深信服安全隔離與信息單向?qū)胂到y(tǒng)白皮書20180901

深信服安全隔離與信息單向?qū)胂到y(tǒng)技術(shù)白皮書-1-全國統(tǒng)一服務(wù)熱線：400-001-1101深信服安全隔離與信息單向?qū)胂到y(tǒng)技術(shù)白皮書V1.0深信服科技股份有限公司版權(quán)聲明本書版權(quán)歸深圳市深信服科技股份有限公司所有，并保留對本文檔及本聲明的最終解釋權(quán)和修改權(quán)。 本文檔中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明外，其著作權(quán)或其它相關(guān)權(quán)利均屬于深圳市深信服科技股份有限公司。未經(jīng)深圳市深信服科技股份有限公司書面同意，任何人不得以任何方式或形式對本文檔內(nèi)的任何部分進行復(fù)制、摘錄、備份、修改、傳播、翻譯成其他語言、將其全部或部分用于商業(yè)用途。免責(zé)條款 本文檔僅用于為最終用戶提供信息，其內(nèi)容如有更改或撤回，恕不另行通知。 深信服科技股份有限公司已盡最大努力確保本文檔內(nèi)容準(zhǔn)確可靠，但不提供任何形式的擔(dān)保，任何情況下，深信服科技股份有限公司均不對（包括但不限于）最終用戶或任何第三方因使用本文檔而造成的直接或間接的損失或損害負(fù)責(zé)。信息反饋 如果您有任何寶貴意見，請反饋： 地址：深圳市南山區(qū)學(xué)苑大道1001號南山智園A1棟郵編：518055電話/p>

傳真您也可以訪問深信服科技網(wǎng)站：獲得最新技術(shù)和產(chǎn)品信息目錄一、前言 -4-1.1產(chǎn)品背景 -4-1.2產(chǎn)品概述 -4-1.3產(chǎn)品定位 -5-二、技術(shù)簡介及參數(shù) -5-2.1系統(tǒng)組成 -5-2.3系統(tǒng)構(gòu)架及工作原理 -6-三、產(chǎn)品功能 -7-3.1業(yè)務(wù)功能 -7-3.2管理功能 -11-3.3高可用性功能 -12-四、產(chǎn)品特點 -13-4.1高安全性 -13-4.2高吞吐率 -14-4.3高可靠性 -14-4.4高便利性 -14-五、產(chǎn)品型號及性能參數(shù) -14-一、前言1.1產(chǎn)品背景自上世紀(jì)90年代以來，信息技術(shù)迅猛發(fā)展，人們的生活、工作方式發(fā)生了巨大變革，信息網(wǎng)絡(luò)的大規(guī)模應(yīng)用極大提高了辦公效率。經(jīng)過多年建設(shè)，我國已建成具有相當(dāng)規(guī)模的數(shù)字化網(wǎng)絡(luò)，但隨著網(wǎng)絡(luò)的不斷普及，安全問題日益增多，網(wǎng)絡(luò)和信息安全問題成為威脅國家和政府安全的重大隱患。隨著對安全問題的不斷認(rèn)識和了解，尤其是針對涉密信息的防護，黨和政府已將信息安全建設(shè)提到一個相當(dāng)?shù)母叨壬蟻?。?000以來安全隔離技術(shù)作為一項新興的網(wǎng)絡(luò)安全技術(shù)，在保障國家信息安全，尤其是政府、軍隊及重點行業(yè)等信息系統(tǒng)安全建設(shè)方面發(fā)揮了重要的作用。但是標(biāo)準(zhǔn)安全隔離技術(shù)雖然從物理上隔離了兩個網(wǎng)絡(luò)，但是其物理安全通道的方向性可由軟件控制。對于涉密網(wǎng)絡(luò)，需要的是防止任何泄密的可能，因此如何從物理層完成數(shù)據(jù)流向的控制成為一個亟待解決問題。1.2產(chǎn)品概述深信服科技股份有限公司在安全實驗室經(jīng)過大量論證之后認(rèn)為光纖傳輸在實現(xiàn)單向控制和高效性、穩(wěn)定性以及經(jīng)濟性方面可以滿足單向隔離的要求。