安全隔離網(wǎng)閘解決方案

1、安全隔離網(wǎng)閘解決方案安全隔離網(wǎng)閘解決方案 TOC o 1-5 h z 前言 1 HYPERLINK l bookmark2 o Current Document 需求理解 2網(wǎng)絡(luò)現(xiàn)狀 2常規(guī)業(yè)務(wù)所面臨的主要問(wèn)題 2若直接連接內(nèi)部、外部網(wǎng)絡(luò)的安全隱患 2網(wǎng)絡(luò)安全需求分析 3業(yè)務(wù)安全目標(biāo) 3短期目標(biāo) 3長(zhǎng)期目標(biāo) 3 HYPERLINK l bookmark4 o Current Document 解決方案 4設(shè)計(jì)目標(biāo) 4解決方案 4解決方案一 4解決方案二 5基本功能實(shí) 5安全隔離網(wǎng)閘技術(shù)特色 6技術(shù)特點(diǎn) 6安全隔離網(wǎng)閘功能特性 7安全隔離網(wǎng)閘解決方案1刖百I(mǎi)nternet 作為覆蓋面最廣、集聚人

2、員最多的虛擬空間，形成了一個(gè)巨大的 市場(chǎng)。中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）在2002年7月的“中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r 統(tǒng)計(jì)報(bào)告”中指出，目前我國(guó)上網(wǎng)用戶總數(shù)己經(jīng)達(dá)到4580萬(wàn)人，而且一直呈現(xiàn)穩(wěn)定、快速上升趨勢(shì)。面對(duì)如此眾多的上網(wǎng)用戶，為商家提供了無(wú)限商機(jī)。同時(shí)， 若通過(guò)Internet中進(jìn)行傳統(tǒng)業(yè)務(wù)，將大大節(jié)約運(yùn)行成本。據(jù)統(tǒng)計(jì)，網(wǎng)上銀行一 次資金交割的成本只有柜臺(tái)交割的13%。面又t Internet如此巨大的市場(chǎng)，以及大大降低運(yùn)行成本的誘惑，各行各業(yè) 迫切需要利用Internet這種新的運(yùn)作方式，以適應(yīng)面臨的劇烈競(jìng)爭(zhēng)。為了迎接 WT05勺挑戰(zhàn)，實(shí)現(xiàn)“以客戶為中心”的經(jīng)營(yíng)理念，各行各業(yè)最直接的

3、應(yīng)用就是建 立“網(wǎng)上營(yíng)業(yè)廳”。但是作為基于Internet的業(yè)務(wù)，如何防止黑客的攻擊和病毒的破壞，如何 保障自身的業(yè)務(wù)網(wǎng)運(yùn)行的安全就迫在眉睫了。對(duì)于一般的防火墻、入侵檢測(cè)、病毒掃描等等網(wǎng)絡(luò)安全技術(shù)的安全性，在人們心中還有很多疑慮，因?yàn)楹芏嗑W(wǎng)絡(luò)安 全技術(shù)都是事后技術(shù)，即只有在遭受到黑客攻擊或發(fā)生了病毒感染之后才作出相 應(yīng)的反應(yīng)。防火墻技術(shù)雖然是一種主動(dòng)防護(hù)的網(wǎng)絡(luò)安全技術(shù)，它的作用是在用戶的局域網(wǎng)和不可信的互聯(lián)網(wǎng)之間提供一道保護(hù)屏障，但它自身卻常常被黑客攻破，成為直接威脅用戶局域網(wǎng)的跳板。造成這種現(xiàn)象的主要原因是傳統(tǒng)的網(wǎng)絡(luò)安全設(shè) 備只是基于邏輯的安全檢測(cè)，不提供基于硬件隔離的安全手段。所謂“道高一

