单向网闸技术介绍
“单向网闸”技术介绍
一、信息安全的要求
按照信息保密的技术要求,涉密网络不能与互联网直接连通;涉密网络与非涉密网络连接时,若非涉密网络与互联网物理隔离,则采用双向网闸隔离涉密网络与非涉密网络;若非涉密网络与互联网是逻辑隔离的,则采用单向网闸隔离涉密网络与非涉密网络,保证涉密数据不从高密级网络流向低密级网络。
二、网闸的作用
网闸的隔离作用是基于定向地“摆渡”数据,网闸的原理是模拟人工的数据“拷贝”,不建立两个网络的“物理通路”,所以网闸的一般形式是把应用的数据“剥离”,摆渡到另外一方后,再通过正常的通讯方式送到目的地,因此从安全的角度,网闸摆渡的数据中格式信息越少越好,当然是没有任何格式的原始数据就更好了,因为没有格式信息的文本就没有办法隐藏其他的非数据的东西,减少了携带“病毒”的载体。
网闸是切断了上层业务的通讯协议,看到了原始的数据,为了达到“隔离”的效果,采用私有通讯协议,或采用存储协议,都是为了表明要彻底剥离所有的协议附加信息,让摆渡的数据是最“干净”的。但为了方便地“摆渡业务”,在网闸的两边建立了业务的代理服务器,从逻辑上把业务连通。
网闸虽然传递的是实际的数据,但代理协议建议后,每次摆渡的可能不再是一个完整数据内容,为安全检查带来困难,攻击者可以把一个“蠕虫”分成若干的片段分别传递,甚至小到单个的命令,不恢复原状就很难知道它是什么;若传递“可执行代码”的二进制文件,网闸就很难区分数据与攻击。
网闸对陌生的业务是采用关闭策略,只开通自己认为需要的、可控的业务服务,所以网闸在不同密级网络之间的隔离作用还是有一定效果的。
在涉密信息的保密要求中,要求高密级网络中的高密级数据不能流向低密级网络,但低密级数据可以流向高密级网络(数据机密性要求),这就提出了数据的单向流动的要求,若我们只保留单向的数据流,就可以实现数据保密性要求,这种情况下产生了单向网闸的需求。
三、单向网闸
单向网闸就是只允许单向的数据流动,具体的实现技术有下面几种:
1、数据泵技术(Data Pump):1993年为实现低级向高级数据库的可靠数据拷贝,由Myong H.Kang等提出Pump技术,称为“安全存储转发技术”。其方法是通过反向的确认来限制由内向外的数据传输,实现从外向内的单向数据流。
数据泵技术是在基于通讯的基础上,只允许单方向地传送数据,反方向只有控制信息的可以通过,比如数据的收到确认、差错控制、流量控制等等。也就是通讯协议中只让一个方向的数据通过。因此,数据泵技术实现起来相对简单,可以采用目前成熟的通讯协议。
数据泵技术中虽然数据是单方向的,但协议控制星系是双方向传递的,若协议本身存在漏洞,则有可能利用协议的漏洞达到反向发送数据的可能。
2、数据二极管技术(Data Diode):若连反向的控制协议也取消,采用“盲发”的方式,也就是一方只管发送,另一方只管接收,至于数据是否有错误,是否完整都不去管它,反向没有数据通道也没有控制通道,完全处于盲状态。也可以理解为在传统的全双工通讯中只选择一个方向的线路,所以也称为信息流的单向技术。
数据二极管技术中的关键技术:
由于是单向的“盲发”,没有交互的控制协议,数据的容错控制就是一个大问题,因为发送方不知道对方收到没有,接收方也不清楚收到的数据是否是对的,知道错了,也没有办法让发送方重新发送,所以一般采用一些策略控制可能的出错:
1、收方及时向“上层”汇报:
接收方接收到数据,按事先约定的格式恢复数据,若发现不能恢复,或部分数据有错误,都直接报告给上层,也就是数据的接收人,让人通过其他方式通知发送方重新发送。
2、发送方增加冗余校验
发送方为了保证数据的正确,在降低效率的前提下,增加数据的冗余度:
????????? 定间隔地把一份数据重复地再发送两次,接收方比较收到的三个副本,取其两个是相同的。“三取二”是重要系统中常用的控制方式,还可以采用五取三等方式。
????????? 在数据中增加块校验码。如CRC校验等。
????????? 直接重复数据,如发送1234时,改为11223344,减少出错的概率。
3、为了经常检测系统的准确性,定期插入固定检测码,若接收方发现检测码序列异常,则立即报警,或放弃该检测码之前的区间内收到的数据。
四、单向网闸产品发展与应用
数据二极管技术的产品化,国外已经趋于成熟,比较出名的有美国Owl公司,荷兰Fox-IT公司,澳大利亚Tenix公司,美国HP公司。国内的单向网闸产品还处于起步阶段,有产品推出的有中铁信安公司与国保金泰公司。
单向网闸可以定向传递数据,在目前很多的政府内、外网之间传递数据是很有用途的。
????????? 文件传递:由于政府内网的涉密网络,与外网(与互联网连通)是“物理隔离”的,但是外网上的很多政务文件,希望在内网中使用,靠人工拷贝的方式工作量很大,采用单向网闸可以把外网的文件传送到内网,由符合数据保密性的要求。
????????? 信息收集:外网与互联网连通,是政府对外的服务窗口,并且互联网本身就是个信息宝库,但大量的信息不能及时地传递到内网的有关系统上,对信息的汇总与统计带来困难。若在外网上建立一个服务器,收集互联网的相关信息,通过单向网闸送给内网,就可以保证信息的及时性了。
????????? 邮件转发:政府人员经常要查收内、外网两个邮箱,非常不方便。在外网建立一个邮件的代理服务器,把接收到的邮件及时转给内网的邮件服务器,工作人员就不必到外网去收邮件了。
由于单向网闸没有反向的数据通道,所以对抑制黑客的入侵有一定的效果,黑客攻击必然是要取得相关的信息,若通信是单向的,就掐断了黑客的控制方式,没有“利益”,攻击就没有意义了。
网络视频监控内外网互通与安全隔离解决方案备课讲稿
