技 术 白 皮 书 本 文 档 解 释 权 归 网 神 信 息 技 术 ( 北 京 ) 股 份 有 限 公 司 产 品 部 所 有 网 神 信 息 技 术 ( 北 京 ) 股 份 有 限 公 司 http://www.legendsec.com
目 录 1. 产 品 概 述... 4 2. 产 品 原 理... 5 3. 产 品 功 能 说 明... 6 3.1 丰 富 的 应 用 模 块... 6 3.2 访 问 控 制... 7 3.3 地 址 绑 定... 7 3.4 深 度 应 用 层 过 滤... 7 3.5 高 安 全 的 文 件 交 换... 8 3.6 内 置 的 数 据 库 同 步 模 块... 9 3.7 融 合 加 密 认 证 授 权 多 安 全 技 术 于 一 身... 9 3.8 高 可 用 设 计... 9 3.9 轻 松 的 管 理 维 护... 9 3.10 传 输 方 向 控 制... 10 3.11 协 议 分 析 能 力... 10 3.12 完 善 的 安 全 审 计... 10 3.13 强 大 的 抗 攻 击 能 力... 11 3.14 多 样 化 的 身 份 认 证... 11 3.15 负 载 均 衡 解 决 方 案... 12 4. 技 术 优 势... 12 4.1 安 全 高 效 的 硬 件 交 换 系 统... 12 2 / 19
4.2 完 美 的 网 络 环 境 适 应 性... 13 4.3 可 靠 的 冗 余 和 负 载 均 衡 架 构... 13 4.4 先 进 的 数 据 库 同 步 技 术... 14 4.5 核 心 应 用 的 安 全 最 大 化... 15 4.6 强 大 的 定 制 扩 展 能 力... 15 4.7 安 全 可 靠 的 系 统 容 错 能 力... 15 5. 典 型 应 用... 15 5.1 数 据 库 安 全 同 步 解 决 方 案... 16 5.2 安 全 邮 件 收 发 解 决 方 案... 17 5.3 安 全 文 件 交 换 解 决 方 案... 17 5.4 公 安 全 球 眼 视 频 解 决 方 案... 18 3 / 19
1. 产 品 概 述 随 着 网 络 技 术 的 不 断 应 用 和 完 善,Internet 正 在 越 来 越 多 地 渗 透 到 社 会 的 各 个 方 面 一 方 面, 企 业 上 网 电 子 商 务 远 程 教 育 远 程 医 疗 等 一 系 列 网 络 应 用 蓬 勃 发 展, 人 们 的 日 常 生 活 与 网 络 的 关 系 日 益 密 切 ; 另 一 方 面, 网 络 用 户 组 成 越 来 越 多 样 化, 出 于 各 种 目 的 的 网 络 入 侵 和 攻 击 越 来 越 频 繁 人 们 在 享 受 互 联 网 所 带 来 的 丰 富 便 捷 的 信 息 同 时, 也 日 益 感 受 到 频 繁 的 网 络 攻 击 病 毒 泛 滥 非 授 权 访 问 信 息 泄 密 等 问 题 所 带 来 的 困 扰 传 统 的 安 全 产 品 可 以 以 不 同 的 方 式 满 足 我 们 保 护 数 据 和 网 络 安 全 的 需 要, 但 不 可 能 完 全 解 决 网 络 间 信 息 的 安 全 交 换 问 题, 因 为 各 种 安 全 技 术 都 有 其 局 限 性 为 保 护 重 要 内 部 系 统 的 安 全,2000 年 1 月, 国 家 保 密 局 发 布 实 施 计 算 机 信 息 系 统 国 际 互 联 网 保 密 管 理 规 定, 明 确 要 求 : 涉 及 国 家 秘 密 的 计 算 机 信 息 系 统, 不 得 直 接 或 间 接 地 与 国 际 互 联 网 或 其 他 公 共 信 息 网 络 相 连, 必 须 实 行 物 理 隔 离 中 共 中 央 办 公 厅 2002 年 第 17 号 文 件 国 家 信 息 化 领 导 小 组 关 于 我 国 电 子 政 务 建 设 指 导 意 见 也 明 确 强 调 : 政 务 内 网 和 政 务 外 网 之 间 物 理 隔 离, 政 务 外 网 与 互 联 网 之 间 逻 辑 隔 离 在 不 同 安 全 等 级 的 网 络 及 系 统 之 间 实 施 安 全 隔 离 是 一 个 行 之 有 效 的 安 全 保 密 措 施, 可 切 断 信 息 泄 漏 的 途 径 最 初 的 解 决 方 案 很 简 单, 即 通 过 人 工 的 操 作 来 实 现 如 下 图 所 示 : 在 不 同 安 全 等 级 的 网 络 中 进 行 信 息 交 换 的 时 候, 由 指 定 人 员 将 需 要 转 移 的 数 据 拷 贝 到 软 盘 等 移 动 存 储 介 质 上, 经 过 查 病 毒 内 容 检 查 等 安 全 处 理 后, 再 复 制 到 目 标 网 络 中 这 种 解 决 方 案 可 实 现 网 络 的 安 全 隔 离, 但 数 据 的 交 换 通 过 人 来 实 现, 工 作 效 率 低 ; 安 全 性 完 全 依 赖 于 人 的 因 素, 可 靠 性 无 法 保 证 在 数 据 量 不 大, 交 换 不 频 繁 的 情 况 下, 通 过 人 工 交 换 数 据 的 确 简 单 可 行 然 而, 随 着 电 子 政 务 的 开 展, 内 外 网 交 换 数 据 的 数 量 和 频 率 呈 几 何 量 级 上 升, 4 / 19
