助力工业数智化转型,长扬科技参与研制的新版国家标准《网络安全技术 网络和终端隔离产品技术规范》正式发布
近日,长扬科技参与研制的GB/T 20279-2024《网络安全技术 网络和终端隔离产品技术规范》新版国家标准正式发布,将于2025年4月1日起正式实施。GB/T 20279-2024由全国网络安全标准化技术委员会(TC260)归口。长扬科技网络安全及标准化专家全程深度参与了该项网络安全技术国家标准的内容研制工作。
图1 GB/T 20279-2024发布信息
信息来源:全国标准信息公共服务平台
https://std.samr.gov.cn/gb/search/gbDetailed?id=234D7936AB55E194E06397BE0A0AA0A9
新版国标GB/T 20279-2024由公安部第三研究所牵头编写。发布后将全部替代以下标准:
GB/T 20279-2015 信息安全技术 网络和终端隔离产品安全技术要求
GB/T 20277-2015 信息安全技术 网络和终端隔离产品测试评价方法
为应对攻击类型和手段的不断攀升,网安标为组织对GB/T 20279-2015进行了全面修订。GB/T 20279-2024基于最新的法律、法规要求,以及强制性国家标准的要求,结合2015版标准的技术和实施经验,结合网络和终端隔离产品的技术发展和使用场景的拓展,对安全功能要求、安全保障要求、测试评价方法和等级划分等方面对2015版标准进行了全面修订,在新标准中增加应用协议、信息过滤、攻击防护以及集群部署等技术要求,将安全技术要求和测评方法整合,能够更加有效地指导网络和终端隔离产品的研发、生产、选型和采购,更加有效的推动整个网络安全防御产业链的发展,更加有效地强化我国各行业相关企事业单位的网络安全防御能力。从而更好地引导用户选择及相关的厂商的研发制造、规范网络和终端隔离产品市场。
与2015版相比,新版标准主要更改部分如下:
——更改了网络隔离类产品的产品分类(见第5章,GB/T 20279—2015年版的第4章);
——更改了信息流控制策略要求(见6.1.1.1,GB/T 20279—2015年版的5.2.2.1.1.1、5.2.2.2.1.1、5.2.3.1.1.1和5.2.3.2.1.1);
——更改了信息流控制功能要求(见6.1.1.2,GB/T 20279—2015年版的5.2.2.1.1.2、5.2.2.2.1.2、5.2.3.1.1.2、5.2.3.2.1.2和5.2.3.2.1.3);
——更改抗攻击要求为攻击防护要求(见6.1.5,GB/T 20279—2015年版的5.2.2.1.2、5.2.2.2.2、5.2.3.1.2和5.2.3.2.2);
——更改域隔离要求为安全隔离要求(见6.1.6,GB/T 20279—2015年版的5.2.2.1.6、5.2.2.2.6、5.2.3.1.6和5.2.3.2.6);
——更改容错要求为高可用要求(见6.1.7,GB/T 20279—2015年版的5.2.2.1.7、5.2.2.2.7和5.2.3.2.7);
——更改环境适应性要求为IPv6支持要求(见6.1.11,GB/T 20279—2015年版的5.4);
——更改了性能要求(见6.3,GB/T 20279—2015年版的5.5);
——更改了安全保障要求(见6.4,GB/T 20279—2015年版的5.3)。
与2015版相比,新版标准增加了如下部分和要求:
——增加了通则(见第5章);
——增加了应用及协议支持要求(见6.1.2);
——增加了信息过滤要求(见6.1.3);
——增加了联动要求(见6.1.10);
