隔离网络数据安全交换系统的设计与实现

计算机网络课程设计报告校园网网络构建方案设计和实现计算机网络课程设计报告一、引言随着信息技术的快速发展，计算机网络在当今社会中扮演着至关重要的角色。

在这样的背景下，我们进行了一次关于“校园网网络构建方案设计”的课程设计。

我们的目标是为一个虚构的大学设计并实现一个全面的校园网络方案，包括网络架构、硬件设备、软件系统以及安全措施。

二、网络架构设计我们将采用分层的网络架构，包括核心层、汇聚层和接入层。

核心层负责高速数据传输，连接各个汇聚层设备；汇聚层负责将接入层的数据汇总并传输至核心层；接入层负责连接用户设备，为用户提供网络接入。

具体来说，核心层将由两台高性能交换机组成，负责高速数据传输。

它们之间通过冗余线路进行连接，保证网络的高可用性。

汇聚层将由多台交换机和路由器组成，连接核心层和接入层。

每个汇聚层设备将负责一定区域内的数据汇总和路由。

接入层将由多台接入交换机和无线接入点组成，为用户设备提供网络接入。

三、硬件设备选择在核心层，我们将选择具有高性能和高速端口的光纤交换机，如Cisco 4000系列。

在汇聚层，我们将选择具有多层交换和路由功能的交换机，如Cisco 3000系列。

在接入层，我们将选择具有基本交换和无线接入功能的交换机和无线接入点，如Cisco 2000系列和Cisco AP 系列。

四、软件系统设计我们将采用思科的的网络操作系统，如Cisco IOS，来进行网络管理和配置。

系统将采用DHCP协议为用户分配IP地址，采用VLAN技术隔离不同部门之间的数据传输，采用NAT技术实现公网和私网之间的转换。

此外，我们还将配置基本的网络安全策略，如防火墙和入侵检测系统，以保护网络免受攻击。

五、网络安全设计为了保障网络安全，我们将采取以下措施：1、部署防火墙以过滤非法访问和恶意攻击。

2、使用入侵检测系统（IDS）实时监控网络流量，发现异常行为及时报警。

3、实施访问控制策略，限制用户对网络资源的访问权限。

2001年8月由中共中央国务院重新组建国家信息化领导小组。

2015年上半年，国家强力支持“互联网+”。

国家发改委发布了《关于做好制定“互联网+”行动计划工作的通知》提出促进网上行政审批、增强公共服务能力、新业态新模式建设、创新服务民生方面等研究制定“互联网+”行动计划。

随着“互联网+”迈入黄金发展期，各行各业都加速拓展信息化建设。

网上报税智慧医疗网上挂号智慧交通智慧城市网上查询12306用户信泄露汉庭2000万开房信息泄露支付宝20G 用户资料泄露以色列30余名领导人通信信息外泄某高校U 盘事件某高校财务数据库被拖库在“互联网+行动计划”落实，政府、军队、企业等单位需要信息公开化不断提升互联网+服务。

在“互联网+”形式下的安全如何去防护？随着计算机网络的不断普及和发展，人类的生活、工作深度依赖计算机网络。

网络不仅给人类提供便利，同时也会威胁人类的信息安全，个人信息泄露，敏感数据丢失，核心资产遭到破坏等！传统防御技术已经应用了二十年左右的时间，其安全效能正在下降；最新的病毒、黑客攻击已经使传统防御技术防不胜防，因为这些病毒和攻击技术正是针对传统安全设备的弱点进行攻击和传播的。

信息化建设迫切需要引入新的、更强有力的防御技术为其发展作保障。

攻击技术的不断进化，催生了防御技术的革命，网闸因此而诞生并延用至今。

A网B网优点：保持了网络间物理隔离的特性，有效阻断了直接的网络攻击缺点：不能保证数据传递的时效性，速度慢，能够满足的应用过于单一，可靠性低，在防病毒/内容过滤等方面效果较差，人工操作风险高信息化建设离不开网络，需要将原本相互独立、相互隔离的各部门网络相互连接，实现适度资源开发和共享，提供信息服务。

如何确保数据安全和防止敏感信息外泄是信息化建设面临的头等问题。

仅依靠简单的、单一的安全措施，又无法满足安全要求；如常见的安全设备是对TCP会话的控制，它并不切断网络连接，存在安全风险如果采取早期的隔离方式，使用隔离卡或是利用移动介质进行数据传递，这种低效率、低可靠性的解决方案也无法满足信息化建设的需求21传统隔离与信息化之间的矛盾问题：•无法保障敏感数据安全；•核心网络容易遭受攻击；•直接连接违反法规政策；信息化建设：•互联互通•业务快速便捷•业务、数据共享 完全断开：•安全性高•无网络攻击风险•无违规风险问题：•信息化建设无法展开•业务效率低下•信息孤岛随着电子政务和各种社会化便民网络工程的建设完成，各政府部门和社会管理服务系统希望通过安全的信息系统建设，提高了办事效率，增加了办公的透明度，加强了监管力度。

面向数据中心的大规模SDN交换机设计与实现随着现代信息技术的发展与普及，网络成为了人类社会中不可或缺的关键组成部分。

而数据中心的出现，则使得网络对于人类社会的重要性更加突显。

数据中心连接着各种网络设备，通过交换机的传输实现信息的传递和管理。

然而，在当今数据爆炸的时代，传统的网络管理手段已经无法满足高效、高速、大规模的数据中心的需求了。

为解决这些问题，SDN技术应运而生。

SDN，全称为软件定义网络，是一种借助软件来程序化的管理网络的新技术。

SDN避免了传统网络的硬编程限制，而是通过中心控制者和分布式控制器来管理网络。

对于数据中心而言，大规模的SDN交换机拓扑结构具有很多优点。

通过SDN技术能够实现动态的流量管理和系统监视，能够在不失错误的前提下使网络拓扑结构更加优化，实现更快速的数据交换和传输，同时提高线路的使用率和硬件的使用效率。

然而，由于数据中心网络规模庞大、并发量巨大、存储容量大，对于SDN技术的支持度要求也很高。

因此，对于面向数据中心的大规模SDN交换机的设计与实现，需要从以下几个方面综合考虑：一、高性能硬件设计对于高性能硬件设计来说，需要构建高带宽、低时延、高吞吐量的大规模SDN数据中心网络。

因此，需要选择高速处理器，并使用高速交换芯片进行数据交换。

此外，需要对交换机的内存、缓存、转发等硬件进行合理优化。

这样能够使SDN交换机具有更快的转发速度和更大的数据处理能力。

二、流量管理与优化在流量管理与优化方面，需要使用SDN技术中的OpenFlow协议，将控制面与数据面分离，构建出更加便于管理和维护的网络结构。

通过分布式控制面实现全局流量控制与优化，并可以对流量进行精细化的控制，进一步增强网络的安全性、稳定性和可靠性。

三、应用层面的开发在SDN交换机的设计与实现中，应用层面的开发也是非常重要的。

SDN技术使得应用层面可以更加灵活和定制化，网络管理员可以根据网络的实际需求，实时调整并进行创新性的应用开发。

《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》（征求意见稿）编制说明1 工作简况1.1任务来源2015年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，研究制订《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》国家标准,国标计划号：2015bzzd-WG5-001。

