安全隔离与信息交换系统方案

网神SecSIS 3600系列安全隔离与信息交换系统一、 产品介绍随着技术的发展和I n t e r n e t的普及，不仅带来了信息共享，也带来了黑客、病毒等不安全因素。

一些行业和机构中，公网的连接安全依赖防火墙设定的策略，但在机构内部也存在进一步保密数据要求，所以应运而生了保护这部分数据的安全隔离与信息交换系统（简称网闸）。

为了保护涉密网络的安全性，依靠自身在安全领域的技术和理念优势，网御神州开发出了安全、高效、灵活的网闸，实现了在物理隔离网络下信息的安全流转。

网神S e c S I S3600系列网闸部署在涉密网和内网之间，不仅能实现涉密网和内网的完全物理隔离，而且可以实现二者间的信息交换。

网神S e c S I S3600系列网闸，可为政府、军队、网站和企业级用户提供方便、快速、灵活、稳定的网络安全解决方案，在保持原有的网络架构上轻松、快速地构建自己的安全网络或安全通道。

一、 产品亮点1.安全高效的数据传输体系结构网神S e c S I S3600系列网闸具有自主研发的内外主机系统间的安全检测与控制处理单元，采用专有电路设计的双通道高速数据交换卡，实现了独立的硬件交换控制逻辑，不仅保证了内外主机系统之间数据交换的机密性、完整性和可信性，而且在保证安全性的同时，提供更好的处理性能（延时<20s），能够适应各种复杂网络环境对隔离应用的需求。

网神S e c S I S3600系列网闸在内外主机系统间采用专有协议，阻断网络连接，不仅使得信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件的发生。

2.可靠的冗余和均衡架构网神S e c S I S3600系列网闸基于可靠性的考虑，通过双击热备等技术保证了在网络或设备故障时，业务的不间断运行。

在网络流量较大时，也可能会造成业务不可用或和响应速度下降，网神S e c S I S3600系列网闸支持多台设备的负载均衡（最多支持32台），最大限度的提升了网络的可用性。

网神SecSIS 3600安全隔离与信息交换系统技术白皮书网御神州科技（北京）有限公司网御神州科技（北京）有限公司目录1 概述 (1)2 产品简介 (2)2.1工作原理 (2)2.2产品组成 (3)3 系统功能详述 (3)3.1丰富的应用模块 (3)3.2访问控制 (3)3.3地址绑定 (4)3.4内容检查 (4)3.5高安全的文件交换 (4)3.6内置的数据库同步模块 (4)3.7高可用设计 (5)3.8轻松的管理 (5)3.9传输方向控制 (5)3.10协议分析能力 (5)3.11完善的安全审计 (5)3.12强大的抗攻击能力 (6)3.13多样化的身份认证 (6)3.14负载均衡解决方案 (6)4 产品技术优势 (6)5 典型应用 (7)5.1安全邮件收发解决方案 (7)5.2数据库安全同步解决方案 (8)5.3安全网络访问解决方案 (9)网御神州科技（北京）有限公司1 概述随着网络技术的不断应用和完善，Internet正在越来越多地渗透到社会的各个方面。

一方面，企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展，人们的日常生活与网络的关系日益密切；另一方面，网络用户组成越来越多样化，出于各种目的的网络入侵和攻击越来越频繁。

人们在享受互联网所带来的丰富、便捷的信息同时，也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。

传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要，但不可能完全解决网络间信息的安全交换问题，因为各种安全技术都有其局限性。

为保护重要内部系统的安全，2000年1月，国家保密局发布实施《计算机信息系统国际互联网保密管理规定》，明确要求：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连，必须实行物理隔离。

” 中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调：“政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离。