4、尺，魔高一丈”，面對(duì)病毒的泛濫，黑客的橫行，我們必須采 用更先進(jìn)的辦法來(lái)解決這些問(wèn)題。目前，出現(xiàn)了一種新的網(wǎng)絡(luò)安全產(chǎn)品一一聯(lián)想 安全隔離網(wǎng)閘，該系統(tǒng)的主要功能是在兩個(gè)獨(dú)立的網(wǎng)絡(luò)之間，在物理層的隔離狀態(tài)下，以應(yīng)用層的安全檢測(cè)為保障，提供高安全的信息交流服務(wù)。安全隔離網(wǎng)閘解決方案2需求理解2.1網(wǎng)絡(luò)現(xiàn)狀2.2常規(guī)業(yè)務(wù)所面臨的主要問(wèn)題常規(guī)業(yè)務(wù)所面臨的主要問(wèn)題：1、實(shí)時(shí)性差2、工作量大3、容易造成人為的失誤4、運(yùn)行費(fèi)用高5、很難實(shí)現(xiàn)7 （大）X 24 （小時(shí)）的不間斷服務(wù)6、業(yè)務(wù)擴(kuò)展困難2.3若直接連接內(nèi)部、外部網(wǎng)絡(luò)的安全隱患若直接將兩個(gè)網(wǎng)絡(luò)連接起來(lái)，將出現(xiàn)以下安全隱患:1、來(lái)自網(wǎng)絡(luò)外部非法用戶的攻擊

5、和越權(quán)訪問(wèn)等。2、網(wǎng)絡(luò)病毒的破壞。3、來(lái)自內(nèi)部網(wǎng)絡(luò)合法用戶的無(wú)意泄密。安全隔離網(wǎng)閘解決方案網(wǎng)絡(luò)安全需求分析1、防止內(nèi)網(wǎng)的主機(jī)遭受非法用戶的非授權(quán)訪問(wèn)或惡意攻擊。2、加強(qiáng)對(duì)各種交流信息的檢測(cè)，其中包括：檢測(cè)來(lái)自內(nèi)部和外部的數(shù)據(jù)內(nèi) 容。3、加強(qiáng)對(duì)各種交流信息的病毒掃描和消除，其中包括：檢測(cè)來(lái)自內(nèi)部和外 部的數(shù)據(jù)內(nèi)容。4、加強(qiáng)對(duì)各種交流信息的日志審計(jì)。業(yè)務(wù)安全目標(biāo)業(yè)務(wù)量越來(lái)越大，業(yè)務(wù)種類(lèi)越來(lái)越多，對(duì)業(yè)務(wù)的性能要求越來(lái)越高，為了更 好的、更有效的、更方便、更安全地提供網(wǎng)絡(luò)業(yè)務(wù)服務(wù)，是實(shí)現(xiàn)業(yè)務(wù)的目標(biāo)。實(shí) 施網(wǎng)絡(luò)安全系統(tǒng)項(xiàng)目，整體規(guī)劃網(wǎng)絡(luò)安全系統(tǒng)，作好以下幾個(gè)方面的規(guī)劃和實(shí)施： 保密性、安全性、完整性、可

6、用性。短期目標(biāo)目前迫在眉睫的工作是保護(hù)整個(gè)系統(tǒng)的網(wǎng)絡(luò)完整性、 系統(tǒng)的完整性及系統(tǒng)可 用性，建立安全的網(wǎng)絡(luò)邏輯結(jié)構(gòu)，為今后的實(shí)施保密性奠定基礎(chǔ)。網(wǎng)絡(luò)完整性主 要是對(duì)網(wǎng)絡(luò)系統(tǒng)的保護(hù)，通過(guò)設(shè)置安全隔離網(wǎng)閘等保證通訊安全， 保證系統(tǒng)資源 受控可用；系統(tǒng)的完整性是信息系統(tǒng)的保護(hù)主要有防病毒、 風(fēng)險(xiǎn)評(píng)估、入侵檢測(cè)。長(zhǎng)期目標(biāo)全面部署整體安全防御系統(tǒng)，鞏固和完善網(wǎng)絡(luò)安全及管理系統(tǒng)，使網(wǎng)絡(luò)業(yè)務(wù) 更好的行使職能。安全隔離網(wǎng)閘解決方案3解決方案設(shè)計(jì)目標(biāo)1、將內(nèi)部網(wǎng)與其它外部網(wǎng)絡(luò)安全隔離，拒絕非法訪問(wèn)，惡意攻擊，保護(hù)網(wǎng) 絡(luò)邊界的安全。2、抵擋木馬攻擊、蠕蟲(chóng)攻擊、后門(mén)攻擊、利用漏洞攻擊和拒絕服務(wù)攻擊。3、強(qiáng)化對(duì)網(wǎng)絡(luò)的控

