政府网络安全隔离建议方案
。
政府网络安全隔离
建议方案
编写:技术支持部
审核:
批准:
。
1
都江堰国土局网络安全隔离建议方案 模板版次:1.0
第 2
页 共 20 页 COPYRIGHT? 1995-2011VICTORY-IDEA
2011 珠海伟思(集团)有限公司 版权所有
文 档 信 息
请保护环境,注意纸张的回收利用
版权信息
本文件涉及之信息,属珠海伟思(集团)有限公司所有。
未经珠海伟思(集团)有限公司允许,文件中的任何部分都不能以任何形式向第三方散发。 ViGap 、VieCA 为珠海伟思(集团)有限公司系列产品,珠海伟思(集团)有限公司完全拥
有知识产权,并受国际知识产权法律保护。
https://www.360docs.net/doc/e915018195.html,
。
。3 正文目录
1政府安全隔离需求分析 (4)
1.1 政府内部网网络现状 (4)
1.2 政府的安全风险分析 (4)
1.3 建立统一安全隔离数据交换安全原则 (5)
2政府网络安全隔离解决方案 (6)
2.1 政府内网安全隔离与信息交换设计 (6)
2.2 安全隔离与信息交换平台实施方案 (7)
2.3 整体解决方案拓扑图 (7)
2.4 解决方案产品选型 (8)
3隔离网闸产品方案设计 (9)
3.1 隔离网闸产品概述 (9)
3.2 产品内部架构 (9)
3.3 隔离网闸技术的优势 (10)
3.4 产品特点 (11)
3.5 产品功能 (12)
3.5.1 系统可靠性 (12)
3.5.2 系统可用性 (13)
3.5.3 安全功能 (13)
3.5.4 系统管理 (15)
3.5.5 应用支持 (16)
3.6 伟思ViGap300系统性能参数 (17)
4 系统支持与服务方案 (17)
4.1售后服务 (17)
4.2培训计划 (18)
政府网络安全隔离建议方案
模板版次:1.0
第 4 页 共 20 页 COPYRIGHT? 1995-2011 VICTORY-IDEA
2011 珠海伟思(集团)有限公司 版权所有
1 政府安全隔离需求分析
1.1 政府内部网网络现状
本单位市政务网按照《政务网络建设规范》进行建设。政府是按照省电子政务办公室确认的网络连接方式,与县局、省局建立了三级网络。
政务网与国际互联网之间在物理上完全分开,局域网由此形成物理上断开的内网(运行管理信息系统)和外网(运行信息发布和社会化服务系统)两部分,分别连入政务网和国际互联网。政务网络主要由四部分组成:
——内部运行信息系统的局域网(内网);
——上下级互联的广域网(政务网);
——提供信息发布查询等社会化服务的国际互联网(外网);
——市级各部门信息资源共享的政务外网。
1.2 政府的安全风险分析
政府内外网、上下级互联互通涉及数据的交换,必然带来一定的安全风险。原来在外部网上传播的病毒、在下级县市单位存在的安全隐患可能因为数据交换而感染到本单位政府内网;原来利用互连网发动攻击的黑客、下级单位的人员疏忽、恶意试探也可能利用政府内部网络的数据交换的连接尝试攻击本单位政府内部政务网,可以影响到本单位内部网系统内部大量的重要数据正常运行,所以安全问题变得越来越复杂和突出。
综合分析网络的攻击的手段,政府内外部网络的数据交换可能面临的安全风险包括:
。
1.3建立统一安全隔离数据交换安全原则
根据对以上安全风险的归纳,市政府网络系统最大的特点是复杂程度高,信息点多,安全威胁来自从物理层到应用层多个方面。本方案在制定安全系统设计时所采用的基本策略为:主要以安全隔离信息交换技术和数据摆渡技术为主体,辅之防火墙技术、入侵检测技术内外行为控制管理技术;构造一个具有最高安全强度的、在较长一段时期内可以防御绝大部分已知和未知的网络攻击手段的、并可以满足用户多种网络应用信息安全交换的网络安全系统平台。
政府网络信息交换的安全原则和要求体现在如下几个方面:
1、建立统一的安全隔离交换平台,内部政府办公网各业务部门通过统一出口实现与外部应用网间的可信信息交换,统一管理,执行统一的安全策略,实现内部网信息和上下级单位、外部应用网数据交换的高度可控性。
。
5
政府网络安全隔离建议方案
模板版次:1.0
第 6 页 共 20 页 COPYRIGHT? 1995-2011 VICTORY-IDEA
2011 珠海伟思(集团)有限公司 版权所有
2、所采用的安全隔离设备必须通过公安部信息安全产品许可和国家保密局的技术鉴定。安全隔离设备具有安全的文件和数据库交换功能,可以支持对http 、ftp 等通用应用层协议的严格分析控制的物理隔离设备或功能。
3、制定统一的接口开发及数据传输标准,实现内部各业务部门应用系统与外部应用网安全交换平台间的数据交换,并通过该标准强化应用系统数据通信安全。
4、内部网通过安全隔离交换平台与外界进行的信息交换必须受到严格的控制,内部网安全隔离平台可以提供必要的安全手段,如信息的单向访问,防止内网向外部泄漏敏感信息和抵御外网攻击。
5、隔离平台必须提供完整的安全审计功能,能够详细记录、快速查询内外网间的访问行为及安全事件,数据传输的详细记录。
6、隔离平台与其他网络安全产品构成整体的网络安全架构,全面解决市网络安全问题。
7、专业网安全隔离平台必须具备较高的网络性能及稳定性、高可用性。
2 政府网络安全隔离解决方案
2.1 政府内网安全隔离与信息交换设计
政府内网安全隔离设计主要是政府内网与外部应用网络(互联网或上下级网络)间的安全隔离与信息交换问题。
政府内网与外部应用网之间隔离遵循“内外网物理隔断,内外网可控信息交换”的原则,政府内网不直接接受来自其他网络的数据访问请求。其中主要基于以下安全考虑:即不接收其他网络数据,使得政府内网对外不暴露任何端口和服务,完全隐藏内部网络,从而更集中、高效地保护内网安全。更重要的是该功能阻断了黑客通过木马控制内网主机的通讯途径,保护内网主机的安全。
在以安全隔离网闸为基础的内外网信息交换平台上,除了隔离网闸外,还可以应用防火墙技术、IDS 技术、SSL VPN 技术,保证政府内网数据的机密性、完整性和可用性。
这样就以隔离网闸为核心,建立了一整套完整的安全隔离与信息交换平台。
。
2.2安全隔离与信息交换平台实施方案
根据以上设计,其主要实施方式是:
1、在政府内网与外部网络边界部署伟思安全隔离与信息交换系统(网
闸),该网闸的作用就是隔离来自外部网络的访问,以静态化纯数据
的形式摆渡交换在内外网之间安全交换数据。
2、网闸部署在内网与上下级关联单位的网络边界处部署网闸,进行数据
交换的网络边界处,仅允许定义的安全数据进行数据交换。隔离除此
之外其它任何外部主机对内网的访问请求。在该隔离环境下,大量攻
击行为都被隔离网闸隔离而无法进入本单位政府内网
3、对大负荷应用可采用双机集群,实现负载均衡和双机热备。解决性能
保障问题和应用隔离保障问题。性能保障主要是保证隔离系统的网络
性能满足政府应用对数据交换速率和延时的要求;实现负载均衡与双
机热备,使安全交换平台具有良好的可扩展性和可靠性,另外对于交
换数据量大的应用系统可采用千兆隔离网闸。
4、在政府内网入口处部署SSL VPN设备,针对远端局、所对内网应用的
访问进行链路加密,保证合法用户才能访问特定的应用系统,保障安
全性的同时增强应用的灵活性。
2.3整体解决方案拓扑图
按照上述安全隔离与信息交换方案策略,我们对现有网络结构做了调整,引入了隔离网闸等网络安全产品来实现政府网络安全系统的建设,保证内外安全的前提下,满足内外网隔离与信息交换的需求。
整体拓扑图如下:
。
7
政府网络安全隔离建议方案
模板版次:1.0
第 8 页 共 20 页 COPYRIGHT? 1995-2011 VICTORY-IDEA
2011 珠海伟思(集团)有限公司 版权所有
隔离网闸可采用访问式和同步式两种工作模式,提供内外网数据库、文件服务器的数据同步功能,也可以提供对网络访问的全面控制和策略管理。
网闸A 实现本单位内外网之间数据交换.
网闸B 实现本单位与上下级单位或其他关联单位间的安全隔离与数据交换.
