安全隔離建議方案(2)概述-精

1、南京奧體中心網(wǎng)絡(luò)安全隔離投標(biāo)方案目 錄1 南京奧體中心網(wǎng)絡(luò)安全隔離需求分析 31.1 南京奧體中心內(nèi)部網(wǎng)網(wǎng)絡(luò)現(xiàn)狀 31.2 南京奧體中心網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)分析 31.3 建立統(tǒng)一安全隔離數(shù)據(jù)交換安全原則 42 南京奧體中心網(wǎng)絡(luò)網(wǎng)絡(luò)安全隔離解決方案 52.1 南京奧體中心網(wǎng)絡(luò)內(nèi)網(wǎng)安全隔離與信息交換設(shè)計(jì) 52.2 安全隔離與信息交換平臺(tái)實(shí)施方案 52.3 近期建議解決方案拓?fù)鋱D 62.4 解決方案產(chǎn)品選型73 隔離網(wǎng)閘產(chǎn)品方案設(shè)計(jì) 8.3.1 隔離網(wǎng)閘產(chǎn)品概述 83.2 產(chǎn)品內(nèi)部架構(gòu)83.3 產(chǎn)品特點(diǎn) 93.4 產(chǎn)品功能103.4.1 系統(tǒng)可靠性 103.4.2 系統(tǒng)可用性113.4.3 安全功能11

2、3.4.4 系統(tǒng)管理123.4.5 應(yīng)用支持133.5 偉思ViGap系統(tǒng)性能參數(shù)144 實(shí)施方案1.44.1 實(shí)施計(jì)劃144.2 具體實(shí)施步驟155 驗(yàn)收方案1.55.1 設(shè)備交貨驗(yàn)收155.2 現(xiàn)場(chǎng)移交驗(yàn)收165.3 試運(yùn)轉(zhuǎn)驗(yàn)收測(cè)試166 系統(tǒng)支持與服務(wù)方案166.1 售后服務(wù)166.2 培訓(xùn)計(jì)劃1751南京奧體中心網(wǎng)絡(luò)安全隔離需求分析1.1南京奧體中心內(nèi)部網(wǎng)網(wǎng)絡(luò)現(xiàn)狀南京奧林匹克奧體中心（以下簡(jiǎn)稱奧體中心）網(wǎng)絡(luò)系統(tǒng)存在2個(gè)不同信任級(jí)別的網(wǎng)絡(luò)（數(shù)據(jù)中心和場(chǎng)館網(wǎng)），且相互之間物理隔離，隨著網(wǎng)上商城和對(duì)外發(fā)布 網(wǎng)站等業(yè)務(wù)平臺(tái)的建立、應(yīng)用和不斷擴(kuò)展，由于存在內(nèi)外局域網(wǎng)且兩個(gè)網(wǎng)絡(luò)之間 目前是物理隔離

3、的狀態(tài)；為保障業(yè)務(wù)平臺(tái)的穩(wěn)定性、連續(xù)性和安全性，同時(shí)由于 數(shù)據(jù)交換的需要，內(nèi)部網(wǎng)絡(luò)將不再和互聯(lián)網(wǎng)之間進(jìn)行純物理隔離，這時(shí)將引入較 大的安全隱患。另外隨著業(yè)務(wù)平臺(tái)的不斷發(fā)展，也將面臨各種安全問題，例如蠕 蟲病毒爆發(fā)、ARP欺騙、黑客攻擊等等。我們將采用一個(gè)層次化的、多樣性的安 全措施來(lái)保障業(yè)務(wù)平臺(tái)的安全。1.2南京奧體中心網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)分析從南京奧體中心的安全風(fēng)險(xiǎn)分析中，我們可以看出，主要的安全風(fēng)險(xiǎn)在于： 奧數(shù)據(jù)中心內(nèi)外網(wǎng)之間的數(shù)據(jù)交換，必然帶來(lái)一定的安全風(fēng)險(xiǎn)，原來(lái)在外部網(wǎng)上 傳播的病毒可能因?yàn)閿?shù)據(jù)交換而感染到內(nèi)部數(shù)據(jù)中心網(wǎng)服務(wù)器群；原來(lái)利用互連 網(wǎng)發(fā)動(dòng)攻擊的黑客、下級(jí)場(chǎng)館的人員疏忽、惡意試探也

4、可能利用外部辦公網(wǎng)絡(luò)的 數(shù)據(jù)交換的連接嘗試攻擊本單位數(shù)據(jù)中心網(wǎng)，可以影響到本單位數(shù)據(jù)中心網(wǎng)系統(tǒng) 內(nèi)部大量的重要數(shù)據(jù)正常運(yùn)行，所以安全問題變得越來(lái)越復(fù)雜和突出。綜合分析網(wǎng)絡(luò)的攻擊的手段，南京奧體中心網(wǎng)絡(luò)內(nèi)外部網(wǎng)絡(luò)的數(shù)據(jù)交換可能 面臨的安全風(fēng)險(xiǎn)包括：?jiǎn)栴}類型問題問題描述協(xié)議設(shè)計(jì)安全問題被忽視制定協(xié)議之時(shí)，通常首先強(qiáng)調(diào)功能性，而安全性 問題則是到最后一刻、甚或不列入考慮范圍。其它基礎(chǔ)協(xié)議問題架構(gòu)在其他不穩(wěn)固基礎(chǔ)協(xié)議之上的協(xié)議，即使本 身再完善也會(huì)有很多冋題。流程問題設(shè)計(jì)協(xié)議時(shí)，對(duì)各種可能出現(xiàn)的流程問題考慮不 夠周全，導(dǎo)致發(fā)生狀況時(shí)，系統(tǒng)處理方式不當(dāng)。設(shè)計(jì)錯(cuò)誤協(xié)議設(shè)計(jì)錯(cuò)誤，導(dǎo)致系統(tǒng)服務(wù)容易失效或招受攻

