欢迎进入北京中科网威信息技术有限公司
服务热线:400-0019-855
背景概述

网络信息安全,是一场没有硝烟的战争。“层出不穷的信息安全事件让国家高度重视起信息安全的整体发展,当前,信息安全事件触目惊心,网站攻击与漏洞利用正在向批量化、规模化方向发展,用户隐私和权益遭到侵害,特别是一些重要数据甚至流向他国,信息安全威胁已经上升至国家安全层面。”

       2016年是全面深化改革的“关键之年”,也是网络强国建设的“关键之年”。习近平总书记发表了一系列重要论述,已经逐渐形成了新形势下中国网络安全的总体战略框架,使得网络和信息安全得到了越来越多政府机构和企业的关注和重视。中国工程院院士倪光南也曾指出,面对日益增多的安全威胁,我们亟待完善自主可控的国家信息安全体系建设,同时,鼓励和扶持民族核心技术及产品创新,运用具有自主知识产权的产品和技术,保障国家基础网络的重要信息系统的安全,实现真正的自主可控,不再受制于人。安全可靠的网络信息安全产品,特别是基于国产核心芯片的广泛应用,符合我国的国家利益,必将成为信息安全的新常态。
需求分析
    某单位已经建成较为完善的非涉密外网和涉密内网,两个网络之间完全物理隔离。随着内部信息系统的迅速发展,涉密内网迫切需要实时、高效、大量获取非涉密网络各类相关业务数据。因此依据公安部通过的《公安部关于大力推进基础信息化建设的意见》,以及十三五国家科技支撑计划项目国家保密管理支撑关键技术研究及应用示范成果,现需要在非涉密外网和涉密内网之间部署高安全性、高可靠性的基于国产CPU芯片的自主可控网络安全隔离与信息单向导入设备(以下简称网络单向导入设备)实现涉密内部网络无回馈单向获取非涉密外网数据的迫切需求。
部署设计
    本方案采用基于国产申威CPU架构芯片的自主可控网络单向导入设备、自主可控防火墙、自主可控漏洞扫描系统和其他配套软硬件设备,部署在涉密网(机密级)和非涉密网之间,实现将非涉密外网特定数据无回馈单向导入到涉密网(机密级)的需求,部署结构如图1所示。

 

数据单向导入过程分为四个步骤:其中第一步数据采集和第四步数据分发由应用系统实现;其中第二步单向导入秘密级由单向导入设备完成;第三步单向导入机密级,由单向导入设备和安全数据交换系统共同完成。

四个步骤主要作用如下:

第一步:导入数据采集。非涉密网数据采集系统集中获取非涉密应用系统中需要导入涉密网数据,集中存放在数据采集服务器中,分类存储。

第二步:非涉密网单向导入到秘密级缓存。单向导入设备将非涉密网采集服务器中数据无回馈单向导入到秘密级缓存中。

第三步:秘密级缓存传输到机密级网络。由安全数据交换系统构造的秘密级缓存,将单向导入数据通过网络安全隔离与信息交换设备推送到机密级网络中的数据分发服务中。

第四步:导入数据分发。机密级网络中数据分发服务器将非涉密网导入数据,依据业务需要分发到涉密网相关应用服务器。

实现功能
一、非涉密向涉密数据安全单向导入:
        实现了特定数据及时高效的从非涉密网络应用系统无回馈单向导入到机密级网络应用系统中。
        实现了特定非涉密数据从非涉密外网特定服务器单向导入到涉密内网秘密域指定服务器。
        实现了特定数据从涉密内网秘密域特定服务器单向传输到涉密内网机密级服务器。
二、 无回馈光单向导入,无逆向物理通道:
        基于光通讯的无回馈单向数据传输硬件,确保数据无回馈单向导入,不存在逆向的物理传输通道。
主备通道并行传输。两套独立的数据单向导入通道,实现单向导入数据的主备通道并行传输.
三、集中采集和集中分发:
        实现非涉密网络数据采集和涉密网络数据集中分发,确保对现有应用系统影响最低;
四、秘密级向机密级安全传输:
        应用安全数据交换系统实现秘密级缓存数据传输到机密级网络数据分发服务器,并且机密级网络数据不会逆向流动到秘密级缓存服务器。
五、秘密级和机密级逻辑隔离:
        通过配置网络安全隔离与信息交换系统实现了秘密级数据缓存服务器与机密级网络的逻辑隔离。
网络连接终止。完全阻断网络层连接,确保网络攻击完全阻断。
主要设备
一、基于国产处理器的自主可控网络单向导入设备

