虎翼阵:天地前冲,变为虎翼,伏虎将搏,盛其威力。淮阴用之,变为无极,垓下之会,鲁公莫测。
虎翼阵是一种变幻莫测的阵法,通过以不断变化的阵法,使中军无形于敌人,保护中军的安全。网御网闸系列产品,确保信任网络和非信任网络之间任何连接的断开,彻底阻断TCP/IP协议及其他网络协议,使内网安全隔离于外界,且实保护内网安全。#p#
安全网络隔离 放心数据交换
◆信息化大背景下政务内网外联的威胁
近年来,随着我国信息化建设步伐的加快,"电子政务"以前所未有的速度发展。在我国电子政务建设中,外部网络连接着广大人民群众,内部专网连接着各级政府的信息系统,涉密内网关系着国家安全则与其他网络完全断开。在外网、专网、涉密网络之间交换信息是基本的要求。
然而,信息网络的安全威胁随着网络和信息系统的发展日益严重,网络和信息系统的互联互通、信息共享,为基于网络的黑客入侵、能够自动复制蔓延和攻击的蠕虫病毒、各种各样的"特洛伊木马",以及各种内部人员的恶意泄密或破坏提供了可乘之机。据权威机构统计,2010年国内新增木马病毒2.18亿个,约有3.5万个网站被黑客篡改,近五千万终端和服务器被感染病毒,信息网络安全所面临的问题越来越多,内容越来越复杂。
传统网络防护手段及不足
传统的安全防护产品防火墙、防病毒、和入侵检测/入侵防御系统已在各级政府部门得到了大量应用,对网络安全的起到了一定的保护作用。然而基于访问控制技术(包括包过滤、状态检测、应用代理、应用特征检测等技术)的防火墙、基于病毒特征码检查的防病毒软件/防毒墙、基于特征库比对的IDS/IPS等产品的共同特点是定义某些数据特征或策略,并将其列入访问控制列表,符合这一特征的数据为禁止、否则允许。对这种防御手段最简单的描述是:"兵来将挡,水来土掩",如果有一种新的攻击行为或者新的病毒、蠕虫,就需要有一定时间的研究分析过程,最后通过升级特征的方式解决。这类产品的不足就是亡羊补牢、事后防御,不能防患于未然。
由于传统防御技术本身实现机制的限制,对未知病毒、攻击不能进行有效的防御,有一个"发作-防御"的时间差,加上越来越多的重要应用对网络和信息系统依赖越来越大,使网络安全威胁没有得到有效抑制。
面对越来越严峻的局面,我们所能做的似乎只有将政务网络与互联网络或其他非信任网络断开连接,阻止信息交换,进行物理隔离来保护网络。但是,断开了网络,禁止数据交换,就会造成政务信息化工作无法开展。
现有解决之道
基于物理隔离提供的高安全性和用户数据交换的实际需求出发,从政府部门到各个安全厂商均在进行着积极的探索,先后提出了以下解决之道:#p#
B.隔离卡技术
隔离卡的功能即是以物理方式将一台PC虚拟为两个电脑,实现工作站的双重状态,既可在安全状态,又可在公共状态,两个状态是完全隔离的,从而使一部工作站可在完全安全状态下联结内、外网。该卡实际是被设置在PC中最低的物理层上,通过卡上一边的IDE总线联结主板,另一边联结IDE硬盘,内、外网的联接均须通过该卡。PC机硬盘被物理分隔成为两个区域,在IDE总线物理层上,在固件中控制磁盘通道,在任何时候,数据只能通往一个分区。我们可以用网络层次结构的思想理解它,它是构造在物理层上,对上提供接口服务,这些服务中包括了安全功能。因为它是构造在这么一个低层上,因此它在使用中需要重新启动操作系统,这是其不足之处;如果不重新启动操作系统,就不能保证数据不通过内存被窃取。除以上介绍的单主板单硬盘解决方案外,还有基于隔离卡技术的单主板双硬盘的解决方案,该方案与上类似。
通过以上介绍,我们可以总结出两点:A,隔离卡是在一台终端上实现内网时空上的逻辑隔离,在一定技术上解决了一台终端两网间的隔离问题;B,隔离卡无法满足两个网络间实时安全交换数据的需求。
C.网闸(GAP)技术
网闸(GAP),又称安全隔离与信息交换系统。国内主流网闸产品通常采用"2+1"架构设计,即内网处理单元(内网主机系统)、外网处理单元(外网主机系统)和隔离交换单元。
