1、网络卫士安全隔离与信息交换系统TopRules,省电视台都市频道项目产品介绍,北京天融信郑州分公司,提纲,隔离需求 隔离技术的发展 TopRules介绍 应用案例 隔离产品的发展趋势,隔离需求,隔离在国外,最早美国和以色列等国都存在此方面的技术应用和相关法规,例如美国早在1999年底就强制规定军方涉密网络必须与互联网断开。由于此类信息涉及国家安全问题,所以国外少有报道。在国内,隔离要求最早是由国家保密局提出的,并且已经严格在涉密网内执行,而隔离交换技术发展至今,在技术上已经取得了实质的突破并在网络安全领域内受到了广泛关注。,提纲,隔离需求 隔离技术的发展 TopRules介绍 应用案例 隔离产
2、品的发展趋势,隔离等级,无条件连通 在一定过滤条件下连通(防火墙、应用代理) 任何时刻不连通但有数据交换(安全隔离与交换) 无任何数据交换(物理断开),常见的四种隔离技术,多套独立网络 单机隔离卡 传统网闸 安全隔离与信息交换系统,多套独立网络,最初,很多组织通过建立两套完全独立的网络来实现隔离,一套可对外连接,一套完全封闭于内部,两套系统间无法做到信息共享,只能借助各自部署于两套网络中的独立的计算机来分别获取内部和外部信息。如果需要共享某些信息,通常是借助介质拷贝来进行,或者采取插拔网线的方式。这种方法造成大量资源的浪费,操作也很不方便,最终形成信息孤岛的不利局面。,单机隔离卡,后来,业界出
3、现了一种采用网络隔离卡的简单易行的方法,即借助专用的隔离卡,将一台设备上的硬盘物理分割为两个分区,分别与内外网络相连,并且分别安装各自的操作系统,形成两个完全独立的环境,操作者每次只能进入其中一个系统,要进行系统切换时,必须重新启动。这种方法的成本还是相当高的,因为它是针对单机系统的隔离,并不适用于整个网络,如果网络中众多主机都有上网需求,需要为每个主机都安装一套隔离卡。如果用户有内外网络信息交换的需求,一般还需要通过介质拷贝在两套网络系统之间传递信息。,传统网闸,再后来,在安全隔离方面也曾出现过其他多种技术方案,大量类似网闸(Gap)的概念涌现出来:在隔离卡建立起的两套系统间设立数据缓冲区,
4、进行分时连接和切换,类似于河道通过船闸,任何时候数据缓冲区只能和关键业务网或是非关键业务网当中的其中一个网络有物理相连,从而实现关键业务网和非关键业务网的隔离基于电子开关的方式进行隔离系统两端网络通断的控制这些技术一定程度上能够解决信息交换和隔离的需求,但在安全功能实现和系统性能上仍存在一定问题,并不能完全满足电子政务建设所提出来的安全要求。,安全隔离与信息交换系统,这是国家保密局认定的一类专门的产品是在吸取了以前多种隔离技术的优点并解决了各自存在的问题的基础上开发的针对网络隔离,是多用户系统,节省了开支,方便了实施和操作采用多机系统结构,对内外部网络进行有效隔离阻断网络直接连接,阻断通用协议
5、贯通具有内容过滤和审计的功能,提纲,隔离需求 隔离技术的发展 TopRules介绍 应用案例 隔离产品的发展趋势,三机三系统架构,技术实现内外端机,将应用信息从网络协议中剥离 通过专用协议发送应用信息到仲裁机,技术实现仲裁系统,对流经仲裁系统所有信息进行检查 确保内外网络的信息交互置于可控范围内 审计信息记录在案,技术实现访问控制,安全隔离与信息交换系统通常都采用基于用户的访问控制只对合法用户开放信息交换的受控通道事先应设定允许使用特定受控通道的用户用户要使用受控通道时,需提交并验证自己的真实身份支持多种身份验证方式,技术实现受控通道,内外网间的信息交换全部要通过预先建立的受控安全通道来进行该
6、安全通道完全置于仲裁机的控制之下在建立的安全通道上可以设定各种安全策略,以规定具体控制方式受控安全通道可支持多种工作模式,适应于不同的场合,技术实现安全策略,仲裁机对通道的控制体现在所配置的安全策略上 只有仲裁机上的管理配置接口才能够配置仲裁策略仲裁系统对流经的信息依据相关策略,进行严格的过滤检查安全策略的设置可以依据:源、目标的IP地址、端口号具体用户传输内容和文件类型时间限制等,技术实现其他增强功能,数字证书在仲裁机上放置离线证书库将数字证书引入受控通道,做到“审批发送”针对特殊需求可作特殊处理入侵检测和防病毒支持防病毒和入侵检测引擎可识别各类已知病毒及攻击特征进一步加强安全隔离与信息交换
