成功案例摆渡机设计专项方案.doc

重要提示： 本文档属于保密级项目设计文档，仅限公司内部使用及直接客户使用。 制作人：郭虎涛 最后编辑时间：-09-30 文档版本：v1.0 公司存档编号：WEB-1013-09-30 神盾网络安全摆渡机 部 署 应 用 方 案 西安市信息技术应用研究所 9月 一、 研发背景 由于移动存储介质（U盘等）使用非常以便，当前已经成为计算机网络主机之间进行数据互换惯用工具。如果随意让各类移动存储介质接入单位内部网络进行数据互换，就也许导致木马、病毒通过移动存储介质传播感染，也许会给单位内部网络安全带来风险，特别是近年来境外间谍机构专门研制摆渡木马用于通过移动存储介质数据互换过程窃取国家秘密，给国家安全带来严重危害。为此，国家保密局、军队保密委发布了关于互联网计算机、外网计算机与涉密内网计算机之间信息交流必要通过中间摆渡机规定。为理解决不同级别网络之间、不同级别单机之间信息安全摆渡问题，咱们研发了神盾网络安全摆渡机。解决了使用移动存储介质进行数据互换所带来有关安全性问题,对移动存储介质数据互换进行有效控制与管理。防止因移动存储介质信息互换过程中导致失泄密事件。 摆渡机重要作用就是防止摆渡木马启动、查杀木马、病毒，进行单向信息传递与互换，对摆渡过程进行可控有效管理，事后可进行追查审计。总之，依照有关部门规定，对外来数据信息必要通过摆渡机进行安全解决，然后才干摆渡到涉密内网计算机中进行应用。保证信息互换安全性。 二、 产品简介 一）产品概述 神盾网络安全摆渡机是西安神盾科技有限责任公司研发一款多网络环境下，信息数据互换平台。为了保证内网安全，防范摆渡木马、防止失泄密事件发生，大唐神盾网络安全摆渡机重要实现了如下功能： 1、防止摆渡木马启动功能：感染到摆渡木马外来磁介质插到安全摆渡机上，摆渡木马不能启动。具备良好防范木马启动功能。 2、具备强大木马、病毒查杀功能：凡外来信息要进入涉密内网，一方面要通过网络安全摆渡机进行木马、病毒查杀解决，可以实现接入顾客选取国内外主流杀毒软件，对外来磁介质进行木马病毒查杀，并可以依照顾客需要实现双杀毒功能。杜绝木马、病毒感染到涉密内网，导致失泄密事件或因感染病毒引起网络安全隐患。 3、实现外来磁介质到涉密磁介质点对点单向信息拷贝：网络安全摆渡机实现了外来磁介质信息单向直接拷贝到涉密内网磁介质，在摆渡机中不保存信息数据痕迹，防止摆渡信息留在摆渡机中也许导致人为失泄密事件。 4、对摆渡磁介质进行注册登记管理和审计：涉密内网摆渡用磁介质要在网络安全摆渡机中进行注册登记和管理，使用中摆渡机会记录磁介质使用时间、单位、使用人、摆渡文献标题等信息，管理员可以进行审计。 5、网络安全摆渡机运用触摸式一体机，实现了防范摆渡木马启动、查杀木马病毒功能，实现外来磁介质与可管理内网磁介质之间文献信息单向互换，摆渡磁介质之间信息传递单向点对点盘对盘功能，有效防止了交叉失泄密事件发生也许，并且实现了日记记录.摆渡审计等功能。解决了运用普通电脑摆渡无法解决失泄密隐患问题。 二）产品配备 类别 参数 CPU 双核2.5Ghz 内存 2GB\DDR3\1333 硬盘 Sata 500G 7200转 屏幕 20英寸触摸 三）实物图片 立式 桌面式 三、 功能特色 摆渡机运用大唐神盾专用软件实现外来磁介质与可信内网介质之间文献信息传播互换。实现点对点、盘对盘单向信息拷贝，不在摆渡机内保存摆渡信息，有效防止了也许浮现交叉失泄密。 l 特点一： 摆渡机安装了大唐神盾自主研发防止摆渡木马启动系统，通过端口、进程等手段彻底封杀了摆渡木马在摆渡机中启动、摆渡机上无法运营任何系统预知之外程序，强大木马病毒查杀功能保证病毒木马无法感染摆渡机也无法感染其她移动介质。 l 特点二： 摆渡机实现了外来磁介质与内网可信介质之间直接进行单向点对点数据传播互换，不在摆渡机内存留，从技术办法上实现也许导致失泄密事件。 l 特点三： 内网可信介质必要进行注册管理，只有可信介质才可以在摆渡机使用并接受外来磁介质数据，使用灵活，管理简便。 l 特点四： 摆渡机上所有数据互换均有日记生成，内容涉及U盘负责人、日期、文献名称、文献大小。便于事后审计追查。 l 特点五： 摆渡机为触摸式专用信息互换设备，办公人员使用摆渡机只能进行文献摆渡，信息互换，做到专机专用。 四、 顾客需求 随着市地税局信息化网络建设不断发展，采用计算机信息系统解决各类工作及涉密信息，在享有着数字化、信息化便利和快捷同步，市地税局也不得不面对由此引入巨大安全风险。由于对纳税人申报税务时使用优盘不可控，病毒、木马繁多， USB移动存储设备乱插拔及内外网混用，随着病毒、木马种类多样性与不断增长，黑客技术日益公开和有组织化，系统复杂性与各种安全漏洞存在，以及网络互连与开放性，使得报税大厅内网计算机安全保密性极差，由于技术控制手段不到位，责任心不强工作人员对这一问题严重性结识和所具备应付能力还远远不够。 