ｏopGap科博安全安全隔离与信息交换系统技术白皮书

1、PAGE21科博安全隔离与信息交换系统（CopGap200）技术白皮书中铁信安（北京）信息安全技术有限公司2011年4月目 录 TOC o 1-3 h z HYPERLINK l _Toc4 1.产品研制背景 PAGEREF _Toc4 h 4 HYPERLINK l _Toc5 2.产品介绍 PAGEREF _Toc5 h 5 HYPERLINK l _Toc6 .概述 PAGEREF _Toc6 h 5 HYPERLINK l _Toc7 .体系结构 PAGEREF _Toc7 h 5 HYPERLINK l _Toc8 .功能性能指标 PAGEREF _Toc8 h 6 HYPERLIN

2、K l _Toc9 功能指标 PAGEREF _Toc9 h 6 HYPERLINK l _Toc0 性能指标 PAGEREF _Toc0 h 7 HYPERLINK l _Toc1 3.产品功能描述 PAGEREF _Toc1 h 9 HYPERLINK l _Toc2 .信息交换功能 PAGEREF _Toc2 h 9 HYPERLINK l _Toc3 文件交换功能 PAGEREF _Toc3 h 9 HYPERLINK l _Toc4 Web交换功能 PAGEREF _Toc4 h 9 HYPERLINK l _Toc5 数据库交换功能 PAGEREF _Toc5 h 10 HYPER

3、LINK l _Toc6 邮件交换功能 PAGEREF _Toc6 h 10 HYPERLINK l _Toc7 定制应用数据交换 PAGEREF _Toc7 h 11 HYPERLINK l _Toc8 .安全控制功能 PAGEREF _Toc8 h 11 HYPERLINK l _Toc9 访问控制功能 PAGEREF _Toc9 h 11 HYPERLINK l _Toc0 数据内容审查功能 PAGEREF _Toc0 h 12 HYPERLINK l _Toc1 病毒防护功能 PAGEREF _Toc1 h 12 HYPERLINK l _Toc2 文件深度检查功能 PAGEREF _

4、Toc2 h 12 HYPERLINK l _Toc3 入侵检测与防御功能 PAGEREF _Toc3 h 13 HYPERLINK l _Toc4 身份认证功能 PAGEREF _Toc4 h 13 HYPERLINK l _Toc5 虚拟专网（VPN）功能 PAGEREF _Toc5 h 13 HYPERLINK l _Toc6 流量控制功能 PAGEREF _Toc6 h 14 HYPERLINK l _Toc7 .系统监控与审计功能 PAGEREF _Toc7 h 14 HYPERLINK l _Toc8 系统监控功能 PAGEREF _Toc8 h 14 HYPERLINK l _T

5、oc9 日志审计功能 PAGEREF _Toc9 h 14 HYPERLINK l _Toc0 报表管理功能 PAGEREF _Toc0 h 15 HYPERLINK l _Toc1 .高可用性功能 PAGEREF _Toc1 h 15 HYPERLINK l _Toc2 双机热备功能 PAGEREF _Toc2 h 15 HYPERLINK l _Toc3 负载均衡功能 PAGEREF _Toc3 h 16 HYPERLINK l _Toc4 4.产品使用方式 PAGEREF _Toc4 h 16 HYPERLINK l _Toc5 .部署方式 PAGEREF _Toc5 h 16 HYPE

6、RLINK l _Toc6 .管理方式 PAGEREF _Toc6 h 17 HYPERLINK l _Toc7 5.产品应用范围 PAGEREF _Toc7 h 18 HYPERLINK l _Toc8 .核心数据库的访问 PAGEREF _Toc8 h 18 HYPERLINK l _Toc9 .核心服务器保护 PAGEREF _Toc9 h 19 HYPERLINK l _Toc0 .内外网络之间的数据同步 PAGEREF _Toc0 h 20产品研制背景传统的安全防御体系是以防火墙为核心的防御体系，通过纵深防御、系统联动达到协同保护网络安全的目的。尽管防火墙在安全防御中作为一种核心的访

