安全隔离网闸技术指标2台

安全隔离网闸技术指标：2台

注：技术参数指标只允许正偏离,不满足配置需求为作废标书，将导致投标被拒绝且不允许在开标后补正。

1 系统集成

1.1 系统安装、调试地点

投标人负责完成指定地点的设备安装及相关工作。

1.2 安装调试（集成）具体内容

安装调试的主要目标是使经过本次采购设备后，经过系统集成，使整个网络能够连通并具有互操作性、所有设备能够接通并正常运转、所有软件能够在相应平台上正常运行，并与已有设备互连互通，且与已有设备服务商密切合作，实现所有设备互连互通，满足业务系正常运行的要求。投标人有责任且必须承诺使项目单位的系统达到以上目标。

1.2.1 设备集成内容

根据标书要求,在标书规定的地点和环境下, 实现投标设备与其他设备的连接并正常运行,达到标书要求的性能和产品技术规格中的性能。系统集成中涉及的线缆等辅助材料或附件均由投标人负责，采购人不再支付任何费用。产品应由厂商专业技术人员进行安装调试或进行产品安装配置的检查和指导。

1.2.2 产品验收要求

1) 依标书要求对全部设备、产品、型号、规格、数量、外型、外观、包装

及资料、文件（如装箱单、保修单、随箱介质等）的验收。

2) 按标书技术部分要求对其产品的性能和配置进行测试检查，并做出测试方案和测试报告。

3) 安装、局部配套设备的连接测试，构成相应的硬件平台和网络平台。

4) 项目单位与投标方对设备到货后共同进行开箱检查，出现损坏、数量不全或产品不对等问题时，由投标人负责解决。

5) 设备产品测试中出现性能指标或功能上不符合标书和合同要求时，项目单位有拒收的权利。

6) 如开箱验货和测试中出现不符合标书和合同要求的严重质量问题时，项目单位保留索赔权利。

1.3 系统集成要求

1.3.1统集成内容

具体包括下列（但不限于）的集成：

完成所投产品的网络连接和系统配置，实现与其他设备的互联互通，根据业务需要做好系统规则的设置，保证业务系统能够正常通讯。

1.3.2 电缆和验收

投标人应当提供系统集成过程中所使用的电缆，在设备验收时提供调试和使用的电缆。

1.4 技术文档

投标人对其所提供的设备进行安装，其中包括：布线、安装、测试和联网调试、验收，必须提供的文档。所有的设备技术文件必须包含中文。

1.4.1技术文件

投标人必须向项目单位提供设备的安装、运行、使用、测试、诊断和维修的技术文件。

1.4.2安装计划

安装计划应包括运输/交货计划、测试计划、配线计划、迁移计划等，安装日期在聊城市国家税务局统筹安排下确定。

1.4.3 网络配置计划

投标人将提供一个网络配置计划，包括配置图和配件清单等。

1.4.4 安装指南

投标人应当提供所购软件、硬件设备的安装指南；

2 技术支持与售后服务

2.1 技术后援支持

投标人必须向项目单位承诺技术后援支持。为今后设备和网络的功能扩充提供五年的免费技术支持.

2.2 保修及系统维护服务（售后服务）

2.2.1 保修

本标书中所有设备必须有以下保修条件：

1）设备原厂5年的保修服务

2）保修期内，投标人负责对其提供的设备进行维修，不再收取任何费用，无法维修的设备需免费更换为同档次或更高档次的其他型号新的产品。

3）投标人必须在1小时内对项目单位所提出的维修要求作出响应，2小时内到达现场，系统故障24小时内必须维修完毕，否则必须提供替代设备。

2.2.2 系统维护服务保证

投标人必须向项目单位说明并承诺下列系统维护服务内容：

1）五年内免费维修、维护的日期、方式、范围（产品、技术、模块、部件）。

2）五年后收费维修、维护的日期、方式、范围（产品、技术、模块、部件）。

3 系统集成与售后服务费用

投标人必须将集成、技术支持和售后服务各项费用列表描述，所列费用计入总投标价之内。五年后的收费维护的服务费仅列表，不计入总价。

4 验收要求

4.1 按标书要求对全部产品、型号、规格、数量、外型、外观、包装及资料、文件（如原产地证明、装箱单、保修单、随箱介质等）进行验收，必须达到与标书完全一致。

4.2 拆箱后，应对其全部产品、零件、配件、用户许可证书、资料、介质造册登记，并与装箱单对比，如有出入应立即书面记录，由供货商解决，如影响安装则按合同有关条款处理。

4.3 设备通电测试应单台进行，所有设备通电自检正常后，才能相互联接。

4.4 硬件全部安装完成且连接完毕后进行系统测试，应严格按测试计划进行，做好各项原始记录。

4.5 系统测试中如发现设备性能指标或功能上不符合标书和合同要求时，将被看作性能不合格，用户有权拒收并要求赔偿。

5 交货要求

交货地点：聊城市国家税务局；交货时间：签订合同后15天内，投标时自报最快交货期。

6 培训

投标人应为采购人提供现场培训和至少一人次原厂培训等培训方式。

6.1 现场培训

投标人应为采购人提供现场培训服务，为采购人正确使用提供技术指导。使采购人能够熟练掌握并正确操作设备。培训内容至少应包含：

1）设备的安装、引导

2）系统软硬件结构及特性

3）系统的实际操作

培训日期：设备安装调试完毕、系统验收前

培训地点：采购人设备安装现场

培训人数：采购人自定

合格标准：经过培训后，采购人（用户）熟悉系统的工作原理，能独立操作和进行简单的维护。

根据客户的使用情况，当采购人（用户）操作人员有变动或系统软件升级时，投标人应到现场对操作人员进行培训，使系统能稳定的运行，避免不必要的误操作等情况发生。

6.2 原厂培训（设备生产厂商培训基地）

投标人应为采购人提供原厂培训服务，培训课程包括：产品技术培训，工程安装培训，维护管理培训等；培训方式采取集中培训方式，培训人数至少1人，培训天数由投标人根据课程内容确定。投标人负责培训所需的所有费用，包括讲师、培训教材、食宿、会议室等。培训费用在投标报价中单列，计入总价，并由投标人报出详细培训方案。具体培训时间根据项目的实施情况共同协商确定。

