叁佳网闸SAN-NetGap100应用于工商网络系统整体安全解决方案-北京叁佳信智科技有限公司

NetGap - 物理隔离网闸

叁佳网闸SAN-NetGap100应用于工商网络系统整体安全解决方案

　　市级工商行政管理局掌握着本市各类企业的登记情况、市场活动交易行为等重要信息，合理组织、综合利用这些信息可以从多角度反映本市的经济运行状况，为本市经济发展提供决策依据。由于工商行业的特殊性，任意丝毫的网络安全问题，将导致灾难性的事故发生，其造成的政治和经济影响是巨大的，带来的损失是不可估量的。建立工商网络安全整体防护体系，制定恰当的安全策略，提高安全保障能力，是市级工商局当前迫在眉睫的大事。

　　网络及应用需求概况

　　目前，市级工商局的网络划分为三部分：工商内网，它运行多个工商内部业务和办公系统，是市级工商局的重要业务网络，必须要进行高安全的防范；工商外网，运行多个工商外部业务，并通过互联网提供网上便民服务，该网络是XX工商局业务系统的外延，是对外服务的窗口；电子政务外网，运行多个电子政务业务，需要与其它政府部门互动，实现信息共享和政务电子化。根据有关部门的安全要求，这三个网络之间需要物理隔离，需要确保工商内网和电子政务专网与互联网络没有物理连接。另外，由于业务工作需要，在保持内外网络和电子政务专网与外网物理隔离的同时，能够在这三个不同安全等级的网络之间进行实时的、适度的、可控的内外网络的数据交换和应用服务。具体来说，数据信息交换需要发生在：工商内网与工商外网之间、工商内网与电子政务外网之间、工商外网与电子政务外网之间。交换的服务主要包含：电子文件交换、电子邮件交换(SMTP，POP3)、数据库的数据交换、HTTP/HTTPS标准访问等。

　　物理隔离网闸技术

　　国家保密部门以及其他有关主管部门规定，涉密网及国家重大基础设施网络必须与公网物理隔离，确保这些重要网络的安全，免受黑客攻击。但是，有些内网又必须与公网实时地交换信息和数据，为了解决这一矛盾，网络安全公司就开始了物理隔离技术的研究，这样就催生了物理隔离网闸产品的诞生。

　　物理隔离网闸技术用一句话表述为：内外两个网络物理隔离，但逻辑上能够实现数据交换。

　　物理隔离网闸技术在两个网络之间创建了一个物理隔断，这意味着网络IP包不能从一个网络流向另外一个网络，系统命令不可能从一个网络流向另外一个网络，网络协议也不可能从一个网络流向另外一个网络。并且可信网络上的计算机和不可信网络上的计算机从不会有实际的连接。对于有连接的PC，黑客使用各种方法，通过网络能够建立连接来对它们进行控制，然而物理隔断却能杜绝这种情况发生。物理隔离网闸技术除可以实现物理隔断外，还可以允许可信网络和不可信网络之间的数据、资源和信息的安全交换。

　　物理隔离网闸的一个特征，就是内网与外网永不连接，内网和外网在同一时间最多只有一个同隔离网闸设备建立非TCP/IP协议的数据连接，其数据传输机制是存储和转发。

　　物理隔离网闸的好处是明显的，即使外网在最坏的情况下，内网也不会有任何破坏。恢复外网系统也非常的容易。

　　物理隔离网闸技术主要应用于：

　　1)、涉密网与外网或公网的隔离，但又能够提供适度的信息交换服务；
　　2)、安全性级别高的网络与安全性级别较低的网络的隔离。如工商内网、外网与政务网络的隔离，同时也能够进行各种应用和业务数据的信息交换服务。

　　实现目标

　　基于对工商局网络安全需求的分析和理解，我们认为网络系统应实现的总体安全目标是：对工商网络系统进行合理的隔离防范措施，使工商网络系统不同等级的网络具有明确的安全边界，不受偶然的或恶意的攻击而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务从不中断。并且要求在三个不同网络之间物理隔离的同时，能够具体包括如下几个目标：
　　● 保护工商网络系统隔离下的可用性；
　　● 保护工商网络系统隔离下的服务连续性；
　　● 防范工商网络系统资源的非法访问及非授权访问；
　　● 防范内外入侵者对工商网络系统资源的恶意攻击与破坏。

　　系统安全解决方案设计

　　安全系统的设计是一个软、硬件综合的系统工程，它综合了网络IP地址分配、交换机VLAN划分、网络设备自身的安全配置、网络安全设备功能的合理运用、通过网络结构的调整达到网络安全区域的划分、在各个安全区域的边界部署合理的安全产品、安全产品策略配置、关键系统的物理隔离、主机操作系统的本身安全补丁、关键主机的保护、防病毒、系统备份恢复、目录以及认证、用户的安全教育以及规章制度的制订等多种综合手段，以期达到系统安全的目的。

　　在满足物理隔离的网络环境下进行实时、适度信息交换的安全策略，主要是通过安全隔离网闸设备的安全隔离来实现访问控制和信息交流的。因此，根据市级工商局网络系统各个部分不同的安全需求，通过网络和服务器的合理调整，建立合理的网络安全区域划分，在适当的位置部署适当的网络安全设备，是整个安全系统是否成功的关键。

　　根据市级工商局的要求，这三个网络之间需要进行物理隔离，以确保网络的安全。但是，由于实际情况的需要，这三个网络之间又需要适度的数据和信息交流，原来主要是通过手工拷贝的方式进行，这样的工作方式带来很大的时间延迟，工作量很大，往往造成一些不必要的人为延迟和错误。因此需要考虑能够进行物理隔离，又能够适度进行数据交流的安全解决方案，以满足XX工商的实际需要。

　　对于以上三大网络的基本隔离方案是：工商内网与工商外网之间、工商内网与电子政务外网之间、工商外网与电子政务外网之间三个网络边缘处采用物理隔离网闸，满足这三个网络之间能够实现数据交换，同时又实现安全隔离。