眾所周知，光是有方向性的，光纖傳輸是利用了發(fā)光端為源，感光端為目的而傳輸信息的。雙向數(shù)據(jù)交互是采用兩條光纖，一條光纖發(fā)送數(shù)據(jù)，一條光纖接收數(shù)據(jù)。當(dāng)然也可以采用一條光纖雙向傳輸，但是這是由光纖兩端的收發(fā)器或光模塊決定的。傳統(tǒng)的SFP光模塊中，發(fā)光器和收光器是分離的，因此我司決定采用SFP光模塊實現(xiàn)單向的傳輸。即光模塊發(fā)光端接光纖的發(fā)送端，另一主機的光模塊的收光端接光纖的接收端。這樣的傳輸原理從物理上可解決數(shù)據(jù)流向的單向性問題。深信服光閘就是在采用單向傳輸部件的基礎(chǔ)上，結(jié)合傳統(tǒng)安全隔離技術(shù)的擺渡+代理技術(shù)，在保障信息單向傳輸?shù)耐瑫r，最大限度的實現(xiàn)信息的實時傳輸和可控。1.3產(chǎn)品定位單向光閘主要用于各地電子政務(wù)、軍隊、軍工的信息化建設(shè)，下列場合都可使用單向光閘保障業(yè)務(wù)系統(tǒng)安全：由政務(wù)外網(wǎng)向政務(wù)內(nèi)網(wǎng)報送數(shù)據(jù)；行業(yè)內(nèi)下級向上級報送數(shù)據(jù)；低密網(wǎng)向高密網(wǎng)傳輸數(shù)據(jù)；低安全域向高安全域傳輸數(shù)據(jù)；工業(yè)生產(chǎn)網(wǎng)向MIS網(wǎng)/辦公網(wǎng)傳輸數(shù)據(jù)；單向光閘的應(yīng)用場合包括但不限于以上幾種。二、技術(shù)簡介及參數(shù)2.1系統(tǒng)組成單向光閘由單向隔離設(shè)備和管理控制臺兩個部分組成。單向隔離設(shè)備是一臺專有的硬件設(shè)備，分別連接于內(nèi)外網(wǎng)絡(luò)，并在確保網(wǎng)絡(luò)單向隔離的前提下實現(xiàn)適度的可控的單向數(shù)據(jù)傳輸；管理控制臺是用戶與單向隔離設(shè)備進行交互的接口，用戶可通過管理控制臺完成對單向隔離設(shè)備的各種管理工作。管理控制臺是一套軟件，可在單獨的PC上運行，也可運行于網(wǎng)絡(luò)管理工作站。2.3系統(tǒng)構(gòu)架及工作原理我們知道計算機網(wǎng)絡(luò)依據(jù)物理連接和邏輯連接來實現(xiàn)不同網(wǎng)絡(luò)之間、不同主機之間、主機與終端之間的信息交換與信息共享。單向光閘既然隔離、阻斷了網(wǎng)絡(luò)的所有連接，實際上就是隔離、阻斷了會話的連通。單向光閘借鑒傳統(tǒng)光閘技術(shù)，在使用數(shù)據(jù)“擺渡”的方式實現(xiàn)兩個網(wǎng)絡(luò)之間的信息交換。網(wǎng)絡(luò)的外部主機系統(tǒng)通過單向光閘與網(wǎng)絡(luò)的內(nèi)部主機系統(tǒng)“連接”起來，單向光閘將外部主機的TCP/IP協(xié)議全部剝離，將原始數(shù)據(jù)通過存儲介質(zhì)，以單向發(fā)送的方式導(dǎo)入到內(nèi)部主機系統(tǒng)，內(nèi)部主機系統(tǒng)再將相應(yīng)的信息發(fā)送至真正的使用者或在本地實現(xiàn)備份。單向光閘在網(wǎng)絡(luò)的第七層將數(shù)據(jù)還原為原始數(shù)據(jù)文件，然后以“擺渡文件”的形式來傳遞原始數(shù)據(jù)。下面以信息流由外網(wǎng)到內(nèi)網(wǎng)為例，說明通過單向光閘的信息傳輸過程。（圖一）單向光閘由內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元與單向傳輸單元（單向光纖通道）組成。內(nèi)、外網(wǎng)處理單元采用特殊安全電路設(shè)計，具有極高的穩(wěn)定性與可靠性。