近年来,随着网络视频监控在各个行业的广泛部署,如何保证整个系统在网络层面的安全性越来越成为大家关注的重点。尤其是在面临专网视频监控系统(内部)与公网视频监控系统(外部)进行互通时,这个问题显得尤为突出。 平安城市就是一个很典型的例子。在平安城市的建设中,需要构建一个能够覆盖城市重要单位、重点场所、主要路口、主要出入通道、治安卡口、学校、居民小区等各个层面的社会面治安监控系统,整个系统的控制和管理基本上都归口到当地公安部门。而上面提到的这些监控部位,有些是属于公安专网的,比如治安卡口、重点场所,有些是属于外部网络的,比如学校、居民小区、网吧等。为了实现这些监控资源的统一调用和灵活共享,公安专网的视频监控系统与外部的视频监控系统必须要进行网络化互联,而根据保密要求,公安专网与外部网络又必须要进行物理隔离,这样就存在一个无法回避的矛盾。 而且,随着中国电信、中国网通分别通过“全球眼”和“宽视界”两大运营级网络视频监控系统对平安城市建设的介入,将会有越来越多的社会面监控资源承载在公网平台上,安全隔离将成为公安部门通过其专网视频监控系统进行社会面监控资源调用时的主要障碍。 为此,科达将目前在公安、政府、军队等涉密专网中广泛使用的网闸技术应用到了运营级和ViewShot两大网络视频监控产品中,推出了基于网闸的网络视频监控安全隔离解决方案,可以在保证系统物理隔离的情况下,实现内、外网监控资源的灵活调用,从而有效解决上面提到的问题。 网闸原理与应用 网闸(或物理隔离网闸)是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于网闸所连接的两个独立主机系统之间,不存在通信的物理连接与逻辑连接,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,所以,网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,可以实现真正的安全。 网闸在网络环境中的位置:
网闸典型应用方案
网御SIS-3000安全隔离网闸典型案例“网上营业厅”的安全解决方案
目录
1.前言 Internet作为覆盖面最广、集聚人员最多的虚拟空间,形成了一个巨大的市场。中国互联网络信息中心(CNNIC)在2002年7月的“中国互联网络发展状况统计报告”中指出,目前我国上网用户总数已经达到4580万人,而且一直呈现稳定、快速上升趋势。面对如此众多的上网用户,为商家提供了无限商机。同时,若通过Internet中进行传统业务,将大大节约运行成本。据统计,网上银行一次资金交割的成本只有柜台交割的13%。 面对Internet如此巨大的市场,以及大大降低运行成本的诱惑,各行各业迫切需要利用Internet这种新的运作方式,以适应面临的剧烈竞争。为了迎接WTO的挑战,实现“以客户为中心”的经营理念,各行各业最直接的应用就是建立“网上营业厅”。 但是作为基于Internet的业务,如何防止黑客的攻击和病毒的破坏,如何保障自身的业务网运行的安全就迫在眉睫了。对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性,在人们心中还有很多疑虑,因为很多网络安全技术都是事后技术,即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。防火墙技术虽然是一种主动防护的网络安全技术,它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障,但它自身却常常被黑客攻破,
成为直接威胁用户局域网的跳板。造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测,不提供基于硬件隔离的安全手段。 所谓“道高一尺,魔高一丈”,面对病毒的泛滥,黑客的横行,我们必须采用更先进的办法来解决这些问题。目前,出现了一种新的网络安全产品——联想安全隔离网闸,该系统的主要功能是在两个独立的网络之间,在物理层的隔离状态下,以应用层的安全检测为保障,提供高安全的信息交流服务。
通过网闸技术实现内外网隔离
网闸技术构建内外网一体化门户 一、序言 近年来,随着我国信息化建设步伐的加快,“电子政务”应运而生,并以前所未有的速度发展。电子政务体现在社会生活的各个方面:工商注册申报、网上报税、网上报关、基金项目申报等等。电子政务与国家和个人的利益密切相关,在我国电子政务系统建设中,外部网络连接着广大民众,内部网络连接着政府公务员桌面办公系统,专网连接着各级政府的信息系统,在外网、内网、专网之间交换信息是基本要求。如何在保证内网和专网资源安全的前提下,实现从民众到政府的网络畅通、资源共享、方便快捷是电子政务系统建设中必须解决的技术问题。一般采取的方法是在内网与外网之间实行防火墙的逻辑隔离,在内网与专网之间实行物理隔离。本文将介绍大汉网络公司基于网闸技术构建内外网一体化门户的案例。 二、网闸的概述 1、网闸的定义 物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客“无法入侵、无法攻击、无法破坏,实现了真正的安全。 2、网闸的组成 网闸模型设计一般分三个基本部分组成: ·内网处理单元:包括内网接口单元与内网数据缓冲区。 ·外网处理单元:与内网处理单元功能相同,但处理的是外网连接。 ·隔离与交换控制控制单元:是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。 3、网闸的主要功能 ?·阻断网络的直接物理连接和逻辑连接 ?·数据传输机制的不可编程性 ?·安全审查
网闸典型应用方案范文
网御SIS-3000 安全隔离网闸典型案例网上营业厅”的安全解决方案
目录 1.前言错误!未定义书签。 2. 需求分析...................................... 错误!未定义书签。 3 网络安全方案设计错误!未定义书签。
1.前言 Internet 作为覆盖面最广、集聚人员最多的虚拟空间,形成了一个巨大的市场。中国互联网络信息中心(CNNIC)在2002年7月的“中国互联网络发展状况统计报告”中指出,目前我国上网用户总数已经达到4580 万人,而且一直呈现稳定、快速上升趋势。面对如此众多的上网用户,为商家提供了无限商机。同时,若通过Internet 中进行传统业务,将大大节约运行成本。据统计,网上银行一次资金交割的成本只有柜台交割的13%。 面对Internet 如此巨大的市场,以及大大降低运行成本的诱惑,各行各业迫切需要利用Internet 这种新的运作方式,以适应面临的剧烈竞争。为了迎接WTO的挑战,实现“以客户为中心”的经营理念,各行各业最直接的应用就是建立“网上营业厅”。 但是作为基于Internet 的业务,如何防止黑客的攻击和病毒的破坏,如何保障自身的业务网运行的安全就迫在眉睫了。对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性,在人们心中还有很多疑虑,因为很多网络安全技术都是事后技术,即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。防火墙技术虽然是一种主动防护的网络安全技术,它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障,但它自身却常常被黑客攻破,成为直接威胁用户局域网的跳板。造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测,不提供基于硬件隔离的安全手段。 所谓“道高一尺,魔高一丈”,面对病毒的泛滥,黑客的横行,我们必须采用更先进的办法来解决这些问题。目前,出现了一种新的网络安全产品——联想安全隔离网闸,该系统的主要功能是在两个独立的网络之间,在物理层的隔离状态下,以应用层的安全检测为保障,提供高安全的信息交流服务。
