GAP 金盾安全隔离与信息交换系统
金盾安全隔离与信息交换系统(隔离网闸)利用国际上新进的技术手段,依靠自身的技术优势和安全体系结构方面的研究成果,成功开发出的一种快速、安全的网络物理隔离产品。产品融入了完整的安全体系设计理念,采用国内独创的DTP物理隔离通道控制系统和嵌入式内核控制技术,以及多重安全措施,有效的防止黑客攻击病毒侵入和信息泄露等安全隐患,确保内网与外网的安全隔离和信息的可靠交换,是一种安全性极高的网络安全产品。

安全可靠.png

安全可靠
产品采用安全的“2+1”的系统架构,即双主机系统+隔离硬件,确保工作安全可靠。采用两套独立的高性能处理系统分别作为内端机和外端机,内端机处理内网信息,外端机处理外网信息,二者之间物理隔离。

物理隔离.png

物理隔离
独有DTP物理隔离通道控制系统彻底阻断网络间的直连通路。特有控制逻辑和专用通讯协议完全控制数据的实时交换。

可视认证.png

可视认证
通过web图形化界面,安全的HTTPS远程管理,并提供密码和USBKEY的双因子认证方式。

协议丰富.png

协议丰富

产品支持SIP、H.232、RTSP、RTMP等视频协议,符合GB/T28181要求,兼容大华、海康、宇视、天地伟业、科大、新华三等主流视频厂商。

支持全面.png

支持全面
数据库同步支持ORACLE、SYBASE、MySQL、SQL Server、DB2等主流数据库,也支持国产达梦、人大金仓、南大通用、神州通用等国产数据库。

适应性强.png

适应性强

网络适应性强,同时支持IPV4及IPv6,也支持HA双机热备和链路聚合。

产品_NOC_04.png

文件交换

1、 支持SMBFS、SAMBA、NFS等文件传输协议,可以实现内网到外网、外网到内网、双向的文件传输;
2、 支持文件传输方向可控,实现单向或双向传输;
3、 支持对交换的文件进行病毒检测;
4、 支持对交换文件类型的黑白名单控制,可以根据文件格式特征进行过滤,扩展名可以根据用户自定义;
5、 支持文件断点续传。


产品_NOC_05.png

数据库同步

1、 支持ORACLE、SYBASE、MySQL、SQL Server、DB2等主流数据库同步和支持国产达梦、人大金仓、南大通用等数据库的同步;
2、 支持多种同步方式(如先镜像后增量、增量),同步模式支持单向和双向同步;
3、 支持同构数据库之间、异构数据库之间的数据同步,如将SQL Server中的数据同步到MySQL或其他数据库中;
4、 支持对指定字段的指定内容允许同步或不允许同步;
5、 支持自定义间隔时间执行同步任务,支持指定时间执行同步任务;
6、 数据库同步支持BLOB、CLOB、Long等大字段。


