1 简述

自上世纪90年代以来，信息技术迅猛发展

，人们的生活、工作方式发生了巨大变革
，信息网络的大规模应用极大提高了办公效率
，从1995年开始，互联网在我国迅速普及
，党和政府积极推进全国的数字化进程
，使我国的数字化建设取得了突飞猛进的发展，经过多年建设，我国已建成具有相当规模的数字化网络，但随着网络的不断普及
，安全问题日益增多，网络和信息安全问题成为威胁政府和企业安全的重大隐患。随着对安全问题的不断认识和了解，党和政府已将信息安全建设提到一个相当的高度上来，我国互联网建设的重点也从开始的组网、应用开发转移到现在的保障应用安全以及全面的信息监督


、控制
、管理体系的实现上来，从而构筑我国坚固的信息安全防护体系。

2 安全需求分析

经过多年的建设，某市第一医院的网络基础已经比较完善，并结合实际网络应用需求部署了部分安全产品（如防火墙

、防病毒等）。随着应用系统的发展,医保网络需要与医院的ＨＩＳ系统服务器连接，提取相应的数据
，对于医院来说

，ＨＩＳ服务器是医院的核心业务服务器，需要保证与医保网络连接过程中不会受到攻击

，保证ＨＩＳ服务器的安全
。

2.1 面临的风险

根据以上网络的特征可以看出
，目前某市第一医院网络面临的主要威胁有

u  病毒
、木马入侵；

由于服务器与医保网络进行联通，所以有可能会引入病毒、木马的攻击入侵；

u  黑客攻击；

由于ＨＩＳ服务器的需要与医保网络联网
，对于医院来说医保网络是非信任网络，在黑客入侵技术层出不穷的今天，服务器很难独善其身

；

u  因为单位业务内网属涉密内网，与外网连接有可能会造成涉密信息外泄等风险
；

2.2 需要保护的资源

u  ＨＩＳ服务器

保证ＨＩＳ服务器不受医保网络方面的任何病毒＼木马，黑客的攻击
；

u  内网办公电脑；

内网办公电脑在办公的同时，需要保证办公电脑不被病毒感染、不被木马盗窃敏感信息
。

u  内网OA、DB等应用服务器

；

保证OA、DB等应用服务器的正常运行
；

3方案

“要确保网络安全吗？那就断开网络吧！”这句话并非玩笑。在政府

、金融、航天、军事等行业和部门物理隔离技术及产品已经开始发挥着重要的作用
。但是这已经不是传统意义上的物理隔离
，而是保证信息交换的安全隔离了
。安全隔离技术作为一项新兴的网络安全技术
，在保障国家信息安全，尤其是政府、军队及重点行业等信息系统安全建设方面发挥了重要的作用。

物理隔离作为一种安全管理和技术手段，能够比较有效地防范来自外界对网络和信息系统的安全威胁。但是物理隔离隔断了网络，禁止了数据交换，造成信息化工作无法开展，属于消极的防御方法。“积极防御”
，就是说，既不能因为存在信息安全的威胁而消极地停止或者滞后信息化进程，隔断网络使信息不能共享
；也不能忽视或者轻视信息安全威胁
，使信息系统缺乏安全保障


。

基于这样的需求特点
，可以变被动为主动，采取与“黑名单”防御技术思路完全不同的方法进行“积极”防御
：将正常需要传输和交换的、合法的数据经过明确定义列入“白名单”，在网络的边界仅允许“白名单”所定义的应用数据通过
，任何其它未知的数据传输一律阻断，并把这一机制用可信的防篡改的专用硬件固化下来

。

这一采用“白名单”思路进行积极防御的技术即为GAP技术（也叫安全隔离与信息交换技术）
。

GAP技术最初来源于物理隔离。为了防范网络、信息系统受到安全威胁
，物理隔离禁止网络和信息系统与外界非信任网络的所有数据交换。这种手段固然能够最大程度地保证内部网络和信息系统的安全性，但是网络和信息系统的一些优点也都不复存在。这是背离信息化方向的，是消极的，与“积极防御”的指导方针背道而驰
。另外，物理隔离的消极影响还在于可能会导致内部网络用户出现通过电话线外连、移动计算设备一机多用
、用移动存储介质在网络间交换未知数据等潜在威胁
。从业界出现的各种关于“主机非法外联监控”技术和相关产品的情况来看，这种潜在威胁已经浮出水面。认为物理隔离能保证高度安全无异于把头埋在沙堆里的鸵鸟。

