安全隔離與信息交換系統(tǒng)網(wǎng)閘GAP解決方案

1、 深信服安全隔離與信息交換系統(tǒng)網(wǎng)閘 GAP-1000 白皮書目 錄 HYPERLINK l _bookmark0 概述1 HYPERLINK l _bookmark1 需求背景1 HYPERLINK l _bookmark2 法規(guī)標(biāo)準(zhǔn)要求1 HYPERLINK l _bookmark3 等級(jí)保護(hù)1 HYPERLINK l _bookmark4 行業(yè)法規(guī)3 HYPERLINK l _bookmark5 安全需求3 HYPERLINK l _bookmark6 網(wǎng)絡(luò)復(fù)雜，如何整合3 HYPERLINK l _bookmark7 安全隱患，如何規(guī)避4 HYPERLINK l _bookmark8 產(chǎn)

2、品概況4 HYPERLINK l _bookmark9 產(chǎn)品定位4 HYPERLINK l _bookmark10 產(chǎn)品介紹4 HYPERLINK l _bookmark11 產(chǎn)品架構(gòu)與性能5 HYPERLINK l _bookmark12 產(chǎn)品架構(gòu)5 HYPERLINK l _bookmark13 工作原理6 HYPERLINK l _bookmark14 產(chǎn)品功能與特性8 HYPERLINK l _bookmark15 產(chǎn)品功能8 HYPERLINK l _bookmark16 業(yè)務(wù)功能8 HYPERLINK l _bookmark17 管理功能12 HYPERLINK l _bookma

3、rk18 高可用性功能12 HYPERLINK l _bookmark19 產(chǎn)品特性13 HYPERLINK l _bookmark20 高安全性13 HYPERLINK l _bookmark21 高吞吐率14 HYPERLINK l _bookmark22 高可靠性14 HYPERLINK l _bookmark23 高便利性14 HYPERLINK l _bookmark24 產(chǎn)品優(yōu)勢(shì)與價(jià)值14 HYPERLINK l _bookmark25 產(chǎn)品優(yōu)勢(shì)14 HYPERLINK l _bookmark26 簡(jiǎn)便易用的界面風(fēng)格15 HYPERLINK l _bookmark27 強(qiáng)大的業(yè)務(wù)功

4、能15 HYPERLINK l _bookmark28 通信協(xié)議深度控制15 HYPERLINK l _bookmark29 多任務(wù)高并發(fā)性能15 HYPERLINK l _bookmark30 優(yōu)秀的環(huán)境適應(yīng)15 HYPERLINK l _bookmark31 產(chǎn)品價(jià)值15 HYPERLINK l _bookmark32 產(chǎn)品應(yīng)用場(chǎng)景16 HYPERLINK l _bookmark33 安全隔離與視頻交換解決方案16 HYPERLINK l _bookmark34 場(chǎng)景需求16 HYPERLINK l _bookmark35 解決方案16 HYPERLINK l _bookmark36 安全

5、隔離與數(shù)據(jù)庫同步解決方案17 HYPERLINK l _bookmark37 場(chǎng)景需求17 HYPERLINK l _bookmark38 解決方案18 HYPERLINK l _bookmark39 實(shí)現(xiàn)效果19概述自上世紀(jì) 90 年代以來，信息技術(shù)迅猛發(fā)展，人們的生活、工作方式發(fā)生了巨大變革，信息網(wǎng)絡(luò)的大規(guī)模應(yīng)用極大地提高了辦公效率。經(jīng)過多年建設(shè)，我國已建成具有相當(dāng)規(guī)模的數(shù)字化網(wǎng)絡(luò)，但隨著網(wǎng)絡(luò)的不斷普及，安全問題日益增多， 網(wǎng)絡(luò)和信息安全問題成為威脅國家和政府安全的重大隱患。隨著對(duì)安全問題的不斷認(rèn)識(shí)和了解，尤其是針對(duì)涉密信息的防護(hù)，黨和政府已將信息安全建設(shè)提到一個(gè)相當(dāng)?shù)母叨壬蟻怼Ｗ?200

6、0 年以來安全隔離技術(shù)作為一項(xiàng)新興的網(wǎng)絡(luò)安全技術(shù)， 在保障國家信息安全，尤其是政府、軍隊(duì)及重點(diǎn)行業(yè)等信息系統(tǒng)安全建設(shè)方面發(fā)揮了重要的作用。但是標(biāo)準(zhǔn)安全隔離技術(shù)雖然從物理上隔離了兩個(gè)網(wǎng)絡(luò)，但是其物理安全通道的方向性可由軟件控制。對(duì)于涉密網(wǎng)絡(luò)，需要的是防止任何泄密的可能，因此如何從物理層完成數(shù)據(jù)流向的控制成為一個(gè)亟待解決的問題。需求背景法規(guī)標(biāo)準(zhǔn)要求等級(jí)保護(hù)當(dāng)前我們國家正面臨經(jīng)濟(jì)社會(huì)結(jié)構(gòu)調(diào)整和轉(zhuǎn)型，信息技術(shù)已經(jīng)成為新的引擎， 可以預(yù)見，網(wǎng)絡(luò)和信息系統(tǒng)作為新興動(dòng)力的承載者，必將構(gòu)建起整個(gè)經(jīng)濟(jì)社會(huì)的神經(jīng)中樞，其重要性帶來的必然是安全保障的緊迫性。為保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會(huì)公共利益，

7、保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展。2016 年十二屆全國人大常委會(huì)第二十四次會(huì)議表決通過的中華人民共和國網(wǎng)絡(luò)安全法于 2017 年6 月 1 日起實(shí)施。網(wǎng)絡(luò)安全法明確了網(wǎng)絡(luò)空間主權(quán)的原則，明確了網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者的安全義務(wù)，明確了網(wǎng)絡(luò)運(yùn)營者的安全義務(wù)，進(jìn)一步完善了個(gè)人信息保護(hù)規(guī)則，建立了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度。同時(shí)中華人民共和國網(wǎng)絡(luò)安全法在第 21 條明確規(guī)定了“國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，要求網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求，履行安全保護(hù)義務(wù)”；第 31 條規(guī)定“對(duì)于國家關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)”。等級(jí)保

