第一章网闸的配置
本章将向用户介绍中网公司安全产品——物理隔离网闸的配置方法,内容包括系统配置、相关数据传输协议的配置、审计管理配置、主机安全性配置,等等。请仔细阅读这一章,特别是在第一次启动网闸时。
用户启动网闸后,将进入登录界面,如图1-1所示。
图1-1 登录界面
网闸IP地址:这个IP地址在登录时已经默认设置,具体地址值根据用户实际网络使用的IP地址域来确定,用户无须更改。
管理员名称:不可更改。
管理员口令:口令或密码的位数应长于6位,且开头字母必须是字母或者数字。
点击“确定”按钮后进入系统配置管理页面;点击“Demo进入”按钮后,则进入演示页面,如图4-2所示。
1.1 系统配置
进入演示页面后,首先默认选择“系统配置”(若选择其它配置服务,只需用鼠标点击一下选中的配置选项),所列信息如下:
版本信息:目前为2004年4月5日发布的1.0版本。
许可证(License):在“演示Demo”情况下,用户不能输入。
系统关闭:点击“系统关闭”按钮将关闭网闸,点击“系统重启”将重新启动网闸。
1.1.1 系统状态
点击“系统配置”左边的“+”,即进入配置子目录选项。图1-3为“系统
1
状态”的页面。
图4-2 演示页面
图1-3 系统配置>>系统状态
系统状态刷新:静态,无需用户更改。
系统运行总时长:静态,无需用户更改。
磁盘占用率:静态,无需用户更改。
2
CPU占用率:静态,无需用户更改。
活动会话数:静态,无需用户更改。
1.1.2 内部主机
图1-4示出了内部主机的配置页面。
图1-4 系统配置>>内部主机
系统日期:用户在设置日期的时候,必须按照左边括号内的格式输入,如,2004-04-05。
系统时间:举例:“13:25:38”(表示当前系统时间为13点25分38秒)。
主机名称:即为本台计算机的名称,鼠标右击“我的电脑”,然后进入“属性”->“网络标识”,就能看到完整的计算机名称。
在设置其它选项之前,应将用户的网络结构、各个IP地址与子网掩码划分清楚,以免配置不当,影响网闸的正常使用。
域名:在互联网出现之初,访问网络的形式主要是IP地址,后来又出现了更容易记忆的形式,如https://www.doczj.com/doc/644540311.html,,https://www.doczj.com/doc/644540311.html,等等,称为“域名”。此处的域名,可根据“我的电脑(右键)->属性->网络标识->属性”来查看本机所在的域,也可向网络管理员咨询。
DNS:全称为“Domain Name System域名服务系统”,实际要填写的是一个点分十进制的IP地址,可根据“(桌面)右键‘网上邻居’->右键‘本地连接’->属性->(选中)Internet Protocol(TCP/IP)->属性”,即可看到“首选DNS 服务器的具体地址”。
网关:根据“(桌面)右键‘网上邻居’->右键‘本地连接’->属性->(选
3
中)Internet Protocol(TCP/IP)->属性”查看“默认网关”的设置。如果本机即处于网关位置,此处不填。
网络接口管理:此处的设置主要是定义和设置主IP地址及其相应的子网掩码。设置主IP地址(点分十进制)后,将鼠标点击子网掩码栏,即可自动填充,如果填充有误,还需要手工修改(将某个0变为255),具体向网络管理员咨询。
点击“配置从地址”,即弹出图1-4(a)所示页面。
图1-4(a)系统配置>>内部主机(从地址配置)
页面中的“接口”、“从地址”、“子网掩码”选中或填好后,在点击“确定”,就可在下面的列表中看到这个设置。如果发现列表中的某一项有错误,选中后,再点击“删除”,即可清除。添加完毕后,点击“确定”,将保存这些设置并返回图1-4页面。若点击“取消”,则所有的新设置全部无效,同时返回图1-4页面。
内部主机全部设置完毕,点击图1-4上的“确定”,就完成保存。
1.1.3 外部主机
图1-5示出了“外部主机”的配置页面,其配置与“内部主机”的配置相同,具体参考以上配置过程。
1.1.4 系统管理员
图1-6示出了系统管理员的配置页面。
4
图1-5 系统配置>>外部主机
图1-6 系统配置>>系统管理员
管理员类型:可在下拉菜单中选择。
帐号:该帐号要与管理员类型相匹配。
5
密码:密码的位数应长于6位,且开头字母必须是字母或者数字。
此时,若点击“添加”按钮,就会将所选中及填写信息加入到下面的列表中;若需要更改密码,则首先在“密码”框中输入新密码,同时在“密码确认”中重新输入新密码,然后点击“更改密码”,这样就改变了对应于该帐号的密码。
所有需要填写或选择的内容填充完毕,点击“确定”即可关闭此页面;若点击“取消”,则刚刚输入的内容全部无效,并关闭此页面。
1.2 外出访问服务
查看状态页面如图1-7所示。
图1-7 外出访问服务
点击“关闭”按钮后,网络内的计算机将不能进行上网、收发邮件等操作;点击“开启”按钮,即可重新打开;当出现浏览网页或收发邮件的异常情况时,可点击“重启”按钮,对外出访问的控制状态进行重新默认设置;点击“状态刷新”按钮,将重新载入当前页面的配置动作。
1.2.1 浏览
点击“外出访问服务”左边的“+”,即弹出树型目录。图1-8为“浏览”的状态控制窗口。
该页面的“开启”、“关闭”、“重启”、“刷新”四个按钮将对浏览网页进行控制,其意义与图1-7中的四按钮意义相同。
6
图1-8 外出访问服务>>浏览
1.2.1.1 HTTP请求
点击“浏览”左边的“+”,即弹出树型目录。图1-9为“HTTP请求”的状态控制选择窗口。
此页面是用户根据自己需要,对所使用的相应协议作出选择。
http协议:超文本传输协议。当用户在浏览器地址栏输入一个网站地址或者单击一个超级链接时,就确定了要浏览的地址。然后,浏览器需要通过http协议将Web服务器站点上的网页代码提取出来,并翻译成漂亮的网页。
https协议:使用http协议,在网络上传输的是没有加密的明文。若要求安全传输,则要使用支持SSL的https协议。打开IE浏览器(或其它),单击“工具”菜单,然后进入“Internet选项->高级->安全”,就可看到已经默认选择了“使用SSL2.0、3.0”。
ftp协议:文件传输协议。选中后,就可以在IE的地址栏中输入类似于ftp://https://www.doczj.com/doc/644540311.html,c的FTP服务器地址,访问该服务器上的资源。
gopher协议:gopher是Internet上一个非常有名的信息查找系统,它将Internet 上的文件组织成某种索引,很方便地将用户从Internet的一处带到另一处。这一
协议使得新用户不必成为专家,就能迅速找到Internet上的优秀资源。
7
8
图1-9 外出访问服务>>浏览>>HTTP 请求
允许HTTP 方法:http 方法get 用来取回请求URI (request -URI )标志的任何信息,并以实体的形式返回。http 方法post 用来要求服务器保存请求包中的实体信息。例如,当选中了post 后,就会允许用户将信息发布到BBS 、新闻组或邮件列表中。若用户需要使用其它http 方法,可选中“其它”,并在后面的文本框中填入,如options 、head 等。
目标域:若对用户访问的站点有所限制,则可以点击“网站列表”按钮进行编写。点击后,如图1-9(a )所示。
图1-9(a ) 外出访问服务>>浏览>>HTTP 请求(网站列表)
按照配置说明进行添加,添加之后点击“确定”即可。
在“目标域”中,根据用户的需要,自主选择“白名单”或者“黑名单”对列表中的网站地址进行访问控制。
