宙斯盾物理隔离系统产品技术白皮书.pdf

宙斯盾物理隔离系统产品宙斯盾物理隔离系统产品 技术白皮书技术白皮书 福州宙斯盾信息技术有限公司福州宙斯盾信息技术有限公司 福州宙斯盾信息技术有限公司 宙斯盾物理隔离系统技术白皮书 http:/www. zsdinfo. Com tel23,87835029/39 2 第一章第一章 概述概述.3 1、当前网络安全的形势.3 第二章第二章 物理隔离技术介绍物理隔离技术介绍.3 1、技术背景.3 2、物理隔离技术对比.4 3、法律法规.5 第第 三三 章章 宙斯盾物理隔离系统产品介绍宙斯盾物理隔离系统产品介绍.6 1、功能需求.6 2、功能介绍.7 3、功能特点.7 4、产品分类.8 5、产品规格.9 第四章第四章 产品认证产品认证.10 1、产品认证.10 第五章第五章 宙斯盾物理隔离系统解决方案宙斯盾物理隔离系统解决方案.11 1、双网解决方案（双布线）.11 2、双网解决方案（单布线）.12 第六章第六章 结束语结束语.13 福州宙斯盾信息技术有限公司 宙斯盾物理隔离系统技术白皮书 http:/www. zsdinfo. Com tel23,87835029/39 3 第一章 概述 第一章 概述 1、当前网络安全的形势 1、当前网络安全的形势 由于黑客和病毒的存在，网络的延伸速度越快、扩展的范围越广，对于网络公司和 网络机房而言，造成财产损失和信息泄漏的可能性也就越大，另外，数据在传输中的安 全性对国家金融、政府、军队等用户而言起着重要的作用。我国用户使用的操作系统 以上都是-W，而现已发现，WIN95 和 WIN98 等都存在着将用户信息 发送到微软网站的“后门”而在没有源码的情形下，很难加强操作系统内核的安全性。 因此只能采用设计网络安全隔离的方式增加安全性。 我国政府对于网络安全问题十分重视，国家保密局计算机信息系统国际联网保密 管理规定要求“凡是涉及国家秘密的计算机信息系统与公共网络之间必须实行物理隔 离”。而我国一直沿袭的软件加密、签名认证、防火墙等普通的网络安全技术，显然无 法达到国家这一要求。 第二章 物理隔离技术介绍 第二章 物理隔离技术介绍 1、技术背景 1、技术背景 随着信息化的发展，保证安全的信息交流成为大家关注的焦点，各国政府都将信 息安全提到国防安全的高度， 我国政府对涉密信息网络的安全制定了明确规定和要求， 如计算机系统国际联网保密管理规定中第六条规定“涉及国家秘密的计算机信息 系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行物理隔 离”等等。随着政府上网、办公自动化和政务信息网的推进和建设，越来越多的涉密 部门都建立了计算机网络，由于这些网络都涉及大量的国家机密信息，在与其它系统 或公共网络联接时可能会造成泄密，因此在政府内建立内部网的工程中，采取物理隔 福州宙斯盾信息技术有限公司 宙斯盾物理隔离系统技术白皮书 http:/www. zsdinfo. Com tel23,87835029/39 4 离措施是必须考虑的一个重要环节。 物理隔离技术作为网络与信息安全技术的重要手段， 现在越来越受到业界的重视。 因为，通过物理隔离技术实施内外网物理隔离，在技术上可以确保： 在物理传导上使内外网络隔断，确保外网不能通过网络连接而侵入内部网；同时 防止内部网信息通过网络连接泄露到外部网。 在物理辐射上隔断内部网与外部网，确保内部网信息不会通过电磁辐射或耦合方 式泄露到外部网。 在物理存诸上隔断两个网络环境，对于断电后会遗失信息的部件，如内存、处理 器等暂存部件，要在网络转换时作清除处理，防止残留信息窜网；对于断电非逸失性 设备如磁带机、硬盘等存诸设备，内部网与外部网信息要分开存诸；严格限制软盘、 光盘等可移动介质的交差使用。 2、物理隔离技术对比 2、物理隔离技术对比 物理隔离手段 符合国家规定要求情况技术保障和优缺点 配置两台计算机、分 别连接内网和外网。 可靠，符合国家有关网 络安全的规定。 1、使用不便 2、网络维护难度大 3、增加投资成本 4、占用办公空间 使用一台计算机，通 过切换网络线进入 不同网络。 