概述
二十世纪九十年代以来,随着计算机技术的高速发展,网络技术也得到了前所未有的发展,网络逐渐成为政府、企业和个人事物处理中不可或缺的一部分。在网络技术的发展过程中,特别是互联网技术的发展,使得世界范围内的信息资源可以充分交流和共享,为人们的生活和工作带来了极大的便利。
随之而来的网络安全问题也逐渐成为人们关注的热点。特别是防范来自外部网络的攻击和内部网络的有意或者无意的泄密,已成政府、企业和个人适用网络资源过程中所关注的一大焦点。对于政府而言,这个问题尤为重要。在政府的信息网络中,许多信息都涉及到国家的机密信息,如果造成失窃或泄漏,将直接危及到整个国家的安全。为此,各国政府都制定了相应的政策和技术方案来确保网络信息的安全。
我国政府最早在1999年由国家保密局发布《计算机信息系统国际联网保密管理规定》。其中规定了涉密信息系统的互联问题:涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离(第二章第六条)。
根据这一要求和我国电子政务建设的具体实践,不同安全级别的网络,所处理的应用信息安全级别不同,因而网络之间必须进行必要的边界控制或安全隔离,来控制应用数据的非授权交换;另一方面,由于关联网络之间存在业务关系,必须进行必要的应用数据交换,才能保证业务的正常、高效地开展。
实现网络之间的安全隔离与信息交换,不管是在我国的电子政务建设中,还是在电子商务或其他行业的应用中,已成为一种关键的边界防护技术要求。
总体方案
本系统总体上由可信应用认证体系(TACI,Trusted Application Certification Infrastructure)和安全应用交换平台(SAEP,Security Application Exchange Platform)两大部分组成。
可信认证体系从各种不同的层面上保障应用交换的安全、可信。可信应用认证体系提供了三方面的保障:主/客体可信、行为可信和内容可信。应用认证不仅提供用户身份的认证,也提供应用系统的身份识别,防止未授权应用系统的数据在平台间进行交换;内容可信在使用基本的加、解密技术、完整性检查技术的基础上,进一步提供标准协议的专业内容审查工具、各种业务应用内容审查插件;行为可信则主要通过访问控制、访问授权等技术实现。
安全应用交换平台实现各种即时应用信息交换、数据库同步、文件交换功能,为各种数据交换提供跨越不同安全级别网络的安全交换机制。平台采用层次化结构设计,按照功能从下至上依次划分为传输层、应用表示层和应用交换层,传输层重点解决基于标准网络协议的网路隔离和信息交换问题;应用表示层重点解决对主流标准应用协议和非标准定制协议数据交换的协议表示;而应用交换层则通过透明代理技术,提取出交换双方的应用数据,为业务数据安全交换提供开发接口。

系统特点
本方案能够在不降低信息系统安全级别的前提下,为网际应用交换提供一个可信的安全平台,它从网间数据传输、应用表示、应用交换三个层面上为应用交换提供安全保障。
1) 基于网络安全隔离的应用数据交换平台
平台为不同安全级别的网络实施隔离的基础上,提供可信任的应用数据交换。产品部署在网络与网络之间,保证只有被认证的应用,其数据才能经过本平台进行网际交换。这样通过阻断其他一切网络访问,来保障网络的安全。
2) 基于先进的内容过滤技术的内容审查工具
利用最新的内容过滤技术,结合机器学习的分类和聚类算法,构建创新的、更有效的b内容检查工具,使其能够根据数据样本,过滤掉各种非法、伪造的数据内容。
3) 基于指令级的数据库安全同步与保护工具
数据同步是很多分布式网络应用系统的基础需求,产品针对数据库系统开发专门的数据同步工具,该工具采用基于数据库日志的同步技术,一方面为数据库系统之间提供高速的数据同步;同时该工具将结合产品的可信应用认证,保证网络间的每条数据库同步指令的合法性。
4) 可定制、可扩展的业务数据安全插件
产品面向各种业务应用,除了为这些业务提供统一的安全数据交换平台外,还可以根据该业务应用独特的要求,开发专用的业务内容审计插件,该插件随应用系统注册在平台上后,即可针对该应用实施特定业务数据的内容检查,防止出现可能的数据危害,为该应用系统提供更高级别的安全保障。
5) 双机热备和负载均衡
系统平台为高端用户提供双机热备和负载均衡的功能,正常状况下两台设备能够自动进行负载均衡;当一台设备出现故障时,另一台设备能够自动接管整个系统,从而提高整个系统的高可用性,提供更高的可靠性。
6) 二次开发平台
本系统可以作为基础的应用安全交换平台,提供给第三方软件开发商进行二次开发,独立安全产品供应商在此平台上进行专业化的安全网关产品开发,对于行业应用软件厂商也可以在此平台上形成针对行业的安全应用交换解决方案。
