1、安全隔离与信息交换系统安全隔离网闸研究报告322020年4月19日文档仅供参考,不当之处,请联系改正。安全隔离与信息交换系统(安全隔离网闸)研究报告 8月目 录1 前言32 基本概念和技术介绍42.1 基本概念和应用场合42.1.1 概述42.1.2 用途52.2 技术原理和基本功能52.2.1 系统架构及工作原理52.2.2 基本功能和安全性62.3 同其它安全产品的比较与综合使用72.3.1 安全隔离网闸与防火墙72.3.2 安全隔离网闸和物理隔离卡82.3.3 综合使用多种安全产品83 知名公司和产品介绍93.1 概述93.2 天行网安93.2.1 公司简介和产品资质93.2.2 产品介
2、绍Topwalk-GAP V3.093.2.3 解决方案和成功案例123.3 联想网御133.3.1 公司简介133.3.2 产品介绍网御SIS-3000143.3.3 典型用户163.4 安盟华御173.4.1 公司简介173.4.2 产品介绍SU-GAP3000183.4.3 解决方案介绍194 报告总结201 前言Michael Bobbin(计算机安全杂志主编)说,“保证一个系统真正安全的途径只有一个:断开网络,这可能正在成为一个真正的解决方案。”在政府、国防、能源等很多重要领域,对数据机密性、网络平稳性、业务连续性要求极高,坚如磐石的安全保障特别关键。市场需求催生了安全技术的创新,在
3、上世纪90年代中期俄罗斯人Ry Jones首先提出“AirGap”隔离概念,然后,以色列研制成功物理隔离卡,实现网络之间的安全隔离;其后,美国Whale Communications公司和以色列SpearHead公司先后推出了e-Gap和NetGap产品,利用专有硬件实现两个网络在不连通的情况下数据的安全交换和资源共享,从而使安全隔离技术从单纯实现“网络隔离禁止交换”发展到“安全隔离和可靠交换”。当前,美国军方、重要政府部门均采用隔离技术保障信息安全,中国的安全隔离技术的发展同样经历了类似的过程。 1月1日,国家保密局发布实施计算机信息系统国际联网保密管理规定明确要求“涉及国家秘密的计算机信息
4、系统,不得直接或间接地与国际互联网或其它公共信息网络相连,必须实行物理隔离”。该规定在互联网发展初期具有前瞻性地提出政府上网必须“物理隔离”,及时的把政府上网安全提到一个重要的高度,具有重大意义。并由此而发展出了安全隔离计算机、安全隔离卡等系列安全隔离安全产品。2 基本概念和技术介绍随着中国信息化建设的加快,信息安全已经成为各个行业关注的焦点,特别是电子政务、军队、能源等行业,在这些行业应用中,防火墙、防病毒、入侵检测、VPN、审计系统等安全产品都得到了较好的应用。可是从网络防御角度来看, 防御的深度愈深,网络就愈安全。对此,国内外提出了一种较新的技术,称为隔离技术,产品称为安全隔离与信息交换
5、系统。这种产品的应用,能够从一定程度上更有效的保护内部网络。从安全隔离与信息交换系统的组成来看,它主要由三部分组成,即外部处理系统、内部处理系统以及隔离硬件。其基本原理是截断网络之间直接的通用协议连接,将数据包进行分解、重组为静态数据,并对静态数据进行安全审查。确认后的安全数据流入内部系统,内部用户经过严格的身份认证机制获取所需数据。重要的是,安全隔离与信息交换系统不单纯检查网络传输协议(TCP/IP),还把(TCP/IP)协议头剥离掉,还原成第七层之上的数据。以收电子邮件为例,外部的邮件服务器发起对隔离设备的非TCP/IP协议的数据连接,隔离设备将所有的协议剥离,将原始的数据写入存储介质。一
6、旦数据完全写入隔离设备的存储介质,隔离设备立即中断与外网的连接。转而发起对内网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向内网。内网收到数据后,立即进行TCP/IP的封装和应用协议的封装,并交给应用系统。这时内网电子邮件系统就收到了外网的电子邮件系统经过隔离设备转发的电子邮件。整个过程中,隔离设备都经历了数据的接受,存储和转发三个过程。因此,它可作为防火墙、入侵检测的合理补充,保护核心网络的数据安全,形成纵深的防御体系中的重要一环。 从安全隔离与信息交换系统的应用上看,它能够应用到涉密网之间、安全域与非安全域之间、局域网与互联网之间(内网与外网之间)、办公网与业务网之间、电子
