设为首页 | 加入收藏夹

八文网 - 汇聚八方文档 - 做最优秀的免费文档下载网站

安全隔离与信息交换系统

文档类型：

Microsoft Word 文档文档大小：274KB

安全隔离与信息交换系统技术白皮书目录产品概述发展背景随着网络技术的成熟和应用的不断完善,Internet正在越来越多地融入到社会的各个方面.一方面,企业上网,电子商务,远程教育,远程医疗等一系列网络应用蓬勃发展,人们的日常生活与网络的关系日益密切;另一方面,网络用户成分越来越多样化,出于各种目的的网络入侵和越来越频繁.人们在享受互联网所带来的丰富、便捷的信息同时,也日益感受到频繁的网络,病毒泛滥,非授权访问,信息等问题所带来的困扰.
传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要、但不可能完全解决网络间信息的安全交换问题,因为各种安全技术都有其局限性.为保护重要内部系统的安全,2000年1月,国家保密局发布实施《计算机信息系统国际互联网保密管理规定》,明确要求:涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连,必须实行物理隔离. 中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调:政务内网和政务外网之间物理隔离,政务外网与互联网之间逻辑隔离.
在不同安全等级的网络及系统之间实施安全隔离是一个行之有效的安全保密措施,可切断信息泄漏的途径.最初的解决方案很简单,即通过人工的操作来实现.如下图所示:
在不同安全等级的网络中进行信息交换的时候,由指定人员将需要转移的数据拷贝到软盘等移动存储介质上,经过查病毒,内容检查等安全处理后,再复制到目标网络中.这种解决方案可实现网络的安全隔离,但数据的交换通过人来实现,工作效率低;安全性完全依赖于人的因素,可靠性无法保证.在数据量不大,交换不频繁的情况下,通过人工交换数据的确简单可行.然而、随着电子政务的开展,内外网交换数据的数量和频率呈几何量级上升,这种解决方案已经越来越无法满足用户的需要.如何保证信息在不同安全等级的网络间安全交换成为制约电子政务发展的瓶颈.
产品简介
京泰安全隔离与信息交换系统(简称:网闸)是京泰公司集多年安全实践经验研制的拥有自主知识产权的新一代网络安全隔离产品.该产品采用专用硬件和模块化的工作组件设计,集成安全隔离,实时信息交换,协议分析,内容检测,访问控制,安全决策等多种安全功能为一体,适合部署于不同安全等级的网络间,在实现多个网络安全隔离的同时,实现高速的,安全的数据交换,提供可靠的信息交换服务.
京泰安全隔离与信息交换系统可广泛应用于各级政府机关,军队,公安、科研院校及民航,电力、石油、金融、证券、交通等网络环境、实现信息的安全交换.尤其适合于电子政务,网上工商,网上报税,网上报关,电子审批、政府信息系统管理等需要严格内外网隔离的应用环境.
产品介绍产品结构京泰安全隔离与信息交换系统为2U的专用网络设备,其内部采用21模块结构设计,即包括外网主机模块,内网主机模块和隔离交换模块.内、外网主机模块具有独立运算单元和存储单元、分别连接可信及不可信网络,对访问请求进行预处理,以实现安全应用数据的剥离.隔离交换模块采用专用的双通道隔离交换卡实现,通过内嵌的安全芯片完成内外网主机模块间安全的数据交换.内外网主机模块间不存在任何网络连接,因此不存在基于网络协议的数据转发.隔离交换模块是内外网主机模块间数据交换的唯一通道,本身没有操作系统和应用编程接口,所有的控制逻辑和传输逻辑固化在安全芯片中、自主实现内外网数据的交换和验证.在极端情况下,即使黑客攻破了外网主机模块,但由于无从了解隔离交换模块的工作机制,因此无法进行渗透,内网系统的安全仍然可以保障.
工作原理京泰安全隔离与信息交换系统的工作基于人工信息交换的操作模式,即由内外网主机模块分别负责接收来自所连接网络的访问请求,两模块间没有直接的物理连接,形成一个物理隔断、从而保证可信网和非可信网之间没有数据包的交换,没有网络连接的建立.在此前提下,通过专有硬件实现网络间信息的实时交换.这种交换并不是数据包的转发,而是应用层数据的静态读写操作,因此可信网的用户可以通过安全隔离与信息交换系统放心的访问非可信网的资源,而不必担心可信网的安全受到影响.