这 种 解 决 方 案 已 经 越 来 越 无 法 满 足 用 户 的 需 要 如 何 保 证 信 息 在 不 同 安 全 等 级 的 网 络 间 安 全 交 换 成 为 制 约 电 子 政 务 发 展 的 瓶 颈 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统 ( 简 称 : 网 闸 ) 是 新 一 代 网 络 安 全 隔 离 产 品 该 产 品 采 用 专 用 硬 件 和 模 块 化 的 工 作 组 件 设 计, 集 成 安 全 隔 离 实 时 信 息 交 换 协 议 分 析 内 容 检 测 访 问 控 制 安 全 决 策 等 多 种 安 全 功 能 为 一 体, 适 合 部 署 于 不 同 安 全 等 级 的 网 络 间, 在 实 现 多 个 网 络 安 全 隔 离 的 同 时, 实 现 高 速 的 安 全 的 数 据 交 换, 提 供 可 靠 的 信 息 交 换 服 务 网 神 SecSIS 3600 网 闸 可 广 泛 应 用 于 各 级 政 府 机 关 军 队 公 安 科 研 院 校 及 民 航 电 力 石 油 金 融 证 券 交 通 等 网 络 环 境, 实 现 信 息 的 安 全 交 换 尤 其 适 合 于 电 子 政 务 网 上 工 商 网 上 报 税 网 上 报 关 电 子 审 批 政 府 信 息 系 统 管 理 等 需 要 严 格 内 外 网 隔 离 的 应 用 环 境 2. 产 品 原 理 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统 的 工 作 基 于 人 工 信 息 交 换 的 操 作 模 式, 即 由 内 外 网 主 机 模 块 分 别 负 责 接 收 来 自 所 连 接 网 络 的 访 问 请 求, 两 模 块 间 没 有 直 接 的 物 理 连 接, 形 成 一 个 物 理 隔 断, 从 而 保 证 可 信 网 和 非 可 信 网 之 间 没 有 数 据 包 的 交 换, 没 有 网 络 连 接 的 建 立 在 此 前 提 下, 通 过 专 有 硬 件 实 现 网 络 间 信 息 的 实 时 交 换 这 种 交 换 并 不 是 数 据 包 的 转 发, 而 是 应 用 层 数 据 的 静 态 读 写 操 作, 因 此 可 信 网 的 用 户 可 以 通 过 安 全 隔 离 与 信 息 交 换 系 统 放 心 的 访 问 非 可 信 网 的 资 源, 而 不 必 担 心 可 信 网 的 安 全 受 到 影 响 信 息 通 过 网 闸 传 递 需 经 过 多 个 安 全 模 块 的 检 查, 以 验 证 被 交 换 信 息 的 合 法 性 当 访 问 请 求 到 达 内 外 网 主 机 模 块 时, 首 先 由 网 闸 实 现 TCP 连 接 的 终 结, 确 保 TCP/IP 协 议 不 会 直 接 或 通 过 代 理 方 式 穿 透 网 闸 ; 然 后, 内 外 网 主 机 模 块 会 依 据 安 全 策 略 对 访 问 请 求 进 行 预 处 理, 判 断 是 否 符 合 访 问 控 制 策 略, 并 依 据 RFC 或 定 制 策 略 对 数 据 包 进 行 应 用 层 协 议 检 查 和 内 容 过 滤, 检 验 其 有 效 载 荷 的 合 法 性 和 安 全 性 一 旦 数 据 包 通 过 了 安 全 检 查, 内 外 网 主 机 模 块 会 对 数 据 包 进 行 格 式 化, 将 每 个 合 法 数 据 包 的 传 输 信 息 和 传 输 数 据 分 别 转 换 成 专 有 格 式 数 据, 存 放 在 缓 冲 区 等 待 被 隔 离 交 换 模 块 处 理 这 种 静 态 的 数 据 形 态 不 可 执 行, 不 依 赖 于 任 何 通 用 协 议, 只 能 被 网 闸 的 内 部 处 理 机 制 识 别 及 处 理, 因 此 可 避 免 遭 受 利 用 各 种 已 知 或 未 知 网 络 层 漏 洞 的 威 胁 如 下 图 所 示 : 5 / 19
网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统 通 过 专 有 的 隔 离 交 换 卡 实 现 内 外 网 主 机 模 块 的 缓 冲 区 内 存 映 射 功 能, 将 指 定 区 域 的 数 据 复 制 到 对 端 相 应 的 区 域, 完 成 数 据 的 交 换 隔 离 交 换 卡 内 嵌 安 全 芯 片, 采 用 高 速 全 双 工 流 水 线 设 计, 内 部 吞 吐 速 率 达 5Gbps, 完 全 可 以 满 足 高 速 数 据 交 换 的 需 要 隔 离 交 换 模 块 固 化 控 制 逻 辑, 与 内 外 网 模 块 间 只 存 在 内 存 缓 冲 区 的 读 写 操 作, 没 有 任 何 网 络 协 议 和 数 据 包 的 转 发 隔 离 交 换 子 系 统 采 用 互 斥 机 制, 在 读 写 一 端 主 机 模 块 的 数 据 前 先 中 止 对 另 一 端 的 操 作, 确 保 隔 离 交 换 系 统 不 会 同 时 对 内 外 网 主 机 模 块 的 数 据 进 行 处 理, 以 保 证 在 任 意 时 刻 可 信 网 与 非 可 信 网 间 不 存 在 链 路 层 通 路, 实 现 网 络 的 安 全 隔 离 当 内 外 网 主 机 模 块 通 过 隔 离 交 换 模 块 接 收 到 来 自 另 一 端 的 格 式 化 数 据, 可 根 据 本 端 的 安 全 策 略 进 行 进 一 步 的 应 用 层 安 全 检 查 经 检 验 合 格, 则 进 行 逆 向 转 换, 将 格 式 化 数 据 转 换 成 符 合 RFC 标 准 的 TCP/IP 数 据 包, 将 数 据 包 发 送 到 目 的 计 算 机, 完 成 数 据 的 安 全 交 换 3. 产 品 功 能 说 明 3.1 丰 富 的 应 用 模 块 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统 采 用 模 块 化 的 系 统 结 构 设 计, 根 据 不 同 的 应 用 环 境, 量 身 定 制 多 个 功 能 模 块, 以 满 足 用 户 的 不 同 需 求, 主 要 包 括 : 文 件 交 换 模 块 : 实 现 不 同 安 全 等 级 网 络 间 文 件 的 安 全 交 换 6 / 19