5、 擊。軟件設(shè)計(jì)設(shè)計(jì)錯(cuò)誤協(xié)議規(guī)劃正確，但協(xié)議設(shè)計(jì)時(shí)發(fā)生錯(cuò)誤，或設(shè)計(jì) 人員對(duì)協(xié)議的認(rèn)知錯(cuò)誤，導(dǎo)致各種安全漏洞。程序錯(cuò)誤程序撰寫習(xí)慣不良導(dǎo)致很多安全漏洞，包含 常見的未檢查資料長(zhǎng)度內(nèi)容、輸入資料容錯(cuò)能力 不足、未檢測(cè)可能發(fā)生的錯(cuò)誤、應(yīng)用環(huán)境的假設(shè) 錯(cuò)誤、引用不當(dāng)模塊、未檢測(cè)資源不足等。人員操作操作失誤操作規(guī)范嚴(yán)格且完善，但是操作人員未受過良好 訓(xùn)練、或未按手冊(cè)操作，導(dǎo)致各種安全漏洞和安 全隱患。網(wǎng)絡(luò)通訊信息泄密由于未米用加密手段導(dǎo)致通訊內(nèi)容被偵聽，或用 戶名/ 口令在網(wǎng)上明文傳輸，導(dǎo)致竊取用戶身份登 錄。系統(tǒng)維護(hù)默認(rèn)值不安全軟件或操作系統(tǒng)的預(yù)設(shè)設(shè)置不科學(xué)，導(dǎo)致缺省設(shè) 置卜系統(tǒng)處于不安全的狀況卜，如匿

6、名登錄、訪 冋權(quán)限不當(dāng)?shù)?。容易遭受病毒、蠕蟲、特洛依木 馬等的攻擊。未修補(bǔ)系統(tǒng)軟件和操作系統(tǒng)的各種補(bǔ)丁程序沒有及時(shí)修復(fù)。內(nèi)部安全問題對(duì)由信任系統(tǒng)和網(wǎng)絡(luò)發(fā)起的各種攻擊防范不夠。 信任領(lǐng)域存在的不安全系統(tǒng)，成為不信任領(lǐng)域內(nèi) 系統(tǒng)攻擊信任領(lǐng)域的各種跳板。1.3建立統(tǒng)一安全隔離數(shù)據(jù)交換安全原則根據(jù)對(duì)以上安全風(fēng)險(xiǎn)的歸納，南京奧體中心數(shù)據(jù)中心網(wǎng)和外網(wǎng)之間數(shù)據(jù)交換 最大的特點(diǎn)是復(fù)雜程度高，信息點(diǎn)多，安全威脅來(lái)自從物理層到應(yīng)用層多個(gè)方面。本方案在制定安全系統(tǒng)設(shè)計(jì)時(shí)所采用的基本策略為：主要以安全隔離信息交換技術(shù)和數(shù)據(jù)擺渡技術(shù)為主體，構(gòu)造一個(gè)具有最高安全強(qiáng)度的、在較長(zhǎng)一段時(shí)期 內(nèi)可以防御絕大部分已知和未知的網(wǎng)絡(luò)攻

7、擊手段的、并可以滿足用戶多種網(wǎng)絡(luò)應(yīng) 用信息安全交換的網(wǎng)絡(luò)安全隔離系統(tǒng)平臺(tái)。南京奧體中心網(wǎng)絡(luò)內(nèi)外網(wǎng)信息交換的安全原則和要求體現(xiàn)在如下幾個(gè)方面：1、建立統(tǒng)一的安全隔離交換平臺(tái)，內(nèi)部南京奧體中心數(shù)據(jù)中心網(wǎng)絡(luò)應(yīng)用服務(wù) 器通過統(tǒng)一出口實(shí)現(xiàn)與外部主機(jī)、網(wǎng)絡(luò)間的可信信息交換，統(tǒng)一管理，執(zhí)行統(tǒng)一 的安全策略，實(shí)現(xiàn)內(nèi)部網(wǎng)信息和外部應(yīng)用網(wǎng)數(shù)據(jù)交換的高度可控性。2、隔離平臺(tái)必須提供完整的安全審計(jì)功能， 能夠詳細(xì)記錄、快速查詢內(nèi)外網(wǎng) 間的訪問行為及安全事件，數(shù)據(jù)傳輸?shù)脑敿?xì)記錄。3、內(nèi)部網(wǎng)通過安全隔離交換平臺(tái)與外界進(jìn)行的信息交換必須受到嚴(yán)格的控 制，內(nèi)部網(wǎng)安全隔離平臺(tái)可以提供必要的安全手段，如信息的單向訪問，防止內(nèi)網(wǎng)向

8、外部泄漏敏感信息和抵御外網(wǎng)攻擊4、安全隔離平臺(tái)必須具備較高的網(wǎng)絡(luò)性能及穩(wěn)定性、高可用性。5、所采用的安全隔離設(shè)備必須通過公安部信息安全產(chǎn)品許可和國(guó)家保密局的 技術(shù)鑒定。安全隔離設(shè)備具有安全的文件和數(shù)據(jù)庫(kù)交換功能， 支持視頻傳輸功能， 可以支持對(duì)http、ftp等通用應(yīng)用層協(xié)議的嚴(yán)格分析控制的物理隔離設(shè)備或功能。2南京奧體中心網(wǎng)絡(luò)網(wǎng)絡(luò)安全隔離解決方案2.1南京奧體中心網(wǎng)絡(luò)內(nèi)網(wǎng)安全隔離與信息交換設(shè)計(jì)南京奧體中心的網(wǎng)上商城應(yīng)用和對(duì)外網(wǎng)站需要發(fā)布到互聯(lián)網(wǎng)，數(shù)據(jù)中心網(wǎng)與 外網(wǎng)之間隔離遵循“內(nèi)外網(wǎng)物理隔斷，內(nèi)外網(wǎng)可控信息交換”的原則，數(shù)據(jù)中心 網(wǎng)不直接接受來(lái)自其他網(wǎng)絡(luò)的數(shù)據(jù)訪問請(qǐng)求。其中主要基于以下安全考