该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由公安部第三研究所、公安部计算机信息系统安全产品质量监督检验中心（以下简称“检测中心”）负责主编。

国家发改委颁布了发改办高技[2013]1965号文《国家发展改革委办公厅关于组织实施2013年国家信息安全专项有关事项的通知》，开展实施工业控制等多个领域的信息安全专用产品扶持工作。

面向现场设备环境的边界安全专用网关产品为重点扶持的工控信息安全产品之一，其中包含了隔离类设备，表明了工控隔离产品在工控领域信息安全产品中的地位，其标准的建设工作至关重要。

因此本标准项目建设工作也是为了推荐我国工业控制系统信息安全的重要举措之一。

1.2协作单位在接到《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》标准的任务后，检测中心立即与产品生产厂商、工业控制厂商进行沟通，并得到了多家单位的积极参与和反馈。

最终确定由北京匡恩网络科技有限责任公司、珠海市鸿瑞软件技术有限公司、北京力控华康科技有限公司等单位作为标准编制协作单位。

1.3编制的背景目前工业控制系统已广泛应用于我国电力、水利、石化、交通运输、制药以及大型制造行业，工控系统已是国家安全战略的重要组成部分，一旦工控系统中的数据信息及控制指令被攻击者窃取篡改破坏，将对工业生产和国家经济安全带来重大安全风险。

随着计算机和网络技术的发展，特别是信息化与工业化深度融合，逐步形成了管理与控制的一体化，导致生产控制系统不再是一个独立运行的系统，其接入的范围不仅扩展到了企业网甚至互联网，从而面临着来自互联网的威胁。

科博安全隔离与信息交换系统（CopGap200）技术白皮书中铁信安（北京）信息安全技术有限公司2011年4月目录1.产品研制背景 (4)2.产品介绍 (5)2.1.概述 (5)2.2.体系结构 (5)2.3.功能性能指标 (6)2.3.1.功能指标 (6)2.3.2.性能指标 (7)3.产品功能描述 (9)3.1.信息交换功能 (9)3.1.1.文件交换功能 (9)3.1.2.Web交换功能 (9)3.1.3.数据库交换功能 (10)3.1.4.邮件交换功能 (10)3.1.5.定制应用数据交换 (11)3.2.安全控制功能 (11)3.2.1.访问控制功能 (11)3.2.2.数据内容审查功能 (12)3.2.3.病毒防护功能 (12)3.2.4.文件深度检查功能 (12)3.2.5.入侵检测与防御功能 (13)3.2.6.身份认证功能 (13)3.2.7.虚拟专网（VPN）功能 (13)3.2.8.流量控制功能 (14)3.3.系统监控与审计功能 (14)3.3.1.系统监控功能 (14)3.3.2.日志审计功能 (14)3.3.3.报表管理功能 (15)3.4.高可用性功能 (15)3.4.1.双机热备功能 (15)3.4.2.负载均衡功能 (16)4.产品使用方式 (16)4.1.部署方式 (16)4.2.管理方式 (17)5.产品应用范围 (18)5.1.核心数据库的访问 (18)5.2.核心服务器保护 (19)5.3.内外网络之间的数据同步 (20)1.产品研制背景传统的安全防御体系是以防火墙为核心的防御体系，通过纵深防御、系统联动达到协同保护网络安全的目的。

尽管防火墙在安全防御中作为一种核心的访问控制手段，起到了不可替代的作用，但以防火墙为核心的防御体系已经不能满足网络安全的真正需求。

分析防火墙的发展历程其实一直在追求安全性和系统性能的平衡点。

防火墙工作层次愈低，其性能愈高，安全性就愈差；工作层次愈高，其性能愈差，但安全性愈高。

政府机构内外网数据交换安全解决方案(内外网物理隔离光盘交换系统）福州新华时代信息技术有限公司201７-３一、研发背景国家保密局２０00年1月1日起颁布实施得《计算机信息系统国际互联网保密管理规定》对国家机要部门使用互联网规定如下:“涉及国家秘密得计算机信息系统,不得直接或间接得与国际互联网或其她公共信息网络链接，必须实行“物理隔离"，所谓“物理隔离”就是指企业内部局域网如果在任何时间都不存在与互联网直接得物理连接,则企业得网络安全才能得到真正得保护.但随着ＩNTERNＥT得迅速发展，各政府与企事业单位利用互联网开展工作已成为不可逆转得趋势，各个机构都需要在内网与互联网之间进行大量得信息交换，以提升效率.从而在网络安全与效率之间产生了巨大得矛盾,而且矛盾日渐扩大化。

网络隔离得目得就是为了保护内部网络得安全,而网络互连得目得就是方便高效得进行数据交换.在此背景下，我们采用十五年技术积累得核心技术开发成功了完全自动化得双网隔离数据光盘交换系统，面向高安全数据传输场合，实现网络完全隔离情况下得数据自动交换，二、系统简介（一）现行数据交换得模式及问题“内网”与互联网实现严格得物理隔离后,内外网数据交换成为突出问题，影响了应用系统得有效部署，1 、完全物理隔离。

采用人工刻盘，将外部（或内部）网络得数据刻录到光盘,再由人工经过安全处理后将数据加载到内部(或外部）网络上.这种方式虽实现了外部与内部网络得物理隔离，但存在资源消耗大、效率低下与不易管理得弊端.2 、采用逻辑隔离得方式.即互联网与内部网络之间采用单向导入设备连接,如网闸或光闸,虽然效率高，但不属于完全得物理隔离,不符合现行国家有关内外网数据安全交换得要求。

鉴于上述两种数据交换方式存在得弊端,因此提出以“物理隔离"为准则，建立以智能、可控、安全为基础得“内外网数据安全摆渡系统”具有十分重要得意义。

(二)系统开发思路与架构１、满足安全管理需求“美佳达双网物理隔离光盘信息交换系统”基于机电一体化技术,利用机械手模拟人手工操作光盘进行数据自动迁移，实现外部网络与内部网络间得物理隔离,为网间交换数据提供一种自动化得、安全可靠得解决方案。

网络安全架构设计和网络安全设备的部署网络安全架构设计和网络安全设备的部署是保护网络免受各种网络威胁的重要步骤。

一个好的安全架构设计可以提供对网络的全面防护，同时合理配置网络安全设备也可以加强网络的安全性。

下面将详细介绍网络安全架构设计和网络安全设备的部署。

一、网络安全架构设计1.安全需求分析：在进行网络安全架构设计前，首先需要对网络的安全需求进行分析。

这可以通过对组织的业务流程、数据流程和数据敏感性进行评估来实现。

然后，可以根据这些分析结果来确定网络安全的目标和要求。

2.分层安全架构：分层安全架构是网络安全架构中的一种常用设计模式。

它通过将网络划分为多个安全域，为不同的安全需求提供不同的安全策略和机制。

一般可以将网络划分为外围网络、边界网络、内部网络和云网络等多个层次。

3.高可用性和冗余配置：为了提供高可用性和冗余性，可以在关键的网络节点上配置冗余设备。

这些设备可以通过冗余链路或者冗余设备来实现。

这样即使一个节点或设备发生故障，仍然能够保证网络的正常运行。

4.身份验证和访问控制：合理的身份验证和访问控制是保护网络安全的重要措施之一、可以通过使用安全认证服务、访问控制列表、防火墙等手段来实现对网络资源的身份验证和访问控制。