网御安全隔离与信息交换系统技术白皮书V4.5北京网御星云信息技术有限公司网御安全隔离与信息交换系统技术白皮书目录引言 (1)1产品概述 (2)1.1产品定位 (2)1.2工作原理 (2)1.3技术特性 (3)2系统架构 (5)2.1硬件架构 (5)2.2软件架构 (7)3产品特色 (8)3.1高安全的架构设计 (8)3.2高速隔离交换性能 (8)3.3专家级的数据安全 (8)3.4广泛的应用适用性 (9)3.5业内领先高可靠性 (9)4技术优势 (10)4.1安全性技术优势 (10)4.1.1安全的隔离硬件 (10)4.1.2安全的操作系统 (10)4.1.3应用协议内容安全 (10)4.1.4网络层安全 (11)4.1.5强的抗攻击能力 (12)4.1.6防IP地址盗用 (12)4.2高性能技术优势 (12)4.2.1并行处理技术 (12)4.2.2协议自动处理技术 (12)4.2.3双摆渡传输技术 (12)4.2.4链路聚合技术 (13)4.3适用性技术优势 (13)4.3.1灵活的多网隔离 (13)4.3.2灵活的安装部署 (13)4.4可靠性技术优势 (13)4.4.1端口冗余 (13)4.4.2双机热备 (13)网御安全隔离与信息交换系统技术白皮书4.4.3动态负载均衡 (14)4.5易管理技术优势 (14)4.5.1强大、多样的管理方式 (14)4.5.2高效的集中式管理系统 (14)4.5.3完善的日志和审计 (15)4.5.4友好的管理界面 (15)4.6核心技术优势 (15)4.6.1领先的多网隔离 (16)4.6.2独创的硬件架构 (16)4.6.3超强的抗攻击能力 (17)5基本功能 (18)6运行环境 (20)7典型应用 (21)7.1数据同步 (21)7.1.1数据库同步 (21)7.1.2文件同步 (21)7.2代理访问 (22)图片索引图1网御网闸工作原理图 (3)图2网御网闸硬件架构原理图 (6)图3网御网闸系统软件架构图 (7)图5网御网闸数据库同步功能示意图 (21)图6网御网闸文件同步功能示意图 (22)图7网御网闸代理访问功能示意图 (23)网御安全隔离与信息交换系统技术白皮书引言Michael Bobbin（《计算机安全杂志》主编）说，“保证一个系统真正安全的途径只有一个：断开网络，这也许正在成为一个真正的解决方案。