2.4 解决方案产品选型
根据所需防范的具体安全问题类型、期望达到的安全程度,本方案建议选择相应的安全产品,产品的选型遵从如下标准:
1)、成熟性:保证安全体系本身的可靠和稳定,也是保证网络安全系统平台能够安全可靠运行的基本要素。
2)、先进性:保证安全体系具有较强的适应力、生命力,以便能适应未来一段时期内安全发展的需要。
3)、国内自主知识产权,自行生产的网络安全产品。
4)、合法性:安全体系建设中所采用的安全技术及其产品须有国家安全部门或具有等效职能机构认证并颁发有许可证。
。
3隔离网闸产品方案设计
3.1隔离网闸产品概述
伟思网络安全技术有限公司作为我国最早研发并率先推出安全隔离与信息交换系统产品的专业信息安全技术公司之一,其安全隔离与信息交换产品已经广泛应用于近1000家各种不同行业/部门的用户系统中,多次在一些国家部委及金融单位总部的重要招标中成功中标或入围,获得了用户的普遍高度好评。
伟思信安ViGap300安全隔离与信息交换系统采用国际先进的GAP硬件隔离反射技术,实现了在网络隔离环境下的可控信息交换,并针对传统安全隔离与信息交换系统应用层安全防护薄弱的现状,运用创新技术开发出基于网络隔离安全基础平台下的应用层防护系统,为各类党政部门、军事单位、金融电信、科研院校及企事业单位等机构的关键业务处理系统与外部不可信网络间信息交换提供了完整的安全隔离与信息交换解决方案。
伟思信安ViGap300安全隔离与信息交换系统率先采用国际领先的基于ASIC 芯片(大规模集成电路芯片)设计的高速硬件电子隔离开关技术,实现了受保护网络与不可信网络(互联网、专网等外部网络)间的物理断开,并通过摆渡机制在可控环境下实现内外网间应用层数据交换。ASIC芯片具有不可编程特性而且通讯方式彻底私有,从技术上消除了传统攻击手段对受保护内部网络的威胁,所有交换数据均经过ViGap300的严格安全检查,置于ViGap300设备保护之下的内部网络与外部不可信网络在任一时刻内均不存在直接的物理网络连接,从而起到了保护内部网络免遭来自外部已知和未知的网络攻击,实现了安全、可靠的数据交换。
3.2产品内部架构
伟思信安安全隔离交换系统的系统结构如下图表所示:
外部安全板内部安全板
。
9
政府网络安全隔离建议方案
模板版次:1.0
第 10 页 共 20 页 COPYRIGHT? 1995-2011 VICTORY-IDEA
2011 珠海伟思(集团)有限公司 版权所有
图表 1 安全隔离交换系统的隔离体系结构
VIGAP300安全隔离交换系统的所有控制逻辑由硬件实现的,不能被软件修改;安全隔离交换系统在内外安全主板上各设计了一个隔离开关,称反射GAP 。反射GAP 实现内外网络之间的物理断开,但同时能交换数据的目的。
反射GAP 使得内外网中继数据的速率达到物理连通状态的100%,从而消除了因物理断开内外网络而可能造成的通信瓶颈。
3.3 隔离网闸技术的优势
同传统的防火墙等逻辑隔离访问控制技术相比,隔离网闸独特的模型结构天然具有了一些其它安全技术难以达到的安全特性,主要包括以下几个方面:
1) 对网络层/OS 层已知和未知攻击的全面防护能力。由于在网闸2+1隔离架构模型中内外网间实际上物理断开,所有访问被转化成应用层数据形式通过独立的存储介质在内外网移动,因此,移动的数据中并不包含相对低层的网络层/OS 层控制信息,换句话说,隐藏在网络层/OS 层的攻击行为根本没有进入受保护内网网络的可能,无论该攻击方式是已知的还是未知的。而目前其它安全技术基本上还是基于特征匹配的方式过滤这些攻击行为,遗漏和处理不当都在所难免,并且对未知攻击毫无办法,对受保护网络造成严重安全隐患。
2) 不再依赖操作系统的安全性。目前所有安全技术的实现都必须依赖操作系统作为平台提供低层服务支持,操作系统的安全性实际上就影响到整个安全产品的安全性,目前主流的OS 主要是微软和UNIX/Linux 两大类,所有这些操作系统都具有一定数量的Bugs ,这些漏洞也随之成为整个安全产品的漏洞。而隔离网闸很好地解决了这个问题,其内网处理服务器上的操作系统完全不对外暴露,暴露在外的仅仅是负责外网处理的服务器,即使该服务器因操作系统Bugs 被攻击,实际上也无法进一步影响内网处理服务器,因为内外网是物理断开的。实际上,与防火墙等其它安全产品不同,黑客无法利用现有操作系统Bugs 获得对隔离网闸结构的控制权。
。
3) 强化安全决策过程的安全性。安全决策是最重要和基础的安全防御手段之一,安全决策包括认证、访问控制列表(ACL)、内容过滤以及格式检查等一系列方式。安全决策功能一旦失效,恶意访问将无阻碍地进入受保护网络(例如访问控制列表被更改,已禁止端口被开放等)。目前的网络安全产品对决策模块的防护能力相对较弱,而隔离网闸则将所有安全决策过程置于中立的与内外网没有连接的隔离区内完成,且关键的策略库置于与被检查数据物理断开的受保护端(LAN)服务器上,因此,策略库和决策过程都十分安全,未经严格检查的数据将始终被隔离在受保护网络(LAN)以外,确保决策过程的安全。
4) 数据静态化。在隔离网闸中,所有进入网闸内的数据在传递过程中都是静态的,其内容不被任何程序执行,仅仅是对静态内容实施检查和决策,因此,这些数据本身携带的任何恶意代码都无法执行,也就无法危及系统的安全,整个系统安全可靠。
3.4产品特点
●ViGap300是一款面向大型网络的安全隔离系统,为各类党政部门、军事
单位、金融电信、科研院校及企事业单位等关键部门的内部网络或服务器
提供网络隔离环境下的实时隔离保护,并在可控状态下实现内部网络或服
务器与外界的实时(适度)信息交换。
●采用独特的“2+1”安全体系架构,通过基于ASIC芯片技术设计的专用
隔离电子开关系统,实现用户关键网络及服务系统与外界的物理隔断,实
现链路层与网络层的彻底断开。
●采用高性能和多条流水线设计的ASIC芯片为基础建立的全新硬件隔离架
构,拥有全线速隔离交换性能,满足大型网络应用所面对大用户量、低延
时访问的需求。在核心的GAP电子开关隔离芯片上采用了含TRUE LVDS
功能强大的APXII系列EP2A70作为FPGA设计硬件基片,该芯片具有500
万门电路以及多路Giga位的通道,支持内部高达1060个硬件I/Os通道,使得电子开关具有高速的数据传输能力和并发处理能力。
●充分考虑关键应用对可靠性、可用性的要求,独家采用负载均衡技术以及
基于应用协议连接资源保护的QOS服务质量控制技术消除单点故障和网
。
11
政府网络安全隔离建议方案
模板版次:1.0
第 12 页 共 20 页 COPYRIGHT? 1995-2011 VICTORY-IDEA
2011 珠海伟思(集团)有限公司 版权所有
络实现对网络服务的高可靠性及可用性保证。
● 采用无协议的“GAP Reflective ”,GAP 隔离反射技术实现开放网络通讯
协议的剥离与重组,有效阻断来自网络层及服务器OS 层的各类已知/未知攻击,弥补其它安全技术对网络未知攻击的防御盲区。
● 广泛支持各类通用应用协议(HTTP 、FTP 、SMTP 、DNS 、SQL 等),包括支
持视频会议、流媒体以及VPN 等特殊应用代理以及用户定制协议,无需再进行二次开发或单独购买模块。
● 采用专利技术的应用层安全防御系统,ViGap300特别针对广泛应用的
WEB 、EMAIL 和FTP 等服务采用专利技术Web Application ?,实现了全面应用层安全防护,可防止WEB 溢出漏洞、Unicode 漏洞、Inject 攻击、Cookie 中毒、恶意JavaScript 、ActiveX 控件甚至CGI 脚本等各类应用层安全风险。
● 智能化攻击识别与过滤,ViGap300采用先进的应用层协议分析技术智能
识别并过滤大量基于应用层协议的攻击行为,ViGap300提供目前市场上丰富的协议分析模块,全面防护各类应用系统安全风险,包括:HTTP 、FTP 、SMTP 、POP3、IMAP 、DNS 等数十种协议分析模块。
3.5 产品功能
3.5.1 系统可靠性
● 双机热备功能模块
ViGap300系列产品针对大型网络的应用提供了双机热备份功能,实现系统的稳定可靠运行。通过内置的双机热备系统,连接在同一个网络内的多台ViGap300设备可以建立双机热备机制,并通过虚拟IP 统一对外提供服务。从设备不断发出心跳信息侦测主设备状态,一旦主设备出现故障从设备将立即接管并继续提供服务。结合ViGap300独有的状态检测系统,管理员能够迅速发现设备故障并作出处理。
● 系统工作状态检测与报警
ViGap300系列采用基于工业控制系统的架构设计,具备良好的稳定性。并且建立了设备状态检测系统,在开机状态下持续对系统各硬件板卡及软件模块进
。
行检查,并将系统状态显示在液晶面板上,管理员可针对故障信息迅速了解故障原因并作出响应。
同时,ViGap300系列软件系统采用了先进的自愈技术,当故障发生时可迅速命令系统重启恢复到正常工作状态。
3.5.2系统可用性
ViGap300系列为满足高性能的网络处理而设计,因此,必须支持大规模的并发访问和高带宽的数据吞吐。除了采用更高端的处理系统、内存以及接口以外,ViGap300系列还设计了最大支持32台设备的负载平衡系统来实现高可用性。
ViGap300系列的负载平衡系统通过仲裁网络流量方式实现流量在ViGap300集群中的平均分配,从而将处理性能大幅提升。
3.5.3安全功能
●网络隔离功能
ViGap300系列具有网络隔离功能,通过基于ASIC设计的硬件电子开关实现可信、不可信网络间的物理断开,保护可信网络免遭黑客攻击。
●数据静态化
采用“裸数据”机制,运用协议剥离和重组技术,在网闸内部实现“裸数据”和数据静态化,有效的防止网络上未知攻击。
●IDS入侵检测功能
