天行安全隔离网闸技术白皮书

天行安全隔离网闸技术白皮书北京天行网安信息技术有限责任公司二九年三月目目 录录一一 公司简介公司简介 .31.1 公司概况.31.2 “以我为主、积极防御”的技术理念 .3二二 网络安全概述网络安全概述 .52.1 信息网络系统的发展.52.2 安全威胁.52.3 传统防御技术及其缺点.62.3.1 传统防御技术.62.3.2 传统防御技术的缺点.72.4 传统防御技术问题的分析及安全隔离技术的提出.7三三 安全隔离网闸设计理念和特点安全隔离网闸设计理念和特点 .83.1 业务需求和安全需求分析.83.2 安全隔离（GAP）技术要点和体系结构.83.3 安全隔离技术的防御能力和特点.10四四 天行安全隔离网闸天行安全隔离网闸(TOPWALK-GAP).114.1 概述.114.2 应用模块.114.2.1 基本模块和专用隔离硬件.124.2.2 数据库交换模块.134.2.3 文件交换模块.134.2.4 消息模块.134.2.5 邮件模块.144.2.6 浏览模块.144.3 产品认证情况.144.4 应用情况.15五五 典型方案典型方案 .165.1 电子政务应用案例.165.2 公安系统应用案例.17一一 公司简介公司简介1.1 公司概况公司概况北京天行网安信息技术有限责任公司专业从事网络与信息安全研究开发、技术支持、产品销售和安全服务，是中关村科技园区认定的高新技术企业和北京市科委认定的软件企业。公司核心产品“天行安全隔离网闸（Topwalk-GAP） ”由天行网安公司与公安部信息通信局联合研制，属国内首创（最早于 2000 年 10 月推出国内第一款网关级隔离产品， 2000年 11 月获得公安部颁发的销售许可证） ，并达到国际先进水平。天行网安公司拥有这一产品的全部知识产权，并已获专利证书。天行安全隔离网闸（Topwalk-GAP）为电子政务等安全性要求较高的应用提供了全新的安全解决方案。目前安全隔离网闸产品成熟稳定，在各个政府部门拥有广泛的客户基础和首屈一指的市场占有率。“以我为主，积极防御”是公司信奉的技术理念。在这一技术理念指导下，天行安全隔离网闸（Topwalk-GAP）系列产品获得了符合需求、安全性高的赞誉；全程网络安全服务集风险评估、安全产品部署、安全监控、安全管理和培训、应急响应与安全恢复为一体，为用户构筑理想的安全防御体系。广泛的信息资源、强大的技术力量，天行网安将为您提供品质卓越的安全产品和专业化的安全服务。公司资质：北京市新技术产业开发试验区 新技术企业北京市软件企业认证 软件企业国家级火炬计划项目 承担单位科技型中小企业技术创新项目 承担单位北京市高新技术成果转化项目 承担单位1.2 “以我为主、积极防御以我为主、积极防御”的技术理念的技术理念作为专业的安全产品提供商，天行网安与用户一起，深入实际进行调查分析，总结了政府用户各个方面和层次的网络安全需求，并针对政府用户网络边界的信息交换这一突出问题提出了既能保证高安全强度，又能提供信息交换功能的安全隔离方案。与用户一起、基于用户具体网络安全需求基础上提供解决方案的思路即为“以我为主”的技术理念。 “我”即天行网安所面对的用户和用户的网络安全需求。天行网安认为，必须从用户实际的、具体的网络安全需求出发，才能提出切实可行的解决方案。“积极防御”是中央关于加强信息安全保障工作的意见提出的指导方针，也是天行网安在产品研发、方案提供的工作中一贯遵循的技术理念。随着各种系统漏洞不断增多、各种蠕虫病毒不断泛滥，网络安全形势日益严重。但电子政务的建设不能因此停止和减缓，政务部门的网络也不能隔断信息交换途径，成为孤岛。积极面对网络安全形势，基于具体应用实际中的安全需求，将防御措施“嵌入”到应用系统之中，有针对性的解决实际安全问题，是为“积极防御”。“以我为主，积极防御”技术理念不仅代表了天行网安的主打产品“天行安全隔离网闸（Topwalk-GAP） ”的技术思路，还指导着天行网安继续研究新的安全防御技术、开发新的网络安全产品、提供各种安全技术和服务。