FerryWay技术白皮书.doc-道客多多

资源描述

1、安全隔离与信息交换系统FerryWay 2.0技术白皮书上海金电网安科技有限公司二 OO三年六月上海金电网安科技有限公司技术白皮书安全隔离与信息交换系统 FerryWay 2.02目录上海金电网安科技有限公司简介 3产品研制背景 41、FerryWay 简介 72、FerryWay 基本功能 72.1 支持协议 .72.2 普通用户功能 .82.3 管理员功能 .83、FerryWay2.0 体系结构与特性 .93.1 安全模型 .93.2 硬件结构 .113.3 专用硬件和专用通信协议 .113.4 基于下推自动机的高效过滤算法 123.5 安全特征 .124、主要模块功能介绍 .134

2、.1 内端机/外端机 .134.2 仲裁/审计系统 .144.3 受控协议通道 .154.4 工作模式 .164.5 应用协议信息交换 .164.6 入侵检测 .18194.7 查杀病毒 .194.8 数字证书 .195、安全隔离与信息交换系统 FerryWay 2.0 性能 .19206、安全隔离与信息交换系统 FerryWay 2.0 应用 .206.1 涉密单位 FerryWay 应用 206.2 重要网络 FerryWay 应用 236.2.1 内部核心网与内部一般业务网间的隔离 .236.2.2 内部边缘网与总部综合网间的隔离 .2324上海金电网安科技有限公司技术白皮书安全隔离与

3、信息交换系统 FerryWay 2.036.2.3 内部甲部门业务网与乙部门业务网间的隔离 .246.2.4 内部网与外部网间的隔离 .246.2.5 行业间有数据交换需求时实现安全的数据交换 .256.3 重要场合应用示范 26上海金电网安科技有限公司技术白皮书安全隔离与信息交换系统 FerryWay 2.04上海金电网安科技有限公司简介上海金电网安科技有限公司是一家主要从事信息安全技术研究、信息安全产品开发、安全应用系统开发、安全网络系统集成、信息安全咨询服务的高科技公司。公司成立于2000年11月，是国家信息安全成果产业化（东部）基地首批入驻企业。公司80%的员工来自国内著名高校，其中

4、安全领域的博士、硕士达到了40%，形成了一支高水平的专业安全队伍。公司经过几年的努力，得到了国家有关部门的认可，获得了涉及国家秘密的计算机信息系统集成资质证书、软件企业资质证书等等。公司同时还承担了国家973计划重大攻关课题，与上海交通大学成立了“信息与网络安全体系结构联合实验室” ，在信息与网络安全体系结构方面已获得多项具有国际先进水平的科研成果。公司将秉承求实、创新的宗旨，在安全领域内不断开拓进取，为民族信息安全产业发展做出应有的贡献。上海金电网安科技有限公司技术白皮书安全隔离与信息交换系统 FerryWay 2.05产品研制背景随着国家信息化建设不断深入，作为信息化建设重要组成部分的电

5、子政务，也在各地轰轰烈烈地展开。为提供科学决策、监管控制、大众服务等功能，电子政务平台上存在相当多的重要文件，其泄漏将给国家和人民造成很大的损失。越来越多的专家认识到信息安全是电子政务建设中的头等大事，关系到国家安全和社会稳定。如何保证对“外部”提供公共服务的同时，又解决好电子政务“内部”的安全保密，彻底解决信息孤岛，是当前我国电子政务建设中急需解决的重要问题。针对这个问题，国家保密局早在1998年发布的涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法中就提出了“物理隔离”要求，文中明确规定：涉密系统不得直接或间接与国际联网，必须实行物理隔离。2000年1月1日正式实施的计算机信息

6、系统国际联网保密管理规定中也明确规定：“凡涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相联接，必须实行物理隔离。 ”最初，很多单位往往建立两套完全独立的网络，此方式不仅无法共享外部信息，而且需要在两套网络中各配备一台计算机来帮助用户分别获取内部和外部信息。后来，为了让用户避免使用两套计上海金电网安科技有限公司技术白皮书安全隔离与信息交换系统 FerryWay 2.06算机系统，做到“物理隔离”与使用的方便性相结合，出现了一种采用网络隔离卡的简单易行方法，即通过该卡将一台设备上的硬盘物理分割为两个分区，分别与内外网络相连，分别安装各自的操作系统，形成两个完全独立