ViGap300系列在设备两端内置了IDS入侵检测引擎,该引擎可有效保护系统自身及受保护网络免受攻击者的频繁攻击。该系统将自动分析对受保护内网的访问请求,并与ViGAP300隔离系统实现内部联动对可疑数据包采取拒绝连接的方式防御攻击。
●SAT(服务器地址映射)功能
ViGap300系列具备完善的SAT功能,可信端服务器可通过SAT功能将自身的
。
13
政府网络安全隔离建议方案
模板版次:1.0
第 14 页 共 20 页 COPYRIGHT? 1995-2011 VICTORY-IDEA
2011 珠海伟思(集团)有限公司 版权所有
特定服务虚拟映射到ViGap300系列的不可信端接口上,通过隔离系统的不可信端虚拟端口对外提供服务,访问者仅能访问虚拟端口而无法直接连接服务器,从而对外屏蔽服务器,防止服务器遭到攻击。
● 身份认证功能
不同于部门级网络,大型网络对身份认证的要求极高,且需要基于第三方的统一身份认证服务。ViGap300系列除了提供基本的用户名/口令身份认证功能以外,还可与外部认证系统集成支持扩展的Radius 、PKI 数字证书、SecureID 等多种强身份认证功能。
● 安全代理服务功能
ViGap300系列允许可信端用户以应用代理方式访问不可信网络,ViGap300系列作为应用代理网关对内网访问请求进行检测,相对于传统的基于网络层的NAT 方式来说,由于代理服务在应用层对访问请求进行检测具有更细的粒度和检查元素,因此,对访问具有更高的安全控制能力。
● AI 安全过滤功能
应用智能能够使您根据来源、目的地、用户特权和时间来控制对特定的 HTTP 、SMTP 或 FTP 等资源的访问。ViGap300系列产品通过协议分析技术提供应用级的安全过滤以保护数据和应用服务器免受恶意 Java 和 ActiveX applet 的攻击。ViGap300系列在AI 功能中新增了安全功能,包括:确认通信是否遵循相关的协议标准;进行异常协议检测;限制应用程序携带恶意数据的能力;对应用层操作进行控制,这些新功能对企业级网络环境中应用层的安全控制起到了很重要的强化作用。
● 防病毒功能
系统内嵌防病毒引擎,可实现对内外网摆渡数据的病毒查杀,其防水墙模块可有效阻止内网信息的外泄及木马、蠕虫等恶意程序通过HTTP 、SMTP 等方式向外泄漏信息。实现对病毒的高效查杀,支持包括HTTP 、SMTP 、POP3协议的网关级病毒过滤。
。
●内容及格式检测功能
ViGap300系列具备内容过滤及文件格式检查功能,对管理员指定格式的文件或指定内容关键字的邮件、网页、FTP文件等具有安全过滤功能,能够阻止敏感的信息外泄或恶意程序的入侵。
●VPN通讯安全
ViGap300系列对受保护WEB服务器提供内置的SSL VPN加密通讯机制,建立客户端与虚拟服务端口间的SSL加密VPN链路,实现通讯安全。该加密方式无需修改客户端设置,透明实现客户端与服务器端的加密通讯。
●WEB站点保护功能
目前大量应用基于B/S架构开发,WEB服务成为了越来越通用的服务,然而WEB服务器的大量漏洞也时时威胁着应用系统的安全。ViGap300系列全面分析了来自WEB服务的漏洞,建立了WEB站点保护系统Web Application?,全面抵御黑客对用户对外WEB、MAIL以及FTP系统服务系统发动的攻击。包括:Cookie安全签名、URL字段细粒度过滤、输入参数检测、操作系统屏蔽、Web service函数、CGI调用函数、特别针对WEB的IDS检测、文件目录及文件访问控制等功能。
●规则库后置
伟思ViGap300将规则库后置在网闸的内网可信端一侧,通过芯片级的隔离部件和“裸数据”摆渡机制的保护,使得放置于GAP产品的受保护网络端(即后端)的规则库具有严格的在外部网络端不可修改特性,保护规则库的安全。
3.5.4系统管理
●轻松管理
ViGap300系列安全管理架构允许管理员将多个隔离与信息交换系统设备部署到任何位置上并对其进行集中式管理。一旦创建或修改了策略,它就被自动分发到规则指定的所在位置。
●良好的用户界面
ViGap300系列提供了一个良好的用户界面,以树型结构组织对象,可在所有规则中共享所有的对象定义(例如:用户、主机、网络和服务等等),以便进行有
。
15
政府网络安全隔离建议方案
模板版次:1.0
第 16 页 共 20 页 COPYRIGHT? 1995-2011 VICTORY-IDEA
2011 珠海伟思(集团)有限公司 版权所有
效的策略创建和安全管理。
● 丰富的日志及审计模块
ViGap300系列管理平台能够监控并记录 ViGap300系列产品的系统状态。全面审计网络活动、入侵活动、管理员的配置操作、系统错误信息、违反规则的过滤信息等日志信息,支持日志扩展,导出日志到第三方系统进行专业分析。
3.5.5 应用支持
● 安全上网
ViGap300系列支持用户安全上网应用,可根据身份认证、IP +MAC 绑定等多种安全策略实现用户安全上网应用,同时支持透明应用代理方式,客户端无需设置。
● 数据库应用模块
ViGap300系列全面支持各种类型的数据库应用,支持Oracle 、MS SQL 、MySQL 、Sybase 等主流的数据库的SQL 查询,支持全表复制、增量更新、全表更新等多种数据库同步方式,并支持自定义表和字段。
● 文件交换和消息应用模块
ViGap300系列全面支持各种类型的文件同步,包括SAMBA 、NFS 等协议应用的文件同步,支持基于消息中间件的网络同步应用,提供消息模式数据转发和同步。
● 网络应用
ViGap300系列支持各类TCP/IP 以上的网络应用协议,无需二次开发。包括:HTTP 、SMTP 、POP3、DNS 、FTP 、NFS 、MMS 、IM 、VOIP 等等。支持用户自定义开发的特殊应用协议。支持网闸访问的单向、双向自定义。同时,针对用户特殊需求ViGap300系列提供API 应用开发接口。
● 即插即用
网闸设备的应用,不会改变现有网络拓扑结构,不改变原有网络和业务系统,
。
网闸的应用,对原有网络无需做大的改动。
3.6伟思ViGap300系统性能参数
伟思ViGap300提供千兆安全隔离与交换系统,其主要性能指标如下:
●ViGap300网络吞吐量性能:>600Mbps
●ViGap300隔离硬件芯片数据交换速率:5Gbps
●ViGap300系统时延:2ns级
●ViGap300并发连接数:>=12000
●平均无故障运行时间:>60000小时
●支持冗余电源扩展,提供高可用性
●用户数支持:无限制
4 系统支持与服务方案
4.1售后服务
我们提供的售后服务内容主要包括以下几个方面:
电话支持
提供专用售后服务技术电话,为用户进行有关产品使用的电话答疑和操作指导等。我们的技术支持电话为:(0756)3391616-技术部
提供免费电话支持服务:400-881-8180;800-830-7670
E-mail支持
提供E-mail支持,解答用户有关安全产品使用疑问的电子邮件。伟思公司的技术支持E-mail为:Service@https://www.360docs.net/doc/e915018195.html,
网站支持
在公司网站上发布有关产品的信息,如FAQ、产品使用交流BBS、支持信息等对客户进行知识服务。用户和代理商可随时浏览网站,查看有关内容或进行在线交流等。伟思公司的网址为:https://www.360docs.net/doc/e915018195.html,H。
现场支持
伟思公司承诺对贵单位安全工程的快速反应能力。在确认需要现场支持后,按照故障级别,会采取不同级别的现场技术支持。
。
17
政府网络安全隔离建议方案
模板版次:1.0
第 18 页 共 20 页 COPYRIGHT? 1995-2011 VICTORY-IDEA
2011 珠海伟思(集团)有限公司 版权所有
产品更新服务
伟思公司将在网上及时发布最新的升级程序。可以通过网上更新的方式进行升级。
产品的升级服务
当产品有版本的升级时,伟思承诺在第一时间将有关升级情况公布在公司的网页上;提供升级介质和升级培训服务。
4.2培训计划
贵单位的网络管理人员和业务工作人员的培训是本次安全建设项目的重要组成部分,是实现业务网络安全、提高安全系统效率的重要保证。为此,我们为贵单位制定了如下的培训计划,对技术人员进行必要的培训,确保技术人员自己能对安全产品进行日常的维护。
培训目的
本次培训的主要目的是让贵单位的技术人员可以系统地了解ViGap 隔离网闸的架构、实现原理、策略设定及管理方式。达到能够熟练安装、调试及维护安全产品,可以处理一般常见问题的目的。
培训对象
培训的对象主要分为贵单位的安全管理人员、技术人员,另外,参加培训的人员还会有相关的代理商、集成商的技术人员等。
培训内容
根据本次安全建设所涉及到的安全产品,及培训对象的不同,准备的培训课程如下表:
。
具体的培训内容可以根据贵单位的实际情况进行灵活的调整。伟思公司在培训前会准备好相应的培训教材,包括产品技术培训教材和相应的PPT文档等,培训讲师由伟思公司和相关厂商的资深技术人员担任,培训地点将与贵单位协商后确定。
培训方法
本次培训力求体现简单、实用的特点,针对不同的培训对象,选派不同的培训教员,采用不同的培训方法。网络安全管理人员能够在培训后了解一般的安全知识,掌握网络安全基础理论知识,熟悉隔离网闸产品的安装、维护,能解决一般的常见问题,具备安全管理的能力。具体方法如下:
步骤1:培训教师详细讲解培训内容中的重点、难点。
步骤2:用户对培训中存在的问题进行提问,并由培训教师进行解答。
步骤3:培训教师在具体环境上进行产品演示
步骤4:用户自己在具体环境上进行实践。
。
19
政府网络安全隔离建议方案
模板版次:1.0
第 20 页 共 20 页 COPYRIGHT? 1995-2011 VICTORY-IDEA
2011 珠海伟思(集团)有限公司 版权所有
欢迎您的下载,
资料仅供参考!
