聯(lián)想網(wǎng)御安全隔離與信息單向?qū)胂到y(tǒng)技術(shù)白皮書

聯(lián)勰網(wǎng)歡聯(lián)想網(wǎng)御安全隔離與信息單向?qū)胂到y(tǒng)產(chǎn)品白皮書LeadsecUni-directionalGAPV2.0目錄TOC\o"1-5"\h\z\o"CurrentDocument"1.產(chǎn)品介紹 5\o"CurrentDocument"1.1產(chǎn)品概述 5\o"CurrentDocument"1.2產(chǎn)品架構(gòu)設(shè)計(jì) 6\o"CurrentDocument"1.2.1硬件架構(gòu)設(shè)計(jì) 6\o"CurrentDocument"1.2.2軟件系統(tǒng)設(shè)計(jì) 71.3工作原理 8\o"CurrentDocument"2.核心功能介紹 10\o"CurrentDocument"2.1信息單向?qū)牍δ?10\o"CurrentDocument"2.1.1單向文件傳輸 10\o"CurrentDocument"2.1.2單向數(shù)據(jù)庫(kù)同步 11\o"CurrentDocument"2.1.3單向郵件傳輸 12\o"CurrentDocument"2.2系統(tǒng)安全控制功能 12\o"CurrentDocument"2.2.1安全管理 12\o"CurrentDocument"2.3.2傳輸控制 13\o"CurrentDocument"2.3.3病毒檢測(cè) 13\o"CurrentDocument"2.3系統(tǒng)監(jiān)控及日志審計(jì)報(bào)警功能 13\o"CurrentDocument"2.3.1系統(tǒng)監(jiān)控功能 13\o"CurrentDocument"2.3.2日志審計(jì) 14\o"CurrentDocument"2.3.3報(bào)警功能 14\o"CurrentDocument"3產(chǎn)品特色 14\o"CurrentDocument"3.1絕對(duì)單向無(wú)反饋傳輸 14\o"CurrentDocument"3.2高可靠數(shù)據(jù)傳輸 15\o"CurrentDocument"3.3全面的數(shù)據(jù)安全檢測(cè) 16\o"CurrentDocument"3.4應(yīng)用獨(dú)立和非入侵性 16\o"CurrentDocument"4產(chǎn)品功能規(guī)格 17\o"CurrentDocument"4.1基本功能 17\o"CurrentDocument"4.2硬件規(guī)格 18\o"CurrentDocument"5.運(yùn)行環(huán)境 18\o"CurrentDocument"6.典型應(yīng)用 19\o"CurrentDocument"6.1單向文件傳輸 19\o"CurrentDocument"6.2單向數(shù)據(jù)庫(kù)同步 20\o"CurrentDocument"6.3涉密網(wǎng)絡(luò)郵件接收 201.產(chǎn)品介紹1.1產(chǎn)品概述對(duì)于涉密信息系統(tǒng)的保護(hù)向來受到國(guó)家的重視，2007年3月國(guó)家保密局和國(guó)務(wù)院信息化工作辦公室聯(lián)合頒布了《電子政務(wù)保密管理指南》（以下簡(jiǎn)稱指南），指南中規(guī)定了電子政務(wù)涉密信息系統(tǒng)與電子政務(wù)非涉密信息系統(tǒng)的連接條件，指出當(dāng)秘密級(jí)電子政務(wù)院涉密信息系統(tǒng)（或安全域）與互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)物理隔離時(shí)，應(yīng)同時(shí)滿足電子政務(wù)非涉密信息系統(tǒng)（或安全域）與互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)的邏輯隔離，可以采用“安全隔離與信息單向?qū)胂到y(tǒng)”將涉密信息網(wǎng)絡(luò)與非涉密信息網(wǎng)絡(luò)進(jìn)行連接，數(shù)據(jù)僅能從非涉密信息網(wǎng)絡(luò)流向涉密信息網(wǎng)絡(luò)。