联想网御安全隔离与信息单向导入系统技术白皮书

联想网御安全隔离与信息单向导入系统联想网御安全隔离与信息单向导入系统 产品白皮书产品白皮书 Leadsec Uni directional GAP V2 0 绝对的单向数据传输绝对的单向数据传输 防止涉密信息泄露防止涉密信息泄露 应用独立和非入侵性应用独立和非入侵性 高效 可靠数据传输高效 可靠数据传输 目录目录 1 产品介绍 3 1 1 产品概述 3 1 2 产品架构设计 4 1 2 1 硬件架构设计 4 1 2 2 软件系统设计 4 1 3 工作原理 5 2 核心功能介绍 7 2 1 信息单向导入功能 7 2 1 1 单向文件传输 7 2 1 2 单向数据库同步 8 2 1 3 单向邮件传输 8 2 2 系统安全控制功能 9 2 2 1 安全管理 9 2 3 2 传输控制 9 2 3 3 病毒检测 10 2 3 系统监控及日志审计报警功能 10 2 3 1 系统监控功能 10 2 3 2 日志审计 10 2 3 3 报警功能 10 3 产品特色 11 3 1 绝对单向无反馈传输 11 3 2 高可靠数据传输 11 3 3 全面的数据安全检测 12 3 4 应用独立和非入侵性 12 4 产品功能规格 13 4 1 基本功能 13 4 2 硬件规格 14 5 运行环境 14 6 典型应用 14 6 1 单向文件传输 14 6 2 单向数据库同步 15 6 3 涉密网络邮件接收 16 1 产品介绍产品介绍 1 1 产品概述产品概述 对于涉密信息系统的保护向来受到国家的重视 2007 年 3 月国家保密局和 国务院信息化工作办公室联合颁布了 电子政务保密管理指南 以下简称指南 指南中规定了电子政务涉密信息系统与电子政务非涉密信息系统的连接条件 指出当秘密级电子政务院涉密信息系统 或安全域 与互联网或其他公共信息 网络物理隔离时 应同时满足电子政务非涉密信息系统 或安全域 与互联网 或其他公共信息网络的逻辑隔离 可以采用 安全隔离与信息单向导入系统 将涉密信息网络与非涉密信息网络进行连接 数据仅能从非涉密信息网络流向 涉密信息网络 该规定在政策层面解决了涉密信息网络与非涉密信息网络连接 的问题 促进了电子政务信息化的发展 从而也促进了安全隔离与单向信息导 入产品的完善和发展 为保证高密级别网络中的数据不能流向低密级网络 但低密级网络中的数 据可以流向高密级网络 数据机密性要求 彻底解决高密级网络信息泄露的问 题 只有采用无反馈的单向传输技术 联想网御开发的安全隔离与信息单向导 入系统采用了独特的 单向无反馈传输 技术 从物理链路层 传输层保证数 据的绝对单向流动 同时系统采用了独创性的 先进的纠错编码技术 ASIC 并 行处理技术和 MRP 多重冗余技术 保证系统的高可靠性 高容错性 高安全 性和高稳定性 联想网御安全隔离与信息单向导入系统特别适合下述应用场景 无涉密网络到涉密网络的数据传输 低密级网络 安全域 向高密级网络 安全域 的数据传输 1 2 产品架构设计产品架构设计 1 2 1 硬件架构设计硬件架构设计 联想网御安全隔离与信息单向导入系统采用 2 1 模型架构设计 即内网 主机 外网主机加单向导入隔离部件 内外网主机系统采用专用设计的工控主 板 高性能的硬件平台 保证产品性能稳定 质量可靠 单向导入隔离部件由两个通用的光传输模块 模块之间采用单根光纤连接 组成 众所周知 光传输模块通过两根光纤完成通信 一根用于接收数据 一 根用于发送数据 从物理上 即无法通过单根光纤实现既进行接受又进行发送 数据 所以 联想网御的此种设计方案保证了数据的绝对单向无反馈传输 隔离交换模块基于专有的 Leadsec ASIC 