信息通过网闸传递需经过多个安全模块的检查,以验证被交换信息的合法性.当访问请求到达内外网主机模块时,首先由网闸实现TCP连接的终结,确保TCPIP协议不会直接或通过代理方式穿透网闸;然后,内外网主机模块会依据安全策略对访问请求进行预处理,判断是否符合访问控制策略,并依据RFC或定制策略对数据包进行应用层协议检查和内容过滤,检验其有效载荷的合法性和安全性.一旦数据包通过了安全检查,内外网主机模块会对数据包进行格式化,将每个合法数据包的传输信息和传输数据分别转换成专有格式数据,存放在缓冲区等待被隔离交换模块处理.这种静态的数据形态不可执行、不依赖于任何通用协议,只能被网闸的内部处理机制识别及处理,因此可避免遭受利用各种已知或未知网络层漏洞的威胁.如下图所示:
京泰安全隔离与信息交换系统通过专有的隔离交换卡实现内外网主机模块的缓冲区内存映射功能,将指定区域的数据复制到对端相应的区域,完成数据的交换.隔离交换卡内嵌安全芯片,采用高速全双工流水线设计,内部吞吐速率达2Gbps,完全可以满足高速数据交换的需要.
隔离交换模块固化控制逻辑,与内外网模块间只存在内存缓冲区的读写操作,没有任何网络协议和数据包的转发.隔离交换子系统采用互斥机制,在读写一端主机模块的数据前先中止对另一端的操作,确保隔离交换系统不会同时对内外网主机模块的数据进行处理,以保证在任意时刻可信网与非可信网间不存在链路层通路,实现网络的安全隔离.
当内外网主机模块通过隔离交换模块接收到来自另一端的格式化数据,可根据本端的安全策略进行进一步的应用层安全检查.经检验合格,则进行逆向转换,将格式化数据转换成符合RFC标准的TCPIP数据包、将数据包发送到目的计算机、完成数据的安全交换.
功能特点丰富的应用模块京泰安全隔离与信息交换系统采用模块化的系统结构设计,根据不同的应用环境、量身定制多个功能模块,以满足用户的不同需求,主要包括:
文件交换模块:实现不同安全等级网络间文件的安全交换.
数据库同步模块:通过灵活的同步机制,保证安全等级不同的网络中的数据库系统实现数据同步更新.
邮件交换模块:保证在内外网隔离的环境下实现安全的邮件收发.
安全浏览模块:保证在内外网隔离的环境下,内网用户安全浏览外网资源.
通用模块:保证内外网隔离的同时实现FTP,DNS,TNS等协议及其他通用TCPIP协议的定制交换.
其它定制用户专有应用模块.传输方向控制京泰安全隔离与信息交换系统采用双通道通信机制,从可信网到非可信网的数据流与从非可信网到可信网的数据流采用不同的数据通道,对通道的分离控制保证各通道的传输方向可控.在特殊应用环境中可实现数据的单向传送、以避免信息的泄漏.
访问控制系统支持强大的访问控制策略,支持通过源地址、目的地址、端口,协议等多种元素对允许通过网闸传输的数据进行过滤,判断是否符合组织安全策略.
协议分析系统支持等多种应用层协议,可对常见协议的命令和参数进行分析和过滤.
应用数据以原始的形态在内外主机模块中传递,数据包经过预处理,安全决策,RFC校验、协议分析,数据提取,格式化等多个处理模块的检查,充分保证了交换信息内容的安全.
强大的抗能力京泰安全隔离与信息交换系统具备强大的抗能力、内外网主机模块采用专用的安全操作系统,内核经过特殊定制,实现强制性访问控制,保护自身进程及文件不被非法篡改和破坏.同时系统实现了针对多种DoS和DDoS的防范、可阻挡Synflood, Udpflood, Pingflood, TearDrop, Ping of Death, Smurf, Land等多种类型的DoS和DDoS,保护可信网络的安全.
多样化的身份认证京泰安全隔离与信息交换系统支持多样灵活的身份认证方式,包括:本地用户名及口令认证、基于数字证书的认证、RADIUS远程访问认证及LDAP认证等.
本地认证系统内置认证数据库提供本地的用户名、口令认证、支持HTTPHTTPS方式实现认证信息的获取.
