网闸技术白皮书

中国移动网络技术白皮书（2020年）目录一、网络技术发展之势 (4)二、网络技术发展之策 (6)(一)求解最大值问题（Maximization），追求极致网络 (6)1.性能提升 (6)2.能力增强 (7)(二)求解最小值问题（Minimization），追求极简网络 (9)1.简化制式 (9)2.节能降本 (9)3.降复杂度 (10)(三)求解化学方程式（Fusion），追求融合创新 (11)1.云网融合 (11)2.网智融合 (12)3.行业融通 (13)三、结束语 (16)缩略语列表 (17)一、网络技术发展之势伴随新一轮科技革命和产业变革进入爆发拐点，5G、云计算、人工智能等新一代信息技术已深度融入经济社会民生，造福于广大用户的日常生活。

加快推进5G 为代表的国家新基建战略，引领网络技术创新和网络基础设施建设，已成为支撑经济社会数字化、网络化、智能化转型的关键。

面向近中期网络技术发展，中国移动认为以下技术发展趋势值得关注：性能极致化：随着移动通信每十年一代的快速发展，产业各方共同努力不断提升通信网络速率、时延、可靠性等性能，延伸网络覆盖，提供差异化服务能力，以更好地满足万物互联多样化通信需求。

算网一体化：从云计算、边缘计算到泛在计算发展的大趋势下，通过无处不在的网络为用户提供各类个性化的算力服务。

算网一体化已经成为ICT发展趋势，云和网络正在打破彼此的界限，通过云边网端链五维协同，相互融合，形成可一键式订购和智能化调度的算网一体化服务。

平台原生化：在企业数字化转型、5G云化的浪潮下，产业融合速度加快、网络业务迭代周期缩短。

云原生理念及其相关技术提供了极致的弹性能力和故障自愈能力，获得业界认可。

未来云平台将向云原生演进，为电信网元及应用提供更加灵活、敏捷和便捷的开发和管理能力。

网络智能化：人工智能正在从感知智能向认知智能发展，其应用范围不断扩大。

人工智能的完善成熟促使其与网络的融合不再是简单的网络智能叠加，而是实现网络智能的内生化，切实提升网络运维效率和运营智能化水平，达到降本增效的实际效果。

——白皮书系列
——白皮书系列
当内网数据需要传输到外网时，网闸主动向内网处理单元数据交换代理
一旦数据完全写入网闸的存储介质，开关立即打开，中断与内网的连接。

转而发起对外网的非TCP/IP协议的数据连接请求，当外网服务器收到请求后，发出“读”命令，将网闸存储介质内的数据导向内网服务器。

内网服务器收到数据后，按TCP/IP协议重新封装接收到的数据，交给应用系统，完成
华御网闸由内网处理单元、外网处理单元与安全数据交换单元（专用安
全通道）组成。

内、外网处理单元采用特殊安全电路设计，具有极高的稳定
性与可靠性。

安全数据交换单元采用专用安全传输控制硬件，通过层层搬运
的方式实现信息安全交换，在数据交换的过程中通道在任何时刻都不是直接
——白皮书系列
——白皮书系列
四、产品特点
4.1 高安全性
华御网闸采用专有的安全操作系统SUOS，裁减所有不需要的功能，安全
——白皮书系列
——白皮书系列- 18 -
——白皮书系列旅馆业报备系统应用
- 19 -
——白皮书系列6.5生产系统隔离应用
联系我们获取更多部署方案
- 20 -
——白皮书系列。