联想网御网闸解决方案-操作系统补丁管理(优.选)
典型应用四 – 主机操作系统补丁管理: 1、需求分析 目前,很多单位的内网按照网络安全防护要求不能直接与国际互联网相连,但是内网主机操作系统又需要补丁升级,通常做法是采用了微软SUS 服务器接入外网获取补丁数据,在特定时间改接入内网为内网机器升级。 采用这种升级方式,首先,不符合单台服务器不得同时接入内外网的要求;其次,无法避免外网的木马病毒渗透的入侵方式;第三,也无法提供实时的补丁升级能力,一旦发生如冲击波等恶性病毒时,内网往往由于补丁升级的延迟而无法阻止病毒的大规模泛滥。 为了解决这个问题,部署一套需要更合适的补丁升级系统,来完成补丁的实时获取和分发工作。 2、解决方案 联想网御主机操作系统补丁管理系统由内外网补丁接收服务器、内外网补丁分发服务器、联想网御安全隔离网闸和防火墙共同构成,此解决方案物理模型如下图:。 内网升级平台内网主机联想网御SIS-3000 安全隔离 补丁接收服务器部署于外网通过防火墙后连接微软补丁升级服务器。为了保障安全,在防火墙上设定仅允许该服务器连接微软的相应服务不打开其他端口,同时禁止外部对该服务器的连接。 在外网补丁接收服务器获取了最新补丁后,将这些补丁文件化后以纯文件的形式,通过联想网御SIS-3000安全隔离网闸的文件交换功能传送至内网的补丁分发服务器。用户可
以使用联想网闸的专用文件传输客户端软件,通过联想网御SIS-3000安全隔离网闸在内外网络间进行单向文件交换“摆渡”,同时对传输的文件类型过滤、关键字过滤、病毒检查、签名校验等机制对传输的文件进行过滤,防止内部信息泄漏、病毒入侵、网络侦听、身份冒充等危害。从而确保外网向内网传达补丁文件时的安全性和禁止了内网信息的泄漏。 内网和外网的补丁分发服务器获取了最新补丁文件后,将按照允许定义的策略进行下发工作。在进行策略定义时,允许将用户分组,对不同的组可以采用不同的下发策略。例如,对于某些在打上补丁后可能操作系统无法正常工作的设备,则不自动下发,待完成了补丁升级试验后再继续操作。同时,补丁分发服务器的分组管理的策略,也可以对不同的用户采用不同的补丁分发策略,对部分重要性较高的设备或系统情况无法确认的设备,可以设置不自动分发补丁,而等待管理人员对补丁进行验证后再启动分发工作。如果在外网补丁分发工作负载不大的情况下,外网补丁分发服务器和接收服务器可以合二为一,以节省投资。 3、实施效果 补丁升级系统的部署,可以有效的在保证内外网安全的前提下实现内网用户操作系统的及时升级,同时还可以通过分组管理策略来保障升级补丁的可靠性。从而完美的解决现有补丁升级体系中存在的问题,极大的增强对终端的安全保护水平。 另外,内外的网络防病毒的病毒库升级问题也可参照此解决方案来进行解决。 最新文件---------------- 仅供参考--------------------已改成word文本--------------------- 方便更 改
内网安全整体解决方案
内网安全整体解决方案
目录
第一章总体方案设计 1.1 依据政策标准 1.1.1 国内政策和标准 1.《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)2.《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号) 3.《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号) 4.《信息安全等级保护管理办法》(公通字〔2007〕43号) 5.《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号) 6.《信息安全等级保护备案实施细则》(公信安〔2007〕1360号) 7.《公安机关信息安全等级保护检查工作规范》(公信安〔2008〕736号)8.《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技〔2008〕2071号) 9.《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号) 10.国资委、公安部《关于进一步推进中央企业信息安全等级保护工作的通知》(公通字[2010]70号文) 11.《关于推动信息安全等级保护测评体系建设和开展等保测评工作的通知》(公信安[2010]303号文) 12.国资委《中央企业商业秘密保护暂行规定》(国资发〔2010〕41号)13.《 22239.1 信息安全技术网络安全等级保护基本要求第1部分安全通用要求(征求意见稿)》 14.《 22239.2 信息安全技术网络安全等级保护基本要求第2部分:
云计算安全扩展要求(征求意见稿)》 15.《 25070.2 信息安全技术网络安全等级保护设计技术要求第2部分:云计算安全要求(征求意见稿)》 16.《 20—信息安全技术网络安全等级保护定级指南(征求意见稿)》 17.《信息安全技术信息系统安全等级保护基本要求》 18.《信息安全技术信息系统等级保护安全设计技术要求》 19.《信息安全技术信息系统安全等级保护定级指南》 20.《信息安全技术信息系统安全等级保护实施指南》 21.《计算机信息系统安全等级保护划分准则》 22.《信息安全技术信息系统安全等级保护测评要求》 23.《信息安全技术信息系统安全等级保护测评过程指南》 24.《信息安全技术信息系统等级保护安全设计技术要求》 25.《信息安全技术网络基础安全技术要求》 26.《信息安全技术信息系统安全通用技术要求(技术类)》 27.《信息安全技术信息系统物理安全技术要求(技术类)》 28.《信息安全技术公共基础设施系统安全等级保护技术要求》 29.《信息安全技术信息系统安全管理要求(管理类)》 30.《信息安全技术信息系统安全工程管理要求(管理类)》 31.《信息安全技术信息安全风险评估规范》 32.《信息技术安全技术信息安全事件管理指南》 33.《信息安全技术信息安全事件分类分级指南》 34.《信息安全技术信息系统安全等级保护体系框架》 35.《信息安全技术信息系统安全等级保护基本模型》