数 据 库 同 步 模 块 : 通 过 灵 活 的 同 步 机 制, 保 证 安 全 等 级 不 同 的 网 络 中 的 数 据 库 系 统 实 现 数 据 同 步 更 新 数 据 库 访 问 模 块 : 保 证 在 内 外 网 隔 离 的 环 境 下 实 现 各 种 类 型 数 据 库 的 访 问 应 用 FTP 访 问 模 块 : 保 证 在 内 外 网 隔 离 的 环 境 下 实 现 FTP 的 访 问 并 上 传 下 载 数 据 邮 件 访 问 模 块 : 保 证 在 内 外 网 隔 离 的 环 境 下 实 现 安 全 的 邮 件 收 发 安 全 浏 览 模 块 : 保 证 在 内 外 网 隔 离 的 环 境 下, 内 网 用 户 安 全 浏 览 外 网 资 源 定 制 模 块 : 支 持 IPV4 和 IPV6 双 协 议 栈, 保 证 在 内 外 网 隔 离 的 同 时 实 现 TCP/UDP 协 议 的 定 制 交 换 SLL 通 道 模 块 : 通 过 SSL 通 道 模 块, 能 够 实 现 认 证 加 密 授 权 认 证 保 证 终 端 用 户 访 问 身 份 的 合 法 性 加 密 保 证 数 据 传 输 的 安 全 性 授 权 保 证 终 端 用 户 访 问 业 务 系 统 的 合 法 性 加 之 网 闸 固 有 的 协 议 转 换 双 通 道 结 构 等 众 多 安 全 特 性, 最 大 程 度 保 证 高 安 全 域 网 络 的 安 全 性 Socks 代 理 模 块 : 通 过 Socks 代 理 模 块 能 够 实 现 Socks4 Socks5 等 版 本 的 代 理, 支 持 本 地 用 户 认 证 radius 等 认 证 方 式 基 于 标 准 TCP/UDP 的 流 媒 体 应 用 模 块 其 它 定 制 用 户 专 有 应 用 模 块 3.2 访 问 控 制 系 统 支 持 强 大 的 访 问 控 制 策 略, 支 持 通 过 源 地 址 目 的 地 址 端 口 协 议 等 多 种 元 素 对 允 许 通 过 网 闸 传 输 的 数 据 进 行 过 滤, 判 断 是 否 符 合 组 织 安 全 策 略 3.3 地 址 绑 定 提 供 IP 与 MAC 地 址 绑 定 功 能, 可 对 指 定 接 口 所 连 接 的 网 络 中 的 主 机 的 IP 和 MAC 地 址 进 行 绑 定, 防 止 内 部 用 户 盗 用 IP 和 内 网 地 址 资 源 分 配 的 混 乱, 方 便 网 络 IP 资 源 管 理, 支 持 IPV4 和 IPV6 双 协 议 3.4 深 度 应 用 层 过 滤 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统 提 供 多 种 内 容 安 全 过 滤 与 内 容 访 问 控 制 功 能, 既 能 有 效 的 防 止 外 部 恶 意 代 码 进 入 内 网, 也 能 控 制 内 网 用 户 对 外 部 资 源 不 良 内 容 的 访 问 7 / 19
及 敏 感 信 息 的 泄 漏 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统 的 应 用 层 过 滤 机 制 主 要 针 对 HTTP FTP 数 据 库 邮 件 及 文 件 交 换 等 应 用, 包 括 SQL 过 滤 URL 过 滤 关 键 字 过 滤 Cookie 过 滤 文 件 类 型 检 查 病 毒 查 杀 及 入 侵 检 测 等 操 作 SQL 过 滤 网 闸 可 对 用 户 访 问 的 数 据 库 服 务 器 进 行 SQL 语 句 数 据 库 名 数 据 库 表 操 作 权 限 等 进 行 黑 白 名 单 过 滤, 禁 止 用 户 针 对 数 据 库 进 行 违 规 操 作 ; URL/ 域 名 过 滤 网 闸 可 对 用 户 访 问 的 Web 站 点 的 域 名 及 URL 等 进 行 基 于 正 则 表 达 式 的 过 滤, 禁 止 用 户 访 问 暴 力 色 情 反 动 的 主 页 或 站 点 中 的 特 定 目 录 或 文 件 黑 / 白 名 单 关 键 字 过 滤 网 闸 可 对 邮 件 标 题 和 内 容 以 及 传 输 的 文 件 等 进 行 黑 / 白 名 单 关 键 字 过 滤, 进 行 单 词 及 短 句 的 智 能 匹 配, 禁 止 包 含 特 定 关 键 字 的 敏 感 信 息 泄 漏, 或 只 允 许 包 含 相 应 关 键 字 的 文 件 通 过 网 闸 传 递 COOKIE 过 滤 网 闸 可 对 COOKIE 进 行 过 滤 通 过 对 COOKIE 进 行 过 滤, 可 以 防 止 敏 感 信 息 的 泄 漏 同 时 还 可 以 防 止 用 户 进 行 浏 览 论 坛 上 网 聊 天 等 违 反 安 全 策 略 的 操 作 文 件 类 型 检 查 网 闸 可 对 传 输 的 文 件 进 行 类 型 检 查, 只 允 许 符 合 安 全 策 略 的 文 件 通 过 网 闸 传 递 避 免 传 输 二 进 制 文 件 可 能 带 来 的 病 毒 和 敏 感 信 息 泄 露 等 问 题 病 毒 及 恶 意 代 码 检 查 系 统 可 内 嵌 杀 病 毒 引 擎, 针 对 