安全隔离与信息交换系统（安全隔离网闸）研究报告

安全隔离与信息交换系统（安全隔离网闸）

研究报告

2009年8月

1

目 录

1 前言 ......................................................................................................... 3 2 基本概念和技术介绍 ............................................................................. 4

2.1 基本概念和应用场合 ...................................................................................... 4

2.1.1 概述 ........................................................................................................ 4 2.1.2 用途 ........................................................................................................ 5 2.2 技术原理和基本功能 ...................................................................................... 5

2.2.1 系统架构及工作原理 ............................................................................ 5 2.2.2 基本功能和安全性 ................................................................................ 6 2.3 同其他安全产品的比较与综合使用 .............................................................. 7

2.3.1 安全隔离网闸与防火墙 ........................................................................ 7 2.3.2 安全隔离网闸和物理隔离卡 ................................................................ 8 2.3.3 综合使用多种安全产品 ........................................................................ 8

3 知名公司和产品介绍 ............................................................................. 9

3.1 概述 .................................................................................................................. 9

3.2 天行网安 .......................................................................................................... 9

3.2.1 公司简介和产品资质 ............................................................................ 9 3.2.2 产品介绍——Topwalk-GAP V3.0 ........................................................ 9 3.2.3 解决方案和成功案例 .......................................................................... 12 3.3 联想网御 ........................................................................................................ 13

3.3.1 公司简介 .............................................................................................. 13 3.3.2 产品介绍——网御SIS-3000 .............................................................. 14 3.3.3 典型用户 .............................................................................................. 16 3.4 安盟华御 ........................................................................................................ 17

3.4.1 公司简介 .............................................................................................. 17 3.4.2 产品介绍——SU-GAP3000 ................................................................ 18 3.4.3 解决方案介绍 ...................................................................................... 19

4 报告总结 ............................................................................................... 20

2

1 前言

Michael Bobbin（《计算机安全杂志》主编）说，“保证一个系统真正安全的途径只有一个：断开网络，这也许正在成为一个真正的解决方案。”

在政府、国防、能源等很多重要领域，对数据机密性、网络平稳性、业务连续性要求极高，坚如磐石的安全保障尤其关键。市场需求催生了安全技术的创新，在上世纪90年代中期俄罗斯人Ry Jones首先提出“AirGap”隔离概念，然后，以色列研制成功物理隔离卡，实现网络之间的安全隔离；其后，美国Whale Communications公司和以色列SpearHead公司先后推出了e-Gap和NetGap产品，利用专有硬件实现两个网络在不连通的情况下数据的安全交换和资源共享，从而使安全隔离技术从单纯实现“网络隔离禁止交换”发展到“安全隔离和可靠交换”。目前，美国军方、重要政府部门均采用隔离技术保障信息安全，我国的安全隔离技术的发展同样经历了类似的过程。

2000年1月1日，国家保密局发布实施《计算机信息系统国际联网保密管理规定》明确要求“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相连，必须实行物理隔离”。该规定在互联网发展初期具有前瞻性地提出政府上网必须“物理隔离”，及时的把政府上网安全提到一个重要的高度，具有重大意义。并由此而发展出了安全隔离计算机、安全隔离卡等系列安全隔离安全产品。

3

2 基本概念和技术介绍

随着我国信息化建设的加快，信息安全已经成为各个行业关注的焦点，特别是电子政务、军队、能源等行业，在这些行业应用中，防火墙、防病毒、入侵检测、VPN、审计系统等安全产品都得到了较好的应用。但是从网络防御角度来看， 防御的深度愈深，网络就愈安全。对此，国内外提出了一种较新的技术，称为隔离技术，产品称为安全隔离与信息交换系统。这种产品的应用，能够从一定程度上更有效的保护内部网络。

