中新網(wǎng)閘-安全隔離與信息交換系統(tǒng)

中新金盾安全隔離與信息交換系統(tǒng)產(chǎn)品介紹ZX-GAP基于完整的安全體系結(jié)構(gòu)設(shè)計理念，采用多機(jī)系統(tǒng)架構(gòu)，通過對信息進(jìn)行落地、還原、掃描、過濾、防病毒、入侵檢測、審計等一系列安全處理，有效防止黑客攻擊、惡意代碼和病毒滲入，同時防止內(nèi)部機(jī)密信息的泄露，實現(xiàn)網(wǎng)間安全隔離和信息交換。中新網(wǎng)絡(luò)信息安全股份有限公司2016年3月CHAPTERONE網(wǎng)絡(luò)安全與隔離技術(shù)Networksecurityandisolationtechnology網(wǎng)絡(luò)隔離必要性物理隔離人工拷貝效率低數(shù)據(jù)缺乏安全審計實時性差網(wǎng)絡(luò)隔離必要性一人多個終端增加工作量和資源的占用浪費應(yīng)用系統(tǒng)無法統(tǒng)一規(guī)劃、統(tǒng)一管理容易造成“信息孤島”、“網(wǎng)絡(luò)孤島”的現(xiàn)象影響工作人員工作效率增加了管理維護(hù)的難度和工作量網(wǎng)絡(luò)隔離現(xiàn)狀是國家保密局認(rèn)定的一類專門的隔離產(chǎn)品現(xiàn)狀吸取了以前多種隔離技術(shù)的優(yōu)點并解決了各自存在的問題的基礎(chǔ)上開發(fā)的多機(jī)系統(tǒng)結(jié)構(gòu)，對內(nèi)外部網(wǎng)絡(luò)進(jìn)行有效安全隔離，阻斷網(wǎng)絡(luò)直接連接，阻斷通用協(xié)議貫通安全隔離與信息交換系統(tǒng)通常都采用基于用戶的訪問控制只對合法用戶開放信息交換的受控通道用戶要使用受控通道時，需提交并驗證自己的真實身份支持多種身份驗證方式網(wǎng)閘隔離示意圖內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)需要資源共享的服務(wù)器可以被內(nèi)外網(wǎng)訪問1保證其他非資源共享主機(jī)被安全隔離2兩網(wǎng)在安全隔離的前提下進(jìn)行信息交換和信息共享3隔離網(wǎng)閘技術(shù)原理IP包，3層IP包，3層TCP4層TCP4層5至7層5至7層數(shù)據(jù)擺渡OSI第七層外隔離網(wǎng)閘私有協(xié)議擺渡內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)物理、數(shù)據(jù)鏈路1至2層物理、數(shù)據(jù)鏈路1至2層隔離網(wǎng)閘需具備的安全要點01要具有高度的自身安全性03要保證網(wǎng)間交換的只是應(yīng)用數(shù)據(jù)04要對網(wǎng)間的訪問進(jìn)行嚴(yán)格的控制和檢查02要確保網(wǎng)絡(luò)之間是隔離的，TCP/IP徹底阻斷與防火墻的主要區(qū)別隔離網(wǎng)閘防火墻政策歸類安全隔離與信息交換防火墻功能定位安全第一，通信第二通信第一，安全第二硬件體系多機(jī)系統(tǒng)單機(jī)系統(tǒng)通信協(xié)議專用私有協(xié)議公用協(xié)議安全級別內(nèi)外皆防防外網(wǎng)閘的分類“2+1”結(jié)構(gòu)為基礎(chǔ)的網(wǎng)閘類別1類別2三機(jī)架構(gòu)的網(wǎng)閘CHAPTERTWOZX-GAP產(chǎn)品介紹Productintroduction2+1系統(tǒng)結(jié)構(gòu)-內(nèi)網(wǎng)單元、外網(wǎng)單元內(nèi)網(wǎng)單元外網(wǎng)單元數(shù)據(jù)遷移控制單元獨立主板、總線及CPU控制01專用安全操作系統(tǒng)，對內(nèi)外單元采取多個層次的高強(qiáng)度安全防護(hù)02網(wǎng)絡(luò)協(xié)議及應(yīng)用層協(xié)議的終點，數(shù)據(jù)被剝離出來進(jìn)行傳輸032+1系統(tǒng)結(jié)構(gòu)-數(shù)據(jù)遷移控制單元獨立硬件數(shù)據(jù)遷移邏輯，無操作系統(tǒng)結(jié)合專用隔離硬件，完成內(nèi)外單元的數(shù)據(jù)擺渡高安全性，無法通過外部接口對隔離硬件進(jìn)行驅(qū)動控制內(nèi)網(wǎng)單元外網(wǎng)單元專用隔離硬件數(shù)據(jù)遷移控制單元2+1系統(tǒng)結(jié)構(gòu)內(nèi)網(wǎng)單元外網(wǎng)單元數(shù)據(jù)遷移控制單元私有協(xié)議數(shù)據(jù)遷移數(shù)據(jù)遷移專用隔離硬件結(jié)合專用通信協(xié)議完成應(yīng)用數(shù)據(jù)遷移TCP/IP協(xié)議及應(yīng)用層協(xié)議無法穿透隔離硬件進(jìn)行傳輸私有協(xié)議采用高強(qiáng)度傳輸算法，保證協(xié)議接口安全性2+1系統(tǒng)結(jié)構(gòu)內(nèi)網(wǎng)單元數(shù)據(jù)遷移控制單元外網(wǎng)單元控制管理中心內(nèi)網(wǎng)單元獨有的控制管理中心，可杜絕黑客通過外網(wǎng)單元獲得非法控制權(quán)限獨立的、非數(shù)據(jù)傳輸口的管理監(jiān)控接口進(jìn)行配置多種管理員登陸認(rèn)證保密機(jī)制，確保登陸操作的安全管理配置2+1系統(tǒng)結(jié)構(gòu)內(nèi)網(wǎng)單元外網(wǎng)單元數(shù)據(jù)遷移控制單元應(yīng)用預(yù)處理器應(yīng)用預(yù)處理器應(yīng)用數(shù)據(jù)應(yīng)用數(shù)據(jù)內(nèi)/外網(wǎng)單元通過數(shù)據(jù)傳輸口接收應(yīng)用數(shù)據(jù)拆封TCP/IP協(xié)議，剝離應(yīng)用層協(xié)議，將數(shù)據(jù)還原為文件2+1系統(tǒng)結(jié)構(gòu)內(nèi)網(wǎng)單元外網(wǎng)單元數(shù)據(jù)遷移控制單元應(yīng)用預(yù)處理器應(yīng)用預(yù)處理器應(yīng)用數(shù)據(jù)應(yīng)用數(shù)據(jù)專用隔離硬件數(shù)據(jù)遷移策略控制數(shù)據(jù)遷移策略控制控制管理中心配置管理01應(yīng)用控制：支持Http、Smtp、Pop3、FTP等多種主流應(yīng)用協(xié)議的應(yīng)用層過濾02多種安全機(jī)制：數(shù)據(jù)包各層面的控制、用戶名/密碼認(rèn)證、IP/MAC綁定等03會話層控制：斷開網(wǎng)絡(luò)兩端會話層連接，會話層以下攻擊可直接免疫三機(jī)系統(tǒng)模型基于三機(jī)系統(tǒng)的安全隔離與信息交換模型內(nèi)部網(wǎng)絡(luò)應(yīng)用層數(shù)據(jù)仲裁應(yīng)用層數(shù)據(jù)外部網(wǎng)絡(luò)TCP/IPTCP/IPTCP/IP協(xié)議終點TCP/IP協(xié)議終點內(nèi)端機(jī)仲裁機(jī)外端機(jī)專用硬件專用硬件專用協(xié)議專用協(xié)議2+1架構(gòu)與三機(jī)架構(gòu)比較2+1架構(gòu)三機(jī)架構(gòu)結(jié)構(gòu)分析2主機(jī)+隔離傳輸卡3主機(jī)+隔離傳輸卡自身安全性內(nèi)端機(jī)獨立網(wǎng)口管理自身安全性高處理性能一次內(nèi)部