东方亚洲欧a∨人在线观看|欧美亚洲日韩在线播放|日韩欧美精品一区|久久97AV综合

        政府網(wǎng)絡(luò)安全隔離建議方案

        發(fā)布時間:2020-07-07 來源: 調(diào)查報告 點(diǎn)擊:

         政府 網(wǎng)絡(luò)安全隔離

         建議方案

          編寫:

         技術(shù)支持部

         審核:

          批準(zhǔn):

         文 檔 信 息 編號

         密級 秘密

         存放地址

         保存期限 2 年內(nèi)為短期

         請保護(hù)環(huán)境,注意紙張的回收利用

          版權(quán)信息

         本文件涉及之信息,屬珠海偉思(集團(tuán))有限公司所有。

         未經(jīng)珠海偉思(集團(tuán))有限公司允許,文件中的任何部分都不能以任何形式向第三方散發(fā)。

         ViGap、VieCA 為珠海偉思(集團(tuán))有限公司系列產(chǎn)品,珠海偉思(集團(tuán))有限公司完全擁有知識產(chǎn)權(quán),并受國際知識產(chǎn)權(quán)法律保護(hù)。

         Http://www.victory-idea.com

         正文目錄 1

         政府安全隔離需求分析 ........................................................................................... 4

         1.1 政府內(nèi)部網(wǎng)網(wǎng)絡(luò)現(xiàn)狀 .................................................................................................. 4 1.2 政府的安全風(fēng)險分析 .................................................................................................. 4 1.3 建立統(tǒng)一安全隔離數(shù)據(jù)交換安全原則 ...................................................................... 5 2

         政府網(wǎng)絡(luò)安全隔離解決方案 ................................................................................... 6

         2.1 政府內(nèi)網(wǎng)安全隔離與信息交換設(shè)計 .......................................................................... 6 2.2 安全隔離與信息交換平臺實(shí)施方案 .......................................................................... 7 2.3 整體解決方案拓?fù)鋱D .................................................................................................. 7 2.4 解決方案產(chǎn)品選型 ...................................................................................................... 8 3

         隔離網(wǎng)閘產(chǎn)品方案設(shè)計 ........................................................................................... 9

         3.1 隔離網(wǎng)閘產(chǎn)品概述 ...................................................................................................... 9 3.2 產(chǎn)品內(nèi)部架構(gòu) .............................................................................................................. 9 3.3 隔離網(wǎng)閘技術(shù)的優(yōu)勢 ................................................................................................ 10 3.4 產(chǎn)品特點(diǎn) .................................................................................................................... 11 3.5 產(chǎn)品功能 .................................................................................................................... 12 3.5.1 系統(tǒng)可靠性 ........................................................................................................ 12 3.5.2 系統(tǒng)可用性 ........................................................................................................ 13 3.5.3 安全功能 ............................................................................................................ 13 3.5.4 系統(tǒng)管理 ............................................................................................................ 15 3.5.5 應(yīng)用支持 ............................................................................................................ 16 3.6 偉思 ViGap300 系統(tǒng)性能參數(shù) .................................................................................. 17 4 系統(tǒng)支持與服務(wù)方案 ................................................................................................ 17

         4.1 售后服務(wù) ..................................................................................................................... 17 4.2 培訓(xùn)計劃 ..................................................................................................................... 18

         1 1 政府 安全隔離需求分析

         1.1 政府 內(nèi)部網(wǎng)網(wǎng)絡(luò)現(xiàn)狀

         本單位市政務(wù)網(wǎng)按照《政務(wù)網(wǎng)絡(luò)建設(shè)規(guī)范》進(jìn)行建設(shè)。政府是按照省電子政務(wù)辦公室確認(rèn)的網(wǎng)絡(luò)連接方式,與縣局、省局建立了三級網(wǎng)絡(luò)。

         政務(wù)網(wǎng)與國際互聯(lián)網(wǎng)之間在物理上完全分開,局域網(wǎng)由此形成物理上斷開的內(nèi)網(wǎng)(運(yùn)行管理信息系統(tǒng))和外網(wǎng)(運(yùn)行信息發(fā)布和社會化服務(wù)系統(tǒng))兩部分,分別連入政務(wù)網(wǎng)和國際互聯(lián)網(wǎng)。政務(wù)網(wǎng)絡(luò)主要由四部分組成:

         ——內(nèi)部運(yùn)行信息系統(tǒng)的局域網(wǎng)(內(nèi)網(wǎng)); ——上下級互聯(lián)的廣域網(wǎng)(政務(wù)網(wǎng)); ——提供信息發(fā)布查詢等社會化服務(wù)的國際互聯(lián)網(wǎng)(外網(wǎng)); ——市級各部門信息資源共享的政務(wù)外網(wǎng)。

         1.2 政府 的安全風(fēng)險分析

         政府內(nèi)外網(wǎng)、上下級互聯(lián)互通涉及數(shù)據(jù)的交換,必然帶來一定的安全風(fēng)險。原來在外部網(wǎng)上傳播的病毒、在下級縣市單位存在的安全隱患可能因為數(shù)據(jù)交換而感染到本單位政府內(nèi)網(wǎng);原來利用互連網(wǎng)發(fā)動攻擊的黑客、下級單位的人員疏忽、惡意試探也可能利用政府內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)交換的連接嘗試攻擊本單位政府內(nèi)部政務(wù)網(wǎng),可以影響到本單位內(nèi)部網(wǎng)系統(tǒng)內(nèi)部大量的重要數(shù)據(jù)正常運(yùn)行,所以安全問題變得越來越復(fù)雜和突出。

         綜合分析網(wǎng)絡(luò)的攻擊的手段,政府內(nèi)外部網(wǎng)絡(luò)的數(shù)據(jù)交換可能面臨的安全風(fēng)險包括:

         問題類型 問題 問題描述 協(xié)議設(shè)計 安全問題被忽視 制定協(xié)議之時,通常首先強(qiáng)調(diào)功能性,而安全性問題則是到最后一刻、甚或不列入考慮范圍。

         其它基礎(chǔ)協(xié)議問題 架構(gòu)在其他不穩(wěn)固基礎(chǔ)協(xié)議之上的協(xié)議,即使本身再完善也會有很多問題。

         流程問題 設(shè)計協(xié)議時,對各種可能出現(xiàn)的流程問題考慮不夠周全,導(dǎo)致發(fā)生狀況時,系統(tǒng)處理方式不當(dāng)。

