政府机构内外网数据交换安全解决方案
(内外网物理隔离光盘交换系统)
Ttiws Duu 細rm Co AID.
福州新华时代信息技术有限公司
2017-3
研发背景
国家保密局2000年1月1日起颁布实施的《计算机信息系统国际互联网保密管理规定》对国家机要部门使用互联网规定如下:“涉及国家秘密的计算机信息系统,不得直接或间接的与国际互联网或其他公共信息网络链接,必须实行“物理隔离”,所谓“物理隔离”是指企业内部局域网如果在任何时间都不存在与互联网直接的物理连接,则企业的网络安全才能得到真正的保护。
但随着INTERNE啲迅速发展,各政府和企事业单位利用互联网开
展工作已成为不可逆转的趋势,各个机构都需要在内网和互联网之间进行大量的信息交换,以提升效率。从而在网络安全和效率之间产生了巨大的矛盾,而且矛盾日渐扩大化。
网络隔离的目的是为了保护内部网络的安全,而网络互连的目的是方便高效的进行数据交换。在此背景下,我们采用十五年技术积累的核心技术开发成功了完全自动化的双网隔离数据光盘交换系统,面向高安全数据传输场合,实现网络完全隔离情况下的数据自动交换,
福州新华时代信息技术有限公司
神盾网络安全摆渡机 功能简介 版本号:SDBD1101 西安市信息技术应用研究所 目录 1、功能特点................................................................................................................................ - 1 - 2、研发背景................................................................................................................................ - 2 - 3、摆渡机功能概述.................................................................................................................... - 3 - 4、产品基本情况........................................................................................................................ - 4 - 5、实施后效果............................................................................................................................ - 5 - 6、系统架构................................................................................................................................ - 6 - 1、功能特点 摆渡机利用神盾专用软件实现外来磁介质与可信内网介质之间得文件信息传输交换。实现点对点、盘对盘得单向信息拷贝,不在摆渡机内保留摆渡信息,有效防止了可能出现得交叉失泄密。
