中铁信致力涉密网络安全保护获重大突破 - 新闻


		我的佳工网手机版 English
		关键字

选择展区 >>




您的位置：首页 > ERP/制造业信息化展区 > 网络/安全/存储产品展厅 > 新闻 > 正文	产品会展人才帮助 \| 注册登录

网络/安全/存储产品

	按行业筛选

	按产品筛选


本产品全部新闻

e展厅

产品库

视频

新闻

市场动态 \| 技术动态 \| 企业新闻 \| 图片新闻 \| 新闻评论	佳工网行业新闻--给您更宽的视角	发表企业新闻投稿

中铁信致力涉密网络安全保护获重大突破

http://cn.newmaker.com 7/20/2007 10:20:00 AM 佳工机电网

欢迎访问e展厅
展厅 5	网络/安全/存储产品展厅无线上网卡, 光纤设备, 网络布线产品, 计算机干扰器, 网关, ...

我国长期专注于涉密网络安全的信息安全解决方案提供商中铁信息工程集团，近年来相继研制成功中铁信科博安全隔离与信息交换系统SRIE CopGap和中铁信科博应用数据二极管SRIE CopAdd等具有自主知识产权的网络安全产品，并在铁道部及全国各大铁路局、银监会总部、全国36个地方银监局，以及国家其他各大部委和大型行业信息系统得到广泛应用。有关专家指出，这表明我国涉密网络安全保护技术获重大突破、大型行业信息系统的安全屏障日趋完善。

网络安全建设中一个亟待解决的问题

在过去的几年里，网络安全问题已经上升为一个我们在任何时候都无法回避的问题。网络安全威胁无处不在，信息社会正处于一个极大繁荣而又不受控制的“喧嚣”阶段。

计算机网络的开放性产生了许多安全问题，网络攻击、信息泄漏、网上犯罪层出不穷，而采用以防火墙为核心的网络边界防御体系只能够满足信息化建设的一般性安全需求，却难以解决涉密信息系统等重要网络的保护问题。对于涉密网络的保护，我国历来采用了物理断开的方法，国家保密局在《计算机信息系统国际联网保密管理规定》中，将涉密信息系统的安全防御要求定格为与任何非涉密信息系统必须“物理断开”。但是，断开了却严重影响了业务信息系统的运行。

目前，很多部委的重要业务系统都处于涉密网络，而业务系统需要的基础数据却来自外部业务网络，甚至互联网。物理断开造成了应用与数据的脱节，影响了政府执行能力和行政效率。包括国家保密局在内的信息化建设的主管部门都充分地认识到，断开不是目的，保护涉密网络的安全才是目的。现在之所以要断开，是因为还没有一种值得信赖的技术实现互联。看来，如何实现涉密信息系统与非涉密网络之间的连接问题，成为我国网络安全建设中一个亟待解决的问题。

断开了，数据如何进行交换？

但现在断开了，数据如何进行交换呢？如何解决安全与应用之间的矛盾？应用的需要和安全的需要催生了一种新型的技术——物理隔离技术GAP。这种技术逐步深化为一种适于网络应用的“数据泵”技术。

GAP技术是一种什么技术呢？从字面上理解，可以译为“缺口、豁口”，即在两个网络之间形成一个缺口。有了缺口当然就能保证安全。也有将GAP译为“Gap All Protocol”的说法，表明这个“缺口”不是什么都不让通过，而只是将协议隔离，应用数据还是可以利用这个缺口通过安全方式交换的。遵从这种理解方式，GAP应该是一个三系统的设备：一个外端机、一个内端机、一个中间交换缓存。内外端机用于终止网络协议，对解析出的应用数据进行安全处理。同时能够通过中间的交换缓存，通过非TCP/IP协议的方式进行数据交换。

