天行安全隔离网闸技术白皮书.doc

天行安全隔离网闸技术白皮书北京天行网安信息技术有限责任公司二〇〇九年三月目 录一 公司简介 31.1 公司概况 31.2 “以我为主、积极防御”的技术理念 3二 网络安全概述 52.1 信息网络系统的发展 52.2 安全威胁 52.3 传统防御技术及其缺点 62.3.1 传统防御技术 62.3.2 传统防御技术的缺点 72.4 传统防御技术问题的分析及安全隔离技术的提出 7三 安全隔离网闸设计理念和特点 83.1 业务需求和安全需求分析 83.2 安全隔离（GAP）技术要点和体系结构 83.3 安全隔离技术的防御能力和特点 10四 天行安全隔离网闸(TOPWALK-GAP) 114.1 概述 114.2 应用模块 114.2.1 基本模块和专用隔离硬件 124.2.2 数据库交换模块 134.2.3 文件交换模块 134.2.4 消息模块 134.2.5 邮件模块 144.2.6 浏览模块 144.3 产品认证情况 144.4 应用情况 15五 典型方案 165.1 电子政务应用案例 165.2 公安系统应用案例 17一 公司简介1.1 公司概况北京天行网安信息技术有限责任公司专业从事网络与信息安全研究开发、技术支持、产品销售和安全服务，是中关村科技园区认定的高新技术企业和北京市科委认定的软件企业。

公司核心产品“天行安全隔离网闸（Topwalk-GAP）”由天行网安公司与公安部信息通信局联合研制，属国内首创（最早于2000年10月推出国内第一款网关级隔离产品， 2000年11月获得公安部颁发的销售许可证），并达到国际先进水平天行网安公司拥有这一产品的全部知识产权，并已获专利证书天行安全隔离网闸（Topwalk-GAP）为电子政务等安全性要求较高的应用提供了全新的安全解决方案目前安全隔离网闸产品成熟稳定，在各个政府部门拥有广泛的客户基础和首屈一指的市场占有率以我为主，积极防御”是公司信奉的技术理念在这一技术理念指导下，天行安全隔离网闸（Topwalk-GAP）系列产品获得了符合需求、安全性高的赞誉；全程网络安全服务集风险评估、安全产品部署、安全监控、安全管理和培训、应急响应与安全恢复为一体，为用户构筑理想的安全防御体系广泛的信息资源、强大的技术力量，天行网安将为您提供品质卓越的安全产品和专业化的安全服务公司资质：l 北京市新技术产业开发试验区 新技术企业l 北京市软件企业认证 软件企业l 国家级火炬计划项目 承担单位l 科技型中小企业技术创新项目 承担单位l 北京市高新技术成果转化项目 承担单位1.2 “以我为主、积极防御”的技术理念作为专业的安全产品提供商，天行网安与用户一起，深入实际进行调查分析，总结了政府用户各个方面和层次的网络安全需求，并针对政府用户网络边界的信息交换这一突出问题提出了既能保证高安全强度，又能提供信息交换功能的安全隔离方案。

与用户一起、基于用户具体网络安全需求基础上提供解决方案的思路即为“以我为主”的技术理念我”即天行网安所面对的用户和用户的网络安全需求天行网安认为，必须从用户实际的、具体的网络安全需求出发，才能提出切实可行的解决方案积极防御”是中央《关于加强信息安全保障工作的意见》提出的指导方针，也是天行网安在产品研发、方案提供的工作中一贯遵循的技术理念随着各种系统漏洞不断增多、各种蠕虫病毒不断泛滥，网络安全形势日益严重但电子政务的建设不能因此停止和减缓，政务部门的网络也不能隔断信息交换途径，成为孤岛积极面对网络安全形势，基于具体应用实际中的安全需求，将防御措施“嵌入”到应用系统之中，有针对性的解决实际安全问题，是为“积极防御”以我为主，积极防御”技术理念不仅代表了天行网安的主打产品“天行安全隔离网闸（Topwalk-GAP）”的技术思路，还指导着天行网安继续研究新的安全防御技术、开发新的网络安全产品、提供各种安全技术和服务在这一技术理念指导下，天行网安将和用户一起，追求网络安全的新境界二 网络安全概述开放系统的安全问题与系统本身相生相伴随着系统的规模和复杂性的增大，系统运行中的安全问题随之增多增强作为保障系统正常运行的必要措施，安全手段的应用不仅应该随着系统的规模的增大而增多，而且要随着复杂程度的增大而增强。