涉密计算机、移动存储介质使用管理 1.什么是涉密计算机?什么是涉密移动存储介质? 运用采集、加工、存储、传输、检索等功能,处理涉及国家秘密信息的计算机通常称为涉密计算机。 涉密移动存储介质主要是指用于记录、存储、拷贝国家秘密信息的移动硬盘、软盘、磁带、光盘、优盘、存储卡等磁、光及半导体介质载体。 2. 涉密计算机不能使用具有无线互联功能的外围设备 无线键盘、无线鼠标、无线网卡等都是具有无线互联功能的计算机外围设备。这些设备与计算机之间是通过无线方式连接的,处理、传输信息的信号完全暴露在空中,无关人员可以通过相关技术设备接受这些信号并作信号还原处理。因此涉密计算机不能使用具有无线互联功能的计算机外围设备。 3. 设置涉密计算机口令字 口令字是计算机及其信息系统的第一道安全防线,涉密计算机信息系统通过口令字验证。用户身份,区分和控制访问。计算机口令字设置如果达不到足够长度,非常容易被破解。口令字一旦被破解,破解者就可以冒充合法用户进入涉密计算机任意获取信息。 4. 涉密计算机不能连接互联网 互联网是一个完全开放的网络空间,不能给用户提供安全保密保障。如果涉密计算机连接互联网,就容易被境外情报机构通过互联网植入特种“木马”等间谍窃密程序,进行非法攻击和远程控制。一旦攻击成功,攻击者就会像操作自已的计算机一样,操作被控制的涉密计算机,任意窃取涉密信息。此外,涉密计算机还可能会感染计算机病毒,使存储、处理的信息遭到恶意破坏。 5. 连接互联网的计算机不能存储、处理涉密信息 在连接互联网的计算机上存储、处理涉密信息,就等于把涉密信息放在完全开放的环境里,随时都可能被人获取。互联网早以成为各国特别是西方国家获取别国信息的重要途径,境外的一些情报机构为便于从互联网上获取涉密信息,通过多种窃密手段,如“嗅探”技术等,将“木马”窃密程序植入与互联网相连的计算机,进行网上窃密活动。互联网也是传播计算机病毒的主要途径。因此,不能在与互联网连接或连接过互联网的计算机上存储、处理涉密信息。 6. 涉密计算机和涉密移动存储介质不能随意让他人使用、保管或办理寄运 涉密计算机和涉密移动存储介质随意让他人使用、保管或办理寄运。是严重违反涉密载体保密管理规定的行为,极有可能造成国家秘密载体失控。
政府机构内外网数据交换安全解决方案(内外网物理隔离光盘交换系统) 福州新华时代信息技术有限公司 2017-3
一、研发背景 国家保密局2000年1月1日起颁布实施的《计算机信息系统国际互联网保密管理规定》对国家机要部门使用互联网规定如下:“涉及国家秘密的计算机信息系统,不得直接或间接的与国际互联网或其他公共信息网络链接,必须实行“物理隔离”,所谓“物理隔离”是指企业内部局域网如果在任何时间都不存在与互联网直接的物理连接,则企业的网络安全才能得到真正的保护。 但随着INTERNET的迅速发展,各政府和企事业单位利用互联网开展工作已成为不可逆转的趋势,各个机构都需要在内网和互联网之间进行大量的信息交换,以提升效率。从而在网络安全和效率之间产生了巨大的矛盾,而且矛盾日渐扩大化。 网络隔离的目的是为了保护内部网络的安全,而网络互连的目的是方便高效的进行数据交换。在此背景下,我们采用十五年技术积累的核心技术开发成功了完全自动化的双网隔离数据光盘交换系统,面向高安全数据传输场合,实现网络完全隔离情况下的数据自动交换, 福州新华时代信息技术有限公司
二、系统简介 (一)现行数据交换的模式及问题 “内网”与互联网实现严格的物理隔离后,内外网数据交换成为突出问题,影响了应用系统的有效部署, 1 、完全物理隔离。采用人工刻盘,将外部(或内部)网络的数据刻录到光盘,再由人工经过安全处理后将数据加载到内部(或外部)网络上。这种方式虽实现了外部与内部网络的物理隔离,但存在资源消耗大、效率低下和不易管理的弊端。 2 、采用逻辑隔离的方式。即互联网与内部网络之间采用单向导入设备连接,如网闸或光闸,虽然效率高,但不属于完全的物理隔离,不符合现行国家有关内外网数据安全交换的要求。 鉴于上述两种数据交换方式存在的弊端,因此提出以“物理隔离”为准则,建立以智能、可控、安全为基础的“内外网数据安全摆渡系统”具有十分重要的意义。 福州新华时代信息技术有限公司