7、问控制手段，起到了不可替代的作用，但以防火墙为核心的防御体系已经不能满足网络安全的真正需求。分析防火墙的发展历程其实一直在追求安全性和系统性能的平衡点。防火墙工作层次愈低，其性能愈高，安全性就愈差；工作层次愈高，其性能愈差，但安全性愈高。就以安全性最高的应用代理防火墙，其安全性也是有限的。这种局限性主要表现在如下几个方面：安全决策模块直接面对不可信连接，难以对安全决策模块的完整性和安全策略实施过程的完整性进行保护；防火墙始终保持了可信网络与不可信网络之间的物理连接，成为攻击者攻击受保护网络的罪恶之手。防火墙安全局限性，催生了新一代的边界防御技术安全隔离与信息交换技术。安全隔离与交换技术应用于高

8、敏感网络和低敏感网络之间，拦截TCP/IP数据流，过滤丢弃TCP/IP协议格式，还原上层应用数据，并经过安全处理后，以数据摆渡的方式实现不同敏感级别网络之间的应用数据安全交换。数据摆渡的方式类似实际生活中的渡船载客，能保证内外网络在任何时候没有联通的电气连接情况下，实现应用数据的往返传输。这种数据处理方式保证了网络边界防护的高安全性，使其边界安全防护强度远远大于防火墙系列产品。这种可以确保内外网在发生数据交换时，内网免受外网基于网络协议的所有攻击，即使是未知形式的攻击。因此，这种技术可应用于保护政务网络、军事网络、银行/电信等重大基础网络的核心网络资源，如核心网络或核心数据服务器。产品介绍概述

9、科博安全隔离与信息交换系统（CopGap200，下简称科博网闸）为中铁信安（北京）信息安全技术有限公司自主研发生产的网络边界防护设备。这种设备可以放置在高敏感网络和低敏感网络之间，拦截TCP/IP数据流，过滤丢弃TCP/IP协议格式，还原上层应用数据并经过安全处理后，以数据摆渡的方式实现不同敏感级别网络之间的应用数据安全交换。数据摆渡的方式类似实际生活中的渡船载客，能保证内外网络在任何时候没有联通的电气连接情况下，实现应用数据的往返传输。科博网闸的数据处理方式保证了其网络边界防护的高安全性，使其边界安全防护强度远远大于防火墙系列产品，即使是防护强度最高的应用代理防火墙。科博网闸可以确保内外网在

10、发生数据交换时，内网免受外网基于网络协议的所有攻击，即使是未知形式的攻击。因此，科博网闸可应用于保护政务网络、军事网络、银行/电信等重大基础网络的核心网络资源，如核心网络或核心数据服务器。科博网闸按照设备性能，形成了涵盖E600型、E800型、G3000型、G5000型、等不同型号的系列产品。用户依据通信性能要求选择采用不同型号的产品。其中，E600型为百兆低端产品；E800型为百兆高端产品；G3000型为千兆低端产品；G5000型为千兆线速高端产品。体系结构科博网闸被设计为一个2+1结构的设备：一个外端机、一个内端机、一个中间数据硬件交换部件，即隔离交换开关。当数据需要从内向外传递时，内端机

11、基于应用代理服务的模式终止网络协议，解析应用数据，并对数据进行安全处理。安全处理后的数据被隔离开关以专用封装格式摆渡到外端机。外端机采用应用代理客户端的方式将应用数据封装为TCP/IP格式，路由到目的地。当数据需要从外向内传递时，也遵从相似的过程，只是外端机启用了应用代理服务，而内端机启用了应用代理客户端。科博网闸的基本结构如下图所示：图2-1 CopGap基本构成功能性能指标功能指标科博网闸各型号的产品在功能上是完全一致的，都具有如下的数据交换及安全处理功能：功能类功能项功能说明信息交换功能文件交换提供文件服务安全代理访问功能及文件单、双向同步功能数据库交换提供数据库服务安全代理访问功能及数

12、据库的单、双向同步功能邮件交换提供邮件服务的安全代理访问功能及邮件单、双向交换功能Web交换提供基于HTTP、HTTPS协议的网络应用访问功能，同时提供访问数据的安全控制能力定制应用数据交换功能提供基于TCP/UDP协议的客户定制应用的代理访问功能安全控制功能访问控制提供基于IP地址、网络端口、协议、数据包状态等属性的过滤控制功能身份认证提供系统管理的安全身份鉴别功能，以及在网络应用访问时，对访问者身份的身份鉴别功能，如基于用户名/口令、硬件令牌等身份鉴别功能内容检查提供传输数据内容的检查功能，检查机制基于关键字完成文件深度检查提供传输文件类型与文件后缀的一致性检测功能病毒防护提供内置的病毒防

