政府网络安全隔离建议方案.docx

1、政府网络安全隔离建议方案政府网络安全隔离建议方案编写： 技术支持部 审核： 批准： 文 档 信 息编号密级秘密存放地址保存期限2年内为短期请保护环境，注意纸张的回收利用版权信息本文件涉及之信息，属珠海伟思（集团）有限公司所有。未经珠海伟思（集团）有限公司允许，文件中的任何部分都不能以任何形式向第三方散发。ViGap、VieCA为珠海伟思（集团）有限公司系列产品，珠海伟思（集团）有限公司完全拥有知识产权，并受国际知识产权法律保护。Http:/www.victory-正文目录1 政府安全隔离需求分析1.1 政府内部网网络现状本单位市政务网按照政务网络建设规范进行建设。政府是按照省电子政务办公室确认

2、的网络连接方式，与县局、省局建立了三级网络。政务网与国际互联网之间在物理上完全分开，局域网由此形成物理上断开的内网（运行管理信息系统）和外网（运行信息发布和社会化服务系统）两部分，分别连入政务网和国际互联网。政务网络主要由四部分组成：内部运行信息系统的局域网（内网）；上下级互联的广域网（政务网）；提供信息发布查询等社会化服务的国际互联网（外网）；市级各部门信息资源共享的政务外网。1.2 政府的安全风险分析政府内外网、上下级互联互通涉及数据的交换，必然带来一定的安全风险。原来在外部网上传播的病毒、在下级县市单位存在的安全隐患可能因为数据交换而感染到本单位政府内网；原来利用互连网发动攻击的黑客、下

3、级单位的人员疏忽、恶意试探也可能利用政府内部网络的数据交换的连接尝试攻击本单位政府内部政务网，可以影响到本单位内部网系统内部大量的重要数据正常运行，所以安全问题变得越来越复杂和突出。综合分析网络的攻击的手段，政府内外部网络的数据交换可能面临的安全风险包括：问题类型问题问题描述协议设计安全问题被忽视制定协议之时，通常首先强调功能性，而安全性问题则是到最后一刻、甚或不列入考虑范围。其它基础协议问题架构在其他不稳固基础协议之上的协议，即使本身再完善也会有很多问题。流程问题设计协议时，对各种可能出现的流程问题考虑不够周全，导致发生状况时，系统处理方式不当。设计错误协议设计错误，导致系统服务容易失效或招

4、受攻击。软件设计设计错误协议规划正确，但协议设计时发生错误，或设计人员对协议的认知错误，导致各种安全漏洞。程序错误程序撰写习惯不良导致很多安全漏洞，包含常见的未检查资料长度内容、输入资料容错能力不足、未检测可能发生的错误、应用环境的假设错误、引用不当模块、未检测资源不足等。人员操作操作失误操作规范严格且完善，但是操作人员未受过良好训练、或未按手册操作，导致各种安全漏洞和安全隐患。网络通讯信息泄密由于未采用加密手段导致通讯内容被侦听，或用户名/口令在网上明文传输，导致窃取用户身份登录。系统维护默认值不安全软件或操作系统的预设设置不科学，导致缺省设置下系统处于不安全的状况下，如匿名登录、访问权限不

5、当等。容易遭受病毒、蠕虫、特洛依木马等的攻击。未修补系统软件和操作系统的各种补丁程序没有及时修复。内部安全问题对由信任系统和网络发起的各种攻击防范不够。信任领域存在的不安全系统，成为不信任领域内系统攻击信任领域的各种跳板。1.3 建立统一安全隔离数据交换安全原则根据对以上安全风险的归纳，市政府网络系统最大的特点是复杂程度高，信息点多，安全威胁来自从物理层到应用层多个方面。本方案在制定安全系统设计时所采用的基本策略为：主要以安全隔离信息交换技术和数据摆渡技术为主体，辅之防火墙技术、入侵检测技术内外行为控制管理技术；构造一个具有最高安全强度的、在较长一段时期内可以防御绝大部分已知和未知的网络攻击手

