午啪啪夜福利无码亚洲,亚洲欧美suv精品,欧洲尺码日本尺码专线美国,老狼影院成年女人大片

1、目 錄1.應用背景22.安全隔離系統(tǒng)簡介23.技術(shù)架構(gòu)比較34.基本功能44.1.信息交換功能44.2.安全控制功能65.部署方式85.1.內(nèi)外網(wǎng)統(tǒng)一部署95.2.根據(jù)應用分別部署96.應用實現(xiàn)方式96.1.OA系統(tǒng)隔離96.2.數(shù)據(jù)庫信息交換隔離116.3.郵件系統(tǒng)隔離126.4.網(wǎng)銀應用隔離136.5.內(nèi)網(wǎng)補丁升級141. 應用背景 眾所周知，以防火墻為核心的網(wǎng)絡(luò)邊界防御體系只能夠滿足信息化建設(shè)的一般性安全需求，卻難以滿足重要信息系統(tǒng)的保護問題。對于重要信息系統(tǒng)的保護，我國歷來采用了物理斷開的方法，國家保密局在計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定 中將涉密信息系統(tǒng)的安全防御要求定格為與任何非2、涉密信息系統(tǒng)必須“物理斷開”。斷開了就安全的（事實上也并非如此）。但是，斷開了卻嚴重影響了業(yè)務信息系統(tǒng)的運行。 目前，華能集團在信息化建設(shè)當中已經(jīng)明確了雙網(wǎng)建設(shè)原則，重要業(yè)務系統(tǒng)、日常辦公計算機都處于內(nèi)部網(wǎng)絡(luò)，而一些業(yè)務系統(tǒng)，例如：綜合數(shù)據(jù)庫系統(tǒng)、OA系統(tǒng)、郵件系統(tǒng)和網(wǎng)銀系統(tǒng)、防病毒惡意代碼升級、操作系統(tǒng)補丁升級等，所需要的基礎(chǔ)數(shù)據(jù)卻來自外部業(yè)務網(wǎng)絡(luò)，甚至互聯(lián)網(wǎng)絡(luò)。物理斷開造成了應用與數(shù)據(jù)的脫節(jié)，影響了行政執(zhí)行能力和行政效率。實際斷開不是目的，在保護內(nèi)部網(wǎng)絡(luò)的適度安全情況下，實現(xiàn)雙網(wǎng)隔離，保證數(shù)據(jù)的互聯(lián)互通才是真正的目的。安全隔離系統(tǒng)就是為此開發(fā)的。2. 安全隔離系統(tǒng)簡介安全隔離與信息交換技術(shù)3、（GAP）。這種技術(shù)在1993年由Myong H.Kang在“A Pump for Rapid, Reliable, Secure Communication”一文中提出，并在1996年對這種概念進一步深化為一種適于網(wǎng)絡(luò)應用的“數(shù)據(jù)泵”技術(shù)。GAP技術(shù)是一種什么技術(shù)？從字面上理解，可以譯為“缺口、豁口”，即在兩個網(wǎng)絡(luò)之間形成一個缺口。有了缺口當然就能保證安全。也有將GAP譯為“Gap All Protocol”的說法，表明這個“缺口”不是什么都不讓通過，而只是將協(xié)議隔離，應用數(shù)據(jù)還是可以利用這個缺口通過安全方式交換的。遵從這種理解方式，如Myong H.Kang所刻畫，GAP應該是一個三系統(tǒng)的4、設(shè)備：一個外端機、一個內(nèi)端機、一個中間交換緩存。內(nèi)外端機用于終止網(wǎng)絡(luò)協(xié)議，對解析出的應用數(shù)據(jù)進行安全處理。同時能夠通過中間的交換緩存通過非TCP/IP協(xié)議的方式進行數(shù)據(jù)交換。3. 技術(shù)架構(gòu)比較目前，安全隔離產(chǎn)品主要為三層構(gòu)架和二層構(gòu)架，三層架構(gòu)包含內(nèi)網(wǎng)單元、外網(wǎng)單元和獨立的隔離硬件，內(nèi)外網(wǎng)單元通過獨立的隔離硬件進行數(shù)據(jù)交換；二層架構(gòu)只有內(nèi)外兩個處理單元，無獨立的隔離硬件，內(nèi)外網(wǎng)單元通過網(wǎng)絡(luò)接口、USB接口等進行數(shù)據(jù)交換。