7、的环境，操作者一次只能进入其中一个系统，每次切换系统都需要开关机一次。采用网络隔离卡方式实现的物理隔离方案成本相当高，需要为每一个有上网需求的内网用户安装一套隔离卡系统，几乎相当于重建一套网络，但仍然没有做到真正意义上的内外网络隔离。在以上两种方式下，若用户有内外网络信息交换的需求，目前一般通过介质拷贝在两套网络系统之间传递信息。随着电子政务系统建设的不断深入，内部网络与外部网络之间需要交换的信息越来越多，通过介质拷贝不仅无法保证信息传递的效率，更缺乏对信息安全的严格审查，极易导致攻击代码的流入和重要信息的泄漏。因此，在电子政务系统的内外网络之间迫切需要这么一种安全设备，它在保证重要网络与其他

8、网络安全隔离的同时，实现网络之间有效地数据交换。此外，军队、电力、铁道、金融、银行、证券、保险、税务、海关、水利、交通、民航、社保、石化等部门行业，也对高安全性网络与其他网络之间的信息交换提出了防攻击和信息泄露的要求，并颁布了相应的建设规范和管理办法。上海金电网安科技有限公司正是在这种形势下，利用自身的技术优势和安全体系结构方面的研究成果，开发了高效、安全的网间隔离产品安全隔离与信息交换系统FerryWay 2.0 （以下简称上海金电网安科技有限公司技术白皮书安全隔离与信息交换系统 FerryWay 2.07FerryWay）。该产品融入了完整的安全体系结构设计理念，最先推出安全隔离的概

9、念，并创造性地提出了三机系统模型，通过对信息进行落地、还原、扫描、过滤、防病毒、入侵检测、审计等一系列安全处理，有效地防止了黑客攻击、恶意代码和病毒的渗入、信息泄露等等，实现了两个网络的安全隔离和信息在网络间的安全交换。上海金电网安科技有限公司的“安全隔离与信息交换系统FerryWay”产品通过了公安部计算机信息系统安全产品质量监督检测中心的检验（公计检030042），符合GA 370-2001端设备隔离部件安全技术要求；通过了国家保密局涉密信息系统安全保密测评中心的检测（2003-J0009），满足涉密系统对安全隔离与信息交换的技术要求。产品已获资质如下：公安部颁发的计算机信息系统安全

10、专用产品销售许可证：XKC30393；国家保密局颁发的科学技术成果鉴定证书：（2003）鉴字06号。上海金电网安科技有限公司技术白皮书安全隔离与信息交换系统 FerryWay 2.081、FerryWay 简介FerryWay 是上海金电网安科技有限公司针对既有高安全性需求，又期望与其他网络进行信息交互的重要网络开发的、具有自主知识产权的安全隔离产品。2、FerryWay 基本功能FerryWay 在有效隔离的基础上，实现了安全的、受控的数据交换。系统中的数据交换业务可以灵活配置和快速定制，数据交换可以单向也可以双向。数据交换由发起方以客户机身份与FerryWay 连接，FerryWay

11、再以客户机身份与数据交换的另一方建立连接，实现数据交换。除了必须要开放的用于数据交换的特定端口外，FerryWay 不提供任何对外的服务。FerryWay 支持双机热备功能，保证了整体网络系统之间信息交换的高可靠性。2.1 支持协议协议名称可配置情况备注HTTP 可用于访问外部 web 服务器SMTP/POP3 可用于访问外部邮件服务器FTP 可用于访问外部 FTP 服务器Telnet 可用于访问外部 Telnet 服务器数据库信息交换可根据用户业务需求定制上海金电网安科技有限公司技术白皮书安全隔离与信息交换系统 FerryWay 2.09自定义应用协议可根据用户业务

12、需求定制2.2 普通用户功能普通用户可使用 FerryWay 的各种已配置数据交换协议。普通用户首先向系统管理员申请帐号，在系统管理员为其添加帐号后，每个用户都将获得其专有用户名和密码，从而可以进行跨网的数据交换。以 HTTP 服务和 Mail 服务为例：用户在使用 HTTP 服务之前，首先在浏览器（例如 IE、Netscape 、Opera、Mozilla 等）中设置代理服务器。在涉及到内外网间的数据访问时，浏览器会提示输入用户名和密码。如果用户通过了系统认证，用户就可以正常访问互联网上的限定范围内的网站。在使用 Mail 功能时，用户使用和HTTP 同一个帐号收发邮件。用户可以使用常见的