文 件 交 换 模 块 FTP 访 问 模 块 安 全 浏 览 模 块 邮 件 访 问 模 块 防 病 毒 功 能 对 允 许 传 输 的 文 件 进 行 病 毒 的 检 查, 确 保 进 入 可 信 网 络 的 文 件 不 包 含 病 毒 及 Java/JavaScript/ActiveX 等 恶 意 代 码, 支 持 本 地 升 级 及 远 程 升 级 入 侵 检 测 可 对 网 页 攻 击 缓 冲 区 溢 出 攻 击 后 门 / 木 马 P2P 病 毒 / 蠕 虫 拒 绝 服 务 攻 击 扫 描 类 攻 击 等 多 种 攻 击 类 型 进 行 实 时 检 测 并 记 录 日 志 3.5 高 安 全 的 文 件 交 换 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统 提 供 基 于 纯 文 件 的 交 换 方 式, 内 网 和 外 网 的 数 据 传 输 模 块 各 自 对 文 件 进 行 病 毒 扫 描 签 名 校 验 文 件 类 型 校 验 文 件 内 容 过 滤, 对 符 合 8 / 19
要 求 的 文 件 进 行 转 发 不 借 助 任 何 第 三 方 软 件, 完 全 通 过 文 件 的 拷 贝 粘 贴 方 式 实 现, 为 了 避 免 网 络 漏 洞, 网 闸 不 开 放 任 何 连 通 两 侧 的 网 络 通 道, 在 保 证 绝 对 安 全 的 前 提 下, 通 过 数 据 摆 渡 实 现 文 件 交 换 3.6 内 置 的 数 据 库 同 步 模 块 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统 的 数 据 库 同 步 模 块, 独 立 自 主 开 发 完 成, 完 全 内 置 于 网 闸 内 部, 所 有 的 同 步 操 作 由 网 闸 自 己 独 立 完 成 不 在 用 户 数 据 库 中 安 装 任 何 客 户 端 软 件, 不 需 要 在 用 户 网 络 中 部 署 专 用 服 务 器, 对 用 户 数 据 库 不 作 任 何 改 变 该 模 块 支 持 Oracle 和 Sql Server 等 流 行 数 据 库 版 本, 同 时 预 留 开 发 接 口, 定 制 支 持 各 种 数 据 库 系 统 在 高 速 运 行 的 基 础 上 解 决 了 字 段 级 数 据 同 步 双 向 数 据 同 步 大 字 段 同 步 等 技 术 难 题, 适 合 于 各 种 数 据 库 同 步 工 作 的 需 要 由 于 是 网 闸 自 身 发 起 的 动 作, 所 以 网 闸 两 侧 不 开 放 任 何 基 于 数 据 库 访 问 或 者 定 制 TCP 的 网 络 服 务 端 口, 避 免 网 络 安 全 漏 洞 3.7 融 合 加 密 认 证 授 权 多 安 全 技 术 于 一 身 网 神 网 闸 通 过 专 用 SSL 通 道 客 户 端 拨 入, 拨 入 链 路 通 过 SSL 协 议 进 行 加 密, 认 证 通 过 后, 结 合 拨 入 终 端 应 有 的 权 限, 对 拨 入 用 户 进 行 授 权, 即 为 此 终 端 用 户 应 具 有 的 访 问 权 限, 通 过 授 权 防 止 方 法 用 户 的 非 法 访 问 认 证 保 证 终 端 用 户 访 问 身 份 的 合 法 性 加 密 保 证 数 据 传 输 的 安 全 性 授 权 保 证 终 端 用 户 访 问 业 务 系 统 的 合 法 性 加 之 网 闸 固 有 的 协 议 转 换 双 通 道 结 构 等 众 多 安 全 特 性, 最 大 程 度 保 证 高 安 全 域 网 络 的 安 全 性 3.8 高 可 用 设 计 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统 遵 循 高 可 用 性 设 计, 支 持 网 络 口 HA 多 种 高 可 用 实 现 模 式, 最 多 支 持 32 台 设 备 进 行 负 载 均 衡, 全 面 解 决 设 备 故 障 与 链 路 故 障 造 成 的 业 务 中 断, 保 证 系 统 7X24 小 时 不 间 断 服 务 3.9 轻 松 的 管 理 维 护 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统 配 备 专 门 的 管 理 端 口, 通 过 数 字 证 书 认 证 与 9 / 19
管 理 信 息 的 加 密 传 输 实 现 网 闸 设 备 的 集 中 管 理 系 统 采 用 全 中 文 的 Web 方 式 进 行 远 程 网 络 管 理, 支 持 通 过 IPV4 或 者 IPV6 协 议 对 网 闸 进 行 管 理, 界 面 友 好, 操 作 方 便 系 统 管 理 员 和 审 计 员 实 现 分 权 管 理, 使 得 对 网 闸 的 管 理 更 加 安 全 可 控, 避 免 人 为 因 素 带 来 的 安 全 风 险 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统 能 够 通 过 集 中 监 管 实 现 对 多 台 网 闸 的 实 时 监 控, 通 过 图 形 化 的 显 示 界 面 实 时 显 示 各 监 控 对 象 的 运 行 情 况, 同 时 可 结 合 用 户 自 身 的 维 护 情 况 可 自 定 义 告 警 策 略, 并 通 过 多 种 告 警 方 式 通 知 系 统 管 理 人 员, 方 便 管 理 人 员 对 设 备 的 运 行 维 护 3.10 传 输 方 向 控 制 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统 