URL控制:若选中,则会禁止将下面文本框中所列出的各种各样的字符串在URL路径、文件等中显示。
1.2.1.2 HTTP内容
页面如图1-10所示。
图1-10 外出访问服务>>浏览>>HTTP内容
若用户浏览网页,不希望浏览器翻译网页中的某些脚本程序,或者不允许下载字体格式,可选中“脚本过滤”或“字体下载”中的相应选项。
“文件类型”和“关键词过滤”的使用与图1-10中的“目标域”和“URL 控制”近似,可参考上面已述的释义和使用方法。
1.2.1.3 高级选项
控制页面如图1-11所示。
页面中,可根据用户自身的需要,对“个人隐私保护”、“防止通过URL泄密”、“查杀病毒”进行选择。
过滤浏览器包含的用户信息:
禁止使用用户数据:
禁止使用用户证书:
禁止URL中包含文件路径和文件名:
9
10
图1-11 外出访问服务>>浏览>>高级选项
禁止Crossite 交叉站点:
1.2.2 FTP 服务
图1-12为“FTP 服务”的状态控制窗口。该页面的“开启”、“关闭”、“重启”、“刷新”四个按钮将对FTP 访问服务进行控制设置。
图1-12 外出访问服务>>FTP 服务
1.2.2.1 FTP命令
页面如图1-13所示。
图1-13 外出访问服务>>FTP服务>>FTP命令
FTP协议的数据传输存在两种模式:即主动模式和被动模式。这两种模式发起连接的方向截然相反,主动模式由服务器端向客户端发起,被动模式由客户端向服务器端发起。一般来说,选用主动模式应慎重。因为此模式有可能造成由服务器向客户机发起的ls、get和put等数据传输命令很难成功运行。
对于访问服务器上资源的操作权限,如仅限浏览、禁止上传下载,等等,可根据用户的自身需要在“禁止文件/目录操作”中做出选择。
禁止其它FTP命令:填入要过滤的FTP命令,多个命令以逗号分隔。
选择配置完毕后,可点击“确定”。
1.2.2.2 FTP文件内容
页面如图1-14所示。
这一页面对文件的上传及下载做出若干访问控制。
文件大小:选中,并填充限制传输的文件容量(单位:KB)。之后,客户端上传或下载的数据文件,其容量都会限制此范围之内,超过此范围会拒绝。
文件类型:在文本框中填入要限制的文件类型,如.doc、.exe等,多个文件类型以空格或逗号分隔,为空表示无限制。白名单表示从严处理,选中后,用户将只能上传或下载文件类型列表中的文件类型;黑名单表示从宽处理,选中后,用户将不能上传或下载文件类型列表中的文件类型。
若要求资源访问的安全性更高,可以在“文件类型深度检查”和“查杀病毒”
11
12
做出选择。
图1-14 外出访问服务>>FTP 服务>>FTP 文件内容
1.2.3 收邮件
页面如图1-15所示。
图1-15 外出访问服务>>收邮件
POP3(Post Office Protocol 3)协议是Internet 上用来接收电子邮件的协议,
它允许客户端将邮件从服务器上下载到本地。这个协议使用110端口监听邮件收取服务。该服务器协议通常包含三种状态:认可状态、处理状态和更新状态。当客户端与服务器端建立连接时,连接会话处于认可状态;当客户通过了身份认证,连接会话将处于处理事务状态;客户端发出了退出命令时,会话就进入了更新状态;当更新状态结束后,又将回到认可状态。在网闸的POP3端口上运行POP3代理服务器,配置所有的POP3请求连接到该服务器上,然后配置客户的程序访问在网闸上POP3代理服务器上。
所有内部网络的用户可以通过POP3邮件服务器收取所有邮件,POP3代理能够实现如下安全保护:
·避免内部电子邮件服务器的结构和信息暴露于公网。
·限制接收用于邮件发送的POP3指令外的其它指令。
·确认收件人的电子邮件服务器是否存在。
·拒绝/允许发送指定电子邮件服务器的邮件。
·限制发送的电子邮件容量。
·防止给特定用户发送超容量的邮件(邮件炸弹)。
1.2.3.1 邮件内容
页面如图1-16所示。
图1-16 外出访问服务>>收邮件>>邮件内容
邮件正文:用户根据自身需求,对邮件正文的传输做出限制,如邮件传输的容量限制、过滤正文中的代码及其它字符串(需要选中并在文本框中填充)。
邮件附件:用户根据自身需求,对邮件附件的传输做出限制,如,禁止传输附件、限制附件的大小、限制附件的类型(白/黑名单表示从严/宽处理,即,用
13
户只能/不能接收过滤文本框中列举的附件类型)、附件类型深度检查、查杀病毒等。
1.2.4 发邮件
页面如图1-17所示。
图1-17 外出访问服务>>发邮件
SMTP(Simple Mail Transfer Protocol)简单邮件传输协议是Internet上一组由源地址到目的地址传送邮件的规则,控制电子邮件的中转。SMTP服务器能为本地(如Outlook)及其它站点提供邮件的转发服务。
SMTP代理服务器保护内部网络中的电子邮件,使内部网络免遭外部的入侵和破坏,并最大限度地隐藏内部网络信息,完善内部电子邮件服务器,增强其安全性。
SMTP邮件服务服务主要是集中处理电子邮件的传输,并处理向外部网络发送邮件。所有内部网络的用户可以向SMTP代理邮件服务器发送所有邮件。SMTP 邮件代理能实现如下安全保护:
·避免内部电子邮件Mail服务器的结构和信息暴露于公网。
·限制接收用于邮件发送的SMTP指令外的其它指令。
·确认发件人的电子邮件服务器是否存在。
·拒绝/允许接收来自指定电子邮件服务器的邮件。
·拒绝/允许接收指定发件人的邮件。
·限制接收电子邮件容量。
·防止给特定用户接收超容量的邮件(邮件炸弹)。
【警告】SMTP代理服务器只有存在于内部网络中,才能保护电子邮件安全。
14
1.2.4.1 SMTP命令
页面如图1-18所示。
图1-18 外出访问服务>>发邮件>>SMTP命令
禁止SMTP命令:用户选择此项,可以阻止某些来自公网的恶意操作。
发件人/域名:填入要限制的发件人地址,如support@https://www.doczj.com/doc/644540311.html,。多个地址之间以空格、逗号或换行符分隔。为空表示无限制。白名单表示从严处理,代理用户只能发送发件人/域名为列表中的地址的邮件;黑名单表示从宽处理,代理用户代理用户不能发送发件人/域名为列表中的地址的邮件。
收件人/域名:填入要限制的收件人地址,如support@https://www.doczj.com/doc/644540311.html,。多个地址之间以空格、逗号或换行符分隔。为空表示无限制。白名单表示从严处理,代理用户只能发送收件人/域名为列表中的地址的邮件;黑名单表示从宽处理,代理用户代理用户不能发送收件人/域名为列表中的地址的邮件。
1.2.4.2 邮件内容
页面如图1-19所示。
邮件正文:用户根据自身需求,对邮件正文的传输做出限制,如邮件传输的容量限制、过滤正文中的代码及其它字符串(需要选中并在文本框中填充)。
邮件附件:用户根据自身需求,对邮件附件的传输做出限制,如,禁止传输
15
图1-19 外出访问服务>>发邮件>>邮件内容
附件、限制附件的大小、限制附件的类型(白/黑名单表示从严/宽处理,即,用户只能/不能接收过滤文本框中列举的附件类型)、附件类型深度检查、查杀病毒等。
1.3 准出交换服务
图1-20为“准出交换服务”的状态控制窗口。该页面的“开启”、“关闭”、“重启”、“刷新状态”四个按钮将对TCP、UDP、数据库等准出访问服务进行控
制设置。
16
图1-20 准出交换服务
1.3.1 定制TCP
页面如图1-21所示。
图1-21 准出交换服务>>定制TCP
