信息安全產(chǎn)品邁入全國產(chǎn)化時(shí)代

本報(bào)訊記者梁爽報(bào)道經(jīng)過多年的技術(shù)探索和實(shí)踐，日前信息安全產(chǎn)品基礎(chǔ)硬件領(lǐng)域首款全國產(chǎn)化產(chǎn)品——網(wǎng)神龍騰系列網(wǎng)閘在網(wǎng)御神州科技（北京）有限公司與龍芯中科的聯(lián)手力推下誕生。

中國科學(xué)院計(jì)算所所長李國杰院士在接受記者采訪時(shí)表示，作為信息安全的重要組成部分，基礎(chǔ)硬件的作用不言而喻。能否在信息安全領(lǐng)域掌握自主核心技術(shù)，對(duì)國家安全影響巨大，這是制約國家信息安全建設(shè)的重要問題。而要從根本上解決信息安全問題，必須要實(shí)現(xiàn)自主可控。

記者了解到，網(wǎng)神龍騰系列網(wǎng)閘產(chǎn)品采用中國自主知識(shí)產(chǎn)權(quán)的龍芯處理器，將從根本上杜絕芯片設(shè)計(jì)上存在的安全隱患。產(chǎn)品操作系統(tǒng)采用網(wǎng)神自主開發(fā)的多核并行操作系統(tǒng)SecOS2，具有強(qiáng)大的抗攻擊能力，經(jīng)過特殊定制的內(nèi)核可實(shí)現(xiàn)強(qiáng)制性訪問控制，保護(hù)自身進(jìn)程及文件不被非法篡改和破壞。同時(shí)，產(chǎn)品應(yīng)用模塊完全由網(wǎng)神自主研發(fā)。可以說，這是一款從硬件到軟件、從系統(tǒng)到芯片完全自主研發(fā)、真正可信安全隔離的產(chǎn)品。

此外，該系列網(wǎng)閘產(chǎn)品采用“2+1”模塊結(jié)構(gòu)設(shè)計(jì)，即包括外網(wǎng)主機(jī)模塊、內(nèi)網(wǎng)主機(jī)模塊和隔離交換模塊。內(nèi)、外網(wǎng)主機(jī)模塊具有獨(dú)立運(yùn)算單元和存儲(chǔ)單元，分別連接可信和不可信網(wǎng)絡(luò)，對(duì)訪問請求進(jìn)行預(yù)處理，以實(shí)現(xiàn)安全剝離應(yīng)用數(shù)據(jù)。隔離交換模塊由專用的雙通道隔離交換卡實(shí)現(xiàn)，通過內(nèi)嵌的安全芯片完成內(nèi)外網(wǎng)主機(jī)模塊間的數(shù)據(jù)安全交換。內(nèi)外網(wǎng)主機(jī)模塊間不存在任何網(wǎng)絡(luò)連接，因此不存在基于網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)轉(zhuǎn)發(fā)。同時(shí)，該產(chǎn)品數(shù)據(jù)庫同步模塊，采用業(yè)界惟一內(nèi)嵌數(shù)據(jù)庫同步模塊設(shè)計(jì)，數(shù)據(jù)庫同步由網(wǎng)閘主動(dòng)發(fā)起并完成，無需第三方軟件支持。

對(duì)此，網(wǎng)神公司總裁任增強(qiáng)表示，此次網(wǎng)神與龍芯中科聯(lián)手推出的龍騰系列網(wǎng)閘產(chǎn)品，主要是針對(duì)目前國內(nèi)網(wǎng)絡(luò)安全產(chǎn)品大都采用國外硬件芯片設(shè)計(jì)，而國外硬件芯片存在極大后門及安全隱患的現(xiàn)狀而推出的。因此，這一全國產(chǎn)化產(chǎn)品將更好地為政府、軍隊(duì)、電力、金融、鐵路等眾多與國家戰(zhàn)略安全息息相關(guān)的高安全領(lǐng)域提供良好地防護(hù)。

談及與龍芯中科聯(lián)手的初衷，任增強(qiáng)告訴記者：“作為中科院知識(shí)創(chuàng)新工程的代表性成果，龍芯CPU是國內(nèi)首個(gè)具有完全自主知識(shí)產(chǎn)權(quán)的國產(chǎn)通用處理器芯片，具有獨(dú)特的安全優(yōu)勢。這種優(yōu)勢可以給信息安全產(chǎn)品注入更高的可靠性，同時(shí)通過優(yōu)化結(jié)構(gòu)、并行編譯和軟硬件的協(xié)同可全面提升網(wǎng)閘產(chǎn)品的運(yùn)行速度。”

何為網(wǎng)閘？

網(wǎng)閘（GAP）全稱安全隔離網(wǎng)閘，是一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，能在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。

為什么要使用安全隔離網(wǎng)閘呢？

第一，當(dāng)用戶的網(wǎng)絡(luò)需要保證高強(qiáng)度的安全，同時(shí)又與其他不信任網(wǎng)絡(luò)進(jìn)行信息交換的情況下，安全隔離網(wǎng)閘能同時(shí)滿足上述要求，彌補(bǔ)物理隔離卡和防火墻的不足。

第二，對(duì)網(wǎng)絡(luò)的隔離是通過網(wǎng)閘隔離硬件實(shí)現(xiàn)2個(gè)網(wǎng)絡(luò)在鏈路層斷開，但是為了交換數(shù)據(jù)，通過設(shè)計(jì)的隔離硬件在2個(gè)網(wǎng)絡(luò)對(duì)應(yīng)的基礎(chǔ)上進(jìn)行切換，然后通過讀寫硬件的存儲(chǔ)芯片，完成數(shù)據(jù)交換。

第三，安裝相應(yīng)的應(yīng)用模塊后，安全隔離網(wǎng)閘可在保證安全的前提下，使用戶瀏覽網(wǎng)頁、收發(fā)電子郵件、在不同網(wǎng)絡(luò)的數(shù)據(jù)庫間交換數(shù)據(jù)，并可在網(wǎng)絡(luò)間交換定制文件。

安全隔離閘門的功能模塊主要有安全隔離、內(nèi)核防護(hù)、協(xié)議轉(zhuǎn)換、病毒查殺、訪問控制、安全審計(jì)、身份認(rèn)證、防止未知和已知木馬攻擊。