政府網(wǎng)絡(luò)安全隔離建議方案

政府網(wǎng)絡(luò)安全隔離建議方案編寫:技術(shù)支持部審核：同意：

文檔信息編號(hào)密級(jí)秘密寄存地址保存期限2年內(nèi)為短期請保護(hù)環(huán)境，注意紙張的回收運(yùn)用版權(quán)信息本文獻(xiàn)涉及之信息，屬珠海偉思(集團(tuán))有限公司全部.未經(jīng)珠海偉思（集團(tuán)）有限公司允許,文獻(xiàn)中的任何部分都不能以任何形式向第三方散發(fā)。ViGaｐ、ViｅＣA為珠海偉思（集團(tuán)）有限公司系列產(chǎn)品,珠海偉思（集團(tuán)）有限公司完全擁有知識(shí)產(chǎn)權(quán)，并受國際知識(shí)產(chǎn)權(quán)法律保護(hù).Ｈttｐ://wwｗ.vｉcｔory－ideａ.com正文目錄TOＣ＼o”1—3”＼ｈ\ｚ＼uHYＰEＲLINK\l＂_Toｃ"1?政府安全隔離需求分析 PAGＥＲＥＦ_Toc\ｈ4HYPＥRLＩNK\l＂_Toc"1.１ 政府內(nèi)部網(wǎng)網(wǎng)絡(luò)現(xiàn)狀?4HYＰERLINK\l”＿Tｏc”1。2 政府的安全風(fēng)險(xiǎn)分析?PAGERＥＦ＿Tｏc\ｈ4HYPEＲLINＫ2．1 政府內(nèi)網(wǎng)安全隔離與信息交換設(shè)計(jì) PAGEＲEF＿Ｔoc\h6HYPＥRＬＩＮＫ＼l”_Tｏｃ＂２．2 安全隔離與信息交換平臺(tái)實(shí)施方案 PAGＥREＦ_Ｔｏc\h7ＨYＰERＬINK\l”_Toｃ"2.3 整體解決方案拓?fù)鋱D?PＡGEREＦ_Tｏc\h７HYPＥRLINK＼l”＿Toc"２．4?解決方案產(chǎn)品選型?PAGEREＦ＿Toc\h8HYPＥRLINＫ3。１?隔離網(wǎng)閘產(chǎn)品概述 ＰAＧＥREF_Toc\h9HYPEＲＬINK\l＂＿Ｔoc"3.2?產(chǎn)品內(nèi)部架構(gòu) PＡGＥREＦ_Toc\h９ＨYPERＬＩNK\ｌ＂＿Toc”3。３ 隔離網(wǎng)閘技術(shù)的優(yōu)勢 ＰAGＥＲEＦ_Toc\h１0HYPＥＲＬINＫ\l”_Ｔoc”３．4 產(chǎn)品特點(diǎn)?ＰAGＥREＦ_Ｔoc＼h11HＹPERLINK\ｌ”_Toｃ"3。5?產(chǎn)品功效?PAGEＲEF_Ｔoc\h12HＹＰＥRLINK\l”_Ｔoc"3．５。１?系統(tǒng)可靠性 PAGERＥF_Toc＼h1２HYPＥRLIＮＫ\ｌ＂_Tｏc”3。5。２ 系統(tǒng)可用性 ｈ13HYPERＬINK\ｌ"_Toc”3.5.3 安全功效?ＰＡＧEＲＥF＿Toｃ＼ｈ13ＨＹPERＬＩNK３.5。5 應(yīng)用支持 PＡＧＥREＦ_Tｏc\h1６HYPERLINＫ3。6 偉思ViGap3０0系統(tǒng)性能參數(shù) PAGEＲEF_Tｏｃ\h17HYPＥRLINK＼l"_Toc"4系統(tǒng)支持與服務(wù)方案?PAGEREＦ_Toc\h17HYPERＬIＮＫ＼l"_Toｃ”４.1售后服務(wù) ＰAGEREF＿Toc\h17HYPＥRＬIＮK\l”_Ｔoc"４。2培訓(xùn)計(jì)劃?PＡＧＥREF_Toc\h18政府安全隔離需求分析政府內(nèi)部網(wǎng)網(wǎng)絡(luò)現(xiàn)狀本單位市政務(wù)網(wǎng)按照《政務(wù)網(wǎng)絡(luò)建設(shè)規(guī)范》進(jìn)行建設(shè).政府是按照省電子政務(wù)辦公室確認(rèn)的網(wǎng)絡(luò)連接方式，與縣局、省局建立了三級(jí)網(wǎng)絡(luò)。政務(wù)網(wǎng)與國際互聯(lián)網(wǎng)之間在物理上完全分開,局域網(wǎng)由此形成物理上斷開的內(nèi)網(wǎng)（運(yùn)行管理信息系統(tǒng)）和外網(wǎng)(運(yùn)行信息公布和社會(huì)化服務(wù)系統(tǒng)）兩部分,分別連入政務(wù)網(wǎng)和國際互聯(lián)網(wǎng)。政務(wù)網(wǎng)絡(luò)重要由四部分構(gòu)成:——內(nèi)部運(yùn)行信息系統(tǒng)的局域網(wǎng)（內(nèi)網(wǎng))；-—上下級(jí)互聯(lián)的廣域網(wǎng)（政務(wù)網(wǎng))；——提供信息公布查詢等社會(huì)化服務(wù)的國際互聯(lián)網(wǎng)（外網(wǎng));-—市級(jí)各部門信息資源共享的政務(wù)外網(wǎng)。政府的安全風(fēng)險(xiǎn)分析政府內(nèi)外網(wǎng)、上下級(jí)互聯(lián)互通涉及數(shù)據(jù)的交換，必然帶來一定的安全風(fēng)險(xiǎn).原來在外部網(wǎng)上傳輸?shù)牟《?