NetPorter网络安全分级防护解决方案_精品文档Word格式文档下载.doc
《NetPorter网络安全分级防护解决方案_精品文档Word格式文档下载.doc》由会员分享,可在线阅读,更多相关《NetPorter网络安全分级防护解决方案_精品文档Word格式文档下载.doc(14页珍藏版)》请在冰豆网上搜索。
3.5易管理性 5
4.NETPORTER网络隔离与信息交换系统主要功能 6
4.1安全可靠的隔离技术 6
4.2电信级体系架构 6
4.3三网隔离 6
4.4高安全的系统防护 7
4.5应用协议支持 7
4.6路由和透明网桥工作模式 11
4.7IP、IP/MAC、用户名、时间段访问控制 11
4.8PPPOE/宽带接入方式 12
4.9负荷分担和双机热备 12
4.10日志审计 13
4.11安全管理 13
1概述
随着信息的发展,信息化成为政府、金融、电信、电力、公安、税务等行业的重要课题,根据信息保密的程度,不同级别的用户访问的信息是不一样的,所以信息的安全是我们目前重要的环节,根据信息的保密程度不同,我们采取对不同级别的信息进行分级防护是我们目前的重要课题。
为了使不同级别的信息得到保护,在网络隔离与信息交换的基础上进行安全数据管理,流转。
北邮英科已研制成功网络隔离与信息交换系统NetPorter产品系列。
该系统从芯片、硬件平台到软件系统都拥有完全自主知识产权,在国内率先提出并实现了三网隔离与信息交换,并申请了多网隔离的发明专利(专利名称:
多个不同安全等级网络之间的隔离方法和隔离开关装置,专利号:
200410101336.3)。
该系统已经通过公安部、中国信息安全产品测评认证中心、国家保密局、中国人民解放军信息安全测评认证中心的测试认证。
2.NetPorter分级防护介绍
根据不同业务的保密程度不同,NetPorter网络隔离与信息交换系统可以将保密程度不同的业务进行保护,并只具有相关业务的权限的用户才可以访问相关的业务服务器。
其具体的拓扑图如下:
上图说明了,总经理可以访问FTP、web服务器、财务系统、销售系统,财务部的员工可以访问财务系统;
销售部可以访问FTP、web服务器、销售系统;
技术部只能访问FTP、web服务器;
合作伙伴只能访问公司内部WEB服务器,办事处用户可以访问内部的FTP、web服务器。
其具体的实现方式如下:
由于总经理是一个企业的最高领导,应该拥有访问所有资源的权限,所一在NetPorter网络隔离与信息交换系统可以将总经理的IP和mac绑定,再配置规则应数据交换规则,指定客户端地址为总经理的IP地址,并且在规则里允许总经理在任何时间都可以访问企业所有的服务器资源。
财务部的业务范围只能是财务,属于机密部门,所有办公都在财务系统上,所以财务部员工只允许在上班时间访问财务系统。
其他服务器不允许访问。
销售部员工主要从事销售工作,同时可能需要访问公司的网站、以及FTP服务器,所在网闸上配置销售部的应用数据交换规则,保证销售员工在上班时间能够访问销售系统,公司网站、FTP服务器等。
技术部员工由于只是从事技术方面的工作,所以只需要访问WEB、FTP服务器。
财务系统、销售系统不允许访问。
由于办事处的销售员工也需要访问销售系统,所以需要在NetPorter网络隔离与信息交换系统上配置一条办事处员工在上班时间可以访问总部的销售系统的规则。
保证办事处销售员工能够访问总部的销售系统,使公司领导能够及时了解办事处销售的业绩状况。
由于合作伙伴只是一个外部企业,不属于公司的一分子,所以,我对合作伙伴要进行资源访问的限制,所以只允许合作伙伴访问公司的WEB服务器。
在NetPorter网络隔离与信息交换系统上配置一条应用数据交换规则,保证合作伙伴能够访问公司网站。
