安全隔離建議方案

1、-PAGE . z.奧體中心網(wǎng)絡(luò)安全隔離投標(biāo)方案目 錄 TOC o 1-3 h z u HYPERLINK l _Toc4550577671奧體中心網(wǎng)絡(luò)安全隔離需求分析 PAGEREF _Toc455057767 h 3HYPERLINK l _Toc4550577681.1奧體中心部網(wǎng)網(wǎng)絡(luò)現(xiàn)狀 PAGEREF _Toc455057768 h 3HYPERLINK l _Toc4550577691.2奧體中心網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)分析 PAGEREF _Toc455057769 h 3HYPERLINK l _Toc4550577701.3建立統(tǒng)一安全隔離數(shù)據(jù)交換安全原則 PAGEREF _Toc45

2、5057770 h 4HYPERLINK l _Toc4550577712奧體中心網(wǎng)絡(luò)網(wǎng)絡(luò)安全隔離解決方案 PAGEREF _Toc455057771 h 5HYPERLINK l _Toc4550577722.1奧體中心網(wǎng)絡(luò)網(wǎng)安全隔離與信息交換設(shè)計(jì) PAGEREF _Toc455057772 h 5HYPERLINK l _Toc4550577732.2安全隔離與信息交換平臺(tái)實(shí)施方案 PAGEREF _Toc455057773 h 5HYPERLINK l _Toc4550577742.3近期建議解決方案拓?fù)鋱D PAGEREF _Toc455057774 h 6HYPERLINK l _To

3、c4550577752.4解決方案產(chǎn)品選型 PAGEREF _Toc455057775 h 7HYPERLINK l _Toc4550577763隔離網(wǎng)閘產(chǎn)品方案設(shè)計(jì) PAGEREF _Toc455057776 h 8HYPERLINK l _Toc4550577773.1隔離網(wǎng)閘產(chǎn)品概述 PAGEREF _Toc455057777 h 8HYPERLINK l _Toc4550577783.2產(chǎn)品部架構(gòu) PAGEREF _Toc455057778 h8HYPERLINK l _Toc4550577793.3產(chǎn)品特點(diǎn) PAGEREF _Toc455057779 h 9HYPERLINK l _

4、Toc4550577803.4產(chǎn)品功能 PAGEREF _Toc455057780 h 10HYPERLINK l _Toc455057781系統(tǒng)可靠性 PAGEREF _Toc455057781 h 10HYPERLINK l _Toc455057782系統(tǒng)可用性 PAGEREF _Toc455057782 h 11HYPERLINK l _Toc455057783安全功能 PAGEREF _Toc455057783 h 11HYPERLINK l _Toc455057784系統(tǒng)管理 PAGEREF _Toc455057784 h 12HYPERLINK l _Toc455057785應(yīng)用支

5、持 PAGEREF _Toc455057785 h 13HYPERLINK l _Toc4550577863.5偉思ViGap系統(tǒng)性能參數(shù) PAGEREF _Toc455057786 h 14HYPERLINK l _Toc4550577874實(shí)施方案 PAGEREF _Toc455057787 h 14HYPERLINK l _Toc4550577884.1實(shí)施計(jì)劃 PAGEREF _Toc455057788 h 14HYPERLINK l _Toc4550577894.2具體實(shí)施步驟 PAGEREF _Toc455057789 h 15HYPERLINK l _Toc4550577905驗(yàn)

6、收方案 PAGEREF _Toc455057790 h 15HYPERLINK l _Toc4550577915.1設(shè)備交貨驗(yàn)收 PAGEREF _Toc455057791 h 15HYPERLINK l _Toc4550577925.2現(xiàn)場(chǎng)移交驗(yàn)收 PAGEREF _Toc455057792 h 16HYPERLINK l _Toc4550577935.3試運(yùn)轉(zhuǎn)驗(yàn)收測(cè)試 PAGEREF _Toc455057793 h 16HYPERLINK l _Toc4550577946系統(tǒng)支持與服務(wù)方案 PAGEREF _Toc455057794 h 16HYPERLINK l _Toc45505779

7、56.1售后服務(wù) PAGEREF _Toc455057795 h 16HYPERLINK l _Toc4550577966.2培訓(xùn)計(jì)劃 PAGEREF _Toc455057796 h 17奧體中心網(wǎng)絡(luò)安全隔離需求分析奧體中心部網(wǎng)網(wǎng)絡(luò)現(xiàn)狀?yuàn)W林匹克奧體中心（以下簡(jiǎn)稱奧體中心）網(wǎng)絡(luò)系統(tǒng)存在2個(gè)不同信任級(jí)別的網(wǎng)絡(luò)（數(shù)據(jù)中心和場(chǎng)館網(wǎng)），且相互之間物理隔離，隨著網(wǎng)上商城和對(duì)外發(fā)布等業(yè)務(wù)平臺(tái)的建立、應(yīng)用和不斷擴(kuò)展，由于存在外局域網(wǎng)且兩個(gè)網(wǎng)絡(luò)之間目前是物理隔離的狀態(tài)；為保障業(yè)務(wù)平臺(tái)的穩(wěn)定性、連續(xù)性和安全性，同時(shí)由于數(shù)據(jù)交換的需要，部網(wǎng)絡(luò)將不再和互聯(lián)網(wǎng)之間進(jìn)行純物理隔離，這時(shí)將引入較大的安全隱患。另外隨著業(yè)務(wù)平

8、臺(tái)的不斷發(fā)展，也將面臨各種安全問(wèn)題，例如蠕蟲(chóng)病毒爆發(fā)、ARP欺騙、黑客攻擊等等。我們將采用一個(gè)層次化的、多樣性的安全措施來(lái)保障業(yè)務(wù)平臺(tái)的安全。奧體中心網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)分析從奧體中心的安全風(fēng)險(xiǎn)分析中，我們可以看出，主要的安全風(fēng)險(xiǎn)在于：奧數(shù)據(jù)中心外網(wǎng)之間的數(shù)據(jù)交換，必然帶來(lái)一定的安全風(fēng)險(xiǎn)，原來(lái)在外部網(wǎng)上傳播的病毒可能因?yàn)閿?shù)據(jù)交換而感染到部數(shù)據(jù)中心網(wǎng)服務(wù)器群；原來(lái)利用互連網(wǎng)發(fā)動(dòng)攻擊的黑客、下級(jí)場(chǎng)館的人員疏忽、惡意試探也可能利用外部辦公網(wǎng)絡(luò)的數(shù)據(jù)交換的連接嘗試攻擊本單位數(shù)據(jù)中心網(wǎng)，可以影響到本單位數(shù)據(jù)中心網(wǎng)系統(tǒng)部大量的重要數(shù)據(jù)正常運(yùn)行，所以安全問(wèn)題變得越來(lái)越復(fù)雜和突出。綜合分析網(wǎng)絡(luò)的攻擊的手段，奧體中心

