安全隔离与信息交换系统销售问答.docx
《安全隔离与信息交换系统销售问答.docx》由会员分享,可在线阅读,更多相关《安全隔离与信息交换系统销售问答.docx(17页珍藏版)》请在冰豆网上搜索。
安全隔离与信息交换系统销售问答
联想网御SIS-3000
安全隔离与信息交换系统
销售问答
目录
§1政策概念类2
1.1、产品概念、组成和特点2
1.2、国家指导政策3
1.3、产品安全性5
1.4、其他产品对比8
§2功能技术类10
§3产品应用类12
§4安装调试类13
4.1一般性问题13
4.2硬件问题14
4.3基本模块14
4.4文件交换模块15
4.5安全浏览模块15
4.6数据库同步模块16
4.7邮件交换模块17
§1政策概念类
本类FAQ主要是关于产品概念、组成、特点、国家有关政策法规、产品安全性问题与其他产品和概念的比较等常见问题。
1.1、产品概念、组成和特点
问:
为什么现在称网闸为安全隔离与信息交换系统?
能否再称之为网闸?
答:
目前网闸类产品的名称比较混乱,国家保密局为规范市场,统一命名为“安全隔离与信息交换系统”。
该名称可以更好地反映产品的两个特点:
安全隔离、信息交换。
但是由于网闸的名称在市场上已经先期存在了,因此在正式场合下采用“安全隔离与信息交换系统”,在非正式场合或者简称的情况下,可以使用网闸、安全隔离网闸等名词。
问:
英文称隔离技术是什么?
答:
称之为“GAP”技术或者“AirGAP”技术。
问:
安全隔离与信息交换系统是硬件设备还是软件设备?
答:
安全隔离与信息交换系统由软件部分和硬件两部分组成。
是标准的2U机架式设备。
问:
联想网御SIS-3000安全隔离与信息交换系统硬件设备是由几部分组成?
答:
由三部分组成,内网主机模块、外网主机模块和隔离交换模块。
问:
联想网御SIS-3000安全隔离与信息交换系统软件模块包含哪几部分?
答:
由八个功能模块组成。
基本模块、文件交换模块、安全浏览模块、数据库同步模块、数据库访问模块、邮件交换模块、邮件访问模块、FTP访问模块。
其中,基本模块是任何型号中都必需的,其他模块根据不同的应用需求选用。
问:
安全隔离与信息交换系统的隔离硬件需要专用硬件吗?
答:
需要。
安全是“硬”道理,安全隔离与信息交换系统的核心安全性就体现在隔离硬件部件上。
首先通过专有硬件可以达到从链路层切断网络连接;其次如果主机设备之间采用标准外设连接,如:
SCSI、USB、串口等,则内外网络一直保持连接,可以通过这个物理连接从外网进行试探攻击,所以其隔离安全性不高,而专有硬件实现分时连接,内外网络不会直接连接,无法从外网对内网进行连接试探攻击,其隔离安全性更高;最后通过SCSI、USB、串口等标准设备连接,其硬件设备及驱动程序的技术标准都是公开的,易被别人利用和修改,从而无法确保硬件或接口本身的安全性,而专有硬件实现专有访问方式,其驱动程序为专有程序,无法被人利用。
问:
联想网御SIS-3000安全隔离与信息交换系统有什么接口?
答:
联想网御SIS-3000安全隔离与信息交换系统提供如下接口:
内网主机模块:
3个标准10/100Base-T(RJ45)自适应以太网接口:
网络、管理、HA
2个RS-232串口
2个USB口
外网主机模块:
3个标准10/100Base-T(RJ45)自适应以太网接口:
网络、管理、HA
2个RS-232串口
2个USB口
1.2、国家指导政策
问:
安全隔离与信息交换系统适用哪些范围?
答:
国家保密局明确规定安全隔离与信息交换系统应用如下四个范围:
1、不同的涉密网络之间;
2、同一涉密网络的不同安全域之间;
3、与Internet物理隔离的网络与秘密级涉密网络之间;
4、未与涉密网络连接的网络与Internet之间。
问:
安全隔离与信息交换系统能否适用于涉密网与互联网?