13、护功能，支持自动和手动的病毒库升级入侵检测与防御提供对网络攻击的检测及防御能力虚拟专用网（VPN）提供虚拟专用网通讯支持，保证数据包的真实性、完整性及机密性流量管理提供关键应用及网络接口的流量管理功能高可用性功能双机热备提供基于主从模式的双机热备功能负载均衡提供内置的负载均衡模块，保证两台设备共担数据通信流量系统监控与审计功能系统监控提供对系统运行状态的实时监控功能日志审计提供对用户访问行为、安全事件信息、系统日志信息的记录及审计功能报表管理提供丰富的报表统计及分析功能性能指标科博网闸的工作性能指标因型号不同具有差异，各型号产品的工作性能指标列示如下：指标类型指标项指标值E600型E800型G

14、3000型G5000型性能指标网络带宽60Mbps130Mbps500Mbps850Mbps并发连接数50010003000050000开关切换延迟10ns10ns应用访问延迟小于1秒小于1秒小于1毫秒小于1毫秒支持用户数160040003000050000网络接口网络接口百兆电口：4个百兆电口：4个4个千兆电口8个千兆电口，可扩展4个千兆光口串口2个2个2个2个规格参数平均无故障运行时间50000小时50000小时70000小时70000小时工作温度4085408540854085存储温度55125551255512555125工作湿度2080208020802080存储湿度10951095

15、10951095尺寸重量重量：14 KG 长度：50.5cm 宽度：43cm高度：9cm重量：21 KG 长度：50.5cm 宽度：43cm高度：18cm工作电压220 5V功率270W350W产品功能描述信息交换功能文件交换功能文件交换是网络应用对数据交换的基本要求，在不同密级的网络之间、内外网之间、外网与专网之间都存在文件交换的实际需要，正是基于这一点，科博网闸实现了专业的文件交换模块，该模块实现文件的安全访问及文件的同步功能。以外网用户访问内网文件服务器为例，文件安全访问功能通过代理模块将需要保护的内网文件服务器（采用FTP协议或SAMBA协议）映射到科博网闸的外网，外网用户访问文件资源

16、时直接访问网闸外端机启用的代理服务。网闸外端机代理服务交换应用层数据到内端，内端代理访问内网真正的文件服务获取文件，返回给外端代理服务。在文件通过科博网闸的过程中将受到内容检查、病毒检查、文件深度检查、文件签名等安全保护（见安全控制部分功能描述）。从内网访问外网文件服务器时过程类似。文件同步模块能够实现科博网闸两端文件服务器中文件的同步功能。事实上，科博网闸通过部署在两端的客户端代理模块，分别从各自的文件服务器中提取需要同步的文件，然后安全摆渡到对端，再由对端的代理模块发布到目标文件服务器上，文件的摆渡受到安全模块的检查。文件同步支持各种不同的文件格式，支持对文件目录及相关子目录的同步，支持双

17、向及单向的文件同步。文件同步模块可以采用多种方式访问文件服务器，包括Windows共享方式、FTP服务方式及SAMBA共享方式等。在文件同步过程中，可以实现基于策略的过程控制，如基于文件类型、文件大小、创建时间等属性对文件的同步过程进行控制。Web交换功能Web应用是目前最为流行的网络应用。因此，提供对Web应用的访问支持是科博网闸的基本功能之一。科博网闸的内外端机都支持HTTP、HTTPS两种应用代理访问功能。科博网闸通过服务地址映射（SAT）的方式将目标Web服务器映射到网闸的另一端机供用户访问。Web应用数据在通过网闸的过程中，受到严格的安全控制，包括HTTP/HTTPS协议头的关键字过

18、滤、完整性检查、URL长度检查、活动脚本的检测及控制、文件安全检查等内容。数据库交换功能用户的实际应用系统中，往往具有不同的用户群及不同的网络应用。但应用之间共享应用数据却往往是必要的。因此，科博网闸将数据库同步功能作为其数据交换的基本功能之一。科博网闸的数据库访问模块通过数据库应用代理的方式将数据库服务映射到网闸的一端，应用程序可以直接访问映射的数据库服务，由网闸完成数据库的数据内容安全传输。科博网闸的数据库同步模块可以将一端网络中的数据库内容同步复制到网闸另一端网络的数据库中。数据库复制支持单向复制及双向复制。以及支持对表的全表复制及增量复制功能。科博网闸支持的数据库同步，支持同构数据库之