9、網(wǎng)絡(luò)外部網(wǎng)絡(luò)的數(shù)據(jù)交換可能面臨的安全風(fēng)險(xiǎn)包括：?jiǎn)栴}類型問(wèn)題問(wèn)題描述協(xié)議設(shè)計(jì)安全問(wèn)題被忽視制定協(xié)議之時(shí)，通常首先強(qiáng)調(diào)功能性，而安全性問(wèn)題則是到最后一刻、甚或不列入考慮圍。其它基礎(chǔ)協(xié)議問(wèn)題架構(gòu)在其他不穩(wěn)固基礎(chǔ)協(xié)議之上的協(xié)議，即使本身再完善也會(huì)有很多問(wèn)題。流程問(wèn)題設(shè)計(jì)協(xié)議時(shí)，對(duì)各種可能出現(xiàn)的流程問(wèn)題考慮不夠周全，導(dǎo)致發(fā)生狀況時(shí)，系統(tǒng)處理方式不當(dāng)。設(shè)計(jì)錯(cuò)誤協(xié)議設(shè)計(jì)錯(cuò)誤，導(dǎo)致系統(tǒng)服務(wù)容易失效或招受攻擊。軟件設(shè)計(jì)設(shè)計(jì)錯(cuò)誤協(xié)議規(guī)劃正確，但協(xié)議設(shè)計(jì)時(shí)發(fā)生錯(cuò)誤，或設(shè)計(jì)人員對(duì)協(xié)議的認(rèn)知錯(cuò)誤，導(dǎo)致各種安全漏洞。程序錯(cuò)誤程序撰寫(xiě)習(xí)慣不良導(dǎo)致很多安全漏洞，包含常見(jiàn)的未檢查資料長(zhǎng)度容、輸入資料容錯(cuò)能力不足、未檢測(cè)可能發(fā)生

10、的錯(cuò)誤、應(yīng)用環(huán)境的假設(shè)錯(cuò)誤、引用不當(dāng)模塊、未檢測(cè)資源不足等。人員操作操作失誤操作規(guī)嚴(yán)格且完善，但是操作人員未受過(guò)良好訓(xùn)練、或未按手冊(cè)操作，導(dǎo)致各種安全漏洞和安全隱患。網(wǎng)絡(luò)通訊信息泄密由于未采用加密手段導(dǎo)致通訊容被偵聽(tīng)，或用戶名/口令在網(wǎng)上明文傳輸，導(dǎo)致竊取用戶身份登錄。系統(tǒng)維護(hù)默認(rèn)值不安全軟件或操作系統(tǒng)的預(yù)設(shè)設(shè)置不科學(xué)，導(dǎo)致缺省設(shè)置下系統(tǒng)處于不安全的狀況下，如匿名登錄、訪問(wèn)權(quán)限不當(dāng)?shù)?。容易遭受病毒、蠕蟲(chóng)、特洛依木馬等的攻擊。未修補(bǔ)系統(tǒng)軟件和操作系統(tǒng)的各種補(bǔ)丁程序沒(méi)有及時(shí)修復(fù)。部安全問(wèn)題對(duì)由信任系統(tǒng)和網(wǎng)絡(luò)發(fā)起的各種攻擊防不夠。信任領(lǐng)域存在的不安全系統(tǒng)，成為不信任領(lǐng)域系統(tǒng)攻擊信任領(lǐng)域的各種跳板。建

11、立統(tǒng)一安全隔離數(shù)據(jù)交換安全原則根據(jù)對(duì)以上安全風(fēng)險(xiǎn)的歸納，奧體中心數(shù)據(jù)中心網(wǎng)和外網(wǎng)之間數(shù)據(jù)交換最大的特點(diǎn)是復(fù)雜程度高，信息點(diǎn)多，安全威脅來(lái)自從物理層到應(yīng)用層多個(gè)方面。本方案在制定安全系統(tǒng)設(shè)計(jì)時(shí)所采用的基本策略為：主要以安全隔離信息交換技術(shù)和數(shù)據(jù)擺渡技術(shù)為主體，構(gòu)造一個(gè)具有最高安全強(qiáng)度的、在較長(zhǎng)一段時(shí)期可以防御絕大部分已知和未知的網(wǎng)絡(luò)攻擊手段的、并可以滿足用戶多種網(wǎng)絡(luò)應(yīng)用信息安全交換的網(wǎng)絡(luò)安全隔離系統(tǒng)平臺(tái)。奧體中心網(wǎng)絡(luò)外網(wǎng)信息交換的安全原則和要求體現(xiàn)在如下幾個(gè)方面：1、建立統(tǒng)一的安全隔離交換平臺(tái)，部奧體中心數(shù)據(jù)中心網(wǎng)絡(luò)應(yīng)用服務(wù)器通過(guò)統(tǒng)一出口實(shí)現(xiàn)與外部主機(jī)、網(wǎng)絡(luò)間的可信信息交換，統(tǒng)一管理，執(zhí)行統(tǒng)一的

12、安全策略，實(shí)現(xiàn)部網(wǎng)信息和外部應(yīng)用網(wǎng)數(shù)據(jù)交換的高度可控性。2、隔離平臺(tái)必須提供完整的安全審計(jì)功能，能夠詳細(xì)記錄、快速查詢外網(wǎng)間的訪問(wèn)行為及安全事件，數(shù)據(jù)傳輸?shù)脑敿?xì)記錄。3、部網(wǎng)通過(guò)安全隔離交換平臺(tái)與外界進(jìn)行的信息交換必須受到嚴(yán)格的控制，部網(wǎng)安全隔離平臺(tái)可以提供必要的安全手段，如信息的單向訪問(wèn)，防止網(wǎng)向外部泄漏敏感信息和抵御外網(wǎng)攻擊。4、安全隔離平臺(tái)必須具備較高的網(wǎng)絡(luò)性能及穩(wěn)定性、高可用性。5、所采用的安全隔離設(shè)備必須通過(guò)公安部信息安全產(chǎn)品許可和國(guó)家局的技術(shù)鑒定。安全隔離設(shè)備具有安全的文件和數(shù)據(jù)庫(kù)交換功能，支持視頻傳輸功能，可以支持對(duì)http、ftp等通用應(yīng)用層協(xié)議的嚴(yán)格分析控制的物理隔離設(shè)備或功