7、政务的内网与专网之间、业务网与互联网之间等。2.1 基本概念和应用场合2.1.1 概述安全隔离与信息交换系统又叫安全隔离网闸,简称网闸,英文名称是“GAP”。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。安全隔离与信息交换系统由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡。从而在保证内外网隔离的情况下,实现可靠、高效的安全数据交换,而所有这些复杂的操作均由隔离系统自动完成,用户只需依据自身业务特点定制合适的安全策略既可实现内外网络进行安全数据通信,在
8、保障用户信息系统安全性的同时,最大限度保证客户应用的方便性。2.1.2 用途安全隔离与信息交换系统主要用于各地电子政务建设,下列场合都可使用隔离系统保障业务系统安全: 政务外网与政务内网间存在业务往来的接口; 行业内纵向上下级信息系统的接口; 行业间需要进行业务信息共享、数据交换的接口;安全隔离与信息交换系统可在保障信息安全的前提下,在两个不同安全级别的网络区域间进行适量的、可靠的数据交换。国家保密局对安全隔离与信息交换类产品的应用也做了规定,规定安全隔离与信息交换系统可在以下四种网络环境下应用: 不同的涉密网络之间; 同一涉密网络的不同安全域之间; 与Internet 物理隔离的网络与秘密级
9、涉密网络之间; 未与涉密网络连接的网络与Internet 之间”。2.2 技术原理和基本功能2.2.1 系统架构及工作原理安全隔离网闸包括软件和硬件两部分,硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。安全隔离网闸一般具备的安全功能模块有:安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证。安全隔离网闸的基本原理是:切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户经过严格的身份认证机制获取所需数据。安全隔离网闸对网络的隔离是经过网闸隔离硬件实现两个网络在链路
10、层断开,可是为了交换数据,经过设计的隔离硬件在两个网络对应的上进行切换,经过对硬件上的存储芯片的读写,完成数据的交换。安装了相应的应用模块之后,安全隔离网闸能够在保证安全的前提下,使用户能够浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并能够在网络之间交换定制的文件。2.2.2 基本功能和安全性安全隔离网闸一般具备的安全功能模块有:安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证。 能防止未知和已知的木马攻击一般见到的木马大部分是基于TCP的,木马的客户端和服务器端需要建立连接,而安全隔离网闸从原理实现上就切断所有的TCP连接,包括UDP、ICMP等其它各种协议
11、,使各种木马无法经过安全隔离网闸进行通讯,从而能够防止未知和已知的木马攻击。 具有病毒防护功能作为提供数据交换的隔离设备,安全隔离网闸上内嵌病毒查杀的功能模块,能够对交换的数据进行病毒检查。 自身的安全性由于从网络架构上来讲,安全隔离网闸是处在网关的位置,因此其安全性不言而喻,两个处理单元都采用了经过安全加固的操作系统,包括强制访问控制、基于内核的入侵检测等安全功能,而且该系统得到国家权威部门的认证。 身份认证机制安全隔离网闸在用于邮件转发和网页浏览的时候,对用户进行用户名/口令、证书认证等多种形式的身份认证。 证书验证机制安全隔离网闸能防止内部无意信息泄漏:由于安全隔离网闸在数据交换时采用了
