网闸演示安全隔离和信息交换系统共30页
安全隔离与信息交换系统
2001年8月由中共中央国务院重新组建国家信息化领导小组。
2015年上半年,国家强力支持“互联网+”。
国家发改委发布了《关于做好制定“互联网+”行动计划工作的通知》提出促进网上行政审批、增强公共服务能力、新业态新模式建设、创新服务民生方面等研究制定“互联网+”行动计划。
随着“互联网+”迈入黄金发展期,各行各业都加速拓展信息化建设。
网上报税智慧医疗网上挂号智慧交通智慧城市网上查询12306用户信泄露汉庭2000万开房信息泄露支付宝20G 用户资料泄露以色列30余名领导人通信信息外泄某高校U 盘事件某高校财务数据库被拖库在“互联网+行动计划”落实,政府、军队、企业等单位需要信息公开化不断提升互联网+服务。
在“互联网+”形式下的安全如何去防护?随着计算机网络的不断普及和发展,人类的生活、工作深度依赖计算机网络。
网络不仅给人类提供便利,同时也会威胁人类的信息安全,个人信息泄露,敏感数据丢失,核心资产遭到破坏等!传统防御技术已经应用了二十年左右的时间,其安全效能正在下降;最新的病毒、黑客攻击已经使传统防御技术防不胜防,因为这些病毒和攻击技术正是针对传统安全设备的弱点进行攻击和传播的。
信息化建设迫切需要引入新的、更强有力的防御技术为其发展作保障。
攻击技术的不断进化,催生了防御技术的革命,网闸因此而诞生并延用至今。
A网B网优点:保持了网络间物理隔离的特性,有效阻断了直接的网络攻击缺点:不能保证数据传递的时效性,速度慢,能够满足的应用过于单一,可靠性低,在防病毒/内容过滤等方面效果较差,人工操作风险高信息化建设离不开网络,需要将原本相互独立、相互隔离的各部门网络相互连接,实现适度资源开发和共享,提供信息服务。
如何确保数据安全和防止敏感信息外泄是信息化建设面临的头等问题。
仅依靠简单的、单一的安全措施,又无法满足安全要求;如常见的安全设备是对TCP会话的控制,它并不切断网络连接,存在安全风险如果采取早期的隔离方式,使用隔离卡或是利用移动介质进行数据传递,这种低效率、低可靠性的解决方案也无法满足信息化建设的需求21传统隔离与信息化之间的矛盾问题:•无法保障敏感数据安全;•核心网络容易遭受攻击;•直接连接违反法规政策;信息化建设:•互联互通•业务快速便捷•业务、数据共享 完全断开:•安全性高•无网络攻击风险•无违规风险问题:•信息化建设无法展开•业务效率低下•信息孤岛随着电子政务和各种社会化便民网络工程的建设完成,各政府部门和社会管理服务系统希望通过安全的信息系统建设,提高了办事效率,增加了办公的透明度,加强了监管力度。
《安全的数据隔离与交换系统安全隔离与信息交换系统》
《安全的数据隔离与交换系统安全隔离与信息交换系统》针对现有的防火墙、网闸和应用网关等各种隔离与交换技术无法适应多系统交互、应用复杂、高实时性、大流量的要求,本文提出一种新的解决办法:采用松耦合结构的“内网数据交换平台+网闸+外网数据交换平台”数据安全交换系统,以满足内部网络隔离与数据交换的需求。
信息技术的广泛应用及信息资源共享和信息安全问题之间的矛盾日益突出。
典型的现实情况是,一个部门从自身安全角度考虑,把内部网络与互联网物理断开,但与此同时,从开展业务的需求出发,与其他部门的内部网络连接越来越多,于是,有的部门将内部网络划分为不同安全等级的域,即把内部网络进一步划分为内网和外网,将重要数据和系统置于内网,仅供内部人员授权访问,将与其他部门联网的系统置于外网,形成一种“外网受理、内网处理”的格局,有效保护核心系统和汇总的重要信息的安全,符合国家等级保护的原则。