网神SecSIS 3600安全隔离与信息交换系统技术白皮书网御神州科技（北京）有限公司网御神州科技（北京）有限公司目录1 概述 (1)2 产品简介 (2)2.1工作原理 (2)2.2产品组成 (3)3 系统功能详述 (3)3.1丰富的应用模块 (3)3.2访问控制 (3)3.3地址绑定 (4)3.4内容检查 (4)3.5高安全的文件交换 (4)3.6内置的数据库同步模块 (4)3.7高可用设计 (5)3.8轻松的管理 (5)3.9传输方向控制 (5)3.10协议分析能力 (5)3.11完善的安全审计 (5)3.12强大的抗攻击能力 (6)3.13多样化的身份认证 (6)3.14负载均衡解决方案 (6)4 产品技术优势 (6)5 典型应用 (7)5.1安全邮件收发解决方案 (7)5.2数据库安全同步解决方案 (8)5.3安全网络访问解决方案 (9)网御神州科技（北京）有限公司1 概述随着网络技术的不断应用和完善，Internet正在越来越多地渗透到社会的各个方面。

一方面，企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展，人们的日常生活与网络的关系日益密切；另一方面，网络用户组成越来越多样化，出于各种目的的网络入侵和攻击越来越频繁。

人们在享受互联网所带来的丰富、便捷的信息同时，也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。

传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要，但不可能完全解决网络间信息的安全交换问题，因为各种安全技术都有其局限性。

为保护重要内部系统的安全，2000年1月，国家保密局发布实施《计算机信息系统国际互联网保密管理规定》，明确要求：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连，必须实行物理隔离。

” 中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调：“政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离。

上海证券交易所通信网络技术必备白皮书(doc 11页)上海证券交易所通信网络技术白皮书目录第一章总则第二章引用标准第三章本所采用的通信技术和系统简介3.1 卫星通信系统3.2 地面通信系统第四章本所通信网络的组成第五章通信网络接入方式第六章网络安全与管理6.1 网络安全与保密6.2 安全组织结构6.3 安装、使用与管理附录：名词术语理要求2.7 GB/T20270-2006 信息安全技术网络基础安全技术要求2.8 YD/T 5017-2005 国内卫星通信地球站设备安装工程验收规范2.9 YD/T 753.1-1995 国内卫星通信TDM/TDMA分组数据VSAT系统进网技术要求2.10 YD/T 828.32-1997 卫星通信地球站天线测量2.11 YD/T 1003-1999 卫星通信VSAT地球站电磁干扰的测量方法2.12 YD/T 1135-2001 数字数据网（DDN）节点机技术要求及测试方法2.13 YD 5029-1997 数字数据网（DDN）工程设计暂行规定2.14 YD/T 5044-2005 SDH传输设备安装工程验收暂行规定2.15 YD/T 1022-1999 SDH传输设备功能2.16 YD/T 5024-2005 本地网局间中继同步数字系列SDH光纤传输工程设计规范2.17 YD/T 1017-99 同步数字系列网络节点接口2.18 ITU-G.703 数字系列接口的物理/电特性2.19 ITU-G.707 同步数字系列比特速率2.20 证券公司集中交易安全管理技术指引2.21 证券营业部信息技术指引2.22 上海证券交易所会员管理规则2.23 上海证券交易所会员交易及相关系统技术管理实施细则第三章本所采用的通信技术和系统简介3.1 卫星通信系统卫星通信是微波接力通信的一种形式，地球站之间利用地球同步轨道卫星作为中继站进行信息传送。