         設(shè)計錯誤 協(xié)議設(shè)計錯誤,導(dǎo)致系統(tǒng)服務(wù)容易失效或招受攻擊。

         軟件設(shè)計 設(shè)計錯誤 協(xié)議規(guī)劃正確,但協(xié)議設(shè)計時發(fā)生錯誤,或設(shè)計人員對協(xié)議的認(rèn)知錯誤,導(dǎo)致各種安全漏洞。

         程序錯誤 程序撰寫習(xí)慣不良導(dǎo)致很多安全漏洞,包含常見的未檢查資料長度內(nèi)容、輸入資料容錯能力不足、未檢測可能發(fā)生的錯誤、應(yīng)用環(huán)境的假設(shè)錯誤、引用不當(dāng)模塊、未檢測資源不足等。

         人員操作 操作失誤 操作規(guī)范嚴(yán)格且完善,但是操作人員未受過良好訓(xùn)練、或未按手冊操作,導(dǎo)致各種安全漏洞和安全隱患。

         網(wǎng)絡(luò)通訊 信息泄密 由于未采用加密手段導(dǎo)致通訊內(nèi)容被偵聽,或用戶名/口令在網(wǎng)上明文傳輸,導(dǎo)致竊取用戶身份登錄。

         系統(tǒng)維護(hù) 默認(rèn)值不安全 軟件或操作系統(tǒng)的預(yù)設(shè)設(shè)置不科學(xué),導(dǎo)致缺省設(shè)置下系統(tǒng)處于不安全的狀況下,如匿名登錄、訪問權(quán)限不當(dāng)?shù)。容易遭受病毒、蠕蟲、特洛依木馬等的攻擊。

         未修補(bǔ)系統(tǒng) 軟件和操作系統(tǒng)的各種補(bǔ)丁程序沒有及時修復(fù)。

         內(nèi)部安全問題 對由信任系統(tǒng)和網(wǎng)絡(luò)發(fā)起的各種攻擊防范不夠。信任領(lǐng)域存在的不安全系統(tǒng),成為不信任領(lǐng)域內(nèi)系統(tǒng)攻擊信任領(lǐng)域的各種跳板。

         1.3 建立統(tǒng)一安全隔離數(shù)據(jù)交換安全原則

         根據(jù)對以上安全風(fēng)險的歸納,市政府網(wǎng)絡(luò)系統(tǒng)最大的特點(diǎn)是復(fù)雜程度高,信息點(diǎn)多,安全威脅來自從物理層到應(yīng)用層多個方面。本方案在制定安全系統(tǒng)設(shè)計時所采用的基本策略為:主要以安全隔離信息交換技術(shù)和數(shù)據(jù)擺渡技術(shù)為主體,輔之防火墻技術(shù)、入侵檢測技術(shù)內(nèi)外行為控制管理技術(shù);構(gòu)造一個具有最高安全強(qiáng)度的、在較長一段時期內(nèi)可以防御絕大部分已知和未知的網(wǎng)絡(luò)攻擊手段的、并可以滿足用戶多種網(wǎng)絡(luò)應(yīng)用信息安全交換的網(wǎng)絡(luò)安全系統(tǒng)平臺。

         政府網(wǎng)絡(luò)信息交換的安全原則和要求體現(xiàn)在如下幾個方面:

         1、建立統(tǒng)一的安全隔離交換平臺,內(nèi)部政府辦公網(wǎng)各業(yè)務(wù)部門通過統(tǒng)一出口實(shí)現(xiàn)與外部應(yīng)用網(wǎng)間的可信信息交換,統(tǒng)一管理,執(zhí)行統(tǒng)一的安全策略,實(shí)現(xiàn)內(nèi)部網(wǎng)信息和上下級單位、外部應(yīng)用網(wǎng)數(shù)據(jù)交換的高度可控性。

         2、所采用的安全隔離設(shè)備必須通過公安部信息安全產(chǎn)品許可和國家保密局的技術(shù)鑒定。安全隔離設(shè)備具有安全的文件和數(shù)據(jù)庫交換功能,可以支持對 http、ftp 等通用應(yīng)用層協(xié)議的嚴(yán)格分析控制的物理隔離設(shè)備或功能。

         3、制定統(tǒng)一的接口開發(fā)及數(shù)據(jù)傳輸標(biāo)準(zhǔn),實(shí)現(xiàn)內(nèi)部各業(yè)務(wù)部門應(yīng)用系統(tǒng)與外部應(yīng)用網(wǎng)安全交換平臺間的數(shù)據(jù)交換,并通過該標(biāo)準(zhǔn)強(qiáng)化應(yīng)用系統(tǒng)數(shù)據(jù)通信安全。

         4、內(nèi)部網(wǎng)通過安全隔離交換平臺與外界進(jìn)行的信息交換必須受到嚴(yán)格的控制,內(nèi)部網(wǎng)安全隔離平臺可以提供必要的安全手段,如信息的單向訪問,防止內(nèi)網(wǎng)向外部泄漏敏感信息和抵御外網(wǎng)攻擊。

         5、隔離平臺必須提供完整的安全審計功能,能夠詳細(xì)記錄、快速查詢內(nèi)外網(wǎng)間的訪問行為及安全事件,數(shù)據(jù)傳輸?shù)脑敿?xì)記錄。

         6、隔離平臺與其他網(wǎng)絡(luò)安全產(chǎn)品構(gòu)成整體的網(wǎng)絡(luò)安全架構(gòu),全面解決市網(wǎng)絡(luò)安全問題。

         7、專業(yè)網(wǎng)安全隔離平臺必須具備較高的網(wǎng)絡(luò)性能及穩(wěn)定性、高可用性。

         2 2 政府 網(wǎng)絡(luò)安全隔離解決方案

         2.1 政府 內(nèi)網(wǎng)安全隔離與信息交換設(shè)計

         政府內(nèi)網(wǎng)安全隔離設(shè)計主要是政府內(nèi)網(wǎng)與外部應(yīng)用網(wǎng)絡(luò)(互聯(lián)網(wǎng)或上下級網(wǎng)絡(luò))間的安全隔離與信息交換問題。