9、慮：即不 接收其他網(wǎng)絡(luò)網(wǎng)數(shù)據(jù)，使得數(shù)據(jù)中心網(wǎng)絡(luò)對(duì)外不暴露任何端口和服務(wù)，完全隱藏 數(shù)據(jù)中心網(wǎng)絡(luò)，從而更集中、高效地保護(hù)數(shù)據(jù)中心網(wǎng)的安全；更重要的是該功能 阻斷了黑客通過木馬控制數(shù)據(jù)中心服務(wù)器的通訊途徑，保護(hù)數(shù)據(jù)中心核心數(shù)據(jù)的 安全。采用安全隔離網(wǎng)閘為基礎(chǔ)的內(nèi)外網(wǎng)信息交換平臺(tái)上，應(yīng)用文件同步、數(shù)據(jù)庫(kù)同步和訪問等技術(shù)實(shí)現(xiàn)內(nèi)外數(shù)據(jù)交換，保護(hù)南京奧體中心數(shù)據(jù)中心內(nèi)網(wǎng)的應(yīng)用服 務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器的安全，嚴(yán)格保證南京奧體中心網(wǎng)絡(luò)數(shù)據(jù)中心內(nèi)網(wǎng)數(shù)據(jù)的機(jī) 密性、完整性和可用性，這樣就以隔離網(wǎng)閘為核心，建立了一整套完整的安全隔 離與信息交換平臺(tái)。2.2安全隔離與信息交換平臺(tái)實(shí)施方案根據(jù)以上設(shè)計(jì)，其主要實(shí)施方式是：

10、1、在南京奧體中心數(shù)據(jù)中心交換機(jī)與外部核心交換機(jī)間部署偉思ViGap安全隔離與信息交換系統(tǒng)（隔離網(wǎng)閘），該網(wǎng)閘的作用就是隔 離來(lái)自外部網(wǎng)絡(luò)的訪問，以靜態(tài)化純數(shù)據(jù)的形式擺渡交換在內(nèi)外網(wǎng)之 間安全交換數(shù)據(jù)。2、所有外部網(wǎng)絡(luò)的計(jì)算機(jī)向數(shù)據(jù)中心網(wǎng)絡(luò)請(qǐng)求數(shù)據(jù)時(shí)， 都將通過統(tǒng)一入 口，即統(tǒng)一數(shù)據(jù)交換平臺(tái)進(jìn)行數(shù)據(jù)導(dǎo)出，內(nèi)外網(wǎng)進(jìn)行數(shù)據(jù)交換僅允許 定義的特定協(xié)議和端口，進(jìn)行特定數(shù)據(jù)交換。隔離除此之外其它任何 外部主機(jī)對(duì)內(nèi)網(wǎng)的訪冋請(qǐng)求。在該隔離環(huán)境下，大量攻擊行為都被隔 離網(wǎng)閘隔離而無(wú)法進(jìn)入南京奧體中心數(shù)據(jù)中心網(wǎng)。3、隔離網(wǎng)閘采用多接口設(shè)計(jì)可以配合負(fù)載均衡器實(shí)現(xiàn)應(yīng)用負(fù)載，保證業(yè)務(wù)的高可靠性設(shè)計(jì)。4、部署偉思數(shù)據(jù)交

11、換系統(tǒng)實(shí)現(xiàn)內(nèi)外網(wǎng)文件數(shù)據(jù)與數(shù)據(jù)庫(kù)數(shù)據(jù)的同步交 換，該系統(tǒng)具備強(qiáng)大的安全審計(jì)、木馬防護(hù)、文件簽名校驗(yàn)等功能， 能夠有效保障數(shù)據(jù)中心網(wǎng)與外網(wǎng)數(shù)據(jù)安全可靠的交換。2.3近期建議解決方案拓?fù)鋱D近期南京奧體中心網(wǎng)絡(luò)進(jìn)行初期的業(yè)務(wù)運(yùn)行，其用戶量在幾十?dāng)?shù)量級(jí)，但是 考慮到將來(lái)的用戶數(shù)增加較大，為使業(yè)務(wù)系統(tǒng)將來(lái)能夠平滑升級(jí)和過度，因此， 可建議采用單主機(jī)、單鏈路的千兆設(shè)備構(gòu)建安全隔離平臺(tái)，其初步的整體解決方 案如圖所示：本方案在南京奧體中心數(shù)據(jù)中心網(wǎng)絡(luò)與外網(wǎng)核心交換機(jī)間部署隔離網(wǎng)閘，統(tǒng) 一實(shí)現(xiàn)用戶認(rèn)證、文件安全檢查、通訊加密、網(wǎng)絡(luò)隔離以及文件上傳、下載等任 務(wù)。隔離網(wǎng)閘可采用訪問式和同步式兩種工作模式，提供內(nèi)

12、外網(wǎng)數(shù)據(jù)庫(kù)、文件服 務(wù)器的數(shù)據(jù)同步功能，也可以提供對(duì)網(wǎng)絡(luò)訪問的全面控制和策略管理。隔離網(wǎng)閘負(fù)責(zé)完全屏蔽數(shù)據(jù)中心網(wǎng)絡(luò)，進(jìn)行協(xié)議剝離和純數(shù)據(jù)靜態(tài)擺渡， 防止各種已知和未知的攻擊行為及木馬病毒危害。隔離網(wǎng)閘具有應(yīng)用文件數(shù)據(jù)交換功能和數(shù)據(jù)庫(kù)數(shù)據(jù)交換功能， 實(shí)現(xiàn)內(nèi)外網(wǎng)數(shù) 據(jù)安全可靠的交換，同時(shí)具備強(qiáng)大的安全審計(jì)、木馬防護(hù)、文件簽名校驗(yàn)等功能， 能夠有效防止木馬、病毒隨文件進(jìn)入數(shù)據(jù)中心網(wǎng)。隔離網(wǎng)閘支持白名單安全機(jī)制工作，即僅允許專用傳輸程序訪問數(shù)據(jù)中心網(wǎng) 的服務(wù)器進(jìn)行文件上傳、下載，任何其它應(yīng)用程序，包括各類病毒、木馬程序都 被拒絕訪問數(shù)據(jù)中心網(wǎng)服務(wù)器，確保數(shù)據(jù)中心網(wǎng)服務(wù)器安全。隨著業(yè)務(wù)的擴(kuò)展，隔離網(wǎng)閘豐