服务的内容包括规定数据的传输方向(当前为“出”)、使用的代理协议,这
两项服务无须用户修改。
17
页面上的“开启”、“关闭”、“重启”、“刷新”四个按钮将仅对定制TCP的访问服务进行控制设置。
用户点击“服务/规则管理”按钮,可对TCP的传输规程进行详细配置,如图1-21(a)所示。
图1-21(a)准出交换服务>>定制TCP(服务管理规则)
标识名:用户可填写自己熟悉并能够识别的服务名称。
代理地址/端口:指供内部网络用户访问外界公网的代理服务器上的某一地址及端口,该地址/端口负载与外部网络相连,具体设置请向系统管理员咨询。
目标地址/端口:指要访问的目的网络或主机,端口为目的网络或主机提供的服务所对应的端口号。
内容:用户可在下拉菜单中选择。
时间:用户可在下拉菜单中选择。
以上内容全部填充、选择完毕后,点击“添加”按钮,即可把这些内容填写到下面的列表中;若某一行已经无效,选中并点击“删除”按钮,即可将其删除掉;若某一行需要修改,选中并点击“修改”,即可将该条信息调入上面各个文本框及下拉框中,用户可自行修改,修改完毕,点击“添加”,即可重新加入到
18
19
列表中。
用户点击“内容管理”,可对认证内容信息进行详细配置管理。 用户点击“时间管理”,可对时间信息进行详细配置管理。
完成所有“服务/规则”的配置后,点击“确定”按钮以示确认;点击“取消”按钮,则先前配置全部无效。
1.3.2 FTP 服务
FTP 服务页面及其配置规程与图1-20相似,请参考上面所述方法。
1.3.3
Oracle 数据库
Oracle 数据库页面及其配置规程与图1-20相似,请参考上面所述方法。
1.3.4 定制UDP
定制UDP 页面及其配置规程与图1-20相似,请参考上面所述方法。
1.4 准入交换服务
图1-22为“准入交换服务”的状态控制窗口。该页面的“开启”、“关闭”、“重启”、“刷新状态”四个按钮将对TCP 、UDP 、数据库等准入访问服务进行控制设置。
图1-22 准入交换服务
这一部分的各个配置细节与1.3节相似,其配置方法可参考1.3节之所述。
1.5 审计管理
图1-23为“审计管理”的状态控制窗口。该页面的“开启”、“关闭”、“重启”、“刷新状态”四个按钮将对告警、日志进行控制设置。
图1-23 审计管理
1.5.1 告警设置
页面如图1-24所示。
20
内外网隔离网络安全解决方案 ●网络现状与安全隐患 目前,大多数企业都安装有隔离卡等设备将企业分为两个网络:内网与外网,内网用作内部得办公自动化,外网用来对外发布信息、获得因特网上得即时消息,以及用电子邮件进行信息交流。为了数据得安全性,内网与外网都通过隔离卡或网闸等方式实现内外网得物理隔离,从一定程度上杜绝了内外网得混合使用造成得信息外泄.如下图所示: 然而,对于内网中移动存储介质得随意使用以及外部终端非法接入内网来泄露内部信息得安全隐患,仍然得不到解决。存在得安全隐患主要有: 1、移动存储介质泄密 ◆外来移动存储介质拷去内网信息; ◆内网移动存储介质相互混用,造成泄密; ◆涉密介质丢失造成泄密 2、终端造成泄密 ◆计算机终端各种端口得随意使用,造成泄密; ◆外部终端非法接入内网泄密; ◆内网终端非法外联外部网络泄密 ●捍卫者解决方案 <1>终端外设端口管理
1)对于非常用端口: 使用捍卫者USB安全管理系统,根据具体情况将该终端得不常使用得外设 (如红外、蓝牙、串口、并口等)设置为禁用或就是只读(刻录机,USB端口有该功能),一旦设定则无法从“设备管理器“启用,只能通过捍卫者启用,如下图所示部分终端外设禁用状态,这样可以有效得解决终端外设泄密。 2)USB端口: 内网终端得USB端口建议设置为只读,这样外网使用得存储介质可以向内网拷贝数据,但就是不能从内网终端拷贝出数据。从防病毒考虑,也可以设置为完全禁用,这样只有授权存储介质才能根据授权使用,外部移动存储介质无法使用。 〈2〉移动存储介质授权管理 对内部得移动存储介质进行统一得授权管理,然后在根据需求设定当前USB端口得状态(即USB端口加密),这样外来得移动存储介质在内部终端不可以使用或就是只读,即解决了移动储存介质得随意插拔使用又防止了木马、病毒得传播泛滥。 在授权过程中,首先选择给移动存储介质得使用范围,可以分域授权使用,一对一或一对多得与终端绑定使用(这样移动存储介质在一定得范围内可以任意使用);然后输入移
联想 网御SIS安全隔离与信息交换系统数据库同步客户端操作手册
声明 ?本手册所含内容若有任何改动,恕不另行通知。 ?在法律法规的最大允许范围内,联想网御科技(北京)有限公司除就本手册和产品应负的瑕疵担保责任外,无论明示或默示,不作其它任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。 ?在法律法规的最大允许范围内,联想网御科技(北京)有限公司对于您的使用或不能使用本产品而发生的任何损坏(包括,但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失),不负任何赔偿责任。 ?本手册含受版权保护的信息,未经联想网御科技(北京)有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。 联想网御科技(北京)有限公司 中国北京海淀区中关村南大街6号中电信息大厦8层
章节目录 章节目录 (3) 第1章前言 (4) 1.1 导言 (4) 1.2 本书适用对象 (4) 1.3 本书适合的产品 (4) 1.4 相关参考手册 (4) 第2章如何开始 (5) 2.1 系统概述 (5) 2.2 工作原理 (5) 2.3 产品特点 (5) 2.3.1 与数据库的连接方式 (5) 2.3.2 支持的数据库类型 (6) 2.3.3 支持的数据库表结构 (6) 2.3.4 支持的数据库表字段类型 (6) 2.3.5 其他特点 (8) 2.4 运行环境 (8) 2.5 安装步骤 (9) 第3章系统设置 (10) 3.1 系统位置 (10) 3.2 证书管理 (10) 3.3 本机地址设置 (11) 3.4 通信模式设置 (12) 第4章发送任务 (13) 4.1 新建任务 (13) 4.2 删除任务 (15) 4.3 修改任务 (15) 第5章接收任务 (17) 5.1 新建任务 (17) 5.2 删除任务 (20) 5.3 修改任务 (20) 第6章任务调度 (22) 6.1 任务调度 (22) 第7章查看日志 (24) 7.1 日志查看 (24) 第8章附录 (25) 8.1 常见问题说明 (25)
