金電網(wǎng)安網(wǎng)閘

安全隔離與信息交換系統(tǒng)

FerryWayV2.0上海金電網(wǎng)安科技有限公司一、金電網(wǎng)安公司簡(jiǎn)介﹡公司背景﹡資質(zhì)與合作伙伴﹡公司承擔(dān)項(xiàng)目二、網(wǎng)絡(luò)安全與隔離技術(shù)﹡網(wǎng)絡(luò)隔離現(xiàn)狀﹡網(wǎng)絡(luò)安全分析﹡隔離技術(shù)的原理及其優(yōu)勢(shì)﹡網(wǎng)閘產(chǎn)品分類三、FerryWay產(chǎn)品介紹﹡FerryWay原理﹡FerryWay功能和性能一、金電網(wǎng)安公司介紹一、金電網(wǎng)安公司介紹公司背景成立于2000年11月是專業(yè)從事信息安全的高科技公司集科研、產(chǎn)品開發(fā)與生產(chǎn)、安全集成、專業(yè)服務(wù)為一體國家信息安全成果產(chǎn)業(yè)化（東部）基地首批入駐企業(yè)公司研發(fā)骨干力量由著名高校博士、碩士組成資質(zhì)與合作伙伴是國家認(rèn)定的軟件企業(yè)和高新技術(shù)企業(yè)與清華、交大、浙大、解放軍信息工程大學(xué)等著名高校和科研院所緊密合作中軟博士后流動(dòng)工作站上海分站與上海交大成立了信息與網(wǎng)絡(luò)安全體系結(jié)構(gòu)實(shí)驗(yàn)室資質(zhì)證書公司承擔(dān)項(xiàng)目承擔(dān)了國家863、973計(jì)劃重點(diǎn)項(xiàng)目科技部科技型中小企業(yè)創(chuàng)新基金項(xiàng)目國務(wù)院信息辦軟課題研究項(xiàng)目上海高新技術(shù)成果轉(zhuǎn)化項(xiàng)目上海市科學(xué)技術(shù)委員會(huì)科研計(jì)劃項(xiàng)目課題上海市信息化專項(xiàng)資金項(xiàng)目一、金電網(wǎng)安公司介紹二、網(wǎng)絡(luò)安全與隔離技術(shù)網(wǎng)絡(luò)隔離現(xiàn)狀物理隔離效率低