——增加了虚拟化部署要求(见6.1.12);
——增加了自身安全要求(见6.2);
——增加了网络和终端隔离产品分类及安全技术要求级别划分(见附录A);
——增加了网络和终端隔离产品分类及测评方法级别划分(见附录B)。
长扬科技受邀参编GB/T 20279-2024《网络安全技术 网络和终端隔离产品技术规范》国家标准,是业内对长扬科技技术和服务能力的高度认可,更是长扬科技网络隔离产品专业能力的有力认证。
长扬科技标准化工作
自公司成立以来,长扬科技积极参与网络安全国家标准、行业标准制修订工作,推动行业技术进步和发展。截至目前,长扬科技牵头和参与制定/修订的网络安全国家标准、行业标准及团体标准150余项。在“网络安全专用产品”“网络安全产品互联互通”“网络安全管理体系”“网络安全人才培养”“信息技术应用创新”“软件供应链安全”“关键信息基础设施保护”“工业互联网安全”“物联网安全”“车联网安全”“数据安全”等产业重点方向均有覆盖。同时,长扬科技为多个客户提供网络安全咨询服务及网络安全标准化服务,协助客户开展企业标准、行业及团体标准的标准化工作。
长扬科技积极响应二十大报告强调的“实施标准提升行动,加快构建适应高质量发展要求的标准体系,推动商品和服务质量不断提高,更好满足人民群众改善生活需要。”持续加大标准化工作的投入力度,推动标准提升。以推动行业发展为己任,长扬科技通过加入多个标准化组织,将继续致力于打造专业化、标准化安全产品及服务团队,通过持续地研发投入、行业研究、实践积累,不断探索行业的技术发展方向和产业提升路径,为行业规范化、标准化发展贡献力量。
未来,长扬科技将不断深化对行业和场景的落地能力,积极提升产品技术标准化意识,精准落实行业标准化要求,持续深耕新兴技术领域,推进网络安全市场标准化进程,为数字经济的蓬勃、安全发展提供有力支撑。
长扬工业网闸简介
经过多年的探索和积累,长扬科技形成了以工业网闸为代表的安全隔离产品图谱,全面满足新版国标的要求,能有效满足工业互联网及工业控制网络新业务、新场景下的跨网数据摆渡需求,并已广泛应用于电力、能源、交通、教育、水务等行业。
图2 长扬科技工业网闸
长扬工业网闸基于全国产化硬件平台,先进的高性能多核架构,采用的是“2+1”结构:双主机+隔离交换模块结构,基于具有长扬科技自主知识产权的多核多线程并行安全操作系统CYOS,基于长扬科技近8年的网络安全技术经验积累,在跨安全域的安全隔离和数据摆渡的基础之上,通过多维度的安全策略,通过链路阻断、协议转换的手段,实现内网和外网的物理隔离,以信息摆渡的方式进行高效安全的数据交换,结合映射、网关、透明、路由等部署模式,最大限度的兼容用户现有网络架构和环境,保护内网系统免遭来自外部的攻击。使得应用场景更灵活全面为工业网络和工业数据提供全面的安全保障能力。
图3 工业网闸安全原理示意图
图4 工业网闸硬件结构示意图
图5 工业网闸处理应用数据示意图
长扬工业网闸应用场景
内网与互联网边界的安全隔离
网闸部署在企业内网与互联网的边界,可以保护用户内部网络的整体安全。
图6 内网与互联网边界的安全隔离示意图
分支机构与总部网络边界的安全隔离
行业用户存在总部网络和分支机构网络的情况,比如国企、政府部门。由于总部网络敏感信息较为集中,安全要求较高,通常和下属分支机构或单位可通过在网络边界部署网闸实现安全隔离与互联互通。
图7 分支机构与总部网络边界隔离示意图
核心业务网与办公网之间的安全隔离
通常政府单位或企事业单位的网闸都划分有独立的外网和内网。例如电子政务面向互联网的业务系统都部署在业务外网上。而数据库等核心设备都置于内网。当业务外网需要访问内部的数据库等资源时,就必须通过工业网闸来实现数据的安全交换。
