【正文】 多網(wǎng)隔離能力 外網(wǎng)主機系統(tǒng)可連接多于 2 個相同安全級別的網(wǎng)絡，內(nèi)網(wǎng)主機系統(tǒng)可連接多于 1 個相同安全級別的網(wǎng)絡接入方式 支持相同網(wǎng)絡地址的網(wǎng)絡間部署，網(wǎng)絡部署適應性強IP/MAC 地址綁定支持 IP/MAC 地址綁定，具有自動學習功能時間控制 支持自由定制時間策略適應性域名控制 支持域名訪問控制策略17 / 26專用冗余協(xié)議 支持 MRP 多重冗余協(xié)議，保障設備的高可靠性雙機熱備 通過獨立的熱備端口實現(xiàn)雙機熱備負載均衡 支持 2~32 臺設備實現(xiàn)負載均衡，無需第三方軟硬件支持端口冗余 支持設備自身物理端口冗余功能可靠性鏈路聚合 物理端口支持 標準，實現(xiàn)鏈路聚合功能日志管理 日志實現(xiàn)按功能模塊分組管理，支持 WebTrends 格式日志審計 日志審計 實現(xiàn)對日志的瀏覽、查詢、導出、刪除等操作 產(chǎn)品端口形式列表產(chǎn)品型號 產(chǎn)品端口形式百兆標準型 端口為 6 個 100M 自適應電口，可擴展。千兆標準型 端口為 6 個 10/100/1000M 自適應電口，可擴展。千兆增強型 端口為 8 個 1000M 端口，支持光口，可擴展。4 典型應用及解決方案 網(wǎng)上報稅安全隔離解決方案隨著稅收征管改革工作的不斷深入和完善，采用信息化、現(xiàn)代化的納稅方式已成為趨勢，遠程電子申報納稅就是一種先進的申報方式。網(wǎng)上申報納稅，依據(jù)其依托的不同網(wǎng)絡可分為互聯(lián)網(wǎng)申報方式和計算機遠程點對點申報方式。網(wǎng)上申報方式因企業(yè)端軟件運行在互聯(lián)網(wǎng)上，有害病毒和黑客攻擊可能直接危害到稅務部門的內(nèi)網(wǎng)安全，所以納稅申報數(shù)據(jù)在稅務部門內(nèi)外網(wǎng)交換時，為確保稅務部門內(nèi)網(wǎng)的安全，內(nèi)外網(wǎng)必須實現(xiàn)安全隔離。聯(lián)想網(wǎng)御網(wǎng)上報稅安全隔離解決方案的物理模型如下圖：18 / 26網(wǎng)上電子申報納稅系統(tǒng)在稅務端分為外網(wǎng)受理平臺、內(nèi)網(wǎng)處理平臺和內(nèi)網(wǎng)申報數(shù)據(jù)庫三部分。此安全隔離解決方案通過使用聯(lián)想網(wǎng)御 SIS3000 系列安全隔離與信息交換系統(tǒng)保證內(nèi)外網(wǎng)之間安全隔離的特性，實現(xiàn)申報數(shù)據(jù)文件和申報反饋信息在內(nèi)外網(wǎng)間進行安全交換，確保稅務內(nèi)網(wǎng)的高度安全。外網(wǎng)受理平臺需要將企業(yè)通過互聯(lián)網(wǎng)提交的申報電子信息生成申報信息數(shù)據(jù)文件通過聯(lián)想網(wǎng)御 SIS3000 系列安全隔離與信息交換系統(tǒng)“擺渡”傳遞給內(nèi)網(wǎng)處理平臺，處理平臺接收申報信息文件，審核后存儲到申報數(shù)據(jù)庫中，并將申報結果以信息文件的形式通過安全隔離與信息交換系統(tǒng)“擺渡”傳遞回外網(wǎng)受理平臺，從而反饋給企業(yè)客戶端。 公安旅店業(yè)安全隔離解決方案公安的旅店業(yè)管理系統(tǒng)已經(jīng)在全國鋪開，通過該系統(tǒng)對流動人口進行查詢、管理，是公安系統(tǒng)網(wǎng)上的重要應用之一。各旅店根據(jù)旅客的身份證，通過網(wǎng)上到公安網(wǎng)查詢其信息，為保證其安全需求，在公安網(wǎng)邊界部署安全隔離與交換系統(tǒng)。