随着信息时代的到来，我军信息化建设也有了很大发展。无论是解放军总部还是各大军区、各大军种，无论是作战部队还是科研机构，计算机网络应用都非常广泛。通信联络、指挥协调、情报搜集、保障供给都与计算机网络和其它信息技术密切相关。计算机及信息系统应用的水平，在很大程度上决定了我军的战斗力。

安全风险分析：
 信息化是一把双刃剑。它在为我们带来巨大效率的同时，也留下了安全隐患。信息化的发展和网络社会的普遍建立，使得军事泄密事件越来越严重。　国防科技大学的一项研究表明，目前我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵入，对我国的军事安全提出了新的挑战。　
 信息安全专家指出，与军队信息化飞速发展不相称的是，我军的信息安全与网络安全防护能力尚处在初级阶段，安全形势十分严峻，信息安全技术和设施落后、计算机网络安全防护能力较弱、应用系统基本上处于不设防状态。最近几年，我国某些新型武器装备还没有装备部队，国外电台就有报道了，甚至已在互联网上被公布了。军队计算机网络中存在着极大的安全隐患，这一问题如果不能很好解决，不但会引起军队大量泄密事件和网络被攻击事件的发生，更会严重影响到作为高科技作战辅助手段的计算机网络技术在军队现代化建设中的推广和应用。　2007年2月26日环球时报报道，某国战略司令部官员承认，已成立“黑客部队”。并声称该部队由世界顶级电脑专家和“黑客”组成，用于试验各种现有网络武器的效果和制定使用网络武器的详细条例；一旦爆发战争，该部队将承担渗透、监控、摧毁敌网络系统以及窃取情报的任务。
加强军队计算机网络的信息安全与防护已刻不容缓，成为决定未来信息化战争成败的关键。　目前军队计算机网络中，一些机关各部门为了工作办公的需要，一些基层连队为了丰富官员文化生活，都将计算机接入了军队互联网。虽然军队互联网也是高密度的网络，但是由于互联网络的庞大，无疑给一些有窃密动机的人造成了便利。

技术手段分析：　
随着网络安全问题日益严峻，传统的防火墙加防病毒的计算机网络安全解决方案，已难以有效地保证军队系统的信息安全，因此必须从更深层次入手建立一个高安全度的防护体系。　
防火墙的弊病很多，其中最突出的就是它的自身防护能力。它们本身就存在着许多安全漏洞和问题。也就是说自身难保，一个连自身的安全都无法保证的网络安全装置又如何去保护一个网络的安全呢？此外，防火墙的网络防护能力也非常有限，防火墙的系统结构都是采用单一的处理器结构。也就是说，只有一道防线和一层“安全检测”机制。防火墙自身安全性的弱点，再加上它的单一处理器的系统机构，使得传统防火墙成为一个极易被攻破的虚设的防线。传统的防火墙是一种被人们广泛使用的连接互联网的网络安全设备。然而，人们常常发现被防火墙防护的网络依然常常被黑客和病毒攻击。现在有很多网络攻击都是发生在有防火墙的情况下，根据美国财经杂志统计资料表明，30%的入侵发生在有防火墙的情况下，所以“防火墙之父”马尔科斯都宣称，他再也不相信防火墙。防火墙的弊病很多，其中最突出的就是它的自身防护能力。它们本身就存在着许多安全漏洞和问题。也就是说自身难保，一个连自身的安全都无法保证的网络安全装置又如何去保护一个网络的安全呢？此外，防火墙的网络防护能力也非常有限。
为什么防火墙会有这样的弊病呢？这要从防火墙的设计理念和系统机构谈起。大部分的防火墙是基于“在保证使用的前提下，尽可能的做到安全”的设计理念设计的。也就是说，保证可用性高于安全性。此外，防火墙的系统结构都是采用单一的处理器结构。也就是说，只有一道防线和一层“安全检测”机制。防火墙自身安全性的弱点，再加上它的单一处理器的系统机构，使得传统防火墙成为一个极易被攻破的虚设的防线。因此，国家保密局提出通过"物理隔离"来保证军队、政府、金融、媒体等机要部门的真正安全。此外，绝大大部分防火墙和网络安全物理隔离产品继承了PC平台的所有弊病，他们表现在：
a) 安全性极差：PC软硬件平台是目前使用最广泛的计算机系统也是最易受攻击的系统；
b) 可靠性极差：这也是是众所周知的；
c) 启动时间很长：和所有的PC一样，启动将需要1-2分多钟的时间；
d) 功耗大：PC的功耗在130-150瓦；
e) 噪音很大：用工控机实现的防火墙有两个风扇，pc散发大量的热量，全部通过两个风扇散发热量。