采 用 双 通 道 通 信 机 制, 从 可 信 网 到 非 可 信 网 的 数 据 流 与 从 非 可 信 网 到 可 信 网 的 数 据 流 采 用 不 同 的 数 据 通 道, 对 通 道 的 分 离 控 制 保 证 各 通 道 的 传 输 方 向 可 控 在 特 殊 应 用 环 境 中 可 实 现 数 据 的 单 向 传 送, 以 避 免 信 息 的 泄 漏 3.11 协 议 分 析 能 力 系 统 支 持 HTTP/HTTPS POP3 SMTP FTP SAMBA NFS DNS 等 多 种 应 用 层 协 议, 可 对 常 见 协 议 的 命 令 和 参 数 进 行 分 析 和 过 滤 应 用 数 据 以 原 始 的 形 态 在 内 外 主 机 模 块 中 传 递, 数 据 包 经 过 预 处 理 安 全 决 策 RFC 校 验 协 议 分 析 数 据 提 取 格 式 化 等 多 个 处 理 模 块 的 检 查, 充 分 保 证 了 交 换 信 息 内 容 的 安 全 3.12 完 善 的 安 全 审 计 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统 提 供 管 理 员 多 种 手 段 了 解 网 络 运 行 状 况 及 可 疑 事 件 的 发 生 用 户 可 根 据 特 定 的 需 要 进 行 日 志 审 计 ( 包 括 系 统 日 志 访 问 控 制 策 略 日 志 应 用 层 协 议 分 析 日 志 应 用 层 内 容 检 查 日 志 等 ) 系 统 支 持 本 地 日 志 缓 存, 可 实 现 本 地 日 志 的 浏 览 查 询 等 操 作 日 志 依 据 事 件 的 重 要 程 度 分 为 错 误 / 警 告 / 通 知 三 级, 支 持 Syslog 日 志 存 储, 可 实 现 日 志 的 分 级 发 送 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统 提 供 管 理 员 多 种 手 段 了 解 网 络 运 行 状 况 及 可 疑 事 件 的 发 生 主 要 方 式 如 下 : 控 制 台 方 式 : 通 过 管 理 控 制 台 可 以 实 时 监 控 日 志 告 警 信 息 10 / 19
Syslog: 以 Syslog 方 式 向 管 理 工 作 站 发 送 告 警 信 息 电 子 邮 件 : 通 过 向 管 理 员 指 定 的 电 子 邮 件 帐 号 发 送 电 子 邮 件 来 发 送 报 警 信 息 3.13 强 大 的 抗 攻 击 能 力 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统 具 备 强 大 的 抗 攻 击 能 力, 内 外 网 主 机 模 块 采 用 专 用 的 安 全 操 作 系 统, 内 核 经 过 特 殊 定 制, 实 现 强 制 性 访 问 控 制, 保 护 自 身 进 程 及 文 件 不 被 非 法 篡 改 和 破 坏 3.14 多 样 化 的 身 份 认 证 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统 支 持 多 样 灵 活 的 身 份 认 证 方 式, 包 括 : 本 地 用 户 名 及 口 令 认 证 U-Key 认 证 基 于 数 字 证 书 的 认 证 RADIUS 远 程 访 问 认 证 及 LDAP 认 证 以 及 多 方 式 结 合 的 双 因 子 认 证 本 地 认 证 系 统 内 置 认 证 数 据 库 提 供 本 地 的 用 户 名 口 令 认 证, 支 持 HTTP/HTTPS 方 式 实 现 认 证 信 息 的 获 取 U-Key 认 证 提 供 随 机 U-key, 存 储 私 钥 以 及 数 字 证 书, 利 用 U-Key 内 置 的 公 钥 算 法 或 根 证 书 实 现 对 用 户 身 份 的 认 证 ; 数 字 证 书 认 证 网 闸 支 持 数 字 证 书 认 证, 允 许 客 户 端 通 过 HTTP 连 接 向 服 务 器 发 送 访 问 请 求 网 闸 可 导 入 根 证 书, 通 过 检 查 用 户 证 书 格 式 证 书 的 过 期 时 间 签 发 者 等 信 息 以 确 认 访 问 者 身 份 的 合 法 性, 还 可 依 据 用 户 身 份 属 性 判 断 其 是 否 具 有 适 当 的 访 问 权 限 RADIUS 远 程 访 问 认 证 及 LDAP 认 证 网 闸 向 第 三 方 认 证 服 务 器 发 送 用 户 名 和 口 令, 一 旦 认 证 服 务 器 认 证 成 功, 则 网 闸 允 许 用 户 访 问 双 因 子 认 证 网 闸 支 持 用 户 / 密 码 +U-Key 方 式 用 户 / 密 码 + 数 字 证 书 方 式 的 双 因 子 认 证, 认 证 强 度 更 高, 安 全 性 更 强 ; 11 / 19
