“2+1”架构网闸之间采用互斥访问的存储设备进行连接。该结构有其难以避免的缺陷:作为控制中心的仲裁系统只能承载在内端机上,仲裁系统是网络可达的,本身易受到来自网络的攻击,一旦内端机的访问权限非正常丧失,攻击者通过对内端机的渗透控制,很可能构建出不受控的通路,影响到隔离的效果。
针对双机系统的问题,上海金电网安科技有限公司创造性地开发了基于仲裁机的国产化三机系统,国产化安全隔离与信息交换系统Ferryway V5(三机)系列产品(以下简称FerryWay V5)。FerryWay V5(三机)采用了国产化操作系统,如银河麒麟、中标麒麟、统信、飞腾;搭载国产化硬件,如海光CPU、兆芯CPU等;集成了安全隔离、国产化数据库应用、实时信息交换、协议分析、访问控制、病毒过滤、安全防护、监控审计等安全功能为一体,适合部署于不同安全等级的网络间。FerryWay V5(三机)在实现多个网络安全隔离的同时,可以实现高速的、安全的数据交换,提供可靠的信息交换服务,可参考的政策标准:
◆GB/T 22239-2019 信息安全技术网络安全等级保护基本要求;
◆GB/T39204-2022 关键信息基础设施安全保护要求;
◆GW0205-2014 国家电子政务外网跨网数据安全交换技术要求与实施指南;
◆GW0013-2017 政务云安全要求;
◆BMB16-2004 涉及国家秘密的信息系统安全隔离与信息交换产品技术要求;
◆FYB/T59006-2020 安全隔离与信息交换平台使用和管理要求;
◆财政业务专网网络安全接入规范;
◆GAT1788.3-2021 公安视频图像信息系统安全技术要求第3部分安全交互;
◆GB/T 36572-2018 电力监控系统网络安全防护导则。
Ferryway V5(三机)是三机三系统架构网闸产品,由内端机处理模块、外端机处理模块、仲裁机处理模块、数据迁移控制单元(隔离交换模块)组成。一个与外网相连的外端机,一个与内网相连的内端机和一个介于两者之间独立的仲裁机,内端机和外端机通过专用硬件与仲裁机相连。内端机处理模块和外端机处理模块具有独立的存储和运算单元,并具有独立总线,分别连接可信和不可信网络,对访问请求进行预处理,实现安全应用数据剥离。数据迁移控制单元采用了经过精简加固的、专用的双通道GoldenSec安全引擎,是内、外端机处理模块和仲裁机处理模块的唯一通道,本身没有操作系统和应用编程接口,内、外端机处理模块和仲裁机处理模块不存在任何网络连接,因此不存在基于网络协议的数据转发,自主实现了内、外网数据的交换和验证。
Ferryway V5(三机)内端机和外端机分别是内网和外网网络协议的终点。所有过往的应用层数据都从内网和外网的TCP/IP协议中剥离,被剥离的数据再通过数据迁移控制单元在内、外端机之间进行传输。内端机与外端机之间采用专用传输隔离硬件和专用协议相连,从而阻断了任何从一端机攻击另外一端机的可能。
由于数据迁移控制单元使用专用的私有协议与内、外端机进行通信,且其驱动程序模块也是独立编写的,在极端情况下,即便是黑客攻破了外网处理模块,但是由于无法了解数据迁移单元的工作机制,就无法进行渗透,内端机处理模块的安全仍然可以保障。
信息通过Ferryway V5(三机)传递需经过多个安全模块的检查,以验证被交换信息的合法性。当访问请求到达内、外端机处理模块时,首先由Ferryway V5(三机)实现TCP连接的终结,确保TCP/IP协议不会直接或通过代理方式穿透网闸;然后,内、外端机处理模块会依据安全策略对访问请求进行预处理,判断是否符合访问控制策略,并数据包进行应用层协议检查和内容过滤,检验其有效载荷的合法性和安全性。一旦数据包通过了安全检查,内、外端机处理模块会对数据包进行格式化,将每个合法数据包的传输信息和传输数据分别转换成专有格式数据,存放在缓冲区等待被隔离交换模块处理。