物理隔离网闸常见技术问题解答 物理隔离网闸一定要采用专用开关集成电路吗? 答:不是。在开关的实现中,最直接的办法是采用专用开关集成电路,直接控制总线方式。由于受我国芯片制造业的水平限制,性能和质量很难保证,送到外国生产则必须交出电路设计,又担心安全问题。另外一个问题是专用芯片的批量生产和价格问题,在美国也很难解决这个问题。目前美国的物理隔离网闸厂商,采用专用开关芯片的也不多。 物理隔离网闸是如何利用SCSI来实现开关技术的? 答:首先,SCSI不是一个通信协议,而是一个用于主机向存储外设读写的协议。通过两个主机连接一个存储设备,如下图: 中间的固态存储介质,不是采用文件系统方式,而是采用块方式(Block)。外部主机可以向固态存储介质发起读和写的请求,内部主机也可以向固态存储介质发起读和写的请求,但固态存储介质每次只受理一个。固态存储介质本身不可以向主机发起连接请求。因此,外部主机和内部主机不会发生连接,只能通过固态存储介质进行摆渡。这就具备了一个简单的开关原理。在实际的技术中要复杂得多,厂商要解决存在的时钟问题,效率问题,同步问题,可靠性问题,阻塞问题等一系列问题,才可能实现基于SCSI的开关技术。由于SCSI连接不存在任何上层协议的编程接口,仅只有读/写的功能,能够很好地阻挡任何上层通信协议包括TCP/IP,并具有很高的可靠性和稳定性。因此,在操作系统核心层中通过SCSI技术实现主机之间的开关设计在国际上非常流行,也是主流趋势。 物理隔离网闸可以采用USB,火线和以太来实现软开关吗? 答:不可以。USB,火线和以太线,都是通信协议,这在安全性上与防火墙无异。由于USB方式、火线方式和以太方式很容易增加编程接口,如加载TCP/IP,可能受某些软件编程控制,不能有效和彻底地中断TCP/IP和应用服务。基于上述介质实现的通断(有厂商宣称是软开关)不是物理隔离网闸所要求的开关。线路有通断,并不就是物理隔离。(详见物理隔离网闸常见概念问题解答) 为什么SCSI可以,而USB、火线和以太就不行? 答:要说集成电路开关,大家比较容易接受。而SCSI也是线,USB,火线和以太也是线,为什么SCSI可以,而其他的就不行?原因很简单,SCSI不是通信协议,是文件读写协议,SCSI线和固态存储介质作为一个系统来实现开关原理。USB,火线和以太都是通信协议,两个主机相连,已经不具备物理隔离网闸要求的隔离特性和安全特性。
神华乌海能源OA系统管理使用手册 二零零八年十一月 北京慧点科技开发有限公司
目录 1引言.................................................................................................................................................. 2系统实施说明.................................................................................................................................. 2.1系统环境命名规则.............................................................................................................. 2.1.1域的命名.................................................................................................................... 2.1.2服务器的命名............................................................................................................ 2.1.3验证字命名................................................................................................................ 2.1.4命名网络命名............................................................................................................ 2.1.5用户命名.................................................................................................................... 2.1.6群组命名.................................................................................................................... 2.2系统环境的部署.................................................................................................................. 2.2.1安装配置服务器........................................................................................................ 2.2.2重命名用户................................................................................................................ 2.2.3通讯录(names.nsf)存取控制设置...................................................................... 2.2.4注册组织单元............................................................................................................ 2.2.5注册附加服务器........................................................................................................ 2.2.6复制............................................................................................................................ 3用户管理.......................................................................................................................................... 3.1功能描述.............................................................................................................................. 3.2操作过程.............................................................................................................................. 3.2.1部门信息的设置........................................................................................................ 3.2.2用户信息的设置........................................................................................................ 