7 竞价报价

7.1 报价币种为人民币。

7.2 报价应包含按要求完成工程内容的所有费用，为交钥匙项目，报

价包含主件、标准附件、备品备件、专用工具、安装、调试、检验、培训、技术服务、运杂、保险费用及其他费用。

7.3 投标人须提供分项单价和投标总价，如果单价和总价不符，以单

价为准，但单价金额小数点有明显错误的除外，投标人对同一种货物只允许有一个报价。

7.4 如果大写的金额和小写的金额不一致时，以大写的金额为准。

7.5 投标人免费提供的项目，应先填写该项目的实际价格，并注明免

费。此项不计入总报价。

7.6 五年后收费维修的费用只列示（按年度列示，并承诺5年后维保费

不超该价格），不计入总价。

8 付款条件

设备到货后经初验合格并开具发票后10个工作日内支付合同总金额的70%；经安装、调试并经双方联合验收合格、开具发票后10个工作日内支付剩余的30%。

内外网隔离网络安全解决方案

内外网隔离网络安全解决方案 ●网络现状与安全隐患 目前,大多数企业都安装有隔离卡等设备将企业分为两个网络:内网与外网,内网用作内部得办公自动化,外网用来对外发布信息、获得因特网上得即时消息，以及用电子邮件进行信息交流。为了数据得安全性,内网与外网都通过隔离卡或网闸等方式实现内外网得物理隔离，从一定程度上杜绝了内外网得混合使用造成得信息外泄.如下图所示: 然而，对于内网中移动存储介质得随意使用以及外部终端非法接入内网来泄露内部信息得安全隐患,仍然得不到解决。存在得安全隐患主要有： 1、移动存储介质泄密 ◆外来移动存储介质拷去内网信息; ◆内网移动存储介质相互混用，造成泄密; ◆涉密介质丢失造成泄密 2、终端造成泄密 ◆计算机终端各种端口得随意使用,造成泄密; ◆外部终端非法接入内网泄密； ◆内网终端非法外联外部网络泄密 ●捍卫者解决方案 <1＞终端外设端口管理

1)对于非常用端口： 使用捍卫者UＳＢ安全管理系统，根据具体情况将该终端得不常使用得外设 (如红外、蓝牙、串口、并口等)设置为禁用或就是只读（刻录机，USB端口有该功能），一旦设定则无法从“设备管理器“启用，只能通过捍卫者启用,如下图所示部分终端外设禁用状态，这样可以有效得解决终端外设泄密。 ２)USＢ端口： 内网终端得USB端口建议设置为只读,这样外网使用得存储介质可以向内网拷贝数据,但就是不能从内网终端拷贝出数据。从防病毒考虑,也可以设置为完全禁用，这样只有授权存储介质才能根据授权使用,外部移动存储介质无法使用。 〈2〉移动存储介质授权管理 对内部得移动存储介质进行统一得授权管理,然后在根据需求设定当前UＳＢ端口得状态(即UＳB端口加密),这样外来得移动存储介质在内部终端不可以使用或就是只读,即解决了移动储存介质得随意插拔使用又防止了木马、病毒得传播泛滥。 在授权过程中，首先选择给移动存储介质得使用范围，可以分域授权使用，一对一或一对多得与终端绑定使用（这样移动存储介质在一定得范围内可以任意使用)；然后输入移

通过网闸技术实现内外网隔离

网闸技术构建内外网一体化门户 一、序言 近年来，随着我国信息化建设步伐的加快，“电子政务”应运而生，并以前所未有的速度发展。电子政务体现在社会生活的各个方面：工商注册申报、网上报税、网上报关、基金项目申报等等。电子政务与国家和个人的利益密切相关，在我国电子政务系统建设中，外部网络连接着广大民众，内部网络连接着政府公务员桌面办公系统，专网连接着各级政府的信息系统，在外网、内网、专网之间交换信息是基本要求。如何在保证内网和专网资源安全的前提下，实现从民众到政府的网络畅通、资源共享、方便快捷是电子政务系统建设中必须解决的技术问题。一般采取的方法是在内网与外网之间实行防火墙的逻辑隔离，在内网与专网之间实行物理隔离。本文将介绍大汉网络公司基于网闸技术构建内外网一体化门户的案例。 二、网闸的概述 1、网闸的定义 物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客“无法入侵、无法攻击、无法破坏，实现了真正的安全。 2、网闸的组成 网闸模型设计一般分三个基本部分组成： ·内网处理单元：包括内网接口单元与内网数据缓冲区。 ·外网处理单元：与内网处理单元功能相同，但处理的是外网连接。 ·隔离与交换控制控制单元：是网闸隔离控制的摆渡控制，控制交换通道的开启与关闭。 3、网闸的主要功能 ?·阻断网络的直接物理连接和逻辑连接 ?·数据传输机制的不可编程性 ?·安全审查

安全隔离网闸疑难问题大全

安全隔离网闸疑难问题大全（40问） 1、网闸全称是什么？网闸的英文名称是什么？ 网闸的全称是安全隔离网闸。网闸的英文名称是"GAP"。 2、安全隔离网闸是什么？ 安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。 3、安全隔离网闸是硬件设备还是软件设备？ 安全隔离网闸是由软件和硬件组成。 4、安全隔离网闸硬件设备是由几部分组成？ 安全隔离网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。 5、为什么要使用安全隔离网闸？ 当用户的网络需要保证高强度的安全，同时又与其它不信任网络进行信息交换的情况下，如果采用物理隔离卡，信息交换的需求将无法满足；如果采用防火墙，则无法防止内部信息泄漏和外部病毒、黑客程序的渗入，安全性无法保证。在这种情况下，安全隔离网闸能够同时满足这两个要求，又避免了物理隔离卡和防火墙的不足之处，是最好的选择。 6、隔离了，怎么还可以交换数据？ 对网络的隔离是通过网闸隔离硬件实现两个网络在链路层断开，但是为了交换数据，通过设计的隔离硬件在两个网络对应的上进行切换，通过对硬件上的存储芯片的读写，完成数据的交换。 7、安全隔离网闸能够交换什么样的数据？ 安装了相应的应用模块之后，安全隔离网闸可以在保证安全的前提下，使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据，并可以在网络之间交换定制的文件。 8、安全隔离网闸的主要性能指标有那些？ 性能指标包括： 系统数据交换速率：120Mbps 硬件切换时间：5ms 9、安全隔离网闸通常具备的安全功能模块有那些？ 安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证 10、为什么说安全隔离网闸能够防止未知和已知木马攻击？ 通常见到的木马大部分是基于TCP的，木马的客户端和服务器端需要建立连接，而安全隔离网闸从原理实现上就切断所有的TCP连接，包括UDP、ICMP等其他各种协议，使各种木马无法通过安全隔离网闸进行通讯。从而可以防止未知和已知的木马攻击。