XX公司公司内外网安全隔绝与数据互换双网系统建设方案目录1. 应用背景 (2)2. 安全隔绝系统简介 (2)3. 技术架构比较 (3)4. 基本功能 (3)4.1. 信息互换功能 (3)4.2. 安全控制功能 (5)5. 部署方式 (7)5.1. 内外网一致部署 (7)5.2. 依据应用分别部署 (8)6. 应用实现方式 (8)6.1. OA 系统隔绝 (8)6.2. 数据库信息互换隔绝 (9)6.3. 邮件系统隔绝 (11)6.4. 网银应用隔绝 (12)6.5. 内网补丁升级 (13)1.应用背景尽人皆知’ 以防火墙为中心的网络界限防守系统只好够知足信息化建设的一般性安全需求’却难以知足重要信息系统的保护问题·关于重要信息系统的保护’我国向来采纳了物理断开的方法’《计算机信息系统国际联网保密管理规定》中将涉密信息系统的安全防守要求定格为与任何非涉密信息系统一定“物理断开”·断开了就安全的（事实上也并不是这样）·但昰’断开了结严重影响了业务信息系统的运转·当前’华能公司在信息化建设中间已经明确了双网建设原则’重要业务系统、平时办公计算机都处于内部网络’而一些业务系统’比如：综合数据库系统、OA 系统、邮件系统和网银系统、防病毒歹意代码升级、操作系统补丁升级等’所需要的基础数据却来自外面业务网络’ 甚至互联网络·物理断开造成了应用与数据的脱节’ 影响了行政履行能力和行政效率·实质断开不昰目的’在保护内部网络的适量安全状况下’ 实现双网隔绝’保证数据的互联互通才昰真切的目的·安全隔绝系统就昰为此开发的·2.安全隔绝系统简介安全隔绝与信息互换技术（GAP）·这类技术在1993 年由 Myong 在“ A Pump for Rapid, Reliable, Secure Communication”一文中提出’ 并在1996年对这种观点进一步深入为一种适于网络应用的“数据泵”技术·GAP 技术昰一种什么技术？从字面上理解’能够译为“缺口、豁口”‘即在两个网络之间形成一个缺口·有了缺口自然就能保证安全·也有将 GAP 译为“Gap All Protocol”的说法’表示这个“缺口”不昰什么都不让经过’而只昰将协议隔绝’应用数据还昰可以利用这个缺口经过安全方式互换的·遵照这类理解方式’如所刻画’GAP 应当昰一个三系统的设施：一个外端机、一个内端机、一此中间互换缓存·内外端机用于停止网络协议’ 对分析出的应用数据进行安全办理·同时能够经过中间的互换缓存经过非 TCP/IP 协议的方式进行数据互换·3.技术架构比较当前’安全隔绝产品主要为三层构架和二层构架’三层架构包含内网单元、外网单元和独立的隔绝硬件’内外网单元经过独立的隔绝硬件进行数据互换；二层架构只有内外两个办理单元’无独立的隔绝硬件’ 内外网单元经过网络接口、 USB 接口等进行数据互换·从安全架构上看’ 采纳三层架构安全隔绝产品的安全性要高于二层架构的安全隔绝产品·在功能上两种架构的安全隔绝产品却相差不多·性能上采纳三层架构要高于二层结构的安全隔绝产品·价钱上采纳三层架构要比二层架构的安全隔绝产品高好多·4.基本功能典型的隔绝系统应当具备以下功能：4.1.信息互换功能文件互换设计文件互换昰网络应用对数据互换的基本要求’在内、外网之间存在文件互换的实质需要’正昰鉴于这一点’安全隔绝系统应拥有文件互换功能’实现文件的安全接见及文件的同步·之外网用户接见内网文件服务器为例’文件安全接见功能经过代理模块将需要保护的内网文件服务器（采纳FTP 协议或 SAMBA 协议）映照到隔绝系统的外网’外网用户接见文件资源时直接接见安全隔绝系统外端机启用的代理服务·安全隔绝系统外端机代理服务互换应用层数据到内端’内端代理接见内网真切的文件服务获得文件’返回给外端代理服务·在文件经过安全隔绝系统的过程中将遇到内容检查、病毒检查、文件深度检查、文件署名等安全保护·从内网接见外网文件服务器时过程近似·文件同步功能实现隔绝系统两头文件服务器中文件的同步功能·事实上’安全隔绝系统经过部署在两头的客户端代理模块’分别从各自的文件服务器中提取需要同步的文件’而后安全摆渡到对端’再由对端的代理模块公布到目标文件服务器上’文件的摆渡遇到安全模块的检查·Web 互换功能设计Web 应用昰当前最为流行的网络应用·所以’供给对Web 应用的接见支持昰安全隔绝系统的基本功能之一·安全隔绝系统的内外端机都应支持HTTP 、 HTTPS 两种应用代理接见功能·安全隔离系统能够经过服务地点映照（SAT）的方式将目标Web 服务器映照到安全隔绝系统的另一端机供用户接见·Web应用数据在经过安全隔绝系统的过程中’遇到严格的安全控制’包含HTTP/HTTPS协议头的重点字过滤、完好性检查、URL 长度检查、活动脚本的检测及控制、文件安全检查等内容·数据库互换功能设计在应用系统中’常常拥有不一样的用户群及不一样的网络应用·但应用之间共享应用数据却常常昰必需的·所以’安全隔绝系统将数据库同步功能作为其数据互换的基本功能之一·安全隔绝系统的数据库接见功能能够经过数据库应用代理的方式将数据库服务映射到安全隔绝系统的一端’应用程序能够直接接见映照的数据库服务’由安全隔绝系统达成数据库的数据内容安全传输·在数据库接见中’安全隔绝系统将支持对TNS 协议的代理功能·邮件互换功能设计邮件通信主要使用POP3 和 SMTP 协议’在安全隔绝系统的环境中’常常需要进行内网邮件与外网邮箱中邮件的同步’或许需要内网用户能够接见外网邮箱中的邮件·这些需求可经过安全隔绝系统的邮件同步功能来达成·邮件同步模块起到邮件中继的作用’它能将安全隔绝系一致端的邮件同步到另一端’即能够进行单向邮件中继’也能够进行双向邮件中继·邮件接见功能经过配置邮件代理达成’安全隔绝系统的邮件代理保证使用者能够通过安全隔绝系统接见另一端的邮件服务器’使用邮件客户端进行邮件的正常收发·定制应用数据互换安全隔绝系统需要供给私有协议定制开发功能·保证在用户供给需要支持应用的封装格式、协议状态机、命令集的状况下’安全隔绝系统能够供给私有代理服务器生成模板和私有代理客户端生成模板’这样就能够迅速生成知足私有应用的代理程序’用以终止私有应用的 TCP 连结、达成数据 / 命令提取和控制·所以’隔绝系统关于私有的应用协议’也能够保证应用数据落地控制·4.2.