方案背景

随着全球信息化、数字化时代的到来，国际互联网的广泛应用，网络技术已渗透到社会的每一个角落， 大大提高了我们的工作效率，网络技术（尤其是Internet技术）是一把双刃剑，它在促进一个国家国民经济建设、丰富人民物质文化生活的同时，也对传统的国家安全体系、单位安全体系提出了严峻的挑战，使得国家的机密、金融信息、单位的生产运行等面临巨大的威胁。在给我们带来极大便利的同时也带来了严重的安全问题，尤其是病毒破坏、黑客入侵造成的危害。尽管我们可以使用防火墙、代理服务器、入侵检测等安全措施，但是这些技术都是基于软件的逻辑隔离，对于黑客和内部用户而言是可能被操纵的，再加上目前我国使用的计算机核心软硬件都依赖进口，谁也无法保证这些软硬件中没有后门、没有漏洞。因此最好的办法就是让用户重要的数据和外部的互联网没有物理上的连接，让黑客无机可乘，但是这样又不便利用互联网上丰富的信息资源，所以就需要一种技术来帮助用户既能有效地隔离内外网络，又能方便地使用内外网的资源。

用户需求

1、单位的办证系统位于外网区域，英格索兰系统位于单位的内网，两个系统之间需要进行有限的数据交换。利用物理隔离网闸可以实现单位外网和内网之间物理上的隔离，同时满足数据库交换、文件交换、电子邮件的收发等功能。

2、通过安全隔离网闸实现单位外网和内网在物理隔离的前提下进行文件有效的安全的交换。

3、通过安全隔离网闸实现单位外网和内网在物理隔离的前提下进行数据库有效的安全的交换。

4、安全隔离网闸在实现隔离网络间数据和信息正常交换的同时，对交换的数据和信息进行校验、过滤其中的恶意代码、黑客程序和病毒等破坏性信息，只允许与系统相关的数据和信息进入内部网络中。内网与外网永不连接，内网和外网在同一时间最多只有一个同隔离网闸设备建立非TCP/IP协议的数据连接。

方案设计

根据相关部门规定及用户需求，内外网络在安全隔离的前提下进行有效，可靠的数据传输。

隔离网闸部署后示意图如下：

隔离网闸部署说明

1、金盾安全隔离网闸采用“2+1”架构，即内网处理单元、外网处理单元和DTP物理隔离通道，确保内外网之间没有TCP/IP连接，通过协议剥离、信息“摆渡”、安全检查、病毒扫描等方式确保内外网在隔离的情况下进行安全、可靠的信息交互，符合国家保密局规定；网闸内外网主机系统采用专用安全操作系统及嵌入式程序控制（ASIC）确保系统本身免受攻击；网闸内部采用特有控制逻辑和专用通讯协议完全控制数据的实时传输，彻底阻断TCP/IP协议及其他网络协议，阻止已知和未知的TCP/IP攻击。

2、在单位内外网之间部署1台金盾安全隔离网闸，在网络安全隔离的前提下，实现数据中心办公电脑的文件传输、等信息在安全隔离的情况下正常的交互。在文件传输、文件共享同步、FTP访问时，可对文件类型做深度检测，不按文件后缀同步，防止非法用户更改文件后缀，传输文件同时对交互信息进行病毒检测、信息校验等安全规则的检查，确保信息的安全与可靠。

3、通过部署金盾安全隔离网闸，实现单位内外网之间数据库在隔离的前提下进行单向或双向同步功能，并对同步数据进行病毒检查及校验，确保传输的数据安全可靠；所有的传输操作由安全隔离数据库同步功能模块独立完成。不在用户数据库中安装任何客户端软件，对用户数据库不作任何改变，支持各种主流数据库之间的传输如：Oracle 、DB2、SYSBASE、SQL Server、MySql等数据库，满足用户多样性需求。

4、金盾安全隔离网闸具备丰富的日志审计功能，能够详细记录设备内外网用户登录日志、文件发送接收日志、FTP日志、数据库同步日志、病毒查杀日志、入侵报警日志等。