隔离网闸技术方案
目录
一、概述 (3)
1.1、网络安全现状 (3)
1.2、现有网络安全技术 (3)
1.3、现有网络安全技术的缺陷 (4)
1.4、GAP技术简介 (5)
1.4.1、GAP模型的实现 (6)
1.4.2、协议的分拆与重组 (8)
二、SecSIS 3600介绍 (10)
2.1、SecSIS 3600产品简介 (10)
2.2、SecSIS 3600产品原理 (10)
三、SecSIS 3600功能 (12)
3.1、SecSIS 3600产品定位 (12)
3.2、SecSIS 3600产品功能 (12)
四、SecSIS 3600产品性能............................................................................ 错误!未定义书签。
4.1、SecSIS 3600产品技术指标 ......................................................... 错误!未定义书签。
4.2、SecSIS 3600产品硬件.................................................................. 错误!未定义书签。
五、SecSIS 3600产品应用 (23)
5.1、通用解决方案 (23)
5.2、重要网络数据资源保护 (24)
5.3、“数据大集中”应用模式 (24)
5.4、“外网受理,内网处理”模式的应用 (25)
附录一、与防火墙产品的比较 (27)
包过滤防火墙 (27)
应用代理防火墙 (28)
全状态检测(stateful inspect)防火墙 (29)
SecSIS 3600网络隔离网闸 (30)
一、概述
1.1、网络安全现状
计算机网络的广泛应用是当今信息社会的一场革命。电子商务和电子政务等网络应用的发展和普及不仅给我们的生活带来了很大的便利,而且正在创造着巨大的财富,以Internet 为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次不断深入,应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。
与此同时,计算机网络也正面临着日益剧增的安全威胁。广为网络用户所知的黑客行为和攻击活动正以每年10倍的速度增长,网页被修改、非法进入主机、发送假冒电子邮件、进入银行系统盗取和转移资金、窃取信息等网络攻击事件此起彼伏。计算机病毒、特洛伊木马、拒绝服务攻击、电子商务入侵和盗窃等,都造成了各种危害,包括机密数据被篡改和窃取、网站页面被修改或丑化、网络瘫痪等。网络与信息安全问题日益突出,已经成为影响国家安全、社会稳定和人民生活的大事,发展与现有网络技术相对应的网络安全技术,保障网络安全、有序和有效的运行,是保证互联网高效、有序应用的关键之一。
1.2、现有网络安全技术
计算机网络是基于网络可识别的网络协议基础之上的各种网络应用的完整组合,协议本身和应用都有可能存在问题,网络安全问题包括网络所使用的协议的设计问题,也包括协议和应用的软件实现问题,当然还包括了人为的因素以及系统管理失误等网络安全问题,下表示意说明了这些方面的网络安全问题。
针对上表所示的各种网络安全问题,全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题,这些技术包括访问控制技术、识别和鉴别技术、密码技术、完整性控制技术、审计和恢复技术、防火墙系统、计算机病毒防护、操作系统安全、数据库系统安全和抗抵赖协议等,相继陆续推出了包括防火墙、入侵检测(IDS)、防病毒软件、CA系统、加密算法等在内的各类网络安全软件,这些技术和安全系统(软件)对网络系统提供了一定的安全防范,一定程度上解决了网络安全问题某一方面的问题。
1.3、现有网络安全技术的缺陷
现有的各种网络安全技术都是针对网络安全问题的某一个或几个方面来设计的,它只能相应地在一定程度上解决这一个或几个方面的网络安全问题,无法防范和解决其他的问题,更不可能提供对整个网络的系统、有效的保护。如身份认证和访问控制技术只能解决确认网络用户身份的问题,但却无法防止确认的用户之间传递的信息是否安全的问题,而计算机病毒防范技术只能防范计算机病毒对网络和系统的危害,但却无法识别和确认网络上用户的身份等等。
现有的各种网络安全技术中,防火墙技术可以在一定程度上解决一些网络安全问题。防火墙产品主要包括包过滤防火墙,状态检测包过滤防火墙和应用层代理防火墙,但是防火
墙产品存在着局限性。其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全。
同时,防火墙还存在着一些弱点:
一、不能防御来自内部的攻击:来自内部的攻击者是从网络内部发起攻击的,他们的攻击行为不通过防火墙,而防火墙只是隔离内部网与因特网上的主机,监控内部网和因特网之间的通信,而对内部网上的情况不作检查,因而对内部的攻击无能为力;
二、不能防御绕过防火墙的攻击行为:从根本上讲,防火墙是一种被动的防御手段,只能守株待兔式地对通过它的数据报进行检查,如果该数据由于某种原因没有通过防火墙,则防火墙就不会采取任何的措施;
三、不能防御完全新的威胁:防火墙只能防御已知的威胁,但是人们发现可信赖的服务中存在新的侵袭方法,可信赖的服务就变成不可信赖的了;四、防火墙不能防御数据驱动的攻击:虽然防火墙扫描分析所有通过的信息,但是这种扫描分析多半是针对IP地址和端口号或者协议内容的,而非数据细节。这样一来,基于数据驱动的攻击,比如病毒,可以附在诸如电子邮件之类的东西上面进入你的系统中并发动攻击。
入侵检测技术也存在着局限性。其最大的局限性就是漏报和误报严重,它不能称之为一个可以信赖的安全工具,而只是一个参考工具。
在没有更为有效的安全防范产品之前,更多的用户都选择并依赖于防火墙这样的产品来保障自己的网络安全,然而相对应的是,新的OS漏洞和网络层攻击层出不穷,攻破防火墙、攻击计算机网络的事件也越来越多,因此,开发一个更为完善的网络安全防范系统来有效保护网络系统,已经成为各网络安全厂商和用户的共同需求和目标。
1.4、GAP技术简介
在介绍GAP技术之前,先来简单地介绍一下GAP技术的原型:Sneaker-NET。
图一、Sneaker-NET技术
在Sneaker-NET技术中,有一个人来操作,另外包括两个网络:不可信网络和可信网络,这两个网络物理隔断,在大多数Sneaker-NET方案中,也有一个独立的计算机,或者一个与两个网络分离的DMZ区域,用于内容检查。
采用Sneaker-NET技术后,网络信息流如下:
1.该人在不可信网络上的计算机上手工方式拷贝文件到磁盘或磁带。
2.该人将磁盘或磁带拿到一个独立的计算机上进行内容检测。检测包括(不仅仅这些):病毒扫描、检验该文件格式是否和预先定义的文件格式相符等。
3.如果内容检测为不安全或非法,它们将被丢弃;如果内容是安全和合法的,此人在可信网络上的计算机上手工方式将该磁盘或磁带的文件拷贝到计算机上。
4.信息从可信网络传输到不可信网络将也用相似的流程。
在Sneaker-NET技术中,没有人可以从不可信的网络访问和操作控制可信网络上的计算机,所有允许到可信网络的数据都在一个安全的环境中经过详细的审查,这是从不安全环境到安全环境信息传输的一个最安全的方法。
1.4.1、GAP模型的实现
GAP隔离网闸技术就是基于这样的一个机理实现的一种安全信息交换技术。在Sneaker-NET中,人的作用是在两个网络之间进行低速的手工交换数据,而在采用GAP技术的设备中,用一个快速大规模集成电路ASIC隔离部件来实现这一功能;用在
Sneaker-NET中做数据交换的磁介质,在GAP技术中则用存储设备来代替。在某一时刻,ASIC隔离部件只能连接到其中的一个网络,其它的硬件和软件实施则类似于Sneaker-NET 的装置。
从前述的Sneaker-Net模型中我们不难发现,模型之所以具有上述有价值的安全特性,关键在于隔离机制的实现,因此,网闸如何真实模拟人的运动机制是实现Snaeker-Net 模型的关键,也是体现网闸安全优势的关键。
最佳的实现方式是通过半导体大规模集成电路ASIC隔离部件来实现。半导体ASIC隔离部件以纯物理方式实现了电路的导通与断开,与加/解密等逻辑断开方式不同,它具有固化的不可编程特性,不会因溢出等逻辑问题导致系统的崩溃,在最低层即物理层面上保证了网络断开功能的实现,具有最高的安全可靠性。
由于半导体ASIC隔离部件具有开关功能,通过两组开关器件即可准确模拟出Sneaker -Net模型中人的工作机制,如图所示:
网闸电子开关的实现
图中箭头标志代表了半导体ASIC隔离部件,它可以在公众外网服务器与受保护网服务器间摆动,同一时刻开关仅能与一边服务器连通,该动作模拟人在断开的内外网服务器间的移动。与ASIC隔离部件直接相连的是一个暂存数据的交换池,该结构模拟了人手中的存储介质。