該規(guī)定在政策層面解決了涉密信息網(wǎng)絡(luò)與非涉密信息網(wǎng)絡(luò)連接的問題，促進(jìn)了電子政務(wù)信息化的發(fā)展，從而也促進(jìn)了安全隔離與單向信息導(dǎo)入產(chǎn)品的完善和發(fā)展。為保證高密級(jí)別網(wǎng)絡(luò)中的數(shù)據(jù)不能流向低密級(jí)網(wǎng)絡(luò)，但低密級(jí)網(wǎng)絡(luò)中的數(shù)據(jù)可以流向高密級(jí)網(wǎng)絡(luò)（數(shù)據(jù)機(jī)密性要求），徹底解決高密級(jí)網(wǎng)絡(luò)信息泄露的問題，只有采用無(wú)反饋的單向傳輸技術(shù)。聯(lián)想網(wǎng)御開發(fā)的安全隔離與信息單向?qū)胂到y(tǒng)采用了獨(dú)特的“單向無(wú)反饋傳輸”技術(shù)，從物理鏈路層、傳輸層保證數(shù)據(jù)的絕對(duì)單向流動(dòng)。同時(shí)系統(tǒng)采用了獨(dú)創(chuàng)性的、先進(jìn)的糾錯(cuò)編碼技術(shù)、ASIC并行處理技術(shù)和MRP（多重冗余技術(shù)）保證系統(tǒng)的高可靠性、高容錯(cuò)性、高安全性和高穩(wěn)定性。聯(lián)想網(wǎng)御安全隔離與信息單向?qū)胂到y(tǒng)特別適合下述應(yīng)用場(chǎng)景：?無(wú)涉密網(wǎng)絡(luò)到涉密網(wǎng)絡(luò)的數(shù)據(jù)傳輸；?低密級(jí)網(wǎng)絡(luò)（安全域）向高密級(jí)網(wǎng)絡(luò)（安全域）的數(shù)據(jù)傳輸；1.2產(chǎn)品架構(gòu)設(shè)計(jì)1.2.1硬件架構(gòu)設(shè)計(jì)聯(lián)想網(wǎng)御安全隔離與信息單向?qū)胂到y(tǒng)采用“2+1”模型架構(gòu)設(shè)計(jì)，即內(nèi)網(wǎng)主機(jī)、外網(wǎng)主機(jī)加單向?qū)敫綦x部件。內(nèi)外網(wǎng)主機(jī)系統(tǒng)采用專用設(shè)計(jì)的工控主板、高性能的硬件平臺(tái)，保證產(chǎn)品性能穩(wěn)定、質(zhì)量可靠。單向?qū)敫綦x部件由兩個(gè)通用的光傳輸模塊，模塊之間采用單根光纖連接組成。眾所周知，光傳輸模塊通過兩根光纖完成通信，一根用于接收數(shù)據(jù)，一根用于發(fā)送數(shù)據(jù)，從物理上，即無(wú)法通過單根光纖實(shí)現(xiàn)既進(jìn)行接受又進(jìn)行發(fā)送數(shù)據(jù)。所以，聯(lián)想網(wǎng)御的此種設(shè)計(jì)方案保證了數(shù)據(jù)的絕對(duì)單向無(wú)反饋傳輸。隔離交換模塊基于專有的LeadsecASIC安全隔離芯片和交換芯片，其中，LeadsecASIC安全隔離芯片通過多線程并行固化處理將數(shù)據(jù)塊轉(zhuǎn)化為自有協(xié)議格式的數(shù)據(jù)包，交換芯片的交換子系統(tǒng)和開關(guān)控制子系統(tǒng)實(shí)現(xiàn)對(duì)數(shù)據(jù)的臨時(shí)緩存和安全交換。