分析网闸的资料下载网络安全解决方案.docVIP

分析网闸的资料下载网络安全解决方案 　　1、网闸及其原理简介 　　网闸(GAP)全称安全隔离网闸。网闸是在两个不同安全域之间，通过协议转换的手段，以信息摆渡的方式实现数据交换，且只有被系统明确要求传输的信息才可以通过。其信息流一般为通用应用服务。网闸的“闸”字取自于船闸的意思，在信息摆渡的过程中内外网(上、下游)从未发生物理连接，所以网闸产品必须要有至少两套主机和一个物理隔离部件才可完成物理隔离任务。 　　网闸的基本原理是:切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查，包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。 　　安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。隔离网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。 　　2、安全隔离的意义 　　当用户的网络需要保证高强度的安全，同时又与其它不信任网络进行信息交换的情况下，如果采用物理隔离卡，信息交换的需求将无法满足;如果采用目前最为流行的防火墙技术，则无法防止内部信息的泄漏和外部病毒、黑客程序的渗入，安全性无法得到保证。在这种情况下，隔离网闸能够同时满足这两个要求，又避免了物理隔离卡和防火墙的不足之处，是物理隔离网络之间数据交换的最佳选择。 　　通常见到的木马大部分是基于TCP的，木马的客户端和服务器端需要建立连接，而隔离网闸从原理实现上就切断所有的TCP连接，包括UDP1CMP等其他各种协议，使各种木马无法通过隔离网闸进行通讯，从而可以防止未知和已知的木马攻击。 　　3、网闸在资料下载系统中的应用 　　根据系统安全性设计原则，在内网外增加资料交换区域和与互联网连接的资料接收区域，区域之间通过网闸进行网络安全隔离，在保护信息安全的要求下实现内网与互联网的安全互联，基本达到信息安全等级保护的三级要求。 　　资料接收系统由资料接收服务器、出口防火墙、网闸、攻击网关、入侵检测设备等构成，这里的网闸选择的是“2+1”的安全隔离网闸，该硬件设备由三部分组成:外部处理单元、内部处理单元、隔离安全数据交换单元。安全数据交换单元不同时与内外网处理单元连接，为“2+1”的主机架构。隔离网闸采用安全隔离技术，创建一个内、外网物理断开的环境。资料接收区从互联网上获取资料，经过筛选和格式转化后保存到本地进行恶意代码检查，经过筛选后的数据通过网闸单向传输设备摆渡到资料交换服务器存储，并进行不同恶意代码库的代码检查后传输至内网，供用户使用。 　　本系统通过建立完善的安全体系，在网络、操作系统、应用和Bg数据安全等层面上，为系统建立一套立体纵深的安全技术架构，以实现抵御各个层面的攻击，防止病毒和恶意代码入侵等功能，同事进行系统整体安全测试和安全加固，将漏洞风险降到最低。 　　在系统安全设计上坚持整体性原则、适应性及灵活性原则、易操作性原则和多重保护原则，应用纵深防御策略，注重从局部计算环境防止内部的威胁，从各种不同类型的边界区域，联合采用多种安全技术整体防御外部威胁。采取减轻风险的技术途径，尽可能加强安全防范手段，在整个方案中，网闸起到了至关重要的作用，是这个系统整体架构的核心组成部分，是所有信息安全得到保证的关键所在。 　　4,结论 　　本方案从网络层、操作系统层、应用层及数据层等方面来对可能存在的安全隐患进行了分析，并有针对性的采取了相应的设备设施，极大限度的降低了网络安全风险，通过使用网闸的单向传输特性，在保护信息安全的前提下实现内网与互联网的安全互联。