欢迎来到无锡宏创盛安科技有限公司!
联系我们

咨询热线:

0510-8505 3355

地址:无锡市梁溪区清扬路99号数码大
   厦518室
电话:0510-8505 3355
传真:0510-8505 9010
邮箱:support@hinfose.com

Product企业产品

涉密单位不同密级网络信息安全交换解决方案

1.背景与需求

某单位网络由公共互联网、内部网络、专用网络等三个部分构成,分属不同的密级,其中公共互联网部分属于公开网络,用于获取公开资料或内部人员查询资料使用,单位人员经常需要将公开获取的资料导入到内部网络;内部网络属于涉密网络,用于内部人员日常办公使用,其防护重点在于防止内部数据泄露;专用网络也是涉密网络,用于接收上级发送的指令性文件,并上报相关计划和数据,其防护重点在于保护业务的安全性。当前主要使用光盘刻录和USB单向导入的方式来实现不同密级网络之间的信息传递,随着数据量的不断提升,这种方式的效率已远远不能满足实际需要,严格的保密要求与信息交换效率之间存在着突出的矛盾。该单位网络面临的安全需求包括:

能够实现数据从公共互联网向内部网络的高效单向流动,确保数据无逆向传输的物理通道,避免信息向公开互联网泄露;

有效隔离内部网络与专用网络,避免内部网络上感染的病毒向专用网络渗透传播,保护专用网络的业务运行安全;

设备具备可靠稳定运行能力,满足专用网络业务对可靠性的要求。

2.部署方案

本方案中,分别在单位互联网出入口部署心甲国产CPU防火墙,在单位公共互联网与内部网络之间部署心甲国产CPU单向网闸,在单位内部网络与专用网络之间部署心甲国产CPU隔离网闸。部署结构如下图所示。

防火墙是网络安全的第一道防线,一旦被攻破,则使单位的网络基本情况直接暴露在敌人面前。心甲国产CPU防火墙采用完全自主可控的申威CPU和操作系统,通过在单位网络的边界部署该设备,可有效降低基于Intel X86 CPU安全产品所带来的风险(如在芯片中预留后门,植入木马等),由于采用完全自主可控的指令集并且不对外开放服务,其自身具有极高的安全性,并且该款设备在性能上已达到同类非国产CPU的水平。

防止内部信息向外泄露是单位内部网络需解决的首要安全问题。心甲国产CPU单向网闸除具有采用国产申威CPU所带来的安全性外,还采用基于光通信的无物理反馈信号硬件,通过在涉密网络和公开网络之间部署该设备,可有效保证数据从公开网络向涉密网络的单向流动。

避免各单位内部网络病毒向专用网络传播渗透(或内部人员攻击专用网络)是接入专用网络时需解决的重要问题。心甲国产CPU隔离网闸采用严格的协议隔离交换机制,确保只有符合系统安全配置策略的协议才能够通过,同时对内容进行检查,防止恶意代码从单位内部网络渗透到专用网络。

3.实现功能

--提供了高效的不同密级网络数据传输方案,满足数据从非涉密网络向涉密内网的单向传输,以及不同涉密网络之间的隔离交换传输要求。

--提供基于国产申威CPU的网络安全产品,基于国产CPU,指令集与通用指令集不同,一般网络恶意代码无法有效运行,满足涉密网络对设备自身高安全、高自主可控的需求。

--所提供产品在硬件、操作系统、驱动等层级进行优化和精简,稳定可靠,具有很高的可用性。