联想网御安全隔离与信息单向导入系统技术白皮书.doc

联想网御安全隔离与信息单向导入系统产品白皮书Leadsec Uni-directional GAP V2.0 绝对的单向数据传输 防止涉密信息泄露 应用独立和非入侵性 高效、可靠数据传输目录1.产品介绍31.1产品概述31.2产品架构设计41.2.1硬件架构设计41.2.2软件系统设计41.3工作原理52.核心功能介绍72.1 信息单向导入功能72.1.1单向文件传输72.1.2单向数据库同步82.1.3单向邮件传输82.2系统安全控制功能92.2.1安全管理92.3.2传输控制92.3.3病毒检测102.3系统监控及日志审计报警功能102.3.1系统监控功能102.3.2日志审计102.3.3报警功能103产品特色113.1绝对单向无反馈传输113.2高可靠数据传输113.3全面的数据安全检测123.4应用独立和非入侵性124产品功能规格134.1基本功能134.2硬件规格145.运行环境146.典型应用146.1单向文件传输146.2单向数据库同步156.3涉密网络邮件接收161.产品介绍1.1产品概述对于涉密信息系统的保护向来受到国家的重视，2007年3月国家保密局和国务院信息化工作办公室联合颁布了电子政务保密管理指南（以下简称指南），指南中规定了电子政务涉密信息系统与电子政务非涉密信息系统的连接条件，指出当秘密级电子政务院涉密信息系统（或安全域）与互联网或其他公共信息网络物理隔离时，应同时满足电子政务非涉密信息系统（或安全域）与互联网或其他公共信息网络的逻辑隔离，可以采用“安全隔离与信息单向导入系统”将涉密信息网络与非涉密信息网络进行连接，数据仅能从非涉密信息网络流向涉密信息网络。该规定在政策层面解决了涉密信息网络与非涉密信息网络连接的问题，促进了电子政务信息化的发展，从而也促进了安全隔离与单向信息导入产品的完善和发展。为保证高密级别网络中的数据不能流向低密级网络，但低密级网络中的数据可以流向高密级网络(数据机密性要求)，彻底解决高密级网络信息泄露的问题，只有采用无反馈的单向传输技术。联想网御开发的安全隔离与信息单向导入系统采用了独特的“单向无反馈传输”技术，从物理链路层、传输层保证数据的绝对单向流动。同时系统采用了独创性的、先进的纠错编码技术、ASIC并行处理技术和MRP（多重冗余技术）保证系统的高可靠性、高容错性、高安全性和高稳定性。联想网御安全隔离与信息单向导入系统特别适合下述应用场景：l 无涉密网络到涉密网络的数据传输；l 低密级网络（安全域）向高密级网络（安全域）的数据传输；1.2产品架构设计1.2.1硬件架构设计联想网御安全隔离与信息单向导入系统采用“2+1”模型架构设计，即内网主机、外网主机加单向导入隔离部件。内外网主机系统采用专用设计的工控主板、高性能的硬件平台，保证产品性能稳定、质量可靠。单向导入隔离部件由两个通用的光传输模块，模块之间采用单根光纤连接组成。众所周知，光传输模块通过两根光纤完成通信，一根用于接收数据，一根用于发送数据，从物理上，即无法通过单根光纤实现既进行接受又进行发送数据。所以，联想网御的此种设计方案保证了数据的绝对单向无反馈传输。隔离交换模块基于专有的Leadsec ASIC安全隔离芯片和交换芯片，其中，Leadsec ASIC安全隔离芯片通过多线程并行固化处理将数据块转化为自有协议格式的数据包，交换芯片的交换子系统和开关控制子系统实现对数据的临时缓存和安全交换。硬件架构如下图所示：图1 联想网闸安全隔离与信息单向传输系统硬件架构1.2.2软件系统设计联想网御安全隔离与信息单向导入系统的软件系统可以抽象成三个子系统：单向传输容错控制接口、应用服务模块（单向文件传输、单向数据库同步、单向邮件传输、单向传输API接口）、系统管理平台，整个软件系统建立在联想网御通用安全开发平台VSP 基础上。软件系统架构如下图所示：图2联想网御安全隔离与信息单向传输系统架构图单向传输容错控制接口保证在单向无反馈通信环境中数据传输的完整性和可靠性。应用服务模块提供了基于单向传输的业务应用，共有四个子模块：单向文件传输、单向数据库同步、单向邮件传输和单向传输API接口。系统管理平台是系统配置和管理的接口，使用户能够通过该平台配置管理主机系统和业务应用系统，并提供启动或关闭病毒检测引擎接口。