19、间的同步，也支持异构数据库之间的同步。在同步过程中，数据库内容受到基于管理员定制的安全策略的控制，包括对字段类型、关键词、创建时间等属性的控制。由于科博网闸的内外端机都实现了数据库代理功能，因此科博网闸也支持直接的数据库访问功能。邮件交换功能邮件通讯主要使用POP3和SMTP协议，在安全隔离的环境中，往往需要进行内网邮件与外网邮箱中邮件的同步，或者需要内网用户能够访问外网邮箱中的邮件。这些需求可通过科博网闸的邮件同步模块和邮件访问模块完成。邮件同步模块起到邮件中继的作用，它能将网闸一端的邮件同步到另一端，即可以进行单向邮件中继，也可以进行双向邮件中继。邮件访问模块通过配置邮件代理完成，科博网闸

20、的邮件代理保证使用者能够通过网闸访问另一端的邮件服务器，使用邮件客户端进行邮件的正常收发。在邮件中继及邮件访问过程中，科博网闸启用安全控制模块对邮件主题进行过滤控制，对邮件附件类型进行文件深度检查，对邮件附件进行病毒查杀等。定制应用数据交换科博网闸支持应用协议定制功能。很多用户都具有自己的业务系统，这些业务系统不是标准的应用，而是具有自己的应用封装格式、会话模式、命令集。如果不加定制，任何标准的应用代理服务器都不能准确理解这种私有应用的格式，并最终加以控制。但是，对用户而言，真正需要支持和控制的却往往正是这些私有的应用协议。科博网闸提供了私有协议定制开发功能。用户部门只要提供需要支持的应用的封

21、装格式、协议状态机、命令集，科博网闸提供的私有代理服务器生成模板和私有代理客户端生成模板就可以快速生成满足私有应用的代理程序，用以终止私有应用的TCP连接、完成数据/命令提取和控制。因此，科博网闸对于私有的应用协议，也可以保证应用数据落地控制。安全控制功能访问控制功能科博网闸可以对授权访问或进行交换的信息进行严格的访问控制，科博网闸的访问控制包括网络级的访问控制及应用层的访问控制功能。科博网闸的访问控制功能实现对网闸代理应用的控制，访问控制与应用映射绑定，每一个应用的代理映射可以配置访问控制策略，访问控制策略通过对象的方式进行设置，使用非常灵活。科博网闸网络访问控制功能主要进行应用映射的地址及

22、时间的控制，地址控制可以授权允许的IP访问应用，也可以实现对MAC地址的绑定，时间控制保证授权用户在哪些时间允许访问应用，哪些时间不允许访问应用。地址控制与时间控制可以综合设置，形成有效的网络访问控制策略。应用层的访问控制功能实现对各种协议应用的安全控制。科博网闸可以进行控制的协议包括HTTP、FTP、SMTP、POP3、SQL等，控制内容包括各种协议命令，对于HTTP协议，也可以控制URL的长度。通过应用协议访问控制可以有效的防止各种木马攻击及入侵。数据内容审查功能科博网闸交换的数据是无协议格式的上层应用数据，比如发送的邮件主体内容，邮件的附件。科博网闸在交换这些数据时，实现了三方面的数据内

23、容审查：（1）关键词过滤：对含有黑名单中出现的关键词的应用数据进行基于策略的安全处理，包括拒绝发送、日志审计、关键词替换等三种处理方式。（2）模糊查询：对于应用数据中包含经过处理、伪装的敏感词语进行控制和处理，比如识别类似“法*轮*功”这样的敏感词汇。控制处理的方式包括：拒绝发送、日志审计和关键词替换三种。（3）病毒扫描：科博网闸在摆渡每一个数据块时，都进行病毒扫描。详见“病毒防护功能”描述。 科博网闸的数据内容审查功能在内外端机基于计算机CPU实现。病毒防护功能科博网闸集成了专业的第三方病毒查杀模块，能在应用层实现基于特征的病毒查杀。为此，科博网闸提供了病毒库在线升级功能，以及病毒库手工导入

