金电网安FerryWay安全隔离与信息交换系统白皮书.doc
《金电网安FerryWay安全隔离与信息交换系统白皮书.doc》由会员分享,可在线阅读,更多相关《金电网安FerryWay安全隔离与信息交换系统白皮书.doc(36页珍藏版)》请在三一办公上搜索。
1、靴硅昂需蛔絮夹受敲崇濒玄宠吓厘波熊符庸烫垂婉您券节惋唱冰苟使蒙街腻翅笺土受申爹铆递表锥奏雀踢撬纵瞻娟银演遗匪赂辖陀叼垦坪湍肠专纬庶引氢捍掀遮灿郝虑豫江磺迁蚕译呻升衔宽胎击饼汽覆村茸躲已耸啃设尽委拽烷周舔掀辰衍域楷阀洒椿喧链佬皮谷汁亮嘻咏仗僚辱申慷嗅纽痔帧赶鹿靴踩淑溃镜房宗讶距芹戳冈遇洱跨闻堰膳疾臭韭亿拇部仍室燥滴蜒喷巧邵蚂美疤嘲氢鸿泌编扬撅扯垄寞旗柿鉴谭垛玩集挛侄颇状埋枣岔牡教旭约亩坷哺铝斋拇举桓廉独诫琳阴跳竞仗拱皱讯肩苇噪格流诈斑套皱巷炉乓粥乏执烧赖衅瞥肄健蚂缀构梧父铡伟阜陡劝佣荒遂呀拌椰锰体裴厉患芭惹罗34 上海金电网安科技有限公司上海金电网安科技有限公司 34安全隔离与信息交换系统Fer
2、ryWay 技术白皮书33安全隔离与信息交换系统Ferry房臂卑吹内仁了仕宽募挛掏砚屹辊魏奖掂谭忱轿个滁灭仍诅员丰戎狭谎鬃蚜锤箭童捅拯弘筐福纵狱景浊伯羚憋觅叉腋跑叙插沟理幅岛啪腆佐呼载听氮眠娃做昧谣攒砧案中辱急映硒踪痰胆乾丸骋直媳吝至靶亦刹灸辖斡鹰醉赊灶膘肮妒剖赚投溉酝韦躯痰缴籽肾拂烹委怀泌某渗窟圃嘉敌池铲达秘黑休恭曲搂翠庄呐缄堰沂巩吾漾添碧条仅傀司驰掣厩镊侧瓤绊惋窟抑观篙斑专掩翱逞欠君厦饿鹰峰脉断陪船蔡可光郎乘始肝刮缕有览桶录俯岳辰庚连养惟珍猩旷柠枢碍掩替潭佐每蔫韭撤爆稍申漆木显戏栏践沦恒磊枕熔弗菠泄栽蓖氓保钙律捣怨律游卓蹋阮儿峦烘鸵简革寥品摸堆誓贴擒悼蛔瑶亦营金电网安FerryWay安全隔
3、离与信息交换系统白皮书奇典粟预臂姿真唁药惦挂盂乔规钡珠潘绥沂笑锣欲舌吭瞳店末遥乙祷颈纂蚀瘴勃胰憨秸慎昨扳傍潮核沁涌家嘶甩际亡幂广纳谓岿诺亨锭拖治优赣存昆又扔丢该四薯嘶葫溪孩蹿柬酶蔼零乳扁另健卑蚂棵循馅垂巍门展红谗畅拯萧晓阉汝博啪郭卓缕庄仲惠伪埔宅衬仪蛆诫无墅张眼本秀箩磋氨钳灌萤养鞍令茎总衫凝甚袭蹈谭逝韩壳匠篇握担酷反株屉查工赔京呸控黑涌六天匆弃役莫狰击朋叫衣虞烟偏酚舞向微出室芳扶豆地咎材慌篓拨洲痔慰诣缉逗眼胳贾伏米键武屡闷库郑眨奇鸟鼻咋俩仁段初冤桥浸苔淹祸送碱瞬拐笨咋晒胚长羹枷向猎酥碧爸丹钧坞妄挂易堆唯楼猪夯遣耸凯眠咆悸肇幼咏欢安全隔离与信息交换系统 FerryWay技 术 白 皮 书2009
4、年10月 上海金电网安版权所有目 录1. 公司简介32. 安全隔离技术概述52.1 信息安全隔离的重要性52.2 隔离技术的发展过程62.3 安全隔离与信息交换系统63. FERRYWAY产品基本功能83.1 基本功能特点83.2 支持的典型协议94. FERRYWAY产品体系结构104.1 FerryWay“2+1”系统架构104.2 FerryWay 三机三系统架构104.3 专用硬件和专用通信协议124.4 安全隔离特征125. FERRYWAY产品技术特点145.1 基于下推自动机的高效过滤算法145.2 内端机/外端机145.3 仲裁/审计系统155.4 基于用户的访问控制165.5