VSP（Versatile Secure Platform）安全平台是联想网御凭借在安全设备上的长期积累建立的专有抗DDoS内核的操作系统安全平台。操作系统固化于内外网主机系统的硬件中，不能被随意修改，保证系统平台的安全可靠。1.3工作原理信息单向导入技术的工作原理类似于“二极管”单向导电的特性，采用硬件架构设计使数据仅能从外网主机（非信任端）传输至内网主机（信任端），中间没有任何形式的反馈信号，所有需要“握手”确认的通信协议在信息单向导入系统中都会失去意义。由于没有“握手”确认信息，如何保证在接收端完整准确的重构源端数据是单向导入系统的关键技术。联想网御安全隔离与信息单向导入系统针对这种单向无反馈的环境，定义了私有通信协议对数据进行封装和传输，采用了具有自主产权、先进的前向纠错编码技术，同时采用了多种速率和流量控制方法，使得模块化的底层通信接口能灵活、可靠的处理不同业务的需求。联想网御通过这些关键技术保证了数据传输的完整性、可靠性和机密性。下面就针对数据容错关键技术进行详细的介绍：多级前向纠错编码技术在前向纠错传输系统中，要想获得低误码率，就必须采用具有较强纠错能力的编码系统。联想网御安全隔离与信息单向导入系统以实现保护涉密网络的信息安全和可靠性为方向，提出了适合单向网络通信的多级前向纠错编码、解码方案，如下图所示：图3 单向多级编码方案此方案中联想网御采用两次附加纠错码的多级前向纠错（FEC）编码技术，RS编码属于第一个FEC，188字节后附加16字节RS码，构成（204，188）RS码，这也可以称为外编码。第二个附加纠错码的FEC采用先进的数字喷泉编码，称为内编码，外编码和内编码结合一起，称之为级联编码。外编码解决内编码未能纠错的数据，增强了数据传输端到端的重构能力，提高了单向无反馈环境数据传输的可靠性。此单向多级前向纠错编码、解码方案有力的保障了数据在单向无反馈环境中数据的可靠传输，实现了联想网御安全隔离与信息单向导入系统的可靠数据传输。联想网御安全隔离与信息单向导入系统工作流程是：系统从非涉密网络抓取事先定义的要传输数据，外网主机系统经过协议还原、格式检查、内容过滤等动作，将安全数据重新封装成私有格式，传输至外网主机系统，为了控制数据能够正确发送至外网主机，联想网御采用“纠错自适应编码”技术和流控技术来保证发送数据的可靠性，外网主机系统接收到数据包后进行校验还原，最后根据预定义将 可靠数据发送至涉密网络的目标系统。流程图如下所示：图4联想网御安全隔离与信息导入系统工作流程图2.核心功能介绍2.1 信息单向导入功能2.1.1单向文件传输联想网御安全隔离与信息单向导入系统的文件单向传输功能是整个系统的基本功能，该系统只需要指定需要文件传输的源文件夹以及目的文件夹，系统就会实时同步增量文件。联想网御安全隔离与信息单向导入系统文件单向传输主要功能包含支持大量小文件及大文件的传输，支持重名策略，支持多级目录嵌套，支持不依赖于文件扩展名的文件格式检查以及病毒查杀功能。为提高文件传输的可靠性，单向文件传输系统提供一套精确定位文件是否正确传输到目的端功能，并且能帮助用户方便快捷确定丢失的文件以及重传丢失的文件。2.1.2单向数据库同步联想网御安全隔离与信息单向导入系统单向数据库同步提供ORACLE、SYBASE、DB2、MS SQLSERVER等常见数据库的单向同步。支持同种数据库或异种数据库之间的同步、支持粒度到字段级同步以及特殊的条件同步。由于联想网御安全隔离与信息单向导入系统无任何信息反馈，所以为提高单向数据库同步的可靠性，单向数据库同步设计了一套精确定位数据是否正确导入目的端的功能，并能帮助用户方便快捷进行确定是否丢失数据以及重传丢失数据，确保用户数据的完整性。单向数据库同步部署方便与系统与客户数据库之间可以达到无缝结合,即用户无需修改数据库的任何环境,就能达到单向同步的效果。单向数据库同步在性能上基本能达到实时同步，以满足客户需求。2.1.3单向邮件传输联想网御安全隔离与信息单向导入系统单向邮件传输功能提供稳定且高效的邮件单向导入和邮件过滤功能。邮件单向导入功能提供邮件从外部网络到内部网络的邮件单向传输功能.高效的邮件传输能够支撑大部分应用环境日常应用的需求.