智慧城市
天融信网 闸
在智慧城市项目建设中，天融信网闸部署在各行各业专网与公有云服务平台连网处， 将行业专网隔离断开，保证各行业的工作互不干扰，阻断任意跨跃网络的TCP/IP网 络攻击。同时通过网闸数据摆渡机制，将需要共享的数据摆渡到信息共享平台进行 数据共享。
Thank You
QQ 896343288
公安
在平安城市项目中，天融信网闸主要部署在公安内网视频监控平台和外网视频监控 区之间，网闸的视频处理模块负责把公安外网监控区的视频实时的传送到公安内网 监控平台上，其它的数据一律禁止通过。
法院
在司法公开项目中，天融信网闸主要部署在法院内外网之间，网闸的数据库同步模 块负责把法院内网的新闻卷宗以及案件诉讼处理结果实时的传送到外网的浪潮云服 务平台上，通过web服务对外发布。
目录
1
网闸基础理论知识
2
TopRules产品介绍
3
TopRules产品特色
4
TopRules案例解析
天融信网闸架构及工作原理
TCP/IP协议
内网单元
协
协
议
议
剥
重
离
构
管理配置
专有协议
外网单元
隔离系统
专有协议
专用隔离硬件
协协 议议 重剥 构离
TCP/IP协议
双机热备
硬件组成（2＋1） •内网机 •外网机 •专用隔离硬件（光通道隔离组件）
• 2006 年中共中央办 公厅18 号文件《国 家信息化领导小组 关于推进国家电子 政务网络建设的意 见》
• 2007年国家保密局 和国务院信息化办 公室《电子政务保 密管理指南》
• 解读《电子政务保密 管理指南》秘密级的 电子政务涉密信息系 统(或安全域)和电子政 务非涉密信息系统(或 安全域)，在与互联网 或其他公共信息网络 物理隔离的情况下， 可采用国家保密工作 部门批准的安全隔离 与信息交换系统进行 连接
内置分时逻辑电路控制开关，高速数据摆渡
天融信网闸安全机制
内容过滤
日志审计
应用层命令控制
天融信网闸业务功能
文件 模块
Ftp模块
数据库 模块
文件同步模块 数据库同步模块
视频监控模块
天融信网闸单向模块
标准网闸
标准网闸 单向模块
tcp001 回包
外 私有协议 网 机 私有协议
tcp001 ACK
外 私有协议 网 机 私有协议
应用交付产品部
天融信安全隔离与信息交换系统
2015年3月13日
目录
1
网闸基础理论知识
2
TopRules产品介绍
3
TopRules产品特色
4
TopRules案例解析
什么是网络隔离？
网络隔离 网络隔离是指两个或两个 以上的计算机或网络，丌 相连，丌相通，相互断开。
简单网络隔离 丌需要信息交换的网络隔离
医院(HQMS)
在医院质量监测系统项目中天融信网闸部署在医院内网与外网之间，将内网服务器 指定格式的病人病例及住院信息等医疗数据传输到外网的HQMS系统前置机上，然 后上传到HQMS数据中心，实现卫生部医管司对医院医疗服务质量的监测。。
财政
在财政一体化项目中，天融信网闸部署在互联网与财政内网之间，网闸的WEB处理 模块负责把来自互联网的各预算单位预算数据实时的传送到内网财政一体化应用平 台，然后上传财政专网，实现财政厅部署和管理一体化、业务一体化、技术一体化 的要求。
软件组成（2＋1）
•内网安全系统：接收内部请求，剥离TCP/IP网络协议，还原裸数据文件
专有协议封装,反方向协议重构TCP/IP包
•外网安全系统：接受外部请求，剥离TCP/IP网络协议，还原裸数据文件
专有协议封装,反方向协议重构TCP/IP包
• 专用隔离系统：无操作系统，嵌入式芯片程序，不可编程，
私有协议
隔离硬件
私有协议