数字证书认证网闸支持数字证书认证、允许客户端通过HTTP连接向服务器发送访问请求.网闸可导入根证书,通过检查用户证书格式,证书的过期时间,签发者等信息以确认访问者身份的合法性,还可依据用户身份属性判断其是否具有适当的访问权限.
RADIUS远程访问认证及LDAP认证网闸向第三方认证服务器发送用户名和口令,一旦认证服务器认证成功,则网闸允许用户访问.
地址绑定提供IP与MAC地址绑定功能,可对指定接口所连接的网络中的主机的IP 和MAC 地址进行绑定,防止内部用户盗用IP和内网地址资源分配的混乱,方便网络IP资源管理.
内容检查京泰安全隔离与信息交换系统提供多种内容安全过滤与内容访问控制功能,既能有效的防止外部恶意代码进入内网,也能控制内网用户对外部资源不良内容的访问及敏感信息的泄漏.京泰安全隔离与信息交换系统的内容检查机制主要针对HTTP,FTP,邮件及文件交换等应用,包括URL过滤,关键字过滤,Cookie过滤,文件类型检查及病毒查杀等操作.
URL域名过滤网闸可对用户访问的Web站点的域名及URL等进行基于正则表达式的过滤,禁止用户访问暴力、、反动的主页或站点中的特定目录或文件.
黑白名单关键字过滤网闸可对邮件标题和内容以及传输的文件等进行黑白名单关键字过滤,进行单词及短句的智能匹配、禁止包含特定关键字的敏感信息泄漏,或只允许包含相应关键字的文件通过网闸传递.
COOKIE过滤网闸可对COOKIE进行过滤.通过对COOKIE进行过滤,可以防止敏感信息的泄漏.同时还可以防止用户进行浏览、上网聊天等违反安全策略的操作.
文件类型检查网闸可对传输的文件进行类型检查,只允许符合安全策略的文件通过网闸传递.避免传输二进制文件可能带来的病毒和敏感信息泄露等问题.
病毒及恶意代码检查系统可内嵌杀病毒引擎,对允许传输的文件进行病毒的检查,确保进入可信网络的文件不包含病毒及等恶意代码.
高可用设计京泰安全隔离与信息交换系统支持高可用方案,全面解决设备故障与链路故障造成的业务中断、保证系统7X24小时不间断服务.
负载均衡解决方案京泰安全隔离与信息交换系统支持负载均衡解决方案.网闸群集可实现动态管理和维护,根据实际响应时间制定优先响应策略,从而提高系统总体性能,优化流量管理,提高群集性能,保证系统正常运行的高可用性和高可靠性.如果访问量超出了网闸的响应能力、只需增加服务器数目即可实现系统的平滑升级,无需第三方软件支持.
产品管理轻松的管理京泰安全隔离与信息交换系统配备专门的管理端口,通过数字证书认证与管理信息的加密传输实现网闸设备的集中管理.系统采用全中文的Web方式进行远程网络管理,界面友好,操作方便.
系统管理员和审计员实现分权管理,使得对网闸的管理更加安全可控,避免人为因素带来的安全风险.
安全审计京泰安全隔离与信息交换系统提供管理员多种手段了解网络运行状况及可疑事件的发生.用户可根据特定的需要进行日志审计(包括系统日志,访问控制策略日志,应用层协议分析日志,应用层内容检查日志等).系统支持本地日志缓存,可实现本地日志的浏览查询等操作.日志依据事件的重要程度分为错误警告通知三级,支持SYSLOG日志存储,可实现日志的分级发送.
产品优势在网络中部署京泰安全隔离与信息交换系统既能够符合政府,军队,企事业单位等的强制性安全策略-既在不同安全等级的网络间实现安全隔离,又能够保证可靠,安全的信息交换,提供文件交换,收发电子邮件,数据库同步,安全浏览等多种服务,在网络应用的安全性及可用性间取得完美的平衡.
强制执行安全策略京泰安全隔离与信息交换系统可依据强制性访问控制策略,在不同安全等级网络间实现网络隔离;同时,为指定的应用提供安全的数据交换能力、避免了开放TCPIP通用服务造成的安全隐患.
核心应用的安全最大化从安全实现的角度来讲,越接近应用层,则安全问题越复杂,解决问题也越困难.安全隔离与信息交换系统将应用层的数据转换成专有的数据格式进行处理,只允许安全的,可靠的信息在网络中传递.信息的格式,内容、交流对象等因素可依据组织安全策略指定,简化了核心应用面临的安全问题,确保了核心应用的安全最大化.