3.2.3验证字信息................................................................................................................ 3.2.4等级信息................................................................................................................... 3.2.5群组管理.................................................................................................................... 3.2.6应用信息配置............................................................................................................ 1 引言 本手册为神华乌海能源公司网管理员进行办公自动化系统的设置和日常 维护提供参考。 2 系统实施说明 2.1 系统环境命名规则 2.1.1 域的命名 Domino网络域,Internet网络域和Domino命名网络的命名规则如下:
联想网御网闸(SIS-3000)设备测试报告 一、设备管理、拓扑结构 1、通过笔记本管理网闸,需要先在笔记本上导入管理证书(光盘——管理证书文件夹下,密码:hhhhhh),管理IP:10.0.0.200 ,掩码:255.255.255.0 。 2、登录内网:用网线连接内网专用管理口,在IE浏览器输入:https://10.0.0.1:8889 3、输入用户名/密码:administrator/ administrator (超级用户)或输入:admin/admin123(管理员用户)。 4、登录外网:用网线连接外网专用管理口,在IE浏览器输入:https://10.0.0.2:8889或输入用户名/密码:administrator/ administrator (超级用户) 或输入:admin/admin123(管理员用户)。 测试拓扑结构: FTP客户端 FTP服务端注:网闸的工作模式有两种,普通模式、透明模式。 “访问类别”功能是网闸的主要应用之一,根据外部应用客户端跨网闸访问“目的服务器地址”的不同,分为“透明访问”、“普通访问”两种模式。 两种应用模式具体的比较如下 区别透明访问普通访问 含义外部客户端,“无视”网闸的存在,直接访 问网闸另一侧的真实服务器地址;外部客户端通过访问相连网闸地址,再由网闸连接真实服务器; 原理区别两者相同两者相同 配置区别1)只需配置网闸客户端任务,无需配置网 闸服务端任务; 2)客户端添加一条路由,指向网闸;必须同时配置网闸客户端、服务端任务,且对应任务之间的任务号必须相同; 访问目的地址网闸另一侧的真实服务器地址与客户端相连一侧的网闸地址网闸两侧网络 地址同网段 支持支持 网闸两侧网络 地址不同网段 支持支持
网闸技术构建内外网一体化门户 一、序言 近年来,随着我国信息化建设步伐的加快,“电子政务”应运而生,并以前所未有的速度发展。电子政务体现在社会生活的各个方面:工商注册申报、网上报税、网上报关、基金项目申报等等。电子政务与国家和个人的利益密切相关,在我国电子政务系统建设中,外部网络连接着广大民众,内部网络连接着政府公务员桌面办公系统,专网连接着各级政府的信息系统,在外网、内网、专网之间交换信息是基本要求。如何在保证内网和专网资源安全的前提下,实现从民众到政府的网络畅通、资源共享、方便快捷是电子政务系统建设中必须解决的技术问题。一般采取的方法是在内网与外网之间实行防火墙的逻辑隔离,在内网与专网之间实行物理隔离。本文将介绍大汉网络公司基于网闸技术构建内外网一体化门户的案例。 二、网闸的概述 1、网闸的定义 物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客“无法入侵、无法攻击、无法破坏,实现了真正的安全。 2、网闸的组成 网闸模型设计一般分三个基本部分组成: ·内网处理单元:包括内网接口单元与内网数据缓冲区。 ·外网处理单元:与内网处理单元功能相同,但处理的是外网连接。 ·隔离与交换控制控制单元:是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。 3、网闸的主要功能 ?·阻断网络的直接物理连接和逻辑连接 ?·数据传输机制的不可编程性 ?·安全审查
业务管理手册使用指南 This model paper was revised by LINDA on December 15, 2012.
1 管理公司 1.1 通过本手册及其支持文件的编制和实施,管理公司可以系统地对房地产开发业务的运作进行策划、指导和控制。管理公司应将本手册的实施监督和修订完善作为其履行管理责任的重要内容,不断丰富和积累房地产企业运作的管理经验,持续提升决策和监督水平。 1.2 本手册及其支持文件是管理公司评价各项目所在公司业务运作效率和规范程度的客观依据,管理公司在审查项目所在公司提交报告,或到项目所在公司进行现场检查时,均应评估项目所在公司业务运作过程及其结果与本手册规定的符合程度。 1.3 根据业务发展需要,管理公司在组建新的项目所在公司时,可依据本手册及其支持文件对新公司员工进行系统的业务制度培训,并将本手册及其支持文件作为新公司管理层进行业务运作管理的基础。 2 项目所在公司 2.1 本手册及其支持文件明确了管理公司对项目所在公司业务运作的基本要求,是管理公司和各项目所在公司进行沟通和决策的基本规范。 2.2 各项目所在公司在具体完成项目开发任务的过程中,必须遵循本手册及其支持文件的强制性规定。 2.3 各项目所在公司在日常管理工作中,应将本手册及其支持文件作为员工业务培训的基本内容,所有新进员工必须学习本手册及其支持文件的规定,并作为正式聘用的考核依据之一。
2.4 通过本手册的修订完善和实施,各项目所在公司可以有效地学习、交流成功的业务运作经验。 2.5 遵循本手册及其支持文件的规定,是各项目所在公司建立符合ISO9000标准要求质量管理体系的基础。
近年来,随着网络视频监控在各个行业的广泛部署,如何保证整个系统在网络层面的安全性越来越成为大家关注的重点。尤其是在面临专网视频监控系统(内部)与公网视频监控系统(外部)进行互通时,这个问题显得尤为突出。 平安城市就是一个很典型的例子。在平安城市的建设中,需要构建一个能够覆盖城市重要单位、重点场所、主要路口、主要出入通道、治安卡口、学校、居民小区等各个层面的社会面治安监控系统,整个系统的控制和管理基本上都归口到当地公安部门。而上面提到的这些监控部位,有些是属于公安专网的,比如治安卡口、重点场所,有些是属于外部网络的,比如学校、居民小区、网吧等。为了实现这些监控资源的统一调用和灵活共享,公安专网的视频监控系统与外部的视频监控系统必须要进行网络化互联,而根据保密要求,公安专网与外部网络又必须要进行物理隔离,这样就存在一个无法回避的矛盾。 而且,随着中国电信、中国网通分别通过“全球眼”和“宽视界”两大运营级网络视频监控系统对平安城市建设的介入,将会有越来越多的社会面监控资源承载在公网平台上,安全隔离将成为公安部门通过其专网视频监控系统进行社会面监控资源调用时的主要障碍。 为此,科达将目前在公安、政府、军队等涉密专网中广泛使用的网闸技术应用到了运营级和ViewShot两大网络视频监控产品中,推出了基于网闸的网络视频监控安全隔离解决方案,可以在保证系统物理隔离的情况下,实现内、外网监控资源的灵活调用,从而有效解决上面提到的问题。 网闸原理与应用 网闸(或物理隔离网闸)是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于网闸所连接的两个独立主机系统之间,不存在通信的物理连接与逻辑连接,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,所以,网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,可以实现真正的安全。 网闸在网络环境中的位置:
--------------------------------------------- 合众视频安全接入系统 操作手册 杭州合众信息股份技术有限公司 地址:杭州市滨江区滨安路1180号华业高科技产业园3号楼2-3层 电话:(0571)28925529 传真:(0571)28925577 售后服务热线:400-672-8900 网址:https://www.doczj.com/doc/644540311.html, 声明 可编辑
--------------------------------------------- 本手册是杭州合众信息技术股份有限公司(以下简称合众)所开发“合众视频安全接入系统”产品的使用手册。合众将尽最大的努力保证文中所含信息的准确可靠,但由于产品或软件升级等原因,有可能造成本文的部分或全部内容失效,请注意版本变化,以便及时更新。 为及时取得软件的最新信息,请您随时关注我公司网站(https://www.doczj.com/doc/644540311.html,)。 本文档在撰写过程中使用的所有数据(除初始用户名、初始密码、默认值之外),均为示例数据,旨在帮助用户尽快掌握本产品的使用方法。在实际的使用过程中,以真实的数据为准。 本文档的最终解释权归属于合众所有。如果您有任何关于本篇文档或产品的性能描述、软件使用方面的疑问,请与供应商联系,也可直接联络合众,我们将竭诚为您服务。 可编辑
--------------------------------------------- 目录 1 序言 (1) 第1章产品介绍 (1) 第2章运行环境 (2) 第3章登录 (3) 3.1系统管理员登录 (3) 3.2审计员登录 (4) 第4章系统管理员界面 (4) 4.1主界面及模块介绍 (4) 4.2系统管理 (5) 4.2.1 通道配置 (5) 4.2.2 集群配置 (6) 4.2.3 性能监控 (9) 4.2.4 集中监控配置 (9) 4.2.5 导入导出 (10) 4.2.6 系统白名单 (11) 4.2.7 系统管理员配置 (13) 4.3网络配置 (14) 4.3.1 内网网卡配置 (14) 4.3.2 外网网卡配置 (17) 4.4服务管理 (17) 4.4.1 添加服务 (17) 4.4.1.1 添加服务名 (17) 4.4.1.2 启动服务 (22) 4.4.1.3 登录“视频安全接入用户认证系统” (23) 4.4.1.3.1 口令方式 (24) 4.4.1.3.2 证书方式 (25) 4.4.1.4 验证服务配置结果 (27) 4.4.2 修改服务 (28) 4.4.3 删除服务 (29) 4.5客户端用户管理 (29) 4.5.1 用户域管理 (29) 4.5.2 用户管理 (32) 4.5.2.1 普通用户管理 (32) 4.5.2.2 证书用户管理 (33) 4.6设备认证管理 (34) 4.6.1 可信域管理 (34) 4.6.2 可信设备管理 (36) 可编辑
物理隔离网闸 一、物理隔离网闸的概念 我国2000年1月1日起实施的《计算机信息系统国际联网保密管理规定》第二章第六条规定,“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连接,必须实行物理隔离”。 物理隔离网闸最早出现在美国、以色列等国家的军方,用以解决涉密网络与公共网络连接时的安全。我国也有庞大的政府涉密网络和军事涉密网络,但是我国的涉密网络与公共网络,特别是与互联网是无任何关联的独立网络,不存在与互联网的信息交换,也用不着使用物理隔离网闸解决信息安全问题。所以,在电子政务、电子商务之前,物理隔离网闸在我国因无市场需求,产品和技术发展较慢。 近年来,随着我国信息化建设步伐的加快,“电子政务”应运而生,并以前所未有的速度发展。电子政务体现在社会生活的各个方面:工商注册申报、网上报税、网上报关、基金项目申报等等。电子政务与国家和个人的利益密切相关,在我国电子政务系统建设中,外部网络连接着广大民众,内部网络连接着政府公务员桌面办公系统,专网连接着各级政府的信息系统,在外网、内网、专网之间交换信息是基本要求。如何在保证内网和专网资源安全的前提下,实现从民众到政府的网络畅通、资源共享、方便快捷是电子政务系统建设中必须解决的技术问题。一般采取的方法是在内网与外网之间实行防火墙的逻辑隔离,在内网与专网之间实行物理隔离。物理隔离网闸成为电子政务信息系统必须配置的设备,由此开始,物理隔离网闸产品与技术在我国快速兴起,成为我国信息安全产业发展的一个新的增长点。 1.1 物理隔离网闸的定义 物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。 1.2 物理隔离网闸的信息交换方式 我们知道计算机网络依据物理连接和逻辑连接来实现不同网络之间、不同主机之间、主机与终端之间的信息交换与信息共享。物理隔离网闸既然隔离、阻断了网络的所有连接,实际上就是隔离、阻断了网络的连通。网络被隔离、阻断后,两个独立主机系统之间如何进行信息交换?网络只是信息交换的一种方式,而不是信息交换方式的全部。在互联网时代以前,信息照样进行交换,如数据文件复制(拷贝)、数据摆渡,数据镜像,数据反射等等,物理隔离网闸就是使用数据“摆渡”的方式实现两个网络之间的信息交换。 网络的外部主机系统通过物理隔离网闸与网络的内部主机系统“连接”起来,物理隔离网闸将外部主机的TCP/IP协议全部剥离,将原始数据通过存储介质,以“摆渡”的方式导入到内部主机系统,实现信息的交换。说到“摆渡”,我们会想到在1957年前,长江把我国分为南北两部分,京汉铁路的列车只有通过渡轮“摆渡”到粤汉铁路。京汉铁路的铁轨与粤汉铁路的铁轨始终是隔离、阻断的。渡轮和列车不可能同时连接京汉铁路的铁轨,又连接到粤汉铁路的铁轨。当渡轮和列车连接在京汉铁路时,它必然与粤汉铁路断开,反之依然。与此类似,物理隔离网闸在任意时刻只能与一个网络的主机系统建立非TCP/IP协议的数据连接,即当它与外部网络的主机系统相连接时,它与内部网络的主机系统必须是断开的,反之依然。即保证内、外网络不能同时连接在物理隔离网闸上。物理隔离网闸的原始数据“摆
