联想网御安全隔离与信息交换系统产品白皮书.docx

联想网御SIS-3000系列安全隔离与信息交换系统产品白皮书联想网御SIS-3000系列安全隔离与信息交换系统产品白皮书联想网御科技（北京）有限公司版权信息©版权所有 20012007，联想网御科技(北京)有限公司本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属联想网御科技(北京)有限公司所有，受国家有关产权及版权法保护。如何个人、机构未经联想网御科技(北京)有限公司的书面授权许可，不得以任何方式复制或引用本文档的任何片段。商标信息联想，网御，Legend，Lenovo，leadsec等标识及其组合是联想网御科技(北京)有限公司拥有的商标，受商标法和有关国际公约的保护。第三方信息本文档中所涉及到的产品名称和商标，属于各自公司或组织所有。联想网御科技（北京）有限公司Lenovo Security Technologies Inc.北京市海淀区中关村南大街6号中电信息大厦8层 1000868/F Zhongdian Information Tower No.6 Zhongguancun South Street, Haidian District, Beijing电话(TEL)：010-82166999传真(FAX)：010-82166998技术热线(Customer Hotline)：400-810-7766电子信箱(E-mail)：infosec目 录1前言12网络隔离与信息交换系统技术原理12.1工作原理12.2技术特性23网御SIS-3000系列产品介绍33.1产品定位33.2目标客户43.3系统架构43.3.1硬件架构43.3.2软件架构73.4产品优势83.4.1高安全性83.4.2高性能103.4.3高适用性113.4.4高可靠性123.4.5高管理性123.5核心技术143.6产品特性与功能153.7产品端口形式列表174典型应用及解决方案174.1网上报税安全隔离解决方案174.2公安旅店业安全隔离解决方案184.3多网接入安全隔离解决方案195常见问题解答195.1安全隔离和信息交换系统和防火墙有什么区别195.2安全隔离和信息交换系统与物理隔离卡是否一样205.3安全隔离和信息交换系统是否是全能的安全产品206标准与资质认证217典型用户2223 1 前言Michael Bobbin（计算机安全杂志主编）说，“保证一个系统真正安全的途径只有一个：断开网络，这也许正在成为一个真正的解决方案。”在政府、国防、能源等很多重要领域，对数据机密性、网络平稳性、业务连续性要求极高，坚如磐石的安全保障尤其关键。市场需求催生了安全技术的创新，在上世纪90年代中期俄罗斯人Ry Jones首先提出“AirGap”隔离概念，然后，以色列研制成功物理隔离卡，实现网络之间的安全隔离；其后，美国Whale Communications公司和以色列SpearHead公司先后推出了e-Gap和NetGap产品，利用专有硬件实现两个网络在不连通的情况下数据的安全交换和资源共享，从而使安全隔离技术从单纯实现“网络隔离禁止交换”发展到“安全隔离和可靠交换”。目前，美国军方、重要政府部门均采用隔离技术保障信息安全，我国的安全隔离技术的发展同样经历了类似的过程。2000年1月1日，国家保密局发布实施计算机信息系统国际联网保密管理规定明确要求“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相连，必须实行物理隔离”。该规定在互联网发展初期具有前瞻性地提出政府上网必须“物理隔离”，及时的把政府上网安全提到一个重要的高度，具有重大意义。并由此而发展出了安全隔离计算机、安全隔离卡等系列安全隔离安全产品。网御SIS-3000系列就是联想网御科技（北京）有限公司开发的高性能安全隔离与信息交换系统，它凭借强大的功能、卓越的性能、以及遍及全国各地的完善客户服务机构和保障体系为用户的网络隔离安全提供最全面、最安全的解决方案。2 网络隔离与信息交换系统技术原理2.1 工作原理安全隔离技术的工作原理是使用带有多种控制功能的固态开关读写介质连接两个独立的主机系统，模拟人工在两个隔离网络之间的信息交换。