安全隔离与信息交换系统(安全隔离网闸)研究报告
安全隔离与信息交换系统(安全隔离网闸)
研究报告
2009年8月
目录
1 前言 (3)
2 基本概念和技术介绍 (4)
2.1 基本概念和应用场合 (4)
2.1.1 概述 (4)
2.1.2 用途 (5)
2.2 技术原理和基本功能 (5)
2.2.1 系统架构及工作原理 (5)
2.2.2 基本功能和安全性 (6)
2.3 同其他安全产品的比较与综合使用 (7)
2.3.1 安全隔离网闸与防火墙 (7)
2.3.2 安全隔离网闸和物理隔离卡 (8)
2.3.3 综合使用多种安全产品 (8)
3 知名公司和产品介绍 (9)
3.1 概述 (9)
3.2 天行网安 (9)
3.2.1 公司简介和产品资质 (9)
3.2.2 产品介绍——Topwalk-GAP V3.0 (9)
3.2.3 解决方案和成功案例 (12)
3.3 联想网御 (13)
3.3.1 公司简介 (13)
3.3.2 产品介绍——网御SIS-3000 (14)
3.3.3 典型用户 (16)
3.4 安盟华御 (17)
3.4.1 公司简介 (17)
3.4.2 产品介绍——SU-GAP3000 (18)
3.4.3 解决方案介绍 (19)
4 报告总结 (20)
1 前言
Michael Bobbin(《计算机安全杂志》主编)说,“保证一个系统真正安全的途径只有一个:断开网络,这也许正在成为一个真正的解决方案。”
在政府、国防、能源等很多重要领域,对数据机密性、网络平稳性、业务连续性要求极高,坚如磐石的安全保障尤其关键。市场需求催生了安全技术的创新,在上世纪90年代中期俄罗斯人Ry Jones首先提出“AirGap”隔离概念,然后,以色列研制成功物理隔离卡,实现网络之间的安全隔离;其后,美国Whale Communications公司和以色列SpearHead公司先后推出了e-Gap和NetGap产品,利用专有硬件实现两个网络在不连通的情况下数据的安全交换和资源共享,从而使安全隔离技术从单纯实现“网络隔离禁止交换”发展到“安全隔离和可靠交换”。目前,美国军方、重要政府部门均采用隔离技术保障信息安全,我国的安全隔离技术的发展同样经历了类似的过程。
2000年1月1日,国家保密局发布实施《计算机信息系统国际联网保密管理规定》明确要求“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连,必须实行物理隔离”。该规定在互联网发展初期具有前瞻性地提出政府上网必须“物理隔离”,及时的把政府上网安全提到一个重要的高度,具有重大意义。并由此而发展出了安全隔离计算机、安全隔离卡等系列安全隔离安全产品。
2 基本概念和技术介绍
随着我国信息化建设的加快,信息安全已经成为各个行业关注的焦点,特别是电子政务、军队、能源等行业,在这些行业应用中,防火墙、防病毒、入侵检测、VPN、审计系统等安全产品都得到了较好的应用。但是从网络防御角度来看,防御的深度愈深,网络就愈安全。对此,国内外提出了一种较新的技术,称为隔离技术,产品称为安全隔离与信息交换系统。这种产品的应用,能够从一定程度上更有效的保护内部网络。
从安全隔离与信息交换系统的组成来看,它主要由三部分组成,即外部处理系统、内部处理系统以及隔离硬件。
其基本原理是截断网络之间直接的通用协议连接,将数据包进行分解、重组为静态数据,并对静态数据进行安全审查。确认后的安全数据流入内部系统,内部用户通过严格的身份认证机制获取所需数据。重要的是,安全隔离与信息交换系统不单纯检查网络传输协议(TCP/IP),还把(TCP/IP)协议头剥离掉,还原成第七层之上的数据。