其特点是：（1）通信信息的传送可以在卫星覆盖的任何地点间进行，通信成本与通信距离无关。

网闸技术规范书需方拟采购中网物理隔离网闸。

一、功能描述：整个技术体系完全自主可控；具有自主知识产权的物理隔离内核；采用了自主可控的安全操作系统；物理隔离网闸的程序全部固化（只读）；采用“2＋1”结构，即双主机系统和一个固态介质存储交换系统；支持即插即用，对网络结构没有要求；具有普适性，对两个网络的IP地址没有要求；支持“无缝”地嵌入当前应用和业务系统；对两个网络执行物理隔离；消除了任何IP包穿透物理隔离网闸；消除任何的TCP/IP会话；消除任何的应用会话（B/S或C/S）；消除了任何的通信和网络协议；没有网络协议通过物理隔离网闸，两网之间无直接访问；消除了基于网络的攻击；屏蔽了内网网络结构的缺陷；屏蔽了内网主机操作系统的缺陷；屏蔽了内网的应用缺陷；提供两个网络之间的文件信息交换；支持数据库应用；支持HTTP访问；支持Email收发；对加载了代理功能模块的应用提供服务；对物理隔离的保护功能；防扫描功能（Anti-scan）；抗攻击功能（Anti-dos）；入侵防御功能（IPS）；（登录，篡改）主机访问控制功能（ACL）；提供身份认证；传输文件的格式限制；支持通道管理和传输方向控制；配置方便，易于使用和管理，提供GUI，命令行等配置使用方式；完善的日志记录和查询审计功能；二、基本要求1、原厂商的非OEM产品；2、不影响现有系统的使用。

三、资质要求1、为保证供货和服务的及时性，本次竞价限本地供应商或在本地有销售及服务网点的外地供应商参与，外地供应商须在竞价时以附件形式上传本地销售服务网点证明材料；2、本次竞价投标供应商须为中央政府采购网中该产品协议供货商；3、为保证产品为国内行销原装正货且能够享受完善的售后服务，供应商竞价时需提供原厂售后服务承诺函，承诺提供三年7*24小时技术支持和售后响应服务；4、报价应包含设备费用、运输保险费用、安装调试费用、税金等所有费用。

四、服务要求提供全国范围内免费送货至用户指定地点交货时间:按照合同执行保修：交货后3年安装、调试、现场技术培训服务：上门安装，有技术人员提供现场服务免费上门服务期限：交货后3年内，在服务期内提供技术支持服务，如免费的版本升级和专业的售后服务专线支持（800电话）等。

1PON技术回顾和50G-PON展望1.1PON技术发展史回顾PON技术是一种基于无源ODN的宽带接入技术，上下行传输波长独立，数据时分复用。

PON 网络采用P2MP点到多点拓扑，一个PON口可以接多个ONU，有效节省局端资源。

连接OLT和ONU的ODN网络采用纯光介质，全程无源，避免了电磁干扰，环境适应性强，易于扩展和升级。

PON技术已经大规模应用，并具有高带宽、高可靠性、多业务承载和低成本等优点。

在PON技术的发展历程中，标准组织FSAN/ITU-T和IEEE起到了巨大的推动作用。

PON技术起源于早期的APON/BPON，商用PON技术历经3代发展，GPON和EPON已经大规模商用部署。

目前10G-EPON和XG(S)-PON设备已经成熟并步入大规模商用窗口期。

表1-1 PON技术演进第一代GPON/EPON技术可以为用户提供百兆带宽接入能力，逐步替换原有铜线接入技术。

第二代10G PON可以为用户提供300Mbps-1Gbps带宽，满足4K/8K视频业务规模应用，以及VR/AR业务的前期导入。

面向未来1G以上带宽需求业务如极致AR、政企接入、5G Fronthaul/Backhaul等，并对PON技术的带宽和延迟提出更高要求。

10G PON之后的下一代PON技术发展趋势主要有两种方向：方向一是提高单波长速率；方向二是多波长复用提高总速率。

业界普遍认可将下一代光接入网容量提升至50Gbps，因此如何简单、高效地实现系统容量升级成为目前PON领域研究的热点。

IEEE和ITU-T就是基于这个思路来研究PON技术的后续演进，并在积极推动中。

IEEE率先启动了下一代PON技术的标准制定，在单根光纤上支持25Gbps下行速率，同时上行支持10Gbps或25Gbps速率，并支持和10G-EPON的兼容。

对于50Gbps带宽需求，采用多波长叠加技术和通道绑定技术提供2个25Gbps通道，实现50Gbps速率。

2000 年 1 月 1 日，国家保密局发布实施《计算机信息系统国际联网保密管理规定》 明确要求“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公 共信息网络相连，必须实行物理隔离”。该规定在互联网发展初期具有前瞻性地提出政 府上网必须“物理隔离”，及时的把政府上网安全提到一个重要的高度，具有重大意义。 并由此而发展出了安全隔离计算机、安全隔离卡等系列安全隔离安全产品。
2 网络隔离与信息交换系统技术原理......................................................................................1 2.1 工作原理 ........................................................................................................................1 2.2 技术特性 ........................................................................................................................2
6 标准与资质认证 ...................................................................................................................21
7 典型用户 ...............................................................................................................................22

