A P P安全建设办法 集团标准化小组:[VVOPPT-JOPP28-JPPTL98-LOPPNN]
医院服务窗 安全建设方案 2014年9月 目录 一、医院服务窗背景介绍 随着3G、4G时代的到来,大家越来越习惯使用智能手机来查询、和商户的互动。来自中国互联网络信息中心(CNNIC)的《2013中国互联网络发展状况统计报告》显示,截至2013年底,中国手机网民规模达到约4.6亿人,占整体网民的比例达到78.5%。 而最近几年,互联网在快速颠覆和改变很多传统行业,包括零售、通讯、医疗等行业。医院作为特殊的事业单位,涉及到13亿中国人的福祉,但一直存在“挂号难”“看病难、看病贵”“医生劳动与回报”突出的问题,之所以出现这种状态是由于两方信息的不对称,医患不融合。我们知道,解决任何双方矛盾的根本是平台的建设,只有双方在一个平台中共同努力,协调利益,才能有效解决问题。
目前支付宝将对医疗机构开放自己的平台能力,包括账户体系、移动平台、支付及金融解决方案、云计算能力等,通过支付宝钱包中的服务窗可以提供患者与医院交流的一个公众服务平台。这也就为医院提高就医体验,掌握病人就医行为提供了可能;也为医院将更优质的服务通过互联网提供给病人提供了可能。 医院服务窗正是基于支付宝钱包服务窗向患者提供的医疗服务平台。在这个平台上患者及其家属可以通过服务窗自助完成预约挂号、诊间支付以及查看患者感兴趣的信息,使医院和患者之间就建立了一种信任关系,进一步增加了患者对医院的信赖感和黏度,从而达到和谐医患关系的目标。 二、医院服务窗网络安全解决方案 医院服务窗的终端用户(病友及访客)是通过互联网来访问医院服务窗的IIS服务器获取信息,由于医院服务窗的IIS服务器位于医院内部网络且需要向医院的核心服务器HIS服务器提取相关数据,整个数据链路涉及内网及外网,为降低数据流被意外安全事件中断的机率,保证整个业务高效,流畅地运转,现为相关数据流设计如下网络安全防护体系。 下图是医院服务窗系统在应用过程中一个典型的安全防护设备部署拓补图。医院服务窗的终端用户通过各种移动设备(智能手机、智能平板等)经过互联网向IIS服务器查询数据。数据流会先经过安全设备的第一道门槛-防火墙,然后再经防病毒网关到达第二道门槛-WEB应用防护设备到达IIS服务器。IIS服务器得到请求后会根据终端要求查询的内容向HIS核心服务器提取相关数据,这时数据流会经过安全防护设备的第三道门槛-网闸到达HIS服务器。在医院内部核心交换机处还有一个安全防护设备-IDS来保证监视整个医院内部网络的攻击行为或异常现象为快速排错及故障定位提供保障。以上提到的各种安全设备层层防护,相互补充,在最大程度上保证了整个医院服务窗及网络系统的安全应用。各设备的具体防护功能及特性将在后面的章节详细介绍。产品部署网络拓扑图如下: 三、安全设备效果及性能简介 3.1防火墙 防火墙部署于医院内部网络与互联网边界处,是整个网络安全防护的基础实施。主要对需要访问医院服务窗IIS服务器的外部用户经行访问控制,起到对于网络层数据流和攻击的防御。同时在蠕虫病毒大爆发的时候可防止外部用户将其感染到本安全域之内,造成更大更严重的损失。 防火墙按性能可分为万兆、千兆、百兆三大类,其中千兆及百兆应用最为普遍。万兆高端防火墙主要应用于ISP及大型骨干网中,中端千兆防火墙主要应用于企事业单位,百兆的低端防火
安全隔离网闸技术需求 1 项目背景 为满足省局门户网站的业务需求,增强系统稳定性,对原有安全隔离网闸进行更换,采用双机热备模式组建门户网站内外交换平台。 2 采购内容 门户网站安全隔离交换网闸及其集成,数量:2台,互为热备。 3 技术指标要求 各类产品技术指标详见下表,所有加星号(*)指标项均为强制性指标,任何一条不满足将视为重大偏离,并导致投标被拒绝。未加星号(*)的指标项均为优选指标项。 所有设备具有的光接口均应配置光接口模块,集成中所必需的各类光纤、线缆等配件均应配置(双绞线应采用六类国际知名品牌成品双绞线,其他附材应符合国家的相关标准,并满足所使用部位的要求)。 所有指标项以公开产品宣传彩页、或国家具有相关职能的第三方中立检测机构的检测证明、或中央政府采购网站公告的内容为依据。
4 系统集成 4.1 系统安装、调试地点 投标人负责完成指定地点的设备安装及相关工作。 4.2 安装调试(集成)具体内容 安装调试的主要目标是使经过本次采购设备后,经过系统集成,使整个网络能够连通并具有互操作性、所有设备能够接通并正常运转、所有软件能够在相应平台上正常运行,并与已有设备互连互通,且与已有设备服务商密切合作,实现所有设备互连互通,满足业务系正常运行的要求。投标人有责任且必须承诺使项目单位的系统达到以上目标。 4.2.1 设备集成内容 根据标书要求,在标书规定的地点和环境下, 实现投标设备与其他设备的连接并正常运行,达到标书要求的性能和产品技术规格中的性能。系统集成中涉及的线缆等辅助材料或附件均由投标人负责,采购人不再支付任何费用。产品应由厂商专业技术人员进行安装调试或进行产品安装配置的检查和指导。 4.2.2 产品验收要求 1) 依标书要求对全部设备、产品、型号、规格、数量、外型、外观、包装及资料、文件(如装箱单、保修单、随箱介质等)的验收。
网御安全隔离与信息交换系统 技术白皮书 V4.5 北京网御星云信息技术有限公司
