方案背景

我國國家安全主管部門對于物理隔離技術十分重視，根據國家保密局2001年1 月1 日起頒布實施的《計算機信息系統國際聯網保密管理規定》第二章保密制度第六條的規定：“涉及國家秘密的計算機信息系統，不得直接或間接地與國際互聯網或其他公共信息網絡相連接，必須實行物理隔離?！绷硗庵泄仓醒朕k公廳針對電子政務網絡中涉密網、非涉密網和互聯網三個不同級別的網絡環境曾發[2002]17 號文件中明確指出：“電子政務網絡由涉密網和非涉密網構成，兩網之間物理隔離，非涉密網與互聯網之間邏輯隔離?！?/p>

物理隔離在技術上主要解決以下三個方面的問題：

1、在物理傳導上隔斷內部網與外部網，確保外部網不能通過網絡連接而侵入內部網；同時防止內部網信息通過網絡連接泄露到外部網。

2、在物理存儲上隔斷內部網與外部網，對于斷電后會逸失信息的部件，如內存、處理器等暫存部件，要在網絡轉換時作清除處理，防止殘留信息竄網；對于斷電后非逸失性設備如磁帶機、硬盤等存儲設備，內部網與外部網信息要分開存儲；嚴格限制軟盤、光盤等可移動介質的使用。

3、在物理輻射上隔斷內部網與外部網，確保內部網信息不會通過電磁輻射或耦合方式泄密。

用戶需求

某涉密信息系統由涉密網和非涉密網組成，涉密網為涉密環境，外部網絡為不涉密環境。某涉密信息系統目前面臨的網絡安全問題主要是非涉密網向涉密網傳輸文件。因此，需要一種技術既能有效地隔離涉密網和非涉密網，又能方便地進行文件單向傳輸，即單向物理隔離技術。

在某涉密信息系統涉密網和非涉密網物理隔離的前提下，需要實現以下功能：

1、某涉密信息系統非涉密網網絡中電腦可以將資料傳輸到涉密網的電腦上。

2、禁止涉密網中的電腦將資料傳輸出去。

3、對非涉密網傳輸的文件生成日志供日后查看。

方案設計

根據某涉密信息系統的具體需求，我們推薦采用深圳市金盾信息技術有限公司推出的——TIPTOPV2.0 單向光閘來實現本方案目標。

隔離網閘部署后示意圖如下：

隔離網閘部署說明

1、在涉密網和非涉密網之間部署 1 臺金盾單向光閘，在網絡安全隔離的前提下，實現數據中心非涉密網和涉密網的文件傳輸、服務器訪問等信息在安全隔離的情況下正常的交互。

應用價值

絕對單向無反饋數據傳輸

看得見的物理單向環境設計，保障數據絕對單向無反饋傳輸。

穩定性高

通過雙系統、全熱備、前向糾錯等多種機制提高穩定性。

業務適應性強

具有流數據、結構化數據、非結構化數據等多種類型數據單向傳輸功能。