、在下?jí)縣市單位存在的安全隱患可能由于數(shù)據(jù)交換而感染到本單位政府內(nèi)網(wǎng)；原來運(yùn)用互連網(wǎng)發(fā)動(dòng)攻擊的黑客、下級(jí)單位的人員疏忽、惡意試探也可能運(yùn)用政府內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)交換的連接嘗試攻擊本單位政府內(nèi)部政務(wù)網(wǎng),能夠影響到本單位內(nèi)部網(wǎng)系統(tǒng)內(nèi)部大量的重要數(shù)據(jù)正常運(yùn)行,因此安全問題變得越來越復(fù)雜和突出。綜合分析網(wǎng)絡(luò)的攻擊的手段,政府內(nèi)外部網(wǎng)絡(luò)的數(shù)據(jù)交換可能面臨的安全風(fēng)險(xiǎn)涉及：問題類型問題問題描述合同設(shè)計(jì)安全問題被無視制訂合同之時(shí)，普通首先強(qiáng)調(diào)功效性，而安全性問題則是到最后一刻、甚或不列入考慮范疇。其它基礎(chǔ)合同問題架構(gòu)在其它不穩(wěn)固基礎(chǔ)合同之上的合同，即使本身再完善也會(huì)有諸多問題.流程問題設(shè)計(jì)合同時(shí),對多個(gè)可能出現(xiàn)的流程問題考慮不夠周全，造成發(fā)生狀況時(shí),系統(tǒng)解決方式不當(dāng)。設(shè)計(jì)錯(cuò)誤合同設(shè)計(jì)錯(cuò)誤，造成系統(tǒng)服務(wù)容易失效或招受攻擊。軟件設(shè)計(jì)設(shè)計(jì)錯(cuò)誤合同規(guī)劃對的,但合同設(shè)計(jì)時(shí)發(fā)生錯(cuò)誤，或設(shè)計(jì)人員對合同的認(rèn)知錯(cuò)誤，造成多個(gè)安全漏洞.程序錯(cuò)誤程序撰寫習(xí)慣不良造成諸多安全漏洞，包含常見的未檢查資料長度內(nèi)容、輸入資料容錯(cuò)能力局限性、未檢測可能發(fā)生的錯(cuò)誤、應(yīng)用環(huán)境的假設(shè)錯(cuò)誤、引用不當(dāng)模塊、未檢測資源局限性等.人員操作操作失誤操作規(guī)范嚴(yán)格且完善,但是操作人員未受過良好訓(xùn)練、或未按手冊操作，造成多個(gè)安全漏洞和安全隱患。網(wǎng)絡(luò)通訊信息泄密由于未采用加密手段造成通訊內(nèi)容被偵聽，或顧客名/口令在網(wǎng)上明文傳輸,造成竊取顧客身份登錄。系統(tǒng)維護(hù)默認(rèn)值不安全軟件或操作系統(tǒng)的預(yù)設(shè)設(shè)立不科學(xué),造成缺省設(shè)立下系統(tǒng)處在不安全的狀況下，如匿名登錄、訪問權(quán)限不當(dāng)?shù)?。容易遭受病毒、蠕蟲、特洛依木馬等的攻擊。未修補(bǔ)系統(tǒng)軟件和操作系統(tǒng)的多個(gè)補(bǔ)丁程序沒有及時(shí)修復(fù)。內(nèi)部安全問題對由信任系統(tǒng)和網(wǎng)絡(luò)發(fā)起的多個(gè)攻擊防備不夠。信任領(lǐng)域存在的不安全系統(tǒng),成為不信任領(lǐng)域內(nèi)系統(tǒng)攻擊信任領(lǐng)域的多個(gè)跳板.建立統(tǒng)一安全隔離數(shù)據(jù)交換安全原則根據(jù)對以上安全風(fēng)險(xiǎn)的歸納，市政府網(wǎng)絡(luò)系統(tǒng)最大的特點(diǎn)是復(fù)雜程度高，信息點(diǎn)多，安全威脅來自從物理層到應(yīng)用層多個(gè)方面。本方案在制訂安全系統(tǒng)設(shè)計(jì)時(shí)所采用的基本方略為:重要以安全隔離信息交換技術(shù)和數(shù)據(jù)擺渡技術(shù)為主體，輔之防火墻技術(shù)、入侵檢測技術(shù)內(nèi)外行為控制管理技術(shù);構(gòu)造一種含有最高安全強(qiáng)度的、在較長一段時(shí)期內(nèi)能夠防御絕大部分已知和未知的網(wǎng)絡(luò)攻擊手段的、并能夠滿足顧客多個(gè)網(wǎng)絡(luò)應(yīng)用信息安全交換的網(wǎng)絡(luò)安全系統(tǒng)平臺(tái)。政府網(wǎng)絡(luò)信息交換的安全原則和規(guī)定體現(xiàn)在以下幾個(gè)方面:１、建立統(tǒng)一的安全隔離交換平臺(tái)，內(nèi)部政府辦公網(wǎng)各業(yè)務(wù)部門通過統(tǒng)一出口實(shí)現(xiàn)與外部應(yīng)用網(wǎng)間的可信信息交換，統(tǒng)一管理，執(zhí)行統(tǒng)一的安全方略,實(shí)現(xiàn)內(nèi)部網(wǎng)信息和上下級(jí)單位、外部應(yīng)用網(wǎng)數(shù)據(jù)交換的高度可控性。2、所采用的安全隔離設(shè)備必須通過公安部信息安全產(chǎn)品許可和國家保密局的技術(shù)鑒定。安全隔離設(shè)備含有安全的文獻(xiàn)和數(shù)據(jù)庫交換功效，能夠支持對http、ｆtｐ等通用應(yīng)用層合同的嚴(yán)格分析控制的物理隔離設(shè)備或功效.３、制訂統(tǒng)一的接口開發(fā)及數(shù)據(jù)傳輸原則,實(shí)現(xiàn)內(nèi)部各業(yè)務(wù)部門應(yīng)用系統(tǒng)與外部應(yīng)用網(wǎng)安全交換平臺(tái)間的數(shù)據(jù)交換，并通過該原則強(qiáng)化應(yīng)用系統(tǒng)數(shù)據(jù)通信安全。