在这一技术理念指导下，天行网安将和用户一起，追求网络安全的新境界。二二 网络安全概述网络安全概述开放系统的安全问题与系统本身相生相伴。随着系统的规模和复杂性的增大，系统运行中的安全问题随之增多增强。作为保障系统正常运行的必要措施，安全手段的应用不仅应该随着系统的规模的增大而增多，而且要随着复杂程度的增大而增强。当前，作为主流的安全防御手段，防火墙、防病毒和入侵检测这网络安全的“老三样”至今为止还是安全市场的主流。而日渐增多的“蠕虫病毒”的流行，对传统防御手段提出了挑战。2.1 信息网络系统的发展信息网络系统的发展信息网络系统从规模和应用复杂性两个维度上都有迅速的发展和扩展。规模的扩展规模的扩展根据中国互联网络信息中心的统计，中国互联网用户从 1997 年 7 月的 62 万增加到了2004 年 1 月的 8000 万增长了 129 倍；同时期，上网计算机从 30 万增加到 3000 万，增长了 100 倍。另外，根据著名的 Netcraft 公司的统计，全球互联网上的 Web 站点从 2000 年2 月的 1100 万增长到 2004 年 1 月的 4713 万，增长 4.3 倍。目前的上网计算机数年增长率稳定在 20%左右，上网用户数年增长率稳定在 20%以下。复杂性增加复杂性增加以因特网、内联网为代表的信息网络已经从以学术研究为目的的数字化网络，变成了包罗万象的现实社会的信息化、数字化缩影。网络应用从最初的浏览简单网页、使用搜索引擎和收发邮件，发展出了各种各样的应用：公众：即时信息通讯、网络视频、论坛(bbs/blog)企业：网上银行、网上商店、网上拍卖、企业管理系统（ERP/协同办公等）政府内部：内联网办公系统、与因特网相连接的数据采集、处理、查询系统；“金”字系列工程电子政务：跨越不同的政府部门、面向公众的信息系统。2.2 安全威胁安全威胁信息网络上的安全威胁随着网络和信息系统的产生而产生，也随着其发展而发展。从DOS 时代的病毒，到现在的网络黑客攻击、能够自动复制蔓延和攻击的蠕虫病毒、到各种各样的“特洛伊木马” ，以及各种内部人员的恶意泄密或破坏。信息网络安全所面临的问题种类越来越多，内容越来越复杂。以下是一些统计数字：1996 年 4 月 因特网上平均每 20 秒发生一起入侵计算机的事件（美国金融时报）1997 年 几乎所有世界排名前一千家的大公司都曾被黑客们成功地闯入，有 56的公司被闯入过 31 次到 40 次；美国国防部、空军、司法部、商务部、中央情报局2000 年 1 月 Yahoo 等网站遭受 DDOS 攻击，陷入瘫痪2001 年 1 月 CodeRed/Nimda 蠕虫在数月入侵和感染了数十万台计算机2003 年 1 月 SQL Slammer 蠕虫在数小时就入侵和感染了国内 2 万多台计算机2003 年 8 月 MS Blaster 蠕虫在仅数天之内就使国内 200 万台以上的计算机陷入瘫痪2004 年 1 月 MyDoom 蠕虫，入侵和感染了数十万计算机；产生和发送了数以千万计的病毒邮件，在全球直接造成了 261 亿美元的损失，蠕虫发作时的攻击使得SCO 网站被迫关闭可以看出，目前，危害最广、破坏性最大的安全威胁当属“蠕虫病毒” 。如上所列的CodeRed、Nimda、SQL Slammer、MS Blaster、MyDoom 都属此列。这一现象与用户所采用的安全防御技术有关：目前主流的防御技术不能有效防止“病毒蠕虫” 。2.3 传统防御技术及其缺点传统防御技术及其缺点随着用户对网络安全的重视，作为安全防御手段的各类网络安全产品得到了越来越广泛的使用。据 IDG 的统计，目前网络安全投资年增长率 34%。这个数字已经大大超过了信息网络系统规模的年增长率(20%)。