12、证书机制,对所有的信息进行证书验证,因此对于那些病毒乱发邮件所造成的无意信息泄漏起到很好的防范作用。2.3 同其它安全产品的比较与综合使用2.3.1 安全隔离网闸与防火墙安全隔离和信息交换系统与防火墙系统是两个不同的概念,国家已经把两者划入两个不同的产品类别,两者的不同主要体现在硬件结构不同,实现的技术路线不同,所能达到的安全强度也不同:u 硬件体系不同:安全隔离产品采用双主机加隔离硬件的“2+1”结构,使得两个网络之间没有任何的网络物理连接,没有任何的网络协议能够直接穿透,而防火墙属于单机结构,是基于标准的网络协议直接转发的。u 技术路线不同:防火墙内部的协议栈是标准的IP协议栈,在多个接口
13、间经过标准的协议完成路由、转发、状态包过滤等工作,对攻击的检测是基于已知的攻击行为的。安全隔离和信息交换系统则是基于应用协议还原,内部的通信是非标准的安全专用协议进行“摆渡”,天然的具备抵御标准协议自身隐含漏洞的能力,能够抵御基于协议本身的已知和未知的攻击。u 安全强度不同: 安全隔离产品的转发是建立在七层数据还原后的基础上,根据过滤结果,经过隔离卡摆渡后重新建立连接发送完成的,是物理隔离。而防火墙一般是基于数据包的检查,是逻辑隔离。 防火墙由于是单机结构,一旦系统由于配置错误等原因被攻破后,整个内网就会暴露在攻击者面前。而安全隔离和信息交换系统是多主机结构,即使最坏的情况出现,外网主机被攻破
14、,由于内外网之间经过隔离卡隔离,通信协议非标准,编程接口具有专用性,攻击者也不可能攻击到内网。2.3.2 安全隔离网闸和物理隔离卡安全隔离网闸与物理隔离卡最主要的区别是:安全隔离网闸能够实现网络间的安全适度的信息交换,而物理隔离卡不提供这样的功能。安全隔离和信息交换系统是网络边界访问控制设备,隔离的是可信网络和内部网络。物理隔离卡是在单机系统上,经过单机系统开关切换,使受保护的主机不能同时访问两个网络的。2.3.3 综合使用多种安全产品安全隔离和信息交换系统虽然综合了多种软硬件技术来保证本身和内部网络关键应用服务器的安全,但安全本身是多层次全方位的体系结构,寄希望于一个单一产品实现所有的防护功
15、能,解决所有的安全问题是不现实的。比如传统的桌面防护产品,防病毒产品等所实现的功能,安全隔离和信息交换系统就基本不涉及。每个产品都有其专业化的优势,没有“全能”的产品。防火墙是网络层边界检查工具,能够设置规则对内部网络进行安全防护,而IDS一般是对已知攻击行为进行检测,这两种产品的结合能够很好的保护用户的网络,可是从安全原理上来讲,无法对内部网络做更深入的安全防护。安全隔离网闸重点是保护内部网络,如果用户对内部网络的安全非常在意,那么防火墙和IDS再加上安全隔离网闸将会形成一个很好的防御体系。3 知名公司和产品介绍3.1 概述当前,国内有关网闸的知名公司和著名产品主要有:联想网御,天行网安,安
16、盟华御,中网,伟思和利谱等。3.2 天行网安3.2.1 公司简介和产品资质北京天行网安信息技术有限公司是一家专业从事网络管理与信息安全的研究开发、技术支持、产品销售的专业网络安全公司。l 国内第一款基于GAP技术的新一代安全隔离与信息交换产品l 国内第一款能够实现隔离网络间异构数据库交换的产品l 国内第一款经过国家保密局鉴定的安全隔离与信息交换产品l 国内第一款拥有专利技术的安全隔离与信息交换产品l 国内唯一入选国家火炬计划的安全隔离与信息交换产品l 国内唯一能够实现基于消息传递机制的安全隔离与信息交换产品l 国内唯一获得公安部科技成果鉴定的安全隔离产品l 国内唯一获得公安部科学技术奖的安全隔
17、离产品3.2.2 产品介绍Topwalk-GAP V3.03.2.2.1 产品技术指标及参数Topwalk-GAP V3.0 TG-7207产品指标及技术参数注:*,根据用户选择的软件模块型号不同而有所差异序号名称描述1.资质认证公安部销售许可证书国家保密局认证证书公安部科技成果鉴定证书解放军测评认证中心军用信息安全产品B级认证证书2.知识产权国家知识产权局专利证书3.硬件架构1U机型,采用2+1架构和专用硬件隔离技术,属完全自主开发且不可从外部编程控制;保证信任网络和非信任网络之间链路层的断开,彻底阻断TCP/IP协议以及其它网络协议;系统硬件架构采用高可靠性设计;硬件设备内部采用特殊的认证