 方案介绍：

 数码星辰专门设计了为政府和军队上网的高安全性的DShield/宇宙盾上网专用网络信息安全隔离装置及其相应的解决方案。在产品设计的之初，首先把保证设备自身的安全性，放在了极重要的位置，首先把保证设备自身的安全性，放在了极重要的位置。摒弃了防火墙和大多数网络安全设备采用工控机和通用操作系统所带来的弊病，凭借着我们丰富的设计经验，本着网络安全设备高安全性第一的原则，独立自主地设计了一款专用无“后门”的硬件平台。同时采用数码星辰独有的“操作系统防病毒加载技术”以及自主设计的TCP/IP处理软件， 彻底根除了其他网络安全设备自身安全性极差的问题。
同时我们的设计也摒弃了防火墙“考虑应用为主，安全为辅”的设计思想。与防火墙不同，DShield/宇宙盾物理上网专用隔离装置采用自主设计的双处理器和安全岛隔离结构（内、外网处理器及专用隔离硬件），极大地加强了设备的防护能力。
值得一提的是DShield/宇宙盾物理上网专用隔离装置采用了独有的“防间谍软件技术”，可以有效地阻止间谍软件的窃密活动。DShield/宇宙盾物理上网专用隔离装置也不允许任何外部向内部网不经授权的建立连接请求。
DShield/宇宙盾上网网络安全隔离安全装置具有以下特点：

1. 极高的系统自身安全防护功能，独一无二的病毒防护能力和超强的抗攻击能力
 采用国际最先进认证技术，支持基于连接和用户的认证
2.  独有的防间谍软件技术，可以有效地阻止间谍软件的活动和危害
3. 支持HTTP,HTTPS,MSN,QQ等标准协议
4. 具有极强的防止PINGl FLOOD、SYN FLOOD、Dos和DDos等洪水攻击的能力
5. 支持IP和DNS黑名单
6. 可以有效地防止缓冲区溢出攻击l
7. 傻瓜式的配置方式极大地简化了配置过程
8. 极高的系统可靠性
9. 方便的用户界面

方案拓扑如下图：

方案优点和优势：
北京数码星辰凭借着丰富的设计经验和强大的技术优势根据网络安全设备高性能、高安全性、高可靠性和使用方便性的特殊要求出发，采用自主设计的堡垒式网络安全设备专用平台。我们的专用硬件平台综合考虑了网络安全设备的高安全性、高可靠性和高性能的要求，采用数码星辰在加拿大研发的ISSA(Integrated System Security Architecture整体安全结构)”“DSR(Dynamic Self-Recovery动态自恢复技术)”和“HSF(High Speed Forwarding高速转接技术)”技术，时网络安全装置的安全性、可靠性和传输性能等各项指标均产生了革命化的变化。全面超过了所有基于工控机体系结构的防火墙和物理隔离设备。
 