从安全隔离与信息交换系统的组成来看，它主要由三部分组成，即外部处理系统、内部处理系统以及隔离硬件。

其基本原理是截断网络之间直接的通用协议连接，将数据包进行分解、重组为静态数据，并对静态数据进行安全审查。确认后的安全数据流入内部系统，内部用户通过严格的身份认证机制获取所需数据。重要的是，安全隔离与信息交换系统不单纯检查网络传输协议(TCP/IP)，还把(TCP/IP)协议头剥离掉，还原成第七层之上的数据。

以收电子邮件为例，外部的邮件服务器发起对隔离设备的非TCP/IP协议的数据连接，隔离设备将所有的协议剥离，将原始的数据写入存储介质。一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与外网的连接。转而发起对内网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向内网。内网收到数据后，立即进行TCP/IP的封装和应用协议的封装，并交给应用系统。这时内网电子邮件系统就收到了外网的电子邮件系统通过隔离设备转发的电子邮件。整个过程中，隔离设备都经历了数据的接受，存储和转发三个过程。

因此，它可作为防火墙、入侵检测的合理补充，保护核心网络的数据安全，形成纵深的防御体系中的重要一环。

从安全隔离与信息交换系统的应用上看，它可以应用到涉密网之间、安全域与非安全域之间、局域网与互联网之间（内网与外网之间）、办公网与业务网之间、电子政务的内网与专网之间、业务网与互联网之间等。

2.1 基本概念和应用场合

2.1.1 概述

安全隔离与信息交换系统又叫安全隔离网闸，简称网闸，英文名称是“GAP”。 安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。

安全隔离与信息交换系统由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡。从而在保证内外网隔离的情况下，实现可靠、高效的安全数据交换，而所有这些复杂的操作均由隔离系统自动完成，用户只需依据自身业务特点定制合适的安全策略既可实现内外网络进行安全数据通信，在保障用户信息系统安全性的同时，最大限度保证客户应用的方便性。

4

2.1.2 用途

安全隔离与信息交换系统主要用于各地电子政务建设，下列场合都可使用隔离系统保障业务系统安全：

? 政务外网与政务内网间存在业务往来的接口； ? 行业内纵向上下级信息系统的接口；

? 行业间需要进行业务信息共享、数据交换的接口；

安全隔离与信息交换系统可在保障信息安全的前提下，在两个不同安全级别的网络区域间进行适量的、可靠的数据交换。

国家保密局对安全隔离与信息交换类产品的应用也做了规定，规定安全隔离与信息交换系统可在以下四种网络环境下应用：

? 不同的涉密网络之间；

? 同一涉密网络的不同安全域之间；

? 与Internet 物理隔离的网络与秘密级涉密网络之间； ? 未与涉密网络连接的网络与Internet 之间”。

2.2 技术原理和基本功能

2.2.1 系统架构及工作原理

安全隔离网闸包括软件和硬件两部分，硬件设备由三部分组成：外部处理单元、内部处理单元、隔离硬件。

安全隔离网闸通常具备的安全功能模块有：安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证。

安全隔离网闸的基本原理是：切断网络之间的通用协议连接；将数据包进行分解或重组为静态数据；对静态数据进行安全审查，包括网络协议检查和代码扫描等；确认后的安全数据流入内部单元；内部用户通过严格的身份认证机制获取所需数据。

安全隔离网闸对网络的隔离是通过网闸隔离硬件实现两个网络在链路层断开，但是为了交换数据，通过设计的隔离硬件在两个网络对应的上进行切换，通过对硬件上的存储芯片的读写，完成数据的交换。安装了相应的应用模块之后，安全隔离网闸可以在保证安全的前提下，使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据，并可以在网络之间交换定制的文件。

5

2.2.2 基本功能和安全性

安全隔离网闸通常具备的安全功能模块有：安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证。

? 能防止未知和已知的木马攻击

通常见到的木马大部分是基于TCP的，木马的客户端和服务器端需要建立连接，而安全隔离网闸从原理实现上就切断所有的TCP连接，包括UDP、ICMP等其他各种协议，使各种