8、護(hù)制度在今天已上升為法律，并在法律層面確立了其在網(wǎng)絡(luò)安全領(lǐng)域的基礎(chǔ)、核心地位，正如業(yè)內(nèi)所言：不做等保就是違法。開展信息安全等級(jí)保護(hù)工作是能夠有效地降低政府、企業(yè)、事業(yè)單位等信息安全風(fēng)險(xiǎn)、完善信息安全防護(hù)策略的重要手段，也是落實(shí)國家關(guān)于開展信息安全等級(jí)保護(hù)工作相關(guān)規(guī)定的關(guān)鍵任務(wù)。等級(jí)保護(hù)關(guān)于網(wǎng)絡(luò)安全的相關(guān)要求如下表：（其中加深部分為三級(jí)特有要求， 未加深部分為二、三級(jí)共有要求）表 2.1 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（2.0 版本）控制點(diǎn)基本要求 網(wǎng)絡(luò)架構(gòu)c) 應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址；d) 應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間

9、應(yīng)采取可靠的技術(shù)隔離手段； 邊界防護(hù)a) 應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進(jìn)行通信；b) 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制；c) 應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制；d) 應(yīng)限制無線網(wǎng)絡(luò)的使用，保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)。 訪問控制a) 應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認(rèn)情況下除允許通信外受控接口拒絕所有通信；b) 應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化；c) 應(yīng)對(duì)源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)控制點(diǎn)基本要求行檢查，以允許/拒絕數(shù)據(jù)包進(jìn)

10、出；d) 應(yīng)能根據(jù)會(huì)話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/ 拒絕訪問的能力；e) 應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制。行業(yè)法規(guī)中華人民共和國公安部印發(fā)了公安信息通信邊界接入平臺(tái)安全規(guī)范（試行）的通知，要求安全隔離設(shè)備應(yīng)該具備以下安全功能：應(yīng)采用三部件架構(gòu)安全隔離設(shè)備。采用專用硬件和專用通信協(xié)議。協(xié)議終端、信息落地。所有過往的流量都被剝離協(xié)議，還原為應(yīng)用信息。工業(yè)和信息化部工業(yè)控制系統(tǒng)信息安全防護(hù)指南：邊界防護(hù)第三條 通過工業(yè)防火墻、網(wǎng)閘等防護(hù)設(shè)備對(duì)工業(yè)控制網(wǎng)絡(luò)安全區(qū)域之間進(jìn)行邏輯隔離防護(hù)。中石油Q/SY1722-201410.3.2 中指出隔離網(wǎng)閘是生產(chǎn)網(wǎng)與辦公網(wǎng)數(shù)據(jù)傳輸

11、的唯一通道；中國中煤能源集團(tuán)有限公司煤化工企業(yè)信息系統(tǒng)設(shè)計(jì)規(guī)范：6.6 生產(chǎn)過程控制系統(tǒng)宜通過 OPC 協(xié)議與實(shí)時(shí)數(shù)據(jù)庫系統(tǒng)進(jìn)行數(shù)據(jù)通信，并應(yīng)采用網(wǎng)閘、防火墻等網(wǎng)絡(luò)安全設(shè)備進(jìn)行隔離，實(shí)現(xiàn)數(shù)據(jù)的單向傳遞。安全需求網(wǎng)絡(luò)復(fù)雜，如何整合面對(duì)復(fù)雜的網(wǎng)絡(luò)承載情況，如何在保證信息安全的前提下，實(shí)現(xiàn)網(wǎng)絡(luò)的互聯(lián)互通，打通網(wǎng)絡(luò)通道，數(shù)據(jù)經(jīng)過安全加密傳輸，并最大限度保證不改動(dòng)原有網(wǎng)絡(luò)， 不影響使用單位原有系統(tǒng)及應(yīng)用。安全隱患，如何規(guī)避通過區(qū)域的數(shù)據(jù)需要采取安全防護(hù)措施，如何根據(jù)需接入的區(qū)域類型，部署對(duì)應(yīng)的安全接入設(shè)備及措施，規(guī)避前端設(shè)備、傳輸鏈路、網(wǎng)絡(luò)邊界、系統(tǒng)應(yīng)用等各環(huán)節(jié)安全風(fēng)險(xiǎn)，保證信息安全，確保數(shù)據(jù)不會(huì)發(fā)生外

12、泄。產(chǎn)品概況產(chǎn)品定位深信服安全隔離與信息交換系統(tǒng)主要用于各地電子政務(wù)建設(shè)，下列場(chǎng)合都可使用隔離系統(tǒng)保障業(yè)務(wù)系統(tǒng)安全：政務(wù)外網(wǎng)與政務(wù)內(nèi)網(wǎng)間存在業(yè)務(wù)往來的接口；行業(yè)內(nèi)縱向上下級(jí)信息系統(tǒng)的接口；行業(yè)間需要進(jìn)行業(yè)務(wù)信息共享、數(shù)據(jù)交換的接口。深信服安全隔離與信息交換系統(tǒng)可在保障信息安全的前提下，在兩個(gè)不同安全級(jí)別的網(wǎng)絡(luò)區(qū)域間進(jìn)行適量的、可靠的數(shù)據(jù)交換。國家保密局對(duì)網(wǎng)閘類產(chǎn)品的應(yīng)用也做了規(guī)定，規(guī)定網(wǎng)閘可在以下四種網(wǎng)絡(luò)環(huán)境下應(yīng)用：不同的涉密網(wǎng)絡(luò)之間；同一涉密網(wǎng)絡(luò)的不同安全域之間；與 Internet 物理隔離的網(wǎng)絡(luò)與秘密級(jí)涉密網(wǎng)絡(luò)之間；未與涉密網(wǎng)絡(luò)連接的網(wǎng)絡(luò)與 Internet 之間。產(chǎn)品介紹安全隔離技術(shù)首