6、段的、并可以满足用户多种网络应用信息安全交换的网络安全系统平台。政府网络信息交换的安全原则和要求体现在如下几个方面：1、建立统一的安全隔离交换平台，内部政府办公网各业务部门通过统一出口实现与外部应用网间的可信信息交换，统一管理，执行统一的安全策略，实现内部网信息和上下级单位、外部应用网数据交换的高度可控性。2、所采用的安全隔离设备必须通过公安部信息安全产品许可和国家保密局的技术鉴定。安全隔离设备具有安全的文件和数据库交换功能，可以支持对http、ftp等通用应用层协议的严格分析控制的物理隔离设备或功能。3、制定统一的接口开发及数据传输标准，实现内部各业务部门应用系统与外部应用网安全交换平台间的

7、数据交换，并通过该标准强化应用系统数据通信安全。4、内部网通过安全隔离交换平台与外界进行的信息交换必须受到严格的控制，内部网安全隔离平台可以提供必要的安全手段，如信息的单向访问，防止内网向外部泄漏敏感信息和抵御外网攻击。5、隔离平台必须提供完整的安全审计功能，能够详细记录、快速查询内外网间的访问行为及安全事件，数据传输的详细记录。6、隔离平台与其他网络安全产品构成整体的网络安全架构，全面解决市网络安全问题。7、专业网安全隔离平台必须具备较高的网络性能及稳定性、高可用性。2 政府网络安全隔离解决方案2.1 政府内网安全隔离与信息交换设计政府内网安全隔离设计主要是政府内网与外部应用网络（互联网或上

8、下级网络）间的安全隔离与信息交换问题。 政府内网与外部应用网之间隔离遵循“内外网物理隔断，内外网可控信息交换”的原则，政府内网不直接接受来自其他网络的数据访问请求。其中主要基于以下安全考虑：即不接收其他网络数据，使得政府内网对外不暴露任何端口和服务，完全隐藏内部网络，从而更集中、高效地保护内网安全。更重要的是该功能阻断了黑客通过木马控制内网主机的通讯途径，保护内网主机的安全。在以安全隔离网闸为基础的内外网信息交换平台上，除了隔离网闸外，还可以应用防火墙技术、IDS技术、SSL VPN技术，保证政府内网数据的机密性、完整性和可用性。这样就以隔离网闸为核心，建立了一整套完整的安全隔离与信息交换平台

9、。2.2 安全隔离与信息交换平台实施方案根据以上设计，其主要实施方式是：1、 在政府内网与外部网络边界部署伟思安全隔离与信息交换系统（网闸），该网闸的作用就是隔离来自外部网络的访问，以静态化纯数据的形式摆渡交换在内外网之间安全交换数据。2、 网闸部署在内网与上下级关联单位的网络边界处部署网闸，进行数据交换的网络边界处，仅允许定义的安全数据进行数据交换。隔离除此之外其它任何外部主机对内网的访问请求。在该隔离环境下，大量攻击行为都被隔离网闸隔离而无法进入本单位政府内网3、 对大负荷应用可采用双机集群，实现负载均衡和双机热备。解决性能保障问题和应用隔离保障问题。性能保障主要是保证隔离系统的网络性能满

10、足政府应用对数据交换速率和延时的要求；实现负载均衡与双机热备，使安全交换平台具有良好的可扩展性和可靠性，另外对于交换数据量大的应用系统可采用千兆隔离网闸。4、 在政府内网入口处部署SSL VPN设备，针对远端局、所对内网应用的访问进行链路加密，保证合法用户才能访问特定的应用系统，保障安全性的同时增强应用的灵活性。2.3 整体解决方案拓扑图按照上述安全隔离与信息交换方案策略，我们对现有网络结构做了调整，引入了隔离网闸等网络安全产品来实现政府网络安全系统的建设，保证内外安全的前提下，满足内外网隔离与信息交换的需求。整体拓扑图如下：隔离网闸可采用访问式和同步式两种工作模式，提供内外网数据库、文件服务