GAP技术—物理隔离网闸白皮书（简）物理隔离网闸珠海伟思(集团)有限公司ZHUHAI VICTORY-IDEA（GROUP）CO., LTD.介绍安全背景今天的网络面临许多日益剧增的安全威胁：病毒、特洛伊木马、机动代码（mobile code）、拒绝服务攻击、电子商务入侵和盗窃等。

随着INTERNET的发展，网络变得容易访问进而容易受到外部攻击，这使得许多安全专家认为一台连入INTERNET的PC就是一个攻击的目标。

从一个安全的角度观察，解决方案是简单的，将可信网络与其它任何网络特别是INTERNET断开，保密数据就可牢牢锁定，既没入口，也没出口。

彻底断开可以减少安全威胁。

不幸的是，在今天的电子商务和信息全球化年代，不接入INTERNET是不现实的，很多情况下简直是不可能，与此相反，许多公司越来越依赖于网络：提供职员、客户和商业伙伴快速自由的在线访问内部back-office系统和数据中心。

更复杂的是，通常企业许多敏感的商业信息要和有选择性的外部人员共享。

GAP技术针对这一挑战，通过结合物理断开和逻辑连接，提供给企业一个重要的、附加级的安全措施。

本册解释了怎样实现这一迷人的结合。

什么是GAP技术？GAP技术，它创建一个这样的环境，两个网络物理断开，但逻辑地相连。

某些网络是典型的可信网络，如企业内部网（INTRANET）；另一些网络则是不可信的网络，如INTERNET。

GAP技术在这两个网络之间创建了一个物理隔断，这意味着网络数据包不能从一个网络流向另外一个网络，并且可信网络上的计算机和不可信网络上的计算机从不会有实际的连接。

对于有连接的PC，黑客使用各种方法，通过网络能够建立连接来对它们进行控制，然而物理隔断却能杜绝这种情况发生。

GAP技术除可以实现物理隔断外，还可以允许可信网络和不可信网络之间的数据、资源和信息的安全交换。

正因为有这样的特点，GAP技术允许公司分享两个网络世界的杰出优点：物理隔断使可信网络安全和在线式不可信网络访问。

1产品归纳随着网络技术的不断应用和完满， Internet 正在越来越多地浸透到社会的各个方面。

一方面，企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃睁开，人们的平常生活与网络的关系日益亲近；另一方面，网络用户组成越来越多样化，出于各种目的的网络入侵和攻击越来越频频。

人们在享受互联网所带来的丰富、便利的信息同时，也日益感觉到频频的网络攻击、病毒泛滥、非授权接见、信息泄密等问题所带来的困扰。

传统的平安产品能够以不同样的方式满足我们保护数据和网络安全的需要，但不能能完满解决网络间信息的安全交换问题，由于各种安全技术都有其限制性。

为保护重要内部系统的安全，2000 年 1 月，国家保密局宣告推行?计算机信息系统国际互联网保密管理规定?，明确要求：“涉及国家奥秘的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连，必定推行物理隔断。

〞中共中央办公厅2002 年第 17 号文件?国家信息化领导小组关于我国电子政务建设指导建议?也明确重申：“政务内网和政务外网之间物理隔断，政务外网与互联网之间逻辑隔断。

〞在不同样安全等级的网络及系统之间推行安全隔断是一个卓有收效的安全保密措施，可切断信息泄露的路子。

最初的解决方案很简单，即经过人工的操作来实现。

以以下列图所示：在不同样安全等级的网络中进行信息交换的时候，由指定人员将需要转移的数据拷贝到软盘等搬动储藏介质上，经过查病毒、内容检查等安全办理后，再复制到目标网络中。