安全隔离网闸技术需求

安全隔离网闸技术需求 1 项目背景 为满足省局门户网站的业务需求，增强系统稳定性，对原有安全隔离网闸进行更换，采用双机热备模式组建门户网站内外交换平台。 2 采购内容 门户网站安全隔离交换网闸及其集成，数量：2台，互为热备。 3 技术指标要求 各类产品技术指标详见下表，所有加星号（*）指标项均为强制性指标，任何一条不满足将视为重大偏离，并导致投标被拒绝。未加星号（*）的指标项均为优选指标项。 所有设备具有的光接口均应配置光接口模块，集成中所必需的各类光纤、线缆等配件均应配置（双绞线应采用六类国际知名品牌成品双绞线，其他附材应符合国家的相关标准，并满足所使用部位的要求）。 所有指标项以公开产品宣传彩页、或国家具有相关职能的第三方中立检测机构的检测证明、或中央政府采购网站公告的内容为依据。

4 系统集成 4.1 系统安装、调试地点 投标人负责完成指定地点的设备安装及相关工作。 4.2 安装调试（集成）具体内容 安装调试的主要目标是使经过本次采购设备后，经过系统集成，使整个网络能够连通并具有互操作性、所有设备能够接通并正常运转、所有软件能够在相应平台上正常运行，并与已有设备互连互通，且与已有设备服务商密切合作，实现所有设备互连互通，满足业务系正常运行的要求。投标人有责任且必须承诺使项目单位的系统达到以上目标。 4.2.1 设备集成内容 根据标书要求,在标书规定的地点和环境下, 实现投标设备与其他设备的连接并正常运行,达到标书要求的性能和产品技术规格中的性能。系统集成中涉及的线缆等辅助材料或附件均由投标人负责，采购人不再支付任何费用。产品应由厂商专业技术人员进行安装调试或进行产品安装配置的检查和指导。 4.2.2 产品验收要求 1) 依标书要求对全部设备、产品、型号、规格、数量、外型、外观、包装及资料、文件（如装箱单、保修单、随箱介质等）的验收。

网闸典型应用方案范文

网御SIS-3000 安全隔离网闸典型案例网上营业厅”的安全解决方案

目录 1.前言错误！未定义书签。 2. 需求分析...................................... 错误！未定义书签。 3 网络安全方案设计错误！未定义书签。

1.前言 Internet 作为覆盖面最广、集聚人员最多的虚拟空间，形成了一个巨大的市场。中国互联网络信息中心（CNNIC）在2002年7月的“中国互联网络发展状况统计报告”中指出，目前我国上网用户总数已经达到4580 万人，而且一直呈现稳定、快速上升趋势。面对如此众多的上网用户，为商家提供了无限商机。同时，若通过Internet 中进行传统业务，将大大节约运行成本。据统计，网上银行一次资金交割的成本只有柜台交割的13%。 面对Internet 如此巨大的市场，以及大大降低运行成本的诱惑，各行各业迫切需要利用Internet 这种新的运作方式，以适应面临的剧烈竞争。为了迎接WTO的挑战，实现“以客户为中心”的经营理念，各行各业最直接的应用就是建立“网上营业厅”。 但是作为基于Internet 的业务，如何防止黑客的攻击和病毒的破坏，如何保障自身的业务网运行的安全就迫在眉睫了。对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性，在人们心中还有很多疑虑，因为很多网络安全技术都是事后技术，即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。防火墙技术虽然是一种主动防护的网络安全技术，它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障，但它自身却常常被黑客攻破，成为直接威胁用户局域网的跳板。造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测，不提供基于硬件隔离的安全手段。 所谓“道高一尺，魔高一丈”，面对病毒的泛滥，黑客的横行，我们必须采用更先进的办法来解决这些问题。目前，出现了一种新的网络安全产品——联想安全隔离网闸，该系统的主要功能是在两个独立的网络之间，在物理层的隔离状态下，以应用层的安全检测为保障，提供高安全的信息交流服务。

安全隔离建议方案(2)

南京奥体中心网络安全隔离 投标方案

目录 1南京奥体中心网络安全隔离需求分析 (3) 1.1南京奥体中心内部网网络现状 (3) 1.2南京奥体中心网络的安全风险分析 (3) 1.3建立统一安全隔离数据交换安全原则 (4) 2南京奥体中心网络网络安全隔离解决方案 (5) 2.1南京奥体中心网络内网安全隔离与信息交换设计 (5) 2.2安全隔离与信息交换平台实施方案 (5) 2.3近期建议解决方案拓扑图 (6) 2.4解决方案产品选型 (7) 3隔离网闸产品方案设计 (8) 3.1隔离网闸产品概述 (8) 3.2产品内部架构 (8) 3.3产品特点 (9) 3.4产品功能 (10) 3.4.1系统可靠性 (10) 3.4.2系统可用性 (11) 3.4.3安全功能 (11) 3.4.4系统管理 (12) 3.4.5应用支持 (13) 3.5伟思ViGap系统性能参数 (14) 4实施方案 (14) 4.1实施计划 (14) 4.2具体实施步骤 (15) 5验收方案 (15) 5.1设备交货验收 (15) 5.2现场移交验收 (16) 5.3试运转验收测试 (16) 6系统支持与服务方案 (16) 6.1售后服务 (16) 6.2培训计划 (17)

1南京奥体中心网络安全隔离需求分析 1.1南京奥体中心内部网网络现状 南京奥林匹克奥体中心（以下简称奥体中心）网络系统存在2个不同信任级别的网络（数据中心和场馆网），且相互之间物理隔离，随着网上商城和对外发布网站等业务平台的建立、应用和不断扩展，由于存在内外局域网且两个网络之间目前是物理隔离的状态；为保障业务平台的稳定性、连续性和安全性，同时由于数据交换的需要，内部网络将不再和互联网之间进行纯物理隔离，这时将引入较大的安全隐患。另外随着业务平台的不断发展，也将面临各种安全问题，例如蠕虫病毒爆发、ARP欺骗、黑客攻击等等。我们将采用一个层次化的、多样性的安全措施来保障业务平台的安全。 1.2南京奥体中心网络的安全风险分析 从南京奥体中心的安全风险分析中，我们可以看出，主要的安全风险在于：奥数据中心内外网之间的数据交换，必然带来一定的安全风险，原来在外部网上传播的病毒可能因为数据交换而感染到内部数据中心网服务器群；原来利用互连网发动攻击的黑客、下级场馆的人员疏忽、恶意试探也可能利用外部办公网络的数据交换的连接尝试攻击本单位数据中心网，可以影响到本单位数据中心网系统内部大量的重要数据正常运行，所以安全问题变得越来越复杂和突出。 综合分析网络的攻击的手段，南京奥体中心网络内外部网络的数据交换可能面临的安全风险包括：

