安全隔離與信息交換系統(tǒng)產(chǎn)品點評

1、物理隔離網(wǎng)閘專輯安全隔離與信息交換系統(tǒng)產(chǎn)品點評國保金泰安全隔離與信息交換系統(tǒng)該產(chǎn)品在管理上，采用了專用管理平臺，提供了專門的日志審計，審計日志可以基于自主加密、等方式輸出。同時，還提供了運行日志、告警日志、認證日志、審計日志、操作日志五大類日志信息，并可通過日志審計系統(tǒng)進行類別、用戶賬號、時間段、地址、告警級別等綜合熱點查詢。在功能實現(xiàn)上，該產(chǎn)品所具有的功能包括：通過內(nèi)端系統(tǒng)的包過濾和應(yīng)用代理及認證模塊實現(xiàn)對內(nèi)網(wǎng)用戶請求的認證和管理，并支持合法內(nèi)網(wǎng)用戶進行網(wǎng)頁瀏覽和郵件收發(fā)；國保金泰安全隔離與信息交換系統(tǒng)是北京國保金泰信息安全技術(shù)有限公司送測的隔離產(chǎn)品。該公司是從事信息系統(tǒng)安全技術(shù)產(chǎn)品研發(fā)、信

2、息安全系統(tǒng)服務(wù)和信息安全系統(tǒng)集成的高新技術(shù)企業(yè)。該產(chǎn)品在技術(shù)實現(xiàn)上，根據(jù)國家對網(wǎng)絡(luò)管理的相關(guān)規(guī)定，提出了硬件映射隔離技術(shù)（），并將此技術(shù)運用于該隔離交換產(chǎn)品上。該技術(shù)對處于內(nèi)部網(wǎng)絡(luò)的網(wǎng)關(guān)位置隔離系統(tǒng)，可以截獲所有在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，并通過解析數(shù)據(jù)包頭來判斷信息的流向，進而將數(shù)據(jù)包頭狀態(tài)在本地保存，并將數(shù)據(jù)包中不包含連接信息的純數(shù)據(jù)部分通過硬件映射隔離技術(shù)（），在內(nèi)外網(wǎng)間進行純數(shù)據(jù)交換，然后根據(jù)數(shù)據(jù)需要重新構(gòu)造連接信息。通過上述構(gòu)造，國保金泰安全隔離與信息交換系統(tǒng)保證了系統(tǒng)之間的安全隔離與交換。同時，基于技術(shù)的隔離交換卡是連接內(nèi)端系統(tǒng)和外端系統(tǒng)的唯一數(shù)據(jù)通道。在隔離交換卡上，它提出了芯片級信道

3、控制技術(shù)，即通過芯片檢測及芯片互鎖機制在內(nèi)端系統(tǒng)和外端系統(tǒng)之間建立起完全隔離的兩條數(shù)據(jù)通道，一條數(shù)據(jù)通道僅傳輸內(nèi)網(wǎng)到外網(wǎng)的數(shù)據(jù)，另一條數(shù)據(jù)通道僅傳輸外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)，通過對數(shù)據(jù)流向的分離達到對信道的完全控制。通過內(nèi)端系統(tǒng)內(nèi)容過濾模塊對由內(nèi)網(wǎng)發(fā)往外網(wǎng)的郵件進行檢查和過濾，防止內(nèi)部信息非法泄露；通過與硬件卡配合的專用數(shù)據(jù)傳輸協(xié)議實現(xiàn)數(shù)據(jù)的交換；通過外端系統(tǒng)的入侵檢測模塊檢查來自外網(wǎng)的攻擊；通過外端系統(tǒng)的包過濾防火墻模塊防止來自外網(wǎng)的非授權(quán)訪問；通過防病毒模塊檢查和阻擋來自外網(wǎng)的病毒；通過日志管理模塊動態(tài)顯示當(dāng)前數(shù)據(jù)交換的安全狀態(tài)，并記錄所有網(wǎng)絡(luò)活動以備審計追蹤；支持的通信協(xié)議包括：、（）、以及基于

