联想网御安全隔离与信息交换系统产品白皮书.docx
- 文档编号:23318861
- 上传时间:2023-05-16
- 格式:DOCX
- 页数:27
- 大小:298.16KB
联想网御安全隔离与信息交换系统产品白皮书.docx
《联想网御安全隔离与信息交换系统产品白皮书.docx》由会员分享,可在线阅读,更多相关《联想网御安全隔离与信息交换系统产品白皮书.docx(27页珍藏版)》请在冰豆网上搜索。
联想网御安全隔离与信息交换系统产品白皮书
联想网御SIS-3000系列
安全隔离与信息交换系统
产品白皮书
联想网御科技()
信息
©所有2001-2007,联想网御科技()
本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等容,除另有特别注明,均属联想网御科技()所有,受国家有关产权及法保护。
如何个人、机构未经联想网御科技()的书面授权许可,不得以任何方式复制或引用本文档的任何片段。
商标信息
联想,网御,Legend,Lenovo,leadsec等标识及其组合是联想网御科技()拥有的商标,受商标法和有关国际公约的保护。
第三方信息
本文档中所涉及到的产品名称和商标,属于各自公司或组织所有。
联想网御科技()
LenovoSecurityTechnologiesInc.
市海淀区中关村南大街6号中电信息大厦8层100086
8/FZhongdianInformationTowerNo.6ZhongguancunSouthStreet,
HaidianDistrict,Beijing
(TEL):
9
传真(FAX):
8
技术热线(CustomerHotline):
400-810-7766
电子信箱(E-mail):
infoseclenovo.
1前言
MichaelBobbin(《计算机安全杂志》主编)说,“保证一个系统真正安全的途径只有一个:
断开网络,这也许正在成为一个真正的解决方案。
”
在政府、国防、能源等很多重要领域,对数据性、网络平稳性、业务连续性要求极高,坚如磐石的安全保障尤其关键。
市场需求催生了安全技术的创新,在上世纪90年代中期俄罗斯人RyJones首先提出“AirGap”隔离概念,然后,以色列研制成功物理隔离卡,实现网络之间的安全隔离;其后,美国WhaleCommunications公司和以色列SpearHead公司先后推出了e-Gap和NetGap产品,利用专有硬件实现两个网络在不连通的情况下数据的安全交换和资源共享,从而使安全隔离技术从单纯实现“网络隔离禁止交换”发展到“安全隔离和可靠交换”。
目前,美国军方、重要政府部门均采用隔离技术保障信息安全,我国的安全隔离技术的发展同样经历了类似的过程。
2000年1月1日,国家局发布实施《计算机信息系统国际联网管理规定》明确要求“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连,必须实行物理隔离”。
该规定在互联网发展初期具有前瞻性地提出政府上网必须“物理隔离”,及时的把政府上网安全提到一个重要的高度,具有重大意义。
并由此而发展出了安全隔离计算机、安全隔离卡等系列安全隔离安全产品。
网御SIS-3000系列就是联想网御科技()开发的高性能安全隔离与信息交换系统,它凭借强大的功能、卓越的性能、以及遍及全国各地的完善客户服务机构和保障体系为用户的网络隔离安全提供最全面、最安全的解决方案。
2网络隔离与信息交换系统技术原理
2.1工作原理
安全隔离技术的工作原理是使用带有多种控制功能的固态开关读写介质连接两个独立的主机系统,模拟人工在两个隔离网络之间的信息交换。
其本质在于:
两个独立主机系统之间,不存在通信的物理连接和逻辑连接,不存在依据TCP/IP协议的信息包转发,只有格式化数据块的无协议“摆渡”。
被隔离网络之间的数据传递方式采用完全的私有方式,不具备任何通用性。