避免已知及未知漏洞的利用传统的安全检测产品只能发现利用已知安全漏洞发起的.如果一种手法还没有公布、则凭借现有的技术无法了解其特征、也就无法识别行为.京泰安全隔离与信息交换系统对数据的交换不依赖于任何通用协议,没有数据包的处理及连接会话的建立,而是以静态的专有格式化数据块的形式在内外网间传递,因此不会受到任何已知或未知网络层漏洞的威胁.
降低总体安全维护成本京泰安全隔离与信息交换系统面向核心应用,按照应用类型强制执行安全信息交换,只允许合法的数据通过网闸交换到指定网络,所有无关或违背安全策略的数据都被抛弃.因此管理员只需针对被保护的核心应用建立相应的数据交换策略,无需复杂的策略配置,大大降低了核心应用安全管理的复杂程度.同时,系统剥离了易受的TCPIP协议,因此不必像入侵检测系统一样频繁更新检测特征库,大大降低了总体安全维护成本.
强化现有安全解决方案京泰安全隔离与信息交换系统可以与现有安全产品完美结合,保护重要的网络应用安全.防火墙作为网关类安全产品其主要作用是在保证可用性的前提下实现对网络资源的访问控制,而安全隔离与信息交换系统的作用是在保证核心系统的安全的前提下提供适度的数据交换能力.其着力点不同、在网络中的部署可相互补充、以提高整体安全解决方案的安全保障级别.
强大的定制扩展能力京泰安全隔离与信息交换系统不但提供标准的信息交流服务,如文件交换,安全浏览,邮件交换,数据库同步等、还提供二次开发接口,以满足众多专业应用系统的安全数据交换需要.还可依据用户应用系统特征、定制相应的协议检查模块,对行业专有应用协议及相应数据格式进行定制分析,确保只有符合组织安全策略的数据可通过网闸进行传递,真正实现按需通过的安全目标,提升整体安全水平.
应用案例京泰安全隔离与信息交换系统适合部署在需要在不同安全等级的网络间实现信息共享的环境、可应用在不同的涉密网络之间;同一涉密网络的不同安全域之间;与互联网物理隔离的网络和秘密级涉密网络之间;未与涉密网络连接的网络和互联网络之间,通过网闸的安全控制,在保证信息安全的前提下更好地促进各个业务系统的互联互通,资源共享.
数据库安全同步解决方案某政府部门开展电子政务,允许公众通过互联网提交服务申请并查询结果.如果允许访问者通过Web服务器直接向核心数据库服务器发起数据访问请求,则黑客可能穿透防火墙的保护直接侵入后台数据库系统,严重威胁到业务的正常开展.
如上图所示、采用京泰安全隔离与信息交换系统,在核心数据库服务器和外部不可信网络间实现安全隔离,则来自互联网的用户只能通过Web服务器访问到前置数据库服务器.根据安全策略定时将前置数据库和核心数据库的内容进行同步,既可满足对外服务的要求又提供了安全保障.这种方式强化了应用层的安全控制,可有效防止TCPIP数据包穿越网络到达核心数据库服务器,大大增强了系统的安全性,为电子政务的有效开展提供了可靠的保证.
京泰安全隔离与信息交换系统提供多种数据库同步方式,可定制同步周期及方向,支持等多种主流数据库.系统支持基于触发器和快照两种方式的增量数据复制,可实现异类数据库间的数据同步.系统提供CC编程接口,可以方便的与其它系统的集成.
安全邮件收发解决方案某机构强制要求内网禁止与互联网相连,但根据业务需要必须通过电子邮件与外界进行信息交流.如采用人工方式,即由专人负责在公众信息网接收电子邮件,再通过移动存储介质复制到内部网进行处理,则信息不能得到及时处理,严重影响工作效率;若采用内外网邮件服务器转发的方式,安全又得不到保证.
为解决这一问题,在内外网间部署京泰安全隔离与信息交换系统.安全隔离与信息交换系统可以保证可信内网与Internet安全隔离,内外网邮件服务器间不存在链路层连接,没有数据包的交换,因此无法通过邮件系统对内部办公网发起.系统可以为每个用户制定各自的邮件交换策略,对邮件内容、附件类型及垃圾邮件,带病毒邮件等进行过滤,从而使内网用户可以在内网安全地收发邮件,保证安全的邮件处理.