目录 1 概述 (3) 1.1应用领域 (3) 1.2功能特点 (3) 2 硬件原理及参数 (4) 2.1 系统及通用接口 (4) 2.1.1 产品概述 (4) 2.1.2 前面板 (5) 2.1.3 后面板 (6) 2.1.4 主板定义 (6) 2.1.5 机箱尺寸 (6) 2.1.6 安装尺寸 (6) 2.1.7 基本规格 (7) 2.2 产品可靠性 (8) 2.2.1 电气绝缘性能 (8) 2.2.2 安全性能 (8) 2.2.3 功率消耗 (8) 2.2.4 工作环境 (8) 2.3 数据接口定义 (8) 2.3.1 电源接口 (9) 2.3.2 以太网口 (9) 2.3.3 调试串口接口定义 (9) 2.3.4 DI DO接口定义(机箱后侧接线端子从左数第一个) (10) 2.3.5串口接线端子信号定义 (11) 2.3.6 CAN口接线端子信号定义 (12) 2.3.7 网口IP出厂定义 (12) 3装置软件平台 (13) 3.1软件部署图 (13) 3.2服务器端软件REMComUnitSrv (14)
3.3软件客户端系统REMComUnitCli (14) 3.3.1系统组成 (14) 3.3.2计算机硬件配置要求 (15) 3.3.3操作系统要求 (15) 3.3.4安装步骤 (15) 4 工程配置 (16) 4.1新建厂站和变量 (16) 4.2新建系统网络 (18) 4.3 添加规约 (19) 4.4新建采集和转发通道 (21) 4.5配置I/O (22) 4.6编译并试运行工程 (23) 5与远程管理单元通信 (24) 5.1配置网络信息 (24) 5.2上传配置文件 (24) 5.3下载配置文件 (25) 5.4其它辅助功能 (26) 5.4.1检测工程运行状态 (26) 5.4.2更新服务器端软件 (26) 5.4.3扫描IP (27) 5.4.4修改IP (27) 6 启动工程 (29)
如何解决内外网隔离与数据安全交换 随着医院信息化的发展,目前国内各医疗机构或多或少都建立了HIS、LIS、PACS、RIS 等内部信息系统。同时随着互联网络的迅猛发展,各医疗机构的业务正不断向院外延伸,比如门户网站、医保系统、网上挂号、还有国家传染病死亡网络直报等,这些系统都是居于公网的应用。而根据国家及省市保密局的相关文件规定,凡是涉密网络必须与公共信息网络实行物理隔离。因此绝大部分医疗保健机构为保证其内部系统的安全性,内部网络是完全与外网隔离的。如何解决既能按照国家有关规定将内外网络物理隔离,而又能实现内外网络的信息系统数据安全交换,使现有的资源得的最大利用呢? 一、物理隔离网闸 物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。 计算机网络依据物理连接和逻辑连接来实现不同网络之间、不同主机之间、主机与终端之间的信息交换与信息共享。物理隔离网闸既然隔离、阻断了网络的所有连接,实际上就是隔离、阻断了网络的连通。网络被隔离、阻断后,两个独立主机系统则通过物理隔离网闸与网络的内部主机系统“连接”起来,物理隔离网闸将外部主机的TCP/IP协议全部剥离,将原始数据通过存储介质,以“摆渡”的方式导入到内部主机系统,实现信息的交换。
典型应用四 – 主机操作系统补丁管理: 1、需求分析 目前,很多单位的内网按照网络安全防护要求不能直接与国际互联网相连,但是内网主机操作系统又需要补丁升级,通常做法是采用了微软SUS 服务器接入外网获取补丁数据,在特定时间改接入内网为内网机器升级。 采用这种升级方式,首先,不符合单台服务器不得同时接入内外网的要求;其次,无法避免外网的木马病毒渗透的入侵方式;第三,也无法提供实时的补丁升级能力,一旦发生如冲击波等恶性病毒时,内网往往由于补丁升级的延迟而无法阻止病毒的大规模泛滥。 为了解决这个问题,部署一套需要更合适的补丁升级系统,来完成补丁的实时获取和分发工作。 2、解决方案 联想网御主机操作系统补丁管理系统由内外网补丁接收服务器、内外网补丁分发服务器、联想网御安全隔离网闸和防火墙共同构成,此解决方案物理模型如下图:。 内网升级平台内网主机联想网御SIS-3000 安全隔离 补丁接收服务器部署于外网通过防火墙后连接微软补丁升级服务器。为了保障安全,在防火墙上设定仅允许该服务器连接微软的相应服务不打开其他端口,同时禁止外部对该服务器的连接。 在外网补丁接收服务器获取了最新补丁后,将这些补丁文件化后以纯文件的形式,通过联想网御SIS-3000安全隔离网闸的文件交换功能传送至内网的补丁分发服务器。用户可
以使用联想网闸的专用文件传输客户端软件,通过联想网御SIS-3000安全隔离网闸在内外网络间进行单向文件交换“摆渡”,同时对传输的文件类型过滤、关键字过滤、病毒检查、签名校验等机制对传输的文件进行过滤,防止内部信息泄漏、病毒入侵、网络侦听、身份冒充等危害。从而确保外网向内网传达补丁文件时的安全性和禁止了内网信息的泄漏。 内网和外网的补丁分发服务器获取了最新补丁文件后,将按照允许定义的策略进行下发工作。在进行策略定义时,允许将用户分组,对不同的组可以采用不同的下发策略。例如,对于某些在打上补丁后可能操作系统无法正常工作的设备,则不自动下发,待完成了补丁升级试验后再继续操作。同时,补丁分发服务器的分组管理的策略,也可以对不同的用户采用不同的补丁分发策略,对部分重要性较高的设备或系统情况无法确认的设备,可以设置不自动分发补丁,而等待管理人员对补丁进行验证后再启动分发工作。如果在外网补丁分发工作负载不大的情况下,外网补丁分发服务器和接收服务器可以合二为一,以节省投资。 3、实施效果 补丁升级系统的部署,可以有效的在保证内外网安全的前提下实现内网用户操作系统的及时升级,同时还可以通过分组管理策略来保障升级补丁的可靠性。从而完美的解决现有补丁升级体系中存在的问题,极大的增强对终端的安全保护水平。 另外,内外的网络防病毒的病毒库升级问题也可参照此解决方案来进行解决。
一、什么是网闸 网闸技术的需求来自内网与外网数据互通的要求,比如政府的电子政务是对公众服务,与互联网连通,而内网的政府办公网络,由于保密的要求,内网若与网连通,则面临来自公网的各种威胁。安全专家给出的建议是:由于目前的安全技术,无论防火墙、UTM等防护系统都不能保证攻击的一定阻断,入侵检测等监控系统也不能保证入侵行为完全捕获,所以最安全的方式就是物理的分开,所以在公安部的技术要求中,要求电子政务的内、外网络之间“物理隔离”。没有连接,来自外网对内网的攻击就无从谈起。 但是,网络的物理隔离,给数据的通讯带来很多不便,比如工作人员出差只能接入互联网,要取得内网的文件就没有办法,只能让办公室的人把文件放在外网上。另外,内网办公系统需要从外网提供的统计数据,由于服务隔离,数据的获取也很困难。因此,随着网络业务的日益成熟,数据交换的需求提议强烈。 最初的解决办法就是人工的“传递”,用U盘或光盘在内外网之间倒换数据。随着业务的增多,数据量的扩大,人工的方式显然成为很多业务的瓶颈,在内、外网之间建立一个既符合“物理隔离”安全要求,又能进行数据交换的设备或解决方案,这就诞生了网闸技术。 网闸实现的是个安全的概念,与防火墙等网络安全设备不同的地方是他阻断通讯的连接,只完成数据的交换,没有业务的连接,攻击就没有了载体,如同网络的“物理隔离”。网闸其实就是模拟人工数据倒换,利用中间数据倒换区,分时地与内外网连接,但一个时刻只与一个网络连接,保持“物理的分离”,实现数据的倒换。这就象从前长江上的摆渡船,既没有“物理的连接”大桥,也实现了货物的交换。 其实,除了电子政务内外网的交换需求,其他各种涉密网络与公用网络的互联都有这种需求,比如:广电的编播网和互联网、电力的控制网与办公网、海关的运行网和报关查询网络、银行的业务网与网上银行网络等等。 二、网闸的实现原理 网闸是实现两个相互业务隔离的网络之间的数据交换,通用的网闸模型设计一般分三个基本部分: 内网处理单元 外网处理单元 隔离与交换控制控制单元 三个单元都要求其软件的操作系统是安全的,也就是采用非通用的操作系统,或改造后的专用操作系统。一般为Unix BSD或Linux 的变种版本,或者其他是嵌入式操作系统VxWorks等,但都要对底层不需要的协议、服务删除,使用的协议优化改造,增加安全特性,同时提高效率。