物理隔离产生消极影响的原因是：用户希望根据业务和应用需求
，在物理隔离的网络之间进行安全适度的信息交换
。设想，用户需要在相互隔离的网络之间传输一些指定的文件
，比如甲部门需要向乙部门定期提供的汇报、审计
、总结等信息和数据，那么很自然的方式是采用移动介质，将所需要的文件从一个网络的服务器上拷贝到另外一个网络的服务器上。这种数据交换方式如果加上内容检查（包括病毒查杀在内）机制

，保证对所需传输的数据来源、格式和内容的确认，并确保其它未知数据不能在网络之间交换，即可在进行了数据交换的同时保持物理隔离手段所提供的高安全性
。

GAP技术按照以上思路，在物理隔离的基础上
，发展了安全信息交换的技术
。就像上面描述的信息交换过程一样
，GAP方式的信息和数据交换过程为
：首先保证网络之间的隔离
，然后根据业务需求，以“白名单”方式定义在网络间需要交换的数据，再通过主动请求或专用接口的方式获取数据，并且对所交换数据进行格式和内容的检查，最后将数据安全发送到目的地。从而在保持物理隔离的高安全性基础上提供信息交换的功能
。

基于对实际应用系统的安全需求分析和风险分析，GAP技术采用了独特的软硬件设计架构，保证“白名单”策略的实施
。

首先，GAP硬件采用多主机架构。GAP设备需要对在网络间交换的数据进行预处理
。预处理过程包括：将网络上传送的数据还原为应用层数据

；对这些数据进行由用户所定义的检查；读取和发送这些应用数据。这些预处理操作在进行数据交换之前必须在独立的主机系统中进行
，保证数据的隔离
。另外，多台主机用专用硬件串联的架构形成纵深防御，既使外部主机被攻击，也可以保证内部主机的安全。

第二，GAP硬件架构中采用专用防篡改硬件隔断TCP/IP协议通信
，保证数据传送和检查机制固化、防篡改
，保证网络隔离的有效性。

第三
，GAP的“白名单”策略面向应用数据，并对未知来源的主动请求一律拒绝。因为用户对所传输的数据的定义只能是面向应用而不可能面向网络会话或者IP报文。读取和发送这些数据时，GAP采用主动请求（Pull & Push）或者专用安全接口或专用安全客户端的方法。内部网络的服务端口暴露在各种各样的未知请求面前时，很难避免遭受堆栈溢出
、绕过安全检查
、拒绝服务等的攻击。通过主动请求的方法可以避免开放服务端口
；通过专用安全接口或者专用安全客户端进行数据读取和发送可以避免接收未知数据。这样可以避免绝大多数隐患

最后，GAP提供内容检查机制
。内容检查机制首先采用病毒查杀引擎对已知病毒进行查杀。其次内容检查根据用户对数据的定义检查数据的格式和内容。

综上所述，GAP技术隔断了从物理层到应用层所有网络层次的协议通信
，因此，可以把GAP理解成“the Gap of All Protocol”的缩写。

3.1 网闸的定义

网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接
、信息传输命令
、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令
。所以

，网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接
，使“黑客”无法入侵、无法攻击、无法破坏，实现了真正的安全。

3.2 网闸的信息交换方式

鼎胜娱乐知道计算机网络依据物理连接和逻辑连接来实现不同网络之间、不同主机之间、主机与终端之间的信息交换与信息共享
。网闸既然隔离、阻断了网络的所有连接，实际上就是隔离、阻断了网络的连通

。网络被隔离、阻断后
，两个独立主机系统之间如何进行信息交换
？网络只是信息交换的一种方式，而不是信息交换方式的全部
。在互联网时代以前，信息照样进行交换，如数据文件复制（拷贝）、数据摆渡，数据镜像

，数据反射等等，网闸就是使用数据“摆渡”的方式实现两个网络之间的信息交换

。

网络的外部主机系统通过网闸与网络的内部主机系统“连接”起来
，网闸将外部主机的TCP/IP协议全部剥离，将原始数据通过存储介质，以“摆渡”的方式导入到内部主机系统，实现信息的交换

