CopAdd400科博安全隔离与信息单向导入系统技术白皮书

科博安全隔离与信息单向导入系统（CopAdd400V2.0）技术白皮书中铁信安（北京）信息安全技术有限公司2013年3月科博安全隔离与信息单向导入系统V2.0中铁信息工程集团第2页中铁信安（北京）信息安全技术有限公司目录1.产品研制背景.........................................................................................................42.产品介绍.................................................................................................................52.1.概述...........................................................................................................52.2.体系结构...................................................................................................62.2.1.桌面型结构........................................................................................62.2.2.网络型结构........................................................................................72.3.功能性能指标...........................................................................................82.3.1.功能指标............................................................................................83.产品功能描述.......................................................................................................103.1.桌面型功能描述.....................................................................................103.1.1.非涉密数据单向导入功能..............................................................103.1.2.安全功能..........................................................................................113.1.3.管理功能..........................................................................................113.2.网络型功能描述.....................................................................................123.2.1.信息单向传输功能..........................................................................123.2.2.安全控制功能..................................................................................153.2.3.系统监控与审计功能......................................................................164.技术特点...............................................................................................................174.1.单向数据通道.........................................................................................174.2.数据封装及传输.....................................................................................184.3.协议终止.................................................................................................194.4.数据容错处理.........................................................................................205.产品使用方式.......................................................................................................215.1.部署方式.................................................................................................215.2.管理方式.................................................................................................22科博安全隔离与信息单向导入系统V2.0中铁信息工程集团第3页中铁信安（北京）信息安全技术有限公司6.产品应用范围.......................................................................................................236.1.桌面型应用范围.....................................................................................236.2.网络型应用范围.....................................................................................236.2.1.个人文件单向同步..........................................................................236.2.2.静态文件单向传输..........................................................................246.2.3.数据库单向同步..............................................................................256.2.4.邮件单向中继..................................................................................266.2.5.网页单向发布..................................................................................277.联系方式...............................................................................................................28科博安全隔离与信息单向导入系统V2.0中铁信息工程集团第4页中铁信安（北京）信息安全技术有限公司1.产品研制背景计算机网络的开放性产生了许多安全问题，网络攻击、信息泄漏、网上犯罪层出不穷。而采用以防火墙为核心的网络边界防御体系只能够满足信息化建设的一般性安全需求，却难以解决涉密信息系统等重要网络的保护问题。对于涉密网络的保护，我国历来采用了物理断开的方法，国家保密局在《计算机信息系统国际联网保密管理规定》中将涉密信息系统的安全防御要求定格为与任何非涉密信息系统必须“物理断开”。断开了就安全的（事实上也并非如此）。但是，断开了却严重影响了业务信息系统的运行。目前，很多部委的重要业务系统都处于涉密网络，而业务系统需要的基础数据却来自外部业务网络，甚至互联网络。物理断开造成了应用与数据的脱节，影响了政府执行能力和行政效率。包括国家保密局在内的信息化建设的主管部门都充分的认识到，断开不是目的，保护涉密网络的安全才是目的。现在之所以要断开，是因为还没有一种值得信赖的技术实现互联。看来，如何实现涉密信息系统与非涉密网络之间的连接问题，成为我国信息化建设中一个亟需解决的问题。但现在断开了，数据如何交换，在隔离政策出台之前已经形成的各种重大应用系统如何延续，如何解决安全与应用之间的矛盾？应用的需要和安全的需要催生了一种新型的技术，物理隔离技术（GAP）。这种技术在1993年由MyongH.Kang在“APumpforRapid,Reliable,SecureCommunication”一文中提出，并在1996年对这种概念进一步深化为一种适于网络应用的“数据泵”技术。GAP技术是一种什么技术？从字面上理解，可以译为“缺口、豁口”，即在两个网络之间形成一个缺口。有了缺口当然就能保证安全。也有将GAP译为“GapAllProtocol”的说法，表明这个“缺口”不是什么都不让通过，而只是将协议隔离，应用数据还是可以利用这个缺口通过安全方式交换的。遵从这种理解方式，如MyongH.Kang所刻画，GAP应该是一个三系统的设备：一个外端机、一个内端机、一个中间交换缓存。内外端机用于终止网络协议，对解析出的应用数据进行安全处理。同时能够通过中间的交换缓存通过非TCP/IP协议的方式进行数据交换。科博安全隔离与信息单向导入系统V2.0中铁信息工程集团第5页中铁信安（北京）信息安全技术有限公司我国的信息安全产业界从1999年即开始了一种声音：GAP技术就是物理隔离，以此希望实现涉密网络与非涉密网络的联网突破。这一思想也影响了信息安全界的厂商和部分主管部门，一时间专注GAP技术研究的厂商如雨后春笋蓬勃发展。但隔离产品的市场却始终十分脆弱。在Gap技术初生之际，国家保密局就在不同场合正本清源：“GAP技术不是物理隔离，不能用于涉密网络与非涉密网络之间的连接”。既然GAP技术不能用于涉密网络与非涉密网络之间的连接，但从目前国家的一些重要的业务系统的实际运行情况来说，涉密网络与外界完全断开不现实，从业务流程、可用投资和发展潮流上都不允许。到底什么技术可能实现这种突破？国内外又在做哪些尝试呢？国际上浮出水面的一种技术是“数据二极管”（DataDiode）的纯单向技术。美国的Owl公司一直在从事这种技术研究。06年初澳大利亚特尼克斯