其本质在于：两个独立主机系统之间，不存在通信的物理连接和逻辑连接，不存在依据TCP/IP协议的信息包转发，只有格式化数据块的无协议“摆渡”。 被隔离网络之间的数据传递方式采用完全的私有方式，不具备任何通用性。安全隔离与信息交换系统两侧网络之间所有的TCP/IP连接在其主机系统上都要进行完全的应用协议还原，还原后的应用层信息根据用户的策略进行强制检查后，以格式化数据块的方式通过隔离交换矩阵进行单向交换，在另外一端的主机系统上通过自身建立的安全会话进行最终的数据通信，即实现“协议落地、内容检测”。这样，既从物理上隔离、阻断了具有潜在攻击可能的一切连接，又进行了强制内容检测，从而实现最高级别的安全。自有协议包隔离交换模块传输策略ApplicationPresentationTransportNetworkData LinkPhysicalSession格式化数据块格式化数据块可信网络不可信网络ApplicationPresentationTransportNetworkData LinkPhysicalSession联想网御SIS-3000系列安全隔离与信息交换系统工作原理图2.2 技术特性安全隔离与信息交换系统架构主要由内网主机系统、外网主机系统和隔离交换矩阵三部分构成。内网主机系统与内网相连，外网主机系统与外网相连，内/外网主机系统分别负责内外网信息的获取和协议分析，隔离交换矩阵根据安全策略完成信息的安全检测，内外网络之间的安全交换。整个系统具备以下技术特性：l 多网络隔离的体系结构，通过专用硬件完成两侧信息的“摆渡”。l 被隔离网络之间任何时刻不产生物理连接。l 内/外网主机系统之间没有网络协议逻辑连接，通过隔离交换矩阵的全部是应用层数据，也就是OSI模型的七层协议全部断开。l 数据交换方式完全私有，不具备可编程性。3 网御SIS-3000系列产品介绍3.1 产品定位联想网御SIS-3000系列是联想网御依靠多年信息安全产品研发的积累， 严格遵照国家有关主管部门的设计规范要求，具有完全自主知识产权的安全隔离与信息交换系统。该产品是利用网络隔离技术的访问控制产品，处于网络边界，连接两个或多个安全等级不同的网络，主要应用于政府部门网络建设中，对重点数据提供高安全隔离的保护。政府部门的主要应用定位包括：Ø 各政府部门对外提供各项便民服务的接口。Ø 各政府部门的不同安全域之间进行数据交换的接口。Ø 各政府部门与业务相关的其他政府部门之间进行数据交换的接口。国家保密局对安全隔离与信息交换类产品的应用也做了规定，规定安全隔离与信息交换系统在以下四种网络环境下应用：Ø 不同的涉密网络之间；Ø 同一涉密网络的不同安全域之间；Ø 与Internet物理隔离的网络与秘密级涉密网络之间；Ø 未与涉密网络连接的网络与Internet之间。3.2 目标客户安全隔离与信息交换系统最重要的客户群的网络特点是其内部业务网安全防护要求很高，但同时又要与其它网络互联进行适时数据交换。这些客户群原来的服务或者不对外提供，或者通过手工数据交换的方式提供数据交换。其结果是效率低，同时人总会有意无意犯错，也不够安全。例如，在税务行业随着信息化建设的深入，原有企业报税工作都需要通过互联网对外提供服务，这就要求税务业务专网与互联网之间进行数据交换，因此在税务业务专网与互联网相连的接口上需要采用安全隔离与信息交换系统。与此类似重点行业客户包括：公安、社保、石油、工商、海关、国土、军队、金融、电力等等，这些行业在把传统内部业务往互联网迁移时，都需要采用安全隔离与信息交换系统。目前，电子政务12个重要业务系统正在加速建设，其中继续完善已取得初步成效的办公业务资源系统、金关、金税和金融监管（含金卡）4个工程，启动和加快建设的宏观经济管理、金财、金盾、金审、社会保障、金农、金质、金水等8个业务系统工程建设，都将为安全隔离交换系统提供广阔的市场前景。另外电信、金融、证券、保险、电力、铁道、教育、石油、化工、军队、中小企业等的不同安全级别网络之间都对该产品存在着较大的市场需求。3.3 系统架构3.3.1 硬件架构现在国内安全隔离与信息交换系统业内的硬件架构设计主要有：双主机架构、三主机架构和“2+1”架构三种，下表为三种硬件架构的简要说明和对比分析。