在社保行业外网部署前置数据库服务器，天融信融信网闸不开放任何从外到内的安全通道，对外不提供任何访问服务，屏蔽所有漏洞。网闸只开放从内到外的专用安全通道，该安全通道与网闸的数据库单向同步模块进行认证和特征绑定，由天融信网闸的数据库单向同步模块主动将授权允许访问的内网核心数据库记录实时单向摆渡到前置数据库中。外网web服务器对内网数据库的访问操作全部移植到前置数据库服务器，来自外网的任何访问或者攻击都在外网中止，不对用户内网产生任何的影响。

四、方案对比

方案二增加了数据库服务器前置机，天融信安全隔离与信息交换系统部署在数据库服务器和前置机之间，通过天融信安全隔离与信息交换系统的数据库单向同步技术将数据库数据同步到前置机上。从效率方面讲提供了比方案一更高效的访问速度。Web服务器对数据库的访问和数据交换过程不需要通过天融信安全隔离与信息交换系统，只有内网核心数据库服务器数据更新时才会通过天融信安全隔离与信息交换系统的数据摆渡机制传输到数据库前置机上。

从安全方面讲方案二提供了比方案一更高端的安全防护机制。天融信安全隔离与信息交换系统是隔离设备能够隔断所有的网络攻击，但是对裸数据里的病毒防护能力有限，不能完全抵御各种新病毒及变种病毒。对于方案一而言存在从外到内的数据摆渡，通过天融信安全隔离与信息交换系统数据摆渡机制传输到内网核心数据库服务器上的数据有可能含有病毒和恶意代码破坏数据库数据。但是方案二中的数据库单向同步机制完全隔断了从外到内的数据摆渡，网闸外端机不提供任何服务屏蔽了所有可能的安全漏洞，从而也杜绝了病毒和恶意代码的流入。即使数据库前置机遭受网络攻击或者病毒感染，位于天融信安全隔离与信息交换系统内网的核心数据库依然是安全的。

方案二更侧重于对用户核心数据的保护，综合考虑了效率和安全的问题，但是方案二带来了成本增加的问题。此外方案二的适用范围有一定的局限性，如果用户的web服务器不仅仅提供数据查询的功能还要向数据库提交数据，那么单向的数据库同步不能满足用户的全部需求，需要使用双向数据库同步模块，网闸必然要开放从外到内的数据库同步服务。但是即使是双向数据库同步，同步模块和网闸之间是有身份认证和特征值绑定的，仍然具有超过方案一的安全性。网络安全方案没有绝对的好与不好，根据用户网络实际需求选择的最适合用户的安全方案才是最合理的方案。

五、总结

为了全面保护社保行业网络信息安全，阻断来自互联网的威胁和攻击，仅仅使用防火墙和安全网关类产品是不够的，需要采用更高级别的网络安全防护机制，即网络隔离机制，这是当前已知的安全级别最高的网络安全防护机制。从网络安全机制上来讲社保单位内网和外网仍然属于两个断开的不相关的TCP/IP网络，作为独立的TCP/IP网络彼此的办公系统互不干扰，可以阻断任何来自外网已知和未知的基于TCP/IP协议的网络攻击。即使外网某个用户因为上互联网或者U盘感染等原因下载了木马成为傀儡机，或者个别外网用户因为特殊原因发起恶意网络攻击，都不会影响到内网核心系统的运行。

通过部署天融信网闸，创建协议隔断，将内网与外网隔离断开，保证社保单位内外网络之间安全隔离，能够屏蔽各种已知和未知的TCP/IP网络攻击，阻断木马、网络后门的非法连接。网闸提供了比防火墙、入侵检测等技术更高级别的安全防护，既保证了安全隔离又实现互联网用户在线查询所必需的实时数据交换，同时借助严格的内容控制技术，还可以防止社保行业内部重要数据信息的泄漏和被窃取。

在社保单位内外网之间网络隔离的基础之上，我们通过天融信网闸内部专有硬件和专有协议进行裸数据摆渡传输，同时结合天融信TOS安全操作系统平台下的访问控制、入侵检测、抗DDOS及日志审计等功能，形成针对社保行业信息网络的全面安全防护。