安全隔离与信息交换系统产品点评
- 格式:pdf
- 大小:159.69 KB
- 文档页数:3
2004・7 计算机安全11Network&Computer Security国保金泰安全隔离与信息交换系统国保金泰安全隔离与信息交换系统是北京国保金泰信息安全技术有限公司送测的隔离产品。
该公司是从事信息系统安全技术产品研发、信息安全系统服务和信息安全系统集成的高新技术企业。
该产品在技术实现上,根据国家对网络管理的相关规定,提出了硬件映射隔离技术(HRITM),并将此技术运用于该隔离交换产品上。
该技术对处于内部网络的网关位置隔离系统,可以截获所有在网络上传输的数据包,并通过解析数据包头来判断信息的流向,进而将数据包头状态在本地保存,并将数据包中不包含连接信息的纯数据部分通过硬件映射隔离技术(HRITM),在内外网间进行纯数据交换,然后根据数据需要重新构造连接信息。
通过上述构造,国保金泰安全隔离与信息交换系统保证了系统之间的安全隔离与交换。
同时,基于HRITM技术的隔离交换卡是连接内端系统和外端系统的唯一数据通道。
在HRITM隔离交换卡上,它提出了芯片级信道控制技术,即通过芯片检测及芯片互锁机制在内端系统和外端系统之间建立起完全隔离的两条数据通道,一条数据通道仅传输内网到外网的数据,另一条数据通道仅传输外网到内网的数据,通过对数据流向的分离达到对信道的完全控制。
安全隔离与信息交换系统产品点评该产品在管理上,采用了专用管理平台,提供了专门的日志审计,审计日志可以基于自主加密、SysLog等方式输出。
同时,还提供了运行日志、告警日志、认证日志、审计日志、操作日志五大类日志信息,并可通过日志审计系统进行类别、用户账号、时间段、地址、告警级别等综合热点查询。
在功能实现上,该产品所具有的功能包括:通过内端系统的包过滤和应用代理及认证模块实现对内网用户请求的认证和管理,并支持合法内网用户进行网页浏览和邮件收发;通过内端系统内容过滤模块对由内网发往外网的邮件进行检查和过滤,防止内部信息非法泄露;通过与硬件卡配合的专用数据传输协议实现数据的交换;通过外端系统的入侵检测模块检查来自外网的攻击;通过外端系统的包过滤防火墙模块防止来自外网的非授权访问;通过防病毒模块检查和阻挡来自外网的病毒;通过日志管理模块动态显示当前数据交换的安全状态,并记录所有网络活动以备审计追踪;支持的通信协议包括:HTTP、HTTPS、FTP、SMTP、POP3、Oracle(TNS)、SQLServer、ODBC、DNS、LDAP以及基于自主协议的TCH专用通信API;同时还提供专用数据交换套件,包括数据库同步套件、邮件同步套件、文件同步套件等。
在安全性和性能方面,该产品的操作系统采用了经过安全加固的安全操作系统,可以对内部应用程序和数据提供强制访问控制;在数据交换时,安全隔离系统的内端机和外端机之间并不存在网络协议,因此如果是隔离器不认识的协议将完全不能通过,利用网络进行渗透的恶意程序将不能生效,同时其单层协议栈结构也确保了检查的有效性,解决了传统安全防护手段所遇到的信息旁路问题。
总体来说,该产品设计架构安全,产品功能丰富,审计功能强大,同时,该产品也具有较好的网络传输性能。
浪潮网泰安全隔离网闸NS-0310浪潮网泰安全隔离网闸NS-0310是浪潮集团有限公司推出的安全产品,该公司是从事信息系统安全技术产品研发、信息安全系统服务和信息安全系统集成的高新技术企业。
在技术实现上,该产品有两套处理系统,称为内端系统和外端系统。
内端系统和外端系统是两套独立的系统板,各自都拥有自己的CPU、存储体和总线,并且在两套系统间除通过基于HRITM技术的隔离交换卡外,不存在直接或间接的联系。