网御安全隔离与信息交换系统技术白皮书 目录 引言 (1) 1产品概述 (2) 1.1产品定位 (2) 1.2工作原理 (2) 1.3技术特性 (3) 2系统架构 (5) 2.1硬件架构 (5) 2.2软件架构 (7) 3产品特色 (8) 3.1高安全的架构设计 (8) 3.2高速隔离交换性能 (8) 3.3专家级的数据安全 (8) 3.4广泛的应用适用性 (9) 3.5业内领先高可靠性 (9) 4技术优势 (10) 4.1安全性技术优势 (10) 4.1.1安全的隔离硬件 (10) 4.1.2安全的操作系统 (10) 4.1.3应用协议内容安全 (10) 4.1.4网络层安全 (11) 4.1.5强的抗攻击能力 (12) 4.1.6防IP地址盗用 (12) 4.2高性能技术优势 (12) 4.2.1并行处理技术 (12) 4.2.2协议自动处理技术 (12) 4.2.3双摆渡传输技术 (12) 4.2.4链路聚合技术 (13) 4.3适用性技术优势 (13) 4.3.1灵活的多网隔离 (13) 4.3.2灵活的安装部署 (13) 4.4可靠性技术优势 (13) 4.4.1端口冗余 (13) 4.4.2双机热备 (13)
网御安全隔离与信息交换系统技术白皮书 4.4.3动态负载均衡 (14) 4.5易管理技术优势 (14) 4.5.1强大、多样的管理方式 (14) 4.5.2高效的集中式管理系统 (14) 4.5.3完善的日志和审计 (15) 4.5.4友好的管理界面 (15) 4.6核心技术优势 (15) 4.6.1领先的多网隔离 (16) 4.6.2独创的硬件架构 (16) 4.6.3超强的抗攻击能力 (17) 5基本功能 (18) 6运行环境 (20) 7典型应用 (21) 7.1数据同步 (21) 7.1.1数据库同步 (21) 7.1.2文件同步 (21) 7.2代理访问 (22) 图片索引 图1网御网闸工作原理图 (3) 图2网御网闸硬件架构原理图 (6) 图3网御网闸系统软件架构图 (7) 图5网御网闸数据库同步功能示意图 (21) 图6网御网闸文件同步功能示意图 (22) 图7网御网闸代理访问功能示意图 (23)
网御SIS-3000安全隔离网闸典型案例“网上营业厅”的安全解决方案
目录
1.前言 Internet作为覆盖面最广、集聚人员最多的虚拟空间,形成了一个巨大的市场。中国互联网络信息中心(CNNIC)在2002年7月的“中国互联网络发展状况统计报告”中指出,目前我国上网用户总数已经达到4580万人,而且一直呈现稳定、快速上升趋势。面对如此众多的上网用户,为商家提供了无限商机。同时,若通过Internet中进行传统业务,将大大节约运行成本。据统计,网上银行一次资金交割的成本只有柜台交割的13%。 面对Internet如此巨大的市场,以及大大降低运行成本的诱惑,各行各业迫切需要利用Internet这种新的运作方式,以适应面临的剧烈竞争。为了迎接WTO的挑战,实现“以客户为中心”的经营理念,各行各业最直接的应用就是建立“网上营业厅”。 但是作为基于Internet的业务,如何防止黑客的攻击和病毒的破坏,如何保障自身的业务网运行的安全就迫在眉睫了。对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性,在人们心中还有很多疑虑,因为很多网络安全技术都是事后技术,即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。防火墙技术虽然是一种主动防护的网络安全技术,它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障,但它自身却常常被黑客攻破,
成为直接威胁用户局域网的跳板。造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测,不提供基于硬件隔离的安全手段。 所谓“道高一尺,魔高一丈”,面对病毒的泛滥,黑客的横行,我们必须采用更先进的办法来解决这些问题。目前,出现了一种新的网络安全产品——联想安全隔离网闸,该系统的主要功能是在两个独立的网络之间,在物理层的隔离状态下,以应用层的安全检测为保障,提供高安全的信息交流服务。
安全隔离网闸疑难问题大全(40问) 1、网闸全称是什么?网闸的英文名称是什么? 网闸的全称是安全隔离网闸。网闸的英文名称是"GAP"。 2、安全隔离网闸是什么? 安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。 3、安全隔离网闸是硬件设备还是软件设备? 安全隔离网闸是由软件和硬件组成。 4、安全隔离网闸硬件设备是由几部分组成? 安全隔离网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。 5、为什么要使用安全隔离网闸? 当用户的网络需要保证高强度的安全,同时又与其它不信任网络进行信息交换的情况下,如果采用物理隔离卡,信息交换的需求将无法满足;如果采用防火墙,则无法防止内部信息泄漏和外部病毒、黑客程序的渗入,安全性无法保证。在这种情况下,安全隔离网闸能够同时满足这两个要求,又避免了物理隔离卡和防火墙的不足之处,是最好的选择。 6、隔离了,怎么还可以交换数据? 对网络的隔离是通过网闸隔离硬件实现两个网络在链路层断开,但是为了交换数据,通过设计的隔离硬件在两个网络对应的上进行切换,通过对硬件上的存储芯片的读写,完成数据的交换。 7、安全隔离网闸能够交换什么样的数据? 