这种解决方案可实现网络的安全隔断，但数据的交换经过人来实现，工作效率低；安全性完满依赖于人的因素，可靠性无法保证。

在数据量不大，交换不频频的情况下，经过人工交换数据确实简单可行。

可是，随着电子政务的睁开，内外网交换数据的数量和频率呈几何量级上升，这种解决方案已经越来越无法满足用户的需要。

如何保证信息在不同样安全等级的网络间安全交换成为限制电子政务睁开的瓶颈。

网神 SecSIS 3600 安全隔断与信息交换系统〔简称：“网闸〞〕是新一代网络安全隔断产品。

合众单向光闸白皮书Version 7.0杭州合众数据技术有限公司2015年目录1.背景概述............................................................................................................................................2.产品用途............................................................................................................................................2.1.从互联网采集信息或发布信息至互联网的用户....................................................................2.2.非涉密网向涉密网单向传输的用户........................................................................................3.产品组成............................................................................................................................................4.工作原理............................................................................................................................................5.产品主要功能....................................................................................................................................5.1.文件单向导入导出 ...................................................................................................................5.2.数据库单向同步 (6)5.3.单向UDP ..................................................................................................................................5.4.数据恢复 ...................................................................................................................................6.产品特点............................................................................................................................................6.1.绝对物理单向，防止信息泄密................................................................................................6.2.没有丢包 ...................................................................................................................................6.3.通量大 .......................................................................................................................................6.4.支持数据库同步 .......................................................................................................................6.5.流量控制 ...................................................................................................................................6.6.抗故障能力 ...............................................................................................................................1.背景概述计算机网络的开放性产生了许多安全问题，网络攻击、信息泄漏、网上犯罪层出不穷。

华御安全隔离与信息交换系统技术白皮书V3.0北京安盟信息技术有限公司2009年05月目录一、概述................................................... - 3 -1.1 产品背景............................................. - 3 -1.2 产品概述............................................. - 5 -1.3 产品定位............................................. - 5 -二、技术简介及参数......................................... - 6 -2.1 系统组成............................................. - 6 -2.2 硬件组成及参数....................................... - 6 -2.3 系统构架及工作原理................................... - 7 -三、产品功能.............................................. - 10 -3.1 业务功能............................................ - 10 -3.2 管理功能............................................ - 14 -3.3 高可用性功能........................................ - 15 -四、产品特点.............................................. - 16 -4.1 高安全性............................................ - 16 -4.2 高吞吐率............................................ - 16 -4.3 高可靠性............................................ - 16 -4.4 高便利性............................................ - 16 -五、产品型号及性能参数.................................... - 17 -六、典型应用部署.......................................... - 18 -6.1电子政务应用........................................ - 18 -6.2警务通应用.......................................... - 18 -6.3旅馆业报备系统应用.................................. - 19 -6.4远程协同办公应用.................................... - 19 -6.5生产系统隔离应用.................................... - 20 -七、产品资质与执行标准.................................... - 20 -7.1 产品资质............................................ - 20 -7.2 执行标准............................................ - 20 -- 2 -一、概述北京安盟信息技术有限公司是一家专业从事信息系统安全管理、网络安全产品研发和销售，并提供整体解决方案的北京市高新技术企业及北京市科学技术委员会认定的软件企业，是国内率先提供“可持续发展网络安全整体解决方案”的网络安全服务商。