13、能。奧體中心網(wǎng)絡(luò)網(wǎng)絡(luò)安全隔離解決方案奧體中心網(wǎng)絡(luò)網(wǎng)安全隔離與信息交換設(shè)計(jì)奧體中心的網(wǎng)上商城應(yīng)用和對(duì)外需要發(fā)布到互聯(lián)網(wǎng)，數(shù)據(jù)中心網(wǎng)與外網(wǎng)之間隔離遵循外網(wǎng)物理隔斷，外網(wǎng)可控信息交換”的原則，數(shù)據(jù)中心網(wǎng)不直接接受來(lái)自其他網(wǎng)絡(luò)的數(shù)據(jù)訪問(wèn)請(qǐng)求。其中主要基于以下安全考慮：即不接收其他網(wǎng)絡(luò)網(wǎng)數(shù)據(jù)，使得數(shù)據(jù)中心網(wǎng)絡(luò)對(duì)外不暴露任何端口和服務(wù)，完全隱藏?cái)?shù)據(jù)中心網(wǎng)絡(luò)，從而更集中、高效地保護(hù)數(shù)據(jù)中心網(wǎng)的安全；更重要的是該功能阻斷了黑客通過(guò)木馬控制數(shù)據(jù)中心服務(wù)器的通訊途徑，保護(hù)數(shù)據(jù)中心核心數(shù)據(jù)的安全。采用安全隔離網(wǎng)閘為基礎(chǔ)的外網(wǎng)信息交換平臺(tái)上，應(yīng)用文件同步、數(shù)據(jù)庫(kù)同步和訪問(wèn)等技術(shù)實(shí)現(xiàn)外數(shù)據(jù)交換，保護(hù)奧體中心數(shù)據(jù)中心網(wǎng)的

14、應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器的安全，嚴(yán)格保證奧體中心網(wǎng)絡(luò)數(shù)據(jù)中心網(wǎng)數(shù)據(jù)的性、完整性和可用性，這樣就以隔離網(wǎng)閘為核心，建立了一整套完整的安全隔離與信息交換平臺(tái)。安全隔離與信息交換平臺(tái)實(shí)施方案根據(jù)以上設(shè)計(jì)，其主要實(shí)施方式是：在奧體中心數(shù)據(jù)中心交換機(jī)與外部核心交換機(jī)間部署偉思ViGap安全隔離與信息交換系統(tǒng)（隔離網(wǎng)閘），該網(wǎng)閘的作用就是隔離來(lái)自外部網(wǎng)絡(luò)的訪問(wèn)，以靜態(tài)化純數(shù)據(jù)的形式擺渡交換在外網(wǎng)之間安全交換數(shù)據(jù)。所有外部網(wǎng)絡(luò)的計(jì)算機(jī)向數(shù)據(jù)中心網(wǎng)絡(luò)請(qǐng)求數(shù)據(jù)時(shí)，都將通過(guò)統(tǒng)一入口，即統(tǒng)一數(shù)據(jù)交換平臺(tái)進(jìn)行數(shù)據(jù)導(dǎo)出，外網(wǎng)進(jìn)行數(shù)據(jù)交換僅允許定義的特定協(xié)議和端口，進(jìn)行特定數(shù)據(jù)交換。隔離除此之外其它任何外部主機(jī)對(duì)網(wǎng)的訪問(wèn)

15、請(qǐng)求。在該隔離環(huán)境下，大量攻擊行為都被隔離網(wǎng)閘隔離而無(wú)法進(jìn)入奧體中心數(shù)據(jù)中心網(wǎng)。隔離網(wǎng)閘采用多接口設(shè)計(jì)可以配合負(fù)載均衡器實(shí)現(xiàn)應(yīng)用負(fù)載，保證業(yè)務(wù)的高可靠性設(shè)計(jì)。部署偉思數(shù)據(jù)交換系統(tǒng)實(shí)現(xiàn)外網(wǎng)文件數(shù)據(jù)與數(shù)據(jù)庫(kù)數(shù)據(jù)的同步交換，該系統(tǒng)具備強(qiáng)大的安全審計(jì)、木馬防護(hù)、文件簽名校驗(yàn)等功能，能夠有效保障數(shù)據(jù)中心網(wǎng)與外網(wǎng)數(shù)據(jù)安全可靠的交換。近期建議解決方案拓?fù)鋱D近期奧體中心網(wǎng)絡(luò)進(jìn)行初期的業(yè)務(wù)運(yùn)行，其用戶量在幾十?dāng)?shù)量級(jí)，但是考慮到將來(lái)的用戶數(shù)增加較大，為使業(yè)務(wù)系統(tǒng)將來(lái)能夠平滑升級(jí)和過(guò)度，因此，可建議采用單主機(jī)、單鏈路的千兆設(shè)備構(gòu)*全隔離平臺(tái)，其初步的整體解決方案如圖所示：本方案在奧體中心數(shù)據(jù)中心網(wǎng)絡(luò)與外網(wǎng)核心交換機(jī)