2.3.1 传统防御技术传统防御技术目前作为主流的网络安全防御技术主要有三类：防火墙、防病毒和入侵检测/防御系统(IDS/IPS)。防火墙技术包括包过滤、状态检测、应用代理等技术。包过滤技术根据 IP 报文的包头信息（如源地址、目的地址、目的端口）等信息对所通过的 IP 包是否能够通过进行判定，属于网络层的安全防御手段。状态检测技术可以根据 IP 报文之间的关系区分出不同会话，可以基于会话进行访问控制，属于会话层的安全防御手段。应用代理为防火墙增加了认证机制，并可以对应用数据进行简单、静态的检查，识别有害数据，进行防御。防病毒软件的基本技术是病毒特征码的检查。病毒特征代码需要进行及时更新，才可能检查出新出现的病毒。虽然有些防病毒技术可以针对行为特征进行检查，但是对未知病毒基本上是无能为力的。IDS/IPS 通过抓取网络上数据报文，对其内容进行比对，如果符合称为 Signature 的特征库所描述的内容，就认为是攻击行为，进行报警和拦截。特征库可以通过网络进行更新和升级。IPS 采用串连的部署方式，对攻击行为的阻止和拦截更为主动有效，但发现攻击行为的机制与 IDS 基本相同。最新的 IDS/IPS 技术增加了异常流量分析、DoS/DDoS 攻击防范等技术，但是对于最新的、未知的攻击行为，IDS/IPS 也一样基本上无法防范。综上所述的防火墙、防病毒、IDS/IPS 等技术手段不针对任何特定的网络、信息系统，比较通用，无论何种网络、信息系统，都可以采用这些技术，发现安全威胁然后进行阻止，保证网络、信息系统的正常运行。这些技术手段的共同特点是采用“黑名单”方式进行防御， 即，定义某些数据特征，并将其列入访问控制列表，符合这一特征的数据的为禁止、否则允许。这样的访问控制列表成为可简称为“黑名单”。对这种防御手段最简单的描述是：“兵来将挡，水来土掩” ，发现一种新的攻击行为或者新的病毒、蠕虫，就将其列入“黑名单” ，进行防范。2.3.2 传统防御技术的缺点传统防御技术的缺点亡羊补牢、事后防御，不能防患于未然亡羊补牢、事后防御，不能防患于未然安全威胁是变化多端的动态、持续的过程。当一种最新的攻击技术出现时，这些的技术手段都难以在第一时间进行防御，只能做起到“亡羊补牢”的作用。从安全威胁的发展趋势上看，新的攻击手段和新病毒、蠕虫才是对网络和信息系统的最大威胁。新的恶意代码的形成和新型攻击行为的发生永远早于“黑名单”的形成。因此，传统防御手段无法有效防止针对未知漏洞的攻击和针对已知漏洞的新型攻击。作为目前安全威胁的主流，80%以上的有效攻击是新型恶意代码和新型攻击行为导致。因此，传统防御手段不能抵挡 80%的攻击，其防御能力令人置疑。需要实时监控和即时维护更新，管理代价巨大需要实时监控和即时维护更新，管理代价巨大防火墙需要及时查看日志；IDS/IPS 需要及时更新标记文件；查病毒软件需要及时更新病毒代码库。信息网络安全要以管理为核心。安全产品是作为安全管理的技术手段得以实施、为管理服务、减轻管理工作量的。由于管理上难以做到进行 7x24 的维护、监控和更新，所以，防火墙等传统防御手段的防御效果经常大打折扣。2.4 传统防御技术问题的分析及安全隔离技术的提出传统防御技术问题的分析及安全隔离技术的提出由于传统防御技术本身的实现机制，一种新型攻击的出现时间和这种防御技术具备防御能力的时间存在一个时间差。这个时间差我们暂时称为“攻击防御”时间差。随着信息网路系统规模的增大，以及其上运行应用系统的复杂性的增大，未知安全隐患在加速积累，并越来越多、越来越快的暴露；同时，防火墙等传统防御手段越来越多地采用，需要的管理工作(维护、监控和更新)越来越多；另外，恶意代码的开发随着网络协作，开发周期越来越短。因此， “攻击防御”时间差越来越大。另外一方面，同样的时间差，其危害却越来越大。