网闸典型应用方案

网御SIS-3000安全隔离网闸典型案例“网上营业厅”的安全解决方案

目录

1.前言 Internet作为覆盖面最广、集聚人员最多的虚拟空间，形成了一个巨大的市场。中国互联网络信息中心（CNNIC）在2002年7月的“中国互联网络发展状况统计报告”中指出，目前我国上网用户总数已经达到4580万人，而且一直呈现稳定、快速上升趋势。面对如此众多的上网用户，为商家提供了无限商机。同时，若通过Internet中进行传统业务，将大大节约运行成本。据统计，网上银行一次资金交割的成本只有柜台交割的13%。 面对Internet如此巨大的市场，以及大大降低运行成本的诱惑，各行各业迫切需要利用Internet这种新的运作方式，以适应面临的剧烈竞争。为了迎接WTO的挑战，实现“以客户为中心”的经营理念，各行各业最直接的应用就是建立“网上营业厅”。 但是作为基于Internet的业务，如何防止黑客的攻击和病毒的破坏，如何保障自身的业务网运行的安全就迫在眉睫了。对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性，在人们心中还有很多疑虑，因为很多网络安全技术都是事后技术，即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。防火墙技术虽然是一种主动防护的网络安全技术，它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障，但它自身却常常被黑客攻破，

成为直接威胁用户局域网的跳板。造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测，不提供基于硬件隔离的安全手段。 所谓“道高一尺，魔高一丈”，面对病毒的泛滥，黑客的横行，我们必须采用更先进的办法来解决这些问题。目前，出现了一种新的网络安全产品——联想安全隔离网闸，该系统的主要功能是在两个独立的网络之间，在物理层的隔离状态下，以应用层的安全检测为保障，提供高安全的信息交流服务。

网闸原理

如今，网络隔离技术已经得到越来越多用户的重视，重要的网络和部门均开始采用隔离网闸产品来保护内部网络和关键点的基础设施。目前世界上主要有三类隔离网闸技术，即SCSI技术，双端口RAM技术和物理单向传输技术。SCSI是典型的拷盘交换技术，双端口RAM也是模拟拷盘技术，物理单向传输技术则是二极管单向技术。 随着互联网上黑客病毒泛滥、信息恐怖、计算机犯罪等威胁日益严重，防火墙的攻破率不断上升，在政府、军队、企业等领域，由于核心部门的信息安全关系着国家安全、社会稳定，因此迫切需要比传统产品更为可靠的技术防护措施。物理隔离网闸最早出现在美国、以色列等国家的军方，用以解决涉密网络与公共网络连接时的安全。在电子政务建设中，我们会遇到安全域的问题，安全域是以信息涉密程度划分的网络空间。涉密域就是涉及国家秘密的网络空间。非涉密域就是不涉及国家的秘密，但是涉及到本单位，本部门或者本系统的工作秘密的网络空间。公共服务域是指不涉及国家秘密也不涉及工作秘密，是一个向互联网络完全开放的公共信息交换空间。国家有关文件就严格规定，政务的内网和政务的外网要实行严格的物理隔离。政务的外网和互联网络要实行逻辑隔离，按照安全域的划分，政府的内网就是涉密域，政府的外网就是非涉密域，互联网就是公共服务域。 国家有关研究机构已经研究了安全网闸技术，以后根据需求，还会有更好的网闸技术出现。通过安全网闸，把内网和外网联系起来;因此网闸成为电子政务信息系统必须配置的设备，由此开始，网闸产品与技术在我国快速兴起，成为我国信息安全产业发展的一个新的增长点。

网闸的概念 网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议"摆渡"，且对固态存储介质只有"读"和"写"两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使"黑客"无法入侵、无法攻击、无法破坏，实现了真正的安全。 安全隔离与信息交换系统，即网闸，是新一代高安全度的企业级信息安全防护设备，它依托安全隔离技术为信息网络提供了更高层次的安全防护能力，不仅使得信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件的发生。 第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的，实现了在空气缝隙隔离(Air Gap)情况下的数据交换，安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。 第二代网闸正是在吸取了第一代网闸优点的基础上，创造性地利用全新理念的专用交换通道PET(Private Exchange Tunnel)技术，在不降低安全性的前提下能够完成内外

某公安局网闸应用建议方案

一．需求分析 某公安局网络安全报警处置中心发现网络犯罪、处置网络犯罪虚拟与现实之间架起的一座安全桥梁。报警处置中心可以对党政机关、金融机构、新闻媒体、能源交通、邮电通信、科研院所、大专院校、军工企业等重要领域的计算机信息系统，实施远程实时在线监测。对病毒侵蚀、黑客攻击、破坏系统以及其他网络违法犯罪行为，将实现实时预警、报警、应急响应和现场控制，打击网络犯罪有了一张无形有质的巨网。将24小时不间断接受来自网络的报警。报警者只需在该网站填写一张“报警单”（包括报警人的姓名、联系方法、报警内容等信息），而这些信息对外则完全保密。如何保护内部数据的安全是目前一个很重要的问题。 2．某公安局网络的网络现状 某公安局网络现在的网络拓扑图： 2.1 网络结构说明 某公安局报警处置中心网和公安内网通过交换机组实现了网络的互联。 3、某公安局网络隔离与信息交换建设需求 鉴于现有的网络状况，依据我某公安局信息化建设的规划，此次建设应达到以下目标：

某公安局网闸使用建议方案 2 1、从管理和技术角度上，建立多层安全体系，保证局域网信息和各应用 系统的安全性、保密性。同时在保持报警处置中心网和公安内网物理隔离的同时， 进行适度的、可控的的数据交换。保护某公安局内部网络的安全，实现隔离，防 止外网黑客的攻击。 2、实现报警处置中心网服务器和公安内网服务器之间的数据交换 3、对某公安局各个部门人员文件交换、上网进行身份认证控制，并实现 分组管理。 4、详细记录每个人员工通过网闸文件交换、上互联网及邮件传输日 志，做到有案可查。 4、某公安局网络隔离与信息交换设计拓扑图 根据对某公安局网络建设需求分析，我们提出某公安局网络隔离与信息建设 方案。根据某公安局的网络安全需求，我们在改变原结构情况下做统一平台管理 规划。改造后的总体网络拓扑结构图： 我们把TIPTOP 物理隔离网闸内口联接某公安局报警处置中心网中心交换机， 网闸外口连接某公安局电子政务交换机。通过网闸实现了某公安局报警处置中心与 某公安局公安内网的隔离，但也可以实现一定安全度上的数据交换。通过TIPTOP 网闸，某公安局报警处置中心网和公安内网的服务器能够进行数据交换。TIPTOP 网 闸还实现了对某公安局报警处置中心网和公安内网各部门文件交换身份认证与管 理。

