安全隔離網(wǎng)閘解決方案

1、安全隔離網(wǎng)閘解決方案安全隔離網(wǎng)閘解決方案 TOC o 1-5 h z 前言 1 HYPERLINK l bookmark2 o Current Document 需求理解 2網(wǎng)絡(luò)現(xiàn)狀 2常規(guī)業(yè)務(wù)所面臨的主要問題 2若直接連接內(nèi)部、外部網(wǎng)絡(luò)的安全隱患 2網(wǎng)絡(luò)安全需求分析 3業(yè)務(wù)安全目標(biāo) 3短期目標(biāo) 3長期目標(biāo) 3 HYPERLINK l bookmark4 o Current Document 解決方案 4設(shè)計目標(biāo) 4解決方案 4解決方案一 4解決方案二 5基本功能實 5安全隔離網(wǎng)閘技術(shù)特色 6技術(shù)特點 6安全隔離網(wǎng)閘功能特性 7安全隔離網(wǎng)閘解決方案1刖百Internet 作為覆蓋面最廣、集聚人

2、員最多的虛擬空間，形成了一個巨大的 市場。中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）在2002年7月的“中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r 統(tǒng)計報告”中指出，目前我國上網(wǎng)用戶總數(shù)己經(jīng)達(dá)到4580萬人，而且一直呈現(xiàn)穩(wěn)定、快速上升趨勢。面對如此眾多的上網(wǎng)用戶，為商家提供了無限商機(jī)。同時， 若通過Internet中進(jìn)行傳統(tǒng)業(yè)務(wù)，將大大節(jié)約運行成本。據(jù)統(tǒng)計，網(wǎng)上銀行一 次資金交割的成本只有柜臺交割的13%。面又t Internet如此巨大的市場，以及大大降低運行成本的誘惑，各行各業(yè) 迫切需要利用Internet這種新的運作方式，以適應(yīng)面臨的劇烈競爭。為了迎接 WT05勺挑戰(zhàn)，實現(xiàn)“以客戶為中心”的經(jīng)營理念，各行各業(yè)最直接的

3、應(yīng)用就是建 立“網(wǎng)上營業(yè)廳”。但是作為基于Internet的業(yè)務(wù)，如何防止黑客的攻擊和病毒的破壞，如何 保障自身的業(yè)務(wù)網(wǎng)運行的安全就迫在眉睫了。對于一般的防火墻、入侵檢測、病毒掃描等等網(wǎng)絡(luò)安全技術(shù)的安全性，在人們心中還有很多疑慮，因為很多網(wǎng)絡(luò)安 全技術(shù)都是事后技術(shù)，即只有在遭受到黑客攻擊或發(fā)生了病毒感染之后才作出相 應(yīng)的反應(yīng)。防火墻技術(shù)雖然是一種主動防護(hù)的網(wǎng)絡(luò)安全技術(shù)，它的作用是在用戶的局域網(wǎng)和不可信的互聯(lián)網(wǎng)之間提供一道保護(hù)屏障，但它自身卻常常被黑客攻破，成為直接威脅用戶局域網(wǎng)的跳板。造成這種現(xiàn)象的主要原因是傳統(tǒng)的網(wǎng)絡(luò)安全設(shè) 備只是基于邏輯的安全檢測，不提供基于硬件隔離的安全手段。所謂“道高一

4、尺，魔高一丈”，面對病毒的泛濫，黑客的橫行，我們必須采 用更先進(jìn)的辦法來解決這些問題。目前，出現(xiàn)了一種新的網(wǎng)絡(luò)安全產(chǎn)品一一聯(lián)想 安全隔離網(wǎng)閘，該系統(tǒng)的主要功能是在兩個獨立的網(wǎng)絡(luò)之間，在物理層的隔離狀態(tài)下，以應(yīng)用層的安全檢測為保障，提供高安全的信息交流服務(wù)。安全隔離網(wǎng)閘解決方案2需求理解2.1網(wǎng)絡(luò)現(xiàn)狀2.2常規(guī)業(yè)務(wù)所面臨的主要問題常規(guī)業(yè)務(wù)所面臨的主要問題：1、實時性差2、工作量大3、容易造成人為的失誤4、運行費用高5、很難實現(xiàn)7 （大）X 24 （小時）的不間斷服務(wù)6、業(yè)務(wù)擴(kuò)展困難2.3若直接連接內(nèi)部、外部網(wǎng)絡(luò)的安全隱患若直接將兩個網(wǎng)絡(luò)連接起來，將出現(xiàn)以下安全隱患:1、來自網(wǎng)絡(luò)外部非法用戶的攻擊