11、器的数据同步功能，也可以提供对网络访问的全面控制和策略管理。网闸A实现本单位内外网之间数据交换.网闸B实现本单位与上下级单位或其他关联单位间的安全隔离与数据交换.2.4 解决方案产品选型根据所需防范的具体安全问题类型、期望达到的安全程度，本方案建议选择相应的安全产品，产品的选型遵从如下标准：1)、成熟性：保证安全体系本身的可靠和稳定，也是保证网络安全系统平台能够安全可靠运行的基本要素。2)、先进性：保证安全体系具有较强的适应力、生命力，以便能适应未来一段时期内安全发展的需要。3)、国内自主知识产权，自行生产的网络安全产品。4)、合法性：安全体系建设中所采用的安全技术及其产品须有国家安全部门或具

12、有等效职能机构认证并颁发有许可证。3 隔离网闸产品方案设计3.1 隔离网闸产品概述伟思网络安全技术有限公司作为我国最早研发并率先推出安全隔离与信息交换系统产品的专业信息安全技术公司之一，其安全隔离与信息交换产品已经广泛应用于近1000家各种不同行业/部门的用户系统中，多次在一些国家部委及金融单位总部的重要招标中成功中标或入围，获得了用户的普遍高度好评。伟思信安ViGap300安全隔离与信息交换系统采用国际先进的GAP硬件隔离反射技术，实现了在网络隔离环境下的可控信息交换，并针对传统安全隔离与信息交换系统应用层安全防护薄弱的现状，运用创新技术开发出基于网络隔离安全基础平台下的应用层防护系统，为各

13、类党政部门、军事单位、金融电信、科研院校及企事业单位等机构的关键业务处理系统与外部不可信网络间信息交换提供了完整的安全隔离与信息交换解决方案。伟思信安ViGap300安全隔离与信息交换系统率先采用国际领先的基于ASIC芯片（大规模集成电路芯片）设计的高速硬件电子隔离开关技术，实现了受保护网络与不可信网络（互联网、专网等外部网络）间的物理断开，并通过摆渡机制在可控环境下实现内外网间应用层数据交换。ASIC芯片具有不可编程特性而且通讯方式彻底私有，从技术上消除了传统攻击手段对受保护内部网络的威胁，所有交换数据均经过ViGap300的严格安全检查，置于ViGap300设备保护之下的内部网络与外部不可

14、信网络在任一时刻内均不存在直接的物理网络连接，从而起到了保护内部网络免遭来自外部已知和未知的网络攻击，实现了安全、可靠的数据交换。3.2 产品内部架构伟思信安安全隔离交换系统的系统结构如下图表所示：图表 1 安全隔离交换系统的隔离体系结构VIGAP300安全隔离交换系统的所有控制逻辑由硬件实现的，不能被软件修改；安全隔离交换系统在内外安全主板上各设计了一个隔离开关，称反射GAP。反射GAP实现内外网络之间的物理断开，但同时能交换数据的目的。反射GAP使得内外网中继数据的速率达到物理连通状态的100，从而消除了因物理断开内外网络而可能造成的通信瓶颈。3.3 隔离网闸技术的优势同传统的防火墙等逻辑

15、隔离访问控制技术相比，隔离网闸独特的模型结构天然具有了一些其它安全技术难以达到的安全特性，主要包括以下几个方面：1) 对网络层/OS层已知和未知攻击的全面防护能力。由于在网闸2+1隔离架构模型中内外网间实际上物理断开，所有访问被转化成应用层数据形式通过独立的存储介质在内外网移动，因此，移动的数据中并不包含相对低层的网络层/OS层控制信息，换句话说，隐藏在网络层/OS层的攻击行为根本没有进入受保护内网网络的可能，无论该攻击方式是已知的还是未知的。而目前其它安全技术基本上还是基于特征匹配的方式过滤这些攻击行为，遗漏和处理不当都在所难免，并且对未知攻击毫无办法，对受保护网络造成严重安全隐患。2) 不

