安全隔离与信息交换系统-北京锐安科技有限公司.ppt

北京锐安科技有限公司 RUN NetGap100安全隔离与信息交换系统 简称 网闸 产品简介 RUN NetGap100安全隔离与信息交换系统 产品简介 RUN NetGap100安全隔离与信息交换系统 简称 网闸 是北京锐安科技有限公司研制的新一代安全隔离产品 它通过对网络通信进行完整采集 深层解析 应用重建 实现内外网络在相互隔离的基础上进行数据交换 确保可靠安全的通信 RUN NetGap100安全隔离与信息交换系统 产品功能 安全隔离 本系统在网络通信中的协议 应用 内容等各个层面真正做到隔离 确保用户信息系统安全 信息交换 本系统实现HTTP FTP 邮件 数据库等内外网之间的安全交换 网络访问控制 可通过订制访问策略 精细地控制谁 网络对象 在什么情况下 场景 能够 允许或禁止 以何种方式访问 应用 谁 被访问对象 应用内容控制 本系统可控制HTTP FTP 邮件 数据库等应用内容的控制 并可自定义应用控制 RUN NetGap100安全隔离与信息交换系统 产品优势 高安全性 采用专有安全操作系统 没有TCP IP协议栈 所有功能由专有硬件及软件实现 系统剥离了易受攻击的TCP IP协议 保证系统的高安全性 高吞吐率 采用专用的流处理芯片 FPU 进行网络流的解析与重建 提升系统的吞吐能力 高便利性 完全在透明模式下工作 用户无需更改任何网络设置即可将安全隔离器与现有软硬件系统迅速集成 管理简便 管理后台与安全隔离器的通信采用底层私有网络协议 在不依赖IP地址的前提下实现设备自动发现 灵活定制 对于用户自己研发的 非标准通信 可借助我公司协议分析产品 从而轻松支持非标准协议 RUN NetGap100安全隔离与信息交换系统 应用方案 安全隔离与信息交换系统应用方案图 RUN NetGap100安全隔离与信息交换系统 产品特性 RUN NetGap100安全隔离与信息交换系统 产品功能 产品通过公安部检测 具有自主知识产权 采用自主 安全可靠的专有操作系统 纯透明处理 不影响网络拓扑 在确保安全隔离的情况下进行适度信息交换 内外网无法进行通畅的TCP IP会话 严格控制内外网的信息交换 强大的信息过滤功能 支持HTTP FTP POP3 SMTP通讯 支持常见数据库通讯 对支持的应用进行深度内容解析 可控制协议版本 命令 参数 内容等信息 GUI方式管理 安全的用户角色划分 完善的日志记录及查询审计功能 强大的扩展能力 RUN NetGap100安全隔离与信息交换系统 详细功能指标 RUN NetGap100安全隔离与信息交换系统 详细功能指标 RUN NetGap100安全隔离与信息交换系统 详细功能指标 RUN NetGap100安全隔离与信息交换系统 详细功能指标 RUN NetGap100安全隔离与信息交换系统 详细功能指标 RUN NetGap100安全隔离与信息交换系统 详细功能指标 RUN NetGap100安全隔离与信息交换系统 详细功能指标 RUN NetGap100安全隔离与信息交换系统 技术指标 RUN NetGap100安全隔离与信息交换系统 技术指标 RUN NetGap100安全隔离与信息交换系统 参考的安全规范及标准 UL1950 EN41003 AS NZS3260 AS NZS3548ClassA CSAClassA FCCClassA EN60555 2 VCCI ClassII RUN NetGap100安全隔离与信息交换系统 系统硬件指标 网络接口 三个10 100M自适应网卡接口 外设接口 终端接口规格 长 宽 高 481 2 449 5 88毫米 19 17 7 4英寸 材料 重负荷钢 指示器 LED电源指示灯 HDD硬盘指示灯 网卡状态指示灯 重量 9 8千克 21 8磅 工作温度 0 60 C 工作湿度 最大相对湿度5 95 不结露 机箱使用的电源 220V交流电 RUN NetGap100安全隔离与信息交换系统 硬件安装 图1RUN Net GAP背面板示意图 RUN NetGap100安全隔离与信息交换系统 硬件安装 图2网间隔离安装示意图 RUN NetGap100安全隔离与信息交换系统 硬件安装 图3服务器保护安装示意图 RUN NetGap100安全隔离与信息交换系统 详细技术参数 RUN NetGap100安全隔离与信息交换系统 产品功能参数 RUN NetGap100安全隔离与信息交换系统 产品功能参数 RUN