以收电子邮件为例,外部的邮件服务器发起对隔离设备的非TCP/IP协议的数据连接,隔离设备将所有的协议剥离,将原始的数据写入存储介质。一旦数据完全写入隔离设备的存储介质,隔离设备立即中断与外网的连接。转而发起对内网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向内网。内网收到数据后,立即进行TCP/IP的封装和应用协议的封装,并交给应用系统。这时内网电子邮件系统就收到了外网的电子邮件系统通过隔离设备转发的电子邮件。整个过程中,隔离设备都经历了数据的接受,存储和转发三个过程。
因此,它可作为防火墙、入侵检测的合理补充,保护核心网络的数据安全,形成纵深的防御体系中的重要一环。
从安全隔离与信息交换系统的应用上看,它可以应用到涉密网之间、安全域与非安全域之间、局域网与互联网之间(内网与外网之间)、办公网与业务网之间、电子政务的内网与专网之间、业务网与互联网之间等。
2.1 基本概念和应用场合
2.1.1 概述
安全隔离与信息交换系统又叫安全隔离网闸,简称网闸,英文名称是“GAP”。
安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。
安全隔离与信息交换系统由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡。从而在保证内外网隔离的情况下,实现可靠、高效的安全数据交换,而所有这些复杂的操作均由隔离系统自动完成,用户只需依据自身业务特点定制合适的安全策略既可实现内外网络进行安全数据通信,在保障用户信息系统安全性的同时,最大限度保证客户应用的方便性。
2.1.2 用途
安全隔离与信息交换系统主要用于各地电子政务建设,下列场合都可使用隔离系统保障业务系统安全:
政务外网与政务内网间存在业务往来的接口;
行业内纵向上下级信息系统的接口;
行业间需要进行业务信息共享、数据交换的接口;
安全隔离与信息交换系统可在保障信息安全的前提下,在两个不同安全级别的网络区域间进行适量的、可靠的数据交换。
国家保密局对安全隔离与信息交换类产品的应用也做了规定,规定安全隔离与信息交换系统可在以下四种网络环境下应用:
?不同的涉密网络之间;
?同一涉密网络的不同安全域之间;
?与Internet 物理隔离的网络与秘密级涉密网络之间;
?未与涉密网络连接的网络与Internet 之间”。
2.2 技术原理和基本功能
2.2.1 系统架构及工作原理
安全隔离网闸包括软件和硬件两部分,硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。
安全隔离网闸通常具备的安全功能模块有:安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证。
安全隔离网闸的基本原理是:切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。
安全隔离网闸对网络的隔离是通过网闸隔离硬件实现两个网络在链路层断开,但是为了交换数据,通过设计的隔离硬件在两个网络对应的上进行切换,通过对硬件上的存储芯片的读写,完成数据的交换。安装了相应的应用模块之后,安全隔离网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并可以在网络之间交换定制的文件。
2.2.2 基本功能和安全性
安全隔离网闸通常具备的安全功能模块有:安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证。
能防止未知和已知的木马攻击
通常见到的木马大部分是基于TCP的,木马的客户端和服务器端需要建立连接,而安全隔离网闸从原理实现上就切断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种
木马无法通过安全隔离网闸进行通讯,从而可以防止未知和已知的木马攻击。
