《国保金泰安全隔离与信息交换系统(技术)》由会员分享,可在线阅读,更多相关《国保金泰安全隔离与信息交换系统(技术)(36页珍藏版)》请在金锄头文库上搜索。
1、国保金泰安全隔离 与信息交换系统物理隔离技术提出背景物理隔离技术提出背景 国内涉密网络安全防护薄弱; 防火墙攻破率高; 国内信息安全专家充分论证; “九.五”、“十.五”国家863计划立项支 持 国家保密局作出规定; 中央领导同志批准实施国家政策支持国家政策支持 我国在2000年1月颁布的计算机信息系统联网保密管理规定中明确规定:“涉及国家机密的计算机信息系统,不得直接或间接的与国际互联网其他公共信息网相联接,必须实行物理隔离。” 中共中央办公厅在200217号文件中明确指出:“电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离.” 中共中央保密委员会在中保委
2、发20034号文件中也明确指出:“涉密计算机信息系统必须与互联网实行物理隔离,严禁用处理国家秘密信息的计算机上互联网。”物理隔离技术发展物理隔离技术发展 第一代隔离技术完全的隔离,网络是完完全全的处于信息孤岛状态,做到了完全的物理隔离。 第二代隔离技术利用物理隔离卡,在客户端增加一块PCI卡,客户端硬盘或其他存储设备首先连接到该卡,然后再转接到主板上。 第三代隔离技术实现集中数据采集,通过介质拷贝传输数据,利用缓冲的目的来完成隔离的实现,大大减缓了网络速度,失去了网络存在的价值。 第四代隔离技术是在总结了以前经验的基础上,采用物理链路断开,通过开关进行分时连接来完成数据交换,但仍然存在着众多缺
3、陷。 第五代隔离技术已经实现了实时高速网络隔离,高效实现内外网数据交换,应用支持做到全透明。一般称为安全隔离与信息交换系统.第五代隔离技术第五代隔离技术第五代隔离技术是一种通过专用硬件使两个或者两个以上的网络在不连通的情况下,实现安全数据传输和资源共享的技术。它采用独特的硬件设计,能够显著地提高内部用户网络的安全强度。它的基本原理是:切断网络之间的通用协议连接,将数据包进行分解或重组为静态数据,然后对静态数据进行安全审查,包括网络协议检查和代码扫描等,确认后的安全数据流入内部单元,内部用户通过严格的身份认证机制获取所需数据。 国保金泰安全隔离与信息交换系统国保金泰安全隔离与信息交换系统1、阻断
4、网络的直接连接,即在同一时刻内、外网之间不存在直接物理连接;2、阻断网络的互联网逻辑连接,即TCP/IP的协议必需被剥离,将原始数据通过P2P的非TCP/IP连接协议透过隔离设备传递;3、任何数据都是通过两级移动代理的方式来完成,两级移动代理之间是物理隔离的; 4、设备的传输机制具有不可编程的特性,传输的原始数据不具有攻击特性或对网络安全有害。体系结构体系结构安全隔离与信息交换系统审查 主机日志分析、计算系统安全状态可视化内端机应用过滤网络流过滤应用认证内容审核审计日 志外端机审计日 志系统入侵检测包过滤 防火墙防病毒系 统 总 体 安 全 政 策 、 配 套 法 规系 统 配 置 管 理专用
5、数据通 道系统文件密级标识检查 内容检查工作原理工作原理一、通过双系统达到内外信息分别处理在国保金泰安全隔离与信息交换系统内有两套处理系 统,我们称之为内端系统和外端系统。内端系统和外端 系统是两套独立的系统板,各自都拥有自己的CPU、存储 体和总线,并且在两套系统间除通过基于HRI技术的隔离 交换卡外并不存在其他直接或间接的联系,内端系统用 来处理内部网络的信息,包括内部请求、认证和权限控 制等;外端系统用来处理外部网络的信息,如获取 Internet资源等。由于安全隔离系统拥有处理内外网信息的两套独立系 统,并且在两套系统间并不存在任何网络连接。因此可 以保障内部网络不会直接受到外部网络干
6、扰。即来自外 网的所有网络攻击信息都只对外端机起作用而无法穿透 安全隔离系统到达内网。v双系统实现内外信息分别处理内端机外端机自主开发隔离交换卡工作原理工作原理二、通过专有隔离交换卡达到信道控制信道控制和信道隔离的好处在于:A. 通过对信道的隔离,保证了每条信道上数据 流向可控.B. 通过对数据流向的控制,从硬件上保证了数 据源位置和目的位置明确,保证了对数据安全检查的有 效性。C. 可以在必要的时候关闭一条数据通道,在特 定情况下做到数据只能进或只能出,进一步提高系统安 全性。专有硬件卡实现数据流向可控专有硬件卡实现数据流向可控安全 检查安全 检查信道隔离,每条信道道数据可控确保数据安全检查
