安全隔离网闸解决方案

安全隔离网闸解决方案安全隔离网闸解决方案第i页目录1前言...............................................................................................................................12需求理解.......................................................................................................................22.1网络现状.........................................................................................................22.2常规业务所面临的主要问题............................................................................22.3若直接连接内部、外部网络的安全隐患.........................................................22.4网络安全需求分析..........................................................................................32.5业务安全目标..................................................................................................32.5.1短期目标..................................................................................................32.5.2长期目标..................................................................................................33解决方案.......................................................................................................................43.1设计目标.........................................................................................................43.2解决方案.........................................................................................................43.2.1解决方案一..............................................................................................43.2.2解决方案二..............................................................................................53.2.3基本功能实..............................................................................................53.3安全隔离网闸技术特色...................................................................................63.3.1技术特点..................................................................................................63.3.2安全隔离网闸功能特性............................................................................7安全隔离网闸解决方案11前言lnternet作为覆盖面最广、集聚人员最多的虚拟空间，形成了一个巨大的市场。中国互联网络信息中心(CNNIC)在2002年7月的“中国互联网络发展状况统计报告”中指出，目前我国上网用户总数己经达到4580万人，而且一直呈现稳定、快速上升趋势。面对如此众多的上网用户，为商家提供了无限商机。同时，若通过lnternet中进行传统业务，将大大节约运行成本。据统计，网上银行一次资金交割的成本只有柜台交割的13％。面对lnternet如此巨大的市场，以及大大降低运行成本的诱惑，各行各业迫切需要利用lnternet这种新的运作方式，以适应面临的剧烈竞争。为了迎接WT0的挑战，实现“以客户为中心”的经营理念，各行各业最直接的应用就是建立“网上营业厅”。但是作为基于lnternet的业务，如何防止黑客的攻击和病毒的破坏，如何保障自身的业务网运行的安全就迫在眉睫了。对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性，在人们心中还有很多疑虑，因为很多网络安全技术都是事后技术，即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。防火墙技术虽然是一种主动防护的网络安全技术，它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障，但它自身却常常被黑客攻破，成为直接威胁用户局域网的跳板。