18、机制HLC,保证基于硬件的可信任计算体系;4.隔离硬件基于自主知识产权的Transfer- Isolation-Transfer专用隔离硬件采用多种安全技术保证隔离有效性以及安全性;隔离硬件板卡的中间Isolation部分用于电路隔离,具备独立时钟电路的主机板,在主机板上设置相应内容规则控制程序,对摆渡的内容进行检查过滤;隔离硬件上采用物理开关进行通道控制,可根据使用用户的具体业务需要进行数据传输通道方向开关控制;隔离硬件内部程序固化防篡改:设计以安全性为第一原则,一旦出现任何异常,就切断传输,保证不出现在数据内容检查、完整性校验功能失效的情况下继续传输数据的情况;5.操作系统采用获得软件著作
19、权的安全操作系统TopOS;操作系统基于Linux操作系统内核剪裁、增强、优化;使用内核级IDS,确保系统关键进程安全,阻止非授权访问;操作系统内核以及关键进程部分进行硬件固化;摒弃通用的系统函数调用,私有系统调用不对外开放,仅供内部使用;系统内部将关键隔离硬件设备进行隐藏,对外不可见;6.数据处理方式面向应用数据,采用白名单策略,进行高度可控的数据交换,不接受任何未知来源的主动请求;经过可进行扩展定义的内容检查机制为白名单策略提供保障机制7.身份认证采用身份认证技术对使用隔离网闸的用户进行身份鉴别,以确保只有合法用户和计算机能使用网闸系统传输数据:高强度双重口令认证、CA证书认证等;8.流量
20、管理提供流量管理功能,对系统数据通信量、连接数进行管理9.系统资源管理提供内存管理、系统资源分配管理,优化系统性能,可根据管理员设置进行调整10.*G模块时间管理支持时间段管理,提供分时间段的管理控制策略;11.即时通信软件管理支持对即时通信软件的控制管理功能,如QQ、MSN、POPO等;12.HTTP支持HTTP、HTTPS协议数据的代理传输,提供脚本过滤、身份认证功能;13.视频协议支持基于H.263、H.323协议族的音视频协议数据传输,支持组播14.其它协议支持包括网络音频、视频在内的多种TCP、UDP协议数据传输交换:如FTP、TNS、POP3、SMTP等15.通用性网络适应性良好,
21、无须修改原有网络结构、配置;实现透明应用支持16.MAC过滤支持MAC地址过滤功能,可经过IP地址查询相应的MAC地址并进行拦截过滤;17.双机热备支持双机热备功能,提供高可靠性支持18.多网隔离支持多个网络隔离19.日志功能提供系统日志显示、读取功能,日志信息可配置、可管理专用日志服务程序处理系统日志;提供日志分级处理、审计、导入/导出、过滤等强化功能;并提供文件型日志数据库记录系统日志;可集中处理多台网闸设备的日志信息20.管理经过专用客户端对网闸进行管理,可远程集中管理多台网闸设备;系统配置信息可导出备份、导入恢复;系统支持一键还原功能,在系统出现严重配置错误、系统损坏时可经过后台管理员
22、操作将系统还原成初始状态21.硬件开关切换时间0.1ms22.底层硬件数据吞吐量双向460Mbps23.应用层数据传输率350Mbps24.延时1ms25.最短无故障间隔时间50000小时26.网络接口6个10/100/1000BASE-TX接口2个COM口27.输入电压和频率220VAC/50HZ28.消耗功率350W29.工作温度5-4030.存储温度0-5031.工作湿度10%-90%32.存储湿度5%-90%3.2.2.4 产品报价经过向天行网安的销售和技术人员的咨询,获得Topwalk-GAP V3.0安全隔离与信息交换系统的三款产品的报价如下表所示:产品名称产品型号产品介绍销售价折