tcp002 内 网 机 回包
隔离硬件
私有协议 私有协议
内 网 ACK 机
tcp002 回包
TopRulesቤተ መጻሕፍቲ ባይዱ品资质
◆ 公安部 《计算机信息系统安全专用产品销售许可证》（三级） ◆国家版权局 《计算机软件著作权登记证书》 ◆ 中国人民解放军信息安全测评认证中心 《军用信息安全产品认证证书》（军B） ◆ 国家保密局涉密信息系统安全保密测评中心 《涉密信息系统产品检测证书》 ◆ 国家信息安全认证中心 《中国国家信息安全产品认证证书（ISCCC）》
自定义应用也可以绑定
自定义应用模块手动绑定应 用特征，无需二次开収
标准网闸也有单向技术
独创tcp传输反向检测技术 应用层数据0反馈
目录
1
网闸基础理论知识
2
TopRules产品介绍
3
TopRules产品特色
4
TopRules案例解析
TopRules行业应用
TopRules
公安 法院 医院 财政
智慧城市
目录
1
网闸基础理论知识
2
TopRules产品介绍
3
TopRules产品特色
4
TopRules案例解析
天融信网闸产品特色
部署方式灵活
代理、透明代理、路由模式； OSPF协议穿透
与用管理口单向管理；
管理方式安全 双重用户名密码验证；
集中管理丌依赖IP地址
防火墙访问控制功能
防御层次全面 应用层协议深度过滤
丏用硬件—隔离硬件 切断网络—切断协议连接 应用数据交换—裸数据
为什么用网闸？
合规性
安全性
符合国家相关政策的要求
保密性
高强度、高粒度防护手段
防范泄密事件的収生
网闸相关政策及演变
• 2000年国家保密局 収布实施《计算机 信息系统国际互联 网保密管理规定》
• 2002 年中共中央办 公厅17 号文件《国 家信息化领导小组 关于我国电子政务 建设指导意见》
复杂网络隔离 需要信息交换的网络隔离
网络隔离技术 针对复杂网络隔离研究在网络断开 的前提下进行信息交换
网络隔离技术发展
隔离技术初期
2000-2002
人工拷盘
隔离技术发展期
2002-2006
隔离卡
传统网闸
网络之间物理断开， 网络间信息传递需要 通过存储介质拷贝实 现。
隔离卡两个网口分别 与内外网络相连，通 过切换系统实现内外 网工作。
在两套系统间设计物 理电子开关，进行分 时连接和切换。实时 应用相应太慢。
隔离技术成熟期
2006年以后
现在业界普遍使用的隔 离网闸产品。不强调物 理上的电子开关，强调 协议落地，协议剥离。
在原有安全隔离与信息 交换技术基础之上设计 单向的数据传输电路， 保障单向传输
什么是网闸？
安全隔离不信息交换系统 是一种由带有多种控制功 能丏用硬件在电路上切断 网络之间的链路层连接， 并能够在网络间进行安全 适度的应用数据交换的网 络安全设备。
• 随着安全意识的 提高，现在在各 行各业只要有敏 感数据基本都在 使用隔离技术， 而不止简简单单 局限于政策。
• 医疗
• 金融
• 能源
网闸产品高安全技术体现
设计思想
硬件架构
工作机制
网闸是在保证安全的前提下 ，尽可能互联互通 ——白名单
网闸是2+1系统架构即双主 机系统加丏用隔离硬件
——防攻破
网闸工作机制是网络隔离和 应用层数据交换 ——数据摆渡
数据层内容特征识别
应用支持广泛
动态端口代理技术 流媒体、视频监控 组播视频会议、广播电视
天融信网闸产品特色
审计功能强大
审计每日最大并収连接、最 大流量，按月生成csv报表 审计所有用户访问记录，包 括模块和用户自定义应用
工业以太网也可以部署
内置DCS/OPC模块，适用亍 工业网生产网分布式控制系 统环境