13、Mail 客户端的一种（例如 outlook 或者 foxmail），将 SMTP 和 POP3 服务器设置为系统内端机 IP 地址，按照规定的格式设定外部邮箱的用户名和密码，用户就可以使用 Internet 网上的邮箱收发邮件。详细的用户功能可参考安全隔离与信息交换系统用户手册。2.3 管理员功能FerryWay 有着强大的管理功能。管理员可以通过直连网线连接到仲裁系统，通过专用的管理软件完成系统的配置功能。上海金电网安科技有限公司技术白皮书安全隔离与信息交换系统 FerryWay 2.010管理员具有以下权限：系统实时监控：通过通道状态监控 FerryWay 内建立的各个协议信息

14、通道。用户管理：添加、删除用户。通道管理：设置各个协议信息通道的属性。策略管理：添加、删除、编辑策略。审计：对系统信息进行审计，并提供查询、阅读审计信息的接口。3、FerryWay2.0 体系结构与特性3.1 安全模型国内外目前的隔离设备分两类，一类是单机用物理隔离卡，适用于单机访问外部网络，网络间没有网络应用业务的场合。另一类是隔离网闸类，用于实现网络间的逻辑隔离和数据交换。国内外隔离网闸类设备都是双机系统，双机之间用互斥访问的存储设备进行连接。其缺点是，仲裁系统只能承载在外端机或内端机上，仲裁系统是网络可达的，本身易受来自网络的攻击，而且一旦内端机或外端机被非正常地获得一定的权限，则通过互

15、斥访问的存储设备，可能构建出不受控通路，影响隔离的效果。本产品创造性地提出三机系统的设计模型：一个与外网相连的外端机、一个与内网相连的内端机和一个两者之间独立的仲裁机。内上海金电网安科技有限公司技术白皮书安全隔离与信息交换系统 FerryWay 2.011端机和外端机通过专用硬件与仲裁机相连，如图 1 所示：图 1 安全隔离与信息交换系统的安全模型该模型具有如下 3 个特点：内端机和外端机分别是内网和外网的网络协议的终点。所有过往的应用层信息都从 TCP/IP 协议包中剥离，被还原为应用层信息。应用层信息再通过专用硬件和专用通信协议发送给仲裁系统。仲裁系统对收到的应用层信息进行过滤检查，

16、控制网络间的信息传播内容，同时对病毒进行查杀。仲裁系统采用专用硬件和专用协议与内外端机相连，无法被任何人从内部或外部通过网络协议到达，因此仲裁系统不会受到黑客的攻击。FerryWay 的数据流程如图 2 所示，从 TCP 协议中剥离出应用层数据，通过自定义的安全协议，发给仲裁系统；仲裁系统处理后，发给另一方，还原为 TCP/IP 包格式 , 网络协议包不可能跨越两个网络。上海金电网安科技有限公司技术白皮书安全隔离与信息交换系统 FerryWay 2.0123.2 硬件结构FerryWay 的硬件结构如图 3 所示，它采用了三机结构实现隔离系统的安全模型。在图 2 中，位于中间的仲裁系统实现

17、了 “检查员”的功能。图 3 FerryWay 系统的硬件结构图3.3 专用硬件和专用通信协议系统内部采用 400Mbps 的高速专用硬件，使系统有极高的数上海金电网安科技有限公司技术白皮书安全隔离与信息交换系统 FerryWay 2.013据吞吐能力。通过在操作系统内核中整合专用的链路层协议和认证机制，进一步提高了隔离的安全性，即使通过代码分析获得了该硬件的接口，也无法与中间机建立链路层的连接。对并发的多个数据流，采用虚电路并发处理机制，解决了传统多进程处理的效率问题，大大提高了现有硬件平台的数据吞吐能力。3.4 基于下推自动机的高效过滤算法自主研发的基于下推自动机的高效过滤算法，采用树形