3.15 负 载 均 衡 解 决 方 案 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统 支 持 负 载 均 衡 解 决 方 案 网 闸 群 集 可 实 现 动 态 管 理 和 维 护, 根 据 实 际 响 应 时 间 制 定 优 先 响 应 策 略, 从 而 提 高 系 统 总 体 性 能 优 化 流 量 管 理 提 高 群 集 性 能, 保 证 系 统 正 常 运 行 的 高 可 用 性 和 高 可 靠 性 如 果 访 问 量 超 出 了 网 闸 的 响 应 能 力, 只 需 增 加 服 务 器 数 目 即 可 实 现 系 统 的 平 滑 升 级, 无 需 第 三 方 软 件 支 持 4. 技 术 优 势 在 网 络 中 部 署 网 神 SecSIS 3600 既 能 够 符 合 政 府 军 队 企 事 业 单 位 等 的 强 制 性 安 全 策 略 -- 既 在 不 同 安 全 等 级 的 网 络 间 实 现 安 全 隔 离, 又 能 够 保 证 可 靠 安 全 的 信 息 交 换, 提 供 文 件 交 换 收 发 电 子 邮 件 数 据 库 同 步 安 全 浏 览 等 多 种 服 务, 在 网 络 应 用 的 安 全 性 及 可 用 性 间 取 得 完 美 的 平 衡 4.1 安 全 高 效 的 硬 件 交 换 系 统 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统 具 有 自 主 研 发 的 内 外 主 机 系 统 间 的 安 全 检 测 与 控 制 处 理 单 元, 采 用 专 有 电 路 设 计 的 双 通 道 高 速 数 据 交 换 卡, 实 现 了 独 立 的 硬 件 交 换 控 制 逻 辑, 无 操 作 系 统 及 任 何 软 控 制, 自 主 完 成 数 据 的 交 换, 系 统 只 负 责 把 数 据 写 到 隔 离 交 换 卡 中 的 缓 冲 区, 由 隔 离 交 换 卡 根 据 硬 件 控 制 逻 辑 自 动 完 成 数 据 交 换, 自 动 同 步 两 侧 控 制 逻 辑, 进 行 互 斥 的 读 写 操 作, 同 时 还 具 有 自 动 数 据 完 成 性 校 验, 当 发 现 数 据 错 误 时, 自 动 重 传, 保 证 数 据 的 完 全 正 确 在 保 证 安 全 性 的 同 时, 提 供 更 好 的 处 理 性 能, 能 够 适 应 各 种 复 杂 网 络 环 境 对 隔 离 应 用 的 需 求 12 / 19
B B A A 存 储 介 质 存 储 介 质 控 制 模 块 Internet 受 保 护 网 络 非 信 任 网 络 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统 在 内 外 主 机 系 统 间 采 用 专 有 协 议, 阻 断 网 络 连 接, 不 仅 使 得 信 息 网 络 的 抗 攻 击 能 力 大 大 增 强, 而 且 有 效 地 防 范 了 信 息 外 泄 事 件 的 发 生 4.2 完 美 的 网 络 环 境 适 应 性 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统 支 持 IPV4 和 IPV6 两 种 协 议 栈, 可 灵 活 部 署 完 美 适 应 各 类 型 网 络, 而 且 支 持 IPV4/IPV6 混 合 接 入, 即 支 持 一 端 为 IPV4 环 境, 一 端 为 IPV6 环 境 强 大 的 网 络 环 境 适 应 性, 不 需 要 改 变 网 络 环 境, 更 换 网 络 设 备, 全 业 务 应 用 支 持, 能 够 适 应 工 业 环 境 业 务 应 用 数 据 交 换 要 求, 更 是 有 效 保 障 了 数 据 安 全 4.3 可 靠 的 冗 余 和 负 载 均 衡 架 构 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统 基 于 可 靠 性 的 考 虑, 通 过 双 机 热 备 等 技 术 保 证 了 在 网 络 或 设 备 故 障 时, 业 务 的 不 间 断 运 行 在 网 络 流 量 较 大 时, 也 可 能 会 造 成 业 务 不 可 用 和 响 应 速 度 下 降, 网 神 SecSIS 3600 系 列 网 闸 支 持 多 台 设 备 的 负 载 均 衡 ( 最 多 支 持 32 台 ), 最 大 限 度 的 提 升 了 网 络 的 可 用 性 13 / 19
安 全 内 网 SecSIS 安 全 隔 离 与 信 息 交 换 系 统 外 部 网 络 Internet 4.4 先 进 的 数 据 库 同 步 技 术 网 闸 常 会 应 用 在 数 据 库 服 务 器 的 环 境 中, 为 了 实 现 数 据 库 同 步, 一 般 情 况 下 都 需 要 在 内 外 网 数 据 库 服 务 器 上 安 装 数 据 库 同 步 软 件, 这 不 仅 会 占 用 数 据 库 服 务 器 的 资 源 增 加 部 署 和 实 施 的 难 度, 同 时 不 可 避 免 会 有 漏 洞 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统 采 用 先 进 的 同 步 技 术, 无 需 在 内 外 网 数 据 库 服 务 器 上 安 装 第 三 方 同 步 软 件, 减 少 因 安 装 第 三 方 同 步 软 件 造 成 对 数 据 库 影 响 的 可 能 性, 还 可 提 供 对 数 据 库 用 户 的 细 粒 度 控 制 同 时 由 于 不 用 开 放 监 听 端 口, 更 具 安 全 性, 为 用 户 提 供 了 性 价 比 极 高 的 数 据 库 同 步 解 决 方 案 Select * from pubs Insert into... JDBC 数 据 数 据 JDBC 数 据 库 数 据 库 开 关 模 块 数 据 14 / 19
