安全隔离与信息交换系统(安全隔离网闸)
研究报告
2009年8月
1
目 录
1 前言 ......................................................................................................... 3 2 基本概念和技术介绍 ............................................................................. 4
2.1 基本概念和应用场合 ...................................................................................... 4
2.1.1 概述 ........................................................................................................ 4 2.1.2 用途 ........................................................................................................ 5 2.2 技术原理和基本功能 ...................................................................................... 5
2.2.1 系统架构及工作原理 ............................................................................ 5 2.2.2 基本功能和安全性 ................................................................................ 6 2.3 同其他安全产品的比较与综合使用 .............................................................. 7
2.3.1 安全隔离网闸与防火墙 ........................................................................ 7 2.3.2 安全隔离网闸和物理隔离卡 ................................................................ 8 2.3.3 综合使用多种安全产品 ........................................................................ 8
3 知名公司和产品介绍 ............................................................................. 9
3.1 概述 .................................................................................................................. 9
3.2 天行网安 .......................................................................................................... 9
3.2.1 公司简介和产品资质 ............................................................................ 9 3.2.2 产品介绍——Topwalk-GAP V3.0 ........................................................ 9 3.2.3 解决方案和成功案例 .......................................................................... 12 3.3 联想网御 ........................................................................................................ 13
3.3.1 公司简介 .............................................................................................. 13 3.3.2 产品介绍——网御SIS-3000 .............................................................. 14 3.3.3 典型用户 .............................................................................................. 16 3.4 安盟华御 ........................................................................................................ 17
3.4.1 公司简介 .............................................................................................. 17 3.4.2 产品介绍——SU-GAP3000 ................................................................ 18 3.4.3 解决方案介绍 ...................................................................................... 19
4 报告总结 ............................................................................................... 20
2
1 前言
Michael Bobbin(《计算机安全杂志》主编)说,“保证一个系统真正安全的途径只有一个:断开网络,这也许正在成为一个真正的解决方案。”
在政府、国防、能源等很多重要领域,对数据机密性、网络平稳性、业务连续性要求极高,坚如磐石的安全保障尤其关键。市场需求催生了安全技术的创新,在上世纪90年代中期俄罗斯人Ry Jones首先提出“AirGap”隔离概念,然后,以色列研制成功物理隔离卡,实现网络之间的安全隔离;其后,美国Whale Communications公司和以色列SpearHead公司先后推出了e-Gap和NetGap产品,利用专有硬件实现两个网络在不连通的情况下数据的安全交换和资源共享,从而使安全隔离技术从单纯实现“网络隔离禁止交换”发展到“安全隔离和可靠交换”。目前,美国军方、重要政府部门均采用隔离技术保障信息安全,我国的安全隔离技术的发展同样经历了类似的过程。
2000年1月1日,国家保密局发布实施《计算机信息系统国际联网保密管理规定》明确要求“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连,必须实行物理隔离”。该规定在互联网发展初期具有前瞻性地提出政府上网必须“物理隔离”,及时的把政府上网安全提到一个重要的高度,具有重大意义。并由此而发展出了安全隔离计算机、安全隔离卡等系列安全隔离安全产品。
3
2 基本概念和技术介绍
随着我国信息化建设的加快,信息安全已经成为各个行业关注的焦点,特别是电子政务、军队、能源等行业,在这些行业应用中,防火墙、防病毒、入侵检测、VPN、审计系统等安全产品都得到了较好的应用。但是从网络防御角度来看, 防御的深度愈深,网络就愈安全。对此,国内外提出了一种较新的技术,称为隔离技术,产品称为安全隔离与信息交换系统。这种产品的应用,能够从一定程度上更有效的保护内部网络。
从安全隔离与信息交换系统的组成来看,它主要由三部分组成,即外部处理系统、内部处理系统以及隔离硬件。
其基本原理是截断网络之间直接的通用协议连接,将数据包进行分解、重组为静态数据,并对静态数据进行安全审查。确认后的安全数据流入内部系统,内部用户通过严格的身份认证机制获取所需数据。重要的是,安全隔离与信息交换系统不单纯检查网络传输协议(TCP/IP),还把(TCP/IP)协议头剥离掉,还原成第七层之上的数据。
以收电子邮件为例,外部的邮件服务器发起对隔离设备的非TCP/IP协议的数据连接,隔离设备将所有的协议剥离,将原始的数据写入存储介质。一旦数据完全写入隔离设备的存储介质,隔离设备立即中断与外网的连接。转而发起对内网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向内网。内网收到数据后,立即进行TCP/IP的封装和应用协议的封装,并交给应用系统。这时内网电子邮件系统就收到了外网的电子邮件系统通过隔离设备转发的电子邮件。整个过程中,隔离设备都经历了数据的接受,存储和转发三个过程。
因此,它可作为防火墙、入侵检测的合理补充,保护核心网络的数据安全,形成纵深的防御体系中的重要一环。
从安全隔离与信息交换系统的应用上看,它可以应用到涉密网之间、安全域与非安全域之间、局域网与互联网之间(内网与外网之间)、办公网与业务网之间、电子政务的内网与专网之间、业务网与互联网之间等。
2.1 基本概念和应用场合
2.1.1 概述
安全隔离与信息交换系统又叫安全隔离网闸,简称网闸,英文名称是“GAP”。 安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。
安全隔离与信息交换系统由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡。从而在保证内外网隔离的情况下,实现可靠、高效的安全数据交换,而所有这些复杂的操作均由隔离系统自动完成,用户只需依据自身业务特点定制合适的安全策略既可实现内外网络进行安全数据通信,在保障用户信息系统安全性的同时,最大限度保证客户应用的方便性。
4
2.1.2 用途
安全隔离与信息交换系统主要用于各地电子政务建设,下列场合都可使用隔离系统保障业务系统安全:
? 政务外网与政务内网间存在业务往来的接口; ? 行业内纵向上下级信息系统的接口;
? 行业间需要进行业务信息共享、数据交换的接口;
安全隔离与信息交换系统可在保障信息安全的前提下,在两个不同安全级别的网络区域间进行适量的、可靠的数据交换。
国家保密局对安全隔离与信息交换类产品的应用也做了规定,规定安全隔离与信息交换系统可在以下四种网络环境下应用:
? 不同的涉密网络之间;
? 同一涉密网络的不同安全域之间;
? 与Internet 物理隔离的网络与秘密级涉密网络之间; ? 未与涉密网络连接的网络与Internet 之间”。
2.2 技术原理和基本功能
2.2.1 系统架构及工作原理
安全隔离网闸包括软件和硬件两部分,硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。
安全隔离网闸通常具备的安全功能模块有:安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证。
安全隔离网闸的基本原理是:切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。
安全隔离网闸对网络的隔离是通过网闸隔离硬件实现两个网络在链路层断开,但是为了交换数据,通过设计的隔离硬件在两个网络对应的上进行切换,通过对硬件上的存储芯片的读写,完成数据的交换。安装了相应的应用模块之后,安全隔离网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并可以在网络之间交换定制的文件。
5