。说到“摆渡”，鼎胜娱乐会想到在1957年前
，长江把我国分为南北两部分
，京汉铁路的列车只有通过渡轮“摆渡”到粤汉铁路
。京汉铁路的铁轨与粤汉铁路的铁轨始终是隔离、阻断的。渡轮和列车不可能同时连接京汉铁路的铁轨，又连接到粤汉铁路的铁轨。当渡轮和列车连接在京汉铁路时，它必然与粤汉铁路断开
，反之依然

。与此类似，网闸在任意时刻只能与一个网络的主机系统建立非TCP/IP协议的数据连接
，即当它与外部网络的主机系统相连接时
，它与内部网络的主机系统必须是断开的

，反之依然
。即保证内、外网络不能同时连接在网闸上

。网闸的原始数据“摆渡”机制是原始数据通过存储介质的存储（写入）和转发（读出）
。

网闸在网络的第七层将数据还原为原始数据文件，然后以“摆渡文件”的形式来传递原始数据。任何形式的数据包
、信息传输命令和TCP/IP协议都不可能穿透网闸
。这同透明桥

、混杂模式

、IP over USB、代理主机、以及通过开关方式来转发信息包有本质的区别。下面以内网与外网之间的网闸为例
，说明通过网闸的信息交换过程。

当内网与外网之间无信息交换时，数据交换单元与内网交换单元，数据交换单元与外网处理单元
，内网处理单元与外网处理单元之间是完全断开的，即三者之间不存在任何连接.

当内网数据需要传输到外网时，网闸主动向内网处理单元数据交换代理发起非TCP/IP协议的数据连接请求
，并发出“写”命令，将写入开关合上
，并把所有的协议剥离，将原始数据写入存储介质。在写入之前，根据不同的应用，还要对数据进行必要的完整性、安全性检查
，如病毒和恶意代码检查等
。

在此过程中，外网处理单元与数据交换单元始终处于断开状态.

 一旦数据完全写入网闸的存储介质
，开关立即打开，中断与内网的连接
。转而发起对外网的非TCP/IP协议的数据连接请求，当外网服务器收到请求后，发出“读”命令
，将网闸存储介质内的数据导向内网服务器
。内网服务器收到数据后，按TCP/IP协议重新封装接收到的数据，交给应用系统，完成了内网到外网的信息交换

。

3.3 产品功能

利谱网闸由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡。从而在保证内外网隔离的情况下，实现可靠
、高效的安全数据交换，而所有这些复杂的操作均由隔离系统自动完成，用户只需依据自身业务特点定制合适的安全策略既可实现内外网络进行安全数据通信，在保障用户信息系统安全性的同时，最大限度保证客户应用的方便性
。

3.3.1 安全隔离

A、 物理隔离
：系统由内网单元、外网单元及控制单元三个物理部分组成。控制单元是内外网之间唯一且安全的数据通道

。

B、 协议隔离：内、外网单元主机均采用安全操作系统，分别独立完成网络协议的终止。内

、外网单元之间只能通过采用非网式专有安全通道进行间歇性数据传递，内外网无法直接建立任何的协议会话，从而阻断以共同协议为载体的风险传递。

C
、 应用隔离：系统采用模块化的应用解码，内外网单元分别独立完成与客户会话交互、提取安全数据等待数据交换
，所以内外网之间不能建立直接的应用会话。

D、 内容隔离：内
、外网单元分别将待交换传输的数据进行内容检查与病毒查杀，不符合安全规定的数据内容将被直接删除，合法的数据才允许被安全数据交换单元交换至另一端，从而保证了数据内容的安全性。

E、 风险隔离：系统以白名单机制运行，仅许可正常的、用户许可的网络应用，防范未知的安全风险。并且系统集成防病毒并可扩展多种常规安全防护引擎，如入侵检测等
，可检测60000多种病毒和4000多种网络入侵。双重安全机制最大程度上实现了风险隔离
。

3.3.2 信息交换

网闸可以提供内网单元与外网单元均为服务器的角色交换信息也可以一端做为服务器另一端作为客户端的角色交换信息，也可以内网单元与外网单元同时作为客户端的角色交换信息
，并且这几种交换模式可以并存，为用户提供了丰富多样的交换策略选择，适应了所有的数据交换模式。

u  服务交换：内
、外网单元通过系统内置的文件交换、数据库交换、安全浏览、邮件交换等处理模块，将用户提交的业务数据经过内容检查后置于安全数据交换区
，安全数据交换单元根据指定的周期将安全数据交换至内网单元。

u  自动交换
：系统的内、外网单元根据设定的自动交换策略，主动请求内
、外网的提供服务的计算机
，提取对应的数据，经过内容检查后置于安全数据交换区
，安全数据交换单元根据指定的周期将其交换至另一网端
，另一网端根据设定将这些安全数据主动的提交至目的服务计算机中。