这主要是因为：一、越来越快速的网络系统和计算能力不断放大攻击行为；二、越来越多的重要应用开始运行，用户对网络和信息系统的依赖越来越大，导致同样的攻击造成危害和损失越来越大由于这些原因，虽然网络安全的投入快速增长(34%)，甚至超过了信息网络系统规模的增长速度(20%)，但网络安全威胁和事件发生频度没有得到有效抑制(50%-100%)。传统防御技术不能有效防范的“蠕虫病毒”(如最新的 MyDoom/NetSky 等)成为网络安全威胁的主流，正在不断造成巨大损失。“以我为主，积极防御以我为主，积极防御”从积极防御的角度看，静态的、 “兵来将挡，水来土掩”式的防御显然属于“被动防御”的范畴。另一方面，物理隔离作为一种安全管理和技术手段，能够比较有效的防范来自外界对网络和信息系统的安全威胁。但是物理隔离隔断了网络，禁止了数据交换，造成信息化工作无法开展，可以称之为“消极防御”的手段。那么，从物理隔离提供的高安全性和用户数据交换的实际需求出发，并对安全需求和应用需求进行深入分析，以“积极防御”的方式，即保持物理隔离所提供的高安全性保证，又能够满足业务应用系统的数据交换需求。三三 安全隔离网闸设计理念和特点安全隔离网闸设计理念和特点3.1 业务需求和安全需求分析业务需求和安全需求分析从实际需求出发，分析所需要防御的网络和信息系统的安全需求，才能做到有的放矢，采取积极主动的手段进行防御。对于电子政务的业务特点，沈昌祥院士曾指出：“在电子政务的内外网中，要处理的工作流程都是预先设计好的，操作使用的角色是确定的，应用范围和边界都是明确的。 ” 审计部门需要财政部门定期提供财政预算数据，税务部门需要定期向财政部门提交税收数据。电子政务涉及到的网络间和信息系统间的数据传输大都是固定模式、可以明确定义的：网络的边界明晰，隔离点可确定网络间传输和交换的数据可定义只传输明确定义的、需要传输的、确保安全的信息和数据，其它数据一概不传的方法可行根据以上需求特点，对需要传输的数据进行定义，称为“白名单”：符合定义的数据是允许的，其余的禁止。这一采用“白名单”的思路进行积极防御的技术即为安全隔离技术的核心理念。安全隔离技术在物理隔离（Air Gap）的前提下，提供了安全适度的信息交换，因此又成为 GAP 技术。3.2 安全隔离（安全隔离（GAP）技术要点和体系结构）技术要点和体系结构“隔离-定义应用数据“白名单”策略-安全方式获取数据-数据内容检查-安全方式发送数据” ，是 GAP 技术实现思路的核心。为体现这一技术思路，GAP 技术采用了独特的体系架构，如下图所示：以上的 GAP 体系结构示意图体现了 GAP 技术的要点：面向应用数据，采用白名单策略，进行高度可控的数据交换。实现机制上，GAP 技术采用以下三点设计确保核心机制的实施。一、采用多主机结构设计和专用硬件切断一、采用多主机结构设计和专用硬件切断 TCP/IP 协议通讯，形成网络间的隔离协议通讯，形成网络间的隔离GAP 硬件采用多主机架构。GAP 设备需要对在网络间交换的数据进行预处理。预处理过程包括：将网络上传送的数据还原为应用层数据；对这些数据进行由用户所定义的检查；读取和发送这些应用数据。这些预处理操作在进行数据交换之前必须在独立的主机系统中进行，保证数据的隔离。另外，多台主机用专用硬件串联的架构形成纵深防御，既使外部主机被攻击，也可以保证内部主机的安全。GAP 硬件架构中采用专用防篡改硬件隔断 TCP/IP 协议通信，保证数据传送和检查机制固化、防篡改，保证网络隔离的有效性。二、不接受任何未知来源的主动请求；应用层数据的读取和发送通过主动请求和专用二、不接受任何未知来源的主动请求；应用层数据的读取和发送通过主动请求和专用API 接口的方式进行接口的方式进行GAP 的“白名单”策略面向应用数据，并对未知来源的主动请求一律拒绝。因为用户对所传输的数据的定义只能是面向应用而不可能面向网络会话或者 IP 报文。读取和发送这些数据时，GAP 采用主动请求（Pull & Push）或者专用安全接口或专用安全客户端的方法。内部网络的服务端口暴露在各种各样的未知请求面前时，很难避免遭受堆栈溢出、绕过安全检查、拒绝服务等的攻击。