聯(lián)想網(wǎng)御公安旅店業(yè)安全隔離解決方案的物理模型如下圖：19 / 26 多網(wǎng)接入安全隔離解決方案現(xiàn)在，交警、電業(yè)局、自來水公司等單位在通過銀行實現(xiàn)其相關費用代收時一般要與多家銀行進行網(wǎng)絡連接。安全隔離與信息交換系統(tǒng)在這樣的網(wǎng)絡中部署時使客戶出現(xiàn)了困擾，原因在于現(xiàn)有其它廠商的安全隔離與信息交換系統(tǒng)的兩個主機系統(tǒng)都只是分別提供一個網(wǎng)絡連接接口，也就是說現(xiàn)有安全隔離與信息交換系統(tǒng)部署時每個主機系統(tǒng)只能連接一個網(wǎng)絡，那么在不能將各家銀行網(wǎng)絡連接到同一個交換設備上的安全要求下，一般的解決方式只能是有幾家銀行接入就部署幾臺安全隔離與信息交換系統(tǒng)。這樣的解決方案很明顯是過于浪費的！ 以交警網(wǎng)絡與銀行網(wǎng)絡連接為例，我們仔細分析發(fā)現(xiàn)各銀行網(wǎng)絡相對于交警內(nèi)網(wǎng)都是相同安全級別的網(wǎng)絡。在各銀行網(wǎng)絡在實現(xiàn)無法互訪和分別能與交警內(nèi)網(wǎng)進行數(shù)據(jù)交換的前提下，是可以通過一臺安全隔離與信息交換系統(tǒng)與交警內(nèi)網(wǎng)相連接的。聯(lián)想網(wǎng)御安全隔離與信息交換系統(tǒng)在外網(wǎng)主機系統(tǒng)上提供多個網(wǎng)絡連接接口，從而實現(xiàn)同時可以連接多個相同安全級別的網(wǎng)絡，并且每個網(wǎng)絡接口之間在系統(tǒng)內(nèi)部固20 / 26化實現(xiàn)無法互訪，只能在安全策略控制下通過安全隔離模塊與內(nèi)網(wǎng)主機系統(tǒng)實現(xiàn)數(shù)據(jù)“擺渡”交換。5 常見問題解答 安全隔離和信息交換系統(tǒng)和防火墻有什么區(qū)別安全隔離和信息交換系統(tǒng)與防火墻系統(tǒng)是兩個不同的概念，國家已經(jīng)把兩者劃入兩個不同的產(chǎn)品類別，兩者的不同主要體現(xiàn)在硬件結構不同，實現(xiàn)的技術路線不同，所能達到的安全強度也不同：? 硬件體系不同：安全隔離產(chǎn)品采用雙主機加隔離硬件的“2+1”結構，使得兩個網(wǎng)絡之間沒有任何的網(wǎng)絡物理連接，沒有任何的網(wǎng)絡協(xié)議可以直接穿透，而防火墻屬于單機結構，是基于標準的網(wǎng)絡協(xié)議直接轉發(fā)的。? 技術路線不同：防火墻內(nèi)部的協(xié)議棧是標準的 IP 協(xié)議棧，在多個接口間通過標準的協(xié)議完成路由、轉發(fā)、狀態(tài)包過濾等工作，對攻擊的檢測是基于已知的攻擊行為的。安全隔離和信息交換系統(tǒng)則是基于應用協(xié)議還原，內(nèi)部的通信是非標準的安全專用協(xié)議進行“擺渡” ，天然的具備抵御標準協(xié)議自身隱含漏洞的能力，可以抵御基于協(xié)議本身的已知和未知的攻擊。? 安全強度不同：? 安全隔離產(chǎn)品的轉發(fā)是建立在七層數(shù)據(jù)還原后的基礎上，根據(jù)過濾結果，通過隔離卡擺渡后重新建立連接發(fā)送完成的，是物理隔離。而防火墻一般是基于數(shù)據(jù)包的檢查，是邏輯隔離。21 / 26? 防火墻由于是單機結構，一旦系統(tǒng)由于配置錯誤等原因被攻破后，整個內(nèi)網(wǎng)就會暴露在攻擊者面前。而安全隔離和信息交換系統(tǒng)是多主機結構，即使最壞的情況出現(xiàn)，外網(wǎng)主機被攻破，由于內(nèi)外網(wǎng)之間通過隔離卡隔離，通信協(xié)議非標準，編程接口具有專用性，攻擊者也不可能攻擊到內(nèi)網(wǎng)。 