《安全隔离与信息交换系统网闸GAP解决方案》由会员分享,可在线阅读,更多相关《安全隔离与信息交换系统网闸GAP解决方案(23页珍藏版)》请在金锄头文库上搜索。
1、深信服安全隔离与信息交换系统网闸 GAP-1000 白皮书目录1 概述 12 需求背景 12.1 法规标准要求 12.1.1 等级保护 12.1.2 行业法规 32.2 安全需求 32.2.1 网络复杂,如何整合 32.2.2 安全隐患,如何规避 43 产品概况 43.1 产品定位 43.2 产品介绍 44 产品架构与性能 54.1 产品架构 54.2 工作原理 65 产品功能与特性 85.1 产品功能 85.1.1 业务功能 85.1.2 管理功能 125.1.3 高可用性功能 125.2 产品特性 135.2.1 高安全性 135.2.2 高吞吐率 145.2.3 高可靠性 145.2.4
2、 高便利性 146 产品优势与价值 146.1 产品优势 146.1.1 简便易用的界面风格 156.1.2 强大的业务功能 156.1.3 通信协议深度控制 156.1.4 多任务高并发性能 156.1.5 优秀的环境适应 156.2 产品价值 157 产品应用场景 167.1 安全隔离与视频交换解决方案 167.1.1 场景需求 167.1.2 解决方案 167.2 安全隔离与数据库同步解决方案 177.2.1 场景需求 177.2.2 解决方案 187.2.3 实现效果 191 概述自上世纪 90 年代以来,信息技术迅猛发展,人们的生活、工作方式发生了巨 大变革,信息网络的大规模应用极大
3、地提高了办公效率。经过多年建设,我国已 建成具有相当规模的数字化网络,但随着网络的不断普及,安全问题日益增多, 网络和信息安全问题成为威胁国家和政府安全的重大隐患。随着对安全问题的不 断认识和了解,尤其是针对涉密信息的防护,党和政府已将信息安全建设提到一 个相当的高度上来。自 2000 年以来安全隔离技术作为一项新兴的网络安全技术, 在保障国家信息安全,尤其是政府、军队及重点行业等信息系统安全建设方面发 挥了重要的作用。但是标准安全隔离技术虽然从物理上隔离了两个网络,但是其 物理安全通道的方向性可由软件控制。对于涉密网络,需要的是防止任何泄密的 可能,因此如何从物理层完成数据流向的控制成为一个
4、亟待解决的问题。2 需求背景2.1 法规标准要求2.1.1 等级保护当前我们国家正面临经济社会结构调整和转型,信息技术已经成为新的引擎, 可以预见,网络和信息系统作为新兴动力的承载者,必将构建起整个经济社会的神 经中枢,其重要性带来的必然是安全保障的紧迫性。为保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、 法人和其他组织的合法权益,促进经济社会信息化健康发展。2016 年十二届全国 人大常委会第二十四次会议表决通过的中华人民共和国网络安全法于 2017 年 6 月 1 日起实施。网络安全法明确了网络空间主权的原则,明确了网络产品和服务提 供者的安全义务,明确了网络运营者的安
5、全义务,进一步完善了个人信息保护规 则,建立了关键信息基础设施安全保护制度。同时中华人民共和国网络安全法在第 21 条明确规定了“国家实行网络安 全等级保护制度,要求网络运营者应当按照网络安全等级保护制度要求,履行安 全保护义务”;第 31 条规定“对于国家关键信息基础设施,在网络安全等级保护制 度的基础上,实行重点保护”。等级保护制度在今天已上升为法律,并在法律层面 确立了其在网络安全领域的基础、核心地位,正如业内所言:不做等保就是违法。开展信息安全等级保护工作是能够有效地降低政府、企业、事业单位等信息 安全风险、完善信息安全防护策略的重要手段,也是落实国家关于开展信息安全 等级保护工作相关
