《天融信安全隔离及信息交换系统》由会员分享,可在线阅读,更多相关《天融信安全隔离及信息交换系统(23页珍藏版)》请在金锄头文库上搜索。
1、天融信安全隔离与信息交换系统天融信安全隔离与信息交换系统 TopRules 产品说明产品说明 天融信 TOPSEC 北京市海淀区上地东路 1 号华控大厦 100085 电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119 http:/ 版权声明版权声明 本手册中的所有内容及格式的版权属于北京天融信公司(以下 简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转 译或任意引用。 版权所有 不得翻印 2013 天融信公司 商标声明商标声明 本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他 公司的注册商标或是版权属各商标注册人
2、所有,恕不逐一列明。 TOPSEC 天融信公司 信息反馈信息反馈 http:/ 1产品概述产品概述.4 1.1 公司简介4 1.2 信息安全隔离的重要性4 1.3 隔离技术的发展过程5 1.4 天融信安全隔离与信息交换系统 TOPRULES5 1.5 关键技术7 2产品特点产品特点.8 2.1 基于下推自动机的高效过滤算法8 2.2 基于协议落地的信息交换9 2.3 专有隔离系统9 2.4 受控安全通道10 2.5 安全管理10 2.6 其它技术特点11 3产品主要功能产品主要功能.12 3.1 安全 WEB浏览功能 12 3.2 安全邮件收发功能12 3.3 FTP 文件交换功能13 3.4
3、 数据库访问功能13 3.5 文件同步功能13 3.6 数据库同步功能14 3.7 视频监控信息传输14 3.8 DCS/OPC 工控信息交换 14 3.9 自定义应用15 4运行环境与标准运行环境与标准.15 5典型应用典型应用.16 5.1 在涉密网络系统中的应用16 5.2 在常规网络系统中的应用16 5.3 成功案例18 6产品资质产品资质.22 目目 录录 1 产品概述产品概述 1.1 公司简介公司简介 作为中国信息安全行业领导企业,北京天融信公司 1995 年成立于中国信息产业的摇 篮北京,十年来天融信人凭借勇于创新、积极进取、和谐发展的精神,成功打造中 国信息安全产业著名品牌TO
4、PSEC。 从 1996 年天融信率先推出填补国内空白的中国自主知识产权防火墙产品,到能够提 供防火墙、VPN、入侵检测与防御、多功能安全网关(UTM)、过滤网关、安全审计、安 全管理等高品质全系列安全产品;再到以安全产品为基础、以打造信息安全保障体系为 目标、以等级保护为主线,天融信已经完成了从单一安全产品生产商向全线安全产品、 解决方案与服务综合提供商的飞跃。天融信作为民族信息安全产业的领航者肩负着国家 信息安全重任,秉承“可信网络安全世界”品牌理念,结合多年网络安全技术,以“可 信安全管理”为技术发展方向,全力保障客户网络与信息安全、为客户创造更大价值。 1.2 信息安全隔离的重要性信息
5、安全隔离的重要性 信息化是世界科学技术和信息社会发展的大趋势,国民经济和人文社会对于信息网 络和信息系统的依赖性越来越大,加强信息安全保障工作的重要性日益凸现。党中央、 国务院一贯高度重视信息安全问题,强调要从国家安全、社会稳定、经济发展的高度去 认识信息安全问题的极端重要性。 作为信息化建设重要组成部分的电子政务,也在各地轰轰烈烈地展开。促进信息共 享,避免信息孤岛,为科学决策、监管控制、大众服务提供有效的平台是电子政务建设 的重要目标之一。电子政务平台上承载着相当多的重要文件,这些文件信息一旦泄漏, 将给国家和人民造成重大的损失,因此电子政务网信息安全隔离至关重要。电子政务平 台中信息安全
