成功案例摆渡机设计方案

制作人：郭虎涛

最后编辑时间：2012-09-30

文档版本：v1.0

公司存档编号：WEB-1013-201209-30

神盾网络安全摆渡机

部

署

应

用

方

案

西安市信息技术应用研究所

2012年9月

一、研发背景

由于移动存储介质（U盘等）的使用非常方便，目前已经成为计算机网络主机之间进行数据交换的常用工具。如果随意的让各类移动存储介质接入单位内部网络进行数据交换，就可能造成木马、病毒通过移动存储介质传播感染，可能会给单位内部网络安全带来风险，特别是近年来境外间谍机构专门研制的摆渡木马用于通过移动存储介质数据交换过程窃取国家秘密，给国家安全带来严重危害。为此，国家保密局、军队保密委发布了关于互联网计算机、外网计算机与涉密内网计算机之间的信息交流必须通过中间摆渡机的规定。为了解决不同等级网络之间、不同等级单机之间的信息安全摆渡问题，我们研发了神盾网络安全摆渡机。解决了使用移动存储介质进行数据交换所带来的相关安全性问题,对移动存储介质的数据交换进行有效的控制与管理。防止因移动存储介质信息交换过程中造成失泄密事件。

摆渡机的主要作用就是防止摆渡木马启动、查杀木马、病毒，进行单向信息传递与交换，对摆渡过程进行可控的有效管理，事后可进行追查审计。总之，根据相关部门的要求，对外来数据信息必须经过摆渡机进行安全处理，然后才能摆渡到涉密内网计算机中进行应用。确保信息交换的安全性。

二、产品介绍

一）产品概述

神盾网络安全摆渡机是西安神盾科技有限责任公司研发的一款多网络环境下，信息数据交换的平台。为了保证内网安全，防范摆渡木马、防止失泄密事件的发生，大唐神盾网络安全摆渡机主要实现了以下功能：

1、防止摆渡木马启动的功能：感染到摆渡木马的外来磁介质插到安全

摆渡机上，摆渡木马不能启动。具有良好的防范木马启动功能。

2、具有强大的木马、病毒查杀功能：凡外来信息要进入涉密内网，首

先要经过网络安全摆渡机进行木马、病毒查杀处理，能够实现接入用户选择的国内外主流杀毒软件，对外来磁介质进行木马病毒查杀，并能够根据

用户需要实现双杀毒功能。杜绝木马、病毒感染到涉密内网，造成失泄密事件或因感染病毒引起的网络安全隐患。

3、实现外来磁介质到涉密磁介质点对点的单向信息拷贝：网络安全摆渡机实现了外来磁介质的信息单向直接拷贝到涉密内网磁介质，在摆渡机中不保留信息数据痕迹，防止摆渡信息留在摆渡机中可能造成的人为失泄密事件。

4、对摆渡磁介质进行注册登记管理和审计：涉密内网摆渡用磁介质要在网络安全摆渡机中进行注册登记和管理，使用中摆渡机会记录磁介质的使用时间、单位、使用人、摆渡文件标题等信息，管理员可以进行审计。

5、网络安全摆渡机利用触摸式一体机，实现了防范摆渡木马启动、查杀木马病毒的功能，实现外来磁介质与可管理内网磁介质之间的文件信息单向交换，摆渡磁介质之间信息传递单向点对点盘对盘的功能，有效防止了交叉失泄密事件发生的可能，并且实现了日志记录.摆渡审计等功能。解决了利用普通电脑摆渡无法解决的失泄密隐患问题。

类别参数

CPU 双核2.5Ghz

内存2GB\DDR3\1333

硬盘Sata 500G 7200转

屏幕20英寸触摸

三）实物图片

立式桌面式

三、功能特色

摆渡机利用大唐神盾专用软件实现外来磁介质与可信内网介质之间的文件信息传输交换。实现点对点、盘对盘的单向信息拷贝，不在摆渡机内保留摆渡信息，有效防止了可能出现的交叉失泄密。

特点一：

摆渡机安装了大唐神盾自主研发的防止摆渡木马启动系统，通过端口、进程等手段彻底封杀了摆渡木马在摆渡机中的启动、摆渡机上无法运行任何系统预知之外的程序，强大的木马病毒查杀功能确保病毒木马无法感染摆渡机也无法感染其他移动介质。

特点二：

摆渡机实现了外来磁介质与内网可信介质之间直接进行单向点对点的数据传输交换，不在摆渡机内存留，从技术措施上实现可能造成的失泄密事件。

特点三：

内网可信介质必须进行注册管理，只有可信介质才可以在摆渡机使用并接收外来磁介质的数据，使用灵活，管理简便。

特点四：

摆渡机上所有数据交换都有日志生成，内容包括U盘责任人、日期、文件名称、文件大小。便于事后审计追查。

特点五：

摆渡机为触摸式专用信息交换设备，办公人员使用摆渡机只能进行文件摆渡，信息交换，做到专机专用。

四、用户需求

随着市地税局信息化网络建设的不断发展，采用计算机信息系统处理各类工作及涉密信息，在享受着数字化、信息化的便利和快捷的同时，市地税局也不得不面对由此引入的巨大安全风险。由于对纳税人申报税务时使用的优盘不可控，病毒、木马繁多， USB移动存储设备的乱插拔及内外网混用，随着病毒、木马种类的多样性与不断增加，黑客技术的日益公开和有组织化，系统的复杂性与各种安全漏洞的存在，以及网络的互连与开放性，使得报税大厅内网计算机的安全保密性极差，因为技术控制手段不到位，责任心不强的工作人员对这一问题的严重性的认识和所具备的应付能力还远远不够。

总结以上我公司分析贵单位需求为以下几点：

需求一：移动存储介质的管理；

需求二：非涉密密信息进入涉密网络；

五、应用方案

5.1移动存储介质解决方案：

针对贵单位移动存储介质内外网混用，我公司使用神盾介质管理系统解决。“介质管理系统”将用户划分为内网用户和外网用户，并且给予内网用户更加仔细的关注。对所有外网用户，内网安全理论将它们统一划分为不信任的用户，对来自外网的用户通过身份验证、授权和其它手段进行控制。对于内网用户，内网安全理论给予每个用户和其使用的个人计算机以极其详细的关注和控制，因为这些用户和计算机是更易于引起信息安全威胁的来源。

神盾介质管理系统提供了对存储设备进行逻辑认证来控制存储设备的使用，只有通过认证的设备才能在SD-INAS安全控制域中进行使用，并根据仅在认证设置的策略和权限范围内使用该存储设备。存储设备认证提供下面列举的认证权限和使用策略。

⏹支持禁止或者允许使用未经过认证的存储设备，也仅以只读方式使用。

⏹支持对存储设备设定为禁止使用策略；