通过主动请求的方法可以避免开放服务端口；通过专用安全接口或者专用安全客户端进行数据读取和发送可以避免接收未知数据。这样可以避免绝大多数隐患。三、通过可进行扩展定义的内容检查机制为白名单策略提供进一步的保障机制三、通过可进行扩展定义的内容检查机制为白名单策略提供进一步的保障机制GAP 提供内容检查机制。内容检查机制首先采用病毒查杀引擎对已知病毒进行查杀。其次内容检查根据用户对数据的定义检查数据的格式和内容。综上所述，GAP 技术隔断了从物理层到应用层所有网络层次的协议通信，因此，可以把 GAP 理解“the Gap of All Protocol”的缩写。作为全新的网络边界防御技术，GAP 技术与防火墙技术有明显的区别。以下是两种技术的对比：安全隔离安全隔离(GAP)技术技术防火墙防火墙(Firewall)技术技术访问控制特点访问控制特点基于物理隔离的白名单控制基于连通网络的黑名单控制多主机形成纵深防御，保证隔离效果单主机多宿主硬件特点硬件特点专用隔离硬件无专用数据交换硬件不允许 TCP 会话允许 TCP 会话软件特点软件特点不允许从外到内的访问允许从外到内的访问安全性特点安全性特点可以最大程度防止未知攻击不能防止未知攻击确保安全性能所需的管理和维护工作量小需要 7x24 监控，确保安全性能性能适中高性能性能与应用特点性能与应用特点需要与应用系统结合对应用透明3.3 安全隔离技术的防御能力和特点安全隔离技术的防御能力和特点防御能力防御能力多主机结构和专用硬件：多主机结构和专用硬件：纵深防御架构和防篡改隔离硬件保证网络隔离，是实施应用数据白名单的基础。对所交换的所有数据进行包括病毒查杀在内的内容检查：对所交换的所有数据进行包括病毒查杀在内的内容检查：确保所传输的数据符合 “白名单”的定义。对对 TCP 会话：会话：大多数的蠕虫通过在内外网之间建立 TCP 会话来进行攻击和数据窃取等非法行为；GAP 技术是在隔离基础上传输“白名单”所定义的应用数据。在网络间进行数据交换的过程中 GAP 内部不存在内外网之间的 TCP 会话。其它未知的数据：其它未知的数据：对于未知数据， “白名单”访问控制规则的缺省行为是禁止，而“黑名单”访问控制规则的缺省行为是允许。当未知数据是有害或恶意信息时，采用“白名单”方式的 GAP 技术可以有效防止。特点特点高安全性高安全性：最大程度防止未知攻击。低管理代价：低管理代价：白名单一旦确定即可安全运行，无需针对新出现的安全威胁进行监控和更新；真正做到“Set and forget”和“Zero Administration” 。专用：专用：GAP 技术隔断了从物理层到应用层所有网络层次的协议通信，为特定应用建立和维护一个专用数据交换机制。因此，GAP 也可理解为“the Gap of All Protocol”的缩写。四四 天行安全隔离网闸天行安全隔离网闸(Topwalk-GAP)4.1 概述概述早在 2000 年公司成立之初，天行网安公司就开始安全隔离与信息交换技术的研究，并与公安部信息通信局合作，进行了长时间的需求调研和分析，于 2000 年 10 月推出了当时名为“物理隔离系统”的第一款安全隔离与信息交换系统，并与 2000 年 11 月通过了公安部计算机信息系统安全产品质量监督检验中心的检测，取得了“计算机信息系统安全专用产品销售许可证” ，是国内首家安全隔离基础上实现了安全适度信息交换的产品。2002 年至 2003 年 4 月，天行网安公司的改名为“天行安全隔离网闸（Topwalk-GAP） ”的安全隔离与信息交换系统还先后取得了国家保密局、国家信息安全测评认证中心、解放军信息安全测评认证中心的检测、测评和认证，取得了相应证书。在 2002 年 12 月举行的公安部科技成果鉴定会上，与会包括院士在内的多名专家一致认为，天行安全隔离网闸（Topwalk-GAP） “安全性高，功能齐全，技术上有创新，产品化程度高，运行稳定可靠” ， “属国内首创，达到国际先进水平” ，并建议尽快推广使用。