7、制，確保關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)帶寬。解決方案解決方案一網(wǎng)吊平戔檀塊該方案使用安全隔離網(wǎng)閘的數(shù)據(jù)庫(kù)同步方式， 實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)庫(kù)和業(yè)務(wù)數(shù)據(jù)庫(kù) 副本之間的同步，使這兩個(gè)數(shù)據(jù)庫(kù)部分或全部?jī)?nèi)容實(shí)時(shí)地保持一致，從而實(shí)現(xiàn)業(yè) 務(wù)數(shù)據(jù)的共享。對(duì)己有的業(yè)務(wù)系統(tǒng)進(jìn)行改造是一個(gè)非常好的方案。安全隔離網(wǎng)閘解決方案解決方案二該方案使用安全隔離網(wǎng)閘的文件交流方式， web服務(wù)器將接收到的請(qǐng)求轉(zhuǎn)換 成文件，通過(guò)安全隔離網(wǎng)閘傳輸?shù)綐I(yè)務(wù)網(wǎng)， 業(yè)務(wù)網(wǎng)處理完該數(shù)據(jù)后，再將結(jié)果轉(zhuǎn) 換成文件通過(guò)安全隔離網(wǎng)閘傳輸給 web服務(wù)器，從而實(shí)現(xiàn)業(yè)務(wù)處理。該方案比方 案一成本低，但業(yè)務(wù)系統(tǒng)必須針對(duì)安全隔離網(wǎng)閘進(jìn)行開(kāi)發(fā)。 對(duì)于新建的網(wǎng)上營(yíng)業(yè) 廳也是一種很好的

8、方案?；竟δ軐?shí)為保證網(wǎng)絡(luò)系統(tǒng)安全可靠的運(yùn)行，保障系統(tǒng)資源受控合法的使用，安全隔離 網(wǎng)閘應(yīng)具有或?qū)崿F(xiàn)以下功能：1、物理層安全隔離：在業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)之間必須實(shí)現(xiàn)嚴(yán)格的物理層安全隔 離。防止通過(guò)安全隔離網(wǎng)閘從互聯(lián)網(wǎng)直接與業(yè)務(wù)網(wǎng)相連。因此選用的安全隔離網(wǎng)閘產(chǎn)品必須具有嚴(yán)格的物理層隔離功能。2、關(guān)鍵字過(guò)濾：對(duì)通過(guò)安全隔離網(wǎng)閘的數(shù)據(jù)，必須經(jīng)過(guò)內(nèi)容檢測(cè)，保證進(jìn) 出內(nèi)外網(wǎng)信息的合法性。因此選用的安全隔離網(wǎng)閘產(chǎn)品必須具有嚴(yán)格的關(guān)鍵字過(guò) 濾功能。3、查殺病毒：為了防止病毒通過(guò)安全隔離網(wǎng)閘從互聯(lián)網(wǎng)擴(kuò)散到業(yè)務(wù)網(wǎng)中， 必須對(duì)經(jīng)過(guò)安全隔離網(wǎng)閘的數(shù)據(jù)進(jìn)行病毒的掃描和清除。因此選用的安全隔離網(wǎng)閘產(chǎn)品必須具有掃描和消除病毒的