当前，作为主流的安全防御手段，防火墙、防病毒和入侵检测这网络安全的“老三样”至今为止还是安全市场的主流而日渐增多的“蠕虫病毒”的流行，对传统防御手段提出了挑战2.1 信息网络系统的发展信息网络系统从规模和应用复杂性两个维度上都有迅速的发展和扩展规模的扩展根据中国互联网络信息中心的统计，中国互联网用户从1997年7月的62万增加到了2004年1月的8000万增长了129倍；同时期，上网计算机从30万增加到3000万，增长了100倍另外，根据著名的Netcraft公司的统计，全球互联网上的Web站点从2000年2月的1100万增长到2004年1月的4713万，增长4.3倍目前的上网计算机数年增长率稳定在20%左右，上网用户数年增长率稳定在20%以下复杂性增加以因特网、内联网为代表的信息网络已经从以学术研究为目的的数字化网络，变成了包罗万象的现实社会的信息化、数字化缩影网络应用从最初的浏览简单网页、使用搜索引擎和收发邮件，发展出了各种各样的应用：l 公众：即时信息通讯、网络视频、论坛(bbs/blog)l 企业：网上银行、网上商店、网上拍卖、企业管理系统（ERP/协同办公等）l 政府内部：内联网办公系统、与因特网相连接的数据采集、处理、查询系统；“金”字系列工程l 电子政务：跨越不同的政府部门、面向公众的信息系统。

2.2 安全威胁信息网络上的安全威胁随着网络和信息系统的产生而产生，也随着其发展而发展从DOS时代的病毒，到现在的网络黑客攻击、能够自动复制蔓延和攻击的蠕虫病毒、到各种各样的“特洛伊木马”，以及各种内部人员的恶意泄密或破坏信息网络安全所面临的问题种类越来越多，内容越来越复杂以下是一些统计数字：l 1996年4月 因特网上平均每20秒发生一起入侵计算机的事件（美国金融时报）l 1997年 几乎所有世界排名前一千家的大公司都曾被黑客们成功地闯入，有56％的公司被闯入过31次到40次；美国国防部、空军、司法部、商务部、中央情报局l 2000年1月Yahoo等网站遭受DDOS攻击，陷入瘫痪l 2001年1月CodeRed/Nimda蠕虫在数月入侵和感染了数十万台计算机l 2003年1月SQL Slammer蠕虫在数小时就入侵和感染了国内2万多台计算机l 2003年8月MS Blaster蠕虫在仅数天之内就使国内200万台以上的计算机陷入瘫痪l 2004年1月MyDoom蠕虫，入侵和感染了数十万计算机；产生和发送了数以千万计的病毒邮件，在全球直接造成了261亿美元的损失，蠕虫发作时的攻击使得SCO网站被迫关闭可以看出，目前，危害最广、破坏性最大的安全威胁当属“蠕虫病毒”。

如上所列的CodeRed、Nimda、SQL Slammer、MS Blaster、MyDoom都属此列这一现象与用户所采用的安全防御技术有关：目前主流的防御技术不能有效防止“病毒蠕虫”2.3 传统防御技术及其缺点随着用户对网络安全的重视，作为安全防御手段的各类网络安全产品得到了越来越广泛的使用据IDG的统计，目前网络安全投资年增长率34%这个数字已经大大超过了信息网络系统规模的年增长率(20%)2.3.1 传统防御技术目前作为主流的网络安全防御技术主要有三类：防火墙、防病毒和入侵检测/防御系统(IDS/IPS)防火墙技术包括包过滤、状态检测、应用代理等技术包过滤技术根据IP报文的包头信息（如源地址、目的地址、目的端口）等信息对所通过的IP包是否能够通过进行判定，属于网络层的安全防御手段状态检测技术可以根据IP报文之间的关系区分出不同会话，可以基于会话进行访问控制，属于会话层的安全防御手段应用代理为防火墙增加了认证机制，并可以对应用数据进行简单、静态的检查，识别有害数据，进行防御防病毒软件的基本技术是病毒特征码的检查病毒特征代码需要进行及时更新，才可能检查出新出现的病毒虽然有些防病毒技术可以针对行为特征进行检查，但是对未知病毒基本上是无能为力的。

