东软NetEye安全隔离与信息交换系统(NGAP)

产品概述    


    东软NetEye安全隔离与信息交换系统由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡。从而在保证内外网隔离的情况下,实现可靠、高效的安全数据交换,而所有这些复杂的操作均由隔离系统自动完成,用户只需依据自身业务特点定制合适的安全策略既可实现内外网络进行安全数据通信,在保障用户信息系统安全性的同时,最大限度保证客户应用的方便性。


产品功能

1. 安全隔离

 物理隔离:系统由内网单元、外网单元及安全数据交换单元三个物理部分组成。安全数据交换单元不同时与内外网处理单元连接。

 协议隔离:内、外网单元主机均采用安全操作系统,分别独立完成网络协议的终止。内、外网单元之间只能通过采用非网式专有安全通道进行间歇性数据传递,内外网无法直接建立任何的协议会话,从而阻断以共同协议为载体的风险传递。

 应用隔离:系统采用模块化的应用解码,内外网单元分别独立完成与客户会话交互、提取安全数据等待数据交换,所以内外网之间不能建立直接的应用会话。

 内容隔离:内、外网单元分别将待交换传输的数据进行内容检查与病毒查杀,不符合安全规定的数据内容将被直接删除,合法的数据才允许被安全数据交换单元交换至另一端,从而保证了数据内容的安全性。

 风险隔离:系统以白名单机制运行,仅许可正常的、用户许可的网络应用,防范未知的安全风险。并且系统集成防病毒并可扩展多种常规安全防护引擎,如入侵检测等,可检测60000多种病毒和4000多种网络入侵。双重安全机制最大程度上实现了风险隔离。

2. 信息交换

 Web信息交换:通过系统内部的Web处理模块,东软NetEye安全隔离与信息交换系统能够实现内外网间的Web数据交互。通过对内外网间Web应用进行信息获取、流保持、内容解析、原数据丢弃、审查、数据重建、传递、流发起等系列业务动作,实现内外网间可进行标准的、可控的HTTP通信。

 文件信息交换:通过系统内置的FTP应用协议处理模块,东软NetEye安全隔离与信息交换系统能够实现内外网间的安全FTP数据交互,可以设定允许的用户名、密码、动作等策略,也可以对其传输的文件类型进行过滤,摒弃不安全及泄密的因素。

 邮件信息交换:通过内外网处理单元的POP3、SMTP处理模块,东软NetEye安全隔离与信息交换系统能够在内外网间实现透明的、可审查的、可控的POP3和SMTP应用,可以指定用户名、密码甚至邮件地址,可以禁止邮件附件功能。

 数据库信息交换:东软NetEye安全隔离与信息交换系统数据库信息交换包括两部分,一为数据库信息访问交换,一为数据库信息同步。我公司网闸产品同时支持这两种应用,可控制到表、字段、SQL动作等最详细信息。目前支持的数据库种类包括ORACLE、SQLSERVER、DB2、MYSQL、SYBASE等几款主流数据库以及国产达梦数据库、国产人大金仓数据库等多种关系型数据库通信。通过内置的数据库处理模块,系统内能够处理穿越网闸的各种数据库操作,比如Oracle数据库,我们可以设置只允许Select,不允许Delete、Update以及DROP、CREATE等操作。

 视频信息交换:网闸设备支持标准的MMS、RSTP、SIP、H323等多种视频信息交换协议,在指定的通道中绑定视频媒体模块后,可以保证通道中传输的数据必须符合以上的媒体格式,否则丢低。

 DCS工控信息交换:冶金系统、电力系统、煤炭、石油、石化、化工、环保等单位的生产内网需要将生产数据及时提交到办公网络的实时数据库中,保证生产内网的绝对安全。采用网闸单向传输生产数据,采用DCS工控信息交换模块,使专用安全通道只传输工控生产数据信息,保证了生产内网的绝对安全。支持工控领域常见的OPC/MODBUS/WINCC等多种主流协议,并可控制相应的功能代码。比如只允许通过MODBUS协议读取状态信息,不能发送控制指令等。

 组播代理:对于客户网络的组播应用做不同网络之间的代理,支持三层设备的代理穿透,支持PIM协议的代理,使客户组播应用无缝跨网代理。

 特殊定制信息交换:对于用户自行研发的标准TCP/IP通信协议,可借助我公司提供的协议分析产品和自定义协议界面,完成用户协议的安全定制。

3. 网络访问控制

东软NetEye安全隔离与信息交换系统具有强大的访问控制力,管理员可通过订制访问策略,精细地控制 谁 (网络对象)能够 (允许或禁止)访问自己。管理控制台以人性化的人机接口协助管理员轻松实现管理目标。

 网络访问控制:隔离系统的内、外网单元完整实现链路层、网络层、传输层访问控制,通过灵活组合网络对象,制定与实际需求完全吻合的访问策略。
 访问用户控制:隔离系统的内、外网单元可实现定制、绑定哪些用户可以访问,以何种策略访问。