13、先出現(xiàn)于國外，最早產(chǎn)生的是物理隔離的概念，以色列首先研發(fā)了物理隔離卡，使得一臺(tái)主機(jī)可在兩個(gè)安全等級(jí)不同的區(qū)域間來回切換，隨后，以色列和美國又出現(xiàn)了基于這種原理的網(wǎng)絡(luò)隔離產(chǎn)品，在兩個(gè)網(wǎng)絡(luò)并不同時(shí)連通的情況下進(jìn)行數(shù)據(jù)交換與信息共享。目前，各個(gè)國家的政府、軍隊(duì)均有采用不同形式的隔離產(chǎn)品保障信息安全。同樣，我國隔離技術(shù)也經(jīng)歷類似的發(fā)展歷程，隔離技術(shù)日趨完善與成熟，當(dāng)前隔離技術(shù)主要有如下兩種實(shí)現(xiàn)方式：“擺渡型”，采用多主機(jī)系統(tǒng)，連接內(nèi)外網(wǎng)的主機(jī)內(nèi)裝有物理或電子方式的切換開關(guān)，確保內(nèi)外網(wǎng)絡(luò)間在同一時(shí)刻沒有通暢的鏈路，依靠軟件控制在兩個(gè)網(wǎng)絡(luò)間實(shí)現(xiàn)文件轉(zhuǎn)存。該種隔離技術(shù)在實(shí)時(shí)通信、穩(wěn)定性、安全性方面都面臨巨大

14、的、甚至是難以逾越的技術(shù)障礙；“通訊重構(gòu)型”，采用多主機(jī)系統(tǒng)，連接內(nèi)外網(wǎng)的主機(jī)使用專有通信協(xié)議進(jìn)行通訊，從而實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)交換，內(nèi)外網(wǎng)主機(jī)實(shí)時(shí)捕獲、分析網(wǎng)絡(luò)中的數(shù)據(jù)包，并進(jìn)行重新封裝，在此基礎(chǔ)上實(shí)現(xiàn)安全審查與訪問控制。該種隔離技術(shù)較好地解決了實(shí)時(shí)通信的問題，但當(dāng)今黑客技術(shù)發(fā)展迅速，入侵行為往往分散成多個(gè)偽裝成正常業(yè)務(wù)動(dòng)作的數(shù)據(jù)包穿越各種防護(hù)設(shè)備，抵達(dá)目標(biāo)后進(jìn)行重組并造成危害，令“通訊重構(gòu)型”隔離產(chǎn)品無法防范。隨著電子政務(wù)建設(shè)的不斷深入，更加復(fù)雜的業(yè)務(wù)系統(tǒng)不斷被開發(fā)，工作效率的提高也帶來了更多的安全風(fēng)險(xiǎn)，為了滿足電子政務(wù)建設(shè)不斷提升的安全需求， 深信服依靠強(qiáng)大的技術(shù)力量和獨(dú)特的安全理

15、念，自主研發(fā)出具有更高安全性、更高性能的安全隔離與信息交換系統(tǒng)。產(chǎn)品架構(gòu)與性能產(chǎn)品架構(gòu)深信服安全隔離與信息交換系統(tǒng)由內(nèi)、外網(wǎng)處理單元和安全數(shù)據(jù)交換單元組成。安全數(shù)據(jù)交換單元在內(nèi)外網(wǎng)主機(jī)間按照指定的周期進(jìn)行安全數(shù)據(jù)的擺渡。從而在保證內(nèi)外網(wǎng)隔離的情況下，實(shí)現(xiàn)可靠、高效的安全數(shù)據(jù)交換，而所有這些復(fù)雜的操作均由隔離系統(tǒng)自動(dòng)完成，用戶只需依據(jù)自身業(yè)務(wù)特點(diǎn)定制合適的安全策略即可實(shí)現(xiàn)內(nèi)外網(wǎng)安全數(shù)據(jù)通信。在保障用戶信息系統(tǒng)安全性的同時(shí)，最大限度保證客戶應(yīng)用的方便性。工作原理計(jì)算機(jī)網(wǎng)絡(luò)依據(jù)物理連接和邏輯連接來實(shí)現(xiàn)不同網(wǎng)絡(luò)之間、不同主機(jī)之間、主機(jī)與終端之間的信息交換與信息共享。安全隔離與信息交換系統(tǒng)隔離、阻斷了網(wǎng)

16、絡(luò)的所有連接，實(shí)際上就是隔離、阻斷了網(wǎng)絡(luò)的連通。網(wǎng)絡(luò)被隔離、阻斷后， 兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間如何進(jìn)行信息交換？網(wǎng)絡(luò)只是信息交換的一種方式，而不是信息交換方式的全部。在互聯(lián)網(wǎng)時(shí)代以前，信息照樣進(jìn)行交換，如數(shù)據(jù)文件復(fù)制（拷貝）、數(shù)據(jù)擺渡、數(shù)據(jù)鏡像、數(shù)據(jù)反射等等，深信服安全隔離與信息交換系統(tǒng)就是使用數(shù)據(jù)“擺渡”的方式實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)之間的信息交換。網(wǎng)絡(luò)的外部主機(jī)系統(tǒng)通過深信服安全隔離與信息交換系統(tǒng)與網(wǎng)絡(luò)的內(nèi)部主機(jī)系統(tǒng)“連接”起來，深信服安全隔離與信息交換系統(tǒng)將外部主機(jī)的 TCP/IP 協(xié)議全部剝離，將原始數(shù)據(jù)通過存儲(chǔ)介質(zhì)，以“擺渡”的方式導(dǎo)入到內(nèi)部主機(jī)系統(tǒng)，實(shí)現(xiàn)信息的交換。說到“擺渡”，我們會(huì)想到在 19

17、57 年前，長江把我國分為南北兩部分，京漢鐵路的列車只有通過渡輪“擺渡”到粵漢鐵路。京漢鐵路的鐵軌與粵漢鐵路的鐵軌始終是隔離、阻斷的。渡輪和列車不可能同時(shí)連接京漢鐵路的鐵軌，又連接到粵漢鐵路的鐵軌。當(dāng)渡輪和列車連接在京漢鐵路時(shí)，它必然與粵漢鐵路斷開，反之依然。與此類似，深信服安全隔離與信息交換系統(tǒng)的專用隔離芯片部分在任意時(shí)刻只能與一個(gè)處理單元建立非 TCP/IP 協(xié)議的數(shù)據(jù)連接，即當(dāng)它與外部處理單元的主機(jī)系統(tǒng)相連接時(shí)，它與內(nèi)部處理單元必須是斷開的，反之依然。即保證內(nèi)、外網(wǎng)絡(luò)不能同時(shí)連接在深信服安全隔離與信息交換系統(tǒng)上。深信服安全隔離與信息交換系統(tǒng)的原始數(shù)據(jù)“擺渡”機(jī)制是原始數(shù)據(jù)通過存儲(chǔ)介質(zhì)的存