半导体ASIC隔离部件结构在最基本的物理层次上真实模拟了Sneaker-Net模型,它不仅继承了Sneaker-Net模型所有的安全特性,同时又解决了原模型中数据传输速度与延时的问题,使得该模型可在不影响用户网络应用的前提下实现期望的安全功能。可以说,ASIC隔离部件的实现是区分网闸与其它安全产品的重要指标。
1.4.2、协议的分拆与重组
隔离网闸对于接收到的任何外部会话连接,首先通过外部网络接口将会话终止,然后利用协议解析模块将TCP/UDP数据格式打破,并采用内部专有的封装协议将分解得到的数据打包后通过隔离开关传输到内网可信端。在可信端数据经过一系列安全检查之后,协议解析
模块对数据重组,并在内部网络接口重构到内部服务器的会话。
对于从内部到外部的TCP连接,隔离网闸也具有对等的处理方式。
经过如上的处理,隔离网闸事实上已经将原来直接连通内外网络的TCP连接,从逻辑上分解为外网到网闸不可信端的TCP连接、不可信端到可信端的专有封装协议连接、可信端到内网的TCP连接的组合。因此,在添加安隔离网闸之后,可以阻断内外网络之间的TCP 对话,其结构如图所示:
值得提出的是,隔离网闸不但在逻辑上终止了TCP对话,还从物理上断开了内外网络之间的连接,使得内外网络之间在任何时候都不存在直接的物理层和链路层连接通路。
GAP技术的关键技术要点是:
二、网神SecSIS 3600介绍
2.1、SecSIS 3600产品简介
网神SecSIS 3600 安全隔离与信息交换系统(简称:网闸)是新一代网络安全隔离产品。该产品采用专用硬件和模块化的工作组件设计,集成安全隔离、实时信息交换、协议分析、内容检测、访问控制、安全决策等多种安全功能为一体,适合部署于不同安全等级的网络间,在实现多个网络安全隔离的同时,实现高速的、安全的数据交换,提供可靠的信息交换服务
2.2、SecSIS 3600产品原理
网神SecSIS 3600 安全隔离与信息交换系统的工作基于人工信息交换的操作模式,即由内外网主机模块分别负责接收来自所连接网络的访问请求,两模块间没有直接的物理连接,形成一个物理隔断,从而保证可信网和非可信网之间没有数据包的交换,没有网络连接的建立。在此前提下,通过专有硬件实现网络间信息的实时交换。这种交换并不是数据包的转发,而是应用层数据的静态读写操作,因此可信网的用户可以通过安全隔离与信息交换系统放心的访问非可信网的资源,而不必担心可信网的安全受到影响。信息通过网闸传递需经过多个安全模块的检查,以验证被交换信息的合法性。当访问请求到达内外网主机模块时,首先由网闸实现TCP 连接的终结,确保TCP/IP协议不会直接或通过代理方式穿透网闸;然后,内外网主机模块会依据安全策略对访问请求进行预处理,判断是否符合访问控制策略,并依据RFC 或定制策略对数据包进行应用层协议检查和内容过滤,检验其有效载荷的合法性和安全性。一旦数据包通过了安全检查,内外网主机模块会对数据包进行格式化,将每个合法数据包的传输信息和传输数据分别转换成专有格式数据,存放在缓冲区等待被隔离交换模块处理。这种“静态”的数据形态不可执行,不依赖于任何通用协议,只能被网闸的内部处理机制识别及处理,因此可避免遭受利用各种已知或未知网络层漏洞的威胁。如下图所示:
网神SecSIS 3600 安全隔离与信息交换系统通过专有的隔离交换卡实现内外网主机模块的缓冲区内存映射功能,将指定区域的数据复制到对端相应的区域,完成数据的交换。隔离交换卡内嵌安全芯片,采用高速全双工流水线设计,内部吞吐速率达2Gbps,完全可以满足高速数据交换的需要。
隔离交换模块固化控制逻辑,与内外网模块间只存在内存缓冲区的读写操作,没有任何网络协议和数据包的转发。隔离交换子系统采用互斥机制,在读写一端主机模块的数据前先中止对另一端的操作,确保隔离交换系统不会同时对内外网主机模块的数据进行处理,以保证在任意时刻可信网与非可信网间不存在链路层通路,实现网络的安全隔离。
当内外网主机模块通过隔离交换模块接收到来自另一端的格式化数据,可根据本端的安全策略进行进一步的应用层安全检查。经检验合格,则进行逆向转换,将格式化数据转换成符合RFC 标准的TCP/IP 数据包,将数据包发送到目的计算机,完
成数据的安全交换。
三、产品组成
3.1、网神SecSIS 3600 安全隔离与信息交换系统采用“2+1”模块结构设计,即包括外网主机模块、内网主机模块和隔离交换模块。内、外网主机模块具有独立运算单元和存储单元,分别连接可信及不可信网络,对访问请求进行预处理,以实现安全应用数据的剥离。隔离交换模块采用专用的双通道隔离交换卡实现,通过内嵌的安全芯片完成内外网主机模块间安全的数据交换。内外网主机模块间不存在任何网络连接,因此不存在基于网络协议的数据转发。隔离交换模块是内外网主机模块间数据交换的唯一通道,本身没有操作系统和应用编程接口,所有的控制逻辑和传输逻辑固化在安全芯片中,自主实现内外网数据的交换和验证。在极端情况下,即使黑客攻破了外网主机模块,但由于无从了解隔离交换模块的工作机制,因此无法进行渗透,内网系统的安全仍然可以保障
3.2、SecSIS 3600系统功能详述
3.1 丰富的应用模块
网神SecSIS 3600 安全隔离与信息交换系统采用模块化的系统结构设计,根据不的应用环境,量身定制多个功能模块,以满足用户的不同需求,主要包括:文件交换模块:实现不同安全等级网络间文件的安全交换。数据库同步模块:通过灵活的同步机制,保证安全等级不同的网络中的数据库系统实现数据同步更新。邮件交换模块:保证在内外网隔离的环境下实现安全的邮件收发。安全浏览模块:保证在内外网隔离的环境下,内网用户安全浏览外网资源。通用模块:保证内外网隔离的同时实现FTP、DNS、TNS 等协议及其他通用TCP/IP 协议的定制交换。其它定制用户专有应用模块。
3.2 访问控制
系统支持强大的访问控制策略,支持通过源地址、目的地址、端口、协议等多种元素对允许通过网闸传输的数据进行过滤,判断是否符合组织安全策略。
3.3 地址绑定
提供IP 与MAC 地址绑定功能,可对指定接口所连接的网络中的主机的IP 和MAC
地址进行绑定,防止内部用户盗用IP 和内网地址资源分配的混乱,方便网络IP资源管理。
3.4 内容检查
网神SecSIS 3600 安全隔离与信息交换系统提供多种内容安全过滤与内容访问控制功能,既能有效的防止外部恶意代码进入内网,也能控制内网用户对外部资源不良内容的访问及敏感信息的泄漏。网神SecSIS 3600 安全隔离与信息交换系统的内容检查机制主要针对HTTP、FTP、邮件及文件交换等应用,包括URL 过滤、关键字过滤、Cookie 过滤、文件类型检查及病毒查杀等操作。
URL/域名过滤
网闸可对用户访问的Web 站点的域名及URL等进行基于正则表达式的过滤,禁止用户访问暴力、色情、反动的主页或站点中的特定目录或文件。
黑/白名单关键字过滤
网闸可对邮件标题和内容以及传输的文件等进行黑/白名单关键字过滤,进行单词及短句的智能匹配,禁止包含特定关键字的敏感信息泄漏,或只允许包含相应关键字的文件通过网闸传递。
COOKIE 过滤
网闸可对COOKIE 进行过滤。通过对COOKIE 进行过滤,可以防止敏感信息的泄漏。同时还可以防止用户进行浏览论坛、上网聊天等违反安全策略的操作。
文件类型检查
网闸可对传输的文件进行类型检查,只允许符合安全策略的文件通过网闸传递。避免传输二进制文件可能带来的病毒和敏感信息泄露等问题。
病毒及恶意代码检查
系统可内嵌杀病毒引擎,对允许传输的文件进行病毒的检查,确保进入可信网络的文件不包含病毒及Java/JavaScript/ActiveX等恶意代码。
3.5 高安全的文件交换
网神SecSIS 3600 安全隔离与信息交换系统提供基于纯文件的交换方式,内网和外网的数据传输模块各自对文件进行病毒扫描、签名校验、文件类型校验、文件内容过滤,对符合要求的文件进行转发。不借助任何第三方软件,完全通过文件的拷贝、粘贴方式实现,
为了避免网络漏洞,网闸不开放任何连通两侧的网络通道,在保证绝对安全的前提下,通过数据摆渡实现文件交换。
3.6 内置的数据库同步模块
网神SecSIS 3600 安全隔离与信息交换系统的数据库同步模块,独立自主开发完成,完全内置于网闸内部,所有的同步操作由网闸自己独立完成。不在用户数据库中安装任何客户端软件,不需要在用户网络中部署专用服务器,对用户数据库不作任何改变。该模块支持Oracle 和Sql Server 等流行数据库版本,同时预留开发接口,定制支持各种数据库系统。在高速运行的基础上解决了字段级数据同步、双向数据同步、大字段同步等技术难题,适合于各种数据库同步工作的需要。
由于是网闸自身发起的动作,所以网闸两侧不开放任何基于数据库访问或者定制TCP 的网络服务端口,避免网络安全漏洞。