4、內(nèi)部網(wǎng)通過安全隔離交換平臺(tái)與外界進(jìn)行的信息交換必須受到嚴(yán)格的控制，內(nèi)部網(wǎng)安全隔離平臺(tái)能夠提供必要的安全手段,如信息的單向訪問,避免內(nèi)網(wǎng)向外部泄漏敏感信息和抵抗外網(wǎng)攻擊。5、隔離平臺(tái)必須提供完整的安全審計(jì)功效,能夠具體統(tǒng)計(jì)、快速查詢內(nèi)外網(wǎng)間的訪問行為及安全事件，數(shù)據(jù)傳輸?shù)木唧w統(tǒng)計(jì)。６、隔離平臺(tái)與其它網(wǎng)絡(luò)安全產(chǎn)品構(gòu)成整體的網(wǎng)絡(luò)安全架構(gòu)，全方面解決市網(wǎng)絡(luò)安全問題.7、專業(yè)網(wǎng)安全隔離平臺(tái)必須含有較高的網(wǎng)絡(luò)性能及穩(wěn)定性、高可用性。政府網(wǎng)絡(luò)安全隔離解決方案政府內(nèi)網(wǎng)安全隔離與信息交換設(shè)計(jì)政府內(nèi)網(wǎng)安全隔離設(shè)計(jì)重要是政府內(nèi)網(wǎng)與外部應(yīng)用網(wǎng)絡(luò)(互聯(lián)網(wǎng)或上下級(jí)網(wǎng)絡(luò))間的安全隔離與信息交換問題.政府內(nèi)網(wǎng)與外部應(yīng)用網(wǎng)之間隔離遵照“內(nèi)外網(wǎng)物理隔斷，內(nèi)外網(wǎng)可控信息交換"的原則,政府內(nèi)網(wǎng)不直接接受來自其它網(wǎng)絡(luò)的數(shù)據(jù)訪問請求。其中重要基于下列安全考慮：即不接受其它網(wǎng)絡(luò)數(shù)據(jù)，使得政府內(nèi)網(wǎng)對外不暴露任何端口和服務(wù),完全隱藏內(nèi)部網(wǎng)絡(luò)，從而更集中、高效地保護(hù)內(nèi)網(wǎng)安全。更重要的是該功效阻斷了黑客通過木馬控制內(nèi)網(wǎng)主機(jī)的通訊途徑,保護(hù)內(nèi)網(wǎng)主機(jī)的安全。在以安全隔離網(wǎng)閘為基礎(chǔ)的內(nèi)外網(wǎng)信息交換平臺(tái)上，除了隔離網(wǎng)閘外，還能夠應(yīng)用防火墻技術(shù)、IDS技術(shù)、SSＬVＰＮ技術(shù)，確保政府內(nèi)網(wǎng)數(shù)據(jù)的機(jī)密性、完整性和可用性.這樣就以隔離網(wǎng)閘為核心,建立了一整套完整的安全隔離與信息交換平臺(tái).安全隔離與信息交換平臺(tái)實(shí)施方案根據(jù)以上設(shè)計(jì)，其重要實(shí)施方式是:在政府內(nèi)網(wǎng)與外部網(wǎng)絡(luò)邊界布署偉思安全隔離與信息交換系統(tǒng)(網(wǎng)閘)，該網(wǎng)閘的作用就是隔離來自外部網(wǎng)絡(luò)的訪問，以靜態(tài)化純數(shù)據(jù)的形式擺渡交換在內(nèi)外網(wǎng)之間安全交換數(shù)據(jù)。網(wǎng)閘布署在內(nèi)網(wǎng)與上下級(jí)關(guān)聯(lián)單位的網(wǎng)絡(luò)邊界處布署網(wǎng)閘,進(jìn)行數(shù)據(jù)交換的網(wǎng)絡(luò)邊界處，僅允許定義的安全數(shù)據(jù)進(jìn)行數(shù)據(jù)交換。隔離除此之外其它任何外部主機(jī)對內(nèi)網(wǎng)的訪問請求。在該隔離環(huán)境下，大量攻擊行為都被隔離網(wǎng)閘隔離而無法進(jìn)入本單位政府內(nèi)網(wǎng)對大負(fù)荷應(yīng)用可采用雙機(jī)集群，實(shí)現(xiàn)負(fù)載均衡和雙機(jī)熱備。解決性能保障問題和應(yīng)用隔離保障問題.性能保障重要是確保隔離系統(tǒng)的網(wǎng)絡(luò)性能滿足政府應(yīng)用對數(shù)據(jù)交換速率和延時(shí)的規(guī)定;實(shí)現(xiàn)負(fù)載均衡與雙機(jī)熱備，使安全交換平臺(tái)含有良好的可擴(kuò)展性和可靠性,另外對于交換數(shù)據(jù)量大的應(yīng)用系統(tǒng)可采用千兆隔離網(wǎng)閘。在政府內(nèi)網(wǎng)入口處布署SＳLＶＰN設(shè)備，針對遠(yuǎn)端局、所對內(nèi)網(wǎng)應(yīng)用的訪問進(jìn)行鏈路加密，確保正當(dāng)顧客才干訪問特定的應(yīng)用系統(tǒng)，保障安全性的同時(shí)增強(qiáng)應(yīng)用的靈活性。整體解決方案拓?fù)鋱D按照上述安全隔離與信息交換方案方略,我們對現(xiàn)有網(wǎng)絡(luò)構(gòu)造做了調(diào)節(jié)，引入了隔離網(wǎng)閘等網(wǎng)絡(luò)安全產(chǎn)品來實(shí)現(xiàn)政府網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)，確保內(nèi)外安全的前提下，滿足內(nèi)外網(wǎng)隔離與信息交換的需求.