TIPTOP网闸在某市交通局的安全解决方案

　　根据市政府关于电子政务建设的有关要求，某市交通电子政务网络分为电子政务内网和电子政务外网。

　　背景：

　　根据市政府关于电子政务建设的有关要求，某市交通电子政务网络分为电子政务内网和电子政务外网。

　　交通电子政务内网是涉密网，它向上连接市委省政府电子政务内网。该网络面向机关内部办公管理，传输涉密信息和工作秘密信息，主要用于运行厅办公自动化系统及与该系统相连的应用系统，与Internet物理隔离。接入该网络的交通单位应遵循涉密网络的相关管理要求，做好网络信息安全工作。

　　交通电子政务外网是交通系统的主要业务网络，交通业务系统架构在该网上，该网连接Internet，为公众提供服务，它分为交通行业业务专网(简称专网)和交通行业外网(简称外网)。交通行业业务专网连接厅直属单位、各市交通局等单位，面向交通行业管理，主要运行公路、航道、运管、地方海事、港口等行业业务管理系统。交通行业外网以Internet网为依托，主要运行服务社会公众的网上公示、网上受理、网上咨询等网上办事模块，为政府决策获得外部信息资源，是交通门户网站等电子政务应用的平台。

　　诉求：

　　交通电子政务网络逻辑上分为两套网络，即电子政务内网和电子政务外网，物理上分为三套网络，即涉密网、交通业务专网和外网。市机关三套网平行建设，有终端上连的是交通业务专网和涉密网。电子政务内网与电子政务外网须物理隔离，交通行业业务专网和交通行业外网之间应采用安全等级较高设备(如网闸)进行隔离，提高网络之间的安全性。

　　解决方案：

　　随着电子政务的开展，有越来越多的应用在业务外网上与公众进行交互，它们需要访问专网以取得数据。实现两个网络之间的数据交换是一个必须要解决的问题。因此在外网和专网之间使用获得国家保密局认证的TIPTOP隔离网闸，用以实现安全的系统数据交换。

　　TIPTOP隔离网闸对应用层数据提供透明协议转换，转换过程对用户透明，不需要用户管理，稳定可靠。系统内部并不存在任何网络协议，在外网系统中无法通过网络对内网进行攻击，因此诸如端口扫描、系统漏洞、木马、DOS/DDOS等均对经过隔离网闸保护的内部网络无效。极限情况是外端系统可能被攻破，但其特殊的安全机制保障了攻击信息不会进入内网，从最大程度上保证了内网的安全。

　　结合可控的数据信道，TIPTOP隔离网闸可以有效识别有害数据和正常数据，可以有效识别涉密数据和非涉密数据，率先做到了内容隔离处理。

TIPTOP隔离网闸工作原理图