网闸技术白皮书

安全隔离与信息交换系统

技术白皮书

京泰安全隔离与信息交换系统技术白皮书

目录

1. 产品概述 ................................................................................................................................... 2

1.1. 发展背景 ....................................................................................................................... 2 1.2. 产品简介 ....................................................................................................................... 3 2. 产品介绍 ................................................................................................................................... 4

2.1. 产品结构 ....................................................................................................................... 4 2.2. 工作原理 ....................................................................................................................... 4 2.3. 功能特点 ....................................................................................................................... 6

2.3.1. 丰富的应用模块 ............................................................................................... 6 2.3.2. 传输方向控制 ................................................................................................... 7 2.3.3. 访问控制 ........................................................................................................... 7 2.3.4. 协议分析 ........................................................................................................... 7 2.3.5. 强大的抗攻击能力 ........................................................................................... 7 2.3.6. 多样化的身份认证 ........................................................................................... 8 2.3.7. 地址绑定 ........................................................................................................... 8 2.3.8. 内容检查 ........................................................................................................... 8 2.3.9. 高可用设计 ....................................................................................................... 9 2.3.10. 负载均衡解决方案 ........................................................................................... 9 2.4. 产品管理 ..................................................................................................................... 10

2.4.1. 轻松的管理 ..................................................................................................... 10 2.4.2. 安全审计 ......................................................................................................... 10

3. 产品优势 ................................................................................................................................. 10 4. 应用案例 ................................................................................................................................. 12

4.1. 数据库安全同步解决方案 ......................................................................................... 12 4.2. 安全邮件收发解决方案 ............................................................................................. 13 4.3. 安全文件交换解决方案 ............................................................................................. 14 4.4. 安全网络访问解决方案 ............................................................................................. 15 5. 产品资质 ................................................................................................................................. 16 6. 公司介绍 ................................................................................................................................. 16

1

京泰安全隔离与信息交换系统技术白皮书

1. 产品概述

1.1. 发展背景

随着网络技术的成熟和应用的不断完善，Internet正在越来越多地融入到社会的各个方面。一方面，企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展，人们的日常生活与网络的关系日益密切；另一方面，网络用户成分越来越多样化，出于各种目的的网络入侵和攻击越来越频繁。人们在享受互联网所带来的丰富、便捷的信息同时，也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。

传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要，但不可能完全解决网络间信息的安全交换问题，因为各种安全技术都有其局限性。为保护重要内部系统的安全，2000年1月，国家保密局发布实施《计算机信息系统国际互联网保密管理规定》，明确要求：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连，必须实行物理隔离。” 中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调：“政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离。”

在不同安全等级的网络及系统之间实施安全隔离是一个行之有效的安全保密措施，可切断信息泄漏的途径。最初的解决方案很简单，即通过人工的操作来实现。如下图所示：

2

京泰安全隔离与信息交换系统技术白皮书

在不同安全等级的网络中进行信息交换的时候，由指定人员将需要转移的数据拷贝到软盘等移动存储介质上，经过查病毒、内容检查等安全处理后，再复制到目标网络中。这种解决方案可实现网络的安全隔离，但数据的交换通过人来实现，工作效率低；安全性完全依赖于人的因素，可靠性无法保证。在数据量不大，交换不频繁的情况下，通过人工交换数据的确简单可行。然而，随着电子政务的开展，内外网交换数据的数量和频率呈几何量级上升，这种解决方案已经越来越无法满足用户的需要。如何保证信息在不同安全等级的网络间安全交换成为制约电子政务发展的瓶颈。

1.2. 产品简介

京泰安全隔离与信息交换系统（简称：网闸）是京泰公司集多年安全实践经验研制的拥有自主知识产权的新一代网络安全隔离产品。该产品采用专用硬件和模块化的工作组件设计，集成安全隔离、实时信息交换、协议分析、内容检测、访问控制，安全决策等多种安全功能为一体，适合部署于不同安全等级的网络间，在实现多个网络安全隔离的同时，实现高速的、安全的数据交换，提供可靠的信息交换服务。

京泰安全隔离与信息交换系统可广泛应用于各级政府机关、军队、公安、科

3

京泰安全隔离与信息交换系统技术白皮书

研院校及民航、电力、石油、金融、证券、交通等网络环境，实现信息的安全交换。尤其适合于电子政务、网上工商、网上报税、网上报关、电子审批、政府信息系统管理等需要严格内外网隔离的应用环境。