         政府內(nèi)網(wǎng)與外部應(yīng)用網(wǎng)之間隔離遵循“內(nèi)外網(wǎng)物理隔斷,內(nèi)外網(wǎng)可控信息交換”的原則,政府內(nèi)網(wǎng)不直接接受來自其他網(wǎng)絡(luò)的數(shù)據(jù)訪問請求。其中主要基于以下安全考慮:即不接收其他網(wǎng)絡(luò)數(shù)據(jù),使得政府內(nèi)網(wǎng)對外不暴露任何端口和服務(wù),完全隱藏內(nèi)部網(wǎng)絡(luò),從而更集中、高效地保護(hù)內(nèi)網(wǎng)安全。更重要的是該功能阻斷了黑客通過木馬控制內(nèi)網(wǎng)主機(jī)的通訊途徑,保護(hù)內(nèi)網(wǎng)主機(jī)的安全。

         在以安全隔離網(wǎng)閘為基礎(chǔ)的內(nèi)外網(wǎng)信息交換平臺上,除了隔離網(wǎng)閘外,還可以應(yīng)用防火墻技術(shù)、IDS 技術(shù)、SSL VPN 技術(shù),保證政府內(nèi)網(wǎng)數(shù)據(jù)的機(jī)密性、完整性和可用性。

         這樣就以隔離網(wǎng)閘為核心,建立了一整套完整的安全隔離與信息交換平臺。

         2.2 安全隔離與信息交換 平臺 實(shí)施方案

         根據(jù)以上設(shè)計,其主要實(shí)施方式是:

         1、 在政府內(nèi)網(wǎng)與外部網(wǎng)絡(luò)邊界部署偉思安全隔離與信息交換系統(tǒng)(網(wǎng)閘),該網(wǎng)閘的作用就是隔離來自外部網(wǎng)絡(luò)的訪問,以靜態(tài)化純數(shù)據(jù)的形式擺渡交換在內(nèi)外網(wǎng)之間安全交換數(shù)據(jù)。

         2、 網(wǎng)閘部署在內(nèi)網(wǎng)與上下級關(guān)聯(lián)單位的網(wǎng)絡(luò)邊界處部署網(wǎng)閘,進(jìn)行數(shù)據(jù)交換的網(wǎng)絡(luò)邊界處,僅允許定義的安全數(shù)據(jù)進(jìn)行數(shù)據(jù)交換。隔離除此之外其它任何外部主機(jī)對內(nèi)網(wǎng)的訪問請求。在該隔離環(huán)境下,大量攻擊行為都被隔離網(wǎng)閘隔離而無法進(jìn)入本單位政府內(nèi)網(wǎng) 3、 對大負(fù)荷應(yīng)用可采用雙機(jī)集群,實(shí)現(xiàn)負(fù)載均衡和雙機(jī)熱備。解決性能保障問題和應(yīng)用隔離保障問題。性能保障主要是保證隔離系統(tǒng)的網(wǎng)絡(luò)性能滿足政府應(yīng)用對數(shù)據(jù)交換速率和延時的要求;實(shí)現(xiàn)負(fù)載均衡與雙機(jī)熱備,使安全交換平臺具有良好的可擴(kuò)展性和可靠性,另外對于交換數(shù)據(jù)量大的應(yīng)用系統(tǒng)可采用千兆隔離網(wǎng)閘。

         4、 在政府內(nèi)網(wǎng)入口處部署 SSL VPN 設(shè)備,針對遠(yuǎn)端局、所對內(nèi)網(wǎng)應(yīng)用的訪問進(jìn)行鏈路加密,保證合法用戶才能訪問特定的應(yīng)用系統(tǒng),保障安全性的同時增強(qiáng)應(yīng)用的靈活性。

         2.3 整體解決方案拓?fù)鋱D

         按照上述安全隔離與信息交換方案策略,我們對現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)做了調(diào)整,引入了隔離網(wǎng)閘等網(wǎng)絡(luò)安全產(chǎn)品來實(shí)現(xiàn)政府網(wǎng)絡(luò)安全系統(tǒng)的建設(shè),保證內(nèi)外安全的前提下,滿足內(nèi)外網(wǎng)隔離與信息交換的需求。

         整體拓?fù)鋱D如下:

          隔離網(wǎng)閘可采用訪問式和同步式兩種工作模式,提供內(nèi)外網(wǎng)數(shù)據(jù)庫、文件服務(wù)器的數(shù)據(jù)同步功能,也可以提供對網(wǎng)絡(luò)訪問的全面控制和策略管理。

         網(wǎng)閘 A 實(shí)現(xiàn)本單位內(nèi)外網(wǎng)之間數(shù)據(jù)交換. 網(wǎng)閘 B 實(shí)現(xiàn)本單位與上下級單位或其他關(guān)聯(lián)單位間的安全隔離與數(shù)據(jù)交換.

         2.4 解決方案 產(chǎn)品選型

         根據(jù)所需防范的具體安全問題類型、期望達(dá)到的安全程度,本方案建議選擇相應(yīng)的安全產(chǎn)品,產(chǎn)品的選型遵從如下標(biāo)準(zhǔn):

         1)、成熟性:保證安全體系本身的可靠和穩(wěn)定,也是保證網(wǎng)絡(luò)安全系統(tǒng)平臺能夠安全可靠運(yùn)行的基本要素。

         2)、先進(jìn)性:保證安全體系具有較強(qiáng)的適應(yīng)力、生命力,以便能適應(yīng)未來一段時期內(nèi)安全發(fā)展的需要。

         3)、國內(nèi)自主知識產(chǎn)權(quán),自行生產(chǎn)的網(wǎng)絡(luò)安全產(chǎn)品。

         4)、合法性:安全體系建設(shè)中所采用的安全技術(shù)及其產(chǎn)品須有國家安全部門或具有等效職能機(jī)構(gòu)認(rèn)證并頒發(fā)有許可證。

         3 3 隔離網(wǎng)閘產(chǎn)品方案設(shè)計

         3.1 隔離網(wǎng)閘產(chǎn)品概述

         偉思網(wǎng)絡(luò)安全技術(shù)有限公司作為我國最早研發(fā)并率先推出安全隔離與信息交換系統(tǒng)產(chǎn)品的專業(yè)信息安全技術(shù)公司之一,其安全隔離與信息交換產(chǎn)品已經(jīng)廣泛應(yīng)用于近 1000 家各種不同行業(yè)/部門的用戶系統(tǒng)中,多次在一些國家部委及金融單位總部的重要招標(biāo)中成功中標(biāo)或入圍,獲得了用戶的普遍高度好評。