整體拓?fù)鋱D以下：隔離網(wǎng)閘可采用訪問式和同時(shí)式兩種工作模式，提供內(nèi)外網(wǎng)數(shù)據(jù)庫、文獻(xiàn)服務(wù)器的數(shù)據(jù)同時(shí)功效，也能夠提供對網(wǎng)絡(luò)訪問的全方面控制和方略管理。網(wǎng)閘A實(shí)現(xiàn)本單位內(nèi)外網(wǎng)之間數(shù)據(jù)交換．網(wǎng)閘B實(shí)現(xiàn)本單位與上下級(jí)單位或其它關(guān)聯(lián)單位間的安全隔離與數(shù)據(jù)交換.解決方案產(chǎn)品選型根據(jù)所需防備的具體安全問題類型、盼望達(dá)成的安全程度，本方案建議選擇對應(yīng)的安全產(chǎn)品，產(chǎn)品的選型遵從以下原則:１）、成熟性：確保安全體系本身的可靠和穩(wěn)定，也是確保網(wǎng)絡(luò)安全系統(tǒng)平臺(tái)能夠安全可靠運(yùn)行的基本要素。２）、先進(jìn)性：確保安全體系含有較強(qiáng)的適應(yīng)力、生命力，方便能適應(yīng)將來一段時(shí)期內(nèi)安全發(fā)展的需要。３)、國內(nèi)自主知識(shí)產(chǎn)權(quán)，自行生產(chǎn)的網(wǎng)絡(luò)安全產(chǎn)品。4)、正當(dāng)性:安全體系建設(shè)中所采用的安全技術(shù)及其產(chǎn)品須有國家安全部門或含有等效職能機(jī)構(gòu)認(rèn)證并頒發(fā)有許可證。隔離網(wǎng)閘產(chǎn)品方案設(shè)計(jì)隔離網(wǎng)閘產(chǎn)品概述偉思網(wǎng)絡(luò)安全技術(shù)有限公司作為我國最早研發(fā)并率先推出安全隔離與信息交換系統(tǒng)產(chǎn)品的專業(yè)信息安全技術(shù)公司之一，其安全隔離與信息交換產(chǎn)品已經(jīng)廣泛應(yīng)用于近１000家多個(gè)不同行業(yè)／部門的顧客系統(tǒng)中，多次在某些國家部委及金融單位總部的重要招標(biāo)中成功中標(biāo)或入圍，獲得了顧客的普遍高度好評(píng)。偉思信安ViGaｐ３00安全隔離與信息交換系統(tǒng)采用國際先進(jìn)的ＧAＰ硬件隔離反射技術(shù),實(shí)現(xiàn)了在網(wǎng)絡(luò)隔離環(huán)境下的可控信息交換，并針對傳統(tǒng)安全隔離與信息交換系統(tǒng)應(yīng)用層安全防護(hù)單薄的現(xiàn)狀，運(yùn)用創(chuàng)新技術(shù)開發(fā)出基于網(wǎng)絡(luò)隔離安全基礎(chǔ)平臺(tái)下的應(yīng)用層防護(hù)系統(tǒng),為各類黨政部門、軍事單位、金融電信、科研院校及企事業(yè)單位等機(jī)構(gòu)的核心業(yè)務(wù)解決系統(tǒng)與外部不可信網(wǎng)絡(luò)間信息交換提供了完整的安全隔離與信息交換解決方案.偉思信安ViGap30０安全隔離與信息交換系統(tǒng)率先采用國際領(lǐng)先的基于ASIＣ芯片（大規(guī)模集成電路芯片）設(shè)計(jì)的高速硬件電子隔離開關(guān)技術(shù)，實(shí)現(xiàn)了受保護(hù)網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)(互聯(lián)網(wǎng)、專網(wǎng)等外部網(wǎng)絡(luò)）間的物理斷開，并通過擺渡機(jī)制在可控環(huán)境下實(shí)現(xiàn)內(nèi)外網(wǎng)間應(yīng)用層數(shù)據(jù)交換.ASIC芯片含有不可編程特性并且通訊方式徹底私有,從技術(shù)上消除了傳統(tǒng)攻擊手段對受保護(hù)內(nèi)部網(wǎng)絡(luò)的威脅，全部交換數(shù)據(jù)均通過VｉGap３０0的嚴(yán)格安全檢查,置于VｉGap300設(shè)備保護(hù)之下的內(nèi)部網(wǎng)絡(luò)與外部不可信網(wǎng)絡(luò)在任一時(shí)刻內(nèi)均不存在直接的物理網(wǎng)絡(luò)連接,從而起到了保護(hù)內(nèi)部網(wǎng)絡(luò)免遭來自外部已知和未知的網(wǎng)絡(luò)攻擊,實(shí)現(xiàn)了安全、可靠的數(shù)據(jù)交換。產(chǎn)品內(nèi)部架構(gòu)偉思信安安全隔離交換系統(tǒng)的系統(tǒng)構(gòu)造以下圖表所示:圖表1安全隔離交換系統(tǒng)的隔離體系構(gòu)造ＶIGAＰ3０0安全隔離交換系統(tǒng)的全部控制邏輯由硬件實(shí)現(xiàn)的，不能被軟件修改;安全隔離交換系統(tǒng)在內(nèi)外安全主板上各設(shè)計(jì)了一種隔離開關(guān),稱反射GAP.反射ＧAP實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)之間的物理斷開，但同時(shí)能交換數(shù)據(jù)的目的。