答:
国家保密局明确规定任何安全隔离与信息交换系统不允许涉密网和互联网直接连接,包括某些所谓单向安全隔离与信息交换系统。
问:
安全隔离与信息交换系统能否是物理隔离产品?
答:
物理隔离概念本身就具有一定的模糊性,目前大家都采用安全隔离的概念。
如果从物理链路上是否有固定的连接来判定是否是物理隔离,则可以说安全隔离与信息交换系统属于物理隔离。
如果从是否有数据交换角度来判定,则所有安全隔离与信息交换系统都不是物理隔离,因为所有安全隔离与信息交换系统都必须进行数据交换。
有些用户在此概念上理解不太清楚,因此,具体面对用户时需要灵活对待。
问:
安全隔离与信息交换系统需要通过那些认证?
答:
需要通过公安部、国家保密局、国家信息安全认证测评中心三方认证。
如果在军队销售,还需要通过军队信息安全测评认证中心的认证。
问:
国家对安全隔离技术和产品有什么指导性建设意见。
答:
1、2000年1月1日,国家保密局发布实施《计算机信息系统国际联网保密管理规定》明确要求“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连,必须实行物理隔离”。
2、中办发[2002]17号文件转发了《国家信息化领导小组关于我国电子政务建设指导意见》,指出“电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离。
政务内网主要是副省级以上政务部门的办公网,与副省级以下政务部门的办公网物理隔离。
政务外网是政府的业务专网,主要运行政务部门面向社会的专业性服务业务和不需要在内网上运行的业务”。
3、2003年8月《国家信息化领导小组关于加强信息安全保障工作的意见》指出要集中力量,加强对安全隔离等关键技术以及相关技术的研究开发。
问:
安全隔离与信息交换系统是否可以在网络内部使用?
答:
可以,网络内部安全级别不同的两个网络之间也可以安装安全隔离与信息交换系统进行隔离。
问:
为什么国家要求选择国内厂家生产的安全隔离与信息交换系统产品?
答:
国外的网闸从硬件到软件都是国外制造,对于国人来讲没有自主版权,即使OEM其秘密仍然掌握在外人手中,很难保证没有后门程序。
因此安全隔离与信息交换系统一般都应用在对于安全要求很高的应用服务中,显然选择国内的安全隔离与信息交换系统安全性能够得到更好的保证。
1.3、产品安全性
问:
隔离了,怎么还可以交换数据?
答:
网络隔离是通过隔离交换硬件实现两个网络在链路层断开,隔离交换模块模拟人工拷盘模式,分时连接内外网络,通过信息摆渡机制实现数据交换。
问:
联想网御SIS-3000安全隔离与信息交换系统能够交换什么样的数据?
答:
安装了相应的应用模块之后,联想网御SIS-3000安全隔离与信息交换系统可以在保证安全的前提下,使用户可以在内外网进行文件交换、收发电子邮件(镜像方式)、对内外网数据库进行数据同步、对外网进行安全浏览。
问:
联想网御SIS-3000安全隔离与信息交换系统直接转发IP包吗?
答:
否。
联想网御SIS-3000安全隔离与信息交换系统从不直接或者间接地转发IP包形式的数据。
安全隔离与信息交换系统的安全性体现在链路层断开,阻断原有网络连接,并对应用层数据进行内容检查和控制,在网络之间交换的数据都是应用层的数据。
如果直接转发IP的话,由于单个IP包中一般不包含完整的应用数据,所以无法进行全面的内容检查和控制,也就无法保证应用层的安全。
因此,如果直接转发IP包,则背离了安全隔离与信息交换系统的安全性要求,不能称为安全隔离与信息交换系统。
问:
能否通过ping命令测试某设备是否是隔离设备吗?
答:
不能!
众所周知ping是通过ICMP协议进行工作的,一旦系统(或设备)屏蔽了ICMP协议,则ping不通,但是这并不能说明该设备就是安全隔离与信息交换系统。
问:
安全隔离与信息交换系统的局限性有那些?
答:
安全性、效率和好用性是必然的矛盾,安全隔离与信息交换系统的产品定位是首先保证安全,其次在保证效率和好用性。
安全性越高意味着进行的检测更多,针对性更强,必然也就要付出时间、好用性的代价。
所以,安全隔离与信息交换系统的局限性在于它性能有所降低,同时应用支持有所受限。
问:
联想网御SIS-3000安全隔离与信息交换系统能够防止Nimda和CodeRedII吗?