         偉思信安ViGap300安全隔離與信息交換系統(tǒng)采用國際先進(jìn)的GAP硬件隔離反射技術(shù),實(shí)現(xiàn)了在網(wǎng)絡(luò)隔離環(huán)境下的可控信息交換,并針對傳統(tǒng)安全隔離與信息交換系統(tǒng)應(yīng)用層安全防護(hù)薄弱的現(xiàn)狀,運(yùn)用創(chuàng)新技術(shù)開發(fā)出基于網(wǎng)絡(luò)隔離安全基礎(chǔ)平臺下的應(yīng)用層防護(hù)系統(tǒng),為各類黨政部門、軍事單位、金融電信、科研院校及企事業(yè)單位等機(jī)構(gòu)的關(guān)鍵業(yè)務(wù)處理系統(tǒng)與外部不可信網(wǎng)絡(luò)間信息交換提供了完整的安全隔離與信息交換解決方案。

         偉思信安 ViGap300 安全隔離與信息交換系統(tǒng)率先采用國際領(lǐng)先的基于 ASIC芯片(大規(guī)模集成電路芯片)設(shè)計的高速硬件電子隔離開關(guān)技術(shù),實(shí)現(xiàn)了受保護(hù)網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)(互聯(lián)網(wǎng)、專網(wǎng)等外部網(wǎng)絡(luò))間的物理斷開,并通過擺渡機(jī)制在可控環(huán)境下實(shí)現(xiàn)內(nèi)外網(wǎng)間應(yīng)用層數(shù)據(jù)交換。ASIC 芯片具有不可編程特性而且通訊方式徹底私有,從技術(shù)上消除了傳統(tǒng)攻擊手段對受保護(hù)內(nèi)部網(wǎng)絡(luò)的威脅,所有交換數(shù)據(jù)均經(jīng)過 ViGap300 的嚴(yán)格安全檢查,置于 ViGap300 設(shè)備保護(hù)之下的內(nèi)部網(wǎng)絡(luò)與外部不可信網(wǎng)絡(luò)在任一時刻內(nèi)均不存在直接的物理網(wǎng)絡(luò)連接,從而起到了保護(hù)內(nèi)部網(wǎng)絡(luò)免遭來自外部已知和未知的網(wǎng)絡(luò)攻擊,實(shí)現(xiàn)了安全、可靠的數(shù)據(jù)交換。

         3.2 產(chǎn)品內(nèi)部架構(gòu)

         偉思信安安全隔離交換系統(tǒng)的系統(tǒng)結(jié)構(gòu)如下圖表所示:

         PCI LVDS數(shù)據(jù)流

         數(shù)據(jù)流PCI外部安全板 內(nèi)部安全板內(nèi)部網(wǎng)絡(luò)接口外部網(wǎng)絡(luò)接口

          圖表 1 安全隔離交換系統(tǒng)的隔離體系結(jié)構(gòu)

          VIGAP300 安全隔離交換系統(tǒng)的所有控制邏輯由硬件實(shí)現(xiàn)的,不能被軟件修改;安全隔離交換系統(tǒng)在內(nèi)外安全主板上各設(shè)計了一個隔離開關(guān),稱反射 GAP。反射 GAP 實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)之間的物理斷開,但同時能交換數(shù)據(jù)的目的。

         反射 GAP 使得內(nèi)外網(wǎng)中繼數(shù)據(jù)的速率達(dá)到物理連通狀態(tài)的 100%,從而消除了因物理斷開內(nèi)外網(wǎng)絡(luò)而可能造成的通信瓶頸。

         3.3 隔離網(wǎng)閘技術(shù)的優(yōu)勢

         同傳統(tǒng)的防火墻等邏輯隔離訪問控制技術(shù)相比,隔離網(wǎng)閘獨(dú)特的模型結(jié)構(gòu)天然具有了一些其它安全技術(shù)難以達(dá)到的安全特性,主要包括以下幾個方面:

         1) 對網(wǎng)絡(luò)層/OS 層已知和未知攻擊的全面防護(hù)能力。由于在網(wǎng)閘 2+1 隔離架構(gòu)模型中內(nèi)外網(wǎng)間實(shí)際上物理斷開,所有訪問被轉(zhuǎn)化成應(yīng)用層數(shù)據(jù)形式通過獨(dú)立的存儲介質(zhì)在內(nèi)外網(wǎng)移動,因此,移動的數(shù)據(jù)中并不包含相對低層的網(wǎng)絡(luò)層/OS層控制信息,換句話說,隱藏在網(wǎng)絡(luò)層/OS 層的攻擊行為根本沒有進(jìn)入受保護(hù)內(nèi)網(wǎng)網(wǎng)絡(luò)的可能,無論該攻擊方式是已知的還是未知的。而目前其它安全技術(shù)基本上還是基于特征匹配的方式過濾這些攻擊行為,遺漏和處理不當(dāng)都在所難免,并且對未知攻擊毫無辦法,對受保護(hù)網(wǎng)絡(luò)造成嚴(yán)重安全隱患。

         2) 不再依賴操作系統(tǒng)的安全性。目前所有安全技術(shù)的實(shí)現(xiàn)都必須依賴操作系統(tǒng)作為平臺提供低層服務(wù)支持,操作系統(tǒng)的安全性實(shí)際上就影響到整個安全產(chǎn)品的安全性,目前主流的 OS 主要是微軟和 UNIX/Linux 兩大類,所有這些操作系統(tǒng)都具有一定數(shù)量的 Bugs,這些漏洞也隨之成為整個安全產(chǎn)品的漏洞。而隔離網(wǎng)閘很好地解決了這個問題,其內(nèi)網(wǎng)處理服務(wù)器上的操作系統(tǒng)完全不對外暴露,暴露在外的僅僅是負(fù)責(zé)外網(wǎng)處理的服務(wù)器,即使該服務(wù)器因操作系統(tǒng) Bugs 被攻擊,實(shí)際上也無法進(jìn)一步影響內(nèi)網(wǎng)處理服務(wù)器,因為內(nèi)外網(wǎng)是物理斷開的。實(shí)際上,與防火墻等其它安全產(chǎn)品不同,黑客無法利用現(xiàn)有操作系統(tǒng) Bugs 獲得對隔離網(wǎng)閘結(jié)構(gòu)的控制權(quán)。