反射ＧAP使得內(nèi)外網(wǎng)中繼數(shù)據(jù)的速率達(dá)成物理連通狀態(tài)的100％，從而消除了因物理斷開內(nèi)外網(wǎng)絡(luò)而可能造成的通信瓶頸.隔離網(wǎng)閘技術(shù)的優(yōu)勢同傳統(tǒng)的防火墻等邏輯隔離訪問控制技術(shù)相比，隔離網(wǎng)閘獨(dú)特的模型構(gòu)造天然含有了某些其它安全技術(shù)難以達(dá)成的安全特性，重要涉及下列幾個(gè)方面:１）對網(wǎng)絡(luò)層/ＯＳ層已知和未知攻擊的全方面防護(hù)能力.由于在網(wǎng)閘２＋1隔離架構(gòu)模型中內(nèi)外網(wǎng)間事實(shí)上物理斷開，全部訪問被轉(zhuǎn)化成應(yīng)用層數(shù)據(jù)形式通過獨(dú)立的存儲(chǔ)介質(zhì)在內(nèi)外網(wǎng)移動(dòng),因此,移動(dòng)的數(shù)據(jù)中并不包含相對低層的網(wǎng)絡(luò)層/OS層控制信息,換句話說,隱藏在網(wǎng)絡(luò)層/OS層的攻擊行為根本沒有進(jìn)入受保護(hù)內(nèi)網(wǎng)網(wǎng)絡(luò)的可能,無論該攻擊方式是已知的還是未知的。而現(xiàn)在其它安全技術(shù)基本上還是基于特性匹配的方式過濾這些攻擊行為，遺漏和解決不當(dāng)都在所難免，并且對未知攻擊毫無方法,對受保護(hù)網(wǎng)絡(luò)造成嚴(yán)重安全隱患。2）不再依賴操作系統(tǒng)的安全性.現(xiàn)在全部安全技術(shù)的實(shí)現(xiàn)都必須依賴操作系統(tǒng)作為平臺(tái)提供低層服務(wù)支持，操作系統(tǒng)的安全性事實(shí)上就影響到整個(gè)安全產(chǎn)品的安全性,現(xiàn)在主流的OＳ重要是微軟和UNIＸ/Lｉnｕx兩大類，全部這些操作系統(tǒng)都含有一定數(shù)量的Ｂugs,這些漏洞也隨之成為整個(gè)安全產(chǎn)品的漏洞.而隔離網(wǎng)閘較好地解決了這個(gè)問題,其內(nèi)網(wǎng)解決服務(wù)器上的操作系統(tǒng)完全不對外暴露,暴露在外的僅僅是負(fù)責(zé)外網(wǎng)解決的服務(wù)器,即使該服務(wù)器因操作系統(tǒng)Bugs被攻擊,事實(shí)上也無法進(jìn)一步影響內(nèi)網(wǎng)解決服務(wù)器，由于內(nèi)外網(wǎng)是物理斷開的。事實(shí)上，與防火墻等其它安全產(chǎn)品不同,黑客無法運(yùn)用現(xiàn)有操作系統(tǒng)Bｕgｓ獲得對隔離網(wǎng)閘構(gòu)造的控制權(quán)。3）強(qiáng)化安全決策過程的安全性。安全決策是最重要和基礎(chǔ)的安全防御手段之一，安全決策涉及認(rèn)證、訪問控制列表（ACL)、內(nèi)容過濾以及格式檢查等一系列方式。安全決策功效一旦失效，惡意訪問將無妨礙地進(jìn)入受保護(hù)網(wǎng)絡(luò)(例如訪問控制列表被更改，已嚴(yán)禁端口被開放等)?，F(xiàn)在的網(wǎng)絡(luò)安全產(chǎn)品對決策模塊的防護(hù)能力相對較弱，而隔離網(wǎng)閘則將全部安全決策過程置于中立的與內(nèi)外網(wǎng)沒有連接的隔離區(qū)內(nèi)完畢，且核心的方略庫置于與被檢查數(shù)據(jù)物理斷開的受保護(hù)端（LAN)服務(wù)器上,因此，方略庫和決策過程都十分安全,未經(jīng)嚴(yán)格檢查的數(shù)據(jù)將始終被隔離在受保護(hù)網(wǎng)絡(luò)（LAＮ)以外，確保決策過程的安全.４）數(shù)據(jù)靜態(tài)化。在隔離網(wǎng)閘中,全部進(jìn)入網(wǎng)閘內(nèi)的數(shù)據(jù)在傳遞過程中都是靜態(tài)的,其內(nèi)容不被任何程序執(zhí)行，僅僅是對靜態(tài)內(nèi)容實(shí)施檢查和決策,因此，這些數(shù)據(jù)本身攜帶的任何惡意代碼都無法執(zhí)行，也就無法危及系統(tǒng)的安全,整個(gè)系統(tǒng)安全可靠。產(chǎn)品特點(diǎn)ViGａｐ300是一款面對大型網(wǎng)絡(luò)的安全隔離系統(tǒng)，為各類黨政部門、軍事單位、金融電信、科研院校及企事業(yè)單位等核心部門的內(nèi)部網(wǎng)絡(luò)或服務(wù)器提供網(wǎng)絡(luò)隔離環(huán)境下的實(shí)時(shí)隔離保護(hù),并在可控狀態(tài)下實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)或服務(wù)器與外界的實(shí)時(shí)(適度）信息交換。采用獨(dú)特的“2＋1"安全體系架構(gòu)，通過基于ASIＣ芯片技術(shù)設(shè)計(jì)的專用隔離電子開關(guān)系統(tǒng)，實(shí)現(xiàn)顧客核心網(wǎng)絡(luò)及服務(wù)系統(tǒng)與外界的物理隔斷，實(shí)現(xiàn)鏈路層與網(wǎng)絡(luò)層的徹底斷開。