方案五 基于网络的隔离解决方案

方案介绍

　　适用于关键子网和重要服务器的安全保护，在保持内外网络物理隔离的同时，进行适度的、可控的内外网络数据交换，提供比防火墙级别更高的安全保护，可广泛应用于不同安全级别网络的准物理隔离。推荐使用网御SIS-3001安全隔离网闸。

　　网御SIS-3001安全隔离网闸是针对不同安全级别网络之间的隔离需求而研制的一种新型物理隔离系统，放置在内外网之间，是工作在TCP/IP应用层的一种新型网络安全设备，从根本上解决了隔离网络间信息的安全交流问题。它由安全服务器、安装在内外网应用服务器上的安全转发代理（软件）组成，通过内置的高速固态开关控制其网络通断状态。它采用国际上最新的信息轮渡机制，集成了安全操作系统、入侵监测内核、身份认证、访问控制和安全审计等多种安全技术，对传输数据的类型、内容等进行检查和过滤，专门设计于保护服务和数据的安全。它只关心通过它的服务请求和进出的数据，由于这类服务请求是以一种明确的表单形式提交的，这样安全隔离网闸有足够的能力和效率对这些服务请求根据用户的逻辑进行检验。同时，由于高速开关的隔断作用，内网网络的安全转发代理不会受到攻击，所有访问均通过该代理唯一的向应用系统提交，保证了应用系统获取数据的合法性，从而大大提高了系统整体的安全性。为用户提供了一个基于物理层隔离的安全信息交换平台。

#$[*47310.jpg*#a*#0*#0*#center*]$#

方案特点

• 物理隔离：内置高速固态开关在内外网络之间切换，在任意一个时刻，系统在物理链路上只能处于内网或者外网的一侧。
• 信息交换：连入外网时，与内网断开，从外网获取需要交换的数据；断开外网连接，过滤数据，连接内网，交换数据到内网。往复不断，从而完成内外网络信息的交换。
• 数据过滤：可根据数据特点设定每个数据项的校验策略，在应用层对出入数据进行校验和过滤，校验合格的数据被放行，否则被屏蔽。
• 建立数据特征库：可结合应用要求，提取应用数据的特征，形成用户特有的数据特征库，作为运行过程中数据校验的基础。
• 专用安全协议：信息在内外网之间传输时，采用专用的安全传输协议，对数据进行重新分片和重组，保障数据的传输安全。
• 支持多种应用，如文件传输、数据库同步、邮件传输等，并且能基于特定的应用定制支持协议集。
• 支持多种平台，支持双机热备和多机负载均衡，能够有效的为大规模应用提供有力的保证。
• 安全服务器本身不开放任何服务，采取主动向两侧安全转发代理建立链接的工作模式，可杜绝安全服务器因此可能受到的攻击。

联想网御SIS物理隔离系统产品明细表

#$[*47311.jpg*#a*#0*#0*#center*]$##$[*47312.jpg*#a*#0*#0*#center*]$##$[*47313.jpg*#a*#0*#0*#center*]$##$[*47314.jpg*#a*#0*#0*#center*]$#