IDS/IPS通过抓取网络上数据报文，对其内容进行比对，如果符合称为Signature的特征库所描述的内容，就认为是攻击行为，进行报警和拦截特征库可以通过网络进行更新和升级IPS采用串连的部署方式，对攻击行为的阻止和拦截更为主动有效，但发现攻击行为的机制与IDS基本相同最新的IDS/IPS技术增加了异常流量分析、DoS/DDoS攻击防范等技术，但是对于最新的、未知的攻击行为，IDS/IPS也一样基本上无法防范综上所述的防火墙、防病毒、IDS/IPS等技术手段不针对任何特定的网络、信息系统，比较通用，无论何种网络、信息系统，都可以采用这些技术，发现安全威胁然后进行阻止，保证网络、信息系统的正常运行这些技术手段的共同特点是采用“黑名单”方式进行防御， 即，定义某些数据特征，并将其列入访问控制列表，符合这一特征的数据的为禁止、否则允许这样的访问控制列表成为可简称为“黑名单”对这种防御手段最简单的描述是：“兵来将挡，水来土掩”，发现一种新的攻击行为或者新的病毒、蠕虫，就将其列入“黑名单”，进行防范2.3.2 传统防御技术的缺点亡羊补牢、事后防御，不能防患于未然安全威胁是变化多端的动态、持续的过程。

当一种最新的攻击技术出现时，这些的技术手段都难以在第一时间进行防御，只能做起到“亡羊补牢”的作用从安全威胁的发展趋势上看，新的攻击手段和新病毒、蠕虫才是对网络和信息系统的最大威胁新的恶意代码的形成和新型攻击行为的发生永远早于“黑名单”的形成因此，传统防御手段无法有效防止针对未知漏洞的攻击和针对已知漏洞的新型攻击作为目前安全威胁的主流，80%以上的有效攻击是新型恶意代码和新型攻击行为导致因此，传统防御手段不能抵挡80%的攻击，其防御能力令人置疑需要实时监控和即时维护更新，管理代价巨大防火墙需要及时查看日志；IDS/IPS需要及时更新标记文件；查病毒软件需要及时更新病毒代码库信息网络安全要以管理为核心安全产品是作为安全管理的技术手段得以实施、为管理服务、减轻管理工作量的由于管理上难以做到进行7x24的维护、监控和更新，所以，防火墙等传统防御手段的防御效果经常大打折扣2.4 传统防御技术问题的分析及安全隔离技术的提出由于传统防御技术本身的实现机制，一种新型攻击的出现时间和这种防御技术具备防御能力的时间存在一个时间差这个时间差我们暂时称为“攻击－防御”时间差随着信息网路系统规模的增大，以及其上运行应用系统的复杂性的增大，未知安全隐患在加速积累，并越来越多、越来越快的暴露；同时，防火墙等传统防御手段越来越多地采用，需要的管理工作(维护、监控和更新)越来越多；另外，恶意代码的开发随着网络协作，开发周期越来越短。

因此，“攻击－防御”时间差越来越大另外一方面，同样的时间差，其危害却越来越大这主要是因为：一、越来越快速的网络系统和计算能力不断放大攻击行为；二、越来越多的重要应用开始运行，用户对网络和信息系统的依赖越来越大，导致同样的攻击造成危害和损失越来越大由于这些原因，虽然网络安全的投入快速增长(34%)，甚至超过了信息网络系统规模的增长速度(20%)，但网络安全威。