安全隔离与信息交换系统两侧网络之间所有的TCP/IP连接在其主机系统上都要进行完全的应用协议还原,还原后的应用层信息根据用户的策略进行强制检查后,以格式化数据块的方式通过隔离交换矩阵进行单向交换,在另外一端的主机系统上通过自身建立的安全会话进行最终的数据通信,即实现“协议落地、容检测”。
这样,既从物理上隔离、阻断了具有潜在攻击可能的一切连接,又进行了强制容检测,从而实现最高级别的安全。
联想网御SIS-3000系列安全隔离与信息交换系统工作原理图
2.2技术特性
安全隔离与信息交换系统架构主要由网主机系统、外网主机系统和隔离交换矩阵三部分构成。
网主机系统与网相连,外网主机系统与外网相连,/外网主机系统分别负责外网信息的获取和协议分析,隔离交换矩阵根据安全策略完成信息的安全检测,外网络之间的安全交换。
整个系统具备以下技术特性:
●多网络隔离的体系结构,通过专用硬件完成两侧信息的“摆渡”。
●被隔离网络之间任何时刻不产生物理连接。
●/外网主机系统之间没有网络协议逻辑连接,通过隔离交换矩阵的全部是应用层数据,也就是OSI模型的七层协议全部断开。
●数据交换方式完全私有,不具备可编程性。
3网御SIS-3000系列产品介绍
3.1产品定位
联想网御SIS-3000系列是联想网御依靠多年信息安全产品研发的积累,严格遵照国家有关主管部门的设计规要求,具有完全自主知识产权的安全隔离与信息交换系统。
该产品是利用网络隔离技术的访问控制产品,处于网络边界,连接两个或多个安全等级不同的网络,主要应用于政府部门网络建设中,对重点数据提供高安全隔离的保护。
政府部门的主要应用定位包括:
Ø各政府部门对外提供各项便民服务的接口。
Ø各政府部门的不同安全域之间进行数据交换的接口。
Ø各政府部门与业务相关的其他政府部门之间进行数据交换的接口。
国家局对安全隔离与信息交换类产品的应用也做了规定,规定安全隔离与信息交换系统在以下四种网络环境下应用:
Ø不同的涉密网络之间;
Ø同一涉密网络的不同安全域之间;
Ø与Internet物理隔离的网络与秘密级涉密网络之间;
Ø未与涉密网络连接的网络与Internet之间。
3.2目标客户
安全隔离与信息交换系统最重要的客户群的网络特点是其部业务网安全防护要求很高,但同时又要与其它网络互联进行适时数据交换。
这些客户群原来的服务或者不对外提供,或者通过手工数据交换的方式提供数据交换。
其结果是效率低,同时人总会有意无意犯错,也不够安全。
例如,在税务行业随着信息化建设的深入,原有企业报税工作都需要通过互联网对外提供服务,这就要求税务业务专网与互联网之间进行数据交换,因此在税务业务专网与互联网相连的接口上需要采用安全隔离与信息交换系统。
与此类似重点行业客户包括:
公安、社保、石油、工商、海关、国土、军队、金融、电力等等,这些行业在把传统部业务往互联网迁移时,都需要采用安全隔离与信息交换系统。
目前,电子政务12个重要业务系统正在加速建设,其中继续完善已取得初步成效的办公业务资源系统、金关、金税和金融监管(含金卡)4个工程,启动和加快建设的宏观经济管理、金财、金盾、金审、社会保障、金农、金质、金水等8个业务系统工程建设,都将为安全隔离交换系统提供广阔的市场前景。
另外电信、金融、证券、保险、电力、铁道、教育、石油、化工、军队、中小企业等的不同安全级别网络之间都对该产品存在着较大的市场需求。
3.3系统架构
3.3.1硬件架构
现在全隔离与信息交换系统业的硬件架构设计主要有:
双主机架构、三主机架构和“2+1”架构三种,下表为三种硬件架构的简要说明和对比分析。
架构名称
架构组成
安全分析
安全性
性能
双主机架构
硬件由网机、外网机和连接硬件组成,连接硬件如网线、SCSI线、USB线等
两主机完成协议终止和容检查,连接硬件采用通用可编程硬件
低
高
三主机架构
硬件由网机、仲裁机、外网机组成
网机和外网机完成协议终止,仲裁机独立完成数据检查
高
低
“2+1”架构
硬件由网机、外网机两个主机系统和一个隔离交换矩阵组成