内端系统用来处理内部网络的信息,包括用户请求、认证、权限控制等;外端系统用来处理外部网络的信息,如获取Internet资源等。
同时,该产品使用基于HRITM技术的隔离交换卡,此卡是连接内端系统和外端系统的惟一数据通道。
在HRITM隔离交换卡上,提出了芯片级信道控制技术,即通过芯片检测及芯片互锁机制在内端系统和外端系统之间建立起完全隔离的两条数据通道,一条数据通道仅传输内网到外网的数据,另一条数据通道仅传输外网到内网的数据,通过对数据流向的控制达到对信道的完全控制。
物理隔离网闸专辑计算机安全 2004・712Network&Computer Security在管理上,浪潮安全隔离与信息单向传输系统可以通过GUI、Console进行管理配置,其中GUI管理配置提供独立网络接口,以保证更高安全性,管理配置需要通过系统身份认证。
在日志分析方面,浪潮安全隔离与信息单向传输系统提供完善的日志分析工具,可以通过GUI方式进行日志的查询与维护,日志分析需要通过系统身份认证,日志支持导入导出。
在功能上,浪潮网泰安全隔离网闸NS-0310集成了国家保密局指定的涉密文件密级标识检查系统和高效内容检查系统,可以对邮件及其附件做内容检查,对邮件附件做密级标识检查,附件检查格式支持.zip、.rar、.arj、.tar等,附件文档格式支持.doc、.ppt、.xls等。
对于HTTP请求,浪潮网泰安全隔离网闸NS-0310遵循RFC标准对所有HTTP数据进行解析,对于绝大部分HTTP隐通道可以进行过滤,数据到达目的地后也同样按照RFC的标准进行恢复。
同时在浪潮网泰安全隔离网闸NS-0310的外端系统上还集成了防病毒模块(可选),可以对网页病毒、邮件病毒等进行过滤,并对含毒邮件报警,提醒用户重新连接。
在安全性上,由于浪潮网泰安全隔离网闸NS-0310内部并不存在任何网络协议,因此在外网系统中无法通过网络对内网进行攻击,通过了赛迪评测本次的端口扫描、系统漏洞、木马、DoS/DDoS等攻击测试。
另外,假设极限情况是外端系统可能被攻破,但其特殊的安全机制保障了攻击信息不会进入内网,从最大程度上保证了内网的安全。
总体来说,浪潮网泰安全隔离网闸NS-0310配置管理方便快捷,功能设计完善,安全访问控制能力强,并具有较好的安全性和性能。
联想网御SIS-3000V3安全隔离与信息交换系统联想网御SIS-3000V3安全隔离与信息交换系统是联想公司研制的网络安全隔离产品。
该产品在技术实现上采用多主机隔离结构。
交换模块采用专有硬件设计,通过专有安全芯片实现内外网数据的交换,使得系统具有高度安全性,同时也具有很高的交换性能,系统从硬件层面实现了内外网安全隔离,保证任意时刻内外网间没有链路层连接,数据只能以专用数据块方式静态地在内外网间通过网闸进行“摆渡”,通过对连接和数据包的获取、阻断、分离、检测、重组、交换、恢复、连接等一系列安全操作完成数据的隔离与交换。
该产品在提高和保障用户的网络安全时,最大限度地保证了用户应用的方便性。
该产品同时集成多种安全技术手段,采用强制安全策略,对数据内容进行安全检测,保障数据安全、可靠地交换。
在管理上,该产品具有基于数字证书的远程移动安全管理工具。
提供基于全中文WEB方式的远程管理系统,方便用户移动管理,同时对管理员身份进行严格的认证,支持基于HTTPS的数字证书安全访问,对用户密码进行严格的检查,防止出现弱密码,并对输入错误次数进行限定,保护管理员身份安全。
基于串口通讯管理工具。
系统还提供本地串口登录管理功能,在远程管理失效或者遭受非法攻击等情况下,通过物理上接近系统,能够及时地进入并管理配置系统。