交換兩次內(nèi)部交換系統(tǒng)時延損耗較少損耗較多安全級別內(nèi)外防護(hù)對稱，但管理中心存在安全隱患內(nèi)外防護(hù)對稱功能模塊功能模塊日志審計功能TCP、UDP受控通道安全郵件模塊文件訪問、同步模塊數(shù)據(jù)庫同步模塊安全上網(wǎng)模塊功能模塊-受控通道內(nèi)外網(wǎng)間的信息交換全部要通過預(yù)先建立的受控安全通道來進(jìn)行安全通道完全置于仲裁機(jī)控制之下在建立的安全通道上可以設(shè)定各種安全策略，以規(guī)定具體控制方式受控安全通道可支持多種工作模式，適應(yīng)于不同的場合功能模塊-安全上網(wǎng)模塊支持HTTP協(xié)議及代理等支持訪問控制對象：源地址、目標(biāo)地址、源端口、目的端目、域名、URL、訪問方式、時間等支持關(guān)鍵字過濾、腳本過濾支持其他過濾策略：文件類型、頁面提交方式等功能模塊-安全郵件模塊01郵件發(fā)件人控制02030405郵件收件人控制郵件主題控制郵件內(nèi)容敏感詞控制郵件附件大小控制功能模塊-文件訪問模塊0705060804010203支持文件類型（格式）過濾文件內(nèi)容敏感詞支持文件名過濾支持文件大小控制支持FTP命令控制提供安全的文件傳輸功能，支持FTP等文件傳輸協(xié)議支持用戶名/密碼認(rèn)證支持用戶名/IP-MAC綁定功能模塊-文件同步模塊基于專用客戶端提供安全的文件同步功能，占用系統(tǒng)資源少，文件交換效率高，不會頻繁的進(jìn)行磁盤掃描同步傳輸方向可控，雙向或單向支持實時掃描傳輸支持一對多或多對一傳輸支持目錄內(nèi)子目錄同步，至多支持32級目錄支持中文文件名或目錄同步支持windows平臺和linux平臺功能模塊-數(shù)據(jù)庫訪問模塊支持ORACLE不同平臺下、不同訪問模式下的數(shù)據(jù)庫訪問支持多種主流數(shù)據(jù)庫訪問（ORACLE、SQLServer、DB2、SYBASE、MYSQL等）功能模塊-數(shù)據(jù)庫同步模塊BDAC采用實時增量同步模式基于專用客戶端與網(wǎng)閘安全連接方式，提供多種主流數(shù)據(jù)庫（ORACLE、SQLServer、DB2、SYBASE、MYSQL等）的單、雙向數(shù)據(jù)交換支持各種數(shù)據(jù)庫操作以及對數(shù)據(jù)庫的操作時間等限制支持異構(gòu)數(shù)據(jù)結(jié)構(gòu)以及代碼語義的轉(zhuǎn)換規(guī)則定義，并實現(xiàn)源數(shù)據(jù)到目標(biāo)數(shù)據(jù)之間的實時數(shù)據(jù)交換，支持?jǐn)?shù)據(jù)整合業(yè)務(wù)產(chǎn)品特點應(yīng)用級完全內(nèi)容檢測與審計，采用金電網(wǎng)安公司專有完全內(nèi)容檢測模塊，過濾所有交換數(shù)據(jù)，全面解析網(wǎng)絡(luò)傳輸信息，通過深層次細(xì)粒度的內(nèi)容過濾，預(yù)先攔截內(nèi)、外網(wǎng)用戶禁止訪問的內(nèi)容。完全內(nèi)容檢測模塊HTTP協(xié)議對流過的WEB訪問進(jìn)行內(nèi)容檢查郵件協(xié)議對SMTP和POP3協(xié)議進(jìn)行數(shù)據(jù)內(nèi)容檢查FTP協(xié)議對文件訪問同步進(jìn)行數(shù)據(jù)檢查提供審計日志產(chǎn)品特點DEP產(chǎn)品ADEP產(chǎn)品CDEP產(chǎn)品B數(shù)據(jù)庫A數(shù)據(jù)庫B數(shù)據(jù)庫C數(shù)據(jù)庫E數(shù)據(jù)庫D隔離器強(qiáng)大的數(shù)據(jù)庫訪問和同步功能，專用的入侵檢測引擎、殺毒引擎、安全協(xié)議通道