18、儲(chǔ)（寫入）和轉(zhuǎn)發(fā)（讀出）。深信服安全隔離與信息交換系統(tǒng)在網(wǎng)絡(luò)的第七層將數(shù)據(jù)還原為原始數(shù)據(jù)文件，然后以“擺渡文件”的形式來傳遞原始數(shù)據(jù)。任何形式的數(shù)據(jù)包、信息傳輸命令和 TCP/IP 協(xié)議都不可能穿透深信服安全隔離與信息交換系統(tǒng)。這同透明橋、混雜模式、IP over USB、代理主機(jī)、以及通過開關(guān)方式來轉(zhuǎn)發(fā)信息包有本質(zhì)的區(qū)別。下面以內(nèi)網(wǎng)與外網(wǎng)之間的安全隔離與信息交換系統(tǒng)為例，說明通過深信服安全隔離與信息交換系統(tǒng)的信息交換過程。當(dāng)內(nèi)網(wǎng)與外網(wǎng)之間無信息交換時(shí)，數(shù)據(jù)交換單元與內(nèi)網(wǎng)交換單元，數(shù)據(jù)交換單元與外網(wǎng)處理單元，內(nèi)網(wǎng)處理單元與外網(wǎng)處理單元之間是完全斷開的，即三者之間不存在任何連接，如下圖所示。圖

19、4.1 系統(tǒng)架構(gòu)當(dāng)內(nèi)網(wǎng)數(shù)據(jù)需要傳輸?shù)酵饩W(wǎng)時(shí)，內(nèi)網(wǎng)處理單元會(huì)主動(dòng)向數(shù)據(jù)交換單元發(fā)起非TCP/IP 協(xié)議的數(shù)據(jù)連接請(qǐng)求，并發(fā)出“寫”命令，將“讀”開關(guān)合上，并把所有的協(xié)議剝離，將原始數(shù)據(jù)寫入高速緩存。在寫入之前，根據(jù)不同的應(yīng)用，還要對(duì)數(shù)據(jù)進(jìn)行必要的完整性、安全性檢查，如病毒和惡意代碼檢查等。在此過程中，外網(wǎng)處理單元與數(shù)據(jù)交換單元始終處于斷開狀態(tài)，見下圖所示。圖 4.2 工作原理一旦數(shù)據(jù)完全寫入深信服安全隔離與信息交換系統(tǒng)的存儲(chǔ)介質(zhì)，“讀取”開關(guān)立即打開，并中斷與內(nèi)網(wǎng)的“寫”開關(guān)，中斷與內(nèi)網(wǎng)的連接。轉(zhuǎn)而發(fā)起對(duì)外網(wǎng)處理單元的非 TCP/IP 協(xié)議的數(shù)據(jù)連接請(qǐng)求，當(dāng)外網(wǎng)處理單元收到請(qǐng)求后，發(fā)出“讀”命令

20、， 將數(shù)據(jù)交換單元的數(shù)據(jù)讀取到外網(wǎng)處理單元。外網(wǎng)處理單元重新發(fā)起 TCP/IP 的會(huì)話到達(dá)目標(biāo)服務(wù)器，將數(shù)據(jù)上傳交給應(yīng)用系統(tǒng)，完成了內(nèi)網(wǎng)到外網(wǎng)的信息交換。詳見圖 4.3 所示。圖 4.3 工作原理深信服安全隔離與信息交換系統(tǒng)由內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元與安全數(shù)據(jù)交換單元（專用安全通道）組成。內(nèi)、外網(wǎng)處理單元采用特殊安全電路設(shè)計(jì)，具有極高的穩(wěn)定性與可靠性。安全數(shù)據(jù)交換單元采用專用安全傳輸控制硬件，通過層層搬運(yùn)的方式實(shí)現(xiàn)信息安全交換，在數(shù)據(jù)交換的過程中通道在任何時(shí)刻都不是直接連通的。安全數(shù)據(jù)交換單元是隔離系統(tǒng)的內(nèi)、外網(wǎng)單元之間的唯一數(shù)據(jù)傳輸安全通道，只有私有可信數(shù)據(jù)才被識(shí)別，從而杜絕了任何不被識(shí)別

21、的數(shù)據(jù)穿透安全傳輸通道的可能，確保所有通過的數(shù)據(jù)包都是只被控制單元識(shí)別的合法純數(shù)據(jù)。深信服安全隔離與信息交換系統(tǒng)的工作原理是在內(nèi)、外網(wǎng)處理單元獨(dú)立完成網(wǎng)絡(luò)協(xié)議終止、內(nèi)容檢查與日志審計(jì)，將符合安全策略的數(shù)據(jù)內(nèi)容提交至安全數(shù)據(jù)交換區(qū)等待數(shù)據(jù)交換。安全數(shù)據(jù)交換單元按照設(shè)定的周期分別由內(nèi)、外網(wǎng)處理單元的安全數(shù)據(jù)交換區(qū)將數(shù)據(jù)內(nèi)容提取并交換至另一端的安全數(shù)據(jù)下載區(qū)，等待用戶的讀取或傳輸至指定的計(jì)算機(jī)上，同時(shí)系統(tǒng)集成防病毒技術(shù)及擴(kuò)展入侵檢測(cè)技術(shù)，形成一套具有多重防護(hù)的安全解決方案。產(chǎn)品功能與特性產(chǎn)品功能業(yè)務(wù)功能安全隔離物理隔離：系統(tǒng)由內(nèi)網(wǎng)單元、外網(wǎng)單元及安全數(shù)據(jù)交換單元三個(gè)物理部分組成。安全數(shù)據(jù)交換單元不同