硬件架構(gòu)如下圖所示：外網(wǎng)主機(jī)系統(tǒng)單向?qū)敫綦x部件內(nèi)網(wǎng)主機(jī)系統(tǒng)單向?qū)敫綦x部件外網(wǎng)主機(jī)系統(tǒng)單向?qū)敫綦x部件內(nèi)網(wǎng)主機(jī)系統(tǒng)單向?qū)敫綦x部件單抿光纖LeadsecASTCLeadsecASTCASIC圖1聯(lián)想網(wǎng)閘安全隔離與信息單向傳輸系統(tǒng)硬件架構(gòu)1.2.2軟件系統(tǒng)設(shè)計(jì)聯(lián)想網(wǎng)御安全隔離與信息單向?qū)胂到y(tǒng)的軟件系統(tǒng)可以抽象成三個(gè)子系統(tǒng)：?jiǎn)蜗騻鬏斎蒎e(cuò)控制接口、應(yīng)用服務(wù)模塊（單向文件傳輸、單向數(shù)據(jù)庫(kù)同步、單向郵件傳輸、單向傳輸API接口）、系統(tǒng)管理平臺(tái)，整個(gè)軟件系統(tǒng)建立在聯(lián)想網(wǎng)御通用安全開發(fā)平臺(tái)VSP基礎(chǔ)上。軟件系統(tǒng)架構(gòu)如下圖所示：里|<-數(shù)庫(kù)|h]步單|\郵件輸「II平臺(tái)單向傳輸容帖控制接口対卩安全平臺(tái)圖2聯(lián)想網(wǎng)御安全隔離與信息單向傳輸系統(tǒng)架構(gòu)圖單向傳輸容錯(cuò)控制接口保證在單向無(wú)反饋通信環(huán)境中數(shù)據(jù)傳輸?shù)耐暾院涂煽啃?。?yīng)用服務(wù)模塊提供了基于單向傳輸?shù)臉I(yè)務(wù)應(yīng)用，共有四個(gè)子模塊：?jiǎn)蜗蛭募鬏?、單向?shù)據(jù)庫(kù)同步、單向郵件傳輸和單向傳輸API接口。系統(tǒng)管理平臺(tái)是系統(tǒng)配置和管理的接口，使用戶能夠通過該平臺(tái)配置管理主機(jī)系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)，并提供啟動(dòng)或關(guān)閉病毒檢測(cè)引擎接口。VSP（VersatileSecurePlatform）安全平臺(tái)是聯(lián)想網(wǎng)御憑借在安全設(shè)備上的長(zhǎng)期積累建立的專有抗DDoS內(nèi)核的操作系統(tǒng)安全平臺(tái)。操作系統(tǒng)固化于內(nèi)外網(wǎng)主機(jī)系統(tǒng)的硬件中，不能被隨意修改，保證系統(tǒng)平臺(tái)的安全可靠。1.3工作原理信息單向?qū)爰夹g(shù)的工作原理類似于“二極管”單向?qū)щ姷奶匦?，采用硬件架?gòu)設(shè)計(jì)使數(shù)據(jù)僅能從外網(wǎng)主機(jī)（非信任端）傳輸至內(nèi)網(wǎng)主機(jī)（信任端），中間沒有任何形式的反饋信號(hào)，所有需要“握手”確認(rèn)的通信協(xié)議在信息單向?qū)胂到y(tǒng)中都會(huì)失去意義。由于沒有“握手”確認(rèn)信息，如何保證在接收端完整準(zhǔn)確的重構(gòu)源端數(shù)據(jù)是單向?qū)胂到y(tǒng)的關(guān)鍵技術(shù)。聯(lián)想網(wǎng)御安全隔離與信息單向?qū)胂到y(tǒng)針對(duì)這種單向無(wú)反饋的環(huán)境，定義了私有通信協(xié)議對(duì)數(shù)據(jù)進(jìn)行封裝和傳輸，采用了具有自主產(chǎn)權(quán)、先進(jìn)的前向糾錯(cuò)編碼技術(shù)，同時(shí)采用了多種速率和流量控制方法，使得模塊化的底層通信接口能靈活、可靠的處理不同業(yè)務(wù)的需求。聯(lián)想網(wǎng)御通過這些關(guān)鍵技術(shù)保證了數(shù)據(jù)傳輸?shù)耐暾?、可靠性和機(jī)密性。下面就針對(duì)數(shù)據(jù)容錯(cuò)關(guān)鍵技術(shù)