23、扣价天行网安安全隔离与信息交换系统Topwalk-GAP V3.0 TG-7207应用层350Mbps,6个10/100/1000M网口,按摄像头每路2M,能够支持50路,不发生画面失真18万14万Topwalk-GAP V3.0 TG-7250应用层480Mbps,10个10/100/1000M网口,4个光口,按摄像头每路2M,能够支持90路,不发生画面失真25万18万Topwalk-GAP V3.0 TG-8807应用层650Mbps,4个10/100/1000M网口,6个光口,按摄像头每路2M,能够支持150路,不发生画面失真40万32万3.2.3 解决方案和成功案例3.2.3.1 解决
24、方案 交警违法信息公开 网上工商 税务信息系统 公安信息系统 政府电子政务 社区视频监控 劳动和社会保障3.2.3.2 成功案例公司成立多年来,凭借其强大的技术实力和完善的安全服务、良好的市场运作能力已经同许多政府部门、科研机构、大型国有企业以及大专院校建立了广泛的合作关系,公司的产品和服务也已经广泛应用于这些机构,并赢得了客户的一致好评。部分应用客户如下:电子政务 公安行业 新华通讯社公安部第23局 国家环保总局核安全中心广东省公安厅 河北省政府山东省公安厅 云南省政府山西省公安厅 湖南省政府福建省公安厅 北京市西城区政府河南省公安厅 山东省国税局湖南省公安厅 青海省国税局辽宁省公安厅 湖南
25、省地税局吉林省公安厅 辽宁省地税局江苏省公安厅 大连市国税局北京市公安局 南京市国税局上海市公安局 昆明市政府浙江省公安厅 中国人民解放军总装备部重庆市公安局 中国人民解放军总后勤部天津市公安局 中国人民解放军XX军区青海省公安厅 XX市国家安全局宁夏回族自治区公安厅 北京市城市规划设计研究院内蒙古自治区公安厅 唐山市国土资源局拉萨市公安局 3.3 联想网御3.3.1 公司简介联想网御自1999年进入信息安全行业以来,在联想大家庭的倾力支持下,在广大用户的热心帮助下,以打造中国信息安全新长城为己任,已成长为中国信息安全产业的领军企业。在信息安全领域拥有众多核心技术,先后申请专利50余项,拥有全
26、系列防火墙、VPN、UTM、IDS、IPS、防病毒网关、安全隔离网闸、安全管理共计10大类370余款产品,是国内信息安全产品线最全的企业。3.3.2 产品介绍网御SIS-30003.3.2.1 产品概述联想网御SIS-3000安全隔离与信息交换系统采用多主机隔离结构和安全芯片设计,在业内首次提出并实现专有SIS安全隔离技术,把安全性(Security)、智能性(Intellegence)、高效性(Speed)完美的结合在一起。其中内外网模块连接相应网络实现数据的接收及预处理等操作,隔离交换模块采用专用的硬件设计,经过专有信道,采用非网络协议实现与内外网模块的数据交换,保证任意时刻内外网间没有链
27、路层连接。数据只能以专用数据块方式静态地在内外网间经过网闸进行“摆渡”,传送到网闸另一侧。同时集成多种安全技术手段,采用强制安全策略,对数据内容进行安全检测,保障数据安全、可靠的交换。其工作原理如下图:联想网御SIS-3000安全隔离与信息交换系统安装应用方便,经过对连接和数据包的获取、阻断、分离、检测、重组、交换、恢复、连接等一系列安全操作完成数据的隔离与交换,而这些复杂的安全检测操作对用户而言是透明的。联想网御SIS-3000安全隔离与信息交换系统在提高和保障用户的网络安全时,最大限度的保证了用户应用的方便性。3.3.2.2 产品报价经过向联想网御的销售和技术人员的咨询,获得联想网御SIS
28、-3000安全隔离与信息交换系统的两款产品(千兆和百兆)的报价如下表所示:产品名称产品型号产品介绍价格备注联想网御安全隔离与信息交换系统SIS-3000-GE11千兆标准型,2U机箱,“2+1”系统架构,即由两个主机系统和一个隔离交换模块组成;内网:标配1个10/100/1000M自适应网络接口,1个10/100/1000M自适应网络扩展接口,1个10/100M自适应管理口,1个10/100M自适应HA口(双机热备口);外网:标配1个10/100/1000M自适应网络接口,3个10/100/1000M自适应网络扩展接口,1个10/100M自适应管理口,1个10/100M自适应HA口(双机热备口