22、時(shí)與內(nèi)外網(wǎng)處理單元連接。其數(shù)據(jù)流轉(zhuǎn)過程類似 U 盤在內(nèi)外網(wǎng)處理單元之間拷貝數(shù)據(jù)；協(xié)議隔離：內(nèi)、外網(wǎng)單元主機(jī)均采用安全操作系統(tǒng)，分別獨(dú)立完成網(wǎng)絡(luò)協(xié)議的終止。內(nèi)、外網(wǎng)單元之間只能通過采用非網(wǎng)式專有安全通道進(jìn)行間歇性數(shù)據(jù)傳遞，內(nèi)外網(wǎng)無法直接建立任何的協(xié)議會(huì)話，從而阻斷以共同協(xié)議為載體的風(fēng)險(xiǎn)傳遞；應(yīng)用隔離：系統(tǒng)采用模塊化的應(yīng)用解碼，內(nèi)外網(wǎng)單元分別獨(dú)立完成與客戶會(huì)話交互、提取安全數(shù)據(jù)等待數(shù)據(jù)交換，所以內(nèi)外網(wǎng)之間不能建立直接的應(yīng)用會(huì)話；內(nèi)容隔離：內(nèi)、外網(wǎng)單元分別將待交換傳輸?shù)臄?shù)據(jù)進(jìn)行內(nèi)容檢查與病毒查殺，不符合安全規(guī)定的數(shù)據(jù)內(nèi)容將被直接刪除，合法的數(shù)據(jù)才允許被安全數(shù)據(jù)交換單元交換至另一端，從而保證了數(shù)據(jù)內(nèi)容

23、的安全性；風(fēng)險(xiǎn)隔離：系統(tǒng)以白名單機(jī)制運(yùn)行，僅允許正常的、用戶許可的網(wǎng)絡(luò)應(yīng)用， 防范未知的安全風(fēng)險(xiǎn)。并且系統(tǒng)集成的防病毒功能可擴(kuò)展多種常規(guī)安全防護(hù)引擎，如入侵檢測(cè)等，可檢測(cè) 60000 多種病毒和 4000 多種網(wǎng)絡(luò)入侵，雙重安全機(jī)制最大程度上實(shí)現(xiàn)了風(fēng)險(xiǎn)隔離。信息交換深信服安全隔離與信息交換系統(tǒng)的工作原理基于人工信息交換的操作模式， 即由內(nèi)外網(wǎng)處理單元分別負(fù)責(zé)接收來自所連接網(wǎng)絡(luò)的訪問請(qǐng)求，兩模塊間沒有直接的物理連接，形成一個(gè)物理隔斷，從而保證可信網(wǎng)和非可信網(wǎng)之間沒有數(shù)據(jù)包的交換，沒有網(wǎng)絡(luò)連接的建立。在此前提下，通過專有硬件實(shí)現(xiàn)網(wǎng)絡(luò)間信息的實(shí)時(shí)交換。這種交換并不是數(shù)據(jù)包的轉(zhuǎn)發(fā)，而是應(yīng)用層數(shù)據(jù)的靜態(tài)

24、讀寫操作，因此可信網(wǎng)的用戶可以通過深信服安全隔離與信息交換系統(tǒng)放心地訪問非可信網(wǎng)的資源，而不必?fù)?dān)心可信網(wǎng)的安全受到影響。Web 信息交換：通過系統(tǒng)內(nèi)部的 Web 處理模塊，深信服安全隔離與信息交換系統(tǒng)能夠?qū)崿F(xiàn)內(nèi)外網(wǎng)間的 Web 數(shù)據(jù)交互。通過對(duì)內(nèi)外網(wǎng)間 Web 應(yīng)用進(jìn)行信息獲取、流保持、內(nèi)容解析、原數(shù)據(jù)丟棄、審查、數(shù)據(jù)重建、傳遞、流發(fā)起等系列業(yè)務(wù)動(dòng)作，實(shí)現(xiàn)內(nèi)外網(wǎng)間可進(jìn)行標(biāo)準(zhǔn)的、可控的 HTTP 通信。如針對(duì)絕大多數(shù) Web 應(yīng)用只允許 GET、PUT、POST 三個(gè)命令即可，其它動(dòng)作例如 Delete、Option 等較危險(xiǎn)的動(dòng)作一律阻止；可以禁止 JavaScript 及 ActiveX 等

25、腳本程序以屏蔽其帶來的威脅；文件信息交換：通過系統(tǒng)內(nèi)置的 FTP 應(yīng)用協(xié)議處理模塊，深信服安全隔離與信息交換系統(tǒng)能夠?qū)崿F(xiàn)內(nèi)外網(wǎng)間的安全 FTP 數(shù)據(jù)交互，可以設(shè)定允許的用戶名、密碼、動(dòng)作等策略，也可以對(duì)其傳輸?shù)奈募愋瓦M(jìn)行過濾，摒棄不安全及泄密的因素；郵件信息交換：通過內(nèi)外網(wǎng)處理單元的 POP3、SMTP 處理模塊，深信服安全隔離與信息交換系統(tǒng)能夠在內(nèi)外網(wǎng)間實(shí)現(xiàn)透明的、可審查的、可控的POP3 和 SMTP 應(yīng)用，可以指定用戶名、密碼甚至郵件地址，可以禁止郵件附件功能；數(shù)據(jù)庫信息交換：深信服安全隔離與信息交換系統(tǒng)數(shù)據(jù)庫信息交換包括兩部分，一為數(shù)據(jù)庫信息訪問交換，一為數(shù)據(jù)庫信息同步。深信服安全隔

26、離與信息交換系統(tǒng)同時(shí)支持這兩種應(yīng)用，可控制到表、字段、SQL 動(dòng)作等最詳細(xì)信息。目前支持的數(shù)據(jù)庫種類包括 ORACLE、SQLSERVER、DB2、MYSQL、SYBASE 等幾款主流數(shù)據(jù)庫以及國產(chǎn)達(dá)夢(mèng)數(shù)據(jù)庫、國產(chǎn)人大金倉數(shù)據(jù)庫等多種關(guān)系型數(shù)據(jù)庫通信。通過內(nèi)置的數(shù)據(jù)庫處理模塊，系統(tǒng)內(nèi)能夠處理穿越深信服安全隔離與信息交換系統(tǒng)的各種數(shù)據(jù)庫操作，比如Oracle 數(shù)據(jù)庫，我們可以設(shè)置只允許 Select，不允許 Delete、Update 以及DROP、CREATE 等操作；視頻信息交換：深信服安全隔離與信息交換系統(tǒng)支持標(biāo)準(zhǔn)的 MMS、RSTP、SIP、H323 等多種視頻信息交換協(xié)議，在指定的通道