3NetPorter网络隔离与信息交换系统的优势
3.1高安全性
具有完全自主知识产权,从芯片到硬件到软件系统完全自主开发,不存在利用设备“后门”进行攻击的危险,不存在安全隐患。
采用独有的安全隔离开关芯片,保证被隔离的两个网络或者多个网络在任何时刻都不产生物理连接;
独有的安全隔离开关芯片,不具备任何通用可编程性,能够完全防范攻击者利用已知的设备驱动程序侵入受保护网络。
采用自主加固的安全操作系统内核,所有不需要的功能全部被裁减,完全为网络隔离与信息交换系统量身定制,具有极高的安全性。
业务采用模块化设计,不需要的业务模块不加载。
越简单,越安全。
使被隔离的两个网络之间协议完全终结,采用私有数据传输协议进行数据交换,自身具有强大的抗攻击和防病毒能力,不仅能够防范已知的攻击手段,也能防范未知的攻击手段。
采用独创的工作进程保护机制,防止黑客入侵和跟踪。
3.2高可靠性
沿用了电信级整机可靠性的系统设计,采用低功耗嵌入式CPU构架,整机功耗小于80W,在完成相同工作量的前提下,功耗越小,则整机系统的安全性越高。
整机无CPU风扇和电源风扇,可靠性得到较大的提升:
因为风扇为机械部件,在长期运转过程中,其寿命远远小于电子部件。
而且CPU风扇不能冗余,一旦故障,则整个系统崩溃。
双电源冗余热备份,控制界面可实时检测电源和风扇的运行状况:
如果一个电源发生损坏,虽然系统还能正常工作,但要求管理员必须知道这个信息,从而及时进行更换处理。
如果不能通知管理员,则有电源故障后,系统可靠性将会降低。
3.3高交换速率
具有完全自主知识产权的动态缓冲器切换管理技术,并采用DMA技术和流水线处理技术,达到以太网的极限交换速率;
独创高效任务调度算法及专利,在上千个任务同时工作时仍能保持峰值交换速度;
具备完善的流量控制能力,对内外网速度的严重失配具有很好的控制效果。
3.4三网隔离
国内首家提出并实现三网隔离方案,并拥有三网隔离(多网隔离)的核心发明专利。
是首家获得公安部三所销售许可证的三网隔离产品,首家通过中国信息安全产品测评认证中心测试认证的三网隔离产品,首家通过军队信息安全产品测评认证中心测试认证的三网隔离产品,并获得安全级别B级,这是目前通过认证的最高安全级别。
满足综合防御、等级防护要求,可对核心数据和关键业务进行更高安全级别的保护。
3.5易管理性
在各网络被隔离的状况下,独创实现多处理主机的同步管理方法及专利。
可进行方便安全的配置管理,界面友好,易操作,可通过web配置界面完成所有的配置操作。
4.NetPorter网络隔离与信息交换系统主要功能
4.1安全可靠的隔离技术
北邮英科自主研发的安全隔离芯片确保了两个网络之间在任何时刻完全物理隔离,网络之间的信息交换都在建立好的信息通道上进行,信息的交换完全由硬件控制器控制完成。
安全的操作系统是安全的基础,网络隔离与信息交换系统NetPorter的操作系统以国产Linux为基础,防止了其他类型操作系统的恶意嵌入间谍代码。
经过自主加固,操作系统具有较强的自我防护能力,能够抵抗DoS和DDoS的攻击,防止缓冲区溢出的攻击。
针对内、外网安全特性,NetPorter对外加强入侵防护,对应用层数据施行病毒查杀,防范网络的攻击和病毒的传染;
对内加强身份认证,内容过滤等措施,防范信息的泄漏。
4.2电信级体系架构
网络隔离与信息交换系统NetPorter采用电信级体系架构,高安全、高可靠。
使用嵌入式主板、嵌入式CPU,CPU的功耗只有5W,不需要CPU风扇,整机功耗也只有80W,低于一般工控机的功耗300~400W,产品的可靠性大大提高。