16、再依赖操作系统的安全性。目前所有安全技术的实现都必须依赖操作系统作为平台提供低层服务支持，操作系统的安全性实际上就影响到整个安全产品的安全性，目前主流的OS主要是微软和UNIX/Linux两大类，所有这些操作系统都具有一定数量的Bugs，这些漏洞也随之成为整个安全产品的漏洞。而隔离网闸很好地解决了这个问题，其内网处理服务器上的操作系统完全不对外暴露，暴露在外的仅仅是负责外网处理的服务器，即使该服务器因操作系统Bugs被攻击，实际上也无法进一步影响内网处理服务器，因为内外网是物理断开的。实际上，与防火墙等其它安全产品不同，黑客无法利用现有操作系统Bugs获得对隔离网闸结构的控制权。3) 强化安全

17、决策过程的安全性。安全决策是最重要和基础的安全防御手段之一，安全决策包括认证、访问控制列表（ACL）、内容过滤以及格式检查等一系列方式。安全决策功能一旦失效，恶意访问将无阻碍地进入受保护网络（例如访问控制列表被更改，已禁止端口被开放等）。目前的网络安全产品对决策模块的防护能力相对较弱，而隔离网闸则将所有安全决策过程置于中立的与内外网没有连接的隔离区内完成，且关键的策略库置于与被检查数据物理断开的受保护端（LAN）服务器上，因此，策略库和决策过程都十分安全，未经严格检查的数据将始终被隔离在受保护网络（LAN）以外，确保决策过程的安全。4) 数据静态化。在隔离网闸中，所有进入网闸内的数据在传递过程

18、中都是静态的，其内容不被任何程序执行，仅仅是对静态内容实施检查和决策，因此，这些数据本身携带的任何恶意代码都无法执行，也就无法危及系统的安全，整个系统安全可靠。3.4 产品特点 ViGap300是一款面向大型网络的安全隔离系统，为各类党政部门、军事单位、金融电信、科研院校及企事业单位等关键部门的内部网络或服务器提供网络隔离环境下的实时隔离保护，并在可控状态下实现内部网络或服务器与外界的实时（适度）信息交换。 采用独特的“21”安全体系架构，通过基于ASIC芯片技术设计的专用隔离电子开关系统，实现用户关键网络及服务系统与外界的物理隔断，实现链路层与网络层的彻底断开。 采用高性能和多条流水线设计的

19、ASIC芯片为基础建立的全新硬件隔离架构，拥有全线速隔离交换性能，满足大型网络应用所面对大用户量、低延时访问的需求。在核心的GAP电子开关隔离芯片上采用了含TRUE LVDS功能强大的APXII系列EP2A70作为FPGA设计硬件基片，该芯片具有500万门电路以及多路Giga位的通道，支持内部高达1060个硬件I/Os通道，使得电子开关具有高速的数据传输能力和并发处理能力。 充分考虑关键应用对可靠性、可用性的要求，独家采用负载均衡技术以及基于应用协议连接资源保护的QOS服务质量控制技术消除单点故障和网络实现对网络服务的高可靠性及可用性保证。 采用无协议的“GAP Reflective”，GAP

20、隔离反射技术实现开放网络通讯协议的剥离与重组，有效阻断来自网络层及服务器OS层的各类已知/未知攻击，弥补其它安全技术对网络未知攻击的防御盲区。 广泛支持各类通用应用协议（HTTP、FTP、SMTP、DNS、SQL等），包括支持视频会议、流媒体以及VPN等特殊应用代理以及用户定制协议，无需再进行二次开发或单独购买模块。 采用专利技术的应用层安全防御系统，ViGap300特别针对广泛应用的WEB、EMAIL和FTP等服务采用专利技术Web Application，实现了全面应用层安全防护，可防止WEB溢出漏洞、Unicode漏洞、Inject攻击、Cookie中毒、恶意JavaScript、Act

21、iveX控件甚至CGI脚本等各类应用层安全风险。 智能化攻击识别与过滤，ViGap300采用先进的应用层协议分析技术智能识别并过滤大量基于应用层协议的攻击行为，ViGap300提供目前市场上丰富的协议分析模块，全面防护各类应用系统安全风险，包括：HTTP、FTP、SMTP、POP3、IMAP、DNS等数十种协议分析模块。3.5 产品功能3.5.1 系统可靠性 双机热备功能模块ViGap300系列产品针对大型网络的应用提供了双机热备份功能，实现系统的稳定可靠运行。通过内置的双机热备系统，连接在同一个网络内的多台ViGap300设备可以建立双机热备机制，并通过虚拟IP统一对外提供服务。从设备不断发