4、自主協(xié)議的專用通信；同時還提供專用數(shù)據(jù)交換套件，包括數(shù)據(jù)庫同步套件、郵件同步套件、文件同步套件等。在安全性和性能方面，該產(chǎn)品的操作系統(tǒng)采用了經(jīng)過安全加固的安全操作系統(tǒng)，可以對內(nèi)部應(yīng)用程序和數(shù)據(jù)提供強制訪問控制；在數(shù)據(jù)交換時，安全隔離系統(tǒng)的內(nèi)端機和外端機之間并不存在網(wǎng)絡(luò)協(xié)議，因此如果是隔離器不認識的協(xié)議將完全不能通過，利用網(wǎng)絡(luò)進行滲透的惡意程序?qū)⒉荒苌?，同時其單層協(xié)議棧結(jié)構(gòu)也確保了檢查的有效性，解決了傳統(tǒng)安全防護手段所遇到的信息旁路問題?？傮w來說，該產(chǎn)品設(shè)計架構(gòu)安全，產(chǎn)品功能豐富，審計功能強大，同時，該產(chǎn)品也具有較好的網(wǎng)絡(luò)傳輸性能。浪潮網(wǎng)泰安全隔離網(wǎng)閘自都擁有自己的、存儲體和總線，并且在兩套系

5、統(tǒng)間除通過基于技術(shù)的隔離交換卡外，不存在直接或間接的聯(lián)系。內(nèi)端系統(tǒng)用來處理內(nèi)部網(wǎng)絡(luò)的信息，包括用戶請求、認證、權(quán)限控制等；外端系統(tǒng)用來處理外部網(wǎng)絡(luò)的信息，如獲取資源等。同時，該產(chǎn)品使用基于技術(shù)的隔離交換卡，此卡是連接內(nèi)端系統(tǒng)和外端系統(tǒng)的惟一數(shù)據(jù)通道。浪潮網(wǎng)泰安全隔離網(wǎng)閘是浪潮集團有限公司推出的安全產(chǎn)品，該公司是從事信息系統(tǒng)安全技術(shù)產(chǎn)品研發(fā)、信息安全系統(tǒng)服務(wù)和信息安全系統(tǒng)集成的高新技術(shù)企業(yè)。在技術(shù)實現(xiàn)上，該產(chǎn)品有兩套處理系統(tǒng)，稱為內(nèi)端系統(tǒng)和外端系統(tǒng)。內(nèi)端系統(tǒng)和外端系統(tǒng)是兩套獨立的系統(tǒng)板，各在隔離交換卡上，提出了芯片級信道控制技術(shù)，即通過芯片檢測及芯片互鎖機制在內(nèi)端系統(tǒng)和外端系統(tǒng)之間建立起完全隔離

6、的兩條數(shù)據(jù)通道，一條數(shù)據(jù)通道僅傳輸內(nèi)網(wǎng)到外網(wǎng)的數(shù)據(jù)，另一條數(shù)據(jù)通道僅傳輸外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)，通過對數(shù)據(jù)流向的控制達到對信道的完全控制。計算機安全物理隔離網(wǎng)閘專輯在管理上，浪潮安全隔離與信息單向傳輸系統(tǒng)可以通過、進行管理配置，其中管理配置提供獨立網(wǎng)絡(luò)接口，以保證更高安全性，管理配置需要通過系統(tǒng)身份認證。在日志分析方面，浪潮安全隔離與信息單向傳輸系統(tǒng)提供完善的日志分析工具，可以通過方式進行日志的查詢與維護，日志分析需要通過系統(tǒng)身份認證，日志支持導(dǎo)入導(dǎo)出。在功能上，浪潮網(wǎng)泰安全隔離網(wǎng)閘集成了國家保密局指定的涉密文件密級標識檢查系統(tǒng)和高效內(nèi)容檢查系統(tǒng)，可以對郵件及其附件做內(nèi)容檢查，對郵件附件做密級標識檢

7、查，附件檢查格式支持、等，附件文檔格式支持、等。對于請求，浪潮網(wǎng)泰安全隔離網(wǎng)閘遵循標準對所有數(shù)據(jù)進行解析，對于絕大部分隱通道可以進行過濾，數(shù)據(jù)到達目的地后也同樣按照的標準進行恢復(fù)。同時在浪潮網(wǎng)泰安全隔離網(wǎng)閘的外端系統(tǒng)上還集成了防病毒模塊（可選），可以對網(wǎng)頁病毒、郵件病毒等進行過濾，并對含毒郵件報警，提醒用戶重新連接。在安全性上，由于浪潮網(wǎng)泰安全隔離網(wǎng)閘內(nèi)部并不存在任何網(wǎng)絡(luò)協(xié)議，因此在外網(wǎng)系統(tǒng)中無法通過網(wǎng)絡(luò)對內(nèi)網(wǎng)進行攻擊，通過了賽迪評測本次的端口掃描、系統(tǒng)漏洞、木馬、等攻擊測試。另外，假設(shè)極限情況是外端系統(tǒng)可能被攻破，但其特殊的安全機制保障了攻擊信息不會進入內(nèi)網(wǎng)，從最大程度上保證了內(nèi)網(wǎng)的安全。總