图8 核心业务网与办公网之间的安全隔离示意图
业务网与业务网之间的安全隔离
大型企事业单位的网络系统可能很庞大,并且按照不同部门、业务、系统的安全等级划分成不同的网络安全区域。这些网络区域间的通信通过部署网闸可以实现安全隔离。
图9 业务网之间的安全隔离示意图
长扬工业网闸核心功能
工业网闸可以有效防止黑客攻击、恶意代码渗入,同时防止内部机密信息的泄露,实现网络之间安全隔离和信息交换;数据交换、数据库同步、视频交换、工业控制、工业数据采集等功能于一体。产品集文件同步、数据库同步、文件交换审批、音视频交换、安全浏览和工业控制等模块于一体,实现内外网隔离的同时,最大限度为用户业务系统提供便利。综合FTP访问、数据库访问、HTTP/HTPS、TCP/DUP等代理应用,有效隔断了内网与外网的直接通信,禁止建立任何TCP连接,仅在应用层建立协议过滤和代理请求,从而保护内网不受破坏。
图10 工业网闸核心功能示意图
文件同步
工业网闸内置文件同步模块,可满足内网与外网服务器之间的自动文件同步需求,无需开放任何连通内外网两侧的网络通道和端口,在保证绝对安全的前提下,通过纯数据摆渡实现。文件同步请求由网闸主动发起,无需安装任何第三方插件,兼容Windows、Linux及国产银河麒麟、统信UOS等操作系统平台。
配合网闸先进的防病毒引擎和海量病毒特征库,能够精准识别并清除夹杂在文件中的流行木马和顽固病毒。
基于语义分析引擎,深度识别文件内容,全方位的立体保护用户的关键数据,避免机密文件泄露和经济损失。
图11 文件同步示意图
功能特点:
基于FTP、SMB、NFS、FTPS、SFTP等文件传输协议自动文件共享同步
自定义文件传输方向,如内到外、外到内或双向同步等
丰富的同步模式,如全量同步、增量同步等
基于先进的防病毒和语义分析引擎,实现病毒木马查杀和内容过滤
丰富的同步设置,如同步大小区间限制、小文件优先同步、文件并发传输、文件优先级同步
实时或定时的文件自动传输
详细的文件传输事件记录
文件交换
文件交换模块是解决内外网物理隔离的场景中,实现各部门、人员之间的文件便捷发送,且无需建立内外网之间的TCP/IP网络连接,确保安全。采用创新性的“文件投递”模式进行文件交换,用户操作采用类似“快递寄件”的方式,只需登录客户端选择发件人、收件人等信息,文件即可精准送达。文件送达进度可视,文件送达审批等多项高级功能。
图12 文件交换流程图
功能特点:
提供专用文件交换客户端,支持Windows、统信UOS、银河麒麟等主流操作系统
内置组织架构和用户组列表
对接AD域服务器,自动获取域用户,实现AD域账户的身份鉴别
一对一、一对多、多对一的文件发送/接收
客户端自动启动、文件自动接收
传输加密,断点续传
文件审批
详细的文件发送/接收等事件记录
数据库同步
工业网闸内置数据库同步模块,可满足内网与外网服务器之间的数据库同步需求,无需开放任何连通内外网两侧的网络通道和端口,在保证绝对安全的前提下,通过纯数据摆渡实现。数据库同步请求由网闸主动发起,无需安装任何第三方插件,支持Mysql、SQL Server、ORACLE等主流数据库及国产数据库。
图13 数据库异构同步示意图
功能特点:
兼容主流数据库及国产数据库
自定义传输方向,如内到外、外到内或双向同步等
丰富的同步模式,如全量同步、增量同步等
类视图管理,可灵活选择同步的表、字段、主键等
灵活的数据冲突策略
实时或定时的数据自动同步
视图同步模式,支持原视图到目的表同步
同步中无目的表自动创建目的表
同构及异构数据库自适应
详细的数据同步事件记录