18、结构存储敏感信息。特别设计的数据源过滤器以策略树为过滤依据, 内建多个下推自动机，自动机数量由策略树结构动态决定。对目标内容实现并行过滤。更新策略树不会影响已经存在的数据源过滤器,更新之后的过滤动作自动采用新的策略树作为过滤依据，策略树更新做到了“热插拔” 。该过滤算法，特别适合大批量关键字同时过滤，而且该算法还能避免常见的掩饰手段，如将敏感关键词拆开、加入标点、换行等的干扰，有很强的信息滤出能力。3.5 安全特征FerryWay 创造性地采用了三机的体系结构，由仲裁机担任的“安全检查员”对从 TCP 包中剥离出来的应用层信息进行安全检查。上海金电网安科技有限公司技术白皮书安全隔离与信息交换

19、系统 FerryWay 2.014仲裁系统会对检查结果进行审计。这样一方面防止外网黑客的攻击，另一方面也可以有效地控制内网用户的信息泄漏，减少病毒的泛滥和传播，提高系统的安全等级。外端机不向外网用户提供任何服务，以减少知名服务的安全隐患。系统对操作系统进行最大化精简，并做了安全优化和加固。FerryWay 采用了内嵌的入侵检测机制，检查外端机上可能的入侵事件。系统增加了管理员的身份鉴别功能，如对口令强度的检测及对鉴别尝试次数的限制等等。4、主要模块功能介绍4.1 内端机 /外端机FerryWay 的信息交换主要包括基于通用应用协议（如：HTTP协议、FTP、Telnet 、 SMTP 协议和

20、POP3 协议等协议）和用户自定义协议的信息交换。信息交换的功能被分割在内外端机上实现。根据信息交换的发起源所在位置，信息交换可以分为从内端机向外端机和从外端机向内端机两个方向的数据通道。我们将以内端机向外端机方向为例说明系统的工作过程，首先由内端机接受用户发来的连接请求，并将用户连接的基本信息传递到仲裁机，确认连接发起源为合法发起源，之后内端机接受连接发起源发来的信息并转发上海金电网安科技有限公司技术白皮书安全隔离与信息交换系统 FerryWay 2.015到仲裁机，仲裁机按照该信息通道对应的应用协议进行相应的分析处理，在安全的情况下通知外端机向实际的连接目标发出连接请求。外端机将仲裁机发

21、来的信息转发到连接目标，并将连接目标发回的数据传送给仲裁机。等到在内端机外端机收到从仲裁机发来的连接结束信号或者内外端机中的一方与对应的连接出现错误之后，本次信息交换工作结束。图 4 内端机/外端机工作原理本系统的安全通信协议完全实现在链路层上，使得通信的效率有了保证。 FerryWay 的内端机和仲裁系统，仲裁系统和外端机之间的全部数据都经由采用专用硬件的快速信道进行传输。4.2 仲裁/审计系统仲裁系统是安全隔离与信息交换系统的核心，存储了 FerryWay 的所有重要信息，其中实现了多种安全机制：为系统内每一位用户提供了身份识别，在系统检测到相应事件之后可以定位相应的责任人；对流经仲裁系统

22、所有信息进行检查，找出其中“敏感” 的内容，将内部网络和外部网络的信息交互置于一个可控的范围内；将系统各种审计信息记录在案，供系统管理员随时查阅。上海金电网安科技有限公司技术白皮书安全隔离与信息交换系统 FerryWay 2.016仲裁系统向管理员提供方便灵活的用户界面，使得系统管理员可以方便地管理整个系统。图 5. 仲裁系统总体结构FerryWay 采用自主研发的基于下推自动机的高效过滤算法，特别适合大批量关键字同时过滤。同时该过滤算法可以避免常见的掩饰手段（如：拆分敏感关键词、加入标点、换行等）的干扰。4.3 受控协议通道FerryWay 提供受控协议通道来实现协议信息交换功能。受控协议

23、通道是指一条从内端机通向外端机或者从外端机通向内端机的受控信息通路。受控通道的开启和关闭均由管理员维护。受控通道开启后，内端机/外端机开始监听通道入口 IP 上指定的端口，仲裁机上相应的协议分析部件开始运作，准备处理各种流经通道的协议数据信息。FerryWay 对所有应用协议提供基本的安全配置，包括：上海金电网安科技有限公司技术白皮书安全隔离与信息交换系统 FerryWay 2.017 协议通道的入口 IP 和监听端口；协议通道所允许的发起源 IP；协议通道所允许的用户帐户；协议通道所允许的最大并发用户数协议通道可按照管理员设置定时自动开启/关闭4.4 工作模式FerryWay 提供