答:
联想网御SIS-3000安全隔离与信息交换系统由于内嵌了防病毒模块,因此可以防止Nimda和CodeRedII,不仅如此,安全隔离与信息交换系统对文件和邮件采用证书认证机制可以有效的防止未知病毒滥发邮件。
问:
为什么说安全隔离与信息交换系统能够防止未知和已知木马攻击?
答:
通常的木马程序大部分是基于TCP进行通信的,木马的客户端和服务器端需要建立连接,而联想网御SIS-3000安全隔离与信息交换系统从原理实现上就切断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马无法通过安全隔离与信息交换系统进行通讯。
从而可以防止未知和已知的木马攻击。
问:
联想网御SIS-3000安全隔离与信息交换系统自身的安全性如何?
答:
联想网御SIS-3000安全隔离与信息交换系统采用了联想自主的内嵌式安全操作系统,采用强制访问控制策略、基于内核的入侵检测等安全功能,同时采用基于SSL的安全管理方法,有效的保护系统自身的安全。
问:
联想网御SIS-3000安全隔离与信息交换系统能否防止内部无意信息泄漏?
答:
联想网御SIS-3000安全隔离与信息交换系统采用多种方式防止内部信息的泄漏。
首先,支持地址绑定,只会接受合法主机发送的信息;其次,支持内容检测,采用关键字、黑白名单等技术进行内容过滤;在其次支持用户名/口令、SMTP认证等认证方式,只有合法用户才能正常发送信息;最后,系统还支持数字证书签名,只有经过检验,证明证书用户是合法用户,其请求和数据才被交换。
通过以上几点以及防病毒检测的配合,可以有效阻止因为病毒、木马等原因,造成的内部信息的无意泄漏。
问:
如何验证系统内、外网机之间只交换应用层数据,没有直接或间接转发IP数据包?
如何保证其协议落地?
答:
使用两台pc机侦听安全隔离与信息交换系统运行时内外网端口的数据包,可以发现系统两侧数据包在链路层、网络层(IP)、传输层(TCP)都是不一样的,说明原有IP/TCP已经被阻断,所交换的只是应用层数据。
不同协议层次可供比较的数据项为:
数据链路层(DLC):
Destination目的mac地址
Source源mac地址
IP层(IP):
identification标识字段
Headerchecksum首部检验和
TotelLengh数据包长度
TCP层(TCP):
SourceportorDestinationprot源或者目的端口
Sequencenumber序列号
NextexpectedSeqnumber期望序列号
ChecksumTCP报文校验和
问:
何为“芯片级隔离”?
芯片级隔离属于物理隔离吗?
答:
物理隔离概念本身就具有一定的模糊性,目前大家都采用安全隔离的概念。
如果从物理链路上是否有固定的连接来判定是否是物理隔离,则可以说属于物理隔离。
如果从是否有数据交换角度来判定,则所有网闸都不是物理隔离,因为所有网闸都必须进行数据交换。
所谓芯片级隔离首先是指专有硬件进行交换,不是加密方式,也不是通过主板上集成的外设设备,如:
USB、串口等,也不是市面上能直接获得的板卡,如:
1394卡、SCSI卡等;其次,这个专有硬件是通过安全芯片实现独立控制逻辑、实现高速交换总线等全部硬件协议和交换技术,较之单纯的开关,其功能、效率都不可同日而语。
问:
安全隔离与信息交换系统的交换原理原来解释为“摆渡开关”,现在宣传为“芯片隔离”,安全性上有什么差别?
如何解释前后的机制变化差异?
答:
摆渡开关仅仅是开关,他满足了隔离特性,但并不具备更多的功能。
芯片隔离其本身具有独立控制逻辑,不需要占用CPU资源、其交换过程不受CPU控制,通过硬件自主协商自动完成信息交换,同时在交换技术上,采用高速总线,通过DMA通道流水线技术实现高速交换,其交换效率和未来扩展空间都更高、更大。
1.4、其他产品对比
问:
安全隔离与信息交换系统与物理隔离卡的主要区别是什么?
