信息安全数据交换系统解决方案 .pdfVIP

信息安全数据交换系统解决方案

目录

安全数据交换系统

•需求分析

•产品简介

•功能特点

•技术优势

•典型应用

•用户价值

需求分析

云计算、虚拟化等大量现代新技术的运用所带来的边界模糊，传统安全防护边界难以确定；

无法有效防范云平台内部攻击、数据失泄密等非法行为。

核心安全网络需与其它业务系统交互业务数据，存在核心数据被篡改、伪造或重放的隐患。

大型云网络分布广泛，很难全面落实物理防范措施，易受到非法搭线接入或非法接入等攻

击。大量已建系统，存在大量网络边界，网络连接复杂，易出现误连误接、导致安全防护失

效的隐患；并且需部署大量各种各类边界防护设备，很难实现统一有效管理，存在错误设置

策略、导致安全防护失效、明通或业务中断等风险。

现有部署的逻辑隔离设备（如防火墙）不能有效防止应用层攻击、无法有效检测业务传输数

据的内容与格式，存在跨网网络攻击、网络病毒传播、数据失泄密的风险。

产品简介

产品简介

安全数据交换系统是一款以安全标记技术为核心，将隔离技术、密码技术与数据安全技术相

融合的安全设备，产品本身从系统、算法、软件、硬件、芯片全自主设计，完全知识产权，

并申报多项专利，能够满足可信技术要求、达到安全可控目的。

数据安全交换网关的设计以数据资产为核心，采用由内到外的网络安全架构，可以构建可信

的安全信息网络，保证数据传输过程不同级别数据的完整性、可用性、可信性和私密性；采

用应用转发技术、Web加速技术等多种技术，有效地帮助用户提升业务性能和可靠性。

应用本设备，结合诸如标记强访、数据交换总线、密码和自动化运维技术，以及与大数据、

态势感知技术的协同，可实现网络多级别传输过程中数据的完整性、可用性、可信性、私密

性和一致性的保证，提升网络抗攻击能力；从而构建主动免疫的可信计算架构、达到提供主

动防御的目的。

功能特点

•受控的数据交换：

提供多协议数据交换方式来实现数据摆渡，通过策略配置实现单向（或双向）访问控制和安

全过滤。

•强制访问控制模型：

支持安全标记协议和保密BLP和完整BIBA强制访问控制模型；可对数据结构进行检查，能

有效阻断已知、未知病毒及恶意代码等；支持或集成数字鉴权、加解密和数据签名和验签等

功能

•与态势感知平台联动：

提供与态势感知平台联动接口，系统能记录审计经过网关的所有活动，并将异常活动实时上

报到态势感知平台，进行流量的实时监测与异常告警。

•自身和整体防护能力：

支持发现、过滤并阻塞各种已知和未知攻击行为，同时对内部敏感信息外泄进行管控。

•高可用性：

支持多机热备和负载均衡功能，不同设备之间策略和配置同步。

•不同强度隔离模式：

支持物理隔离和逻辑隔离多种模式，包括单向光纤隔离、内置防火墙、安全标记分区。对于

单向隔离，应用循环纠错码、多路并行传输、冗余块备份传输等机制。

•多种跨安全域交换方式：

提供跨安全区域的数据隔离和交换服务(VLAN功能)，支持原始数据复制与分发，实现跨

VALN交换，支持组播和广播报文抑制，端口QoS配置等。

•安全集中管理：

支持统一的安全集中管理，提供可视化的操作界面，设备的配置、管理操作，都能在其上实

现。

技术优势

•

标记强制访问控制

兼容标准CIPSO协议，支持BLP、BIBA强制访问控制模型，保证云网络各安全域的机密性

和完整性。

•

基于标记的异构网络

信息安全网络架构需要定义边界，定义网关设备和网关功能，并通过在网关两端保持不同的

标记系统定义，从而形成实质上的异构网络，进一步提升整个系统的安全性。

•

核心资产标识

设备需要认证后才能访问网络，在标记系统中，所有认证设备都打上基于各自安全属性的独

一无二的标记，其使用只能在策略允许的范围内进行。

•

暗数据发现、拦截

对接入网络的核心资产（设备、敏感数据、基础网络服务、核心应用服务）进行标记标识，

各种非法标记数据都很容易被标记网络发现，从而更有效的支撑安全态势感知体系。

•

基于标记技术的微隔离

将应用数据打上相关标记，标记网关便能根据标记信息所携带的安全级别进行各种安全操

作，从而实现更有效的微隔离。

•

基于标记的主动防御

采用基于标记技术的SDS（软件定义安全）架构，与数字密码