安全隔离芯片和交换芯片 其中 Leadsec ASIC 安全隔离芯片通过多线程并行固化处理将数据块转化为自有协议 格式的数据包 交换芯片的交换子系统和开关控制子系统实现对数据的临时缓 存和安全交换 硬件架构如下图所示 图 1 联想网闸安全隔离与信息单向传输系统硬件架构 1 2 2 软件系统设计软件系统设计 联想网御安全隔离与信息单向导入系统的软件系统可以抽象成三个子系统 单向传输容错控制接口 应用服务模块 单向文件传输 单向数据库同步 单 向邮件传输 单向传输 API 接口 系统管理平台 整个软件系统建立在联想 网御通用安全开发平台 VSP 基础上 软件系统架构如下图所示 图 2 联想网御安全隔离与信息单向传输系统架构图 单向传输容错控制接口保证在单向无反馈通信环境中数据传输的完整性和 可靠性 应用服务模块提供了基于单向传输的业务应用 共有四个子模块 单向文 件传输 单向数据库同步 单向邮件传输和单向传输 API 接口 系统管理平台是系统配置和管理的接口 使用户能够通过该平台配置管理 主机系统和业务应用系统 并提供启动或关闭病毒检测引擎接口 VSP Versatile Secure Platform 安全平台是联想网御凭借在安全设备上的 长期积累建立的专有抗 DDoS 内核的操作系统安全平台 操作系统固化于内外 网主机系统的硬件中 不能被随意修改 保证系统平台的安全可靠 1 3 工作原理工作原理 信息单向导入技术的工作原理类似于 二极管 单向导电的特性 采用硬 件架构设计使数据仅能从外网主机 非信任端 传输至内网主机 信任端 中 间没有任何形式的反馈信号 所有需要 握手 确认的通信协议在信息单向导 入系统中都会失去意义 由于没有 握手 确认信息 如何保证在接收端完整准确的重构源端数据 是单向导入系统的关键技术 联想网御安全隔离与信息单向导入系统针对这种 单向无反馈的环境 定义了私有通信协议对数据进行封装和传输 采用了具有 自主产权 先进的前向纠错编码技术 同时采用了多种速率和流量控制方法 使得模块化的底层通信接口能灵活 可靠的处理不同业务的需求 联想网御通 过这些关键技术保证了数据传输的完整性 可靠性和机密性 下面就针对数据 容错关键技术进行详细的介绍 多级前向纠错编码技术多级前向纠错编码技术 在前向纠错传输系统中 要想获得低误码率 就必须采用具有较强纠错能 力的编码系统 联想网御安全隔离与信息单向导入系统以实现保护涉密网络的 信息安全和可靠性为方向 提出了适合单向网络通信的多级前向纠错编码 解 码方案 如下图所示 图 3 单向多级编码方案 此方案中联想网御采用两次附加纠错码的多级前向纠错 FEC 编码技术 RS 编码属于第一个 FEC 188 字节后附加 16 字节 RS 码 构成 204 188 RS 码 这也可以称为外编码 第二个附加纠错码的 FEC 采用先进的数字喷泉 编码 称为内编码 外编码和内编码结合一起 称之为级联编码 外编码解决 内编码未能纠错的数据 增强了数据传输端到端的重构能力 提高了单向无反 馈环境数据传输的可靠性 此单向多级前向纠错编码 解码方案有力的保障了数据在单向无反馈环境 中数据的可靠传输 实现了联想网御安全隔离与信息单向导入系统的可靠数据 传输 联想网御安全隔离与信息单向导入系统工作流程是 系统从非涉密网络抓 取事先定义的要传输数据 外网主机系统经过协议还原 格式检查 内容过滤 等动作 将安全数据重新封装成私有格式 传输至外网主机系统 为了控制数 据能够正确发送至外网主机 联想网御采用 纠错自适应编码 技术和流控技 术来保证发送数据的可靠性 外网主机系统接收到数据包后进行校验还原 最 后根据预定义将 可靠数据发送至涉密网络的目标系统 