架构名称架构组成安全分析安全性性能双主机架构硬件由内网机、外网机和连接硬件组成，连接硬件如网线、SCSI线、USB线等两主机完成协议终止和内容检查，连接硬件采用通用可编程硬件低高三主机架构硬件由内网机、仲裁机、外网机组成内网机和外网机完成协议终止，仲裁机独立完成数据检查高低“21”架构硬件由内网机、外网机两个主机系统和一个隔离交换矩阵组成两主机完成协议终止和内容检查，隔离交换矩阵不受主机系统控制高高基于安全隔离与信息交换系统要在硬件上实现接近于物理隔离的原则，就要求系统的三部分硬件必须互相独立，并且通过隔离交换硬件实现切换来确保内外网两个主机系统任何时刻不直接相连。联想网御SIS-3000系列安全隔离与信息交换系统硬件架构采用“2+1”模型结构设计，即内网主机系统、外网主机系统加上隔离交换矩阵。 内外主机系统采用专有工控主板设计，性能稳定、质量可靠，隔离交换矩阵采用专有硬件交换电路设计的双通道隔离交换模块，隔离交换模块拥有完全的自主知识产权。隔离交换模块基于专有的Leadsec ASIC安全隔离芯片和交换芯片，是内外网主机系统唯一的连接部件，因此内外主机系统之间不存在任何网络设备连接。其中，Leadsec ASIC安全隔离芯片通过多线程并行固化处理将数据块转化为自有协议格式的数据包，交换芯片的交换子系统和开关控制子系统实现对数据的临时缓存和安全交换。硬件架构如下图所示：联想网御SIS-3000系列安全隔离与信息交换系统硬件架构原理图通过交换芯片的开关控制子系统，隔离交换模块首先断开彼此之间的物理连接，分别通过ASIC芯片连接内外网主机系统，内外网主机系统通过ASIC芯片将数据块封装为自有协议格式写入交换芯片的交换子系统和/或通过ASIC芯片读出交换子系统缓存将自有协议格式数据拆封为数据块，完成一次摆渡；然后隔离交换模块通过开关控制子系统断开与内外网主机系统的连接，彼此之间建立连接，自动进行协商，实现数据交换，完成二次摆渡。通过这种双摆渡技术，内外网络永远不会直接连接，由于采用专门设计的硬件隔离交换模块进行数据交换，没有任何管理接口，因此，内外网主机系统之间无法进行基于网络协议的数据交换，从而从硬件层面保证了内外网主机系统之间的安全隔离。隔离交换模块具有独立的硬件交换控制逻辑，无OS及任何“软”控制，自主完成数据的交换，主机系统只负责把数据块传递到隔离交换模块，由隔离交换模块根据硬件控制逻辑自动完成自有协议的封装和数据交换，自动同步两侧控制逻辑，进行互斥的读写操作，同时还具有自动数据完成性校验，当发现数据错误时，自动重传，保证数据的完全正确，从而实现内外网主机系统真正的物理隔离交换。3.3.2 软件架构联想网御SIS-3000系列安全隔离与信息交换系统通过基本模块实现关键的数据交换功能，它是内外网主机系统进行信息交换的唯一接口，其他任何功能模块都建立在基本模块之上，通过核心层驱动程序的设计和隔离交换模块高速全双工流水线设计，使得内部数据交换达到最大的性能。其他各功能模块建立在对通信过程七层还原的基础上，以模块化设计。对常见的网络协议以独立的功能模块完成，用户可根据不同的应用需求选用，系统还提供应用层检测二次开发功能来适应特殊的用户需求。此外，系统提供基于数字认证的多种远程管理功能，功能强大的集中管理、日志审计等多种管理手段，有效的帮助用户使用和管理安全隔离与信息交换系统。每个主机系统的软件系统架构如下图所示。联想网御SIS-3000系列安全隔离与信息交换系统主机系统软件架构图3.4 产品优势3.4.1 高安全性基于测试统计，普通防火墙设备对于基于网络层的攻击绝大部分可以拦截，对基于应用层的攻击基本无法拦截；联想网御SIS-3000系列安全隔离与信息交换系统对于各种基于网络层和应用层的模拟攻击实现了100%的拦截。n 安全的硬件隔离体系联想网御SIS-3000系列安全隔离与信息交换系统通过专有隔离交换模块实现基于硬件的安全隔离，Leadsec ASIC芯片将数据块转化为自有协议格式的数据包，交换芯片的开关控制系统使得两个网络之间没有任何的物理连接，没有任何的网络协议可以直接穿透，从而建立了一个安全可靠的安全隔离硬件体系。