2004・7 计算机安全
11
Network&Computer Security
国保金泰安全隔离与信息交换系统是北京国保金泰信息安全技术有限公司送测的隔离产品。该公司是从事信息系统安全技术产品研发、信息安全系统服务和信息安全系统集成的高新技术企业。
该产品在技术实现上,根据国家对网络管理的相关规定,提出了硬件映射隔离技术(HRITM),并将此技术运用于该隔离交换产品上。 该技术对处于内部网络的网关位置隔离系统,可以截获所有在网络上传输的数据包,并通过解析数据包头来判断信息的流向,进而将数据包头状态在本地保存,并将数据包中不包含连接信息的纯数据部分通过硬件映射隔离技术(HRITM),在内外网间进行纯数据交换,然后根据数据需要重新构造连接信息。通过上述构造,国保金泰安全隔离与信息交换系统保证了系统之间的安全隔离与交换。同时,基于HRITM技术的隔离交换卡是连接内端系统和外端系统的唯一数据通道。在HRITM隔离交换卡上,它提出了芯片级信道控制技术,即通过芯片检测及芯片互锁机制在内端系统和外端系统之间建立起 完全隔离的两条数据通道,一条数据通道仅传输内网到外网的数据,另一条数据通道仅传输外网到内网的数据,通过对数据流向的分离达到对信道的完全控制。
安全隔离与信息交换系统产品点评
该产品在管理上,采用了专用管理平台,提供了专门的日志审计,审计日志可以基于自主加密、SysLog等方式输出。同时,还提供了运行日志、告警日志、认证日志、审计日志、操作日志五大类日志信息,并可通过日志审计系统进行类别、用户账号、时间段、地址、告警级别等综合热点查询。
在功能实现上,该产品所具有的功能包括:通过内端系统的包过滤和应用代理及认证模块实现对内网用户请求的认证和管理,并支持合法内网用户进行网页浏览和邮件收发;
通过内端系统内容过滤模块对由内网发往外网的邮件进行检查和过滤,防止内部信息非法泄露;通过与硬件卡配合的专用数据传输协议实现数据的交换;通过外端系统的入侵检测模块检查来自外网的攻击;通过外端系统的包过滤防火墙模块防止来自外网的非授权访问;通过防病毒模块检查和阻挡来自外网的病毒;通过日志管理模块动态显示当前数据交换的安全状态,并记录所有网络活动以备审计追踪;支持的通信协议包括:HTTP、HTTPS、FTP、SMTP、POP3、Oracle(TNS)、SQLServer、ODBC、DNS、LDAP以及基于自主协议的TCH专用通信API;同时还提供专用数据交换套件,包括数据库同步套件、邮件同步套件、文件同步套件等。
在安全性和性能方面,该产品的操作系统采用了经过安全加固的安全操作系统,可以对内部应用程序和数据提供强制访问控制;在数据交换时,安全隔离系统的内端机和外端机之间并不存在网络协议,因此如果是隔离器不认识的协议将完全不能通过,利用网络进行渗透的恶意程序将不能生效,同时其单层协议栈结构也确保了检查的有效性,解决了传统安全防护手段所遇到的信息旁路问题。
总体来说,该产品设计架构安全,产品功能丰富,审计
功能强大,同时,该产品也具有较好的网络传输性能。
浪潮网泰安全隔离网闸NS-0310
浪潮网泰安全隔离网闸NS-0310是浪潮集团有限公司推出的安全产品,该公司是从事信息系统安全技术产品研发、信息安全系统服务和信息安全系统集成的高新技术企业。
在技术实现上,该产品有两套处理系统,称为内端系统和外端系统。内端系统和外端系统是两套独立的系统板,各