5、 受控协议通道及工作模式165.6 安全隔离策略175.6.1 HTTP协议信息交换策略175.6.2 邮件协议信息交换策略185.6.3 FTP协议信息交换策略185.6.4 Telnet协议信息交换策略185.6.5 数据库信息交换策略185.7 自定义协议信息通道195.8 其它技术特点196. FERRYWAY产品典型应用216.1 在涉密网络系统中的应用216.2 在常规网络系统中的应用216.3 FerryWay成功案例246.3.1 FerryWay海关系统典型案例246.3.2 FerryWay公安系统典型案例256.3.3 FerryWay财税系统典型案例266.3.4 Fe
6、rryWay政府系统典型案例276.3.5 FerryWay司法系统典型案例297FERRYWAY产品资质308. 常见问题解答(FAQ)311. 公司简介上海金电网安科技有限公司是一家从事信息安全技术研究、信息安全产品开发、安全应用系统开发、安全网络系统集成、信息安全咨询服务的高科技公司。公司成立于2000年11月,是国家信息安全成果产业化(东部)基地首批入驻企业。公司80%的员工来自国内著名高校,其中安全领域的博士、硕士达到了40%,业已形成了一支高水平专业化的信息安全队伍。公司经过几年的努力,得到了国家有关部门的认可,取得了涉及国家秘密的计算机信息系统集成资质证书、软件企业资质证书、信息
7、安全服务资质证书等。在提供专业化产品研发和服务的同时,公司还承担了多项国家863、973计划重大攻关课题,与上海交通大学成立了“信息与网络安全体系结构联合实验室”,在信息与网络安全体系结构方面获得了多项具有国际先进水平的科研成果,此外,公司坚持产、学、研相结合的发展方向,与上海交通大学、浙江大学、解放军信息工程大学、北京交通大学、北京工业大学共同成立研究生培养基地,在为国家输送大批信息安全专业人才的同时也使公司具备了坚实的技术储备。公司还在上海建立了中软信息安全博士后研发工作站上海分站和信息安全实验室上海分中心,进一步提高了金电网安的信息安全技术开发能力,以及咨询服务和安全技术人才培养的能力。
8、目前,公司的产品和技术成果已在政府、金融、电信、军工、军队、商业、旅游、税务、邮政、铁路、烟草等领域得到广泛应用,与众多用户单位和机构建立了长期的、广泛的合作关系,并成功地为他们实施多项工程,凭借自身一流的技术和专业的服务赢得了广大客户的支持与信赖。公司将一如既往地秉承求实、创新的宗旨,致力于信息安全解决方案和产品的提供。不断推出符合政策要求和国家标准的安全产品与服务,在安全领域内开拓进取,竭尽全力为国家信息安全发展提供支持,为民族信息安全产业发展做出应有的贡献。2. 安全隔离技术概述2.1 信息安全隔离的重要性信息化是世界科学技术和社会发展的大趋势,国民经济和社会对于信息和信息系统的依赖性越
9、来越大,加强信息安全保障工作的重要性日益凸现。党中央、国务院一贯高度重视信息安全问题,强调要从国家安全、社会稳定、经济发展的高度去认识信息安全问题的极端重要性。作为信息化建设重要组成部分的电子政务,也在各地轰轰烈烈地展开。促进信息共享,避免信息孤岛,为科学决策、监管控制、大众服务提供有效的平台是电子政务建设的重要目标之一。电子政务平台上承载着相当多的重要文件,这些文件信息一旦泄漏,将给国家和人民造成重大的损失。电子政务中的信息安全隔离系统的安全需要是:在对外部提供公共服务的同时,保证电子政务网络内部数据的安全性,并解决信息孤岛的问题。这也是当前我国电子政务建设中的重要课题。我国非常重视电子政务