安全隔离网闸

安全隔离网闸 什么是安全隔离网闸 安全隔离网闸，又名“网闸”、“物理隔离网闸”，用以实现不同安全级别网络之间的安全隔离，并提供适度可控的数据交换的软硬件系统。安全数据交换单元不同时与内外网处理单元连接，为2+1的主机架构。隔离网闸采用SU-Gap安全隔离技术，创建一个内、外网物理断开的环境。 安全隔离网闸的产生 网闸的产生，最早是出现在美国、以色列等国的军方，用以解决涉密网络与公共网络连接时的安全问题。 随着电子政务在我国的蓬勃发展，政府部门的高安全网络和其他低安全网络之间进行数据交换的需求日益明显，处于国家安全考虑，政府部门一般倾向于使用国内安全厂商的安全产品，种种因素促使了网闸在我国的产生。 我国第一款安全隔离网闸产生于2000年，现在已经广泛应用于政府、金融、交通、能源等行业。 安全隔离网闸的实现原理 安全隔离网闸的组成： 安全隔离网闸是实现两个相互业务隔离的网络之间的数据交换，通用的网闸模型设计一般分三个基本部分： a. 内网处理单元 b. 外网处理单元 c. 隔离与交换控制单元（隔离硬件） 其中，三个单元都要求其软件的操作系统是安全的，也就是采用非通用的操作系统，或改造后的专用操作系统。一般为Unix BSD或Linux的经安全精简版本，或者其他是嵌入式操作系统VxWorks等，但都要对底层不需要的协议、服务删除，使用的协议优化改造，增加安全特性，同时提高效率。 下面分别介绍三个基本部分的功能： 内网处理单元：包括内网接口单元与内网数据缓冲区。接口部分负责与内网的连接，并终止内网用户的网络连接，对数据进行病毒检测、防火墙、入侵防护等安全检测后剥离出“纯数据”，作好交换的准备，也完成来自内网对用户身份的确认，确保数据的安全通道；数据缓冲区是存放并调度剥离后的数据，负责与隔离交换单元的数据交换。 外网处理单元：与内网处理单元功能相同，但处理的是外网连接。 隔离与交换控制单元：是网闸隔离控制的摆渡控制，控制交换通道的开启与关闭。控制单元中包含一个数据交换区，就是数据交换中的摆渡船。对交换通道的控制的方式目前有两种技术，摆渡开关与通道控制。摆渡开关是电子倒换开关，让数据交换区与内外网在任意时刻的不同时连接，形成空间间隔GAP，实现物理隔离。通道方式是在内外网之间改变通讯模式，中断了内外网的直接连接，采用私密的通讯手段形成内外网的物理隔离。该单元中有一个数据交换区，作为交换数据的中转。 安全隔离网闸的两类模型： 在内外网处理单元中，接口处理与数据缓冲之间的通道，称内部通道1，缓冲区与交换区之间的通道，称内部通道2。对内部通道的开关控制，就可以形成内外网的隔离。模型中的用中间的数据交换区摆渡数据，称为三区模型；摆渡时，交换区的总线分别与内、外网缓冲区连接，也就是内部通道2的控制，完成数据交换。

网络视频监控内外网互通与安全隔离解决方案

近年来，随着网络视频监控在各个行业的广泛部署，如何保证整个系统在网络层面的安全性越来越成为大家关注的重点。尤其是在面临专网视频监控系统（内部）与公网视频监控系统（外部）进行互通时，这个问题显得尤为突出。 平安城市就是一个很典型的例子。在平安城市的建设中，需要构建一个能够覆盖城市重要单位、重点场所、主要路口、主要出入通道、治安卡口、学校、居民小区等各个层面的社会面治安监控系统，整个系统的控制和管理基本上都归口到当地公安部门。而上面提到的这些监控部位，有些是属于公安专网的，比如治安卡口、重点场所，有些是属于外部网络的，比如学校、居民小区、网吧等。为了实现这些监控资源的统一调用和灵活共享，公安专网的视频监控系统与外部的视频监控系统必须要进行网络化互联，而根据保密要求，公安专网与外部网络又必须要进行物理隔离，这样就存在一个无法回避的矛盾。 而且，随着中国电信、中国网通分别通过“全球眼”和“宽视界”两大运营级网络视频监控系统对平安城市建设的介入，将会有越来越多的社会面监控资源承载在公网平台上，安全隔离将成为公安部门通过其专网视频监控系统进行社会面监控资源调用时的主要障碍。 为此，科达将目前在公安、政府、军队等涉密专网中广泛使用的网闸技术应用到了运营级和ViewShot两大网络视频监控产品中，推出了基于网闸的网络视频监控安全隔离解决方案，可以在保证系统物理隔离的情况下，实现内、外网监控资源的灵活调用，从而有效解决上面提到的问题。 网闸原理与应用 网闸（或物理隔离网闸）是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于网闸所连接的两个独立主机系统之间，不存在通信的物理连接与逻辑连接，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，所以，网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，可以实现真正的安全。 网闸在网络环境中的位置：

物理隔离网闸与隔离卡的对比

物理隔离网闸与隔离卡的对比 关键词：隔离卡物理隔离卡网闸原理网闸产品对比物理隔离技术网闸产品之间比较什么是物理隔离国内网闸产品对比什么是网闸物理隔离网闸原理网闸技术什么叫物理隔离 如果您想了解各类网闸之间的区别和比较，请参阅我公司网站的技术专栏文章《网闸产品对比：选用安全隔离网闸注意的问题》 物理隔离卡是物理隔离的低级实现形式，一个物理隔离卡只能管一台个人计算机，需要对每台计算机进行配置，每次切换都需要开关机一次，使用起来极为不便。双硬盘的硬件平台管理很繁琐，也会使得整个网络的架设和维护费用显著升高。此外，用隔离卡设计的网络要有两套完全一样的网络（双倍的连线，双倍的网络设备），每台机器上要双网卡，双硬盘。不仅仅安装维护极不方便，维护费用也高，升级和扩展的费用多成倍增加。 物理隔离卡安全性低，只能通过手动的开关达到所谓“物理隔离”的效果。最重要的，物理隔离网闸是对整个网络进行隔离，只要安装一台物理隔离网闸，而不是每台计算机上安装一块物理隔离卡，就可以防护内网的所有计算机，网络结构极为简单，不像使用物理隔离卡需要增添额外的硬盘和网卡和网络设备，使用物理隔离网闸时添加新的计算机没有任何额外费用。内网的用户不必为了登录英特网而在内外网间进行繁琐的切换和重新启动计算机了。通我公司网站的过

