背景概述

Summary Of Background

網絡信息安全,是一場沒有硝煙的戰爭。“層出不窮的信息安全事件讓國家高度重視起信息安全的整體發展,當前,信息安全事件觸目驚心,網站攻擊與漏洞利用正在向批量化、規模化方向發展,用戶隱私和權益遭到侵害,特別是一些重要數據甚至流向他國,信息安全威脅已經上升至國家安全層面。”

2016年是全面深化改革的“關鍵之年”,也是網絡強國建設的“關鍵之年”。習近平總書記發表了一系列重要論述,已經逐漸形成了新形勢下中國網絡安全的總體戰略框架,使得網絡和信息安全得到了越來越多政府機構和企業的關注和重視。中國工程院院士倪光南也曾指出,面對日益增多的安全威脅,我們亟待完善自主可控的國家信息安全體系建設,同時,鼓勵和扶持民族核心技術及産品創新,運用具有自主知識産權的産品和技術,保障國家基礎網絡的重要信息系統的安全,實現真正的自主可控,不再受制于人。安全可靠的網絡信息安全産品,特別是基于國産核心芯片的廣泛應用,符合我國的國家利益,必將成爲信息安全的新常態。


需求分析

Demand Analysis

某單位已經建成較爲完善的非涉密外網和涉密內網,兩個網絡之間完全物理隔離。隨著內部信息系統的迅速發展,涉密內網迫切需要實時、高效、大量獲取非涉密網絡各類相關業務數據。因此依據公安部通過的《公安部關于大力推進基礎信息化建設的意見》,以及十三五國家科技支撐計劃項目“國家保密管理支撐關鍵技術研究及應用示範”成果,現需要在非涉密外網和涉密內網之間部署高安全性、高可靠性的基于國産CPU芯片的自主可控網絡安全隔離與信息單向導入設備(以下簡稱網絡單向導入設備)實現涉密內部網絡無回饋單向獲取非涉密外網數據的迫切需求。

方案價值

Project Value

一、基于國産申威CPU架構處理器,産品自主可控,自身安全性高

自主可控网络单向导入设备、防火墙设备与漏洞扫描系统的核心采用了国产申威SW411处理器,该处理器采用了自主指令集,产品自身安全性高。相比基于X86 CPU 架构的产品,规避了潜在的“后门”风险,并对流行的病毒、木马有着天然免疫力。

二、光單向無回饋數據導入,保障無信息泄露物理通道

設備內外網獨立主機系統之間采用自主設計、研制的無回饋光單向器件,外網僅具備光發射器,內網僅具備光接收器,並采用專用光單向傳輸和糾錯協議,不存在逆向的內網到外網的物理通道。

三、高可靠自校驗、自糾錯算法,確保單向導入數據的完整性

將光傳輸與自糾錯、自教研算法有機結合,在現有穩定光單向傳輸基礎上進一步提升無回饋光單向傳輸的可靠性,能夠滿足實際應用需要,該系統已經在審計署等重大國家項目穩定運行兩年以上。

四、支持多種數據單向導入方式導入,能夠與應用無縫銜接,具備良好的可用性

光單向導入系統具備良好的應用適用性,能夠與應用系統和安全系統進行無縫的整合,主要支持如下方式數據單向導入:主動獲取和推送方式,專用客戶端方式導入,數據流單向導入方式。 

五、國産安全操作系統保障,設備具備完善的自身安全性

以滿足GB17859-1999中第三級(安全標記級)要求的安全操作系統爲基礎,構造可信的設備操作系統安全內核、最小特權原則、操作系統可信啓動、應用模塊可信加載、重要信息完整性保護 