24、两种工作模式：代理模式和转发模式。在代理工作模式下，FerryWay 的协议分析部件从用户发来的协议信息包中分析出实际的连接目标，并和这个连接目标进行信息交换。FerryWay 的转发工作模式应用于固定目的服务器地址和端口的应用场合，管理员在设置通道的时候配置好相应的目的服务器地址和端口，FerryWay 的某条通道在接受客户端连接并确认身份后即向固定目的服务器固定端口发起连接。FerryWay 支持的两种工作模式相辅相成，可以胜任更多的应用场合。4.5 应用协议信息交换除了受控协议通道的基本安全设置之外，FerryWay 的各种协议分析模块分别提供相应的安全控制机制。上海金电网安科技有限公司

25、技术白皮书安全隔离与信息交换系统 FerryWay 2.018自定义协议信息交换：FerryWay 在基本的受控通道的基础上可以根据用户的需求进行新的自定义通信协议的开发。新的通信协议具有多种扩展功能：自定义协议通道可以采取代理工作模式或者转发工作模式；自定义协议通道可以直接使用现有的全部通道基本设置；自定义协议通道可以直接引入已有的其它协议通道的安全功能；自定义协议通道可以根据需求开发新的专用协议处理功能；自定义协议通道得益于 FerryWay 设计上的强大的可扩展性，它使得 FerryWay 具有了很大的灵活性，能够适应多种应用领域。HTTP 协议信息交换：FerryWay 的

26、HTTP 信息交换有两种工作状态：客户端保护状态和服务端保护状态。HTTP 客户端保护状态的主要目的是保护内网的用户不受到外网 Web 站点上有害内容的攻击，本工作状态对应于受控通道的代理工作模式；服务端保护状态的主要目的是保护内网的 Web 服务器不受外来访问的攻击，本工作状态对应于受控通道的转发工作模式。除了基本的配置之外，FerryWay 在 HTTP 协议加入了多种安全策略供管理员配置，包括：本协议通道可以访问的 URL 清单。本协议通道是否过滤有害的脚本。本协议通道需要过滤的敏感关键字列表。邮件相关协议信息交换：上海金电网安科技有限公司技术白皮书安全隔离与信息交换系统 Fer

27、ryWay 2.019FerryWay 对邮件相关协议的处理可以看作是一个安全的邮件信息交换平台，用户可以使用常见的邮件客户端工具（如 outlook和 foxmail）并设置在互联网上的公共邮箱实现邮件信息交换。FerryWay 在邮件相关协议的处理中加入了多种保护邮件的功能。对邮件的主题及内容进行过滤，可以有效地防止内部机密信息的泄漏。限制邮件的大小，可限制大附件的邮件。限制邮件中的执行脚本。限制垃圾邮件，保护用户不受垃圾邮件的干扰。检测管理员设置的附件文件名的安全规则，阻断规则所禁止的邮件。FTP 协议信息交换：FerryWay 提供的 FTP 协议通道主要保护内网 FTP 服

28、务器不受攻击。除受控通道的基本安全支持外，FTP 协议还可对使用 FTP 通道所传输的内容进行内容过滤和病毒查杀。Telnet 协议信息交换：FerryWay 提供的 Telnet 协议通道主要保护内网的 Telnet 服务器不受攻击，Telnet 协议处理模块对通过 FerryWay 的用户 Telnet命令暂存并作分析以阻止有害的信息进入而造成危害，同时对用户登录后进行的动作做全面的审计记录。上海金电网安科技有限公司技术白皮书安全隔离与信息交换系统 FerryWay 2.0204.6 入侵检测FerryWay 系统借鉴了开放源码软件 snort 的体系结构，构建了一个基于网络的入侵检测系

29、统（NIDS）。它能够在网络上检测原始的网络传输数据，分析捕获的数据包，通过匹配入侵行为的特征或者从网络活动的角度检测异常行为，对发现的不正常行为作相应的审计记录，供管理员随时查询。即使发生意外，管理员亦可以从入侵检测记录中找到事故的原因并找到线索，采取相应的措施。FerryWay 系统预先设置了完备的入侵行为特征规则库，无须系统管理员配置。4.7 查杀病毒针对目前互联网上以病毒为主的信息攻击，FerryWay 集成了强大的杀毒引擎。目前针对邮件病毒的危害，采用的杀毒引擎能够快速检测被病毒感染的文件。若能将邮件病毒先删除，则先删除病毒再发送邮件；若不能删除邮件中的病毒，则抛弃该邮件。无论能否