3.7 高可用设计
网神SecSIS 3600 安全隔离与信息交换系统支持高可用方案,最多支持32 台设备进行负载均衡,全面解决设备故障与链路故障造成的业务中断,保证系统7X24 小时不间断服务。
3.8 轻松的管理
网神SecSIS 3600 安全隔离与信息交换系统配备专门的管理端口,通过数字证书认证与管理信息的加密传输实现网闸设备的集中管理。系统采用全中文的Web 方式进行远程网络管理,界面友好,操作方便。系统管理员和审计员实现分权管理,使得对网闸的管理更加安全可控,避免人为因素带来的安全风险。
3.9 传输方向控制
网神SecSIS 3600 安全隔离与信息交换系统采用双通道通信机制,从可信网到非可信网的数据流与从非可信网到可信网的数据流采用不同的数据通道,对通道的分离控制保证各通道的传输方向可控。在特殊应用环境中可实现数据的单向传送。
3.10 协议分析能力,以避免信息的泄漏。
系统支持HTTP/HTTPS、POP3、SMTP、FTP、SAMBA、NFS、DNS 等多种应用层协议,可对常见协议的命令和参数进行分析和过滤。应用数据以“原始”的形态在内外主机模块中传递,数据包经过预处理、安全决策、RFC 校验、协议分析、数据提取、格式化等多个处理模块的检查,充分保证了交换信息内容的安全。
3.11 完善的安全审计
网神SecSIS 3600 安全隔离与信息交换系统提供管理员多种手段了解网络运行状况及可疑事件的发生。用户可根据特定的需要进行日志审计(包括系统日志、访问控制策略日志、应用层协议分析日志、应用层内容检查日志等)。系统支持本地日志缓存,可实现本地日志的浏览查询等操作。日志依据事件的重要程度分为错误/警告/通知三级,支持Syslog 日志存储,可实现日志的分级发送。
网神SecSIS 3600 安全隔离与信息交换系统提供管理员多种手段了解网络运行状况及可疑事件的发生。主要方式如下:
控制台方式:通过管理控制台可以实时监控日志告警信息。
Syslog:以Syslog方式向管理工作站发送告警信息。
电子邮件:通过向管理员指定的电子邮件帐号发送电子邮件来发送报警信息。
3.12 强大的抗攻击能力
网神SecSIS 3600 安全隔离与信息交换系统具备强大的抗攻击能力,内外网主机模块采用专用的安全操作系统,内核经过特殊定制,实现强制性访问控制,保护自身进程及文件不被非法篡改和破坏。同时系统实现了针对多种DoS 和DDoS 攻击的防范,可阻挡SynFlood、UdpFlood、PingFlood、TearDrop、Ping of Death、Smurf、Land 等多种类型的DoS 和DDoS 攻击,保护可信网络的安全。
3.13 多样化的身份认证
网神SecSIS 3600 安全隔离与信息交换系统支持多样灵活的身份认证方式,包括:本地用户名及口令认证、基于数字证书的认证、RADIUS 远程访问认证及LDAP认证等。
本地认证
系统内置认证数据库提供本地的用户名、口令认证,支持HTTP/HTTPS 方式实现认证信息的获取。
数字证书认证
网闸支持数字证书认证,允许客户端通过HTTP连接向服务器发送访问请求。网闸可导入根证书,通过检查用户证书格式、证书的过期时间、签发者等信息以确认访问者身份的合法性,还可依据用户身份属性判断其是否具有适当的访问权限。
RADIUS 远程访问认证及LDAP 认证
网闸向第三方认证服务器发送用户名和口令,一旦认证服务器认证成功,则网闸允许用户访问。
3.14 负载均衡解决方案
网神SecSIS 3600 安全隔离与信息交换系统支持负载均衡解决方案。网闸群集可实现动态管理和维护,根据实际响应时间制定优先响应策略,从而提高系统总体性能、优化流量管理、提高群集性能,保证系统正常运行的高可用性和高可靠性。如果访问量超出了网闸的响应能力,只需增加服务器数目即可实现系统的平滑升级,无需第三方软件支持。
4 产品技术优势
在网络中部署网神SecSIS 3600 既能够符合政府、军队、企事业单位等的强制性安全策略--既在不同安全等级的网络间实现安全隔离,又能够保证可靠、安全的信息交换,提供文件交换、收发电子邮件、数据库同步、安全浏览等多种服务,在网络应用的安全性及可用性间取得完美的平衡。
安全高效的硬件交换系统
网神SecSIS 3600 安全隔离与信息交换系统具有自主研发的内外主机系统间的安全检测与控制处理单元,采用专有电路设计的双通道高速数据交换卡,实现了独立的硬件交换控制逻辑,无操作系统及任何“软”控制,自主完成数据的交换,系统只负责把数据写到隔离交换卡中的缓冲区,由隔离交换卡根据硬件控制逻辑自动完成数据交换,自动同步两侧控制逻辑,进行互斥的读写操作,同时还具有自动数据完成性校验,当发现数据错误时,自动重传,保证数据的完全正确。在保证安全性的同时,提供更好的处理性能,能够适应各种复杂网络环境对隔离应用的需求。
网神SecSIS 3600 安全隔离与信息交换系统在内外主机系统间采用专有协议,阻断网络连接,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。
可靠的冗余和负载均衡架构
网神SecSIS 3600 安全隔离与信息交换系统基于可靠性的考虑,通过双机热备等技术保证了在网络或设备故障时,业务的不间断运行。
在网络流量较大时,也可能会造成业务不可用和响应速度下降,网神SecSIS
3600 系列网闸支持多台设备的负载均衡(最多支持32 台),最大限度的提升了网络的可用性。
先进的数据库同步技术
网闸常会应用在数据库服务器的环境中,为了实现数据库同步,一般情况下都需要在内、外网数据库服务器上安装数据库同步软件,这不仅会占用数据库服务器的资源、增加部署和实施的难度,同时不可避免会有漏洞。
网神SecSIS 3600 安全隔离与信息交换系统采用先进的同步技术,无需在内、外网数据库服务器上安装第三方同步软件,减少因安装第三方同步软件造成对数据库影响的可能性,还可提供对数据库用户的细粒度控制。同时由于不用开放监听端口,更具安全性,为用户提供了性价比极高的数据库同步解决方案。
核心应用的安全最大化
从安全实现的角度来讲,越接近应用层,则安全问题越复杂,解决问题也越困难。安全隔离与信息交换系统将应用层的数据转换成专有的数据格式进行处理,只允许安全的、可靠的信息在网络中传递。信息的格式、内容、交流对象等因素可依据企业安全策略指定,简化了核心应用面临的安全问题,确保了核心应用的安全最大化。
传统的安全检测产品只能发现利用已知安全漏洞发起的攻击。如果一种攻击手法还没有公布,则凭借现有的技术无法了解其攻击特征,也就无法识别攻击行为。网神SecSIS 3600 对数据的交换不依赖于任何通用协议,没有数据包的处理及连接会话的建立,而是以静态的专有格式化数据块的形式在内/外网间传递,因此不会受到任何已知或未知漏洞的威胁。
强大的定制扩展能力
网神SecSIS 3600 不但提供标准的信息交流服务,如文件交换、安全浏览、邮件交换、数据库同步等,还提供二次开发接口,以满足众多专业应用系统的安全数据交换需要。还可依据用户应用系统特征,定制相应的协议检查模块,对行业专有应用协议及相应数据格式进行定制分析,确保只有符合组织安全策略的数据可通过网闸进行传递,真正实现按需通
过的安全目标,提升整体安全水平。
5 典型应用
网神SecSIS 3600 安全隔离与信息交换系统适合部署在需要在不同安全等级的网络间实现信息共享的环境,可应用在不同的涉密网络之间;同一涉密网络的不同安全域之间;与互联网物理隔离的网络和秘密级涉密网络之间;未与涉密网络连接的网络和互联网络之间,通过网闸的安全控制,在保证信息安全的前提下更好地促进各个业务系统的互联互通、资源共享。
◆HTTP功能
◆EMAIL功能
◆FTP功能
◆内容过滤功能
◆黑名单功能
◆IDS入侵检测功能
◆SAT(服务器地址映射)功能
◆身份认证功能
◆安全代理服务功能
◆AI安全过滤功能
◆WEB站点保护功能
◆防病毒功能
◆VPN通讯安全功能
◆日志和警报功能
◆安全上网
◆数据库应用
◆网络应用
◆定时服务功能
◆高可用功能
HTTP功能
SecSIS 3600提供了功能强大的HTTP协议分析模块,可以允许可信网络用户自如地访问不可信网络上的各种网络资源,也可以允许不可信网络上的用户安全地访问可信网络上的WEB服务。
EMAIL功能
SecSIS 3600也提供了功能完善的SMTP/POP(3)协议分析模块,可以允许可信网络用户自如地通过SecSIS 3600收发来自不可信网络上的各种电子邮件,也可以允许不可信网络上的用户安全地通过SecSIS 3600来收发可信网络上的电子邮件。
FTP功能
SecSIS 3600的FTP协议分析模块,提供了和HTTP功能和Email功能一样安全的FTP 服务支持。
内容过滤功能
