文档介绍:神盾网络安全摆渡机
技术白皮书
版本号:SD-BD-1101
西安市信息技术应用研究所
2011年7月
目录
版本号:SD-BD-1101 - 1 -
一、研发背景 - 3 -
二、摆渡机的理念 - 4 -
- 4 -
、安全摆渡机的安全标准 - 4 -
三、产品概述 - 6 -
四、产品介绍 - 7 -
、产品基本情况 - 7 -
、系统组成 - 8 -
、实物图 - 9 -
、适用范围 - 9 -
、系统架构 - 10 -
、摆渡要求 - 10 -
五、特点 - 11 -
六、安全信息交换系统实施后效果 - 12 -
七、维护指南 - 12 -
八、售后服务 - 12 -
一、研发背景
由于移动存储介质(U盘等)的使用非常方便,目前已经成为计算机网络主机之间进行数据交换的常用工具。如果随意的让各类移动存储介质接入单位内部网络进行数据交换,就可能造成木马、病毒通过移动存储介质传播感染,可能会给单位内部网络安全带来风险,特别是近年来境外间谍机构专门研制的摆渡木马用于通过移动存储介质数据交换过程窃取国家秘密,给国家安全带来严重危害。为此,国家保密局、军队保密委发布了关于互联网计算机、外网计算机与涉密内网计算机之间的信息交流必须通过中间摆渡机的规定。为了解决不同等级网络之间、不同等级单机之间的信息安全摆渡问题,我们研发了大唐神盾网络安全摆渡机。解决了使用移动存储介质进行数据交换所带来的相关安全性问题,对移动存储介质的数据交换进行有效的控制与管理。防止因移动存储介质信息交换过程中造成失泄密事件。
摆渡机的主要作用就是防止摆渡木马启动、查杀木马、病毒,进行单向信息传递与交换,对摆渡过程进行可控的有效管理,事后可进行追查审计。总之,根据相关部门的要求,对外来数据信息必须经过摆渡机进行安全处理,然后才能摆渡到涉密内网计算机中进行应用。确保信息交换的安全性。
二、摆渡机的理念
摆渡机一般是指不连接任何网络的单机,采用一定的安全措施,用于内、外网及不同等级的涉密网络、不同等级的涉密单机之间进行数据交换的专用机。
由于摆渡机主要是针对近年来发现的境外间谍机构利用专门研制的摆渡木马窃取我国家秘密的现象提出来的一种防范措施,主要防止外来磁介质直接插人涉密内网、涉密单机,感染摆渡木马、病毒造成的失泄密事件。因此,目前国家相关部门还没有制定明确的摆渡机技术标准。所以,有些人产生了一些错误的认识,认为任何一台普通的电脑单机运用就可以作为摆渡机,就可以进行木马病毒查杀,进行信息
交换摆渡。这种观点是完全错误的,普通电脑进行信息摆渡通常是将信息拷贝到电脑中,这样做如果是涉密信息在摆渡机中存留本身就造成失泄密隐患,尽管有人采取电脑重启还原系统软件,但如果人的责任心不强,管理不到位仍然存在失泄密隐患,长期利用普通电脑进行信息交换摆渡,本身就造成了严重的失泄密根源,而且普通电脑无法防范摆渡木马,无法解决因工作责任心不强带来的交叉失泄密事件,也无法解决摆渡信息交换必须是单向传输的安全理念。保密工作不但要做到制度流程管理的规范,而且必须做到用技术防范措施监督保证制度流程的规范,只有这样才能最大限度的避免失泄密事件发生。因此,这些都说明一台普通的电脑是不能胜任网络安全摆渡的要求。普通的一台电脑作为摆渡机使用存在严重的安全隐患。
 、安全摆渡机的概念
    安全摆渡机是在摆渡机概念上增加了安全标准,即安全摆渡机必须能够防止摆渡木马的启动,安全摆渡机必须能够具有强大的木马、病毒查杀功能,安全摆渡机信息传递必须是单向的,安全摆渡机的信息摆渡必须是点对点、盘对盘的不在摆渡机中留存信息数据痕迹,安全摆渡机必须能够对摆渡磁介质进行有效的可控的管理,安全摆渡机能够对使用者进行事后追查审计。安全摆渡机必须做到专机专用。
、安全摆渡机的安全标准
1、具备良好的安装卸载功能:系统软件的安装卸载必须用管理员的身份登陆,输入安装卸载密码,才可以进行系统的安装与卸载。
2、具备系统管理员、系统操作员、系统审计员三权分立的管理模式。各级管理员登陆必须要设置登陆密码,并具备良好的密码修改功能。
系统管理员:负责安装卸载、磁介质注册的工作,他可以决定谁有权限持有摆渡功能的磁介质进行信息安全摆渡。
系统操作员:负责系统登陆,摆渡机进入工作状态,可以进行正常的摆渡工作,同时负责定期杀毒软件的升级。
系统审计员:负责系统的审计,查询、打印、事后追查。
3、具备良好的磁介质注册认证功能:系统管理员能对需要进行信息安全摆渡的磁介质进行注册,实现注册登陆、注册密码修改,注册必须能够获取磁介质的出厂序列号,每一个磁介质都是唯一的,磁介质格式化后仍然存