不过,这并不意味着问题就解决了,随之而来的困难是,原来同处一个网络域的信息系统之间有着千丝万缕的联系,系统交互的数据类型复杂(包括数据报文、数据文件、影像文件和数据库表等)、实时性要求高、时延要求低,需要交换的数据量大,而且是不同等级安全域的数据交换。
从目前的情况看,能满足这一要求的解决方案,即内外网间安全隔离和数据交换系统鲜有先例。
综观现有的防火墙、网闸和应用网关等各种网络安全隔离与交换技术,尽管都可以在一定程度上解决网络安全隔离与数据交换的问题,但都不同程度地存在着局限性,特别是不能适应内部网络隔离与交换要求的多系统交互、应用复杂、高实时性、大流量的要求。
为此,本文研究提出一种新型的网络安全隔离与数据交换平台架构,它采用松耦合结构的“内网数据交换平台+网闸+外网数据交换平台”数据安全交换系统,能够有效解决上述问题,满足内部网络隔离与数据交换的需求。
新型数据安全交换系统新的数据安全交换平台架构如附图所示。
在该系统中,网闸负责在网络层进行内外网之间的安全隔离和访问控制;内外网数据交换平台负责在应用层代理内外网之间的数据交换以及数据交换的访问控制与安全审计。
安全隔离与信息交换系统-PPT文档资料
这样基于操作系统的漏洞攻击和网络层协议的攻击基本被杜绝或者只发 生在外网主机系统,从而实现一种隔离交换的安全。
•应用层检测:前面两点只解决了网络层的安全,因此,网闸必须针对具
体的协议(可能是用户自定义的协议)进行检测,对各种应用层协议进 行细粒度分析,甚至要对应用数据进行检测,比如各种表单、数据格式 等等进行检测,从而实现最高安全。
如何安全互通?
非可信网 可信网
清大信安(北京)科技有限公司
需求分析
传统解决方案之一: 人工拷贝交换数据
技术服务电话:400-865-7878
非可信网
可信网
人工交换
清大信安(北京)科技有限公司
需求分析
技术服务电话:400-865-7878
外网以太接口
外网主机模块
数据交换模块
内网以太接口
内网主机模块
外网主机管 理端口
内网主机管 理端口
清大信安(北京)科技有限公司
解决方案
技术服务电话:400-865-7878
特点:
•硬件隔离:系统采用双主机+专有隔离硬件的体系架构,即包括外网主
机模块、内网主机模块和隔离交换模块。确保两个网络之间无物理层的 直接连接,实现物理隔离。
清大信安(北京)科技有限公司
安全隔离与信息交换系统
1 2
技术服务电话:400-865-7878
需求分析
解决方案
功能特点 应用案例 公司简介
3 4
5
清大信安(北京)科技有限公司
解决方案
技术服务电话:400-865-7878
•安全隔离与信息交换设备,又称网闸:可以为涉密网络提供可靠的保护,该 技术利用专用硬件保证两个网络在物理链路层断开的前提下实现数据安全传输 和资源共享,并能够显著提高内部用户网络的安全强度。
安全隔离网闸功能详细配置 ppt课件
安全隔离网闸功能详细配置
第一步:启动服务
安全隔离网闸功能详细配置
第二步:配置“客户端” 访问任务——透明访问
安全隔离网闸功能详细配置
第二步:配置“客户端” 访问任务——普通访问
安全隔离网闸功能详细配置
第三步:配置“服务端” 访问任务 仅针对“普通访问”。 对于透明访问,系统已经默认配置,用户无需配置
安全隔离网闸功能详细配置
支持Oracle、SQL Server、Sybase、DB2等数据库内、 外网间的数据库数据的同步传输。
安全隔离网闸功能详细配置
第一步:是否设置证书、启动服务
安全隔离网闸功能详细配置
第二步:添加客户端任务——数据端口、消息端口
安全隔离网闸功能详细配置
第三步:添加服务端任务——数据端口、消息端口
文件交换服务器 客户端发送端
内:192.168.20.1 外:192.168.10.1 192.168.10.2
网闸客户端
网闸服务端
文件交换服务器 客户端接收端
