《GB∕T 20279-2024 网络安全技术 网络和终端隔离产品技术规范》发布

进网络安全行业群

微信公众号 计算机与网络安全

回复 行业群

网络和终端隔离产品分为终端隔离产品和网络隔离产品两大类。终端隔离产品指隔离卡或者隔离计算机。网络隔离产品根据产品形态和功能上的不同，分为协议转换产品、网闸和网络单向导入产品三种，其中协议转换产品和网闸通常又被称为安全隔离与信息交换系统或产品。网络和终端隔离产品的功能目标是在不同的网络安全域之间建立安全控制点，在不同的网络安全域之间提供访问可控的服务，网络和终端隔离产品保护的资产是受安全策略保护的网络服务和资源等。此外，网络和终端隔离产品本身及其内部的重要信息也是受保护的对象。

终端隔离产品一般以隔离卡作为产品,接入到主机中,隔离卡通过电子开关以互斥的形式连通安全域A及其所连的硬盘1，或者安全域B及其所连的硬盘2，从而实现两个安全域的物理断开。该类产品也能将隔离卡整合到主机中，以隔离计算机的形态作为产品。该类产品仅能通过控制隔离卡切换的方式，达到不同安全域的物理断开，实现终端隔离。

协议转换产品一般以双主机的方式组成，即由内部处理单元、外部处理单元和连接两个处理单元的私有协议通信介质组成。其中，私有协议通信介质承载私有协议进行数据传输。该产品用于连接两个不同的安全域，实现两个安全域之间应用代理服务、协议转换、访问控制、信息过滤和数据交换等功能。该产品中的内部处理单元和外部处理单元通过私有协议通信介质相连，私有协议通信介质是两个安全域之间唯一信任的物理信道。该内部信道剥离了TCP/IP等公共网络协议，采用私有协议实现数据交换。

网闸产品的组成方式与协议转换产品类似，以双主机加专用隔离部件（中间缓存区域）的方式组成。其中，专用隔离部件是采用包含电子开关并固化信息摆渡控制逻辑的专用隔离芯片构成的隔离交换板卡。该产品用于连接两个不同的安全域，实现两个安全域之间应用代理服务、信息摆渡、访问控制、信息过滤和数据交换等功能。该产品中的内部处理单元和外部处理单元通过专用隔离部件相连，专用隔离部件是两个安全域之间唯一信任的物理信道。该内部信道剥离了TCP/IP等公共网络协议，采用协议转换和信息摆渡的方式实现数据交换。

网络单向导入产品一般以双主机加单向传输部件方式组成，即数据发送处理单元、数据接收处理单元和单向传输部件。其中,数据发送处理单元网络接口连接信息发送方安全域A，数据接收处理单元网络接口连接信息接收方安全域B，信息流由发送数据的安全域A单向流入接收数据的安全域B。单向传输部件利用单向传输的物理特性建立两个安全域之间唯一的单向传输通道，数据在这个通道中只能由数据发送处理单元向数据接收处理单元方向的路径单向传输，无任何反馈信号。单向传输部件由一对单向接收部件和单向发送部件构成，单向发送部件安装在数据发送处理单元中，单向接收部件安装在数据接收处理单元中。单向传输部件的单向物理传输特性固化无法修改，任何软件配置、物理跳线等方式都不能更改其部件的单向传输特性以及传输方向。

此外，网络隔离产品还能够以前置服务器、协议转换产品/网闸/网络单向导入产品和后置服务器的形态出现，前、后置服务器主要提供应用代理、访问控制以及攻击防护等安全功能，协议转换产品/网闸/网络单向导入产品提供网络隔离和数据交换安全功能。

本文件将网络和终端隔离产品的安全功能要求、自身安全要求、性能要求和安全保障要求分为基本级和增强级，安全功能与自身安全的强弱以及安全保障要求的高低是等级划分的具体依据。与基本级内容相比，增强级中要求有所增加或增强。

扫码下载文件

↓

| -