安装了相应的应用模块之后,安全隔离网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并可以在网络之间交换定制的文件。 8、安全隔离网闸的主要性能指标有那些? 性能指标包括: 系统数据交换速率:120Mbps 硬件切换时间:5ms 9、安全隔离网闸通常具备的安全功能模块有那些? 安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证 10、为什么说安全隔离网闸能够防止未知和已知木马攻击? 通常见到的木马大部分是基于TCP的,木马的客户端和服务器端需要建立连接,而安全隔离网闸从原理实现上就切断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马无法通过安全隔离网闸进行通讯。从而可以防止未知和已知的木马攻击。
网御SIS-3000 安全隔离网闸典型案例网上营业厅”的安全解决方案
目录 1.前言错误!未定义书签。 2. 需求分析...................................... 错误!未定义书签。 3 网络安全方案设计错误!未定义书签。
1.前言 Internet 作为覆盖面最广、集聚人员最多的虚拟空间,形成了一个巨大的市场。中国互联网络信息中心(CNNIC)在2002年7月的“中国互联网络发展状况统计报告”中指出,目前我国上网用户总数已经达到4580 万人,而且一直呈现稳定、快速上升趋势。面对如此众多的上网用户,为商家提供了无限商机。同时,若通过Internet 中进行传统业务,将大大节约运行成本。据统计,网上银行一次资金交割的成本只有柜台交割的13%。 面对Internet 如此巨大的市场,以及大大降低运行成本的诱惑,各行各业迫切需要利用Internet 这种新的运作方式,以适应面临的剧烈竞争。为了迎接WTO的挑战,实现“以客户为中心”的经营理念,各行各业最直接的应用就是建立“网上营业厅”。 但是作为基于Internet 的业务,如何防止黑客的攻击和病毒的破坏,如何保障自身的业务网运行的安全就迫在眉睫了。对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性,在人们心中还有很多疑虑,因为很多网络安全技术都是事后技术,即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。防火墙技术虽然是一种主动防护的网络安全技术,它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障,但它自身却常常被黑客攻破,成为直接威胁用户局域网的跳板。造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测,不提供基于硬件隔离的安全手段。 所谓“道高一尺,魔高一丈”,面对病毒的泛滥,黑客的横行,我们必须采用更先进的办法来解决这些问题。目前,出现了一种新的网络安全产品——联想安全隔离网闸,该系统的主要功能是在两个独立的网络之间,在物理层的隔离状态下,以应用层的安全检测为保障,提供高安全的信息交流服务。
联想网御网闸(SIS-3000)设备测试报告 一、设备管理、拓扑结构 1、通过笔记本管理网闸,需要先在笔记本上导入管理证书(光盘——管理证书文件夹下,密码:hhhhhh),管理IP:10.0.0.200 ,掩码:255.255.255.0 。 2、登录内网:用网线连接内网专用管理口,在IE浏览器输入:https://10.0.0.1:8889 3、输入用户名/密码:administrator/ administrator (超级用户)或输入:admin/admin123(管理员用户)。 4、登录外网:用网线连接外网专用管理口,在IE浏览器输入:https://10.0.0.2:8889或输入用户名/密码:administrator/ administrator (超级用户) 或输入:admin/admin123(管理员用户)。 测试拓扑结构: FTP客户端 FTP服务端注:网闸的工作模式有两种,普通模式、透明模式。 “访问类别”功能是网闸的主要应用之一,根据外部应用客户端跨网闸访问“目的服务器地址”的不同,分为“透明访问”、“普通访问”两种模式。 两种应用模式具体的比较如下
区别透明访问普通访问 含义外部客户端,“无视”网闸的存在,直接访 问网闸另一侧的真实服务器地址;外部客户端通过访问相连网闸地址,再由网闸连接真实服务器; 原理区别两者相同两者相同 配置区别1)只需配置网闸客户端任务,无需配置网 闸服务端任务; 2)客户端添加一条路由,指向网闸;必须同时配置网闸客户端、服务端任务,且对应任务之间的任务号必须相同; 访问目的地址网闸另一侧的真实服务器地址与客户端相连一侧的网闸地址网闸两侧网络 地址同网段 支持支持 网闸两侧网络 地址不同网段 支持支持 双机热备支持支持 负载均衡不支持支持 ◆硬件架构原理图如下 二、网闸主要配置抓图 2.1、内网配置抓图: ◆登陆界面
联想 网御SIS安全隔离与信息交换系统数据库同步客户端操作手册