16、間部署隔離網(wǎng)閘，統(tǒng)一實(shí)現(xiàn)用戶認(rèn)證、文件安全檢查、通訊加密、網(wǎng)絡(luò)隔離以及文件上傳、下載等任務(wù)。隔離網(wǎng)閘可采用訪問(wèn)式和同步式兩種工作模式，提供外網(wǎng)數(shù)據(jù)庫(kù)、文件服務(wù)器的數(shù)據(jù)同步功能，也可以提供對(duì)網(wǎng)絡(luò)訪問(wèn)的全面控制和策略管理。隔離網(wǎng)閘負(fù)責(zé)完全屏蔽數(shù)據(jù)中心網(wǎng)絡(luò)，進(jìn)行協(xié)議剝離和純數(shù)據(jù)靜態(tài)擺渡，防止各種已知和未知的攻擊行為及木馬病毒危害。隔離網(wǎng)閘具有應(yīng)用文件數(shù)據(jù)交換功能和數(shù)據(jù)庫(kù)數(shù)據(jù)交換功能，實(shí)現(xiàn)外網(wǎng)數(shù)據(jù)安全可靠的交換，同時(shí)具備強(qiáng)大的安全審計(jì)、木馬防護(hù)、文件簽名校驗(yàn)等功能，能夠有效防止木馬、病毒隨文件進(jìn)入數(shù)據(jù)中心網(wǎng)。隔離網(wǎng)閘支持白安全機(jī)制工作，即僅允許專用傳輸程序訪問(wèn)數(shù)據(jù)中心網(wǎng)的服務(wù)器進(jìn)行文件上傳、下載，任何

17、其它應(yīng)用程序，包括各類病毒、木馬程序都被拒絕訪問(wèn)數(shù)據(jù)中心網(wǎng)服務(wù)器，確保數(shù)據(jù)中心網(wǎng)服務(wù)器安全。隨著業(yè)務(wù)的擴(kuò)展，隔離網(wǎng)閘豐富的網(wǎng)絡(luò)接口可以直連對(duì)外應(yīng)用服務(wù)器配合負(fù)載均衡器實(shí)現(xiàn)服務(wù)器的冗余，保證業(yè)務(wù)的可持續(xù)性和高可靠性。方案擴(kuò)展性隨著信息化建設(shè)的不斷推進(jìn)，未來(lái)用戶業(yè)務(wù)量的變化、增加，越來(lái)越多的業(yè)務(wù)系統(tǒng)需要與數(shù)據(jù)中心的服務(wù)器進(jìn)行數(shù)據(jù)交換，為了保證業(yè)務(wù)系統(tǒng)能持續(xù)、可靠地提供服務(wù)變的尤為重要的，因此安全隔離與信息交換系統(tǒng)的容錯(cuò)性和不間斷性顯得尤為重要，在原有的基礎(chǔ)上增加一臺(tái)安全隔離設(shè)備實(shí)現(xiàn)雙機(jī)熱備，從而準(zhǔn)確、快速地將原主設(shè)備應(yīng)用切換到備機(jī)上繼續(xù)運(yùn)行，實(shí)現(xiàn)整個(gè)業(yè)務(wù)系統(tǒng)的不間斷運(yùn)行，保證整個(gè)業(yè)務(wù)系統(tǒng)對(duì)外服務(wù)的

18、正常，為關(guān)鍵業(yè)務(wù)應(yīng)用提供強(qiáng)大的保障；擴(kuò)展可采用疊加方式，不需要改變已有的網(wǎng)絡(luò)應(yīng)用結(jié)構(gòu)同時(shí)攻擊的手段也在不斷的更新，應(yīng)對(duì)新的安全風(fēng)險(xiǎn)，只需要在邊界安全交換平臺(tái)兩端網(wǎng)絡(luò)增加安全性擴(kuò)展設(shè)備系統(tǒng)即可，比如：IDS/IPS、防病毒系統(tǒng)、終端安全準(zhǔn)入系統(tǒng)、可信文件檢測(cè)系統(tǒng)等等。解決方案產(chǎn)品選型根據(jù)所需防的具體安全問(wèn)題類型、期望達(dá)到的安全程度，本方案建議選擇相應(yīng)的安全產(chǎn)品，產(chǎn)品的選型遵從如下標(biāo)準(zhǔn)：1)、成熟性：保證安全體系本身的可靠和穩(wěn)定，也是保證網(wǎng)絡(luò)安全系統(tǒng)平臺(tái)能夠安全可靠運(yùn)行的基本要素。2)、先進(jìn)性：保證安全體系具有較強(qiáng)的適應(yīng)力、生命力，以便能適應(yīng)未來(lái)一段時(shí)期安全發(fā)展的需要。3)、國(guó)自主知識(shí)產(chǎn)權(quán)，自行生

19、產(chǎn)的網(wǎng)絡(luò)安全產(chǎn)品。4)、合法性：安全體系建設(shè)中所采用的安全技術(shù)及其產(chǎn)品須有國(guó)家安全部門(mén)或具有等效職能機(jī)構(gòu)認(rèn)證并頒發(fā)有許可證。隔離網(wǎng)閘產(chǎn)品方案設(shè)計(jì)隔離網(wǎng)閘產(chǎn)品概述偉思網(wǎng)絡(luò)安全技術(shù)作為我國(guó)最早研發(fā)并率先推出安全隔離與信息交換系統(tǒng)產(chǎn)品的專業(yè)信息安全技術(shù)公司之一，其安全隔離與信息交換產(chǎn)品已經(jīng)廣泛應(yīng)用于近百家各種不同行業(yè)/部門(mén)的用戶系統(tǒng)中，多次在一些國(guó)家部委及金融單位總部的重要招標(biāo)中成功中標(biāo)或入圍，獲得了用戶的普遍高度好評(píng)。偉思信安ViGap安全隔離與信息交換系統(tǒng)采用國(guó)際先進(jìn)的GAP硬件隔離反射技術(shù)，實(shí)現(xiàn)了在網(wǎng)絡(luò)隔離環(huán)境下的可控信息交換，并針對(duì)傳統(tǒng)安全隔離與信息交換系統(tǒng)應(yīng)用層安全防護(hù)薄弱的現(xiàn)狀，運(yùn)用創(chuàng)新

20、技術(shù)開(kāi)發(fā)出基于網(wǎng)絡(luò)隔離安全基礎(chǔ)平臺(tái)下的應(yīng)用層防護(hù)系統(tǒng)，為各類黨政部門(mén)、軍事單位、金融電信、科研院校及企事業(yè)單位等機(jī)構(gòu)的關(guān)鍵業(yè)務(wù)處理系統(tǒng)與外部不可信網(wǎng)絡(luò)間信息交換提供了完整的安全隔離與信息交換解決方案。偉思信安ViGap安全隔離與信息交換系統(tǒng)率先采用國(guó)際領(lǐng)先的基于ASIC芯片（大規(guī)模集成電路芯片）設(shè)計(jì)的高速硬件電子隔離開(kāi)關(guān)技術(shù)，實(shí)現(xiàn)了受保護(hù)網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)（互聯(lián)網(wǎng)、專網(wǎng)等外部網(wǎng)絡(luò)）間的物理斷開(kāi)，并通過(guò)擺渡機(jī)制在可控環(huán)境下實(shí)現(xiàn)外網(wǎng)間應(yīng)用層數(shù)據(jù)交換。ASIC芯片具有不可編程特性而且通訊方式徹底私有，從技術(shù)上消除了傳統(tǒng)攻擊手段對(duì)受保護(hù)部網(wǎng)絡(luò)的威脅，所有交換數(shù)據(jù)均經(jīng)過(guò)ViGap的嚴(yán)格安全檢查，置于ViG