n 安全的操作系统凭借联想网御在安全设备上的长期积累建立的专有抗DDoS内核的VSP（Versatile Secure Platform）通用安全平台，针对安全隔离与信息交换系统量身定制，具有极高的安全性。对于Syn flood、CC攻击、HTTP Get Flood、Dns Query Flood等各种DDoS攻击均可彻底阻挡。同时，操作系统固化于内外网主机系统的硬件中，不能被随意修改，而日志采用专门的日志服务器管理，把操作系统和日志存储系统分开，使得系统结构更加安全。n 应用协议内容安全联想网御SIS-3000系列安全隔离与信息交换系统根据不同的应用需求，量身定制多个功能模块，满足用户的不同应用需求，主要包括：Ø 文件交换模块：实现不同安全等级网络间文件的安全交换，支持NFS，Smbfs等常用文件系统，支持更新传输、改名传输、传输后删除等多种方式，文件传输过程中，支持强制性的文件类型、文件内容（黑、白名单）等检查。Ø 数据库传输模块：在内外网隔离环境下实现对Oracle、Sybase、SQL server、DB2等多种数据库系统的安全访问和同步，支持TNS协议、支持授权用户安全。Ø 邮件传输模块：在内外网隔离环境下实现内网用户安全访问外网邮件服务器，支持电子邮件地址控制，支持邮件主题过滤、内容过滤、附件过滤。Ø 安全浏览模块：在内外网隔离环境下保证内网用户安全浏览外网资源，支持本级认证、Radius、LDAP认证，支持URL过滤、ActiveX、Cookie、JavaApplet等恶意代码过滤。Ø FTP访问模块：在内外网隔离环境下实现安全的FTP访问，支持动态建立数据通道，支持用户控制、命令控制、文件类型控制等细粒度访问控制。Ø TCP/UDP访问模块：在内外网隔离环境下特定TCP、UDP协议的数据交换。Ø 其他模块：用户定制的专用应用模块。不同的功能模块根据各自的需求特点，在应用层实现了功能强大的过滤机制，通过对应用层内容的过滤和检测，进一步保障数据的安全。这些包括：关键字检测、黑白名单过滤、文件类型检验、用户名/口令校验、数据数字签名、身份认证、控件过滤、脚本过滤、URL过滤、邮件属性过滤等等。系统还可以根据用户的安全需要进行二次开发，对用户数据进行深度安全检测。n 网络层安全主机系统支持包过滤检测技术，支持通过源地址、目的地址、流经的物理端口、协议类型等多种元素设定过滤规则。通过对安全策略的设定，使得安全隔离与信息交换系统直接在网络层就能拒绝部分非法连接的访问。n 强的抗攻击能力联想网御不断深入分析应用协议，根据协议规范和跟踪用户使用习惯形成“访问内容白名单”嵌入到主机系统中，并且融合独创的智能算法形成“智能白名单技术”对数据报文的协议格式和数据内容进行快速严格检查，通过专有算法智能比对正确协议格式和数据内容的“白名单”，从而实现对各种畸形攻击数据报文的拦截。主机系统内置独立的联想网御自主研发的USE（Uniform Secure Engine）统一安全引擎，与系统紧密集成，包括包解码、规则解析及检测引擎、日志记录及报警等子模块。采用实时入侵检测机制和自动响应技术，可选择配置不同的攻击特征码并且支持攻击特征码分类，可以根据大类进行特征码选择。攻击的特征库包括IP地址欺骗、ARP欺骗、Ping Of Death、Smurf、扫描攻击、SMTP攻击、HTTP攻击、FTP攻击等多类攻击，可以检测到网络中的绝大多数入侵行为，可以实时设置阻断规则，将入侵及时阻断。并且提供攻击特征码的升级和特征码的自定义。n 防IP地址盗用为了防止IP地址被非法盗用，安全隔离与信息交换系统采用IP 与MAC 地址绑定技术校验主机的合法性。系统能够对指定接口所连接的网络中主机的IP 和MAC 地址进行绑定，防止IP 盗用，对非法IP 地址的访问系统会进行详细记录，以便管理员查看，而且系统能够通过自动探测来发现IP和MAC的对应关系，使整个配置过程简单快捷。3.4.2 高性能联想网御SIS-3000系列安全隔离与信息交换系统的系统吞吐量为线性处理速度的80%以上。如此高的处理能力依赖于以下技术的成功应用。n ASIC并行处理技术隔离交换模块上的Leadsec ASIC安全隔离芯片采用了多线程并行处理技术，提供了多个安全通道，解决了多网接入时数据摆渡带宽瓶颈问题。n ASIC协议处理技术隔离交换模块上的Leadsec ASIC安全隔离芯片通过硬件固化处理将数据块转化为自有协议格式的数据包，实现了协议转换时的线性处理。n 双摆渡传输技术隔离交换模块上的交换芯片通过独特的开关控制系统实现双摆渡传输机制，从而实现同一时刻内外网交换卡之间或交换卡与主机系统之间的双向数据高效交换。n 链路聚合技术通过主机系统的链路聚合技术可实现将两个物理链路聚合成为一个逻辑链路，从而解决了多个外网访问单一内网时主机与内网数据传输过程中的带宽瓶颈问题。3.4.3 高适用性n 灵活的多网隔离联想网御SIS-3000系列安全隔离与信息交换系统在支持两网隔离的同时，为了满足多个相同安全级别的外联网络要与可信网络隔离的需求，进一步支持多网接入隔离，即可以同时接入多个外联网络，比如交警网络和多家银行网络同时互联，并且每个主机系统的网络接口之间在系统内部固化实现无法互访，具有更大的网络适用性。基于VSP通用安全平台，可将外网主机系统的任一网口与隔离交换矩阵中的ASIC芯片的一个或数个固化通道绑定，继而与内网主机系统的一个或数个网口绑定，从而实现一对一或一对多的网络隔离交换；同样地，外网主机系统的多个网口也可通过隔离交换矩阵中的ASIC芯片与内网主机系统的一个网口建立多对一的网络隔离交换；内网主机系统和外网主机系统的各自网口间通过VSP禁止互访。n 灵活的安装部署系统通过在内外网主机系统上影射内外网服务器的方式，可以在不改变用户网络环境的情况下，实现设备的接入，极大地方便了设备的安装部署。3.4.4 高可靠性基于MRP（Multi-Layers Redundant Protocol）多重冗余协议实现多重化冗余方案，支持端口冗余、链路聚合、双机热备、负载均衡，保障了用户网络和应用的高可靠性。n 端口冗余系统支持多层次的高可靠性，在单机模式下可以支持端口冗余和链路聚合，既可以提高带宽又可以保证某个线路有问题时，不影响系统的使用。n 双机热备双机模式下支持虚拟IP和双机热备功能，两台安全隔离与信息交换系统网闸通过心跳检测进行互相监控，如果其中的一台出现故障（宕机、网络故障），那么另一台就顶替出现故障的网闸提供服务。n 动态负载均衡系统支持多机负载均衡的功能。232台安全隔离与信息交换系统组成一个服务机群，通过负载均衡技术，采用高效调度算法，将外部客户请求视服务机群中各安全隔离与信息交换系统上的负载状况合理分配到某台安全隔离与信息交换系统上，籍此大幅提高获取数据的速度，解决海量并发访问问题。无需额外第三方软硬件支持。3.4.5 高管理性 n 强大、多样的管理方式有机结合多种管理方式，能够最大限度的满足客户不同的管理需求：Ø 管理员分级：支持系统管理员、审计员、任务管理员等多种管理身份。Ø WEB方式管理：支持基于数字证书的HTTPS的Web方式管理。Ø 命令行方式管理：支持串口命令行管理，SSH命令行管理，所有的管理功能都可以通过命令行实现。Ø 集中管理：可以通过联想网御的集中管理工具和Leadsec进行集中管理。集中管理包括拓扑生成、全局集中日志审计、全局集中监控等。n 高效的集中式管理系统联想网御的Leadsec安全管理系统，以统一的策略和集成的平台对受控网络进行安全配置和管理。集中管理员通过集中管理中心可以对全局网络中的安全设备完成集中、统一的配置、管理和系统监视工作。这种管理模式对于拥有多台联想网御安全设备的大型企业网络的安全管理尤为重要。它一方面提高了网络安全规则的一致性，增进网络的安全性，另一方面也为管理员提供了方便的配置和诊断工具，使管理员可以腾出更多精力的关注更高级的安全管理工作。Leadsec安全管理系统主要包括以下功能：Ø 设备自动发现功能。通过对网络的探询或侦听可以生成和维护全局设备列表；通过该列表，管理员可以进行集中的安全配置和管理。Ø 支持对单台和多台安全设备运行状态的实时监控。利用SNMP协议从安全设备端收集运行状态数据，经过一定的运算和处理以可视化图表和数字的形式呈现给管理员，使管理员及时准确的了解设备当前的运行状态。Ø 实时安全事件报警。