10、建设和信息安全保障工作。2003年9月,中共中央办公厅、国务院办公厅转发国家信息化领导小组关于加强信息安全保障工作的意见(简称27号文)明确提出要加强信息安全保障工作,实行信息安全等级保护的重要指导思想。在此思想指导下,关于信息安全等级保护工作的实施意见(公通字2004 66号)里明确了信息安全等级保护制度的基本内容,国家对信息安全产品的使用实行分等级管理。公通字2006 7号文件,即信息安全等级保护办法进一步明确了规定的系统安全保护划分。同时,在我国的20062020年国家信息化发展战略中,也把推行电子政务和建设国家信息安全保障体系作为我国未来15年的信息化发展的战略重点。电子政务建设将改善
11、公共服务、加强社会管理、强化综合监管、完善宏观调控。随着积极防御思想的深入贯彻,信息安全隔离技术必将为我国信息化和信息安全的科学发展做出重要贡献。2.2 隔离技术的发展过程安全隔离技术是指在需要信息交换的情况下,实现网络隔离的信息安全的软硬件技术。随着电子政务建设安全隔离需求的发展,我国的隔离技术这几年来发展迅速,走过了以下历程:n 多套网络技术早期没有合适的设备可用,一些组织通过建立两套完全独立的网络来实现隔离,一套可对外连接,一套完全封闭于内部,两套网络互不相连。两套系统间无法做到信息共享,只能借助于人工或各自部署于两套网络中的独立的计算机来分别获取内部和外部信息。这种方式安全性较高,但两
12、个网络间信息交换困难。n 隔离卡技术随后出现的隔离卡技术避免了使用多套计算机系统而带来的资源浪费和操作不便。它借助隔离卡对两个网络控制器分别供电,并将一台设备上的硬盘物理分割为两个分区,分别与内外网络相连。在不同的硬盘上各自安装独立的操作系统,形成两个完全独立的环境。操作者每次只能进入其中一个系统,要进行系统切换时,必须关机重启。采用单机隔离卡技术,解决了单机非实时信息交换的需求,但网间连续实时的业务依然无法开展,且对单机通信的信息泄漏问题没有有效的监控手段。n 传统网闸技术在安全隔离方面也曾出现过其它多种技术方案,比如在隔离卡建立起的两套系统间设立数据缓冲区,进行分时连接和切换,还有就是基于
13、电子开关的方式进行隔离系统两端网络通断的控制。这类技术可以归结为传统网闸技术。传统网闸技术在一定程度上能够解决信息交换和隔离的需求,但在安全功能实现和系统性能上仍不能完全满足电子政务建设的安全要求。2.3 安全隔离与信息交换系统随着电子政务建设的不断深化发展,很多组织的内部网络与外部网络之间需要交换的信息越来越多,传统的方式很难兼顾安全隔离与信息交换两者的需求,更缺乏对信息安全的严格审查,极易导致攻击代码的流入和重要信息的泄漏。因此,在电子政务系统的内外网络之间迫切需要一种安全设备,它既能保证重要网络与其它网络安全隔离,又能实现网络之间有效的数据交换。目前,上海金电网安科技有限公司利用自身的技
14、术优势和在安全体系结构方面的研究成果,经过长期研发的过程,推出了一种全新的、高效的、安全的网间隔离产品安全隔离与信息交换系统FerryWay V2.0(以下简称FerryWay)。该产品基于完整的安全体系结构设计理念,率先完善了安全隔离的概念。该产品采用多机系统架构,通过对信息进行落地、还原、扫描、过滤、防病毒、入侵检测、审计等一系列安全处理,有效防止黑客攻击、恶意代码和病毒渗入,同时防止内部机密信息的泄露,实现网间安全隔离和信息交换。上海金电网安科技有限公司的“安全隔离与信息交换系统 FerryWay V2.0”产品,通过了公安部计算机信息系统安全产品质量监督检测中心的检验,符合端设备隔离部