27、中綁定視頻媒體模塊后，可以保證通道中傳輸?shù)臄?shù)據(jù)必須符合以上的媒體格式，否則丟棄；支持視頻點(diǎn)播、回放；支持同廠家或不同廠家平臺(tái)之間的國標(biāo)級(jí)聯(lián)；DCS 工控信息交換：冶金系統(tǒng)、電力系統(tǒng)、煤炭、石油、石化、化工、環(huán)保等單位的生產(chǎn)內(nèi)網(wǎng)需要將生產(chǎn)數(shù)據(jù)及時(shí)提交到辦公網(wǎng)絡(luò)的實(shí)時(shí)數(shù)據(jù)庫中，保證生產(chǎn)內(nèi)網(wǎng)的絕對(duì)安全。采用深信服安全隔離與信息交換系統(tǒng)單向傳輸生產(chǎn)數(shù)據(jù)，采用 DCS 工控信息交換模塊，使專用安全通道只傳輸工控生產(chǎn)數(shù)據(jù)信息， 保證了生產(chǎn)內(nèi)網(wǎng)的絕對(duì)安全。支持工控領(lǐng)域常見的OPC/MODBUS/WINCC 等多種主流協(xié)議，并可控制相應(yīng)的功能代碼，例如只允許通過 MODBUS 協(xié)議讀取狀態(tài)信息，不能發(fā)送控制指

28、令等；組播代理：對(duì)于客戶網(wǎng)絡(luò)的組播應(yīng)用做不同網(wǎng)絡(luò)之間的代理，支持三層設(shè)備的代理穿透，支持 PIM 協(xié)議的代理，使客戶組播應(yīng)用無縫跨網(wǎng)代理；特殊定制信息交換：對(duì)于用戶自行研發(fā)的標(biāo)準(zhǔn) TCP/IP 通信協(xié)議，可借助深信服提供的協(xié)議分析產(chǎn)品和自定義協(xié)議界面，完成用戶協(xié)議的安全定制， 深信服安全隔離與信息交換系統(tǒng)會(huì)以用戶定制的命令、參數(shù)等協(xié)議解析方式來解析用戶的通信內(nèi)容，從而實(shí)現(xiàn)在通信端口內(nèi)只允許用戶特定的協(xié)議通過，遠(yuǎn)比其它產(chǎn)品只進(jìn)行端口過濾和內(nèi)容過濾安全得多。網(wǎng)絡(luò)訪問控制深信服安全隔離與信息交換系統(tǒng)具有強(qiáng)大的訪問控制能力，管理員可通過訂制訪問策略，精細(xì)地控制“誰”（網(wǎng)絡(luò)對(duì)象）“能夠”（允許或禁止）訪

29、問自己。管理控制臺(tái)以人性化的人機(jī)接口協(xié)助管理員輕松實(shí)現(xiàn)管理目標(biāo)。網(wǎng)絡(luò)訪問控制：隔離系統(tǒng)的內(nèi)、外網(wǎng)單元完整實(shí)現(xiàn)鏈路層、網(wǎng)絡(luò)層、傳輸層訪問控制，通過靈活組合網(wǎng)絡(luò)對(duì)象，制定與實(shí)際需求完全吻合的訪問策略；訪問用戶控制：隔離系統(tǒng)的內(nèi)、外網(wǎng)單元可實(shí)現(xiàn)定制、綁定哪些用戶可以訪問，以何種策略訪問。數(shù)據(jù)內(nèi)容審查內(nèi)容檢查是指當(dāng)深信服安全隔離與信息交換系統(tǒng)準(zhǔn)備交換文件之前對(duì)文件所進(jìn)行的安全檢查，確保只有符合保密、安全策略的數(shù)據(jù)、文件才允許被交換至另一端。行為動(dòng)作：隔離系統(tǒng)的內(nèi)、外網(wǎng)單元可依據(jù)管理員設(shè)定的各個(gè)應(yīng)用模塊的行為動(dòng)作策略進(jìn)行控制，拒絕非允許的動(dòng)作操作：如針對(duì) FTP 協(xié)議，允許下載不允許上傳；針對(duì)數(shù)據(jù)庫訪問

30、，允許 SELECT 不允許 DELETE 等操作， 并記錄非授權(quán)動(dòng)作到日志告警；關(guān)鍵字檢查：隔離系統(tǒng)的內(nèi)、外網(wǎng)單元可依據(jù)管理員設(shè)定的涉密或不健康的信息進(jìn)行過濾，將過濾到關(guān)鍵字的信息擯棄并記錄日志告警；文件類型檢查：隔離系統(tǒng)的內(nèi)、外網(wǎng)單元可將指定的可能產(chǎn)生危險(xiǎn)的文件類型過濾、刪除并且記錄日志告警。緩存空間及傳輸數(shù)據(jù)的管理深信服安全隔離與信息交換系統(tǒng)的內(nèi)、外網(wǎng)單元在特定的時(shí)間自動(dòng)清理緩存中的文件碎片、修復(fù)文件系統(tǒng)錯(cuò)誤，提升文件訪問效率。雙重安全防護(hù)機(jī)制深信服安全隔離與信息交換系統(tǒng)采用雙重安全防護(hù)機(jī)制，即系統(tǒng)的內(nèi)、外網(wǎng)處理單元以白名單方式接受網(wǎng)絡(luò)請(qǐng)求、建立并終止會(huì)話。所有的客戶網(wǎng)絡(luò)請(qǐng)求無法穿透系統(tǒng)

31、進(jìn)入內(nèi)網(wǎng)，并且只有被允許客戶的網(wǎng)絡(luò)請(qǐng)求才被響應(yīng)，能夠隔離各種未知的安全風(fēng)險(xiǎn)?？蛻舻臉I(yè)務(wù)數(shù)據(jù)均需經(jīng)過安全檢查才允許被交換，否則將被視為無效數(shù)據(jù)，直接刪除并丟棄。同時(shí)，深信服安全隔離與信息交換系統(tǒng)內(nèi)嵌防病毒和入侵檢測(cè)引擎，能夠?qū)崟r(shí)檢測(cè)、阻絕已知的各種病毒與入侵，并在控制臺(tái)告警，幫助管理員在最短時(shí)間內(nèi)做出響應(yīng)。深信服安全隔離與信息交換系統(tǒng)提供開放、可靠的 API 接口，可與第三方安全技術(shù)（如以 PKI 為基礎(chǔ)的身份認(rèn)證技術(shù)、安全審計(jì)技術(shù)等）無縫連接和集成。管理功能安全的管理通信深信服安全隔離與信息交換系統(tǒng)只允許從管理控制端口進(jìn)行管理，在通信端口不接受任何管理請(qǐng)求，避免了管理信息的旁入可能。管理者與深