针对关键字(词)进行检索,按照匹配的原理,对通过SecSIS 3600传输的数据进行过滤和检查,可以保护网络的各种敏感资源和数据,也保护了可信网络资源。
黑名单功能
针对通过SecSIS 3600传输的数据的文件名进行过滤的黑名单功能,不仅可以有效阻止敏感文件的交换,并且可以有效防范通过附件文件对可信网络的各种攻击。
IDS入侵检测功能
SecSIS 3600在设备两端内置了IDS入侵检测引擎,该引擎可有效保护系统自身及受保护网络免受攻击者的频繁攻击。该系统将自动分析对受保护内网的访问请求,并与SecSIS 3600隔离系统实现内部联动对可疑数据包采取拒绝连接的方式防御攻击。
SAT(服务器地址映射)功能
SecSIS 3600具备完善的SAT功能,可信端服务器可通过SAT功能将自身的特定服务虚拟映射到SecSIS 3600的不可信端接口上,通过隔离系统的不可信端虚拟端口对外提供服务,访问者仅能访问虚拟端口而无法直接连接服务器,从而对外屏蔽服务器,防止服务器遭到攻击。
身份认证功能
不同于部门级网络,大型网络对身份认证的要求极高,且需要基于第三方的统一身份认证服务。SecSIS 3600除了提供基本的用户名/口令身份认证功能以外,还可与外部认证系统集成支持扩展的Radius、PKI数字证书、SecureID等多种强身份认证功能。
安全代理服务功能
内外网隔离网络安全解决方案 ●网络现状与安全隐患 目前,大多数企业都安装有隔离卡等设备将企业分为两个网络:内网与外网,内网用作内部得办公自动化,外网用来对外发布信息、获得因特网上得即时消息,以及用电子邮件进行信息交流。为了数据得安全性,内网与外网都通过隔离卡或网闸等方式实现内外网得物理隔离,从一定程度上杜绝了内外网得混合使用造成得信息外泄.如下图所示: 然而,对于内网中移动存储介质得随意使用以及外部终端非法接入内网来泄露内部信息得安全隐患,仍然得不到解决。存在得安全隐患主要有: 1、移动存储介质泄密 ◆外来移动存储介质拷去内网信息; ◆内网移动存储介质相互混用,造成泄密; ◆涉密介质丢失造成泄密 2、终端造成泄密 ◆计算机终端各种端口得随意使用,造成泄密; ◆外部终端非法接入内网泄密; ◆内网终端非法外联外部网络泄密 ●捍卫者解决方案 <1>终端外设端口管理
1)对于非常用端口: 使用捍卫者USB安全管理系统,根据具体情况将该终端得不常使用得外设 (如红外、蓝牙、串口、并口等)设置为禁用或就是只读(刻录机,USB端口有该功能),一旦设定则无法从“设备管理器“启用,只能通过捍卫者启用,如下图所示部分终端外设禁用状态,这样可以有效得解决终端外设泄密。 2)USB端口: 内网终端得USB端口建议设置为只读,这样外网使用得存储介质可以向内网拷贝数据,但就是不能从内网终端拷贝出数据。从防病毒考虑,也可以设置为完全禁用,这样只有授权存储介质才能根据授权使用,外部移动存储介质无法使用。 〈2〉移动存储介质授权管理 对内部得移动存储介质进行统一得授权管理,然后在根据需求设定当前USB端口得状态(即USB端口加密),这样外来得移动存储介质在内部终端不可以使用或就是只读,即解决了移动储存介质得随意插拔使用又防止了木马、病毒得传播泛滥。 在授权过程中,首先选择给移动存储介质得使用范围,可以分域授权使用,一对一或一对多得与终端绑定使用(这样移动存储介质在一定得范围内可以任意使用);然后输入移
安全隔离网闸技术需求 1 项目背景 为满足省局门户网站的业务需求,增强系统稳定性,对原有安全隔离网闸进行更换,采用双机热备模式组建门户网站内外交换平台。 2 采购内容 门户网站安全隔离交换网闸及其集成,数量:2台,互为热备。 3 技术指标要求 各类产品技术指标详见下表,所有加星号(*)指标项均为强制性指标,任何一条不满足将视为重大偏离,并导致投标被拒绝。未加星号(*)的指标项均为优选指标项。 所有设备具有的光接口均应配置光接口模块,集成中所必需的各类光纤、线缆等配件均应配置(双绞线应采用六类国际知名品牌成品双绞线,其他附材应符合国家的相关标准,并满足所使用部位的要求)。 所有指标项以公开产品宣传彩页、或国家具有相关职能的第三方中立检测机构的检测证明、或中央政府采购网站公告的内容为依据。
4 系统集成 4.1 系统安装、调试地点 投标人负责完成指定地点的设备安装及相关工作。 4.2 安装调试(集成)具体内容 安装调试的主要目标是使经过本次采购设备后,经过系统集成,使整个网络能够连通并具有互操作性、所有设备能够接通并正常运转、所有软件能够在相应平台上正常运行,并与已有设备互连互通,且与已有设备服务商密切合作,实现所有设备互连互通,满足业务系正常运行的要求。投标人有责任且必须承诺使项目单位的系统达到以上目标。 4.2.1 设备集成内容 根据标书要求,在标书规定的地点和环境下, 实现投标设备与其他设备的连接并正常运行,达到标书要求的性能和产品技术规格中的性能。系统集成中涉及的线缆等辅助材料或附件均由投标人负责,采购人不再支付任何费用。产品应由厂商专业技术人员进行安装调试或进行产品安装配置的检查和指导。 4.2.2 产品验收要求 1) 依标书要求对全部设备、产品、型号、规格、数量、外型、外观、包装及资料、文件(如装箱单、保修单、随箱介质等)的验收。
安全隔离网闸疑难问题大全(40问) 1、网闸全称是什么?网闸的英文名称是什么? 网闸的全称是安全隔离网闸。网闸的英文名称是"GAP"。 2、安全隔离网闸是什么? 安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。 3、安全隔离网闸是硬件设备还是软件设备? 安全隔离网闸是由软件和硬件组成。 4、安全隔离网闸硬件设备是由几部分组成? 安全隔离网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。 5、为什么要使用安全隔离网闸? 当用户的网络需要保证高强度的安全,同时又与其它不信任网络进行信息交换的情况下,如果采用物理隔离卡,信息交换的需求将无法满足;如果采用防火墙,则无法防止内部信息泄漏和外部病毒、黑客程序的渗入,安全性无法保证。在这种情况下,安全隔离网闸能够同时满足这两个要求,又避免了物理隔离卡和防火墙的不足之处,是最好的选择。 6、隔离了,怎么还可以交换数据? 对网络的隔离是通过网闸隔离硬件实现两个网络在链路层断开,但是为了交换数据,通过设计的隔离硬件在两个网络对应的上进行切换,通过对硬件上的存储芯片的读写,完成数据的交换。 7、安全隔离网闸能够交换什么样的数据? 安装了相应的应用模块之后,安全隔离网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并可以在网络之间交换定制的文件。 8、安全隔离网闸的主要性能指标有那些? 性能指标包括: 系统数据交换速率:120Mbps 硬件切换时间:5ms 9、安全隔离网闸通常具备的安全功能模块有那些? 安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证 10、为什么说安全隔离网闸能够防止未知和已知木马攻击? 通常见到的木马大部分是基于TCP的,木马的客户端和服务器端需要建立连接,而安全隔离网闸从原理实现上就切断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马无法通过安全隔离网闸进行通讯。从而可以防止未知和已知的木马攻击。
南京奥体中心网络安全隔离 投标方案
目录 1南京奥体中心网络安全隔离需求分析 (3) 1.1南京奥体中心内部网网络现状 (3) 1.2南京奥体中心网络的安全风险分析 (3) 1.3建立统一安全隔离数据交换安全原则 (4) 2南京奥体中心网络网络安全隔离解决方案 (5) 2.1南京奥体中心网络内网安全隔离与信息交换设计 (5) 2.2安全隔离与信息交换平台实施方案 (5) 2.3近期建议解决方案拓扑图 (6) 2.4解决方案产品选型 (7) 3隔离网闸产品方案设计 (8) 3.1隔离网闸产品概述 (8) 3.2产品内部架构 (8) 3.3产品特点 (9) 3.4产品功能 (10) 3.4.1系统可靠性 (10) 3.4.2系统可用性 (11) 3.4.3安全功能 (11) 3.4.4系统管理 (12) 3.4.5应用支持 (13) 3.5伟思ViGap系统性能参数 (14) 4实施方案 (14) 4.1实施计划 (14) 4.2具体实施步骤 (15) 5验收方案 (15) 5.1设备交货验收 (15) 5.2现场移交验收 (16) 5.3试运转验收测试 (16) 6系统支持与服务方案 (16) 6.1售后服务 (16) 6.2培训计划 (17)
