安全隔离网闸解决方案文档格式.docx
《安全隔离网闸解决方案文档格式.docx》由会员分享,可在线阅读,更多相关《安全隔离网闸解决方案文档格式.docx(8页珍藏版)》请在冰点文库上搜索。
造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测,不提供基于硬件隔离的安全手段。
所谓“道高一尺,魔高一丈”,面对病毒的泛滥,黑客的横行,我们必须采用更先进的办法来解决这些问题。
目前,出现了一种新的网络安全产品一一联想安全隔离网闸,该系统的主要功能是在两个独立的网络之间,在物理层的隔离状态下,以应用层的安全检测为保障,提供高安全的信息交流服务。
2需求理解
2.1网络现状
常规业务数据交换网络拓扑
常规业务网络拓扑图
2.2常规业务所面临的主要问题
常规业务所面临的主要问题:
1、实时性差
2、工作量大
3、容易造成人为的失误
4、运行费用高
5、很难实现7(天)×
24(小时)的不间断服务
6、业务扩展困难
2.3若直接连接内部、外部网络的安全隐患
若直接将两个网络连接起来,将出现以下安全隐患:
1、来自网络外部非法用户的攻击和越权访问等。
2、网络病毒的破坏。
3、来自内部网络合法用户的无意泄密。
2.4网络安全需求分析
1、防止内网的主机遭受非法用户的非授权访问或恶意攻击。
2、加强对各种交流信息的检测,其中包括:
检测来自内部和外部的数据内容。
3、加强对各种交流信息的病毒扫描和清除,其中包括:
4、加强对各种交流信息的日志审计。
2.5业务安全目标
业务量越来越大,业务种类越来越多,对业务的性能要求越来越高,为了更好的、更有效的、更方便、更安全地提供网络业务服务,是实现业务的目标。
实施网络安全系统项目,整体规划网络安全系统,作好以下几个方面的规划和实施:
保密性、安全性、完整性、可用性。
2.5.1短期目标
目前迫在眉睫的工作是保护整个系统的网络完整性、系统的完整性及系统可用性,建立安全的网络逻辑结构,为今后的实施保密性奠定基础。
网络完整性主要是对网络系统的保护,通过设置安全隔离网闸等保证通讯安全,保证系统资源受控可用;
系统的完整性是信息系统的保护主要有防病毒、风险评估、入侵检测。
2.5.2长期目标
全面部署整体安全防御系统,巩固和完善网络安全及管理系统,使网络业务更好的行使职能。
3解决方案
3.1设计目标
1、将内部网与其它外部网络安全隔离,拒绝非法访问,恶意攻击,保护网络边界的安全。
2、抵挡木马攻击、蠕虫攻击、后门攻击、利用漏洞攻击和拒绝服务攻击。
3、强化对网络的控制,确保关键业务的网络带宽。
3.2解决方案
3.2.1解决方案一
该方案使用安全隔离网闸的数据库同步方式,实现业务数据库和业务数据库副本之间的同步,使这两个数据库部分或全部内容实时地保持一致,从而实现业务数据的共享。
对己有的业务系统进行改造是一个非常好的方案。
3.2.2解决方案二
该方案使用安全隔离网闸的文件交流方式,web服务器将接收到的请求转换成文件,通过安全隔离网闸传输到业务网,业务网处理完该数据后,再将结果转换成文件通过安全隔离网闸传输给web服务器,从而实现业务处理。
该方案比方案一成本低,但业务系统必须针对安全隔离网闸进行开发。
对于新建的网上营业厅也是一种很好的方案。
3.2.3基本功能实
为保证网络系统安全可靠的运行,保障系统资源受控合法的使用,安全隔离网闸应具有或实现以下功能:
1、物理层安全隔离:
在业务网和互联网之间必须实现严格的物理层安全隔离。
防止通过安全隔离网闸从互联网直接与业务网相连。
因此选用的安全隔离网闸产品必须具有严格的物理层隔离功能。
2、关键字过滤:
对通过安全隔离网闸的数据,必须经过内容检测,保证进出内外网信息的合法性。
因此选用的安全隔离网闸产品必须具有严格的关键字过滤功能。
3、查杀病毒:
为了防止病毒通过安全隔离网闸从互联网扩散到业务网中,必须对经过安全隔离网闸的数据进行病毒的扫描和清除。
因此选用的安全隔离网闸产品必须具有扫描和清除病毒的功能。
4、日志审计:
对经过安全隔离网闸的数据需要有详细的日志记录,便于安全审计和责任追宄。
因此选用的安全隔离网闸产品必须具有详细的日志记录功能。
5、对信息流动方向的控制:
由于业务需要,可能只需要实现数据的单向传输,即数据只从互联网传输到业务网,或只业务网从传输到互联网,因此选用的安全隔离网闸产品必须具有控制数据的单/双向流动功能。
6、实时性:
业务系统对数据交流的实时性要求非常强。
7、高性能:
业务系统对数据交流的数据量要求特别大。
3.3安全隔离网闸技术特色
3.3.1技术特点
1、物理层安全隔离
遵循严格物理隔离的原则,在系统内设有安全开关。
假设为了实现外网与内网之间的信息交流,当网闸开关模块与外网主机模块连接时断开与内网的通路;
同理,当网闸开关模块与内网主机模块连接时断开与外网的通路,从而确保实现了网络间的物理隔离,提高了系统的安全性。
2、关键字过滤
可以根据设置的关键字对收、发或收发双向的文件内容进行过滤,保证进出内外网信息的合法性。
3、查杀病毒
集成了专业杀毒公司的查杀毒引擎,能实现对交换的数据进行实时的病毒监测和清除。
4、日志审计
带有日志审计功能。
对于通过安全隔离网闸进行的信息交流,系统会自动记录日志,管理员可随时查看日志,方便管理。
5、信息单向或者双向流动
系统所解决的信息交互问题是指外网信息通过网闸开关模块进入内网和内网信息通过网闸开关模块发送到外网,因此信息是双向流动的。
同时也可以通过设置屏蔽某个方向的信息流动,使之成为单向传输。
6、高速的安全电子开关
系统所采用的安全电子开关支持网络间信息的高速传递,安全隔离开关支持多种网络带宽,满足网络间信息高速交换的要求。
同时,数据延时非常小,最小数据延时为50毫秒,最大数据延时为0.7秒。
7、易用性
本系统采用基于web的管理方式,使用非常方便。
3.3.2安全隔离网闸功能特性
1、文件交流功能
1)、自定义安全传输协议:
系统在底层采用自定义的安全传输协议,自行完成对文件的分片、传递工作,在另一端负责对其进行重组、检测。
在保证安全性的同时,这种措施也保证了在传输大文件时,文件的完整性和延时最小的特点。
2)、定时、实时文件交换:
系统可以按照配置,定时将某个目录下的文件自动的传输到另一网络的某台主机上。
也可以通过编程接口,向网闸提交文件,这个文件将被立刻发送,没有延时。
3)、支持单向、双向文件交换:
可以进行传输方向的控制。
文件可单向传输,也可双向传输。
4)、支持数字签名:
系统要求用户传输的文件都必须附带数字签名。
网闸对数字签名进行校验,校验可以起到身份认证、防否认的作用。
5)、支持内容过滤:
系统支持基于白名单、黑名单的内容过滤机制。
6)、支持病毒检查:
系统捆绑商用防病毒软件,对传输的文件进行杀毒。
2、邮件同步
1)、支持标准的SMTP服务
2)、本身具有邮件服务器模块:
无论用户有或者没有邮件服务器,此邮件服务器均可部署。
保护用户己有投
3)、安全、高可用性的邮件过滤策略:
支持垃圾邮件过滤、数字签名校验、杀病毒、内容过滤。
4)、可为每个用户配置不同的邮件交换策略:
可单向交换、双向交换、禁止交换。
5)、内外网邮件镜像:
系统可以将内网邮件服务器的部分或全部用户的邮箱在外网邮件代理上做镜像,从而使内网用户在外网环境下使用外网邮件代理进行收发邮件成为现实。
6)、支持web方式:
支持web方式下的邮件收发、邮件回复、邮件转发等功能。
系统完善的接口,使用户可以根据自己的需要自由定制自己的web邮件系统。
3、数据库同步
1)、双向/单向数据同步:
数据库同步可以是双向的,即在系统运行期间,内外网数据库中变化的内容可同时更新到对方数据库中,也可以是单向的。
2)、同步内容可定制:
数据库同步的内容可以是整个数据库,也可以是数据库中部分表。
用户可根据需求,设置和修改需要更新的内容。
3)、多种同步方式:
系统提供全表更新、增量更新和全表复制等多种同步方式,用户可根据实际情况加以选择,以适应不同应用在数据库结构上对数据库同步的不同要求。
4)、数据可定时更新:
可根据客户需求定制数据库的更新周期,定时自动更新数据库。
5)、支持多种数据库:
支持0racIe、Sybase、lnfomix、DB2、SQLServer、Access、MySql等多才中主流数据库。
6)、支持多种操作系统:
基于Java平台,可支持多种操作系统。
升级会员 