安全隔离网闸研究报告.doc

安全隔离与信息交换系统（安全隔离网闸） 研究报告 2009年8月 目 录 1 前言 3 2 基本概念和技术介绍 4 2.1 基本概念和应用场合 4 2.1.1 概述 4 2.1.2 用途 5 2.2 技术原理和基本功能 5 2.2.1 系统架构及工作原理 5 2.2.2 基本功能和安全性 6 2.3 同其他安全产品的比较与综合使用 7 2.3.1 安全隔离网闸与防火墙 7 2.3.2 安全隔离网闸和物理隔离卡 8 2.3.3 综合使用多种安全产品 8 3 知名公司和产品介绍 9 3.1 概述 9 3.2 天行网安 9 3.2.1 公司简介和产品资质 9 3.2.2 产品介绍——Topwalk-GAP V3.0 9 3.2.3 解决方案和成功案例 12 3.3 联想网御 13 3.3.1 公司简介 13 3.3.2 产品介绍——网御SIS-3000 14 3.3.3 典型用户 16 3.4 安盟华御 17 3.4.1 公司简介 17 3.4.2 产品介绍——SU-GAP3000 18 3.4.3 解决方案介绍 19 4 报告总结 20 1 前言 Michael Bobbin（《计算机安全杂志》主编）说，“保证一个系统真正安全的途径只有一个：断开网络，这也许正在成为一个真正的解决方案。” 在政府、国防、能源等很多重要领域，对数据机密性、网络平稳性、业务连续性要求极高，坚如磐石的安全保障尤其关键。市场需求催生了安全技术的创新，在上世纪90年代中期俄罗斯人Ry Jones首先提出“AirGap”隔离概念，然后，以色列研制成功物理隔离卡，实现网络之间的安全隔离；其后，美国Whale Communications公司和以色列SpearHead公司先后推出了e-Gap和NetGap产品，利用专有硬件实现两个网络在不连通的情况下数据的安全交换和资源共享，从而使安全隔离技术从单纯实现“网络隔离禁止交换”发展到“安全隔离和可靠交换”。目前，美国军方、重要政府部门均采用隔离技术保障信息安全，我国的安全隔离技术的发展同样经历了类似的过程。 2000年1月1日，国家保密局发布实施《计算机信息系统国际联网保密管理规定》明确要求“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相连，必须实行物理隔离”。该规定在互联网发展初期具有前瞻性地提出政府上网必须“物理隔离”，及时的把政府上网安全提到一个重要的高度，具有重大意义。并由此而发展出了安全隔离计算机、安全隔离卡等系列安全隔离安全产品。 2 基本概念和技术介绍 随着我国信息化建设的加快，信息安全已经成为各个行业关注的焦点，特别是电子政务、军队、能源等行业，在这些行业应用中，防火墙、防病毒、入侵检测、VPN、审计系统等安全产品都得到了较好的应用。但是从网络防御角度来看， 防御的深度愈深，网络就愈安全。对此，国内外提出了一种较新的技术，称为隔离技术，产品称为安全隔离与信息交换系统。这种产品的应用，能够从一定程度上更有效的保护内部网络。 从安全隔离与信息交换系统的组成来看，它主要由三部分组成，即外部处理系统、内部处理系统以及隔离硬件。 其基本原理是截断网络之间直接的通用协议连接，将数据包进行分解、重组为静态数据，并对静态数据进行安全审查。确认后的安全数据流入内部系统，内部用户通过严格的身份认证机制获取所需数据。重要的是，安全隔离与信息交换系统不单纯检查网络传输协议(TCP/IP)，还把(TCP/IP)协议头剥离掉，还原成第七层之上的数据。 以收电子邮件为例，外部的邮件服务器发起对隔离设备的非TCP/IP协议的数据连接，隔离设备将所有的协议剥离，将原始的数据写入存储介质。一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与外网的连接。转而发起对内网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向内网。内网收到数据后，立即进行TCP/IP的封装和应用协议的封装，并交给应用系统。这时内网电子邮件系统就收到了外网的电子邮件系统通过隔离设备转发的电子邮件。整个过程中，隔离设备都经历了数据的接受，存储和转发三个过程。 因此，它可作为防火墙、入侵检测的合理补充，保护核心网络的数据安全，形成纵深的防御体系中的重要一环。 从安全隔离与信息交换系统的应用上看，它可以应用到涉密网之间、安全域与非安全域之间、局域网与互联网之间（内网与外网之间）、办公网与业务网之间、电子政务的内网与专网之间、业务网与互联网之间等。 2.1 基本概念和应用场合 2.1.1 概述 安全隔离与信息交换系统又叫安全隔离网闸，简称网闸，英文名称是“GAP”。 安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。 安全隔离与信息交换系统