8、體來說，浪潮網(wǎng)泰安全隔離網(wǎng)閘配置管理方便快捷，功能設(shè)計完善，安全訪問控制能力強，并具有較好的安全性和性能。聯(lián)想網(wǎng)御安全隔離與信息交換系統(tǒng)聯(lián)想網(wǎng)御安全隔離與信息交換系統(tǒng)是聯(lián)想公基于串口通訊管理工具。系統(tǒng)還提供本地串口登錄管理功能，在遠程管理失效或者遭受非法攻擊等情況下，通過物理上接近系統(tǒng)，能夠及時地進入并管理配置系統(tǒng)。該產(chǎn)品提供了強大的日志和設(shè)計功能，支持等標準日志服務(wù)，支持對所有訪問的日志記錄功能，提供對本地日志信息的瀏覽、查詢、排序、下載等多種審計手段，還支持對指定事件的多種報警方式，包括：界面報警、郵件報警、手機短信報警等等。在功能上，該產(chǎn)品針對不同的應(yīng)用具有完善的應(yīng)用功能模塊，主要應(yīng)用模

9、塊包括：文件交換模塊、數(shù)據(jù)庫模塊、郵件模塊、安全瀏覽模塊。在基本功能實現(xiàn)上，該產(chǎn)品采用協(xié)議剝離技術(shù)，只進行純數(shù)據(jù)的交換，集成入侵檢測引擎。在應(yīng)用模塊上，該產(chǎn)品支持、等多種應(yīng)用層協(xié)議，不同的功能模塊分別對這些協(xié)議進行細粒度檢測。主要實現(xiàn)功能包括：關(guān)鍵字檢測、黑白名單過濾、文件類型檢驗、用戶名口令校驗、數(shù)字簽名校驗、身份認證、控件過濾、腳本過濾、過濾、郵件屬性過濾、垃圾郵件過濾、異構(gòu)數(shù)據(jù)庫交換、數(shù)據(jù)庫關(guān)鍵字沖突解決等等。系統(tǒng)還提供二次開發(fā)接口，可以提供定制服務(wù)，對用戶自定義協(xié)議進行安全檢測。在安全性上，該產(chǎn)品可以阻止、發(fā)現(xiàn)對安全隔離網(wǎng)閘本身的攻擊、阻止有害代碼程序進入被隔離的網(wǎng)絡(luò)，防止有害的可執(zhí)行

10、程序、病毒、腳本通過安全隔離網(wǎng)閘交換；防止機密信息泄露，在交換方向、交換內(nèi)容上進行控制，防止內(nèi)部機密信息泄露。總體來說，該產(chǎn)品管理簡單，功能上能很好地支持數(shù)據(jù)庫，同時也具有較好的安全防護，是一款較好的產(chǎn)品。司研制的網(wǎng)絡(luò)安全隔離產(chǎn)品。該產(chǎn)品在技術(shù)實現(xiàn)上采用多主機隔離結(jié)構(gòu)。交換模塊采用專有硬件設(shè)計，通過專有安全芯片實現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)的交換，使得系統(tǒng)具有高度安全性，同時也具有很高的交換性能，系統(tǒng)從硬件層面實現(xiàn)了內(nèi)外網(wǎng)安全隔離，保證任意時刻內(nèi)外網(wǎng)間沒有鏈路層連接，數(shù)據(jù)只能以專用數(shù)據(jù)塊方式靜態(tài)地在內(nèi)外網(wǎng)間通過網(wǎng)閘進行“擺渡”，通過對連接和數(shù)據(jù)包的獲取、阻斷、分離、檢測、重組、交換、恢復(fù)、連接等一系列安全操作

