数据安全隔离网关

数据安全隔离网关主要包括内网关、外网关和安全隔离部件三大部分组成。采用的技术方案是：内网关与外网关，分别通过各自的网络接口与内网和外网相连；每个网关各有一组数据线与安全隔离部件相连，安全隔离部件逻辑上由存储介质构成。存储介质通过各自不同的数据总线和地址总线或者与内网关相连，或者与外网关相连，但绝对不能同时与两个网关相连，因此，该产品可以保证内网和外网在物理层上在任何时间段上是不连通的。同时，内网关和外网关采用嵌入式linux操作系统，内、外网关的tcp/ip协议栈被裁剪掉，不提供任何的服务和端口，因此黑客无法通过端口和服务上的漏洞对系统进行攻击，也无法通过TCP/IP协议发现该系统的存在。该方案彻底地解决了国内用户担心国外操作系统等基础平台存在后门威胁的问题。总结起来有以下几点：

  系统采用2＋1的系统构架，双网关系统＋安全隔离控制器；

  网关系统采用非X86指令集的低功耗嵌入式处理器；

  安全隔离控制器通过存储介质实现安全隔离和单向控制，使生产控制大区与管理信息大区之间实现物理隔离；

  安全、固化的操作系统，采用嵌入式LINUX系统内核，TCP/IP协议栈被裁剪掉，内外网关之间采用私有通讯协议；

  应用层数据完全单向传输；

  高可用性：支持双机热备、双链路容错，支持冗余电源；

  采用虚拟主机技术，隐藏各个网络的通讯主机真实IP和MAC地址；

  基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制；

  防止穿透性TCP连接：禁止内网、外网的两个应用网关之间直接建立TCP/IP连接；

  强大的日志审计功能，除记录管理日志外还可以记录实时通讯日志及非授权访问日志，支持日志导出；

  安全、方便的维护管理方式，支持集中管理，支持远程监控、告警；