这一改变还实现了用户的实时在线，在确保内网安全的同时用户可以随意畅游英特网。在设备维护方面一台物理隔离网闸和多块网卡的维护量也有着巨大的差别。只对物理隔离网闸单一设备进行管理和维护将大大减轻网络管理员的工作！ 数码星辰的宇宙盾隔离网闸采用独特地无文件系统设计以及非工控机的硬件设计就有非常强的自身防护能力。 需要了解选用网闸要注意的问题，请参阅技术专栏文章《网闸产品对比：选用安全隔离网闸注意的问题》。这篇文章将让您对网闸的设计和各种方案的利弊有一个全新的认识。

网闸通用解决方案

伟思隔离网闸通用解决方案 伟思集团

目录 一、网络信息安全概述 (3) 二、安全需求分析 (4) 2.1典型环境 (4) 2.2 潜在的网络威胁分析 (5) 2.3 系统安全需求 (6) 三、政府上网安全方案设计 (6) 3.1 政府上网安全模型 (6) 3.2网络隔离系统的设计 (8) 3.3 ViGap隔离网闸 (9) 四、售后服务 (20) 4.1 售后服务 (21) 4.2 培训计划 (22)

一、网络信息安全概述 网络安全的具体含义是随着“角度”的变化而变化。比如：从用户（个人、政府等）的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私，同时也避免其它用户的非授权访问和破坏。 从网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁，制止和防御网络黑客的攻击。 对安全保密部门来说，他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵，避免机要信息泄露，避免对社会产生危害，对国家造成巨大损失。 总的说来，网络安全就是指对网络中的数据信息提供完整性、机密性和可用性的网络安全服务，使网络系统的硬件、软件及其系统中的数据受到严格保护，不因偶然或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 信息安全所涉及的内容与信息系统的功能密切相关。例如，提供网上数据传输功能的系统，需要考虑网上传输信息的安全性问题；作为数据中心的数据库服务器，需要重点考虑存储数据的安全保护问题；为众多用户提供数据访问的服务的主机系统，则需要考虑对登录主机用户的认证和对合法用户数据访问权限的控制等等。因此，网络安全环境的建立没有固定的模式，必须依据实际的应用需求采取适当的安全措施。 随着网络安全等级的提高，网络使用的便利性将不可避免地随之下降，而安全维护成本将急剧升高，因此，在考虑网络信息的安全问题时，盲目地提高安全强度反而容易使系统因使用不便、效率低和维护困难而失去使用价值。

网闸产品对比：选用安全隔离网闸注意的问题

网闸产品对比：选用安全隔离网闸注意的问题 什么是网闸？如何比较不同的网闸产品？是许多人关心的问题。本文将就一些网闸的设计原理来对国内的网闸技术进行一下对比，以便用户可以更加准确地了解到不同设计的优缺点。 近来出现的安全隔离网闸技术（也称：物理隔离网闸或安全隔离与信息交换系统）解决了部分防火墙安全性不足的问题。从原理上说，网闸是由两个互相独立的计算机处理模块组成的中间有一个隔离岛。这种同时包含两个互相独立的计算机处理模块的系统显然比具有单一处理单元的防火墙要复杂的多，设计的难度也大得多，价格也要高许多。首先从设计的技术来看，由于工控机可以极大的简化设计过程和大幅度缩短设计时间，绝大多数的安全隔离网闸处理模块均采用工控机主板设计，这种设计会带来前面提到的自身防护性差、稳定性差、功耗大等PC常见的严重问题。 在防范网络攻击方面物理隔离网闸设计往往采用工控机作为其硬件平台。这种设计无需单独设计硬件，极大地简化了设计难度，缩短了产品设计周期。然而工控机的设计的对象主要是满足工业控制设备的需要、并非为网络安全装置设计的，因此他不仅带来了许多无用的功能和硬件而且带来了许多意想不到的严重问题和信息安全漏洞。 所谓工控机就是工业版的电脑（PC）使用标准的操作系统（WINDOS或LINUX）。联想一下你自己使用的电脑，你就知道他有些什么问题。首先大家知道PC和它的操作系统都是一些极易被攻击的对象。它们本身就存在着许多安全漏洞和问题，也就是说自身难保，一个连自身的安全都无法保证的网络安全装置又如何去保护一个网络的信息安全呢？ 工控机平台的网络安全装置继承了PC平台的所有弊病，他们表现在： 安全性极差：PC软硬件平台是目前使用最广泛的计算机系统也是最易受攻击的系统：