進(jìn)行詳細(xì)的介紹:多級(jí)前向糾錯(cuò)編碼技術(shù)在前向糾錯(cuò)傳輸系統(tǒng)中，要想獲得低誤碼率，就必須采用具有較強(qiáng)糾錯(cuò)能力的編碼系統(tǒng)。聯(lián)想網(wǎng)御安全隔離與信息單向?qū)胂到y(tǒng)以實(shí)現(xiàn)保護(hù)涉密網(wǎng)絡(luò)的信息安全和可靠性為方向，是出了適合單向網(wǎng)絡(luò)通信的多級(jí)前向糾錯(cuò)編碼、解碼方案，如下圖所示：數(shù)字噴泉編碼器旳向無(wú)反饋傳

輸環(huán)境原始數(shù)據(jù)數(shù)字噴泉編碼器旳向無(wú)反饋傳

輸環(huán)境恢復(fù)數(shù)據(jù)恢復(fù)數(shù)據(jù)數(shù)宇噴杲編碼器v圖3單向多級(jí)編碼方案此方案中聯(lián)想網(wǎng)御采用兩次附加糾錯(cuò)碼的多級(jí)前向糾錯(cuò)（FEC）編碼技術(shù)，RS編碼屬于第一個(gè)FEC，188字節(jié)后附加16字節(jié)RS碼，構(gòu)成（204，188）RS碼，這也可以稱為外編碼。第二個(gè)附加糾錯(cuò)碼的FEC采用先進(jìn)的數(shù)字噴泉編碼，稱為內(nèi)編碼，外編碼和內(nèi)編碼結(jié)合一起，稱之為級(jí)聯(lián)編碼。外編碼解決內(nèi)編碼未能糾錯(cuò)的數(shù)據(jù)，曾強(qiáng)了數(shù)據(jù)傳輸端到端的重構(gòu)能力，提高了單向無(wú)反饋環(huán)境數(shù)據(jù)傳輸?shù)目煽啃?。此單向多?jí)前向糾錯(cuò)編碼、解碼方案有力的保障了數(shù)據(jù)在單向無(wú)反饋環(huán)境中數(shù)據(jù)的可靠傳輸，實(shí)現(xiàn)了聯(lián)想網(wǎng)御安全隔離與信息單向?qū)胂到y(tǒng)的可靠數(shù)據(jù)傳

輸。聯(lián)想網(wǎng)御安全隔離與信息單向?qū)胂到y(tǒng)工作流程是:系統(tǒng)從非涉密網(wǎng)絡(luò)抓取事先定義的要傳輸數(shù)據(jù)，外網(wǎng)主機(jī)系統(tǒng)經(jīng)過協(xié)議還原、格式檢查、內(nèi)容過濾等動(dòng)作，將安全數(shù)據(jù)重新封裝成私有格式，傳輸至外網(wǎng)主機(jī)系統(tǒng)，為了控制數(shù)據(jù)能夠正確發(fā)送至外網(wǎng)主機(jī)，聯(lián)想網(wǎng)御采用"糾錯(cuò)自適應(yīng)編碼”技術(shù)和流控技術(shù)來保證發(fā)送數(shù)據(jù)的可靠性，外網(wǎng)主機(jī)系統(tǒng)接收到數(shù)據(jù)包后進(jìn)行校驗(yàn)還原，最后根據(jù)預(yù)定義將可靠數(shù)據(jù)發(fā)送至涉密網(wǎng)絡(luò)的目標(biāo)系統(tǒng)。流程圖如下所示:格式化數(shù)據(jù)塊n代輸址略單向倍輸容錯(cuò)控制模塊格式化數(shù)據(jù)塊n代輸址略單向倍輸容錯(cuò)控制模塊圖4聯(lián)想網(wǎng)御安全隔離與信息導(dǎo)入系統(tǒng)工作流程圖2?核心功能介紹2.1信息單向?qū)牍δ?.1.1單向文件傳輸聯(lián)想網(wǎng)御安全隔離與信息單向?qū)胂到y(tǒng)的文件單向傳輸功能是整個(gè)系統(tǒng)的會(huì)實(shí)時(shí)同步增量文件。聯(lián)想網(wǎng)御安全隔離與信息單向?qū)胂到y(tǒng)文件單向傳輸主要功能包含支持大量小文件及大文件的傳輸，支持重名策略，支持多級(jí)目錄嵌套，支持不依賴于文件擴(kuò)展名的文件格式檢查以及病毒查殺功能。為提高文件傳輸?shù)目煽啃?，單向文件傳輸系統(tǒng)提供一套精確定位文件是否正確傳輸?shù)侥康亩斯δ?，并且能幫助用戶方便快捷確定丟失的文件以及重傳丟失的文件。