安全隔离网闸功能详细配置
第一步:是否设置证书、启动服务
安全隔离网闸功能详细配置
第二步:添加文件交换——客户端任务
安全隔离网闸功能详细配置
2、服务端配置: ① 启动后台服务;——无需配置本机监听参数
安全隔离网闸功能详细配置
1、选择HTTPS协议访问时,不支持各内容过滤; 2、透明访问本地监听端口必须为80; 3、透明访问不支持安全浏览自带的用户认证; 4、透明访问时目的地址、目的端口,与真实的服务器设置一致; 5、普通访问模式,必须在用户IE中配置代理服务器; 6、三种认证方式:先选择认证方式,再配置具体认证参数; 7、 URL过滤时,如:
第六步:启动端服务
安全隔离与信息交换系统FerryWay配置实用手册
金电网安安全隔离与信息交换系统FerryWay V2.0配置实用手册2012年3月金电网安安全隔离与信息交换系统FerryWay V2.0配置实用手册版权说明本手册中涉及的任何文字叙述、文档格式、插图、照片、方法、过程等所有内容的版权属于上海金电网安科技有限公司所有。
未经上海金电网安科技有限公司许可,不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。
本手册中的信息受中国知识产权法和国际公约保护。
版权所有,翻版必究©前言文档范围本文将以实例方式指导操作人员安装、实施金电网安安全隔离与信息交换系统FerryWay V2.0(俗称“网闸”)。
本文适用于硬件2+1架构、三机三系统架构,软件版本号20110308及20120202版本,两个版本主要功能基本相同,仅在部分细节处做简单修改,具体细节文档中将做提示。
期望读者期望了解本产品主要技术特性和安装方法的系统管理员、网络管理员等。
本文假设您对下面的知识有一定的了解:可能需要的相关知识,如:✧LINUX系统基础知识✧Windows系统软件安装✧网络基本架构内容总结一、介绍金电网安安全隔离与信息交换系统FerryWay V2.0的硬件需求信息;二、以实例方式采用图文并茂的方法对金电网安安全隔离与信息交换系统FerryWay V2.0部署、安装、实施做一简单介绍;三、介绍金电网安安全隔离与信息交换系统FerryWay V2.0安装之前的准备工作和注意事项;四、成功安装、配置、使用时的注意事项;五、介绍金电网安安全隔离与信息交换系统FerryWay V2.0在实施中可能遇到的突发情况及问题。
格式约定文本框使用粗体字按钮使用斜体字本文中所有图例均为实际拍摄或屏幕截取图标表示的含义:有用的使用技巧、建议和对其他文档的引用等信息。
表示需要读者注意的信息,比如:当前的操作失误会导致数据的丢失。
目录一、安装概述 (2)1.1产品简介 (2)1.1.1 产品外观 (2)1.2安装准备 (3)1.3管理端软件安装、登录 (3)二、配置实例 (4)2.1实例配置环境 (4)2.1.1 拓扑图 (4)2.1.2 应用说明 (4)2.1.3 名词解释 (4)2.2 FerryWay V2.0配置实例 (5)2.2.1 HTTP应用通道配置 (5)2.2.2 FTP应用通道配置 (8)2.2.3 SMTP/POP3配置实例 (10)2.2.4 数据库访问应用通道配置 (14)2.2.5 目录同步应用通道配置 (14)三、高级应用 (16)3.1 双机热备配置实例 (16)3.1.1 双机热备简介 (16)3.1.2 双机热备配置方法 (16)3.2产品升级配置实例 (19)3.2.1前期准备 (19)3.2.2内端机升级操作(以Putty工具为例) (19)3.2.3外端机升级操作 (19)3.2.4安装新的管理端程序 (19)3.3 现场故障排除实例 (20)3.3.1查看版本 (20)3.3.2查看内核 ........................................................................... 错误!未定义书签。