5.网络监控与日志记录：网络监控和日志记录是网络安全的重要组成部分。

监控可以通过使用入侵检测系统、入侵防御系统和安全事件管理系统等来实现。

日志记录可以通过配置日志服务器和日志分析工具来实现。

这些可以帮助及时检测和响应安全事件。

1.防火墙：防火墙是网络安全的基础设备之一、通过配置网络与外部网络的边界上，防火墙可以阻止恶意流量的进入，同时也可以限制内网对外网的访问。

防火墙还可以通过配置安全策略，实现对网络流量的过滤和监控。

2.入侵检测系统和入侵防御系统：入侵检测系统和入侵防御系统可以帮助实时监测和防御网络上的入侵行为。

入侵检测系统可以主动检测网络上的异常流量和攻击行为，并及时触发告警。

２００４・７ 计算机安全１１Ｎｅｔｗｏｒｋ＆Ｃｏｍｐｕｔｅｒ　Ｓｅｃｕｒｉｔｙ国保金泰安全隔离与信息交换系统国保金泰安全隔离与信息交换系统是北京国保金泰信息安全技术有限公司送测的隔离产品。

该公司是从事信息系统安全技术产品研发、信息安全系统服务和信息安全系统集成的高新技术企业。

该产品在技术实现上，根据国家对网络管理的相关规定，提出了硬件映射隔离技术（ＨＲＩＴＭ），并将此技术运用于该隔离交换产品上。

该技术对处于内部网络的网关位置隔离系统，可以截获所有在网络上传输的数据包，并通过解析数据包头来判断信息的流向，进而将数据包头状态在本地保存，并将数据包中不包含连接信息的纯数据部分通过硬件映射隔离技术（ＨＲＩＴＭ），在内外网间进行纯数据交换，然后根据数据需要重新构造连接信息。

通过上述构造，国保金泰安全隔离与信息交换系统保证了系统之间的安全隔离与交换。

同时，基于ＨＲＩＴＭ技术的隔离交换卡是连接内端系统和外端系统的唯一数据通道。

在ＨＲＩＴＭ隔离交换卡上，它提出了芯片级信道控制技术，即通过芯片检测及芯片互锁机制在内端系统和外端系统之间建立起完全隔离的两条数据通道，一条数据通道仅传输内网到外网的数据，另一条数据通道仅传输外网到内网的数据，通过对数据流向的分离达到对信道的完全控制。

安全隔离与信息交换系统产品点评该产品在管理上，采用了专用管理平台，提供了专门的日志审计，审计日志可以基于自主加密、ＳｙｓＬｏｇ等方式输出。

同时，还提供了运行日志、告警日志、认证日志、审计日志、操作日志五大类日志信息，并可通过日志审计系统进行类别、用户账号、时间段、地址、告警级别等综合热点查询。

在功能实现上，该产品所具有的功能包括：通过内端系统的包过滤和应用代理及认证模块实现对内网用户请求的认证和管理，并支持合法内网用户进行网页浏览和邮件收发；通过内端系统内容过滤模块对由内网发往外网的邮件进行检查和过滤，防止内部信息非法泄露；通过与硬件卡配合的专用数据传输协议实现数据的交换；通过外端系统的入侵检测模块检查来自外网的攻击；通过外端系统的包过滤防火墙模块防止来自外网的非授权访问；通过防病毒模块检查和阻挡来自外网的病毒；通过日志管理模块动态显示当前数据交换的安全状态，并记录所有网络活动以备审计追踪；支持的通信协议包括：ＨＴＴＰ、ＨＴＴＰＳ、ＦＴＰ、ＳＭＴＰ、ＰＯＰ３、Ｏｒａｃｌｅ（ＴＮＳ）、ＳＱＬＳｅｒｖｅｒ、ＯＤＢＣ、ＤＮＳ、ＬＤＡＰ以及基于自主协议的ＴＣＨ专用通信ＡＰＩ；同时还提供专用数据交换套件，包括数据库同步套件、邮件同步套件、文件同步套件等。

天清安全隔离与信息交换系统数据库同步客户端操作手册声明♦本手册所含内容若有任何改动，恕不另行通知。

♦在法律法规的最大允许范围内，北京启明星辰信息安全技术有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

♦在法律法规的最大允许范围内，北京启明星辰信息安全技术有限公司对于您的使用或不能使用本产品而发生的任何损坏（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失），不负任何赔偿责任。

♦本手册含受版权保护的信息，未经北京启明星辰信息安全技术有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。

北京启明星辰信息安全技术有限公司北京市海淀区东北旺西路8号中关村软件园21楼启明星辰大厦章节目录章节目录 (3)第1章前言 (5)1.1 导言 (5)1.2 本书适用对象 (5)1.3 本书适合的产品 (5)1.4 相关参考手册 (5)第2章如何开始 (6)2.1 系统概述 (6)2.2 工作原理 (6)2.3 产品特点 (6)2.3.1 与数据库的连接方式 (6)2.3.2 支持的数据库类型 (7)2.3.3 支持的数据库表结构 (7)2.3.4 其他特点 (7)2.4 运行环境 (7)2.5 安装步骤 (7)第3章系统登录 (9)3.1 系统登录 (9)第4章系统选项 (11)4.1 证书设置 (11)4.2 本机地址 (12)4.3HA设置 (13)4.4密码管理 (14)4.5开机启动 (14)第5章通道管理 (15)5.1添加 (15)5.2修改 (16)5.3删除 (16)第6章数据源管理 (17)6.1添加 (18)6.2修改 (19)6.3删除 (20)第7章任务管理 (21)7.1添加任务 (21)7.2修改任务 (29)7.3删除任务 (29)7.4启动、停止任务 (30)7.5设置同步条件 (31)第8章日志管理 (32)8.1日志设置 (32)8.2日志查看 (33)第9章报警管理 (34)第10章统计管理 (35)第11章容错管理 (36)第1章前言1.1 导言《数据库同步客户端操作手册》是天清安全隔离与信息交换系统管理员手册中的一本。

豳２双网双布线硬盘隔卡隔离模式豳３双嗣草布线鞴离交换机隔离模式公共网加上几个内部安全子网的多网互动的有效网络格局。

还能很好的完成一台电脑既上内网又上外网的安全布局。

这种方案的连接图如图２所示。

隔离卡的特点：（１）内外网绝对隔离：双硬盘网络隔离卡，隔离内存。

（２）完全控钒双硬盘网络隔离卡通过硬件对硬盘数据通道和网络接口的直接控制，实现内网操作系统．应用软件及对应的网络接口与外网操作系统．应用软件及对应的网络接口隔离。

以物理方式将一台电脑虚拟为两部电脑．实现工作站的双重状态．既可在安全状态（内网）．又可在公共状态《外网），两种状态是完全隔离的．从而使一部电脑可在完全隔离状态下连接内外网。

网络安全隔离卡实际是被设置在电脑中最低的物理层上．通过卡上中间的ＩＤＥ总线连接主板．两边分别连接相应的ＩＤＥ硬盘，内．外网的连接均须通过硬盘安全隔离卡．电脑将两块硬盘物理分隔成为两个区域，在ＩＤＥ总线物理层上．在硬件中控制磁盘通道．在内存中将物理地址分区使用．在任何时候．数据只能通往一个系统。

