CopGap科博安全隔离与信息交换系统技术白皮书.docVIP

科博安全隔离与信息交换系统 （CopGap200） 技术白皮书 中铁信安（北京）信息安全技术有限公司 2011年4月 目 录 1. 产品研制背景 4 2. 产品介绍 5 2.1. 概述 5 2.2. 体系结构 5 2.3. 功能性能指标 6 2.3.1. 功能指标 6 2.3.2. 性能指标 7 3. 产品功能描述 9 3.1. 信息交换功能 9 3.1.1. 文件交换功能 9 3.1.2. Web交换功能 9 3.1.3. 数据库交换功能 10 3.1.4. 邮件交换功能 10 3.1.5. 定制应用数据交换 11 3.2. 安全控制功能 11 3.2.1. 访问控制功能 11 3.2.2. 数据内容审查功能 12 3.2.3. 病毒防护功能 12 3.2.4. 文件深度检查功能 12 3.2.5. 入侵检测与防御功能 13 3.2.6. 身份认证功能 13 3.2.7. 虚拟专网（VPN）功能 13 3.2.8. 流量控制功能 14 3.3. 系统监控与审计功能 14 3.3.1. 系统监控功能 14 3.3.2. 日志审计功能 14 3.3.3. 报表管理功能 15 3.4. 高可用性功能 15 3.4.1. 双机热备功能 15 3.4.2. 负载均衡功能 16 4. 产品使用方式 16 4.1. 部署方式 16 4.2. 管理方式 17 5. 产品应用范围 18 5.1. 核心数据库的访问 18 5.2. 核心服务器保护 19 5.3. 内外网络之间的数据同步 20 产品研制背景 传统的安全防御体系是以防火墙为核心的防御体系，通过纵深防御、系统联动达到协同保护网络安全的目的。 尽管防火墙在安全防御中作为一种核心的访问控制手段，起到了不可替代的作用，但以防火墙为核心的防御体系已经不能满足网络安全的真正需求。 分析防火墙的发展历程其实一直在追求安全性和系统性能的平衡点。防火墙工作层次愈低，其性能愈高，安全性就愈差；工作层次愈高，其性能愈差，但安全性愈高。就以安全性最高的应用代理防火墙，其安全性也是有限的。这种局限性主要表现在如下几个方面： 安全决策模块直接面对不可信连接，难以对安全决策模块的完整性和安全策略实施过程的完整性进行保护； 防火墙始终保持了可信网络与不可信网络之间的物理连接，成为攻击者攻击受保护网络的罪恶之手。 防火墙安全局限性，催生了新一代的边界防御技术——安全隔离与信息交换技术。 安全隔离与交换技术应用于高敏感网络和低敏感网络之间，拦截TCP/IP数据流，过滤丢弃TCP/IP协议格式，还原上层应用数据，并经过安全处理后，以数据摆渡的方式实现不同敏感级别网络之间的应用数据安全交换。数据摆渡的方式类似实际生活中的渡船载客，能保证内外网络在任何时候没有联通的电气连接情况下，实现应用数据的往返传输。 这种数据处理方式保证了网络边界防护的高安全性，使其边界安全防护强度远远大于防火墙系列产品。这种可以确保内外网在发生数据交换时，内网免受外网基于网络协议的所有攻击，即使是未知形式的攻击。因此，这种技术可应用于保护政务网络、军事网络、银行/电信等重大基础网络的核心网络资源，如核心网络或核心数据服务器。 产品介绍 概述 科博安全隔离与信息交换系统（CopGap200，下简称科博网闸）为中铁信安（北京）信息安全技术有限公司自主研发生产的网络边界防护设备。这种设备可以放置在高敏感网络和低敏感网络之间，拦截TCP/IP数据流，过滤丢弃TCP/IP协议格式，还原上层应用数据并经过安全处理后，以数据摆渡的方式实现不同敏感级别网络之间的应用数据安全交换。数据摆渡的方式类似实际生活中的渡船载客，能保证内外网络在任何时候没有联通的电气连接情况下，实现应用数据的往返传输。 科博网闸的数据处理方式保证了其网络边界防护的高安全性，使其边界安全防护强度远远大于防火墙系列产品，即使是防护强度最高的应用代理防火墙。科博网闸可以确保内外网在发生数据交换时，内网免受外网基于网络协议的所有攻击，即使是未知形式的攻击。因此，科博网闸可应用于保护政务网络、军事网络、银行/电信等重大基础网络的核心网络资源，如核心网络或核心数据服务器。 科博网闸按照设备性能，形成了涵盖E600型、E800型、G3000型、G5000型、等不同型号的系列产品。用户依据通信性能要求选择采用不同型号的产品。其中，E600型为百兆低端产品；E800型为百兆高端产品；G3000型为千兆低端产品；G5000型为千兆线速高端产品。 体系结构 科博网闸被设计为一个2+1结构的设备：一个外端机、一个内端机、一个中间数据硬件交换部件，即隔离交换开关。当数据需要从内向外传递时，内端机基于应用代理服务的模式终止网络协议，解析应用数据，并对数据进行安全处理。安全处理后的数据被隔离开关以专用封装格式摆