具有病毒防护功能
作为提供数据交换的隔离设备,安全隔离网闸上内嵌病毒查杀的功能模块,可以对交换的数据进行病毒检查。
自身的安全性
由于从网络架构上来讲,安全隔离网闸是处在网关的位置,因此其安全性不言而喻,两个处理单元都采用了经过安全加固的操作系统,包括强制访问控制、基于内核的入侵检测等安全功能,并且该系统得到国家权威部门的认证。
身份认证机制
安全隔离网闸在用于邮件转发和网页浏览的时候,对用户进行用户名/口令、证书认证等多种形式的身份认证。
证书验证机制
安全隔离网闸能防止内部无意信息泄漏:由于安全隔离网闸在数据交换时采用了证书机制,对所有的信息进行证书验证,因此对于那些病毒乱发邮件所造成的无意信息泄漏起到很好的防范作用。
2.3 同其他安全产品的比较与综合使用
2.3.1 安全隔离网闸与防火墙
安全隔离和信息交换系统与防火墙系统是两个不同的概念,国家已经把两者划入两个不同的产品类别,两者的不同主要体现在硬件结构不同,实现的技术路线不同,所能达到的安全强度也不同:
◆硬件体系不同:
安全隔离产品采用双主机加隔离硬件的“2+1”结构,使得两个网络之间没有任何的网络物理连接,没有任何的网络协议可以直接穿透,而防火墙属于单机结构,是基于标准的网络协议直接转发的。
◆技术路线不同:
防火墙内部的协议栈是标准的IP协议栈,在多个接口间通过标准的协议完成路由、转发、状态包过滤等工作,对攻击的检测是基于已知的攻击行为的。安全隔离和信息交换系统则是基于应用协议还原,内部的通信是非标准的安全专用协议进行“摆渡”,天然的具备抵御标准协议自身隐含漏洞的能力,可以抵御基于协议本身的已知和未知的攻击。
◆安全强度不同:
安全隔离产品的转发是建立在七层数据还原后的基础上,根据过滤结果,通过
隔离卡摆渡后重新建立连接发送完成的,是物理隔离。而防火墙一般是基于数据包
的检查,是逻辑隔离。
防火墙由于是单机结构,一旦系统由于配置错误等原因被攻破后,整个内网就
会暴露在攻击者面前。而安全隔离和信息交换系统是多主机结构,即使最坏的情况
出现,外网主机被攻破,由于内外网之间通过隔离卡隔离,通信协议非标准,编程
接口具有专用性,攻击者也不可能攻击到内网。
2.3.2 安全隔离网闸和物理隔离卡
安全隔离网闸与物理隔离卡最主要的区别是:安全隔离网闸能够实现网络间的安全适度的信息交换,而物理隔离卡不提供这样的功能。
安全隔离和信息交换系统是网络边界访问控制设备,隔离的是可信网络和内部网络。物理隔离卡是在单机系统上,通过单机系统开关切换,使受保护的主机不能同时访问两个网络的。
2.3.3 综合使用多种安全产品
安全隔离和信息交换系统虽然综合了多种软硬件技术来保证本身和内部网络关键应用服务器的安全,但安全本身是多层次全方位的体系结构,寄希望于一个单一产品实现所有的防护功能,解决所有的安全问题是不现实的。比如传统的桌面防护产品,防病毒产品等所实现的功能,安全隔离和信息交换系统就基本不涉及。每个产品都有其专业化的优势,没有“全能”的产品。
防火墙是网络层边界检查工具,可以设置规则对内部网络进行安全防护,而IDS一般是对已知攻击行为进行检测,这两种产品的结合可以很好的保护用户的网络,但是从安全原理上来讲,无法对内部网络做更深入的安全防护。安全隔离网闸重点是保护内部网络,如果用户对内部网络的安全非常在意,那么防火墙和IDS再加上安全隔离网闸将会形成一个很好的防御体系。
3 知名公司和产品介绍
3.1 概述
目前,国内有关网闸的知名公司和著名产品主要有:联想网御,天行网安,安盟华御,中网,伟思和利谱等。
3.2 天行网安
3.2.1 公司简介和产品资质
北京天行网安信息技术有限公司是一家专业从事网络管理与信息安全的研究开发、技术支持、产品销售的专业网络安全公司。
●国内第一款基于GAP技术的新一代安全隔离与信息交换产品
●国内第一款能够实现隔离网络间异构数据库交换的产品
