FerryWay技术白皮书.docVIP

安全隔离与信息交换系统 FerryWay 2.0 技术白皮书 上海金电网安科技有限公司 二OO三年六月 目 录 上海金电网安科技有限公司简介 3 产品研制背景 4 1、FerryWay 简介 7 2、FerryWay 基本功能 7 2.1 支持协议 7 2.2 普通用户功能 8 2.3 管理员功能 8 3、FerryWay2.0体系结构与特性 9 3.1 安全模型 9 3.2 硬件结构 11 3.3 专用硬件和专用通信协议 11 3.4基于下推自动机的高效过滤算法 12 3.5 安全特征 12 4、主要模块功能介绍 13 4.1 内端机/外端机 13 4.2 仲裁/审计系统 14 4.3 受控协议通道 15 4.4 工作模式 16 4.5 应用协议信息交换 16 4.6 入侵检测 18 4.7 查杀病毒 19 4.8 数字证书 19 5、安全隔离与信息交换系统FerryWay 2.0性能 19 6、安全隔离与信息交换系统FerryWay 2.0应用 20 6.1 涉密单位FerryWay应用 20 6.2 重要网络FerryWay应用 23 6.2.1 内部核心网与内部一般业务网间的隔离 23 6.2.2 内部边缘网与总部综合网间的隔离 23 6.2.3 内部甲部门业务网与乙部门业务网间的隔离 24 6.2.4 内部网与外部网间的隔离 24 6.2.5 行业间有数据交换需求时实现安全的数据交换 25 6.3 重要场合应用示范 26 上海金电网安科技有限公司简介 上海金电网安科技有限公司是一家主要从事信息安全技术研究、信息安全产品开发、安全应用系统开发、安全网络系统集成、信息安全咨询服务的高科技公司。公司成立于2000年11月，是国家信息安全成果产业化（东部）基地首批入驻企业。公司80%的员工来自国内著名高校，其中安全领域的博士、硕士达到了40%，形成了一支高水平的专业安全队伍。 公司经过几年的努力，得到了国家有关部门的认可，获得了涉及国家秘密的计算机信息系统集成资质证书、软件企业资质证书等等。公司同时还承担了国家973计划重大攻关课题，与上海交通大学成立了“信息与网络安全体系结构联合实验室”，在信息与网络安全体系结构方面已获得多项具有国际先进水平的科研成果。 公司将秉承求实、创新的宗旨，在安全领域内不断开拓进取，为民族信息安全产业发展做出应有的贡献。 产品研制背景 随着国家信息化建设不断深入，作为信息化建设重要组成部分的电子政务，也在各地轰轰烈烈地展开。为提供科学决策、监管控制、大众服务等功能，电子政务平台上存在相当多的重要文件，其泄漏将给国家和人民造成很大的损失。越来越多的专家认识到信息安全是电子政务建设中的头等大事，关系到国家安全和社会稳定。如何保证对“外部”提供公共服务的同时，又解决好电子政务“内部”的安全必威体育官网网址，彻底解决信息孤岛，是当前我国电子政务建设中急需解决的重要问题。 针对这个问题，国家必威体育官网网址局早在1998年发布的《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》中就提出了“物理隔离”要求，文中明确规定：涉密系统不得直接或间接与国际联网，必须实行物理隔离。 2000年1月1日正式实施的《计算机信息系统国际联网必威体育官网网址管理规定》中也明确规定：“凡涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相联接，必须实行物理隔离。” 最初，很多单位往往建立两套完全独立的网络，此方式不仅无法共享外部信息，而且需要在两套网络中各配备一台计算机来帮助用户分别获取内部和外部信息。后来，为了让用户避免使用两套计算机系统，做到“物理隔离”与使用的方便性相结合，出现了一种采用网络隔离卡的简单易行方法，即通过该卡将一台设备上的硬盘物理分割为两个分区，分别与内外网络相连，分别安装各自的操作系统，形成两个完全独立的环境，操作者一次只能进入其中一个系统，每次切换系统都需要开关机一次。采用网络隔离卡方式实现的物理隔离方案成本相当高，需要为每一个有上网需求的内网用户安装一套隔离卡系统，几乎相当于重建一套网络，但仍然没有做到真正意义上的内外网络隔离。在以上两种方式下，若用户有内外网络信息交换的需求，目前一般通过介质拷贝在两套网络系统之间传递信息。 随着电子政务系统建设的不断深入，内部网络与外部网络之间需要交换的信息越来越多，通过介质拷贝不仅无法保证信息传递的效率，更缺乏对信息安全的严格审查，极易导致攻击代码的流入和重要信息的泄漏。因此，在电子政务系统的内外网络之间迫切需要这么一种安全设备，它在保证重要网络与其他网络安全隔离的同时，实现网络之间有效地数据交换。此外，军队、电力、铁道、金融、银行、证券、保险、税务、海关、水利、