6

木马无法通过安全隔离网闸进行通讯，从而可以防止未知和已知的木马攻击。

? 具有病毒防护功能

作为提供数据交换的隔离设备，安全隔离网闸上内嵌病毒查杀的功能模块，可以对交换的数据进行病毒检查。

? 自身的安全性

由于从网络架构上来讲，安全隔离网闸是处在网关的位置，因此其安全性不言而喻，两个处理单元都采用了经过安全加固的操作系统，包括强制访问控制、基于内核的入侵检测等安全功能，并且该系统得到国家权威部门的认证。

? 身份认证机制

安全隔离网闸在用于邮件转发和网页浏览的时候，对用户进行用户名/口令、证书认证等多种形式的身份认证。

? 证书验证机制

安全隔离网闸能防止内部无意信息泄漏：由于安全隔离网闸在数据交换时采用了证书机制，对所有的信息进行证书验证，因此对于那些病毒乱发邮件所造成的无意信息泄漏起到很好的防范作用。

2.3 同其他安全产品的比较与综合使用

2.3.1 安全隔离网闸与防火墙

安全隔离和信息交换系统与防火墙系统是两个不同的概念，国家已经把两者划入两个不同的产品类别，两者的不同主要体现在硬件结构不同，实现的技术路线不同，所能达到的安全强度也不同：

? 硬件体系不同：

安全隔离产品采用双主机加隔离硬件的“2+1”结构，使得两个网络之间没有任何的网络物理连接，没有任何的网络协议可以直接穿透，而防火墙属于单机结构，是基于标准的网络协议直接转发的。 ? 技术路线不同：

防火墙内部的协议栈是标准的IP协议栈，在多个接口间通过标准的协议完成路由、转发、状态包过滤等工作，对攻击的检测是基于已知的攻击行为的。安全隔离和信息交换系统则是基于应用协议还原，内部的通信是非标准的安全专用协议进行“摆渡”，天然的具备抵御标准协议自身隐含漏洞的能力，可以抵御基于协议本身的已知和未知的攻击。

? 安全强度不同：

? 安全隔离产品的转发是建立在七层数据还原后的基础上，根据过滤结果，通过隔离卡摆渡后重新建立连接发送完成的，是物理隔离。而防火墙一般是基于数据包的检查，是逻辑隔离。

? 防火墙由于是单机结构，一旦系统由于配置错误等原因被攻破后，整个内网就

7

会暴露在攻击者面前。而安全隔离和信息交换系统是多主机结构，即使最坏的情况出现，外网主机被攻破，由于内外网之间通过隔离卡隔离，通信协议非标准，编程接口具有专用性，攻击者也不可能攻击到内网。

2.3.2 安全隔离网闸和物理隔离卡

安全隔离网闸与物理隔离卡最主要的区别是：安全隔离网闸能够实现网络间的安全适度的信息交换，而物理隔离卡不提供这样的功能。

安全隔离和信息交换系统是网络边界访问控制设备，隔离的是可信网络和内部网络。物理隔离卡是在单机系统上，通过单机系统开关切换，使受保护的主机不能同时访问两个网络的。

2.3.3 综合使用多种安全产品

安全隔离和信息交换系统虽然综合了多种软硬件技术来保证本身和内部网络关键应用服务器的安全，但安全本身是多层次全方位的体系结构，寄希望于一个单一产品实现所有的防护功能，解决所有的安全问题是不现实的。比如传统的桌面防护产品，防病毒产品等所实现的功能，安全隔离和信息交换系统就基本不涉及。每个产品都有其专业化的优势，没有“全能”的产品。

防火墙是网络层边界检查工具，可以设置规则对内部网络进行安全防护，而IDS一般是对已知攻击行为进行检测，这两种产品的结合可以很好的保护用户的网络，但是从安全原理上来讲，无法对内部网络做更深入的安全防护。安全隔离网闸重点是保护内部网络，如果用户对内部网络的安全非常在意，那么防火墙和IDS再加上安全隔离网闸将会形成一个很好的防御体系。