NetGap100安全隔离与信息交换系统 产品疑问解答 物理隔离网闸需要哪些 许可证 答 根据我国计算机网络安全管理的规定 物理隔离网闸需要取得公安部 国家保密局和中国信息安全测评认证中心的安全产品的测评认证证书 在此基础上 进入军事领域 还需要军队测评认证中心的认证证书 物理隔离网闸是硬件还是软件解决方案 答 物理隔离网闸包含两个独立的主机系统和一套固态开关读写介质系统 属于硬件解决方案 但是物理隔离可以通过模块定制来满足行业个性化的需求 物理隔离网闸是不是防火墙的一种 答 物理隔离网闸不是防火墙的一种 就像路由器中也带有访问控制的功能一样 但路由器不是防火墙的一种 防火墙是检查设备 物理隔离网闸是隔离设备 防火墙的逻辑是在保证连接连通的情况下尽可能安全 物理隔离的逻辑则是如果不能保证安全的情况下则断开 物理隔离网闸与物理隔离卡是不是一回事 答 不是一回事 物理隔离卡是物理隔离的低级实现形式 一个物理隔离卡只能管一台个人计算机 甚至只可能在Windows环境下工作 每次切换都需要开关机一次 物理隔离网闸是物理隔离的高级实现形式 网闸可以管理整个网络 不需要开关机 网闸实现后 原则上不再需要物理隔离卡 RUN NetGap100安全隔离与信息交换系统 产品疑问解答 物理隔离网闸与安全隔离网闸是不是一回事 答 不是一回事 安全隔离是一种逻辑隔离 防火墙就是一种逻辑隔离 因此防火墙也是一种安全隔离 有些厂商对安全隔离增加了一些特点 如采用了双主机结构 但双主机之间却是通过包来转发的 无论双主机之间采用了多么严格的安全检查 但只要是包转发 就存在基于包的安全漏洞 存在对包的攻击 这在本质上同两个防火墙串联并无本质的差别 安全隔离网闸存在哪些形式 答 从目前已经发现的安全隔离网闸 包括以下类型 通过串口或并口来实现双主机之间的包转发 通过USB或1394或firewire 火线 等方式来实现双主机之间的包转发 甚至是直接通过以太线来实现双主机之间的包转发 以及其他任何形式的通信方式来实现双主机之间的包转发如专用ASIC开关电路 ATM Myri卡等 都是安全隔离网闸 但都不是物理隔离网闸 怎么在技术上区分物理隔离网闸和安全隔离网闸 答 物理隔离网闸的主机之间 没有包转发 只有文件 摆渡 没有协议存在 对固态介质只有读和写两个命令 安全隔离网闸的主机之间 是采用私有协议 专用协议 有的甚至是公有协议 来实现包转发 主机之间存在协议连接 怎么在技术上区分物理隔离网闸和安全信息交换系统 答 安全信息交换系统 从物理特征上作判断 通过以太协议将三套主机按系统方式连接起来 主机之间的通信可能采用了专用协议 也可能是私有协议 具有较强的深度检查功能 RUN NetGap100安全隔离与信息交换系统 产品疑问解答 是不是有开关就是物理隔离网闸 答 不是 开关只是离散脉冲的概念 光有离散脉冲并不是物理隔离 只要采用了TCP IP包的形式 IP包本身就是离散的 TCP可以控制保证在离散的基础上建立完整的连接 在FTP的应用中如断点续传技术就是一个例子 拨号上网掉线了 重新拨号 可以继续下载文件 通过开关将线路时断时通 并不妨碍物理的连接 如果没有TCP IP协议 只是读写文件 断开则导致读写失败 因此 物理隔离必须建立在无协议的文件 摆渡 的基础上 这种情况下的开关才是物理隔离 物理隔离网闸是指两个主机之间物理上是完全隔开的吗 答 不是 有些人认为 物理隔离是指两个主机之间没有物理连接 是空气断开的 两个主机之间物理上隔开 并不表示是物理隔离 例如 两个主机之间通过无线连网 尽管在物理上是断开的 两个主机是真空断开 也可能是连接的 如卫星通信 物理隔离网闸是指两个主机之间 没有基于物理的通信连接 到底什么是物理隔离网闸 答 物理隔离网闸 是利用双主机形式 从物理上来隔离阻断潜在攻击的连接 其中包括一系列的阻断特征 如没有通信连接 没有命令 没有协议 没有TCP IP连接 没有应用连接 没有包转发 只有文件 摆渡 对固态介质只有读和写两个命令 其结果是无法攻击 无法入侵 无法破坏 RUN NetGap100安全隔离与信息交换系统 产品疑问解答 物理隔离网闸阻断了所有的连接 怎么交换信息 答 计算机连网是为了信息交换和共享 但交换信息有很多种形式 连网只是其中的一种 在没有互联网的时代 信息照样交换 阻断了连接 完全可以通过其他形式来继续信息交换 大家比较能理解的方式 如从一台连网的计算机中 将数据拷贝复制 继续检查后 再拷贝复制到另外一台计算机中 其他的形式如复制 