5、和越權(quán)訪問等。2、網(wǎng)絡(luò)病毒的破壞。3、來自內(nèi)部網(wǎng)絡(luò)合法用戶的無意泄密。安全隔離網(wǎng)閘解決方案網(wǎng)絡(luò)安全需求分析1、防止內(nèi)網(wǎng)的主機(jī)遭受非法用戶的非授權(quán)訪問或惡意攻擊。2、加強(qiáng)對各種交流信息的檢測，其中包括：檢測來自內(nèi)部和外部的數(shù)據(jù)內(nèi) 容。3、加強(qiáng)對各種交流信息的病毒掃描和消除，其中包括：檢測來自內(nèi)部和外 部的數(shù)據(jù)內(nèi)容。4、加強(qiáng)對各種交流信息的日志審計。業(yè)務(wù)安全目標(biāo)業(yè)務(wù)量越來越大，業(yè)務(wù)種類越來越多，對業(yè)務(wù)的性能要求越來越高，為了更 好的、更有效的、更方便、更安全地提供網(wǎng)絡(luò)業(yè)務(wù)服務(wù)，是實現(xiàn)業(yè)務(wù)的目標(biāo)。實 施網(wǎng)絡(luò)安全系統(tǒng)項目，整體規(guī)劃網(wǎng)絡(luò)安全系統(tǒng)，作好以下幾個方面的規(guī)劃和實施： 保密性、安全性、完整性、可

6、用性。短期目標(biāo)目前迫在眉睫的工作是保護(hù)整個系統(tǒng)的網(wǎng)絡(luò)完整性、 系統(tǒng)的完整性及系統(tǒng)可 用性，建立安全的網(wǎng)絡(luò)邏輯結(jié)構(gòu)，為今后的實施保密性奠定基礎(chǔ)。網(wǎng)絡(luò)完整性主 要是對網(wǎng)絡(luò)系統(tǒng)的保護(hù)，通過設(shè)置安全隔離網(wǎng)閘等保證通訊安全， 保證系統(tǒng)資源 受控可用；系統(tǒng)的完整性是信息系統(tǒng)的保護(hù)主要有防病毒、 風(fēng)險評估、入侵檢測。長期目標(biāo)全面部署整體安全防御系統(tǒng)，鞏固和完善網(wǎng)絡(luò)安全及管理系統(tǒng)，使網(wǎng)絡(luò)業(yè)務(wù) 更好的行使職能。安全隔離網(wǎng)閘解決方案3解決方案設(shè)計目標(biāo)1、將內(nèi)部網(wǎng)與其它外部網(wǎng)絡(luò)安全隔離，拒絕非法訪問，惡意攻擊，保護(hù)網(wǎng) 絡(luò)邊界的安全。2、抵擋木馬攻擊、蠕蟲攻擊、后門攻擊、利用漏洞攻擊和拒絕服務(wù)攻擊。3、強(qiáng)化對網(wǎng)絡(luò)的控

7、制，確保關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)帶寬。解決方案解決方案一網(wǎng)吊平戔檀塊該方案使用安全隔離網(wǎng)閘的數(shù)據(jù)庫同步方式， 實現(xiàn)業(yè)務(wù)數(shù)據(jù)庫和業(yè)務(wù)數(shù)據(jù)庫 副本之間的同步，使這兩個數(shù)據(jù)庫部分或全部內(nèi)容實時地保持一致，從而實現(xiàn)業(yè) 務(wù)數(shù)據(jù)的共享。對己有的業(yè)務(wù)系統(tǒng)進(jìn)行改造是一個非常好的方案。安全隔離網(wǎng)閘解決方案解決方案二該方案使用安全隔離網(wǎng)閘的文件交流方式， web服務(wù)器將接收到的請求轉(zhuǎn)換 成文件，通過安全隔離網(wǎng)閘傳輸?shù)綐I(yè)務(wù)網(wǎng)， 業(yè)務(wù)網(wǎng)處理完該數(shù)據(jù)后，再將結(jié)果轉(zhuǎn) 換成文件通過安全隔離網(wǎng)閘傳輸給 web服務(wù)器，從而實現(xiàn)業(yè)務(wù)處理。該方案比方 案一成本低，但業(yè)務(wù)系統(tǒng)必須針對安全隔離網(wǎng)閘進(jìn)行開發(fā)。 對于新建的網(wǎng)上營業(yè) 廳也是一種很好的