22、出心跳信息侦测主设备状态，一旦主设备出现故障从设备将立即接管并继续提供服务。结合ViGap300独有的状态检测系统，管理员能够迅速发现设备故障并作出处理。 系统工作状态检测与报警 ViGap300系列采用基于工业控制系统的架构设计，具备良好的稳定性。并且建立了设备状态检测系统，在开机状态下持续对系统各硬件板卡及软件模块进行检查，并将系统状态显示在液晶面板上，管理员可针对故障信息迅速了解故障原因并作出响应。 同时，ViGap300系列软件系统采用了先进的自愈技术，当故障发生时可迅速命令系统重启恢复到正常工作状态。3.5.2 系统可用性 ViGap300系列为满足高性能的网络处理而设计，因此，必须

23、支持大规模的并发访问和高带宽的数据吞吐。除了采用更高端的处理系统、内存以及接口以外，ViGap300系列还设计了最大支持32台设备的负载平衡系统来实现高可用性。 ViGap300系列的负载平衡系统通过仲裁网络流量方式实现流量在ViGap300集群中的平均分配，从而将处理性能大幅提升。3.5.3 安全功能 网络隔离功能ViGap300系列具有网络隔离功能，通过基于ASIC设计的硬件电子开关实现可信、不可信网络间的物理断开，保护可信网络免遭黑客攻击。 数据静态化采用“裸数据”机制，运用协议剥离和重组技术，在网闸内部实现“裸数据”和数据静态化，有效的防止网络上未知攻击。 IDS入侵检测功能 ViGa

24、p300系列在设备两端内置了IDS入侵检测引擎，该引擎可有效保护系统自身及受保护网络免受攻击者的频繁攻击。该系统将自动分析对受保护内网的访问请求，并与ViGAP300隔离系统实现内部联动对可疑数据包采取拒绝连接的方式防御攻击。 SAT（服务器地址映射）功能 ViGap300系列具备完善的SAT功能，可信端服务器可通过SAT功能将自身的特定服务虚拟映射到ViGap300系列的不可信端接口上，通过隔离系统的不可信端虚拟端口对外提供服务，访问者仅能访问虚拟端口而无法直接连接服务器，从而对外屏蔽服务器，防止服务器遭到攻击。 身份认证功能 不同于部门级网络，大型网络对身份认证的要求极高，且需要基于第三方

25、的统一身份认证服务。ViGap300系列除了提供基本的用户名/口令身份认证功能以外，还可与外部认证系统集成支持扩展的Radius、PKI数字证书、SecureID等多种强身份认证功能。 安全代理服务功能 ViGap300系列允许可信端用户以应用代理方式访问不可信网络，ViGap300系列作为应用代理网关对内网访问请求进行检测，相对于传统的基于网络层的NAT方式来说，由于代理服务在应用层对访问请求进行检测具有更细的粒度和检查元素，因此，对访问具有更高的安全控制能力。 AI安全过滤功能 应用智能能够使您根据来源、目的地、用户特权和时间来控制对特定的 HTTP、SMTP 或 FTP 等资源的访问。V

26、iGap300系列产品通过协议分析技术提供应用级的安全过滤以保护数据和应用服务器免受恶意 Java 和 ActiveX applet 的攻击。ViGap300系列在AI功能中新增了安全功能，包括：确认通信是否遵循相关的协议标准；进行异常协议检测；限制应用程序携带恶意数据的能力；对应用层操作进行控制，这些新功能对企业级网络环境中应用层的安全控制起到了很重要的强化作用。 防病毒功能系统内嵌防病毒引擎，可实现对内外网摆渡数据的病毒查杀，其防水墙模块可有效阻止内网信息的外泄及木马、蠕虫等恶意程序通过HTTP、SMTP等方式向外泄漏信息。实现对病毒的高效查杀，支持包括HTTP、SMTP、POP3协议的网