制作人:郭虎涛 最后编辑时间:2012-09-30 文档版本:v1.0 公司存档编号:WEB-1013-201209-30 神盾网络安全摆渡机 部 署 应 用 方 案 西安市信息技术应用研究所 2012年9月
一、研发背景 由于移动存储介质(U盘等)的使用非常方便,目前已经成为计算机网络主机之间进行数据交换的常用工具。如果随意的让各类移动存储介质接入单位内部网络进行数据交换,就可能造成木马、病毒通过移动存储介质传播感染,可能会给单位内部网络安全带来风险,特别是近年来境外间谍机构专门研制的摆渡木马用于通过移动存储介质数据交换过程窃取国家秘密,给国家安全带来严重危害。为此,国家保密局、军队保密委发布了关于互联网计算机、外网计算机与涉密内网计算机之间的信息交流必须通过中间摆渡机的规定。为了解决不同等级网络之间、不同等级单机之间的信息安全摆渡问题,我们研发了神盾网络安全摆渡机。解决了使用移动存储介质进行数据交换所带来的相关安全性问题,对移动存储介质的数据交换进行有效的控制与管理。防止因移动存储介质信息交换过程中造成失泄密事件。 摆渡机的主要作用就是防止摆渡木马启动、查杀木马、病毒,进行单向信息传递与交换,对摆渡过程进行可控的有效管理,事后可进行追查审计。总之,根据相关部门的要求,对外来数据信息必须经过摆渡机进行安全处理,然后才能摆渡到涉密内网计算机中进行应用。确保信息交换的安全性。 二、产品介绍 一)产品概述 神盾网络安全摆渡机是西安神盾科技有限责任公司研发的一款多网络环境下,信息数据交换的平台。为了保证内网安全,防范摆渡木马、防止失泄密事件的发生,大唐神盾网络安全摆渡机主要实现了以下功能: 1、防止摆渡木马启动的功能:感染到摆渡木马的外来磁介质插到安全 摆渡机上,摆渡木马不能启动。具有良好的防范木马启动功能。 2、具有强大的木马、病毒查杀功能:凡外来信息要进入涉密内网,首 先要经过网络安全摆渡机进行木马、病毒查杀处理,能够实现接入用户选择的国内外主流杀毒软件,对外来磁介质进行木马病毒查杀,并能够根据
为了保证内网安全,防范摆渡木马、防止失泄密事件的发生,前置机主要实现了以下功能: 1、具有强大的木马、病毒查杀功能:凡外来信息要进入涉密内网,首先要经过前置机进行木马、病毒查杀处理,能够实现接入用户选择的国内外主流杀毒软件,对外来磁介质进行木马病毒查杀,并能够根据用户需要实现双杀毒功能。杜绝木马、病毒感染到涉密内网,造成失泄密事件或因感染病毒引起的网络安全隐患。 2、实现外来磁介质到涉密磁介质点对点的单向信息拷贝:前置机实现了外来磁介质的信息单向直接拷贝到涉密内网磁介质。 3、网络安全摆渡机利用触摸式一体机,实现了防范摆渡木马启动、查杀木马病毒的功能,实现外来磁介质与可管理内网磁介质之间的文件信息单向交换,摆渡磁介质之间信息传递单向点对点盘对盘的功能,有效防止了交叉失泄密事件发生的可能,并且实现了日志记录.摆渡审计等功能。解决了利用普通电脑摆渡无法解决的失泄密隐患问题。 适用范围: 1、有涉密单机、涉密内网的单位 如存在涉密单机、涉密内网和互联网,需要在不同形态网络、主机之间频繁进行数据交换。 2、对外服务的窗口服务部门,经常需要与外来单位交换数据。
3、与其他单位有文件或数据交换需要的企事业单位或党政军单位。 摆渡要求: 1)用户需要先对内部涉密磁介质在网络安全摆渡机上进行注册登记。 可以配置专用摆渡涉密内网磁介质,也可以使用用户原来在桌面审计系统已管理的磁介质。外网磁介质可以使用专用磁介质,也可以使用原来使用的磁介质。 2)数据摆渡步骤如下: (a)先插入外来磁介质, (b)网络安全摆渡机对外来磁介质自动进行木马病毒查杀; (c)完成木马病毒查杀后,再插入内网摆渡磁介质; (d)进行盘对盘的数据拷贝。 5、实施后效果 通过实施此套安全信息交换系统,有效的防止了摆渡木马、病毒传入涉密内网,确保传入内网信息的安全性,保证了内网的安全,杜绝了涉密内网的失泄密隐患,加强了单位信息交换的管理,提高了信息交换的效率。通过在相对复杂的使用环境部署该套系统,证明可以实现相对安全的信息交换,通过对摆渡机的技术防护和加固,来保证单位的网络安全。
