联想网御安全隔离与信息单向导入系统技术白皮书

.

联想网御安全隔离与信息单向导入系统

产品白皮书

Leadsec Uni-directional GAP V2.0

 绝对的单向数据传输

 防止涉密信息泄露

 应用独立和非入侵性

 高效、可靠数据传输

.

目录

1.产品介绍 ................................................................................................................ 5

1.1产品概述 .................................................................................................... 5

1.2产品架构设计 ............................................................................................ 6

1.2.1硬件架构设计 ................................................................................ 6

1.2.2软件系统设计 ................................................................................ 7

1.3工作原理 .................................................................................................... 8

2.核心功能介绍 ..................................................................................................... 10

2.1 信息单向导入功能 ................................................................................ 10

2.1.1单向文件传输 .............................................................................. 10

2.1.2单向数据库同步 .......................................................................... 11

2.1.3单向邮件传输 .............................................................................. 12

2.2系统安全控制功能 ................................................................................. 12

2.2.1安全管理 ...................................................................................... 12

.

2.3.2传输控制 ...................................................................................... 13

2.3.3病毒检测 ...................................................................................... 13

2.3系统监控及日志审计报警功能............................................................. 13

2.3.1系统监控功能 .............................................................................. 13

2.3.2日志审计 ...................................................................................... 14

2.3.3报警功能 ...................................................................................... 14

3产品特色 .............................................................................................................. 14

3.1绝对单向无反馈传输 ............................................................................. 14

3.2高可靠数据传输...................................................................................... 15

3.3全面的数据安全检测 ............................................................................. 16

3.4应用独立和非入侵性 ............................................................................. 16

4产品功能规格 ..................................................................................................... 17

4.1基本功能 .................................................................................................. 17

4.2硬件规格 .................................................................................................. 18

5.运行环境 .............................................................................................................. 18

6.典型应用 .............................................................................................................. 19

6.1单向文件传输 .......................................................................................... 19

6.2单向数据库同步...................................................................................... 20

6.3涉密网络邮件接收 ................................................................................. 20

.

.

1.产品介绍

1.1产品概述

对于涉密信息系统的保护向来受到国家的重视，2007年3月国家保密局和

国务院信息化工作办公室联合颁布了《电子政务保密管理指南》（以下简称指南），

指南中规定了电子政务涉密信息系统与电子政务非涉密信息系统的连接条件，指

出当秘密级电子政务院涉密信息系统（或安全域）与互联网或其他公共信息网络

物理隔离时，应同时满足电子政务非涉密信息系统（或安全域）与互联网或其他

公共信息网络的逻辑隔离，可以采用“安全隔离与信息单向导入系统”将涉密信

息网络与非涉密信息网络进行连接，数据仅能从非涉密信息网络流向涉密信息网

络。该规定在政策层面解决了涉密信息网络与非涉密信息网络连接的问题，促进

了电子政务信息化的发展，从而也促进了安全隔离与单向信息导入产品的完善和

发展。

为保证高密级别网络中的数据不能流向低密级网络，但低密级网络中的数据

可以流向高密级网络(数据机密性要求)，彻底解决高密级网络信息泄露的问题，

只有采用无反馈的单向传输技术。联想网御开发的安全隔离与信息单向导入系统

采用了独特的“单向无反馈传输”技术，从物理链路层、传输层保证数据的绝对

单向流动。同时系统采用了独创性的、先进的纠错编码技术、ASIC并行处理技

术和MRP（多重冗余技术）保证系统的高可靠性、高容错性、高安全性和高稳

定性。

.

联想网御安全隔离与信息单向导入系统特别适合下述应用场景：

 无涉密网络到涉密网络的数据传输；

 低密级网络（安全域）向高密级网络（安全域）的数据传输；

1.2产品架构设计

1.2.1硬件架构设计

联想网御安全隔离与信息单向导入系统采用“2+1”模型架构设计，即内网

主机、外网主机加单向导入隔离部件。内外网主机系统采用专用设计的工控主板、

高性能的硬件平台，保证产品性能稳定、质量可靠。

单向导入隔离部件由两个通用的光传输模块，模块之间采用单根光纤连接组

成。众所周知，光传输模块通过两根光纤完成通信，一根用于接收数据，一根用

于发送数据，从物理上，即无法通过单根光纤实现既进行接受又进行发送数据。

所以，联想网御的此种设计方案保证了数据的绝对单向无反馈传输。

隔离交换模块基于专有的Leadsec ASIC安全隔离芯片和交换芯片，其中，

Leadsec ASIC安全隔离芯片通过多线程并行固化处理将数据块转化为自有协议

格式的数据包，交换芯片的交换子系统和开关控制子系统实现对数据的临时缓存

和安全交换。

硬件架构如下图所示：

.

