网神SecSIS 3600安全隔离及信息交换系统技术白皮书 V1.0.docVIP

网神SecSIS 3600安全隔离与信息交换系统技术白皮书 网御神州科技（北京）有限公司 目 录 1 概 述 1 2 产品简介 2 2.1 工作原理 2 2.2 产品组成 3 3 系统功能详述 3 3.1 丰富的应用模块 3 3.2 访问控制 3 3.3 地址绑定 4 3.4 内容检查 4 3.5 高安全的文件交换 4 3.6 内置的数据库同步模块 4 3.7 高可用设计 5 3.8 轻松的管理 5 3.9 传输方向控制 5 3.10 协议分析能力 5 3.11 完善的安全审计 5 3.12 强大的抗攻击能力 6 3.13 多样化的身份认证 6 3.14 负载均衡解决方案 6 4 产品技术优势 6 5 典型应用 7 5.1 安全邮件收发解决方案 7 5.2 数据库安全同步解决方案 8 5.3 安全网络访问解决方案 9 概 述 随着网络技术的不断应用和完善，Internet正在越来越多地渗透到社会的各个方面。一方面，企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展，人们的日常生活与网络的关系日益密切；另一方面，网络用户组成越来越多样化，出于各种目的的网络入侵和攻击越来越频繁。人们在享受互联网所带来的丰富、便捷的信息同时，也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。 传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要，但不可能完全解决网络间信息的安全交换问题，因为各种安全技术都有其局限性。为保护重要内部系统的安全，2000年1月，国家保密局发布实施《计算机信息系统国际互联网保密管理规定》，明确要求：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连，必须实行物理隔离。” 中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调：“政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离。” 在不同安全等级的网络及系统之间实施安全隔离是一个行之有效的安全保密措施，可切断信息泄漏的途径。最初的解决方案很简单，即通过人工的操作来实现。如下图所示： 在不同安全等级的网络中进行信息交换的时候，由指定人员将需要转移的数据拷贝到软盘等移动存储介质上，经过查病毒、内容检查等安全处理后，再复制到目标网络中。这种解决方案可实现网络的安全隔离，但数据的交换通过人来实现，工作效率低；安全性完全依赖于人的因素，可靠性无法保证。在数据量不大，交换不频繁的情况下，通过人工交换数据的确简单可行。然而，随着电子政务的开展，内外网交换数据的数量和频率呈几何量级上升，这种解决方案已经越来越无法满足用户的需要。如何保证信息在不同安全等级的网络间安全交换成为制约电子政务发展的瓶颈。 网神SecSIS 3600安全隔离与信息交换系统（简称：网闸）是新一代网络安全隔离产品。该产品采用专用硬件和模块化的工作组件设计，集成安全隔离、实时信息交换、协议分析、内容检测、访问控制，安全决策等多种安全功能为一体，适合部署于不同安全等级的网络间，在实现多个网络安全隔离的同时，实现高速的、安全的数据交换，提供可靠的信息交换服务。 网神SecSIS 3600网闸可广泛应用于各级政府机关、军队、公安、科研院校及民航、电力、石油、金融、证券、交通等网络环境，实现信息的安全交换。尤其适合于电子政务、网上工商、网上报税、网上报关、电子审批、政府信息系统管理等需要严格内外网隔离的应用环境。 产品简介 工作原理 网神SecSIS 3600安全隔离与信息交换系统的工作基于人工信息交换的操作模式，即由内外网主机模块分别负责接收来自所连接网络的访问请求，两模块间没有直接的物理连接，形成一个物理隔断，从而保证可信网和非可信网之间没有数据包的交换，没有网络连接的建立。在此前提下，通过专有硬件实现网络间信息的实时交换。这种交换并不是数据包的转发，而是应用层数据的静态读写操作，因此可信网的用户可以通过安全隔离与信息交换系统放心的访问非可信网的资源，而不必担心可信网的安全受到影响。 信息通过网闸传递需经过多个安全模块的检查，以验证被交换信息的合法性。当访问请求到达内外网主机模块时，首先由网闸实现TCP连接的终结，确保TCP/IP协议不会直接或通过代理方式穿透网闸；然后，内外网主机模块会依据安全策略对访问请求进行预处理，判断是否符合访问控制策略，并依据RFC或定制策略对数据包进行应用层协议检查和内容过滤，检验其有效载荷的合法性和安全性。一旦数据包通过了安全检查，内外网主机模块会对数据包进行格式化，将每个合法数据包的传输信息和传输数据分别转换成专有格式数据，存放在缓冲区等待被隔离交换模块处理。这种“静态”的数据形态不可执行，不依赖于任何通用协议，只能被网闸的内部处理机制识别及处理，