1南京奥体中心网络安全隔离需求分析 1.1南京奥体中心内部网网络现状 南京奥林匹克奥体中心(以下简称奥体中心)网络系统存在2个不同信任级别的网络(数据中心和场馆网),且相互之间物理隔离,随着网上商城和对外发布网站等业务平台的建立、应用和不断扩展,由于存在内外局域网且两个网络之间目前是物理隔离的状态;为保障业务平台的稳定性、连续性和安全性,同时由于数据交换的需要,内部网络将不再和互联网之间进行纯物理隔离,这时将引入较大的安全隐患。另外随着业务平台的不断发展,也将面临各种安全问题,例如蠕虫病毒爆发、ARP欺骗、黑客攻击等等。我们将采用一个层次化的、多样性的安全措施来保障业务平台的安全。 1.2南京奥体中心网络的安全风险分析 从南京奥体中心的安全风险分析中,我们可以看出,主要的安全风险在于:奥数据中心内外网之间的数据交换,必然带来一定的安全风险,原来在外部网上传播的病毒可能因为数据交换而感染到内部数据中心网服务器群;原来利用互连网发动攻击的黑客、下级场馆的人员疏忽、恶意试探也可能利用外部办公网络的数据交换的连接尝试攻击本单位数据中心网,可以影响到本单位数据中心网系统内部大量的重要数据正常运行,所以安全问题变得越来越复杂和突出。 综合分析网络的攻击的手段,南京奥体中心网络内外部网络的数据交换可能面临的安全风险包括:
网御SIS-3000 安全隔离网闸典型案例网上营业厅”的安全解决方案
目录 1.前言错误!未定义书签。 2. 需求分析...................................... 错误!未定义书签。 3 网络安全方案设计错误!未定义书签。
1.前言 Internet 作为覆盖面最广、集聚人员最多的虚拟空间,形成了一个巨大的市场。中国互联网络信息中心(CNNIC)在2002年7月的“中国互联网络发展状况统计报告”中指出,目前我国上网用户总数已经达到4580 万人,而且一直呈现稳定、快速上升趋势。面对如此众多的上网用户,为商家提供了无限商机。同时,若通过Internet 中进行传统业务,将大大节约运行成本。据统计,网上银行一次资金交割的成本只有柜台交割的13%。 面对Internet 如此巨大的市场,以及大大降低运行成本的诱惑,各行各业迫切需要利用Internet 这种新的运作方式,以适应面临的剧烈竞争。为了迎接WTO的挑战,实现“以客户为中心”的经营理念,各行各业最直接的应用就是建立“网上营业厅”。 但是作为基于Internet 的业务,如何防止黑客的攻击和病毒的破坏,如何保障自身的业务网运行的安全就迫在眉睫了。对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性,在人们心中还有很多疑虑,因为很多网络安全技术都是事后技术,即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。防火墙技术虽然是一种主动防护的网络安全技术,它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障,但它自身却常常被黑客攻破,成为直接威胁用户局域网的跳板。造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测,不提供基于硬件隔离的安全手段。 所谓“道高一尺,魔高一丈”,面对病毒的泛滥,黑客的横行,我们必须采用更先进的办法来解决这些问题。目前,出现了一种新的网络安全产品——联想安全隔离网闸,该系统的主要功能是在两个独立的网络之间,在物理层的隔离状态下,以应用层的安全检测为保障,提供高安全的信息交流服务。
网御SIS-3000安全隔离网闸典型案例“网上营业厅”的安全解决方案
目录
1.前言 Internet作为覆盖面最广、集聚人员最多的虚拟空间,形成了一个巨大的市场。中国互联网络信息中心(CNNIC)在2002年7月的“中国互联网络发展状况统计报告”中指出,目前我国上网用户总数已经达到4580万人,而且一直呈现稳定、快速上升趋势。面对如此众多的上网用户,为商家提供了无限商机。同时,若通过Internet中进行传统业务,将大大节约运行成本。据统计,网上银行一次资金交割的成本只有柜台交割的13%。 面对Internet如此巨大的市场,以及大大降低运行成本的诱惑,各行各业迫切需要利用Internet这种新的运作方式,以适应面临的剧烈竞争。为了迎接WTO的挑战,实现“以客户为中心”的经营理念,各行各业最直接的应用就是建立“网上营业厅”。 但是作为基于Internet的业务,如何防止黑客的攻击和病毒的破坏,如何保障自身的业务网运行的安全就迫在眉睫了。对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性,在人们心中还有很多疑虑,因为很多网络安全技术都是事后技术,即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。防火墙技术虽然是一种主动防护的网络安全技术,它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障,但它自身却常常被黑客攻破,
成为直接威胁用户局域网的跳板。造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测,不提供基于硬件隔离的安全手段。 所谓“道高一尺,魔高一丈”,面对病毒的泛滥,黑客的横行,我们必须采用更先进的办法来解决这些问题。目前,出现了一种新的网络安全产品——联想安全隔离网闸,该系统的主要功能是在两个独立的网络之间,在物理层的隔离状态下,以应用层的安全检测为保障,提供高安全的信息交流服务。
一.需求分析 某公安局网络安全报警处置中心发现网络犯罪、处置网络犯罪虚拟与现实之间架起的一座安全桥梁。报警处置中心可以对党政机关、金融机构、新闻媒体、能源交通、邮电通信、科研院所、大专院校、军工企业等重要领域的计算机信息系统,实施远程实时在线监测。对病毒侵蚀、黑客攻击、破坏系统以及其他网络违法犯罪行为,将实现实时预警、报警、应急响应和现场控制,打击网络犯罪有了一张无形有质的巨网。将24小时不间断接受来自网络的报警。报警者只需在该网站填写一张“报警单”(包括报警人的姓名、联系方法、报警内容等信息),而这些信息对外则完全保密。如何保护内部数据的安全是目前一个很重要的问题。 2.某公安局网络的网络现状 某公安局网络现在的网络拓扑图: 2.1 网络结构说明 某公安局报警处置中心网和公安内网通过交换机组实现了网络的互联。 3、某公安局网络隔离与信息交换建设需求 鉴于现有的网络状况,依据我某公安局信息化建设的规划,此次建设应达到以下目标:
某公安局网闸使用建议方案 2 1、从管理和技术角度上,建立多层安全体系,保证局域网信息和各应用 系统的安全性、保密性。同时在保持报警处置中心网和公安内网物理隔离的同时, 进行适度的、可控的的数据交换。保护某公安局内部网络的安全,实现隔离,防 止外网黑客的攻击。 2、实现报警处置中心网服务器和公安内网服务器之间的数据交换 3、对某公安局各个部门人员文件交换、上网进行身份认证控制,并实现 分组管理。 4、详细记录每个人员工通过网闸文件交换、上互联网及邮件传输日 志,做到有案可查。 4、某公安局网络隔离与信息交换设计拓扑图 根据对某公安局网络建设需求分析,我们提出某公安局网络隔离与信息建设 方案。根据某公安局的网络安全需求,我们在改变原结构情况下做统一平台管理 规划。改造后的总体网络拓扑结构图: 我们把TIPTOP 物理隔离网闸内口联接某公安局报警处置中心网中心交换机, 网闸外口连接某公安局电子政务交换机。通过网闸实现了某公安局报警处置中心与 某公安局公安内网的隔离,但也可以实现一定安全度上的数据交换。通过TIPTOP 网闸,某公安局报警处置中心网和公安内网的服务器能够进行数据交换。TIPTOP 网 闸还实现了对某公安局报警处置中心网和公安内网各部门文件交换身份认证与管 理。
如今,网络隔离技术已经得到越来越多用户的重视,重要的网络和部门均开始采用隔离网闸产品来保护内部网络和关键点的基础设施。目前世界上主要有三类隔离网闸技术,即SCSI技术,双端口RAM技术和物理单向传输技术。SCSI是典型的拷盘交换技术,双端口RAM也是模拟拷盘技术,物理单向传输技术则是二极管单向技术。 随着互联网上黑客病毒泛滥、信息恐怖、计算机犯罪等威胁日益严重,防火墙的攻破率不断上升,在政府、军队、企业等领域,由于核心部门的信息安全关系着国家安全、社会稳定,因此迫切需要比传统产品更为可靠的技术防护措施。物理隔离网闸最早出现在美国、以色列等国家的军方,用以解决涉密网络与公共网络连接时的安全。在电子政务建设中,我们会遇到安全域的问题,安全域是以信息涉密程度划分的网络空间。涉密域就是涉及国家秘密的网络空间。非涉密域就是不涉及国家的秘密,但是涉及到本单位,本部门或者本系统的工作秘密的网络空间。公共服务域是指不涉及国家秘密也不涉及工作秘密,是一个向互联网络完全开放的公共信息交换空间。国家有关文件就严格规定,政务的内网和政务的外网要实行严格的物理隔离。政务的外网和互联网络要实行逻辑隔离,按照安全域的划分,政府的内网就是涉密域,政府的外网就是非涉密域,互联网就是公共服务域。 国家有关研究机构已经研究了安全网闸技术,以后根据需求,还会有更好的网闸技术出现。通过安全网闸,把内网和外网联系起来;因此网闸成为电子政务信息系统必须配置的设备,由此开始,网闸产品与技术在我国快速兴起,成为我国信息安全产业发展的一个新的增长点。
