安全隔离与信息交换系统安全隔离网闸研究报告.doc
《安全隔离与信息交换系统安全隔离网闸研究报告.doc》由会员分享,可在线阅读,更多相关《安全隔离与信息交换系统安全隔离网闸研究报告.doc(33页珍藏版)》请在咨信网上搜索。
1、安全隔离与信息交换系统安全隔离网闸研究报告322020年4月19日文档仅供参考,不当之处,请联系改正。安全隔离与信息交换系统(安全隔离网闸)研究报告 8月目 录1 前言32 基本概念和技术介绍42.1 基本概念和应用场合42.1.1 概述42.1.2 用途52.2 技术原理和基本功能52.2.1 系统架构及工作原理52.2.2 基本功能和安全性62.3 同其它安全产品的比较与综合使用72.3.1 安全隔离网闸与防火墙72.3.2 安全隔离网闸和物理隔离卡82.3.3 综合使用多种安全产品83 知名公司和产品介绍93.1 概述93.2 天行网安93.2.1 公司简介和产品资质93.2.2 产品介
2、绍Topwalk-GAP V3.093.2.3 解决方案和成功案例123.3 联想网御133.3.1 公司简介133.3.2 产品介绍网御SIS-3000143.3.3 典型用户163.4 安盟华御173.4.1 公司简介173.4.2 产品介绍SU-GAP3000183.4.3 解决方案介绍194 报告总结201 前言Michael Bobbin(计算机安全杂志主编)说,“保证一个系统真正安全的途径只有一个:断开网络,这可能正在成为一个真正的解决方案。”在政府、国防、能源等很多重要领域,对数据机密性、网络平稳性、业务连续性要求极高,坚如磐石的安全保障特别关键。市场需求催生了安全技术的创新,在
3、上世纪90年代中期俄罗斯人Ry Jones首先提出“AirGap”隔离概念,然后,以色列研制成功物理隔离卡,实现网络之间的安全隔离;其后,美国Whale Communications公司和以色列SpearHead公司先后推出了e-Gap和NetGap产品,利用专有硬件实现两个网络在不连通的情况下数据的安全交换和资源共享,从而使安全隔离技术从单纯实现“网络隔离禁止交换”发展到“安全隔离和可靠交换”。当前,美国军方、重要政府部门均采用隔离技术保障信息安全,中国的安全隔离技术的发展同样经历了类似的过程。 1月1日,国家保密局发布实施计算机信息系统国际联网保密管理规定明确要求“涉及国家秘密的计算机信息
4、系统,不得直接或间接地与国际互联网或其它公共信息网络相连,必须实行物理隔离”。该规定在互联网发展初期具有前瞻性地提出政府上网必须“物理隔离”,及时的把政府上网安全提到一个重要的高度,具有重大意义。并由此而发展出了安全隔离计算机、安全隔离卡等系列安全隔离安全产品。2 基本概念和技术介绍随着中国信息化建设的加快,信息安全已经成为各个行业关注的焦点,特别是电子政务、军队、能源等行业,在这些行业应用中,防火墙、防病毒、入侵检测、VPN、审计系统等安全产品都得到了较好的应用。可是从网络防御角度来看, 防御的深度愈深,网络就愈安全。对此,国内外提出了一种较新的技术,称为隔离技术,产品称为安全隔离与信息交换
5、系统。这种产品的应用,能够从一定程度上更有效的保护内部网络。从安全隔离与信息交换系统的组成来看,它主要由三部分组成,即外部处理系统、内部处理系统以及隔离硬件。其基本原理是截断网络之间直接的通用协议连接,将数据包进行分解、重组为静态数据,并对静态数据进行安全审查。确认后的安全数据流入内部系统,内部用户经过严格的身份认证机制获取所需数据。重要的是,安全隔离与信息交换系统不单纯检查网络传输协议(TCP/IP),还把(TCP/IP)协议头剥离掉,还原成第七层之上的数据。以收电子邮件为例,外部的邮件服务器发起对隔离设备的非TCP/IP协议的数据连接,隔离设备将所有的协议剥离,将原始的数据写入存储介质。一
6、旦数据完全写入隔离设备的存储介质,隔离设备立即中断与外网的连接。转而发起对内网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向内网。内网收到数据后,立即进行TCP/IP的封装和应用协议的封装,并交给应用系统。这时内网电子邮件系统就收到了外网的电子邮件系统经过隔离设备转发的电子邮件。整个过程中,隔离设备都经历了数据的接受,存储和转发三个过程。因此,它可作为防火墙、入侵检测的合理补充,保护核心网络的数据安全,形成纵深的防御体系中的重要一环。 从安全隔离与信息交换系统的应用上看,它能够应用到涉密网之间、安全域与非安全域之间、局域网与互联网之间(内网与外网之间)、办公网与业务网之间、电子