电源是易损部件,电源损坏将导致设备停止工作,NetPorter支持双电源热备,一个电源损坏,另一个电源自动工作,设备不会掉电;
另外,NetPorter支持风扇状态告警,当风扇出现故障,及时告警,及时更换,确保设备正常工作。
4.3三网隔离
网络隔离与信息交换系统NetPorter在支持两网隔离的同时,支持三网隔离,满足不同的用户需求,特别是在电子政务应用中,网络中既有为公众提供政府信息服务的服务器,又运行着内部办公业务,对网络的安全要求不同,所受到的网络攻击也不同,需要进行等级防护,一台NetPorter将内部业务网、信息服务网和互联网完全隔离,在网络之间只建立用户需要的信息通道,根据用户需求配置访问策略,只能受控信息交互,既满足用户的业务需求,又保护了网络安全,真正地实现了电子政务的前台受理、后台处理的运行模式。
4.4高安全的系统防护
网络攻击者的手段之一是在被攻击设备上跟踪进程执行,分析配置文件和过程文件,寻找系统的漏洞并予以攻破。
所以NetPorter主要采用以下手段进行进程的安全防护:
l进程隐藏:
对于PS等进程查看指令,只能看到少部分系统进程;
l进程注册:
系统进程启动后,所有新启动的进程都要执行向设备硬件监控模块的注册动作,如果该动作不成功,则不能启动任何新的进程;
l注册表保护:
硬件监控模块内存放允许启动的用户进程标识,该模块只能通过特殊的硬件编程接口并施加特定的编程电压才能进行修改;
l进程防跟踪:
每个用户在运行过程中都需要定期向硬件监控模块发送状态码,如果长时间没有响应,则会导致整个系统重新启动。
通过以上多种技术手段的综合防护,大幅度提高了NetPorter操作系统级的安全防护能力,为整个系统的高安全等级防护打下了良好的基础。
4.5应用协议支持
NetPorter支持多种应用协议,针对应用协议特性采取不同的安全策略,对交互的信息进行严格的过滤检查。
lHTTP/HTTPS协议
NetPorter不仅支持基于HTTP协议的Web访问,还支持安全性更高的基于HTTPS的Web访问,如网上银行网站。
NetPorter在HTTP/HTTPS上的安全策略有:
Ø
用户在每次打开新的Web浏览器窗口时都需要进行身份认证;
基于用户、IP地址、IP/MAC、时间段的访问控制;
提供URL过滤、内容过滤;
恶意代码过滤,如ActiveX、CookIE、JavaApplet、JavaScript等;
记录每次的浏览的详细日志。
l电子邮件
NetPorter支持SMTP和POP3邮件协议,用户可以使用客户端邮件软件通过本系统安全收发互联网上的邮件。
用户可以根据业务要求开放或禁止通过网站收发邮件。
NetPorter在电子邮件上的安全策略:
完全白盒控制策略,只有合法的用户和邮箱才能进行电子邮件收发;
对所有经过NetPorter的邮件进行病毒查杀;
对所有经过NetPorter的邮件进行内容过滤、附件过滤、附件类型过滤;
POST操作限制,如不允许用户通过Web网站方式发送邮件;
记录每次邮件的详细日志。
lFTP协议
对FTP的控制通道消息进行完全的解析,动态建立和删除数据通道,并对所有FTP传输数据进行内容过滤,及时中断非法FTP文件传输。
记录每次的操作行为。
完全基于应用层的FTP协议分析和终结;
NetPorter将Client和Server隔离开,Client不能直接和Server建立TCP连接,防止针对Server的协议漏洞攻击和拒绝服务攻击;
对于客户端和服务器可进行PASV和PORT方式的转换,保证在连接服务器时总是采用PASV方式,保证受保护网络的高安全性;
用户认证策略可配置为不认证、用户名/口令认证、用户名/口令/IP地址等认证方式;
NetPorter的用户认证