声明 ?本手册所含内容若有任何改动,恕不另行通知。 ?在法律法规的最大允许范围内,联想网御科技(北京)有限公司除就本手册和产品应负的瑕疵担保责任外,无论明示或默示,不作其它任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。 ?在法律法规的最大允许范围内,联想网御科技(北京)有限公司对于您的使用或不能使用本产品而发生的任何损坏(包括,但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失),不负任何赔偿责任。 ?本手册含受版权保护的信息,未经联想网御科技(北京)有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。 联想网御科技(北京)有限公司 中国北京海淀区中关村南大街6号中电信息大厦8层
章节目录 章节目录 (3) 第1章前言 (4) 1.1 导言 (4) 1.2 本书适用对象 (4) 1.3 本书适合的产品 (4) 1.4 相关参考手册 (4) 第2章如何开始 (5) 2.1 系统概述 (5) 2.2 工作原理 (5) 2.3 产品特点 (5) 2.3.1 与数据库的连接方式 (5) 2.3.2 支持的数据库类型 (6) 2.3.3 支持的数据库表结构 (6) 2.3.4 支持的数据库表字段类型 (6) 2.3.5 其他特点 (8) 2.4 运行环境 (8) 2.5 安装步骤 (9) 第3章系统设置 (10) 3.1 系统位置 (10) 3.2 证书管理 (10) 3.3 本机地址设置 (11) 3.4 通信模式设置 (12) 第4章发送任务 (13) 4.1 新建任务 (13) 4.2 删除任务 (15) 4.3 修改任务 (15) 第5章接收任务 (17) 5.1 新建任务 (17) 5.2 删除任务 (20) 5.3 修改任务 (20) 第6章任务调度 (22) 6.1 任务调度 (22) 第7章查看日志 (24) 7.1 日志查看 (24) 第8章附录 (25) 8.1 常见问题说明 (25)
如今,网络隔离技术已经得到越来越多用户的重视,重要的网络和部门均开始采用隔离网闸产品来保护内部网络和关键点的基础设施。目前世界上主要有三类隔离网闸技术,即SCSI技术,双端口RAM技术和物理单向传输技术。SCSI是典型的拷盘交换技术,双端口RAM也是模拟拷盘技术,物理单向传输技术则是二极管单向技术。 随着互联网上黑客病毒泛滥、信息恐怖、计算机犯罪等威胁日益严重,防火墙的攻破率不断上升,在政府、军队、企业等领域,由于核心部门的信息安全关系着国家安全、社会稳定,因此迫切需要比传统产品更为可靠的技术防护措施。物理隔离网闸最早出现在美国、以色列等国家的军方,用以解决涉密网络与公共网络连接时的安全。在电子政务建设中,我们会遇到安全域的问题,安全域是以信息涉密程度划分的网络空间。涉密域就是涉及国家秘密的网络空间。非涉密域就是不涉及国家的秘密,但是涉及到本单位,本部门或者本系统的工作秘密的网络空间。公共服务域是指不涉及国家秘密也不涉及工作秘密,是一个向互联网络完全开放的公共信息交换空间。国家有关文件就严格规定,政务的内网和政务的外网要实行严格的物理隔离。政务的外网和互联网络要实行逻辑隔离,按照安全域的划分,政府的内网就是涉密域,政府的外网就是非涉密域,互联网就是公共服务域。 国家有关研究机构已经研究了安全网闸技术,以后根据需求,还会有更好的网闸技术出现。通过安全网闸,把内网和外网联系起来;因此网闸成为电子政务信息系统必须配置的设备,由此开始,网闸产品与技术在我国快速兴起,成为我国信息安全产业发展的一个新的增长点。
网闸的概念 网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议"摆渡",且对固态存储介质只有"读"和"写"两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使"黑客"无法入侵、无法攻击、无法破坏,实现了真正的安全。 安全隔离与信息交换系统,即网闸,是新一代高安全度的企业级信息安全防护设备,它依托安全隔离技术为信息网络提供了更高层次的安全防护能力,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。 第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的,实现了在空气缝隙隔离(Air Gap)情况下的数据交换,安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。 第二代网闸正是在吸取了第一代网闸优点的基础上,创造性地利用全新理念的专用交换通道PET(Private Exchange Tunnel)技术,在不降低安全性的前提下能够完成内外
联想网御防火墙配置手册 1 登陆方法 1.1 使用电子钥匙方式登陆防火墙 在Web 界面管理中,管理主机默认只能连接防火墙的fe1,如果需要连接其它网口,必须进行相应的设置。默认的管理主机IP 地址是10.1.5.200,Web 界面管理使用SSL 协议来加密管理数据通信,因此使用IE 来管理防火墙时,在地址栏输入https://a.b.c.d:8888/,来登录防火墙。其中防火墙的地址“a.b.c.d”初始值为“10.1.5.254”,登录防火墙的初始用户名和口令都是“administrator”,“administrator”中所有的字母都是小写的。 注意:用Web 界面管理时,建议管理主机设成小字体,分辨率为1024*768;其他字体和分辨率可能使界面显示不全或顺序混乱。 管理员通过Web 方式管理防火墙有两种认证方式,电子钥匙认证和证书认证。使用电子钥匙时,首先将电子钥匙插入管理主机的usb 口,启动用于认证的客户端ikeyc.exe,输入PIN 密码,默认为12345678,系统会读出用于认证的ikey 信息,此时窗口右边的灯是红的。(如下图所示) 选择“连接”,连接进行中灯是黄的,如果连接成功,灯会变绿,并且出现通过认证的提示框,“确定”后,就可以通过https://10.1.5.254:8888 连接防火墙了。(如下图所示)