安全隔离与信息交换系统方案
系统支持多任务的组播代理功能,支持PIM协议
管理用户
采取系统策略配置管理员、安全管理员与日志管理员三种角色分立的权限分配模式,用户只能维护操作本类基础管理角色的功能与操作,权限各不交叉。
安全隔离与信息交换系统方案
功能指标
指标要求
性能要求
★吞吐量≥1Gbps,并发连接数≥50万。
管理接口
外网端不允许配置任何形式的管理接口,所有管理配置操作均通过专用的网闸内网可信端管三种工作模式,管理员可依据实际网络状况进行相应的部署
内置应用
产品内置各类应用支持模块,无须用户增加投资,功能模块至少包含:邮件模块、安全浏览模块、视频交换模块、数据库访问模块、数据库同步模块、文件交换模块、OPC模块、MODBUS模块、组播代理模块、用户自定义应用模块等各类应用模块,并可控制相应应用协议的动作、参数、内容。
支持同构、异构数据库之间的同步,支持大字段的同步;
文件同步
支持Samba、FTP、HTTP等多种通信协议;
支持文件类型黑白名单传输控制;
可通过专用客户端或共享方式提供安全的文件同步功能;
支持一对多或多对一传输;
TCP应用传输
支持TCP应用层数据单向传输的控制,保证TCP应用数据的零反馈,以满足二次防护对数据传输的安全性需求。
数据库代理
※支持的数据库种类包括ORACLE、SQLSERVER、MYSQL、SYBASE等主流数据库支持多种关系型数据库通信。支持SQL语句的白名单和黑名单
数据库同步
系统支持数据库同步应用,支持ORACLE、SQLSERVER、MYSQL、SYBASE、DB2、POSTGRESQL等多种主流国外数据库的同步和国产达梦数据库、人大金仓数据库的同步。
安全隔离与信息交换系统网闸GAP解决方案
深信服安全隔离与信息交换系统网闸GAP-1000 白皮书目录1概述 (1)2需求背景 (1)2.1法规标准要求 (1)2.1.1等级保护 (1)2.1.2行业法规 (3)2.2安全需求 (3)2.2.1网络复杂,如何整合 (3)2.2.2安全隐患,如何规避 (4)3产品概况 (4)3.1产品定位 (4)3.2产品介绍 (4)4产品架构与性能 (5)4.1产品架构 (5)4.2工作原理 (6)5产品功能与特性 (8)5.1产品功能 (8)5.1.1业务功能 (8)5.1.2管理功能 (12)5.1.3高可用性功能 (12)5.2产品特性 (13)5.2.1高安全性 (13)5.2.2高吞吐率 (14)5.2.3高可靠性 (14)5.2.4高便利性 (14)6产品优势与价值 (14)6.1产品优势 (14)6.1.1简便易用的界面风格 (15)6.1.2强大的业务功能 (15)6.1.3通信协议深度控制 (15)6.1.4多任务高并发性能 (15)6.1.5优秀的环境适应 (15)6.2产品价值 (15)7产品应用场景 (16)7.1安全隔离与视频交换解决方案 (16)7.1.1场景需求 (16)7.1.2解决方案 (16)7.2安全隔离与数据库同步解决方案 (17)7.2.1场景需求 (17)7.2.2解决方案 (18)7.2.3实现效果 (19)1概述自上世纪90 年代以来,信息技术迅猛发展,人们的生活、工作方式发生了巨大变革,信息网络的大规模应用极大地提高了办公效率。
经过多年建设,我国已建成具有相当规模的数字化网络,但随着网络的不断普及,安全问题日益增多,网络和信息安全问题成为威胁国家和政府安全的重大隐患。