9、功能。安全隔離網(wǎng)閘解決方案4、日志審計(jì)：對(duì)經(jīng)過(guò)安全隔離網(wǎng)閘的數(shù)據(jù)需要有詳細(xì)的日志記錄，便于安 全審計(jì)和責(zé)任追無(wú)。因此選用的安全隔離網(wǎng)閘產(chǎn)品必須具有詳細(xì)的日志記錄功能。5、對(duì)信息流動(dòng)方向的控制：由于業(yè)務(wù)需要，可能只需要實(shí)現(xiàn)數(shù)據(jù)的單向傳 輸，即數(shù)據(jù)只從互聯(lián)網(wǎng)傳輸?shù)綐I(yè)務(wù)網(wǎng)， 或只業(yè)務(wù)網(wǎng)從傳輸?shù)交ヂ?lián)網(wǎng)，因此選用的 安全隔離網(wǎng)閘產(chǎn)品必須具有控制數(shù)據(jù)的單/雙向流動(dòng)功能。6、實(shí)時(shí)性：業(yè)務(wù)系統(tǒng)對(duì)數(shù)據(jù)交流的實(shí)時(shí)性要求非常強(qiáng)。7、高性能：業(yè)務(wù)系統(tǒng)對(duì)數(shù)據(jù)交流的數(shù)據(jù)量要求特別大。安全隔離網(wǎng)閘技術(shù)特色技術(shù)特點(diǎn)1、物理層安全隔離遵循嚴(yán)格物理隔離的原則，在系統(tǒng)內(nèi)設(shè)有安全開(kāi)關(guān)。假設(shè)為了實(shí)現(xiàn)外網(wǎng)與內(nèi) 網(wǎng)之間的信息交流，當(dāng)網(wǎng)閘開(kāi)

10、關(guān)模塊與外網(wǎng)主機(jī)模塊連接時(shí)斷開(kāi)與內(nèi)網(wǎng)的通路； 同理，當(dāng)網(wǎng)閘開(kāi)關(guān)模塊與內(nèi)網(wǎng)主機(jī)模塊連接時(shí)斷開(kāi)與外網(wǎng)的通路，從而確保實(shí)現(xiàn)了網(wǎng)絡(luò)間的物理隔離，提高了系統(tǒng)的安全性。2、關(guān)鍵字過(guò)濾可以根據(jù)設(shè)置的關(guān)鍵字對(duì)收、發(fā)或收發(fā)雙向的文件內(nèi)容進(jìn)行過(guò)濾，保證進(jìn)出 內(nèi)外網(wǎng)信息的合法性。3、查殺病毒集成了專(zhuān)業(yè)殺毒公司的查殺毒引擎，能實(shí)現(xiàn)對(duì)交換的數(shù)據(jù)進(jìn)行實(shí)時(shí)的病毒監(jiān) 測(cè)和消除。4、日志審計(jì)帶有日志審計(jì)功能。對(duì)于通過(guò)安全隔離網(wǎng)閘進(jìn)行的信息交流， 系統(tǒng)會(huì)自動(dòng)記 錄日志，管理員可隨時(shí)查看日志，方便管理。5、信息單向或者雙向流動(dòng)系統(tǒng)所解決的信息交互問(wèn)題是指外網(wǎng)信息通過(guò)網(wǎng)閘開(kāi)關(guān)模塊進(jìn)入內(nèi)網(wǎng)和內(nèi) 網(wǎng)信息通過(guò)網(wǎng)閘開(kāi)關(guān)模塊發(fā)送到外網(wǎng)，因此信

11、息是雙向流動(dòng)的。同時(shí)也可以通過(guò)第6頁(yè)安全隔離網(wǎng)閘解決方案設(shè)置屏蔽某個(gè)方向的信息流動(dòng)，使之成為單向傳輸。6、高速的安全電子開(kāi)關(guān)系統(tǒng)所采用的安全電子開(kāi)關(guān)支持網(wǎng)絡(luò)間信息的高速傳遞， 安全隔離開(kāi)關(guān)支持 多種網(wǎng)絡(luò)帶寬，滿足網(wǎng)絡(luò)間信息高速交換的要求。同時(shí)，數(shù)據(jù)延時(shí)非常小，最小 數(shù)據(jù)延時(shí)為50毫秒，最大數(shù)據(jù)延時(shí)為0. 7秒。7、易用性本系統(tǒng)采用基于web的管理方式，使用非常方便。3.3.2安全隔離網(wǎng)閘功能特性1、文件交流功能1）、自定義安全傳輸協(xié)議：系統(tǒng)在底層采用自定義的安全傳輸協(xié)議，自行完成對(duì)文件的分片、傳遞工作，在另一端負(fù)責(zé)對(duì)其進(jìn)行重組、檢測(cè)。在保證安全性 的同時(shí)，這種措施也保證了在傳輸大文件時(shí)，文件的