答:
物理隔离卡是物理隔离产品,实现“物理隔离、禁止交换”,其产品为硬件板卡设备,实现客户端机器的物理隔离;安全隔离与信息交换系统是安全隔离产品,实现“安全隔离、适度交换”,其产品为软件设备加硬件设备,实现两个网络之间在隔离状态下,数据安全的交换。
问:
安全隔离与信息交换系统的“安全适度的信息交换”与路由器、交换机在网络之间交换信息有什么不同?
答:
安全隔离与信息交换系统不但转发交换数据,更负责数据交换的安全性。
其信息交换是在网络之间不存在链路层连接的情况下进行的,它采用信息摆渡技术,模拟人工手工拷盘的模式实现信息安全交换,同时,安全隔离与信息交换系统不但处理网络层检测,还进行应用层数据检测,从而实现高度安全。
路由器、交换机的信息交换则保持链路层畅通,在链路层之上进行IP包等网络层数据的直接转发,不考虑网络安全和数据安全的问题。
答:
安全隔离与信息交换系统和防火墙两者安全性有何不同?
答:
安全隔离与信息交换系统保护的是重要数据的交换,所以其产品定位首先是强调安全,其次才是性能、易用性等问题。
相对而言,防火墙等安全产品更多的是强调通用性、一般性安全保障,因此性能等问题需要更多的考虑。
由于上述两者的产品定位不同,所以防火墙的核心安全主要进行网络层过滤检测,这必然也限制了他的安全检测深度;而安全隔离与信息交换系统其核心安全在于:
硬件隔离、协议阻断和应用层检测,通过在链路层和应用层的控制、检测实现安全,所以后者安全性更高。
同时,对于应用代理类产品,一方面它进行应用层检测,但是由于应用层代理还是做了协议转发,所以它不具备隔离功能、也不具备协议阻断功能,同时,限于性能要求,检测也不可能太深入。
因此,安全隔离与信息交换系统的安全性仍然高于两层应用代理。
问:
安全隔离与信息交换系统能取代防火墙吗?
答:
无论从功能还是实现原理上讲,安全隔离与信息交换系统和防火墙是完全不同的两个产品,防火墙是保证网络层安全的边界安全工具(如通常的企业网络接入点、DMZ非军事化区等);而安全隔离与信息交换系统的重点是保护内部网络的安全,在保证网络链路层网络隔断的状态下进行安全适度的可控的信息交换。
因此两种产品由于定位的不同,因此不能相互取代。
问:
有了防火墙和IDS,还需要安全隔离与信息交换系统吗?
答:
防火墙是网络层边界检查工具,可以设置规则对内部网络进行安全防护;IDS一般是对已知攻击行为进行检测,这两种产品的结合可以满足一般的网络安全需求。
安全隔离与信息交换系统用于解决不同安全域的网络之间数据的安全交换,保护重要的内网数据,适用于对安全要求较高的用户,其特征是不敢直接把内网系统连接到外网,直接对外提供服务。
两者的结合,可以更好的满足不同层次的安全需求,互相取长补短,为整个系统建立合理的纵深防御体系。
问:
国内外知名的网闸产品有那些?
答:
国外的网闸产品有Spearhead的NetGAP以及whale公司的eGAP。
国内除联想网御SIS-3000安全隔离与信息交换系统外,主要还包括珠海伟思的ViGap、北京天行网安公司的TopwalkGAP、中网的XGap、国保金泰的IGap、浪潮集团的网泰安全隔离与信息交换系统、盖特佳的GateGuardGAP等。
问:
国内的安全隔离与信息交换系统和国外的GAP产品区别是什么?
答:
国内的安全隔离与信息交换系统和国外的GAP产品虽然从硬件角度来讲都属于GAP产品,但是由于设计以及保护重点的不同,最终在功能上还是有很多差异。
如NetGAP产品的功能类似于内容检查的防火墙,接受非信任方的请求,支持交互式访问;而国内的安全隔离与信息交换系统更多的是侧重于保护内部网络,仅允许仅有的几种数据交换。
因此从安全角度来讲,国内的安全隔离与信息交换系统安全功能更强。
§2功能技术类
本类FAQ主要是关于产品各模块功能、性能指标等问题。
问:
联想网御SIS-3000安全隔离与信息交换系统的主要性能指标有哪些?