●国内第一款通过国家保密局鉴定的安全隔离与信息交换产品
●国内第一款拥有专利技术的安全隔离与信息交换产品
●国内唯一入选国家火炬计划的安全隔离与信息交换产品
●国内唯一能够实现基于消息传递机制的安全隔离与信息交换产品
●国内唯一获得公安部科技成果鉴定的安全隔离产品
●国内唯一获得公安部科学技术奖的安全隔离产品
3.2.2 产品介绍——Topwalk-GAP V3.0
3.2.2.1 产品技术指标及参数
Topwalk-GAP V3.0 TG-7207产品指标及技术参数
注:*,根据用户选择的软件模块型号不同而有所差异
3.2.2.4 产品报价
通过向天行网安的销售和技术人员的咨询,获得Topwalk-GAP V3.0安全隔离与信息交换系统的三款产品的报价如下表所示:
3.2.3 解决方案和成功案例
3.2.3.1 解决方案
交警违法信息公开
网上工商
税务信息系统
公安信息系统
政府电子政务
社区视频监控
劳动和社会保障
3.2.3.2 成功案例
公司成立多年来,凭借其强大的技术实力和完善的安全服务、良好的市场运作能力已经同许多政府部门、科研机构、大型国有企业以及大专院校建立了广泛的合作关系,公司的产品和服务也已经广泛应用于这些机构,并赢得了客户的一致好评。
部分应用客户如下:
电子政务公安行业
●新华通讯社●公安部第23局
●国家环保总局核安全中心●广东省公安厅
●河北省政府●山东省公安厅
●云南省政府●山西省公安厅
●湖南省政府●福建省公安厅
●北京市西城区政府●河南省公安厅
●山东省国税局●湖南省公安厅
●青海省国税局●辽宁省公安厅
●湖南省地税局●吉林省公安厅
●辽宁省地税局●江苏省公安厅
●大连市国税局●北京市公安局
●南京市国税局●上海市公安局
●昆明市政府●浙江省公安厅
●中国人民解放军总装备部●重庆市公安局
●中国人民解放军总后勤部●天津市公安局
●中国人民解放军XX军区●青海省公安厅
●XX市国家安全局●宁夏回族自治区公安厅
●北京市城市规划设计研究院●内蒙古自治区公安厅
●唐山市国土资源局……●拉萨市公安局……
3.3 联想网御
3.3.1 公司简介
联想网御自1999年进入信息安全行业以来,在联想大家庭的倾力支持下,在广大用户的热心帮助下,以打造中国信息安全新长城为己任,已成长为中国信息安全产业的领军企业。
在信息安全领域拥有众多核心技术,先后申请专利50余项,拥有全系列防火墙、VPN、UTM、IDS、IPS、防病毒网关、安全隔离网闸、安全管理共计10大类370余款产品,是国内信息安全产品线最全的企业。
3.3.2 产品介绍——网御SIS-3000
3.3.2.1 产品概述
联想网御SIS-3000安全隔离与信息交换系统采用多主机隔离结构和安全芯片设计,在业内首次提出并实现专有SIS安全隔离技术,把安全性(Security)、智能性(Intellegence)、高效性(Speed)完美的结合在一起。其中内外网模块连接相应网络实现数据的接收及预处理等操作,隔离交换模块采用专用的硬件设计,通过专有信道,采用非网络协议实现与内外网模块的数据交换,保证任意时刻内外网间没有链路层连接。数据只能以专用数据块方式静态地在内外网间通过网闸进行“摆渡”,传送到网闸另一侧。同时集成多种安全技术手段,采用强制安全策略,对数据内容进行安全检测,保障数据安全、可靠的交换。其工作原理如下图:
联想网御SIS-3000安全隔离与信息交换系统安装应用方便,通过对连接和数据包的获取、阻断、分离、检测、重组、交换、恢复、连接等一系列安全操作完成数据的隔离与交换,而这些复杂的安全检测操作对用户而言是透明的。联想网御SIS-3000安全隔离与信息交换系统在提高和保障用户的网络安全时,最大限度的保证了用户应用的方便性。
3.3.2.2 产品报价