12、完整性和延時(shí)最小的特點(diǎn)。2）、定時(shí)、實(shí)時(shí)文件交換：系統(tǒng)可以按照配置，定時(shí)將某個(gè)目錄下的文件自 動(dòng)的傳輸?shù)搅硪痪W(wǎng)絡(luò)的某臺(tái)主機(jī)上。 也可以通過(guò)編程接口，向網(wǎng)閘提交文件，這 個(gè)文件將被立刻發(fā)送，沒(méi)有延時(shí)。3）、支持單向、雙向文件交換：可以進(jìn)行傳輸方向的控制。文件可單向傳輸， 也可雙向傳輸。4）、支持?jǐn)?shù)字簽名：系統(tǒng)要求用戶傳輸?shù)奈募急仨毟綆?shù)字簽名。網(wǎng)閘對(duì)數(shù)字簽名進(jìn)行校驗(yàn)，校驗(yàn)可以起到身份認(rèn)證、防否認(rèn)的作用。5）、支持內(nèi)容過(guò)濾：系統(tǒng)支持基于白名單、黑名單的內(nèi)容過(guò)濾機(jī)制。6）、支持病毒檢查：系統(tǒng)捆綁商用防病毒軟件，對(duì)傳輸?shù)奈募M(jìn)行殺毒。2、郵件同步1）、支持標(biāo)準(zhǔn)的SMTP艮務(wù)2）、本身具有郵件服務(wù)器模

13、塊：無(wú)論用戶有或者沒(méi)有郵件服務(wù)器，此郵件服 務(wù)器均可部署。保護(hù)用戶己有投3）、安全、高可用性的郵件過(guò)濾策略：支持垃圾郵件過(guò)濾、數(shù)字簽名校驗(yàn)、 殺病毒、內(nèi)容過(guò)濾安全隔離網(wǎng)閘解決方案4）、可為每個(gè)用戶配置不同的郵件交換策略：可單向交換、雙向交換、禁止 交換。5）、內(nèi)外網(wǎng)郵件鏡像：系統(tǒng)可以將內(nèi)網(wǎng)郵件服務(wù)器的部分或全部用戶的郵箱 在外網(wǎng)郵件代理上做鏡像，從而使內(nèi)網(wǎng)用戶在外網(wǎng)環(huán)境下使用外網(wǎng)郵件代理進(jìn)行 收發(fā)郵件成為現(xiàn)實(shí)。6）、支持web方式：支持web方式下的郵件收發(fā)、郵件回復(fù)、郵件轉(zhuǎn)發(fā)等功 能。系統(tǒng)完善的接口，使用戶可以根據(jù)自己的需要自由定制自己的 web郵件系統(tǒng)。3、數(shù)據(jù)庫(kù)同步1）、雙向/單向數(shù)據(jù)同步：數(shù)據(jù)庫(kù)同步可以是雙向的，即在系統(tǒng)運(yùn)行期間， 內(nèi)外網(wǎng)數(shù)據(jù)庫(kù)中變化的內(nèi)容可同時(shí)更新到對(duì)方數(shù)據(jù)庫(kù)中，也可以是單向的。2）、同步內(nèi)容可定制：數(shù)據(jù)庫(kù)同步的內(nèi)容可以是整個(gè)數(shù)據(jù)庫(kù)， 也可以是數(shù)據(jù) 庫(kù)中部分表。用戶可根據(jù)需求，設(shè)置和修改需要更新的內(nèi)容。3）、多種同步方式：系