安全控制功能接见控制功能安全隔绝系统应实现从网络层到应用层的接见控制功能·在网络层’安全隔绝系统应拥有包过滤防火墙全部的安全功能·应实现对源 / 目的 IP 地点、通信端口、接见时间等属性的全面控制·在传输层’安全隔绝系统应实现IP 分组与 TCP 连结和 UDP Socket附属关系真切性的鉴别’应实现防备连结挟持攻击·在应用层’安全隔绝系统应付应用头的格式、内容、应用数据的内容进行审察、过滤’使只有切合安全策略的数据才被传输·经过贯串整个协议栈的接见控制’安全隔绝系统应有效过滤非法连结、数据的非法传输·数据内容审察功能安全隔绝系统互换的数据昰无协议格式的上层应用数据’比方发送的邮件主体内容’邮件的附件·安全隔绝系统在互换这些数据时’实现了三方面的数据内容审察：重点词过滤：对含有黑名单中出现的重点词的应用数据进行基于策略的安全办理’包含拒绝发送、日记审计、重点词替代等三种办理方式·模糊查问：关于应用数据中包含经过办理、假装的敏感词语进行控制和办理’比方辨别近似“法*轮 *功”这样的敏感词汇·控制办理的方式包含：拒绝发送、日记审计和重点词替代三种·病毒扫描：隔绝系统在摆渡每一个数据块时’都进行病毒扫描·病毒防备功能安全隔绝系统应集成专业的病毒查杀模块’能在应用层实现鉴于特点的病毒查杀·为此’安全隔绝系统一定供给病毒库在线升级功能’以及病毒库手工导入功能·文件深度检查功能用户需要对经过隔绝设施传输的文件种类进行控制’比方’不一样意外面的 exe 或许bat 文件传输到内网·但昰’攻击者能够将文件的后缀改正为txt 等被同意的后缀并传输’以躲避安全规则的检查·为此’安全隔绝系统应付文件进行一致性检查’即一个宣称的exe 昰否真昰 exe 文件’一个宣称的pdf 文件昰否真昰 pdf 文件等·安全隔绝系统应具有这类深度检查功能·安全隔绝系统应尽可能支持全部的文件种类的一致性检查·流量控制功能为了保证中心应用保持应有的带宽’防备网络接口流量异样’安全隔绝系统应拥有流量监督及控制功能·经过该功能能够对经过安全隔绝系统的网络流量进行全面的控制·流量监督及控制功能能够针对不一样的应用对流量设置上限’保证中心业务系统流量不会因为其余应用（如点对点应用）占用过多带宽而不可以正常使用·此外’ 流量监督及控制功能还能够对安全隔绝系统的特定网络端口进行上行及下行的流量监督及控制’使用户能够随时掌握网络流量的状态’剖析网络的稳固性·5.部署方式部署方式表示图：华能内网华能外网网络隔绝设施内网广域网Internet5.1.内外网一致部署便于一致管理和保护’用户投资少’在安全隔绝系统上安装不一样的功能模块以适应不一样的业务应用·但跟着应用的增添’ 安全隔绝系统的负担会愈来愈重’安全隔绝系统的性能也会愈来愈低·5.2.依据应用分别部署依据不一样的应用来部署网闸’ 这样做最大的优势就昰能够保障安全隔绝系统的性能不受应用变化的影响·但投资多’每增添新应用就要部署网闸’不方便管理保护·经过 2 种部署方式的比较’ 我们建议用户采纳一致部署的方式’一旦应用增添到安全隔绝系统的负荷后’再经过增添安全隔绝系统的方式做负载平衡·6.应用实现方式6.1. OA 系统隔绝华能公司 OA 系统部署在内网中’ 内部办公人员能够直接接见OA 系统并经过认证后’达成平时的个人事务及办公流程·其余分支机构的OA 系统构造也昰近似的·在成立内、外双网构造后’面对的问题昰：当公司办公人员出差到外处需要进行挪动办公时如何安全接见内网的OA 系统·当使用安全隔绝系统后’缺省状况下安全隔绝系统障蔽了内、外网之间的全部网络连结·当挪动办公用户需要在互联网上接见内网的OA 系统时’经过安全隔绝系统SAT （服务地点映照）功能实现对内网OA 系统的接见·此时’隔绝系统的部署构造以下：挪动用户InternetDMZ区VPN服务器外网互换机外网OA映照服务安全隔绝与信息互换系统内网内网互换机OA服务器内网计算机OA 隔绝部署从图中能够看出’安全隔绝系统外网端第一经过SAT 映照启用 OA 服务的代理模块’远程挪动用户经过VPN 连入外网’并接见OA 代理服务’安全隔绝系统将代理恳求转发到内网的真切服务器’真切OA 服务的反应信息经过隔绝系统互换后在由外段的OA 代理返回给挪动用户’最后实现挪动办公·6.2.数据库信息互换隔绝华能公司的中心业务数据库服务均部署在内网’经过内网的业务系统对数据库进行操作’并将结果展现给使用者·但有些业务系统的数据需要根源于外网（比如外面收集数据）·这些数据应当怎样从外网传达到内网’我们将采纳两种方式进行设计·第一种方式昰对某些应用能够在外网成立一个外网数据库’这些数据库中只储存外部网络获得的数据’不储存其余敏感数据’当需要将这些数据互换到内网时’经过安全隔绝系统实现’如图：外网数据库外网互换机外网安全隔绝与信息互换系统数据库同步模块内网内网互换机内网数据库内网计算机数据库同步部署图此时’在安全隔绝系统大将部署数据库同步模块’该同步模块将只同意将外网数据库中的特定数据同步到内网数据库中’反向不一样意数据库信息传输·第二种方式合适于外网不建数据库的状况·外网有某个业务系统服务在运转’此中需要的数据信息根源于内网数据库’同时需要对数据库进行改正·此时的部署设计以下：外网互换机外网外网应用服务数据库 SAT映照安全隔绝与信息互换系统内网内网互换机内网数据库内网计算机数据库接见设计如图’安全隔绝系统配置内网数据库的SAT 映照’在外端机启用数据库代理模块’当外网业务系统接见数据库代理时’数据库代理将恳求转发给内网数据库’安全隔绝系统将反应信息互换到数据库代理’并经过代理将数据传给外网业务系统·6.3.邮件系统隔绝华能公司邮件服务将部署在外网’供给外网及互联网的邮件服务’但内网用户也需要接见邮件服务获得邮件信息·此时’需要经过安全隔绝系统实现邮件的互换功能·我们将设计以下的部署方式支持华能公司的邮件应用：外网内网外网邮件系统外网互换机安全隔绝与信息互换系统邮件 SAT映照内网互换机内网服务器内网计算机邮件互换部署如图’经过在隔绝系统内端机开启邮件SAT 映照’将在内端机启用邮件的POP3 代理·当内网用户经过代理应用收邮件时’ 邮件代理将邮件协议内容转发给外网的邮件服务’真切的邮件将经过外网邮件服务进行收件任务的·这样’ 在内网的用户也能够经过外网邮件服务进行邮件的接收·本方法主要考虑到内网邮件系统的安全性’内网邮件系统只好经过pop3 接受邮件’发送邮件需要经过web 邮件系统进行发送·6.4.网银应用隔绝华能财务公司的结算系统（采纳上海CA 认证的 VPN 系统）连结到华能主要家产公司和部下公司’与工、建、交、农、召行都有专线连结·华能公司结算系统属于中心业务系统’部署在内网’但需要经过外网与银前进行连结’经过网银接口实现与银行的财务结算·安全隔绝系统部署在内外网之间后’内网的结算系统需要经过安全隔绝系统进行SAT 映照’而后网银接口模块能够经过映照的代理服务与银行对接·以下图：银行前置机专线网银接口服务器外网内网结算系统外网互换机映照服务安全隔绝与信息互换系统内网互换机结算系统内网计算机网银业务隔绝设计图中显示了网银接口怎样经过安全隔绝系统与银行连结·此时在安全隔绝系统外端机映照结算系统的代理服务’外段网银接口模块经过接见代理服务获得结算数据’并与银行前置机连结进行数据结算·6.5.内网补丁升级华能公司的内网防病毒系统、桌面管理系统’需要按期进行补丁和病毒库的升级’安全隔绝系统能够为病毒库和系统补丁开通一条特别的数据通道’进而保证病毒库和补丁的实时更新·。