深信服安全隔离与信息交换系统网闸GAP-1000 白皮书目录1概述 (1)2需求背景 (1)2.1法规标准要求 (1)2.1.1等级保护 (1)2.1.2行业法规 (3)2.2安全需求 (3)2.2.1网络复杂，如何整合 (3)2.2.2安全隐患，如何规避 (4)3产品概况 (4)3.1产品定位 (4)3.2产品介绍 (4)4产品架构与性能 (5)4.1产品架构 (5)4.2工作原理 (6)5产品功能与特性 (8)5.1产品功能 (8)5.1.1业务功能 (8)5.1.2管理功能 (12)5.1.3高可用性功能 (12)5.2产品特性 (13)5.2.1高安全性 (13)5.2.2高吞吐率 (14)5.2.3高可靠性 (14)5.2.4高便利性 (14)6产品优势与价值 (14)6.1产品优势 (14)6.1.1简便易用的界面风格 (15)6.1.2强大的业务功能 (15)6.1.3通信协议深度控制 (15)6.1.4多任务高并发性能 (15)6.1.5优秀的环境适应 (15)6.2产品价值 (15)7产品应用场景 (16)7.1安全隔离与视频交换解决方案 (16)7.1.1场景需求 (16)7.1.2解决方案 (16)7.2安全隔离与数据库同步解决方案 (17)7.2.1场景需求 (17)7.2.2解决方案 (18)7.2.3实现效果 (19)1概述自上世纪90 年代以来，信息技术迅猛发展，人们的生活、工作方式发生了巨大变革，信息网络的大规模应用极大地提高了办公效率。

经过多年建设，我国已建成具有相当规模的数字化网络，但随着网络的不断普及，安全问题日益增多，网络和信息安全问题成为威胁国家和政府安全的重大隐患。

随着对安全问题的不断认识和了解，尤其是针对涉密信息的防护，党和政府已将信息安全建设提到一个相当的高度上来。

自2000 年以来安全隔离技术作为一项新兴的网络安全技术，在保障国家信息安全，尤其是政府、军队及重点行业等信息系统安全建设方面发挥了重要的作用。

中国电信网络安全技术白皮书-中国电信集团(技术部拟文中国电信网络安全技术白皮书（2010 年版）2010-3-30 公布2010-4-10 实施中国电信集团公司公布目1.录网络安全综述 (1)1.1. 2009 年网络安全态势总体状况 (1)1.2. 电信网络安全技术及应用进展动态 (2)2. 电信网络安全技术进展与应用 (4)2.1. 移动互联网安全 (4)2.1.1.移动终端安全 (4)2.1.2.网络安全 (6)2.1.3.应用与内容安全 (7)2.2. IP 网安全 (9)2.2.1.承载网安全 (9)2.2.2.支撑系统安全 (11)2.2.3.应用系统安全 (12)2.2.4.安全治理 (13)2.2.5.IPv6 网络演进 (16)3. 网络安全热点 (18)3.1. 云安全 (18)3.1.1.云运算安全 (18)3.1.2.安全云 (20)3.2. 物联网安全 (21)4. 网络安全设备 (22)5. 结语............................................................................................................................. (27)关于中国电信网络安全实验室 (28)术语和缩略语............................................................................................................................. . (29)中国电信网络安全技术白皮书(2010 年版)1. 网络安全综述1.1. 2009 年网络安全态势总体状况2009 年以来，国内互联网用户及应用连续保持着高速进展，据统计，2009年底我国互联网网民数量达到3.84 亿，手机上网用户达2.33 亿。

GAobile code〕、拒绝效劳攻击、电子商务入侵和盗窃等。

随着INTERNET的开展，网络变得容易访问进而容易受到外部攻击，这使得许多平安专家认为一台连入INTERNET的反射，管理员能够物理上的从因特网上断开他们核心的系统，保护他们免受多类甚至未知的威胁，在现代高速的电子商务和电子政物中维持完整的网络通信。

