《深圳利谱(tiptop)隔离网闸系列产品白皮书201603》由会员分享,可在线阅读,更多相关《深圳利谱(tiptop)隔离网闸系列产品白皮书201603(41页珍藏版)》请在金锄头文库上搜索。
1、 深圳市利谱信息技术有限公司深圳市利谱信息技术有限公司 Shenzhen Tiptop Information Technology Co., Ltd. 第 1 页 TIPTOPTIPTOP 隔离网闸系列产品隔离网闸系列产品 技术白皮书技术白皮书 深圳市利谱信息技术有限公司深圳市利谱信息技术有限公司 2016 年 2 月 版权声明版权声明 深圳市利谱信息技术有限公司深圳市利谱信息技术有限公司 Shenzhen Tiptop Information Technology Co., Ltd. 第 2 页 本白皮书中的内容是TIPTOP网闸系列产品白皮书。 本白皮书的相关权力归深圳市利谱信息技术有限
2、公司所 有,白皮书中的任何部分未经本公司许可,不得以任何方 式复制、传播。 2016 深圳市利谱信息技术有限公司 Shenzhen Tiptop Information Technology Co., Ltd. All rights reserved. TIPTOP网闸系列产品 技术白皮书 本白皮书将定期更新,如欲获取最新相关信息,请访问 深圳市利谱信息技术有限公司网站: 您的意见和建议请发送至: 深圳市利谱信息技术有限公司 地址(Add.): 深圳市南山区学府路深圳市软件产业基 地1栋C座16楼 邮编:518057 电话(Tel):0755-83209150 传真(Fax):0755-8
3、3367038 电子信箱: 目目 录录 TIPTOP V2.0 隔离网闸 5 一、序言5 深圳市利谱信息技术有限公司深圳市利谱信息技术有限公司 Shenzhen Tiptop Information Technology Co., Ltd. 第 3 页 二、TIPTOP V2.0 隔离网闸技术原理 7 三、TIPTOP V2.0 隔离网闸的体系结构 8 四、TIPTOP V2.0 隔离网闸主要功能模块 .10 1、专用数据通道控制模块 .10 2、专用通讯协议转换模块 .10 3、多服务处理模块 .11 4、信息审计模块 .11 5、身份认证模块 .11 6、数据加密模块 .11 7、内容审查
4、模块 .12 8、病毒查杀模块 .12 五、TIPTOP V2.0 隔离网闸功能介绍 .12 1、通用网闸 .12 2、数据库同步专用网闸 .13 3、文件交换专用网闸 .14 4、视频交换专用网闸 .15 5、万兆网闸 .15 6、定制网闸 .17 六、TIPTOP V2.0 隔离网闸的特点 .17 1、高安全性 .17 2、低延时 .18 3、可扩展性 .18 4、高可用性 .18 5、高强度安全平台 .18 6、友好的管理界面 .18 七、TIPTOP V2.0 隔离网闸的典型应用 .19 1、为电子政务保驾护航 .19 2、为税务“网上报税”提供安全保护 .20 3、隔离网闸在公安网络
5、中的应用 .21 (1)隔离网闸在公安网络的应用一第二代身份证制证中心 .21 (2)隔离网闸在公安网络的应用二移动警务及短信报警平台 .22 (3)隔离网闸在公安网络的应用三人口资源管理 .23 (4)隔离网闸在公安网络的应用四交警网络防护 .24 (5)隔离网闸在公安网络的应用五消防网络防护 .25 4、隔离网闸在银行网络中的应用 .26 5、隔离网闸在医院网络中的应用 .27 6、隔离网闸在军工网络中的应用 .28 八、产品证书情况.29 深圳市利谱信息技术有限公司深圳市利谱信息技术有限公司 Shenzhen Tiptop Information Technology Co., Ltd.