11、完成數(shù)據(jù)的隔離與交換。該產(chǎn)品在提高和保障用戶的網(wǎng)絡(luò)安全時，最大限度地保證了用戶應(yīng)用的方便性。該產(chǎn)品同時集成多種安全技術(shù)手段，采用強制安全策略，對數(shù)據(jù)內(nèi)容進行安全檢測，保障數(shù)據(jù)安全、可靠地交換。在管理上，該產(chǎn)品具有基于數(shù)字證書的遠程移動安全管理工具。提供基于全中文方式的遠程管理系統(tǒng)，方便用戶移動管理，同時對管理員身份進行嚴格的認證，支持基于的數(shù)字證書安全訪問，對用戶密碼進行嚴格的檢查，防止出現(xiàn)弱密碼，并對輸入錯誤次數(shù)進行限定，保護管理員身份安全。蓋特佳網(wǎng)杰安全隔離與信息交換系統(tǒng)蓋特佳網(wǎng)杰安全隔離與信息交換系統(tǒng)是北京蓋特佳信息安全技術(shù)有限公司自主研發(fā)的隔離產(chǎn)品。蓋特佳公司是專門從事信息安全服務(wù)和安

12、全產(chǎn)品研發(fā)的高科技民族企業(yè)。該產(chǎn)品在技術(shù)上，通過專用通信硬件、專有交換協(xié)議和加密簽名機制及應(yīng)用層數(shù)據(jù)提取技術(shù)，實現(xiàn)了在不同安全級別的網(wǎng)絡(luò)之間完成風(fēng)險可控的數(shù)據(jù)交換，不僅徹底阻斷了網(wǎng)計算機安全物理隔離網(wǎng)閘專輯絡(luò)間的直接連接，而且對網(wǎng)間通信的雙方、內(nèi)容、過程施以嚴格的身份認證、內(nèi)容過濾、安全審計等多種安全防護機制，從而保證了網(wǎng)間數(shù)據(jù)交換的安全可控，杜絕了由于操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議自身的漏洞帶來的安全風(fēng)險，能夠有效地防范已知和未知的攻擊行為。同時，蓋特佳網(wǎng)杰安全隔離與信息交換系統(tǒng)也是一個安全防護平臺，在此平臺基礎(chǔ)上可完成多種安全防護措施和手段，能夠最大限度地保護網(wǎng)絡(luò)免受攻擊并防范重要信息的有意或無意泄露

13、。別的可靠性；產(chǎn)品提供詳細的審計功能，能夠?qū)λ型ㄟ^系統(tǒng)的信息交換活動和管理活動進行監(jiān)控和審計，并提供相應(yīng)的信息分析功能。該產(chǎn)品在功能實現(xiàn)上，具有較好的自身安全性、較好的安全訪問控制、強大的應(yīng)用層安全防護等功能，是一款有較高安全性的安全設(shè)備。產(chǎn)品采用硬件架構(gòu)和安全裁減的操作系統(tǒng)，系統(tǒng)本身具備高安全性；產(chǎn)品能夠?qū)?shù)據(jù)交換的雙方、內(nèi)容和過程進行嚴格的控制，具備精細的安全訪問控制功能；產(chǎn)品通過應(yīng)用層數(shù)據(jù)提取技術(shù)，對應(yīng)用層數(shù)據(jù)進行內(nèi)容檢查，具備應(yīng)用層安全防護功能，通過專用通道和專用協(xié)議，能夠有效地隔離可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)，能夠達到在不同的涉密網(wǎng)絡(luò)之間、同一涉密網(wǎng)絡(luò)的不同安全域之間、與互聯(lián)網(wǎng)絡(luò)物理隔離的

14、網(wǎng)絡(luò)和秘密級涉密網(wǎng)絡(luò)之間或者未與涉密網(wǎng)絡(luò)相連接的網(wǎng)絡(luò)和互聯(lián)網(wǎng)絡(luò)之間實現(xiàn)安全隔離的目的。該產(chǎn)品在管理上，采用基于方式的架構(gòu)，對系統(tǒng)進行集中管理。管理實行分權(quán)管理，超級管理員、管理員和審計員的管理權(quán)限既相互獨立又相互制約，能夠有效地保證管理的可靠性；管理策略支持腳本語言，通過腳本語言，能夠?qū)ο到y(tǒng)進行遠程集中管理；管理認證方式采用基于技術(shù)的身份鑒別和認證方式，支持標準數(shù)字證書，密鑰存儲支持密鑰磁盤和，能夠有效地保證管理員身份鑒該產(chǎn)品在安全性和網(wǎng)絡(luò)性能方面，也具有較好的表現(xiàn)。在測試中，該產(chǎn)品有效地抵抗了所有的測試攻擊，并能夠有效地防止木馬程序。在性能方面，也有很好的表現(xiàn)，能夠用于大中型網(wǎng)絡(luò)的安全隔離與