六、格式過濾和內容檢查,實現對導入數據的細顆粒度控制

設備能夠在外網機識別判斷導入數據格式、內容等信息,並能夠實現相關安全策略配置,精確限定導入數據的格式和內容。

七、數據源和目的精確控制,提供可靠數據導入通道

設備能夠采用專用客戶端、專用API接口、IP地址、設備數字證書等方式,准確判斷數據源和目的服務器,構造從真正數據源到目的的可信導入通道。 

八、有效的阻斷系統間所有網絡協議連接,對網絡攻擊免疫

內外網之間唯一物理通道,采用專用硬件和協議,阻斷所有網絡協議連接,僅支持純數據的導入,網絡攻擊無法通過設備。 

九、具備安全日志和審計功能,實現對設備運行情況監控和故障報警功能。

具備設備系統日志、操作日志、運行日志、安全日志、故障告警和運行狀態信息等功能,用戶能夠輕松維護設備的連續運行。 

十、有效實現對用戶網絡設備終端和服務器存在的漏洞進行脆弱性分析。

自主可控漏洞掃描系統集成了丰富的信息收集和探测技术,结合CVSS、等级保护和分级保护等技术规范,可为用户提供准确的安全分析以及可操作的修补建议,做到防患于未然。漏洞库丰富,支持对国内主流软硬件系统全面识别。


主要設備

Main Equipment
  1. 基于國産處理器的自主可控網絡單向導入設備

  2. 實現滿足對設備自身安全高自主可控的需求,采用基于國産申威CPU架構處理器作爲整個系統的核心。實現從非涉密外網特定服務器向秘密級緩存服務器數據單向導入,確保無數據逆向傳輸物理通道。設備外網口與非涉密網數據采集服務器連接,內網口與秘密級緩存服務器連接。

  3. 基于國産處理器的自主可控防火牆

  4. 采用基于國産申威CPU架構處理器作爲整個防火牆的核心。有效防範了基于X86等非國産處理器架構防火牆,産品自身存在的“後門”、溢出攻擊等行爲。並實現了非涉密外網與專網之間邊界的安全隔離。

  5. 基于国产处理器的自主可控漏洞掃描系統

  6. 采用國産申威CPU架構處理器,滿足自主可控安全需求,産品自身安全性高。漏洞庫豐富,支持對國內主流軟硬件系統的全面識別,並且充分保障掃描數據不外泄。

非涉密網數據采集服務器

  1. 實現采集非涉密網絡需要導入涉密網絡的數據文件,並安裝有單向導入設備專用數據發送客戶端程序。實現數據采集、彙總、分類,然後由單向設備專用客戶端程序定時或實時讀取數據文件,傳到單向導入設備。

  2. 秘密級緩存服務器

  3. 實現對單向導入到涉密內網的數據進行緩存,並將數據安全傳輸到機密級網絡數據分發服務器。設備與單向導入設備內網口連接,與網絡安全隔離與信息交換系統外網口相連。

  4. 網絡安全隔離與信息交換系統

  5. 实现秘密級緩存服務器与机密级网络的逻辑隔离,并且配置安全策略禁止机密网络中数据逆向流动到秘密级数据缓存服务器中。

  6. 機密網數據分發服務器

  7. 實現非涉密網絡導入的數據文件,依據業務需求分發到機密級網絡相關業務系統服務器中。


實現功能

Function Realization

一、非涉密向涉密數據安全單向導入:

    实现了特定数据及时高效的从非涉密网络应用系统无回馈单向导入到机密级网络应用系统中。

    实现了特定非涉密数据从非涉密外网特定服务器单向导入到涉密内网秘密域指定服务器。

    实现了特定数据从涉密内网秘密域特定服务器单向传输到涉密内网机密级服务器。

二、 无回馈光单向导入,无逆向物理通道:

    基于光通讯的无回馈单向数据传输硬件,确保数据无回馈单向导入,不存在逆向的物理传输通道。

主備通道並行傳輸。兩套獨立的數據單向導入通道,實現單向導入數據的主備通道並行傳輸.

三、集中采集和集中分發:

    实现非涉密网络数据采集和涉密网络数据集中分发,确保对现有应用系统影响最低;

四、秘密級向機密級安全傳輸:

    应用安全数据交换系统实现秘密级缓存数据传输到机密级网络数据分发服务器,并且机密级网络数据不会逆向流动到秘密級緩存服務器。

五、秘密級和機密級邏輯隔離:

    通过配置網絡安全隔離與信息交換系統实现了秘密级数据缓存服务器与机密级网络的逻辑隔离。

    网络连接终止,阻断网络层连接,确保网络攻击完全阻断。


400-0019-855