21、ap設(shè)備保護(hù)之下的部網(wǎng)絡(luò)與外部不可信網(wǎng)絡(luò)在任一時(shí)刻均不存在直接的物理網(wǎng)絡(luò)連接，從而起到了保護(hù)部網(wǎng)絡(luò)免遭來(lái)自外部已知和未知的網(wǎng)絡(luò)攻擊，實(shí)現(xiàn)了安全、可靠的數(shù)據(jù)交換。產(chǎn)品部架構(gòu)偉思信安安全隔離交換系統(tǒng)的系統(tǒng)結(jié)構(gòu)如下圖表所示：圖表 1 安全隔離交換系統(tǒng)的隔離體系結(jié)構(gòu)VIGAP安全隔離交換系統(tǒng)的所有控制邏輯由硬件實(shí)現(xiàn)的，不能被軟件修改；安全隔離交換系統(tǒng)在外安全主板上各設(shè)計(jì)了一個(gè)隔離開(kāi)關(guān)，稱反射GAP。反射GAP實(shí)現(xiàn)外網(wǎng)絡(luò)之間的物理斷開(kāi)，但同時(shí)能交換數(shù)據(jù)的目的。反射GAP使得外網(wǎng)中繼數(shù)據(jù)的速率達(dá)到物理連通狀態(tài)的100，從而消除了因物理斷開(kāi)外網(wǎng)絡(luò)而可能造成的通信瓶頸。產(chǎn)品特點(diǎn)ViGap是一款面向大型網(wǎng)絡(luò)的安

22、全隔離系統(tǒng)，為各類黨政部門(mén)、軍事單位、金融電信、科研院校及企事業(yè)單位等關(guān)鍵部門(mén)的部網(wǎng)絡(luò)或服務(wù)器提供網(wǎng)絡(luò)隔離環(huán)境下的實(shí)時(shí)隔離保護(hù)，并在可控狀態(tài)下實(shí)現(xiàn)部網(wǎng)絡(luò)或服務(wù)器與外界的實(shí)時(shí)（適度）信息交換。采用獨(dú)特的21”安全體系架構(gòu)，通過(guò)基于ASIC芯片技術(shù)設(shè)計(jì)的專用隔離電子開(kāi)關(guān)系統(tǒng)，實(shí)現(xiàn)用戶關(guān)鍵網(wǎng)絡(luò)及服務(wù)系統(tǒng)與外界的物理隔斷，實(shí)現(xiàn)鏈路層與網(wǎng)絡(luò)層的徹底斷開(kāi)。采用高性能和多條流水線設(shè)計(jì)的ASIC芯片為基礎(chǔ)建立的全新硬件隔離架構(gòu)，擁有全線速隔離交換性能，滿足大型網(wǎng)絡(luò)應(yīng)用所面對(duì)大用戶量、低延時(shí)訪問(wèn)的需求。在核心的GAP電子開(kāi)關(guān)隔離芯片上采用了含TRUE LVDS功能強(qiáng)大的AP*II系列EP2A70作為FPGA設(shè)計(jì)

23、硬件基片，該芯片具有500萬(wàn)門(mén)電路以及多路Giga位的通道，支持部高達(dá)1060個(gè)硬件I/Os通道，使得電子開(kāi)關(guān)具有高速的數(shù)據(jù)傳輸能力和并發(fā)處理能力。充分考慮關(guān)鍵應(yīng)用對(duì)可靠性、可用性的要求，獨(dú)家采用負(fù)載均衡技術(shù)以及基于應(yīng)用協(xié)議連接資源保護(hù)的QOS服務(wù)質(zhì)量控制技術(shù)消除單點(diǎn)故障和網(wǎng)絡(luò)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)服務(wù)的高可靠性及可用性保證。采用無(wú)協(xié)議的GAP Reflective”，GAP隔離反射技術(shù)實(shí)現(xiàn)開(kāi)放網(wǎng)絡(luò)通訊協(xié)議的剝離與重組，有效阻斷來(lái)自網(wǎng)絡(luò)層及服務(wù)器OS層的各類已知/未知攻擊，彌補(bǔ)其它安全技術(shù)對(duì)網(wǎng)絡(luò)未知攻擊的防御盲區(qū)。廣泛支持各類通用應(yīng)用協(xié)議（HTTP、FTP、SMTP、DNS、SQL等），包括支持視頻會(huì)議、

24、流媒體以及VPN等特殊應(yīng)用代理以及用戶定制協(xié)議，無(wú)需再進(jìn)行二次開(kāi)發(fā)或單獨(dú)購(gòu)買(mǎi)模塊。智能化攻擊識(shí)別與過(guò)濾，ViGap采用先進(jìn)的應(yīng)用層協(xié)議分析技術(shù)智能識(shí)別并過(guò)濾大量基于應(yīng)用層協(xié)議的攻擊行為，ViGap提供目前市場(chǎng)上豐富的協(xié)議分析模塊，全面防護(hù)各類應(yīng)用系統(tǒng)安全風(fēng)險(xiǎn)，包括：HTTP、FTP、SMTP、POP3、IMAP、DNS等數(shù)十種協(xié)議分析模塊。產(chǎn)品功能系統(tǒng)可靠性雙機(jī)熱備功能ViGap系列產(chǎn)品針對(duì)大型網(wǎng)絡(luò)的應(yīng)用提供了雙機(jī)熱備份功能，實(shí)現(xiàn)系統(tǒng)的穩(wěn)定可靠運(yùn)行。通過(guò)置的雙機(jī)熱備系統(tǒng)，連接在同一個(gè)網(wǎng)絡(luò)的多臺(tái)ViGap設(shè)備可以建立雙機(jī)熱備機(jī)制，并通過(guò)虛擬IP統(tǒng)一對(duì)外提供服務(wù)。從設(shè)備不斷發(fā)出心跳信息偵測(cè)主設(shè)備狀