13、富的網(wǎng)絡(luò)接口可以直連對(duì)外應(yīng)用服務(wù)器配合負(fù) 載均衡器實(shí)現(xiàn)服務(wù)器的冗余，保證業(yè)務(wù)的可持續(xù)性和高可靠性。2.4方案擴(kuò)展性隨著信息化建設(shè)的不斷推進(jìn)，未來(lái)用戶業(yè)務(wù)量的變化、增加，越來(lái)越多的業(yè) 務(wù)系統(tǒng)需要與數(shù)據(jù)中心的服務(wù)器進(jìn)行數(shù)據(jù)交換，為了保證業(yè)務(wù)系統(tǒng)能持續(xù)、可靠 地提供服務(wù)變的尤為重要的，因此安全隔離與信息交換系統(tǒng)的容錯(cuò)性和不間斷性 顯得尤為重要，在原有的基礎(chǔ)上增加一臺(tái)安全隔離設(shè)備實(shí)現(xiàn)雙機(jī)熱備，從而準(zhǔn)確、 快速地將原主設(shè)備應(yīng)用切換到備機(jī)上繼續(xù)運(yùn)行，實(shí)現(xiàn)整個(gè)業(yè)務(wù)系統(tǒng)的不間斷運(yùn)行， 保證整個(gè)業(yè)務(wù)系統(tǒng)對(duì)外服務(wù)的正常，為關(guān)鍵業(yè)務(wù)應(yīng)用提供強(qiáng)大的保障；擴(kuò)展可采 用疊加方式，不需要改變已有的網(wǎng)絡(luò)應(yīng)用結(jié)構(gòu)同時(shí)攻擊的手段

14、也在不斷的更新，應(yīng)對(duì)新的安全風(fēng)險(xiǎn)，只需要在邊界安全交 換平臺(tái)兩端網(wǎng)絡(luò)增加安全性擴(kuò)展設(shè)備系統(tǒng)即可，比如：IDS/IPS、防病毒系統(tǒng)、終 端安全準(zhǔn)入系統(tǒng)、可信文件檢測(cè)系統(tǒng)等等。2.5解決方案產(chǎn)品選型根據(jù)所需防范的具體安全問題類型、 期望達(dá)到的安全程度，本方案建議選擇 相應(yīng)的安全產(chǎn)品，產(chǎn)品的選型遵從如下標(biāo)準(zhǔn)：1）、成熟性：保證安全體系本身的可靠和穩(wěn)定，也是保證網(wǎng)絡(luò)安全系統(tǒng)平臺(tái) 能夠安全可靠運(yùn)行的基本要素。2）、先進(jìn)性：保證安全體系具有較強(qiáng)的適應(yīng)力、生命力，以便能適應(yīng)未來(lái)一 段時(shí)期內(nèi)安全發(fā)展的需要。3）、國(guó)內(nèi)自主知識(shí)產(chǎn)權(quán)，自行生產(chǎn)的網(wǎng)絡(luò)安全產(chǎn)品。4）、合法性：安全體系建設(shè)中所采用的安全技術(shù)及其產(chǎn)品須有

15、國(guó)家安全部門或具有等效職能機(jī)構(gòu)認(rèn)證并頒發(fā)有許可證。3隔離網(wǎng)閘產(chǎn)品方案設(shè)計(jì)3.1隔離網(wǎng)閘產(chǎn)品概述偉思網(wǎng)絡(luò)安全技術(shù)有限公司作為我國(guó)最早研發(fā)并率先推出安全隔離與信息交 換系統(tǒng)產(chǎn)品的專業(yè)信息安全技術(shù)公司之一，其安全隔離與信息交換產(chǎn)品已經(jīng)廣泛 應(yīng)用于近百家各種不同行業(yè)/部門的用戶系統(tǒng)中，多次在一些國(guó)家部委及金融單位 總部的重要招標(biāo)中成功中標(biāo)或入圍，獲得了用戶的普遍高度好評(píng)。偉思信安ViGap安全隔離與信息交換系統(tǒng)采用國(guó)際先進(jìn)的 GAF硬件隔離反射 技術(shù)，實(shí)現(xiàn)了在網(wǎng)絡(luò)隔離環(huán)境下的可控信息交換，并針對(duì)傳統(tǒng)安全隔離與信息交 換系統(tǒng)應(yīng)用層安全防護(hù)薄弱的現(xiàn)狀，運(yùn)用創(chuàng)新技術(shù)開發(fā)出基于網(wǎng)絡(luò)隔離安全基礎(chǔ) 平臺(tái)下的應(yīng)用層

16、防護(hù)系統(tǒng)，為各類黨政部門、軍事單位、金融電信、科研院校及 企事業(yè)單位等機(jī)構(gòu)的關(guān)鍵業(yè)務(wù)處理系統(tǒng)與外部不可信網(wǎng)絡(luò)間信息交換提供了完整 的安全隔離與信息交換解決方案。偉思信安ViGap安全隔離與信息交換系統(tǒng)率先采用國(guó)際領(lǐng)先的基于 ASIC芯片（大規(guī)模集成電路芯片）設(shè)計(jì)的高速硬件電子隔離開關(guān)技術(shù)，實(shí)現(xiàn)了受保護(hù)網(wǎng)絡(luò) 與不可信網(wǎng)絡(luò)（互聯(lián)網(wǎng)、專網(wǎng)等外部網(wǎng)絡(luò)）間的物理斷開，并通過擺渡機(jī)制在可 控環(huán)境下實(shí)現(xiàn)內(nèi)外網(wǎng)間應(yīng)用層數(shù)據(jù)交換。ASIC芯片具有不可編程特性而且通訊方 式徹底私有，從技術(shù)上消除了傳統(tǒng)攻擊手段對(duì)受保護(hù)內(nèi)部網(wǎng)絡(luò)的威脅，所有交換 數(shù)據(jù)均經(jīng)過ViGap的嚴(yán)格安全檢查，置于ViGap設(shè)備保護(hù)之下的內(nèi)部網(wǎng)絡(luò)