2. 产品介绍

2.1. 产品结构

京泰安全隔离与信息交换系统为2U的专用网络设备，其内部采用“2+1”模块结构设计，即包括外网主机模块、内网主机模块和隔离交换模块。内、外网主机模块具有独立运算单元和存储单元，分别连接可信及不可信网络，对访问请求进行预处理，以实现安全应用数据的剥离。隔离交换模块采用专用的双通道隔离交换卡实现，通过内嵌的安全芯片完成内外网主机模块间安全的数据交换。内外网主机模块间不存在任何网络连接，因此不存在基于网络协议的数据转发。隔离交换模块是内外网主机模块间数据交换的唯一通道，本身没有操作系统和应用编程接口，所有的控制逻辑和传输逻辑固化在安全芯片中，自主实现内外网数据的交换和验证。在极端情况下，即使黑客攻破了外网主机模块，但由于无从了解隔离交换模块的工作机制，因此无法进行渗透，内网系统的安全仍然可以保障。

2.2. 工作原理

京泰安全隔离与信息交换系统的工作基于人工信息交换的操作模式，即由内外网主机模块分别负责接收来自所连接网络的访问请求，两模块间没有直接的物理连接，形成一个物理隔断，从而保证可信网和非可信网之间没有数据包的交换，没有网络连接的建立。在此前提下，通过专有硬件实现网络间信息的实时交换。这种交换并不是数据包的转发，而是应用层数据的静态读写操作，因此可信网的用户可以通过安全隔离与信息交换系统放心的访问非可信网的资源，而不必担心

4

京泰安全隔离与信息交换系统技术白皮书

可在处于公安机关信息中心的数据收集服务器及位于公安网的应用前置机间部署京泰安全隔离与信息交换系统，由安全管理员制定相应的信息交换策略，在网络安全隔离的前提下定时进行文件交换。系统还支持交换方向、文件类型的指定，可对被交换文件进行内容检查、查病毒等处理，只允许或不允许包含相应内容的文件通过网闸传递。

传输的文件可附带数字签名。京泰安全隔离与信息交换系统可对数字签名进行校验，以起到身份认证、防否认的作用。

4.4. 安全网络访问解决方案

内网用户访问外网资源时，错误的客户端配置、未打补丁的系统，甚至不良的上网习惯都会对内部网络的安全造成威胁。如何保护用户网络访问的安全呢？我们通常在网络中部署防火墙、入侵检测，防病毒等安全产品。但是，每一种安全产品都有其局限性，产品自身的安全性也因厂商对安全的理解的不同而不同，一个完整的安全解决方案应该是多种安全产品的有机结合。但是，这种结合的代价往往是昂贵的，不同产品的互不兼容，产品的复杂性的增加，各种功能的相互影响都会导致总体维护成本的增加，安全保障等级的降低，甚至整个方案的失败。

15

京泰安全隔离与信息交换系统技术白皮书

因此，为保证内网用户访问外网的安全，建议在内外网连接的网关处部署京泰安全隔离与信息交换系统，通过该系统先进的安全隔离和内容检查技术使用户的网络访问得到安全保证。

京泰安全隔离与信息交换系统还提供强大的审计功能，使管理员可随时了解网络的使用情况和异常现象并及时进行处理，以提高网络的使用效率，避免网络资源的误用及滥用。

5. 产品资质

?

? ? ? ? ?

国家保密局 科学技术成果鉴定证书

国家保密局 涉密信息系统安全保密测评中心

中国人民解放军信息安全测评认证中心 军用信息安全产品认证证书（军B级） 公安部公共信息网络安全监察局 销售许可证 中国信息安全产品测评认证中心 产品型号证书

科学技术部火炬高技术产业开发中心 国家级火炬计划项目证书

6. 公司介绍

北京京泰网络科技有限公司（Beijing BHL Networks Technology Co., Ltd）是

16

京泰安全隔离与信息交换系统技术白皮书

由京泰实业集团、中科院计算所、北京经济信息中心共同投资组建的高新技术企业，专业从事计算机网络与信息安全产品研发和销售、信息安全咨询服务、专业信息安全服务、信息安全系统集成、应用安全开发定制、信息安全管理、培训等业务，是国内领先的计算机网络与信息安全产品、信息安全整体解决方案和信息安全服务提供商。

公司以中科院计算所的科研力量为技术源头，以国家863项目产业化转化为基础，并结合国家的信息安全和信息保密政策，开发了一系列具有自主知识产权、适合我国国情的信息安全产品。公司充分研究、跟踪、吸取国内外先进技术，从信息安全产品、信息安全服务以及信息安全管理等各方面，向客户提供全方位、规范化的信息安全服务。

公司产品和服务涵盖了物理隔离卡、安全隔离与信息交换系统、信息采集与转播系统、认证与加密、信息防护和检测、网络安全技术规范标准以及信息安全的响应、服务、培训等诸方面，全面为政府、军队、金融、证券、电信等部门和行业提供专业的、完善的一站式集成化整体信息安全解决方案和服务体系。

17

本文来源：https://www.bwwdw.com/article/pgrd.html