單向傳輸單元采用專用安全傳輸控制硬件加SFP光模塊，通過層層搬運的方式實現(xiàn)信息的單向安全傳輸。深信服光閘的工作原理是在內(nèi)、外網(wǎng)處理單元獨立完成網(wǎng)絡(luò)協(xié)議終止、內(nèi)容檢查與日志審計，將符合安全策略的數(shù)據(jù)內(nèi)容提交至安全數(shù)據(jù)交換區(qū)等待數(shù)據(jù)傳輸。單向傳輸單元按照設(shè)定的周期由外網(wǎng)處理單元的安全數(shù)據(jù)交換區(qū)將數(shù)據(jù)內(nèi)容提取并單向傳輸至內(nèi)網(wǎng)處理單元的安全數(shù)據(jù)下載區(qū)，等待用戶的讀取或傳輸至指定的計算機上。同時系統(tǒng)集成防病毒技術(shù)及擴展入侵檢測技術(shù)，形成一套具有多重防護的安全解決方案。三、產(chǎn)品功能深信服光閘的主要功能特點就是在保證兩個網(wǎng)絡(luò)隔離的情況下，做指定的單向數(shù)據(jù)安全傳輸。深信服光閘由內(nèi)、外網(wǎng)處理單元和單向傳輸單元組。單向傳輸單元在內(nèi)、外網(wǎng)主機間按照指定的周期進行安全數(shù)據(jù)的擺渡。3.1業(yè)務(wù)功能3.1.1安全隔離物理單向：系統(tǒng)由內(nèi)網(wǎng)單元、外網(wǎng)單元及單向傳輸單元三個物理部分組成。單向傳輸單元的物理單向由單向光纖實現(xiàn)。協(xié)議隔離：內(nèi)、外網(wǎng)單元主機均采用安全操作系統(tǒng)SUOS，分別獨立完成網(wǎng)絡(luò)協(xié)議的終止。內(nèi)外網(wǎng)無法直接建立任何的協(xié)議會話，從而阻斷以共同協(xié)議為載體的風(fēng)險傳遞。應(yīng)用隔離：系統(tǒng)采用應(yīng)用解碼，客戶應(yīng)用可經(jīng)過模塊編碼驗證，只有符合白名單的編碼規(guī)則的數(shù)據(jù)才可被傳輸至內(nèi)網(wǎng)單元。內(nèi)容隔離：外網(wǎng)單元分別將待交換傳輸?shù)臄?shù)據(jù)進行內(nèi)容檢查與病毒查殺，不符合安全規(guī)定的數(shù)據(jù)內(nèi)容將被直接刪除，合法的數(shù)據(jù)才允許被安全數(shù)據(jù)交換單元交換至另一端，從而保證了數(shù)據(jù)內(nèi)容的安全性。風(fēng)險隔離：系統(tǒng)以白名單機制運行，僅許可正常的、用戶許可的網(wǎng)絡(luò)應(yīng)用，防范未知的安全風(fēng)險。并且系統(tǒng)集成防病毒并可擴展多種常規(guī)安全防護引擎，如入侵檢測等，可檢測60000多種病毒和4000多種網(wǎng)絡(luò)入侵。雙重安全機制最大程度上實現(xiàn)了風(fēng)險隔離。3.1.2信息交換深信服光閘的工作原理基于人工信息交換的操作模式，即由外網(wǎng)處理單元接收來自客戶端的發(fā)送數(shù)據(jù)請求，內(nèi)網(wǎng)處理單元負(fù)責(zé)接收來自外網(wǎng)處理單元的信息，并將信息提交至目標(biāo)服務(wù)器。由于單向傳輸單元的物理單向性，兩個處理單元之間沒有交互式會話，無法實現(xiàn)發(fā)送數(shù)據(jù)的校驗。在此前提下，通過專有硬件實現(xiàn)網(wǎng)絡(luò)間信息的實時單向傳輸可能會造成部分?jǐn)?shù)據(jù)的丟失。深信服光閘采用獨特的冗余數(shù)據(jù)算法，最大限度的保證了數(shù)據(jù)的完整性。TCP應(yīng)用層：通過系統(tǒng)內(nèi)部的TCP代理處理模塊，深信服光閘能夠?qū)崿F(xiàn)代理外網(wǎng)客戶端發(fā)送的TCP會話，并將應(yīng)用層數(shù)據(jù)進行白名單格式的檢查。