17、與外部 不可信網(wǎng)絡(luò)在任一時(shí)刻內(nèi)均不存在直接的物理網(wǎng)絡(luò)連接，從而起到了保護(hù)內(nèi)部網(wǎng) 絡(luò)免遭來(lái)自外部已知和未知的網(wǎng)絡(luò)攻擊，實(shí)現(xiàn)了安全、可靠的數(shù)據(jù)交換。3.2產(chǎn)品內(nèi)部架構(gòu)偉思信安安全隔離交換系統(tǒng)的系統(tǒng)結(jié)構(gòu)如下圖表所示：外部安全板內(nèi)部安全板圖表1安全隔離交換系統(tǒng)的隔離體系結(jié)構(gòu)VIGAP安全隔離交換系統(tǒng)的所有控制邏輯由硬件實(shí)現(xiàn)的，不能被軟件修改；安全隔離交換系統(tǒng)在內(nèi)外安全主板上各設(shè)計(jì)了一個(gè)隔離開關(guān)，稱反射GAP反射GAP實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)之間的物理斷開，但同時(shí)能交換數(shù)據(jù)的目的。反射GAP使得內(nèi)外網(wǎng)中繼數(shù)據(jù)的速率達(dá)到物理連通狀態(tài)的100%，從而消除了因物理斷開內(nèi)外網(wǎng)絡(luò)而可能造成的通信瓶頸。3.3產(chǎn)品特點(diǎn)ViGap

18、是一款面向大型網(wǎng)絡(luò)的安全隔離系統(tǒng)，為各類黨政部門、軍事單位、 金融電信、科研院校及企事業(yè)單位等關(guān)鍵部門的內(nèi)部網(wǎng)絡(luò)或服務(wù)器提供網(wǎng) 絡(luò)隔離環(huán)境下的實(shí)時(shí)隔離保護(hù)，并在可控狀態(tài)下實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)或服務(wù)器與 外界的實(shí)時(shí)（適度）信息交換。采用獨(dú)特的“ 2+ 1”安全體系架構(gòu)，通過基于 ASIC芯片技術(shù)設(shè)計(jì)的專用 隔離電子開關(guān)系統(tǒng)，實(shí)現(xiàn)用戶關(guān)鍵網(wǎng)絡(luò)及服務(wù)系統(tǒng)與外界的物理隔斷，實(shí)現(xiàn)鏈路層與網(wǎng)絡(luò)層的徹底斷開。采用高性能和多條流水線設(shè)計(jì)的 ASIC芯片為基礎(chǔ)建立的全新硬件隔離架 構(gòu)，擁有全線速隔離交換性能，滿足大型網(wǎng)絡(luò)應(yīng)用所面對(duì)大用戶量、 低延 時(shí)訪問的需求。在核心的 GAP電子開關(guān)隔離芯片上采用了含 TRUE LV

19、DS 功能強(qiáng)大的APXII系列EP2A70乍為FPGA設(shè)計(jì)硬件基片，該芯片具有500 萬(wàn)門電路以及多路Giga位的通道，支持內(nèi)部高達(dá)1060個(gè)硬件I/Os通道， 使得電子開關(guān)具有高速的數(shù)據(jù)傳輸能力和并發(fā)處理能力。充分考慮關(guān)鍵應(yīng)用對(duì)可靠性、可用性的要求，獨(dú)家采用負(fù)載均衡技術(shù)以及基于應(yīng)用協(xié)議連接資源保護(hù)的 QOS服務(wù)質(zhì)量控制技術(shù)消除單點(diǎn)故障和網(wǎng) 絡(luò)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)服務(wù)的高可靠性及可用性保證。采用無(wú)協(xié)議的“ GAP Reflective ”，GAP隔離反射技術(shù)實(shí)現(xiàn)開放網(wǎng)絡(luò)通訊 協(xié)議的剝離與重組，有效阻斷來(lái)自網(wǎng)絡(luò)層及服務(wù)器 OS 層的各類已知/未知 攻擊，彌補(bǔ)其它安全技術(shù)對(duì)網(wǎng)絡(luò)未知攻擊的防御盲區(qū)。廣泛支持各

20、類通用應(yīng)用協(xié)議(HTTP FTP SMTP DNS SQL等)，包括支 持視頻會(huì)議、流媒體以及VPN等特殊應(yīng)用代理以及用戶定制協(xié)議，無(wú)需再 進(jìn)行二次開發(fā)或單獨(dú)購(gòu)買模塊。智能化攻擊識(shí)別與過濾，ViGap采用先進(jìn)的應(yīng)用層協(xié)議分析技術(shù)智能識(shí)別 并過濾大量基于應(yīng)用層協(xié)議的攻擊行為，ViGap提供目前市場(chǎng)上豐富的協(xié) 議分析模塊，全面防護(hù)各類應(yīng)用系統(tǒng)安全風(fēng)險(xiǎn)，包括：HTTP FTP. SMTPPOP3 IMAP DNS等數(shù)十種協(xié)議分析模塊。3.4產(chǎn)品功能3.4.1系統(tǒng)可靠性雙機(jī)熱備功能ViGap系列產(chǎn)品針對(duì)大型網(wǎng)絡(luò)的應(yīng)用提供了雙機(jī)熱備份功能，實(shí)現(xiàn)系統(tǒng)的穩(wěn)定可靠運(yùn)行。通過內(nèi)置的雙機(jī)熱備系統(tǒng)，連接在同一個(gè)網(wǎng)絡(luò)

21、內(nèi)的多臺(tái)ViGap設(shè)備可以建立雙機(jī)熱備機(jī)制，并通過虛擬IP統(tǒng)一對(duì)外提供服務(wù)。從設(shè)備不斷發(fā)出心跳 信息偵測(cè)主設(shè)備狀態(tài)，一旦主設(shè)備出現(xiàn)故障從設(shè)備將立即接管并繼續(xù)提供服務(wù)。 結(jié)合ViGap獨(dú)有的狀態(tài)檢測(cè)系統(tǒng)，管理員能夠迅速發(fā)現(xiàn)設(shè)備故障并作出處理。系統(tǒng)工作狀態(tài)檢測(cè)與報(bào)警ViGap 系列采用基于工業(yè)控制系統(tǒng)的架構(gòu)設(shè)計(jì)，具備良好的穩(wěn)定性。并且建立了設(shè)備狀態(tài)檢測(cè)系統(tǒng)，在開機(jī)狀態(tài)下持續(xù)對(duì)系統(tǒng)各硬件板卡及軟件模塊進(jìn)行檢 查，并將系統(tǒng)狀態(tài)顯示在液晶面板上，管理員可針對(duì)故障信息迅速了解故障原因 并作出響應(yīng)。同時(shí)，ViGap系列軟件系統(tǒng)采用了先進(jìn)的自愈技術(shù)，當(dāng)故障發(fā)生時(shí)可迅速命 令系統(tǒng)重啟恢復(fù)到正常工作狀態(tài)。342系