（３）转换自如：用户可根据需要在任何时间任何系统中方便自如地进行内部网和外部网之间的转换。

（４）两种切换方式：硬切（按钮切换）和软切（软件切换）。

（５）应用广泛：不依赖于操作系统，可以应用于所有使用ＩＤＥ—ＡＴＡ硬盘的电脑系统。

可以适用于局域网，拔号上网，ＩＳＤＮ．宽带等不同的网络环境。

（６）对网络技术．协议完全透明。

（７）安装方便．操作简单，不需要用户进行专门的维护。

这种方案可以很好的解决办公室空间问题，还能很好的解决各种资源的充分利用．达到一种完美的隔离效果。

３双网单布线隔离交换机隔离模式双网单布线隔离交换机隔离模式就是两个网络通过隔离交换机将内．外网分开．然后通过一根线传输到连接电脑，即桌面电脑同一时间只能连接到一个网络。

此种方案需要配合安装了硬盘隔离卡的电脑使用，才可以满足单布线的要求．即如果用户因某种原因无，法使用双网双布线时．可采用此方案。

3准备工作网闸的部署与用户的业务系统息息相关，在网闸项目实施时应特别注意，切勿造成用户业务无法正常使用的状况出现。

所以，在网闸上线实施前，应对当前用户的网络环境、业务模式、安全需求等情况进行详细的了解，充分做好产品上线准备，确保网闸上线后高效、稳定，与用户业务安全结合。

3.1了解实际用户网络环境或主机环境3.1.1网络环境充分的网络环境了解，有助于我们明确网闸的部署位置，IP地址的规划等，对与当前用户整个网络的拓扑结构要做到心中有图和手中有图，网络拓扑网络拓扑图可以请用户网络工程师协助提供。

拓扑图中应包含网闸所处网络中的关键性设备、设备连接方式等信息。

<部署位置根据用户提供拓扑，分清安全域界限，明确网闸部署位置。

IP规划明确网闸所需的IP地址、掩码、网关地址，以及各关键设备的地址信息。

3.1.2主机环境明确用户现场网络拓扑后，还需要对用户的主机系统，也就是各类与网闸应用相关的服务器进行了解，以确保采用正确的网闸模块与之对应。

服务器系统平台信息了解用户服务器使用何种类型操作系统以及操作系统版本等系统平台信息。

了解各服务器网络配置信息，如服务器IP地址、服务器连接位置等。

]数据库信息对具有数据库应用需求的用户，了解其使用的数据库类型、版本等数据库相关信息。

软件信息了解用户主机系统所使用的与网闸业务相关的软件信息。

3.2了解实际用户应用及安全需求3.2.1业务模式了解业务模式，可以针对当前用户的各类业务应用选择最匹配的网闸功能模块，以确保网闸功能与用户应用的无缝结合。

应用相关信息）了解业务所采用的协议类型，业务端口开放情况等业务相关信息。

业务流程分析通过对业务流程的分析，可以确定哪些功能是必须要实现，从而使得我们可以以更合适的方式来实现所需要的功能服务。

业务软件模式针对业务应用所使用的软件模式，B/S架构还是C/S架构，可以更好的选择功能模块采用的实现方式。

3.2.2安全需求了解用户安全需求，细化网闸安全功能，确保用户信息及数据的安全。

3准备工作网闸的部署与用户的业务系统息息相关，在网闸项目实施时应特别注意，切勿造成用户业务无法正常使用的状况出现。

所以，在网闸上线实施前，应对当前用户的网络环境、业务模式、安全需求等情况进行详细的了解，充分做好产品上线准备，确保网闸上线后高效、稳定，与用户业务安全结合。

3.1了解实际用户网络环境或主机环境3.1.1网络环境充分的网络环境了解，有助于我们明确网闸的部署位置，IP地址的规划等，对与当前用户整个网络的拓扑结构要做到心中有图和手中有图，网络拓扑网络拓扑图可以请用户网络工程师协助提供。

拓扑图中应包含网闸所处网络中的关键性设备、设备连接方式等信息。

<部署位置根据用户提供拓扑，分清安全域界限，明确网闸部署位置。

IP规划明确网闸所需的IP地址、掩码、网关地址，以及各关键设备的地址信息。

3.1.2主机环境明确用户现场网络拓扑后，还需要对用户的主机系统，也就是各类与网闸应用相关的服务器进行了解，以确保采用正确的网闸模块与之对应。

服务器系统平台信息了解用户服务器使用何种类型操作系统以及操作系统版本等系统平台信息。

了解各服务器网络配置信息，如服务器IP地址、服务器连接位置等。

]数据库信息对具有数据库应用需求的用户，了解其使用的数据库类型、版本等数据库相关信息。

软件信息了解用户主机系统所使用的与网闸业务相关的软件信息。

3.2了解实际用户应用及安全需求3.2.1业务模式了解业务模式，可以针对当前用户的各类业务应用选择最匹配的网闸功能模块，以确保网闸功能与用户应用的无缝结合。

应用相关信息）了解业务所采用的协议类型，业务端口开放情况等业务相关信息。

业务流程分析通过对业务流程的分析，可以确定哪些功能是必须要实现，从而使得我们可以以更合适的方式来实现所需要的功能服务。

业务软件模式针对业务应用所使用的软件模式，B/S架构还是C/S架构，可以更好的选择功能模块采用的实现方式。

3.2.2安全需求了解用户安全需求，细化网闸安全功能，确保用户信息及数据的安全。

1IT系统网络与信息安全防护设计方案1.1.边界安全1.3.1.数据传输安全系统保证数据在传输，存储，处理、销毁等全生命周期中的保密性、完整性、可用性，防止数据传输、处理过程中被篡改，应用系统对敏感数据、关键数据，如操作员密码等要实现加密存储。

保证交易的安全性，能够防重放，抗抵赖。

1.3.2.数据脱敏机制说明数据脱敏过程具备以下特点：可用性、数据关联关系、业务规则关系、数据分布、易用性和可定制。

从而在针对不同系统进行数据脱敏时，制定良好的脱敏方法，是整个数据脱敏关键所在，而常用的实施脱敏方法有如下几种方式：＞替换：如统一将女性用户名替换为F,这种方法更像“障眼法”，对内部人员可以完全保持信息完整性，但易破解。

＞重排：按照一定的顺序进行打乱，很像“替换”，可以在需要时方便还原信息，但同样易破解。

＞加密：安全程度取决于采用哪种加密算法，一般根据实际情况而定。

＞截断：舍弃必要信息来保证数据的模糊性，是比较常用的脱敏方法，但往往对生产不够友好。

＞掩码:保留了部分信息，并且保证了信息的长度不变性，对信息持有者更易辨别，如火车票上得身份信息。

＞日期偏移取整：舍弃精度来保证原始数据的安全性，一般此种方法可以保护数据的时间分布密度。

1.3.3.数据脱敏机制说明为了保证脱敏后各个系统之间的数据关联关系，制定相应的对应关系如下：客服系统：为了保证本系统各个数据表之间的关联关系，所以对“证件号码”字段进行不脱敏处理，后期在使用表与表之间的关联特性时，可以使用本字段进行对应关系的关联操作。