6、 第 4 页 九、产品技术参数.31 1、TIPTOP 通用网闸.31 2、TIPTOP 数据库同步专用网闸 32 3、TIPTOP 文件交换专用网闸 33 4、TIPTOP 视频交换专用网闸 34 5、TIPTOP 万兆网闸 34 6、TIPTOP 定制网闸 35 TIPTOPV2.0 信息单向导入系统 36 一、产品概述.36 1、技术背景 .36 2、产品定义 .37 3、产品简介 .38 二、功能介绍.38 1、体系结构 .38 2、产品功能 .39 3、产品特点 .40 三、产品技术参数.40 四、产品证书.41 五、典型应用场景.41 TIPTOP V2.0 隔离网闸隔离网闸 深圳
7、市利谱信息技术有限公司深圳市利谱信息技术有限公司 Shenzhen Tiptop Information Technology Co., Ltd. 第 5 页 一一、序言序言 随着近年“棱镜门”等事件的曝光,网络安全已经引起社会高度关注,国 家最高领导人习近平总书记更是亲任中央网络安全和信息化领导小组组长。中 国政府高度重视信息安全,面对信息化核心技术不受控制的现实,2000 年 1 月, 国家保密局发布实施计算机信息系统国际互联网保密管理规定,明确要求: “涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公 共信息网络相连,必须实行物理隔离。” 中共中央办公厅 2002 年第
8、 17 号文 件国家信息化领导小组关于我国电子政务建设指导意见也明确强调:“政 务内网和政务外网之间物理隔离,政务外网与互联网之间逻辑隔离。” 但是严格的物理隔离也牺牲了网络的方便性和快捷性,人们在保证内外网 物理隔离的前提下,原来只能采用人工方式进行信息交换。如图所示: 在不同安全等级的网络中进行信息交换的时候,由指定人员将需要转移的 数据拷贝到软盘、USB 盘、移动硬盘等移动存储介质上,再复制到目标网络中。 这种解决方案可实现网络的安全隔离,但数据的交换通过人工来实现,工作效 率低;更缺乏对信息安全的严格审查,极易导致病毒的流入和重要信息的泄漏, 安全性完全依赖于人的因素,无法自动、快捷地
9、完成数据交换工作,极大地束 缚了网络的应有功能,可靠性也无法保证。在数据量不大,交换不频繁的情况 下,通过人工交换数据的确简单可行。然而,随着电子政务的开展和行业信息 化的深入应用,内外网交换数据的数量和频率呈几何量级上升,这种解决方案 显然已经越来越无法满足用户的需要。因此,如何保证信息在不同安全等级的 网络间安全交换成为已经成为一个亟待解决的问题。 深圳市利谱信息技术有限公司是国内信息安全细分领域网络隔离的开创者 之一,创立之初即取得隔离类产品基础专利,十多年的研发经验积累,对安全 深圳市利谱信息技术有限公司深圳市利谱信息技术有限公司 Shenzhen Tiptop Information
10、 Technology Co., Ltd. 第 6 页 隔离与信息交换已形成完整解决方案,并不断创新发展。生产的 TIPTOP 安全 隔离与信息交换系统(以下简称隔离网闸或网闸)已经历十多年的迭代发展, 产品外在形态上,从最初内外网两台主机之间增加一台主机,采用电子开关甚 至是机械开关,模拟人工从外网向内网拷盘方式,发展到内外端机加隔离部件 的 2+1 架构,从开始 4U 设备,到目前普遍采用 2U 上架结构,而 TIPTOP 利谱 则在 2011 年已经领先业内全面推出 1U 网闸,2012 年再次领先业内推出接口可 以灵活扩展的网闸。可扩展、易维护、易操作是用户普遍需求,抽屉式接口、 模块
11、化更换千兆万兆光口电口,真正实现可扩展,小型化,节省用户机架空间, 所有网闸一直保持液晶报警加按键操作,产品更加精致小巧,接口不受限制, 可以灵活组合,轻松满足现在网络环境日益复杂的需求。TIPTOP 利谱的努力, 也推动着隔离网闸的发展,引领新一代技术的革新。TIPTOP 利谱近年更是率先 突破,推出 1U 支持冗余电源;在抽屉式接口可以灵活便捷更换基础上,实现 千兆到万兆的模块化快捷升级。专业厂家提供专业产品,TIPTOP 利谱也是率先 细分网闸应用的厂家,由于需要协议落地,网闸与应用密切相关,而应用需求 千变万化,需要更针对性的产品来满足不同场景的需求。 二、二、TIPTOPTIPTOP