该产品提供了强大的日志和设计功能,支持SysLog等标准日志服务,支持对所有访问的日志记录功能,提供对本地日志信息的浏览、查询、排序、下载等多种审计手段,还支持对指定事件的多种报警方式,包括:界面报警、邮件报警、手机短信报警等等。
在功能上,该产品针对不同的应用具有完善的应用功能模块,主要应用模块包括:文件交换模块、数据库模块、邮件模块、安全浏览模块。
在基本功能实现上,该产品采用协议剥离技术,只进行纯数据的交换,集成入侵检测引擎。
在应用模块上,该产品支持HTTP/HTTPS、POP3、SMTP、FTP、SAMBA、NFS、DNS等多种应用层协议,不同的功能模块分别对这些协议进行细粒度检测。
主要实现功能包括:关键字检测、黑白名单过滤、文件类型检验、用户名/口令校验、数字签名校验、身份认证、控件过滤、脚本过滤、URL过滤、邮件属性过滤、垃圾邮件过滤、异构数据库交换、数据库关键字冲突解决等等。
系统还提供二次开发接口,可以提供定制服务,对用户自定义协议进行安全检测。
在安全性上,该产品可以阻止、发现对安全隔离网闸本身的攻击 、阻止有害代码程序进入被隔离的网络,防止有害的可执行程序、病毒、脚本通过安全隔离网闸交换;防止机密信息泄露,在交换方向、交换内容上进行控制,防止内部机密信息泄露。
总体来说,该产品管理简单,功能上能很好地支持数据库,同时也具有较好的安全防护,是一款较好的产品。
盖特佳网杰安全隔离与信息交换系统盖特佳网杰安全隔离与信息交换系统是北京盖特佳信息安全技术有限公司自主研发的隔离产品。
盖特佳公司是专门从事信息安全服务和安全产品研发的高科技民族企业。
该产品在技术上,通过专用通信硬件、专有交换协议和加密签名机制及应用层数据提取技术,实现了在不同安全级别的网络之间完成风险可控的数据交换,不仅彻底阻断了网物理隔离网闸专辑Network&Computer Security络间的直接TCP/IP连接,而且对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制,从而保证了网间数据交换的安全可控,杜绝了由于操作系统和网络协议自身的漏洞带来的安全风险,能够有效地防范已知和未知的攻击行为。
同时,盖特佳网杰安全隔离与信息交换系统也是一个安全防护平台,在此平台基础上可完成多种安全防护措施和手段,能够最大限度地保护网络免受攻击并防范重要信息的有意或无意泄露。
该产品在管理上,采用基于GUI方式的C/S 架构,对系统进行集中管理。
管理实行分权管理,超级管理员、管理员和审计员的管理权限既相互独立又相互制约,能够有效地保证管理的可靠性;管理策略支持脚本语言,通过脚本语言,能够对系统进行远程集中管理;管理认证方式采用基于PKI技术的身份鉴别和认证方式,支持标准X.509数字证书,密钥存储支持密钥磁盘和USB KEY,能够有效地保证管理员身份鉴别的可靠性;产品提供详细的审计功能,能够对所有通过系统的信息交换活动和管理活动进行监控和审计,并提供相应的信息分析功能。
该产品在功能实现上,具有较好的自身安全性、较好的安全访问控制、强大的应用层安全防护等功能,是一款有较高安全性的安全设备。
产品采用硬件架构和安全裁减的操作系统,系统本身具备高安全性;产品能够对数据交换的双方、内容和过程进行严格的控制,具备精细的安全访问控制功能;产品通过应用层数据提取技术,对应用层数据进行内容检查,具备应用层安全防护功能,通过专用通道和专用协议,能够有效地隔离可信网络和不可信网络,能够达到在不同的涉密网络之间、同一涉密网络的不同安全域之间、与互联网络物理隔离的网络和秘密级涉密网络之间或者未与涉密网络相连接的网络和互联网络之间实现安全隔离的目的。