伟思ViGa产品是基于唯一的要从外部保证网络的平安是断开外部的网络这一个众所周知的原理。

当以前所有的努力在断开方面证明对商业应用是不适当的时候，伟思大胆利用GAh主频下32位，到达了1056M位/秒，超过了1G位/秒。

平安电路板与LVDS总线一起实现了反射GATP、POP3、DNS等。

数据抽取在协议检查同时，将数据包中及进行协议分析的数据提取出来，然后将数据和其协议一起通过特定的压缩格式进行数据封装，转化为在GAP另一端能接受的格式。

数字签名数字签名是对专门压缩格式的数据块进行数字签名，其目的是为了防止其他软件模拟不可信计算机软件或越过GAP发送数据。

GAP一旦完成数据块专用压缩格式的数字签名，它们被不可信计算机平安电路板硬件从不可信计算机内存中取出，验证数字签名，接着数据块经过GAP传输到可信计算机平安电路板。

编码对已经是静态的数据块进行编码，编码是相对复杂而且基于随机关键字的，一旦编码，就可阻止黑客发送数据。

平安策略决策平安策略决策是运行在可信计算机上，由系统管理员定义的平安策略。

它分析由不可信计算机软件以专用压缩格式封装的元数据，主要包含通信源、目的地和协议等信息。

解码一旦数据经过了内容检测且确认是平安的，它就被可信计算机解码，准备发送到可信网络。

因为它已经被检测过，所以这样做是平安的。

会话生成运行在可信计算机的软件发送经检测过的数据到可信网络,它和可信网络上的目的计算机建立一个新的连接,接着生成有符合RFC协议的协议头的新通信包,可信计算机接着发送新的数据到目的计算机。

ViGap与防火墙防火墙的功能：1、限制访问者进入一个被严格控制的点2、防止进攻者接近防御设备3、限制访问者离开一个被严格控制的点4、检查、筛选、过滤和屏蔽信息流中的有害效劳，防止对计算机系统进行蓄意破坏防火墙的局限性：1、不能防范不经防火墙的攻击；2、不能防范人为因素的攻击；3、不能防止受病毒感染的软件或文件的传输；4、不能防止数据驱动式的攻击。

中国电信集团公司技术标准中国电信网络安全技术白皮书（2010 年版）2010-3-30 发布2010-4-10 实施中国电信集团公司发布目1.录网络安全综述 (1)1.1. 2009 年网络安全态势总体状况 (1)1.2. 电信网络安全技术及应用发展动态 (2)2. 电信网络安全技术发展与应用 (4)2.1. 移动互联网安全 (4)2.1.1.移动终端安全 (4)2.1.2.网络安全 (6)2.1.3.应用与内容安全 (7)2.2. IP 网安全 (9)2.2.1.承载网安全 (9)2.2.2.支撑系统安全 (11)2.2.3.应用系统安全 (12)2.2.4.安全管理 (13)2.2.5.IPv6 网络演进 (16)3. 网络安全热点 (18)3.1. 云安全 (18)3.1.1.云计算安全 (18)3.1.2.安全云 (20)3.2. 物联网安全 (21)4. 网络安全设备 (22)5. 结语 (27)关于中国电信网络安全实验室 (28)术语和缩略语 (29)1. 网络安全综述1.1. 2009 年网络安全态势总体状况2009 年以来，国内互联网用户及应用继续保持着高速发展，据统计，2009年底我国互联网网民数量达到 3.84 亿，手机上网用户达 2.33 亿。

随着互联网应用的广泛普及，其在国家政治、经济、文化以及社会生活的各个方面发挥着越来越重要的作用，已经成为国家、社会、民众交互的重要平台。

与此同时，互联网面临的安全威胁也随着互联网及应用的发展而不断演化，呈现日益复杂的局面，网络安全形势不容乐观。

纵观2009 年国内网络安全总体态势，主要特征如下：1、木马病毒数量爆发式增加，变种更新速度加快据国家计算机病毒应急处理中心统计，2009 年新增病毒样本299 万个，其中新增木马246 万多个，是08 年新增木马的5.5 倍。