從安全架構(gòu)上看，采用三層架構(gòu)安全隔離產(chǎn)品的安全性要高于二層架構(gòu)的安全隔離產(chǎn)品。在功能上兩種架構(gòu)的安全隔離產(chǎn)品卻相差不多。性能上采用三層架構(gòu)要高于二層結(jié)構(gòu)的安全隔離產(chǎn)品。價格上采5、用三層架構(gòu)要比二層架構(gòu)的安全隔離產(chǎn)品高很多。4. 基本功能典型的隔離系統(tǒng)應該具備以下功能：4.1. 信息交換功能l 文件交換設(shè)計文件交換是網(wǎng)絡(luò)應用對數(shù)據(jù)交換的基本要求，在內(nèi)、外網(wǎng)之間存在文件交換的實際需要，正是基于這一點，安全隔離系統(tǒng)應具有文件交換功能，實現(xiàn)文件的安全訪問及文件的同步。以外網(wǎng)用戶訪問內(nèi)網(wǎng)文件服務器為例，文件安全訪問功能通過代理模塊將需要保護的內(nèi)網(wǎng)文件服務器（采用FTP協(xié)議或SAMBA協(xié)議）映射到隔離系統(tǒng)的外網(wǎng)，外網(wǎng)用戶訪問文件資源時直接訪問安全隔離系統(tǒng)外端機啟用的代理服務。安全隔離系統(tǒng)外端機代理服務交換應用層數(shù)據(jù)到內(nèi)端，內(nèi)端代理訪問內(nèi)網(wǎng)真正的文件服務獲取文件，返回給外端代理服務6、。在文件通過安全隔離系統(tǒng)的過程中將受到內(nèi)容檢查、病毒檢查、文件深度檢查、文件簽名等安全保護。從內(nèi)網(wǎng)訪問外網(wǎng)文件服務器時過程類似。文件同步功能實現(xiàn)隔離系統(tǒng)兩端文件服務器中文件的同步功能。事實上，安全隔離系統(tǒng)通過部署在兩端的客戶端代理模塊，分別從各自的文件服務器中提取需要同步的文件，然后安全擺渡到對端，再由對端的代理模塊發(fā)布到目標文件服務器上，文件的擺渡受到安全模塊的檢查。l Web交換功能設(shè)計Web應用是目前最為流行的網(wǎng)絡(luò)應用。因此，提供對Web應用的訪問支持是安全隔離系統(tǒng)的基本功能之一。安全隔離系統(tǒng)的內(nèi)外端機都應支持HTTP、HTTPS兩種應用代理訪問功能。安全隔離系統(tǒng)能夠通過服務地址映射（S7、AT）的方式將目標Web服務器映射到安全隔離系統(tǒng)的另一端機供用戶訪問。Web應用數(shù)據(jù)在通過安全隔離系統(tǒng)的過程中，受到嚴格的安全控制，包括HTTP/HTTPS協(xié)議頭的關(guān)鍵字過濾、完整性檢查、URL長度檢查、活動腳本的檢測及控制、文件安全檢查等內(nèi)容。l 數(shù)據(jù)庫交換功能設(shè)計在應用系統(tǒng)中，往往具有不同的用戶群及不同的網(wǎng)絡(luò)應用。但應用之間共享應用數(shù)據(jù)卻往往是必要的。因此，安全隔離系統(tǒng)將數(shù)據(jù)庫同步功能作為其數(shù)據(jù)交換的基本功能之一。安全隔離系統(tǒng)的數(shù)據(jù)庫訪問功能可以通過數(shù)據(jù)庫應用代理的方式將數(shù)據(jù)庫服務映射到安全隔離系統(tǒng)的一端，應用程序可以直接訪問映射的數(shù)據(jù)庫服務，由安全隔離系統(tǒng)完成數(shù)據(jù)庫的數(shù)據(jù)內(nèi)容安全傳輸。在8、數(shù)據(jù)庫訪問中，安全隔離系統(tǒng)將支持對TNS協(xié)議的代理功能。l 郵件交換功能設(shè)計郵件通訊主要使用POP3和SMTP協(xié)議，在安全隔離系統(tǒng)的環(huán)境中，往往需要進行內(nèi)網(wǎng)郵件與外網(wǎng)郵箱中郵件的同步，或者需要內(nèi)網(wǎng)用戶能夠訪問外網(wǎng)郵箱中的郵件。