中铁信息工程集团信息安全事业部总经理张鹏说：“在网络安全领域，中铁信息工程集团并没有做通用的防火墙，而是从一开始就着力于创新，做一种能保证核心的、敏感的网络与外部网络之间连接交换的高安全产品。”基于GAP技术理念，中铁信研制成功了中铁信科博安全隔离与信息交换系统SRIE CopGap200，为自主知识产权的网络边界防护设备。这种设备可以放置在高敏感网络和低敏感网络之间，拦截TCP/IP数据流，过滤丢弃TCP/IP协议格式；还原上层应用数据，并经过安全处理，以数据摆渡的方式实现不同敏感级别网络之间的应用数据安全交换。保证内外网络在没有电气连接的情况下，实现应用数据的往返传输。这个产品俗称网闸，目前这项成果已获得国家保密局、公安部、中国信息安全测评认证中心、中国人民解放军信息安全测评认证中心的相关证书。中铁信息工程集团安全产品总监唐三平指出：“这个产品突出了两个功能：一是物理断开，即从物理上断开内外网络；二是安全数据交换，即在物理隔离的条件下进行安全可控的数据交换。这种安全隔离技术能够避免黑客使用各种方法对受保护网络进行控制和攻击，将网络安全提高到了一个新的台阶。”

SRIE CopGap200的数据处理方式保证了其网络边界防护的高安全性，使其边界安全防护强度远远大于防火墙系列产品，即使是防护强度最高的应用代理防火墙。SRIE CopGap200可应用于保护政务、军事、银行、电信等重大基础网络的核心网络资源，如核心网络和核心数据服务器。

SRIE CopGap200由两个嵌入式单板机和隔离交换部件构成。两个嵌入式单板机一个称为外端机，与外部不可信网络相连；一个称为内端机，与可信网络相连。隔离交换部件包含两张隔离交换卡，其中1500型以下的隔离交换卡采用32位PCI接口分别插入内外端机主板，并采用双同轴电缆实现卡间互联；3000型采用PCI-E接口分别插入内外端机主板，并采用双冗余光纤信道实现卡间互联。

SRIE CopGap200具有如下特点：高性能指标，体现在高带宽、高并发、高点击率和低访问延迟。网闸作为一种应用层安全设备，难以基于NP或者纯ASIC芯片完成，只有通过X86架构实现。SRIE CopGap200将X86架构下的通信和安全处理性能提升到了极致，成为业界性能最高的隔离网闸；高技术起点，SRIE CopGap200是国内最早面市的隔离品牌，是中铁信与国家保密技术研究成果所两次国家863课题合作的产物，其技术的先进性、与国家政策的符合性都是值得充分信赖的；高可靠性，SRIE CopGap200是目前国内行业应用最为成功的隔离设备，已经纵向统配到我国铁路信息系统、全国银监信息系统等多个重要的基础核心网络生产系统中，实践证明了其高安全性、高稳定性；高易用性，SRIE CopGap200提供了灵活可扩展的网络接口、良好的管理配置接口、丰富的管理配置措施，能灵活地适应各种网络环境，并方便接受管理员的管理配置

SRIE CopGap200主要应用场景有三种：核心数据库的保护、核心服务器区的保护，以及内外网络之间的数据同步。

SRIE CopGap200已成功应用于铁道部、全国各大铁路局、银监会总部、全国36个地方银监局、全国妇联、国家外汇管理局、北京市01工程、财政部信息中心、海南省财政厅、四川省财政厅、深圳市财政局、广东省财政厅、云南联通、上海铁通、内蒙电信、内蒙公安、广西公安、延安公安、中山金盾工程、辽宁地税、南京地税、昆山地税、南京国税、四川华能电力、镇江海关、珠海社保和锦州商行。

中铁信息工程集团安全产品总监唐三平列举了银监会的案例，银监会的业务系统在内网，为涉密网络，通过互联网与36个地方银监局联系。2006年10月起，银监会统一采购了SRIE CopGap200，部署到全国36个地方银监局，保证了数据交换的安全可控。唐三平说，SRIE CopGap200在金财工程、金审工程、金税工程和金宏工程等也得到了很好的应用。