深信服安全隔离与信息交换系统网闸GAP-1000 白皮书目录1概述 (1)2需求背景 (1)2.1法规标准要求 (1)2.1.1等级保护 (1)2.1.2行业法规 (3)2.2安全需求 (3)2.2.1网络复杂，如何整合 (3)2.2.2安全隐患，如何规避 (4)3产品概况 (4)3.1产品定位 (4)3.2产品介绍 (4)4产品架构与性能 (5)4.1产品架构 (5)4.2工作原理 (6)5产品功能与特性 (8)5.1产品功能 (8)5.1.1业务功能 (8)5.1.2管理功能 (12)5.1.3高可用性功能 (12)5.2产品特性 (13)5.2.1高安全性 (13)5.2.2高吞吐率 (14)5.2.3高可靠性 (14)5.2.4高便利性 (14)6产品优势与价值 (14)6.1产品优势 (14)6.1.1简便易用的界面风格 (15)6.1.2强大的业务功能 (15)6.1.3通信协议深度控制 (15)6.1.4多任务高并发性能 (15)6.1.5优秀的环境适应 (15)6.2产品价值 (15)7产品应用场景 (16)7.1安全隔离与视频交换解决方案 (16)7.1.1场景需求 (16)7.1.2解决方案 (16)7.2安全隔离与数据库同步解决方案 (17)7.2.1场景需求 (17)7.2.2解决方案 (18)7.2.3实现效果 (19)1概述自上世纪90 年代以来，信息技术迅猛发展，人们的生活、工作方式发生了巨大变革，信息网络的大规模应用极大地提高了办公效率。