7、又有效工作原理工作原理 三、通过专有网络协议达到协议转换 在内外端机之间使用的通信协议为自主研发的隔离交换 协议。此安全隔离交换协议与网络协议完全不同,仅对内外网 间的纯数据内容进行解析、过滤和搬运,而在数据到达目的 地后再由安全隔离系统按照标准的网络协议重组进而提供网 络服务。也就是说,在隔离器的内端系统和外端系统,同时 也是内网和外网之间只传递纯数据而不传递网络信息、控制 信息等存在安全隐患的内容,保证和内外网间交换信息的纯 洁、安全、可靠。同时“网络协议-安全隔离交换协议-网络 协议”的协议转换也可以过滤掉绝大部分基于网络协议漏洞 的攻击,做到内外网间的协议隔离。 纯数据交换和协议转换纯
8、数据交换和协议转换阻断物理层数据物理层数据IP层数据IP层数据TCP层数据TCP层数据纯数据纯数据4-7层数据4-7层数据专用协议阻断网络攻击免疫网络攻击免疫阻断物理层数据物理层数据IP层数据IP层数据TCP层数据TCP层数据纯数据纯数据4-7层数据4-7层数据专用协议阻断硬件原理硬件原理内 端 机外 端 机硬件交换卡通道1物理开关通道21024bit真随机数 生成逻辑物理开关PCIPCI完全自主开发、自主逻辑、不受内外网络影响的隔离交换部件技术性能指标技术性能指标 电子开关响应时间:360Mbps 安全隔离交换卡数据偏差率:45000小时典型应用典型应用北京市公安局交换平台系统北京市交管局国
9、家工商总局信息系统应用InternetInternet涉密网络涉密网络internetinternet终端终端涉密网终端涉密网终端桌面节点桌面节点便携式便携式 存储设备存储设备严格物理隔离严格物理隔离x国保金泰安全隔离与信息单向传输系统国保金泰安全隔离与信息单向传输系统这种作法在一定程度上解决了一个终端浏览多 个网络信息的问题。但是存在着明显缺陷。v1 容易泄密; v2 容易导致病毒在网间传播; v3 网间信息交互需要人工完成,信息采集实时性差、效率低,错误率高。国保金泰安全隔离与信息单向传输系统国保金泰安全隔离与信息单向传输系统国保金泰安全隔离与信息单向传输系统国保金泰安全隔离与信息单向传输
10、系统系统基本原理高密级网络高密级网络低密级网络低密级网络外网发送外网发送 服务器服务器安全隔离与信息 单向传输系统内网接收内网接收 服务器服务器外端 单向 传输 控制 卡内端 单向 传输 控制 卡数据传输数据传输外端 单向 传输 控制 卡系统基本原理高密级网络高密级网络低密级网络低密级网络外网发送外网发送 服务器服务器安全隔离与信息 单向传输系统内网接收内网接收 服务器服务器外端 单向 传输 控制 卡内端 单向 传输 控制 卡内端 单向 传输 控制 卡数据传输数据传输内端 单向 传输 控制 卡国保金泰安全隔离与信息单向传输系统国保金泰安全隔离与信息单向传输系统系统基本原理高密级网络高密级网络低
11、密级网络低密级网络信息转发信息转发 服务器服务器安全隔离与信息 单向传输系统信息转发信息转发 服务器服务器外端 单向 传输 控制 卡内端 单向 传输 控制 卡外网只有写权利而无读权利 内网只有读权利而无写权利国保金泰安全隔离与信息单向传输系统国保金泰安全隔离与信息单向传输系统国保金泰安全隔离与信息单向传输系统国保金泰安全隔离与信息单向传输系统 产品适用范围: 需要绝对单方向传递数据的单位 涉密政府机关 涉密科研单位 国家重要职能部门 军队及军工企业国保金泰安全隔离与信息单项传输系统国保金泰安全隔离与信息单项传输系统2000年,承担863九五应急启动项目中安全隔离系统调研2001年,与科技部、国
12、家保密局和国家保密技术研究 所共同承担十五863一期科研项目2003年,与国家保密技术研究所共同承担863二期科研项目2003年,与国家保密技术研究所共同承担863三期研究工作研制历程研制历程2001年,国保金泰安全隔离与信息交换系统被评为863优秀产品2002年12月,国保金泰安全隔离与信息交换系统通过国家保密局技术鉴定2003年中,863二期项目通过863专家组中期验收,并评为优秀项目研制历程研制历程2003年,受中央某办公厅和国家保密局委托,承担安全 隔离与信息单向传输系统研究工作2003年11月,国保金泰安全隔离与信息单向传输系统在某办的 使用通过鉴定,在国内首次将涉密网和互联网间进行实时通信2003年,受国家保密局委托,与国家保密技术研究所共同承担国家保密标准的起草2003年,受北京市信息办委托,与北京市信息安全测评中心共同 承担北京市地方保密标准起草的工作研制历程研制历程安全隔离交换系统成功案例中央某办公厅信息系统 国务院某办公厅信息系统 某警卫局内网信息系统 中组部内网信息系统 国家工商总局信息系统 国家审计总署信息系统 外交部信息系统 证监会信息系统 国家税务总局信息系统 国家海关总署信息系统 北京市住房公积金信息系统 北京市公安局信息系统 湖南省邮政局信息系统 公司资质产品资质产品资质谢谢!