這些需求可通過安全隔離系統(tǒng)的郵件同步功能來完成。郵件同步模塊起到郵件中繼的作用，它能將安全隔離系統(tǒng)一端的郵件同步到另一端，即可以進行單向郵件中繼，也可以進行雙向郵件中繼。郵件訪問功能通過配置郵件代理完成，安全隔離系統(tǒng)的郵件代理保證使用者能夠通過安全隔離系統(tǒng)訪問另一端的郵件服務器，使用郵件客戶端進行郵件的正常收發(fā)。l 定制應用數(shù)據(jù)交換安全隔離系統(tǒng)需要提供私有協(xié)議定制開發(fā)功能9、。保證在用戶提供需要支持應用的封裝格式、協(xié)議狀態(tài)機、命令集的情況下，安全隔離系統(tǒng)可以提供私有代理服務器生成模板和私有代理客戶端生成模板，這樣就可以快速生成滿足私有應用的代理程序，用以終止私有應用的TCP連接、完成數(shù)據(jù)/命令提取和控制。因此，隔離系統(tǒng)對于私有的應用協(xié)議，也可以保證應用數(shù)據(jù)落地控制。4.2. 安全控制功能l 訪問控制功能安全隔離系統(tǒng)應實現(xiàn)從網(wǎng)絡(luò)層到應用層的訪問控制功能。 在網(wǎng)絡(luò)層，安全隔離系統(tǒng)應具有包過濾防火墻所有的安全功能。應實現(xiàn)對源/目的IP地址、通信端口、訪問時間等屬性的全面控制。 在傳輸層，安全隔離系統(tǒng)應實現(xiàn)IP分組與TCP連接和UDP Socket從屬關(guān)系真實性的判別，應10、實現(xiàn)防止連接劫持攻擊。 在應用層，安全隔離系統(tǒng)應對應用頭的格式、內(nèi)容、應用數(shù)據(jù)的內(nèi)容進行審查、過濾，使只有符合安全策略的數(shù)據(jù)才被傳輸。通過貫穿整個協(xié)議棧的訪問控制，安全隔離系統(tǒng)應有效過濾非法連接、數(shù)據(jù)的非法傳輸。l 數(shù)據(jù)內(nèi)容審查功能安全隔離系統(tǒng)交換的數(shù)據(jù)是無協(xié)議格式的上層應用數(shù)據(jù)，比如發(fā)送的郵件主體內(nèi)容，郵件的附件。安全隔離系統(tǒng)在交換這些數(shù)據(jù)時，實現(xiàn)了三方面的數(shù)據(jù)內(nèi)容審查： 關(guān)鍵詞過濾：對含有黑名單中出現(xiàn)的關(guān)鍵詞的應用數(shù)據(jù)進行基于策略的安全處理，包括拒絕發(fā)送、日志審計、關(guān)鍵詞替換等三種處理方式。 模糊查詢：對于應用數(shù)據(jù)中包含經(jīng)過處理、偽裝的敏感詞語進行控制和處理，比如識別類似“法*輪*功”這樣11、的敏感詞匯。控制處理的方式包括：拒絕發(fā)送、日志審計和關(guān)鍵詞替換三種。 病毒掃描：隔離系統(tǒng)在擺渡每一個數(shù)據(jù)塊時，都進行病毒掃描。l 病毒防護功能安全隔離系統(tǒng)應集成專業(yè)的病毒查殺模塊，能在應用層實現(xiàn)基于特征的病毒查殺。為此，安全隔離系統(tǒng)必須提供病毒庫在線升級功能，以及病毒庫手工導入功能。l 文件深度檢查功能用戶需要對通過隔離設(shè)備傳輸?shù)奈募愋瓦M行控制，比如，不允許外部的exe或者bat文件傳輸?shù)絻?nèi)網(wǎng)。但是，攻擊者可以將文件的后綴修改為txt等被允許的后綴并傳輸，以逃避安全規(guī)則的檢查。為此，安全隔離系統(tǒng)應對文件進行一致性檢查，即一個聲稱的exe是否真是exe文件，一個聲稱的pdf文件是否真是pdf文12、件等。安全隔離系統(tǒng)應具有這種深度檢查功能。安全隔離系統(tǒng)應盡可能支持所有的文件類型的一致性檢查。l 流量控制功能為了保證核心應用保持應有的帶寬，防止網(wǎng)絡(luò)接口流量異常，安全隔離系統(tǒng)應具有流量監(jiān)視及控制功能。