1.3.4.应用开发系统脱敏规则在保证了各个系统之间表与表的数据关系相关性的条件下，制定合适的脱敏规则，是完成脱敏工作的必要前提，所以脱敏规则制定如下：1、座席系统脱敏规则客户姓名：把原来三个字（四个字）修改为中中+最后一个字或者（中中中+最后一个字），原来两个字修改为中+最后一个字；1.3.5.系统中有关交易的脱敏规则方法一：如果测试业务，跟历史数据无关，使用清库脚本，把涉及上述的信息清库，保留基本的配置，以便测试使用。

I C S35.040L80中华人民共和国国家标准G B/T37934 2019信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求I n f o r m a t i o n s e c u r i t y t e c h n o l o g y S e c u r i t y t e c h n i c a l r e q u i r e m e n t s o f i n d u s t r i a lc o n t r o l s y s t e ms e c u r i t y i s o l a t i o na nd i n f o r m a t i o n fe r r y s y s t e m2019-08-30发布2020-03-01实施国家市场监督管理总局发布目 次前言Ⅰ 引言Ⅱ 1 范围1 2 规范性引用文件1 3 术语和定义1 4 缩略语2 5 产品描述2 6 安全技术要求2 6.1 基本级安全技术要求2 6.1.1 安全功能要求2 6.1.2 自身安全要求3 6.1.3 安全保障要求5 6.2 增强级安全技术要求7 6.2.1 安全功能要求7 6.2.2 自身安全要求8 6.2.3 安全保障要求11G B /T 37934 2019G B/T37934 2019信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求1范围本标准规定了工业控制网络安全隔离与信息交换系统的安全功能要求㊁自身安全要求和安全保障要求㊂本标准适用于工业控制网络安全隔离与信息交换系统的设计㊁开发及测试㊂2规范性引用文件下列文件对于本文件的应用是必不可少的㊂凡是注日期的引用文件,仅注日期的版本适用于本文件㊂凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件㊂G B/T20279 2015信息安全技术网络和终端隔离产品安全技术要求G B/T20438.3 2017电气/电子/可编程电子安全相关系统的功能安全第3部分:软件要求G B/T20438.4 2017电气/电子/可编程电子安全相关系统的功能安全第4部分:定义和缩略语G B/T25069 2010信息安全技术术语3术语和定义G B/T20279 2015㊁G B/T20438.4 2017和G B/T25069 2010界定的以及下列术语和定义适用于本文件㊂3.1工业控制系统i n d u s t r i a l c o n t r o l s y s t e m;I C S工业控制系统(I C S)是一个通用术语,它包括多种工业生产中使用的控制系统,包括监控和数据采集系统(S C A D A)㊁分布式控制系统(D C S)和其他较小的控制系统,如可编程逻辑控制器(P L C),现已广泛应用在工业部门和关键基础设施中㊂[G B/T32919 2016,定义3.1]3.2工业控制协议i n d u s t r i a l c o n t r o l p r o t o c o l工业控制系统中,上位机与控制设备之间,以及控制设备与控制设备之间的通信报文规约㊂注:通常包括模拟量和数字量的读写控制㊂3.3工业控制网络安全隔离与信息交换系统i n d u s t r i a lc o n t r o ls y s t e m s e c u r i t y i s o l a t i o n a n d i n f o r m a t i o n f e r r y s y s t e m部署于工业控制网络中不同的安全域之间,采用协议隔离技术实现两个安全域之间访问控制㊁协议转换㊁内容过滤和信息交换等功能的产品㊂1G B/T37934 20194缩略语下列缩略语适用于本文件㊂MA C:媒体接入控制(M e d i aA c c e s sC o n t r o l)O P C:用于过程控制的对象链接与嵌入(O b j e c tL i n k i n g a n dE m b e d d i n g f o rP r o c e s sC o n t r o l)5产品描述工业控制网络安全隔离与信息交换系统通常部署在工业控制网络边界,保护的资产为工业控制网络;或者部署在生产管理层与过程监控层之间,保护的资产为过程监控层网络及现场控制层网络㊂此外,工业控制网络安全隔离与信息交换系统本身及其内部的重要数据也是受保护的资产㊂工业控制网络安全隔离与信息交换系统一般以二主机加专用隔离部件的方式组成,即由内部处理单元㊁外部处理单元和专用隔离部件组成㊂其中,专用隔离部件既可以是采用包含电子开关并固化信息摆渡控制逻辑的专用隔离芯片构成的隔离交换板卡,也可以是经过安全强化的运行专用信息传输逻辑控制程序的主机㊂工业控制网络安全隔离与信息交换系统中的内㊁外部处理单元通过专用隔离部件相连,专用隔离部件是两个安全域之间唯一的可信物理信道㊂该内部信道裁剪了T C P/I P等公共网络协议栈,采用私有协议实现公共协议隔离㊂专用隔离部件通常有两种实现方式:一是采用私有协议以逻辑方式实现协议隔离和信息传输;二是采用一组互斥的分时切换电子开关实现内部物理信道的通断控制,以分时切换连接方式完成信息摆渡,从而在两个安全域之间形成一个不存在实时物理连接的隔离区㊂本标准将工业控制网络安全隔离与信息交换系统安全技术要求分为安全功能㊁自身安全要求和安全保障要求三个大类㊂安全功能要求㊁自身安全要求和安全保障要求分为基本级和增强级,与基本级内容相比,增强级中要求有所增加或变更的内容在正文中通过 黑体 表示㊂6安全技术要求6.1基本级安全技术要求6.1.1安全功能要求6.1.1.1访问控制6.1.1.1.1基于白名单的访问控制产品应采用白名单的访问控制策略,即非访问控制策略明确允许的访问,需默认禁止㊂6.1.1.1.2网络层访问控制产品应支持基于源I P㊁源端口㊁目的I P㊁目的端口㊁传输层协议等要求进行访问控制㊂6.1.1.1.3应用层访问控制产品应支持应用层的访问控制:a)支持H T T P㊁F T P㊁T E L N E T等应用的识别与访问控制;b)至少支持一种工业控制协议的访问控制㊂2G B/T37934 20196.1.1.1.4工业控制协议深度检查产品应支持对工业控制协议内容进行深度分析和访问控制:a)对所支持的工业控制协议进行协议规约检查,明确拒绝不符合协议规约的访问;b)应支持对工业控制协议的操作类型㊁操作对象㊁操作范围等参数进行访问控制;c)若支持O P C协议:应支持基于控制点名称㊁读写操作等要素进行控制;d)若支持M o d b u s T C P协议:应支持基于设备I D㊁功能码类型㊁读写操作㊁寄存器地址㊁控制值范围等要素进行控制㊂6.1.1.2协议隔离所有主客体之间发送和接收的信息流均执行网络层协议剥离,还原成应用层数据,在两机之间以非T C P/I P的私有协议格式传输㊂6.1.1.3残余信息保护在为所有内部或外部网络上的主机连接进行资源分配时,安全功能应保证其分配的资源中不提供以前连接活动中所产生的任何信息内容㊂6.1.1.4不可旁路在与安全有关的操作(例如安全属性的修改㊁内部网络主机向外部网络主机传送信息等)被允许执行之前,安全功能应确保其通过安全功能策略的检查㊂6.1.1.5抗攻击产品应具备抵御S Y NF l o o d攻击㊁U D PF l o o d攻击㊁I C M PF l o o d攻击㊁P i n g o f d e a t h攻击等典型拒绝服务攻击能力㊂6.1.2自身安全要求6.1.2.1标识和鉴别6.1.2.1.1唯一性标识产品应保证任何用户都具有唯一的标识㊂6.1.2.1.2管理员属性定义产品应为每个管理员规定与之相关的安全属性,如管理员标识㊁鉴别信息㊁隶属组㊁权限等,并提供使用默认值对创建的每个管理员的属性进行初始化的功能㊂6.1.2.1.3基本鉴别产品应保证任何用户在执行安全功能前都要进行身份鉴别㊂6.1.2.1.4鉴别失败处理产品应为管理员登录设定一个授权管理员可修改的鉴别尝试阈值,当管理员的不成功登录尝试超过阈值,系统应通过技术手段阻止管理员的进一步鉴别请求㊂3G B/T37934 20196.1.2.2安全管理6.1.2.2.1接口及管理安全产品应保证业务接口㊁管理接口㊁管理界面的安全:a)业务接口和管理接口采用不同的网络接口;b)管理接口及管理界面不存在中高风险安全漏洞㊂6.1.2.2.2安全状态监测产品应能够监测产品自身及组件状态,包括对产品C P U㊁内存㊁存储空间等系统资源使用状态进行监测㊂6.1.2.3数据完整性安全功能应保护储存于设备中的鉴别数据和信息传输策略不受未授权查阅㊁修改和破坏㊂6.1.2.4时间同步产品应支持与外部时间服务器进行时间同步㊂6.1.2.5高可用性6.1.2.5.1容错产品应具备一定的容错能力:a)重要程序及文件被破坏时,设备重启后能够自恢复;b)重要进程异常终止时,能够自启动㊂6.1.2.5.2安全策略更新进行访问控制安全策略应用时不应该影响正常的数据通信㊂6.1.2.6审计日志6.1.2.6.1业务日志生成产品应对其提供的业务功能生成审计日志:a)访问控制策略匹配的访问请求,包括允许及禁止的访问请求;b)识别及防护的各类攻击行为㊂6.1.2.6.2业务日志内容业务日志内容至少包括:a)日期㊁时间㊁源目的MA C㊁源目的I P㊁源目的端口㊁协议类型;b)工业控制协议的操作类型㊁操作对象㊁操作值等相关参数;c)攻击事件的类型及描述㊂6.1.2.6.3系统日志生成产品应对与自身安全相关的以下事件生成审计日志:4G B/T37934 2019a)身份鉴别,包括成功和失败;b)因鉴别失败次数超过阈值而采取的禁止进一步尝试的措施;c)访问控制策略的增加㊁删除㊁修改;6.1.2.6.4系统日志内容系统日志内容至少应包括日期㊁时间㊁事件主体㊁事件客体㊁事件描述等㊂6.1.2.6.5审计日志管理应支持日志管理功能,具体技术要求如下:a)应只允许授权管理员能够对审计日志进行读取㊁存档㊁导出㊁删除和清空等操作;b)应提供能查阅日志的工具;c)审计事件应存储于掉电非易失性存储介质中,且在存储空间达到阈值时至少能够通知授权审计员㊂6.1.3安全保障要求6.1.3.1开发6.1.3.1.1安全架构开发者应提供产品安全功能的安全架构描述,技术要求如下:a)与产品设计文档中对安全功能的描述一致;b)描述与安全功能要求一致的安全域;c)描述产品安全功能初始化过程及安全措施;d)证实产品安全功能能够防止被破坏;e)证实产品安全功能能够防止安全策略被旁路㊂6.1.3.1.2功能规范开发者应提供完备的功能规范说明,技术要求如下:a)完整描述产品的安全功能;b)描述所有安全功能接口的目的与使用方法;c)标识和描述每个安全功能接口相关的所有参数;d)描述安全功能接口相关的安全功能实施行为;e)描述由安全功能实施行为而引起的直接错误消息;f)证实安全功能要求到安全功能接口的追溯㊂6.1.3.1.3产品设计开发者应提供产品设计文档,技术要求如下:a)根据子系统描述产品结构,并标识和描述产品安全功能的所有子系统;b)描述安全功能所有子系统间的相互作用;c)提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口㊂5G B/T37934 