安全文件交换解决方案某由于业务需要、需要定时与外单位进行业务数据交换,将采集到的数据存储在相应业务系统.如仅通过防火墙保护公安网络安全,则安全性只能得到有限的保证.首先,防火墙的安全程度依赖于操作系统的安全,一旦防火墙被攻破,则被保护网络暴露在者的视线之内;其次,防火墙采用TCPIP协议,通用的网络协议存在大量的漏洞;第三、作为网关型的访问控制设备,缺乏对应用层的检测能力、只要网络提供相应的服务,就需要在防火墙上开放相应的端口,服务类型越多,潜在的威胁就越大.因此,防火墙并不是在高安全等级的网络间实现隔离的最佳选择.
可在处于信息中心的数据收集服务器及位于公安网的应用前置机间部署京泰安全隔离与信息交换系统,由安全管理员制定相应的信息交换策略,在网络安全隔离的前提下定时进行文件交换.系统还支持交换方向,文件类型的指定,可对被交换文件进行内容检查,查病毒等处理,只允许或不允许包含相应内容的文件通过网闸传递.
传输的文件可附带数字签名.京泰安全隔离与信息交换系统可对数字签名进行校验、以起到身份认证、防否认的作用.
安全网络访问解决方案内网用户访问外网资源时,错误的客户端配置,未打补丁的系统,甚至不良的上网习惯都会对内部网络的安全造成威胁.如何保护用户网络访问的安全呢我们通常在网络中部署防火墙,入侵检测,防病毒等安全产品.但是,每一种安全产品都有其局限性,产品自身的安全性也因厂商对安全的理解的不同而不同、一个完整的安全解决方案应该是多种安全产品的有机结合.但是,这种结合的代价往往是昂贵的,不同产品的互不兼容、产品的复杂性的增加,各种功能的相互影响都会导致总体维护成本的增加,安全保障等级的降低,甚至整个方案的失败.
因此,为保证内网用户访问外网的安全,建议在内外网连接的网关处部署京泰安全隔离与信息交换系统,通过该系统先进的安全隔离和内容检查技术使用户的网络访问得到安全保证.
京泰安全隔离与信息交换系统还提供强大的审计功能,使管理员可随时了解网络的使用情况和异常现象并及时进行处理,以提高网络的使用效率,避免网络资源的误用及滥用.
产品资质国家保密局科学技术成果鉴定证书国家保密局涉密信息系统安全保密测评中心中国人民解放军信息安全测评认证中心军用信息安全产品认证证书(军B级)公共信息网络安全监察局销售许可证中国信息安全产品测评认证中心产品型号证书公司介绍北京京泰网络科技有限公司(Beijing BHL Networks Technology Co, Ltd)是由京泰实业集团,中科院计算所、北京经济信息中心共同投资组建的高新技术企业,专业从事计算机网络与信息安全产品研发和销售,信息安全咨询服务,专业信息安全服务,信息安全系统集成,应用安全开发定制,信息安全管理,培训等业务,是国内领先的计算机网络与信息安全产品、信息安全整体解决方案和信息安全服务提供商.
公司以中科院计算所的科研力量为技术源头,以国家863项目产业化转化为基础、并结合国家的信息安全和信息保密政策,开发了一系列具有自主知识产权、适合我国国情的信息安全产品.公司充分研究,跟踪,吸取国内外先进技术,从信息安全产品、信息安全服务以及信息安全管理等各方面,向客户提供全方位、规范化的信息安全服务.
公司产品和服务涵盖了物理隔离卡,安全隔离与信息交换系统,信息采集与转播系统,认证与加密,信息防护和检测,网络安全技术规范标准以及信息安全的响应、服务,培训等诸方面,全面为政府,军队,金融、证券、电信等部门和行业提供专业的,完善的一站式集成化整体信息安全解决方案和服务体系.
京泰安全隔离与信息交换系统技术白皮书

doc文档的标签：安全系统信息隔离交换

更多推荐标签：仓库材料台帐论生活价值国际知识产权包装制度摄影展策划书宣传文案暑期规划租用申请农产品策略电子彷真实验流程图实例山口组项目计划书煤矿安全参数工程竣工文档酒店预订系统银行实习报告短期劳务协议业务创新了解社会梁板设计审计总结学院评估简报水电包工合同锦州广告发展人因工程课件如何刻苦专研翻译口译协议初中信息科技权属调查