经过多年建设，我国已建成具有相当规模的数字化网络，但随着网络的不断普及，安全问题日益增多，网络和信息安全问题成为威胁国家和政府安全的重大隐患。

随着对安全问题的不断认识和了解，尤其是针对涉密信息的防护，党和政府已将信息安全建设提到一个相当的高度上来。

自2000 年以来安全隔离技术作为一项新兴的网络安全技术，在保障国家信息安全，尤其是政府、军队及重点行业等信息系统安全建设方面发挥了重要的作用。

安全隔离与信息交换系统FerryWay 技术白皮书2009年10月上海金电网安版权所有目录1. 公司简介 (3)2. 安全隔离技术概述 (5)2.1信息安全隔离的重要性 (5)2.2隔离技术的发展过程 (6)2.3安全隔离与信息交换系统 (6)3. FERRYWAY产品基本功能 (8)3.1基本功能特点 (8)3.2支持的典型协议 (9)4. FERRYWAY产品体系结构 (10)4.1F ERRY W AY“2+1”系统架构 (10)4.2F ERRY W AY 三机三系统架构 (10)4.3专用硬件和专用通信协议 (12)4.4安全隔离特征 (12)5. FERRYWAY产品技术特点 (14)5.1基于下推自动机的高效过滤算法 (14)5.2内端机/外端机 (14)5.3仲裁/审计系统 (15)5.4基于用户的访问控制 (16)5.5受控协议通道及工作模式 (16)5.6安全隔离策略 (17)5.6.1HTTP协议信息交换策略 (17)5.6.2邮件协议信息交换策略 (18)5.6.3FTP协议信息交换策略 (18)5.6.4T ELNET协议信息交换策略 (18)5.6.5数据库信息交换策略 (18)5.7自定义协议信息通道 (19)5.8其它技术特点 (19)6. FERRYWAY产品典型应用 (21)6.1在涉密网络系统中的应用 (21)6.2在常规网络系统中的应用 (21)6.3F ERRY W AY成功案例 (24)6.3.1F ERRY W AY海关系统典型案例 (24)6.3.2F ERRY W AY公安系统典型案例 (25)6.3.3F ERRY W AY财税系统典型案例 (26)6.3.4F ERRY W AY政府系统典型案例 (27)6.3.5F ERRY W AY司法系统典型案例 (29)7．FERRYWAY产品资质 (30)8. 常见问题解答（FAQ） (31)1. 公司简介上海金电网安科技有限公司是一家从事信息安全技术研究、信息安全产品开发、安全应用系统开发、安全网络系统集成、信息安全咨询服务的高科技公司。