另外单向邮件传输模块会对每封邮件的相关信息进行记录,最大限度的保证了单向邮件导入功能的可靠性。邮件过滤功能提供了包括邮件地址过滤,邮件域名过滤,邮件内容过滤,邮件附件过滤和ip地址端口过滤.全方位的邮件过滤功能可以最大限度保证有害信息和敏感信息无法导入内部应用系统.在单向邮件传输功能设计之初就考虑到产品部署的易用性,当用户部署单向邮件导入系统时只需将本系统部署与原外部邮件服务器和内部邮件服务器之间,并指定好相关服务器的邮件网关即可,无需大规模迁移用户数据。2.2系统安全控制功能2.2.1安全管理首先，联想网御安全隔离与信息单向导入系统采用特定的管理接口进行管理，并且通过MAC地址和IP进行绑定的方式使用指定的终端进行管理，管理方式可为基于数字证书的WEB管理，也可以是SSH加密远程管理或本地串口管理。其次，联想网御安全隔离与信息单向导入系统对用户采用分级分权管理，对用户角色进行定义，不同角色的用户权限不同。比如配置管理员只能进行管理配置，日志审计员只能进行日志查看操作。2.3.2传输控制联想网御安全隔离与信息单向导入系统从数据链路层到应用层采用严格的数据传输控制：数据链路层和网络层通过MAC/IP绑定的方式实现特定的源和特定的目的通信，能够实现通信端口、通信时间段等的控制。在应用层，系统对所有通信数据进行数据还原，并进行相应的格式检查、内容过滤、条件同步、病毒检测、审计等操作，最终将安全的数据封装成私有协议格式进行单向无反馈传输。2.3.3病毒检测联想网御安全隔离与信息单向导入系统采用拥有专利的病毒引擎和国产专业病毒库，可对传输的数据进行高效精准的病毒检测；联想网御公司与江民科技建立联合实验室，为系统提供及时准确的病毒疫苗，提供不少于30万种的病毒特征，而且以每周不少于两次的频率发布新的病毒特征，用户可通过联想网御专用升级服务中心享受升级服务。2.3系统监控及日志审计报警功能2.3.1系统监控功能联想网御安全隔离与信息单向导入系统对整个系统的运行状态进行实时的监控，监控范围包括网络接口实时速率、CPU利用率、内存利用率等，并以报表的形式展现。2.3.2日志审计联想网御安全隔离与信息单向导入系统支持实时或定时的日志查看，日志可按任务分类查看。为了可靠的数据传输，联想网御安全隔离与信息单向导入系统提供了完整的数据传输统计功能，方便用户审计数据传输的完整性。另外，联想网御安全隔离与信息单向导入系统支持标准Syslog，可将日志信息传输至日志服务器。2.3.3报警功能为了及时向用户提醒数据传输过程中的出错信息，联想网御安全隔离与信息单向导入系统提供了控制台和邮件两种报警方式。控制台报警是在用户管理操作界面上实时的显示出错信息，信息详细至任务名、传输过程及出错原因，方便用户查找定位问题所在；邮件报警方式，只要用户能够配置接收邮件的地址，系统自动实时或定时将报警信息发送至用户指定邮箱，方便用户及时掌握系统运行状态。3产品特色3.1绝对单向无反馈传输联想网御安全隔离与信息单向导入系统从物理链路层和传输层两方面保证了数据的绝对单向无反馈传输：物理链路层：单向无反馈传输电路设计联想网御单向传输安全隔离模块由两个通用的光传输模块，模块之间采用单根光纤连接组成。由于从物理上，光传输模块即无法通过单根光纤实现既进行接受又进行发送数据，所以为数据的绝对单向无反馈传输提供了可靠的的保障；传输层：单向无反馈传输私有协议联想网御安全隔离与信息单向导入系统为适应单向无反馈的传输环境，开发设计了单向无反馈传输协议，对经过安全检查的纯数据进行重新封装，在容错控制技术的支撑下进行可靠的数据传输。联想网御安全的单向无反馈传输技术，保证了数据绝对的单向无反馈传输，防止任何形式的信息从信任网络泄露。3.2高可靠数据传输为保证数据的高可靠传输，联想网御安全隔离与信息单向导入系统在网络层采用通道检测技术，自动检查单向数据传输通道的连通性；在传输控制层采用了先进的容错控制技术，如单向多级前向纠错编码、解码技术，多级流量调控技术等，保障数据的可靠传输；在应用层系统对每种应用模块，采取数据备份、重传方案，数据中途丢失自动检测技术，以及严格的数据传输审计方案，实现数据传输可控、数据传输可查、数据中途丢失可恢复等高可靠的数据传输要求，保证了用户业务系统的高可用性、高可靠性。