20196.1.3.2指导性文档6.1.3.2.1操作用户指南开发者应提供明确和合理的操作用户指南,操作用户指南与为评估而提供的其他所有文档保持一致,对每一种用户角色的描述要求如下:a)描述授权用户可访问的功能和特权,包含适当的警示信息;b)描述如何以安全的方式使用产品提供的接口;c)描述可用功能和接口,尤其是受用户控制的所有安全参数,适当时指明安全值;d)明确说明与需要执行的用户可访问功能有关的每一种安全相关事件,包括改变安全功能所控制实体的安全特性;e)标识产品运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与维持安全运行之间的因果关系和联系;f)实现安全目的所应执行的安全策略㊂6.1.3.2.2准备程序开发者应提供产品及其准备程序,技术要求如下:a)描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤;b)描述安全安装产品及其运行环境必需的所有步骤㊂6.1.3.3生命周期支持6.1.3.3.1配置管理能力开发者的配置管理能力应满足以下要求:a)为产品的不同版本提供唯一的标识;b)使用配置管理系统对组成产品的所有配置项进行维护,并唯一标识各配置项;c)提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法㊂6.1.3.3.2配置管理范围开发者应提供产品配置项列表,并说明配置项的开发者㊂配置项列表至少包括产品㊁安全保障要求的评估证据和产品的组成部分㊂6.1.3.3.3交付程序开发者应使用一定的交付程序交付产品,并将交付过程文档化㊂在给用户方交付产品的各版本时,交付文档应描述为维护安全所必需的所有程序㊂6.1.3.3.4支撑系统安全保障开发者应明确产品支撑系统的安全保障措施,技术要求如下:a)若产品以软件形态提交,应在交付文档中详细描述支撑操作系统的兼容性㊁可靠性㊁安全性要求;b)若产品以硬件形态提交,应选取和采用安全可靠的支撑操作系统,以最小化原则选取必要的系统组件,并采取一定的加固措施㊂66.1.3.3.5 硬件安全保障若产品以硬件形态提交,开发者应采取措施保障硬件安全,技术要求如下:a ) 产品应采用具有高可靠性的硬件平台;b ) 若硬件平台为外购,应制定相应程序对硬件提供商进行管理㊁对采购的硬件平台或部件进行验证测试,并要求硬件提供商提供合格证明及必要的第三方环境适用性测试报告㊂6.1.3.4 测试6.1.3.4.1 测试覆盖开发者应提供测试覆盖文档,测试覆盖描述应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性㊂6.1.3.4.2 功能测试开发者应测试产品安全功能,将结果文档化并提供测试文档㊂测试文档应包括以下内容:a ) 测试计划,标识要执行的测试,并描述执行每个测试的方案,这些方案包括对于其他测试结果的任何顺序依赖性;b ) 预期的测试结果,表明测试成功后的预期输出;c ) 实际测试结果和预期的测试结果一致㊂6.1.3.4.3 独立测试开发者应提供一组与其自测安全功能时使用的同等资源,以用于安全功能的抽样测试㊂6.1.3.5 脆弱性评定基于已标识的潜在脆弱性,产品能够抵抗基本的攻击㊂6.2 增强级安全技术要求6.2.1 安全功能要求6.2.1.1 访问控制6.2.1.1.1 基于白名单的访问控制产品应采用白名单的访问控制策略,即非访问控制策略明确允许的访问,需默认禁止㊂6.2.1.1.2 网络层访问控制产品应支持基于源I P ㊁源端口㊁目的I P ㊁目的端口㊁传输层协议等要求进行访问控制㊂6.2.1.1.3 I P /M A C 地址绑定产品应支持自动或管理员手工绑定与其进行通信的设备的I P /M A C 地址,当通信的I P ㊁M A C 地址与绑定列表不符时,应阻止通信㊂6.2.1.1.4 应用层访问控制产品应支持应用层的访问控制:7G B /T 37934 2019G B/T37934 2019a)支持H T T P㊁F T P㊁T E L N E T等应用的识别与访问控制;b)至少支持两种工业控制协议的访问控制㊂6.2.1.1.5工业控制协议深度检查产品应支持对工业控制协议内容进行深度分析和访问控制:a)对所支持的工业控制协议进行协议规约检查,明确拒绝不符合协议规约的访问;b)应支持对工业控制协议的操作类型㊁操作对象㊁操作范围等参数进行访问控制;c)若支持O P C协议:应支持基于控制点名称㊁读写操作等要素进行控制;d)若支持M o d b u s T C P协议:应支持基于设备I D㊁功能码类型㊁读写操作㊁寄存器地址㊁控制值范围等要素进行控制㊂6.2.1.2协议隔离所有主客体之间发送和接收的信息流均执行网络层协议剥离,还原成应用层数据,在两机之间以非T C P/I P的私有协议格式传输㊂6.2.1.3信息摆渡设备双机之间应采用专用隔离部件,并确保数据传输链路物理上的时分切换,即设备的双机在物理链路上不能同时与专用隔离部件连通,并完成信息摆渡㊂6.2.1.4残余信息保护在为所有内部或外部网络上的主机连接进行资源分配时,安全功能应保证其分配的资源中不提供以前连接活动中所产生的任何信息内容㊂6.2.1.5不可旁路在与安全有关的操作(例如安全属性的修改㊁内部网络主机向外部网络主机传送信息等)被允许执行之前,安全功能应确保其通过安全功能策略的检查㊂6.2.1.6抗攻击产品应具备一定的抗拒绝服务攻击能力:a)S Y NF l o o d攻击㊁U D PF l o o d攻击㊁I C M PF l o o d攻击㊁P i n g o f d e a t h攻击等;b)T e a r D r o p攻击㊁L a n d攻击等㊂6.2.1.7双机热备产品应具备双机热备的能力,当主设备出现故障时或者主设备链路故障时,备用设备应能及时接管进行工作㊂6.2.2自身安全要求6.2.2.1标识和鉴别6.2.2.1.1唯一性标识产品应保证任何用户都具有唯一的标识㊂86.2.2.1.2管理员属性定义产品应为每个管理员规定与之相关的安全属性,如管理员标识㊁鉴别信息㊁隶属组㊁权限等,并提供使用默认值对创建的每个管理员的属性进行初始化的功能㊂6.2.2.1.3管理员角色产品应为管理角色进行分级,使不同级别的管理角色具有不同的管理权限㊂各管理角色的权限应形成互相制约关系㊂6.2.2.1.4基本鉴别产品应保证任何用户在执行安全功能前都要进行身份鉴别㊂若其采用网络远程方式管理,还应对可管理的地址进行限制㊂6.2.2.1.5多鉴别产品应能向管理角色提供除口令身份鉴别机制以外的其他身份鉴别机制(如证书㊁智能I C卡㊁指纹等鉴别机制)㊂6.2.2.1.6超时锁定或注销当已通过身份鉴别的管理角色空闲操作的时间超过规定值,在该管理角色需要执行管理功能前,产品应对该管理角色的身份重新进行鉴别㊂6.2.2.1.7鉴别失败处理产品应为管理员登录设定一个授权管理员可修改的鉴别尝试阈值,当管理员的不成功登录尝试超过阈值,系统应通过技术手段阻止管理员的进一步鉴别请求㊂6.2.2.2安全管理6.2.2.2.1接口及管理安全产品应保证业务接口㊁管理接口㊁管理界面的安全:a)应支持业务接口和管理接口采用不同的网络接口;b)管理接口及管理界面不存在中高风险安全漏洞㊂6.2.2.2.2管理信息传输安全产品需要通过网络进行管理时,产品应能对管理信息进行保密传输㊂6.2.2.2.3安全状态监测产品应能够监测产品自身及组件状态,包括:a)对产品C P U㊁内存㊁存储空间等系统资源使用状态进行监测;b)对产品的主要功能模块运行状态进行监测㊂6.2.2.3数据完整性安全功能应保护储存于设备中的鉴别数据和信息传输策略不受未授权查阅㊁修改和破坏㊂6.2.2.4时间同步产品应支持与外部时间服务器进行时间同步㊂6.2.2.5高可用性6.2.2.5.1容错产品应具备一定的容错能力:a)重要程序及文件被破坏时,设备重启后能够自恢复;b)重要进程异常终止时,能够自启动㊂6.2.2.5.2安全策略更新进行访问控制安全策略下装及应用时不应影响正常的数据通信㊂6.2.2.6审计日志6.2.2.6.1业务日志生成产品应对其提供的业务功能生成审计日志:a)访问控制策略匹配的访问请求,包括允许及禁止的访问请求;b)识别及防护的各类攻击行为㊂6.2.2.6.2业务日志内容业务日志内容至少包括:a)日期㊁时间㊁源目的MA C㊁源目的I P㊁源目的端口㊁协议类型;b)工业控制协议的操作类型㊁操作对象㊁操作值等相关参数;c)攻击事件的类型及描述㊂6.2.2.6.3系统日志生成产品应对与自身安全相关的以下事件生成审计日志:a)身份鉴别,包括成功和失败;b)因鉴别失败次数超过阈值而采取的禁止进一步尝试的措施;c)访问控制策略的增加㊁删除㊁修改;d)管理员的增加㊁删除㊁修改;e)时间同步;f)超过保存时限的审计记录和自身审计日志的自动删除;g)审计日志和审计记录的备份与恢复;h)存储空间达到阈值报警;i)其他事件㊂6.2.2.6.4系统日志内容系统日志内容至少应包括日期㊁时间㊁事件主体㊁事件客体㊁事件描述等㊂6.2.2.6.5审计日志管理应支持日志管理功能,具体技术要求如下:a)应只允许授权管理员能够对审计日志进行读取㊁存档㊁导出㊁删除和清空等操作;b)应提供能查阅日志的工具,支持多条件对审计日志进行组合查询;c)审计事件应存储于掉电非易失性存储介质中,且在存储空间达到阈值时至少能够通知授权审计员;d)应支持以标准格式将审计日志外发到专用的日志服务器㊂6.2.3安全保障要求6.2.3.1开发6.2.3.1.1安全架构开发者应提供产品安全功能的安全架构描述,技术要求如下:a)与产品设计文档中对安全功能的描述一致;b)描述与安全功能要求一致的安全域;c)描述产品安全功能初始化过程及安全措施;d)证实产品安全功能能够防止被破坏;e)证实产品安全功能能够防止安全策略被旁路㊂6.2.3.1.2功能规范开发者应提供完备的功能规范说明,技术要求如下:a)完整描述产品的安全功能;b)描述所有安全功能接口的目的与使用方法;c)标识和描述每个安全功能接口相关的所有参数;d)描述安全功能接口相关的安全功能实施行为;e)描述由安全功能实施行为而引起的直接错误消息;f)证实安全功能要求到安全功能接口的追溯;g)描述安全功能实施过程中,与安全功能接口相关的所有行为;h)描述可能由安全功能接口的调用而引起的所有错误消息㊂6.2.3.1.3实现表示开发者应提供全部安全功能的实现表示,技术要求如下:a)提供产品设计描述与实现表示实例之间的映射,并证明其一致性;b)详细定义产品安全功能,达到无须进一步设计就能生成安全功能的程度;c)实现表示以开发人员使用的形式提供㊂6.2.3.1.4产品设计开发者应提供产品设计文档,技术要求如下:a)根据子系统描述产品结构,并标识和描述产品安全功能的所有子系统;b)描述安全功能所有子系统间的相互作用;c)提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口;d)根据模块描述安全功能,并提供安全功能子系统到模块间的映射关系;e)描述所有安全功能实现模块,包括其目的及与其他模块间的相互关系;f)描述所有模块的安全功能要求相关接口㊁与其他相邻接口的调用参数及返回值;g)描述所有安全功能的支撑或相关模块,包括其目的及与其他模块间的相互作用㊂6.2.3.2指导性文档6.2.3.2.1操作用户指南开发者应提供明确和合理的操作用户指南,操作用户指南与为评估而提供的其他所有文档保持一致,对每一种用户角色的描述要求如下:a)描述授权用户可访问的功能和特权,包含适当的警示信息;b)描述如何以安全的方式使用产品提供的接口;c)描述可用功能和接口,尤其是受用户控制的所有安全参数,适当时指明安全值;d)明确说明与需要执行的用户可访问功能有关的每一种安全相关事件,包括改变安全功能所控制实体的安全特性;e)标识产品运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与维持安全运行之间的因果关系和联系;f)实现安全目的所应执行的安全策略㊂6.2.3.2.2准备程序开发者应提供产品及其准备程序,技术要求如下:a)描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤;b)描述安全安装产品及其运行环境必需的所有步骤㊂6.2.3.3生命周期支持6.2.3.3.1配置管理能力开发者的配置管理能力应满足以下要求:a)为产品的不同版本提供唯一的标识;b)使用配置管理系统对组成产品的所有配置项进行维护,并唯一标识各配置项;c)提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法;d)配置管理系统提供一种自动方式来支持产品的生成,并确保只能对配置项进行已授权的变更;e)配置管理文档包括配置管理计划,计划中需描述如何使用配置管理系统,并依据该计划实施配置管理;f)配置管理计划应描述配置项的变更(包括新建㊁修改㊁删除)控制程序㊂6.2.3.3.2配置管理范围开发者应提供产品配置项列表,并说明配置项的开发者,技术要求如下:a)产品㊁安全保障要求的评估证据和产品的组成部分;b)实现表示㊁安全缺陷报告及其解决状态㊂6.2.3.3.3交付程序开发者应使用一定的交付程序交付产品,并将交付过程文档化㊂在给用户方交付产品的各版本时,。