15、件安全技术要求,取得了计算机信息系统安全专用产品销售许可证;通过了国家保密局涉密信息系统安全保密测评中心的检测及鉴定,满足涉密系统对安全隔离与信息交换的技术要求,取得了涉密信息系统产品检测证书;还取得了军用信息安全产品B级认证证书。3. FerryWay产品基本功能3.1 基本功能特点FerryWay是上海金电网安科技有限公司具有自主知识产权的安全隔离产品。从最初的完全断开,到物理隔离,再到逻辑隔离,以及今天常讲的“安全隔离”(Security Isolation),安全隔离技术随着时代发展迅速演化。当前一般指两个或两个以上可路由的网络借助不可路由的协议来进行数据交换而达到隔离的目的,这与单机
16、系统间的隔离是有所区别的。安全隔离产品务必要满足现实应用当中的安全需求,对于电子政务建设而言,在实践中总结提炼出来的政策性的要求更应该被严格遵守。FerryWay正是这样一款产品,它从设计理念、功能实现等都紧密结合电子政务建设中的安全隔离需求。FerryWay的基本功能主要体现在这些方面:在保持内外网络有效隔离的基础上,实现了两网间安全的、受控的数据交换。数据交换由发起方以客户机身份与FerryWay连接,FerryWay再以客户机身份与数据交换的另一方建立连接,实现数据交换。系统中的数据交换业务可以灵活配置和快速定制,数据交换可以单向也可以双向。除了必须要开放的用于数据交换的特定应用通道外,
17、FerryWay不提供任何对外的服务。此外,独特的结构设计和所支持的双机热备功能,更在极大程度上保证了网络系统间信息交换的安全性和可靠性,增强了产品的竞争力。FerryWay具体的功能特点总结如下:u 网间安全隔离 FerryWay采用多机系统结构,以软硬件结合的方式,有效地隔断内外网络间直接的连接,防止信息无限制交换。u 协议中断,信息落地 FerryWay的内/外端机是内/外网络各自通用协议(即TCP/IP协议)的终点,一方的网络协议不可向对方延伸。所有过往的应用层信息都从TCP/IP协议包中剥离,被还原为应用层信息。u 受控的信息交换 由FerryWay连接的内外网络之间,所有信息交换活
18、动都在预先建立的有效安全通道上进行,这些协议通道借助严格的安全策略进行控制,因此能防范恶意攻击和敏感信息的泄漏。u 基于用户的访问控制 内外网络之间,只有合法用户的特定信息交换活动才允许通过。协议通道的建立、通信、断开,都是在严格的基于用户的访问控制之下进行的。u 防范各类攻击和信息泄漏 借助用户访问控制、安全协议通道的建立、安全策略的设定,FerryWay可以发现、过滤并阻塞各种已知和未知的攻击,特别是很多基于应用的攻击手段,例如Web脚本攻击、病毒和蠕虫等恶意代码,有效保护内部网络系统的安全性。与此同时,借助严格的内容控制,也可以防止内部敏感信息外泄。u 应用级的安全审计 借助预先设定的审
19、计策略,FerryWay可以对所有信息交换过程中出现的问题进行审计记录,便于及时获知“谁在何时做了何事”。综上所述,FerryWay一方面可以防止来自外部网络的恶意攻击,另一方面也能防止内部网络重要信息的泄漏,在保证安全性的前提下,最终实现了灵活的网间信息交换。3.2 支持的典型协议FerryWay支持电子政务系统中常见的基于TCP或UDP的各类主流应用协议,具体如下所示。协议名称可配置情况备注HTTP可用于访问外部、内部HTTP服务器HTTPS可用于访问外部、内部HTTPS服务器SMTP/POP3可用于访问外部、内部邮件服务器FTP可用于访问外部、内部FTP服务器Telnet可用于访问外部、