         3) 強(qiáng)化安全決策過程的安全性。安全決策是最重要和基礎(chǔ)的安全防御手段之一,安全決策包括認(rèn)證、訪問控制列表(ACL)、內(nèi)容過濾以及格式檢查等一系列方式。安全決策功能一旦失效,惡意訪問將無阻礙地進(jìn)入受保護(hù)網(wǎng)絡(luò)(例如訪問控制列表被更改,已禁止端口被開放等)。目前的網(wǎng)絡(luò)安全產(chǎn)品對決策模塊的防護(hù)能力相對較弱,而隔離網(wǎng)閘則將所有安全決策過程置于中立的與內(nèi)外網(wǎng)沒有連接的隔離區(qū)內(nèi)完成,且關(guān)鍵的策略庫置于與被檢查數(shù)據(jù)物理斷開的受保護(hù)端(LAN)服務(wù)器上,因此,策略庫和決策過程都十分安全,未經(jīng)嚴(yán)格檢查的數(shù)據(jù)將始終被隔離在受保護(hù)網(wǎng)絡(luò)(LAN)以外,確保決策過程的安全。

         4) 數(shù)據(jù)靜態(tài)化。在隔離網(wǎng)閘中,所有進(jìn)入網(wǎng)閘內(nèi)的數(shù)據(jù)在傳遞過程中都是靜態(tài)的,其內(nèi)容不被任何程序執(zhí)行,僅僅是對靜態(tài)內(nèi)容實(shí)施檢查和決策,因此,這些數(shù)據(jù)本身攜帶的任何惡意代碼都無法執(zhí)行,也就無法危及系統(tǒng)的安全,整個系統(tǒng)安全可靠。

         3.4 產(chǎn)品特點(diǎn)

         ? ViGap300 是一款面向大型網(wǎng)絡(luò)的安全隔離系統(tǒng),為各類黨政部門、軍事單位、金融電信、科研院校及企事業(yè)單位等關(guān)鍵部門的內(nèi)部網(wǎng)絡(luò)或服務(wù)器提供網(wǎng)絡(luò)隔離環(huán)境下的實(shí)時隔離保護(hù),并在可控狀態(tài)下實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)或服務(wù)器與外界的實(shí)時(適度)信息交換。

         ? 采用獨(dú)特的“2+1”安全體系架構(gòu),通過基于 ASIC 芯片技術(shù)設(shè)計的專用隔離電子開關(guān)系統(tǒng),實(shí)現(xiàn)用戶關(guān)鍵網(wǎng)絡(luò)及服務(wù)系統(tǒng)與外界的物理隔斷,實(shí)現(xiàn)鏈路層與網(wǎng)絡(luò)層的徹底斷開。

         ? 采用高性能和多條流水線設(shè)計的 ASIC 芯片為基礎(chǔ)建立的全新硬件隔離架構(gòu),擁有全線速隔離交換性能,滿足大型網(wǎng)絡(luò)應(yīng)用所面對大用戶量、低延時訪問的需求。在核心的 GAP 電子開關(guān)隔離芯片上采用了含 TRUE LVDS功能強(qiáng)大的 APXII 系列 EP2A70 作為 FPGA 設(shè)計硬件基片,該芯片具有 500萬門電路以及多路 Giga 位的通道,支持內(nèi)部高達(dá) 1060 個硬件 I/Os 通道,使得電子開關(guān)具有高速的數(shù)據(jù)傳輸能力和并發(fā)處理能力。

         ? 充分考慮關(guān)鍵應(yīng)用對可靠性、可用性的要求,獨(dú)家采用負(fù)載均衡技術(shù)以及基于應(yīng)用協(xié)議連接資源保護(hù)的 QOS 服務(wù)質(zhì)量控制技術(shù)消除單點(diǎn)故障和網(wǎng)

         絡(luò)實(shí)現(xiàn)對網(wǎng)絡(luò)服務(wù)的高可靠性及可用性保證。

         ? 采用無協(xié)議的“GAP Reflective”,GAP 隔離反射技術(shù)實(shí)現(xiàn)開放網(wǎng)絡(luò)通訊協(xié)議的剝離與重組,有效阻斷來自網(wǎng)絡(luò)層及服務(wù)器 OS 層的各類已知/未知攻擊,彌補(bǔ)其它安全技術(shù)對網(wǎng)絡(luò)未知攻擊的防御盲區(qū)。

         ? 廣泛支持各類通用應(yīng)用協(xié)議(HTTP、FTP、SMTP、DNS、SQL 等),包括支持視頻會議、流媒體以及 VPN 等特殊應(yīng)用代理以及用戶定制協(xié)議,無需再進(jìn)行二次開發(fā)或單獨(dú)購買模塊。

         ? 采用專利技術(shù)的應(yīng)用層安全防御系統(tǒng),ViGap300 特別針對廣泛應(yīng)用的WEB、EMAIL 和 FTP 等服務(wù)采用專利技術(shù) Web Application™,實(shí)現(xiàn)了全面應(yīng)用層安全防護(hù),可防止WEB溢出漏洞、Unicode漏洞、Inject攻擊、Cookie中毒、惡意 JavaScript、ActiveX 控件甚至 CGI 腳本等各類應(yīng)用層安全風(fēng)險。

         ? 智能化攻擊識別與過濾,ViGap300 采用先進(jìn)的應(yīng)用層協(xié)議分析技術(shù)智能識別并過濾大量基于應(yīng)用層協(xié)議的攻擊行為,ViGap300 提供目前市場上豐富的協(xié)議分析模塊,全面防護(hù)各類應(yīng)用系統(tǒng)安全風(fēng)險,包括:HTTP、FTP、SMTP、POP3、IMAP、DNS 等數(shù)十種協(xié)議分析模塊。