7、政务的内网与专网之间、业务网与互联网之间等。2.1 基本概念和应用场合2.1.1 概述安全隔离与信息交换系统又叫安全隔离网闸,简称网闸,英文名称是“GAP”。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。安全隔离与信息交换系统由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡。从而在保证内外网隔离的情况下,实现可靠、高效的安全数据交换,而所有这些复杂的操作均由隔离系统自动完成,用户只需依据自身业务特点定制合适的安全策略既可实现内外网络进行安全数据通信,在
8、保障用户信息系统安全性的同时,最大限度保证客户应用的方便性。2.1.2 用途安全隔离与信息交换系统主要用于各地电子政务建设,下列场合都可使用隔离系统保障业务系统安全: 政务外网与政务内网间存在业务往来的接口; 行业内纵向上下级信息系统的接口; 行业间需要进行业务信息共享、数据交换的接口;安全隔离与信息交换系统可在保障信息安全的前提下,在两个不同安全级别的网络区域间进行适量的、可靠的数据交换。国家保密局对安全隔离与信息交换类产品的应用也做了规定,规定安全隔离与信息交换系统可在以下四种网络环境下应用: 不同的涉密网络之间; 同一涉密网络的不同安全域之间; 与Internet 物理隔离的网络与秘密级
9、涉密网络之间; 未与涉密网络连接的网络与Internet 之间”。2.2 技术原理和基本功能2.2.1 系统架构及工作原理安全隔离网闸包括软件和硬件两部分,硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。安全隔离网闸一般具备的安全功能模块有:安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证。安全隔离网闸的基本原理是:切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户经过严格的身份认证机制获取所需数据。安全隔离网闸对网络的隔离是经过网闸隔离硬件实现两个网络在链路
10、层断开,可是为了交换数据,经过设计的隔离硬件在两个网络对应的上进行切换,经过对硬件上的存储芯片的读写,完成数据的交换。安装了相应的应用模块之后,安全隔离网闸能够在保证安全的前提下,使用户能够浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并能够在网络之间交换定制的文件。2.2.2 基本功能和安全性安全隔离网闸一般具备的安全功能模块有:安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证。 能防止未知和已知的木马攻击一般见到的木马大部分是基于TCP的,木马的客户端和服务器端需要建立连接,而安全隔离网闸从原理实现上就切断所有的TCP连接,包括UDP、ICMP等其它各种协议
11、,使各种木马无法经过安全隔离网闸进行通讯,从而能够防止未知和已知的木马攻击。 具有病毒防护功能作为提供数据交换的隔离设备,安全隔离网闸上内嵌病毒查杀的功能模块,能够对交换的数据进行病毒检查。 自身的安全性由于从网络架构上来讲,安全隔离网闸是处在网关的位置,因此其安全性不言而喻,两个处理单元都采用了经过安全加固的操作系统,包括强制访问控制、基于内核的入侵检测等安全功能,而且该系统得到国家权威部门的认证。 身份认证机制安全隔离网闸在用于邮件转发和网页浏览的时候,对用户进行用户名/口令、证书认证等多种形式的身份认证。 证书验证机制安全隔离网闸能防止内部无意信息泄漏:由于安全隔离网闸在数据交换时采用了
12、证书机制,对所有的信息进行证书验证,因此对于那些病毒乱发邮件所造成的无意信息泄漏起到很好的防范作用。2.3 同其它安全产品的比较与综合使用2.3.1 安全隔离网闸与防火墙安全隔离和信息交换系统与防火墙系统是两个不同的概念,国家已经把两者划入两个不同的产品类别,两者的不同主要体现在硬件结构不同,实现的技术路线不同,所能达到的安全强度也不同:u 硬件体系不同:安全隔离产品采用双主机加隔离硬件的“2+1”结构,使得两个网络之间没有任何的网络物理连接,没有任何的网络协议能够直接穿透,而防火墙属于单机结构,是基于标准的网络协议直接转发的。u 技术路线不同:防火墙内部的协议栈是标准的IP协议栈,在多个接口
13、间经过标准的协议完成路由、转发、状态包过滤等工作,对攻击的检测是基于已知的攻击行为的。安全隔离和信息交换系统则是基于应用协议还原,内部的通信是非标准的安全专用协议进行“摆渡”,天然的具备抵御标准协议自身隐含漏洞的能力,能够抵御基于协议本身的已知和未知的攻击。u 安全强度不同: 安全隔离产品的转发是建立在七层数据还原后的基础上,根据过滤结果,经过隔离卡摆渡后重新建立连接发送完成的,是物理隔离。而防火墙一般是基于数据包的检查,是逻辑隔离。 防火墙由于是单机结构,一旦系统由于配置错误等原因被攻破后,整个内网就会暴露在攻击者面前。而安全隔离和信息交换系统是多主机结构,即使最坏的情况出现,外网主机被攻破