8

3 知名公司和产品介绍

3.1 概述

目前，国内有关网闸的知名公司和著名产品主要有：联想网御，天行网安，安盟华御，中网，伟思和利谱等。

3.2 天行网安

3.2.1 公司简介和产品资质

北京天行网安信息技术有限公司是一家专业从事网络管理与信息安全的研究开发、技术支持、产品销售的专业网络安全公司。

? 国内第一款基于GAP技术的新一代安全隔离与信息交换产品 ? 国内第一款能够实现隔离网络间异构数据库交换的产品 ? 国内第一款通过国家保密局鉴定的安全隔离与信息交换产品 ? 国内第一款拥有专利技术的安全隔离与信息交换产品 ? 国内唯一入选国家火炬计划的安全隔离与信息交换产品 ? 国内唯一能够实现基于消息传递机制的安全隔离与信息交换产品 ? 国内唯一获得公安部科技成果鉴定的安全隔离产品 ? 国内唯一获得公安部科学技术奖的安全隔离产品

3.2.2 产品介绍——Topwalk-GAP V3.0 3.2.2.1 产品技术指标及参数

Topwalk-GAP V3.0 TG-7207产品指标及技术参数

注：*，根据用户选择的软件模块型号不同而有所差异

序号 名称 公安部销售许可证书 国家保密局认证证书 公安部科技成果鉴定证书 描述 1. 资质认证 解放军测评认证中心军用信息安全产品B级认证证书 2. 3. 知识产权 硬件架构 国家知识产权局专利证书 1U机型，采用2+1架构和专用硬件隔离技术，属完全自主开发且不可从外部编程控制； 9

保证信任网络和非信任网络之间链路层的断开，彻底阻断TCP/IP协议以及其他网络协议； 系统硬件架构采用高可靠性设计； 硬件设备内部采用特殊的认证机制HLC，保证基于硬件的可信任计算体系； 基于自主知识产权的Transfer- Isolation-Transfer专用隔离硬件采用多种安全技术保证隔离有效性以及安全性； 隔离硬件板卡的中间Isolation部分用于电路隔离，具备独立时钟电路的主机板，在主机板上设置相应内容规则控制程序，对4. 隔离硬件 摆渡的内容进行检查过滤； 隔离硬件上采用物理开关进行通道控制，可根据使用用户的具体业务需要进行数据传输通道方向开关控制； 隔离硬件内部程序固化防篡改：设计以安全性为第一原则，一旦出现任何异常，就切断传输，保证不出现在数据内容检查、完整性校验功能失效的情况下继续传输数据的情况； 采用获得软件著作权的安全操作系统TopOS； 操作系统基于Linux操作系统内核剪裁、增强、优化； 使用内核级IDS，确保系统关键进程安全，阻止非授权访问； 5. 操作系统 操作系统内核以及关键进程部分进行硬件固化； 摒弃通用的系统函数调用，私有系统调用不对外开放，仅供内部使用； 系统内部将关键隔离硬件设备进行隐藏，对外不可见； 面向应用数据，采用白名单策略，进行高度可控的数据交换，6. 数据处理方式 不接受任何未知来源的主动请求； 通过可进行扩展定义的内容检查机制为白名单策略提供保障机制 采用身份认证技术对使用隔离网闸的用户进行身份鉴别，以确7. 8. 9. 10. 11. 12. 13. *G模块 身份认证 流量管理 系统资源管理 保只有合法用户和计算机能使用网闸系统传输数据：高强度双重口令认证、CA证书认证等； 提供流量管理功能，对系统数据通信量、连接数进行管理 提供内存管理、系统资源分配管理，优化系统性能，可根据管理员设置进行调整 支持对即时通信软件的控制管理功能，如QQ、MSN、POPO支持HTTP、HTTPS协议数据的代理传输，提供脚本过滤、身份认证功能； 支持基于H.263、H.323协议族的音视频协议数据传输，支持组播 时间管理 支持时间段管理，提供分时间段的管理控制策略； 即时通信软件管理 等； HTTP 视频协议 10