自都拥有自己的CPU、存储体和总线,并且在两套系统间除通过基于HRITM技术的隔离交换卡外,不存在直接或间接的联系。内端系统用来处理内部网络的信息,包括用户请求、认证、权限控制等;外端系统用来处理外部网络的信息,如获取Internet资源等。同时,该产品使用基于HRITM技术的隔离交换卡,此卡是连接内端系统和外端系统的惟一数据通道。
在HRITM隔离交换卡上,提出了芯片级信道控制技术,即通过芯片检测及芯片互锁机制在内端系统和外端系统之间建立起完全隔离的两条数据通道,一条数据通道仅传输内网到外网的数据,另一条数据通道仅传输外网到内网的数据,通过对
精馏装置
数据流向的控制达到对信道的完全控制。
物理隔离网闸专辑
计算机安全 2004・7
12
Network&Computer Security
在管理上,浪潮安全隔离与信息单向传输系统可以通过GUI、Console进行管理配置,其中GUI管理配置提供独立网络接口,以保证更高安全性,管理配置需要通过系统身份认证。在日志分析方面,浪潮安全隔离与信息单向传输系统提供完善的日志分析工具,可以通过GUI方式进行日志的查询与维护,日志分析需要通过系统身份认证,日志支持导入导出。
在功能上,浪潮网泰安全隔离网闸NS-0310集成了国家保密局指定的涉密文件密级标识检查系统和高效内容检查系统,可以对邮件及其附件做内容检查,对邮件附件做密级标识检查,附件检查格
式支持.zip、.rar、.arj、.tar等,附件文档格式支持.doc、.ppt、.xls等。对于HTTP请求,浪潮网泰安全隔离网闸NS-0310遵循RFC标准对所有HTTP数据进行解析,对于绝大部分HTTP隐通道可以进行过滤,数据到达目的地后
热电堆也同样按照RFC的标准进行恢复。
同时在浪潮网泰安全隔离网闸NS-0310的外端系统上还集成了防病毒模块(可选),可以对网页病毒、邮件病毒等进行过滤,并对含毒邮件报警,提醒用户重新连接。
在安全性上,由于浪潮网泰安全隔离网闸NS-0310内部并不存在任何网络协议,因此在外网系统中无法通过网络对内网进行攻击,通过了赛迪评测本次的端口扫描、系统漏洞、木马、DoS/DDoS等攻击测试。另外,假设极限情况是外端系统可能被攻破,但其特殊的安全机制保障了攻击信息不会进入内网,从最大程度上保证了内网的安全。
总体来说,浪潮网泰安全隔离网闸NS-0310配置管理方便快捷,功能设计完善,安全访问控制能力强,并具有较好的安全性和性能。
联想网御SIS-3000V3安全隔离与信息交换系统
联想网御SIS-3000V3安全隔离与信息交换系统是联想公
司研制的网络安全隔离产品。
汽车油箱结构该产品在技术实现上采用多主机隔离结构。交换模块采用专有硬件设计,通过专有安全芯片实现内外网数据的交换,使得系统具有高度安全性,同时也具有很高的交换性能,系统从硬件层面实现了内外网安全隔离,保证任意时刻内外网间没有链路层连接,数据只能以专用数据块方式静态地在内外网间通过网闸进行“摆渡”,通过对连接和数据包的获取、阻断、分离、检测、重组、交换、恢复、连接等一系列安全操作完成数据的隔离与交换。该产品在提高和保障用户的网络安全时,最大限度地保证了用户应用的方便性。该产品同时集成多种安全技术手段,采用强制安全策略,对数据内容进行安全检测,保障数据安全、可靠地交换。
在管理上,该产品具有基于数字证书的远程移动安全管理工具。提供基于全中文WEB方式的远程管理系统,方便用户移动管理,同时对管理员身份进行严格的认证,支持基于HTTPS的数字证书安全访问,对用户密码进行严格的检查,防止出现弱密码,并对输入错误次数进行限定,保护管理员身份安全。
基于串口通讯管理工具。系统还提供本地串口登录管理功能,在远程管理失效或者遭受非法攻击等情况下,通过物理上接近系统,能够及时地进入并管理配置系统。