从 2001 年 1 月至 2003 年 11 月，天行安全隔离与信息交换系统分别在外贸部（现商务部）许可证管理局、北京市包括公安局在内的多个委办局、成都、广州、深圳、成都、厦门、山东公安系统、河南公安系统等数十家政府单位成功应用。天行安全隔离网闸（Topwalk-GAP）经过持续开发、改进和多年来的应用实践，证明了产品成熟稳定、功能齐全，已经成为“安全隔离与信息交换”产品技术领域内的带头人、技术领先者和市场领先者。国内首创的基于 GAP 技术的安全隔离产品，达到国际领先水平国内第一款拥有专利技术的安全隔离产品国内第一款通过国家保密局和公安部等主管部门鉴定的安全隔离产品国家科技部、国家火炬计划唯一支持的安全隔离产品唯一获得公安部科技成果鉴定的安全隔离产品4.2 应用模块应用模块由于职能和业务的不同，用户的应用系统及其数据交换方式也多种多样：各种审批系统、各种数据查询系统需要在网络间传输和交换指定数据库记录；各种汇总系统、各种数据采集系统需要在网络间传输和交换指定文件；各种复杂的应用系统需要传输和交换定制数据；内外网之间的邮件互通和网页浏览需求要求网络之间能够进行邮件转发和网页转发。针对以上典型需求，天行网安以安全隔离技术为基础，有针对性的开发了各种应用模块：数据库模块、文件模块、消息模块、邮件模块和浏览模块。见下图所示：如上图所示，基本模块是整个安全隔离网闸的核心部件，是其他功能模块的硬件和支撑软件平台。其它五个功能模块在基本模块上可以自由组合，分别支持 HTTP（浏览模块） 、CIFS（或称 SMB，用以替代 FTP） （文件传输模块） 、SMTP 和 POP3（邮件模块） 、各种数据库操作（包括 Oracle 和 SQL Server，由数据库模块提供） 。这些功能模块的访问控制方式各有不同，可以分别用户身份等属性进行访问控制。在安全隔离网闸内部不存在 TCP 会话，所谓协议数据均还原到应用层进行处理，对应用层数据处理方式和内容检查方式随功能模块的不同而不同。4.2.1 基本模块和专用隔离硬件基本模块和专用隔离硬件基本模块包含的专用隔离硬件由天行网安公司自主设计，拥有自主知识产权。专用隔离硬件通过独立控制电路和读写保护电路保证信任网络和非信任网络之间链路层的断开，从而保证网络间的安全隔离。通过硬件实现安全隔离，彻底阻断 TCP/IP 协议以及其他网络协议，通过自定义的通讯机制进行数据的读写，实现可控的信息交换。专用隔离硬件是独立与内外网处理单元（主机）的单板机。主要特点有三：1.独立工作的时钟。隔离硬件电路工作的时序有自己的时钟来控制，与内外网处理单元的时钟无关。内外网处理单元的时序不能影响隔离硬件电路自己的时钟，这在硬件设计上已经加以保证，防止了内外网处理单元通过控制隔离硬件电路的时钟，进而控制切换时间。2.电子开关。独立时钟控制下的读写保护电路中的电子开关采用固定电路来控制数据线的通断。链路层的断开由开关切断数据信号，任何数字信号处理芯片可识别的低电平和高电平被开关处理之后，都变成不可识别信号或者缺省信号。这样保证内外网处理单元之间的数字链路层是断开的。3.独立处理器。硬件隔离电路的处理器独立于内外网处理单元工作。其切换工作，对数据的处理工作不收到内外网处理单元的影响，不可编程，也不接受内外网处理单元的任何命令。同时，该电路的设计通过长时间的测试，保证其无故障工作时间在 3 万小时以上，其独特的设计保证即使系统硬件出现故障也不会导致安全问题产生，这其独特之处。专用隔离硬件的切换速度小于 5 毫秒，每个切换周期最多可传输 4Mbit 的数据，因此，硬件数据传输速率大于 800MB。专用隔离硬件与经过了安全定制的 Linux 操作系统结合，提供一个可信数据交换平台。在各个平台基础上，各个功能模块可以公用日志和审计服务和管理服务。