不可靠，不符合国家有 关网络安全的规定。 1、信息存储在计算机硬盘中，当连接 外网时，需要保密的信息就可能被 非法窃取和无意泄露。 2、使用不方便。 采用代理服务器技 术和防火墙技术。 逻辑隔离，不符合国家 有关网络安全的规定。 1、增加投资成本 2、不能实现物理隔离 购买专门的网络安 全计算机 可靠，符合国家有关网 络安全的规定 1、不利于使用现有计算机资源； 2、重新购置，价格高。 宙斯盾物理隔离系 统 可靠，符合国家有关网 络安全的规定。 1、实现一台计算机联接两个网络，内 外网物理隔离，保证内网绝对安 全； 2、节省投资； 3、使用方便，网络维护工作简易； 4、不占用其它空间。 福州宙斯盾信息技术有限公司 宙斯盾物理隔离系统技术白皮书 http:/www. zsdinfo. Com tel23,87835029/39 5 3、法律法规 3、法律法规 *计算机信息系统国际联网保密管理规定 （国家保密局国保发（计算机信息系统国际联网保密管理规定 （国家保密局国保发（1999）10 号）号） 第六条第六条 涉及国家秘密的计算机信息系统不得直接或间接地与国际互联网或其他公共信 息网连接，必须实行物理隔离。 *关于加强政府上网信息保密管理的通知 （国家保密局国保发（关于加强政府上网信息保密管理的通知 （国家保密局国保发（1999）4 号）号） 三、三、涉密信息网络必须与公共信息网实行物理隔离，在与公共信息网相连的信息设备上 不得存储、处理和传递国家秘密信息。 *涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法 （国家保密局国 保发（ 涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法 （国家保密局国 保发（1998）6 号）号） 第十六条第十六条 涉密系统不得直接或间接与国际联网，必须实行物理隔离。 *计算机系统保密管理暂行规定 （国家保密局国保发（计算机系统保密管理暂行规定 （国家保密局国保发（1998）1 号）号） 第十一条第十一条 国家秘密信息不得在与国际网络联网的计算机信息系统中存储、处理、传递。 信息产业部等有关部门也曾明文要求，国家机关慎用 PIII 处理器、WINDOWS98 操作系统及 SUN 服务器，或用之不能上网. 福州宙斯盾信息技术有限公司 宙斯盾物理隔离系统技术白皮书 http:/www. zsdinfo. Com tel23,87835029/39 6 第三章 宙斯盾物理隔离系统产品介绍 第三章 宙斯盾物理隔离系统产品介绍 1、功能需求 1、功能需求 用户需要在开机后选择将使用内网的安全环境，还是外网的开放环境，所以安全隔 离卡应该能够在开机时向用户提供选择界面。 通常可以由安全隔离卡自身提供的引导界 面 程序实现，该程序运行于 DOS 或者 Windows 等操作系统引导之前。 当用户选择完后，安全隔离卡需要执行内外网的环境切换，也就是说，引导界面程 序能够根据用户的选择通知隔离卡进行切换。如果更智能些，隔离卡应该能够判断当前 的网络环境，如果已经是所需要的网络环境则不必切换。 当启动时切换选择后，必须确保不能在 Windows 等操作系统的运行过程中被无意或 者恶意的切换，否则将导致硬盘数据不完整以及数据通过外网泄露，所以安全隔离卡需 要一个切换锁定装置。 当隔离卡在启动时切换完成后，必须有一个锁定装置保证不会再执行其它任何切换，而 在重新开机或者重新启动后，锁定装置自动解除，从而可以由隔离卡自身的引导界面程 序根据用户的选择重新进行切换。 美观需求。早期产品是从计算机后壳引出电线接一个电子开关到桌面，由用户随时 拨动开关，所以就很难做到美观。 方便性和智能化，体现在软件功能上。新式的隔离卡通常采用嵌入式引导程序，无 需用户安装，即插即用，根据用户的使用习惯提供仿 Windows 中文界面和智能提示，以 及个性化的启动图片。 软硬件的兼容性，由所采用的技术方案而定。好的隔离产品应该尽量采用成熟的标 准化技术，例如 PCI 总线技术。 