内网处理单元:包括内网接口单元与内网数据缓冲区。接口部分负责与内网的连接,并终止内网用户的网络连接,对数据进行病毒检测、内容过滤、格式检查等安全检测后剥离出"纯数据",作好交换的准备,也完成来自内网对用户身份的确认,确保数据的安全通道;数据缓冲区是存放并调度剥离后的数据,负责与隔离交换单元的数据交换。
外网处理单元:与内网处理单元功能相同,但处理的是外网连接。
隔离交换单元:是网闸隔离控制的摆渡装置,控制交换通道的开启与关闭。控制单元中包含一个数据交换区,就是数据交换中的摆渡船。隔离交换单元中断了内外网的在任一时刻直接连接,采用私密的通讯手段形成内外网的物理隔离。该单元中有一个数据交换区,作为交换数据的中转。
根据政务网"边界清晰可界点、网间传输或交换数据可定义"的特点,网闸采用"白名单"的方式,只传输明确定义的、需要传输的、确保安全的信息和数据,其他数据一概不传。网闸的这一特性加上其"2+1"架构,可以有效防御的未知攻击和病毒。
网闸对应用的支持均有特定的功能模块来支持,总的来说,网闸支持两大类应用,一是数据同步;二是基于应用协议的双层应用代理;#p#
目前网闸产品现在我国政府和其他单位得到了广泛应用,国密局根据网闸产品的特性定义了如下四种使用环境:
◆不同的涉密网络之间;
◆同一涉密网络的不同安全域之间;
◆与Internet物理隔离的网络与秘密级涉密网络之间;
◆未与涉密网络连接的网络与Internet之间;
D.信息单向导入技术
信息单向导入就是信息的单向流动、单向传输,实现信息的单向传输有两种方式:一是通过访问控制实现,虽然该方式能实现应用数据的单向传输,但是根据TCP三次握手原理,这种方式有反馈信息存在,实际还是数据双向传输;另一种是采用物理装置设计方式保证信息的单向无反馈传输;根据以上分析,只有后一种单向传输实现方式才是信息单向导入技术。
由于信息的单向无反馈传输,采用信息单向导入技术的装置在连接内外网时,可实现数据仅且只能由低密网络流向高密网络,而不会发生由此连接装置引起的泄密事件;并且由数据传输的单向无反馈性,使黑客无法基于网络进行入侵和探测,同时行为得不到任何信息反馈,杜绝任何网络入侵攻击行为。
信息单向导入技术有两个技术难点,一是实现单向无反馈传输的物理环境;二是在单向无反馈传输环境下的可靠、高效数据传输;
实现单向无反馈传输的物理环境,也就是数据单向传输部件,目前国内主要有采用单根光纤实现,根据光的单向传输性,单根光纤只能实现单向数据传输,故采用单根光纤是最为显而易见的单向无反馈传输环境实现方式。
在单向无反馈传输环境下,数据仅能采用"盲发"的方式,即发送只管发送,接收方只管接收,发送方不知发送数据的完整性、可用性如何。如何实现可靠的数据传输,是信息单向导入产品可用的关键。
国内有公司采用"源侧多发送几次+目标侧比对与告警+源侧手工触发重传"方式保证数据传输的可靠性,也有采用前向纠错编码技术保证数据的高可靠传输,前向纠错编码技术已在广播电视等单向传输环境中得到广泛应用。#p#
如何选择安全隔离产品
◆根据国家政策选择
根据国家相关政策,电子政务涉密信息系统不得直接或间接国际联网,应与国际互联网或其他公共信息网络实行物理隔离;电子政务非涉密信息系统应与国际互联网或其他公共信息网络采取必要的逻辑隔离措施。
1、用户终端的两网隔离
用户终端设备可采用隔离卡技术的单主板、双硬盘的方案,在用户原终端计算机上增加一块硬盘和一块隔离卡,每块硬盘上安装一套操作系统并固定对应一套网络。用户对两块硬盘以及两个网络的访问都必须通过安全隔离卡,这样就可对两块硬盘和两个网络分时使用控制,用户在内外网间切换时必须重新启动计算机,从而达到安全隔离的效果。
2、电子政务涉密信息系统与电子政务非涉密信息系统的连接
(1)使用网闸进行连接
当秘密级的电子政务涉密信息系统与其他网络实行物理隔离,并且采用访问控制策略阻止涉密信息由涉密信息系统流向非涉密信息系统,同时电子政务非涉密信息系统与其他公共网络实行物理隔离,同时满足以上条件的,可以使用网闸产品进行连接。
同时网闸可以在以下环境中使用
◆未与涉密网络连接的网络与Internet之间;
◆同一涉密网络的不同安全域之间;