30、删除邮件中的病毒，都向管理员和发信人发送告警邮件。4.8 数字证书FerryWay 系统可以很好地和数字证书体系相结合。根据用户的需求将数字证书引入应用协议通道中。数字证书作为原有用户身份上海金电网安科技有限公司技术白皮书安全隔离与信息交换系统 FerryWay 2.021鉴别系统的有力补充使得 FerryWay 的功能更为强大。5、安全隔离与信息交换系统 FerryWay 2.0 性能1) 带宽：系统的物理传输速率达到 400Mbps。用户访问外网的带宽通常由外网路由器的带宽所决定，不会因为本系统受到影响。2) 时延：通过浏览器访问 Internet 网站的时延，通常由外网产生的时延决定，

31、本系统产生的时延小于 0.1 秒。3) 最大受控通道数：FerryWay 上最大可以允许 256 个并发的受控协议通道，支持 256 种不同的协议同时处理。4) 最大连接数：系统中单个协议通道的最大并发连接数为 32767；系统中所有协议通道的最大并发连接数为 65535。5) 用户数：本系统最大可支持 1024 个用户。上海金电网安科技有限公司技术白皮书安全隔离与信息交换系统 FerryWay 2.0226、安全隔离与信息交换系统 FerryWay 2.0 应用6.1 涉密单位 FerryWay 应用FerryWay 针对涉密系统采用了专用硬件进行数据交换，并由仲裁机负责完成安全保密检查。

32、因此，FerryWay 可以在安全隔离的基础上，实现内外网之间有效、安全、受控的数据交换。系统在涉密单位主要应用在以下场合：1、不同的涉密网络之间；2、同一涉密网络的不同安全域之间；安全隔离与信息交换系统地方政务内网国家政务内网安全隔离与信息交换系统安全域一安全域二安全域三上海金电网安科技有限公司技术白皮书安全隔离与信息交换系统 FerryWay 2.0233、与互联网物理隔离的网络与秘密级网络之间；4、未与涉密网络连接的网络与互联网之间；5、存在手动拷盘传输数据的场合。安全隔离与信息交换系统完全可以做到

33、只允许单向的信息交换，这样就防止了内网向外网的泄密，进一步保证了网间隔离的安全。而采用“安全隔离与信息单向传输系统”将 Internet 信息导入涉密网的方案，将会比通过手动拷盘传输数据方式更安全。原因如下：（1）只允许信息由外到内单向传输，不会泄密；（2）采用专用硬件和专用协议，可防止由 Internet 对内网的网络攻击；Inter物理隔离内部网络处理秘密级信息的涉密网络安全隔离与信息交换系统Inter 政务外网安全隔离与信息交换系统上海金电网安科技有限公司技术白皮书安全隔离与信息交换系统 FerryWa

34、y 2.024（3）在外端机上集成了入侵检测模块，且不对外提供任何服务，每次传输的数据自动进行安全检查，可防范对内网的计算机病毒、拒绝服务等攻击。当然，安全隔离与信息交换系统究竟在电子政务网络系统中应用到什么程度，主要与电子政务中安全域与网络的划分有关，中办17 号文件对此进行了说明。文件指出电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离。政务内网主要是副省级以上政务部门的办公网，与副省级以下政务部门的办公网物理隔离。政务外网是政府的业务专网，主要运行政务部门面向社会的专业性服务业务和为需在内网上运行的业务。6.2 重要网络 FerryWay 应用另外，

35、 FerryWay 也可以广泛使用在行业数据网之间的隔离、行业内不同性质业务网间的隔离以及内部网络和外部网络之间的隔离。该平台上的数据交换业务是可以灵活配置和快速定制的，数据交换可以单向也可以双向。6.2.1 内部核心网与内部一般业务网间的隔离内部核心网与内部一般业务网由于业务性质不同，一般情况下，其数据库性质也是不同的，但之间往往存在数据交流。直接向对方上海金电网安科技有限公司技术白皮书安全隔离与信息交换系统 FerryWay 2.025开放权限让对方访问是很不安全的。即使使用防火墙设备，为了让对方能够访问，也必须使对方在开放的业务上网络可达。安全隔离平台可以在网络安全隔离的基础上，与网络