14、,由于内外网之间经过隔离卡隔离,通信协议非标准,编程接口具有专用性,攻击者也不可能攻击到内网。2.3.2 安全隔离网闸和物理隔离卡安全隔离网闸与物理隔离卡最主要的区别是:安全隔离网闸能够实现网络间的安全适度的信息交换,而物理隔离卡不提供这样的功能。安全隔离和信息交换系统是网络边界访问控制设备,隔离的是可信网络和内部网络。物理隔离卡是在单机系统上,经过单机系统开关切换,使受保护的主机不能同时访问两个网络的。2.3.3 综合使用多种安全产品安全隔离和信息交换系统虽然综合了多种软硬件技术来保证本身和内部网络关键应用服务器的安全,但安全本身是多层次全方位的体系结构,寄希望于一个单一产品实现所有的防护功
15、能,解决所有的安全问题是不现实的。比如传统的桌面防护产品,防病毒产品等所实现的功能,安全隔离和信息交换系统就基本不涉及。每个产品都有其专业化的优势,没有“全能”的产品。防火墙是网络层边界检查工具,能够设置规则对内部网络进行安全防护,而IDS一般是对已知攻击行为进行检测,这两种产品的结合能够很好的保护用户的网络,可是从安全原理上来讲,无法对内部网络做更深入的安全防护。安全隔离网闸重点是保护内部网络,如果用户对内部网络的安全非常在意,那么防火墙和IDS再加上安全隔离网闸将会形成一个很好的防御体系。3 知名公司和产品介绍3.1 概述当前,国内有关网闸的知名公司和著名产品主要有:联想网御,天行网安,安
16、盟华御,中网,伟思和利谱等。3.2 天行网安3.2.1 公司简介和产品资质北京天行网安信息技术有限公司是一家专业从事网络管理与信息安全的研究开发、技术支持、产品销售的专业网络安全公司。l 国内第一款基于GAP技术的新一代安全隔离与信息交换产品l 国内第一款能够实现隔离网络间异构数据库交换的产品l 国内第一款经过国家保密局鉴定的安全隔离与信息交换产品l 国内第一款拥有专利技术的安全隔离与信息交换产品l 国内唯一入选国家火炬计划的安全隔离与信息交换产品l 国内唯一能够实现基于消息传递机制的安全隔离与信息交换产品l 国内唯一获得公安部科技成果鉴定的安全隔离产品l 国内唯一获得公安部科学技术奖的安全隔
17、离产品3.2.2 产品介绍Topwalk-GAP V3.03.2.2.1 产品技术指标及参数Topwalk-GAP V3.0 TG-7207产品指标及技术参数注:*,根据用户选择的软件模块型号不同而有所差异序号名称描述1.资质认证公安部销售许可证书国家保密局认证证书公安部科技成果鉴定证书解放军测评认证中心军用信息安全产品B级认证证书2.知识产权国家知识产权局专利证书3.硬件架构1U机型,采用2+1架构和专用硬件隔离技术,属完全自主开发且不可从外部编程控制;保证信任网络和非信任网络之间链路层的断开,彻底阻断TCP/IP协议以及其它网络协议;系统硬件架构采用高可靠性设计;硬件设备内部采用特殊的认证
18、机制HLC,保证基于硬件的可信任计算体系;4.隔离硬件基于自主知识产权的Transfer- Isolation-Transfer专用隔离硬件采用多种安全技术保证隔离有效性以及安全性;隔离硬件板卡的中间Isolation部分用于电路隔离,具备独立时钟电路的主机板,在主机板上设置相应内容规则控制程序,对摆渡的内容进行检查过滤;隔离硬件上采用物理开关进行通道控制,可根据使用用户的具体业务需要进行数据传输通道方向开关控制;隔离硬件内部程序固化防篡改:设计以安全性为第一原则,一旦出现任何异常,就切断传输,保证不出现在数据内容检查、完整性校验功能失效的情况下继续传输数据的情况;5.操作系统采用获得软件著作
19、权的安全操作系统TopOS;操作系统基于Linux操作系统内核剪裁、增强、优化;使用内核级IDS,确保系统关键进程安全,阻止非授权访问;操作系统内核以及关键进程部分进行硬件固化;摒弃通用的系统函数调用,私有系统调用不对外开放,仅供内部使用;系统内部将关键隔离硬件设备进行隐藏,对外不可见;6.数据处理方式面向应用数据,采用白名单策略,进行高度可控的数据交换,不接受任何未知来源的主动请求;经过可进行扩展定义的内容检查机制为白名单策略提供保障机制7.身份认证采用身份认证技术对使用隔离网闸的用户进行身份鉴别,以确保只有合法用户和计算机能使用网闸系统传输数据:高强度双重口令认证、CA证书认证等;8.流量
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 隔离 信息 交换 系统安全 研究 报告
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。