22、統(tǒng)可用性ViGap 系列為滿足高性能的網(wǎng)絡(luò)處理而設(shè)計(jì)，因此，必須支持大規(guī)模的并發(fā) 訪問和高帶寬的數(shù)據(jù)吞吐。除了采用更高端的處理系統(tǒng)、內(nèi)存以及接口以外，ViGap 系列還設(shè)計(jì)了最大支持32臺(tái)設(shè)備的負(fù)載平衡系統(tǒng)來(lái)實(shí)現(xiàn)高可用性。ViGap系列的負(fù)載平衡系統(tǒng)通過仲裁網(wǎng)絡(luò)流量方式實(shí)現(xiàn)流量在ViGap集群中的平均分配，從而將處理性能大幅提升。3.4.3安全功能網(wǎng)絡(luò)隔離功能ViGap系列具有網(wǎng)絡(luò)隔離功能，通過基于ASIC設(shè)計(jì)的硬件電子開關(guān)實(shí)現(xiàn)可信、 不可信網(wǎng)絡(luò)間的物理斷開，保護(hù)可信網(wǎng)絡(luò)免遭黑客攻擊。數(shù)據(jù)靜態(tài)化采用“裸數(shù)據(jù)”機(jī)制，運(yùn)用協(xié)議剝離和重組技術(shù)，在網(wǎng)閘內(nèi)部實(shí)現(xiàn)“裸數(shù)據(jù)” 和數(shù)據(jù)靜態(tài)化，有效的防止網(wǎng)絡(luò)上

23、未知攻擊。IDS入侵檢測(cè)功能ViGap系列在設(shè)備兩端內(nèi)置了 IDS入侵檢測(cè)引擎，該引擎可有效保護(hù)系統(tǒng)自身 及受保護(hù)網(wǎng)絡(luò)免受攻擊者的頻繁攻擊。該系統(tǒng)將自動(dòng)分析對(duì)受保護(hù)內(nèi)網(wǎng)的訪問請(qǐng) 求，并與ViGAP隔離系統(tǒng)實(shí)現(xiàn)內(nèi)部聯(lián)動(dòng)對(duì)可疑數(shù)據(jù)包采取拒絕連接的方式防御攻 擊。SAT（服務(wù)器地址映射）功能ViGap系列具備完善的SAT功能，可信端服務(wù)器可通過SAT功能將自身的特定 服務(wù)虛擬映射到ViGap系列的不可信端接口上，通過隔離系統(tǒng)的不可信端虛擬端 口對(duì)外提供服務(wù)，訪問者僅能訪問虛擬端口而無(wú)法直接連接服務(wù)器，從而對(duì)外屏 蔽服務(wù)器，防止服務(wù)器遭到攻擊。身份認(rèn)證功能不同于部門級(jí)網(wǎng)絡(luò)，大型網(wǎng)絡(luò)對(duì)身份認(rèn)證的要求極高

24、，且需要基于第三方的統(tǒng) 一身份認(rèn)證服務(wù)。ViGap系列除了提供基本的用戶名/ 口令身份認(rèn)證功能以外，還 可與外部認(rèn)證系統(tǒng)集成支持?jǐn)U展的 Radius、PKI數(shù)字證書、SecurelD等多種強(qiáng)身 份認(rèn)證功能。安全代理服務(wù)功能ViGap系列允許可信端用戶以應(yīng)用代理方式訪問不可信網(wǎng)絡(luò)，ViGap系列作為應(yīng)用代理網(wǎng)關(guān)對(duì)內(nèi)網(wǎng)訪問請(qǐng)求進(jìn)行檢測(cè)，相對(duì)于傳統(tǒng)的基于網(wǎng)絡(luò)層的NAT方式來(lái)說(shuō)，由于代理服務(wù)在應(yīng)用層對(duì)訪問請(qǐng)求進(jìn)行檢測(cè)具有更細(xì)的粒度和檢查元素，因 此，對(duì)訪問具有更高的安全控制能力。AI安全過濾功能應(yīng)用智能能夠使您根據(jù)來(lái)源、目的地、用戶特權(quán)和時(shí)間來(lái)控制對(duì)特定的 HTTP、 SMTP或 FTP等資源的訪問。

25、ViGap系列產(chǎn)品通過協(xié)議分析技術(shù)提供應(yīng)用級(jí)的安 全過濾以保護(hù)數(shù)據(jù)和應(yīng)用服務(wù)器免受惡意Java和ActiveX即plet 的攻擊。ViGap系列在AI功能中新增了安全功能，包括：確認(rèn)通信是否遵循相關(guān)的協(xié)議標(biāo) 準(zhǔn)；進(jìn)行異常協(xié)議檢測(cè)；限制應(yīng)用程序攜帶惡意數(shù)據(jù)的能力；對(duì)應(yīng)用層操作進(jìn)行 控制，這些新功能對(duì)企業(yè)級(jí)網(wǎng)絡(luò)環(huán)境中應(yīng)用層的安全控制起到了很重要的強(qiáng)化作 用。內(nèi)容及格式檢測(cè)功能ViGap系列具備內(nèi)容過濾及文件格式檢查功能，對(duì)管理員指定格式的文件或指 定內(nèi)容關(guān)鍵字的郵件、網(wǎng)頁(yè)、FTP文件等具有安全過濾功能，能夠阻止敏感的信 息外泄或惡意程序的入侵。規(guī)則庫(kù)后置偉思ViGap將規(guī)則庫(kù)后置在網(wǎng)閘的內(nèi)網(wǎng)可信端