其主要特征是本土化趋势加剧，变种速度更快、变化更多，隐蔽性增强，攻击目标明确，趋利目的明显。

伟思信安隔离网闸ViGap技术白皮书珠海经济特区伟思有限公司技术支持部请保护环境，注意纸张的回收利用版权信息本文件涉及之信息，属珠海伟思（集团）有限公司所有。

未经珠海伟思（集团）有限公司允许，文件中的任何部分都不能以任何形式向第三方散发。

ViGap、VieCA为珠海伟思（集团）有限公司系列产品，珠海伟思（集团）有限公司完全拥有知识产权，并受国际知识产权法律保护。

目录一、概述 (4)1.1、网络安全现状 (4)1.2、现有网络安全技术 (4)1.3、现有网络安全技术的缺陷 (5)1.4、GAP技术简介 (6)1.4.1、GAP模型的实现 (7)1.4.2、协议的分拆与重组 (8)二、ViGap介绍 (9)2.1、ViGap产品简介 (9)2.2、ViGap产品原理 (10)三、ViGap功能 (11)3.1、ViGap产品定位 (11)3.2、ViGap产品功能 (12)四、ViGap产品性能 (15)4.1、ViGap产品技术指标 (15)4.2、ViGap产品硬件 (16)五、ViGap产品应用 (16)5.1、通用解决方案 (17)5.2、重要网络数据资源保护 (17)5.3、“数据大集中”应用模式 (18)5.4、“外网受理，内网处理”模式的应用 (19)附录一、与防火墙产品的比较 (21)包过滤防火墙 (21)应用代理防火墙 (21)全状态检测(stateful inspect)防火墙 (23)ViGap网络隔离网闸 (23)一、概述1.1、网络安全现状计算机网络的广泛应用是当今信息社会的一场革命。

电子商务和电子政务等网络应用的发展和普及不仅给我们的生活带来了很大的便利，而且正在创造着巨大的财富，以Internet为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广泛，应用层次不断深入，应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。

与此同时，计算机网络也正面临着日益剧增的安全威胁。

合众单向光闸白皮书公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]合众单向光闸白皮书Version杭州合众数据技术有限公司2015年目录1.背景概述计算机网络的开放性产生了许多安全问题，网络攻击、信息泄漏、网上犯罪层出不穷。

而采用以防火墙、网闸为核心的网络边界防御体系只能够满足信息化建设的一般性安全需求，却难以解决涉密信息系统等重要网络的保护问题。

对于涉密网络的保护，我国历来采用了物理断开的方法，国家保密局在《计算机信息系统国际联网保密管理规定》中将涉密信息系统的安全防御要求定格为与任何非涉密信息系统必须“物理断开”。

按照国家保密局的要求，如果涉密网需要与国际互联网交换数据，只能采用手工拷贝的方式，除此之外，没有其他可行的办法。

但是许多政府部门所需要的基础数据往往来自互联网。

同时为了满足向服务型政府转型的要求，各级政府部门也必须加强对外服务的力度，需要为社会公众提供信息查询、在线审批、请求服务等新型应用。

形势要求我们，在保证安全的前提下，积极探索解决涉密网与互联网数据传输问题的方案。

合众公司针对政府部门互联网传输链路数据交换的需求，根据目前国内外最新的技术成果，专门研发了合众单向光闸这一创新产品，采用分光镜像的原理解决涉密网络与非涉密网络之间的互联问题。

2.产品用途合众单向光闸是采用分光镜像技术实现的用于单向数据传输的隔离设备，主要用来解决政府部门网络与外部公共网络之间存在的单向数据传输需求。

它采用分光镜像的原理，通过分光器将源主机上的数据镜像到目标主机上，最终实现数据的单向传输。

合众单向光闸主要适合如下的用户：2.1.从互联网采集信息或发布信息至互联网的用户有很多用户需要从互联网上采集信息或将本单位内部的信息发布在互联网上供其他单位或社会公众获知。

为了保护自身网络和应用系统的安全，保证不发生信息泄露安全事件，因此需要采用单向数据传输设备。

而合众单向光闸基于光传输的单向性保证数据传输从物理层面而言就是单向的，反向绝无传输的可能性，因此能够保证没有信息泄密的可能。