中铁信息工程集团信息安全事业部总经理张鹏说：“2007年将是信息安全产品的高峰采购年，我们将按照新一年的趋势进一步深化和开拓我们的产品线。中铁信科博安全隔离与信息交换系统SRIE CopGap200作为中铁信安全产品中的主打产品，我们要深入一步进行开发。新的网闸产品将具有DOS攻击防御功能、端口扫描防御功能、操作系统扫描防御功能和多种报警机制(邮件、短信)，其并发连接数也将达到1万左右，数据交换带宽能够达到740Mbps，无论在功能和性能上都将居于国内一流水平。面对即将到来的国内政府大范围采购安全隔离产品的情况，我们已经做好了充分的准备，高速和高性能的网闸推出之后，将全面提升我们产品的竞争力和市场占有率。估计2007年整个网闸市场容量在1400-1500套左右，我们将会获得近15-20%的市场份额。”

涉密和非涉密如何互联？

在Gap技术初生之际，国家保密局就在不同场合正本清源：“GAP技术不是物理隔离，不能用于涉密网络与非涉密网络之间的连接”。

既然GAP技术不能用于涉密网络与非涉密网络之间的连接，但从目前国家的一些重要的业务系统的实际运行情况来说，涉密网络与外界完全断开不现实，从业务流程、可用投资和发展潮流上都不允许。到底什么技术可能实现这种突破呢？国内外又在做哪些尝试呢？国际上浮出水面的一种技术是“数据二极管”(Data Diode)的纯单向技术。“数据二极管”技术以其纯单向性，能够保证数据信息从低密级网络向上流动，同时保证高密级信息不可能流到低密级网络中，从而达到数据推移、防止泄密的有效折衷。

中铁信息工程集团安全产品总监唐三平指出，中铁信科博应用数据二极管SRIE CopAdd(简称科博单向网闸)就是基于这种纯单向传输技术理念而研发的具有自主知识产权的边界安全防护设备。这种设备的研制动机就是要解决涉密网络与非涉密网络之间的互联问题，能在保证信号绝对单向的情况下，实现可靠的数据单向传输。

科博单向网闸的绝对单向性传输特征，决定了其适用于如下两种应用场景：其一为数据导入，保证内网信息不在导入过程中泄漏到外网；其二为信息单向发布，保证内网在向外网单向推移数据时，外网无法入侵内部敏感网络。

从硬件结构来说，科博单向网闸是一个双主机设备，它由四个部分组成：外端机、单向隔离卡、光纤通道和内端机。其中外端机与内端机是两台独立的主机，外端机与内端机之间存在惟一的连接接口，即通过光纤通道和单向隔离卡形成的数据单向传输通道。科博单向网闸共具有两块单向隔离卡，分别通过PCI-E接口与内外端机相连。两块单向隔离卡之间采用单向的光通道相连，插于外端机的单向隔离卡只具有光发射模块，插于内端机的单向隔离卡只具有光接受模块，由此保证光信号在内网网络间单向传输。为了保证信息在无反馈的情况下数据被完整高效地传输，在内外单向隔离卡中都实现了数据冗余传输、前向纠错编码/解码、信号扰动功能。

科博单向网闸的核心思想在于：一是提供无反馈信号的单向数据通道；二是提供专门的数据封装及传输机制；三是基于应用层的协议终止；四是单向数据传输的容错处理。

中铁信息工程集团信息安全事业部总经理张鹏说：“中铁信科博应用数据二极管SRIE CopAdd这个产品填补了我国目前尚无单向应用隔离产品的空白，将应用于涉密网和非涉密网之间相连，其市场空间是巨大的。从目前来看，这个产品的需求量非常大，但是国内外都没有同类产品，其市场规模应该在1.36亿元-1.45亿元之间。”

为大型信息系统构筑安全保障

由于铁路信息系统是国内外公认的技术复杂的IT系统，国民经济大动脉能否畅通无阻依赖于这个系统，因此铁路信息系统的安全运行就显得尤为重要。中铁信息工程集团多年来一直致力于信息安全的研究和建设，通过这些研究催生了中铁信信息安全业务。