2.1.2單向數(shù)據(jù)庫(kù)同步聯(lián)想網(wǎng)御安全隔離與信息單向?qū)胂到y(tǒng)單向數(shù)據(jù)庫(kù)同步提供ORACLE、SYBASE、DB2、MSSQLSERVER等常見數(shù)據(jù)庫(kù)的單向同步。支持同種數(shù)據(jù)庫(kù)或異種數(shù)據(jù)庫(kù)之間的同步、支持粒度到字段級(jí)同步以及特殊的條件同步。由于聯(lián)想網(wǎng)御安全隔離與信息單向?qū)胂到y(tǒng)無(wú)任何信息反饋，所以為提高單向數(shù)據(jù)庫(kù)同步的可靠性，單向數(shù)據(jù)庫(kù)同步設(shè)計(jì)了一套精確定位數(shù)據(jù)是否正確導(dǎo)入目的端的功能，并能幫助用戶方便快捷進(jìn)行確定是否丟失數(shù)據(jù)以及重傳丟失數(shù)據(jù)，確保用戶數(shù)據(jù)的完整性。單向數(shù)據(jù)庫(kù)同步部署方便與系統(tǒng)與客戶數(shù)據(jù)庫(kù)之間可以達(dá)到無(wú)縫結(jié)合,即用戶無(wú)需修改數(shù)據(jù)庫(kù)的任何環(huán)境,就能達(dá)到單向同步的效果。單向數(shù)據(jù)庫(kù)同步在性能上基本能達(dá)到實(shí)時(shí)同步，以滿足客戶需求。2.1.3單向郵件傳輸聯(lián)想網(wǎng)御安全隔離與信息單向?qū)胂到y(tǒng)單向郵件傳輸功能提供穩(wěn)定且高效的郵件單向?qū)牒袜]件過濾功能。郵件單向?qū)牍δ芴峁┼]件從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的郵件單向傳輸功能.高效的郵件傳輸能夠支撐大部分應(yīng)用環(huán)境日常應(yīng)用的需求.另外單向郵件傳輸模塊會(huì)對(duì)每封郵件的相關(guān)信息進(jìn)行記錄,最大限度的保證了單向郵件導(dǎo)入功能的可靠性。郵件過濾功能提供了包括郵件地址過濾,郵件域名過濾,郵件內(nèi)容過濾,郵件附件過濾和ip地址端口過濾?全方位的郵件過濾功能可以最大限度保證有害信息和敏感信息無(wú)法導(dǎo)入內(nèi)部應(yīng)用系統(tǒng).在單向郵件傳輸功能設(shè)計(jì)之初就考慮到產(chǎn)品部署的易用性,當(dāng)用戶部署單向郵件導(dǎo)入系統(tǒng)時(shí)只需將本系統(tǒng)部署與原外部郵件服務(wù)器和內(nèi)部郵件服務(wù)器之間,并指定好相關(guān)服務(wù)器的郵件網(wǎng)關(guān)即可,無(wú)需大規(guī)模遷移用戶數(shù)據(jù)。2.2系統(tǒng)安全控制功能2.2.1安全管理首先，聯(lián)想網(wǎng)御安全隔離與信息單向?qū)胂到y(tǒng)采用特定的管理接口進(jìn)行管理，并且通過MAC地址和IP進(jìn)行綁定的方式使用指定的終端進(jìn)行管理，管理方式可為基于數(shù)字證書的WEB管理，也可以是SSH加密遠(yuǎn)程管理或本地串口管理。用戶角色進(jìn)行定義，不同角色的用戶權(quán)限不同。比如配置管理員只能進(jìn)行管理配置，日志審計(jì)員只能進(jìn)行日志查看操作。2.3.2傳輸控制聯(lián)想網(wǎng)御安全隔離與信息單向?qū)胂到y(tǒng)從數(shù)據(jù)鏈路層到應(yīng)用層采用嚴(yán)格的數(shù)據(jù)傳輸控制：數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層通過MAC/IP綁定的方式實(shí)現(xiàn)特定的源和特定的目的通信，能夠?qū)崿F(xiàn)通信端口、通信時(shí)間段等的控制。