流程图如下所示 图 4 联想网御安全隔离与信息导入系统工作流程图 2 核心功能介绍核心功能介绍 2 1 信息单向导入功能信息单向导入功能 2 1 1 单向文件传输单向文件传输 联想网御安全隔离与信息单向导入系统的文件单向传输功能是整个系统的 基本功能 该系统只需要指定需要文件传输的源文件夹以及目的文件夹 系统 就会实时同步增量文件 联想网御安全隔离与信息单向导入系统文件单向传输主要功能包含支持大 量小文件及大文件的传输 支持重名策略 支持多级目录嵌套 支持不依赖于 文件扩展名的文件格式检查以及病毒查杀功能 为提高文件传输的可靠性 单向文件传输系统提供一套精确定位文件是否 正确传输到目的端功能 并且能帮助用户方便快捷确定丢失的文件以及重传丢 失的文件 2 1 2 单向数据库同步单向数据库同步 联想网御安全隔离与信息单向导入系统单向数据库同步提供 ORACLE SYBASE DB2 MS SQLSERVER 等常见数据库的单向同步 支持 同种数据库或异种数据库之间的同步 支持粒度到字段级同步以及特殊的条件 同步 由于联想网御安全隔离与信息单向导入系统无任何信息反馈 所以为提高 单向数据库同步的可靠性 单向数据库同步设计了一套精确定位数据是否正确 导入目的端的功能 并能帮助用户方便快捷进行确定是否丢失数据以及重传丢 失数据 确保用户数据的完整性 单向数据库同步部署方便与系统与客户数据库之间可以达到无缝结合 即用 户无需修改数据库的任何环境 就能达到单向同步的效果 单向数据库同步在性 能上基本能达到实时同步 以满足客户需求 2 1 3 单向邮件传输单向邮件传输 联想网御安全隔离与信息单向导入系统单向邮件传输功能提供稳定且高效 的邮件单向导入和邮件过滤功能 邮件单向导入功能提供邮件从外部网络到内部网络的邮件单向传输功能 高 效的邮件传输能够支撑大部分应用环境日常应用的需求 另外单向邮件传输模块 会对每封邮件的相关信息进行记录 最大限度的保证了单向邮件导入功能的可靠 性 邮件过滤功能提供了包括邮件地址过滤 邮件域名过滤 邮件内容过滤 邮件 附件过滤和 ip 地址端口过滤 全方位的邮件过滤功能可以最大限度保证有害信息 和敏感信息无法导入内部应用系统 在单向邮件传输功能设计之初就考虑到产品部署的易用性 当用户部署单向 邮件导入系统时只需将本系统部署与原外部邮件服务器和内部邮件服务器之间 并指定好相关服务器的邮件网关即可 无需大规模迁移用户数据 2 2 系统安全控制功能系统安全控制功能 2 2 1 安全管理安全管理 首先 联想网御安全隔离与信息单向导入系统采用特定的管理接口进行管 理 并且通过 MAC 地址和 IP 进行绑定的方式使用指定的终端进行管理 管理 方式可为基于数字证书的 WEB 管理 也可以是 SSH 加密远程管理或本地串口 管理 其次 联想网御安全隔离与信息单向导入系统对用户采用分级分权管理 对用户角色进行定义 不同角色的用户权限不同 比如配置管理员只能进行管 理配置 日志审计员只能进行日志查看操作 2 3 2 传输控制传输控制 联想网御安全隔离与信息单向导入系统从数据链路层到应用层采用严格的 数据传输控制 数据链路层和网络层通过 MAC IP 绑定的方式实现特定的源和特定的目的 通信 能够实现通信端口 通信时间段等的控制 在应用层 系统对所有通信数据进行数据还原 并进行相应的格式检查 内容过滤 条件同步 病毒检测 审计等操作 最终将安全的数据封装成私有 协议格式进行单向无反馈传输 2 3 3 病毒检测病毒检测 联想网御安全隔离与信息单向导入系统采用拥有专利的病毒引擎和国产专 业病毒库 可对传输的数据进行高效精准的病毒检测 联想网御公司与江民科技建立联合实验室 