电子政务安全首选网闸隔离

电子政务安全首选网闸隔离 如今，网络隔离技术已经得到越来越多用户的重视，重要的网络和部门均开始采用隔离网闸产品来保护内部网络和关键点的基础设施。目前世界上主要有三类隔离网闸技术，即SCSI技术，双端口RAM技术和物理单向传输技术。SCSI是典型的拷盘交换技术，双端口RAM也是模拟拷盘技术，物理单向传输技术则是二极管单向技术。 随着互联网上黑客病毒泛滥、信息恐怖、计算机犯罪等威胁日益严重，防火墙的攻破率不断上升，在政府、军队、企业等领域，由于核心部门的信息安全关系着国家安全、社会稳定，因此迫切需要比传统产品更为可靠的技术防护措施。物理隔离网闸最早出现在美国、以色列等国家的军方，用以解决涉密网络与公共网络连接时的安全。在电子政务建设中，我们会遇到安全域的问题，安全域是以信息涉密程度划分的网络空间。涉密域就是涉及国家秘密的网络空间。非涉密域就是不涉及国家的秘密，但是涉及到本单位，本部门或者本系统的工作秘密的网络空间。公共服务域是指不涉及国家秘密也不涉及工作秘密，是一个向互联网络完全开放的公共信息交换空间。国家有关文件就严格规定，政务的内网和政务的外网要实行严格的物理隔离。政务的外网和互联网络要实行逻辑隔离，按照安全域的划分，政府的内网就是涉密域，政府的外网就是非涉密域，互联网就是公共服务域。 国家有关研究机构已经研究了安全网闸技术，以后根据需求，还会有更好的网闸技术出现。通过安全网闸，把内网和外网联系起来;因此网闸成为电子政务信息系统必须配置的设备，由此开始，网闸产品与技术在我国快速兴起，成为我国信息安全产业发展的一个新的增长点。 网闸的概念 网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议”摆渡”，且对固态存储介质只有”读”和”写”两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使”黑客”无法入侵、无法攻击、无法破坏，实现了真正的安全。 安全隔离与信息交换系统，即网闸，是新一代高安全度的企业级信息安全防护设备，它依托安全隔离技术为信息网络提供了更高层次的安全防护能力，不仅使得信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件的发生。 第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的，实现了在空气缝隙隔离(Air Gap)情况下的数据交换，安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。 第二代网闸正是在吸取了第一代网闸优点的基础上，创造性地利用全新理念的专用交换通道PET(Private Exchange Tunnel)技术，在不降低安全性的前提下能够完成内外网之间高速的数据交换，有效地克服了第一代网闸的弊端，第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现的，虽然仍是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全效果的，但却提供了比第一代网闸更多的网络应用支持，并且由于其采用的是专用高速硬件通信卡，使得处理能力大大提高，达到第一代网闸的几十倍之多，而私有通信协议和加密签名机制保证了内外处理单元之间数据交换的机密性、完整性和可信性，从而在保证安全性的同时，提供更好的处理性能，能够适应复杂网络对隔离应用的需求。 传统防火墙与网闸(SGAP)的对比 下面我们用一张表反映传统防火墙与网闸(SGAP)的对比情况。

安全隔离网闸

安全隔离网闸 1、网闸全称是什么？网闸的英文名称是什么？ 网闸的全称是安全隔离网闸。网闸的英文名称是"GAP"。 2、安全隔离网闸是什么？ 安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。 3、安全隔离网闸是硬件设备还是软件设备？ 安全隔离网闸是由软件和硬件组成。 4、安全隔离网闸硬件设备是由几部分组成？ 安全隔离网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。 5、为什么要使用安全隔离网闸？ 当用户的网络需要保证高强度的安全，同时又与其它不信任网络进行信息交换的情况下，如果采用物理隔离卡，信息交换的需求将无法满足；如果采用防火墙，则无法防止内部信息泄漏和外部病毒、黑客程序的渗入，安全性无法保证。在这种情况下，安全隔离网闸能够同时满足这两个要求，又避免了物理隔离卡和防火墙的不足之处，是最好的选择。 6、隔离了，怎么还可以交换数据？ 对网络的隔离是通过网闸隔离硬件实现两个网络在链路层断开，但是为了交换数据，通过设计的隔离硬件在两个网络对应的上进行切换，通过对硬件上的存储芯片的读写，完成数据的交换。

7、安全隔离网闸能够交换什么样的数据？ 安装了相应的应用模块之后，安全隔离网闸可以在保证安全的前提下，使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据，并可以在网络之间交换定制的文件。 8、安全隔离网闸的主要性能指标有那些？ 性能指标包括： 系统数据交换速率：120Mbps 硬件切换时间：5ms 9、安全隔离网闸通常具备的安全功能模块有那些？ 安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证 10、为什么说安全隔离网闸能够防止未知和已知木马攻击？ 通常见到的木马大部分是基于TCP的，木马的客户端和服务器端需要建立连接，而安全隔离网闸从原理实现上就切断所有的TCP连接，包括 UDP、ICMP等其他各种协议，使各种木马无法通过安全隔离网闸进行通讯。 从而可以防止未知和已知的木马攻击。 11、安全隔离网闸具有防病毒措施吗？ 作为提供数据交换的隔离设备，安全隔离网闸上内嵌病毒查杀的功能模块，可以对交换的数据进行病毒检查。 12、安全隔离网闸与物理隔离卡的主要区别是什么？

安全隔离网闸技术指标2台

安全隔离网闸技术指标：2台 功能点功能详细要求 ★基本要求 系统架构 千兆模块化平台，冗余双电源，采用“2+1”系统架构，隔离交换矩阵基于 专用芯片实现主机系统间采用自有协议摆渡数据，确保信任网络和非信任 网络之间任何连接的断开，彻底阻断TCP/IP协议及其他网络协议。遵循 CSC关联安全标准，实现与内网安全管理系统联动。非windows操作系 统。 隔离交换矩 阵 自主研发的硬件，无操作系统，外界无法编程控制，而不是采用低安全性 的通用可编程硬件，如网线、SCSI、USB等 接口配置 支持扩展，标配≥8个SFP，配4个多模光模块；≥8个10/100/1000M自 适应电口，内/外网主机系统分别具有独立的网络口、管理口、HA口（热 备口） 内外网主机系统分别具有1个RS-232口 系统吞吐量≥1000Mbps 并发连接数≥错误！未找到引用源。6万 延时<5ms 功能 模块 文件交换★实现文件的安全交换，支持NFS、SMBFS等文件系统和多种细粒度检测控制功能 支持改名传输方式，可实现对源文件改名，标明传输状态 支持增量传输方式，可实现只传输修改和增加了的源文件 支持传输后删除方式，可实现传输结束后删除源文件

FTP访问★实现安全的FTP访问，支持对用户、命令、文件类型等细粒度访问控制支持动态建立数据通道，并可对访问端口号自由定义 数据库传输 ★ 实现对多种主流数据库系统的安全访问和同步，支持TNS协议，支持对 访问数据库的用户进行控制 邮件传输★实现用户安全访问邮件服务器，访问过滤选项涵盖邮件地址、主题、正文内容、附件等 安全浏览★实现内网用户安全浏览外网资源，支持本地、Radius、LDAP等认证方式，提供对URL、ActiveX、Cookie、JavaApplet等的过滤功能 定制访问★ 实现特定TCP、UDP协议的数据隔离交换，可合作定制开发针对特定协 议的安全检测，病毒检测、入侵检测及抗DDOS攻击，实现如黑白名单 控制、关键字过滤等 可靠性冗余协议支持MRP多重冗余协议，保障设备的高可靠性 双机热备通过独立的热备端口实现双机热备 负载均衡支持2~32台设备实现负载均衡，无需第三方软硬件支持端口冗余支持设备自身物理端口冗余功能 链路聚合物理端口支持802。3ad标准，实现链路聚合功能 资质及服务信息安全产品 认证证书★ 中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》 国家保密局资 质★ 国家保密局涉密信息系统安全保密测评中心颁发《涉密信息系统产品检测证书》软件著作权国家版权局颁发的《计算机软件著作权登记证书》