注意:防火墙管理过程中,请不要拔下电子钥匙,也不要关闭防火墙管理认证客户端,否则可能无法管理。 1.2使用管理证书认证方式远程登陆防火墙 1.2.1远程登陆防火墙的条件 1、必须在先使用电子钥匙登陆防火墙,在“系统配置>>管理配置>>管理证书” 页面上载防火墙证书。(附图1) 2、在准备登陆防火墙的计算机上导入浏览器认证证书“admin.p12”。(附图2) 3、在“系统配置〉〉管理配置〉〉管理主机”页面添加管理主机。(附图3) 4、对“网络配置〉〉网络设备”页面中的fe4口进行操作(附图4)。打开“用 于管理”选项。(附图5) 附图1 说明:选择好相应的证书和密钥,点击“导入”即可。
安全隔离网闸 什么是安全隔离网闸 安全隔离网闸,又名“网闸”、“物理隔离网闸”,用以实现不同安全级别网络之间的安全隔离,并提供适度可控的数据交换的软硬件系统。安全数据交换单元不同时与内外网处理单元连接,为2+1的主机架构。隔离网闸采用SU-Gap安全隔离技术,创建一个内、外网物理断开的环境。 安全隔离网闸的产生 网闸的产生,最早是出现在美国、以色列等国的军方,用以解决涉密网络与公共网络连接时的安全问题。 随着电子政务在我国的蓬勃发展,政府部门的高安全网络和其他低安全网络之间进行数据交换的需求日益明显,处于国家安全考虑,政府部门一般倾向于使用国内安全厂商的安全产品,种种因素促使了网闸在我国的产生。 我国第一款安全隔离网闸产生于2000年,现在已经广泛应用于政府、金融、交通、能源等行业。 安全隔离网闸的实现原理 安全隔离网闸的组成: 安全隔离网闸是实现两个相互业务隔离的网络之间的数据交换,通用的网闸模型设计一般分三个基本部分: a. 内网处理单元 b. 外网处理单元 c. 隔离与交换控制单元(隔离硬件) 其中,三个单元都要求其软件的操作系统是安全的,也就是采用非通用的操作系统,或改造后的专用操作系统。一般为Unix BSD或Linux的经安全精简版本,或者其他是嵌入式操作系统VxWorks等,但都要对底层不需要的协议、服务删除,使用的协议优化改造,增加安全特性,同时提高效率。 下面分别介绍三个基本部分的功能: 内网处理单元:包括内网接口单元与内网数据缓冲区。接口部分负责与内网的连接,并终止内网用户的网络连接,对数据进行病毒检测、防火墙、入侵防护等安全检测后剥离出“纯数据”,作好交换的准备,也完成来自内网对用户身份的确认,确保数据的安全通道;数据缓冲区是存放并调度剥离后的数据,负责与隔离交换单元的数据交换。 外网处理单元:与内网处理单元功能相同,但处理的是外网连接。 隔离与交换控制单元:是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。控制单元中包含一个数据交换区,就是数据交换中的摆渡船。对交换通道的控制的方式目前有两种技术,摆渡开关与通道控制。摆渡开关是电子倒换开关,让数据交换区与内外网在任意时刻的不同时连接,形成空间间隔GAP,实现物理隔离。通道方式是在内外网之间改变通讯模式,中断了内外网的直接连接,采用私密的通讯手段形成内外网的物理隔离。该单元中有一个数据交换区,作为交换数据的中转。 安全隔离网闸的两类模型: 在内外网处理单元中,接口处理与数据缓冲之间的通道,称内部通道1,缓冲区与交换区之间的通道,称内部通道2。对内部通道的开关控制,就可以形成内外网的隔离。模型中的用中间的数据交换区摆渡数据,称为三区模型;摆渡时,交换区的总线分别与内、外网缓冲区连接,也就是内部通道2的控制,完成数据交换。
医院服务窗安全建设方案 2014年9月 目录
一、医院服务窗背景介绍 随着3G、4G时代的到来,大家越来越习惯使用智能手机来查询、和商户的互动。来自中国互联网络信息中心(CNNIC)的《2013中国互联网络发展状况统计报告》显示,截至2013年底,中国手机网民规模达到约亿人,占整体网民的比例达到%。 而最近几年,互联网在快速颠覆和改变很多传统行业,包括零售、通讯、医疗等行业。医院作为特殊的事业单位,涉及到13亿中国人的福祉,但一直存在“挂号难”“看病难、看病贵”“医生劳动与回报”突出的问题,之所以出现这种状态是由于两方信息的不对称,医患不融合。我们知道,解决任何双方矛盾的根本是平台的建设,只有双方在一个平台中共同努力,协调利益,才能有效解决问题。 目前支付宝将对医疗机构开放自己的平台能力,包括账户体系、移动平台、支付及金融解决方案、云计算能力等,通过支付宝钱包中的服务窗可以提供患者与医院交流的一个公众服务平台。这也就为医院提高就医体验,掌握病人就医行为提供了可能;也为医院将更优质的服务通过互联网提供给病人提供了可能。 医院服务窗正是基于支付宝钱包服务窗向患者提供的医疗服务平台。在这个平台上患者及其家属可以通过服务窗自助完成预约挂号、诊间支付以及查看患者感兴趣的信息,使医院和患者之间就建立了一种信任关系,进一步增加了患者对医院的信赖感和黏度,从而达到和谐医患关系的目标。 二、医院服务窗网络安全解决方案 医院服务窗的终端用户(病友及访客)是通过互联网来访问医院服务窗的IIS服务器获取信息,由于医院服务窗的IIS服务器位于医院内部网络且需要向医院的核心服务器HIS服务器提取相关数据,整个数据链路涉及内网及外网,为降低数据流被意外安全事件中断的机率,保证整个业务高效,流畅地运转,现为相关数据流设计如下网络安全防护体系。 下图是医院服务窗系统在应用过程中一个典型的安全防护设备部署拓补图。医院服务窗的终端用户通过各种移动设备(智能手机、智能平板等)经过互联网向IIS服务器查询数据。数据流会先经过安全设备的第一道门槛-防火墙,然后再经防病毒网关到达第二道门槛-WEB应用防护设备到达IIS服务器。IIS服务器