12、 V2.0V2.0 隔离网闸技术原理隔离网闸技术原理 隔离网闸在内外网之间扮演着一种类似“信息渡船”的作用,“船闸”的 控制通常是通过开关控制系统来实现的。传统的开关控制技术主要有两种:电 子开关和存储介质读写控制开关。数据从外网传到内网或由内网传到外网通常 采用存储、转发机制,即首先将数据写入缓冲区,然后再由缓冲区读出传输到 另外一个网络。因此,网闸的速度很大程度上取决于开关的速度。如果开关的 速度低,网络的性能肯定受到影响。电子开关由于受器件本身限制存在比较大 的延时,存储介质读写控制无论是 IDE 方式还是 SCSI 方式都受到总线标准的 限制,速度达不到要求,严重制约了网闸的性能发挥。
13、TIPTOP V2.0 物理隔离 网闸克服了上述开关控制的不足,采用领先的 DTP 物理隔离通道控制系统,率 深圳市利谱信息技术有限公司深圳市利谱信息技术有限公司 Shenzhen Tiptop Information Technology Co., Ltd. 第 7 页 先将网络通道开关功能在嵌入式系统内核中实现,极大地提高了网闸的速度和 性能。其原理如下: 1、专有硬件控制设备彻底阻断网络间的任何通路。DTP 物理隔离通道控制 系统纯数据进行控制,保证内网和外网之间不存在任何直接网络连接,确保实 现相关技术规范要求的协议落地。 2、特有控制逻辑和专用通讯协议完全控制数据的实时交换。TIPT
14、OP V2.0 物理隔离网闸按照自己的控制逻辑对内外网之间的通道进行控制,被剥离了常 规协议和附加信息的纯数据(又称裸数据)通过专用的硬件通道,根据自定义 的通讯协议重新构造成网络数据包,彻底抛弃不安全的连接控制信息。 3、双系统结构确保工作安全可靠。TIPTOP V2.0 物理隔离网闸系统由内端 机和外端机两套独立的高性能处理系统构成。内端机与需要保护的内部网络相 连,外端机与外部网络相连,两套系统通过 DTP 物理隔离通道控制系统相连接。 这种双系统模式彻底将内网保护起来,即使外网被黑客攻击甚至造成瘫痪,也 无法对内网造成危害。 4、专用安全操作系统及嵌入式程序控制确保系统本身免受攻击。T
15、IPTOP V2.0 物理隔离网闸系统采用自主研发的专用安全操作系统作为平台,不存在通 用操作系统漏洞,黑客无法攻击。同时,通过嵌入式数据通道控制系统隔离外 部网络,所有从外部进入的数据都必须是严格检查过的内网合法用户发出的相 应请求的响应,因此,可以阻挡各种木马和未知攻击。 三、三、TIPTOPTIPTOP V2.0V2.0 隔离网闸的体系结构隔离网闸的体系结构 TIPTOPV2.0 网闸的硬件结构如图 1 所示。由此可见,系统由内端机、外 端机和数据通道控制三部分组成。数据传输通道控制扮演了“船闸”控制的角 色,将内外网从物理上分开,达到安全隔离的目的。 深圳市利谱信息技术有限公司深圳市利
16、谱信息技术有限公司 Shenzhen Tiptop Information Technology Co., Ltd. 第 8 页 图 1 隔离网闸硬件结构示意图 TIPTOPV2.0 网闸对应用数据的处理示意图如图 3 所示。 图 2 隔离网闸处理应用数据示意图 内网控制单元和外网控制单元分别安装在内端机和外端机上,内端机和外 端机是内网和外网的边界点,同时也是网络协议的终结点。所有通过网闸的应 用层信息都从 TCP/IP 协议包中剥离,被还原为裸数据,然后再通过专用硬件 和专用通信协议发送给数据通道控制系统。数据通道控制系统对这些数据进行 解析、过滤和重组等处理后,发送给另一方,数据到达目的地后再还原为标准 通讯协议(如 TCP/IP 包格式)。在内网和外网之间只传递纯数据而不传递网 络信息和控制信息等存在安全隐患的信息,过滤掉了所有基于网络协议漏洞的 攻击,保证了内外网之间交换信息的纯洁、安全和可靠。 数据通道控制系统采用