福州宙斯盾信息技术有限公司 宙斯盾物理隔离系统技术白皮书 http:/www. zsdinfo. Com tel23,87835029/39 7 2、功能介绍 2、功能介绍 宙斯盾网络安全隔离卡安装在主板和硬盘之间， 采用高速数字芯片完全控制硬盘与 主板之间的数据通道，并控制网络连接以及通讯线路。使用继电器操作控制内部网络与 外部网络之间的切换以及对应的网络连接，在任何状态均使两块硬盘不存在数据共享， 确保两个网络环境实现完全物理隔离。彻底杜绝 Internet 黑客侵入内部网络区域，防 止内部信息泄露和被破坏。 用户可以根据工作需要自如方便地进行内部网和外部网的切 换。安装宙斯盾网络安全隔离卡（双硬盘型），需要增加一块硬盘，两块硬盘的数据线 首先连接到隔离卡，再通过隔离卡转接到主板，使一台计算机虚拟成两台相对独立的计 算机。 宙斯盾网络安全隔离卡是一个数据安全设备，它使用两个独立硬盘对应于两种网络 环境，一个硬盘对应于公共网(Internet 网)，另一个硬盘则对应于内部网（局域网）。 它们分别拥有自己独立的操作系统，并能通过各自的专用接口与网络连接。 安全隔离卡通过卡上的硬件逻辑控制器硬件逻辑控制器实现在物理层的访问控制， 其安全防护完全 符合物理隔离的要求。同时采用了硬件保护硬件保护来保证隔离卡本身的安全不被攻破。因此， 在工作状态下， 不论是远端的黑客还是坐在本机旁的其他人员都无法破解安全计算机的 防护。 宙斯盾安全选择器是宙斯盾安全选择器是一种多路信号切换设备，它与网络安全隔离卡配合使用。它具 有标准的 RJ45 接口， 入口与网络安全隔离卡相连， 出口分别与内外网络的集线器 （HUB） 相连。它检测网络安全隔离卡发出的特殊信号，识别出所连接的计算机，自动将其网络 线切换至相应的网络 HUB 上。 实现多台独立的安全计算机与内外两个网络的安全连接以 及自动切换，进一步提高了系统的安全性。并且解决了多网布线问题，可以让连接两个 网络的安全计算机只通过一条网络线即可与多网切换连接。对现存网络改进有较大帮 助。 3、功能特点： 3、功能特点： ? 宙斯盾隔离卡： 1) 支持实时在线切换： 切换过程中能够保留用户工作现场 （文档、 软件窗口等） ， 待下次切换回来时可直接使用。 福州宙斯盾信息技术有限公司 宙斯盾物理隔离系统技术白皮书 http:/www. zsdinfo. Com tel23,87835029/39 8 2) 兼容性好：支持 PATA、SATA 硬盘；支持 WINDOWS 系列、LINUX 等操作系统 3) 自动锁定：每次切换完成后，自动锁定通道，防止黑客等外部恶意切换 4) 多种切换模式：提供隔离卡开机引导界面切换和操作系统的桌面软件切换两 种模式。 5) 信息保护的完整性：在切换过程中对光软和 USB 等外部存储设备进行检测， 以及自动清空内存中的残留信息，防止信息泄密，切换过程中可提供密码保 护 6) 界面保护/MBR 保护：使产品更加稳定，防止病毒恶意的修改 MBR 区。 7) 支持 48Bit 超大容量硬盘：支持 48Bit LBA 传输模式，支持 120G 以上超大容 量硬盘。 8) 即插即用：即插即用，易于安装和维护。 9) 网络布线：支持单布线和双布线网络环境 ? 宙斯盾选择器： 1) 单布线网络线路可分时传送两套相互间物理隔离的网络信号， 无需重新布线， 有效解决终端信息点不足又不便布线的矛盾。 2) 与宙斯盾安全物理隔离卡配合使用，达到切换和使用内外网络的目的，从而 保护涉密网络和涉密数据的安全。 3) 各网络间电子线路没有任何通道和交叉，达到了物理隔离的目的。 4、产品分类： 4、产品分类： ? 宙斯盾隔离卡： 1) ZSD-32S PCI 系列隔离卡，包括 ZSD-32S PCI（电源）和 ZSD-32S PCI（数据 线）隔离卡。 2) ZSD-32S SATA 隔离卡。 3) ZSD-32S 超薄型系列隔离卡，包括 ZSD-32S 超薄型（电源）和 ZSD-32S 超薄型 （数据线）隔离卡。 4) ZSD-32S 单硬盘隔离卡。 5) ZSD-32S 三网系列隔离卡，包括 ZSD-32S 三网（电源）和 ZSD-32S 三网（数 据线）隔离卡。 