26、一側(cè)，通過芯片級(jí)的隔離部件 和“裸數(shù)據(jù)”擺渡機(jī)制的保護(hù)，使得放置于 GAP產(chǎn)品的受保護(hù)網(wǎng)絡(luò)端（即后端） 的規(guī)則庫(kù)具有嚴(yán)格的在外部網(wǎng)絡(luò)端不可修改特性，保護(hù)規(guī)則庫(kù)的安全。344系統(tǒng)管理輕松管理ViGap系列安全管理架構(gòu)允許管理員將多個(gè)隔離與信息交換系統(tǒng)設(shè)備部署到任何位置上并對(duì)其進(jìn)行集中式管理。一旦創(chuàng)建或修改了策略，它就被自動(dòng)分發(fā)到 規(guī)則指定的所在位置良好的用戶界面ViGap系列提供了一個(gè)良好的用戶界面，以樹型結(jié)構(gòu)組織對(duì)象，可在所有規(guī)則 中共享所有的對(duì)象定義（例如：用戶、主機(jī)、網(wǎng)絡(luò)和服務(wù)等等），以便進(jìn)行有效的 策略創(chuàng)建和安全管理。豐富的日志及審計(jì)ViGap系列管理平臺(tái)能夠監(jiān)控并記錄 ViGap系列產(chǎn)

27、品的系統(tǒng)狀態(tài)。全面審計(jì) 網(wǎng)絡(luò)活動(dòng)、入侵活動(dòng)、管理員的配置操作、系統(tǒng)錯(cuò)誤信息、違反規(guī)則的過濾信息 等日志信息。345應(yīng)用支持安全上網(wǎng)ViGap系列支持用戶安全上網(wǎng)應(yīng)用，可根據(jù)身份認(rèn)證、IP + MA（綁定等多種安 全策略實(shí)現(xiàn)用戶安全上網(wǎng)應(yīng)用，同時(shí)支持透明應(yīng)用代理方式，客戶端無(wú)需設(shè)置。數(shù)據(jù)庫(kù)應(yīng)用ViGap系列全面支持各種類型的數(shù)據(jù)庫(kù)應(yīng)用，支持 Oracle、MS SQL MySQL Sybase等主流的數(shù)據(jù)庫(kù)的SQL查詢，支持全表復(fù)制、增量更新、全表更新等多種 數(shù)據(jù)庫(kù)同步方式，并支持自定義表和字段。網(wǎng)絡(luò)應(yīng)用ViGap系列支持各類TCP/IP以上的網(wǎng)絡(luò)應(yīng)用協(xié)議，無(wú)需二次開發(fā)。包括:HTTPSMTP

28、POP3 DNS FTP NFS MMS IM、VOIP等等。支持用戶自定義開發(fā)的特殊應(yīng)用協(xié)議。支持網(wǎng)閘訪問的單向、雙向自定義。同時(shí)，針對(duì)用戶特殊需求ViGap系列提供API應(yīng)用開發(fā)接口。即插即用網(wǎng)閘設(shè)備的應(yīng)用，不會(huì)改變現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，不改變?cè)芯W(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)，網(wǎng)閘的應(yīng)用，對(duì)原有網(wǎng)絡(luò)無(wú)需做大的改動(dòng)。3.5偉思ViGap系統(tǒng)性能參數(shù)偉思ViGap提供千兆安全隔離與交換系統(tǒng)，其主要性能指標(biāo)如下：內(nèi)外各包含5個(gè)千兆電口和4個(gè)光口網(wǎng)絡(luò)吞吐量性能：=800Mbps隔離硬件芯片數(shù)據(jù)交換速率：5Gbps系統(tǒng)時(shí)延：小于1ms并發(fā)連接數(shù)：=100000平均無(wú)故障運(yùn)行時(shí)間：60000小時(shí) 用戶數(shù)支持：無(wú)限制4

29、實(shí)施方案4.1實(shí)施計(jì)劃為確保本次奧體中心數(shù)據(jù)網(wǎng)閘項(xiàng)目采購(gòu)項(xiàng)目的順利實(shí)施，珠海偉思信息技術(shù) 有限公司制定了詳細(xì)的項(xiàng)目實(shí)施計(jì)劃。整個(gè)項(xiàng)目實(shí)施過程分為四個(gè)階段，各階段 跨度包含項(xiàng)目實(shí)施前勘查，項(xiàng)目中標(biāo)后的供貨，項(xiàng)目實(shí)施部署、實(shí)施完成后的試 運(yùn)行。階段一：項(xiàng)目實(shí)施前的現(xiàn)場(chǎng)勘查，我公司項(xiàng)目實(shí)施勘查自項(xiàng)目投標(biāo)前就已開 始，項(xiàng)目經(jīng)理直接參加用戶單位的現(xiàn)場(chǎng)勘查， 進(jìn)行現(xiàn)場(chǎng)環(huán)境調(diào)查與用戶環(huán)境調(diào)研， 了解用戶需求，便于中標(biāo)后組織項(xiàng)目實(shí)施方案。階段二：中標(biāo)后產(chǎn)品供貨過程中，我公司組建項(xiàng)目實(shí)施團(tuán)隊(duì)，將參照前期用 戶環(huán)境勘查結(jié)果結(jié)合具體用戶需求制定詳細(xì)的現(xiàn)場(chǎng)施工組織方案，并制定詳細(xì)的 實(shí)施計(jì)劃明細(xì)表，并在項(xiàng)目開始實(shí)施之

30、前制定切實(shí)可用的風(fēng)險(xiǎn)回退預(yù)案。階段三：項(xiàng)目實(shí)施階段，公司項(xiàng)目實(shí)施團(tuán)隊(duì)在本階段根據(jù)項(xiàng)目實(shí)施計(jì)劃參照 風(fēng)險(xiǎn)回退預(yù)案進(jìn)行項(xiàng)目實(shí)施。實(shí)施過程嚴(yán)格按照用戶單位需求進(jìn)行，如遇任何可 能出現(xiàn)的不可知因素，將第一時(shí)間與用戶單位溝通解決。本階段所有現(xiàn)場(chǎng)實(shí)施工 作均按日進(jìn)行記錄并將在整個(gè)項(xiàng)目結(jié)束后提交項(xiàng)目施工日志。 階段四：項(xiàng)目試運(yùn)行階段，項(xiàng)目實(shí)施結(jié)束后進(jìn)入試運(yùn)行階段， 試運(yùn)行階段中, 我公司將每周拍專業(yè)工程師赴用戶現(xiàn)場(chǎng)進(jìn)行運(yùn)行情況監(jiān)測(cè)，實(shí)時(shí)發(fā)現(xiàn)解決試運(yùn)行過程中出現(xiàn)的各種問題，本階段將就發(fā)現(xiàn)的問題進(jìn)行集中整改，如用戶單位本階 段提出進(jìn)一步需求，將經(jīng)于用戶協(xié)商一致后解決。同時(shí)本階段我公司將聯(lián)合廠商 組織人員對(duì)用戶進(jìn)