网闸的概念 网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议"摆渡",且对固态存储介质只有"读"和"写"两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使"黑客"无法入侵、无法攻击、无法破坏,实现了真正的安全。 安全隔离与信息交换系统,即网闸,是新一代高安全度的企业级信息安全防护设备,它依托安全隔离技术为信息网络提供了更高层次的安全防护能力,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。 第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的,实现了在空气缝隙隔离(Air Gap)情况下的数据交换,安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。 第二代网闸正是在吸取了第一代网闸优点的基础上,创造性地利用全新理念的专用交换通道PET(Private Exchange Tunnel)技术,在不降低安全性的前提下能够完成内外
安全隔离网闸 什么是安全隔离网闸 安全隔离网闸,又名“网闸”、“物理隔离网闸”,用以实现不同安全级别网络之间的安全隔离,并提供适度可控的数据交换的软硬件系统。安全数据交换单元不同时与内外网处理单元连接,为2+1的主机架构。隔离网闸采用SU-Gap安全隔离技术,创建一个内、外网物理断开的环境。 安全隔离网闸的产生 网闸的产生,最早是出现在美国、以色列等国的军方,用以解决涉密网络与公共网络连接时的安全问题。 随着电子政务在我国的蓬勃发展,政府部门的高安全网络和其他低安全网络之间进行数据交换的需求日益明显,处于国家安全考虑,政府部门一般倾向于使用国内安全厂商的安全产品,种种因素促使了网闸在我国的产生。 我国第一款安全隔离网闸产生于2000年,现在已经广泛应用于政府、金融、交通、能源等行业。 安全隔离网闸的实现原理 安全隔离网闸的组成: 安全隔离网闸是实现两个相互业务隔离的网络之间的数据交换,通用的网闸模型设计一般分三个基本部分: a. 内网处理单元 b. 外网处理单元 c. 隔离与交换控制单元(隔离硬件) 其中,三个单元都要求其软件的操作系统是安全的,也就是采用非通用的操作系统,或改造后的专用操作系统。一般为Unix BSD或Linux的经安全精简版本,或者其他是嵌入式操作系统VxWorks等,但都要对底层不需要的协议、服务删除,使用的协议优化改造,增加安全特性,同时提高效率。 下面分别介绍三个基本部分的功能: 内网处理单元:包括内网接口单元与内网数据缓冲区。接口部分负责与内网的连接,并终止内网用户的网络连接,对数据进行病毒检测、防火墙、入侵防护等安全检测后剥离出“纯数据”,作好交换的准备,也完成来自内网对用户身份的确认,确保数据的安全通道;数据缓冲区是存放并调度剥离后的数据,负责与隔离交换单元的数据交换。 外网处理单元:与内网处理单元功能相同,但处理的是外网连接。 隔离与交换控制单元:是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。控制单元中包含一个数据交换区,就是数据交换中的摆渡船。对交换通道的控制的方式目前有两种技术,摆渡开关与通道控制。摆渡开关是电子倒换开关,让数据交换区与内外网在任意时刻的不同时连接,形成空间间隔GAP,实现物理隔离。通道方式是在内外网之间改变通讯模式,中断了内外网的直接连接,采用私密的通讯手段形成内外网的物理隔离。该单元中有一个数据交换区,作为交换数据的中转。 安全隔离网闸的两类模型: 在内外网处理单元中,接口处理与数据缓冲之间的通道,称内部通道1,缓冲区与交换区之间的通道,称内部通道2。对内部通道的开关控制,就可以形成内外网的隔离。模型中的用中间的数据交换区摆渡数据,称为三区模型;摆渡时,交换区的总线分别与内、外网缓冲区连接,也就是内部通道2的控制,完成数据交换。
近年来,随着网络视频监控在各个行业的广泛部署,如何保证整个系统在网络层面的安全性越来越成为大家关注的重点。尤其是在面临专网视频监控系统(内部)与公网视频监控系统(外部)进行互通时,这个问题显得尤为突出。 平安城市就是一个很典型的例子。在平安城市的建设中,需要构建一个能够覆盖城市重要单位、重点场所、主要路口、主要出入通道、治安卡口、学校、居民小区等各个层面的社会面治安监控系统,整个系统的控制和管理基本上都归口到当地公安部门。而上面提到的这些监控部位,有些是属于公安专网的,比如治安卡口、重点场所,有些是属于外部网络的,比如学校、居民小区、网吧等。为了实现这些监控资源的统一调用和灵活共享,公安专网的视频监控系统与外部的视频监控系统必须要进行网络化互联,而根据保密要求,公安专网与外部网络又必须要进行物理隔离,这样就存在一个无法回避的矛盾。 而且,随着中国电信、中国网通分别通过“全球眼”和“宽视界”两大运营级网络视频监控系统对平安城市建设的介入,将会有越来越多的社会面监控资源承载在公网平台上,安全隔离将成为公安部门通过其专网视频监控系统进行社会面监控资源调用时的主要障碍。 为此,科达将目前在公安、政府、军队等涉密专网中广泛使用的网闸技术应用到了运营级和ViewShot两大网络视频监控产品中,推出了基于网闸的网络视频监控安全隔离解决方案,可以在保证系统物理隔离的情况下,实现内、外网监控资源的灵活调用,从而有效解决上面提到的问题。 网闸原理与应用 网闸(或物理隔离网闸)是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于网闸所连接的两个独立主机系统之间,不存在通信的物理连接与逻辑连接,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,所以,网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,可以实现真正的安全。 网闸在网络环境中的位置:
网闸技术构建内外网一体化门户 一、序言 近年来,随着我国信息化建设步伐的加快,“电子政务”应运而生,并以前所未有的速度发展。电子政务体现在社会生活的各个方面:工商注册申报、网上报税、网上报关、基金项目申报等等。电子政务与国家和个人的利益密切相关,在我国电子政务系统建设中,外部网络连接着广大民众,内部网络连接着政府公务员桌面办公系统,专网连接着各级政府的信息系统,在外网、内网、专网之间交换信息是基本要求。如何在保证内网和专网资源安全的前提下,实现从民众到政府的网络畅通、资源共享、方便快捷是电子政务系统建设中必须解决的技术问题。一般采取的方法是在内网与外网之间实行防火墙的逻辑隔离,在内网与专网之间实行物理隔离。本文将介绍大汉网络公司基于网闸技术构建内外网一体化门户的案例。 二、网闸的概述 1、网闸的定义 物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客“无法入侵、无法攻击、无法破坏,实现了真正的安全。 2、网闸的组成 网闸模型设计一般分三个基本部分组成: ·内网处理单元:包括内网接口单元与内网数据缓冲区。 ·外网处理单元:与内网处理单元功能相同,但处理的是外网连接。 ·隔离与交换控制控制单元:是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。 3、网闸的主要功能 ?·阻断网络的直接物理连接和逻辑连接 ·数据传输机制的不可编程性? ?·安全审查 ?·原始数据无危害性 ?·管理和控制功能 ?·根据需要提供定制安全策略和传输策略的功能 ?·支持定时/实时文件交换 ?·支持Web方式 ?·支持数据库同步 三、政府网络中物理隔离技术的应用 1、我国网络信息安全现状 随着政府上网、海关上网、电子商务等一系列网络应用的蓬勃发展,Internet 正在逐渐融入到社会的各个方面。安全保障能力是新世纪一个国家综合国力、经济竞争实力和生存能力的重要组成部分。这个问题解决不好,将全方位地危及我国的政治、军事、经济、文化、社会生活的各个方面,使国家处于信息战和高度
伟思隔离网闸通用解决方案 伟思集团