图1 联想网闸安全隔离与信息单向传输系统硬件架构

1.2.2软件系统设计

联想网御安全隔离与信息单向导入系统的软件系统可以抽象成三个子系统：

单向传输容错控制接口、应用服务模块（单向文件传输、单向数据库同步、单向

邮件传输、单向传输API接口）、系统管理平台，整个软件系统建立在联想网御

通用安全开发平台VSP 基础上。软件系统架构如下图所示：

图2联想网御安全隔离与信息单向传输系统架构图

.

单向传输容错控制接口保证在单向无反馈通信环境中数据传输的完整性和

可靠性。

应用服务模块提供了基于单向传输的业务应用，共有四个子模块：单向文件

传输、单向数据库同步、单向邮件传输和单向传输API接口。

系统管理平台是系统配置和管理的接口，使用户能够通过该平台配置管理主

机系统和业务应用系统，并提供启动或关闭病毒检测引擎接口。

VSP（Versatile Secure Platform）安全平台是联想网御凭借在安全设备上

的长期积累建立的专有抗DDoS内核的操作系统安全平台。操作系统固化于内

外网主机系统的硬件中，不能被随意修改，保证系统平台的安全可靠。

1.3工作原理

信息单向导入技术的工作原理类似于“二极管”单向导电的特性，采用硬件

架构设计使数据仅能从外网主机（非信任端）传输至内网主机（信任端），中间

没有任何形式的反馈信号，所有需要“握手”确认的通信协议在信息单向导入系

统中都会失去意义。

由于没有“握手”确认信息，如何保证在接收端完整准确的重构源端数据是

单向导入系统的关键技术。联想网御安全隔离与信息单向导入系统针对这种单向

无反馈的环境，定义了私有通信协议对数据进行封装和传输，采用了具有自主产

权、先进的前向纠错编码技术，同时采用了多种速率和流量控制方法，使得模块

化的底层通信接口能灵活、可靠的处理不同业务的需求。联想网御通过这些关键

技术保证了数据传输的完整性、可靠性和机密性。下面就针对数据容错关键技术

.

进行详细的介绍：

多级前向纠错编码技术

在前向纠错传输系统中，要想获得低误码率，就必须采用具有较强纠错能力

的编码系统。联想网御安全隔离与信息单向导入系统以实现保护涉密网络的信息

安全和可靠性为方向，提出了适合单向网络通信的多级前向纠错编码、解码方案，

如下图所示：

图3 单向多级编码方案

此方案中联想网御采用两次附加纠错码的多级前向纠错（FEC）编码技术，

RS编码属于第一个FEC，188字节后附加16字节RS码，构成（204，188）

RS码，这也可以称为外编码。第二个附加纠错码的FEC采用先进的数字喷泉编

码，称为内编码，外编码和内编码结合一起，称之为级联编码。外编码解决内编

码未能纠错的数据，增强了数据传输端到端的重构能力，提高了单向无反馈环境

数据传输的可靠性。

此单向多级前向纠错编码、解码方案有力的保障了数据在单向无反馈环境中

数据的可靠传输，实现了联想网御安全隔离与信息单向导入系统的可靠数据传

.

输。

联想网御安全隔离与信息单向导入系统工作流程是：系统从非涉密网络抓取

事先定义的要传输数据，外网主机系统经过协议还原、格式检查、内容过滤等动

作，将安全数据重新封装成私有格式，传输至外网主机系统，为了控制数据能够

正确发送至外网主机，联想网御采用“纠错自适应编码”技术和流控技术来保证

发送数据的可靠性，外网主机系统接收到数据包后进行校验还原，最后根据预定

义将 可靠数据发送至涉密网络的目标系统。流程图如下所示：

图4联想网御安全隔离与信息导入系统工作流程图

2.核心功能介绍

2.1 信息单向导入功能

2.1.1单向文件传输

联想网御安全隔离与信息单向导入系统的文件单向传输功能是整个系统的

基本功能，该系统只需要指定需要文件传输的源文件夹以及目的文件夹，系统就

.