技术白皮书网神SecSIS 3600安全隔离与信息交换系统本文档解释权归网神信息技术（北京）股份有限公司产品部所有目录1.产品概述 (3)2.产品原理 (4)3.产品说明 (5)4.产品功能说明 (6)4.1丰富的应用模块 (6)4.2访问控制 (7)4.3地址绑定 (7)4.4内容检查 (7)4.5高安全的文件交换 (8)4.6内置的数据库同步模块 (8)4.7融合加密、认证、授权多安全技术于一身 (9)4.8高可用设计 (9)4.9轻松的管理 (9)4.10传输方向控制 (9)4.11协议分析能力 (9)4.12完善的安全审计 (10)4.13强大的抗攻击能力 (10)4.14多样化的身份认证 (10)4.15负载均衡解决方案 (11)1.产品概述随着网络技术的不断应用和完善，Internet正在越来越多地渗透到社会的各个方面。

一方面，企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展，人们的日常生活与网络的关系日益密切；另一方面，网络用户组成越来越多样化，出于各种目的的网络入侵和攻击越来越频繁。

人们在享受互联网所带来的丰富、便捷的信息同时，也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。

传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要，但不可能完全解决网络间信息的安全交换问题，因为各种安全技术都有其局限性。

为保护重要内部系统的安全，2000年1月，国家保密局发布实施《计算机信息系统国际互联网保密管理规定》，明确要求：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连，必须实行物理隔离。

”中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调：“政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离。