6、规定的关键任务。等级保护关于网络安全的相关要求如下表:(其中加深部分为三级特有要求 未加深部分为二、三级共有要求)表 2.1 网络安全等级保护基本要求(2.0 版本)控制点基本要求8.1.2.1网络架构c)应划分不冋的网络区域,并按照方便管理和控制的原则 为各网络区域分配地址;d)应避免将重要网络区域部署在边界处,重要网络区域与 其他网络区域之间应采取可靠的技术隔离手段;8.1.31边界防护a)应保证跨越边界的访问和数据流通过边界设备提供的受 控接口进行通信;b)应能够对非授权设备私自联到内部网络的行为进行检 查或限制;c)应能够对内部用户非授权联到外部网络的行为进行检 查或限制;d)应限制无
7、线网络的使用,保证无线网络通过受控的边界 设备接入内部网络。8.1.3.2访问控制a)应在网络边界或区域之间根据访问控制策略设置访问控 制规则,默认情况下除允许通信外受控接口拒绝所有通 信;b)应删除多余或无效的访问控制规则,优化访问控制列 表,并保证访问控制规则数量最小化;c)应对源地址、目的地址、源端口、目的端口和协议等进控制点基本要求仃检查,以允许/拒绝数据包进出;d)应能根据会话状态信息为进出数据流提供明确的允许/ 拒绝访问的能力;e)应对进出网络的数据流实现基于应用协议和应用内容 的访问控制。2.1.2 行业法规中华人民共和国公安部印发了公安信息通信边界接入平台安全规范(试行) 的通
8、知,要求安全隔离设备应该具备以下安全功能:1)应采用三部件架构安全隔离设备。2)采用专用硬件和专用通信协议。3)协议终端、信息落地。所有过往的流量都被剥离协议,还原为应用信息。工业和信息化部工业控制系统信息安全防护指南:边界防护第三条 通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行 逻辑隔离防护。中石油Q/SY1722-201410.3.2中指出隔离网闸是生产网与办公网数据传输 的唯一通道;中国中煤能源集团有限公司煤化工企业信息系统设计规范:6.6生产过程控制系统宜通过 OPC 协议与实时数据库系统进行数据通信,并 应采用网闸、防火墙等网络安全设备进行隔离,实现数据的单向传递。2
9、.2 安全需求2.2.1 网络复杂,如何整合面对复杂的网络承载情况,如何在保证信息安全的前提下,实现网络的互联 互通,打通网络通道,数据经过安全加密传输,并最大限度保证不改动原有网络 不影响使用单位原有系统及应用。2.2.2 安全隐患,如何规避通过区域的数据需要采取安全防护措施,如何根据需接入的区域类型,部署 对应的安全接入设备及措施,规避前端设备、传输链路、网络边界、系统应用等 各环节安全风险,保证信息安全,确保数据不会发生外泄。3 产品概况3.1 产品定位深信服安全隔离与信息交换系统主要用于各地电子政务建设,下列场合都可 使用隔离系统保障业务系统安全: 政务外网与政务内网间存在业务往来的接
10、口;行业内纵向上下级信息系统的接口;行业间需要进行业务信息共享、数据交换的接口。深信服安全隔离与信息交换系统可在保障信息安全的前提下,在两个不同安 全级别的网络区域间进行适量的、可靠的数据交换。国家保密局对网闸类产品的应用也做了规定,规定网闸可在以下四种网络环 境下应用:1) 不同的涉密网络之间;2) 同一涉密网络的不同安全域之间;3) 与 Internet 物理隔离的网络与秘密级涉密网络之间;4) 未与涉密网络连接的网络与 Internet 之间。3.2 产品介绍安全隔离技术首先出现于国外,最早产生的是物理隔离的概念,以色列首先 研发了物理隔离卡,使得一台主机可在两个安全等级不同的区域间来回