联想网御网闸(SIS-)配置过程
————————————————————————————————作者: ————————————————————————————————日期:
联想网御网闸(SIS-3000)设备测试报告 一、设备管理、拓扑结构 1、通过笔记本管理网闸,需要先在笔记本上导入管理证书(光盘——管理证书文件夹下,密码:hhhhhh),管理IP:10.0.0.200,掩码:255.255.255.0 。 2、登录内网:用网线连接内网专用管理口,在IE浏览器输入: 3、输入用户名/密码:administrator/administrator(超级用户)或输入:admin/admin123(管理员用户)。 4、登录外网:用网线连接外网专用管理口,在IE浏览器输入:或输入用户名/密码:administrator/ administrator (超级用户) 或输入:admin/admin123(管理员用户)。 测试拓扑结构: 192.168.20.2内:192.168.20.1外:192.168.10.1 192.168.10.2 FTP客户端网闸客户端网闸服务端 FTP服务端注:网闸的工作模式有两种,普通模式、透明模式。 “访问类别”功能是网闸的主要应用之一,根据外部应用客户端跨网闸访问“目的服务器地址”的不同,分为“透明访问”、“普通访问”两种模式。 两种应用模式具体的比较如下 区别透明访问普通访问 含义外部客户端,“无视”网闸的存在,直接访问 网闸另一侧的真实服务器地址; 外部客户端通过访问相连网闸地址,再由网闸连接真实服务器; 原理区别两者相同两者相同 配置区别1)只需配置网闸客户端任务, 无需配置网闸服务端任务; 2)客户端添加一条路由,指向 网闸; 必须同时配置网闸客户端、服务端任务,且对应任务之间的任务号必须相同; 访问目的地址网闸另一侧的真实服务器地址与客户端相连一侧的网闸地址网闸两侧网络支持支持
联想网御网闸数据库访问功能配置案例 2006-1-17
目录 1 网络拓扑 (1) 2 客户需求 (1) 3 网络配置 (2) 3.1 内网网络端口配置 (2) 3.2 内网管理端口地址 (2) 3.3 外网网络端口配置 (3) 3.4 外网网关配置 (3) 3.5 外网管理端口地址 (4) 4 网闸具体配置 (5) 4.1 需求一配置 (5) 4.1.1 内网模块配置 (5) 4.1.1.1 添加Oracle 数据库客户端任务 (5) 4.1.1.2 新建访问用户配置 (6) 4.1.1.3 访问控制生效 (6) 4.1.2 外网模块配置 (7) 4.1.2.1 添加Oracle 数据库服务端任务 (7) 4.1.2.2 新建访问用户配置 (7) 4.1.2.3 访问控制生效 (8) 4.1.3 内网客户端主机配置 (9) 4.1.3.1 内网主机运行客户端软件并将数据库添加到树 (9) 4.1.3.2 内网用户成功登录外网数据库 (9) 4.2 需求二配置 (10) 4.2.1 内网模块配置 (10) 4.2.1.1 添加SQL Server 数据库客户端任务 (10) 4.2.1.2 新建访问用户配置 (10) 4.2.1.3 访问控制生效 (11) 4.2.2 外网模块配置 (12) 4.2.2.1 添加SQL Server 数据库服务端任务 (12) 4.2.2.2 修改访问用户配置 (12) 4.2.2.3 访问控制生效 (13) 4.2.3 内网客户端主机配置 (14) 4.2.3.1 内网主机数据库客户端配置 (14) 4.2.3.2 内网主机成功登录外网SQL Server数据库 (14)
网闸技术构建内外网一体化门户 一、序言 近年来,随着我国信息化建设步伐的加快,“电子政务”应运而生,并以前所未有的速度发展。电子政务体现在社会生活的各个方面:工商注册申报、网上报税、网上报关、基金项目申报等等。电子政务与国家和个人的利益密切相关,在我国电子政务系统建设中,外部网络连接着广大民众,内部网络连接着政府公务员桌面办公系统,专网连接着各级政府的信息系统,在外网、内网、专网之间交换信息是基本要求。如何在保证内网和专网资源安全的前提下,实现从民众到政府的网络畅通、资源共享、方便快捷是电子政务系统建设中必须解决的技术问题。一般采取的方法是在内网与外网之间实行防火墙的逻辑隔离,在内网与专网之间实行物理隔离。本文将介绍大汉网络公司基于网闸技术构建内外网一体化门户的案例。 二、网闸的概述 1、网闸的定义 物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客“无法入侵、无法攻击、无法破坏,实现了真正的安全。 2、网闸的组成 网闸模型设计一般分三个基本部分组成: ·内网处理单元:包括内网接口单元与内网数据缓冲区。 ·外网处理单元:与内网处理单元功能相同,但处理的是外网连接。 ·隔离与交换控制控制单元:是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。 3、网闸的主要功能 ?·阻断网络的直接物理连接和逻辑连接 ·数据传输机制的不可编程性? ?·安全审查 ?·原始数据无危害性 ?·管理和控制功能 ?·根据需要提供定制安全策略和传输策略的功能 ?·支持定时/实时文件交换 ?·支持Web方式 ?·支持数据库同步 三、政府网络中物理隔离技术的应用 1、我国网络信息安全现状 随着政府上网、海关上网、电子商务等一系列网络应用的蓬勃发展,Internet 正在逐渐融入到社会的各个方面。安全保障能力是新世纪一个国家综合国力、经济竞争实力和生存能力的重要组成部分。这个问题解决不好,将全方位地危及我国的政治、军事、经济、文化、社会生活的各个方面,使国家处于信息战和高度
电子政务安全首选网闸隔离 如今,网络隔离技术已经得到越来越多用户的重视,重要的网络和部门均开始采用隔离网闸产品来保护内部网络和关键点的基础设施。目前世界上主要有三类隔离网闸技术,即SCSI技术,双端口RAM技术和物理单向传输技术。SCSI是典型的拷盘交换技术,双端口RAM也是模拟拷盘技术,物理单向传输技术则是二极管单向技术。 随着互联网上黑客病毒泛滥、信息恐怖、计算机犯罪等威胁日益严重,防火墙的攻破率不断上升,在政府、军队、企业等领域,由于核心部门的信息安全关系着国家安全、社会稳定,因此迫切需要比传统产品更为可靠的技术防护措施。物理隔离网闸最早出现在美国、以色列等国家的军方,用以解决涉密网络与公共网络连接时的安全。在电子政务建设中,我们会遇到安全域的问题,安全域是以信息涉密程度划分的网络空间。涉密域就是涉及国家秘密的网络空间。非涉密域就是不涉及国家的秘密,但是涉及到本单位,本部门或者本系统的工作秘密的网络空间。公共服务域是指不涉及国家秘密也不涉及工作秘密,是一个向互联网络完全开放的公共信息交换空间。国家有关文件就严格规定,政务的内网和政务的外网要实行严格的物理隔离。政务的外网和互联网络要实行逻辑隔离,按照安全域的划分,政府的内网就是涉密域,政府的外网就是非涉密域,互联网就是公共服务域。 国家有关研究机构已经研究了安全网闸技术,以后根据需求,还会有更好的网闸技术出现。通过安全网闸,把内网和外网联系起来;因此网闸成为电子政务信息系统必须配置的设备,由此开始,网闸产品与技术在我国快速兴起,成为我国信息安全产业发展的一个新的增长点。 网闸的概念 网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议”摆渡”,且对固态存储介质只有”读”和”写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使”黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。 安全隔离与信息交换系统,即网闸,是新一代高安全度的企业级信息安全防护设备,它依托安全隔离技术为信息网络提供了更高层次的安全防护能力,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。 第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的,实现了在空气缝隙隔离(Air Gap)情况下的数据交换,安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。 第二代网闸正是在吸取了第一代网闸优点的基础上,创造性地利用全新理念的专用交换通道PET(Private Exchange Tunnel)技术,在不降低安全性的前提下能够完成内外网之间高速的数据交换,有效地克服了第一代网闸的弊端,第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现的,虽然仍是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全效果的,但却提供了比第一代网闸更多的网络应用支持,并且由于其采用的是专用高速硬件通信卡,使得处理能力大大提高,达到第一代网闸的几十倍之多,而私有通信协议和加密签名机制保证了内外处理单元之间数据交换的机密性、完整性和可信性,从而在保证安全性的同时,提供更好的处理性能,能够适应复杂网络对隔离应用的需求。 传统防火墙与网闸(SGAP)的对比 下面我们用一张表反映传统防火墙与网闸(SGAP)的对比情况。
网闸产品对比:选用安全隔离网闸注意的问题 什么是网闸?如何比较不同的网闸产品?是许多人关心的问题。本文将就一些网闸的设计原理来对国内的网闸技术进行一下对比,以便用户可以更加准确地了解到不同设计的优缺点。 近来出现的安全隔离网闸技术(也称:物理隔离网闸或安全隔离与信息交换系统)解决了部分防火墙安全性不足的问题。从原理上说,网闸是由两个互相独立的计算机处理模块组成的中间有一个隔离岛。这种同时包含两个互相独立的计算机处理模块的系统显然比具有单一处理单元的防火墙要复杂的多,设计的难度也大得多,价格也要高许多。首先从设计的技术来看,由于工控机可以极大的简化设计过程和大幅度缩短设计时间,绝大多数的安全隔离网闸处理模块均采用工控机主板设计,这种设计会带来前面提到的自身防护性差、稳定性差、功耗大等PC常见的严重问题。 