域名业务管理手册 尊敬的客户恭喜您的域名注册成功,在使用过程中,您可能会遇到一些问题,希望本使用手册能对您有所帮助,同时也建议您将此手册妥善保管,遇到问题时,随时查看学习。 目录 1、登陆域名管理界面 2、域名解析 3、域名信息修改 4、域名证书打印 5、域名dns修改 6、域名密码修改 7、域名自助管理系统 8、域名空间站 9、域名续费 10、寻求其他帮助 使用说明: 1、我该如何进入域名管理界面进行域名管理? 请您在浏览器中输入打开万网主页――>在会员登陆处输入数字ID和密码登陆(如图一)——>点击页面左侧“域名管理”(如图二)——>点击您要管理的域名(如图三)——>进入域名管理页面(如图四) A、您需要在万网首页用数字ID和密码登陆: 图一 B、登陆会员后,请您点击左侧域名管理:
图二 C、点击您要管理的域名: 图三 D、进入业务基本信息界面,进行域名管理: 图四 2、我该如何设置域名和主机、信箱之间的绑定? 如果您在注册域名时,您选择使用默认万网的dns服务器名称,请您进入域名管理界面后——>点击左侧“域名解析服务”(如图五)——>添加域名解析记录后提交(如图六)系统后台刷新,约6-12小时生效。对于已设置过的域名解析记录也可以进行修改(如图七)具体步骤如下: A、点击左侧域名解析服务: 图五 B、进入域名解析界面,添加解析记录: 温情提醒:建议您在设置前,仔细阅读该页面下方的“特别提醒”和“提示”中的说明。 图六 C、修改已经设置好的解析记录: 图七 3、我的域名联系人、通信地址或者电话变更了,我该如何修改域名信息? 您的域名联系人。通信地址以及电话变更了,您可以进入域名管理界面——>点击左侧“域名信息修改”——>选择要修改的联系人信息——>根据提示填写要修改的内容提交。提交后,系统会在24-48小时刷新生效。(如图八)具体步骤如下: A、点击左侧“域名信息修改”进入域名信息修改界面,可以对域名注册人信息、管理联系人信息、付费联系人信息、注册联系人信息进行修改: 图八 4、我要打印域名证书,应如何操作? 您可以进入域名管理界面——>可以点击左侧“域名证书打印”——>选择要打印证书的域名——>选择获取证书——>连接好打印机就可以打印了。(如图九)具体步骤如下: 温情提醒:域名注册成功15天后,您才可以打印域名证书。 A、点击左侧“域名证书打印”选择要打印证书的域名,点击获取证书,并连接打印机进行打印: 图九
网神SecSIS 3600 光单向安全隔离数据自动导入系统管理员手册
声明 本手册所含内容如有任何变动,恕不另行通知。 在法律法规允许的最大范围内,网神信息技术(北京)股份有限公司除就本手册和产品应负的瑕疵担保责任外,无论明示或默示,不作其他任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。 在法律法规的最大允许范围内,网神信息技术(北京)股份有限公司对于您的使用或不能使用本产品而发生的任何损害(包括,但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其他损失),不负任何赔偿责任。 本手册的信息受到版权保护,本手册的任何部分未经网神信息技术(北京)股份有限公司的事先书面许可,任何单位与个人不得以任何方式影印或复印。 网神信息技术(北京)股份有限公司 北京市海淀区上地开发区开拓路7号先锋大厦
前言 感谢您使用网神信息技术(北京)股份有限公司的网神SecSIS 3600光单向安全隔离数据自动导入系统,您能成为我们的用户,是我们莫大的荣幸。为了使您尽快熟练地使用网神SecSIS 3600光单向安全隔离数据自动导入系统,我们随机配备了内容详细的管理员手册。 网神SecSIS 3600光单向安全隔离数据自动导入系统必须通过管理主机对光单向安全隔离数据自动导入系统进行设置管理。这本手册能帮助您更好地管理设置。希望用户在遇到设置问题的时候能在手册里得到帮助。 我们对管理员手册的编排力求内容全面而又简单易懂,从中您可以获取有关安装步骤、系统设置、基本操作、软硬件使用方法以及安全注意事项等各方面的知识。在第一次安装和使用之前,请务必仔细阅读所有资料,这会有助于您更好地使用本产品。 这本手册的读者对象是网神SecSIS 3600光单向安全隔离数据自动导入系统的管理员。在安装光单向安全隔离数据自动导入系统之前及过程中,为更好地应用与配置,同时避免可能出现的各类问题,请仔细阅读本手册。 我们认为手册中所提供的信息是正确可靠的,请尽量避免人为的失误。 谢谢您的合作! 网神信息技术(北京)股份有限公司
如今,网络隔离技术已经得到越来越多用户的重视,重要的网络和部门均开始采用隔离网闸产品来保护内部网络和关键点的基础设施。目前世界上主要有三类隔离网闸技术,即SCSI技术,双端口RAM技术和物理单向传输技术。SCSI是典型的拷盘交换技术,双端口RAM也是模拟拷盘技术,物理单向传输技术则是二极管单向技术。 随着互联网上黑客病毒泛滥、信息恐怖、计算机犯罪等威胁日益严重,防火墙的攻破率不断上升,在政府、军队、企业等领域,由于核心部门的信息安全关系着国家安全、社会稳定,因此迫切需要比传统产品更为可靠的技术防护措施。物理隔离网闸最早出现在美国、以色列等国家的军方,用以解决涉密网络与公共网络连接时的安全。在电子政务建设中,我们会遇到安全域的问题,安全域是以信息涉密程度划分的网络空间。涉密域就是涉及国家秘密的网络空间。非涉密域就是不涉及国家的秘密,但是涉及到本单位,本部门或者本系统的工作秘密的网络空间。公共服务域是指不涉及国家秘密也不涉及工作秘密,是一个向互联网络完全开放的公共信息交换空间。国家有关文件就严格规定,政务的内网和政务的外网要实行严格的物理隔离。政务的外网和互联网络要实行逻辑隔离,按照安全域的划分,政府的内网就是涉密域,政府的外网就是非涉密域,互联网就是公共服务域。 国家有关研究机构已经研究了安全网闸技术,以后根据需求,还会有更好的网闸技术出现。通过安全网闸,把内网和外网联系起来;因此网闸成为电子政务信息系统必须配置的设备,由此开始,网闸产品与技术在我国快速兴起,成为我国信息安全产业发展的一个新的增长点。
网闸的概念 网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议"摆渡",且对固态存储介质只有"读"和"写"两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使"黑客"无法入侵、无法攻击、无法破坏,实现了真正的安全。 安全隔离与信息交换系统,即网闸,是新一代高安全度的企业级信息安全防护设备,它依托安全隔离技术为信息网络提供了更高层次的安全防护能力,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。 第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的,实现了在空气缝隙隔离(Air Gap)情况下的数据交换,安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。 第二代网闸正是在吸取了第一代网闸优点的基础上,创造性地利用全新理念的专用交换通道PET(Private Exchange Tunnel)技术,在不降低安全性的前提下能够完成内外