4.5 核 心 应 用 的 安 全 最 大 化 从 安 全 实 现 的 角 度 来 讲, 越 接 近 应 用 层, 则 安 全 问 题 越 复 杂, 解 决 问 题 也 越 困 难 安 全 隔 离 与 信 息 交 换 系 统 将 应 用 层 的 数 据 转 换 成 专 有 的 数 据 格 式 进 行 处 理, 只 允 许 安 全 的 可 靠 的 信 息 在 网 络 中 传 递 信 息 的 格 式 内 容 交 流 对 象 等 因 素 可 依 据 企 业 安 全 策 略 指 定, 简 化 了 核 心 应 用 面 临 的 安 全 问 题, 确 保 了 核 心 应 用 的 安 全 最 大 化 传 统 的 安 全 检 测 产 品 只 能 发 现 利 用 已 知 安 全 漏 洞 发 起 的 攻 击 如 果 一 种 攻 击 手 法 还 没 有 公 布, 则 凭 借 现 有 的 技 术 无 法 了 解 其 攻 击 特 征, 也 就 无 法 识 别 攻 击 行 为 网 神 SecSIS3600 对 数 据 的 交 换 不 依 赖 于 任 何 通 用 协 议, 没 有 数 据 包 的 处 理 及 连 接 会 话 的 建 立, 而 是 以 静 态 的 专 有 格 式 化 数 据 块 的 形 式 在 内 / 外 网 间 传 递, 因 此 不 会 受 到 任 何 已 知 或 未 知 漏 洞 的 威 胁 4.6 强 大 的 定 制 扩 展 能 力 网 神 SecSIS3600 不 但 提 供 标 准 的 信 息 交 流 服 务, 如 文 件 交 换 安 全 浏 览 邮 件 交 换 数 据 库 同 步 等, 还 提 供 二 次 开 发 接 口, 以 满 足 众 多 专 业 应 用 系 统 的 安 全 数 据 交 换 需 要 还 可 依 据 用 户 应 用 系 统 特 征, 定 制 相 应 的 协 议 检 查 模 块, 对 行 业 专 有 应 用 协 议 及 相 应 数 据 格 式 进 行 定 制 分 析, 确 保 只 有 符 合 组 织 安 全 策 略 的 数 据 可 通 过 网 闸 进 行 传 递, 真 正 实 现 按 需 通 过 的 安 全 目 标, 提 升 整 体 安 全 水 平 4.7 安 全 可 靠 的 系 统 容 错 能 力 网 闸 产 品 一 般 部 署 在 政 府 公 安 电 子 政 务 等 行 业, 保 护 用 户 重 要 业 务 系 统, 用 户 的 业 务 系 统 需 要 高 度 的 稳 定 性 保 障 此 时, 产 品 稳 定 性 和 可 持 续 运 行 能 力 显 的 尤 为 重 要 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统 采 用 冗 余 架 构, 部 署 冗 余 操 作 系 统, 当 主 系 统 发 生 异 常 故 障 等 不 可 运 行 状 态 时, 可 通 过 界 面 console 口 等 方 式 第 一 时 间 切 换 至 备 份 系 统 运 行 网 神 网 闸 的 双 系 统 结 构 有 效 的 保 障 了 设 备 的 可 持 续 运 行, 用 户 业 务 系 统 的 稳 定 运 行 5. 典 型 应 用 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统 适 合 部 署 在 需 要 在 不 同 安 全 等 级 的 网 络 间 实 现 信 息 共 享 的 环 境, 可 应 用 在 不 同 的 涉 密 网 络 之 间 ; 同 一 涉 密 网 络 的 不 同 安 全 域 之 间 ; 与 互 15 / 19
联 网 物 理 隔 离 的 网 络 和 秘 密 级 涉 密 网 络 之 间 ; 未 与 涉 密 网 络 连 接 的 网 络 和 互 联 网 络 之 间, 通 过 网 闸 的 安 全 控 制, 在 保 证 信 息 安 全 的 前 提 下 更 好 地 促 进 各 个 业 务 系 统 的 互 联 互 通 资 源 共 享 5.1 数 据 库 安 全 同 步 解 决 方 案 某 政 府 部 门 开 展 电 子 政 务, 允 许 公 众 通 过 互 联 网 提 交 服 务 申 请 并 查 询 结 果 如 果 允 许 访 问 者 通 过 Web 服 务 器 直 接 向 核 心 数 据 库 服 务 器 发 起 数 据 访 问 请 求, 则 黑 客 可 能 穿 透 防 火 墙 的 保 护 直 接 侵 入 后 台 数 据 库 系 统, 严 重 威 胁 到 业 务 的 正 常 开 展 如 上 图 所 示, 采 用 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统, 在 核 心 数 据 库 服 务 器 和 外 部 不 可 信 网 络 间 实 现 安 全 隔 离, 则 来 自 互 联 网 的 用 户 只 能 通 过 Web 服 务 器 访 问 到 前 置 数 据 库 服 务 器 根 据 安 全 策 略 定 时 将 前 置 数 据 库 和 核 心 数 据 库 的 内 容 进 行 同 步, 既 可 满 足 对 外 服 务 的 要 求 又 提 供 了 安 全 保 障 这 种 方 式 强 化 了 应 用 层 的 安 全 控 制, 可 有 效 防 止 TCP/IP 数 据 包 穿 越 网 络 到 达 核 心 数 据 库 服 务 器, 大 大 增 强 了 系 统 的 安 全 性, 为 电 子 政 务 的 有 效 开 展 提 供 了 可 靠 的 保 证 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统 提 供 多 种 数 据 库 同 步 方 式, 可 定 制 同 步 周 期 及 方 向, 支 持 Oracle Sybase SQL Server MySQL DB2 等 多 种 主 流 数 据 库 系 统 支 持 基 于 触 发 器 和 快 照 两 种 方 式 的 增 量 数 据 复 制, 可 实 现 异 类 数 据 库 间 的 数 据 同 步 系 统 提 供 C/C++ 编 程 接 口, 可 以 方 便 的 与 其 它 系 统 的 集 成 16 / 19