为系统提供及时准确的病毒疫 苗 提供不少于 30 万种的病毒特征 而且以每周不少于两次的频率发布新的病 毒特征 用户可通过联想网御专用升级服务中心享受升级服务 2 3 系统监控及日志审计报警功能系统监控及日志审计报警功能 2 3 1 系统监控功能系统监控功能 联想网御安全隔离与信息单向导入系统对整个系统的运行状态进行实时的 监控 监控范围包括网络接口实时速率 CPU 利用率 内存利用率等 并以报 表的形式展现 2 3 2 日志审计日志审计 联想网御安全隔离与信息单向导入系统支持实时或定时的日志查看 日志 可按任务分类查看 为了可靠的数据传输 联想网御安全隔离与信息单向导入 系统提供了完整的数据传输统计功能 方便用户审计数据传输的完整性 另外 联想网御安全隔离与信息单向导入系统支持标准 Syslog 可将日志信息传输至 日志服务器 2 3 3 报警功能报警功能 为了及时向用户提醒数据传输过程中的出错信息 联想网御安全隔离与信 息单向导入系统提供了控制台和邮件两种报警方式 控制台报警是在用户管理操作界面上实时的显示出错信息 信息详细至任 务名 传输过程及出错原因 方便用户查找定位问题所在 邮件报警方式 只要用户能够配置接收邮件的地址 系统自动实时或定时 将报警信息发送至用户指定邮箱 方便用户及时掌握系统运行状态 3 产品特色产品特色 3 1 绝对单向无反馈传输绝对单向无反馈传输 联想网御安全隔离与信息单向导入系统从物理链路层和传输层两方面保证 了数据的绝对单向无反馈传输 物理链路层 单向无反馈传输电路设计 联想网御单向传输安全隔离模块由两个通用的光传输模块 模块之间采用 单根光纤连接组成 由于从物理上 光传输模块即无法通过单根光纤实现既进 行接受又进行发送数据 所以为数据的绝对单向无反馈传输提供了可靠的的保 障 传输层 单向无反馈传输私有协议 联想网御安全隔离与信息单向导入系统为适应单向无反馈的传输环境 开 发设计了单向无反馈传输协议 对经过安全检查的纯数据进行重新封装 在容 错控制技术的支撑下进行可靠的数据传输 联想网御安全的单向无反馈传输技术 保证了数据绝对的单向无反馈传输 防止任何形式的信息从信任网络泄露 3 2 高可靠数据传输高可靠数据传输 为保证数据的高可靠传输 联想网御安全隔离与信息单向导入系统在网络 层采用通道检测技术 自动检查单向数据传输通道的连通性 在传输控制层采 用了先进的容错控制技术 如单向多级前向纠错编码 解码技术 多级流量调 控技术等 保障数据的可靠传输 在应用层系统对每种应用模块 采取数据备份 重传方案 数据中途丢失 自动检测技术 以及严格的数据传输审计方案 实现数据传输可控 数据传输 可查 数据中途丢失可恢复等高可靠的数据传输要求 保证了用户业务系统的 高可用性 高可靠性 3 3 全面的数据安全检测全面的数据安全检测 联想网御安全隔离与信息单向导入系统采用高效的病毒扫描和细粒度的内 容过滤技术 打造数据安全专家 智能的全文内容过滤引擎 统一安全引擎 对隔离交换报文进行全文数据还原 对用户登录 命令请 求 文本系统 协议格式等实施深度检测和过滤 智能黑白名单 针对文件名 命令 域名等内用进行严格控制 创建黑名 单和白名单任务策略 拦截各种非法数据报文 保证数据的安全性 安全访问控制 针对数据库和文件数据 通过访问用户身份识别 保证数 据不被非法访问和传递 分级分权管理 针对不同用户操作 系统提供了分级别管理机制 根据最 小化用户权限的原则 使不同用户管理配置不同的任务 最大程度保障用户使 用的安全 高效的病毒过滤技术 自主研发的防病毒引擎 获得网络防病毒技术专利 及时准确的病毒检测 疫苗 高效过滤多种形式的病毒 3 4 