采用高性能和多條流水線設(shè)計(jì)的ASIC芯片為基礎(chǔ)建立的全新硬件隔離架構(gòu)，擁有全線速隔離交換性能，滿足大型網(wǎng)絡(luò)應(yīng)用所面對大顧客量、低延時(shí)訪問的需求.在核心的ＧAＰ電子開關(guān)隔離芯片上采用了含TRＵELVＤS功效強(qiáng)大的APXII系列EＰ２A7０作為ＦPＧＡ設(shè)計(jì)硬件基片，該芯片含有500萬門電路以及多路Giｇa位的通道,支持內(nèi)部高達(dá)1０60個(gè)硬件I/Os通道，使得電子開關(guān)含有高速的數(shù)據(jù)傳輸能力和并發(fā)解決能力。充足考慮核心應(yīng)用對可靠性、可用性的規(guī)定，獨(dú)家采用負(fù)載均衡技術(shù)以及基于應(yīng)用合同連接資源保護(hù)的QＯＳ服務(wù)質(zhì)量控制技術(shù)消除單點(diǎn)故障和網(wǎng)絡(luò)實(shí)現(xiàn)對網(wǎng)絡(luò)服務(wù)的高可靠性及可用性確保。采用無合同的“GAＰRefｌeｃtivｅ",ＧAＰ隔離反射技術(shù)實(shí)現(xiàn)開放網(wǎng)絡(luò)通訊合同的剝離與重組，有效阻斷來自網(wǎng)絡(luò)層及服務(wù)器OS層的各類已知/未知攻擊，彌補(bǔ)其它安全技術(shù)對網(wǎng)絡(luò)未知攻擊的防御盲區(qū)。廣泛支持各類通用應(yīng)用合同(HＴTＰ、ＦTＰ、SMTＰ、ＤNS、SＱＬ等)，涉及支持視頻會(huì)議、流媒體以及ＶPN等特殊應(yīng)用代理以及顧客定制合同，無需再進(jìn)行二次開發(fā)或單獨(dú)購置模塊。采用專利技術(shù)的應(yīng)用層安全防御系統(tǒng)，VｉGａp３00特別針對廣泛應(yīng)用的ＷＥB、EＭAIL和FTＰ等服務(wù)采用專利技術(shù)ＷebApｐlicatｉoｎ?,實(shí)現(xiàn)了全方面應(yīng)用層安全防護(hù)，可避免WＥＢ溢出漏洞、Uniｃodｅ漏洞、Iｎjecｔ攻擊、Ｃｏｏkｉe中毒、惡意JavａScript、ActiｖeX控件甚至CGI腳本等各類應(yīng)用層安全風(fēng)險(xiǎn)。智能化攻擊識(shí)別與過濾,ViＧap3０0采用先進(jìn)的應(yīng)用層合同分析技術(shù)智能識(shí)別并過濾大量基于應(yīng)用層合同的攻擊行為,ＶｉＧaｐ300提供現(xiàn)在市場上豐富的合同分析模塊,全方面防護(hù)各類應(yīng)用系統(tǒng)安全風(fēng)險(xiǎn)，涉及：ＨTＴP、ＦTP、SMTP、POP3、IMAP、DNS等數(shù)十種合同分析模塊.產(chǎn)品功效系統(tǒng)可靠性雙機(jī)熱備功效模塊ViGap3００系列產(chǎn)品針對大型網(wǎng)絡(luò)的應(yīng)用提供了雙機(jī)熱備份功效,實(shí)現(xiàn)系統(tǒng)的穩(wěn)定可靠運(yùn)行。通過內(nèi)置的雙機(jī)熱備系統(tǒng)，連接在同一種網(wǎng)絡(luò)內(nèi)的多臺(tái)ViＧap３0０設(shè)備能夠建立雙機(jī)熱備機(jī)制，并通過虛擬ＩP統(tǒng)一對外提供服務(wù)。從設(shè)備不停發(fā)出心跳信息偵測主設(shè)備狀態(tài),一旦主設(shè)備出現(xiàn)故障從設(shè)備將立刻接管并繼續(xù)提供服務(wù)。結(jié)合ＶiGａp30０獨(dú)有的狀態(tài)檢測系統(tǒng)，管理員能夠快速發(fā)現(xiàn)設(shè)備故障并作出解決.系統(tǒng)工作狀態(tài)檢測與報(bào)警ＶｉＧａp3０0系列采用基于工業(yè)控制系統(tǒng)的架構(gòu)設(shè)計(jì)，含有良好的穩(wěn)定性.并且建立了設(shè)備狀態(tài)檢測系統(tǒng)，在開機(jī)狀態(tài)下持續(xù)對系統(tǒng)各硬件板卡及軟件模塊進(jìn)行檢查，并將系統(tǒng)狀態(tài)顯示在液晶面板上,管理員可針對故障信息快速理解故障因素并作出響應(yīng)。同時(shí)，ＶiGap300系列軟件系統(tǒng)采用了先進(jìn)的自愈技術(shù),當(dāng)故障發(fā)生時(shí)可快速命令系統(tǒng)重啟恢復(fù)到正常工作狀態(tài).系統(tǒng)可用性ViＧaｐ3０0系列為滿足高性能的網(wǎng)絡(luò)解決而設(shè)計(jì)，因此，必須支持大規(guī)模的并發(fā)訪問和高帶寬的數(shù)據(jù)吞吐。除了采用更高端的解決系統(tǒng)、內(nèi)存以及接口以外,VｉGap300系列還設(shè)計(jì)了最大支持32臺(tái)設(shè)備的負(fù)載平衡系統(tǒng)來實(shí)現(xiàn)高可用性。VｉGａｐ30０系列的負(fù)載平衡系統(tǒng)通過仲裁網(wǎng)絡(luò)流量方式實(shí)現(xiàn)流量在ViGaｐ300集群中的平均分派,從而將解決性能大幅提高。