从网络上监听SNMP Trap形式的报警报文，经过快速处理后实时的以醒目的方式（如声音、视觉）呈现给管理员。Ø 集中的日志查询系统和管理员操作审计系统。可以对安全设备的日志进行集中查询和对管理员的操作进行审计。n 完善的日志和审计完善的日志和审计系统是一个具有完整安全体系的安全产品中不可或缺的部分。联想网御SIS-3000系列安全隔离与信息交换系统提供了强大的日志和审计功能：所有的系统事件都有相关的日志记录。日志分为多个功能分组，如系统日志、管理日志、各功能模块日志、攻击日志等等，日志格式支持WebTrends格式。基本的日志审计功能可以在系统上完成，另外复杂功能也可以通过独立的日志服务器来完成。日志的审计功能包括对隔离和信息交换系统事件和网络事件的统计、查询、分析等。n 友好的管理界面Web系统通过专业的人机界面设计，功能组织合理，符合直观思维。支持全套的命令行，Web界面可以完成的功能通过命令行都可以完成，充分满足网络管理员的专业化需求。支持配置信息的导入导出、加密备份，方便备份管理。通过智能化的License控制实现模块管理，使用时只需激活相应License即可实现对应功能，大大减少了系统的部署时间。3.5 核心技术联想网御在安全隔离与信息交换系统业内开创了多网隔离技术，并首次成功采用ASIC安全芯片，从而构建了高安全性、高性能和高适应性的多网隔离硬件平台。独创的硬件架构、多网隔离技术和超强的抗攻击能力，是联想网御SIS-3000系列安全隔离与信息交换系统的核心技术。n 独创的多网隔离具体详见3.4.3节的“灵活的多网隔离”部分。n 独创的硬件架构联想网御SIS-3000系列安全隔离与信息交换系统硬件架构采用“2+1”模型结构设计，即内网主机系统、外网主机系统加上隔离交换矩阵。具体详见3.3.1节部分。隔离交换模块是整体硬件架构的技术核心，采用专有Leadsec ASIC安全芯片和交换芯片设计，具有如下特点：² 硬件实现自有协议封装：隔离交换模块上的Leadsec ASIC安全隔离芯片通过硬件固化处理将数据块转化为自有协议格式的数据包，实现了协议转换时的线性处理。² 多线程并行处理技术：隔离交换模块上的Leadsec ASIC安全隔离芯片采用了多线程并行处理技术，解决了多网接入时数据摆渡带宽瓶颈问题。² 独立控制逻辑：隔离交换模块具有独立控制逻辑，无操作系统，不受任何软系统控制，数据交换不受任何外部信号和指令控制，完全基于硬件进行安全交换。² 双摆渡传输技术： 隔离交换模块上的交换芯片通过独特的开关控制系统实现双摆渡传输机制，隔离交换模块自动进行协商，从而实现同一时刻内外网交换卡之间或交换卡与主机系统之间的双向数据高效交换。² 硬件自动协商：隔离交换模块的开关控制系统按照分时轮询机制实现对连接的自动、高效的控制，内外网两交换卡之间协商实现时钟同步，进一步实现开关同步，避免了信号死锁。² 可靠传输控制：自有协议支持CRC校验以保证隔离交换模块之间数据的可靠传输，系统自动进行CRC校验，当出现CRC校验错时，系统支持数据重传，真正实现服务器级可靠性。n 超强的抗攻击能力具体详见3.4.1节的“超强的抗攻击能力”部分。3.6 产品特性与功能分类功能点详细描述产品架构系统架构采用 “2+1”系统架构，即由两个主机系统和一个隔离交换矩阵组成，主机系统采用VSP通用安全平台，隔离交换矩阵基于LeadASIC专用芯片实现主机系统间采用自有协议摆渡数据，确保信任网络和非信任网络之间任何连接的断开，彻底阻断TCP/IP协议及其他网络协议隔离交换矩阵自主研发的硬件，无操作系统，外界无法编程控制，而不是采用低安全性的通用可编程硬件，如网线、SCSI、USB等功能模块文件交换实现文件的安全交换，支持NFS、SMBFS等文件系统和多种细粒度检测控制功能支持改名传输方式，可实现对源文件改名，标明传输状态支持增量传输方式，可实现只传输修改和增加了的源文件支持传输后删除方式，可实现传输结束后删除源文件FTP访问实现安全的FTP访问，支持对用户、命令、文件类型等细粒度访问控制支持动态建立数据通道，并可对访问端口号自由定义数据库传输实现对多种主流数据库系统的安全访问和同步，支持TNS协议，支持对访问数据库的用户进行控