随着对安全问题的不断认识和了解,尤其是针对涉密信息的防护,党和政府已将信息安全建设提到一个相当的高度上来。
自2000 年以来安全隔离技术作为一项新兴的网络安全技术,在保障国家信息安全,尤其是政府、军队及重点行业等信息系统安全建设方面发挥了重要的作用。
网神SecSIS360安全隔离与信息交换系统(网闸)产品介绍09V1.0
专有格式纯文件
隔离交换模块
数据格式化
网 -应用层纯洁数据 外 络 内容检查
网
数据提取
协
协议剥离
议
由内到外
协 数据提取
网
议 协议剥离
机
协议检查 访问控制
阻 互斥 物理开关
断
由外到内
阻 互斥
物理开关
断
协议检查 访问控制
机
会话终结
会话终结
2. 网神网闸产品特色-丰富的功能
网神SecSIS 3600系列网闸功能丰富,可支持多种协议、多 种应用,信息不仅可以单向流动,也可在内外网间双向流动。根 据不同用户的应用需求,网神SecSI…S 3600系列网闸还可为用户 特殊协议或应用定制开发。
• 军队
• 金融
银行办公网络和银行业务网络之间 证券、期货公司专网与外网之间
1. 网神网闸产品简介-产品示意图
中小网络
大型网络
SecSIS3600-E
SecSIS3600-H
1.网神网闸产品简介-产品说明
吞吐 内部交 延时 MTBF( 网络接口
量
换带宽
小时)
SecSIS 500Mb 2Gbps 3600-E ps
的环境中
➢ 自动方式
• 网闸提供文件共享空间 • 通过工具软件,将指定文件夹或者文件自动复制到指定目录 • 支持多级子目录和指定单个文件传输 • 支持多任务,可实现一对多文件交换,一个源端最多可以对应
三个目的端。 • 实现传输后删除或者不删除。 • 实现文件增量传输,不变化不传输,只传输变化的文件。 • 适合于:用户有自己的文件服务器、具有较高的安全性要求的
3. 网神网闸产品功能介绍- FTP访问
网闸演示安全隔离和信息交换系统共32页
42、只有在人群中间,才能认识自 己。——德国
43、重复别人所说的话,只需要教育; 而要挑战别人所说的话,则需要头脑。—— 玛丽·佩蒂博恩·普尔
44、卓越的人一大优点是:在不利与艰 难的遭遇里百折不饶。——贝多芬
1、不要轻言放弃,否则对不起自己。
2、要冒一次险!整个生命就是一场冒险。走得最远的人,常是愿意 去做,并愿意去冒险的人。“稳妥”之船,从未能从岸边走远。-戴尔.卡耐基。
梦 境
3、人生就像一杯没有加糖的咖啡,喝起来是苦涩的,回味起来却有 久久不会退去的余香。
网闸演示安全隔离和信息交换系统 4、守业的最好办法就是不断的发展。 5、当爱不能完美,我宁愿选择无悔,不管来生多么美丽,我不愿失 去今生对你的记忆,我不求天长地久的美景,我只要生生世世的轮 回里有你。
安全隔离与信息交换系统双向网闸需求说明
安全VOIP
功能
提供音视频通话访问功能,支持SIP和H323协议;
支持代理、透明、路由三种接入方式;
支持IP地址、端口、时间以及基于源用户身份的访问控制策略;
支持访问控制日志记录和告警功能;
内置VO1P安全模块,内置VO1P安全引擎,支持主被叫用户黑名单的控制。
支持JavaScript脚本、ActiveX插件、App1et插件过滤。
内置HTTP安全模块,支持UR1过滤引擎、内容过滤引擎、文件过滤引擎、病毒过滤引擎、网页过滤引擎安全防护及单独启停控制。
文件传输功能
提供基于FTP协议和TFTP协议的文件传输功能;
支持代理、透明、路由三种接入方式;
支持IP地址、端口、时间以及基于源用户身份的访问控制策略;
产品要求
性能要求