典型应用
基于隔离技术的可信应用安全交换平台是盖特佳公司在“通道式隔离技术”的基础上开发的第三代安全隔离产品,其在政府、军队、银行、证券、电力、航空、税务、公安等国家企事业单位的网络信息系统安全建设中,不仅满足了他们对隔离外部网络的同时还要进行安全数据交换的特殊需求,而且还在可信应用的安全数据交换方面发挥着重要作用。
1) 电子政务
根据《国家信息化领导小组关于我国电子政务建设指导意见》中办发[2002]17号和《电子政务信息安全等级保护实施指南》的要求,电子政务系统的政务外网和政务内网必须实行逻辑隔离,并通过技术手段确保内外网之间的安全数据交换。基于隔离技术的可信应用安全交换平台能够解决电子政务系统中内外网之间安全应用交换的应用需求,从而为电子政务系统提供安全保证。
2) 公安系统
公安内外网边界接入平台,是公安边界接入业务与公安信息通信网进行数据交换和授权访问的唯一通道。接入平台提供各类接入业务与公安信息通信网进行数据交换和授权访问的网络通道,对各类接入业务及进行注册、监控与审计,并从链路、网络、主机、应用等方面采取安全技术措施,在实现接入业务信息交换的同时,保障接入平台自身及公安信息通信网的安全。基于隔离技术的可信应用安全交换平台能够为公安内外网边界接入平台提供基本的平台架构,确保核心应用交换的安全性。
3) 电力系统
根据《电网和电厂计算机监控系统及调度数据网络安全防护的规定》、《电力二次系统安全防护规定》及《电力二次系统安全防护总体方案》的要求,电力二次系统整体上采用“安全分区、网络专用、横向隔离和纵向认证”的原则,在生产控制大区与管理信息大区之间设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,实现可信的应用安全交换。基于隔离技术的可信应用安全交换平台结合电子二次系统的特点,推出了面向电力系统的可信应用安全交换平台,解决电力二次系统中的边界控制与数据交换问题。
综上所述,基于隔离技术的可信应用安全交换平台是盖特佳公司在“通道式隔离技术”的基础上开发的第三代安全隔离产品,能够保证重点行业应用在网间交换数据时,实现安全可信的应用数据交换和安全可控的边界访问控制的功能,解决不同级别网间数据安全交换的问题。
北京盖特佳信息安全技术股份有限公司-盖特佳基于隔离技术的可信应用安全交换方案
北京盖特佳信息科技股份有限公司,2002年02月28日成立,经营范围包括技术开发、技术推广、技术转让、技术咨询、技术服务;计算机系统服务;软件服务;维修计算机;销售计算机、软件及辅助设备、电子产品、机械设备、通讯设备;货物进出口、技术进出口、代理进出口。(企业依法自主选择经营项目,开展经营活动;依法须经批准的项目,经相关部门批准后依批准的内容开展经营活动;不得从事本市产业政策禁止和限制类项目的经营活动。)
北京盖特佳信息安全技术股份有限公司是国内领先的专业信息安全服务和高端应用平台提供商,专注于从事具有自主产权的创新类信息安全产品和面向行业的平台类应用整合产品的研发及销售,向终端客户提供信息安全整体解决方案及安全集成服务,向行业客户提供面向业务的应用整合解决方案及专业咨询服务,是一家步入高速成长期、资源整合力强的高科技企业。
盖特佳公司总部设于北京中关村高科技园区,在上海、福建、浙江、云南、内蒙等地设有分支机构,公司注册资本达4000万元。公司的信息安全类业务已全方位地覆盖安全产品研发销售、安全咨询、安全集成、安全管理、安全支持、安全运维、安全培训和信息系统安全保护等级咨询等各领域。同时,公司凭借先进的应用整合平台技术,已成功地推出面向公安行业金盾工程的“警务综合信息平台”和“情报研判分析平台”等高端产品。目前公司的客户已遍及政府、公安、军队、金融、电信、企业、教育、交通、电力等行业,营销网络辐射国内主要省份。
凭借突出的创新能力和卓越的服务品质,盖特佳公司获得国家保密局首批颁发的“涉及国家秘密的计算机系统集成资质”,先后获得“2002年度中关村最具发展潜力的十佳高新技术企业”,2003年“中关村十大软件品牌信息安全首选”品牌,2004年度中国最具竞争力中小科技型企业100强,2004年度中关村十大软件品牌,2005年国家重点新产品,2007年和2008年度连续二年中国安全防护年会“优秀解决方案奖”等众多荣誉和资质。
2007年6月,盖特佳公司在中国新兴资本市场“中关村新三板”成功挂牌,成为了第一家在中国多层次资本市场挂牌的信息安全类高科技企业,标志着公司的综合实力和发展潜力得到了市场的充分认同,更为公司的高速前进接上了强劲的资本推进器。
面对未来,盖特佳人目标坚定、信心满怀,将继续秉承“创新·发展·务实·合作”的理念,努力把公司打造成为致力于国家安全综合技术解决方案的领军企业。