       实现满足对设备自身安全高自主可控的需求,采用基于国产申威CPU架构处理器作为整个系统的核心。实现从非涉密外网特定服务器向秘密级缓存服务器数据单向导入,确保无数据逆向传输物理通道。设备外网口与非涉密网数据采集服务器连接,内网口与秘密级缓存服务器连接。
二、基于国产处理器的自主可控防火墙

       采用基于国产申威CPU架构处理器作为整个防火墙的核心。有效防范了基于X86等非国产处理器架构防火墙,产品自身存在的“后门”、溢出攻击等行为。并实现了非涉密外网与专网之间边界的安全隔离。

三、基于国产处理器的自主可控漏洞扫描系统

       采用国产申威CPU架构处理器,满足自主可控安全需求,产品自身安全性高。漏洞库丰富,支持对国内主流软硬件系统的全面识别,并且充分保障扫描数据不外泄。

四、非涉密网数据采集服务器

       实现采集非涉密网络需要导入涉密网络的数据文件,并安装有单向导入设备专用数据发送客户端程序。实现数据采集、汇总、分类,然后由单向设备专用客户端程序定时或实时读取数据文件,传到单向导入设备。

五、秘密级缓存服务器

       实现对单向导入到涉密内网的数据进行缓存,并将数据安全传输到机密级网络数据分发服务器。设备与单向导入设备内网口连接,与网络安全隔离与信息交换系统外网口相连。

六、网络安全隔离与信息交换系统

       实现秘密级缓存服务器与机密级网络的逻辑隔离,并且配置安全策略禁止机密网络中数据逆向流动到秘密级数据缓存服务器中。

七、机密网数据分发服务器

       实现非涉密网络导入的数据文件,依据业务需求分发到机密级网络相关业务系统服务器中。

方案价值

一、基于国产申威CPU架构处理器,产品自主可控,自身安全性高

自主可控网络单向导入设备、防火墙设备与漏洞扫描系统的核心采用了国内先进的申威SW411新一代处理器,该处理器采用了自主指令集,产品自身安全性高。相比基于X86 CPU 架构的产品,规避了潜在的后门风险,并对流行的病毒、木马有着天然免疫力。

二、光单向无回馈数据导入,保障无信息泄露物理通道

设备内外网独立主机系统之间采用自主设计、研制的无回馈光单向器件,外网仅具备光发射器,内网仅具备光接收器,并采用专用光单向传输和纠错协议,不存在逆向的内网到外网的物理通道。

  三、高可靠自校验、自纠错算法,确保单向导入数据的完整性

将光传输与自纠错、自教研算法有机结合,在现有稳定光单向传输基础上进一步提升无回馈光单向传输的可靠性,能够满足实际应用需要,该系统已经在审计署等重大国家项目稳定运行两年以上。

  四、支持多种数据单向导入方式导入,能够与应用无缝衔接,具备良好的可用性

光单向导入系统具备良好的应用适用性,能够与应用系统和安全系统进行无缝的整合,主要支持如下方式数据单向导入:主动获取和推送方式,专用客户端方式导入,数据流单向导入方式。
五、国产安全操作系统保障,设备具备完善的自身安全性

以满足GB17859-1999中第三级(安全标记级)要求的安全操作系统为基础,构造可信的设备操作系统安全内核、最小特权原则、操作系统可信启动、应用模块可信加载、重要信息完整性保护
六、格式过滤和内容检查,实现对导入数据的细颗粒度控制

设备能够在外网机识别判断导入数据格式、内容等信息,并能够实现相关安全策略配置,精确限定导入数据的格式和内容。
七、数据源和目的精确控制,提供可靠数据导入通道

设备能够采用专用客户端、专用API接口、IP地址、设备数字证书等方式,准确判断数据源和目的服务器,构造从真正数据源到目的的可信导入通道。
八、有效的阻断系统间所有网络协议连接,对网络攻击免疫

内外网之间唯一物理通道,采用专用硬件和协议,阻断所有网络协议连接,仅支持纯数据的导入,网络攻击无法通过设备。
九、具备完善的安全日志和审计,实现对设备运行情况监控和故障报警功能。

具备完善的设备系统日志、操作日志、运行日志、安全日志、故障告警和运行状态信息,具备完整的安全审计,用户能够轻松维护设备的连续运行。
十、有效实现对用户网络设备终端和服务器存在的漏洞进行脆弱性分析。

自主可控漏洞扫描系统集成了丰富的信息收集和探测技术,结合CVSS、等级保护和分级保护等技术规范,可为用户提供准确的安全分析以及可操作的修补建议,做到防患于未然。漏洞库丰富,支持对国内主流软硬件系统全面识别。
+x点击隐藏