通過該功能能夠?qū)νㄟ^安全隔離系統(tǒng)的網(wǎng)絡(luò)流量進行全面的控制。流量監(jiān)視及控制功能可以針對不同的應用對流量設(shè)置上限，保證核心業(yè)務系統(tǒng)流量不會由于其它應用（如點對點應用）占用過多帶寬而不能正常使用。另外，流量監(jiān)視及控制功能還可以對安全隔離系統(tǒng)的特定網(wǎng)絡(luò)端口進行上行及下行的流量監(jiān)視及控制，使用戶能夠隨時掌握網(wǎng)絡(luò)流量的狀態(tài)，分析網(wǎng)絡(luò)的穩(wěn)定性。5. 部署方式部署方式示意圖：5.1. 內(nèi)外網(wǎng)統(tǒng)一部署便于統(tǒng)一管理13、和維護，用戶投資少，在安全隔離系統(tǒng)上安裝不同的功能模塊以適應不同的業(yè)務應用。但隨著應用的增加，安全隔離系統(tǒng)的負擔會越來越重，安全隔離系統(tǒng)的性能也會越來越低。5.2. 根據(jù)應用分別部署根據(jù)不同的應用來部署網(wǎng)閘，這樣做最大的優(yōu)勢就是能夠保障安全隔離系統(tǒng)的性能不受應用變化的影響。但投資多，每增加新應用就要部署網(wǎng)閘，不方便管理維護。通過2種部署方式的比較，我們建議用戶采用統(tǒng)一部署的方式，一旦應用增加到安全隔離系統(tǒng)的負荷后，再通過增加安全隔離系統(tǒng)的方式做負載均衡。6. 應用實現(xiàn)方式6.1. OA系統(tǒng)隔離華能集團OA系統(tǒng)部署在內(nèi)網(wǎng)中，內(nèi)部辦公人員可以直接訪問OA系統(tǒng)并通過認證后，完成日常的個人事務及辦公流14、程。其他分支機構(gòu)的OA系統(tǒng)結(jié)構(gòu)也是類似的。在建立內(nèi)、外雙網(wǎng)結(jié)構(gòu)后，面臨的問題是：當集團辦公人員出差到外地需要進行移動辦公時如何安全訪問內(nèi)網(wǎng)的OA系統(tǒng)。當使用安全隔離系統(tǒng)后，缺省情況下安全隔離系統(tǒng)屏蔽了內(nèi)、外網(wǎng)之間的所有網(wǎng)絡(luò)連接。當移動辦公用戶需要在互聯(lián)網(wǎng)上訪問內(nèi)網(wǎng)的OA系統(tǒng)時，通過安全隔離系統(tǒng)SAT（服務地址映射）功能實現(xiàn)對內(nèi)網(wǎng)OA系統(tǒng)的訪問。此時，隔離系統(tǒng)的部署結(jié)構(gòu)如下：OA隔離部署從圖中可以看出，安全隔離系統(tǒng)外網(wǎng)端首先通過SAT映射啟用OA服務的代理模塊，遠程移動用戶通過VPN連入外網(wǎng)，并訪問OA代理服務，安全隔離系統(tǒng)將代理請求轉(zhuǎn)發(fā)到內(nèi)網(wǎng)的真實服務器，真實OA服務的反饋信息通過隔離系統(tǒng)交換15、后在由外段的OA代理返回給移動用戶，最終實現(xiàn)移動辦公。6.2. 數(shù)據(jù)庫信息交換隔離華能集團的核心業(yè)務數(shù)據(jù)庫服務均部署在內(nèi)網(wǎng)，通過內(nèi)網(wǎng)的業(yè)務系統(tǒng)對數(shù)據(jù)庫進行操作，并將結(jié)果展示給使用者。但有些業(yè)務系統(tǒng)的數(shù)據(jù)需要來源于外網(wǎng)（例如外部采集數(shù)據(jù)）。這些數(shù)據(jù)應該如何從外網(wǎng)傳遞到內(nèi)網(wǎng)，我們將采用兩種方式進行設(shè)計。第一種方式是對某些應用可以在外網(wǎng)建立一個外網(wǎng)數(shù)據(jù)庫，這些數(shù)據(jù)庫中只存儲外部網(wǎng)絡(luò)獲取的數(shù)據(jù)，不存儲其他敏感數(shù)據(jù)，當需要將這些數(shù)據(jù)交換到內(nèi)網(wǎng)時，通過安全隔離系統(tǒng)實現(xiàn)，如圖：數(shù)據(jù)庫同步部署圖此時，在安全隔離系統(tǒng)上將部署數(shù)據(jù)庫同步模塊，該同步模塊將只允許將外網(wǎng)數(shù)據(jù)庫中的特定數(shù)據(jù)同步到內(nèi)網(wǎng)數(shù)據(jù)庫中，反向不允許16、數(shù)據(jù)庫信息傳輸。