29、);文件交换:实现文件的安全交换,支持NFS、SMBFS等文件系统和多种细粒度检测控制功能;FTP访问:实现安全的FTP访问,支持对用户、命令、文件类型等细粒度访问控制;数据库传输:支持Oracle、SQL、Sybase、DB2等主流数据库,支持不同类型的数据库间、不同结构的表间的内容同步;邮件传输:实现用户安全访问邮件服务器,访问过滤选项涵盖邮件地址、主题、正文内容、附件等。125000元人民币(含税)三年现场服务SIS-3000-FE11百兆标准型,2U机箱,“2+1”系统架构,即由两个主机系统和一个隔离交换模块组成;内网:标配1个10/100M自适应网络接口,1个10/100M自适应网络
30、扩展接口,1个10/100M自适应管理口,1个10/100M自适应HA口(双机热备口);外网:标配1个10/100M自适应网络接口,3个10/100M自适应网络扩展接口,1个10/100M自适应管理口,1个10/100M自适应HA口(双机热备口);文件交换:实现文件的安全交换,支持NFS、SMBFS等文件系统和多种细粒度检测控制功能;FTP访问:实现安全的FTP访问,支持对用户、命令、文件类型等细粒度访问控制;数据库传输:支持Oracle、SQL、Sybase、DB2等主流数据库,支持不同类型的数据库间、不同结构的表间的内容同步;邮件传输:实现用户安全访问邮件服务器,访问过滤选项涵盖邮件地址、
31、主题、正文内容、附件等。85000元人民币(含税)三年现场服务3.3.2.3 产品认证 计算机信息系统安全专用产品销售许可证 中国国家信息安全评测认证中心 国家保密局科学技术成果鉴定证书 中国人民解放军信息安全评测认证中心 3.3.3 典型用户3.3.3.1 电子政务国家新闻出版署中国证监会国家海关总署国家气象总局北京市政协北京市海淀区政府北京市企业信息管理中心北京市工商局辽宁省抚顺市财政辽宁省本溪市财政河北省政府河北省发展与改革委员会河北省国土资源厅河北衡水市政府石家庄市交通指挥中心江苏省高速公路管理中心河南省社保局合肥住房公积金管理中心浙江省粮食局杭州市政府义乌市社保浙江省气象局杭州市文广
32、新局绍兴市工商局广东省海事局广州市社保深圳市龙岗区监察局东莞市监察局深圳市法院中山市国土资源局江门市国土资源局佛山房产局佛山市政府贵州省经贸委云南省国资委云南大理旅游局3.3.3.2 公安行业河北省公安广东省公安辽宁省公安黑龙江省公安天津市公安成都市公安合肥市公安局江西省抚州交警江西省公安厅网监处海口交警云南省交警舟山市公安韶关市公安丽水市公安湖州公安3.3.3.3 税务行业湖北省国税安徽省国税河北省国税河南省国税新疆自治区国税福建省国税辽宁省国税厦门市国税兰州市国税苏州市国税南通市国税厦门国税哈尔滨市地税福建省地税辽宁省地税新疆自治区地税邯郸地税江苏省宿迁地税3.3.3.4 其它行业人民日报
33、社新华社中国证监会河南省烟草公司山西移动通信公司上海房地产中心中山市军分区济南市军分区山西省阳煤集团河北省建设银行泰康人寿保险公司中国航天五院3.4 安盟华御3.4.1 公司简介北京安盟信息技术有限公司位于北京市中关村上地信息产业基地,是一家致力于信息安全技术研究、信息安全产品研发、安全服务和软件开发的高新技术企业和软件企业,公司具有中关村高科技园区的高新技术企业认定证书及软件协会认定的软件企业证书。从 开始,公司投入30多名软硬件研发人员进行安全隔离与信息交换系统的开发工作,并于 首批获得公安部销售许可证, 9月获得国家保密局的涉密信息系统产品检测证书及军用信息安全产品认证证书。公司以雄厚的