24、功能。对于包含有病毒数据的应用数据，科博网闸在清除病毒之外，还对其进行日志记录，供安全管理员使用。文件深度检查功能管理员可能需要对通过隔离设备传输的文件类型进行控制，比如，不允许外部的exe或者bat文件传输到内网。但是，攻击者可以将文件的后缀修改为txt等被允许的后缀并传输，以逃避安全规则的检查。为此，科博网闸实现了文件的一致性检查，即一个声称的exe是否真是exe文件，一个声称的pdf文件是否真是pdf文件等。这种功能即为科博网闸的深度检查功能。目前，科博网闸支持几乎所有的文件类型的一致性检查。入侵检测与防御功能科博网闸的内外端机分别实现了网络入侵检测功能，其通过网络连接的行为模式、流量模

25、式、数据特征实现对网络访问基于特征的入侵检测。科博网闸同时对一些常见的网络攻击进行阻断，如TCP SYN洪水、PING洪水等，防止DOS攻击带来的安全威胁。为了保证对入侵行为能有效检测，科博网闸提供了入侵特征库在线升级和手工导入的功能。身份认证功能科博网闸实现了应用级的身份确认功能。即当用户通过网闸访问特定应用时，可以要求用户出示对网闸的身份证明。只有通过身份确认的用户才能访问受保护的应用。应用级身份认证可以在用户访问具体应用时，控制用户可以访问的应用资源，比如可以执行的命令，可以访问的页面等。科博网闸对用户的认证方式可配置为基于用户名/口令的方式、基于数字证书的方式、支持硬件令牌的方式。虚拟

26、专网（VPN）功能科博网闸的内外端机实现了标准的IPSec协议簇。任何的标准IP层密码设备都可以和网闸的内端机建立VPN通道。科博网闸的内外端机支持基于IKE的自动密钥协商，以及手工的密钥配置。内外端机与密码设备之间支持基于预享密钥、公钥签名、增强型公钥签名的方式实现接入身份识别。科博网闸的内外端机支持基于ESP、AH、ESP+AH三种安全隧道协议。管理者通过配置这些安全隧道，能够为网络通讯提供如下三种安全保护：（1）数据源的真实性：连接对方的身份是真实的，每一个分组是属于真实的连接；（2）数据的完整性：连接中传输的任何数据都没有受到恶意的破坏，信息内容是完整的。（3）数据的机密性保护：敏感信

27、息不会在传输过程中被泄漏。流量控制功能为了保证核心应用保持应有的带宽，防止网络接口流量异常，科博网闸实现了流量监视及控制模块。通过该模块能够对通过网闸的网络流量进行全面的控制。流量监视及控制模块能够基于不同的应用对流量设置上限，保证核心业务系统流量不会由于其它应用（如点对点应用）占用过多带宽而不能正常使用。另外，流量监视及控制模块还可以对科博网闸的特定网络端口进行上行及下行的流量监视及控制，使管理员能够随时掌握网络流量的状态，分析网络的稳定性。系统监控与审计功能系统监控功能科博网闸提供对系统运行状态的实时监控功能，包括网络接口监视、CPU利用率监视、内存使用率监视、网络状况监视、硬件系统监视、

28、进程监视。科博网闸提供对监控结果的多种图表显示方式，如动态坐标图、饼状图和柱状图。日志审计功能科博网闸提供了强大的日志查询、日志存储和日志审计功能。系统支持welf、syslog等多种日志格式输出，支持第三方软件查看日志，支持日志分级，支持本机和远程存储日志功能。提供对应用交换信息、安全控制信息、系统日志信息的记录及审计功能。报表管理功能科博网闸提供丰富的报表统计及分析功能。报表统计的内容包括网络流量、系统运行状态、过滤事件、文件传输量等。系统支持报表的多种图表生成方式，支持报表的在线打印，支持报表的本地存储功能。高可用性功能双机热备功能为了保证科博网闸系统能够不间断运行，在系统服务出现故障（

29、受到攻击、意外崩溃或其它原因造成）时，能够迅速的回复到原有的运行状态。在这里，我们要求系统的这种功能是自动完成的。我们通过部署科博网闸双机热备子系统实现这个功能，科博网闸双机热备子系统的体系结构如下：图3-1 科博网闸的双机热备示意为了实现双机热备，我们将先安装两套相同的通用科博网闸系统，然后在每台服务器上另外安装双机热备模块，在安装时我们将定义其中一台为主服务器（及Active服务器），另一台定义为从服务器（即Standby服务器），这些定义将通过热备策略文件中的配置信息完成。另外，在主服务器上将加载实际使用的所有IP地址（包括热备模块专有通讯地址），在从服务器除加载热备模块专有地址外，不加