32、信服安全隔離與信息交換系統(tǒng)采用加密的 HTTPS 協(xié)議進(jìn)行交互，現(xiàn)有各種監(jiān)聽工具無法獲取其通信內(nèi)容，保障了管理信息的安全性。權(quán)限分配方式深信服安全隔離與信息交換系統(tǒng)采取系統(tǒng)策略配置管理員、安全管理員與日志管理員三種角色分立的權(quán)限分配模式。用戶只能維護(hù)和操作所屬基礎(chǔ)管理角色的功能與操作，權(quán)限各不交叉。系統(tǒng)也提供用戶角色分配權(quán)限的策略，使用戶管理更加方便且易于理解。策略定制功能深信服安全隔離與信息交換系統(tǒng)采用面向用戶的策略定制方式，即便是初次使用的用戶也可依據(jù)界面向?qū)?，依次制定適應(yīng)實(shí)際網(wǎng)絡(luò)應(yīng)用環(huán)境的交換策略。此外，系統(tǒng)內(nèi)置的初始策略更是方便了新用戶的使用。日志審計(jì)功能深信服安全隔離與信息交換系統(tǒng)提

33、供強(qiáng)大的日志和審計(jì)功能，日志默認(rèn)存儲(chǔ)在設(shè)備中。并且支持通過標(biāo)準(zhǔn) SYSLOG 的日志格式發(fā)送到遠(yuǎn)端日志服務(wù)器，為日志審計(jì)提供了很好的數(shù)據(jù)支撐和方便性。日志內(nèi)容完整記錄并保存系統(tǒng)設(shè)定、通信控制、內(nèi)容檢查、連接限制、系統(tǒng)告警等各類日志告警信息。審計(jì)模塊可使管理員以多種方式進(jìn)行查詢、審計(jì)，并生成報(bào)表。系統(tǒng)具有日志告警信息的導(dǎo)入、導(dǎo)出、備份等功能，保證了日志告警信息的安全性與易用性。高可用性功能負(fù)載均衡深信服安全隔離與信息交換系統(tǒng)支持負(fù)載均衡功能。多套隔離系統(tǒng)可通過組成集群，以提供更高的性能。深信服安全隔離與信息交換系統(tǒng)提供兩種方式的負(fù)載均衡功能：基于帶寬：采專有均衡算法，將大量的業(yè)務(wù)請(qǐng)求平均分配到各

34、個(gè)安全隔離， 從而獲得成倍的性能提升，適用于大流量、高負(fù)載的應(yīng)用場(chǎng)合；基于應(yīng)用：采用專用設(shè)備對(duì)各種網(wǎng)絡(luò)請(qǐng)求進(jìn)行預(yù)分流，將不同的網(wǎng)絡(luò)應(yīng)用交由不同的隔離設(shè)備處理，不僅實(shí)現(xiàn)性能的增長，同時(shí)也實(shí)現(xiàn)了應(yīng)用分離與控制，加強(qiáng)安全性和可靠性。雙機(jī)熱備深信服安全隔離與信息交換系統(tǒng)提供雙機(jī)熱備和多機(jī)熱備功能。兩臺(tái)安全深信服安全隔離與信息交換系統(tǒng)可組成熱備機(jī)組，機(jī)組內(nèi)設(shè)備有主設(shè)備與備用設(shè)備之分。從設(shè)備向主設(shè)備發(fā)起狀態(tài)檢測(cè)請(qǐng)求，并獲取最新的訪問策略。當(dāng)主設(shè)備發(fā)生故障，從設(shè)備啟動(dòng)并自動(dòng)變?yōu)橹髟O(shè)備，同時(shí)以聲音與告警信息示警，如下圖所示：圖 5.1 雙機(jī)熱備拓?fù)鋱D產(chǎn)品特性高安全性深信服安全隔離與信息交換系統(tǒng)采用專有的安全操

35、作系統(tǒng)，只保留深信服安全隔離與信息交換系統(tǒng)必須的專用功能。安全 OS 存貯于 ROM 中，無法被惡意修改，具有極高的安全性。系統(tǒng)內(nèi)置高性能安全過濾引擎，可防止 DoS 和 DDoS、緩沖區(qū)溢出、惡意編碼、應(yīng)用層洪水等攻擊。深信服安全隔離與信息交換系統(tǒng)采用專用的安全通道進(jìn)行內(nèi)外網(wǎng)信息交換， 業(yè)務(wù)數(shù)據(jù)通過物理隔離、協(xié)議隔離、內(nèi)容隔離等措施使外網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)及有害數(shù)據(jù)信息無法進(jìn)入內(nèi)網(wǎng)。深信服安全隔離與信息交換系統(tǒng)采用雙重安全防護(hù)機(jī)制，白名單的防護(hù)機(jī)制保護(hù)客戶業(yè)務(wù)系統(tǒng)免于遭受各種已知安全風(fēng)險(xiǎn)及未知安全隱患， 內(nèi)嵌的防病毒、入侵檢測(cè)引擎為用戶提供第二層保護(hù)，識(shí)別已發(fā)現(xiàn)的各種病毒和入侵時(shí)示警并記錄日志。高吞吐