15、信息交換，實現(xiàn)信息的隔離與交換?？偟膩砜矗摦a(chǎn)品具備防止外部攻擊和內(nèi)部泄密的功能，能夠?qū)崿F(xiàn)可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)之間的安全數(shù)據(jù)交換，是一款新型的通道式安全隔離產(chǎn)品。偉思安全隔離與信息交換系統(tǒng)過管理控制臺狀態(tài)選項卡對整個系統(tǒng)進行常規(guī)的狀態(tài)監(jiān)視。其日志和警報功能所涉及內(nèi)容包括系統(tǒng)問題、通訊故障、破壞安全的企圖、通過系統(tǒng)的傳輸和指令、通過系統(tǒng)傳輸?shù)奈募推渌愋偷膬?nèi)容等。在功能上，它提供了數(shù)據(jù)庫備份功能，對數(shù)據(jù)參數(shù)和運行參數(shù)以及日志內(nèi)容的備份功能，為系統(tǒng)管理和安全管理提供了有力的支持。同時支持郵件的報警和通知功能，偉思安全隔離與信息交換系統(tǒng)（）是偉思集團運用技術(shù)研制的網(wǎng)絡(luò)安全產(chǎn)品。在技術(shù)實現(xiàn)上，采用了

16、三種技術(shù)。一是電子開關(guān)通斷技術(shù)，保證可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)在設(shè)備上的物理隔斷，它包含了設(shè)計的硬件電子開關(guān)動作系統(tǒng)，使得連接可信網(wǎng)絡(luò)端和不可信網(wǎng)絡(luò)端的兩組高速電子開關(guān)配合系統(tǒng)數(shù)據(jù)流分時地“接通”、“斷開”。二是采用反射技術(shù)，它的內(nèi)部反射系統(tǒng)完全基于硬件體系，目的是將不可信網(wǎng)絡(luò)端計算機存儲系統(tǒng)和可信網(wǎng)絡(luò)端計算機存儲系統(tǒng)中的數(shù)據(jù)進行快速交換。反射系統(tǒng)不依賴于任何通信協(xié)議和操作系統(tǒng)服務(wù)，它具有獨立的硬件邏輯電路，通過獨立的總線交換數(shù)據(jù)，實現(xiàn)了網(wǎng)絡(luò)間數(shù)據(jù)的高速交換。三是采用協(xié)議終止及分析技術(shù)。當(dāng)網(wǎng)絡(luò)數(shù)據(jù)流經(jīng)時，數(shù)據(jù)在設(shè)備計算機系統(tǒng)上被處理，經(jīng)過協(xié)議終止、協(xié)議檢查并剝離數(shù)據(jù)包裝，然后剝離出的裸數(shù)據(jù)被反射系統(tǒng)傳送到另一方，并重新生成協(xié)議后送達目的地，杜絕黑客利用協(xié)議對可信網(wǎng)絡(luò)進行攻擊。管理上，它提供的日志和警報功能，可以監(jiān)視和解決對可信網(wǎng)絡(luò)以及設(shè)備本身的連接和破壞安全的問題，也可以通系統(tǒng)的電子郵件警報和電子郵件通知可以在某些特定事件發(fā)生時，使系統(tǒng)管理員能夠清楚地了解發(fā)生了什么。郵件跟蹤機制包括電子郵件警報，每當(dāng)系統(tǒng)中發(fā)生特定事件，就會發(fā)出電子郵件信息以通知系統(tǒng)管理員。電子郵件通知，即發(fā)給一個或多個通訊方的電子郵件信息的消息。同時，還提供了協(xié)議分析模塊，可以允許可信網(wǎng)絡(luò)用戶自如地訪問不可信網(wǎng)絡(luò)上的各種網(wǎng)絡(luò)資源，也可以允許不可信網(wǎng)絡(luò)上的用戶安全地訪問可信網(wǎng)絡(luò)上的服