2U,内外端机双侧液晶屏;内端机6个10∕100∕1000Base-T接口,4个SPF插槽,2个SPF+插槽1个扩展槽位;外端机6个10/100/1000BaSe-T接口,4个SPF插槽,2个SPF+插槽1个扩展槽位;冗余电源,网络吞吐量:7Gbps;并发连接数:40万;内外端机各ITB硬盘。可扩展WebFiIter过滤模块,防病毒模块。
提供有客户端和无客户端两种数据据库同步方式。
无客户端方式无需在用户服务器上安装任何插件,网闸不开放任何服务端口;有客户端方式可提供专用文件同步客户端安装在用户服务器上,提供安全的数据库同步服务。
提供多种主流数据库系统如:ORAC1E、SQ1SERVER.MYSQ1、达梦数据库的同步。
支持一对一、一对多、多对一方式的数据库同步;支持同构、异构数据库之间的同步,同步可具体设置到字段级别。
启明天清安全隔离与信息交换系统
客户端 程序
应用代理方式
未知来源请求
GAP6000
白名单策略
白名单策略
应
内
用
容
数
合
据
规
还
检
原
查
外网主机 系统
专用隔 离交换 部件
内
应
容
用
合
数
规
据
检
还
查
原
内网主机 系统
信任网络
专用接口方式
专用客 户端
应用代理方式
客户端 程序
未知来源请求
通过专用安全接口或者应用代理进行数据读取和发送可以避免 接收未知数据,同时对外部网络完全屏蔽内部网络信息。
内容
➢天清安全隔离网闸原理与介绍 ➢天清安全隔离网闸功能介绍 ➢GAP6000产品介绍 ➢GAP6000产品案例 ➢单向网闸介绍
13
天清安全隔离网闸原理与介绍
• “2+1”架构:外网主机系统+隔离交换部件+内网主机 系统
可 信 任 网 络
内网主机系统
隔离交换模块
不 可 信 任 网 络
外网主机系统
已知攻击行为
未知攻击行为
FireWall
80%以上的有效攻击由20外%部新网型络恶意代码和R新o型ute攻r 击行为导致;
网间数据交换导致病毒传播、黑客攻击
引言
最安全的方式就是断开网络, 进行物理隔离。
2000年1月1日
《计算机信息系统国际联网保密管理规定》
“涉密网络不得与公共信息网络连 接,要实行物理隔离”
层进行包过滤
自有协议进行数据“摆渡”
安全机制 简单的进行包头检查
综合了硬件隔离、访问控制、内容过滤、 抗攻击、防病毒等安全防护技术
利谱网闸
—TIPTOP网闸 TIPTOP网闸
深圳市利谱信息技术有限公司
网络安全隐患网络安全隐患-网络是把双刃剑
影响
互联网 飞速发展 Interne t
积极正面
消极负面
网络安全威胁的几种类型
冒名顶替 拨号进入 窃听 废物搜寻 间谍行为 身份识别错误
偷窃
算法考虑不周
线缆连接
不安全服务 物理威胁 配置 系统漏洞 编程 乘虚而入 初始化
DTP隔离硬件 隔离硬件
独特数据合法性 检查技术, 检查技术,杜绝 非法数据进入。 非法数据进入。
产品功能模块
多任务处理 模块 浏览模块 邮件模块
基本模块 必需) (必需)
文件交换模块 定制需求模块 数据库模块
网闸的应用范围( 网闸的应用范围(一)
(1) 秘密级的电子政务涉密信息系统 或安全域 和电子政务非涉密信 秘密级的电子政务涉密信息系统(或安全域 或安全域)和电子政务非涉密信 息系统(或安全域 在全部满足下列条件的情况下, 或安全域), 息系统 或安全域 ,在全部满足下列条件的情况下,可采用国家保 密工作部门批准的“安全隔离与信息交换系统”进行连接, 密工作部门批准的“安全隔离与信息交换系统”进行连接,如图所
桌面级隔离技术
1、双机隔离 、 2、硬盘隔离 、 3、线路隔离 、
完全的物理隔离
Internet
政府內部网络
上不了网 收发不了邮件… 收发不了邮件…
双机隔离
政府內部网络
上外部网 上内部网
Internet
每人2台电脑! 每人 台电脑! 台电脑 太浪费了
硬盘隔离(双硬盘) 硬盘隔离(双硬盘)
Internet
示:
(第三级)
网闸演示安全隔离和信息交换系统
02
真正统一、全面的内网安全体系
01
怎样才隔离
工作原理
华御网闸是在内外网络间通过安全通道实现以信息流为单位的数据内容解析,并以此为基础实现内外网络的隔离、数据交换和高精度的行为控制,同时以防病毒技术、入侵检测技术为辅,形成一套具有多重防护的安全解决方案。
简介
Tips:隔离系统可实现内外网隔离与交换
系统构架
Tips:隔离至少是双主机(2+1)架构
技术路线
基础
风险隔离
信息摆渡 协议转换
目标
高精度访问授权
实现
Tips:隔离是我国安全技术蓬勃发展的明证
技术优势
Tips:功能与性能全面的领先
双重隔离(摆渡+代理) 应用广泛 精确控制 部署灵活(透明+非透明+路由) 稳定高效
系统功能——信息交换
Web(安全可控的Web访问) 文件(主被动模式支持,安全文件交换) 邮件(安全可控的邮件通信) 数据库(高效、实时的数据库交换、同步) 工业控制(工业以太网向办公网传送数据) 视频传输(实时视频媒体流摆渡) 用户专有应用(依赖系统的高扩展性及强大的研发实力,迅速实现对用户专有应用的支持)
安全隔离
管理功能——实时监控
实时流量监视 多角度数据量统计(交易、对象和服务) Tips:用户可实时监控网络业务通信
管理功能——日志审计
Tips:隔离系统具备详尽的日志审计功能
系统日志管理(记录所有隔离器操作员的动作) 网络行为审计(记录所有违规的网络行为) 内容审计(对违规网络行为的内容进行记录,为安全管理提供技术依据)
Tips:该设备在隔离的基础上实现信息交换
安全隔离与信息交换系统网闸GAP解决方案
深信服安全隔离与信息交换系统网闸GAP-1000 白皮书目录1概述 (1)2需求背景 (1)2.1法规标准要求 (1)2.1.1等级保护 (1)2.1.2行业法规 (3)2.2安全需求 (3)2.2.1网络复杂,如何整合 (3)2.2.2安全隐患,如何规避 (4)3产品概况 (4)3.1产品定位 (4)3.2产品介绍 (4)4产品架构与性能 (5)4.1产品架构 (5)4.2工作原理 (6)5产品功能与特性 (8)5.1产品功能 (8)5.1.1业务功能 (8)5.1.2管理功能 (12)5.1.3高可用性功能 (12)5.2产品特性 (13)5.2.1高安全性 (13)5.2.2高吞吐率 (14)5.2.3高可靠性 (14)5.2.4高便利性 (14)6产品优势与价值 (14)6.1产品优势 (14)6.1.1简便易用的界面风格 (15)6.1.2强大的业务功能 (15)6.1.3通信协议深度控制 (15)6.1.4多任务高并发性能 (15)6.1.5优秀的环境适应 (15)6.2产品价值 (15)7产品应用场景 (16)7.1安全隔离与视频交换解决方案 (16)7.1.1场景需求 (16)7.1.2解决方案 (16)7.2安全隔离与数据库同步解决方案 (17)7.2.1场景需求 (17)7.2.2解决方案 (18)7.2.3实现效果 (19)1概述自上世纪90 年代以来,信息技术迅猛发展,人们的生活、工作方式发生了巨大变革,信息网络的大规模应用极大地提高了办公效率。
经过多年建设,我国已建成具有相当规模的数字化网络,但随着网络的不断普及,安全问题日益增多,网络和信息安全问题成为威胁国家和政府安全的重大隐患。
随着对安全问题的不断认识和了解,尤其是针对涉密信息的防护,党和政府已将信息安全建设提到一个相当的高度上来。
自2000 年以来安全隔离技术作为一项新兴的网络安全技术,在保障国家信息安全,尤其是政府、军队及重点行业等信息系统安全建设方面发挥了重要的作用。
浅谈网闸——安全隔离与信息交换系统