中铁信信息安全业务作为中铁信息工程集团的重要业务板块，由中铁信下属企业中铁信弘远(北京)软件科技有限责任公司、中铁信金快(北京)信息工程有限责任公司，以及中铁信控股企业中铁信安(北京)信息安全技术有限公司联合运营。其中，中铁信弘远为中铁信安全集成业务的主营实体，具有国家计算机信息系统集成一级资质、涉密集成甲级资质、工程设计甲级资质等全国顶级资质，通过了ISO9000认证；中铁信金快主要负责管理中铁信旗下遍布全国各大中城市子分公司的信息安全销售业务，为中铁信安全产品的销售单位；中铁信安为中铁信安全产品的设计研发厂商，是我国电子政务理事会成员单位、国家商用密码产品定点销售和生产单位、中关村园区的双软企业。

中铁信关注三类信息安全技术，即网络边界防护、网络身份认证和权限管理、内网监控与审计等技术的研究。这些技术的研究共得到国家863计划资助四项，国家973计划资助一项，国信办专题基金资助一项，铁道部、安全部、信息产业部、科技部等省部级基金资助十余项。中铁信将这些研究成果产业化，形成了科博系列安全产品，并广泛应用于我国铁路信息网络、银行业监督管理系统、国家审计网络、国家工商网络等大型信息系统的安全保障中。

中铁信息工程集团安全产品总监唐三平介绍，除了网络边界防护这一系列，中铁信的安全产品还有网络身份认证与授权管理系统和安全管理平台。网络身份认证与授权管理系统，就是在用户登录网站的时候，不仅要识别其身份，还要告诉应用系统，他们分别能在这个系统中做什么，这个系列产品，大到CA系统，小到终端的认证。其中，中铁信科博安全认证平台是一个集用户身份鉴别和访问控制于一体的高强度身份认证平台，能满足远程访问时用户的身份确认，同时能提供多个应用系统的单点登录功能。中铁信科博安全优锁能够确保具有权限的用户进入Windows操作系统和任意访问系统数据资源。保证了那些用户希望保密的某些敏感信息只有自己才能阅读，而且一旦他人对这些信息进行了操作，可以诊断事故发生的过程。唐三平列举了中国铁路工程总公司的案例，中国铁路工程总公司位列世界500强，今年6月中旬，已在其总部建立了根CA，在30多个局级单位建立了子CA，在200多个处级单位建立了RA，从而构建了一个树型结构的CA系统。

安全管理平台这一系列，又分成了三个方向，第一个方向是做小型的网管系统，第二个是内网行为的监视与控制，第三个是桌面服务，这三个方向形成了整个安全管理平台的构架。核心产品是中铁信科博安全管理平台之网络管理系统、中铁信科博安全管理平台之内网监控与审计系统，以及中铁信科博安全管理平台之桌面管理系统。在这方面的典型案例是中联部。

在风起云涌的IT领域，中铁信已经悄然成为专注于大型涉密信息系统的信息安全综合解决方案提供商，成为我国网络安全领域的领军企业。从用户角度出发关注信息安全，以先行者的姿态，引领网络隔离技术及各种安全产品大型行业应用的潮流。

【发表评论】【新闻评论】【论坛】【收藏此页】

更多有关网络/安全/存储产品的新闻：

·CommVault推出小型企事业单位数据保护解决方案 4/5/2010
·EMC推全线存储新品突出绿色易用安全 8/30/2007
·[图]全球最小蓝牙适配器问世 8/29/2007
·纳米技术助力高密度存储 8/28/2007
·In-Stat报告：超宽带技术应用很快超过Wi-Fi 8/22/2007
·惠普推出HP StorageWorks DAT 160磁带机 8/15/2007
·博科推出SAN Health 增强型产品 8/2/2007
·全球首款多核开放式标准路由器“成都造” 7/27/2007
·光学无线数据传输技术--WI-FI的终结者 7/19/2007
·微软发布OneCare 2.0测试版 7/16/2007

对网络/安全/存储产品有何见解？请到网络/安全/存储产品论坛畅所欲言吧！