實(shí)時(shí)性差數(shù)據(jù)缺乏安全審計(jì)人工拷貝網(wǎng)絡(luò)隔離現(xiàn)狀一人多個(gè)終端應(yīng)用系統(tǒng)無法統(tǒng)一規(guī)劃、統(tǒng)一管理容易造成“信息孤島”、“網(wǎng)絡(luò)孤島”的現(xiàn)象增加工作量和資源的占用浪費(fèi)影響工作人員工作效率增加了管理維護(hù)的難度和工作量網(wǎng)絡(luò)隔離現(xiàn)狀是國家保密局認(rèn)定的一類專門的隔離產(chǎn)品是在吸取了以前多種隔離技術(shù)的優(yōu)點(diǎn)并解決了各自存在的問題的基礎(chǔ)上開發(fā)的采用多機(jī)系統(tǒng)結(jié)構(gòu)，對(duì)內(nèi)外部網(wǎng)絡(luò)進(jìn)行有效安全隔離，阻斷網(wǎng)絡(luò)直接連接，阻斷通用協(xié)議貫通安全隔離與信息交換系統(tǒng)通常都采用基于用戶的訪問控制只對(duì)合法用戶開放信息交換的受控通道用戶要使用受控通道時(shí)，需提交并驗(yàn)證自己的真實(shí)身份支持多種身份驗(yàn)證方式網(wǎng)閘隔離示意圖內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)需要資源共享的服務(wù)器可以被內(nèi)外網(wǎng)訪問保證其他非資源共享主機(jī)被安全隔離使兩網(wǎng)在安全隔離的前提下進(jìn)行信息交換和信息共享隔離網(wǎng)閘技術(shù)原理IP包，3層IP包，3層TCP4層TCP4層5至7層5至7層數(shù)據(jù)擺渡OSI第七層外隔離網(wǎng)閘私有協(xié)議擺渡內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)物理、數(shù)據(jù)鏈路1至2層物理、數(shù)據(jù)鏈路1至2層隔離網(wǎng)閘需具備的安全要點(diǎn)要具有高度的自身安全性要確保網(wǎng)絡(luò)之間是隔離的要保證數(shù)據(jù)剝離到應(yīng)用層才交換要對(duì)網(wǎng)間的訪問進(jìn)行嚴(yán)格的控制和檢查與防火墻的主要區(qū)別隔離網(wǎng)閘防火墻政策歸類安全隔離與信息交換防火墻功能定位安全第一，通信第二通信第一，安全第二硬件體系多機(jī)系統(tǒng)單機(jī)系統(tǒng)通信協(xié)議專用私有協(xié)議公用協(xié)議安全級(jí)別內(nèi)外皆防防外網(wǎng)閘的分類網(wǎng)閘主要分為兩類：“2+1”結(jié)構(gòu)為基礎(chǔ)的網(wǎng)閘三機(jī)架構(gòu)的網(wǎng)閘一、金電網(wǎng)安公司介紹三、FerryWay產(chǎn)品介紹2+1系統(tǒng)結(jié)構(gòu)內(nèi)網(wǎng)單元、外網(wǎng)單元獨(dú)立主板、總線及CPU控制

精簡(jiǎn)加固的安全操作系統(tǒng)數(shù)據(jù)剝離到應(yīng)用層，徹底落地內(nèi)網(wǎng)單元外網(wǎng)單元數(shù)據(jù)遷移控制單元2+1系統(tǒng)結(jié)構(gòu)數(shù)據(jù)遷移控制單元獨(dú)立硬件數(shù)據(jù)遷移邏輯，無操作系統(tǒng)結(jié)合專用隔離硬件，完成內(nèi)外單元的數(shù)據(jù)擺渡高安全性，無法通過外部接口對(duì)隔離硬件進(jìn)行驅(qū)動(dòng)控制專用隔離硬件內(nèi)網(wǎng)單元外網(wǎng)單元數(shù)據(jù)遷移控制單元2+1系統(tǒng)結(jié)構(gòu)

專用隔離硬件結(jié)合專用通信協(xié)議完成應(yīng)用數(shù)據(jù)遷移

TCP/IP協(xié)議徹底阻斷

私有協(xié)議采用高強(qiáng)度加密傳輸算法私有協(xié)議數(shù)據(jù)遷移控制單元內(nèi)網(wǎng)單元外網(wǎng)單元數(shù)據(jù)遷移數(shù)據(jù)遷移2+1系統(tǒng)結(jié)構(gòu)內(nèi)網(wǎng)單元獨(dú)有的控制管理中心，可杜絕黑客通過外網(wǎng)

單元獲得非法控制權(quán)限

獨(dú)立的、非數(shù)據(jù)傳輸口的管理監(jiān)控接口進(jìn)行配置多種管理員登陸認(rèn)證保密機(jī)制，確保登陸操作的安全管理配置內(nèi)網(wǎng)單元外網(wǎng)單元數(shù)據(jù)遷移控制單元管理審計(jì)端2+1系統(tǒng)結(jié)構(gòu)內(nèi)/外網(wǎng)單元通過數(shù)據(jù)傳輸口接收應(yīng)用數(shù)據(jù)拆封TCP/IP協(xié)議，剝離應(yīng)用層協(xié)議，將數(shù)據(jù)還原為文件內(nèi)網(wǎng)單元外網(wǎng)單元數(shù)據(jù)遷移控制單元應(yīng)用數(shù)據(jù)應(yīng)用數(shù)據(jù)應(yīng)用預(yù)處理器應(yīng)用預(yù)處理器2+1系統(tǒng)結(jié)構(gòu)