         3.5 產(chǎn)品功能

         3.5.1 系統(tǒng)可靠性

         ? 雙機(jī)熱備功能模塊 ViGap300 系列產(chǎn)品針對大型網(wǎng)絡(luò)的應(yīng)用提供了雙機(jī)熱備份功能,實(shí)現(xiàn)系統(tǒng)的穩(wěn)定可靠運(yùn)行。通過內(nèi)置的雙機(jī)熱備系統(tǒng),連接在同一個網(wǎng)絡(luò)內(nèi)的多臺 ViGap300設(shè)備可以建立雙機(jī)熱備機(jī)制,并通過虛擬 IP 統(tǒng)一對外提供服務(wù)。從設(shè)備不斷發(fā)出心跳信息偵測主設(shè)備狀態(tài),一旦主設(shè)備出現(xiàn)故障從設(shè)備將立即接管并繼續(xù)提供服務(wù)。結(jié)合 ViGap300 獨(dú)有的狀態(tài)檢測系統(tǒng),管理員能夠迅速發(fā)現(xiàn)設(shè)備故障并作出處理。

         ? 系統(tǒng)工作狀態(tài)檢測與報警

         ViGap300 系列采用基于工業(yè)控制系統(tǒng)的架構(gòu)設(shè)計,具備良好的穩(wěn)定性。并且建立了設(shè)備狀態(tài)檢測系統(tǒng),在開機(jī)狀態(tài)下持續(xù)對系統(tǒng)各硬件板卡及軟件模塊進(jìn)

         行檢查,并將系統(tǒng)狀態(tài)顯示在液晶面板上,管理員可針對故障信息迅速了解故障原因并作出響應(yīng)。

          同時,ViGap300 系列軟件系統(tǒng)采用了先進(jìn)的自愈技術(shù),當(dāng)故障發(fā)生時可迅速命令系統(tǒng)重啟恢復(fù)到正常工作狀態(tài)。

         3.5.2 系統(tǒng)可用性

         ViGap300 系列為滿足高性能的網(wǎng)絡(luò)處理而設(shè)計,因此,必須支持大規(guī)模的并發(fā)訪問和高帶寬的數(shù)據(jù)吞吐。除了采用更高端的處理系統(tǒng)、內(nèi)存以及接口以外,ViGap300 系列還設(shè)計了最大支持 32 臺設(shè)備的負(fù)載平衡系統(tǒng)來實(shí)現(xiàn)高可用性。

          ViGap300系列的負(fù)載平衡系統(tǒng)通過仲裁網(wǎng)絡(luò)流量方式實(shí)現(xiàn)流量在ViGap300集群中的平均分配,從而將處理性能大幅提升。

         3.5.3 安全功能

         ? 網(wǎng)絡(luò)隔離功能 ViGap300 系列具有網(wǎng)絡(luò)隔離功能,通過基于 ASIC 設(shè)計的硬件電子開關(guān)實(shí)現(xiàn)可信、不可信網(wǎng)絡(luò)間的物理斷開,保護(hù)可信網(wǎng)絡(luò)免遭黑客攻擊。

         ? 數(shù)據(jù)靜態(tài)化 采用“裸數(shù)據(jù)”機(jī)制,運(yùn)用協(xié)議剝離和重組技術(shù),在網(wǎng)閘內(nèi)部實(shí)現(xiàn)“裸數(shù)據(jù)”和數(shù)據(jù)靜態(tài)化,有效的防止網(wǎng)絡(luò)上未知攻擊。

         ? IDS 入侵檢測功能

         ViGap300 系列在設(shè)備兩端內(nèi)置了 IDS 入侵檢測引擎,該引擎可有效保護(hù)系統(tǒng)自身及受保護(hù)網(wǎng)絡(luò)免受攻擊者的頻繁攻擊。該系統(tǒng)將自動分析對受保護(hù)內(nèi)網(wǎng)的訪問請求,并與 ViGAP300 隔離系統(tǒng)實(shí)現(xiàn)內(nèi)部聯(lián)動對可疑數(shù)據(jù)包采取拒絕連接的方式防御攻擊。

          ? SAT(服務(wù)器地址映射)功能

         ViGap300 系列具備完善的 SAT 功能,可信端服務(wù)器可通過 SAT 功能將自身的

         特定服務(wù)虛擬映射到 ViGap300 系列的不可信端接口上,通過隔離系統(tǒng)的不可信端虛擬端口對外提供服務(wù),訪問者僅能訪問虛擬端口而無法直接連接服務(wù)器,從而對外屏蔽服務(wù)器,防止服務(wù)器遭到攻擊。

         ? 身份認(rèn)證功能

         不同于部門級網(wǎng)絡(luò),大型網(wǎng)絡(luò)對身份認(rèn)證的要求極高,且需要基于第三方的統(tǒng)一身份認(rèn)證服務(wù)。ViGap300 系列除了提供基本的用戶名/口令身份認(rèn)證功能以外,還可與外部認(rèn)證系統(tǒng)集成支持?jǐn)U展的 Radius、PKI 數(shù)字證書、SecureID 等多種強(qiáng)身份認(rèn)證功能。

          ? 安全代理服務(wù)功能

         ViGap300 系列允許可信端用戶以應(yīng)用代理方式訪問不可信網(wǎng)絡(luò),ViGap300 系列作為應(yīng)用代理網(wǎng)關(guān)對內(nèi)網(wǎng)訪問請求進(jìn)行檢測,相對于傳統(tǒng)的基于網(wǎng)絡(luò)層的 NAT方式來說,由于代理服務(wù)在應(yīng)用層對訪問請求進(jìn)行檢測具有更細(xì)的粒度和檢查元素,因此,對訪問具有更高的安全控制能力。

         ? AI 安全過濾功能

          應(yīng)用智能能夠使您根據(jù)來源、目的地、用戶特權(quán)和時間來控制對特定的 HTTP、SMTP 或 FTP 等資源的訪問。ViGap300 系列產(chǎn)品通過協(xié)議分析技術(shù)提供應(yīng)用級的安全過濾以保護(hù)數(shù)據(jù)和應(yīng)用服務(wù)器免受惡意 Java 和 ActiveX applet 的攻擊。ViGap300 系列在 AI 功能中新增了安全功能,包括:確認(rèn)通信是否遵循相關(guān)的協(xié)議標(biāo)準(zhǔn);進(jìn)行異常協(xié)議檢測;限制應(yīng)用程序攜帶惡意數(shù)據(jù)的能力;對應(yīng)用層操作進(jìn)行控制,這些新功能對企業(yè)級網(wǎng)絡(luò)環(huán)境中應(yīng)用層的安全控制起到了很重要的強(qiáng)化作用。