致力为企业和个人提供合同协议,策划案计划书,学习资料等等
打造全网一站式需求
内外网隔离网络安全解决方案
内外网隔离网络安全解决方案 ●网络现状与安全隐患 目前,大多数企业都安装有隔离卡等设备将企业分为两个网络:内网与外网,内网用作内部得办公自动化,外网用来对外发布信息、获得因特网上得即时消息,以及用电子邮件进行信息交流。为了数据得安全性,内网与外网都通过隔离卡或网闸等方式实现内外网得物理隔离,从一定程度上杜绝了内外网得混合使用造成得信息外泄.如下图所示: 然而,对于内网中移动存储介质得随意使用以及外部终端非法接入内网来泄露内部信息得安全隐患,仍然得不到解决。存在得安全隐患主要有: 1、移动存储介质泄密 ◆外来移动存储介质拷去内网信息; ◆内网移动存储介质相互混用,造成泄密; ◆涉密介质丢失造成泄密 2、终端造成泄密 ◆计算机终端各种端口得随意使用,造成泄密; ◆外部终端非法接入内网泄密; ◆内网终端非法外联外部网络泄密 ●捍卫者解决方案 <1>终端外设端口管理
1)对于非常用端口: 使用捍卫者USB安全管理系统,根据具体情况将该终端得不常使用得外设 (如红外、蓝牙、串口、并口等)设置为禁用或就是只读(刻录机,USB端口有该功能),一旦设定则无法从“设备管理器“启用,只能通过捍卫者启用,如下图所示部分终端外设禁用状态,这样可以有效得解决终端外设泄密。 2)USB端口: 内网终端得USB端口建议设置为只读,这样外网使用得存储介质可以向内网拷贝数据,但就是不能从内网终端拷贝出数据。从防病毒考虑,也可以设置为完全禁用,这样只有授权存储介质才能根据授权使用,外部移动存储介质无法使用。 〈2〉移动存储介质授权管理 对内部得移动存储介质进行统一得授权管理,然后在根据需求设定当前USB端口得状态(即USB端口加密),这样外来得移动存储介质在内部终端不可以使用或就是只读,即解决了移动储存介质得随意插拔使用又防止了木马、病毒得传播泛滥。 在授权过程中,首先选择给移动存储介质得使用范围,可以分域授权使用,一对一或一对多得与终端绑定使用(这样移动存储介质在一定得范围内可以任意使用);然后输入移
(安全生产)网络安全解决方案建议书最全版
(安全生产)网络安全解决方案建议书
JuniperISG2000网络安全解 决方案建议书 美国Juniper网络X公司 目录 1前言3 1.1范围定义3 1.2参考标准3 2系统脆弱性和风险分析4 2.1网络边界脆弱性和风险分析4 2.2网络内部脆弱性和风险分析4 3系统安全需求分析5 3.1边界访问控制安全需求5 3.2应用层攻击和蠕虫的检测和阻断需求7 3.3安全管理需求8 4系统安全解决方案9 4.1设计目标9 4.2设计原则9 4.3安全产品的选型原则10
4.4整体安全解决方案11 4.4.1访问控制解决方案11 4.4.2防拒绝服务攻击解决方案13 4.4.3应用层防护解决方案18 4.4.4安全管理解决方案21 5方案中配置安全产品简介22 5.1J UNIPER X公司介绍22 5.2J UNIPER ISG2000系列安全网关25 1前言 1.1范围定义 本文针对的是XXX网络的信息安全问题,从对象层次上讲,它比较全面地囊括了从物理安全、网络安全、系统安全、应用安全到业务安全的各个层次。原则上和信息安全风险有关的因素都应在考虑范围内,但为了抓住重点,体现主要矛盾,在本文主要针对具有较高风险级别的因素加以讨论。从安全手段上讲,本文覆盖了管理和技术俩大方面,其中安全管理体系包括策略体系、组织体系和运作体系。就XXX的实际需要,本次方案将分别从管理和技术俩个环节分别给出相应的解决方案。
1.2参考标准 XXX属于壹个典型的行业网络,必须遵循行业相关的保密标准,同时,为了保证各种网络设备的兼容性和业务的不断发展需要,也必须遵循国际上的相关的统壹标准,我们在设计XXX的网络安全解决方案的时候,主要参考的标准如下: ?NASIATF3.1美国国防部信息保障技术框架v3.1 ?ISO15408/GB/T18336信息技术安全技术信息技术安全性评估准则,第壹部分简介和壹般模型 ?ISO15408/GB/T18336信息技术安全技术信息技术安全性评估准则,第二部分安全功能要求 ?ISO15408/GB/T18336信息技术安全技术信息技术安全性评估准则,第三部分安全保证要求 ?加拿大信息安全技术指南,1997 ?ISO17799第壹部分,信息安全管理CodeofPracticeforInformationSecurityManagement ?GB/T18019-1999包过滤防火墙安全技术要求; ?GB/T18020-1999应用级防火墙安全技术要求; ?国家973信息和网络安全体系研究G1999035801课题组IATF《信息技术保障技术框架》。
网络安全解决方案
网络安全解决方案 网络安全是一项动态的、整体的系统工程,从技术上来说,网络安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件是无法确保信息网络的安全性。 此处重点针对一些普遍性问题和所应采用的相应安全技术,主要包括:建立全面的网络防病毒体系;防火墙技术,控制访问权限,实现网络安全集中管理;应用入侵检测技术保护主机资源,防止内外网攻击;应用安全漏洞扫描技术主动探测网络安全漏洞,进行定期网络安全评估与安全加固;应用网站实时监控与恢复系统,实现网站安全可靠的运行;应用网络安全紧急响应体系,防范安全突发事件。 1.应用防病毒技术,建立全面的网络防病毒体系 随着Internet的不断发展,信息技术已成为促进经济发展、社会进步的巨大推动力。不管是存储在工作站中、服务器里还是流通于Internet上的信息都已转变成为一个关系事业成败关键的策略点,这就使保证信息的安全变得格外重要。 1)采用多层的病毒防卫体系。 网络系统可能会受到来自于多方面的病毒威胁,为了免受病毒所造成的损失,建议采用多层的病毒防卫体系。所谓的多层病毒防卫体系,是指在每台PC 机上安装单机版反病毒软件,在服务器上安装基于服务器的反病毒软件,在网关上安装基于网关的反病毒软件。因为防止病毒的攻击是每个员工的责任,人人都要做到自己使用的台式机上不受病毒的感染,从而保证整个企业网不受病毒的感染。 考虑到病毒在网络中存储、传播、感染的方式各异且途径多种多样,故相应地在构建网络防病毒系统时,应利用全方位的企业防毒产品,实施"层层设防、集中控制、以防为主、防杀结合"的策略。具体而言,就是针对网络中所有可能的病毒攻击设置对应的防毒软件,通过全方位、多层次的防毒系统配置,使网络没有薄弱环节成为病毒入侵的缺口。 2)选择合适的防病毒产品
网络安全技术研究的目的、意义和现状
论文:网络安全技术综述 研究目的: 随着互联网技术的不断发展和广泛应用,计算机网络在现代生活中的作用越来越重要,如今,个人、企业以及政府部门,国家军事部门,不管是天文的还是地理的都依靠网络传递信息,这已成为主流,人们也越来越依赖网络。然而,网络的开放性与共享性容易使它受到外界的攻击与破坏,网络信息的各种入侵行为和犯罪活动接踵而至,信息的安全保密性受到严重影响。因此,网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。 21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。 网络安全技术指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。在网络技术高速发展的今天,对网络安全技术的研究意义重大,它关系到小至个人的利益,大至国家的安全。对网络安全技术的研究就是为了尽最大的努力为个人、国家创造一个良好的网络环境,让网络安全技术更好的为广大用户服务。 研究意义: 一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台.我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要 想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。信息安全是国家发展所面临的一个重要问题.对于这个问题,我们还没有从系统的规划上去考虑它,从技术上,产业上,政策上来发展它.政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化,信息化的发展将起到非常重要的作用。
网络安全设计方案一