两主机完成协议终止和容检查,隔离交换矩阵不受主机系统控制
高
高
基于安全隔离与信息交换系统要在硬件上实现接近于物理隔离的原则,就要求系统的三部分硬件必须互相独立,并且通过隔离交换硬件实现切换来确保外网两个主机系统任何时刻不直接相连。
联想网御SIS-3000系列安全隔离与信息交换系统硬件架构采用“2+1”模型结构设计,即网主机系统、外网主机系统加上隔离交换矩阵。
外主机系统采用专有工控主板设计,性能稳定、质量可靠,隔离交换矩阵采用专有硬件交换电路设计的双通道隔离交换模块,隔离交换模块拥有完全的自主知识产权。
隔离交换模块基于专有的LeadsecASIC安全隔离芯片和交换芯片,是外网主机系统唯一的连接部件,因此外主机系统之间不存在任何网络设备连接。
其中,LeadsecASIC安全隔离芯片通过多线程并行固化处理将数据块转化为自有协议格式的数据包,交换芯片的交换子系统和开关控制子系统实现对数据的临时缓存和安全交换。
硬件架构如下图所示:
联想网御SIS-3000系列安全隔离与信息交换系统硬件架构原理图
通过交换芯片的开关控制子系统,隔离交换模块首先断开彼此之间的物理连接,分别通过ASIC芯片连接外网主机系统,外网主机系统通过ASIC芯片将数据块封装为自有协议格式写入交换芯片的交换子系统和/或通过ASIC芯片读出交换子系统缓存将自有协议格式数据拆封为数据块,完成一次摆渡;然后隔离交换模块通过开关控制子系统断开与外网主机系统的连接,彼此之间建立连接,自动进行协商,实现数据交换,完成二次摆渡。
通过这种双摆渡技术,外网络永远不会直接连接,由于采用专门设计的硬件隔离交换模块进行数据交换,没有任何管理接口,因此,外网主机系统之间无法进行基于网络协议的数据交换,从而从硬件层面保证了外网主机系统之间的安全隔离。
隔离交换模块具有独立的硬件交换控制逻辑,无OS及任何“软”控制,自主完成数据的交换,主机系统只负责把数据块传递到隔离交换模块,由隔离交换模块根据硬件控制逻辑自动完成自有协议的封装和数据交换,自动同步两侧控制逻辑,进行互斥的读写操作,同时还具有自动数据完成性校验,当发现数据错误时,自动重传,保证数据的完全正确,从而实现外网主机系统真正的物理隔离交换。
3.3.2软件架构
联想网御SIS-3000系列安全隔离与信息交换系统通过基本模块实现关键的数据交换功能,它是外网主机系统进行信息交换的唯一接口,其他任何功能模块都建立在基本模块之上,通过核心层驱动程序的设计和隔离交换模块高速全双工流水线设计,使得部数据交换达到最大的性能。
其他各功能模块建立在对通信过程七层还原的基础上,以模块化设计。
对常见的网络协议以独立的功能模块完成,用户可根据不同的应用需求选用,系统还提供应用层检测二次开发功能来适应特殊的用户需求。
此外,系统提供基于数字认证的多种远程管理功能,功能强大的集中管理、日志审计等多种管理手段,有效的帮助用户使用和管理安全隔离与信息交换系统。
每个主机系统的软件系统架构如下图所示。
联想网御SIS-3000系列安全隔离与信息交换系统主机系统软件架构图
3.4产品优势
3.4.1高安全性
基于测试统计,普通防火墙设备对于基于网络层的攻击绝大部分可以拦截,对基于应用层的攻击基本无法拦截;联想网御SIS-3000系列安全隔离与信息交换系统对于各种基于网络层和应用层的模拟攻击实现了100%的拦截。
⏹安全的硬件隔离体系
联想网御SIS-3000系列安全隔离与信息交换系统通过专有隔离交换模块实现基于硬件的安全隔离,LeadsecASIC芯片将数据块转化为自有协议格式的数据包,交换芯片的开关控制系统使得两个网络之间没有任何的物理连接,没有任何的网络协议可以直接穿透,从而建立了一个安全可靠的安全隔离硬件体系。
⏹安全的操作系统
凭借联想网御在安全设备上的长期积累建立的专有抗DDoS核的VSP(VersatileSecurePlatform)通用安全平台,针对安全隔离与信息交换系统量身定制,具有极高的安全性。