拷贝 数据摆渡 镜像 反射等 应用代理也阻断了直接连接 也是物理隔离网闸吗 答 不是 应用代理确实阻断了网络的直接连接 但不是物理隔离 因为应用代理虽说阻断了直接连接 但两个连接共享在一个主机上 存在入侵的威胁 当黑客通过扫描代理主机的操作系统漏洞 通过入侵代理主机本身 以代理主机为跳板 就可以利用建立代理主机和内部主机的连接来进行攻击 物理隔离网闸 采用了双主机结构 两级主机之间是阻断隔离的 即使黑客能够攻破外部主机 也无法入侵和攻击内部主机 物理隔离网闸可以抵抗哪些攻击 答 物理隔离网闸可以解决以下威胁 操作系统漏洞 入侵 基于TCP IP漏洞的攻击 基于协议漏洞的攻击 木马 基于隧道的攻击 基于文件的攻击 可选 等 这些是互联网目前存在的绝大部分主要威胁 RUN NetGap100安全隔离与信息交换系统 产品疑问解答 物理隔离网闸是如何防止操作系统漏洞的 答 双主机之间是物理阻断的 无连接的 因此 黑客不可能扫描内部网络的所有主机的操作系统漏洞 无法攻击内部 包括物理隔离网闸的内部主机 物理隔离网闸是如何防止网络入侵的 答 物理隔离网闸的主机之间 无法建立连接 无法入侵 物理隔离网闸是如何抵抗基于TCP IP漏洞的攻击的 答 物理隔离网闸的外部主机把TCP IP协议全部剥离 以原始数据方式进行 摆渡 因此 无法基于TCP IP漏洞来进行攻击 同样 也无法基于UDP ICMP ARP等协议来进行攻击 物理隔离网闸是如何抵抗基于协议漏洞的攻击的 答 物理隔离网闸的外部主机 剥离了应用协议 以原始数据方式进行 摆渡 因此 无法基于应用协议的漏洞来进行攻击 物理隔离网闸是如何防止木马攻击的 答 物理隔离网闸阻断了网络的所有连接 因此 没有OSI模型的link层 没有TCP UDP ICMP ARP等协议 等于把木马变成了死马 因此对木马攻击是免疫的 无论是已知的还是未知的木马 RUN NetGap100安全隔离与信息交换系统 产品疑问解答 物理隔离网闸是如何防止基于隧道的攻击 答 因为没有连接 因此无法建立隧道攻击 物理隔离网闸是如何防止基于文件的攻击 答 物理隔离网闸在理论上是完全可以防止基于文件的攻击 如病毒等 病毒一般依附在高级文件格式上 低级文件格式则不会有病毒 因此进行文件 摆渡 的时候 可以限制文件的类型 如只有文本文件才可以通过 摆渡 这样就不会有病毒 但用户有时候会不方便 因此 定义为可选 另外一种方式 是剥离重组方式 剥离高级格式 就消除了病毒的载体 重组后的文件 不会再有病毒 这种方式会导致效率的下降 一些潜在的危险的格式可能会被禁止 导致一些不方便 因此是可选 物理隔离网闸是中国特有的吗 答 不是 美国 以色列 俄罗斯等国家很早就规定涉密网络要采用物理隔离 俄罗斯的RyJones 以色列的BukyCarmeli EladBaron DanielSteiner等人都是该领域的先驱 后者现在美国开公司 目前最大的物理隔离公司当属美国的Whalecommunications公司 Spearhead公司也不小 RUN NetGap100安全隔离与信息交换系统 产品疑问解答 物理隔离网闸有哪些政策规定 答 根据我国2000年1月1日起颁布实施的 计算机信息系统国际联网保密管理规定 第二章保密制度第六条的规定 涉及国家秘密的计算机信息系统 不得直接或间接地与国际互联网或其它公共信息网络相连接 必须实行物理隔离 涉密网络必须在物理隔离的基础上实现WWW浏览和自由收发E mail 各级政府机关和涉密单位 必须将已建成的办公局域网同Inter或上一级专网实行物理隔离 正在建设的电子政务网络必须实现物理隔离 除了党政军外 电力 铁道 金融 银行 证券 保险 税务 海关 水利 交通 民航 社保 石化等行业部门 要求在物理隔离的条件下实现安全的数据库数据交换 如国家经贸委令第30号 电网和电厂计算机监控系统及调度数据网络安全防护规定 建立健全电力调度系统信息安全防护体系 将电网和电厂计算机监控系统与管理信息系统及办公自动化系统有效隔离 将调度专用数据网络与综合信息网络及外部因特网物理隔离 确保电网调度通讯系统安全 畅通 又如中国证监会颁布的 证券经营机构营业部信息系统技术管理规范 要求 采用硬三层网络结构 内 外网物理隔离 实现证券营业部行情网 交易网和办公网的隔离 系统安全 保密性高 其他行业和部门纷纷颁布建设规范和管理办法 要求使用物理隔离 RUN NetGap100安全隔离与信息交换系统 产品疑问解答 物理隔离网闸的速度很慢 答