11、切换,随 后,以色列和美国又出现了基于这种原理的网络隔离产品,在两个网络并不同时 连通的情况下进行数据交换与信息共享。目前,各个国家的政府、军队均有采用 不同形式的隔离产品保障信息安全。同样,我国隔离技术也经历类似的发展历程,隔离技术日趋完善与成熟,当 前隔离技术主要有如下两种实现方式:1) “摆渡型”,采用多主机系统,连接内外网的主机内装有物理或电子方式的 切换开关,确保内外网络间在同一时刻没有通畅的链路,依靠软件控制在 两个网络间实现文件转存。该种隔离技术在实时通信、稳定性、安全性方 面都面临巨大的、甚至是难以逾越的技术障碍;2) “通讯重构型”,采用多主机系统,连接内外网的主机使用专有通
12、信协议进 行通讯,从而实现内外部网络的隔离和数据交换,内外网主机实时捕获、 分析网络中的数据包,并进行重新封装,在此基础上实现安全审查与访问 控制。该种隔离技术较好地解决了实时通信的问题,但当今黑客技术发展 迅速,入侵行为往往分散成多个伪装成正常业务动作的数据包穿越各种防 护设备,抵达目标后进行重组并造成危害,令“通讯重构型”隔离产品无法 防范。随着电子政务建设的不断深入,更加复杂的业务系统不断被开发,工作效率 的提高也带来了更多的安全风险,为了满足电子政务建设不断提升的安全需求, 深信服依靠强大的技术力量和独特的安全理念,自主研发出具有更高安全性、更 高性能的安全隔离与信息交换系统。4 产品
13、架构与性能4.1 产品架构深信服安全隔离与信息交换系统由内、外网处理单元和安全数据交换单元组 成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡。从 而在保证内外网隔离的情况下,实现可靠、高效的安全数据交换,而所有这些复 杂的操作均由隔离系统自动完成,用户只需依据自身业务特点定制合适的安全策 略即可实现内外网安全数据通信。在保障用户信息系统安全性的同时,最大限度 保证客户应用的方便性。4.2 工作原理计算机网络依据物理连接和逻辑连接来实现不同网络之间、不同主机之间、 主机与终端之间的信息交换与信息共享。安全隔离与信息交换系统隔离、阻断了 网络的所有连接,实际上就是隔离、阻断了网
14、络的连通。网络被隔离、阻断后, 两个独立主机系统之间如何进行信息交换?网络只是信息交换的一种方式,而不 是信息交换方式的全部。在互联网时代以前,信息照样进行交换,如数据文件复 制(拷贝)、数据摆渡、数据镜像、数据反射等等,深信服安全隔离与信息交换 系统就是使用数据“摆渡”的方式实现两个网络之间的信息交换。网络的外部主机系统通过深信服安全隔离与信息交换系统与网络的内部主机 系统“连接”起来,深信服安全隔离与信息交换系统将外部主机的 TCP/IP 协议全部 剥离,将原始数据通过存储介质,以“摆渡”的方式导入到内部主机系统,实现信息 的交换。说到“摆渡”,我们会想到在 1957 年前,长江把我国分为
15、南北两部分,京 汉铁路的列车只有通过渡轮 “摆渡”到粤汉铁路。京汉铁路的铁轨与粤汉铁路的铁轨 始终是隔离、阻断的。渡轮和列车不可能同时连接京汉铁路的铁轨,又连接到粤 汉铁路的铁轨。当渡轮和列车连接在京汉铁路时,它必然与粤汉铁路断开,反之 依然。与此类似,深信服安全隔离与信息交换系统的专用隔离芯片部分在任意时 刻只能与一个处理单元建立非 TCP/IP 协议的数据连接,即当它与外部处理单元的 主机系统相连接时,它与内部处理单元必须是断开的,反之依然。即保证内、外 网络不能同时连接在深信服安全隔离与信息交换系统上。深信服安全隔离与信息 交换系统的原始数据“摆渡”机制是原始数据通过存储介质的存储(写入)和转发(读 出)。深信服安全隔离与信息交换系统在网络的第七层将数据还原为原始数据文 件,然后以“摆渡文件”的形式来传递原始数据。任何形式的数据包、信息传输命令 和 TCP/IP 协议都不可能穿透深信服安全隔离与信息交换系统。这同透明桥、混杂 模式、IP over USB、代理主机、以及通过开关方式来转发信息包有本质的区别。 下面以内网与外网之间的安全