5.2 安 全 邮 件 收 发 解 决 方 案 某 机 构 强 制 要 求 内 网 禁 止 与 互 联 网 相 连, 但 根 据 业 务 需 要 必 须 通 过 电 子 邮 件 与 外 界 进 行 信 息 交 流 如 采 用 人 工 方 式, 即 由 专 人 负 责 在 公 众 信 息 网 接 收 电 子 邮 件, 再 通 过 移 动 存 储 介 质 复 制 到 内 部 网 进 行 处 理, 则 信 息 不 能 得 到 及 时 处 理, 严 重 影 响 工 作 效 率 ; 若 采 用 内 外 网 邮 件 服 务 器 转 发 的 方 式, 安 全 又 得 不 到 保 证 为 解 决 这 一 问 题, 在 内 外 网 间 部 署 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统 安 全 隔 离 与 信 息 交 换 系 统 可 以 保 证 可 信 内 网 与 Internet 安 全 隔 离, 内 外 网 邮 件 服 务 器 间 不 存 在 链 路 层 连 接, 没 有 数 据 包 的 交 换, 因 此 无 法 通 过 邮 件 系 统 对 内 部 办 公 网 发 起 攻 击 系 统 可 以 为 每 个 用 户 制 定 各 自 的 邮 件 交 换 策 略, 对 邮 件 内 容 附 件 类 型 及 垃 圾 邮 件 带 病 毒 邮 件 等 进 行 过 滤, 从 而 使 内 网 用 户 可 以 在 内 网 安 全 地 收 发 邮 件, 保 证 安 全 的 邮 件 处 理 5.3 安 全 文 件 交 换 解 决 方 案 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统, 由 安 全 管 理 员 制 定 相 应 的 信 息 交 换 策 略, 在 网 络 安 全 隔 离 的 前 提 下 定 时 进 行 文 件 交 换 系 统 还 支 持 交 换 方 向 文 件 类 型 的 指 定, 可 对 被 交 换 文 件 进 行 内 容 检 查 查 病 毒 等 处 理, 只 允 许 或 不 允 许 包 含 相 应 内 容 的 文 件 通 过 网 闸 传 递 网 神 SecSIS 3600 安 全 隔 离 与 信 息 交 换 系 统 可 对 数 字 签 名 进 行 校 验, 以 起 到 身 份 认 证 防 抵 赖 的 作 用 17 / 19
Internet SecGate 防 火 墙 手 机 用 户 WEB 服 务 器 无 线 移 动 网 络 数 据 库 服 务 器 外 网 手 机 用 户 SecSIS 安 全 隔 离 与 信 息 交 换 系 统 涉 密 专 网 专 网 平 台 其 他 单 位 PC PC PC 内 部 服 务 器 5.4 公 安 全 球 眼 视 频 解 决 方 案 近 年 来, 随 着 网 络 视 频 监 控 在 各 个 行 业 的 广 泛 部 署, 如 何 保 证 整 个 系 统 在 网 络 层 面 的 安 全 性 越 来 越 成 为 大 家 关 注 的 重 点 尤 其 是 在 面 临 专 网 视 频 监 控 系 统 ( 内 部 ) 与 公 网 视 频 监 控 系 统 ( 外 部 ) 进 行 互 通 时, 这 个 问 题 显 得 尤 为 突 出 平 安 城 市 就 是 一 个 很 典 型 的 例 子 在 平 安 城 市 的 建 设 中, 需 要 构 建 一 个 能 够 覆 盖 城 市 重 要 单 位 重 点 场 所 主 要 路 口 主 要 出 入 通 道 治 安 卡 口 学 校 居 民 小 区 等 各 个 层 面 的 社 会 面 治 安 监 控 系 统, 整 个 系 统 的 控 制 和 管 理 基 本 上 都 归 口 到 当 地 公 安 部 门 而 上 面 提 到 的 这 些 监 控 部 位, 有 些 是 属 于 公 安 专 网 的, 比 如 治 安 卡 口 重 点 场 所, 有 些 是 属 于 外 部 网 络 的, 比 如 学 校 居 民 小 区 网 吧 等 为 了 实 现 这 些 监 控 资 源 的 统 一 调 用 和 灵 活 共 享, 公 安 专 网 的 视 频 监 控 系 统 与 外 部 的 视 频 监 控 系 统 必 须 要 进 行 网 络 化 互 联, 而 根 据 保 密 要 求, 公 安 专 网 与 外 部 网 络 又 必 须 要 进 行 物 理 隔 离, 这 样 就 存 在 一 个 无 法 回 避 的 矛 盾 而 且, 随 着 中 国 电 信 通 过 全 球 眼 运 营 级 网 络 视 频 监 控 系 统 对 平 安 城 市 建 设 的 介 入, 将 会 有 越 来 越 多 的 社 会 面 监 控 资 源 承 载 在 公 网 平 台 上, 安 全 隔 离 将 成 为 公 安 部 门 通 过 其 专 网 18 / 19
视 频 监 控 系 统 进 行 社 会 面 监 控 资 源 调 用 时 的 主 要 障 碍 为 此, 网 神 公 司 基 于 目 前 在 公 安 政 府 军 队 等 涉 密 专 网 中 广 泛 使 用 的 网 闸 技 术 应 用 到 了 运 营 级 网 络 视 频 监 控 产 品 中, 推 出 了 基 于 网 闸 的 网 络 视 频 监 控 安 全 隔 离 解 决 方 案, 可 以 在 保 证 系 统 物 理 隔 离 的 情 况 下, 实 现 内 外 网 监 控 资 源 的 灵 活 调 用, 从 而 有 效 解 决 上 面 提 到 的 问 题 摄 像 头 全 球 眼 网 络 SecSIS 3600 公 安 网 EMS 服 务 器 SMG 服 务 器 CSG 服 务 器 19 / 19