6、隔离建设的基本需求是:在对外部提供公共服务的同时,保证电子政务网 络内部数据的安全性,并解决信息孤岛的问题。这也是当前我国电子政务建设中的重要 课题。 我国非常重视电子政务建设和信息安全保障工作。2003 年 9 月,中共中央办公厅、 国务院办公厅颁发国家信息化领导小组关于加强信息安全保障工作的意见(简称 27 号文)明确提出要加强信息安全保障工作,实行信息安全等级保护的重要指导思想。在 此思想指导下,关于信息安全等级保护工作的实施意见(公通字 2004 66 号)里明 确了信息安全等级保护制度的基本内容,国家对信息安全产品的使用实行分等级管理。 公通字 2006 7 号文件,即信息安全等级保
7、护办法进一步明确了规定的系统安全保护 划分。同时,在我国的20062020 年国家信息化发展战略中,也把推行电子政务和 建设国家信息安全保障体系作为我国未来 15 年的信息化发展的战略重点。电子政务建设 将改善公共服务、加强社会管理、强化综合监管、完善宏观调控。随着积极防御思想的 深入贯彻,信息安全隔离技术必将为我国信息化和信息安全的科学发展做出重要贡献。 1.3 隔离技术的发展过程隔离技术的发展过程 安全隔离技术是指在需要信息交换的情况下,实现网络隔离的信息安全软硬件技术。 随着电子政务建设安全隔离需求的发展,我国的隔离技术这几年来发展迅速,走过了以 下历程: 多套网络技术 早期没有合适的设
8、备可用,一些组织通过建立两套完全独立的网络来实现隔离,一 套可对外连接,一套完全封闭于内部,两套网络互不相连。两套系统间无法做到信息共 享,只能借助于人工或各自部署于两套网络中的独立的计算机来分别获取内部和外部信 息。这种方式安全性较高,但两个网络间信息交换困难。 隔离卡技术 随后出现的隔离卡技术避免了使用多套计算机系统而带来的资源浪费和操作不便。 它借助隔离卡对两个网络控制器分别供电,并将一台设备上的硬盘物理分割为两个分区, 分别与内外网络相连。在不同的硬盘上各自安装独立的操作系统,形成两个完全独立的 环境。操作者每次只能进入其中一个系统,要进行系统切换时,必须关机重启。采用单 机隔离卡技术
9、,解决了单机非实时信息交换的需求,但网间连续实时的业务依然无法开 展,且对单机通信的信息泄漏问题没有有效的监控手段。 传统网闸技术 在安全隔离方面也曾出现过其它多种技术方案,比如在隔离卡建立起的两套系统间 设立数据缓冲区,进行分时连接和切换,还有就是基于电子开关的方式进行隔离系统两 端网络通断的控制。这类技术可以归结为传统网闸技术。传统网闸技术在一定程度上能 够解决信息交换和隔离的需求,但在安全功能实现和系统性能上仍不能完全满足电子政 务建设的安全要求。 1.4 天融信安全隔离与信息交换系统天融信安全隔离与信息交换系统 TopRules 随着电子政务建设的不断深化发展,很多组织的内部网络与外部
10、网络之间需要交换 的信息越来越多,传统的方式很难兼顾安全隔离与信息交换两者的需求,更缺乏对信息 安全的严格审查,极易导致攻击代码的流入和重要信息的泄漏。因此,在电子政务系统 的内外网络之间迫切需要一种安全设备,它既能保证重要网络与其它网络安全隔离,又 能实现网络之间有效的数据交换。 目前,北京天融信科技有限公司利用自身的技术优势和在安全体系结构方面的研究 成果,经过长期研发的过程,推出了一种全新的、高效的、安全的网间隔离产品天 融信安全隔离与信息交换系统 TopRules V3.0(以下简称 TopRules)。该产品基于完整的 安全体系结构设计理念,率先完善了安全隔离的概念。该产品采用“2+
11、1”系统架构,通 过对信息进行落地、还原、扫描、过滤、防病毒、入侵检测、审计等一系列安全处理, 有效防止黑客攻击、恶意代码和病毒渗入,同时防止内部机密信息的泄露,实现网间安 全隔离和信息交换。 北京天融信科技有限公司的“安全隔离与信息交换系统 TopRules V3.0”产品,通 过了公安部计算机信息系统安全产品质量监督检测中心的检验,符合端设备隔离部件安 全技术要求,取得了计算机信息系统安全专用产品销售许可证;通过了国家保密局涉密 信息系统安全保密测评中心的检测及鉴定,满足涉密系统对安全隔离与信息交换的技术 要求,取得了涉密信息系统产品检测证书;通过了国家信息安全产品认证中心认证,获 得中国
