方案背景

隨著全球信息化、數字化時代的到來，國際互聯網的廣泛應用，網絡技術已滲透到社會的每一個角落， 大大提高了我們的工作效率，網絡技術（尤其是Internet技術）是一把雙刃劍，它在促進一個國家國民經濟建設、豐富人民物質文化生活的同時，也對傳統的國家安全體系、單位安全體系提出了嚴峻的挑戰，使得國家的機密、金融信息、單位的生產運行等面臨巨大的威脅。在給我們帶來極大便利的同時也帶來了嚴重的安全問題，尤其是病毒破壞、黑客入侵造成的危害。盡管我們可以使用防火墻、代理服務器、入侵檢測等安全措施，但是這些技術都是基于軟件的邏輯隔離，對于黑客和內部用戶而言是可能被操縱的，再加上目前我國使用的計算機核心軟硬件都依賴進口，誰也無法保證這些軟硬件中沒有后門、沒有漏洞。因此最好的辦法就是讓用戶重要的數據和外部的互聯網沒有物理上的連接，讓黑客無機可乘，但是這樣又不便利用互聯網上豐富的信息資源，所以就需要一種技術來幫助用戶既能有效地隔離內外網絡，又能方便地使用內外網的資源。

用戶需求

1、單位的辦證系統位于外網區域，英格索蘭系統位于單位的內網，兩個系統之間需要進行有限的數據交換。利用物理隔離網閘可以實現單位外網和內網之間物理上的隔離，同時滿足數據庫交換、文件交換、電子郵件的收發等功能。

2、通過安全隔離網閘實現單位外網和內網在物理隔離的前提下進行文件有效的安全的交換。

3、通過安全隔離網閘實現單位外網和內網在物理隔離的前提下進行數據庫有效的安全的交換。

4、安全隔離網閘在實現隔離網絡間數據和信息正常交換的同時，對交換的數據和信息進行校驗、過濾其中的惡意代碼、黑客程序和病毒等破壞性信息，只允許與系統相關的數據和信息進入內部網絡中。內網與外網永不連接，內網和外網在同一時間最多只有一個同隔離網閘設備建立非TCP/IP協議的數據連接。

方案設計

根據相關部門規定及用戶需求，內外網絡在安全隔離的前提下進行有效，可靠的數據傳輸。

隔離網閘部署后示意圖如下：

隔離網閘部署說明

1、金盾安全隔離網閘采用“2+1”架構，即內網處理單元、外網處理單元和DTP物理隔離通道，確保內外網之間沒有TCP/IP連接，通過協議剝離、信息“擺渡”、安全檢查、病毒掃描等方式確保內外網在隔離的情況下進行安全、可靠的信息交互，符合國家保密局規定；網閘內外網主機系統采用專用安全操作系統及嵌入式程序控制（ASIC）確保系統本身免受攻擊；網閘內部采用特有控制邏輯和專用通訊協議完全控制數據的實時傳輸，徹底阻斷TCP/IP協議及其他網絡協議，阻止已知和未知的TCP/IP攻擊。

2、在單位內外網之間部署1臺金盾安全隔離網閘，在網絡安全隔離的前提下，實現數據中心辦公電腦的文件傳輸、等信息在安全隔離的情況下正常的交互。在文件傳輸、文件共享同步、FTP訪問時，可對文件類型做深度檢測，不按文件后綴同步，防止非法用戶更改文件后綴，傳輸文件同時對交互信息進行病毒檢測、信息校驗等安全規則的檢查，確保信息的安全與可靠。

3、通過部署金盾安全隔離網閘，實現單位內外網之間數據庫在隔離的前提下進行單向或雙向同步功能，并對同步數據進行病毒檢查及校驗，確保傳輸的數據安全可靠；所有的傳輸操作由安全隔離數據庫同步功能模塊獨立完成。不在用戶數據庫中安裝任何客戶端軟件，對用戶數據庫不作任何改變，支持各種主流數據庫之間的傳輸如：Oracle 、DB2、SYSBASE、SQL Server、MySql等數據庫，滿足用戶多樣性需求。

4、金盾安全隔離網閘具備豐富的日志審計功能，能夠詳細記錄設備內外網用戶登錄日志、文件發送接收日志、FTP日志、數據庫同步日志、病毒查殺日志、入侵報警日志等。