14. 15. 16. 17. 18. 双机热备 多网隔离 其他协议 通用性 MAC过滤 支持包括网络音频、视频在内的多种TCP、UDP协议数据传输交换：如FTP、TNS、POP3、SMTP等 网络适应性良好，无须修改原有网络结构、配置；实现透明应用支持 支持MAC地址过滤功能，可通过IP地址查询相应的MAC地址并进行拦截过滤； 支持双机热备功能，提供高可靠性支持 支持多个网络隔离 提供系统日志显示、读取功能，日志信息可配置、可管理专用日志服务程序处理系统日志； 19. 日志功能 提供日志分级处理、审计、导入/导出、过滤等强化功能； 并提供文件型日志数据库记录系统日志； 可集中处理多台网闸设备的日志信息 通过专用客户端对网闸进行管理，可远程集中管理多台网闸设备；系统配置信息可导出备份、导入恢复； 系统支持一键还原功能，在系统出现严重配置错误、系统损坏时可通过后台管理员操作将系统还原成初始状态 <0.1ms 350Mbps <1ms 6个10/100/1000BASE-TX接口 2个COM口 220VAC/50HZ 350W 5-40℃ 0-50℃ 10%-90% 5%-90% 20. 管理 21. 22. 23. 24. 25. 硬件开关切换时间 应用层数据传输率 延时 底层硬件数据吞吐量 双向460Mbps 最短无故障间隔时间 50000小时 26. 网络接口 27. 28. 29. 30. 31. 32.

输入电压和频率 消耗功率 工作温度 存储温度 工作湿度 存储湿度 3.2.2.4 产品报价

通过向天行网安的销售和技术人员的咨询，获得Topwalk-GAP V3.0安全隔离与信息交换系统的三款产品的报价如下表所示：

11

产品名称 产品型号 Topwalk-GAP V3.0 TG-7207 产品介绍 应用层350Mbps，6个10/100/1000M网口，按摄像头每路2M，可以支持50路，不发生画面失真 销售价 折扣价 18万 14万 天行网安安全隔离与信息交换系统 Topwalk-GAP V3.0 TG-7250 应用层480Mbps,10个10/100/1000M网口，4个光口，按摄像头每路2M，可以支持90路，不发生画面失真 25万 18万 Topwalk-GAP V3.0 TG-8807

应用层650Mbps,4个10/100/1000M网口，6个光口，按摄像头每路2M，可以支持150路，不发生画面失真 40万 32万 3.2.3 解决方案和成功案例 3.2.3.1 解决方案

? 交警违法信息公开 ? 网上工商 ? 税务信息系统 ? 公安信息系统 ? 政府电子政务 ? 社区视频监控 ? 劳动和社会保障

3.2.3.2 成功案例

公司成立多年来，凭借其强大的技术实力和完善的安全服务、良好的市场运作能力已经同许多政府部门、科研机构、大型国有企业以及大专院校建立了广泛的合作关系，公司的产品和服务也已经广泛应用于这些机构，并赢得了客户的一致好评。

12

部分应用客户如下:

电子政务 公安行业

●新华通讯社 ●公安部第23局 ●国家环保总局核安全中心 ●广东省公安厅 ●河北省政府 ●山东省公安厅 ●云南省政府 ●山西省公安厅 ●湖南省政府 ●福建省公安厅 ●北京市西城区政府 ●河南省公安厅 ●山东省国税局 ●湖南省公安厅 ●青海省国税局 ●辽宁省公安厅 ●湖南省地税局 ●吉林省公安厅 ●辽宁省地税局 ●江苏省公安厅 ●大连市国税局 ●北京市公安局 ●南京市国税局 ●上海市公安局 ●昆明市政府 ●浙江省公安厅 ●中国人民解放军总装备部 ●重庆市公安局 ●中国人民解放军总后勤部 ●天津市公安局 ●中国人民解放军XX军区 ●青海省公安厅 ●XX市国家安全局 ●宁夏回族自治区公安厅 ●北京市城市规划设计研究院 ●内蒙古自治区公安厅 ●唐山市国土资源局?? ●拉萨市公安局??