什么是隔离交换？目录1. 什么是网络隔离？ (3)1.1. 人工拷盘 (3)1.2. 轮渡 (4)1.3. 网络隔离为什么被称为GAP (4)1.4. 物理隔离与网络隔离的关系 (4)2. 网络隔离技术 (4)2.1. 物理隔离卡 (4)2.2. 网闸 (5)2.3. 防火墙与网闸的区别 (5)2.4. 网闸的优势在哪里 (5)2.5. 网闸的原理 (6)2.6. 网闸的架构 (7)2.7. 网闸的发展历程 (8)2.7.1. 第一代空气开关型网闸 (8)2.7.2. 第二代专用交换通道型网闸 (8)2.8. 网闸的技术实现 (9)3. 问题解答 (10)3.1. 网闸与隔离卡是不是一回事？ (10)3.2. 网闸与逻辑隔离是不是一回事？ (10)3.3. 下列形式的双主机设备是不是网闸？ (10)3.4. 网闸可以抵抗哪些攻击？ (10)3.5. 为什么网闸能阻止未知的攻击？ (11)3.6. 网闸可以采用USB，火线和以太来实现软开关吗？ (11)3.7. 安全数据交换系统是网闸吗？ (11)4. 网闸与等级保护要求 (12)1.什么是网络隔离？网络隔离，是指两个或两个以上的计算机或网络，不相连，不相通，相互断开。