         ? 防病毒功能 系統(tǒng)內(nèi)嵌防病毒引擎,可實(shí)現(xiàn)對內(nèi)外網(wǎng)擺渡數(shù)據(jù)的病毒查殺,其防水墻模塊可有效阻止內(nèi)網(wǎng)信息的外泄及木馬、蠕蟲等惡意程序通過 HTTP、SMTP 等方式向外泄漏信息。實(shí)現(xiàn)對病毒的高效查殺,支持包括 HTTP、SMTP、POP3 協(xié)議的網(wǎng)關(guān)級病毒過濾。

         ? 內(nèi)容及格式檢測功能

         ViGap300 系列具備內(nèi)容過濾及文件格式檢查功能,對管理員指定格式的文件或指定內(nèi)容關(guān)鍵字的郵件、網(wǎng)頁、FTP 文件等具有安全過濾功能,能夠阻止敏感的信息外泄或惡意程序的入侵。

         ? VPN 通訊安全

         ViGap300 系列對受保護(hù) WEB 服務(wù)器提供內(nèi)置的 SSL VPN 加密通訊機(jī)制,建立客戶端與虛擬服務(wù)端口間的 SSL 加密 VPN 鏈路,實(shí)現(xiàn)通訊安全。該加密方式無需修改客戶端設(shè)置,透明實(shí)現(xiàn)客戶端與服務(wù)器端的加密通訊。

         ? WEB 站點(diǎn)保護(hù)功能

          目前大量應(yīng)用基于 B/S 架構(gòu)開發(fā),WEB 服務(wù)成為了越來越通用的服務(wù),然而WEB 服務(wù)器的大量漏洞也時時威脅著應(yīng)用系統(tǒng)的安全。ViGap300 系列全面分析了來自 WEB 服務(wù)的漏洞,建立了 WEB 站點(diǎn)保護(hù)系統(tǒng) Web Application™,全面抵御黑客對用戶對外 WEB、MAIL 以及 FTP 系統(tǒng)服務(wù)系統(tǒng)發(fā)動的攻擊。包括:Cookie 安全簽名、URL 字段細(xì)粒度過濾、輸入?yún)?shù)檢測、操作系統(tǒng)屏蔽、Web service 函數(shù)、CGI 調(diào)用函數(shù)、特別針對 WEB 的 IDS 檢測、文件目錄及文件訪問控制等功能。

         ? 規(guī)則庫后置 偉思 ViGap300 將規(guī)則庫后置在網(wǎng)閘的內(nèi)網(wǎng)可信端一側(cè),通過芯片級的隔離部件和“裸數(shù)據(jù)”擺渡機(jī)制的保護(hù),使得放置于 GAP 產(chǎn)品的受保護(hù)網(wǎng)絡(luò)端(即后端)的規(guī)則庫具有嚴(yán)格的在外部網(wǎng)絡(luò)端不可修改特性,保護(hù)規(guī)則庫的安全。

         3.5.4 系統(tǒng)管理

         ? 輕松管理 ViGap300 系列安全管理架構(gòu)允許管理員將多個隔離與信息交換系統(tǒng)設(shè)備部署到任何位置上并對其進(jìn)行集中式管理。一旦創(chuàng)建或修改了策略,它就被自動分發(fā)到規(guī)則指定的所在位置。

         ? 良好的用戶界面 ViGap300 系列提供了一個良好的用戶界面,以樹型結(jié)構(gòu)組織對象,可在所有規(guī)則中共享所有的對象定義(例如:用戶、主機(jī)、網(wǎng)絡(luò)和服務(wù)等等),以便進(jìn)行有

         效的策略創(chuàng)建和安全管理。

         ? 豐富的日志及審計模塊 ViGap300 系列管理平臺能夠監(jiān)控并記錄 ViGap300 系列產(chǎn)品的系統(tǒng)狀態(tài)。全面審計網(wǎng)絡(luò)活動、入侵活動、管理員的配置操作、系統(tǒng)錯誤信息、違反規(guī)則的過濾信息等日志信息,支持日志擴(kuò)展,導(dǎo)出日志到第三方系統(tǒng)進(jìn)行專業(yè)分析。

         3.5.5 應(yīng)用支持

         ? 安全上網(wǎng) ViGap300 系列支持用戶安全上網(wǎng)應(yīng)用,可根據(jù)身份認(rèn)證、IP+MAC 綁定等多種安全策略實(shí)現(xiàn)用戶安全上網(wǎng)應(yīng)用,同時支持透明應(yīng)用代理方式,客戶端無需設(shè)置。

         ? 數(shù)據(jù)庫應(yīng)用模塊 ViGap300 系列全面支持各種類型的數(shù)據(jù)庫應(yīng)用,支持 Oracle、MS SQL、MySQL、Sybase 等主流的數(shù)據(jù)庫的 SQL 查詢,支持全表復(fù)制、增量更新、全表更新等多種數(shù)據(jù)庫同步方式,并支持自定義表和字段。

         ? 文件交換和消息應(yīng)用模塊 ViGap300 系列全面支持各種類型的文件同步,包括 SAMBA、NFS 等協(xié)議應(yīng)用的文件同步,支持基于消息中間件的網(wǎng)絡(luò)同步應(yīng)用,提供消息模式數(shù)據(jù)轉(zhuǎn)發(fā)和同步。

         ? 網(wǎng)絡(luò)應(yīng)用 ViGap300 系列支持各類 TCP/IP 以上的網(wǎng)絡(luò)應(yīng)用協(xié)議,無需二次開發(fā)。包括:HTTP、SMTP、POP3、DNS、FTP、NFS、MMS、IM、VOIP 等等。支持用戶自定義開發(fā)的特殊應(yīng)用協(xié)議。支持網(wǎng)閘訪問的單向、雙向自定義。同時,針對用戶特殊需求ViGap300 系列提供 API 應(yīng)用開發(fā)接口。

         ? 即插即用 網(wǎng)閘設(shè)備的應(yīng)用,不會改變現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),不改變原有網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng),

         網(wǎng)閘的應(yīng)用,對原有網(wǎng)絡(luò)無需做大的改動。

         3.6 偉思 0 ViGap300 系統(tǒng)性能參數(shù)

         偉思 ViGap300 提供千兆安全隔離與交換系統(tǒng),其主要性能指標(biāo)如下:

         ? ViGap300 網(wǎng)絡(luò)吞吐量性能:>600Mbps ? ViGap300 隔離硬件芯片數(shù)據(jù)交換速率:5Gbps ? ViGap300 系統(tǒng)時延:2ns 級 ? ViGap300 并發(fā)連接數(shù):>=12000 ? 平均無故障運(yùn)行時間:>60000 小時 ? 支持冗余電源擴(kuò)展,提供高可用性 ? 用戶數(shù)支持:無限制 4 系統(tǒng)支持與服務(wù)方案

         4 41 .1 售后服務(wù)

         我們提供的售后服務(wù)內(nèi)容主要包括以下幾個方面:

         電話支持 提供專用售后服務(wù)技術(shù)電話,為用戶進(jìn)行有關(guān)產(chǎn)品使用的電話答疑和操作指導(dǎo)等。我們的技術(shù)支持電話為:(0756)3391616-技術(shù)部 提供免費(fèi)電話支持服務(wù):400-881-8180;800-830-7670

         E-mail 支持 提供E-mail支持,解答用戶有關(guān)安全產(chǎn)品使用疑問的電子郵件。偉思公司的技術(shù)支持E-mail為:Service@victory-idea.com

         網(wǎng)站支持 在公司網(wǎng)站上發(fā)布有關(guān)產(chǎn)品的信息,如FAQ、產(chǎn)品使用交流BBS、支持信息等對客戶進(jìn)行知識服務(wù)。用戶和代理商可隨時瀏覽網(wǎng)站,查看有關(guān)內(nèi)容或進(jìn)行在線交流等。偉思公司的網(wǎng)址為:www.victory-idea.comH。

         現(xiàn)場支持 偉思公司承諾對貴單位安全工程的快速反應(yīng)能力。在確認(rèn)需要現(xiàn)場支持后,按照故障級別,會采取不同級別的現(xiàn)場技術(shù)支持。

         產(chǎn)品更新服務(wù) 偉思公司將在網(wǎng)上及時發(fā)布最新的升級程序?梢酝ㄟ^網(wǎng)上更新的方式進(jìn)行升級。

         產(chǎn)品的升級服務(wù) 當(dāng)產(chǎn)品有版本的升級時,偉思承諾在第一時間將有關(guān)升級情況公布在公司的網(wǎng)頁上;提供升級介質(zhì)和升級培訓(xùn)服務(wù)。

         4 42 .2 培訓(xùn)計劃

         貴單位的網(wǎng)絡(luò)管理人員和業(yè)務(wù)工作人員的培訓(xùn)是本次安全建設(shè)項目的重要組成部分,是實(shí)現(xiàn)業(yè)務(wù)網(wǎng)絡(luò)安全、提高安全系統(tǒng)效率的重要保證。為此,我們?yōu)橘F單位制定了如下的培訓(xùn)計劃,對技術(shù)人員進(jìn)行必要的培訓(xùn),確保技術(shù)人員自己能對安全產(chǎn)品進(jìn)行日常的維護(hù)。

         培訓(xùn)目的 本次培訓(xùn)的主要目的是讓貴單位的技術(shù)人員可以系統(tǒng)地了解 ViGap 隔離網(wǎng)閘的架構(gòu)、實(shí)現(xiàn)原理、策略設(shè)定及管理方式。達(dá)到能夠熟練安裝、調(diào)試及維護(hù)安全產(chǎn)品,可以處理一般常見問題的目的。

         培訓(xùn)對象 培訓(xùn)的對象主要分為貴單位的安全管理人員、技術(shù)人員,另外,參加培訓(xùn)的人員還會有相關(guān)的代理商、集成商的技術(shù)人員等。

         培訓(xùn)內(nèi)容 根據(jù)本次安全建設(shè)所涉及到的安全產(chǎn)品,及培訓(xùn)對象的不同,準(zhǔn)備的培訓(xùn)課程如下表:

         課程名稱 培訓(xùn)講師 培訓(xùn)時間 培訓(xùn)地點(diǎn) 網(wǎng)絡(luò)基礎(chǔ)知識培訓(xùn) 資深網(wǎng)絡(luò)安全工程師 2 天

         網(wǎng)絡(luò)安全基礎(chǔ)知識培訓(xùn) 資深網(wǎng)絡(luò)安全工程師

         安全管理培訓(xùn) 資深網(wǎng)絡(luò)安全工程師

         隔離網(wǎng)閘技術(shù)培訓(xùn) 資深網(wǎng)絡(luò)安全工程師

         具體的培訓(xùn)內(nèi)容可以根據(jù)貴單位的實(shí)際情況進(jìn)行靈活的調(diào)整。偉思公司在培訓(xùn)前會準(zhǔn)備好相應(yīng)的培訓(xùn)教材,包括產(chǎn)品技術(shù)培訓(xùn)教材和相應(yīng)的 PPT 文檔等,培訓(xùn)講師由偉思公司和相關(guān)廠商的資深技術(shù)人員擔(dān)任,培訓(xùn)地點(diǎn)將與貴單位協(xié)商后確定。

         培訓(xùn)方法 本次培訓(xùn)力求體現(xiàn)簡單、實(shí)用的特點(diǎn),針對不同的培訓(xùn)對象,選派不同的培訓(xùn)教員,采用不同的培訓(xùn)方法。網(wǎng)絡(luò)安全管理人員能夠在培訓(xùn)后了解一般的安全知識,掌握網(wǎng)絡(luò)安全基礎(chǔ)理論知識,熟悉隔離網(wǎng)閘產(chǎn)品的安裝、維護(hù),能解決一般的常見問題,具備安全管理的能力。具體方法如下:

         步驟 1:培訓(xùn)教師詳細(xì)講解培訓(xùn)內(nèi)容中的重點(diǎn)、難點(diǎn)。

         步驟 2:用戶對培訓(xùn)中存在的問題進(jìn)行提問,并由培訓(xùn)教師進(jìn)行解答。

         步驟 3:培訓(xùn)教師在具體環(huán)境上進(jìn)行產(chǎn)品演示 步驟 4:用戶自己在具體環(huán)境上進(jìn)行實(shí)踐。

        相關(guān)熱詞搜索:網(wǎng)絡(luò)安全 隔離 建議

        版權(quán)所有 蒲公英文摘 smilezhuce.com