3.3 联想网御

3.3.1 公司简介

联想网御自1999年进入信息安全行业以来，在联想大家庭的倾力支持下，在广大用户的热心帮助下，以打造中国信息安全新长城为己任，已成长为中国信息安全产业的领军企业。

在信息安全领域拥有众多核心技术，先后申请专利50余项，拥有全系列防火墙、VPN、UTM、IDS、IPS、防病毒网关、安全隔离网闸、安全管理共计10大类370余款产品，是国内信息安全产品线最全的企业。

13

3.3.2 产品介绍——网御SIS-3000 3.3.2.1 产品概述

联想网御SIS-3000安全隔离与信息交换系统采用多主机隔离结构和安全芯片设计，在业内首次提出并实现专有SIS安全隔离技术，把安全性(Security)、智能性(Intellegence)、高效性(Speed)完美的结合在一起。其中内外网模块连接相应网络实现数据的接收及预处理等操作，隔离交换模块采用专用的硬件设计，通过专有信道，采用非网络协议实现与内外网模块的数据交换，保证任意时刻内外网间没有链路层连接。数据只能以专用数据块方式静态地在内外网间通过网闸进行“摆渡”，传送到网闸另一侧。同时集成多种安全技术手段，采用强制安全策略，对数据内容进行安全检测，保障数据安全、可靠的交换。其工作原理如下图：

联想网御SIS-3000安全隔离与信息交换系统安装应用方便，通过对连接和数据包的获取、阻断、分离、检测、重组、交换、恢复、连接等一系列安全操作完成数据的隔离与交换，而这些复杂的安全检测操作对用户而言是透明的。联想网御SIS-3000安全隔离与信息交换系统在提高和保障用户的网络安全时，最大限度的保证了用户应用的方便性。

3.3.2.2 产品报价

通过向联想网御的销售和技术人员的咨询，获得联想网御SIS-3000安全隔离与信息交换系统的两款产品（千兆和百兆）的报价如下表所示：

产品名称 产品型号 产品介绍 价格 备注 14

千兆标准型，2U机箱，“2+1”系统架构，即由两个主机系统和一个隔离交换模块组成； 内网：标配1个10/100/1000M自适应网络接口，1个10/100/1000M自适应网络扩展接口,1个10/100M自适应管理口，1个10/100M自适应HA口（双机热备口）； 外网：标配1个10/100/1000M自适应网络接口，3个10/100/1000M自适应网络扩展接口,1个10/100M自适应管理口，1SIS-3000-GE11 文件交换：实现文件的安全交换，支持NFS、SMBFS等文件系统和多种细粒度检测控制功能； FTP访问：实现安全的FTP访问，支持对用户、命令、文件类型等细粒度访问控制； 数据库传输：支持Oracle、SQL、Sybase、DB2等主流数据库，支持不同类型的数据联想网御安全隔离与信息交换系统 库间、不同结构的表间的内容同步； 邮件传输：实现用户安全访问邮件服务器，访问过滤选项涵盖邮件地址、主题、正文内容、附件等。 百兆标准型，2U机箱，“2+1”系统架构，即由两个主机系统和一个隔离交换模块组成； 内网：标配1个10/100M自适应网络接口，1个10/100M自适应网络扩展接口,1个10/100M自适应管理口，1个10/100M自适应HA口（双机热备口）； 外网：标配1个10/100M自适应网络接口，85000SIS-3000-FE11 3个10/100M自适应网络扩展接口,1个10/100M自适应管理口，1个10/100M自适应HA口（双机热备口）； 文件交换：实现文件的安全交换，支持NFS、SMBFS等文件系统和多种细粒度检测控制功能； FTP访问：实现安全的FTP访问，支持对用户、命令、文件类型等细粒度访问控制； 数据库传输：支持Oracle、SQL、Sybase、DB2等主流数据库，支持不同类型的数据