25、態(tài)，一旦主設(shè)備出現(xiàn)故障從設(shè)備將立即接管并繼續(xù)提供服務(wù)。結(jié)合ViGap獨(dú)有的狀態(tài)檢測(cè)系統(tǒng)，管理員能夠迅速發(fā)現(xiàn)設(shè)備故障并作出處理。系統(tǒng)工作狀態(tài)檢測(cè)與報(bào)警 ViGap系列采用基于工業(yè)控制系統(tǒng)的架構(gòu)設(shè)計(jì)，具備良好的穩(wěn)定性。并且建立了設(shè)備狀態(tài)檢測(cè)系統(tǒng)，在開(kāi)機(jī)狀態(tài)下持續(xù)對(duì)系統(tǒng)各硬件板卡及軟件模塊進(jìn)行檢查，并將系統(tǒng)狀態(tài)顯示在液晶面板上，管理員可針對(duì)故障信息迅速了解故障原因并作出響應(yīng)。 同時(shí)，ViGap系列軟件系統(tǒng)采用了先進(jìn)的自愈技術(shù)，當(dāng)故障發(fā)生時(shí)可迅速命令系統(tǒng)重啟恢復(fù)到正常工作狀態(tài)。系統(tǒng)可用性 ViGap系列為滿足高性能的網(wǎng)絡(luò)處理而設(shè)計(jì)，因此，必須支持大規(guī)模的并發(fā)訪問(wèn)和高帶寬的數(shù)據(jù)吞吐。除了采用更高端的處理

26、系統(tǒng)、存以及接口以外，ViGap系列還設(shè)計(jì)了最大支持32臺(tái)設(shè)備的負(fù)載平衡系統(tǒng)來(lái)實(shí)現(xiàn)高可用性。 ViGap系列的負(fù)載平衡系統(tǒng)通過(guò)仲裁網(wǎng)絡(luò)流量方式實(shí)現(xiàn)流量在ViGap集群中的平均分配，從而將處理性能大幅提升。安全功能網(wǎng)絡(luò)隔離功能ViGap系列具有網(wǎng)絡(luò)隔離功能，通過(guò)基于ASIC設(shè)計(jì)的硬件電子開(kāi)關(guān)實(shí)現(xiàn)可信、不可信網(wǎng)絡(luò)間的物理斷開(kāi)，保護(hù)可信網(wǎng)絡(luò)免遭黑客攻擊。數(shù)據(jù)靜態(tài)化采用裸數(shù)據(jù)”機(jī)制，運(yùn)用協(xié)議剝離和重組技術(shù)，在網(wǎng)閘部實(shí)現(xiàn)裸數(shù)據(jù)”和數(shù)據(jù)靜態(tài)化，有效的防止網(wǎng)絡(luò)上未知攻擊。IDS入侵檢測(cè)功能 ViGap系列在設(shè)備兩端置了IDS入侵檢測(cè)引擎，該引擎可有效保護(hù)系統(tǒng)自身及受保護(hù)網(wǎng)絡(luò)免受攻擊者的頻繁攻擊。該系統(tǒng)將自動(dòng)

27、分析對(duì)受保護(hù)網(wǎng)的訪問(wèn)請(qǐng)求，并與ViGAP隔離系統(tǒng)實(shí)現(xiàn)部聯(lián)動(dòng)對(duì)可疑數(shù)據(jù)包采取拒絕連接的方式防御攻擊。SAT（服務(wù)器地址映射）功能 ViGap系列具備完善的SAT功能，可信端服務(wù)器可通過(guò)SAT功能將自身的特定服務(wù)虛擬映射到ViGap系列的不可信端接口上，通過(guò)隔離系統(tǒng)的不可信端虛擬端口對(duì)外提供服務(wù)，訪問(wèn)者僅能訪問(wèn)虛擬端口而無(wú)法直接連接服務(wù)器，從而對(duì)外屏蔽服務(wù)器，防止服務(wù)器遭到攻擊。身份認(rèn)證功能 不同于部門(mén)級(jí)網(wǎng)絡(luò)，大型網(wǎng)絡(luò)對(duì)身份認(rèn)證的要求極高，且需要基于第三方的統(tǒng)一身份認(rèn)證服務(wù)。ViGap系列除了提供基本的用戶名/口令身份認(rèn)證功能以外，還可與外部認(rèn)證系統(tǒng)集成支持?jǐn)U展的Radius、PKI數(shù)字證書(shū)、Se

28、cureID等多種強(qiáng)身份認(rèn)證功能。 安全代理服務(wù)功能 ViGap系列允許可信端用戶以應(yīng)用代理方式訪問(wèn)不可信網(wǎng)絡(luò)，ViGap系列作為應(yīng)用代理網(wǎng)關(guān)對(duì)網(wǎng)訪問(wèn)請(qǐng)求進(jìn)行檢測(cè)，相對(duì)于傳統(tǒng)的基于網(wǎng)絡(luò)層的NAT方式來(lái)說(shuō)，由于代理服務(wù)在應(yīng)用層對(duì)訪問(wèn)請(qǐng)求進(jìn)行檢測(cè)具有更細(xì)的粒度和檢查元素，因此，對(duì)訪問(wèn)具有更高的安全控制能力。AI安全過(guò)濾功能應(yīng)用智能能夠使您根據(jù)來(lái)源、目的地、用戶特權(quán)和時(shí)間來(lái)控制對(duì)特定的 HTTP、SMTP 或 FTP 等資源的訪問(wèn)。ViGap系列產(chǎn)品通過(guò)協(xié)議分析技術(shù)提供應(yīng)用級(jí)的安全過(guò)濾以保護(hù)數(shù)據(jù)和應(yīng)用服務(wù)器免受惡意 Java 和 Active* applet 的攻擊。ViGap系列在AI功能中新增了