网络安全设计方案 2009-03-27 23:02:39 标签: IDC网络系统安全实施方案 1 吉通上海 IDC网络安全功能需求 1.1 吉通上海公司对于网络安全和系统可靠性的总体设想 (1)网络要求有充分的安全措施,以保障网络服务的可用性和网络信息的完整性。要把网络安全层,信息服务器安全层,数据库安全层,信息传输安全层作为一个系统工程来考虑。 网络系统可靠性:为减少单点失效,要分析交换机和路由器应采用负荷或流量分担方式,对服务器、计费服务器和DB服务器,WWW服务器,分别采用的策略。说明对服务器硬件、操作系统及应用软件的安全运行保障、故障自动检测/报警/排除的措施。 对业务系统可靠性,要求满足实现对硬件的冗余设计和对软件可靠性的分析。网络安全应包含:数据安全; 预防病毒; 网络安全层; 操作系统安全; 安全系统等; (2)要求卖方提出完善的系统安全政策及其实施方案,其中至少覆盖以下几个方面: l 对路由器、服务器等的配置要求充分考虑安全因素 l 制定妥善的安全管理政策,例如口令管理、用户帐号管理等。l 在系统中安装、设置安全工具。要求卖方详细列出所提供的安全工具清单及说明。 l 制定对黑客入侵的防范策略。 l 对不同的业务设立不同的安全级别。 (3)卖方可提出自己建议的网络安全方案。 1.2 整体需求 l 安全解决方案应具有防火墙,入侵检测,安全扫描三项基本功能。 l 针对IDC网络管理部分和IDC服务部分应提出不同的安全级别解决方案。 l 所有的IDC安全产品要求厂家稳定的服务保障和技术支持队伍。服务包括产品的定时升级,培训,入侵检测,安全扫描系统报告分析以及对安全事故的快速响应。 l 安全产品应能与集成商方案的网管产品,路由,交换等网络设备功能兼容并有效整合。 l 所有的安全产品应具有公安部的销售许可和国家信息化办公室的安全认证。
网络安全整体解决方案
珠海市网佳科技有限公司 网络安全整体解决方案
目录 第 1 章总体分析及需求 (33) 第 2 章总体设计 (44) 第 3 章防火墙方案 (44) 3.1 本方案的网络拓扑结构 (55) 3.2 本方案的优势: (66) 3.3本方案的产品特色 (77) 第 4 章内网行为管理方案 (88) 4.1 内网安全管理系统介绍 (88) 4.2内网管理系统主要功能 (99) 第 5 章报价单........................................... 错误!未定义书签。错误!未定义书签。
第 1 章总体分析及需求 珠海市网佳科技有限公司新办公大楼由五层办公区域组成,公司规模较大、部门较多,总PC 数量估计在200左右,其中公司财务部门需要相对的独立,以保证财务的绝对安全;对于普通员工,如何防止其利用公司网络处理私人事务,如何防止因个人误操作而引起整个公司网络的瘫痪,这些都是现在企业网络急待解决的问题。随着公司规模的不断壮大,逐渐形成了企业总部-各地分支机构-移动办公人员的新型互动运营模式,怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。同时,如何防止骇客攻击、病毒传播、蠕虫攻击、敏感信息泄露等都是需要考虑的问题,如: 第一、随着电脑数量的增加,如果网络不划分VLAN,所有的PC都在一个广播域内,万一网内有一台PC中了ARP,那么将影响到整个网络的稳定; 第二、各类服务器是企业重要数据所在,而服务器如果不采取一定的保护机制,则会经常遭受来自内外网病毒及其它黑客的攻击,导致服务器不能正常工作及信息泄露,经企业带来不可估量的损失; 第三、网络没有网管型的设备,无法对网络进行有效的控制,使网络管理员心有余力而力不从心,往往是事倍功半,如无法控制P2P软件下载而占用网络带宽;无法限制QQ、MSN、SKYPE等即时聊天软件;网管员无法对网络内的流量进行控制,造成网络资源的使用浪费; 第四、企业有分支机构、移动办公人员,无法与总部互动、访问总部K3、ERP等重要数据资源,从而不能及时获取办公所需数据。 综上分析,珠海市网佳科技有限公司按照企业目前网络情况,有针对性地实施网络安全方面的措施,为网络的正常运行及服务器数据的安全性做好前期工作。
信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求.doc
《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》(征求 意见稿) 编制说明 1 工作简况 1.1任务来源 2015年,经国标委批准,全国信息安全标准化技术委员会(SAC/TC260)主任办公会讨论通过,研究制订《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》国家标准,国标计划号:2015bzzd-WG5-001。该项目由全国信息安全标准化技术委员会提出,全国信息安全标准化技术委员会归口,由公安部第三研究所、公安部计算机信息系统安全产品质量监督检验中心(以下简称“检测中心”)负责主编。 国家发改委颁布了发改办高技[2013]1965号文《国家发展改革委办公厅关于组织实施2013年国家信息安全专项有关事项的通知》,开展实施工业控制等多个领域的信息安全专用产品扶持工作。面向现场设备环境的边界安全专用网关产品为重点扶持的工控信息安全产品之一,其中包含了隔离类设备,表明了工控隔离产品在工控领域信息安全产品中的地位,其标准的建设工作至关重要。因此本标准项目建设工作也是为了推荐我国工业控制系统信息安全的重要举措之一。 1.2协作单位 在接到《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》标准的任务后,检测中心立即与产品生产厂商、工业控制厂商进行沟通,并得到了多家单位的积极参与和反馈。最终确定由北京匡恩网络科技有限责任公司、珠海市鸿瑞软件技术有限公司、北京力控华康科技有限公司等单位作为标准编制协作单位。 1.3编制的背景 目前工业控制系统已广泛应用于我国电力、水利、石化、交通运输、制药以
及大型制造行业,工控系统已是国家安全战略的重要组成部分,一旦工控系统中的数据信息及控制指令被攻击者窃取篡改破坏,将对工业生产和国家经济安全带来重大安全风险。 随着计算机和网络技术的发展,特别是信息化与工业化深度融合,逐步形成了管理与控制的一体化,导致生产控制系统不再是一个独立运行的系统,其接入的范围不仅扩展到了企业网甚至互联网,从而面临着来自互联网的威胁。同时,随着工控系统产品越来越多地采用通用协议、通用硬件和通用软件,病毒、木马等威胁正在向工控系统扩散,工控系统信息安全问题日益突出,因此如何将工控系统与管理系统进行安全防护已经破在眉捷,必须尽快建立安全标准以满足国家信息安全的战略需要。 1.4编制的目的 在标准制定过程中,坚持以国内外产品发展的动向为研究基础,对工控隔离产品的安全技术要求提出规范化的要求,并结合工业控制系统安全防护中产品的使用,制定切实可行的产品标准。标准可用于该类产品的研制、开发、测试、评估和产品的采购,有利于规范化、统一化。 2 主要编制过程 2.1成立编制组 2015年7月接到标准编制任务,组建标准编制组,由公安部第三研究所检测中心、珠海鸿瑞、匡恩网络、力控华康联合编制。检测中心的编制组成员均具有资深的审计产品检测经验、有足够的标准编制经验、熟悉CC、熟悉工业控制安全;其他厂商的编制成员均为工控隔离产品的研发负责人及主要研发人员。公安部检测中心人员包括邹春明、陆臻、沈清泓、田原、李旋、孟双、顾健等;其它厂商包括刘智勇、陈敏超、张大江、王晓旭等。 2.2制定工作计划 编制组首先制定了编制工作计划,并确定了编制组人员例会安排以便及时沟通交流工作情况。
[大学生网络安全建议书范文参考]项目建议书范文
[大学生网络安全建议书范文参考]项目建议书范文 网络文明,人人有责,下面是的大学生网络安全建议书范文参考,欢迎阅读参考。 网络是一把“双刃剑”,在信息集中爆炸的互联网时代,大量信息在丰富我们生活、增加我们信息的同时,也因为一些人不文明上网,导致各种违法虚假、破坏社会和谐稳定的不良信息泛起,谎言 __不时出现,污染网络环境,败坏社会风气,严重侵害了广大网民的身心健康。 网络文明,人人有责,争做网络文明传播志愿者,开展“网络文明传播”活动,意在重点解决网络道德缺失、传播不良信息等问题,形成文明上网、传播文明信息的良好风尚。 做网络文明的志愿者,就要以社会主义荣辱观为指导,努力传播先进文化和优秀传统文化;就要加强思想政治、法律法规学习,不断提升政治素质,增强法制观念,增强敬业精神,提高辨别能力;要进一步强化职业技能,提升专业技术水平,提高工作效率;就要从我做起,自觉自律文明上网、绿色上网。 网络是我们共有的精神家园,需要我们共同维护,积极参与网络文明传播志愿者活动,增强自律意识和道德修养,自觉遵纪守法,