應(yīng)用控制：支持Http、Smtp、Pop3、FTP等多種主流應(yīng)用協(xié)議的應(yīng)用層過濾多種安全機(jī)制：數(shù)據(jù)包各層面的控制、用戶名/密碼認(rèn)證、IP/MAC綁定等會(huì)話層控制：斷開網(wǎng)絡(luò)兩端會(huì)話層連接，會(huì)話層以下攻擊可直接免疫管理配置專用隔離硬件內(nèi)網(wǎng)單元外網(wǎng)單元數(shù)據(jù)遷移控制單元數(shù)據(jù)遷移數(shù)據(jù)遷移控制管理中心應(yīng)用數(shù)據(jù)應(yīng)用數(shù)據(jù)應(yīng)用預(yù)處理器應(yīng)用預(yù)處理器策略控制策略控制三機(jī)系統(tǒng)模型基于三機(jī)系統(tǒng)的安全隔離與信息交換模型內(nèi)部網(wǎng)絡(luò)應(yīng)用層數(shù)據(jù)仲裁應(yīng)用層數(shù)據(jù)外部網(wǎng)絡(luò)TCP/IPTCP/IPTCP/IP協(xié)議終點(diǎn)TCP/IP協(xié)議終點(diǎn)內(nèi)端機(jī)仲裁機(jī)外端機(jī)專用硬件專用硬件專用協(xié)議專用協(xié)議安全隔離與信息交換系統(tǒng)三機(jī)架構(gòu)系統(tǒng)模型2+1架構(gòu)與三機(jī)架構(gòu)比較2+1架構(gòu)三機(jī)架構(gòu)結(jié)構(gòu)分析2主機(jī)+隔離傳輸卡3主機(jī)+隔離傳輸卡自身安全性內(nèi)端機(jī)獨(dú)立網(wǎng)口管理自身安全性高處理性能一次內(nèi)部交換兩次內(nèi)部交換系統(tǒng)時(shí)延損耗較少損耗較多安全級(jí)別內(nèi)外防護(hù)對(duì)稱，但管理中心存在安全隱患內(nèi)外防護(hù)對(duì)稱產(chǎn)品特點(diǎn)專用硬件和專用通信協(xié)議在金電網(wǎng)安公司專用安全操作系統(tǒng)中嵌入專用協(xié)議和認(rèn)證機(jī)制，使得設(shè)備的安全隔離；內(nèi)網(wǎng)主機(jī)和外網(wǎng)主機(jī)是內(nèi)部網(wǎng)絡(luò)和外部能力大大增強(qiáng)；網(wǎng)絡(luò)通用TCP/IP協(xié)議的終點(diǎn)，各自的網(wǎng)絡(luò)協(xié)議在仲裁主機(jī)實(shí)現(xiàn)剝離和重建。產(chǎn)品特點(diǎn)應(yīng)用級(jí)完全內(nèi)容檢測(cè)與審計(jì)采用金電網(wǎng)安公司專有完全內(nèi)容檢測(cè)模塊，過濾所有交換數(shù)據(jù)，全面解析網(wǎng)絡(luò)傳輸信息，通過深層次細(xì)粒度的內(nèi)容過濾，預(yù)先攔截內(nèi)、外網(wǎng)用戶禁止訪問的內(nèi)容Ferryway完全內(nèi)容檢測(cè)模塊HTTP協(xié)議--對(duì)流過的WEB訪問進(jìn)行內(nèi)容檢查郵件協(xié)議--對(duì)SMTP和POP3協(xié)議進(jìn)行數(shù)據(jù)內(nèi)容檢查FTP協(xié)議--對(duì)文件訪問同步進(jìn)行數(shù)據(jù)檢查提供審計(jì)日志產(chǎn)品特點(diǎn)強(qiáng)大的數(shù)據(jù)庫訪問和同步功能專用的入侵檢測(cè)引擎、殺毒引擎、安全協(xié)議通道等技術(shù)的使用，可以使設(shè)備發(fā)現(xiàn)、過濾并阻塞各種已知、未知的攻擊，病毒和蠕蟲等惡意代碼，有效保護(hù)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全性。DEP產(chǎn)品ADEP產(chǎn)品CDEP產(chǎn)品B數(shù)據(jù)庫A數(shù)據(jù)庫B數(shù)據(jù)庫C數(shù)據(jù)庫E數(shù)據(jù)庫D隔離器日志審計(jì)功能06功能模塊安全上網(wǎng)模塊05數(shù)據(jù)庫同步模塊04文件同步模塊03安全郵件模塊02受控通道01功能模塊-受控通道

