金电网安安全隔离技术.docx

1. 安全隔离技术概述1.1 信息安全隔离的重要性信息化是世界科学技术和社会发展的大趋势，国民经济和社会对于信息和信息系统的依赖性越来越大，加强信息安全保障工作的重要性日益凸现。党中央、国务院一贯高度重视信息安全问题，强调要从国家安全、社会稳定、经济发展的高度去认识信息安全问题的极端重要性。作为信息化建设重要组成部分的电子政务，也在各地轰轰烈烈地展开。促进信息共享，避免信息孤岛，为科学决策、监管控制、大众服务提供有效的平台是电子政务建设的重要目标之一。电子政务平台上承载着相当多的重要文件，这些文件信息一旦泄漏，将给国家和人民造成重大的损失。电子政务中的信息安全隔离系统的安全需要是：在对外部提供公共服务的同时，保证电子政务网络内部数据的安全性，并解决信息孤岛的问题。这也是当前我国电子政务建设中的重要课题。我国非常重视电子政务建设和信息安全保障工作。2003年9月，中共中央办公厅、国务院办公厅转发国家信息化领导小组关于加强信息安全保障工作的意见（简称27号文）明确提出要加强信息安全保障工作，实行信息安全等级保护的重要指导思想。在此思想指导下，关于信息安全等级保护工作的实施意见（公通字2004 66号）里明确了信息安全等级保护制度的基本内容，国家对信息安全产品的使用实行分等级管理。公通字2006 7号文件，即信息安全等级保护办法进一步明确了规定的系统安全保护划分。同时，在我国的20062020年国家信息化发展战略中，也把推行电子政务和建设国家信息安全保障体系作为我国未来15年的信息化发展的战略重点。电子政务建设将改善公共服务、加强社会管理、强化综合监管、完善宏观调控。随着积极防御思想的深入贯彻，信息安全隔离技术必将为我国信息化和信息安全的科学发展做出重要贡献。1.2 隔离技术的发展过程安全隔离技术是指在需要信息交换的情况下，实现网络隔离的信息安全的软硬件技术。随着电子政务建设安全隔离需求的发展，我国的隔离技术这几年来发展迅速，走过了以下历程：n 多套网络技术早期没有合适的设备可用，一些组织通过建立两套完全独立的网络来实现隔离，一套可对外连接，一套完全封闭于内部，两套网络互不相连。两套系统间无法做到信息共享，只能借助于人工或各自部署于两套网络中的独立的计算机来分别获取内部和外部信息。这种方式安全性较高，但两个网络间信息交换困难。n 隔离卡技术随后出现的隔离卡技术避免了使用多套计算机系统而带来的资源浪费和操作不便。它借助隔离卡对两个网络控制器分别供电，并将一台设备上的硬盘物理分割为两个分区，分别与内外网络相连。在不同的硬盘上各自安装独立的操作系统，形成两个完全独立的环境。操作者每次只能进入其中一个系统，要进行系统切换时，必须关机重启。采用单机隔离卡技术，解决了单机非实时信息交换的需求，但网间连续实时的业务依然无法开展，且对单机通信的信息泄漏问题没有有效的监控手段。n 传统网闸技术在安全隔离方面也曾出现过其它多种技术方案，比如在隔离卡建立起的两套系统间设立数据缓冲区，进行分时连接和切换，还有就是基于电子开关的方式进行隔离系统两端网络通断的控制。这类技术可以归结为传统网闸技术。传统网闸技术在一定程度上能够解决信息交换和隔离的需求，但在安全功能实现和系统性能上仍不能完全满足电子政务建设的安全要求。1.3 安全隔离与信息交换系统随着电子政务建设的不断深化发展，很多组织的内部网络与外部网络之间需要交换的信息越来越多，传统的方式很难兼顾安全隔离与信息交换两者的需求，更缺乏对信息安全的严格审查，极易导致攻击代码的流入和重要信息的泄漏。因此，在电子政务系统的内外网络之间迫切需要一种安全设备，它既能保证重要网络与其它网络安全隔离，又能实现网络之间有效的数据交换。目前，上海金电网安科技有限公司利用自身的技术优势和在安全体系结构方面的研究成果，经过长期研发的过程，推出了一种全新的、高效的、安全的网间隔离产品安全隔离与信息交换系统FerryWay V2.0（以下简称FerryWay）。