隔离网关产品在直报网系统中应用说明_初稿.doc

1、隔离网关产品在直报网系统中应用说明瑞达信息安全产业股份有限公司 版本：V1.0文档标识：JW-JGAP3000-APP-ELN-V1.0 日期：1序号 版次修改页码及条款修改原因 修改 审核 批准 修改日期角色 签名 日期 备注撰写 余维伟 20130528 在直报网系统中网闸的应用说明审核批准瑞达信息安全产业股份有限公司 版本：V1.0文档标识：JW-JGAP3000-APP-ELN-V1.0 日期：2一、 需求说明一段简明的话说明行业或项目背景将需求总结为几个部分，并按照如下格式描述需求依据*标准（*项目需求） ，需要在*产品（*项目）中提供什么功能，该功能是为用户（开发人员、实施人员、维

2、护人员）提供*方面的帮助。不需要画图说明地州直报终端E t h 1E t h 0省级网关 （ 上级 ）交换机E t h 1E t h 0高校网关 （ 下级 ）高校直报终端安全协议标准协议中央信息服务器域控管理服务器交换机省级数据交换服务器3 0 密管中心地州加密机省加密机3 0 加密机3 0 加密机省 级 直 报 专 网中 央 信 息 网高 校 直 报 专 网图 1-1 直报网系统部署在直报网系统中地州、高校网将信息报送至省级数据交换服务器，省级数据交换服务器再将信息报送至中央信息服务器（数据报送应用系统此文档中不做说明） ，在数据安全传送过程中主要满足以下几瑞达信息安全产业股份有限公司 版本

3、：V1.0文档标识：JW-JGAP3000-APP-ELN-V1.0 日期：3点要求:1. 地方网、省级、中央相互之间网络隔离，在网络物理隔离下进行数据交换；2. 在信息直报过程中直报终端与数据服务器之间通信遵守“五指定” 原则；“五指定” 通信原则即为指定设备上指定用户的指定应用传送信息至指定设备上指定用户的指定应用；3. 数据传送需要保证其安全性；以上网络隔离交换以及“五指定”可以通过隔离网关实现，至于数据传送安全性保障可以由加密机完成。隔离网关采用“2+1”硬件架构满足两网 (可信网与非可信网)之间的物理隔离，保证任意时刻连接在隔离网关的两个网络是物理隔离的，同时提供两网之间的数据交换。

4、这样既保证了两网各自的安全性，也保证了有效的数据交换。内主机模块外主机模块隔离交换模块外部网络内部网络隔离交换设备图 1-2 隔离网关设备硬件结构示意图隔离网关完成“五指定”通信利用标签技术实现，标签数据包含设瑞达信息安全产业股份有限公司 版本：V1.0文档标识：JW-JGAP3000-APP-ELN-V1.0 日期：4备信息，身份信息、应用信息及信息签名数据，其中签名操作采用ECC 非对称算法实现。内部网络终端数据通过隔离网关发送至外部网络指定设备中指定用户下指定应用模块。二、 功能清单针对各个功能点将图画中阐述的技术思路在这里用语言描述出来，尽量简洁。其实也就是你定义了一个功能，需要将这个

5、功能的主要技术思路阐述一下针对直报网系统安全中隔离网关的主要需求功能点如下：功能名称 安全隔离功能描述 在可信网络与不可信网络之间实现安全隔断执行者 隔离网关设备主过程描述这里是技术思路的描述隔离网关采用“2+1”硬件架构，即内主机+隔离交换模块+外主机，保证在任意时刻内部网络和外部网络都是物理隔离，以此保障内部网络安全功能名称 数据高速交换功能描述 在隔离条件下通过隔离交换模块高速交换内外部网络数据执行者 隔离网关设备主过程描述 可信网络与不可信网络端间通过实时高速安全地数据交换，其硬件交换速度不小于 1Gbps这里面只有策略管理，策略的执行不全，有终端的控制部分。缺乏针对五指定或瑞达信息安

6、全产业股份有限公司 版本：V1.0文档标识：JW-JGAP3000-APP-ELN-V1.0 日期：5数据交换服务器采用什么交换部件提供交换服务，这个交换部件指的是软件功能，是部署在内外主机上。功能名称 策略管理(“五指定”访问策略配置 )功能描述 配置内部网络设备与外部网络设备通信策略，以及内部网络设备之间通信策略执行者 管理员主过程描述 管理员进入管理系统策略管理模块可以配置内部网络终端设备之间的”五指定” 通信策略，同时也可以配置内部网路设备与外部网络”五指定”通信策略。管理员将配置的策略信息下发给隔离网关设备，隔离网关设备中的执行系统实现对应策略的数据交换。功能名称 审计管理功能描述