该产品提供了强大的日志和设计功能,支持SysLog等标准日志服务,支持对所有访问的日志记
录功能,提供对本地日志信息的浏览、查询、排序、下载等多种审计手段,还支持对指定事件的多种报警方式,包括:界面报警、邮件报警、手机短信报警等等。
在功能上,该产品针对不同的应用具有完善的应用功能模块,主要应用模块包括:文件交换模块、数据库模块、邮件模块、安全浏览模块。
在基本功能实现上,该产品采用协议剥离技术,只进行纯数据的交换,集成入侵检测引擎。
在应用模块上,该产品支持HTTP/HTTPS、POP3、SMTP、FTP、SAMBA、NFS、DNS等多种应用层协议,不同的功能模块分别对这些协议进行细粒度检测。主要实现功能包括:关键字检测、黑白名单过滤、文件类型检验、用户名/口令校验、数字签名校验、身份认证、控件过滤、脚本过滤、URL过滤、邮件属性过滤、垃圾邮件过滤、异构数据库交换、数据库关键字冲突解决等等。系统还提供二次开发接口,可以提供定制服务,对用户自定义协议进行安全检测。
在安全性上,该产品可以阻止、发现对安全隔离网闸本身的攻击 、阻止有害代码程序进入被隔离的网络,防止有害的可执行程序、病毒、脚本通过安全隔离网闸交换;防止机密信息泄露,在交换方向、交换内容上进行控制,防止内部机密信息泄露。
总体来说,该产品管理简单,功能上能很好地支持数据库,同时也具有较好的安全防护,是一款较好的产品。
盖特佳网杰安全隔离与信息交换系统
盖特佳网杰安全隔离与信息交换系统是北京盖特佳信息安全技术有限公司自主研发的隔离产品。盖特佳公司是专门
从事信息安全服务和安全产品研发的高科技民族企业。
该产品在技术上,通过专用通信硬件、专有交换协议和加密签名机制及应用层数据提取技术,实现了在不同安全级别的网络之间完成风险可控的数据交换,
不仅彻底阻断了网
物理隔离网闸专辑
Network&Computer Security
络间的直接TCP/IP连接,而且对网间通信的双方、内容、过
程施以严格的身份认证、内容过滤、安全审计等多种安全防
护机制,从而保证了网间数据交换的安全可控,杜绝了由于
操作系统和网络协议自身的漏洞带来的安全风险,能够有效
地防范已知和未知的攻击行为。同时,盖特佳网杰安全隔离
与信息交换系统也是一个安全防护平台,在此平台基础上可
完成多种安全防护措施和手段,能够最大限度地保护网络免
受攻击并防范重要信息的有意或无意泄露。
该产品在管理上,采用基于GUI方式的C/S 架构,对系
统进行集中管理。管理实行分权管理,超级管理员、管理员
和审计员的管理权限既相互独立又相互制约,能够有效地保
证管理的可靠性;管理策略支持脚本语言,通过脚本语言,能
够对系统进行远程集中管理;管理认证方式采用基于PKI技术
的身份鉴别和认证方式,支持标准X.509数字证书,密钥存
储支持密钥磁盘和USB KEY,能够有效地保证管理员身份鉴
别的可靠性;产品提供详细的审计功能,能够对所有通过系
统的信息交换活动和管理活动进行监控和审计,并提供相应
的信息分析功能。
该产品在功能实现上,具有较好的自身安全性、较好的熔炼焊剂
安全访问控制、强大的应用层安全防护等功能,是一款有较
高安全性的安全设备。产品采用硬件架构和安全裁减的操作
系统,系统本身具备高安全性;产品能够对数据交换的双方、
内容和过程进行严格的控制,具备精细的安全访问控制功
能;产品通过应用层数据提取技术,对应用层数据进行内容
检查,具备应用层安全防护功能,通过专用通道和专用协议,