电子政务综合安全接入平台解决方案
电子政务综合安全接入平台解决方案 随着互联网的普及,电子政务的实施,越来越多的传统工作模式都向互联网上迁移。各政府机关、企事业单位也都建立了自己的门户网站。但是很多单位及政府机关都对网络安全有极高的要求,采用传统的防火墙、入侵检测等产品不足以让用户放心。网闸的利用使内外网物理隔离,信息传输提供了安全的通道,但是单纯地使用网闸存在以下不足: 1、传输的数据没有加密; 2、无法提供对利用数据进行攻击的保护; 3、目前单网闸系统中的网闸成为单点故障点,没有容错性; 4、各个应用软件各自在网闸上打开一个口,管理复杂; 因此,对网络上的信息资源进行有序的组织和规范的采集,加强对“电子政务”的研究和制定相应的实施策略显得极为紧迫和重要。 产品简介: 合众综合安全接入平台正是在这样的背景下开发出来的。本产品为数据采集与交互应用提供安全、统一的系统运行框架和服务。在内外网被物理隔离的情况下,本产品能实现内外网数据安全、实时地交互。平台在接入方式上以互联网为主,同时把各种不同协议的不同网络安全接入。它把公开密码技术、负载平衡和容错等多项先进技术应用于多台热备份网闸,引入了基于应用逻辑和登录用户的数据审查技术。 合众综合安全接入平台主要由以下几个模块组成: 1、网闸模块。网闸模块屏蔽了网闸的配置。它对外提供网闸的公共接口。从而使这一平台和在其上开发运行的软件不再由于网闸产品的不同而做改变。 2、配置系统。配置系统集中存储和管理系统的配置信息。系统配置信息存储在目录服务器中,为了避免配置系统单点失败,配置信息在每台主机上都进行缓存,以便在配置服务器失效时配置器仍能正常工作。 3、容错模块。容错模块是利用多网闸和多台服务器的容错和负载平衡来解决网闸和后处理单点故障问题它按照当前各网闸和处理服务器状态合理分配、处理输入数据。 4、监控模块。监控模块对系统进行集中的监控。从监控模块中可以看到所有应用软件的运行情况,日志统计数据等信息。 5、数据库同步模块。数据库同步模块适用于被网闸隔离的数据库之间的同步。数据在服务器和网闸上传 6、B/S数据提交模块。B/S数据提交按照待采集数据的数据格式自动生成采集页面。主要是针对零散的数据提交者,而且需要填写的数据不多。这些页面部署到Web服务器后即可使用。 7、C/S数据提交模块。C/S数据提交页面由客户自行开发,再插入到客户端软件(客户端软件也能由客户自行开发),客户端软件将数据传送到Web服务器,由Web服务器和网闸模块进行数据处理。 8、数据抽取模块。数据抽取模块适用于从已有信息管理系统的单位采集数据。这些单位安装软件后定期发送数据到数据中心。这主要的配置信息包括采集数据表、字段及采集周期。 9、socket模块。Socket模块让多种外部设备安全地接入内网,同时也为其他协议接入奠定了基础,例如:CDMA、GPRS、GPS就可以借助这一模块接入。数据审核插入件可以用来进行应用层的数据审核,进一步确保安全。 10、综合查询模块。综合查询服务让政府部门经过授权的工作人员在互连网安全的查询政府内网的数据,基于互连网安全隐患及政府内网数据安全的考虑,使用智能卡技术来实现互连网数据查询的安全。
网闸通用解决方案
伟思隔离网闸通用解决方案 伟思集团
目录 一、网络信息安全概述 (3) 二、安全需求分析 (4) 2.1典型环境 (4) 2.2 潜在的网络威胁分析 (5) 2.3 系统安全需求 (6) 三、政府上网安全方案设计 (6) 3.1 政府上网安全模型 (6) 3.2网络隔离系统的设计 (8) 3.3 ViGap隔离网闸 (9) 四、售后服务 (20) 4.1 售后服务 (21) 4.2 培训计划 (22)
一、网络信息安全概述 网络安全的具体含义是随着“角度”的变化而变化。比如:从用户(个人、政府等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私,同时也避免其它用户的非授权访问和破坏。 从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。 对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。 总的说来,网络安全就是指对网络中的数据信息提供完整性、机密性和可用性的网络安全服务,使网络系统的硬件、软件及其系统中的数据受到严格保护,不因偶然或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 信息安全所涉及的内容与信息系统的功能密切相关。例如,提供网上数据传输功能的系统,需要考虑网上传输信息的安全性问题;作为数据中心的数据库服务器,需要重点考虑存储数据的安全保护问题;为众多用户提供数据访问的服务的主机系统,则需要考虑对登录主机用户的认证和对合法用户数据访问权限的控制等等。因此,网络安全环境的建立没有固定的模式,必须依据实际的应用需求采取适当的安全措施。 随着网络安全等级的提高,网络使用的便利性将不可避免地随之下降,而安全维护成本将急剧升高,因此,在考虑网络信息的安全问题时,盲目地提高安全强度反而容易使系统因使用不便、效率低和维护困难而失去使用价值。
利谱医疗行业网闸解决方案(1)
医疗行业网闸解决方案(1) 随着近年来全国各大医院信息化工作的迅速发展,大多医院基本完成了以医院信息系统(HIS)为中心,以检验科信息系统(LIS)、影像归档和通信系统(PACS)、电子病历系统等为支撑的核心业务系统建设,医院医疗工作全面进入信息化时代。 与此同时,医院为了开展便民工程及办公信息化工作还建设了网上挂号系统、OA办公系统、终端上网平台等,这些互联网业务应用与医院核心业务系统交叉混合,使得核心业务系统面临着病毒入侵、非法访问、非法外联、DDOS攻击等重大威胁。 为保护核心业务系统的安全,TIPTOP利谱根据业务、职能、信息安全级别的不同,将医院网络划分为:医院业务网和医院办公网。业务网支撑医院的HIS、LIS、PACS等业务系统,办公网支撑医院OA系统、网上挂号系统及满足工作人员连接互联网需求。网络划分如下图所示: ▲ 图1医院网络划分 医院网络划分隔离后,业务网和办公网之间又要进行实时或定时的数据交换,如网上挂号,OA系统文件流传,业务网病毒库升级等。 如何保证业务网和办公网在安全隔离的前提下,进行业务系统间安全可控的信息交换,是医院信息化安全面临的又一个问题。 TIPTOP利谱公司网闸产品基于对医院网络和业务系统的深入研究,通过“2+1”产品架构设计,即内外主机加隔离交换部件(隔离交换部件基于DTP隔离通道控制技术专,实现主机系统间隔离和自有协议数据摆渡),确保医院办公网和业务网络之间任何连接的断开,彻底阻断TCP/IP协议及其他网络协议。医院办公网络与业务网安全隔离的同时还要实现两
