中新网闸-安全隔离与信息交换系统

中新金盾安全隔离与信息交换系统产品介绍ZX-GAP基于完整的安全体系结构设计理念，采用多机系统架构，通过对信息进行落地、还原、扫描、过滤、防病毒、入侵检测、审计等一系列安全处理，有效防止黑客攻击、恶意代码和病毒渗入，同时防止内部机密信息的泄露，实现网间安全隔离和信息交换。中新网络信息安全股份有限公司2016年3月CHAPTERONE网络安全与隔离技术Networksecurityandisolationtechnology网络隔离必要性物理隔离人工拷贝效率低数据缺乏安全审计实时性差网络隔离必要性一人多个终端增加工作量和资源的占用浪费应用系统无法统一规划、统一管理容易造成“信息孤岛”、“网络孤岛”的现象影响工作人员工作效率增加了管理维护的难度和工作量网络隔离现状是国家保密局认定的一类专门的隔离产品现状吸取了以前多种隔离技术的优点并解决了各自存在的问题的基础上开发的多机系统结构，对内外部网络进行有效安全隔离，阻断网络直接连接，阻断通用协议贯通安全隔离与信息交换系统通常都采用基于用户的访问控制只对合法用户开放信息交换的受控通道用户要使用受控通道时，需提交并验证自己的真实身份支持多种身份验证方式网闸隔离示意图内部网络外部网络需要资源共享的服务器可以被内外网访问1保证其他非资源共享主机被安全隔离2两网在安全隔离的前提下进行信息交换和信息共享3隔离网闸技术原理IP包，3层IP包，3层TCP4层TCP4层5至7层5至7层数据摆渡OSI第七层外隔离网闸私有协议摆渡内部网络外部网络物理、数据链路1至2层物理、数据链路1至2层隔离网闸需具备的安全要点01要具有高度的自身安全性03要保证网间交换的只是应用数据04要对网间的访问进行严格的控制和检查02要确保网络之间是隔离的，TCP/IP彻底阻断与防火墙的主要区别隔离网闸防火墙政策归类安全隔离与信息交换防火墙功能定位安全第一，通信第二通信第一，安全第二硬件体系多机系统单机系统通信协议专用私有协议公用协议安全级别内外皆防防外网闸的分类“2+1”结构为基础的网闸类别1类别2三机架构的网闸CHAPTERTWOZX-GAP产品介绍Productintroduction2+1系统结构-内网单元、外网单元内网单元外网单元数据迁移控制单元独立主板、总线及CPU控制01专用安全操作系统，对内外单元采取多个层次的高强度安全防护02网络协议及应用层协议的终点，数据被剥离出来进行传输032+1系统结构-数据迁移控制单元独立硬件数据迁移逻辑，无操作系统结合专用隔离硬件，完成内外单元的数据摆渡高安全性，无法通过外部接口对隔离硬件进行驱动控制内网单元外网单元专用隔离硬件数据迁移控制单元2+1系统结构内网单元外网单元数据迁移控制单元私有协议数据迁移数据迁移专用隔离硬件结合专用通信协议完成应用数据迁移TCP/IP协议及应用层协议无法穿透隔离硬件进行传输私有协议采用高强度传输算法，保证协议接口安全性2+1系统结构内网单元数据迁移控制单元外网单元控制管理中心内网单元独有的控制管理中心，可杜绝黑客通过外网单元获得非法控制权限独立的、非数据传输口的管理监控接口进行配置多种管理员登陆认证保密机制，确保登陆操作的安全管理配置2+1系统结构内网单元外网单元数据迁移控制单元应用预处理器应用预处理器应用数据应用数据内/外网单元通过数据传输口接收应用数据拆封TCP/IP协议，剥离应用层协议，将数据还原为文件2+1系统结构内网单元外网单元数据迁移控制单元应用预处理器应用预处理器应用数据应用数据专用隔离硬件数据迁移策略控制数据迁移策略控制控制管理中心配置管理01应用控制：支持Http、Smtp、Pop3、FTP等多种主流应用协议的应用层过滤02多种安全机制：数据包各层面的控制、用户名/密码认证、IP/MAC绑定等03会话层控制：断开网络两端会话层连接，会话层以下攻击可直接免疫三机系统模型基于三机系统的安全隔离与信息交换模型内部网络应用层数据仲裁应用层数据外部网络TCP/IPTCP/IPTCP/IP协议终点TCP/IP协议终点内端机仲裁机外端机专用硬件专用硬件专用协议专用协议2+1架构与三机架构比较2+1架构三机架构结构分析2主机+隔离传输卡3主机+隔离传输卡自身安全性内端机独立网口管理自身安全性高处理性能一次内部交换两次内部交换系统时延损耗较少损耗较多安全级别内外防护对称，但管理中心存在安全隐患内外防护对称功能模块功能模块日志审计功能TCP、UDP受控通道安全邮件模块文件访问、同步模块数据库同步模块安全上网模块功能模块-受控通道内外网间的信息交换全部要通过预先建立的受控安全通道来进行安全通道完全置于仲裁机控制之下在建立的安全通道上可以设定各种安全策略，以规定具体控制方式受控安全通道可支持多种工作模式，适应于不同的场合功能模块-安全上网模块支持HTTP协议及代理等支持访问控制对象：源地址、目标地址、源端口、目的端目、域名、URL、访问方式、时间等支持关键字过滤、脚本过滤支持其他过滤策略：文件类型、页面提交方式等功能模块-安全邮件模块01邮件发件人控制02030405邮件收件人控制邮件主题控制邮件内容敏感词控制邮件附件大小控制功能模块-文件访问模块0705060804010203支持文件类型（格式）过滤文件内容敏感词支持文件名过滤支持文件大小控制支持FTP命令控制提供安全的文件传输功能，支持FTP等文件传输协议支持用户名/密码认证支持用户名/IP-MAC绑定功能模块-文件同步模块基于专用客户端提供安全的文件同步功能，占用系统资源少，文件交换效率高，不会频繁的进行磁盘扫描同步传输方向可控，双向或单向支持实时扫描传输支持一对多或多对一传输支持目录内子目录同步，至多支持32级目录支持中文文件名或目录同步支持windows平台和linux平台功能模块-数据库访问模块支持ORACLE不同平台下、不同访问模式下的数据库访问支持多种主流数据库访问（ORACLE、SQLServer、DB2、SYBASE、MYSQL等）功能模块-数据库同步模块BDAC采用实时增量同步模式基于专用客户端与网闸安全连接方式，提供多种主流数据库（ORACLE、SQLServer、DB2、SYBASE、MYSQL等）的单、双向数据交换支持各种数据库操作以及对数据库的操作时间等限制支持异构数据结构以及代码语义的转换规则定义，并实现源数据到目标数据之间的实时数据交换，支持数据整合业务产品特点应用级完全内容检测与审计，采用金电网安公司专有完全内容检测模块，过滤所有交换数据，全面解析网络传输信息，通过深层次细粒度的内容过滤，预先拦截内、外网用户禁止访问的内容。完全内容检测模块HTTP协议对流过的WEB访问进行内容检查邮件协议对SMTP和POP3协议进行数据内容检查FTP协议对文件访问同步进行数据检查提供审计日志产品特点DEP产品ADEP产品CDEP产品B数据库A数据库B数据库C数据库E数据库D隔离器强大的数据库访问和同步功能，专用的入侵检测引擎、杀毒引擎、安全协议通道