网络隔离相关的概念来源部分源于人工拷盘和轮渡。

1.1. 人工拷盘人工拷盘的实现方式，从最早的磁带、软盘、热插拔硬盘，到今天的 USB，它们都有一个特点是可移动存储。

可移动存储在进行数据交换时，不会导致两台计算机相连。

人工拷盘给网络隔离的概念奠定了一个基石，在隔离断开的情况下，两个主机之间是可以非网络协议的方式，来交换静态可携带的文件数据。

到今天为止，人工拷盘依然是最广泛使用的数据交换技术之一。

人工拷盘技术也有局限性，存在潜在的内容安全问题，交换的数据本身可能带有病毒，从而感染了另外一台计算机。

但它不是网络安全问题，不存在攻击和入侵之类的威胁。

轮渡是指河流隔离断开了传统的交通工具如汽车的路线，人被迫从汽车上下来，改乘轮船，渡过河流，到达对岸后，从轮船上下来，再改乘汽车或其他的交通工具。

信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》（征求意见稿）编制说明1 工作简况1.1任务来源2015年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，研究制订《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》国家标准,国标计划号：2015bzzd-WG5-001。

该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由公安部第三研究所、公安部计算机信息系统安全产品质量监督检验中心（以下简称“检测中心”）负责主编。

国家发改委颁布了发改办高技[2013]1965号文《国家发展改革委办公厅关于组织实施2013年国家信息安全专项有关事项的通知》，开展实施工业控制等多个领域的信息安全专用产品扶持工作。

面向现场设备环境的边界安全专用网关产品为重点扶持的工控信息安全产品之一，其中包含了隔离类设备，表明了工控隔离产品在工控领域信息安全产品中的地位，其标准的建设工作至关重要。

因此本标准项目建设工作也是为了推荐我国工业控制系统信息安全的重要举措之一。

1.2协作单位在接到《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》标准的任务后，检测中心立即与产品生产厂商、工业控制厂商进行沟通，并得到了多家单位的积极参与和反馈。

最终确定由北京匡恩网络科技有限责任公司、珠海市鸿瑞软件技术有限公司、北京力控华康科技有限公司等单位作为标准编制协作单位。

1.3编制的背景目前工业控制系统已广泛应用于我国电力、水利、石化、交通运输、制药以及大型制造行业，工控系统已是国家安全战略的重要组成部分，一旦工控系统中的数据信息及控制指令被攻击者窃取篡改破坏，将对工业生产和国家经济安全带来重大安全风险。

随着计算机和网络技术的发展，特别是信息化与工业化深度融合，逐步形成了管理与控制的一体化，导致生产控制系统不再是一个独立运行的系统，其接入的范围不仅扩展到了企业网甚至互联网，从而面临着来自互联网的威胁。