在應(yīng)用層，系統(tǒng)對(duì)所有通信數(shù)據(jù)進(jìn)行數(shù)據(jù)還原，并進(jìn)行相應(yīng)的格式檢查、內(nèi)容過濾、條件同步、病毒檢測(cè)、審計(jì)等操作，最終將安全的數(shù)據(jù)封裝成私有協(xié)議格式進(jìn)行單向無(wú)反饋傳輸。2.3.3病毒檢測(cè)聯(lián)想網(wǎng)御安全隔離與信息單向?qū)胂到y(tǒng)采用擁有專利的病毒引擎和國(guó)產(chǎn)專業(yè)病毒庫(kù)，可對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行高效精準(zhǔn)的病毒檢測(cè)；聯(lián)想網(wǎng)御公司與江民科技建立聯(lián)合實(shí)驗(yàn)室，為系統(tǒng)提供及時(shí)準(zhǔn)確的病毒疫苗，提供不少于30萬(wàn)種的病毒特征，而且以每周不少于兩次的頻率發(fā)布新的病毒特征，用戶可通過聯(lián)想網(wǎng)御專用升級(jí)服務(wù)中心享受升級(jí)服務(wù)。2.3系統(tǒng)監(jiān)控及日志審計(jì)報(bào)警功能2.3.1系統(tǒng)監(jiān)控功能監(jiān)控，監(jiān)控范圍包括網(wǎng)絡(luò)接口實(shí)時(shí)速率、CPU禾I」用率、內(nèi)存利用率等，并以報(bào)表的形式展現(xiàn)。2.3.2日志審計(jì)聯(lián)想網(wǎng)御安全隔離與信息單向?qū)胂到y(tǒng)支持實(shí)時(shí)或定時(shí)的日志查看，日志可按任務(wù)分類查看。為了可靠的數(shù)據(jù)傳輸，聯(lián)想網(wǎng)御安全隔離與信息單向?qū)胂到y(tǒng)提供了完整的數(shù)據(jù)傳輸統(tǒng)計(jì)功能，方便用戶審計(jì)數(shù)據(jù)傳輸?shù)耐暾?。另外，?lián)想網(wǎng)御安全隔離與信息單向?qū)胂到y(tǒng)支持標(biāo)準(zhǔn)Syslog，可將日志信息傳輸至日志服務(wù)器。2.3.3報(bào)警功能為了及時(shí)向用戶提醒數(shù)據(jù)傳輸過程中的出錯(cuò)信息，聯(lián)想網(wǎng)御安全隔離與信息單向?qū)胂到y(tǒng)提供了控制臺(tái)和郵件兩種報(bào)警方式?？刂婆_(tái)報(bào)警是在用戶管理操作界面上實(shí)時(shí)的顯示出錯(cuò)信息，信息詳細(xì)至任務(wù)名、傳輸過程及出錯(cuò)原因，方便用戶查找定位問題所在；郵件報(bào)警方式，只要用戶能夠配置接收郵件的地址，系統(tǒng)自動(dòng)實(shí)時(shí)或定時(shí)將報(bào)警信息發(fā)送至用戶指定郵箱，方便用戶及時(shí)掌握系統(tǒng)運(yùn)行狀態(tài)。3產(chǎn)品特色3.1絕對(duì)單向無(wú)反饋傳輸了數(shù)據(jù)的絕對(duì)單向無(wú)反饋傳輸：物理鏈路層：?jiǎn)蜗驘o(wú)反饋傳輸電路設(shè)計(jì)聯(lián)想網(wǎng)御單向傳輸安全隔離模塊由兩個(gè)通用的光傳輸模塊，模塊之間采用單根光纖連接組成。由于從物理上，光傳輸模塊即無(wú)法通過單根光纖實(shí)現(xiàn)既進(jìn)行接受又進(jìn)行發(fā)送數(shù)據(jù)，所以為數(shù)據(jù)的絕對(duì)單向無(wú)反饋傳輸提供了可靠的的保障；傳輸層：?jiǎn)蜗驘o(wú)反饋傳輸私有協(xié)議聯(lián)想網(wǎng)御安全隔離與信息單向?qū)胂到y(tǒng)為適應(yīng)單向無(wú)反饋的傳輸環(huán)境，開發(fā)設(shè)計(jì)了單向無(wú)反饋傳輸協(xié)議，對(duì)經(jīng)過安全檢查的純數(shù)據(jù)進(jìn)行重新封裝，在容錯(cuò)控制技術(shù)的支撐下進(jìn)行可靠的數(shù)據(jù)傳輸。