答:
性能指标包括:
内部总线交换速率:
2Gbps
系统数据交换速率:
80Mbps
硬件切换最大延迟:
纳秒级
问:
联想在未来是否提供千兆网络支持?
答:
支持。
目前可以采用负载均衡等措施实现大流量支持。
问:
是否集成反病毒引擎?
是哪家的反病毒引擎?
可以针对哪些模块进行检测?
答:
支持。
集成了瑞星反病毒引擎,主要是针对文件交换模块和邮件交换模块进行检测。
(注:
需要对反病毒引擎另外购买许可)。
安全浏览模块本身是文本型文件,同时通过各种可执行脚本的过滤,可实现病毒的防范;而数据库同步模块其文件是由安全隔离与信息交换系统生产,所以没有病毒问题,不需要进行检测。
问:
浏览模块中是否支持IP地址策略?
整个系统是否具有访问控制功能?
答:
支持。
在基本模块中,支持IP地址和MAC地址的绑定,只有满足条件的客户机才能访问网闸,这个控制对所有功能模块都是有效的。
问:
联想网御SIS-3000安全隔离与信息交换系统支持远程管理吗?
如何进行安全管理?
答:
支持。
联想网御SIS-3000安全隔离与信息交换系统既支持本地串口登录管理,同时也支持远程管理。
系统支持GUI管理界面,可以通过浏览器对系统进行方便的配置;系统支持基于SSL的客户端用户身份认证;系统支持口令次数和强度检测;系统内外网主机系统具有各自独立的管理配置界面,专有的配置管理接口;系统管理员和审计管理员具有各自独立的权限和身份。
问:
联想网御SIS-3000安全隔离与信息交换系统有身份认证机制吗?
答:
有。
联想网御SIS-3000安全隔离与信息交换系统在文件交换、邮件交换、安全浏览等功能模块中,可以对用户进行用户名/口令、证书认证等多种形式的身份认证。
问:
联想网御SIS-3000安全隔离与信息交换系统支持双机热备吗?
答:
支持。
问:
联想网御SIS-3000安全隔离与信息交换系统支持负载均衡吗?
需要第三方软硬件支持吗?
答:
支持。
不需要第三方软硬件支持,系统本身即可完成负载均衡工作。
问:
联想网御SIS-3000安全隔离与信息交换系统支持cookie过滤吗?
答:
支持。
由于cookie需要在客户端上进行数据读写,因此从安全性上考虑,联想网御SIS-3000安全隔离与信息交换系统可以选择过滤cookie。
§3产品应用类
本类FAQ主要是关于产品应用方法、用户信息、应用案例等问题。
问:
为什么要使用安全隔离与信息交换系统?
答:
首先是国家政策需要。
其次是用户需要,用户在把传统业务迁移到互联网上时,面临着如何保护原有内网数据的安全问题,而仅仅依靠防火墙等传统产品不能满足用户对安全的需求,而安全隔离与信息交换系统能够提供基于隔离交换的最高安全,能够最大限度满足用户的安全需求。
问:
安全隔离与信息交换系统在各行业应用系统中可以应用在哪些位置?
答:
安全隔离与信息交换系统通常布置在两个安全级别不同的网络之间。
各行业建设有自己从中央到地方的多级网络,不同级别的网络其安全级别不同,同时,各级网络需要对外提供服务业务,总体来讲,安全隔离与信息交换系统主要可以应用在如下三个位置:
1、各行业纵向网上各级节点对外提供的各项业务服务的接口。
2、各行业纵向网内部上下级、不同安全域之间进行数据交换的接口。
3、各行业与本行业业务相关的其他政务部门之间进行数据交换的接口。
问:
哪些行业需要采用安全隔离与信息交换系统?
答:
目前应用最多的是公安、税务系统。
比如:
公安部的电子印章系统、出入境管理、酒店人口管理、暂住人口管理、交通管理、移动查询等等,税务系统的网上报税、增值税专项发票抵扣联认证系统、发票管理系统等等。
其他行业如:
海关、保险、社保、电力、军队、政府信息中心等多个领域都需要用到该产品。
目前,电子政务12个重要业务系统正在加速建设,其中继续完善已取得初步成效的办公业务资源系统、金关、金税和金融监管(含金卡)4个工程,启动和加快建设的宏观经济管理、金财、金盾、金审、社会保障、金农、金质、金水等8个业务系统工程建设,都将为安全隔离交换系统提供广阔的市场前景。
另外电信、金融、证券、保险、电力、铁道、教育、石油、化工、军队、中小企业等的不同涉密级别网络之间、同一涉密级别不同业务网络之间、涉密网与没有接入互联网的办公网络之间对该产品存在着较大的市场需求。
问:
联想网御SIS-3000安全隔离与信息交换系统适用于什么样的场合?