能够有效地隔离可信网络和不可信网络,能够达到在不同的
涉密网络之间、同一涉密网络的不同安全域之间、与互联网
络物理隔离的网络和秘密级涉密网络之间或者未与涉密网络
相连接的网络和互联网络之间实现安全隔离的目的。
该产品在安全性和网络性能方面,也具有较好的表现。在
测试中,该产品有效地抵抗了所有的测试攻击,并能够有效地
防止木马程序。在性能方面,也有很好的表现,能够用于大中
型网络的安全隔离与信息交换,实现信息的隔离与交换。
总的来看,该产品具备防止外部攻击和内部泄密的功
能,能够实现可信网络和不可信网络之间的安全数据交换,
是一款新型的通道式安全隔离产品。
伟思安全隔离与信息交换系统ViGap 100
伟思安全隔离与信息交换系统(ViGap)是伟思集团运用
GAP技术研制的网络安全产品。
在技术实现上,采用了三种技术。一是电子开关通断技
术,保证可信网络与不可信网络在ViGap设备上的物理隔断,
它包含了设计的硬件电子开关动作系统,使得连接可信网络
端和不可信网络端的两组高速电子开关配合系统数据流分时
地“接通”、“断开”。二是采用反射GAP技术,它的内部反
射GAP系统完全基于硬件体系,目的是将不可信网络端计算
机存储系统和可信网络端计算机存储系统中的数据进行快速
交换。反射GAP系统不依赖于任何通信协议和操作系统服
务,它具有独立的硬件逻辑电路,通过独立的总线交换数据,
实现了网络间数据的高速交换。三是采用协议终止及分析技
术。当网络数据流经ViGap时,数据在ViGap设备计算机系
统上被处理,经过协议终止、协议检查并剥离数据包装,然
后剥离出的裸数据被反射GAP系统传送到另一方,并重新生
成协议后送达目的地,杜绝黑客利用协议对可信网络进行攻
击。
管理上,它提供的日志和警报功能,可以监视和解决对
负压脉动式清肺仪
可信网络以及设备本身的连接和破坏安全的问题,也可以通
过管理控制台状态选项卡对整个ViGap系统进行常规的状态
监视。其日志和警报功能所涉及内容包括系统问题、通讯故
障、破坏安全的企图、通过ViGap系统的传输和指令、通过
ViGap系统传输的文件和其它类型的内容等。
在功能上,它提供了数据库备份功能,对ViGap数据参
数和运行参数以及日志内容的备份功能,为系统管理和安全
管理提供了有力的支持。同时支持邮件的报警和通知功能,
ViGap系统的警报和通知可以在某些特定
事件发生时,使系统管理员能够清楚地了解发生了什么。邮
件跟踪机制包括警报,每当系统中发生特定事件,
就会发出信息以通知系统管理员。通知,
即发给一个或多个通讯方的信息的消息。同时,还
提供了HTTP协议分析模块,可以允许可信网络用户自如地访
问不可信网络上的各种网络资源,也可以允许不可信网络上
的用户安全地访问可信网络上的WEB服务。Email功能ViGap
也提供了功能完善的SMTP/POP(3)协议分析模块,可以允许
可信网络用户自如地通过ViGap收发来自不可信网络上的各
种,也可以允许不可信网络上的用户安全地通过
ViGap来收发可信网络上的以及使用FTP功能等。内
容过滤功能针对关键字(词)进行检索,按照匹配的原理,对
通过ViGap传输的数据进行过滤和检查,可以保护网络的各
种敏感资源和数据,也保护了可信网络资源。针对通过ViGap
传输的数据的文件名进行过滤的黑名单功能,不仅可以有效
阻止敏感文件的交换,并且可以有效防范通过附件文件对可
信网络的各种攻击。总体来说,该产品管理界面友好,功能
完善,同时也具有较好的性能。
物理隔离网闸专辑
2004・7 计算机安全13
多功能电源插座