36、应用提供者共同制定应用通信协议，并对该协议的数据流进行仲裁，从而实现安全的数据交换和隔离。6.2.2 内部边缘网与总部综合网间的隔离由地理因素隔开的分部门和总部门之间的信息交换是一个经常性的行为。分部门和总部门之间一般通过开放的互联网络传输设施相互连接。分部门和总部门中任何一方直接向互联网络开放访问权限都是不明智的行为，即使使用防火墙设备也必须为相应的业务开放相应的权限，从而带来各种安全隐患。FerryWay 在信息隔离的基础上，提供的受控业务信息交换的通道，可以避免向互联网络开放权限带来的弊病。 6.2.3 内部甲部门业务网与乙部门业务网间的隔离单位内部的各个部门之间的信息一般情况下是隔离的

37、，同时，出于单位统一的业务需要，部门间常常会发生信息交换，甚至多个部门联合进行业务活动，在这种情况下，在部门之间直接开放各种访问权限是简单直接的做法，但也是最不安全的行为。即使使用了防火墙，由于防火墙的协议可达性，同样容易造成部门之间的不安全上海金电网安科技有限公司技术白皮书安全隔离与信息交换系统 FerryWay 2.026性。FerryWay 避免了基于协议的攻击，经过审计的部门之间通信不会有信息泄漏的顾虑。6.2.4 内部网与外部网间的隔离内部网络相对于外部网络而言必须保证其安全性，不能受到来自外部的攻击，同时要避免内部信息泄漏。内部网与外部网之间又需要进行信息交换。要使得内部网络对于

38、外部网络而言通信协议不可达，必须使用安全隔离与信息交换系统 FerryWay。6.2.5 行业间有数据交换需求时实现安全的数据交换跨行业的业务行为要求有跨行业的信息交换。除了涉及该项业务行为之外的其它所有信息必须严格隔离，防止泄密。采用安全隔离与信息交换系统 FerryWay 为专用的业务制定专门的协议，或者采用受控的传统协议（如绑定在 HTTP 上等）进行信息交换可以有效地避免各种基于协议的攻击和泄密行为。上海金电网安科技有限公司技术白皮书安全隔离与信息交换系统 FerryWay 2.0276.3 重要场合应用示范下图说明了安全隔离与信息交换系统 FerryWay 在多种重要场合下的应用。

39、1、内部重要网络与其他网络之间的安全隔离；2、分支机构与总部网络之间的安全隔离；3、重要服务器的安全隔离（如数据库服务器）；4、整体网络与 Internet 之间的安全隔离。广域网安全管理中心局域网一局域网二内部重要网络 FeryWa应用一 FeryWa应用三后台数据库其他用户移动用户分支机构网站，邮件服务器群网络防火墙 FeryWa应用二安全隔离信息交换平台（ FeryWa）网络防火墙 DMZ区路由器专线 FeryWa应用四上海金电网安科技有限公司技术白皮书安全隔离与信息交

40、换系统 FerryWay 2.028上海金电网安科技有限公司技术白皮书安全隔离与信息交换系统 FerryWay 2.029妹妹，你就这样悄无声息地消失在茫茫的人海，消失在我日夜的想念中。不曾带走我对你的点点回忆。千重山，万重水，割不断的是情深似海如潮的的思念。默默坐在屏前，手指在键盘上轻轻的划过，所有的怀想，所有根植脑海抹不去的记忆，都凝聚指尖，触动着流年的痕迹，把一纸素笺的心事，轻吟纸笺，等你从陌上归来。我的妹妹，你在哪里啊？哪里？问天，天不语，问己，己不明。想你的日子，见不到你的踪迹，让我陷入了沉思。有关你的一切，早已深深铭刻在心里。妹妹，你是我心底最珍贵的爱！回想起我们一起度过的时光，