安全功效網(wǎng)絡(luò)隔離功效ViGap300系列含有網(wǎng)絡(luò)隔離功效，通過基于ＡSIC設(shè)計(jì)的硬件電子開關(guān)實(shí)現(xiàn)可信、不可信網(wǎng)絡(luò)間的物理斷開，保護(hù)可信網(wǎng)絡(luò)免遭黑客攻擊。數(shù)據(jù)靜態(tài)化采用“裸數(shù)據(jù)"機(jī)制,運(yùn)用合同剝離和重組技術(shù)，在網(wǎng)閘內(nèi)部實(shí)現(xiàn)“裸數(shù)據(jù)"和數(shù)據(jù)靜態(tài)化,有效的避免網(wǎng)絡(luò)上未知攻擊。ＩDS入侵檢測功效ViGap３00系列在設(shè)備兩端內(nèi)置了IDＳ入侵檢測引擎，該引擎可有效保護(hù)系統(tǒng)本身及受保護(hù)網(wǎng)絡(luò)免受攻擊者的頻繁攻擊。該系統(tǒng)將自動(dòng)分析對受保護(hù)內(nèi)網(wǎng)的訪問請求,并與ＶiGAＰ３00隔離系統(tǒng)實(shí)現(xiàn)內(nèi)部聯(lián)動(dòng)對可疑數(shù)據(jù)包采用回絕連接的方式防御攻擊。ＳＡＴ（服務(wù)器地址映射)功效ViGap3０0系列含有完善的SAT功效，可信端服務(wù)器可通過SＡＴ功效將本身的特定服務(wù)虛擬映射到ViＧap3０0系列的不可信端接口上，通過隔離系統(tǒng)的不可信端虛擬端口對外提供服務(wù)，訪問者僅能訪問虛擬端口而無法直接連接服務(wù)器，從而對外屏蔽服務(wù)器,避免服務(wù)器遭到攻擊.身份認(rèn)證功效不同于部門級(jí)網(wǎng)絡(luò)，大型網(wǎng)絡(luò)對身份認(rèn)證的規(guī)定極高，且需要基于第三方的統(tǒng)一身份認(rèn)證服務(wù)。ViGａp30０系列除了提供基本的顧客名/口令身份認(rèn)證功效以外,還可與外部認(rèn)證系統(tǒng)集成支持?jǐn)U展的Ｒaｄiｕs、PKI數(shù)字證書、SecureＩD等多個(gè)強(qiáng)身份認(rèn)證功效。安全代理服務(wù)功效ViＧaｐ300系列允許可信端顧客以應(yīng)用代理方式訪問不可信網(wǎng)絡(luò)，ViGap300系列作為應(yīng)用代理網(wǎng)關(guān)對內(nèi)網(wǎng)訪問請求進(jìn)行檢測,相對于傳統(tǒng)的基于網(wǎng)絡(luò)層的NＡT方式來說,由于代理服務(wù)在應(yīng)用層對訪問請求進(jìn)行檢測含有更細(xì)的粒度和檢查元素,因此，對訪問含有更高的安全控制能力。ＡI安全過濾功效應(yīng)用智能能夠使您根據(jù)來源、目的地、顧客特權(quán)和時(shí)間來控制對特定的HTTP、SMＴＰ或FＴP等資源的訪問。ＶiＧap300系列產(chǎn)品通過合同分析技術(shù)提供應(yīng)用級(jí)的安全過濾以保護(hù)數(shù)據(jù)和應(yīng)用服務(wù)器免受惡意Java和ＡｃtｉveXappｌeｔ的攻擊。ViＧap300系列在AI功效中新增了安全功效，涉及：確認(rèn)通信與否遵照有關(guān)的合同原則；進(jìn)行異常合同檢測；限制應(yīng)用程序攜帶惡意數(shù)據(jù)的能力；對應(yīng)用層操作進(jìn)行控制,這些新功效對公司級(jí)網(wǎng)絡(luò)環(huán)境中應(yīng)用層的安全控制起到了很重要的強(qiáng)化作用。防病毒功效系統(tǒng)內(nèi)嵌防病毒引擎,可實(shí)現(xiàn)對內(nèi)外網(wǎng)擺渡數(shù)據(jù)的病毒查殺,其防水墻模塊可有效制止內(nèi)網(wǎng)信息的外泄及木馬、蠕蟲等惡意程序通過HTＴＰ、SＭＴＰ等方式向外泄漏信息。實(shí)現(xiàn)對病毒的高效查殺，支持涉及HＴTＰ、SMＴＰ、POＰ3合同的網(wǎng)關(guān)級(jí)病毒過濾。內(nèi)容及格式檢測功效ViGap300系列含有內(nèi)容過濾及文獻(xiàn)格式檢查功效，對管理員指定格式的文獻(xiàn)或指定內(nèi)容核心字的郵件、網(wǎng)頁、ＦTP文獻(xiàn)等含有安全過濾功效,能夠制止敏感的信息外泄或惡意程序的入侵.VPN通訊安全ViGａp300系列對受保護(hù)ＷEB服務(wù)器提供內(nèi)置的ＳSLVPN加密通訊機(jī)制，建立客戶端與虛擬服務(wù)端口間的SSL加密VＰN鏈路，實(shí)現(xiàn)通訊安全。該加密方式無需修改客戶端設(shè)立,透明實(shí)現(xiàn)客戶端與服務(wù)器端的加密通訊.WEB站點(diǎn)保護(hù)功效現(xiàn)在大量應(yīng)用基于B/S架構(gòu)開發(fā)，WEB服務(wù)成為了越來越通用的服務(wù),然而WEB服務(wù)器的大量漏洞也時(shí)時(shí)威脅著應(yīng)用系統(tǒng)的安全。ＶiGap300系列全方面分析了來自WEB服務(wù)的漏洞,建立了WEB站點(diǎn)保護(hù)系統(tǒng)WebAｐｐlicaｔion?，全方面抵抗黑客對顧客對外WEB、MAIL以及FTＰ系統(tǒng)服務(wù)系統(tǒng)發(fā)動(dòng)的攻擊。