产品_NOC_06.png

视频交换

1、 GB/T 28181视频通信国家标准;
2、支持RTSP、RTMP、SIP、H.323等视频通信协议。


产品_NOC_07.png

工业应用

支持OPC、MODBUS、S7、WINCC、DNP3、IEC等主流工业协议。


安全浏览备份.png

安全浏览

1、支持HTTP五种请求类型(GET/POST/PUT/HEAD/CONNECT)的黑白名单控制;
2、支持URL地址过滤、支持用户上网时间段控制。


邮件传输.png

邮件传输

1、支持基于SMTP、POP3协议的邮件接收,内外网隔离环境下可实现邮件收、发;
2、支持对邮件地址、主题、内容、附件、关键字等过滤,邮件附件大小的控制。


安全审计隔离.png

安全审计隔离

实现特定TCP、UDP协议的数据隔离交换,可合作定制开发针对特定协议的;提供业务日志审计、系统管理日志审计、攻击防护日志审计等;提供防病毒、入侵检测功能。


高可用.png

高可用

1、 支持独立的热备端口或普通业务端口实现双机热备及负载均衡,配置自动同步,无需多次配置;
2、 支持链路聚合,提高物理端口带宽和可用性。



集中管理.png

集中管理

1、 支持标准的SNMP协议;
2、 支持集中管理,对多台设备统一管理和策略下发。


多网隔离调试.png

多网隔离调试

支持多网隔离,每个网络接口可以接不同安全级别的网络;支持通过traceroute、telnet、ping、arp、tcpdump等工具对网闸进行故障排除。 


方案背景


随着全球信息化、数字化时代的到来,国际互联网的广泛应用,网络技术已渗透到社会的每一个角落, 大大提高了我们的工作效率,网络技术(尤其是Internet技术)是一把双刃剑,它在促进一个国家国民经济建设、丰富人民物质文化生活的同时,也对传统的国家安全体系、单位安全体系提出了严峻的挑战,使得国家的机密、金融信息、单位的生产运行等面临巨大的威胁。在给我们带来极大便利的同时也带来了严重的安全问题,尤其是病毒破坏、黑客入侵造成的危害。尽管我们可以使用防火墙、代理服务器、入侵检测等安全措施,但是这些技术都是基于软件的逻辑隔离,对于黑客和内部用户而言是可能被操纵的,再加上目前我国使用的计算机核心软硬件都依赖进口,谁也无法保证这些软硬件中没有后门、没有漏洞。因此最好的办法就是让用户重要的数据和外部的互联网没有物理上的连接,让黑客无机可乘,但是这样又不便利用互联网上丰富的信息资源,所以就需要一种技术来帮助用户既能有效地隔离内外网络,又能方便地使用内外网的资源。



用户需求


1、单位的办证系统位于外网区域,英格索兰系统位于单位的内网,两个系统之间需要进行有限的数据交换。利用物理隔离网闸可以实现单位外网和内网之间物理上的隔离,同时满足数据库交换、文件交换、电子邮件的收发等功能。


2、通过安全隔离网闸实现单位外网和内网在物理隔离的前提下进行文件有效的安全的交换。


3、通过安全隔离网闸实现单位外网和内网在物理隔离的前提下进行数据库有效的安全的交换。


4、安全隔离网闸在实现隔离网络间数据和信息正常交换的同时,对交换的数据和信息进行校验、过滤其中的恶意代码、黑客程序和病毒等破坏性信息,只允许与系统相关的数据和信息进入内部网络中。内网与外网永不连接,内网和外网在同一时间最多只有一个同隔离网闸设备建立非TCP/IP协议的数据连接。




方案设计


根据相关部门规定及用户需求,内外网络在安全隔离的前提下进行有效,可靠的数据传输。

隔离网闸部署后示意图如下:


333.png



隔离网闸部署说明

1、金盾安全隔离网闸采用“2+1”架构,即内网处理单元、外网处理单元和DTP物理隔离通道,确保内外网之间没有TCP/IP连接,通过协议剥离、信息“摆渡”、安全检查、病毒扫描等方式确保内外网在隔离的情况下进行安全、可靠的信息交互,符合国家保密局规定;网闸内外网主机系统采用专用安全操作系统及嵌入式程序控制(ASIC)确保系统本身免受攻击;网闸内部采用特有控制逻辑和专用通讯协议完全控制数据的实时传输,彻底阻断TCP/IP协议及其他网络协议,阻止已知和未知的TCP/IP攻击。


2、在单位内外网之间部署1台金盾安全隔离网闸,在网络安全隔离的前提下,实现数据中心办公电脑的文件传输、等信息在安全隔离的情况下正常的交互。在文件传输、文件共享同步、FTP访问时,可对文件类型做深度检测,不按文件后缀同步,防止非法用户更改文件后缀,传输文件同时对交互信息进行病毒检测、信息校验等安全规则的检查,确保信息的安全与可靠。


3、通过部署金盾安全隔离网闸,实现单位内外网之间数据库在隔离的前提下进行单向或双向同步功能,并对同步数据进行病毒检查及校验,确保传输的数据安全可靠;所有的传输操作由安全隔离数据库同步功能模块独立完成。不在用户数据库中安装任何客户端软件,对用户数据库不作任何改变,支持各种主流数据库之间的传输如:Oracle 、DB2、SYSBASE、SQL Server、MySql等数据库,满足用户多样性需求。


4、金盾安全隔离网闸具备丰富的日志审计功能,能够详细记录设备内外网用户登录日志、文件发送接收日志、FTP日志、数据库同步日志、病毒查杀日志、入侵报警日志等。





业界认可
中国物联网技术创新奖
中国警务信息化建设成果
最佳安全解决方案奖
全国政法综治智能化建设创新案例
征集“雪亮工程”优秀解决方案奖
金盾软件产品符合国家保密标准
通过国家涉密信息系统产品检测