41、是那么的美好。所有的细节历历在目。还记得我们初遇的散文吧吗？第一次与你相遇，是在你的空间，欣赏你温婉如水的文字，一看到你的笔名冰格格，不问为什么，就一下子惊艳了我的目光，一下子就喜欢上了你高贵典雅的名字，喜欢上了你才华横溢精彩的文字，喜欢上了你冰清玉洁的聪慧，喜欢上了你的一切。妹妹，生命中的许多东西是可遇不可求的。姐姐能幸运的遇上你，是天意，是缘分，更是生命中注定让我们有共同爱好文字，走到了一起。在那些快乐美好的日子里，我们互相点评文章，互相推心置腹的发短信交流，很快，我们就成了无话不说的网上好姐妹，彼此都会为伤感文字而流泪，也会为彼此的喜悦而欢呼雀跃妹妹，姐姐永远不会忘记，在姐姐最困难的时

42、候，是你不离不弃的向姐姐伸出援助之手，帮我渡过难关。是你一次次发短信打电话，询问病情，关心着姐姐。记得那次，当电话那端，传来千里之外，你亲切的声音，那一刻，姐姐接电话的手在颤抖，心在激烈的跳动，姐姐卸掉所有的坚强面具，再也控制不了自己的情感，竟在你面前痛哭的发泄流泪。你用温暖的话语，安慰鼓励着姐姐，为姐姐抹去眼角的泪痕，把微笑的阳光，洒向姐姐的世界，从此，你就成了姐姐一生的感恩。妹妹，你在姐姐的眼里，是没有血缘关系，如同骨肉的亲人，甚至超越亲情的朋友，你留给姐姐的是太多太多的感动。常常让姐姐沉浸在绵绵幸福的回忆中。妹妹，在姐姐悲痛欲绝地行走在死亡的边缘，是你的到来，让友情如一盏明灯，照彻我的灵

43、魂，温暖着姐姐黑夜里的寒冷。从散文网到 007 等，一路走来，一根网线把我们紧紧的连在一起，从相遇到相识，相知，想念，我们心灵共鸣，灵魂相依。都说网络是虚拟的，没有真情，可是网络却让我们结下一份难解难分的真情。没有刻意，没有设计，只有一次的相遇，就让不在一个区域，从未谋面的你我，千里之距，心心相连。妹妹，美好的日子总是过得太快，时间如白驹过隙，屈指算来，我与你已相识六年，六年来，你一直在我的心里，梦里。如今，你突然从我和众朋友的世界里，消失的无影无踪，怎能不让我为你忧虑牵挂，你知道吗？这些日子，网上的朋友们都在打听你的消息，他们想念着你，梦海，汉茂油桃老师，小傻子等，和我给你发信息，给你打电话

44、，一次次的找遍了整个网络空间，和你相约的地方，可是，我们不管以怎样的方式，都没盼来你的回音，让我们焦急万分。妹妹，你去了哪里？是去执行任务，还是外派他地。我们无从知晓。当从北京那里得到点滴消息，如今，你陷入困境，无法自拔，我们为你心疼，为你担心。我们怎能忍心看到你一个人，独自承受那么多的精神压力。妹妹，姐姐明白，善良的你，不愿让亲人和朋友分担你的痛苦，所以，没有告别，而孑然一人，走到与世隔绝的角落妹妹，无论你在何方，无论北京来的信息是否可靠，无论你现今有多忙，无论你发生怎样的挫折，姐姐希望你别忘记，抽空给你的亲人，和朋友打个电话，或发个信息，报一声平安，不能让爱你的那个人，独自默默煎熬孤独，徒

45、留苍茫地想念。不能让你的朋友，日夜为你担心，望眼欲穿的期盼，有什么困难说出来，让大家替你想想办法，帮助你做点什么。上海金电网安科技有限公司技术白皮书安全隔离与信息交换系统 FerryWay 2.030妹妹，人生的路，总不会是一帆风顺。总会遇到各种各样的风雨坎坷。很多事情，都是无法预料中发生，遇到困难，我们要学会坚强的面对，一首歌里唱得好“当灵魂迷失在苍凉的天和地/ 还有最后的坚强在支撑我身体/当灵魂赤裸在苍凉的天和地/我只有选择坚强来拯救我自己。”梦海在给你的诗里写道：谁不能不顾自己的生命/ 而为那一点小小的纠纷/和偶尔的失误、而丧失了斗志/和坚强遥望远方，思绪蔓延。妹妹，你在哪里啊？你在哪里？你可听到远方姐姐的呼唤！望断天涯，路漫漫，既已相遇，何忍分离。

展开阅读全文