8、方案。基本功能實為保證網(wǎng)絡(luò)系統(tǒng)安全可靠的運行，保障系統(tǒng)資源受控合法的使用，安全隔離 網(wǎng)閘應(yīng)具有或?qū)崿F(xiàn)以下功能：1、物理層安全隔離：在業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)之間必須實現(xiàn)嚴(yán)格的物理層安全隔 離。防止通過安全隔離網(wǎng)閘從互聯(lián)網(wǎng)直接與業(yè)務(wù)網(wǎng)相連。因此選用的安全隔離網(wǎng)閘產(chǎn)品必須具有嚴(yán)格的物理層隔離功能。2、關(guān)鍵字過濾：對通過安全隔離網(wǎng)閘的數(shù)據(jù)，必須經(jīng)過內(nèi)容檢測，保證進(jìn) 出內(nèi)外網(wǎng)信息的合法性。因此選用的安全隔離網(wǎng)閘產(chǎn)品必須具有嚴(yán)格的關(guān)鍵字過 濾功能。3、查殺病毒：為了防止病毒通過安全隔離網(wǎng)閘從互聯(lián)網(wǎng)擴(kuò)散到業(yè)務(wù)網(wǎng)中， 必須對經(jīng)過安全隔離網(wǎng)閘的數(shù)據(jù)進(jìn)行病毒的掃描和清除。因此選用的安全隔離網(wǎng)閘產(chǎn)品必須具有掃描和消除病毒的

9、功能。安全隔離網(wǎng)閘解決方案4、日志審計：對經(jīng)過安全隔離網(wǎng)閘的數(shù)據(jù)需要有詳細(xì)的日志記錄，便于安 全審計和責(zé)任追無。因此選用的安全隔離網(wǎng)閘產(chǎn)品必須具有詳細(xì)的日志記錄功能。5、對信息流動方向的控制：由于業(yè)務(wù)需要，可能只需要實現(xiàn)數(shù)據(jù)的單向傳 輸，即數(shù)據(jù)只從互聯(lián)網(wǎng)傳輸?shù)綐I(yè)務(wù)網(wǎng)， 或只業(yè)務(wù)網(wǎng)從傳輸?shù)交ヂ?lián)網(wǎng)，因此選用的 安全隔離網(wǎng)閘產(chǎn)品必須具有控制數(shù)據(jù)的單/雙向流動功能。6、實時性：業(yè)務(wù)系統(tǒng)對數(shù)據(jù)交流的實時性要求非常強(qiáng)。7、高性能：業(yè)務(wù)系統(tǒng)對數(shù)據(jù)交流的數(shù)據(jù)量要求特別大。安全隔離網(wǎng)閘技術(shù)特色技術(shù)特點1、物理層安全隔離遵循嚴(yán)格物理隔離的原則，在系統(tǒng)內(nèi)設(shè)有安全開關(guān)。假設(shè)為了實現(xiàn)外網(wǎng)與內(nèi) 網(wǎng)之間的信息交流，當(dāng)網(wǎng)閘開

10、關(guān)模塊與外網(wǎng)主機(jī)模塊連接時斷開與內(nèi)網(wǎng)的通路； 同理，當(dāng)網(wǎng)閘開關(guān)模塊與內(nèi)網(wǎng)主機(jī)模塊連接時斷開與外網(wǎng)的通路，從而確保實現(xiàn)了網(wǎng)絡(luò)間的物理隔離，提高了系統(tǒng)的安全性。2、關(guān)鍵字過濾可以根據(jù)設(shè)置的關(guān)鍵字對收、發(fā)或收發(fā)雙向的文件內(nèi)容進(jìn)行過濾，保證進(jìn)出 內(nèi)外網(wǎng)信息的合法性。3、查殺病毒集成了專業(yè)殺毒公司的查殺毒引擎，能實現(xiàn)對交換的數(shù)據(jù)進(jìn)行實時的病毒監(jiān) 測和消除。4、日志審計帶有日志審計功能。對于通過安全隔離網(wǎng)閘進(jìn)行的信息交流， 系統(tǒng)會自動記 錄日志，管理員可隨時查看日志，方便管理。5、信息單向或者雙向流動系統(tǒng)所解決的信息交互問題是指外網(wǎng)信息通過網(wǎng)閘開關(guān)模塊進(jìn)入內(nèi)網(wǎng)和內(nèi) 網(wǎng)信息通過網(wǎng)閘開關(guān)模塊發(fā)送到外網(wǎng)，因此信