会实时同步增量文件。

联想网御安全隔离与信息单向导入系统文件单向传输主要功能包含支持大

量小文件及大文件的传输，支持重名策略，支持多级目录嵌套，支持不依赖于文

件扩展名的文件格式检查以及病毒查杀功能。

为提高文件传输的可靠性，单向文件传输系统提供一套精确定位文件是否正

确传输到目的端功能，并且能帮助用户方便快捷确定丢失的文件以及重传丢失的

文件。

2.1.2单向数据库同步

联想网御安全隔离与信息单向导入系统单向数据库同步提供ORACLE、

SYBASE、DB2、MS SQLSERVER等常见数据库的单向同步。支持同种数据库

或异种数据库之间的同步、支持粒度到字段级同步以及特殊的条件同步。

由于联想网御安全隔离与信息单向导入系统无任何信息反馈，所以为提高单

向数据库同步的可靠性，单向数据库同步设计了一套精确定位数据是否正确导入

目的端的功能，并能帮助用户方便快捷进行确定是否丢失数据以及重传丢失数

据，确保用户数据的完整性。

单向数据库同步部署方便与系统与客户数据库之间可以达到无缝结合,即用

户无需修改数据库的任何环境,就能达到单向同步的效果。单向数据库同步在性

能上基本能达到实时同步，以满足客户需求。

.

2.1.3单向邮件传输

联想网御安全隔离与信息单向导入系统单向邮件传输功能提供稳定且高效

的邮件单向导入和邮件过滤功能。

邮件单向导入功能提供邮件从外部网络到内部网络的邮件单向传输功能.高

效的邮件传输能够支撑大部分应用环境日常应用的需求.另外单向邮件传输模块

会对每封邮件的相关信息进行记录,最大限度的保证了单向邮件导入功能的可靠

性。

邮件过滤功能提供了包括邮件地址过滤,邮件域名过滤,邮件内容过滤,邮件

附件过滤和ip地址端口过滤.全方位的邮件过滤功能可以最大限度保证有害信息

和敏感信息无法导入内部应用系统.

在单向邮件传输功能设计之初就考虑到产品部署的易用性,当用户部署单向

邮件导入系统时只需将本系统部署与原外部邮件服务器和内部邮件服务器之间,

并指定好相关服务器的邮件网关即可,无需大规模迁移用户数据。

2.2系统安全控制功能

2.2.1安全管理

首先，联想网御安全隔离与信息单向导入系统采用特定的管理接口进行管

理，并且通过MAC地址和IP进行绑定的方式使用指定的终端进行管理，管理

方式可为基于数字证书的WEB管理，也可以是SSH加密远程管理或本地串口

管理。

其次，联想网御安全隔离与信息单向导入系统对用户采用分级分权管理，对

.

用户角色进行定义，不同角色的用户权限不同。比如配置管理员只能进行管理配

置，日志审计员只能进行日志查看操作。

2.3.2传输控制

联想网御安全隔离与信息单向导入系统从数据链路层到应用层采用严格的

数据传输控制：

数据链路层和网络层通过MAC/IP绑定的方式实现特定的源和特定的目的

通信，能够实现通信端口、通信时间段等的控制。

在应用层，系统对所有通信数据进行数据还原，并进行相应的格式检查、内

容过滤、条件同步、病毒检测、审计等操作，最终将安全的数据封装成私有协议

格式进行单向无反馈传输。

2.3.3病毒检测

联想网御安全隔离与信息单向导入系统采用拥有专利的病毒引擎和国产专

业病毒库，可对传输的数据进行高效精准的病毒检测；

联想网御公司与江民科技建立联合实验室，为系统提供及时准确的病毒疫

苗，提供不少于30万种的病毒特征，而且以每周不少于两次的频率发布新的病

毒特征，用户可通过联想网御专用升级服务中心享受升级服务。

2.3系统监控及日志审计报警功能

2.3.1系统监控功能

联想网御安全隔离与信息单向导入系统对整个系统的运行状态进行实时的

.

监控，监控范围包括网络接口实时速率、CPU利用率、内存利用率等，并以报

表的形式展现。

2.3.2日志审计

联想网御安全隔离与信息单向导入系统支持实时或定时的日志查看，日志可

按任务分类查看。为了可靠的数据传输，联想网御安全隔离与信息单向导入系统

提供了完整的数据传输统计功能，方便用户审计数据传输的完整性。另外，联想

网御安全隔离与信息单向导入系统支持标准Syslog，可将日志信息传输至日志

服务器。

2.3.3报警功能

为了及时向用户提醒数据传输过程中的出错信息，联想网御安全隔离与信息

单向导入系统提供了控制台和邮件两种报警方式。

控制台报警是在用户管理操作界面上实时的显示出错信息，信息详细至任务

名、传输过程及出错原因，方便用户查找定位问题所在；

邮件报警方式，只要用户能够配置接收邮件的地址，系统自动实时或定时将

报警信息发送至用户指定邮箱，方便用户及时掌握系统运行状态。

3产品特色

3.1绝对单向无反馈传输

联想网御安全隔离与信息单向导入系统从物理链路层和传输层两方面保证

.