◆不同的涉密网络之间;
(2)使用信息单向导入系统连接
当电子政务当秘密级的电子政务涉密信息系统与其他网络实行物理隔离,并且采用访问控制策略阻止涉密信息由涉密信息系统流向非涉密信息系统,同时电子政务非涉密信息系统与其他公共网络实行逻辑隔离,同时满足以上条件的可以使用信息单向导入系统连接,数据仅且仅能由非涉密信息系统流向涉密信息系统。
◆根据应用选择
1、选择网闸产品
由于网闸产品在不同的应用环境中使用特定的功能模块,所以我们在选择产品时最重要是选择适合的功能模块。网闸产品的功能模块总体可分为两大类:数据同步、应用代理,下面具体介绍:
数据同步,又分为数据库同步和文件同步,数据同步功能模块最重要的是应用环境的适应性,其决定了网闸产品的可用性、易用性。如数据库同步要支持主流的数据库,支持字段级的双向单向同步,支持一源多目的、多源一目的同步,支持数据冲突检测策略,支持按条件同步,支持数据容错处理机制,当数据同步失败时,用户可以查询、复位、删除未能正常传输的数据,支持同步数据统计,数据传输加密,支持邮件报警等功能。这些功能细节直接决定了数据库同步功能的适应性,也体现一个公司的技术实力。#p#
应用代理支持常见的应用协议如HTTP、FTP、SMTP、POP3等,每种协议的支持有独立的功能模块完成。网闸的应用代理功能与防火墙的应用代理有很大的区别,网闸要中断内外网所有TCP/IP连接,将数据还原至应用层,进行格式检查、内容过滤、病毒检测等操作,最后将合规的数据摆渡至内网;而防火墙则不中断内外网的TCP/IP连接。对于非标准应用协议,网闸需进行定制开发,提供专用应用协议接口支持。
2、选择信息单向导入产品
信息单向导入产品有两大关键技术,一是绝对单向无反馈传输环境;二是在单向传输环境下进行高可靠高效数据传输;因此我们选择信息单向导入产品时也可以根据这两点进行:一看实现实现单向无反馈传输环境是否可见,可验;二看数据传输的可靠性和高效性,验证单向导入产品的可靠性、高效性可通过产品实测进行。另外,由于单向传输环境的不可靠性,如何保障数据在丢失的第一时间通知用户进行人工干预也是我们选择产品关注的重点。
◆根据产品资质选择
安全隔离与信息交换类产品是政策性产品,国家相关主管部门针对此类产品制定的严格的标准、规范,如GB/T20279,只有通过相应检测规范的产品才是合格的产品。目前国家相关主管单位针对此类产品有"4证",分别是"计算机信息系统安全专用产品销售许可证"、"涉密信息系统产品检测证书"、"军用信息安全产品认证证书"和"国家信息安全产品认证证书"。
信息单向导入类产品现在应用的主要依据是《电子政务保密管理指南》以及涉密信息系统建设技术规范,目前国家还没有相应部门出台相关的标准,如有获得公安销售许可证的厂商,也是采用企业制定的私有标准进行认证,请各位在选择此类产品时注意。
以上介绍选择产品的三个依据,仅是作者个人意见,希望能在你有相应需求时提供帮助。#p#
网御的安全隔离产品
网御根据内网外联的切实需求,研发提供网御网闸SIS3000和信息单向导入系统UDGAP两类产品。
1、网御网闸SIS3000系列产品
网御网闸SIS3000基于"2+1"系统架构、LeadASIC专用芯片、USE统一安全引擎、MRP多重冗余协议,将安全性、高效性、智能性、可靠性完美结合,具有数据同步型和数据访问型两种工作模式。对数据在应用层细粒度安全过滤后,以自有协议方式在安全隔离网闸内摆渡,彻底切断了不同安全级别网络间的任何连接,实现了高安全的隔离和实时的信息交换。
网御现已成为国内安全隔离网闸业内技术最优、产品线最全、市场占有率最高的领导厂商,已为政府、金融、交通、能源等大行业提供了许多成熟的安全隔离解决方案。
网御网闸SIS3000有以下优势:
◆高安全性的"2+1"系统架构