11、息是雙向流動的。同時也可以通過第6頁安全隔離網(wǎng)閘解決方案設(shè)置屏蔽某個方向的信息流動，使之成為單向傳輸。6、高速的安全電子開關(guān)系統(tǒng)所采用的安全電子開關(guān)支持網(wǎng)絡(luò)間信息的高速傳遞， 安全隔離開關(guān)支持 多種網(wǎng)絡(luò)帶寬，滿足網(wǎng)絡(luò)間信息高速交換的要求。同時，數(shù)據(jù)延時非常小，最小 數(shù)據(jù)延時為50毫秒，最大數(shù)據(jù)延時為0. 7秒。7、易用性本系統(tǒng)采用基于web的管理方式，使用非常方便。3.3.2安全隔離網(wǎng)閘功能特性1、文件交流功能1）、自定義安全傳輸協(xié)議：系統(tǒng)在底層采用自定義的安全傳輸協(xié)議，自行完成對文件的分片、傳遞工作，在另一端負(fù)責(zé)對其進(jìn)行重組、檢測。在保證安全性 的同時，這種措施也保證了在傳輸大文件時，文件的

12、完整性和延時最小的特點。2）、定時、實時文件交換：系統(tǒng)可以按照配置，定時將某個目錄下的文件自 動的傳輸?shù)搅硪痪W(wǎng)絡(luò)的某臺主機(jī)上。 也可以通過編程接口，向網(wǎng)閘提交文件，這 個文件將被立刻發(fā)送，沒有延時。3）、支持單向、雙向文件交換：可以進(jìn)行傳輸方向的控制。文件可單向傳輸， 也可雙向傳輸。4）、支持?jǐn)?shù)字簽名：系統(tǒng)要求用戶傳輸?shù)奈募急仨毟綆?shù)字簽名。網(wǎng)閘對數(shù)字簽名進(jìn)行校驗，校驗可以起到身份認(rèn)證、防否認(rèn)的作用。5）、支持內(nèi)容過濾：系統(tǒng)支持基于白名單、黑名單的內(nèi)容過濾機(jī)制。6）、支持病毒檢查：系統(tǒng)捆綁商用防病毒軟件，對傳輸?shù)奈募M(jìn)行殺毒。2、郵件同步1）、支持標(biāo)準(zhǔn)的SMTP艮務(wù)2）、本身具有郵件服務(wù)器模

13、塊：無論用戶有或者沒有郵件服務(wù)器，此郵件服 務(wù)器均可部署。保護(hù)用戶己有投3）、安全、高可用性的郵件過濾策略：支持垃圾郵件過濾、數(shù)字簽名校驗、 殺病毒、內(nèi)容過濾安全隔離網(wǎng)閘解決方案4）、可為每個用戶配置不同的郵件交換策略：可單向交換、雙向交換、禁止 交換。5）、內(nèi)外網(wǎng)郵件鏡像：系統(tǒng)可以將內(nèi)網(wǎng)郵件服務(wù)器的部分或全部用戶的郵箱 在外網(wǎng)郵件代理上做鏡像，從而使內(nèi)網(wǎng)用戶在外網(wǎng)環(huán)境下使用外網(wǎng)郵件代理進(jìn)行 收發(fā)郵件成為現(xiàn)實。6）、支持web方式：支持web方式下的郵件收發(fā)、郵件回復(fù)、郵件轉(zhuǎn)發(fā)等功 能。系統(tǒng)完善的接口，使用戶可以根據(jù)自己的需要自由定制自己的 web郵件系統(tǒng)。3、數(shù)據(jù)庫同步1）、雙向/單向數(shù)據(jù)同步：數(shù)據(jù)庫同步可以是雙向的，即在系統(tǒng)運行期間， 內(nèi)外網(wǎng)數(shù)據(jù)庫中變化的內(nèi)容可同時更新到對方數(shù)據(jù)庫中，也可以是單向的。2）、同步內(nèi)容可定制：數(shù)據(jù)庫同步的內(nèi)容可以是整個數(shù)據(jù)庫， 也可以是數(shù)據(jù) 庫中部分表。用戶可根據(jù)需求，設(shè)置和修改需要更新的內(nèi)容。3）、多種同步方式：系