规范自己的网络行为,用理性的态度上网,用文明的语言发表自己的观点和看法,用我们的实际行动,去影响感动身边的每一个人,引导和带动其他人多做对自己、对家庭、对社会、对城市有意义、有贡献的事。 建议人:XXX 时间:XXXX年XX月XX日 全校学生朋友们: 大家好! 随着互联网的迅速发展,网络已成为学生学习知识、交流思想、休闲娱乐的重要平台。 网络拓宽了学生的求知途径,为中学生打开了认识世界的一扇窗,更为他们创造了一个求知的广阔空间。 网络为学生提供展现自我的个性空间,学生在这里拥有自己平等的权利和展现自我的机会。
网络隔离技术发展历程和未来方向
网络隔离技术发展历程和未来方向 面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求,全新安全防护防范理念的网络安全技术——“网络隔离技术”应运而生。 网络隔离技术的目标是确保把有害的攻击隔离,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的,它弥补了原有安全技术的不足,突出了自己的优势。 隔离技术的发展历程 网络隔离,英文名为Network Isolation,主要是指把两个或两个以上可路由的网络(如:TCP/IP)通过不可路由的协议(如:IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议,所以通常也叫协议隔离(Protocol Isolation)。1997年,信息安全专家Mark Joseph Edwards在他编写的《Understanding Network Security》一书中,他就对协议隔离进行了归类。在书中他明确地指出了协议隔离和防火墙不属于同类产品。 隔离概念是在为了保护高安全度网络环境的情况下产生的;隔离产品的大量出现,也是经历了五代隔离技术不断的实践和理论相结合后得来的。 第一代隔离技术——完全的隔离。此方法使得网络处于信息孤岛状态,做到了完全的物理隔离,需要至少两套网络和系统,更重要的是信息交流的不便和成本的提高,这样给维护和使用带来了极大的不便。 第二代隔离技术——硬件卡隔离。在客户端增加一块硬件卡,客户端硬盘或其他存储设备首先连接到该卡,然后再转接到主板上,通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时,同时选择了该卡上不同的网络接口,连接到不同的网络。但是,这种隔离产品有的仍然需要网络布线为双网线结构,产品存在着较大的安全隐患。 第三代隔离技术—数据转播隔离。利用转播系统分时复制文件的途径来实现隔离,切换时间非常之久,甚至需要手工完成,不仅明显地减缓了访问速度,更不支持常见的网络应用,失去了网络存在的意义。 第四代隔离技术—空气开关隔离。它是通过使用单刀双掷开关,使得内外部网络分时访问临时缓存器来完成数据交换的,但在安全和性能上存在有许多问题。 第五代隔离技术—安全通道隔离。此技术通过专用通信硬件和专有安全协议等安全机制,来实现内外部网络的隔离和数据交换,不仅解决了以前隔离技术存在的问题,并有效地把内外部网络隔离开来,而且高效地实现了内外网数据的安全交换,透明支持多种网络应用,成为当前隔离技术的发展方向。 隔离技术需具备的安全要点 要具有高度的自身安全性隔离产品要保证自身具有高度的安全性,至少在理论和实践上要比防火墙高一个安全级别。从技术实现上,除了和防火墙一样对操作系统进行加固优化或采用安全操作系统外,关键在于要把外网接口和内网接口从一套操作系统中分离出来。也就是说至少要由两套主机系统组成,一套控制外网接口,另一套控制内网接口,然后在两套主机系统之间通过不可路由的协议进行数据交换,如此,既便黑客攻破了外网系统,仍然无法控制内网系统,就达到了更高的安全级别。 要确保网络之间是隔离的保证网间隔离的关键是网络包不可路由到对方网络,无论中间采用了什么转换方法,只要最终使得一方的网络包能够进入到对方的网络中,都无法称之为隔离,即达不到隔离的效果。显然,只是对网间的包进行转发,并且允许建立端到端连接的防火墙,是没有任何隔离效果的。此外,那些只是把网络包转换为文本,交换到对方网络后,再把文本转换为网络包的产品也是没有做到隔离的。 要保证网间交换的只是应用数据既然要达到网络隔离,就必须做到彻底防范基于网络协
网络视频监控内外网互通与安全隔离解决方案
近年来,随着网络视频监控在各个行业的广泛部署,如何保证整个系统在网络层面的安全性越来越成为大家关注的重点。尤其是在面临专网视频监控系统(内部)与公网视频监控系统(外部)进行互通时,这个问题显得尤为突出。 平安城市就是一个很典型的例子。在平安城市的建设中,需要构建一个能够覆盖城市重要单位、重点场所、主要路口、主要出入通道、治安卡口、学校、居民小区等各个层面的社会面治安监控系统,整个系统的控制和管理基本上都归口到当地公安部门。而上面提到的这些监控部位,有些是属于公安专网的,比如治安卡口、重点场所,有些是属于外部网络的,比如学校、居民小区、网吧等。为了实现这些监控资源的统一调用和灵活共享,公安专网的视频监控系统与外部的视频监控系统必须要进行网络化互联,而根据保密要求,公安专网与外部网络又必须要进行物理隔离,这样就存在一个无法回避的矛盾。 而且,随着中国电信、中国网通分别通过“全球眼”和“宽视界”两大运营级网络视频监控系统对平安城市建设的介入,将会有越来越多的社会面监控资源承载在公网平台上,安全隔离将成为公安部门通过其专网视频监控系统进行社会面监控资源调用时的主要障碍。 为此,科达将目前在公安、政府、军队等涉密专网中广泛使用的网闸技术应用到了运营级和ViewShot两大网络视频监控产品中,推出了基于网闸的网络视频监控安全隔离解决方案,可以在保证系统物理隔离的情况下,实现内、外网监控资源的灵活调用,从而有效解决上面提到的问题。 网闸原理与应用 网闸(或物理隔离网闸)是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于网闸所连接的两个独立主机系统之间,不存在通信的物理连接与逻辑连接,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,所以,网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,可以实现真正的安全。 网闸在网络环境中的位置:
信息安全建设方案建议书六
信息安全建设方案 建议书六
第1章云基础设施平台建设 1.1 云计算中心建设目标 建立以服务为主的云计算中心,同时后期扩展可为物联网、文化创意、工业设计、电子商务、物流管理等众多领域的个人、研究机构、企业等提供优质服务与决策支撑。云计算中心采用虚拟化、云存储等关键技术,能够有效地提高设备利用率,降低总体拥有成本。 1.便于软硬件集约使用与维护,节约应用成本; 2.便于资源整合,提高办公效率; 3.便于统筹网络安全管理,提高安全等级; 4.便于数据集中处理,提升共享便捷性和利用水平。 1.2 云基础架构云平台的建设内容 云基础架构云平台建设的主要内容在于建设基础架构层云计算服务IAAS的资源环境,实现IT基础计算资源的共享和自动化。
本平台的主要内容在于建设云计算平台基础架构层的云计算服务IAAS,将基础架构的各种物理资源虚拟化、资源池化,管理员能够按云的服务及应用负载的要求从资源池中灵活调用资源,能够实现资源的动态添加或缩减。这种云平台能够提供虚拟化的资源,从而隐藏物理资源的复杂性、异构性。物理资源是指支撑云计算上层服务的各种物理设备,包括:服务器、网络设备、存储设备等。 云基础架构云平台(IAAS)的具体建设内容: 1) 将云基础架构云计算平台建设成一个高度整合、资源灵活调 配、运维自动化、高可用性的适应性基础设施云计算平台,并构造成一个功能齐全、设备先进、运行高效、使用灵活、维护方便、易于扩展、安全可靠的服务器、存储及网络系统平台,用以支撑各种警种业务应用。 2) 为云计算中心创立统一、可扩展的共享资源池,共享资源包 括服务器、存储和网络。经过所有 IT 基础设施资源的池 化,能够实现IT系统资源的灵活共享和动态调整,做到基 础设施资源的统建共用,按需无缝扩容,从而避免重复投 资,提高资源利用率和减少投资成本。 3) 实现云IT计算资源分配供给的流程化与自动化。经过云计 算平台,实现虚拟机、物理机、存储以及相应资源的按需自
集团公司网络安全总体规划方案
昆明钢铁集团公司 信息安全建设规划建议书 昆明睿哲科技有限公司 2013年11月
