慧天云海信息技术有限公司

电话:0531-88586210
传真:0531-88586216
公众号:慧天云海
网址:www.huitianyunhai.com
地址:济南市高新区新泺大街1299号鑫盛大厦1号楼16D
光单向安全隔离与数据导入系统
光单向安全隔离与数据导入系统

产品概述

     政府涉密网络、军工、电力等行业中含有大量的敏感信息及涉密数据(可能定级为涉密网或含有敏感数据的非涉密网),这些涉密数据是绝对不能流入比它密级低的网络中的,但这些网络通常又需要能从密级低的网络中获取数据。目前大多是采用人工拷盘的方式,但是人工拷盘存在安全隐患、效率较低。随着安全隔离技术的沉淀与积累,通过2年多的探索与研发,推出光单向安全隔离数据自动导入系统(简称单向网闸),通过此产品可以完美替代人工拷盘。信息技术(北京)股份有限公司的单向网闸可以满足电子政务网中的上述数据单向流动的要求,保证单向的数据流,实现数据保密性要求。

1 .产品原理

       光单向安全隔离数据自动导入系统采用“2+1”模块结构设计,即包括A网主机、B网主机模块和光单向隔离交换模块。A、B网主机模块具有独立运算单元和存储单元,分别连接可信及不可信网络,对访问请求进行预处理,以实现安全应用数据的剥离。光单向隔离交换模块采用专用的单通道隔离交换卡实现,通过内嵌的安全芯片完成A、B网主机模块间安全的数据单向传输。A、B网主机模块间不存在任何网络连接,因此不存在基于网络协议的数据转发。光单向隔离交换模块是内外网主机模块间数据交换的唯一通道,本身没有操作系统和应用编程接口,所有的控制逻辑和传输逻辑固化在安全芯片中,自主实现A、B网数据的单向传输及验证。在极端情况下,即使黑客攻破了外网主机模块,但由于无从了解光单向隔离交换模块的工作机制,因此无法进行渗透,内网系统的安全仍然可以保障。系统结构如下图所示: 


光单向安全隔离数据自动导入系统体系结构图

2 .产品功能说明

2.1 多样的文件同步方式

       光单向安全隔离数据自动导入系统采用模块化的系统结构设计,根据不同的应用环境,量身定制多种文件同步方式,以满足用户的不同需求,主要包括:

<< FTP文件交换协议模块

       支持FTP文件传输协议,B网主机可通过FTP协议获取FTP服务器文件,A网主机可通过FTP协议推送文件至外部FTP服务器。

<<专用客户端文件交换协议模块

      专用文件单向导入客户端,通过与网闸之间认证、数据加密后实现文件交换;不需要用户将需要同步的文件以SMB、FTP、NFS等方式共享出来,保证文件服务器的安全保密。

2.2 深度内容过滤

       通过FTP或者专用客户端等方式进行数据获取并摆渡的同时,能够对获取的数据进行深度内容过滤。包含:发送或接收文件的文件名的格式进行过滤;发送和接收文件的文件扩展名进行过滤;系统根据文件中是否包含不可显示字符将文件分为纯文本文件和二进制文件两类,用户可选择是否允许发送或接收二进制文件;用户通过对发送白名单、发送黑名单、接收白名单、接收黑名单功能对发送或接收文件的关键字进行过滤。

2.3 灵活的文件同步方式,用户可按需使用

       光单向安全隔离数据自动导入系统采用多种文件同步方式,包含源端复制同步方式、源端移动同步方式、源端删除同步方式等多种同步方式,用户可以根据实际需求按需使用。

2.4 内置的单向数据库导入模块

       光单向安全隔离数据自动导入系统,内置数据库导入模块,独立自主开发完成,完全内置于网闸内部,所有的同步操作由网闸自己独立完成。不在用户数据库中安装任何客户端软件,不需要在用户网络中部署专用服务器,对用户数据库不作任何改变。在高速运行的基础上解决了字段级数据同步、大字段同步等技术难题,适合于各种数据库同步工作的需要。

       由于是网闸自身发起的动作,所以网闸两侧不开放任何基于数据库访问或者定制TCP的网络服务端口,避免网络安全漏洞。

2.5 多样协议的传输支持

光单向安全隔离数据自动导入系统,分别根据不同的协议,开放不同的功能模块,包括:

单向TCP:支持TCP协议的单向传输;

单向UDP:支持UDP协议的单向传输;

单向JMS:支持基于JMS消息应用的单向数据传输;

2.6 防病毒

       光单向安全隔离数据自动导入系统内嵌文件病毒查杀模块,能够对需要摆渡的文件进行病毒、恶意代码程序、木马等进恶意程序进行过滤。

2.7 高可靠性设计

光单向安全隔离数据自动导入系统采用高可靠性设计,支持电源冗余、端口冗余等机制,保证设备可靠运行。

2.8 地址绑定

       提供IP与MAC地址绑定功能,可对指定接口所连接的网络中的主机的IP和MAC地址进行绑定,防止内部用户盗用IP和内网地址资源分配的混乱,方便网络IP资源管理。

2.9 轻松的管理

       光单向安全隔离数据自动导入系统配备专门的管理端口,通过数字证书认证与管理信息的加密传输实现网闸设备的集中管理。系统采用全中文的Web方式进行远程网络管理,界面友好,操作方便。系统管理员和审计员实现分权管理,使得对网闸的管理更加安全可控,避免人为因素带来的安全风险。

2.10 传输方向控制

       光单向安全隔离数据自动导入系统通过光传输技术通信机制,实现从低安全区域到高安全区域的单向数据传输,能够保证高安全区域数据绝对不会流失到低安全区域。

2.11 完善的安全审计

       光单向安全隔离数据自动导入系统提供管理员多种手段了解网络运行状况及可疑事件的发生。用户可根据特定的需要进行日志审计(包括系统日志、访问控制策略日志、应用层协议分析日志、应用层内容检查日志等)。系统支持本地日志缓存,可实现本地日志的浏览查询等操作。日志依据事件的重要程度分为错误/警告/通知三级,支持Syslog日志存储,可实现日志的分级发送。

2.12 强大的抗攻击能力

       光单向安全隔离数据自动导入系统具备强大的抗攻击能力,内外网主机模块采用专用的安全多核并行安全加固操作系统,内核经过特殊定制,实现强制性访问控制,保护自身进程及文件不被非法篡改和破坏。同时系统实现了针对多种DoS和DDoS攻击的防范,可阻挡SynFlood、UdpFlood、PingFlood、TearDrop、Ping of Death、Smurf、Land等多种类型的DoS和DDoS攻击,保护可信网络的安全。

2.13 多样化的身份认证

       光单向安全隔离数据自动导入系统支持多样灵活的身份认证方式,包括:本地用户名及口令认证、基于数字证书的认证等等。

数字证书认证

网闸支持数字证书认证,网闸可导入根证书,通过检查用户证书格式、证书的过期时间、签发者等信息以确认访问者身份的合法性,还可依据用户身份属性判断其是否具有适当的访问权限。

本地用户名及口令认证

网闸向第三方认证服务器发送用户名和口令,一旦认证服务器认证成功,则网闸允许用户访问。

l第三方认证

支持与第三方认证服务器进行认证。

2.14 易用使用的特色功能


       光单向安全隔离数据自动导入系统具有多种易用使用的特色功能。包括:液晶面板功能、SNMP功能、SISLOG功能、配置导入导出功能、设备运行状态检测功能、系统资源查看功能、网络命令调试功能、补丁管理功能等多种使用功能,方便用户使用。

上一篇:没有了 下一篇:没有了