对于Synflood、CC攻击、HTTPGetFlood、DnsQueryFlood等各种DDoS攻击均可彻底阻挡。
同时,操作系统固化于外网主机系统的硬件中,不能被随意修改,而日志采用专门的日志服务器管理,把操作系统和日志存储系统分开,使得系统结构更加安全。
⏹应用协议容安全
联想网御SIS-3000系列安全隔离与信息交换系统根据不同的应用需求,量身定制多个功能模块,满足用户的不同应用需求,主要包括:
Ø文件交换模块:
实现不同安全等级网络间文件的安全交换,支持NFS,Smbfs等常用文件系统,支持更新传输、改名传输、传输后删除等多种方式,文件传输过程中,支持强制性的文件类型、文件容(黑、白)等检查。
Ø数据库传输模块:
在外网隔离环境下实现对Oracle、Sybase、SQLserver、DB2等多种数据库系统的安全访问和同步,支持TNS协议、支持授权用户安全。
Ø传输模块:
在外网隔离环境下实现网用户安全访问外网服务器,支持电子地址控制,支持主题过滤、容过滤、附件过滤。
Ø安全浏览模块:
在外网隔离环境下保证网用户安全浏览外网资源,支持本级认证、Radius、LDAP认证,支持URL过滤、ActiveX、Cookie、JavaApplet等恶意代码过滤。
ØFTP访问模块:
在外网隔离环境下实现安全的FTP访问,支持动态建立数据通道,支持用户控制、命令控制、文件类型控制等细粒度访问控制。
ØTCP/UDP访问模块:
在外网隔离环境下特定TCP、UDP协议的数据交换。
Ø其他模块:
用户定制的专用应用模块。
不同的功能模块根据各自的需求特点,在应用层实现了功能强大的过滤机制,通过对应用层容的过滤和检测,进一步保障数据的安全。
这些包括:
关键字检测、黑白过滤、文件类型检验、用户名/口令校验、数据数字签名、身份认证、控件过滤、脚本过滤、URL过滤、属性过滤等等。
系统还可以根据用户的安全需要进行二次开发,对用户数据进行深度安全检测。
⏹网络层安全
主机系统支持包过滤检测技术,支持通过源地址、目的地址、流经的物理端口、协议类型等多种元素设定过滤规则。
通过对安全策略的设定,使得安全隔离与信息交换系统直接在网络层就能拒绝部分非法连接的访问。
⏹强的抗攻击能力
联想网御不断深入分析应用协议,根据协议规和跟踪用户使用习惯形成“访问容白”嵌入到主机系统中,并且融合独创的智能算法形成“智能白技术”对数据报文的协议格式和数据容进行快速严格检查,通过专有算法智能比对正确协议格式和数据容的“白”,从而实现对各种畸形攻击数据报文的拦截。
主机系统置独立的联想网御自主研发的USE(UniformSecureEngine)统一安全引擎,与系统紧密集成,包括包解码、规则解析及检测引擎、日志记录及报警等子模块。
采用实时入侵检测机制和自动响应技术,可选择配置不同的攻击特征码并且支持攻击特征码分类,可以根据大类进行特征码选择。
攻击的特征库包括IP地址欺骗、ARP欺骗、PingOfDeath、Smurf、扫描攻击、SMTP攻击、HTTP攻击、FTP攻击等多类攻击,可以检测到网络中的绝大多数入侵行为,可以实时设置阻断规则,将入侵及时阻断。
并且提供攻击特征码的升级和特征码的自定义。
⏹防IP地址盗用
为了防止IP地址被非法盗用,安全隔离与信息交换系统采用IP与MAC地址绑定技术校验主机的合法性。
系统能够对指定接口所连接的网络中主机的IP和MAC地址进行绑定,防止IP盗用,对非法IP地址的访问系统会进行详细记录,以便管理员查看,而且系统能够通过自动探测来发现IP和MAC的对应关系,使整个配置过程简单快捷。
3.4.2高性能
联想网御SIS-3000系列安全隔离与信息交换系统的系统吞吐量为线性处理速度的80%以上。
如此高的处理能力依赖于以下技术的成功应用。
⏹ASIC并行处理技术
隔离交换模块上的LeadsecASIC安全隔离芯片采用了多线程并行处理技术,提供了多个安全通道,解决了多网接入时数据摆渡带宽瓶颈问题。