公司所有产品的设计遵循高安全性、高可靠性和方便用户的原则。同时把保护网络和设备的绝对安全作为最高的设计准则。“千里之堤溃于蚁穴”，一个防护再严密的网络安全装置，如果有一个漏洞被忽略就会使整个安全防护系统崩溃。数码星辰清楚地认识到这一问题的重要性和严重性，率先提出了 “整体安全防护技术”新理念。在系统硬件、操作系统、网络协议、访问控制以及用户界面等所有的层次均进行了安全设计，形成了一个完整的、无懈可击的网络安全设备。这一理念不仅仅考虑了来自网络的攻击和破坏，而且也考虑了来自非网络的破坏。其中对于防止国外芯片“后门”、操作系统防加载技术、防止用户界面的攻击等等均是基于这一理念的独特的设计思路。这一独创的设计理念，使得网络安全防护的安全度提升到了一个无可比拟的新高度。本系统具有一般防火墙和物理隔离器无法实现的整体防护功能。
　
宇宙盾/捍马物理隔离装置是一种用于要求保证网络“绝对安全”环境中使用的网络安全产品。产品的设计遵循高安全性、高可靠性和方便用户的设计原则，把保护网络和设备的绝对安全作为最高的设计准则。系统设计 总共采用了十条安全措施，在系统硬件、嵌入式软件、操作系统、网络协议、访问控制、应用层以及用户界面等所有层次均进行了安全防护设计，形成了一个至底向上的完整安全屏障。本系统具有一般防火墙和物理隔离器无法比拟的整体防护功能。本产品也是目前唯一支持加密的VPN连接的网络隔离装置。北京数码星辰科技有限公司研制的宇宙盾/捍马物理隔离装置分为单向和双向两种产品类型。该产品为两个互为物理隔离的网络间既提供一条进行高效的数据传输的通道又提供了一个阻止任何网络攻击的安全屏障。

产品功能特点：

宇宙盾上网型安全隔离网闸作为高端安全产品，充分考虑了用户的安全需求，简化了配置设备的繁琐手续，屏蔽了所有的存在安全隐患的配置方法，用户只要简单配置就能够让您的网络工作在一个足够高的安全级别上，不用花费更多的人力来维护设备的安全性，实现了傻爪化操作。
     设备自身为用户设置了几种高安全级别的模式，用户为不同的主机或部门计算机设置相应的模式，即可完成配置。对高涉密网络能够做到防止泄密的能力，通过控制用户的邮件发送和BBS发帖等操作，切断对外发送数据的途径，同时又能正常地访问网页。具有DNS黑名单、IP黑名单功能，进一步提高网络访问安全。

产品其他特色：
  极具特色的硬件平台
     产品使用自行研发的非工控机平台，使用了国产低功耗CPU，具有400MHZ的主频，保证了设备的吞吐能力，同时防止了来自后门的攻击。专用的隔离岛，有效切断来自网络的连接，不以硬盘作为存储介质。
  隔离岛技术
自行开发的隔离岛能够切断一些网络连接，只有经过剥离的纯数据才能经过隔离岛。通过硬件控制应用字节返回，内部传输速率达到800MB。
  独特的网络隐身防护机制
设备除了开放对合法主机的TCP/UDP的连接外，不支持任何其他的网络服务，对其他主机的任何请求都不作反应，包括ARP寻址，因此受保护网络和主机成为了网络的 “黑洞”，可以防范任何的非法扫描和嗅探攻击，具有完全的“隐身”性。
  丰富的安全规则
采用了整体防护理念，从各个层面进行安全规则过滤：首先在连路层接收数据，然后根据用户的安全策略处理包，非法主机报不作任何回答，对合法主机实现了MAC与IP地址的邦定，防止了IP地址欺骗。系统还采用最先进的基于状态的包过滤技术极大地增强了对数据包的过滤能力。应用层通过控制端口可以提供了特征码进行控制。传输模式支持透明模式与NAT地址传换两种方式。
  应用层控制能力
能够实现http的访问控制，能够控制BBS的发帖，邮件的发送，通过DNS黑名单控制访问存在安全隐患的网站。
  简单的配置过程
1 采用了图形化的配置界面，简易的配置方法，只需配置设备内网各主机，直观且容易上手。普通管理员，只要通过简单阅读管理员手册，就可以很容易的制定安全策略和对系统的管理和维护。
2 采用分别对上网主机的不同安全模式设置，使浏览网页更安全，管理更加灵活。
3 DNS黑名单功能的设置使接入internet更加安全，为企业的安全又添加了一层保护。屏蔽使用者本人或单位禁止访问的网站，以达到保护企业安全的设置，例如屏蔽色情、暴力、宣扬迷信和反政及网页含有恶意破坏代码程序的流氓间谍网站等

关键词：计算机网络安全 网闸隔离方案 网络安全设计方案 物理隔离产品物理隔离网闸方案 军队网络安全解决方案