聯(lián)想網(wǎng)御安全的單向無(wú)反饋傳輸技術(shù)，保證了數(shù)據(jù)絕對(duì)的單向無(wú)反饋傳輸，防止任何形式的信息從信任網(wǎng)絡(luò)泄露。3.2高可靠數(shù)據(jù)傳輸為保證數(shù)據(jù)的高可靠傳輸，聯(lián)想網(wǎng)御安全隔離與信息單向?qū)胂到y(tǒng)在網(wǎng)絡(luò)層采用通道檢測(cè)技術(shù)，自動(dòng)檢查單向數(shù)據(jù)傳輸通道的連通性；在傳輸控制層采用了先進(jìn)的容錯(cuò)控制技術(shù)，如單向多級(jí)前向糾錯(cuò)編碼、解碼技術(shù)，多級(jí)流量調(diào)控技術(shù)等，保障數(shù)據(jù)的可靠傳輸；在應(yīng)用層系統(tǒng)對(duì)每種應(yīng)用模塊，采取數(shù)據(jù)備份、重傳方案，數(shù)據(jù)中途丟失自動(dòng)檢測(cè)技術(shù)，以及嚴(yán)格的數(shù)據(jù)傳輸審計(jì)方案，實(shí)現(xiàn)數(shù)據(jù)傳輸可控、數(shù)據(jù)傳輸可查、數(shù)據(jù)中途丟失可恢復(fù)等高可靠的數(shù)據(jù)傳輸要求，保證了用戶業(yè)務(wù)系統(tǒng)的高可用性、高可靠性。3.3全面的數(shù)據(jù)安全檢測(cè)聯(lián)想網(wǎng)御安全隔離與信息單向?qū)胂到y(tǒng)采用高效的病毒掃描和細(xì)粒度的內(nèi)容過濾技術(shù)，打造數(shù)據(jù)安全專家。?智能的全文內(nèi)容過濾引擎統(tǒng)二安全引擎：對(duì)隔離交換報(bào)文進(jìn)行全文數(shù)據(jù)還原，對(duì)用戶登錄、命令請(qǐng)求、文本系統(tǒng)、協(xié)議格式等實(shí)施深度檢測(cè)和過濾；智能黑白名單：針對(duì)文件名、命令、域名等內(nèi)用進(jìn)行嚴(yán)格控制，創(chuàng)建黑名單和白名單任務(wù)策略，攔截各種非法數(shù)據(jù)報(bào)文，保證數(shù)據(jù)的安全性；安全訪問控制:針對(duì)數(shù)據(jù)庫(kù)和文件數(shù)據(jù)，通過訪問用戶身份識(shí)別，保證數(shù)據(jù)不被非法訪問和傳遞；分級(jí)分權(quán)管理：針對(duì)不同用戶操作，系統(tǒng)提供了分級(jí)別管理機(jī)制，根據(jù)最小化用戶權(quán)限的原則，使不同用戶管理配置不同的任務(wù)，最大程度保障用戶使用的安全。?高效的病毒過濾技術(shù)自主研發(fā)的防病毒引擎，獲得網(wǎng)絡(luò)防病毒技術(shù)專利，及時(shí)準(zhǔn)確的病毒檢測(cè)疫苗，高效過濾多種形式的病毒；3.4應(yīng)用獨(dú)立和非入侵性聯(lián)想網(wǎng)御安全隔離與信息單向?qū)胂到y(tǒng)多種應(yīng)用模塊，滿足用戶多種業(yè)務(wù)應(yīng)用需求，保證了用戶每種業(yè)務(wù)應(yīng)用數(shù)據(jù)傳輸?shù)莫?dú)立性和機(jī)密性。聯(lián)想網(wǎng)御安全隔離與信息單向?qū)胂到y(tǒng)的每種應(yīng)用模塊采用數(shù)字認(rèn)證技術(shù)，從指定的源主動(dòng)抓取數(shù)據(jù)傳輸至指定目的，不接受任何其他連接請(qǐng)求，數(shù)據(jù)傳輸過程中采用數(shù)字簽名技術(shù)防止數(shù)據(jù)在傳輸過程中被篡改，從而保證了整個(gè)系統(tǒng)的不可入侵性。4產(chǎn)品功能規(guī)格4.1基本功能聯(lián)想網(wǎng)御安全隔離與信息單向?qū)胂到y(tǒng)基本功能如下表所示：分類特性/功能詳細(xì)描述產(chǎn)品架構(gòu)系統(tǒng)架構(gòu)采用"2+1"系統(tǒng)架構(gòu)，即由兩個(gè)主機(jī)系統(tǒng)和一個(gè)單向?qū)敫綦x部件組成。