在防范网络攻击方面物理隔离网闸设计往往采用工控机作为其硬件平台。这种设计无需单独设计硬件,极大地简化了设计难度,缩短了产品设计周期。然而工控机的设计的对象主要是满足工业控制设备的需要、并非为网络安全装置设计的,因此他不仅带来了许多无用的功能和硬件而且带来了许多意想不到的严重问题和信息安全漏洞。 所谓工控机就是工业版的电脑(PC)使用标准的操作系统(WINDOS或LINUX)。联想一下你自己使用的电脑,你就知道他有些什么问题。首先大家知道PC和它的操作系统都是一些极易被攻击的对象。它们本身就存在着许多安全漏洞和问题,也就是说自身难保,一个连自身的安全都无法保证的网络安全装置又如何去保护一个网络的信息安全呢? 工控机平台的网络安全装置继承了PC平台的所有弊病,他们表现在: 安全性极差:PC软硬件平台是目前使用最广泛的计算机系统也是最易受攻击的系统:
概述 一、网闸的常见故障概述: 1、网闸的常见故障分类: 可以分为两大类,软件故障和硬件故障。 硬件故障,如果影响了正常使用,一般要返修或者由专业技术人员前来维修。软件故障,一般情况下,可以通过修改配置、添加补丁和重新安装的方式解决,最后一种方式,一般由厂家技术人员完成,或者直接更换新设备。 2、网闸故障常见问题的判断: 基本原则:一看,二登,三ping,四“挂”。 一看:是看各种指示灯的工作状态!具体判断见硬件故障判断依据。 二登:是登陆web的管理界面,去外网和内网查看各种配置信息,应用状态检测,交换卡的工作状态、日志等等,基本给硬件和软件故障进行定性; 三ping:在网闸的ping状态开放的情况下,去ping各个IP和IP别名,去判断网闸的工作状态; 四“挂”,用telnet 去“挂”各服务开放的端口,判断具体是哪个部分出了问题。以上是用户和代理商,用来初步判断故障的基本方法。 如果是专业的工程师,可以登陆后台依据进程、服务等,对网闸故障进行判断和分析。
二、基本模块 1、硬件问题 1.问:如何检查设备硬件工作状态是否正常? 答:1、检查内外网模块电源(长亮)及硬盘(有数据传输时闪烁)指示灯是否正常; 2、检查网闸数据交换模块状态指示灯是否保持闪烁状态; 3、登录管理界面检测内外网系统是否已经启动。 2.问:如何检查交换模块工作状态是否正常? 答:1. 检查前面板交换灯状态:内外网交换灯长亮或一灯长亮一灯不亮则说明交换模块工作异常;交换灯处于闪烁状态说明内外网有数据交换。(系统在没有导入许可证前,由于系统的交换卡检测程序频繁的发送数据会导致两个交换灯处于近乎长亮的状态) 2.登陆管理界面,打开工具箱-〉交换卡状态界面,可查看交换模块工作状态3.通过串口登陆,运行detect_card命令,可查看交换模块工作状态登陆命令行管理方式的方法,管理主机与网闸com1口相连,波特率是9600,其它为默认,登陆用户名为lenovo,无密码。 2、基本管理模块 3.问:为什么无法打开管理界面? 答:1、检查管理机的网络地址是否和网闸管理地址通信是否正常; 2、检查网闸的网络地址、管理地址和HA地址是否处于不同网段(一定要在不同的网段); 3.通过串口登陆到后台,检查系统的httpd服务是否启动。 (通过串口线使用超级终端可以恢复管理口和网络口的出厂配置) 4.问:问为什么功能模块不可用?
联想网御 内网安全管理系统 联想网御内网安全管理系统是联想 网御安全管理系统的重要组成部 分,采用TTM可信终端管理技术, 保护企业内部资源和网络的安全 性。内网安全管理系统,由终端管 理系统、补丁管理系统和文件保密 管理系统组成。终端管理系统帮助 用户实现桌面行为监管、外设和接 口管理、准入控制、非法外联监控 和终端资产管理功能。补丁管理系 统帮助用户实现系统漏洞分析、补 丁自动分发、分发策略管理和分发 流量控制功能。文件保密管理系统 帮助用户实现对文件、目录、磁盘 和U盘的保密管理功能。 产品组成 联想网御内网安全管理系统由服务器、客户端和控制台三部分组成。 ●服务器:用于管理终端计算机的资产和系统信息、漏洞补丁数据、所应用的安全策略等,并 向终端计算机的客户端发送监控指令等。 ●客户端:安装在每台被管理的终端计算机上,用于收集终端计算机的数据信息,执行来自服 务器模块的指令,完成对终端计算机的监控等。 ●控制台:是对服务器进行操作的控制界面,用于监控每台安装有客户端的终端计算机,制定 安全策略,下达对终端计算机的监控指令等。
产品优势 终端隐患一网打尽 系统采用底层监控技术对终端用户的外设接口使用行为进 行控制,可以禁止使用USB存储设备、打印机、红外接口 等外设和接口,同时支持对敏感文件进行加密,防止重要 数据外泄。系统支持对终端用户的程序使用、文件访问、 上网行为、端口通信、网络共享、资产变更等行为进行监 控、审计和管理,消除终端安全隐患。 系统补丁统一分发 系统通过对终端计算机进行自动漏洞分析,统一向终端下 发所需系统补丁,确保终端计算机方便快捷地修补系统漏 洞,增强终端安全性。系统支持补丁分发策略管理、分发 流量控制、级联分发、自定义补丁管理、补丁增量更新、 补丁回退等功能,帮助客户省时、省力、省带宽地完成对 终端的"查遗补漏"。 安全策略强制执行 系统以强制执行内部安全策略为核心,通过在服务器端统一 编辑安全策略并下发到内部各终端计算机上强制执行,完成 对终端计算机集中的安全防护和行为监管,防止用户对内部 资源的非授权访问和重要信息外泄,提高终端自身安全性, 实现终端从自主安全管理到强制安全管理的飞跃,保证内网 用户行为的合规性。