需求分析
云计算、虚拟化等大量现代新技术的运用所带来的边界模糊,传统安全防护边界难以确定;无法有效防范云平台内部攻击、数据失泄密等非法行为。
核心安全网络需与其它业务系统交互业务数据,存在核心数据被篡改、伪造或重放的隐患。大型云网络分布广泛,很难全面落实物理防范措施,易受到非法搭线接入或非法接入等攻击。大量已建系统,存在大量网络边界,网络连接复杂,易出现误连误接、导致安全防护失效的隐患;并且需部署大量各种各类边界防护设备,很难实现统一有效管理,存在错误设置策略、导致安全防护失效、明通或业务中断等风险。
现有部署的逻辑隔离设备(如防火墙)不能有效防止应用层攻击、无法有效检测业务传输数据的内容与格式,存在跨网网络攻击、网络病毒传播、数据失泄密的风险。
产品简介
产品简介
安全数据交换系统是一款以安全标记技术为核心,将隔离技术、密码技术与数据安全技术相融合的安全设备,产品本身从系统、算法、软件、硬件、芯片全自主设计,完全知识产权,并申报多项专利,能够满足可信技术要求、达到安全可控目的。
数据安全交换网关的设计以数据资产为核心,采用由内到外的网络安全架构,可以构建可信的安全信息网络,保证数据传输过程不同级别数据的完整性、可用性、可信性和私密性;采用应用转发技术、Web加速技术等多种技术,有效地帮助用户提升业务性能和可靠性。
应用本设备,结合诸如标记强访、数据交换总线、密码和自动化运维技术,以及与大数据、态势感知技术的协同,可实现网络多级别传输过程中数据的完整性、可用性、可信性、私密性和一致性的保证,提升网络抗攻击能力;从而构建主动免疫的可信计算架构、达到提供主动防御的目的。
功能特点
-
受控的数据交换:
提供多协议数据交换方式来实现数据摆渡,通过策略配置实现单向(或双向)访问控制和安全过滤。
-
强制访问控制模型:
支持安全标记协议和保密BLP和完整BIBA强制访问控制模型;可对数据结构进行检查,能有效阻断已知、未知病毒及恶意代码等;支持或集成数字鉴权、加解密和数据签名和验签等功能
-
与态势感知平台联动:
提供与态势感知平台联动接口,系统能记录审计经过网关的所有活动,并将异常活动实时上报到态势感知平台,进行流量的实时监测与异常告警。
-
自身和整体防护能力:
支持发现、过滤并阻塞各种已知和未知攻击行为,同时对内部敏感信息外泄进行管控。
-
高可用性:
支持多机热备和负载均衡功能,不同设备之间策略和配置同步。
-
不同强度隔离模式:
支持物理隔离和逻辑隔离多种模式,包括单向光纤隔离、内置防火墙、安全标记分区。对于单向隔离,应用循环纠错码、多路并行传输、冗余块备份传输等机制。
-
多种跨安全域交换方式:
提供跨安全区域的数据隔离和交换服务(VLAN功能),支持原始数据复制与分发,实现跨VALN交换,支持组播和广播报文抑制,端口QoS配置等。
-
安全集中管理:
支持统一的安全集中管理,提供可视化的操作界面,设备的配置、管理操作,都能在其上实现。
技术优势
-
标记强制访问控制
兼容标准CIPSO协议,支持BLP、BIBA强制访问控制模型,保证云网络各安全域的机密性和完整性。
-
基于标记的异构网络
信息安全网络架构需要定义边界,定义网关设备和网关功能,并通过在网关两端保持不同的标记系统定义,从而形成实质上的异构网络,进一步提升整个系统的安全性。
-
核心资产标识
设备需要认证后才能访问网络,在标记系统中,所有认证设备都打上基于各自安全属性的独一无二的标记,其使用只能在策略允许的范围内进行。
-
暗数据发现、拦截
对接入网络的核心资产(设备、敏感数据、基础网络服务、核心应用服务)进行标记标识,各种非法标记数据都很容易被标记网络发现,从而更有效的支撑安全态势感知体系。
-
基于标记技术的微隔离
将应用数据打上相关标记,标记网关便能根据标记信息所携带的安全级别进行各种安全操作,从而实现更有效的微隔离。
-
基于标记的主动防御
采用基于标记技术的SDS(软件定义安全)架构,与数字密码技术、态势感知等技术协同,共同构建了现代云网的主动防御安全体系。
京公网安备11010802024551号