该产品基于完整的安全体系结构设计理念，率先完善了安全隔离的概念。该产品采用多机系统架构，通过对信息进行落地、还原、扫描、过滤、防病毒、入侵检测、审计等一系列安全处理，有效防止黑客攻击、恶意代码和病毒渗入，同时防止内部机密信息的泄露，实现网间安全隔离和信息交换。上海金电网安科技有限公司的“安全隔离与信息交换系统 FerryWay V2.0”产品，通过了公安部计算机信息系统安全产品质量监督检测中心的检验，符合端设备隔离部件安全技术要求，取得了计算机信息系统安全专用产品销售许可证；通过了国家保密局涉密信息系统安全保密测评中心的检测及鉴定，满足涉密系统对安全隔离与信息交换的技术要求，取得了涉密信息系统产品检测证书；还取得了军用信息安全产品B级认证证书。2. FerryWay产品基本功能2.1 基本功能特点FerryWay是上海金电网安科技有限公司具有自主知识产权的安全隔离产品。从最初的完全断开，到物理隔离，再到逻辑隔离，以及今天常讲的“安全隔离”（Security Isolation），安全隔离技术随着时代发展迅速演化。当前一般指两个或两个以上可路由的网络借助不可路由的协议来进行数据交换而达到隔离的目的，这与单机系统间的隔离是有所区别的。安全隔离产品务必要满足现实应用当中的安全需求，对于电子政务建设而言，在实践中总结提炼出来的政策性的要求更应该被严格遵守。FerryWay正是这样一款产品，它从设计理念、功能实现等都紧密结合电子政务建设中的安全隔离需求。FerryWay的基本功能主要体现在这些方面：在保持内外网络有效隔离的基础上，实现了两网间安全的、受控的数据交换。数据交换由发起方以客户机身份与FerryWay连接，FerryWay再以客户机身份与数据交换的另一方建立连接，实现数据交换。系统中的数据交换业务可以灵活配置和快速定制，数据交换可以单向也可以双向。除了必须要开放的用于数据交换的特定应用通道外，FerryWay不提供任何对外的服务。此外，独特的结构设计和所支持的双机热备功能，更在极大程度上保证了网络系统间信息交换的安全性和可靠性，增强了产品的竞争力。FerryWay具体的功能特点总结如下：u 网间安全隔离 FerryWay采用多机系统结构，以软硬件结合的方式，有效地隔断内外网络间直接的连接，防止信息无限制交换。u 协议中断，信息落地 FerryWay的内/外端机是内/外网络各自通用协议（即TCP/IP协议）的终点，一方的网络协议不可向对方延伸。所有过往的应用层信息都从TCP/IP协议包中剥离，被还原为应用层信息。u 受控的信息交换 由FerryWay连接的内外网络之间，所有信息交换活动都在预先建立的有效安全通道上进行，这些协议通道借助严格的安全策略进行控制，因此能防范恶意攻击和敏感信息的泄漏。u 基于用户的访问控制 内外网络之间，只有合法用户的特定信息交换活动才允许通过。协议通道的建立、通信、断开，都是在严格的基于用户的访问控制之下进行的。u 防范各类攻击和信息泄漏 借助用户访问控制、安全协议通道的建立、安全策略的设定，FerryWay可以发现、过滤并阻塞各种已知和未知的攻击，特别是很多基于应用的攻击手段，例如Web脚本攻击、病毒和蠕虫等恶意代码，有效保护内部网络系统的安全性。与此同时，借助严格的内容控制，也可以防止内部敏感信息外泄。u 应用级的安全审计 借助预先设定的审计策略，FerryWay可以对所有信息交换过程中出现的问题进行审计记录，便于及时获知“谁在何时做了何事”。综上所述，FerryWay一方面可以防止来自外部网络的恶意攻击，另一方面也能防止内部网络重要信息的泄漏，在保证安全性的前提下，最终实现了灵活的网间信息交换。2.2 支持的典型协议FerryWay支持电子政务系统中常见的基于TCP或UDP的各类主流应用协议，具体如下所示。协议名称可配置情况备注HTTP可用于访问外部、内部HTTP服务器HTTPS可用于访问外部、内部HTTPS服务器SMTP/POP3可用于访问外部、内部邮件服务器FTP可用于访问外部、内部FTP服务器Teln