31、行集中培訓(xùn)，培訓(xùn)時(shí)間、地點(diǎn)、內(nèi)容等將與用戶協(xié)商后確定。4.2具體實(shí)施步驟現(xiàn)狀：數(shù)據(jù)中心與信息發(fā)布網(wǎng)之間的女全隔離與信息交換系統(tǒng)接入網(wǎng)絡(luò)中需求：按照方案的要求部署安全隔離與信息交換設(shè)備到現(xiàn)有網(wǎng)絡(luò)中協(xié)助：要求：在實(shí)施過程中不能影響用戶正常的網(wǎng)絡(luò)使用實(shí)施時(shí)間：實(shí)施步驟：1、按照方案要求配置現(xiàn)有安全隔離與信息交換設(shè)備2、安全隔離與信息交換上架，并與非工作時(shí)間進(jìn)行接線3、檢查配置，根據(jù)網(wǎng)絡(luò)實(shí)際環(huán)境進(jìn)行配置調(diào)整4、測(cè)試配置，記錄成文。5驗(yàn)收方案5.1設(shè)備交貨驗(yàn)收我公司按合同要求在規(guī)定的時(shí)間內(nèi)完成產(chǎn)品交貨、進(jìn)場(chǎng)和產(chǎn)品初驗(yàn)。驗(yàn)收測(cè)試要求：設(shè)備出貨前，將依據(jù)合同清單，對(duì)設(shè)備，品種，數(shù)量進(jìn)行核對(duì)后，運(yùn)送到合 同規(guī)

32、定的地點(diǎn)，并出具設(shè)備送貨單。對(duì)于出廠設(shè)備，賣方售后項(xiàng)目工程師和銷售人員將嚴(yán)格按合同檢查施工雙方 共同核準(zhǔn)的設(shè)備數(shù)量，保證到達(dá)買方的設(shè)備完全正確。買方可派員參加出貨檢查，對(duì)檢查的軟、硬件設(shè)備，將按合同清單為準(zhǔn)，和 買方一道完成設(shè)備清點(diǎn)，并共同填寫設(shè)備送貨單。出貨檢查后，賣方將對(duì)檢測(cè)、驗(yàn)收的所有設(shè)備，包括硬件、軟件將列出詳細(xì) 的設(shè)備檢測(cè)情況一覽表，并提交正式打印的記錄材料-設(shè)備驗(yàn)收?qǐng)?bào)告。5.2現(xiàn)場(chǎng)移交驗(yàn)收系統(tǒng)安裝及測(cè)試時(shí)，賣方將組織項(xiàng)目實(shí)施工程小組。小組成員由施工雙方 共同確定，以賣方為主，買方參與，協(xié)調(diào)為輔，工程實(shí)施小組將專人負(fù)責(zé)，對(duì)每 天安裝及測(cè)試的內(nèi)容將有詳細(xì)的工作文檔記錄。在開始工程實(shí)施前

33、后，賣方將提 供：工程實(shí)施計(jì)劃、工程進(jìn)度安排、工程進(jìn)展?fàn)顩r、工程問題報(bào)告、工程解決方 案等工程資料提交買方工程負(fù)責(zé)人員，直到工程移交為止。工程開始移交測(cè)試時(shí)，工程實(shí)施人員將提供：工程測(cè)試方法報(bào)告、測(cè)試結(jié)果 報(bào)告、測(cè)試指標(biāo)結(jié)果報(bào)告、工程測(cè)試竣工報(bào)告等給用戶方項(xiàng)目負(fù)責(zé)人審查。 移交測(cè)試移交測(cè)試將由我方將與用戶方雙方共同擬定測(cè)試內(nèi)容、測(cè)試指標(biāo)、測(cè)試結(jié)果 說(shuō)明、測(cè)試儀器及方法等內(nèi)容報(bào)告給雙方項(xiàng)目負(fù)責(zé)人和監(jiān)理單位審查通過。（1）移交測(cè)試合格雙方移交測(cè)試結(jié)果經(jīng)買方審查，若其中有未達(dá)到要求之項(xiàng)目，施工雙方按合 同條款檢查，按雙方商定的結(jié)果做下一步的解決辦法。（2）網(wǎng)絡(luò)系統(tǒng)開通設(shè)備由我方或原廠商工程實(shí)施小組安裝實(shí)施完畢后、在開通之前，工程小組將進(jìn) 行開通前準(zhǔn)備工作。包括用戶設(shè)置、網(wǎng)絡(luò)配置、操作注意事項(xiàng)等。開通時(shí)需要雙 方提供行政上的支持。包括召集相關(guān)單位技術(shù)人員配合工作，傳輸通道管理技術(shù) 人員協(xié)同實(shí)施問題。對(duì)于產(chǎn)品質(zhì)量問題，由我方與原廠商全面負(fù)責(zé)，出現(xiàn)問題立 即加以解決。5.3試運(yùn)轉(zhuǎn)驗(yàn)收測(cè)試試運(yùn)轉(zhuǎn)期間，我方工程人員將觀察記錄安全隔離與信息交換系統(tǒng)設(shè)備各項(xiàng)功 能運(yùn)轉(zhuǎn)情況。6系統(tǒng)支持與服務(wù)方案6.1售后服務(wù)我們提供的售后服務(wù)內(nèi)容主要包括以下幾個(gè)方面：電話支持提供專用售后服務(wù)技術(shù)電話，為用戶進(jìn)行有關(guān)產(chǎn)品使用的電話答疑和操作指 導(dǎo)等。我們