。
方案四:虚拟机:
更为经济且先进的方案是配置一台虚拟机服务器,按需创建多个虚拟机供员工访问互联网。内网电脑需上网时,通过远程桌面登录指定虚拟机进行操作。
此法成本低、使用便利,但需警惕内网电脑利用虚拟机作为桥梁,违规向互联网传递文件和信息。对此,可通过权限控制、防火墙策略、屏幕监控等手段加强防护。
具体实施方案,可咨询应百思。