目录 第1章综述 (3) 1.1 概述 (3) 1.2 现状分析 (3) 1.3 设计目标 (6) 第2章信息安全总体规划 (8) 2.1设计目标、依据及原则 (8) 2.1.1设计目标 (8) 2.1.2设计依据 (8) 2.1.3设计原则 (9) 2.2总体信息安全规划方案 (10) 2.2.1信息安全管理体系 (10) 2.2.2分阶段建设策略 (16) 第3章分阶段安全建设规划 (18) 3.1 规划原则 (18) 3.2 安全基础框架设计 (19) 第4章初期规划 (20) 4.1 建设目标 (20) 4.2 建立信息安全管理体系 (20) 4.3 建立安全管理组织 (22) 第5章中期规划 (25) 5.1 建设目标 (25) 5.2 建立基础保障体系 (25) 5.3 建立监控审计体系 (25) 5.4 建立应急响应体系 (27) 5.5 建立灾难备份与恢复体系 (31) 第6章三期规划 (34) 6.1 建设目标 (34) 6.2 建立服务保障体系 (34) 6.3 保持和改进ISMS (35) 第7章总结 (36) 7.1 综述 (36) 7.2 效果预期 (36) 7.3 后期 (36)
第1章综述 1.1概述 信息技术革命和经济全球化的发展,使企业间的竞争已经转为技术和信息的竞争,随着企业的业务的快速增长、企业信息系统规模的不断扩大,企业对信息技术的依赖性也越来越强,企业是否能长期生存、企业的业务是否能高效的运作也越来越依赖于是否有一个稳定、安全的信息系统和数据资产。因此,确保信息系统稳定、安全的运行,保证企业知识资产的安全,已经成为现代企业发展创新的必然要求,信息安全能力已成为企业核心竞争力的重要部分。 企业高度重视客户及生产信息,生产资料,设计文档,知识产权之安全防护。而终端,服务器作为信息数据的载体,是信息安全防护的首要目标。 与此同时,随着企业业务领域的扩展和规模的快速扩张,为了满足企业发展和业务需要,企业的IT生产和支撑支撑系统也进行了相应规模的建设和扩展,为了满足生产的高速发展,市场的大力扩张,企业决定在近期进行信息安全系统系统的调研建设,因此随着IT系统规模的扩大和应用的复杂化,相关的信息安全风险也随之而来,比如病毒、蠕虫、垃圾邮件、间谍软件、流氓软件、数据截获、嗅探、监听、肆意泛滥,内部机密数据泄漏、办公系统受到影响等等,因此为了保证企业业务正常运营、制卡系统的高效安全的运行,不因各种安全威胁的破坏而中断,信息安全建设不可或缺,信息安全建设必然应该和当前的信息化建设进行统一全局考虑,应该在相关的重要信息化建设中进行安全前置的考虑和规划,避免安全防护措施的遗漏,安全防护的滞后造成的重大安全事件的发生。。 本次企业信息安全体系建设规划主要考虑采用各种被证明是行之有效的各种信息安全产品和技术,帮助企业建设一个主动、高效、全面的信息安全防御体系,降低信息安全风险,更好的为企业生产和运营服务。 1.2现状分析 目前企业已经在前期进行了部分信息安全的建设,包括终端上的一部分防病毒,网络边界处的基本防火墙等安全软件和设备,在很大程度上已经对外部威胁
网站安全防护解决方案
网站安全防护解决方案 WEB应用是当前业务系统使用最为广泛的形式。根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时,数据也显示,2/3的WEB网站都相当脆弱,易受攻击。据美国国防部统计,每1000行Web 代码中存在5~15个漏洞,而修补一个漏洞通常需要2~9小时。 根据CNCERT的最新统计数据,2007年CNCERT共接到网络安全事件报告4390件。2007年我国大陆被篡改网站总数达到了61228个,同比增长1.5倍;其中政府网站(https://www.360docs.net/doc/e915018195.html,)被篡改3407个,占大陆被篡改网站的7%。CNCERT统计显示,大陆地区约有4.3万个IP地址主机被植入木马,约有362万个IP地址主机被植入僵尸程序。从以上数据可以看出,提高业务网站的安全防护,是保障业务正常进行的必然前提。 因此,对于影响力强和受众多的门户网站,需要专门的网页(主页)防篡改系统来保护网页和保障网站内容的安全。 政府门户网站的潜在风险 政府门户网站因需要被公众访问而暴露于因特网上,容易成为黑客的攻击目标。其中,黑客和不法分子对网站的网页(主页)内容的篡改是时常发生的,而这类事件对公众产生的负面影响又是非常严重的,即:政府形象受损、信息传达失准,甚至可能引发信息泄密等安全事件。。网页篡改者利用操作系统的漏洞和管理的缺陷进行攻击,而目前大量的安全措施(如安装防火墙、入侵检测)集中在网络层上,它们无法有效阻止网页篡改事件发生。目前,政府门户网站常因以下安全漏洞及配置问题,而引发网页信息被篡改、入侵等安全事件:
1. 网站数据库账号管理不规范,如:使用默认管理帐号(admin,root,manager等)、弱口令等; 2. 门户网站程序设计存在的安全问题,网站程序设计者在编写时,对相关的安全问题没有做适当的处理,存在安全隐患,如SQL注入,上传漏洞,脚本跨站执行等; 3. WEB服务器配置不当,系统本身安全策略设置存在缺陷,可导致门 户网站被入侵的问题; 4. WEB应用服务权限设置导致系统被入侵的问题; 5. WEB服务器系统和应用服务的补丁未升级导致门户网站可能被入侵 的安全问题等。 政府门户网站安全防护解决方案 根据目前政府门户网站可能存在的安全隐患及风险,给政府门户网站提出如下安全防护解决方案: 在政府门户网站信息系统的Internet边界上或者WEB服务器的前端部署KILL-WEB应用防火墙,并在Web防火墙上实施以下安全策略: l 对政府门户网站及网上系统进行全面的安全防护,过滤如SQL注入、跨站脚本等因传统防火墙不能防护的安全问题; l 对政府门户网站进行WEB隐藏,避免利用扫描软件对其进行信息获取分析; l 设置政府门户网站页面防篡改功能及恢复功能,避免恶意篡改页面;
确保网络安全的物理隔离技术
确保网络安全的物理隔离技术 03级软件工程黄志艳 [摘要]文章介绍了网络工程所要采取的安全措施,并重点介绍了物理隔离技术,阐述了几种物理隔离技术对各种环境下网络和单机进行信息安全保护的措施及方法,以及它们各自的特点。 [关键词]物理隔离逻辑机制涉密网隔离卡 1引言 近年来,我国信息产业的发展突飞猛进,极大地提高了我国的综合竞争实力。互联网的方便快捷令人受益匪浅,也使我们的工作效率得到了很大提高,但与此同时,信息网络的普及给我们带来了新的威胁,诸如数据窃贼、黑客侵袭、病毒骚扰甚至系统内部泄密等等,使我们的工作、生活、个人利益、国家利益遭受损失。所以,互联网的安全性能对我们在进行网络互联时如何确保企业、国家的秘密不受侵犯提出了挑战,安全保护成了亟待解决的首要问题。 2现有的网络安全解决方案 面对网络安全的各种威胁,现在常见的安全防护方法主要有:法规和行政命令、软件解决方案的物理隔离方案三大类。 2.1法规和行政命令 法规和行政命令对安全工作是绝对必要的,严格的工作纪律是安全防护的重要保证。但是老虎也有打盹的时候,当然不能排除工作中的稍微疏忽所导致的破坏行政规则,泄露机密信息的情况,况且还可能有故意泄露或破坏者。所以,在这个经济高度发展的社会仅有人为的安全法规和命令是远远不够的。 2.2软件解决方案 现在正在广泛应用的是许多复杂的软件和部分硬件技术,如防火墙、加密技术、鉴别技术、数字签名技术、审计监控技术、病毒防治技术等手段,用预先设置的规则来检测和拒绝可能有害的操作和信息,降低来自Internet的危险。但是由于这些技术都是基于软件的保护,属于一种逻辑机制,所以对于逻辑实体(黑客或内部用户)而言是可能被操纵或破解的。再者由于这些技术的极端复杂性与有限性,这些在线分析技术无法满足某些组织(如政府、金融、电信、研究机构和高科技企业)提出的高度数据安全要求。 从这些方面来看,软件技术可以保障网络的正常运作和常规安全,但并不能满足高度机密部门的内部涉密网万无一失的安全要求。 2.3 物理隔离方案 根据国家保密局2000年1月1日起颁布实施的《计算机信息系统国际联网保密管理规定》之规定:“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行物理隔离”,于是物理隔离安全技术应运而生。它是采用硬件物理隔离方案,将内部涉密网与外部网彻底地物理隔离开,没有任何线路连接。这样可以保证网上黑客无法连接内部涉密网,具有极高的安全性,但也可能会造成工作不便、数据交流困难、设备场地增加和维护费用提高等负面影响。尽管如此,瑕不掩玉,物理隔离是目前保障信息安全的最有效的措施。 3物理隔离的要求与分类 3.1 物理隔离在安全上的要求主要概括为两点 其一是在物理传导上使涉密网络和公共网络隔断,确保公共网络不能通过网络连接而侵