目录 一、网络信息安全概述 (3) 二、安全需求分析 (4) 2.1典型环境 (4) 2.2 潜在的网络威胁分析 (5) 2.3 系统安全需求 (6) 三、政府上网安全方案设计 (6) 3.1 政府上网安全模型 (6) 3.2网络隔离系统的设计 (8) 3.3 ViGap隔离网闸 (9) 四、售后服务 (20) 4.1 售后服务 (21) 4.2 培训计划 (22)
一、网络信息安全概述 网络安全的具体含义是随着“角度”的变化而变化。比如:从用户(个人、政府等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私,同时也避免其它用户的非授权访问和破坏。 从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。 对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。 总的说来,网络安全就是指对网络中的数据信息提供完整性、机密性和可用性的网络安全服务,使网络系统的硬件、软件及其系统中的数据受到严格保护,不因偶然或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 信息安全所涉及的内容与信息系统的功能密切相关。例如,提供网上数据传输功能的系统,需要考虑网上传输信息的安全性问题;作为数据中心的数据库服务器,需要重点考虑存储数据的安全保护问题;为众多用户提供数据访问的服务的主机系统,则需要考虑对登录主机用户的认证和对合法用户数据访问权限的控制等等。因此,网络安全环境的建立没有固定的模式,必须依据实际的应用需求采取适当的安全措施。 随着网络安全等级的提高,网络使用的便利性将不可避免地随之下降,而安全维护成本将急剧升高,因此,在考虑网络信息的安全问题时,盲目地提高安全强度反而容易使系统因使用不便、效率低和维护困难而失去使用价值。
电子政务安全首选网闸隔离 如今,网络隔离技术已经得到越来越多用户的重视,重要的网络和部门均开始采用隔离网闸产品来保护内部网络和关键点的基础设施。目前世界上主要有三类隔离网闸技术,即SCSI技术,双端口RAM技术和物理单向传输技术。SCSI是典型的拷盘交换技术,双端口RAM也是模拟拷盘技术,物理单向传输技术则是二极管单向技术。 随着互联网上黑客病毒泛滥、信息恐怖、计算机犯罪等威胁日益严重,防火墙的攻破率不断上升,在政府、军队、企业等领域,由于核心部门的信息安全关系着国家安全、社会稳定,因此迫切需要比传统产品更为可靠的技术防护措施。物理隔离网闸最早出现在美国、以色列等国家的军方,用以解决涉密网络与公共网络连接时的安全。在电子政务建设中,我们会遇到安全域的问题,安全域是以信息涉密程度划分的网络空间。涉密域就是涉及国家秘密的网络空间。非涉密域就是不涉及国家的秘密,但是涉及到本单位,本部门或者本系统的工作秘密的网络空间。公共服务域是指不涉及国家秘密也不涉及工作秘密,是一个向互联网络完全开放的公共信息交换空间。国家有关文件就严格规定,政务的内网和政务的外网要实行严格的物理隔离。政务的外网和互联网络要实行逻辑隔离,按照安全域的划分,政府的内网就是涉密域,政府的外网就是非涉密域,互联网就是公共服务域。 国家有关研究机构已经研究了安全网闸技术,以后根据需求,还会有更好的网闸技术出现。通过安全网闸,把内网和外网联系起来;因此网闸成为电子政务信息系统必须配置的设备,由此开始,网闸产品与技术在我国快速兴起,成为我国信息安全产业发展的一个新的增长点。 网闸的概念 网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议”摆渡”,且对固态存储介质只有”读”和”写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使”黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。 安全隔离与信息交换系统,即网闸,是新一代高安全度的企业级信息安全防护设备,它依托安全隔离技术为信息网络提供了更高层次的安全防护能力,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。 第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的,实现了在空气缝隙隔离(Air Gap)情况下的数据交换,安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。 第二代网闸正是在吸取了第一代网闸优点的基础上,创造性地利用全新理念的专用交换通道PET(Private Exchange Tunnel)技术,在不降低安全性的前提下能够完成内外网之间高速的数据交换,有效地克服了第一代网闸的弊端,第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现的,虽然仍是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全效果的,但却提供了比第一代网闸更多的网络应用支持,并且由于其采用的是专用高速硬件通信卡,使得处理能力大大提高,达到第一代网闸的几十倍之多,而私有通信协议和加密签名机制保证了内外处理单元之间数据交换的机密性、完整性和可信性,从而在保证安全性的同时,提供更好的处理性能,能够适应复杂网络对隔离应用的需求。 传统防火墙与网闸(SGAP)的对比 下面我们用一张表反映传统防火墙与网闸(SGAP)的对比情况。
网闸产品对比:选用安全隔离网闸注意的问题 什么是网闸?如何比较不同的网闸产品?是许多人关心的问题。本文将就一些网闸的设计原理来对国内的网闸技术进行一下对比,以便用户可以更加准确地了解到不同设计的优缺点。 近来出现的安全隔离网闸技术(也称:物理隔离网闸或安全隔离与信息交换系统)解决了部分防火墙安全性不足的问题。从原理上说,网闸是由两个互相独立的计算机处理模块组成的中间有一个隔离岛。这种同时包含两个互相独立的计算机处理模块的系统显然比具有单一处理单元的防火墙要复杂的多,设计的难度也大得多,价格也要高许多。首先从设计的技术来看,由于工控机可以极大的简化设计过程和大幅度缩短设计时间,绝大多数的安全隔离网闸处理模块均采用工控机主板设计,这种设计会带来前面提到的自身防护性差、稳定性差、功耗大等PC常见的严重问题。 在防范网络攻击方面物理隔离网闸设计往往采用工控机作为其硬件平台。这种设计无需单独设计硬件,极大地简化了设计难度,缩短了产品设计周期。然而工控机的设计的对象主要是满足工业控制设备的需要、并非为网络安全装置设计的,因此他不仅带来了许多无用的功能和硬件而且带来了许多意想不到的严重问题和信息安全漏洞。 所谓工控机就是工业版的电脑(PC)使用标准的操作系统(WINDOS或LINUX)。联想一下你自己使用的电脑,你就知道他有些什么问题。首先大家知道PC和它的操作系统都是一些极易被攻击的对象。它们本身就存在着许多安全漏洞和问题,也就是说自身难保,一个连自身的安全都无法保证的网络安全装置又如何去保护一个网络的信息安全呢? 工控机平台的网络安全装置继承了PC平台的所有弊病,他们表现在: 安全性极差:PC软硬件平台是目前使用最广泛的计算机系统也是最易受攻击的系统:
电子政务应用网闸解决方案 需求分析 某省电子政务网络平台由国家广域政务内网的接入网、省政务内网和省政务外网构成。省政务内网:主要用于传送电子公文、以及不适合通过外网传输的信息:政务信息、视频会议等一些不适合公开的国家秘密信息等。省政务外网:是政务公开和为民办事的窗口,同时也是办公人员与外面进行信息交流的通道,与互联网通过网络安全系统逻辑连接,以省政府门户网站为载体,各单位通过网站对外提供网上服务、受理申请等。 联网范围:省电子政务网络平台连接省、市、县(区)级政府及相关职能部门,以及因需要接入的企事业单位。省政务内网是党政机关的办公专网,其接入范围暂按省委办公厅机要局联网范围确定。省政务外网是业务部门的政务专网,凡不需要在政务内网上运行的业务系统可接入政务外网。省政务外网设立国际互联网统一出口,接入外网的各单位通过统一出口访问国际互联网;因工作需要保留国际互联网出口的单位,其出口网络必须与省政务外网物理隔离。各市的政务外网也应分别设立国际互联网统一出口,通过当地统一出口访问国际互联网。连接范围为省、市、县(区)级政府及相关职能部门,以及因需要接入的企事业单位。 根据《中共中央办公厅国务院办公厅关于转发<国家信息化领导小组关于我国电子政务建设指导意见>通知》中办发(2002)17号:建设和整