”在不同安全等级的网络及系统之间实施安全隔离是一个行之有效的安全保密措施，可切断信息泄漏的途径。

安全隔离与信息交换系统方案随着互联网技术的发展和普及，信息交换的速度和规模都有了巨大的增长。

然而，在信息交换的过程中，也会面临一系列的安全风险和隐患。

为了保证信息的安全性，可以构建一个安全隔离与信息交换系统，以下是一个该系统的方案。

一、系统概述这个系统主要包括两大模块：安全隔离模块和信息交换模块。

其中，安全隔离模块用于隔离敏感信息或网络资源，防止非授权访问或恶意攻击；信息交换模块用于安全地传输信息。

二、安全隔离模块1.物理隔离：通过构建安全区域和非安全区域，将敏感信息或关键设备与外界隔离。

可以采用独立的网络、服务器等手段，确保敏感系统与非敏感系统完全隔离。

2.逻辑隔离：在网络上采用防火墙、ACL（访问控制列表）等手段，对不同的用户或不同的系统分配不同的权限，限制其访问和操作范围。

3.身份认证：对用户进行身份的验证和认证，使用强密码、双因素身份认证等手段来确保用户的真实身份。

4.访问控制：对不同的用户或用户组进行访问权限的控制和分配，确保只有经过授权的用户才能访问到特定的资源。

5.日志审计：对所有的访问记录进行日志记录和审计，及时发现异常行为和潜在威胁。

三、信息交换模块1.加密传输：在信息交换的过程中使用加密算法对信息进行加密，确保信息在传输过程中的安全性。

2.数据摘要：使用哈希算法对信息进行摘要，生成摘要值并将其发送给接收方，接收方验证信息的完整性。

3.数字签名：使用非对称加密算法对信息进行数字签名，确保信息在传输过程中的完整性和真实性，防止被篡改。

4.安全协议：在信息交换的过程中使用安全协议，如SSL/TLS协议、IPsec协议等，确保信息传输过程中的安全性。

5.安全传输通道：在互联网上建立一个安全隧道，使用VPN技术确保信息的安全传输。

四、系统运维与监控1.及时更新：定期对系统进行安全补丁的更新，及时修复已知的漏洞。

2.安全策略：制定合理的安全策略，包括防火墙策略、访问控制策略、加密策略等，确保系统的安全性。

深信服安全隔离与信息交换系统网闸GAP-1000 白皮书目录1概述 (1)2需求背景 (1)2.1法规标准要求 (1)2.1.1等级保护 (1)2.1.2行业法规 (3)2.2安全需求 (3)2.2.1网络复杂，如何整合 (3)2.2.2安全隐患，如何规避 (4)3产品概况 (4)3.1产品定位 (4)3.2产品介绍 (4)4产品架构与性能 (5)4.1产品架构 (5)4.2工作原理 (6)5产品功能与特性 (8)5.1产品功能 (8)5.1.1业务功能 (8)5.1.2管理功能 (12)5.1.3高可用性功能 (12)5.2产品特性 (13)5.2.1高安全性 (13)5.2.2高吞吐率 (14)5.2.3高可靠性 (14)5.2.4高便利性 (14)6产品优势与价值 (14)6.1产品优势 (14)6.1.1简便易用的界面风格 (15)6.1.2强大的业务功能 (15)6.1.3通信协议深度控制 (15)6.1.4多任务高并发性能 (15)6.1.5优秀的环境适应 (15)6.2产品价值 (15)7产品应用场景 (16)7.1安全隔离与视频交换解决方案 (16)7.1.1场景需求 (16)7.1.2解决方案 (16)7.2安全隔离与数据库同步解决方案 (17)7.2.1场景需求 (17)7.2.2解决方案 (18)7.2.3实现效果 (19)1概述自上世纪90 年代以来，信息技术迅猛发展，人们的生活、工作方式发生了巨大变革，信息网络的大规模应用极大地提高了办公效率。

经过多年建设，我国已建成具有相当规模的数字化网络，但随着网络的不断普及，安全问题日益增多，网络和信息安全问题成为威胁国家和政府安全的重大隐患。

随着对安全问题的不断认识和了解，尤其是针对涉密信息的防护，党和政府已将信息安全建设提到一个相当的高度上来。

自2000 年以来安全隔离技术作为一项新兴的网络安全技术，在保障国家信息安全，尤其是政府、军队及重点行业等信息系统安全建设方面发挥了重要的作用。

1.1.1.1.网络安全防护系统一、安全隔离与信息交换系统：（1）吞吐率≥900Mbps，系统延时<2ms，并发连接数≥30万；（2）内网接口：千兆电口≥6个；千兆光口≥2个（多模光模块满配）；console口≥1个；USB口≥2个；（3）外网接口：千兆电口≥6个；千兆光口≥2个（多模光模块满配）；console口≥1个；USB口≥2个；（4）CPU：不低于4核4线程 2.2GHz *2；内存4G*2 DDR4；硬盘容量可用空间512G固态硬盘 *2（5）采用2+1系统架构即内网单元+外网单元+专用隔离芯片硬件。

隔离区基于隔离芯片开关设计，不采用SCSI、网卡以及任何加/解密等方式，且具有不可编程特性；（6）标准2U机架式设备，1个LCD液晶屏；（7）支持应用协议代理映射，包括HTTP、FTP、SMTP、POP3、H323、MySQL和自定义TCP\UDP协议；Modbus、OPC、S7等工业协议代理映射；（8）支持同构和异构同步，如Mysql同步至Oracle；（9）支持数据同步条件过滤，自定义数据要求，仅允许符合条件要求的数据进行传输，支持采用 WHERE语句编程；（10）支持SIP、RTSP视频协议代理，支持GB 28181通信标准的平台级联及平台点播；（11）支持Modbus TCP/RTU/ASCII协议、OPC DA/UA协议数据采集、查看实时通讯报文、批量操作采集点位、批量启停采集点；（12）上报模块支持OPC DA/UA Client/server模式上报，危化行业标准SOCKE加密上报，标准物联网MQTT协议发布数据，（13）支持MySQL、SqlServer、oracle、MAGUS，支持缓存服务，断网重连，多中心数据上报。

二、安全监测中心防火墙防火墙：1、最大网络层吞吐量≥4Gbps；IPS吞吐量≥2.5Gbps；AV吞吐量≥1.5Gbps2、最大并发连接数≥180万； 每秒新建连接数(TCP)≥4万3、IPSec VPN吞吐量≥2Gbps；IPSec VPN隧道数≥40004、SSL用户数最大≥10005、网络接口：千兆电口≥5个；Combo口≥4对； 管理接口：CON口≥1个； USB3.0 接口≥1个6、内存≥4G； 硬盘容量≥240GB ； 电源：含交流双电源7、支持针对用户实施精细化的访问控制、应用限制、带宽保证等管控手段和深度应用识别技术。