30、载其它任何地址。主服务器及从服务器中热备模块的通讯通过专有协议实现。一旦配置完成，网络中只有一台服务器在提供服务，它就是主服务器。当主服务器崩溃时，从服务器热备模块将能迅速检测到，并将自己设置为主服务器，同时加载主服务器的所有地址，并启动所有科博网闸的功能服务模块，接管原来主服务器的所有功能，完成实时的服务器切换。当崩溃的原有主服务器恢复（通过手工方式）后，它将自动成为科博网闸系统的从服务器。此时，原有主从服务器的关系将颠倒过来。以后的主从服务器切换过程将遵循上述的原则。负载均衡功能科博网闸支持多机负载均衡的功能。该功能将多台科博网闸组成一个设备群，通过负载均衡技术，采用高效的分配算法将客户的

31、请求合理分配到设备群的某一个节点上，以此可提高获取数据的速度，解决高并发访问问题，提高系统的稳定性、可靠性和灾害承受能力。科博网闸提供负载均衡功能的配置和动态维护，无需额外第三方软硬件支持，当系统压力过大时，只需要增加设备的数量，作简单的配置即可进行平滑升级。产品使用方式部署方式CopGap是一个硬件设备，主要解决不同网络之间信息的安全交换及控制问题。因此，CopGap产品主要部署在两个网络之间。CopGap部署时对网络的要求如下：使用网络为基于TCP/IP协议标准的网络；对于百兆网络，适用CopGap百兆系列产品，对于千兆网络，适用CopGap千兆系列产品；对于需要光纤通信的网络，使用Cop

32、Gap千兆系列具有光纤接口的版本，根据需要可以选择自带光接口模块或外接光接口模块。按照国家相关政策及安全要求，CopGap产品适合的部署位置包括：不同的涉密网络之间。也就是在秘密网络与机密网络之间，机密网络与绝密网络之间等；同一涉密网络的不同安全域之间；与互联网物理隔离的网络和涉密网络之间。也就是允许CopGap在非涉密网络与涉密网络之间进行信息交换，前提是要求非涉密网络与互联网物理隔离。同时要求非涉密网络达到等级保护第三级，涉密网络为秘密级网络；未与涉密网络连接的网络和互联网之间。也就是非涉密网络与互联网之间可以使用CopGap进行信息交换；非涉密网络的不同安全等级网络，或者统一安全等级网络

33、中的不同安全域之间。管理方式为了方便产品的使用，CopGap具有多种形式的管理维护方式，保证在出现任何情况时均能进行现场维护管理。CopGap的基本管理方式是基于Web的管理模块，通过该模块可以进行系统的所有功能配置、查询分户析及日常维护。Web管理模块是CopGap最主要的管理模块，提供给现场技术支持人员维护使用，也可以做为用户单位的维护人员日常维护使用。CopGap的第二种管理方式是基于串口的命令行管理。这种管理方式主要是在系统出现故障，Web管理方式不能正常使用，或者网络出现故障，导致不能连接CopGap设备时使用。基于串口的管理方式使用时需要连接维护计算机与CopGap之间的串口线，基

34、于Windows的串口终端进行连接管理。CopGap提供的第三种管理方式是使用远程命令SSH进行管理。该方式提供了维护计算机与CopGap之间的安全连接通道。通过系统提供的用户名/口令登录后进行远程操作管理。这种管理方式主要提供给产品厂家的技术支持人员进行故障排除时使用。对于用户管理人员，在必要时可以使用该方式进行管理。由于该方式对系统管理权限非常高，如果使用不当可能造成系统数据丢失，因此该方式要慎用。产品应用范围科博网闸主要应用场景有三种：核心数据库的保护；核心服务器区的保护，以及内外网络之间的数据同步。核心数据库的访问数据库是应用系统的核心，是系统业务运行的基础。如果业务系统受到破坏，只要数据资源是完整的，往往容易恢复业务的正常运行。因此，对于核心数据库的保护具有重要的意义，是确保用户的业务系统安全的最后一个堡垒。科博网闸因