15

125000三年现场服务 币（含税） 个10/100M自适应HA口（双机热备口）； 元人民元人民币（含税） 三年现场服务

库间、不同结构的表间的内容同步； 邮件传输：实现用户安全访问邮件服务器，访问过滤选项涵盖邮件地址、主题、正文内容、附件等。

3.3.2.3 产品认证

? 计算机信息系统安全专用产品销售许可证 ? 中国国家信息安全评测认证中心 ? 国家保密局科学技术成果鉴定证书 ? 中国人民解放军信息安全评测认证中心

3.3.3 典型用户 3.3.3.1 电子政务

国家新闻出版署 中国证监会 国家气象总局

北京市政协 北京市企业信息管理中心 北京市工商局 辽宁省本溪市财政 河北省政府

河北省国土资源厅 河北衡水市政府 江苏省高速公路管理中心 河南省社保局

浙江省粮食局 杭州市政府 浙江省气象局 杭州市文广新局

广东省海事局 广州市社保 东莞市监察局 深圳市法院 江门市国土资源局

佛山房产局 贵州省经贸委

云南省国资委

3.3.3.2 公安行业

河北省公安 广东省公安 黑龙江省公安

天津市公安

16

国家海关总署 北京市海淀区政府 辽宁省抚顺市财政

河北省发展与改革委员会石家庄市交通指挥中心 合肥住房公积金管理中心 义乌市社保 绍兴市工商局

深圳市龙岗区监察局 中山市国土资源局

佛山市政府 云南大理旅游局

辽宁省公安

成都市公安

合肥市公安局 海口交警

韶关市公安

江西省抚州交警 云南省交警 丽水市公安

江西省公安厅网监处

舟山市公安 湖州公安

3.3.3.3 税务行业

湖北省国税 河南省国税 辽宁省国税 苏州市国税 哈尔滨市地税

安徽省国税 厦门市国税 南通市国税

河北省国税 兰州市国税 厦门国税

新疆自治区国税 福建省国税

福建省地税 邯郸地税

辽宁省地税

新疆自治区地税 江苏省宿迁地税

3.3.3.4 其他行业

人民日报社 中山市军分区

新华社

中国证监会

河南省烟草公司 河北省建设银行

山西移动通信公司 济南市军分区 泰康人寿保险公司

上海房地产中心 山西省阳煤集团 中国航天五院

3.4 安盟华御

3.4.1 公司简介

北京安盟信息技术有限公司位于北京市中关村上地信息产业基地，是一家致力于信息安全技术研究、信息安全产品研发、安全服务和软件开发的高新技术企业和软件企业，公司具有中关村高科技园区的高新技术企业认定证书及软件协会认定的软件企业证书。从2002年开始，公司投入30多名软硬件研发人员进行安全隔离与信息交换系统的开发工作，并于2002年首批获得公安部销售许可证，2003年9月获得国家保密局的涉密信息系统产品检测证书及军用信息安全产品认证证书。

公司以雄厚的技术力量为依托、以强大的客户群体的实践工作为根本，结合国家的保密政策及相关的法律、法规，自主研发的具有自主知识产权的“华御安全隔离与信息交换系统（网闸）”目前已广泛的应用于全国各地的政府、金融、税务、工商、航天、教育、电信、交通、化工、钢铁、公安、医疗等行业，并得到了广大用户的好评与支持。目前公司成为太极计算机股份有限公司安全产品线的总代理商，在信息安全研发、销售方面展开全面的合作。