日志处理系统可为各功能模块提供统一的日志生成、存储、分类和备份功能。基于基本模块日志和审计服务，各功能模块实现了不同的报警机制。基本模块提供统一的 Web 方式的管理界面，通过这一管理界面，用户可以对多台安全隔离网闸进行集中管理。Web 管理界面的连接方式为 HTTPS 方式，即对管理数据的传输进行了加密保护。通过加密连接的 Web 管理界面可对不同的功能模块进行灵活的配置管理。基本模块还提供串口方式，用户可以通过串口方式对单台设备进行维护管理。由于天行安全隔离网闸对数据的读取和发送方式采用主动请求和专用接口两种方式，因此对未知来源的数据报文一概丢弃，因此，一定程度上 DoS/DDoS 对安全隔离网闸是无效的。同时，天行安全隔离网闸不允许外部网络与内部网络的主机建立会话，因此，基于会话的 DoS/DDoS 攻击无法进入内部网络。4.2.2 数据库交换模块数据库交换模块天行安全隔离网闸(Topwalk-GAP)数据库交换模块以安全隔离硬件模块为基础，在保证信任网络业务系统安全运行的同时，提供与不信任网络进行同异构数据库之间安全数据交换的功能。功能特点：多种灵活机制的数据提取功能。可选远程提取或者本地专用数据库客户端方式。可灵活配置数据配置提取方式、传输方向、读写预处理等多种策略良好的兼容性，支持所有主流关系型数据库，包括各种平台和版本的 Oracle 和SQL Server 数据库。完备的日志查询系统4.2.3 文件交换模块文件交换模块天行安全隔离网闸(Topwalk-GAP)文件交换模块以安全隔离硬件模块为基础，在保证信任网络业务系统安全运行的同时，提供与不信任网络进行安全文件交换的功能。功能特点：基于组策略的访问控制方向可控选择可灵活配置的读写规则，包括对所传输文件的文件名的配置实时及定时传输选项灵活的传输冲突选项完备的日志查询系统文件传输队列实时监控，并支持断点续传采用配置灵活的专用客户端4.2.4 消息模块消息模块消息模块以安全隔离硬件模块为基础，针对高级 GAP 用户需求定制的一套隔离数据传输解决方案. 它在原有 Topwalk-GAP 的硬件架构上, 设计了性能更优秀的传输机制，并为用户提供高强度安全可靠的客户端开发接口, 使用户能够在享受 GAP 的强大安全性的同时,可以根据自己需要更加灵活的实现隔离网络间的数据交换 功能特点：基于数字证书技术的身份验证保证传输安全性。基于用户的授权访问和灵活的权限管理。集成安全性，灵活性，可靠性以及可管性于一体。跨 Windows、Linux、Unix 平台环境支持，兼容性和适应性优异。开发接口灵活（提供 C 与 Java 接口）4.2.5 邮件模块邮件模块天行安全隔离网闸(Topwalk-GAP)邮件模块以安全隔离硬件模块为基础，通常布署于内部网络和因特网之间，在保证内部网络和因特网链路层上断开的前提下为内部用户提供收发邮件的功能；也可在两个互不信任的网络中间提供邮件中转服务。提供邮件病毒过滤、内容过滤、基于数字签名或用户名/口令认证的邮件认证方式等安全功能；在应用上提供基于 POP3 和 Web Mail 两种邮件方式。功能特点：基于用户信息的授权访问两种邮件收发模式（SMTP/POP3 和 Web Mail）提供强大的邮件病毒、关键字检查基于证书数字认证技术可有效防止无意信息泄漏完备的日志查询系统4.2.6 浏览模块浏览模块天行安全隔离网闸(Topwalk-GAP)浏览模块以安全隔离硬件模块为基础，部署于信任网络和非信任网络之间，提供了信任网络对外部 Web 站点的网页浏览等服务。功能特点：HTTP/HTTPS 命令过滤和 URL 过滤功能基于用户身份认证完善的审计管理功能可过滤 ActiveX、Java Scripts、Applet、Cookie 等各种脚本、插件强大的访问控制功能4.3 产品认证情况产品认证情况公安部销售许可证书国家保密局科技成果鉴定证书国家测评认证中心认证证书公安部科技成果鉴定证书军队测评认证中心认证证书国家级火炬计划项目证书4.4 应用情况应用情况天行安全隔离网闸以其安全的体系架构和出色的表现，在政务行业和公安行业拥有大量的成功案例，得到了用户的广泛好评。