7、审计查看/查询/备份/恢复等执行者 管理员瑞达信息安全产业股份有限公司 版本：V1.0文档标识：JW-JGAP3000-APP-ELN-V1.0 日期：6三、应用部署“外网受理，内网处理”模式与直报网系统部署场景相似，如下图所示用户可通过连接外部网络办理相关审批手续，其业务处理系统位于内网安全网络内，两者之间通过隔离网关实现安全隔离。主过程描述 审计管理对隔离网关提交的日志进行有效管理，提供查询、备份、删除、导入、导出功能，对 参 与 数 据 交 换 的 时 间 、 地 点 、 人 员 、 计算 机 、 服 务 器 、 应 用 、 行 为 、 数 据 标 识 、 结 果 等 进 行 安 全 审

8、 计 ， 确保 内 外 网 数 据 交 换 的 行 为 具 有 追 踪 和 回 溯 能 力 。功能名称 终端控制管理(“五指定”信息校验 )功能描述 终端设备注册、网络数据控制执行者 终端用户主过程描述 终端控制管理模块将设备信息注册到隔离网关管理系统中，从隔离网关管理设备中获取”五指定 ”访问策略，对于进入的网络根据策略进行”五指定” 验证，对于发送的数据添加”无指定” 信息。瑞达信息安全产业股份有限公司 版本：V1.0文档标识：JW-JGAP3000-APP-ELN-V1.0 日期：7四、 市场分析市场分析部分太多功能的描述，针对直报来说，很多功能没有用，也不用做这些比较。功能仅仅简单罗列

9、，主要针对各家关注的市场进行描述，目前暂时可以简化，同志们以后需要在这个部分加强。国内网闸厂商如联想网御、伟思、中网通讯、赛博兴安等研制的网闸产品主要功能是在实现内部网络与外部网络物理隔离的基础上实现各类 TCP/IP 以上的网络应用协议，包括：HTTP、SMTP、POP3、DNS 、FTP 、NFS、MMS、IM、VOIP 数据访问协议等等,另外支持用户自定义开发的特殊应用协议，除了提供数据访问应用协议服务以外同时提供数据交换类服务，典型应用是数据库同步服务。以下是国内网闸产品主要功能点：HTTP 功能 允许可信网络用户自如地访问不可信网络上的各种网络资源，也瑞达信息安全产业股份有限公司 版

10、本：V1.0文档标识：JW-JGAP3000-APP-ELN-V1.0 日期：8可以允许不可信网络上的用户安全地访问可信网络上的 WEB 服务。EMAIL 功能提供功能完善的 SMTP/POP(3)协议分析模块，可以允许可信网络用户自如地收发来自不可信网络上的各种电子邮件，也可以允许不可信网络上的用户安全地收发可信网络上的电子邮件。FTP 功能FTP 协议分析模块，提供了和 HTTP 功能和 Email 功能一样安全的 FTP 服务支持。内容过滤功能针对关键字（词）进行检索，按照匹配的原理，对网闸传输的数据进行过滤和检查，可以保护网络的各种敏感资源和数据，也保护了可信网络资源。黑 /白名单功能

11、针对通过网闸传输的数据的文件名进行过滤的黑/白名单功能，瑞达信息安全产业股份有限公司 版本：V1.0文档标识：JW-JGAP3000-APP-ELN-V1.0 日期：9不仅可以有效阻止敏感文件的交换，并且可以有效防范通过附件文件对可信网络的各种攻击。IDS 入侵检测功能网闸在设备两端内置了 IDS 入侵检测引擎，该引擎可有效保护系统自身及受保护网络免受攻击者的频繁攻击。该系统将自动分析对受保护内网的访问请求，并与网闸隔离系统实现内部联动对可疑数据包采取拒绝连接的方式防御攻击。SAT(服务器地址映射)功能可信端服务器可通过 SAT 功能将自身的特定服务虚拟映射到网闸的不可信端接口上，通过隔离系统

12、的不可信端虚拟端口对外提供服务，访问者仅能访问虚拟端口而无法直接连接服务器，从而对外屏蔽服务器，防止服务器遭到攻击。身份认证功能网闸除了提供基本的用户名/口令身份认证功能以外，还可与外部认证系统集成支持扩展的 Radius、PKI 数字证书、 SecureID 等多种强身份认证功能。 瑞达信息安全产业股份有限公司 版本：V1.0文档标识：JW-JGAP3000-APP-ELN-V1.0 日期：10安全代理服务功能网闸允许可信端用户以应用代理方式访问不可信网络，网闸作为应用代理网关对内网访问请求进行检测，相对于传统的基于网络层的 NAT 方式来说，由于代理服务在应用层对访问请求进行检测具有更细的

13、粒度和检查元素，对访问具有更高的安全控制能力。安全过滤功能网闸产品通过协议分析技术提供应用级的安全过滤以保护数据和应用服务器免受恶意 Java 和 ActiveX applet 的攻击，并在协议数据传送过程中确认通信是否遵循相关的协议标准；进行异常协议检测；限制应用程序携带恶意数据的能力。防病毒功能网闸系统支持内嵌防病毒引擎，可实现对内外网摆渡数据的病毒查杀，其防水墙模块可有效阻止内网信息的外泄及木马、蠕虫等恶意程序通过 HTTP、SMTP 等方式向外泄漏信息。实现对病毒的高效查杀，支持包括 HTTP、SMTP、POP3 协议的网关级病毒过滤。瑞达信息安全产业股份有限公司 版本：V1.0文档标