网业务系统间的数据实时、双向安全交换,以广州某三甲医院为例,部署TIPTOP利谱安全隔离网闸于业务网和办公网之间,如下图所示: 图2医疗信息系统网间安全解决方案拓扑 根据该院业务的需求,TIPTOP利谱网闸在两网安全隔离的前提下,实现如下业务系统的数据交换: 1、网上挂号系统:网上挂号业务系统是医院便民工程的一个重要系统,需要将互联网用户提交的挂号信息同步到医院业务网中,实现病人的远程挂号需求。TIPTOP利谱根据医院网上挂号业务系统数据库类型不同、版本差异大、数据类型不统一等特点,开发设计了数据同步软件V2.0,可实现Oracle、SQL Server、Sybase、Db2等主流数据间同构或异构单双向数据同步,支持字段级的细粒度数据同步,支持按条件同步,具有数据冲突处理策略和数据容错机制,支持邮件报警,支持日志审计和数据统计功能。通过TIPTOP利谱安全隔离网闸的数据库同步功能,实现该院网上挂号系统的数据库数据的实时、高效、安全、可控交换。 2、 OA系统:TIPTOP利谱网闸产品根据医院OA系统通信的特点,以及数据内外网流转机密性、可靠性、完整性的要求,提供专用开发接口,支持医院OA系统自有格式的数据交换,实现医院办公网OA系统到网闸外网接口、网闸内网接口到医院业务OA系统之间的数据加密、认证传输,从而实现办公网到业务网高可靠、高安全的数据交换。 3、业务网病毒库升级:部署在业务网的病毒服务器,通过TIPTOP利谱安全隔离网闸的文件同步功能,根据TIPTOP利谱的解决方案,实现部署在办公网病毒升级服务器的病毒库升级文件,实时的同步至业务网的病毒升级服务器,满足业务网防病毒终端及时升级病毒库的要求;TIPTOP利谱文件同步功能满足用户实时同步增量文件,并提供不依赖于文件扩展名的格式检查,提供文件重名处理策略,提供丰富的文件同步策略,保障用户在网络间进行安全的文件交换。 TIPTOP利谱安全隔离网闸实现了医院业务网和办公网间的安全隔离,提供了丰富的业务应用功能,并支持用户的定制开发要求,满足医院网络间安全可控的数据交换需求,为医疗信息系统的安全提供可靠的保障。
电子政务应用网闸解决方案
电子政务应用网闸解决方案 需求分析 某省电子政务网络平台由国家广域政务内网的接入网、省政务内网和省政务外网构成。省政务内网:主要用于传送电子公文、以及不适合通过外网传输的信息:政务信息、视频会议等一些不适合公开的国家秘密信息等。省政务外网:是政务公开和为民办事的窗口,同时也是办公人员与外面进行信息交流的通道,与互联网通过网络安全系统逻辑连接,以省政府门户网站为载体,各单位通过网站对外提供网上服务、受理申请等。 联网范围:省电子政务网络平台连接省、市、县(区)级政府及相关职能部门,以及因需要接入的企事业单位。省政务内网是党政机关的办公专网,其接入范围暂按省委办公厅机要局联网范围确定。省政务外网是业务部门的政务专网,凡不需要在政务内网上运行的业务系统可接入政务外网。省政务外网设立国际互联网统一出口,接入外网的各单位通过统一出口访问国际互联网;因工作需要保留国际互联网出口的单位,其出口网络必须与省政务外网物理隔离。各市的政务外网也应分别设立国际互联网统一出口,通过当地统一出口访问国际互联网。连接范围为省、市、县(区)级政府及相关职能部门,以及因需要接入的企事业单位。 根据《中共中央办公厅国务院办公厅关于转发<国家信息化领导小组关于我国电子政务建设指导意见>通知》中办发(2002)17号:建设和整
合统一的电子政务网络。电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离。 省电子政务网安全隔离建设按照国家保密局的要求以涉及国家秘密和不涉及国家秘密为划分分界线,政务外网承载的载体不能涉及国家秘密,可以涉及政务机关的工作秘密和内部秘密。政务外网所有设计国家秘密的计算机网络必须进行安全隔离,既要保证两个网络间的任何点不存在共用网络设备,不存在任何形式的网络联接,确保按最大化原则建设的政务外网不存在任何可能的引入国家秘密载体的节点。 整体设计原则根据相关的要求,在进行网络系统安全方案设计、规划时,遵循以下原则: 高可靠性原则拟建交换系统应能够高可靠地运行,网络安全设备不应因故障造成应用系统停运。 可扩充性原则要求拟建系统的可扩充性以及前后兼容一致性较好,在进行系统方案设计时,要求其硬件、软件是建立在广泛的可扩充的基础上,且易于升级,能最大程度保护用户投资。 安全性原则要求建立技术先进、管理完善、机制健全的系统安全体系,做到网络不间断、畅通地运行;应用系统不受外部和内部侵害。 易操作性原则有良好的用户界面,易于配置,操作简便。 方案设计
网神网闸系统军工文件交换方案
网闸工作原理 网神SecSIS 3600安全隔离与信息交换系统的工作基于人工信息交换的操作模式,即由内外网主机模块分别负责接收来自所连接网络的访问请求,两模块间没有直接的物理连接,形成一个物理隔断,从而保证可信网和非可信网之间没有数据包的交换,没有网络连接的建立。在此前提下,通过专有硬件实现网络间信息的实时交换。这种交换并不是数据包的转发,而是应用层数据的静态读写操作,因此可信网的用户可以通过安全隔离与信息交换系统放心的访问非可信网的资源,而不必担心可信网的安全受到影响。 信息通过网闸传递需经过多个安全模块的检查,以验证被交换信息的合法性。当访问请求到达内外网主机模块时,首先由网闸实现TCP连接的终结,确保TCP/IP协议不会直接或通过代理方式穿透网闸;然后,内外网主机模块会依据安全策略对访问请求进行预处理,判断是否符合访问控制策略,并依据RFC或定制策略对数据包进行应用层协议检查和内容过滤,检验其有效载荷的合法性和安全性。一旦数据包通过了安全检查,内外网主机模块会对数据包进行格式化,将每个合法数据包的传输信息和传输数据分别转换成专有格式数据,存放在缓冲区等待被隔离交换模块处理。这种“静态”的数据形态不可执行,不依赖于任何通用协议,只能被网闸的内部处理机制识别及处理,因此可避免遭受利用各种已知或未知网络层漏洞的威胁。如下图所示:
网神SecSIS 3600安全隔离与信息交换系统通过专有的隔离交换卡实现内外网主机模块的缓冲区内存映射功能,将指定区域的数据复制到对端相应的区域,完成数据的交换。隔离交换卡内嵌安全芯片,采用高速全双工流水线设计,内部吞吐速率达5Gbps,完全可以满足高速数据交换的需要。 隔离交换模块固化控制逻辑,与内外网模块间只存在内存缓冲区的读写操作,没有任何网络协议和数据包的转发。隔离交换子系统采用互斥机制,在读写一端主机模块的数据前先中止对另一端的操作,确保隔离交换系统不会同时对内外网主机模块的数据进行处理,以保证在任意时刻可信网与非可信网间不存在链路层通路,实现网络的安全隔离。 当内外网主机模块通过隔离交换模块接收到来自另一端的格式化数据,可根据本端的安全策略进行进一步的应用层安全检查。经检验合格,则进行逆向转换,将格式化数据转换成符合RFC标准的TCP/IP数据包,将数据包发送到目的计算机,完成数据的安全交换。 网神SecSIS 3600安全隔离与信息交换系统提供基于纯文件的交换方式,内网和外网的数据传输模块各自对文件进行病毒扫描、签名校验、文件类型校验、文件内容过滤,对符合要求的文件进行转发。不借助任何第三方软件,完全通过文件的拷贝、粘贴方式实现,为了避免网络漏洞,网闸不开放任何连通两侧的网络通道,在保证绝对安全的前提下,通过数据摆渡实现文件交换。
内外网隔离网络安全解决方案
。 内外网隔离网络安全解决方案●网络现状与安全隐患目前,大多数企业都安装有隔离卡等设备将企业分为两个网络:内网和外网,内网用以及用电子邮件作内部的办公自动化,外网用来对外发布信息、获得因特网上的即时消息,内网和外网都通过隔离卡或网闸等方式实现内外网的物进行信息交流。为了数据的安全性,理隔离,从一定程度上杜绝了内外网的混合使用造成的信息外泄。如下图所示: 然而,对于内网中移动存储介质的随意使用以及外部终端非法接入内网来泄露内部信息的安全隐患,仍然得不到解决。存在的安全隐患主要有: 1. 移动存储介质泄密 ◆外来移动存储介质拷去内网信息; ◆内网移动存储介质相互混用,造成泄密; ◆涉密介质丢失造成泄密 2. 终端造成泄密 ◆计算机终端各种端口的随意使用,造成泄密; ◆外部终端非法接入内网泄密; ◆内网终端非法外联外部网络泄密 ●捍卫者解决方案 终端外设端口管理<1> 精选资料,欢迎下载 。 1)对于非常用端口: 捍卫者USB安全管理系统,根据具体情况将该终端的不常使用的外设使用(如红外、蓝牙、串口、并口等)设置为禁用或是只读(刻录机,USB端口有该功能),一旦设定则无法从“设备管
理器“启用,只能通过捍卫者启用,如下图所示部分终端外设禁用状态,这样可以有效的解决终端外设泄密。 2)USB端口: 内网终端的USB端口建议设置为只读,这样外网使用的存储介质可以向内网拷贝数据,但是不能从内网终端拷贝出数据。从防病毒考虑,也可以设置为完全禁用,这样只有授权存储介质才能根据授权使用,外部移动存储介质无法使用。 <2> 移动存储介质授权管理 对内部的移动存储介质进行统一的授权管理,然后在根据需求设定当前USB端口的状态(即USB端口加密),这样外来的移动存储介质在内部终端不可以使用或是只读,即解决了移动储存 介质的随意插拔使用又防止了木马、病毒的传播泛滥。 在授权过程中,首先选择给移动存储介质的使用范围,可以分域授权使用,一对一或一对多的和终端绑定使用(这样移动存储介质在一定的范围内可以任意使用);然后输入移精选资料,欢迎下载 。 最后还可以对移动存储介质动存储介质的保管者,明确的将移动存储介质分配到个人管理;添加使用限制,如:授权使用几天、授权使用范围、累计使用天数等。这样在移动存储介质授权的过程中既明确了移动存储介质的保管者丢失可以查询责任人又限定了使用范围。授权为举例说明,某单位内网三个部门:信息中心、行政部、财务部,移动存储介质A授权为信息中心和移动存储介质C信息中心,这样A只能在信息中心的计算机上随意使用,则需要根据这三DC这样既能在信息中心使用,也可以在财务部使用,而外来设备财务部,做到了移动设备的分部门管理及移动设个部门的计算机对端口的具体设置来决定使用情况,只A1备与计算机一对一、一对多绑定使
安全隔离与信息交换系统网闸GAP解决方案
深信服安全隔离与信息交换系统网闸GAP-1000 白皮书
目录 1概述 (1) 2需求背景 (1) 2.1法规标准要求 (1) 2.1.1等级保护 (1) 2.1.2行业法规 (3) 2.2安全需求 (3) 2.2.1网络复杂,如何整合 (3) 2.2.2安全隐患,如何规避 (4) 3产品概况 (4) 3.1产品定位 (4) 3.2产品介绍 (4) 4产品架构与性能 (5) 4.1产品架构 (5) 4.2工作原理 (6) 5产品功能与特性 (8) 5.1产品功能 (8) 5.1.1业务功能 (8) 5.1.2管理功能 (12) 5.1.3高可用性功能 (12) 5.2产品特性 (13) 5.2.1高安全性 (13) 5.2.2高吞吐率 (14) 5.2.3高可靠性 (14) 5.2.4高便利性 (14) 6产品优势与价值 (14) 6.1产品优势 (14) 6.1.1简便易用的界面风格 (15)
6.1.2强大的业务功能 (15) 6.1.3通信协议深度控制 (15) 6.1.4多任务高并发性能 (15) 6.1.5优秀的环境适应 (15) 6.2产品价值 (15) 7产品应用场景 (16) 7.1安全隔离与视频交换解决方案 (16) 7.1.1场景需求 (16) 7.1.2解决方案 (16) 7.2安全隔离与数据库同步解决方案 (17) 7.2.1场景需求 (17) 7.2.2解决方案 (18) 7.2.3实现效果 (19)