36、率深信服安全隔離與信息交換系統(tǒng)的內(nèi)、外網(wǎng)處理單元采用復(fù)雜對(duì)稱多處理（RSMP）技術(shù)，在一臺(tái)深信服安全隔離與信息交換系統(tǒng)內(nèi)集成多個(gè)處理模塊，成倍提升處理能力，使深信服安全隔離與信息交換系統(tǒng)具有很高的性能。高可靠性深信服安全隔離與信息交換系統(tǒng)設(shè)備在硬件結(jié)構(gòu)上采用專用安全主板設(shè)計(jì)， 進(jìn)一步提高了隔離系統(tǒng)的可靠性，使深信服安全隔離與信息交換系統(tǒng)可在超重負(fù)荷的環(huán)境下長期穩(wěn)定運(yùn)行。雙機(jī)熱備的部署方式可使系統(tǒng)抵抗災(zāi)難性損壞時(shí)的可靠性成倍提高。高便利性深信服安全隔離與信息交換系統(tǒng)為方便管理員使用，在出廠設(shè)置已提供了一套適合多數(shù)網(wǎng)絡(luò)環(huán)境的常用安全策略，管理員用戶只需要將設(shè)備對(duì)應(yīng)的 IP 地址修改為實(shí)際網(wǎng)絡(luò)中分配

37、的 IP 地址即可。日志用戶與策略配置用戶的權(quán)限分立以及層次化的權(quán)限劃分允許用戶可將各類管理工作交由不同的用戶來完成，真正與管理需求相吻合。管理用戶、訪問用戶以及眾多的日志審計(jì)記錄均實(shí)現(xiàn)可導(dǎo)入導(dǎo)出操作，大大加強(qiáng)了深信服安全隔離與信息交換系統(tǒng)的便利性與可操作性。深信服安全隔離與信息交換系統(tǒng)支持多種工作模式，極大地適應(yīng)了用戶的各種網(wǎng)絡(luò)環(huán)境變化要求。產(chǎn)品優(yōu)勢(shì)與價(jià)值產(chǎn)品優(yōu)勢(shì)深信服提供了業(yè)界領(lǐng)先的安全隔離解決方案，其主要優(yōu)勢(shì)在于：簡(jiǎn)便易用的界面風(fēng)格系統(tǒng)通過 HTTPS 方式提供系統(tǒng)工作監(jiān)控工作臺(tái)、配置向?qū)А⑴渲锰崾镜确绞剑?為用戶提供了簡(jiǎn)單易用的界面，即使是初次使用系統(tǒng)，也完全能在較短的時(shí)間內(nèi)掌握。強(qiáng)大

38、的業(yè)務(wù)功能除標(biāo)準(zhǔn)的業(yè)務(wù)代理功能之外，深信服產(chǎn)品還兼具如下與業(yè)務(wù)場(chǎng)景深度相關(guān)的功能：數(shù)據(jù)庫同步與文件同步視頻平臺(tái)級(jí)聯(lián)與點(diǎn)播視頻負(fù)載均衡OPC/MODBUS/DNP3/IEC104 等工業(yè)控制協(xié)議的識(shí)別與深度控制支持多種形態(tài)的組播代理通信協(xié)議深度控制系統(tǒng)支持的所有代理業(yè)務(wù)中，除不可識(shí)別的應(yīng)用協(xié)議之外，均可控制到應(yīng)用協(xié)議的信令、參數(shù)的深度，可制作應(yīng)用協(xié)議、命令的白名單。多任務(wù)高并發(fā)性能系統(tǒng)代理采用類 nginx 引擎，可支持多任務(wù)、高并發(fā)、大流量業(yè)務(wù)通信，同時(shí)系統(tǒng)支持負(fù)載均衡方式部署，解決更高業(yè)務(wù)性能需求的場(chǎng)景。優(yōu)秀的環(huán)境適應(yīng)產(chǎn)品支持普通代理、透明代理、路由代理三種工作模式，可適應(yīng)用戶的各種網(wǎng)絡(luò)環(huán)境

39、變化要求。產(chǎn)品價(jià)值采用深信服安全隔離與信息交換系統(tǒng)做不同安全域間的數(shù)據(jù)交換，通過對(duì)業(yè)務(wù)的代理、數(shù)據(jù)的檢查與擺渡，實(shí)現(xiàn)域間數(shù)據(jù)安全、可控地交換。實(shí)現(xiàn)不同的隔離網(wǎng)絡(luò)間的數(shù)據(jù)交換；不同的業(yè)務(wù)系統(tǒng)無需二次開發(fā)即可實(shí)現(xiàn)系統(tǒng)間數(shù)據(jù)庫、文件的同步；不同安全域間的視頻平臺(tái)可實(shí)現(xiàn)平臺(tái)級(jí)聯(lián)；隔離網(wǎng)絡(luò)間業(yè)務(wù)訪問，代理后對(duì)業(yè)務(wù)透明；業(yè)務(wù)訪問流程全程記錄；符合國家相關(guān)網(wǎng)絡(luò)安全政策要求。產(chǎn)品應(yīng)用場(chǎng)景安全隔離與視頻交換解決方案場(chǎng)景需求近年來，公安以及各大企業(yè)事業(yè)單位均建設(shè)了不同規(guī)模的視頻監(jiān)控系統(tǒng)。為了最大化地利用這些視頻監(jiān)控資源為公安或企業(yè)集團(tuán)使用，來實(shí)現(xiàn)“資源共享、互聯(lián)互控”和“視頻監(jiān)管一網(wǎng)控”，各個(gè)城市已經(jīng)開始將各個(gè)分散的視頻監(jiān)控系統(tǒng)級(jí)聯(lián)接入到一個(gè)或多個(gè)監(jiān)控平臺(tái)中。出于安全考慮，不同單位的視頻監(jiān)控系統(tǒng)間互聯(lián)大多采用傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)手段，如部署防火墻和 IPS 設(shè)備。但由于防火墻和 IPS 等設(shè)備不能有效地解決跨網(wǎng)絡(luò)平臺(tái)的級(jí)聯(lián)問題，同時(shí)僅能防護(hù)到網(wǎng)絡(luò)傳輸層，對(duì)于視頻傳輸協(xié)議無法做到識(shí)別和控制，存在應(yīng)用會(huì)話被挾持的風(fēng)險(xiǎn)。2016 年 10 月 21 日，因攝像頭被入侵劫持，導(dǎo)致美國東海岸發(fā)生了大面積互聯(lián)網(wǎng)斷網(wǎng)事件。作為網(wǎng)絡(luò)安全隔離防護(hù)解決方案領(lǐng)航者，經(jīng)過十多年的潛心研究和大量的客戶案例部署實(shí)踐，深信服研制了一套安全隔離與信息交換系統(tǒng)。深信服安全隔離與信息交換系統(tǒng)既能實(shí)現(xiàn)不同視頻系統(tǒng)