17

3.4.2 产品介绍——SU-GAP3000 3.4.2.1 产品型号

华御安全隔离与信息交换系统（网闸）产品型号：

项目 产品资质 型号 接口 尺寸 系统架构 性能 主要功能 指标 公安部计算机信息系统安全专用产品销售许可证； 国家保密局提供的涉密信息系统产品检测证书； 国家信息安全认证产品型号证书; 军用信息安全产品认证证书； 双软证书 SU-GAP3000-H2 SU-GAP3000-H6 6个10/100M BASE-TX接口; 6个10/100/1000M BASE-TX接2个RS232口； 口； 2个USB2.0接口； 2个RS232口； 2个USB2.0接口； 标准2U机架式 采用2+1系统架构即内网单元+外网单元+专用隔离硬件。连接线非SCSI或USB线或1394线； SU-GAP3000-H2 SU-GAP3000-H6 网络延时小于1ms 网络延时小于1ms 系统总延时小于1ms 系统总延时小于1ms 开关切换时间小于10ns 开关切换时间小于10ns 内部交换速率5Gbps 内部交换速率5Gbps 数据传输速度大于92Mbps 数据传输速度大于800Mbps 并发连接数大于50000； 并发连接数大于100000； 无用户数限制； 无用户数限制； MTBF≥50000小时； MTBF≥50000小时； 采用专用安全操作系统，加固系统内核，不采用操作系统自带的TCP/IP协议栈； 设备支持透明及非透明两种工作模式，管理员可依据实际网络状况进行相应的部署；内外网不可路由； 产品内置各类应用支持模块，无须用户增加投资； 至少包括：邮件模块、安全浏览模块、数据库访问模块、数据库同步模块、文件交换模块、DCS工业控制模块、用户自定义应用模块等各类应用模块,并可控制相应的动作、参数、内容； 支持内外网数据库应用代理： 内置ORACLE、SQLServer代理引擎，可控制SQL动作语句，18

如只允许SELECT，不允许DELETE； 内置多媒体应用处理模块,可兼容主流视频传输及控制协议； 支持内外网文件摆渡，可控制EXE、DLL、RAR、ZIP文件类型； 可依据实际网络情况,管理员自行设定安全通道，单向/双向传输； 支持统一图形化日志统计报表，并生成html格式的日志报表文件 设备管理口无IP地址，只有通过专用控制台软件才能搜索到设备，并管理设备。从而杜绝非法搜索、尝试管理网闸设备的行为； 多用户、权限分立制度，确保合法用户只能做指定的操作； 通过专用的控制口进行设备管理； 支持双机热备及多机热备； 支持IP与MAC地址绑定； 支持根据时间自动切换安全策略； 支持规则模板的导入、导出； 3.4.2.4 产品报价

安 盟 产 品 报 价 产品型号 网闸 SU-GAP 3000-H2 全模块配置 网闸 SU-GAP3000-H6 全模块配置 市场报价 18万 折扣价 服务 10.8万 三年免费质保，三年免费软件升级，终生保修，免费安装、调试及使用人员培训； 三年免费质保，三年免费软件升级，终生保修，免费安装、调试及使用人员培训； 28万 16.8万 注：安盟的销售人员说：如果实施的话价格还可以更便宜一些。

3.4.3 解决方案介绍

电子政务应用网闸解决方案 政府上网网闸解决方案 公安交警系统应用网闸解决方案 公安系统旅馆业管理网闸解决方案 公安系统印章业管理网闸解决方案 工商系统网闸解决方案 税务系统网闸解决方案 社保行业网闸解决方案 银行金融业网闸解决方案 证券、保险业网闸解决方案

19

电信行业网闸解决方案 石油化工行业网闸解决方案 电力、能源行业网闸解决方案 医疗行业应用网闸解决方案 制药行业应用网闸解决方案 公路交通行业网闸解决方案 钢铁、冶金行业网闸解决方案 水泥生产企业网闸解决方案 造纸、水处理行业网闸解决方案

4 报告总结

本文通过对安全隔离与信息交换系统（安全隔离网闸）有关技术文档的搜集、阅读和整理，得到了一份简单的研究报告，由于水平有限加之对网闸技术的了解还不够全面和深入，不免存在不足和差错，所以本研究报告仅供领导参考并请领导批评指正。

20

本文来源：https://www.bwwdw.com/article/3cmg.html