制邮件传输实现用户安全访问邮件服务器，访问过滤选项涵盖邮件地址、主题、正文内容、附件等安全浏览实现内网用户安全浏览外网资源，支持本地、Radius、LDAP等认证方式，提供对URL、ActiveX、Cookie、JavaApplet等的过滤功能定制访问实现特定TCP、UDP协议的数据隔离交换，可合作定制开发针对特定协议的安全检测，实现如黑白名单控制、关键字过滤等攻击防御专业检测引擎主机系统内置USE统一安全引擎入侵检测功能具有实时入侵检测机制，可设置阻断规则，实时阻断入侵攻击特征库规则1600条以上，并可自定义检测规则和扫描攻击检测阈值抗DDoS攻击具有抗DoS、DDoS攻击功能，当拒绝服务攻击发生时能保障对正常应用请求的应答关联安全应用内网管理联动遵循CSC关联安全标准，实现与内网安全管理系统联动设备管理联动遵循CSC关联安全标准，通过Leadsec安全管理系统实现集中安全管理管理方式灵活多样的管理方式支持HTTPS的Web方式管理，实现了远程管理信息加密传输支持命令行方式管理，可通过命令行完成全部管理配置工作高效的集中管理内/外网主机系统分别具有独立管理接口，管理员分级管理，而不是采用低安全的管理方式，如通过网络接口管理、通过内网一个管理接口完成全部管理等高安全的管理形式内/外网主机系统分别具有独立管理接口，管理员分级管理，而不是采用低安全的管理方式，如通过网络接口管理、通过内网一个管理接口完成全部管理等适应性多网隔离能力外网主机系统可连接多于2个相同安全级别的网络，内网主机系统可连接多于1个相同安全级别的网络接入方式支持相同网络地址的网络间部署，网络部署适应性强IP/MAC地址绑定支持IP/MAC地址绑定，具有自动学习功能时间控制支持自由定制时间策略域名控制支持域名访问控制策略可靠性专用冗余协议支持MRP多重冗余协议，保障设备的高可靠性双机热备通过独立的热备端口实现双机热备负载均衡支持232台设备实现负载均衡，无需第三方软硬件支持端口冗余支持设备自身物理端口冗余功能链路聚合物理端口支持802.3ad标准，实现链路聚合功能日志审计日志管理日志实现按功能模块分组管理，支持WebTrends格式日志审计实现对日志的浏览、查询、导出、删除等操作3.7 产品端口形式列表产品型号产品端口形式百兆标准型端口为6个100M自适应电口，可扩展。千兆标准型端口为6个10/100/1000M自适应电口，可扩展。千兆增强型端口为8个1000M端口，支持光口，可扩展。4 典型应用及解决方案4.1 网上报税安全隔离解决方案随着税收征管改革工作的不断深入和完善，采用信息化、现代化的纳税方式已成为趋势，远程电子申报纳税就是一种先进的申报方式。网上申报纳税，依据其依托的不同网络可分为互联网申报方式和计算机远程点对点申报方式。网上申报方式因企业端软件运行在互联网上，有害病毒和黑客攻击可能直接危害到税务部门的内网安全，所以纳税申报数据在税务部门内外网交换时，为确保税务部门内网的安全，内外网必须实现安全隔离。联想网御网上报税安全隔离解决方案的物理模型如下图：网上电子申报纳税系统在税务端分为外网受理平台、内网处理平台和内网申报数据库三部分。此安全隔离解决方案通过使用联想网御SIS-3000系列安全隔离与信息交换系统保证内外网之间安全隔离的特性，实现申报数据文件和申报反馈信息在内外网间进行安全交换，确保税务内网的高度安全。外网受理平台需要将企业通过互联网提交的申报电子信息生成申报信息数据文件通过联想网御SIS-3000系列安全隔离与信息交换系统“摆渡”传递给内网处理平台，处理平台接收申报信息文件，审核后存储到申报数据库中，并将申报结果以信息文件的形式通过安全隔离与信息交换系统“摆渡”传递回外网受理平台，从而反馈给企业客户端。4.2 公安旅店业安全隔离解决方案公安的旅店业管理系统已经在全国铺开，通过该系统对流动人口进行查询、管理，是公安系统网上的重要应用之一。各旅店根据旅客的身份证，通过网上到公安网查询其信息，为保证其安全需求，在公安网边界部署安全隔离与交换系统。联想网御公安旅店业安全隔离解决方案的物理模型如下图：4.3 多网接入安全隔离解决方案现在，交警、电业局、自来水公司等单位在通过银行实现其相关费用代收时一般要与多家银行进行网络连接。