6) ZSD-32S 开关隔离卡，包括 ZSD-32S 开关（电源）和 ZSD-32S 开关（数据线） 隔离卡。 ? 宙斯盾选择器： 根据选择器上网口数量的不同进行区分： 1) ZSDH-1082：24 个 RJ45 口，支持 8 个客户端，1U 标准机架结构； 2) ZSDH-1242：72 个 RJ45 口，支持 24 个客户端，2 U 标准机架结构。 福州宙斯盾信息技术有限公司 宙斯盾物理隔离系统技术白皮书 5、产品规格 5、产品规格 电源 环境 外观 总线 接口 切换 温度 尺寸 mm PCI 硬盘接口 网络接口 ZSD-32SPCI （电源） + 5V -1060 121721.5 32-bit/33/6 6MHz PCI Ultra ATA/100 SATA 300 MB/s 10 / 100 Base T , ( RJ45) 软件 ZSD-32SPCI （数据线） + 5V -1060 121881.5 32-bit/33/6 6MHz PCI Ultra ATA/100 10 / 100 Base T , ( RJ45) 软件 ZSD-32S SATA + 5V -1060 121841.5 32-bit/33/6 6MHz PCI SATA 300 MB/s 10 / 100 Base T , ( RJ45) 软件 ZSD-32S 超薄 （电源） + 5V -1060 121641.5 32-bit/33/6 6MHz PCI Ultra ATA/100 SATA 300 MB/s 10 / 100 Base T , ( RJ45) 软件 ZSD-32S 超薄 （数据线） + 5V -1060 121641.5 32-bit/33/6 6MHz PCI Ultra ATA/100 SATA 300 MB/s 10 / 100 Base T , ( RJ45) 软件 ZSD-32S 单 硬盘 + 5V -1060 121721.5 32-bit/33/6 6MHz PCI Ultra ATA/100 SATA 300 MB/s 10 / 100 Base T , ( RJ45) 软件 ZSD-32S 三网 （电源） + 5V -1060 121881.5 32-bit/33/6 6MHz PCI Ultra ATA/100 SATA 300 MB/s 10 / 100 Base T , ( RJ45) 软件 ZSD-32S 三网 （数据线） + 5V -1060 121881.5 32-bit/33/6 6MHz PCI Ultra ATA/100 10 / 100 Base T , ( RJ45) 软件 ZSD-32S 开关 （电源） + 5V -1060 83841.5 32-bit/33/6 6MHz PCI Ultra ATA/100 SATA 300 MB/s 10 / 100 Base T , ( RJ45) 硬件 ZSD-32S 开关 （数据线） + 5V -1060 104841.5 32-bit/33/6 6MHz PCI Ultra ATA/100 10 / 100 Base T , ( RJ45) 硬件 项目 型号 http:/www. zsdinfo. Com tel23,87835029/39 9 福州宙斯盾信息技术有限公司 宙斯盾物理隔离系统技术白皮书 第四章 产品认证 第四章 产品认证 1、产品认证 1、产品认证 公安部计算机信息系统安全专用产品销售许可证公安部计算机信息系统安全专用产品销售许可证 国家保密局安全产品检测证书：国家保密局安全产品检测证书： 宙斯盾网络安全隔离卡宙斯盾网络安全隔离卡 宙斯盾网络安全选择器宙斯盾网络安全选择器 http:/www. zsdinfo. Com tel23,87835029/39 10 福建省国家保密局推荐文件福建省国家保密局推荐文件 福建省公安厅推荐文件福建省公安厅推荐文件 福州宙斯盾信息技术有限公司 宙斯盾物理隔离系统技术白皮书 第五章 宙斯盾物理隔离系统解决方案 第五章 宙斯盾物理隔离系统解决方案 1、双网解决方案（双布线） 说明：说明