⏹ASIC协议处理技术
隔离交换模块上的LeadsecASIC安全隔离芯片通过硬件固化处理将数据块转化为自有协议格式的数据包,实现了协议转换时的线性处理。
⏹双摆渡传输技术
隔离交换模块上的交换芯片通过独特的开关控制系统实现双摆渡传输机制,从而实现同一时刻外网交换卡之间或交换卡与主机系统之间的双向数据高效交换。
⏹链路聚合技术
通过主机系统的链路聚合技术可实现将两个物理链路聚合成为一个逻辑链路,从而解决了多个外网访问单一网时主机与网数据传输过程中的带宽瓶颈问题。
3.4.3高适用性
⏹灵活的多网隔离
联想网御SIS-3000系列安全隔离与信息交换系统在支持两网隔离的同时,为了满足多个相同安全级别的外联网络要与可信网络隔离的需求,进一步支持多网接入隔离,即可以同时接入多个外联网络,比如交警网络和多家银行网络同时互联,并且每个主机系统的网络接口之间在系统部固化实现无法互访,具有更大的网络适用性。
基于VSP通用安全平台,可将外网主机系统的任一网口与隔离交换矩阵中的ASIC芯片的一个或数个固化通道绑定,继而与网主机系统的一个或数个网口绑定,从而实现一对一或一对多的网络隔离交换;同样地,外网主机系统的多个网口也可通过隔离交换矩阵中的ASIC芯片与网主机系统的一个网口建立多对一的网络隔离交换;网主机系统和外网主机系统的各自网口间通过VSP禁止互访。
⏹灵活的安装部署
系统通过在外网主机系统上影射外网服务器的方式,可以在不改变用户网络环境的情况下,实现设备的接入,极方便了设备的安装部署。
3.4.4高可靠性
基于MRP(Multi-LayersRedundantProtocol)多重冗余协议实现多重化冗余方案,支持端口冗余、链路聚合、双机热备、负载均衡,保障了用户网络和应用的高可靠性。
⏹端口冗余
系统支持多层次的高可靠性,在单机模式下可以支持端口冗余和链路聚合,既可以提高带宽又可以保证某个线路有问题时,不影响系统的使用。
⏹双机热备
双机模式下支持虚拟IP和双机热备功能,两台安全隔离与信息交换系统网闸通过心跳检测进行互相监控,如果其中的一台出现故障(宕机、网络故障),那么另一台就顶替出现故障的网闸提供服务。
⏹动态负载均衡
系统支持多机负载均衡的功能。
2~32台安全隔离与信息交换系统组成一个服务机群,通过负载均衡技术,采用高效调度算法,将外部客户请求视服务机群中各安全隔离与信息交换系统上的负载状况合理分配到某台安全隔离与信息交换系统上,籍此大幅提高获取数据的速度,解决海量并发访问问题。
无需额外第三方软硬件支持。
3.4.5高管理性
⏹强大、多样的管理方式
有机结合多种管理方式,能够最大限度的满足客户不同的管理需求:
Ø管理员分级:
支持系统管理员、审计员、任务管理员等多种管理身份。
ØWEB方式管理:
支持基于数字证书的HTTPS的Web方式管理。
Ø命令行方式管理:
支持串口命令行管理,SSH命令行管理,所有的管理功能都可以通过命令行实现。
Ø集中管理:
可以通过联想网御的集中管理工具和Leadsec进行集中管理。
集中管理包括拓扑生成、全局集中日志审计、全局集中监控等。
⏹高效的集中式管理系统
联想网御的Leadsec安全管理系统,以统一的策略和集成的平台对受控网络进行安全配置和管理。
集中管理员通过集中管理中心可以对全局网络中的安全设备完成集中、统一的配置、管理和系统监视工作。
这种管理模式对于拥有多台联想网御安全设备的大型企业网络的安全管理尤为重要。
它一方面提高了网络安全规则的一致性,增进网络的安全性,另一方面也为管理员提供了方便的配置和诊断工具,使管理员可以腾出更多精力的关注更高级的安全管理工作。
Leadsec安全管理系统主要包括以下功能:
Ø设备自动发现功能。
通过对网络的探询或侦听可以生成和维护全局设备列表;通过该列表,管理员可以进行集中的安全配置和管理。
Ø支持对单台和多台安全设备运行状态的实时监控。