3.3全面的数据安全检测联想网御安全隔离与信息单向导入系统采用高效的病毒扫描和细粒度的内容过滤技术，打造数据安全专家。 智能的全文内容过滤引擎统一安全引擎：对隔离交换报文进行全文数据还原，对用户登录、命令请求、文本系统、协议格式等实施深度检测和过滤；智能黑白名单：针对文件名、命令、域名等内用进行严格控制，创建黑名单和白名单任务策略，拦截各种非法数据报文，保证数据的安全性；安全访问控制：针对数据库和文件数据，通过访问用户身份识别，保证数据不被非法访问和传递；分级分权管理：针对不同用户操作，系统提供了分级别管理机制， 根据最小化用户权限的原则，使不同用户管理配置不同的任务，最大程度保障用户使用的安全。 高效的病毒过滤技术自主研发的防病毒引擎，获得网络防病毒技术专利，及时准确的病毒检测疫苗，高效过滤多种形式的病毒；3.4应用独立和非入侵性联想网御安全隔离与信息单向导入系统多种应用模块，满足用户多种业务应用需求，保证了用户每种业务应用数据传输的独立性和机密性。联想网御安全隔离与信息单向导入系统的每种应用模块采用数字认证技术，从指定的源主动抓取数据传输至指定目的，不接受任何其他连接请求，数据传输过程中采用数字签名技术防止数据在传输过程中被篡改，从而保证了整个系统的不可入侵性。4产品功能规格4.1基本功能联想网御安全隔离与信息单向导入系统基本功能如下表所示：分类特性/功能详细描述产品架构系统架构采用 “2+1”系统架构，即由两个主机系统和一个单向导入隔离部件组成。主机系统采用VSP通用安全平台，单向导入隔离部件采用单向无反馈通信技术，防止任何形式的信息从信任网络泄露。 功能模块单向文件传输支持文件增量单向传输，支持不依赖于文件格式检查，支持单个文件大于10GB 的传输，支持大量小文件传输，支持文件发送接收统计，支持文件备份重传，支持病毒检测等；单向数据库同步支持ORACLE、SYBASE、DB2、MS SQLSERVER等主流数据库的同种或异种单向传输；支持字段级的数据库同步；支持条件同步；支持外键表同步；支持无主键表同步；支持数据冲突检测；支持数据备份重传功能，支持数据传输统计；支持病毒检测等；单向邮件传输支持邮件地址黑白名单策略；支持邮件正文、主题内容过滤；支持邮件域名地址过滤；支持邮件附件后缀名过滤，支持邮件附件大小控制，支持病毒检测，支持错误检测等；API接口模块支持C、JAVA等开发语言；提供外部API函数及说明；支持认证功能；病毒检测病毒检测全模块支持文件扫描和流式病毒扫描两种检测技术，采用自有知识产权的病毒防护引擎（包括病毒检测引擎和病毒分析引擎）；采用国内知名病毒厂商特征库，可检测不少于30万种病毒。管理方式灵活多样的管理方式支持HTTPS的Web方式管理，实现了远程管理信息加密传输，支持命令行方式本地串口管理或SSH远程管理，可通过命令行完成全部管理配置工作； 高安全的管理形式内/外网主机系统分别具有独立管理接口，管理员分级、分权管理，而不是采用低安全的管理方式。 可靠性数据纠错拥有技术专利的单向多级前向纠错编码、解码技术保证数据的可靠传输；数据备份支持传输数据备份功能，当数据传输失败时，以便重传；数据重传支持数据重传功能，系统自动检测未成功传输的数据，可手工重传；日志审计报警日志审计日志实现按功能模块分组管理，支持Syslog格式，实现对日志的浏览、查询等操作报警支持控制台、邮件报警功能，可实时或定时向用户发送报警功能；4.2硬件规格标题Leadsec UD-GAP 200Leadsec UD-GAP 2000硬件架构“2+1”+ASIC“2+1”+ASIC系统延时5ms5ms硬件延时1ns1ns机箱规格2U2U网络接口(电/光)8个10/100/1000M电口12个10/100/1000M电口和4个SFP管理口有有串口2 RJ452 RJ45冗余电源具备具备MTBF (小时)5万5万5.运行环境标题Leadsec UD-GAP 200Leadsec UD-GAP 2000重量10Kg10Kg尺寸L450W443H88.8mm工作温度045工作湿度5%-95% RH 不凝结存储温度-4070工作电压AC 100-240V5-3A,50-60Hz工作功率最大输出功率250W最大输出功率460W电气标准GB/T9813-