7、系统自身的安全性但不应用来取代专用的防病毒和入侵检测产品,功能模块安全上网模块,提供安全的上网访问,支持HTTP协议及代理等 支持访问控制对象:源地址、目标地址、源端口、目的端目、域名、URL、访问方式、时间等 支持内容过滤:关键字(采用自主研发的下推自动机的高效过滤算法) 支持脚本过滤:javascript、Applet、ActiveX等 支持其他过滤策略:文件类型、页面提交方式等 支持用户名/密码认证方式,功能模块安全邮件模块,提供安全的邮件访问,支持POP3、SMTP协议 支持邮件主机地址过滤 支持邮件内容审计过滤 支持发送地址、收件地址过滤 支持邮件主题过滤 支持附件传输进行控制 支持
8、邮件大小控制 支持邮件病毒查杀功能,功能模块文件传输模块,提供安全的文件传输功能,支持FTP等文件传输协议 支持用户名/密码认证 支持用户名/IP-MAC绑定,功能模块文件同步模块,基于专用客户端提供安全的文件同步功能,占用系统资源少,文件交换效率高,不会频繁的进行磁盘扫描 支持windows平台和linux平台 同步传输方向可控,双向或单向 支持实时扫描传输 支持一对多或多对一传输 支持目录内子目录同步,至多支持32级目录 支持中文文件名或目录同步,功能模块数据库访问模块,提供对多种主流数据库(SQL、ORACLE、DB2、SYBASE等)数据库系统的安全访问 支持用户查询、修改、添加、删除
9、等操作 支持全表复制、增量更新、全表更新等 支持操作时间限制,设定特定时间访问数据库操作,功能模块数据库同步模块,基于专用客户端与网闸安全连接方式,提供多种主流数据库(SQLS、ORACLE、DB2、SYBASE等)的单、双向数据交换 无需修改数据库表结构,不涉及到代码修改及二次开发 同步粒度可以达到表内具体字段 支持多种增量同步方式,可分别定义增加、删除、修改的传输方式 支持异构数据结构以及代码语义的转换规则定义,并实现源数据到目标数据之间的实时数据交换,支持数据整合业务 支持数据一对一、一对多、多对多的单向或双向交换和同步 支持实时交换或定时同步的策略定义 采用XML技术,具有可配置性。可
10、以通过标准定义、规则定义、通道定义和路由定义进行个性化的数据交换策略定义 数据库同步高可靠性,即使发生网络故障,已变化数据也不会丢失,协议支持性,HTTP、HTTPS、SMTP、POP3、FTP、TELNET、SQL、ORACLE、NULL_TCP等 支持用户基于标准TCP、UDP开发的自定义协议软件 无需对自定义协议软件进行二次修改开发 可以根据需求开发新的专用协议处理过滤功能,管理功能,配套管理软件管理端:用于通道建立、策略制定等审计端:用于日志查询、分析、导出等管理端和审计端软件采用C/S结构,独立与仲裁机连接使用 安全终端管理可通过终端管理方式配置网闸,日志审计功能,完成系统活动、网络
11、连接的记录、分析、统计和导出,本项目中涉及的产品型号,提纲,隔离需求 隔离技术的发展 TopRules介绍 应用案例 隔离产品的发展趋势,在涉密网络中的应用需求,电子政务 安全隔离与信息交换系统究竟在电子政务网络系统中怎样应用,这主要与电子政务系统中安全域及网络的划分有关。中办17号文件对此进行了说明:“电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离。政务内网主要是副省级以上政务部门的办公网,与副省级以下政务部门的办公网物理隔离。政务外网是政府的业务专网,主要运行政务部门面向社会的专业性服务业务和为需在内网上运行的业务。” 等级保护,具体的应用场合,不同的
12、涉秘网络之间;同一涉秘网络的不同安全域之间;与互联网物理隔离的网络与秘密级网络之间;未与涉秘网相连的网络与互联网之间。,涉密网应用之一, 不同的涉秘网络之间,涉密网应用之二, 同一涉秘网络的不同安全域之间,涉密网应用之三, 与互联网物理隔离的网络与秘密级网络之间,涉密网应用之四, 未与涉秘网相连的网络与互联网之间,提纲,隔离需求 隔离技术的发展 TopRules介绍 应用案例 隔离产品的发展趋势,隔离产品发展趋势,目前,隔离产品主要应用于两类情况,即政策类应用和业务类应用,前者主要是应用于各级政府机关和涉密企事业单位,由于受到国家保密政策的影响,这些单位迫切需要将已建成的办公局域网同Internet或上一级专网进行安全隔离。后者主要是自身提出了在安全隔离的条件下实现数据交换的需求,相关行业包括金融、证券、税务、海事及其他。 随着电子政务建设的深化发展,随着各企业对信息安全日益看重,要求日益提高,安全隔离产品将会得到更广泛的应用。,谢谢!,