29、安全功能，包括：確認(rèn)通信是否遵循相關(guān)的協(xié)議標(biāo)準(zhǔn)；進(jìn)行異常協(xié)議檢測(cè)；限制應(yīng)用程序攜帶惡意數(shù)據(jù)的能力；對(duì)應(yīng)用層操作進(jìn)行控制，這些新功能對(duì)企業(yè)級(jí)網(wǎng)絡(luò)環(huán)境中應(yīng)用層的安全控制起到了很重要的強(qiáng)化作用。容及格式檢測(cè)功能 ViGap系列具備容過(guò)濾及文件格式檢查功能，對(duì)管理員指定格式的文件或指定容關(guān)鍵字的、網(wǎng)頁(yè)、FTP文件等具有安全過(guò)濾功能，能夠阻止敏感的信息外泄或惡意程序的入侵。規(guī)則庫(kù)后置偉思ViGap將規(guī)則庫(kù)后置在網(wǎng)閘的網(wǎng)可信端一側(cè)，通過(guò)芯片級(jí)的隔離部件和裸數(shù)據(jù)”擺渡機(jī)制的保護(hù)，使得放置于GAP產(chǎn)品的受保護(hù)網(wǎng)絡(luò)端（即后端）的規(guī)則庫(kù)具有嚴(yán)格的在外部網(wǎng)絡(luò)端不可修改特性，保護(hù)規(guī)則庫(kù)的安全。系統(tǒng)管理輕松管理ViGa

30、p系列安全管理架構(gòu)允許管理員將多個(gè)隔離與信息交換系統(tǒng)設(shè)備部署到任何位置上并對(duì)其進(jìn)行集中式管理。一旦創(chuàng)建或修改了策略，它就被自動(dòng)分發(fā)到規(guī)則指定的所在位置。良好的用戶界面ViGap系列提供了一個(gè)良好的用戶界面，以樹(shù)型結(jié)構(gòu)組織對(duì)象，可在所有規(guī)則中共享所有的對(duì)象定義（例如：用戶、主機(jī)、網(wǎng)絡(luò)和服務(wù)等等），以便進(jìn)行有效的策略創(chuàng)建和安全管理。豐富的日志及審計(jì)ViGap系列管理平臺(tái)能夠監(jiān)控并記錄ViGap系列產(chǎn)品的系統(tǒng)狀態(tài)。全面審計(jì)網(wǎng)絡(luò)活動(dòng)、入侵活動(dòng)、管理員的配置操作、系統(tǒng)錯(cuò)誤信息、違反規(guī)則的過(guò)濾信息等日志信息。應(yīng)用支持安全上網(wǎng)ViGap系列支持用戶安全上網(wǎng)應(yīng)用，可根據(jù)身份認(rèn)證、IPMAC綁定等多種安全策略實(shí)

31、現(xiàn)用戶安全上網(wǎng)應(yīng)用，同時(shí)支持透明應(yīng)用代理方式，客戶端無(wú)需設(shè)置。數(shù)據(jù)庫(kù)應(yīng)用ViGap系列全面支持各種類型的數(shù)據(jù)庫(kù)應(yīng)用，支持Oracle、MS SQL、MySQL、Sybase等主流的數(shù)據(jù)庫(kù)的SQL查詢，支持全表復(fù)制、增量更新、全表更新等多種數(shù)據(jù)庫(kù)同步方式，并支持自定義表和字段。網(wǎng)絡(luò)應(yīng)用ViGap系列支持各類TCP/IP以上的網(wǎng)絡(luò)應(yīng)用協(xié)議，無(wú)需二次開(kāi)發(fā)。包括：HTTP、SMTP、POP3、DNS、FTP、NFS、MMS、IM、VOIP等等。支持用戶自定義開(kāi)發(fā)的特殊應(yīng)用協(xié)議。支持網(wǎng)閘訪問(wèn)的單向、雙向自定義。同時(shí)，針對(duì)用戶特殊需求ViGap系列提供API應(yīng)用開(kāi)發(fā)接口。即插即用網(wǎng)閘設(shè)備的應(yīng)用，不會(huì)改變現(xiàn)

32、有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，不改變?cè)芯W(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)，網(wǎng)閘的應(yīng)用，對(duì)原有網(wǎng)絡(luò)無(wú)需做大的改動(dòng)。偉思ViGap系統(tǒng)性能參數(shù)偉思ViGap提供千兆安全隔離與交換系統(tǒng)，其主要性能指標(biāo)如下：外各包含5個(gè)千兆電口和4個(gè)光口網(wǎng)絡(luò)吞吐量性能：=800Mbps隔離硬件芯片數(shù)據(jù)交換速率：5Gbps系統(tǒng)時(shí)延：小于1ms并發(fā)連接數(shù)：=100000平均無(wú)故障運(yùn)行時(shí)間：60000小時(shí)用戶數(shù)支持：無(wú)限制實(shí)施方案實(shí)施計(jì)劃為確保本次奧體中心數(shù)據(jù)網(wǎng)閘項(xiàng)目采購(gòu)項(xiàng)目的順利實(shí)施，偉思信息技術(shù)制定了詳細(xì)的項(xiàng)目實(shí)施計(jì)劃。整個(gè)項(xiàng)目實(shí)施過(guò)程分為四個(gè)階段，各階段跨度包含項(xiàng)目實(shí)施前勘查，項(xiàng)目中標(biāo)后的供貨，項(xiàng)目實(shí)施部署、實(shí)施完成后的試運(yùn)行。階段一：項(xiàng)目實(shí)施前的

33、現(xiàn)場(chǎng)勘查，我公司項(xiàng)目實(shí)施勘查自項(xiàng)目投標(biāo)前就已開(kāi)始，項(xiàng)目經(jīng)理直接參加用戶單位的現(xiàn)場(chǎng)勘查，進(jìn)行現(xiàn)場(chǎng)環(huán)境調(diào)查與用戶環(huán)境調(diào)研，了解用戶需求，便于中標(biāo)后組織項(xiàng)目實(shí)施方案。階段二：中標(biāo)后產(chǎn)品供貨過(guò)程中，我公司組建項(xiàng)目實(shí)施團(tuán)隊(duì)，將參照前期用戶環(huán)境勘查結(jié)果結(jié)合具體用戶需求制定詳細(xì)的現(xiàn)場(chǎng)施工組織方案，并制定詳細(xì)的實(shí)施計(jì)劃明細(xì)表，并在項(xiàng)目開(kāi)始實(shí)施之前制定切實(shí)可用的風(fēng)險(xiǎn)回退預(yù)案。階段三：項(xiàng)目實(shí)施階段，公司項(xiàng)目實(shí)施團(tuán)隊(duì)在本階段根據(jù)項(xiàng)目實(shí)施計(jì)劃參照風(fēng)險(xiǎn)回退預(yù)案進(jìn)行項(xiàng)目實(shí)施。實(shí)施過(guò)程嚴(yán)格按照用戶單位需求進(jìn)行，如遇任何可能出現(xiàn)的不可知因素，將第一時(shí)間與用戶單位溝通解決。本階段所有現(xiàn)場(chǎng)實(shí)施工作均按日進(jìn)行記錄并將在整個(gè)項(xiàng)目結(jié)束