27、关级病毒过滤。 内容及格式检测功能 ViGap300系列具备内容过滤及文件格式检查功能，对管理员指定格式的文件或指定内容关键字的邮件、网页、FTP文件等具有安全过滤功能，能够阻止敏感的信息外泄或恶意程序的入侵。 VPN通讯安全 ViGap300系列对受保护WEB服务器提供内置的SSL VPN加密通讯机制，建立客户端与虚拟服务端口间的SSL加密VPN链路，实现通讯安全。该加密方式无需修改客户端设置，透明实现客户端与服务器端的加密通讯。 WEB站点保护功能 目前大量应用基于B/S架构开发，WEB服务成为了越来越通用的服务，然而WEB服务器的大量漏洞也时时威胁着应用系统的安全。ViGap300系列全

28、面分析了来自WEB服务的漏洞，建立了WEB站点保护系统Web Application，全面抵御黑客对用户对外WEB、MAIL以及FTP系统服务系统发动的攻击。包括：Cookie安全签名、URL字段细粒度过滤、输入参数检测、操作系统屏蔽、Web service函数、CGI调用函数、特别针对WEB的IDS检测、文件目录及文件访问控制等功能。 规则库后置伟思ViGap300将规则库后置在网闸的内网可信端一侧，通过芯片级的隔离部件和“裸数据”摆渡机制的保护，使得放置于GAP产品的受保护网络端（即后端）的规则库具有严格的在外部网络端不可修改特性，保护规则库的安全。3.5.4 系统管理 轻松管理ViGap

29、300系列安全管理架构允许管理员将多个隔离与信息交换系统设备部署到任何位置上并对其进行集中式管理。一旦创建或修改了策略，它就被自动分发到规则指定的所在位置。 良好的用户界面ViGap300系列提供了一个良好的用户界面，以树型结构组织对象，可在所有规则中共享所有的对象定义（例如：用户、主机、网络和服务等等），以便进行有效的策略创建和安全管理。 丰富的日志及审计模块ViGap300系列管理平台能够监控并记录 ViGap300系列产品的系统状态。全面审计网络活动、入侵活动、管理员的配置操作、系统错误信息、违反规则的过滤信息等日志信息，支持日志扩展，导出日志到第三方系统进行专业分析。3.5.5 应用支

30、持 安全上网ViGap300系列支持用户安全上网应用，可根据身份认证、IPMAC绑定等多种安全策略实现用户安全上网应用，同时支持透明应用代理方式，客户端无需设置。 数据库应用模块ViGap300系列全面支持各种类型的数据库应用，支持Oracle、MS SQL、MySQL、Sybase等主流的数据库的SQL查询，支持全表复制、增量更新、全表更新等多种数据库同步方式，并支持自定义表和字段。 文件交换和消息应用模块ViGap300系列全面支持各种类型的文件同步，包括SAMBA、NFS等协议应用的文件同步，支持基于消息中间件的网络同步应用，提供消息模式数据转发和同步。 网络应用ViGap300系列支持

31、各类TCP/IP以上的网络应用协议，无需二次开发。包括：HTTP、SMTP、POP3、DNS、FTP、NFS、MMS、IM、VOIP等等。支持用户自定义开发的特殊应用协议。支持网闸访问的单向、双向自定义。同时，针对用户特殊需求ViGap300系列提供API应用开发接口。 即插即用网闸设备的应用，不会改变现有网络拓扑结构，不改变原有网络和业务系统，网闸的应用，对原有网络无需做大的改动。3.6 伟思ViGap300系统性能参数伟思ViGap300提供千兆安全隔离与交换系统，其主要性能指标如下： ViGap300网络吞吐量性能：600Mbps ViGap300隔离硬件芯片数据交换速率：5Gbps ViGap300系统时延：2ns级 ViGap300并发连接数：=12000 平均无故障运行时间：60000小时 支持冗余电源扩展，提供高可用性 用户数支持：无限制4 系统支持与服务方案4.1售后服务我们提供的售后服务内容主要包括以下几个方面：电话支持提供专用售后服务技术电话，为用户进行有关产品使用的电话答疑和操作指导等。我们的技术支持电话为：（0756）3391616技术部提供免费电话支持服务：400-881-8180；80