34、技术力量为依托、以强大的客户群体的实践工作为根本,结合国家的保密政策及相关的法律、法规,自主研发的具有自主知识产权的“华御安全隔离与信息交换系统(网闸)”当前已广泛的应用于全国各地的政府、金融、税务、工商、航天、教育、电信、交通、化工、钢铁、公安、医疗等行业,并得到了广大用户的好评与支持。当前公司成为太极计算机股份有限公司安全产品线的总代理商,在信息安全研发、销售方面展开全面的合作。3.4.2 产品介绍SU-GAP30003.4.2.1 产品型号华御安全隔离与信息交换系统(网闸)产品型号:项目指标产品资质公安部计算机信息系统安全专用产品销售许可证;国家保密局提供的涉密信息系统产品检测证书;国家
35、信息安全认证产品型号证书;军用信息安全产品认证证书;双软证书型号SU-GAP3000-H2SU-GAP3000-H6接口6个10/100M BASE-TX接口;2个RS232口;2个USB2.0接口;6个10/100/1000M BASE-TX接口;2个RS232口;2个USB2.0接口;尺寸标准2U机架式系统架构采用2+1系统架构即内网单元+外网单元+专用隔离硬件。连接线非SCSI或USB线或1394线;性能SU-GAP3000-H2SU-GAP3000-H6网络延时小于1ms网络延时小于1ms系统总延时小于1ms系统总延时小于1ms开关切换时间小于10ns开关切换时间小于10ns内部交换速
36、率5Gbps内部交换速率5Gbps数据传输速度大于92Mbps数据传输速度大于800Mbps并发连接数大于50000;并发连接数大于100000;无用户数限制;无用户数限制;MTBF50000小时;MTBF50000小时;主要功能采用专用安全操作系统,加固系统内核,不采用操作系统自带的TCP/IP协议栈;设备支持透明及非透明两种工作模式,管理员可依据实际网络状况进行相应的部署;内外网不可路由; 产品内置各类应用支持模块,无须用户增加投资;至少包括:邮件模块、安全浏览模块、数据库访问模块、数据库同步模块、文件交换模块、DCS工业控制模块、用户自定义应用模块等各类应用模块,并可控制相应的动作、参数
37、、内容; 支持内外网数据库应用代理:内置ORACLE、SQLServer代理引擎,可控制SQL动作语句,如只允许SELECT,不允许DELETE; 内置多媒体应用处理模块,可兼容主流视频传输及控制协议; 支持内外网文件摆渡,可控制EXE、DLL、RAR、ZIP文件类型; 可依据实际网络情况,管理员自行设定安全通道,单向/双向传输;支持统一图形化日志统计报表,并生成html格式的日志报表文件设备管理口无IP地址,只有经过专用控制台软件才能搜索到设备,并管理设备。从而杜绝非法搜索、尝试管理网闸设备的行为;多用户、权限分立制度,确保合法用户只能做指定的操作;经过专用的控制口进行设备管理;支持双机热备
38、及多机热备;支持IP与MAC地址绑定;支持根据时间自动切换安全策略;支持规则模板的导入、导出;3.4.2.4 产品报价安 盟 产 品 报 价产品型号市场报价折扣价服务网闸 SU-GAP 3000-H2全模块配置18万10.8万三年免费质保,三年免费软件升级,终生保修,免费安装、调试及使用人员培训;网闸 SU-GAP3000-H6全模块配置28万16.8万三年免费质保,三年免费软件升级,终生保修,免费安装、调试及使用人员培训;注:安盟的销售人员说:如果实施的话价格还能够更便宜一些。3.4.3 解决方案介绍电子政务应用网闸解决方案政府上网网闸解决方案公安交警系统应用网闸解决方案公安系统旅馆业管理网闸解决方案公安系统印章业管理网闸解决方案工商系统网闸解决方案税务系统网闸解决方案社保行业网闸解决方案银行金融业网闸解决方案证券、保险业网闸解决方案电信行业网闸解决方案石油化工行业网闸解决方案电力、能源行业网闸解决方案医疗行业应用网闸解决方案制药行业应用网闸解决方案公路交通行业网闸解决方案钢铁、冶金行业网闸解决方案水泥生产企业网闸解决方案造纸、水处理行业网闸解决方案4 报告总结本文经过对安全隔离与信息交换系统(安全隔离网闸)有关技术文档的搜集、阅读和整理,得到了一份简单的研究报告,由于水平有限加之对网闸技术的了解还不够全面和深入,不免存在不足和差错,因此本研究报告仅供领导参考并请领导批评指正。
浙ICP备2021020529号-1 | 浙B2-20240490 