1概述 自上世纪90 年代以来,信息技术迅猛发展,人们的生活、工作方式发生了巨大变革,信息网络的大规模应用极大地提高了办公效率。经过多年建设,我国已建成具有相当规模的数字化网络,但随着网络的不断普及,安全问题日益增多,网络和信息安全问题成为威胁国家和政府安全的重大隐患。随着对安全问题的不断认识和了解,尤其是针对涉密信息的防护,党和政府已将信息安全建设提到一个相当的高度上来。自2000 年以来安全隔离技术作为一项新兴的网络安全技术,在保障国家信息安全,尤其是政府、军队及重点行业等信息系统安全建设方面发挥了重要的作用。但是标准安全隔离技术虽然从物理上隔离了两个网络,但是其物理安全通道的方向性可由软件控制。对于涉密网络,需要的是防止任何泄密的可能,因此如何从物理层完成数据流向的控制成为一个亟待解决的问题。 2需求背景 2.1法规标准要求 2.1.1等级保护 当前我们国家正面临经济社会结构调整和转型,信息技术已经成为新的引擎,可以预见,网络和信息系统作为新兴动力的承载者,必将构建起整个经济社会的神经中枢,其重要性带来的必然是安全保障的紧迫性。 为保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。2016 年十二届全国人大常委会第二十四次会议表决通过的《中华人民共和国网络安全法》于2017 年6 月1 日起实施。网络安全法明确了网络空间主权的原则,明确了网络产品和服务提供者的安全义务,明确了网络运营者的安全义务,进一步完善了个人信息保护规则,建立了关键信息基础设施安全保护制度。 同时《中华人民共和国网络安全法》在第21 条明确规定了“国家实行网络安全等级保护制度,要求网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”;第31 条规定“对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。等级保护制度在今天已上升为法律,并在法律层面确立了其在网络安全领域的基础、核心地位,正如业内所言:不做等保就是违法。
内外网隔离网络安全解决方案
内外网隔离网络安全解决方案 ●网络现状与安全隐患 目前,大多数企业都安装有隔离卡等设备将企业分为两个网络:内网和外网,内网用作内部的办公自动化,外网用来对外发布信息、获得因特网上的即时消息,以及用电子邮件进行信息交流。为了数据的安全性,内网和外网都通过隔离卡或网闸等方式实现内外网的物理隔离,从一定程度上杜绝了内外网的混合使用造成的信息外泄。如下图所示: 然而,对于内网中移动存储介质的随意使用以及外部终端非法接入内网来泄露内部信息的安全隐患,仍然得不到解决。存在的安全隐患主要有: 1. 移动存储介质泄密 ◆外来移动存储介质拷去内网信息; ◆内网移动存储介质相互混用,造成泄密; ◆涉密介质丢失造成泄密 2. 终端造成泄密 ◆计算机终端各种端口的随意使用,造成泄密; ◆外部终端非法接入内网泄密; ◆内网终端非法外联外部网络泄密 ●捍卫者解决方案 <1> 终端外设端口管理
1)对于非常用端口: 使用捍卫者USB安全管理系统,根据具体情况将该终端的不常使用的外设 (如红外、蓝牙、串口、并口等)设置为禁用或是只读(刻录机,USB端口有该功能),一旦设定则无法从“设备管理器“启用,只能通过捍卫者启用,如下图所示部分终端外设禁用状态,这样可以有效的解决终端外设泄密。 2)USB端口: 内网终端的USB端口建议设置为只读,这样外网使用的存储介质可以向内网拷贝数据,但是不能从内网终端拷贝出数据。从防病毒考虑,也可以设置为完全禁用,这样只有授权存储介质才能根据授权使用,外部移动存储介质无法使用。 <2> 移动存储介质授权管理 对内部的移动存储介质进行统一的授权管理,然后在根据需求设定当前USB端口的状态(即USB端口加密),这样外来的移动存储介质在内部终端不可以使用或是只读,即解决了移动储存介质的随意插拔使用又防止了木马、病毒的传播泛滥。 ?在授权过程中,首先选择给移动存储介质的使用范围,可以分域授权使用,一对一或一对多的和终端绑定使用(这样移动存储介质在一定的范围内可以任意使用);然后输入移动存
隔离网闸技术方案
隔离网闸技术方案
目录 一、概述 (3) 1.1、网络安全现状 (3) 1.2、现有网络安全技术 (3) 1.3、现有网络安全技术的缺陷 (4) 1.4、GAP技术简介 (5) 1.4.1、GAP模型的实现 (6) 1.4.2、协议的分拆与重组 (8) 二、SecSIS 3600介绍 (10) 2.1、SecSIS 3600产品简介 (10) 2.2、SecSIS 3600产品原理 (10) 三、SecSIS 3600功能 (12) 3.1、SecSIS 3600产品定位 (12) 3.2、SecSIS 3600产品功能 (12) 四、SecSIS 3600产品性能............................................................................ 错误!未定义书签。 4.1、SecSIS 3600产品技术指标 ......................................................... 错误!未定义书签。 4.2、SecSIS 3600产品硬件.................................................................. 错误!未定义书签。 五、SecSIS 3600产品应用 (23) 5.1、通用解决方案 (23) 5.2、重要网络数据资源保护 (24) 5.3、“数据大集中”应用模式 (24) 5.4、“外网受理,内网处理”模式的应用 (25)
附录一、与防火墙产品的比较 (27) 包过滤防火墙 (27) 应用代理防火墙 (28) 全状态检测(stateful inspect)防火墙 (29) SecSIS 3600网络隔离网闸 (30) 一、概述 1.1、网络安全现状 计算机网络的广泛应用是当今信息社会的一场革命。电子商务和电子政务等网络应用的发展和普及不仅给我们的生活带来了很大的便利,而且正在创造着巨大的财富,以Internet 为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次不断深入,应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。 与此同时,计算机网络也正面临着日益剧增的安全威胁。广为网络用户所知的黑客行为和攻击活动正以每年10倍的速度增长,网页被修改、非法进入主机、发送假冒电子邮件、进入银行系统盗取和转移资金、窃取信息等网络攻击事件此起彼伏。计算机病毒、特洛伊木马、拒绝服务攻击、电子商务入侵和盗窃等,都造成了各种危害,包括机密数据被篡改和窃取、网站页面被修改或丑化、网络瘫痪等。网络与信息安全问题日益突出,已经成为影响国家安全、社会稳定和人民生活的大事,发展与现有网络技术相对应的网络安全技术,保障网络安全、有序和有效的运行,是保证互联网高效、有序应用的关键之一。 1.2、现有网络安全技术 计算机网络是基于网络可识别的网络协议基础之上的各种网络应用的完整组合,协议本身和应用都有可能存在问题,网络安全问题包括网络所使用的协议的设计问题,也包括协议和应用的软件实现问题,当然还包括了人为的因素以及系统管理失误等网络安全问题,下表示意说明了这些方面的网络安全问题。