通过向联想网御的销售和技术人员的咨询,获得联想网御SIS-3000安全隔离与信息交换系统的两款产品(千兆和百兆)的报价如下表所示:
3.3.2.3 产品认证
计算机信息系统安全专用产品销售许可证
中国国家信息安全评测认证中心
国家保密局科学技术成果鉴定证书
中国人民解放军信息安全评测认证中心
3.3.3 典型用户
3.3.3.1 电子政务
国家新闻出版署中国证监会国家海关总署
国家气象总局北京市政协北京市海淀区政府
北京市企业信息管理中心北京市工商局辽宁省抚顺市财政
辽宁省本溪市财政河北省政府河北省发展与改革委员会河北省国土资源厅河北衡水市政府石家庄市交通指挥中心
江苏省高速公路管理中心河南省社保局合肥住房公积金管理中心
浙江省粮食局杭州市政府义乌市社保
浙江省气象局杭州市文广新局绍兴市工商局
广东省海事局广州市社保深圳市龙岗区监察局
东莞市监察局深圳市法院中山市国土资源局
江门市国土资源局佛山房产局佛山市政府
贵州省经贸委云南省国资委云南大理旅游局
3.3.3.2 公安行业
河北省公安广东省公安辽宁省公安
黑龙江省公安天津市公安成都市公安
合肥市公安局江西省抚州交警江西省公安厅网监处
海口交警云南省交警舟山市公安
韶关市公安丽水市公安湖州公安
3.3.3.3 税务行业
湖北省国税安徽省国税河北省国税
河南省国税新疆自治区国税福建省国税
辽宁省国税厦门市国税兰州市国税
苏州市国税南通市国税厦门国税
哈尔滨市地税福建省地税辽宁省地税
新疆自治区地税邯郸地税江苏省宿迁地税
3.3.3.4 其他行业
人民日报社新华社中国证监会
河南省烟草公司山西移动通信公司上海房地产中心
中山市军分区济南市军分区山西省阳煤集团
河北省建设银行泰康人寿保险公司中国航天五院
3.4 安盟华御
3.4.1 公司简介
北京安盟信息技术有限公司位于北京市中关村上地信息产业基地,是一家致力于信息安全技术研究、信息安全产品研发、安全服务和软件开发的高新技术企业和软件企业,公司具有中关村高科技园区的高新技术企业认定证书及软件协会认定的软件企业证书。从2002年开始,公司投入30多名软硬件研发人员进行安全隔离与信息交换系统的开发工作,并于2002年首批获得公安部销售许可证,2003年9月获得国家保密局的涉密信息系统产品检测证书及军用信息安全产品认证证书。
公司以雄厚的技术力量为依托、以强大的客户群体的实践工作为根本,结合国家的保密政策及相关的法律、法规,自主研发的具有自主知识产权的“华御安全隔离与信息交换系统(网闸)”目前已广泛的应用于全国各地的政府、金融、税务、工商、航天、教育、电信、交通、化工、钢铁、公安、医疗等行业,并得到了广大用户的好评与支持。目前公司成为太极计算机股份有限公司安全产品线的总代理商,在信息安全研发、销售方面展开全面的合作。
3.4.2 产品介绍——SU-GAP3000
3.4.2.1 产品型号
华御安全隔离与信息交换系统(网闸)产品型号:
3.4.2.4 产品报价
注:安盟的销售人员说:如果实施的话价格还可以更便宜一些。
3.4.3 解决方案介绍
电子政务应用网闸解决方案
政府上网网闸解决方案
公安交警系统应用网闸解决方案
公安系统旅馆业管理网闸解决方案
公安系统印章业管理网闸解决方案
工商系统网闸解决方案
税务系统网闸解决方案
社保行业网闸解决方案
银行金融业网闸解决方案
证券、保险业网闸解决方案
电信行业网闸解决方案
石油化工行业网闸解决方案
电力、能源行业网闸解决方案
医疗行业应用网闸解决方案
制药行业应用网闸解决方案
公路交通行业网闸解决方案
钢铁、冶金行业网闸解决方案
水泥生产企业网闸解决方案
造纸、水处理行业网闸解决方案
4 报告总结
本文通过对安全隔离与信息交换系统(安全隔离网闸)有关技术文档的搜集、阅读和整理,得到了一份简单的研究报告,由于水平有限加之对网闸技术的了解还不够全面和深入,不免存在不足和差错,所以本研究报告仅供领导参考并请领导批评指正。