安全隔離和信息交換系統(tǒng)與物理隔離卡是否一樣 不一樣。安全隔離和信息交換系統(tǒng)是網(wǎng)絡邊界訪問控制設備，隔離的是可信網(wǎng)絡和內(nèi)部網(wǎng)絡。物理隔離卡是在單機系統(tǒng)上，通過單機系統(tǒng)開關切換，使受保護的主機不能同時訪問兩個網(wǎng)絡的。 安全隔離和信息交換系統(tǒng)是否是全能的安全產(chǎn)品不是。安全隔離和信息交換系統(tǒng)雖然綜合了多種軟硬件技術來保證本身和內(nèi)部網(wǎng)絡關鍵應用服務器的安全，但安全本身是多層次全方位的體系結構，寄希望于一個單一產(chǎn)品實現(xiàn)所有的防護功能，解決所有的安全問題是不現(xiàn)實的。比如傳統(tǒng)的桌面防護產(chǎn)品，防病毒產(chǎn)品等所實現(xiàn)的功能，安全隔離和信息交換系統(tǒng)就基本不涉及。每個產(chǎn)品都有其專業(yè)化的優(yōu)勢，沒有“全能”的產(chǎn)品。6 標準與資質(zhì)認證執(zhí)行標準：GB/T 180191999 包過濾防火墻安全技術要求GB/T 180201999 應用級防火墻安全技術要求GB/T 179001999 網(wǎng)絡代理服務器的安全技術要求GB/T 183362022 信息技術安全性評估準則GA/T 3902022 計算機信息系統(tǒng)安全等級保護通用技術要求GA 3702022 端設備隔離部件安全技術要求DB11/T 1452022 政務公開網(wǎng)站通用安全技術要求22 / 26B/T166421996 計算機集成制造系統(tǒng)體系結構IEC617391996 集成電路 生產(chǎn)線的批準程序和質(zhì)量管理SJ/ 工藝管理、生產(chǎn)現(xiàn)場工藝管理JB/T92691999 工業(yè)控制計算機系統(tǒng)安裝環(huán)境條件SJ/T105651994 印刷板組裝件裝聯(lián)技術要求產(chǎn)品認證：? 計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證 ? 中國國家信息安全評測認證中心 ? 國家保密局科學技術成果鑒定證書 ? 中國人民解放軍信息安全評測認證中心 7 典型用戶 電子政務國家新聞出版署 中國證監(jiān)會 國家海關總署國家氣象總局 北京市政協(xié) 北京市海淀區(qū)政府北京市企業(yè)信息管理中心 北京市工商局 遼寧省撫順市財政遼寧省本溪市財政 河北省政府 河北省發(fā)展與改革委員會河北省國土資源廳 河北衡水市政府 石家莊市交通指揮中心江蘇省高速公路管理中心 河南省社保局 合肥住房公積金管理中心浙江省糧食局 杭州市政府 義烏市社保浙江省氣象局 杭州市文廣新局 紹興市工商局廣東省海事局 廣州市社保 深圳市龍崗區(qū)監(jiān)察局東莞市監(jiān)察局 深圳市法院 中山市國土資源局江門市國土資源局 佛山房產(chǎn)局 佛山市政府貴州省經(jīng)貿(mào)委 云南省國資委 云南大理旅游局23 / 26 公安行業(yè)河北省公安 廣東省公安 遼寧省公安黑龍江省公安 天津市公安 成都市公安合肥市公安局 江西省撫州交警 江西省公安廳網(wǎng)監(jiān)處海口交警 云南省交警 舟山市公安韶關市公安 麗水市公安 湖州公安 稅務行業(yè)湖北省國稅 安徽省國稅 河北省國稅河南省國稅 新疆自治區(qū)國稅 福建省國稅遼寧省國稅 廈門市國稅 蘭州市國稅蘇州市國稅 南通市國稅 廈門國稅哈爾濱市地稅 福建省地稅 遼寧省地稅新疆自治區(qū)地稅 邯鄲地稅 江蘇省宿遷地稅 其它行業(yè)人民日報社 新華社 中國證監(jiān)會河南省煙草公司 山西移動通信公司 上海房地產(chǎn)中心中山市軍分區(qū) 濟南市軍分區(qū) 山西省陽煤集團河北省建設銀行 泰康人壽保險公司 中國航天五院