安全隔离网闸解决方案
安全隔离网闸解决方案
安全隔离网闸解决方案 目录 1前言 (1) 2需求理解 (2) 2.1网络现状 (2) 2.2常规业务所面临的主要问题 (2) 2.3若直接连接内部、外部网络的安全隐患 (2) 2.4网络安全需求分析 (3) 2.5业务安全目标 (3) 2.5.1短期目标 (3) 2.5.2长期目标 (3) 3解决方案 (4) 3.1设计目标 (4) 3.2解决方案 (4) 3.2.1解决方案一 (4) 3.2.2解决方案二 (5) 3.2.3基本功能实 (5) 3.3安全隔离网闸技术特色 (6) 3.3.1技术特点 (6) 3.3.2安全隔离网闸功能特性 (7)
1 前言 lnternet作为覆盖面最广、集聚人员最多的虚拟空间,形成了一个巨大的市场。中国互联网络信息中心(CNNIC)在2002年7月的“中国互联网络发展状况统计报告”中指出,目前我国上网用户总数己经达到4580万人,而且一直呈现稳定、快速上升趋势。面对如此众多的上网用户,为商家提供了无限商机。同时,若通过lnternet中进行传统业务,将大大节约运行成本。据统计,网上银行一次资金交割的成本只有柜台交割的13%。 面对lnternet如此巨大的市场,以及大大降低运行成本的诱惑,各行各业迫切需要利用lnternet这种新的运作方式,以适应面临的剧烈竞争。为了迎接WT0的挑战,实现“以客户为中心”的经营理念,各行各业最直接的应用就是建立“网上营业厅”。 但是作为基于lnternet的业务,如何防止黑客的攻击和病毒的破坏,如何保障自身的业务网运行的安全就迫在眉睫了。对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性,在人们心中还有很多疑虑,因为很多网络安全技术都是事后技术,即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。防火墙技术虽然是一种主动防护的网络安全技术,它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障,但它自身却常常被黑客攻破,成为直接威胁用户局域网的跳板。造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测,不提供基于硬件隔离的安全手段。 所谓“道高一尺,魔高一丈”,面对病毒的泛滥,黑客的横行,我们必须采用更先进的办法来解决这些问题。目前,出现了一种新的网络安全产品一一联想安全隔离网闸,该系统的主要功能是在两个独立的网络之间,在物理层的隔离状态下,以应用层的安全检测为保障,提供高安全的信息交流服务。
内外网安全隔离解决方案
内外网安全隔离解决方案 DShield/宇宙盾安全隔离与数据交换系统,是一种专门用为政府和企业内部网和外部网以及内部不同密级网络之间的隔离和安全防护而设计的一款双向网络信息,可以有效地保护政府和企业内部网络的安全。可以实现的隔离或者两个密级不同的网络之间的,有效地保护政府和企业的内部网络的网络。 是物理隔离的低级实现形式,一个卡只能管一台个人计算机,需要对每台计算机进行配置,每次都需要开关机一次,极为不便,无法实现。双硬盘的硬件平台管理很繁琐,也会使得整个网络的架设和维护费用显著升高。此外,用隔离卡设计的网络要有两套完全一样的网络(双倍的连线,双倍的网络设备),每台机器上要双网卡,双硬盘。不仅仅安装维护极不方便,维护费用也高,升级和扩展的费用多成倍增加。 DShield/宇宙盾是对整个网络进行隔离,只要安装一台DShield/宇宙盾安全隔离与数据交换系统,而不是每台计算机上安装一块物理隔离卡,就可以防护内网的所有计算机,网络结构极为简单,不像使用物理隔离卡需要增添额外的硬盘和网卡和网络设备,使用DShield/宇宙盾上网专用时添加新的计算机没有任何额外费用。内网的用户不必为了登录英特网而在内外网间进行繁琐的切换和重新启动计算机了。通过这一改变用户可以无需切换,安全方便地畅游英特网。在设备维护方面一台DShield/宇宙盾和多块网卡的维护量也有着巨大的差别。只对DShield/宇宙盾通用双向单一设备进行管理和维护将大大减轻网络管理员的工作!DShield/宇宙盾安全隔离与数据交换系统提供了丰富的网络连接功能和传输安全控制功能,可以适用于许多不同的应用领域。DShield/宇宙盾通用双向网络信息网闸功能强大,它可以是对每一台连网主机的传输方向的进行控制和管理。为用户网络连接和提供了极大的人方便。用户可以根据不同的安全要求灵活的管理每台计算机和服务器的传输连接。例如,为了保密的原因,可以不允许某几台密级低的机器访问密级高的服务器或工作站。或者出于保护数据的原因,只允许密级高的服务器或工作站向一些有安全隐患的服务器或工作站发送数据,但是阻止任何应用层的数据返回,以阻止恶意的攻击进入密级高的服务器或工作站。数码星辰的的解决方案可以为用户可以提供多层次,多种途径的保护和过滤机制,有效地阻止黑客的入侵和攻击。数码星辰的的解决方案还为用户提供了可靠的认证机制和加密机制,位用户在内外网之间建立一条通过严格认证和加密的安全通道。它可以用于内外网的数据库同步,内外网网页服务器之间的安全信息交换,为和政府的信息安全提供了有效的保证。DShield/宇宙盾安全隔离与数据交换系统具有以下特点: 1. 极高的系统自身安全防护功能,独一无二的病毒防护能力和超强的抗攻击能力 2. 支持单向和双向数据同步以满足不同用户的安全需求 3. 可以是对每一台连网主机的传输方向的进行控制和管理 4. 采用最严格的证书和公钥认证机制 5. 使用世界上最新加密算法,提供了比传统加密方式(DES、3DES等)更高的安全性和更高的加密效率 6. 采用最新的哈希信息认证算法保证数据的完整性,避免了目前广泛使用的MD5和SHA1算法的存在的易于被破解严重安全隐患 7. 具有极强的防止PING FLOOD、SYN FLOOD、Dos和DDos等洪水攻击的能力 8. 极强的抗缓冲区溢出攻击的能力 9. 无一次故障的优秀记录:独有的动态自恢复技术将系统的可靠性带到了一个新的高度;本产品自2003年认证以来从未有一台机器在用户那里发生过运行故障。 10. 方便的的用户使用接口和界面极大地方便了用户的使用和维护 DShield/宇宙盾安全隔离与数据交换系统系列产品可以广泛适用于政府、税务、银行、金融、证券、石化、铁路、冶金、公安、军队、电力、海关、保险、电讯和教育等各行业涉密