音视频交换
网闸视频交换模块,通过对视频协议进行深度解析,严格区分视频数据流和控制信令流,根据策略配置可以控制视频数据的单向传输。并通过被动或者主动探测,对接入点身份进行审查,对未通过审查的对象一律丢弃,保证视频数据交换的安全可靠。
图14 音视频交换示意图
功能特点:
GB28181(SIP)、GB35114、RTSP等主流视频协议
H.263、H.264、M-JEPG、MPEG4等视频编码
视频信令指令的控制,支持信令和媒体服务器分离场景
内置丰富的视频厂商协议,海康、大华、H3C、天视、星望、科达、天久、互信互通、先进视讯视频等主流视频厂商
策略级日志开关,日志内容精确到IP地址、SIP编号、平台信息、信令内容和请求时间
支持TCP、UDP信令和码流
视频接入服务器、视频接入用户认证
安全浏览
安全浏览模块主要用于内外网物理隔离的同时,提供内部网络对外部网络的Web网页浏览服务。
功能特点:
自定义HTTP/HTTPS指令级黑白名单和URL地址过滤
基于会话级的内容过滤策略,允许不同会话采用不同的内容访问控制策略
对访问源地址、目的地址、源端口、目的端目、域名进行访问控制
工业控制
工业网闸用于工业网络,特别是工业生产网与管理网之间物理隔离时,工业控制模块具备对工控协议的深度解析和指令过滤,以保护SCADA、DCS、PLC等工控系统免受来自外部的网络攻击,并实现工业数据的采集和上传。
功能特点:
OPC动态端口及读写控制
内置丰富的工控协议的识别和控制过滤
区分读写操作,黑白名单可单独针对写操作
监控协议动作和参数
策略级日志开关,详细记录策略的时间、IP、端口、协议、命令、参数、结果
策略级运行时间控制,在指定时间内放行
数据库安全访问
数据库安全访问模块常用于客户端和数据库服务器之间的访问服务,用于处理客户端访问数据库服务器时的所有请求。通过代理访问,确保应用程序不必跟踪与数据库层相关的任何内容。基于对SQL协议的深度解析,可以对SQL语句进行过滤。
功能特点:
内置常见的SQL操作过滤
可自定义SQL语句黑白名单
内置白名单策略,如源IP白名单、账号白名单、数据库白名单、表白名单
FTP安全访问
FTP安全访问模块常用于客户端和FTP服务器之间的访问服务,用于处理客户端访问FTP服务器时的所有请求。通过代理访问,确保应用程序不必跟踪与数据库层相关的任何内容。基于对FTP协议的深度解析,可对FTP指令进行过滤。
长扬工业网闸部署模式
映射模式
映射模式用于连接不同的网络环境,工业网闸可以实现DNAT(目标地址转换)和SNAT(源地址转换)。该模式下内部网络主机访问外部网络时,其源IP地址被转换,可以很好的起到隐藏内网结构,提升内网安全,同时具有节约IP地址资源的作用。
图15 映射模式部署示意图
网关模式
网关模式下,使用网闸的出口IP地址替换内部网络的源地址向外部网络发送数据;当外部网络的响应数据请求返回到网闸后,网闸再将目的地址替换为内部网络的源地址。网关模式处理基于NAT技术,能够对外隐藏内部网络信息,进一步增强了对内部网络的安全防护。
图16 网关模式部署示意图
透明模式
如果内外网使用相同网段的IP地址,可以将工业网闸应用透明模式,在透明模式下网闸工作在数据链路层,以透明网桥方式接入网络,可以部署到网络的网关位置或各部门的出口位置。无需改动用户网络结构和配置,即插即用如下图所示。
图17 透明模式部署示意图
路由模式
网闸在路由模式下,将设备串接网络中,可以放于内网的任意子网边界,或与核心交换机相连。可以代替防火墙或路由器,需要为设备配置内网和外网接口的 IP 地址。
图18 路由模式部署示意图