造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测，不提供基于硬件隔离的安全手段。所谓“道高一尺，魔高一丈”，面对病毒的泛滥，黑客的横行，我们必须采用更先进的办法来解决这些问题。目前，出现了一种新的网络安全产品一一联想安全隔离网闸，该系统的主要功能是在两个独立的网络之间，在物理层的隔离状态下，以应用层的安全检测为保障，提供高安全的信息交流服务。安全隔离网闸解决方案第2页2需求理解2.1网络现状常规业务数据交换网络拓扑常规业务网络拓扑图2.2常规业务所面临的主要问题常规业务所面临的主要问题：1、实时性差2、工作量大3、容易造成人为的失误4、运行费用高5、很难实现7（天）×24（小时）的不间断服务6、业务扩展困难2.3若直接连接内部、外部网络的安全隐患若直接将两个网络连接起来，将出现以下安全隐患：1、来自网络外部非法用户的攻击和越权访问等。2、网络病毒的破坏。3、来自内部网络合法用户的无意泄密。安全隔离网闸解决方案第3页2.4网络安全需求分析1、防止内网的主机遭受非法用户的非授权访问或恶意攻击。2、加强对各种交流信息的检测，其中包括：检测来自内部和外部的数据内容。3、加强对各种交流信息的病毒扫描和清除，其中包括：检测来自内部和外部的数据内容。4、加强对各种交流信息的日志审计。2.5业务安全目标业务量越来越大，业务种类越来越多，对业务的性能要求越来越高，为了更好的、更有效的、更方便、更安全地提供网络业务服务，是实现业务的目标。实施网络安全系统项目，整体规划网络安全系统，作好以下几个方面的规划和实施：保密性、安全性、完整性、可用性。2.5.1短期目标目前迫在眉睫的工作是保护整个系统的网络完整性、系统的完整性及系统可用性，建立安全的网络逻辑结构，为今后的实施保密性奠定基础。网络完整性主要是对网络系统的保护，通过设置安全隔离网闸等保证通讯安全，保证系统资源受控可用；系统的完整性是信息系统的保护主要有防病毒、风险评估、入侵检测。2.5.2长期目标全面部署整体安全防御系统，巩固和完善网络安全及管理系统，使网络业务更好的行使职能。安全隔离网闸解决方案第4页3解决方案3.1设计目标1、将内部网与其它外部网络安全隔离，拒绝非法访问，恶意攻击，保护网络边界的安全。2、抵挡木马攻击、蠕虫攻击、后门攻击、利用漏洞攻击和拒绝服务攻击。3、强化对网络的控制，确保关键业务的网络带宽。3.2解决方案3.2.1解决方案一该方案使用安全隔离网闸的数据库同步方式，实现业务数据库和业务数据库副本之间的同步，使这两个数据库部分或全部内容实时地保持一致，从而实现业务数据的共享。对己有的业务系统进行改造是一个非常好的方案。安全隔离网闸解决方案第5页3.2.2解决方案二该方案使用安全隔离网闸的文件交流方式，web服务器将接收到的请求转换成文件，通过安全隔离网闸传输到业务网，业务网处理完该数据后，再将结果转换成文件通过安全隔离网闸传输给web服务器，从而实现业务处理。该方案比方案一成本低，但业务系统必须针对安全隔离网闸进行开发。对于新建的网上营业厅也是一种很好的方案。3.2.3基本功能实为保证网络系统安全可靠的运行，保障系统资源受控合法的使用，安全隔离网闸应具有或实现以下功能：1、物理层安全隔离：在业务网和互联网之间必须实现严格的物理层安全隔离。防止通过安全隔离网闸从互联网直接与业务网相连。因此选用的安全隔离网闸产品必须具有严格的物理层隔离功能。2、关键字过滤：对通过安全隔离网闸的数据，必须经过内容检测，保证进出内外网信息的合法性。因此选用的安全隔离网闸产品必须具有严格的关键字过滤功能。3、查杀病毒：为了防止病毒通过安全隔离网闸从互联网扩散到业务网中，必须对经过安全隔离网闸的数据进行病毒的扫描和清除。因此选用的安全隔离网闸产品必须具有扫描和清除病毒的功能。安全隔离网闸解决方案第6页4、日志审计：对经过安全隔离网闸的数据需要有详细的日志记录，便于安全审计和责任追宄。因此选用的安全隔离网闸产品必须具有详细的日志记录功能。5、对信息流动方向的控制：由于业务需要，可能只需要实现数据的单向传输，即数据只从互联网传输到业务网，或只业务网从传输到互联网，因此选用的安全隔离网闸产品必须具有控制数据的单/双向流动功能。6、实时性：业务系统对数据交流的实时性要求非常强。7、高性能：业务系统对数据交流的数据量要求特别大。3.3安全隔离网闸技术特色3.3.1技术特点1、物理层安全隔离遵循严格物理隔离的原则，在系统内设有安全开关。假设为了实现外网与内网之间的信息交流，当网闸开关模块与外网主机模块连接时断开与内网的通路；同理，当网闸开关模块与内网主机模块连接时断开与外网的通路，从而确保实现了网络间的物理隔离，提高了系统的安全性。2、关键字过滤可以根据设置的关键字对收、发或收发双向的文件内容进行过滤，保证进出内外网信息的合法性。3、查杀病毒集成了专业杀毒公司的查杀毒引擎，能实现对交换的数据进行实时的病毒监测和清除。4、日志审计带有日志审计功能。对于通过安全隔离网闸进行的信息交流，系统会自动记录日志，管理员可随时查看日志，方便管理。5、信息单向或者双向流动系统所解决的信息交互问题是指外网信息通过网闸开关模块进入内网和内网信息通过网闸开关模块发送到外网，因此信息是双向流动的。同时也可以通过安全隔离网闸解决方案第7页设置屏蔽某个方向的信息流动，使之成为单向传输。6、高速的安全电子开关系统所采用的安全电子开关支持网络间信息的高速传递，安全隔离开关支持多种网络带宽，满足网络间信息高速交换的要求。同时，数据延时非常小，最小数据延时为50毫秒，最大数据延时为0．7秒。7、易用性本系统采用基于web的管理方式，使用非常方便。3.3.2安全隔离网闸功能特性1、文件交流功能1）、自定义安全传输协议：系统在底层采用自定义的安全传输协议，自行完成对文件的分片、传递工作，在另一端负责对其进行重组、检测。在保证安全性的同时，这种措施也保证了在传输大文件时，文件的完整性