总结以上我公司分析贵单位需求为如下几点： l 需 求 一 ：移动存储介质管理； l 需 求 二 ：非涉密密信息进入涉密网络； 五、 应用方案 5.1移动存储介质解决方案： 针对贵单位移动存储介质内外网混用，我公司使用神盾介质管理系统解决。“介质管理系统”将顾客划分为内网顾客和外网顾客，并且予以内网顾客更加仔细关注。对所有外网顾客，内网安全理论将它们统一划分为不信任顾客，对来自外网顾客通过身份验证、授权和其他手段进行控制。对于内网顾客，内网安全理论予以每个顾客和其使用个人计算机以极其详细关注和控制，由于这些顾客和计算机是更易于引起信息安全威胁来源。 神盾介质管理系统提供了对存储设备进行逻辑认证来控制存储设备使用，只有通过认证设备才干在SD-INAS安全控制域中进行使用，并依照仅在认证设立方略和权限范畴内使用该存储设备。存储设备认证提供下面列举认证权限和使用方略。 n 支持禁止或者容许使用未通过认证存储设备，也仅以只读方式使用。 n 支持对存储设备设定为禁止使用方略； n 支持对存储设备设定为只读使用方略； n 支持对存储设备设定为安全读写方略，写入存储设备数据都是通过封装； n 支持对存储设备设定为商务旅行只读使用方略，即有时间限制只读使用方略，一旦过期，存储设备将不能使用； n 支持对存储设备设定为商务旅行安全读写方略，即有时间限制安全读写方略，一旦过期，存储设备将转为只读方略； n 支持对存储设备设定为商务旅行直接读写方略，即有时间限制直接读写方略，一旦过期，存储设备将转为只读方略； n 支持对安全读写方略和商务旅行安全读写方略设定使用范畴，即主机共享和网络共享范畴。其中，主机共享是指存储在该存储设备中数据只能在本机使用，而不能在任何别计算机上使用；网络共享是指存储在该存储设备中数据可以在同一种SD-INAS安全控制域中计算机中使用，而不能在控制域外任何一台计算机上进行使用。 5.3非涉密信息进入涉密网络解决方案： 针对该问题我公司提出解决方案是使用网络安全摆渡机作为单向导入设备。由于贵单位网络介于涉密网络和非涉密网络级别中间，在分级保护里属于二级网络。在介质管理系统全面启用状况下如果使用老式单向导入设备，会导致某些政务公开信息无法公开，从而影响工作。 神盾网络安全摆渡机是由老式中间机与单向导入设备结合设计而成，即拥有中间机灵活性又拥有单向导入设备单向传播定律。老式中间机无法解决由于工作人员责任心不强，信息互换时会在本地硬盘上遗留信息导致交叉泄密、并且不能做到专机专用；单向导入设备无法查杀病毒、木马，方略设立太苛刻，电子政务公开信息却无法正常公开，现行解决办法就是通过介质管控系统注册“可正常读写”移动存储介质。如此以来诸多手段都形同虚设。 业务流程图 六、 售后服务 如我公司有幸中标，我公司对所承担项目将实行长期追踪服务，以解除贵单位后顾之忧。我公司将为本工程提供为期一年保修服务，以及提供系统发生故障后1小时内到达现场售后服务，在保修期内我公司将为工程中由我公司提供设备提供免费维修，并且在为某些易损设备存有备件，保证一旦由于设备硬件引起系统故障时，通过更换设备及时使系统恢复运营，提高顾客投资效益。保修期外我公司只收取设备硬件成本价，免费为客户提供永久技术支持和维修服务，真正做到竣工不完责任。 6.1服务响应时间：， ² 我公司提供热线服务，在接到报修电话后1小时内到现场提供服务。 ² 服务响应时间为1小时。 ² 24小时内使故障系统恢复正常。 6.2定期维护保养： ² 我公司将依照系统特点及经验提出建议与业主协商，对某些核心 设备进行定期上门维护保养。 6.3现场排除故障或技术指引： ² 应贵单位规定，我公司负责派遣专业工程技术人员及时前去现场解决顾客各种问题。 ² 保修期结束后，实行收费服务，服务涉及版本升级、安装；硬件设备依照硬件设备厂家保修年限。 ² 如果业主系统操作人员有所变动，我公司负责进行培训。 ² 我公司将优先保证顾客备件供应，并可负责为顾客安装更换。 6.4紧急异常状况及时解决： ² 经验表白，任何实际系统，在运营过程都难免浮现某些紧急异常状况，我公司具备解决此类突发事件能力，建立紧急异常状况解决保障体系。 ² 在工程项目保修期负责条款以及保修期后维护合同中对此类紧急异常状况处置作出明确规定。 ² 建立并保存完整系统文档：我公司在系统调试交接时，将提供完整软、硬件文档，操作、维护手册，设备清单等，并协助贵单位建立系统运营、管理和维护文档，以便在发生故障时能及时提供资料，迅速找到并排除故障，将损失减至最小。 6.5人员培训： ² 按照工程进展状况，我司将为负责“三合一保密系统”关于技术人员提供专业培训。培训内容为各设备使用操作、寻常维护以及惯用技术规范，并将配合现场实际状况，在系统安装、测试和验收过程中，至少安排技术负责人员进行5天现场技术培训课程，目使关于技术负责人员对整个系统技术规范与安装使用得到充分理解。 七、 总结 本方案针对市地税局报税大厅网络安全管理需求进行了分析，简介了当前重要技术，提出了网络安全管理基本规定和解决方案。 八、 联系方式 西安市信息技术应用研究所 雁塔区吉祥路115号