對于符合規(guī)則的應(yīng)用數(shù)據(jù)單向傳輸至內(nèi)網(wǎng)處理單元，對于不符合白名單規(guī)則的會話將日志報警并斷開會話。內(nèi)網(wǎng)處理單元對于從外網(wǎng)處理單元發(fā)送過來的數(shù)據(jù)根據(jù)任務(wù)號可發(fā)送給相應(yīng)的服務(wù)器。UDP應(yīng)用層：通過系統(tǒng)內(nèi)部的UDP代理處理模塊，深信服光閘能夠?qū)崿F(xiàn)代理外網(wǎng)客戶端發(fā)送的UDP會話，并將應(yīng)用層數(shù)據(jù)進行白名單格式的檢查。對于符合規(guī)則的應(yīng)用數(shù)據(jù)單向傳輸至內(nèi)網(wǎng)處理單元，對于不符合白名單規(guī)則的會話將日志報警。內(nèi)網(wǎng)處理單元對于從外網(wǎng)處理單元發(fā)送過來的數(shù)據(jù)根據(jù)任務(wù)號可發(fā)送給相應(yīng)的服務(wù)器。主動文件信息交換：通過系統(tǒng)內(nèi)置的FTP文件客戶端模塊，深信服光閘能夠?qū)崿F(xiàn)主動到外網(wǎng)FTP服務(wù)器抓取文件并向內(nèi)網(wǎng)的FTP服務(wù)器上傳文件。管理員可設(shè)置文件傳輸完成后是否刪除源文件。被動文件信息交換：通過系統(tǒng)內(nèi)置的專用文件傳輸模塊，深信服光閘能夠?qū)崿F(xiàn)外網(wǎng)向內(nèi)網(wǎng)的私有文件的安全、單向的傳輸?？蛻魴C通過管理控制臺分配的賬號，使用專用的文件客戶端軟件上傳或下載文件。每個賬號均有自己的私有目錄空間，另外系統(tǒng)提供一個公共空間以供所有用戶使用。3.1.3網(wǎng)絡(luò)訪問控制深信服光閘具有強大的訪問控制力，管理員可通過訂制訪問策略，精細地控制誰（網(wǎng)絡(luò)對象）能夠（允許或禁止）訪問系統(tǒng)。管理控制臺以人性化的人機接口協(xié)助管理員輕松實現(xiàn)管理目標(biāo)。網(wǎng)絡(luò)訪問控制：單向光閘的內(nèi)、外網(wǎng)單元可分別實現(xiàn)鏈路層、網(wǎng)絡(luò)層、傳輸層訪問控制，通過靈活組合網(wǎng)絡(luò)對象，制定與實際需求完全吻合的訪問控制策略。訪問用戶控制：單向光閘的內(nèi)、外網(wǎng)單元可分別實現(xiàn)定制、綁定哪些用戶可以訪問系統(tǒng)。3.1.4數(shù)據(jù)內(nèi)容審查內(nèi)容檢查是指深信服光閘外網(wǎng)處理單元對接收到的文件和信息進行安全性檢查，確保只有符合保密、安全策略的數(shù)據(jù)、文件才允許被單向傳輸至內(nèi)網(wǎng)端。白名單規(guī)則：數(shù)據(jù)流代理應(yīng)用規(guī)范可由管理員設(shè)定，只有負(fù)責(zé)設(shè)定的數(shù)據(jù)規(guī)范才可以被傳輸。數(shù)據(jù)規(guī)范包括以下三種類型。ASCII類型數(shù)據(jù)格式表示；十六進制數(shù)據(jù)類型格式表示；正則表達式數(shù)據(jù)格式表示；關(guān)鍵字檢查：單向光閘的外網(wǎng)單元可依據(jù)管理員設(shè)定的涉密或不健康的信息進行過濾，將過濾到關(guān)鍵字的信息擯棄并記錄日志告警。文件類型檢查：隔離系統(tǒng)的內(nèi)、外網(wǎng)單元可將指定的可能產(chǎn)生危險的文件類型過濾、刪除并且記錄日志告警。病毒檢查：單向光閘的外網(wǎng)處理單元可針對用戶上傳的文件進行檢查，在確保沒有病毒的情況下才被轉(zhuǎn)存到安全數(shù)據(jù)區(qū)。