利用SNMP协议从安全设备端收集运行状态数据,经过一定的运算和处理以可视化图表和数字的形式呈现给管理员,使管理员及时准确的了解设备当前的运行状态。
Ø实时安全事件报警。
从网络上监听SNMPTrap形式的报警报文,经过快速处理后实时的以醒目的方式(如声音、视觉)呈现给管理员。
Ø集中的日志查询系统和管理员操作审计系统。
可以对安全设备的日志进行集中查询和对管理员的操作进行审计。
⏹完善的日志和审计
完善的日志和审计系统是一个具有完整安全体系的安全产品中不可或缺的部分。
联想网御SIS-3000系列安全隔离与信息交换系统提供了强大的日志和审计功能:
所有的系统事件都有相关的日志记录。
日志分为多个功能分组,如系统日志、管理日志、各功能模块日志、攻击日志等等,日志格式支持WebTrends格式。
基本的日志审计功能可以在系统上完成,另外复杂功能也可以通过独立的日志服务器来完成。
日志的审计功能包括对隔离和信息交换系统事件和网络事件的统计、查询、分析等。
⏹友好的管理界面
Web系统通过专业的人机界面设计,功能组织合理,符合直观思维。
支持全套的命令行,Web界面可以完成的功能通过命令行都可以完成,充分满足网络管理员的专业化需求。
支持配置信息的导入导出、加密备份,方便备份管理。
通过智能化的License控制实现模块管理,使用时只需激活相应License即可实现对应功能,大大减少了系统的部署时间。
3.5核心技术
联想网御在安全隔离与信息交换系统业开创了多网隔离技术,并首次成功采用ASIC安全芯片,从而构建了高安全性、高性能和高适应性的多网隔离硬件平台。
独创的硬件架构、多网隔离技术和超强的抗攻击能力,是联想网御SIS-3000系列安全隔离与信息交换系统的核心技术。
⏹独创的多网隔离
具体详见3.4.3节的“灵活的多网隔离”部分。
⏹独创的硬件架构
联想网御SIS-3000系列安全隔离与信息交换系统硬件架构采用“2+1”模型结构设计,即网主机系统、外网主机系统加上隔离交换矩阵。
具体详见3.3.1节部分。
隔离交换模块是整体硬件架构的技术核心,采用专有LeadsecASIC安全芯片和交换芯片设计,具有如下特点:
✧硬件实现自有协议封装:
隔离交换模块上的LeadsecASIC安全隔离芯片通过硬件固化处理将数据块转化为自有协议格式的数据包,实现了协议转换时的线性处理。
✧多线程并行处理技术:
隔离交换模块上的LeadsecASIC安全隔离芯片采用了多线程并行处理技术,解决了多网接入时数据摆渡带宽瓶颈问题。
✧独立控制逻辑:
隔离交换模块具有独立控制逻辑,无操作系统,不受任何软系统控制,数据交换不受任何外部信号和指令控制,完全基于硬件进行安全交换。
✧双摆渡传输技术:
隔离交换模块上的交换芯片通过独特的开关控制系统实现双摆渡传输机制,隔离交换模块自动进行协商,从而实现同一时刻外网交换卡之间或交换卡与主机系统之间的双向数据高效交换。
✧硬件自动协商:
隔离交换模块的开关控制系统按照分时轮询机制实现对连接的自动、高效的控制,外网两交换卡之间协商实现时钟同步,进一步实现开关同步,避免了信号死锁。
✧可靠传输控制:
自有协议支持CRC校验以保证隔离交换模块之间数据的可靠传输,系统自动进行CRC校验,当出现CRC校验错时,系统支持数据重传,真正实现服务器级可靠性。
⏹超强的抗攻击能力
具体详见3.4.1节的“超强的抗攻击能力”部分。
3.6产品特性与功能
分类
功能点
详细描述
产品
架构
系统架构
采用“2+1”系统架构,即由两个主机系统和一个隔离交换矩阵组成,主机系统采用VSP通用安全平台,隔离交换矩阵基于LeadASIC专用芯片实现主机系统间采用自有协议摆渡数据,确保信任网络和非信任网络之间任何连接的断开,彻底阻断TCP/IP协议及其他网络协议
隔离交换矩阵
自主研发的硬件,无操作系统,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 联想 安全 隔离 信息 交换 系统 产品 白皮书