vpn网络安全接入方案建议书
VPN网络安全接入方案建议书 目录
第一章网络安全思想概述 (2) 1.1 前言 (2) 1.2 威胁来自何处 (2) 1.3 防火墙简介 (3) 1.4 安全网络 (5) 1.5 虚拟专用网VPN (5) 1.5.1 如何构筑虚拟专用网VPN (6) 1.5.2 安装和配置VPN (9) 第二章用户总体需求分析 (9) 第三章网络安全解决方案 (10) 3.1 防火墙安全方案 (10) 3.2 XX网络安全解决方案描述 (11) 3. 3 VPN网的建立 (12) 第四章、Hillstone山石网科介绍 (13) 3.4.1 产品功能及特点 (13) 3.4.2 访问控制 (15) 3.4.3 管理 (16) 3.4.4 产品适用范围 (16)
第一章网络安全思想概述 1.1 前言 随着计算机与网络通信技术的发展,越来越多的企业活动建立在计算机网络信息系统的基础上。而Internet在世界范围内的迅速普及,使企业内部网络联入世界范围的Internet的要求越来越迫切。Internet上的商务和经济活动的增多对网络系统的安全提出了很高的要求,解决这些问题的难度也越来越大。来自企业内部和外部的非法访问和恶意入侵事件时有发生,并呈不断上升的趋势。这不仅影响了计算机网络系统的实际应用,而且还极大地动摇了用户的信心。“我们能使用计算机来处理我们的重要信息吗”。 1.2 威胁来自何处 面对汹涌而来的信息技术革命,如何保证计算机网络信息系统的安全,保护自己不受安全隐患的威胁,并且有效的管理、合理地使用网络信息资源,已成为每一个企业所关心的迫切问题。电子商务、网上银行等网上商务活动的急剧增长对网络信息系统的安全提出了更迫切的要求。 我们认为,计算机网络信息系统的安全问题主要来源于以下几个方面: ●非法入侵:包括来自企业内部和外部的非法入侵,导致数据的丢失和泄密、 系统资源的非法占有等; ●计算机病毒:导致系统的性能下降甚至崩溃,系统数据的丢失等; ●拒绝服务攻击:非法占用系统资源,导致系统服务停止甚至崩溃; 计算机网络信息系统安全威胁的另一个来源是:人们通常将网络系统作为一项技术或工程来实施,缺乏统一的安全管理策略和专门的网络安全管理人才。而且,网络信息系统的安全环境是非常复杂并且不断变化的,但相当多的系统管理员只将精力集中于帐户的维护、系统日志审查和网络规范的设计及调整上面,很少有人去研究网络安全状态的发展变化、计算机入侵手段、系统安全防范措施、安全策略,甚至更少有时间去监控网络的实际活动状态、入侵迹象或系统的错误使用记录等,这就导致了网络系统实际的安全状态和预期标准之间相差很远。 最终用户只期望尽快使用网络,最大限度地获取有效的信息资源,但很少考虑此过程中实际的风险和低效率。他们侧重于类似Netscape Navigator、Internet Explorer、Word、PowerPoint等应用软件的操作上面,很少接受如网络攻击、信息保密、人为破坏系统和篡
政府部门网络安全解决方案
政府网络安全解决方案 背景概述 电子政务离不开网络信任机制的支撑,加快网络信任体系建设是政务信息化建设的一项重要任务。得益于传统的安全技术及方案的实施,在网络边界问题得以日益健全的今天,内网安全问题越发突出,如何解决面临的严重内网威胁,可靠,合理的利用好现有的网络资源,将内网安全隐患拒之门外,营造高效,绿色的政务网络,为社会大众,提供全方位的信息服务,更好地实现政务公开和网上办事等多种服务功能。 面临的主要内网威胁 随着政务信息化网络建设的全面推进,越来越多的政府部门正在将大部分应用业务系统部署于网络中实现办公自动化,政务信息公开化。一方面,随着网络系统应用的全面开展,提高了政府部门的工作效率,赢得了广大群众的一致好评。另一方面,随着信息化的全面铺展,越来越多的应用终端加入到政务系统中,办公人员信息化技能的欠缺、黑客和病毒行为猖獗导致内网安全隐患与日俱增。政务信息系统运行的内容大都关联着行政的全过程,所以安全问题不可忽视。政府信息化系统面临的内网安全主要包括以下几方面: 一、办公人员缺乏IT安全意识,导致终端防病毒软件安装率低下。 二、缺乏有效监管机制,导致一些非正常办公软件的滥用,P2P充斥着内部网络。 三、部分办公人员为了简单省事,缺乏系统登录口令的设置,或系统口令设置过于简单,给 不法份子有机可趁。 四、终端系统补丁长期不更新,给不法分子入侵提供后门。 五、缺乏统一管理机制,县市级部门缺乏有效的IT网管力量,导致各自为营的局面。 …… 种种现状导致内网环境一片混乱,各种安全事故频发,原本能够提高工作效率的政务信息网犹如一潭深泥,让网管人员深陷其中不得脱身。 盈高内网安全统一解决方案
网络安全解决方案设计正式版
Some problems that have appeared or can be expected to come up with a solution to the problem, and through the record of the terms, effective supervision and implementation.网络安全解决方案设计正 式版
网络安全解决方案设计正式版 下载提示:此方案资料适用于某些已经出现的或者可以预期的问题,不足,缺陷,需求等,所提出的一个解决问题的方案,并通过明文或条款的记录,加以有效的监督与执行,确保能达到预期的效果。文档可以直接使用,也可根据实际需要修订后使用。 网络信息系统的安全技术体系通常是在安全策略指导下合理配置和部署:网络隔离与访问控制、入侵检测与响应、漏洞扫描、防病毒、数据加密、身份认证、安全监控与审计等技术设备,并且在各个设备或系统之间,能够实现系统功能互补和协调动作。 网络系统安全具备的功能及配置原则 1.网络隔离与访问控制。通过对特定网段、服务进行物理和逻辑隔离,并建立访问控制机制,将绝大多数攻击阻止在网络和服务的边界以外。
2.漏洞发现与堵塞。通过对网络和运行系统安全漏洞的周期检查,发现可能被攻击所利用的漏洞,并利用补丁或从管理上堵塞漏洞。 3.入侵检测与响应。通过对特定网络(段)、服务建立的入侵检测与响应体系,实时检测出攻击倾向和行为,并采取相应的行动(如断开网络连接和服务、记录攻击过程、加强审计等)。 4.加密保护。主动的加密通信,可使攻击者不能了解、修改敏感信息(如方式)或数据加密通信方式;对保密或敏感数据进行加密存储,可防止窃取或丢失。 5.备份和恢复。良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数
工控网络安全解决方案
第一章安全概况 SCADA、DCS、PCS、PLC等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域,用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。 2010年发生的“震网”病毒事件,充分反映出工业控制系统信息安全面临着严峻的形势。与此同时,我国工业控制系统信息安全管理工作中仍存在不少问题,主要是对工业控制系统信息安全问题重视不够,管理制度不健全,相关标准规范缺失,技术防护措施不到位,安全防护能力和应急处置能力不高等,威胁着工业生产安全和社会正常运转。对此,各地区、各部门、各单位务必高度重视,增强风险意识、责任意识和紧迫感,切实加强工业控制系统信息安全管理。 去年,一款名为Worm.Win32.Stuxnet的蠕虫病毒席卷全球工业界,在短时间内威胁到了众多企业的正常运行。Stuxnet病毒被多国安全专家形容为全球首个“超级工厂病毒”,截至目前,该病毒已经感染了全球超过45000个网络,伊朗、印尼、美国等多地均不能幸免。其中,以伊朗遭到的攻击最为严重,该病毒已经造成伊朗布什尔核电站推迟发电,60%的个人电脑感染了这种病毒。 2003年1月,Slammer蠕虫病毒入侵大量工厂网络,直到防火墙将其截获,人们依然认为系统是安全的。 2005年8月13日美国佳士拿汽车工厂的控制系统通过维修人员的笔记本电 脑感染病毒,虽然已安装了IT防火墙,病毒就在几秒钟之内从一个车间感染到另一个车间,从而最终导致停工。 ?2006年10月一部被感染的笔记本电脑(维修用的),让黑客入侵访问了在美国宾夕法尼亚州的哈里斯堡水处理厂的计算机系统。 ?2006年8月因反应堆在‘高功率、低流量条件’的危险情况下, 美国Browns