安全隔离与信息交换系统在这样的网络中部署时使客户出现了困扰，原因在于现有其它厂商的安全隔离与信息交换系统的两个主机系统都只是分别提供一个网络连接接口，也就是说现有安全隔离与信息交换系统部署时每个主机系统只能连接一个网络，那么在不能将各家银行网络连接到同一个交换设备上的安全要求下，一般的解决方式只能是有几家银行接入就部署几台安全隔离与信息交换系统。这样的解决方案很明显是过于浪费的！ 以交警网络与银行网络连接为例，我们仔细分析发现各银行网络相对于交警内网都是相同安全级别的网络。在各银行网络在实现无法互访和分别能与交警内网进行数据交换的前提下，是可以通过一台安全隔离与信息交换系统与交警内网相连接的。联想网御安全隔离与信息交换系统在外网主机系统上提供多个网络连接接口，从而实现同时可以连接多个相同安全级别的网络，并且每个网络接口之间在系统内部固化实现无法互访，只能在安全策略控制下通过安全隔离模块与内网主机系统实现数据“摆渡”交换。5 常见问题解答5.1 安全隔离和信息交换系统和防火墙有什么区别安全隔离和信息交换系统与防火墙系统是两个不同的概念，国家已经把两者划入两个不同的产品类别，两者的不同主要体现在硬件结构不同，实现的技术路线不同，所能达到的安全强度也不同：u 硬件体系不同：安全隔离产品采用双主机加隔离硬件的“2+1”结构，使得两个网络之间没有任何的网络物理连接，没有任何的网络协议可以直接穿透，而防火墙属于单机结构，是基于标准的网络协议直接转发的。u 技术路线不同：防火墙内部的协议栈是标准的IP协议栈，在多个接口间通过标准的协议完成路由、转发、状态包过滤等工作，对攻击的检测是基于已知的攻击行为的。安全隔离和信息交换系统则是基于应用协议还原，内部的通信是非标准的安全专用协议进行“摆渡”，天然的具备抵御标准协议自身隐含漏洞的能力，可以抵御基于协议本身的已知和未知的攻击。u 安全强度不同：Ø 安全隔离产品的转发是建立在七层数据还原后的基础上，根据过滤结果，通过隔离卡摆渡后重新建立连接发送完成的，是物理隔离。而防火墙一般是基于数据包的检查，是逻辑隔离。Ø 防火墙由于是单机结构，一旦系统由于配置错误等原因被攻破后，整个内网就会暴露在攻击者面前。而安全隔离和信息交换系统是多主机结构，即使最坏的情况出现，外网主机被攻破，由于内外网之间通过隔离卡隔离，通信协议非标准，编程接口具有专用性，攻击者也不可能攻击到内网。5.2 安全隔离和信息交换系统与物理隔离卡是否一样 不一样。安全隔离和信息交换系统是网络边界访问控制设备，隔离的是可信网络和内部网络。物理隔离卡是在单机系统上，通过单机系统开关切换，使受保护的主机不能同时访问两个网络的。5.3 安全隔离和信息交换系统是否是全能的安全产品不是。安全隔离和信息交换系统虽然综合了多种软硬件技术来保证本身和内部网络关键应用服务器的安全，但安全本身是多层次全方位的体系结构，寄希望于一个单一产品实现所有的防护功能，解决所有的安全问题是不现实的。比如传统的桌面防护产品，防病毒产品等所实现的功能，安全隔离和信息交换系统就基本不涉及。每个产品都有其专业化的优势，没有“全能”的产品。6 标准与资质认证执行标准：GB/T 18019-1999 包过滤防火墙安全技术要求GB/T 18020-1999 应用级防火墙安全技术要求GB/T 17900-1999 网络代理服务器的安全技术要求GB/T 18336-2001 信息技术安全性评估准则GA/T 390-2002 计算机信息系统安全等级保护通用技术要求GA 370-2001 端设备隔离部件安全技术要求DB11/T 145-2002 政务公开网站通用安全技术要求B/T16642-1996 计算机集成制造系统体系结构IEC61739-1996 集成电路-生产线的批准程序和质量管理SJ/T10532.9-94 工艺管理、生产现场工艺管理JB/T9269-1999 工业控制计算机系统安装环境条件SJ/T10565-1994 印刷板组装件装联技术要求产品认证：Ø 计算机信息系统安全专用产品销售许可证 Ø 中国国家信息安全评测认证中心 Ø 国家保密局科学技术成果鉴定证书 Ø 中国人民解放军信息安全评测认证中心