34、后提交項(xiàng)目施工日志。階段四：項(xiàng)目試運(yùn)行階段，項(xiàng)目實(shí)施結(jié)束后進(jìn)入試運(yùn)行階段，試運(yùn)行階段中，我公司將每周拍專業(yè)工程師赴用戶現(xiàn)場(chǎng)進(jìn)行運(yùn)行情況監(jiān)測(cè)，實(shí)時(shí)發(fā)現(xiàn)解決試運(yùn)行過(guò)程中出現(xiàn)的各種問(wèn)題，本階段將就發(fā)現(xiàn)的問(wèn)題進(jìn)行集中整改，如用戶單位本階段提出進(jìn)一步需求，將經(jīng)于用戶協(xié)商一致后解決。同時(shí)本階段我公司將聯(lián)合廠商組織人員對(duì)用戶進(jìn)行集中培訓(xùn)，培訓(xùn)時(shí)間、地點(diǎn)、容等將與用戶協(xié)商后確定。具體實(shí)施步驟現(xiàn)狀：數(shù)據(jù)中心與信息發(fā)布網(wǎng)之間的安全隔離與信息交換系統(tǒng)接入網(wǎng)絡(luò)中需求：按照方案的要求部署安全隔離與信息交換設(shè)備到現(xiàn)有網(wǎng)絡(luò)中協(xié)助：要求：在實(shí)施過(guò)程中不能影響用戶正常的網(wǎng)絡(luò)使用實(shí)施時(shí)間：實(shí)施步驟：1、按照方案要求配置現(xiàn)有安全隔

35、離與信息交換設(shè)備2、安全隔離與信息交換上架，并與非工作時(shí)間進(jìn)行接線3、檢查配置，根據(jù)網(wǎng)絡(luò)實(shí)際環(huán)境進(jìn)行配置調(diào)整4、測(cè)試配置，記錄成文。驗(yàn)收方案設(shè)備交貨驗(yàn)收我公司按合同要求在規(guī)定的時(shí)間完成產(chǎn)品交貨、進(jìn)場(chǎng)和產(chǎn)品初驗(yàn)。驗(yàn)收測(cè)試要求：設(shè)備出貨前，將依據(jù)合同清單，對(duì)設(shè)備，品種，數(shù)量進(jìn)行核對(duì)后，運(yùn)送到合同規(guī)定的地點(diǎn)，并出具設(shè)備送貨單。對(duì)于出廠設(shè)備，賣(mài)方售后項(xiàng)目工程師和銷售人員將嚴(yán)格按合同檢查施工雙方共同核準(zhǔn)的設(shè)備數(shù)量，保證到達(dá)買(mǎi)方的設(shè)備完全正確。買(mǎi)方可派員參加出貨檢查，對(duì)檢查的軟、硬件設(shè)備，將按合同清單為準(zhǔn)，和買(mǎi)方一道完成設(shè)備清點(diǎn)，并共同填寫(xiě)設(shè)備送貨單。出貨檢查后，賣(mài)方將對(duì)檢測(cè)、驗(yàn)收的所有設(shè)備，包括硬件、軟

36、件將列出詳細(xì)的設(shè)備檢測(cè)情況一覽表，并提交正式打印的記錄材料設(shè)備驗(yàn)收?qǐng)?bào)告。現(xiàn)場(chǎng)移交驗(yàn)收系統(tǒng)安裝及測(cè)試時(shí)，賣(mài)方將組織項(xiàng)目實(shí)施工程小組。小組成員由施工雙方共同確定，以賣(mài)方為主，買(mǎi)方參與，協(xié)調(diào)為輔，工程實(shí)施小組將專人負(fù)責(zé)，對(duì)每天安裝及測(cè)試的容將有詳細(xì)的工作文檔記錄。在開(kāi)始工程實(shí)施前后，賣(mài)方將提供：工程實(shí)施計(jì)劃、工程進(jìn)度安排、工程進(jìn)展?fàn)顩r、工程問(wèn)題報(bào)告、工程解決方案等工程資料提交買(mǎi)方工程負(fù)責(zé)人員，直到工程移交為止。工程開(kāi)始移交測(cè)試時(shí)，工程實(shí)施人員將提供：工程測(cè)試方法報(bào)告、測(cè)試結(jié)果報(bào)告、測(cè)試指標(biāo)結(jié)果報(bào)告、工程測(cè)試竣工報(bào)告等給用戶方項(xiàng)目負(fù)責(zé)人審查。移交測(cè)試移交測(cè)試將由我方將與用戶方雙方共同擬定測(cè)試容、測(cè)試指標(biāo)、測(cè)試結(jié)果說(shuō)明、測(cè)試儀器及方法等容報(bào)告給雙方項(xiàng)目負(fù)責(zé)人和監(jiān)理單位審查通過(guò)。（1)移交測(cè)試合格雙方移交測(cè)試結(jié)果經(jīng)買(mǎi)方審查，若其中有未達(dá)到要求之項(xiàng)目，施工雙方按合同條款檢查，按雙方商定的結(jié)果做下一步的解決辦法。（2)網(wǎng)絡(luò)系統(tǒng)開(kāi)通設(shè)備由我方或原廠商工程實(shí)施小組安裝實(shí)施完畢后、在開(kāi)通之前，工程小組將進(jìn)行開(kāi)通前準(zhǔn)備工作。包括用戶設(shè)置、網(wǎng)絡(luò)配置、操作注意事項(xiàng)等。開(kāi)通時(shí)需要雙方提供行政上的支持。包括召集相關(guān)單位技術(shù)人員配合工作，傳輸通道管理技術(shù)人