国保金泰安全隔离与信息交换系统(技术).ppt

国保金泰安全隔离与信息交换系统 典型应用 典型应用 北京市公安局交换平台系统 北京市交管局 国家工商总局信息系统应用 产品适用范围： 需要绝对单方向传递数据的单位 涉密政府机关 涉密科研单位 国家重要职能部门 军队及军工企业 安全隔离交换系统成功案例 中央某办公厅信息系统 国务院某办公厅信息系统 某警卫局内网信息系统 中组部内网信息系统 国家工商总局信息系统 国家审计总署信息系统 外交部信息系统 证监会信息系统 国家税务总局信息系统 国家海关总署信息系统 北京市住房公积金信息系统 北京市公安局信息系统 湖南省邮政局信息系统 …… 公司资质 产品资质 产品资质 谢谢！！ 物理隔离技术提出背景 国内涉密网络安全防护薄弱； 防火墙攻破率高; 国内信息安全专家充分论证； “九.五”、“十.五”国家863计划立项支持 国家保密局作出规定； 中央领导同志批准实施 国家政策支持 我国在2000年1月颁布的《计算机信息系统联网保密管理规定》中明确规定： “涉及国家机密的计算机信息系统，不得直接或间接的与国际互联网其他公共信息网相联接，必须实行物理隔离。” 中共中央办公厅在[2002]17号文件中明确指出： “电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离.” 中共中央保密委员会在中保委发『2003』4号文件中也明确指出： “涉密计算机信息系统必须与互联网实行物理隔离，严禁用处理国家秘密信息的计算机上互联网。” 物理隔离技术发展 第一代隔离技术――完全的隔离，网络是完完全全的处于信息孤岛状态，做到了完全的物理隔离。 第二代隔离技术――利用物理隔离卡，在客户端增加一块PCI卡，客户端硬盘或其他存储设备首先连接到该卡，然后再转接到主板上。 第三代隔离技术――实现集中数据采集，通过介质拷贝传输数据，利用缓冲的目的来完成隔离的实现，大大减缓了网络速度，失去了网络存在的价值。 第四代隔离技术是在总结了以前经验的基础上，采用物理链路断开，通过开关进行分时连接来完成数据交换，但仍然存在着众多缺陷。 第五代隔离技术已经实现了实时高速网络隔离，高效实现内外网数据交换，应用支持做到全透明。一般称为安全隔离与信息交换系统. 第五代隔离技术 第五代隔离技术是一种通过专用硬件使两个或者两个以上的网络在不连通的情况下，实现安全数据传输和资源共享的技术。它采用独特的硬件设计，能够显著地提高内部用户网络的安全强度。它的基本原理是：切断网络之间的通用协议连接，将数据包进行分解或重组为静态数据，然后对静态数据进行安全审查，包括网络协议检查和代码扫描等，确认后的安全数据流入内部单元，内部用户通过严格的身份认证机制获取所需数据。 国保金泰安全隔离与信息交换系统 1、阻断网络的直接连接，即在同一时刻内、外网之间不存在直接物理连接；2、阻断网络的互联网逻辑连接，即TCP/IP的协议必需被剥离，将原始数据通过P2P的非TCP/IP连接协议透过隔离设备传递； 3、任何数据都是通过两级移动代理的方式来完成，两级移动代理之间是物理隔离的；4、设备的传输机制具有不可编程的特性，传输的原始数据不具有攻击特性或对网络安全有害。 体系结构 安全隔离与信息交换系统 审查 主机 日志分析、计算 系统安全状态可视化 内端机 应用过滤 网络流过滤 应用认证 内容审核 审计日志 外端机 审计日志 系统 入侵检测 包过滤 防火墙 防病毒 系统总体安全政策、配套法规 系统配置管理 专用数据通道系统 文件密级标识检查 内容检查 工作原理 一、通过双系统达到内外信息分别处理 在国保金泰安全隔离与信息交换系统内有两套处理系统，我们称之为内端系统和外端系统。内端系统和外端系统是两套独立的系统板，各自都拥有自己的CPU、存储体和总线，并且在两套系统间除通过基于HRI技术的隔离交换卡外并不存在其他直接或间接的联系，内端系统用来处理内部网络的信息，包括内部请求、认证和权限控制等；外端系统用来处理外部网络的信息，如获取Internet资源等。 由于安全隔离系统拥有处理内外网信息的两套独立系统，并且在两套系统间并不存在任何网络连接。因此可以保障内部网络不会直接受到外部网络干扰。即来自外网的所有网络攻击信息都只对外端机起作用而无法穿透安全隔离系统到达内网。 双系统实现内外信息分别处理 内端机 外端机 自主开发隔离交换卡 工作原理 二、通过专有隔离交换卡达到信道控制 信道控制和信道隔离的好处在于： A. 通过对信道的隔离，保证了每条信道上数据流向可控. B. 通过对数据流向的控制，从硬件上保证了数据源位置和目的位置明确，保证了对数据安全检查的有效性。