一04 月MD o入 感染 了数 十万 计算 机 , 产生 和发送 了 数 以千万计 的病毒 邮件 ,在全 球直 接造 成 了2 1 美元 的损 失 ; 6亿 二 、传 统 安全技 术 分析
( ) “ 三样 ”—— 事 后防 御 一 老 所 谓 的 “ 三样 ”,即 目前 市场上 常 见 的网络 安全产 品 :防 老 火 墙 、防病 毒和 入侵 检测 / 防御 系 统 ( D/P )。 随着用 户对 网 IS IS 络 安全 的重 视 ,这三 大类 产 品作为 安全 防御 手段 已经 到 了越 来越 广泛 的使用 。据 IG D 的统计 , 目前 网络 安全投 资年 增长 率3% 4 ,这 个数 字 已经大 大超 过 了信 息 网络系 统规 模 的年增 长率 (0 )。然 2% 而我们 发 现 ,即使部 署 了防火 墙 、防病 毒 ̄ IS IS HD /P 等产 品 , 还 但 是 抵挡 不 住 日渐 泛滥 的 网络攻 击 。通 过分 析得 知 ,这三大 类产 品 都 有一 个共 同点 ,即 : “ 来将挡 ,水来 土掩 ” ,一旦发 现一 种 兵 新 型 的攻击 行 为 ,专 业人 员才 开始 对 这种 行为 进行 分析 ,发现 其 攻 击 的特 征 ,然 后将 其列 入特 征过 滤库 。但 这种 “ 后防 御 ”的 事 作 法 ,其 防御 永远 晚 于新 攻击 ,无 法 防御未 知 的攻击 行为 。随着 信息 网络 系统 规模 的增 大 , 以及其 上运行 应用 系统 复杂 性 的增 大 , 未知 安全 隐患在 加速 积 累 ,并越来 越 多、越 来越 快 的暴 露 。 么 , 那 能否 有一 种办法 ,在 未知 攻击 行 为 出现 之前 作好 防御 昵 ? ( ) “ 理 隔离 ”— — 消极 防御 二 物 针对 “ 老三 样 ”产 品无法 防 御未 知攻 击行 为 的现 实情 况 下, 20 年O 月 , 国家保 密局 发布 实施 《 00 1 计算机 信 息系统 国 际互联 网 保密 管理 规定 》,明确 要求 : “ 及 国家秘 密 的计算 机信 息系统 , 涉 不得 直接 或 间接 地与 国际 互联 网或 其他 公共 信息 网络 相连 ,必须 实行 物理 隔离 。”从物 理层 、链 路层 、网络层 和应 用层 逐层 断开 , 使我 们 的涉密 网络 完全 与外 界 隔开 ,在根 本上 隔 断黑客 入侵 的途 径 。2 0年 , 中共 中央办 公 厅20 年第 l 号文件 《 02 02 7 国家信 息化 领 导小组 关于 我 国 电子 政务 建 设指 导意 见》 也 明确 强调 : “ 务 内 政 网和政 务外 网之 间物 理隔 离 , 政务外 网与互联 网之 间逻 辑隔 离 。 ” 早期 的物 理 隔离 技术 主要有 两种 :一是 多套 网络 隔离 技术 ;二是 隔离 卡技 术 。 1 多 套 网络 隔离技 术 。 .
安全隔离与信息交换系统
注:以上标有“*”为投标人必须满足的参数,否则作无效投标处理。
(三)其他要求
1、投标人必须出具生产厂家技术参数响应函,生产厂家售后服务承诺函等资格文件。
2、报价为包含物流、施工、安装、培训、保修等一切费用(包括设备安装所需的部分配件
和线材)。
3、售后服务
(1)免费保修期:提供免费三年硬件保修,7×24小时的原厂售后服务,免费保修期内,每年提供原厂家至少2次免费巡检服务,设备性能优化等服务。
(2)修复时间:承诺8小时内修复,如在8小时内无法解决,则须提供冗余服务或采取应急措施,确保产品在24小时内恢复正常运行。
(3)培训:提供免费原厂专业产品培训,培训人数不限,使用户及相关人员能够全面了解产品,满足产品日常维护、保养和管理的需要。
由客户指定地点,安排人员。