當(dāng)發(fā)現(xiàn)病毒后，系統(tǒng)會將病毒文件刪除，并記錄日志告警。3.1.5文件校驗二次傳輸由于單向光閘的單向傳輸特性，外網(wǎng)處理單元發(fā)送數(shù)據(jù)后無法判斷內(nèi)網(wǎng)處理單元接收的文件是否正確。因此系統(tǒng)提供了傳輸記錄的校驗功能，管理員可根據(jù)一段時間導(dǎo)出接收記錄，并在外網(wǎng)處理單元導(dǎo)入記錄進行校驗，當(dāng)發(fā)現(xiàn)丟失的文件或錯誤的文件后，系統(tǒng)提供重傳功能，最大限度的保證數(shù)據(jù)的完整性。3.1.6緩存空間及傳輸數(shù)據(jù)的管理深信服光閘的內(nèi)、外網(wǎng)單元在特定的時間自動清理緩存中的文件碎片、修復(fù)文件系統(tǒng)錯誤，保持文件訪問效率。3.1.7雙重安全防護機制深信服光閘采用雙重安全防護機制，即系統(tǒng)的內(nèi)、外網(wǎng)處理單元以白名單方式接受網(wǎng)絡(luò)請求、建立并終止會話。所有的客戶網(wǎng)絡(luò)請求無法穿透系統(tǒng)進入內(nèi)網(wǎng)，并且只有被允許的客戶的網(wǎng)絡(luò)數(shù)據(jù)或文件才被傳輸，因此深信服光閘就能夠隔離各種未知的安全風(fēng)險?？蛻舻臉I(yè)務(wù)數(shù)據(jù)均需經(jīng)過安全檢查才允許被交換否則將被視為無效數(shù)據(jù)，直接刪除并丟棄。同時，深信服光閘內(nèi)嵌防病毒和入侵檢測引擎，能夠?qū)崟r檢測、阻絕已知的各種病毒與入侵，并在控制臺示警，幫助管理員在最短時間內(nèi)做出響應(yīng)。3.2管理功能3.2.1安全的管理通信深信服光閘只允許從專用的管理控制端口進行管理，管理員可設(shè)置允許管理設(shè)備的地址。在通信端口不接受任何管理請求，避免了管理信息的旁入可能。3.2.2權(quán)限分配方式深信服光閘采取系統(tǒng)策略配置管理員與日志管理員角色分立的權(quán)限分配模式，用戶只能維護操作本類基礎(chǔ)管理角色的功能與操作，權(quán)限各不交叉。系統(tǒng)也提供用戶角色分配權(quán)限的策略，使用戶管理更加方便且易于理解。3.2.3策略定制功能深信服光閘采用面向用戶的策略定制方式，即便是初次使用的用戶也可依據(jù)界面向?qū)?，依次制定適應(yīng)實際網(wǎng)絡(luò)應(yīng)用環(huán)境的交換策略。此外，系統(tǒng)內(nèi)置的初始策略更是方便了新用戶的使用。并且系統(tǒng)提供了強大的幫助系統(tǒng)，它詳細的介紹了單向光閘的安裝、使用的各個步驟并舉例說明。3.2.4日志審計功能深信服光閘提供強大的日志和審計功能，單向光閘設(shè)備內(nèi)置日志存儲空間。支持標(biāo)準(zhǔn)SYSLOG的日志格式發(fā)送到遠端日志服務(wù)器，為日志審計提供了很好的數(shù)據(jù)支撐和方便性。日志內(nèi)容完整記錄并保存系統(tǒng)設(shè)定、通信控制、內(nèi)容檢查、連接限制、系統(tǒng)告警等各類日志告警信息。審計模塊可使管理員以多種方式進行查詢、審計。系統(tǒng)具有各種日志信息的導(dǎo)入、導(dǎo)出、備份等功能，保證了日志信息的安全性與易用性。3.3高可用性功能深信服光閘提供雙機熱備乃至多機熱備功能。兩臺安全光閘設(shè)備可組成熱備機組，機組內(nèi)光閘設(shè)備有主光閘設(shè)備與備用光閘設(shè)備之分，兩臺光閘設(shè)備間相互檢測狀態(tài)并同步訪問策略，當(dāng)主光閘設(shè)備發(fā)生故障，從光閘設(shè)備啟動并自動變?yōu)橹鞴忾l設(shè)備，同時以聲音與告警信息示警。如下圖所示：四、產(chǎn)品特點4.1高安全性深信服光閘采用