內(nèi)外網(wǎng)間的信息交換全部要通過預(yù)先建立的受控安全通道來進(jìn)行該安全通道完全置于仲裁機(jī)的控制之下在建立的安全通道上可以設(shè)定各種安全策略，以規(guī)定具體控制方式受控安全通道可支持多種工作模式，適應(yīng)于不同的場(chǎng)合功能模塊-安全上網(wǎng)模塊支持HTTP協(xié)議及代理等;支持訪問控制對(duì)象：源地址、目標(biāo)地址、源端口、目的端目、域名、URL、訪問方式、時(shí)間等支持關(guān)鍵字過濾、腳本過濾：支持其他過濾策略：文件類型、頁面提交方式等;支持用戶名/密碼認(rèn)證方式功能模塊-安全郵件模塊功能模塊-文件同步模塊基于專用客戶端提供安全的文件同步功能，占用系統(tǒng)資源少，文件交換效率高，不會(huì)頻繁的進(jìn)行磁盤掃描支持windows平臺(tái)和linux平臺(tái)同步傳輸方向可控，雙向或單向支持實(shí)時(shí)掃描傳輸支持一對(duì)多或多對(duì)一傳輸支持目錄內(nèi)子目錄同步，至多支持32級(jí)目錄支持中文文件名或目錄同步功能模塊-文件訪問模塊提供安全的文件傳輸功能，支持FTP等文件傳輸協(xié)議支持用戶名/密碼認(rèn)證支持用戶名/IP-MAC綁定

功能模塊-數(shù)據(jù)庫同步模塊基于專用客戶端與網(wǎng)閘安全連接方式，提供多種主流數(shù)據(jù)庫（SQLS、ORACLE、DB2、SYBASE等）的單、雙向數(shù)據(jù)交換支持異構(gòu)數(shù)據(jù)結(jié)構(gòu)以及代碼語義的轉(zhuǎn)換規(guī)則定義，并實(shí)現(xiàn)源數(shù)據(jù)到目標(biāo)數(shù)據(jù)之間的實(shí)時(shí)數(shù)據(jù)交換，支持?jǐn)?shù)據(jù)整合業(yè)務(wù)支持各種數(shù)據(jù)庫操作以及對(duì)數(shù)據(jù)庫的操作時(shí)間等限制采用XML技術(shù)，具有可配置性。可以通過標(biāo)準(zhǔn)定義、規(guī)則定義、通道定義和路由定義進(jìn)行個(gè)性化的數(shù)據(jù)交換策略定義功能模塊-數(shù)據(jù)庫同步模塊功能模塊-日志審計(jì)功能

日志審計(jì)功能可以完成系統(tǒng)活動(dòng)、網(wǎng)絡(luò)連接的記錄；并且對(duì)得到的日志進(jìn)行分析、統(tǒng)計(jì)和導(dǎo)出。網(wǎng)閘所適合的網(wǎng)絡(luò)◆分支機(jī)構(gòu)與總部網(wǎng)絡(luò)之間的安全隔離