14、识：JW-JGAP3000-APP-ELN-V1.0 日期：11带宽管理控制功能系统可选内置流量带宽分析模块，采用协议分析技术，针对不同应用可限定协议流量进行带宽分配，支持网关级的终端带宽管理控制，同时支持带宽策略管理，可针对不同应用进行不同策略的带宽管理控制。带宽保障功能可预留连接数及应用带宽给关键应用，限制非法的大流量协议应用，提高关键应用的可用性，保障关键应用在任何情况下都能安全高效的运行，从而提高用户整体网络应用的利用效率。日志和警报功能网闸提供的日志和警报功能，可以监视和解决对可信网络以及设备本身的连接和破坏安全的问题，也可以通过管理控制台状态选项卡对整个网闸系统进行常规的状态监视。

15、支持第三方日志输出与集中管理，实现企业级网管中心的集成。瑞达信息安全产业股份有限公司 版本：V1.0文档标识：JW-JGAP3000-APP-ELN-V1.0 日期：12日志和警报功都所涉及内容包括： 网闸系统的问题 通讯故障 破坏安全的企图 通过网闸系统的传输和指令 通过网闸系统传输的文件和其它类型的内容客户端安全认证功能网闸支持用户安全上网应用，可根据身份认证、IPMAC 绑定等多种安全策略实现用户安全上网应用，同时支持透明应用代理方式，客户端无需设置。数据库应用支持各种类型的数据库应用，支持 Oracle、MS SQL、MySQL、SyBase 等主流的数据库的 SQL 查询，支持全表复

16、制、增量更新、全表更新等多种数据库同步方式，并支持自定义表和字段。网络应用瑞达信息安全产业股份有限公司 版本：V1.0文档标识：JW-JGAP3000-APP-ELN-V1.0 日期：13网闸支持各类 TCP/IP 以上的网络应用协议，包括：HTTP、SMTP、POP3、DNS 、FTP 、NFS、MMS、IM、VOIP 等等。支持用户自定义开发的特殊应用协议。同时，针对用户特殊需求网闸提供 API 应用开发接口。定时服务功能网闸安全隔离系统内置定时功能,可设置多个时间点来控制网闸网络服务的启动和终止,在停机期间任何外部主机都无法访问网闸，网闸此时类似于已关机。该功能使得网闸在不需要进行数据交

17、换的时间段处于不工作状态，内外网彻底与外网物理隔离，绝对安全，如果不对定时功能进行设置,在默认情况下网闸可正常使用。通过以上功能点描述可以看出现有网闸产品在隔离交换基础实现了多种协议数据访问及数据交换服务，同时提供了操作系统层的安全防护(入侵检测、病毒查杀等)，很好地满足了不同级别网络之间的隔离与数据交换需求。瑞达信息安全产业股份有限公司 版本：V1.0文档标识：JW-JGAP3000-APP-ELN-V1.0 日期：14五、SWOT 分析5.1 优点通过第四章国内网闸产品主要功能模块的介绍，可以看出现有网闸产品的用户认证针对的是客户端用户，没有“五指定” 认证功能，此点瑞达隔离网关可以使用网

18、络标签技术实现，在标签技术应用瑞达拥有比较成熟的基础，在标签技术中使用的 ECC 算法由自行研制芯片的硬件提供，保证算法安全性。5.2 弱点瑞达于 2012 年研制了隔离网关系统原型，现阶段处于产品化研制阶段，没有国内成熟产品完善的功能模块，如数据库同步、病毒查杀、IDS 入侵检测、带宽控制、负载均衡等功能点，完善这些功能点需要长期研发投入。五指定功能采用安全协议的不稳定如何克服，这个算不算弱点5.3 机会点在直报网系统中国内现行网闸产品满足不了“五指定” 要求，瑞达隔离网关可以借鉴安全域访问控制系统标签技术实现源设备、源用户、源应用、目的设备、目的用户、目的应用之间的有效访问控制，有效满足直

19、报网系统的应用需求，相对于其他网闸产品更贴近需求，瑞达信息安全产业股份有限公司 版本：V1.0文档标识：JW-JGAP3000-APP-ELN-V1.0 日期：15竞争力更强。5.4 威胁在隔离网关基础上使用标签技术实现“五指定” ，其中标签数据添加、验证拆除发生在客户端与隔离网关设备内主机、隔离网关设备外主机与服务器之间，数据传输方面性能会受到很到影响。在隔离网关实现“五指定”需要隔离网关内网机对内网终端进行有效管理，与网闸产品仅对客户端用户认证功能不一致，使得客户端接入隔离网关收到限制，而且此类型隔离网关是网闸产品与安全域控制系统的综合体，增加了维护和升级难度。使用标签技术实现“五指定”的隔离网关产品契合直报网系统需求，但其他领域需要很少，导致此类型网关产品市场需求很小，市场竞争力不大，经济效益不高。6.产品关联性说明与域控制网关的关系与隔离交换产品的关系（这是在基础上的一个定制）暂无