了数据的绝对单向无反馈传输：

物理链路层：单向无反馈传输电路设计

联想网御单向传输安全隔离模块由两个通用的光传输模块，模块之间采用单

根光纤连接组成。由于从物理上，光传输模块即无法通过单根光纤实现既进行接

受又进行发送数据，所以为数据的绝对单向无反馈传输提供了可靠的的保障；

传输层：单向无反馈传输私有协议

联想网御安全隔离与信息单向导入系统为适应单向无反馈的传输环境，开发

设计了单向无反馈传输协议，对经过安全检查的纯数据进行重新封装，在容错控

制技术的支撑下进行可靠的数据传输。

联想网御安全的单向无反馈传输技术，保证了数据绝对的单向无反馈传输，

防止任何形式的信息从信任网络泄露。

3.2高可靠数据传输

为保证数据的高可靠传输，联想网御安全隔离与信息单向导入系统在网络层

采用通道检测技术，自动检查单向数据传输通道的连通性；在传输控制层采用了

先进的容错控制技术，如单向多级前向纠错编码、解码技术，多级流量调控技术

等，保障数据的可靠传输；

在应用层系统对每种应用模块，采取数据备份、重传方案，数据中途丢失自

动检测技术，以及严格的数据传输审计方案，实现数据传输可控、数据传输可查、

数据中途丢失可恢复等高可靠的数据传输要求，保证了用户业务系统的高可用

性、高可靠性。

.

3.3全面的数据安全检测

联想网御安全隔离与信息单向导入系统采用高效的病毒扫描和细粒度的内

容过滤技术，打造数据安全专家。

✓ 智能的全文内容过滤引擎

统一安全引擎：对隔离交换报文进行全文数据还原，对用户登录、命令请求、

文本系统、协议格式等实施深度检测和过滤；

智能黑白名单：针对文件名、命令、域名等内用进行严格控制，创建黑名单

和白名单任务策略，拦截各种非法数据报文，保证数据的安全性；

安全访问控制：针对数据库和文件数据，通过访问用户身份识别，保证数据

不被非法访问和传递；

分级分权管理：针对不同用户操作，系统提供了分级别管理机制， 根据最

小化用户权限的原则，使不同用户管理配置不同的任务，最大程度保障用户使用

的安全。

✓ 高效的病毒过滤技术

自主研发的防病毒引擎，获得网络防病毒技术专利，及时准确的病毒检测疫

苗，高效过滤多种形式的病毒；

3.4应用独立和非入侵性

联想网御安全隔离与信息单向导入系统多种应用模块，满足用户多种业务应

用需求，保证了用户每种业务应用数据传输的独立性和机密性。

.