答:
简而言之,如果政策有规定,或者用户感觉两个网络之间不能直接连接,但是又需要进行数据交换的情况下,可以采用该系统;而感觉两个网络之间可以直接连接进行数据交换的场合,则应该采用防火墙系统。
§4安装调试类
本类FAQ主要是关于产品安装调试中遇到的各种问题。
4.1一般性问题
问:
安全隔离与信息交换系统的部署是否需要对网络架构作调整?
答:
一般不必,仅需要在两个网络各提供一个有效的IP地址即可。
问:
使用联想网御SIS-3000安全隔离与信息交换系统时需要安装客户端吗?
答:
在文件交换模块中,如果需要进行数字签名认证,需要安装一个客户端小软件,用户通过该软件对需要传递的文件进行签名,才能正常进行交换。
其他情况下,不需安装额外的客户端。
问:
联想网御SIS-3000安全隔离与信息交换系统是否支持所连接的两个网络的网段地址相同(同一网段)?
答:
支持。
4.2硬件问题
问:
如何检查设备硬件工作状态是否正常?
答:
1、检查内外网模块电源(长亮)及硬盘(有数据传输时闪烁)指示灯是否正常;
2、检查网闸数据交换模块状态指示灯是否保持闪烁状态;
3、登录管理界面检测内外网系统是否已经启动。
4.3基本模块
问:
为什么无法登陆samba及用户管理或登陆后显示不正常。
答:
1、当无法登陆samba时,检查主机IP地址是否与网闸地址在同一网段,在有多IP地址时,与网闸通讯的IP的地址必须在多IP地址中的第一个;
2、当无法登陆用户管理界面时,请检查密码是否被更改过;
3、当登陆后显示不正常时,请关闭当前浏览器,重新打开一个浏览器窗口,清除已有的浏览器缓存后,再次登陆。
或登陆管理界面后,点击鼠标右键“刷新”此页面。
4.4文件交换模块
问:
为什么文件传输后在目的网络中无法找到?
答:
1、确认文件发送方的日志中记录成功发送信息;
2、检查在系统缺省存储路径/bin/InfoProxy/data中是否存在该文件;
3、检查文件传输任务设置中的路径设置是否正确,特别注意任务的存储号是指目的网络中定义的文件传输模块的存储号;
4、检查主机模块网络端口、管理端口、内部端口的IP地址设置是否存在冲突,不要将三个端口中任意两个端口设置为同一网段;
5、检查文件接收方的日志记录。
问:
为什么文件名或路径名中含有字符’+’时,传输后文件名发生了变化?
答:
1、因为字符’+’已经作为安全隔离与信息交换系统内部使用的符号。
当文件名或路径名中含有字符’+’时,系统会将该字符替换成空格。
问:
文件无法正常传递?
答:
1、检查安全隔离与信息交换系统文件传输模块是否正常启动运行;
2、检查是否对所要传输的文件作了格式的限制;
3、检查文件传输配置文件中操作方式是否正确;
4、检查是否启用了黑白名单,而文件中含有黑名单中的关键字或者没有包含白名单中的关键字;
5、检查配置完毕后是否是已经启用配置。
查看文件传输日志记录,从日志中分析问题的具体所在。
4.5安全浏览模块
问:
为什么内网用户无法访问外网的web服务器?
答:
1、检查安全隔离与信息交换系统是否正常启动;
2、对采用TCP传输协议的用户,可以检查本网段的通用客户端安全插件和web服务器所在网络的通用服务端安全插件的任务配置是否正确。
IP地址和端口号是否更改。
对采用UDP传输协议的用户,可以检查本网段的UDP客户端安全插件和web服务器所在网络的UDP服务端安全插件的任务配置是
升级会员 