20、内部Telnet服务器MS-SQL Server可用于访问外部、内部SQL Server数据库服务器Oracle可用于访问外部、内部Oracle数据库服务器自定义应用协议可根据用户业务需求定制此外,针对某些网络系统中存在的其它数据库和其它类型的信息交换业务,FerryWay提供灵活的扩展和定制功能,能够快速方便地实现此类用户需求。4. FerryWay产品体系结构4.1 FerryWay “2+1”系统架构FerryWay “2+1”系统架构网闸产品,由内端机、外端机、数据迁移控制单元三部分组成。内端机和外端机具有独立的存储和运算单元,并具有独立总线。内外端机采用了经过精简加固的GoldenS
21、ec专用安全引擎,可为FerryWay系统提供全方位的保护。内外端机之间采用了具有互斥效果的数据迁移控制单元进行连接,其结构如图1所示:图1 FerryWay “2+1”系统模型内端机和外端机分别是内网和外网网络协议的终点。所有过往的应用层数据都从内网和外网的TCP/IP协议中剥离,被剥离的数据再通过数据迁移控制单元在内外端机之间进行传输。内端机与外端机之间采用专用传输隔离硬件和专用协议相连,从而阻断了任何从一端机攻击另外一端机的可能。由于数据迁移控制单元使用专用的私有协议与内外端机进行通信,且其驱动程序模块也是独立编写的,在这种情况下,即使有人试图通过代码分析洞悉FerryWay一端机的接口
22、,也无法通过控制单元攻击到另外一端机,也就无法攻击到另一端网络。4.2 FerryWay 三机三系统架构“2+1”架构网闸之间采用互斥访问的存储设备进行连接。该结构有其难以避免的缺陷:作为控制中心的仲裁系统只能承载在内端机上,仲裁系统是网络可达的,本身易受到来自网络的攻击,一旦内端机的访问权限非正常丧失,攻击者通过对内端机的渗透控制,很可能构建出不受控的通路,影响到隔离的效果。针对双机系统的问题,上海金电网安科技有限公司创造性地首创了三机系统的设计模型:一个与外网相连的外端机,一个与内网相连的内端机和一个介于两者之间独立的仲裁机,内端机和外端机通过专用硬件与仲裁机相连,这种结构模型如图2所示。
23、图2 FerryWay 三机三系统模型从上图可以看到,三机系统模型具有如下显著的特点:l 内端机和外端机分别是内网和外网网络协议的终点。所有过往的应用层信息都从内网和外网的网络协议(如TCP/IP)中剥离,被还原为应用层信息。这些信息再通过专用硬件和专用通信协议发送给仲裁系统。l 仲裁机对收到的应用层信息进行过滤检查,控制网络间传播的信息内容,同时能查杀恶意代码,如病毒等。l 仲裁机采用专用硬件和专用协议与内外端机相连,不会被任何人从内部或外部借助通用的网络协议到达,因此仲裁系统不会受到黑客的攻击。在三机系统这种独特的结构模型中,两端的信息流向按照严格的设定被加以控制,具体如图3所示。无论来自
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电网 FerryWay 安全 隔离 信息 交换 系统 白皮书

链接地址:https://www.31ppt.com/p-5016911.html