合统一的电子政务网络。电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离。 省电子政务网安全隔离建设按照国家保密局的要求以涉及国家秘密和不涉及国家秘密为划分分界线,政务外网承载的载体不能涉及国家秘密,可以涉及政务机关的工作秘密和内部秘密。政务外网所有设计国家秘密的计算机网络必须进行安全隔离,既要保证两个网络间的任何点不存在共用网络设备,不存在任何形式的网络联接,确保按最大化原则建设的政务外网不存在任何可能的引入国家秘密载体的节点。 整体设计原则根据相关的要求,在进行网络系统安全方案设计、规划时,遵循以下原则: 高可靠性原则拟建交换系统应能够高可靠地运行,网络安全设备不应因故障造成应用系统停运。 可扩充性原则要求拟建系统的可扩充性以及前后兼容一致性较好,在进行系统方案设计时,要求其硬件、软件是建立在广泛的可扩充的基础上,且易于升级,能最大程度保护用户投资。 安全性原则要求建立技术先进、管理完善、机制健全的系统安全体系,做到网络不间断、畅通地运行;应用系统不受外部和内部侵害。 易操作性原则有良好的用户界面,易于配置,操作简便。 方案设计
网闸工作原理 网神SecSIS 3600安全隔离与信息交换系统的工作基于人工信息交换的操作模式,即由内外网主机模块分别负责接收来自所连接网络的访问请求,两模块间没有直接的物理连接,形成一个物理隔断,从而保证可信网和非可信网之间没有数据包的交换,没有网络连接的建立。在此前提下,通过专有硬件实现网络间信息的实时交换。这种交换并不是数据包的转发,而是应用层数据的静态读写操作,因此可信网的用户可以通过安全隔离与信息交换系统放心的访问非可信网的资源,而不必担心可信网的安全受到影响。 信息通过网闸传递需经过多个安全模块的检查,以验证被交换信息的合法性。当访问请求到达内外网主机模块时,首先由网闸实现TCP连接的终结,确保TCP/IP协议不会直接或通过代理方式穿透网闸;然后,内外网主机模块会依据安全策略对访问请求进行预处理,判断是否符合访问控制策略,并依据RFC或定制策略对数据包进行应用层协议检查和内容过滤,检验其有效载荷的合法性和安全性。一旦数据包通过了安全检查,内外网主机模块会对数据包进行格式化,将每个合法数据包的传输信息和传输数据分别转换成专有格式数据,存放在缓冲区等待被隔离交换模块处理。这种“静态”的数据形态不可执行,不依赖于任何通用协议,只能被网闸的内部处理机制识别及处理,因此可避免遭受利用各种已知或未知网络层漏洞的威胁。如下图所示:
网神SecSIS 3600安全隔离与信息交换系统通过专有的隔离交换卡实现内外网主机模块的缓冲区内存映射功能,将指定区域的数据复制到对端相应的区域,完成数据的交换。隔离交换卡内嵌安全芯片,采用高速全双工流水线设计,内部吞吐速率达5Gbps,完全可以满足高速数据交换的需要。 隔离交换模块固化控制逻辑,与内外网模块间只存在内存缓冲区的读写操作,没有任何网络协议和数据包的转发。隔离交换子系统采用互斥机制,在读写一端主机模块的数据前先中止对另一端的操作,确保隔离交换系统不会同时对内外网主机模块的数据进行处理,以保证在任意时刻可信网与非可信网间不存在链路层通路,实现网络的安全隔离。 当内外网主机模块通过隔离交换模块接收到来自另一端的格式化数据,可根据本端的安全策略进行进一步的应用层安全检查。经检验合格,则进行逆向转换,将格式化数据转换成符合RFC标准的TCP/IP数据包,将数据包发送到目的计算机,完成数据的安全交换。 网神SecSIS 3600安全隔离与信息交换系统提供基于纯文件的交换方式,内网和外网的数据传输模块各自对文件进行病毒扫描、签名校验、文件类型校验、文件内容过滤,对符合要求的文件进行转发。不借助任何第三方软件,完全通过文件的拷贝、粘贴方式实现,为了避免网络漏洞,网闸不开放任何连通两侧的网络通道,在保证绝对安全的前提下,通过数据摆渡实现文件交换。
安全隔离网闸技术指标:2台 功能点功能详细要求 ★基本要求 系统架构 千兆模块化平台,冗余双电源,采用“2+1”系统架构,隔离交换矩阵基于 专用芯片实现主机系统间采用自有协议摆渡数据,确保信任网络和非信任 网络之间任何连接的断开,彻底阻断TCP/IP协议及其他网络协议。遵循 CSC关联安全标准,实现与内网安全管理系统联动。非windows操作系 统。 隔离交换矩 阵 自主研发的硬件,无操作系统,外界无法编程控制,而不是采用低安全性 的通用可编程硬件,如网线、SCSI、USB等 接口配置 支持扩展,标配≥8个SFP,配4个多模光模块;≥8个10/100/1000M自 适应电口,内/外网主机系统分别具有独立的网络口、管理口、HA口(热 备口) 内外网主机系统分别具有1个RS-232口 系统吞吐量≥1000Mbps 并发连接数≥错误!未找到引用源。6万 延时<5ms 功能 模块 文件交换★实现文件的安全交换,支持NFS、SMBFS等文件系统和多种细粒度检测控制功能 支持改名传输方式,可实现对源文件改名,标明传输状态 支持增量传输方式,可实现只传输修改和增加了的源文件 支持传输后删除方式,可实现传输结束后删除源文件
FTP访问★实现安全的FTP访问,支持对用户、命令、文件类型等细粒度访问控制支持动态建立数据通道,并可对访问端口号自由定义 数据库传输 ★ 实现对多种主流数据库系统的安全访问和同步,支持TNS协议,支持对 访问数据库的用户进行控制 邮件传输★实现用户安全访问邮件服务器,访问过滤选项涵盖邮件地址、主题、正文内容、附件等 安全浏览★实现内网用户安全浏览外网资源,支持本地、Radius、LDAP等认证方式,提供对URL、ActiveX、Cookie、JavaApplet等的过滤功能 定制访问★ 实现特定TCP、UDP协议的数据隔离交换,可合作定制开发针对特定协 议的安全检测,病毒检测、入侵检测及抗DDOS攻击,实现如黑白名单 控制、关键字过滤等 可靠性冗余协议支持MRP多重冗余协议,保障设备的高可靠性 双机热备通过独立的热备端口实现双机热备 负载均衡支持2~32台设备实现负载均衡,无需第三方软硬件支持端口冗余支持设备自身物理端口冗余功能 链路聚合物理端口支持802。3ad标准,实现链路聚合功能 资质及服务信息安全产品 认证证书★ 中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》 国家保密局资 质★ 国家保密局涉密信息系统安全保密测评中心颁发《涉密信息系统产品检测证书》软件著作权国家版权局颁发的《计算机软件著作权登记证书》
3.3.4网络隔离方案 配置一台隔离网闸,用于办公网络和视频网的隔离需求。 3.3. 4.1产品选型 网闸选用北京安盟SU-GAP3000-VCH7型。其具有如下资质: (1)公安部计算机信息系统安全专用产品销售许可证(强制性)。 (2)国家保密局提供的涉密信息系统产品检测证书。 (3)中国国家信息安全认证产品3C认证证书(强制性)。 (4)军用信息安全产品认证证书。 (5)计算机软件著作权证书。 3.3. 4.2网闸布置连接示意图
3.3. 4.3产品性能参数
3.3. 4.4主要功能 安盟华御安全隔离与信息交换系统的主要功能特点就是在保证两个网络隔离的情况下,做一定的安全数据交换,安盟华御安全隔离与信息交换系统由内、外网处理单元和安全数据交换单元组成,安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡,其数据流转过程类似U盘拷贝,也像船只通过船闸的过程,所以安全隔离与信息交换系统被业内形象的简称为“网闸”。网闸在保证内外网隔离的情况下,实现可靠、高效的安全数据交换,而所有这些复杂的操作均由系统自动完成,用户只需依据自身业务特点定制合适的安全策略既可实现内外网络进行安全数据通信,在保障用户信息系统安全性的同时,最大限度保证客户应用的方便性。 具体功能有: 1)采用专用安全操作系统,加固系统内核,不采用操作系统自带的TCP/IP
协议栈。 2)设备支持透明及非透明两种工作模式,管理员可依据实际网络状况进行相应的部署;内外网不可路由。 3)产品内置各类应用支持模块,无须用户增加投资。 4)至少包括:邮件模块、安全浏览模块、数据库访问模块、数据库同步模块、文件交换模块、DCS工业控制模块、用户自定义应用模块等各类应用模块,并可控制相应的动作、参数、内容。 5)支持内外网数据库应用代理。 6)内置ORACLE、SQL Server代理引擎,可控制SQL动作语句,如只允许SELECT,不允许DELETE。 7)内置多媒体应用处理模块,可兼容主流视频传输及控制协议。 8)支持内外网文件摆渡,可控制EXE、DLL、RAR、ZIP文件类型。 9)可依据实际网络情况,管理员自行设定安全通道,单向/双向传输。 10)支持统一图形化日志统计报表,并生成html格式的日志报表文件。 11)设备管理口无IP地址,只有通过专用控制台软件才能搜索到设备,并管理设备。从而杜绝非法搜索、尝试管理网闸设备的行为。 12)多用户、权限分立制度,确保合法用户只能做指定的操作。 13)通过专用的控制口进行设备管理。 14)支持双机热备及多机热备。 15)支持IP与MAC地址绑定。 16)支持根据时间自动切换安全策略。 17)支持规则模板的导入、导出。