12、国家信息安全产品认证证书;还取得了军用信息安全产品 B 级认证证书。 TopRules 的基本功能主要体现在这些方面:在保持内外网络有效隔离的基础上,实 现了两网间安全的、受控的数据交换。数据交换由发起方以客户机身份与 TopRules 连接, TopRules 再以客户机身份与数据交换的另一方建立连接,实现数据交换。系统中的数据 交换业务可以灵活配置和快速定制,数据交换可以单向也可以双向。除了必须要开放的 用于数据交换的特定应用通道外,TopRules 不提供任何对外的服务。此外,独特的结构 设计和所支持的双机热备功能,更在极大程度上保证了网络系统间信息交换的安全性和 可靠性,增强了产品的竞
13、争力。 TopRules 具体的功能特点总结如下: 网间安全隔离:TopRules 采用多机系统结构,以软硬件结合的方式,有效地隔 断内外网络间直接的连接,保障信息可信的交换。 协议中断,信息落地:TopRules 的内外端机是内外网络各自通用协议(即 TCP/IP 协议)的终点,一方的网络协议不可向对方延伸。所有过往的应用层信 息都从 TCP/IP 协议包被剥离成为应用层信息。 受控的信息交换:由 TopRules 连接的内外网络之间,所有信息交换活动都在预 先建立的有效安全通道上进行,这些安全通道借助严格的安全策略进行控制, 因此能防范恶意攻击和敏感信息的泄漏。 基于用户的访问控制:内外网
14、络之间,只有合法用户的特定信息交换活动才允 许通过。协议通道的建立、通信、断开,都是严格基于用户的访问控制策略进 行的。 防范各类攻击和信息泄漏:借助用户访问控制、安全协议通道的建立、安全策 略的设定,TopRules 可以发现、过滤并阻塞各种已知和未知的攻击,特别是很 多基于应用的攻击手段,例如 Web 脚本攻击、病毒和蠕虫等恶意代码,有效保 护内部网络系统的安全性。与此同时,借助严格的内容控制,也可以防止内部 敏感信息外泄。 应用级的安全审计:借助预先设定的审计策略,TopRules 可以对所有信息交换 过程中出现的问题进行审计记录,便于及时获知“谁在何时做了何事”。 综上所述,TopRu
15、les 一方面可以防止来自外部网络的恶意攻击,另一方面也能防止 内部网络重要信息的泄漏,在保障网络安全隔离的前提下,最终实现了可控的网间信息 交换。 1.5 关键技术关键技术 TopRules 是北京天融信科技有限公司具有自主知识产权的安全隔离产品。 从最初的完全断开,到物理隔离,再到逻辑隔离,以及今天常讲的“安全隔离” (Security Isolation),安全隔离技术随着时代发展迅速演化。安全隔离当前一般指两个 或两个以上可路由的网络借助不可路由的协议来进行数据交换而达到隔离的目的,这与 单机系统间的隔离是有所区别的。安全隔离产品务必要满足现实应用当中的安全需求, 对于电子政务建设而言
16、,在实践中总结提炼出来的政策性的要求更应该被严格遵守。 TopRules 正是这样一款产品,它从设计理念、功能实现等都紧密结合电子政务建设中的 安全隔离需求。 “2+1”系统架构系统架构 TopRules “2+1”系统架构网闸产品,由内端机、外端机、隔离系统(也称数据迁 移控制单元)三部分组成。内端机和外端机具有独立的存储和运算单元,并具有独立总 线。内外端机采用了天融信自主知识产权的专有 TOS 安全操作系统,可为 TopRules 系 统提供全方位的保护。内外端机之间采用了具有互斥效果的隔离系统进行连接,其结构 如下图所示: Top Rules“2+1”系统模型 内端机和外端机分别是内网和外网网络协议的终点。所有过往的应用层数据都从内 网和外网的 TCP/IP 协议中剥离,被剥离的数据再通过隔离系统在内外端机之间进行传输。 内端机与外端机之间采用专用传输隔离硬件和专用协议相连,从而阻断了任何从一端机 攻击另外一端机的可能。 由于隔离系统使用专用