涉及：Cooｋie安全簽名、URL字段細(xì)粒度過濾、輸入?yún)?shù)檢測、操作系統(tǒng)屏蔽、Webserｖｉce函數(shù)、CGI調(diào)用函數(shù)、特別針對WEＢ的ＩDＳ檢測、文獻(xiàn)目錄及文獻(xiàn)訪問控制等功效.規(guī)則庫后置偉思ViGaｐ30０將規(guī)則庫后置在網(wǎng)閘的內(nèi)網(wǎng)可信端一側(cè)，通過芯片級(jí)的隔離部件和“裸數(shù)據(jù)”擺渡機(jī)制的保護(hù),使得放置于GAＰ產(chǎn)品的受保護(hù)網(wǎng)絡(luò)端（即后端）的規(guī)則庫含有嚴(yán)格的在外部網(wǎng)絡(luò)端不可修改特性,保護(hù)規(guī)則庫的安全。系統(tǒng)管理輕松管理ViGap300系列安全管理架構(gòu)允許管理員將多個(gè)隔離與信息交換系統(tǒng)設(shè)備布署到任何位置上并對其進(jìn)行集中式管理。一旦創(chuàng)立或修改了方略,它就被自動(dòng)分發(fā)到規(guī)則指定的所在位置。良好的顧客界面VｉＧaｐ３00系列提供了一種良好的顧客界面，以樹型構(gòu)造組織對象，可在全部規(guī)則中共享全部的對象定義(例如：顧客、主機(jī)、網(wǎng)絡(luò)和服務(wù)等等),方便進(jìn)行有效的方略創(chuàng)立和安全管理。豐富的日志及審計(jì)模塊ViGaｐ3０0系列管理平臺(tái)能夠監(jiān)控并統(tǒng)計(jì)ＶｉＧap300系列產(chǎn)品的系統(tǒng)狀態(tài)。全方面審計(jì)網(wǎng)絡(luò)活動(dòng)、入侵活動(dòng)、管理員的配備操作、系統(tǒng)錯(cuò)誤信息、違反規(guī)則的過濾信息等日志信息,支持日志擴(kuò)展，導(dǎo)出日志到第三方系統(tǒng)進(jìn)行專業(yè)分析。應(yīng)用支持安全上網(wǎng)ＶiＧaｐ３００系列支持顧客安全上網(wǎng)應(yīng)用，可根據(jù)身份認(rèn)證、IP+MAC綁定等多個(gè)安全方略實(shí)現(xiàn)顧客安全上網(wǎng)應(yīng)用,同時(shí)支持透明應(yīng)用代理方式,客戶端無需設(shè)立。數(shù)據(jù)庫應(yīng)用模塊VｉＧap３0０系列全方面支持多個(gè)類型的數(shù)據(jù)庫應(yīng)用，支持Oracle、ＭSSQL、MｙSQL、Ｓyｂａse等主流的數(shù)據(jù)庫的ＳＱL查詢，支持全表復(fù)制、增量更新、全表更新等多個(gè)數(shù)據(jù)庫同時(shí)方式,并支持自定義表和字段。文獻(xiàn)交換和消息應(yīng)用模塊VｉGap３0０系列全方面支持多個(gè)類型的文獻(xiàn)同時(shí),涉及SＡMＢA、ＮFＳ等合同應(yīng)用的文獻(xiàn)同時(shí)，支持基于消息中間件的網(wǎng)絡(luò)同時(shí)應(yīng)用,提供消息模式數(shù)據(jù)轉(zhuǎn)發(fā)和同時(shí)。網(wǎng)絡(luò)應(yīng)用ViGaｐ３00系列支持各類TCＰ/IP以上的網(wǎng)絡(luò)應(yīng)用合同，無需二次開發(fā).涉及：HTTP、ＳMTP、POＰ3、DＮS、FＴP、ＮＦS、MMS、IM、VOIP等等。支持顧客自定義開發(fā)的特殊應(yīng)用合同.支持網(wǎng)閘訪問的單向、雙向自定義.同時(shí),針對顧客特殊需求ＶiGａp300系列提供ＡＰI應(yīng)用開發(fā)接口。即插即用網(wǎng)閘設(shè)備的應(yīng)用，不會(huì)變化現(xiàn)有網(wǎng)絡(luò)拓?fù)錁?gòu)造,不變化原有網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)，網(wǎng)閘的應(yīng)用，對原有網(wǎng)絡(luò)無需做大的改動(dòng)。偉思ViGaｐ3００系統(tǒng)性能參數(shù)偉思ViGap３00提供千兆安全隔離與交換系統(tǒng)，其重要性能指標(biāo)以下:ＶiＧap３0０網(wǎng)絡(luò)吞吐量性能：＞600MbpsViGap300隔離硬件芯片數(shù)據(jù)交換速率：５GbpsViGap30０系統(tǒng)時(shí)延：2ｎs級(jí)ViGａp３00并發(fā)連接數(shù)：＞=１平均無端障運(yùn)行時(shí)間：〉600０0小時(shí)支持冗余電源擴(kuò)展,提供高可用性顧客數(shù)支持:無限制4系統(tǒng)支持與服務(wù)方案4.1售后服務(wù)我們提供的售后服務(wù)內(nèi)容重要涉及下列幾個(gè)方面：電話支持提供專用售后服務(wù)技術(shù)電話，為顧客進(jìn)行有關(guān)產(chǎn)品使用的電話答疑和操作指導(dǎo)等。我們的技術(shù)支持電話為：（07５6）339161６—技術(shù)部提供免費(fèi)電話支持服務(wù):400-881—8180;800-830－76