联想网御安全隔离与信息单向导入系统的每种应用模块采用数字认证技术，

从指定的源主动抓取数据传输至指定目的，不接受任何其他连接请求，数据传输

过程中采用数字签名技术防止数据在传输过程中被篡改，从而保证了整个系统的

不可入侵性。

4产品功能规格

4.1基本功能

联想网御安全隔离与信息单向导入系统基本功能如下表所示：

分类

产品架

构

功能模

块

单向数据库同

步

单向邮件传输

单向文件传输

特性/功能

系统架构

详细描述

采用 “2+1”系统架构，即由两个主机系统和一个单向导入隔离部件组成。主机系统采

用VSP通用安全平台，单向导入隔离部件采用单向无反馈通信技术，防止任何形式的信

息从信任网络泄露。

支持文件增量单向传输，支持不依赖于文件格式检查，支持单个文件大于10GB 的传输，

支持大量小文件传输，支持文件发送接收统计，支持文件备份重传，支持病毒检测等；

支持ORACLE、SYBASE、DB2、MS SQLSERVER等主流数据库的同种或异种单向传输；

支持字段级的数据库同步；支持条件同步；支持外键表同步；支持无主键表同步；支持

数据冲突检测；支持数据备份重传功能，支持数据传输统计；支持病毒检测等；

支持邮件地址黑白名单策略；支持邮件正文、主题内容过滤；支持邮件域名地址过滤；

支持邮件附件后缀名过滤，支持邮件附件大小控制，支持病毒检测，支持错误检测等；

支持C、JAVA等开发语言；提供外部API函数及说明；支持认证功能；

全模块支持文件扫描和流式病毒扫描两种检测技术，采用自有知识产权的病毒防护引擎

（包括病毒检测引擎和病毒分析引擎）；采用国内知名病毒厂商特征库，可检测不少于

30万种病毒。

灵活多样的管

支持HTTPS的Web方式管理，实现了远程管理信息加密传输，支持命令行方式本地串

口管理或SSH远程管理，可通过命令行完成全部管理配置工作；

API接口模块

病毒检

测

管理方

病毒检测

.

式 理方式

高安全的管理

形式

可靠性 数据纠错

数据备份

数据重传

日志审

计报警

日志审计

报警

内/外网主机系统分别具有独立管理接口，管理员分级、分权管理，而不是采用低安全的

管理方式。

拥有技术专利的单向多级前向纠错编码、解码技术保证数据的可靠传输；

支持传输数据备份功能，当数据传输失败时，以便重传；

支持数据重传功能，系统自动检测未成功传输的数据，可手工重传；

日志实现按功能模块分组管理，支持Syslog格式，实现对日志的浏览、查询等操作

支持控制台、邮件报警功能，可实时或定时向用户发送报警功能；

4.2硬件规格

标题

硬件架构

系统延时

硬件延时

机箱规格

网络接口

(电/光)

管理口

串口

冗余电源

MTBF (小时)

Leadsec UD-GAP 200

“2+1”+ASIC

5ms

1ns

2U

8个10/100/1000M电口

有

2 RJ45

具备

5万

Leadsec UD-GAP 2000

“2+1”+ASIC

5ms

1ns

2U

12个10/100/1000M电口和4个SFP

有

2 RJ45

具备

5万

5.运行环境

标题

重量

尺寸

Leadsec UD-GAP 200

10Kg

Leadsec UD-GAP 2000

10Kg

L450×W443×H88.8mm

.

工作温度

工作湿度

0℃～45℃

5%-95% RH 不凝结

-40℃～70℃

AC 100-240V5-3A,50-60Hz

最大输出功率250W 最大输出功率460W

存储温度

工作电压

工作功率

电气标准

GB/T9813-200，GB9254/GB17618/GB17625，GB9254 A级

6.典型应用

6.1单向文件传输

联想网御安全隔离与信息单向导入系统单向文件传输应用适合对各种静态

文件进行传输，在用户配置完成源和目的后，系统会实时监控文件发送源，主动

抓取增量文件，并按照传输策略将文件传输至文件接收目的，对用户的业务应用

系统无任何影响，具体部署方式如下图所示：

图5 单向文件传输部署拓扑

如图所示，文件只能由外网的文件发送源传输至内网的文件接收目的，反之

.

则不能。系统支持各种格式的文件传输，可对特定文件格式进行检查，单向文件

传输应用适合如公安系统的印章业务系统、旅店业务系统，亦适合其他非信任网

络至信任网络的文件传输。

6.2单向数据库同步

单向数据库同步应用在非信任网络向实时传输数据库数据，而且信任网络不

能有任何形式的数据通过此连接泄露，典型部署如下图所示：

图6 单向数据库同步部署拓扑

在单向数据库同步应用中，系统通过实时监控系统，监测用户源表的增、删、

改等操作，主动抓取用户变化的数据，通过安全隔离与信息单向导入系统将变化

同步至目的库。此应用适合非信任网络向信任网络、非涉密网络向涉密网络数据

库数据的传输。

6.3涉密网络邮件接收

为了涉密网络的信息安全，通常采用将涉密与其他网络进行物理隔离的办

.

法，在这种方式下涉密网络实时接收外部邮件是一个问题。联想网御安全隔离与

信息单向导入系统的单向邮件传输功能就很好的解决了该问题，在保证涉密网络

不涉露任何形式信息的前提下，提供邮件接收功能，具体部署如下图所示：

图7 涉密网络接收邮件部署拓扑

如图所示，联想网御安全隔离与信息单向导入系统就像一个邮件中继设备，

将外网邮件服务器发送的邮件实时的传输至内网邮件服务器，实现内网用户实时

接收邮件的需求。