第二種方式適合于外網(wǎng)不建數(shù)據(jù)庫的情況。外網(wǎng)有某個業(yè)務系統(tǒng)服務在運行，其中需要的數(shù)據(jù)信息來源于內(nèi)網(wǎng)數(shù)據(jù)庫，同時需要對數(shù)據(jù)庫進行修改。此時的部署設(shè)計如下：數(shù)據(jù)庫訪問設(shè)計如圖，安全隔離系統(tǒng)配置內(nèi)網(wǎng)數(shù)據(jù)庫的SAT映射，在外端機啟用數(shù)據(jù)庫代理模塊，當外網(wǎng)業(yè)務系統(tǒng)訪問數(shù)據(jù)庫代理時，數(shù)據(jù)庫代理將請求轉(zhuǎn)發(fā)給內(nèi)網(wǎng)數(shù)據(jù)庫，安全隔離系統(tǒng)將反饋信息交換到數(shù)據(jù)庫代理，并通過代理將數(shù)據(jù)傳給外網(wǎng)業(yè)務系統(tǒng)。6.3. 郵件系統(tǒng)隔離華能集團郵件服務將部署在外網(wǎng)，提供外網(wǎng)及互聯(lián)網(wǎng)的郵件服務，但內(nèi)網(wǎng)用戶也需要訪問郵件服務獲取郵件信息。此時，需要通過安全隔離系統(tǒng)實現(xiàn)郵件的交換功能。我們將設(shè)計如下的部署方式支持華能集團的17、郵件應用：郵件交換部署如圖，通過在隔離系統(tǒng)內(nèi)端機開啟郵件SAT映射，將在內(nèi)端機啟用郵件的POP3代理。當內(nèi)網(wǎng)用戶通過代理應用收郵件時，郵件代理將郵件協(xié)議內(nèi)容轉(zhuǎn)發(fā)給外網(wǎng)的郵件服務，真正的郵件將通過外網(wǎng)郵件服務進行收件任務的。這樣，在內(nèi)網(wǎng)的用戶也可以通過外網(wǎng)郵件服務進行郵件的接收。本方法主要考慮到內(nèi)網(wǎng)郵件系統(tǒng)的安全性，內(nèi)網(wǎng)郵件系統(tǒng)只能通過pop3接受郵件，發(fā)送郵件需要通過web郵件系統(tǒng)進行發(fā)送。6.4. 網(wǎng)銀應用隔離華能財務公司的結(jié)算系統(tǒng)（采用上海CA認證的VPN系統(tǒng)）連接到華能主要產(chǎn)業(yè)公司和下屬企業(yè)，與工、建、交、農(nóng)、召行都有專線連接。華能集團結(jié)算系統(tǒng)屬于核心業(yè)務系統(tǒng)，部署在內(nèi)網(wǎng)，但需要通過外網(wǎng)與銀行進行連接，通過網(wǎng)銀接口實現(xiàn)與銀行的財務結(jié)算。安全隔離系統(tǒng)部署在內(nèi)外網(wǎng)之間后，內(nèi)網(wǎng)的結(jié)算系統(tǒng)需要通過安全隔離系統(tǒng)進行SAT映射，然后網(wǎng)銀接口模塊可以通過映射的代理服務與銀行對接。如圖所示：網(wǎng)銀業(yè)務隔離設(shè)計圖中顯示了網(wǎng)銀接口如何通過安全隔離系統(tǒng)與銀行連接。此時在安全隔離系統(tǒng)外端機映射結(jié)算系統(tǒng)的代理服務，外段網(wǎng)銀接口模塊通過訪問代理服務獲取結(jié)算數(shù)據(jù)，并與銀行前置機連接進行數(shù)據(jù)結(jié)算。6.5. 內(nèi)網(wǎng)補丁升級 華能集團的內(nèi)網(wǎng)防病毒系統(tǒng)、桌面管理系統(tǒng)，需要定期進行補丁和病毒庫的升級，安全隔離系統(tǒng)可以為病毒庫和系統(tǒng)補丁開通一條特殊的數(shù)據(jù)通道，從而保證病毒庫和補丁的及時更新。