安全隔离与信息交换系统
联想网御SIS-3000系列
产品白皮书
联想网御科技(北京)有限公司
版权信息
版权所有 2001-2007,联想网御科技(北京)有限公司
本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属联想网御科技(北京)有限公司所有,受国家有关产权及版权法保护。如何个人、机构未经联想网御科技(北京)有限公司的书面授权许可,不得以任何方式复制或引用本文档的任何片段。 商标信息
联想,网御,Legend,Lenovo,leadsec等标识及其组合是联想网御科技(北京)有限公司拥有的商标,受商标法和有关国际公约的保护。 第三方信息
本文档中所涉及到的产品名称和商标,属于各自公司或组织所有。 联想网御科技(北京)有限公司 Lenovo Security Technologies Inc.
北京市海淀区中关村南大街6号中电信息大厦8层 100086
8/F Zhongdian Information Tower Zhongguancun South Street, Haidian District, Beijing 电话(TEL):0 传真(FAX):010-
技术热线(Customer Hotline):400-810-7766 电子信箱(E-mail)
目 录
1 前言
Michael Bobbin(《计算机安全杂志》主编)说,“保证一个系统真正安全的途径只有一个:断开网络,这也许正在成为一个真正的解决方案。”
在政府、国防、能源等很多重要领域,对数据机密性、网络平稳性、业务连
续性要求极高,坚如磐石的安全保障尤其关键。市场需求催生了安全技术的创新,在上世纪90年代中期俄罗斯人Ry Jones首先提出“AirGap”隔离概念,然后,以色列研制成功物理隔离卡,实现网络之间的安全隔离;其后,美国Whale Communications公司和以色列SpearHead公司先后推出了e-Gap和NetGap产品,利用专有硬件实现两个网络在不连通的情况下数据的安全交换和资源共享,从而使安全隔离技术从单纯实现“网络隔离禁止交换”发展到“安全隔离和可靠交换”。目前,美国军方、重要政府部门均采用隔离技术保障信息安全,我国的安全隔离技术的发展同样经历了类似的过程。
2000年1月1日,国家保密局发布实施《计算机信息系统国际联网保密管理规定》明确要求“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连,必须实行物理隔离”。该规定在互联网发展初期具有前瞻性地提出政府上网必须“物理隔离”,及时的把政府上网安全提到一个重要的高度,具有重大意义。并由此而发展出了安全隔离计算机、安全隔离卡等系列安全隔离安全产品。
网御SIS-3000系列就是联想网御科技(北京)有限公司开发的高性能安全隔离与信息交换系统,它凭借强大的功能、卓越的性能、以及遍及全国各地的完
善客户服务机构和保障体系为用户的网络隔离安全提供最全面、最安全的解决方案。
2 网络隔离与信息交换系统技术原理
2.1 工作原理
安全隔离技术的工作原理是使用带有多种控制功能的固态开关读写介质连接
两个独立的主机系统,模拟人工在两个隔离网络之间的信息交换。其本质在于:两个独立主机系统之间,不存在通信的物理连接和逻辑连接,不存在依据TCP/IP协议的信息包转发,只有格式化数据块的无协议“摆渡”。 被隔离网络之间的数据传递方式采用完全的私有方式,不具备任何通用性。
安全隔离与信息交换系统两侧网络之间所有的TCP/IP连接在其主机系统上都要进行完全的应用协议还原,还原后的应用层信息根据用户的策略进行强制检查后,以格式化数据块的方式通过隔离交换矩阵进行单向交换,在另外一端的主机系统上通过自身建立的安全会话进行最终的数据通信,即实现“协议落地、内容检测”。这样,既从物理上隔离、阻断了具有潜在攻击可能的一切连接,又进行了强制内容检测,从而实现最高级别的安全。
联想网御安全隔离与信息交换系统产品白皮书