应用独立和非入侵性应用独立和非入侵性 联想网御安全隔离与信息单向导入系统多种应用模块 满足用户多种业务 应用需求 保证了用户每种业务应用数据传输的独立性和机密性 联想网御安全隔离与信息单向导入系统的每种应用模块采用数字认证技术 从指定的源主动抓取数据传输至指定目的 不接受任何其他连接请求 数据传 输过程中采用数字签名技术防止数据在传输过程中被篡改 从而保证了整个系 统的不可入侵性 4 产品功能规格产品功能规格 4 1 基本功能基本功能 联想网御安全隔离与信息单向导入系统基本功能如下表所示 分类分类特性特性 功能功能 详细描述详细描述 产品架 构 系统架构 采用 2 1 系统架构 即由两个主机系统和一个单向导入隔离部件组成 主机系统 采用 VSP 通用安全平台 单向导入隔离部件采用单向无反馈通信技术 防止任何形式 的信息从信任网络泄露 单向文件传输 支持文件增量单向传输 支持不依赖于文件格式检查 支持单个文件大于 10GB 的传 输 支持大量小文件传输 支持文件发送接收统计 支持文件备份重传 支持病毒检 测等 单向数据库同 步 支持 ORACLE SYBASE DB2 MS SQLSERVER 等主流数据库的同种或异种单向传 输 支持字段级的数据库同步 支持条件同步 支持外键表同步 支持无主键表同步 支持数据冲突检测 支持数据备份重传功能 支持数据传输统计 支持病毒检测等 单向邮件传输 支持邮件地址黑白名单策略 支持邮件正文 主题内容过滤 支持邮件域名地址过滤 支持邮件附件后缀名过滤 支持邮件附件大小控制 支持病毒检测 支持错误检测等 功能模 块 API 接口模块 支持 C JAVA 等开发语言 提供外部 API 函数及说明 支持认证功能 病毒检 测 病毒检测 全模块支持文件扫描和流式病毒扫描两种检测技术 采用自有知识产权的病毒防护引 擎 包括病毒检测引擎和病毒分析引擎 采用国内知名病毒厂商特征库 可检测不少 于 30 万种病毒 灵活多样的管 理方式 支持 HTTPS 的 Web 方式管理 实现了远程管理信息加密传输 支持命令行方式本地串 口管理或 SSH 远程管理 可通过命令行完成全部管理配置工作 管理方 式 高安全的管理 形式 内 外网主机系统分别具有独立管理接口 管理员分级 分权管理 而不是采用低安全 的管理方式 数据纠错 拥有技术专利的单向多级前向纠错编码 解码技术保证数据的可靠传输 可靠性 数据备份 支持传输数据备份功能 当数据传输失败时 以便重传 数据重传 支持数据重传功能 系统自动检测未成功传输的数据 可手工重传 日志审计 日志实现按功能模块分组管理 支持 Syslog 格式 实现对日志的浏览 查询等操作 日志审 计报警 报警 支持控制台 邮件报警功能 可实时或定时向用户发送报警功能 4 2 硬件规格硬件规格 标题标题Leadsec UD GAP 200Leadsec UD GAP 2000 硬件架构硬件架构 2 1 ASIC 2 1 ASIC 系统延时系统延时5ms5ms 硬件延时硬件延时1ns1ns 机箱规格机箱规格2U2U 网络接口网络接口 电电 光光 8 个 10 100 1000M 电口12 个 10 100 1000M 电口和 4 个 SFP 管理口管理口有有 串口串口2 RJ452 RJ45 冗余电源冗余电源具备具备 MTBF 小时小时 5 万5 万 5 运行环境运行环境 标题标题Leadsec UD GAP 200Leadsec UD GAP 2000 重量重量10Kg 10Kg 尺寸尺寸L450 W443 H88 8mm 工作温度工作温度 0 45 工作湿度工作湿度5 95 RH 不凝结 存储温度存储温度 40 70 工作电压