神盾网络安全摆渡机 令狐文艳 功能简介 版本号:SD-BD-1101 西安市信息技术应用研究所 目录 1、功能特点- 3 - 2、研发背景- 4 - 3、摆渡机功能概述- 4 - 4、产品基本情况- 5 - 5、实施后效果- 7 - 6、系统架构- 7 - 1、功能特点 摆渡机利用神盾专用软件实现外来磁介质与可信内网介质之间的文件信息传输交换。实现点对点、盘对盘的单向信息拷贝,不在摆渡机内保留摆渡信息,有效防止了可能出现的交叉失泄密。 特点一: 摆渡机安装了神盾自主研发的防止摆渡木马启动系统,通过端口、进程等手段彻底封杀了摆渡木马在摆
渡机中的启动、摆渡机上无法运行任何系统预知之外 的程序,强大的木马病毒查杀功能确保病毒木马无法 感染摆渡机也无法感染其他移动介质。 特点二: 摆渡机实现了外来磁介质与内网可信介质之间直接进行单向点对点的数据传输交换,不在摆渡机内存 留,从技术措施上实现可能造成的失泄密事件。 特点三: 内网可信介质必须进行注册管理,只有可信介质才可以在摆渡机使用并接收外来磁介质的数据,使用 灵活,管理简便。 特点四: 摆渡机上所有数据交换都有日志生成,内容包括U 盘责任人、日期、文件名称、文件大小。便于事后审 计追查。 特点五: 摆渡机为触摸式专用信息交换设备,办公人员使用摆渡机只能进行文件摆渡,信息交换,做到专机专用。 2、研发背景 由于移动存储介质(U盘等)的使用非常方便,目前已经成为计算机网络主机之间进行数据交换的常用工具。如果随意的让各类移动存储介质接入单位内部网络进行数据交换,就可能造成木马、病毒通过移动存储介质传播感染,可能会给单位
浅谈工控网络如何防范U盘病毒 1工控网络安全现状 在工控网络病毒越来越引起人们的的关注,工控网络常见的病毒来源包括系统或工控软件自带病毒、下载携带病毒第三方程序、用户使用了带病毒的U盘,由于工控网络相对隔离,所以U盘等移动存储介质使用的越来越广泛,它已经成为木马、病毒等传播的主要途径之一。通过U盘传播病毒的案例非常多,在工业控制系统中最知名的攻击“震网”蠕虫就是通过U盘侵入控制网络,更改PLC中的程序和数据,然后对伊朗的核设施造成了严重的破坏。本文将详细介绍U盘病毒是如何在工控网络传播以及如何对它进行防范的。 2U盘病毒传播方式 所说的U盘病毒,并不是单指某一种病毒,也不是说只是通过U盘传播的病毒,而是泛指所有通过U盘介质进行传播的病毒。目前U盘病毒传播的方式主要有以下几种:1)通过autorun.inf文件进行传播的,这是U盘病毒传播最普遍的方式; 2)伪装成其他的文件,病毒把U盘下所有文件夹隐藏,并把自己复制成与原文件夹名称相同的具有文件夹图标的文件,当你点击时病毒会执行自身并且打开隐藏的该名称的文件夹; 3)通过可执行文件感染传播,是一种传统但非常有效的传播手段。 3U盘病毒传播防范技术 3.1传统的防范方法 一般的情况下通过修改操作系统相关安全配置来达到U盘病毒的基本防范能力,同时增加专业的病毒软件可以达到U盘病毒防范功能,操作系统本身提供以下途径进行U盘病毒防护。 1)关闭自动播放功能,关闭windows系统的U盘自动运行功能,U盘插入到电脑后就不会自动运行从而防止防毒入侵; 2)修改注册表让U盘病毒禁止双击盘符自动运行;
3)打开U盘时请选择右键打开,使用U盘的时候通过右键单击U盘盘符选择“打开”命令或者通过“资源管理器”窗口进入,因为双击实际上是立刻激活了病毒,这样做可以避免中毒; 4)创建Autorun.inf文件夹。在所有磁盘中创建名为“Autorun.inf”的文件夹,如果有病毒要侵入时,这样病毒就无法自动创建再创建同名的Autorun.inf文件了,即使你双击盘符也不会运行病毒,从而控制了U盘病毒的传播; 3.2终端防护软件和安全U盘结合