电子政务应用网闸解决方案

电子政务应用网闸解决方案 需求分析 某省电子政务网络平台由国家广域政务内网的接入网、省政务内网和省政务外网构成。省政务内网：主要用于传送电子公文、以及不适合通过外网传输的信息：政务信息、视频会议等一些不适合公开的国家秘密信息等。省政务外网：是政务公开和为民办事的窗口，同时也是办公人员与外面进行信息交流的通道，与互联网通过网络安全系统逻辑连接，以省政府门户网站为载体，各单位通过网站对外提供网上服务、受理申请等。 联网范围：省电子政务网络平台连接省、市、县(区)级政府及相关职能部门，以及因需要接入的企事业单位。省政务内网是党政机关的办公专网，其接入范围暂按省委办公厅机要局联网范围确定。省政务外网是业务部门的政务专网，凡不需要在政务内网上运行的业务系统可接入政务外网。省政务外网设立国际互联网统一出口，接入外网的各单位通过统一出口访问国际互联网；因工作需要保留国际互联网出口的单位，其出口网络必须与省政务外网物理隔离。各市的政务外网也应分别设立国际互联网统一出口，通过当地统一出口访问国际互联网。连接范围为省、市、县(区)级政府及相关职能部门，以及因需要接入的企事业单位。 根据《中共中央办公厅国务院办公厅关于转发<国家信息化领导小组关于我国电子政务建设指导意见>通知》中办发（2002）17号：建设和整

合统一的电子政务网络。电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离。 省电子政务网安全隔离建设按照国家保密局的要求以涉及国家秘密和不涉及国家秘密为划分分界线，政务外网承载的载体不能涉及国家秘密，可以涉及政务机关的工作秘密和内部秘密。政务外网所有设计国家秘密的计算机网络必须进行安全隔离，既要保证两个网络间的任何点不存在共用网络设备，不存在任何形式的网络联接，确保按最大化原则建设的政务外网不存在任何可能的引入国家秘密载体的节点。 整体设计原则根据相关的要求，在进行网络系统安全方案设计、规划时，遵循以下原则： 高可靠性原则拟建交换系统应能够高可靠地运行，网络安全设备不应因故障造成应用系统停运。 可扩充性原则要求拟建系统的可扩充性以及前后兼容一致性较好，在进行系统方案设计时，要求其硬件、软件是建立在广泛的可扩充的基础上，且易于升级，能最大程度保护用户投资。 安全性原则要求建立技术先进、管理完善、机制健全的系统安全体系，做到网络不间断、畅通地运行；应用系统不受外部和内部侵害。 易操作性原则有良好的用户界面，易于配置，操作简便。 方案设计

物理隔离网闸

物理隔离网闸 一、物理隔离网闸的概念 我国2000年1月1日起实施的《计算机信息系统国际联网保密管理规定》第二章第六条规定，“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相连接，必须实行物理隔离”。 物理隔离网闸最早出现在美国、以色列等国家的军方，用以解决涉密网络与公共网络连接时的安全。我国也有庞大的政府涉密网络和军事涉密网络，但是我国的涉密网络与公共网络，特别是与互联网是无任何关联的独立网络，不存在与互联网的信息交换，也用不着使用物理隔离网闸解决信息安全问题。所以，在电子政务、电子商务之前，物理隔离网闸在我国因无市场需求，产品和技术发展较慢。 近年来，随着我国信息化建设步伐的加快，“电子政务”应运而生，并以前所未有的速度发展。电子政务体现在社会生活的各个方面：工商注册申报、网上报税、网上报关、基金项目申报等等。电子政务与国家和个人的利益密切相关，在我国电子政务系统建设中，外部网络连接着广大民众，内部网络连接着政府公务员桌面办公系统，专网连接着各级政府的信息系统，在外网、内网、专网之间交换信息是基本要求。如何在保证内网和专网资源安全的前提下，实现从民众到政府的网络畅通、资源共享、方便快捷是电子政务系统建设中必须解决的技术问题。一般采取的方法是在内网与外网之间实行防火墙的逻辑隔离，在内网与专网之间实行物理隔离。物理隔离网闸成为电子政务信息系统必须配置的设备，由此开始，物理隔离网闸产品与技术在我国快速兴起，成为我国信息安全产业发展的一个新的增长点。 1.1 物理隔离网闸的定义 物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客”无法入侵、无法攻击、无法破坏，实现了真正的安全。 1.2 物理隔离网闸的信息交换方式 我们知道计算机网络依据物理连接和逻辑连接来实现不同网络之间、不同主机之间、主机与终端之间的信息交换与信息共享。物理隔离网闸既然隔离、阻断了网络的所有连接，实际上就是隔离、阻断了网络的连通。网络被隔离、阻断后，两个独立主机系统之间如何进行信息交换？网络只是信息交换的一种方式，而不是信息交换方式的全部。在互联网时代以前，信息照样进行交换，如数据文件复制（拷贝）、数据摆渡，数据镜像，数据反射等等，物理隔离网闸就是使用数据“摆渡”的方式实现两个网络之间的信息交换。 网络的外部主机系统通过物理隔离网闸与网络的内部主机系统“连接”起来，物理隔离网闸将外部主机的TCP/IP协议全部剥离，将原始数据通过存储介质，以“摆渡”的方式导入到内部主机系统，实现信息的交换。说到“摆渡”，我们会想到在1957年前，长江把我国分为南北两部分，京汉铁路的列车只有通过渡轮“摆渡”到粤汉铁路。京汉铁路的铁轨与粤汉铁路的铁轨始终是隔离、阻断的。渡轮和列车不可能同时连接京汉铁路的铁轨，又连接到粤汉铁路的铁轨。当渡轮和列车连接在京汉铁路时，它必然与粤汉铁路断开，反之依然。与此类似，物理隔离网闸在任意时刻只能与一个网络的主机系统建立非TCP/IP协议的数据连接，即当它与外部网络的主机系统相连接时，它与内部网络的主机系统必须是断开的，反之依然。即保证内、外网络不能同时连接在物理隔离网闸上。物理隔离网闸的原始数据“摆