3.3.3 网络访问控制

网闸具有强大的访问控制力，管理员可通过订制访问策略，精细地控制 谁 （网络对象）能够 （允许或禁止）访问自己。管理控制台以人性化的人机接口协助管理员轻松实现管理目标
。

u  网络访问控制
：网闸的内、外网单元完整实现链路层、网络层、传输层访问控制，通过灵活组合网络对象，制定与实际需求完全吻合的访问策略
。

u  访问用户控制：网闸的内
、外网单元可实现定制、绑定哪些用户可以访问，以何种策略访问
。

3.3.4 数据内容审查

内容检查是指当网闸准备交换文件之前对文件所进行的安全检查
，确保只有符合保密、安全策略的数据、文件才允许被交换至另一端
。

u  行为动作
：网闸的内、外网单元可依据管理员设定的各个应用模块的行为动作策略进行控制，拒绝非允许的动作操作：如FTP的允许下载不允许上传
，数据库的允许SELECT不允许DELETE等控制并将记录非授权动作到日志告警
。

u  关键字检查：网闸的内、外网单元可依据管理员设定的涉密或不健康的信息进行过滤，将过滤到关键字的信息摈弃并记录日志告警
。

u  文件类型检查：网闸的内、外网单元可将指定的可能产生危险的文件类型过滤
、删除并且记录日志告警
。

3.4 产品特点

利谱网闸产品的设计原理就是在保证内外网物理隔离的情况下实现信息交换。其形象的比喻就是，一个U盘在两台计算机中间来回的拷贝数据，其数据流转过程称之为数据摆渡
。利谱网闸就是采用双主机＋专用物理隔离芯片的硬件结构
，结合专业定制的网络安全操作系统和高强度的网络协议分析及控制的软件系统，共同构建一个在网络边界处隔离网络已知和未知攻击行为的高端网络安全设备。

u  利谱网闸产品采用高性能的硬件平台和应用会话算法，可保证在很高的网络流量的压力下能正常的处理所有的信息
。

u  首创的基于硬件的安全通道处理机制，使得单向控制极为安全。木马、病毒等有害信息更将无法反向穿过网闸破坏内网盗取内网涉密信息。

u  采用自行定制的网络安全操作系统SUOSV3.0和自研的安全协议栈，保障了平台的安全性，利谱网闸设备本身具有极高的安全性
，可抵御来自内外网的任何攻击者发起的地址欺骗
、包重放、DDOS等攻击行为。

u  利谱网闸设备支持透明部署与非透明部署两种模式


，极大的适应了用户的环境要求，方便了用户的管理配置。并且当设备采用透明部署方式时设备将会全隐形。

u  利谱网闸可支持同一网段和不同网段的数据交换。管理控制口无IP地址
，只有通过专用控制软件才可找到网闸设备
，并且进行进行管理员身份认证之后才可进行管理行为。

3.5 产品部署及安全策略

医院业务网络与医保网络内外网隔离之后
，使医保服务器与内网ＨＩＳ服务器之间通过网闸进行被明确指出允许的安全数据交换，其它数据一律丢弃。

安全策略：

服务器数据交换策略，根据服务器数据交换的应用类型
，采用网闸内部相应的ＳＱＬServer数据交换模块等，定制数据交换策略只允许外网的医保服务器与内网HIS服务器之间指定应用(SqlServer)的数据交换
；

利谱网闸产品结合自身产品的优点针对某市第一医院网络环境的特点制定相应的安全策略
，以确保内网与外网安全隔离的同时
，实现外->内的单向业务数据交换通道，任何攻击请求不被受理。

部署利谱网闸产品后可以从OSI的各个层次上立体式的保护内网，形成一整套统一的安全防御体系
。

利谱网闸系统后

，相应的威胁及不足得以消除和补充，某市第一医院相应的资源得到了安全保护，如下表所述
：

4 5 方案总结

通过部署利谱网闸系统，结合现有的防火墙
、防病毒等安全系统

，在内外网实行隔离之后
，可以使用户的网络资源及服务器资源受到严格的防护
，保证客户网络有序、合理的利用
。