系统硬件平台由内网主机系统、外网主机系统、隔离交换矩阵三部分组成;内网/外网主机系统分别具有独立的运算单元和存储单元,并以网御自主知识产权的VSP (Versatile Secure Platform)通用安全平台作为系统支撑;隔离交换矩阵基于LeadASIC专用芯片技术及相应的时分多路隔离交换逻辑电路,不受主机系统控制,独立完成应用数据的封包、摆渡、拆包,从而实现内外网之间的数据隔离交换。基于VSP的高效协议处理和LeadASIC芯片的多路固化数据通道技术,分别解决了安全隔离网闸进行数据过滤和摆渡时性能低的业内难题,从而满足了用户对高性能安全隔离网闸的需求。
◆强大的数据交换能力和多业务应用支持技术
网御安全隔离网闸拥有强大的数据交换能力,以数据库同步为例,安全隔离网闸支持Oracle、SQLServer、DB2、Sybase等主流数据库间的同构、异构同步,支持单向、双向同步,支持一到多、多到一的同步,支持灵活多样的数据冲突处理机制,采用先进的数据容错技术,保障数据同步的可靠性、稳定性。网御安全隔离网闸有数据库同步、文件同步、安全浏览、邮件传输、定制访问、消息传输等多种功能模块为用户多种业务提供了丰富的应用支持。
◆高智能性的全文内容过滤、高效病毒检测技术
以USE(Uniform Security Engine)统一安全引擎为基础,对隔离交换报文进行全文数据还原,对用户登录、命令请求、文本信息、协议格式等实施全文深度检测,并支持特定应用层协议标签的检测控制,实现了对特定信息交换多重内容安全管理,为网络间数据交换提供了"绿色通道"。采用自主知识产权病毒引擎、专业病毒特征库。
◆高可靠性的多重冗余解决方案
基于MRP(Multi-Layers Redundant Protocol)多重冗余协议实现多重冗余方案,支持自身端口冗余、链路聚合、双机热备、2~32台安全隔离网闸负载均衡,保障了用户网络和应用的高可靠性。
2、网御安全隔离与信息单向导入系统(UDGAP)
网御安全隔离与信息单向导入系统UDGAP(以下简称网御信息单向导入系统)采用"单向无反馈传输"技术,在提供物理的绝对单向无反馈传输环境的同时,采用拥有专利的"多级前向纠错编码"技术,保证了数据传输的高可靠、高效率。
网御信息单向导入系统由于其物理单向无反馈传输环境、基于数据的单向导入,使黑客无法基于网络进行入侵和探测,同时行为得不到任何信息反馈,在为用户提供绝对的单向无反馈数据传输功能的同时,为用户提供了最高级别的网络攻击防护功能。#p#
网御信息单向导入系统UDGAP有以下产品特色
◆绝对单向无反馈
网御安全隔离与信息单向导入系统采用"2+1"架构设计,即外网主机、内网主机和单向导入隔离部件,内外主机通过单向导入隔离部件连接。
其中单向导入隔离部件采用独特单向无反馈电路设计,并采用单根光纤通信,众所周知,单根光纤不能同时进行发送和接收数据,网御的硬件设计从物理保证了数据的绝对单向无反馈传输,并且单向传输环境可见。
◆高可靠多级前向纠错编码
数据传输的可靠性直接决定了单向导入系统在实际环境中的可用性,网御安全隔离与信息单向导入系统采用拥有专利技术的多级前向纠错编码、解码技术,通过外编码解决内编码未能纠错的数据,增强了数据传输端到端的重构能力,提高了单向无反馈环境数据传输的可靠性。
◆人性化数据校验及报警技术
由于数据在绝对单向无反馈传输环境下传输理论上的不可靠性,网御采用多级前向纠错编码等高可靠保障技术的同时,提供了多种数据校验技术保证系统的可用性。网御数据校验技术可自动检测用户未正常传输的数据,提供定时和手动校验两种人性化方式,当系统检测到有数据丢失现象发生时,可提供控制台、邮件等多种快速报警方式,以便用户及早发现数据丢失现象,网御在数据发送端对发送的数据进行自动备份,用户可根据报警信息有选择的重传数据。
◆全面的数据安全控制
以USE(Uniform Security Engine)统一安全引擎为基础,对单向传输的内容进行全文数据还原,对文本内容实施全文深度检测,并采用自主知识产权病毒引擎、专业病毒特征库进行病毒查杀,为单向数据传输提供了"绿色通道"。
总结
天地前冲,变为虎翼,伏虎将搏,盛其威力,九宫八阵图之虎翼阵,为古人国家安全提供了保障,今有网御安全隔离产品为你的网络安全保驾护航。