主機(jī)系統(tǒng)采用VSP通用安全平臺(tái)，單向?qū)敫綦x部件采用單向無(wú)反饋通信技術(shù)，防止任何形式的信息從信任網(wǎng)絡(luò)泄露。功能模塊單向文件傳輸支持文件增量單向傳輸,支持不依賴于文件格式檢查，支持單個(gè)文件大于10GB的傳輸，支持大量小文件傳輸，支持文件發(fā)送接收統(tǒng)計(jì)，支持文件備份重傳，支持病毒檢測(cè)等；單向數(shù)據(jù)庫(kù)同步支持ORACLE、SYBASE、DB2、MSSQLSERVER等主流數(shù)據(jù)庫(kù)的同種或異種單向傳輸；支持字段級(jí)的數(shù)據(jù)庫(kù)同步；支持條件同步；支持外鍵表同步；支持無(wú)主鍵表同步；支持?jǐn)?shù)據(jù)沖突檢測(cè)；支持?jǐn)?shù)據(jù)備份重傳功能，支持?jǐn)?shù)據(jù)傳輸統(tǒng)計(jì)；支持病毒檢測(cè)等；單向郵件傳輸支持郵件地址黑白名單策略；支持郵件正文、主題內(nèi)容過濾；支持郵件域名地址過濾；支持郵件附件后綴名過濾，支持郵件附件大小控制，支持病毒檢測(cè)，支持錯(cuò)誤檢測(cè)等；API接口模塊支持C、JAVA等開發(fā)語(yǔ)言；提供外部API函數(shù)及說明；支持認(rèn)證功能；病毒檢測(cè)病毒檢測(cè)全模塊支持文件掃描和流式病毒掃描兩種檢測(cè)技術(shù)，采用自有知識(shí)產(chǎn)權(quán)的病毒防護(hù)引擎（包括病毒檢測(cè)引擎和病毒分析引擎）；采用國(guó)內(nèi)知名病毒廠商特征庫(kù)，可檢測(cè)不少于30萬(wàn)種病毒。管理方靈活多樣的管支持HTTPS的Web方式管理，實(shí)現(xiàn)了遠(yuǎn)程管理信息加密傳輸，支持命令行方式本地串口管理或SSH遠(yuǎn)程管理，可通過命令行完成全部管理配置工作；

式理方式高安全的管理形式內(nèi)/外網(wǎng)主機(jī)系統(tǒng)分別具有獨(dú)立管理接口，管理員分級(jí)、分權(quán)管理，而不是采用低安全的管理方式?？煽啃詳?shù)據(jù)糾錯(cuò)擁有技術(shù)專利的單向多級(jí)前向糾錯(cuò)編碼、解碼技術(shù)保證數(shù)據(jù)的可靠傳輸；數(shù)據(jù)備份支持傳輸數(shù)據(jù)備份功能，當(dāng)數(shù)據(jù)傳輸失敗時(shí)，以便重傳；數(shù)據(jù)重傳支持?jǐn)?shù)據(jù)重傳功能，系統(tǒng)自動(dòng)檢測(cè)未成功傳輸?shù)臄?shù)據(jù)，可手工重傳；日志審計(jì)報(bào)警日志審計(jì)日志實(shí)現(xiàn)按功能模塊分組管理，支持Syslog格式，實(shí)現(xiàn)對(duì)日志的瀏覽、查詢等操作報(bào)警支持控制臺(tái)、郵件報(bào)警功能，可實(shí)時(shí)或定時(shí)向用戶發(fā)送報(bào)警功能；4.2硬件規(guī)格硬件架構(gòu)"2+1"+ASIC"2+1"+ASIC系統(tǒng)延時(shí)硬件架構(gòu)"2+1"+ASIC"2+1"+ASIC系統(tǒng)延時(shí)5ms5ms硬件延時(shí)1ns1ns機(jī)箱規(guī)格2U2U網(wǎng)絡(luò)接口（電/光）8個(gè)10/100/1000M電口12個(gè)10/100/1000M電口和4個(gè)SFP管理口有有串口2RJ452RJ45冗余電源具備具備MTBF（小時(shí)）5萬(wàn)5萬(wàn)5.運(yùn)行環(huán)境標(biāo)題LeadsecUD-GAP200LeadsecUD-GAP:2000重量10Kg10Kg尺寸L450xW443xH88.8mm

工作溫度