见下表：电子政务行业电子政务行业公安行业公安行业中华人民共和国新华通讯社湖南省地税局长沙市地税局无锡市地税局山东省国税局南京市国税局北京市朝阳区政府北京市西城区政府北京市工商局北京市劳动局云南省政府广东某市工商局福建省某市交通委深圳市气象局昆明市政府深圳市政府采购中心河北省政府广州市交警支队中山市发展规划局厦门信息产业局杭州市计划发展委员会北京市国家安全局北京市公安局山东省公安厅湖南省 110 指挥中心湖南省交警总队成都市公安局南京市地税局深圳市公安局广东省公安厅广州市公安局佛山市公安局桂林市公安局宁波市公安局杭州市公安局河北省邯郸市公安局河南省公安厅五五 典型方案典型方案5.1 电子政务应用案例电子政务应用案例方案背景方案背景政府信息化作为信息流的“中心节点” ，已成为带动国家信息化建设的重要力量。电子政务为改善政府职能、提高公众服务，协调社会经济，进一步推动国家各行业建设有着重大意义。电子政务的安全关系国计民生、社会稳定等方面，重要性不言而喻。尤其对于核心政务平台所依赖的硬件、软件、网络系统等，都不同程度地存在着各种安全漏洞和隐患，来自数据泄秘、外部攻击破坏等威胁犹为严峻，基于 GAP 技术的安全隔离解决方案应运而生。方案特点方案特点1. 积极防御、综合防范积极防御、综合防范随着攻击方式的多元化、复杂化、融合化和隐蔽化趋势，电子政务面临的安全威胁来自多个层面。本方案以领先的 GAP 技术为基础，并集成了多种安全技术可以防范不同层面的安全威胁，为用户创建可靠稳定的内部网络环境。2. 内外隔离，适度交换内外隔离，适度交换互联网“Code Red” “SQL Slammer” “冲击波”等蠕虫的泛滥，表明漏洞攻击已成为主要威胁。方案首先确保政务内网与外部在链路层不存在通路，同时根据满足业务需要进行适度数据交换与共享，完美平衡了隔离与信息交换的矛盾。3. 确保安全，应用为本确保安全，应用为本安全的目的是为了保障应用更健康和稳定，天行安全隔离网闸可以提供灵活多样的数据交换方式，如底层同异构数据库交换、标准公文交换、邮件交换、消息传输等，确保了与上层应用系统的融合。电子政务安全隔离方案电子政务安全隔离方案 （如图）（如图）方案分析方案分析该图表示了典型 G2C、G2B 模式的电子政务系统，政府外网包括公众信息服务平台及门户网站，内网主要满足内部办公等核心政务系统，实现内外网之间安全“信息摆渡”是跨越数字鸿沟、实现政务一体化应用平台的关键。本方案通过将天行安全隔离网闸(Topwalk-GAP)设在内网与外网之间，在确保内外物理链路不存在通路的前提下，完成安全可控的数据交换，实现了“外网受理、内网办理、外网反馈”的政务统一应用，从而更有效发挥政府对公众的服务与沟通职能，推动电子政务取得实质性突破。5.2 公安系统应用案例公安系统应用案例方案背景方案背景金盾工程建设对数据和网络平台的安全性要求非常敏感，同时业务系统对快速准确性和平稳性有很高要求。天行网安公司凭借对公安行业的丰富实施经验和深刻理解，紧密结合公安信息化现状、敏锐把握发展趋势，始终坚持贴近用户、注重个性化需求的原则，推出了具备安全稳定、灵活高效、易用可扩展等优势的公安系统安全隔离解决方案。方案特点方案特点1. 软硬一体化平台提供最高的安全性软硬一体化平台提供最高的安全性公安业务系统最大的特点是复杂程度高，地域、信息点多且分散，安全威胁来自从物理层到应用层多个方面。本方案集成了边界访问控制、GAP(安全隔离)、数字证书、安全审计管理、病毒及恶意代码过滤等多种技术，构建软硬一体化平台从容应对日趋复杂化、混合化、智能化的网络攻击。2. 可适应性、灵活性及可扩展性优异可适应性、灵活性及可扩展性优异本方案提供了多种数据交换方式以满足用户应用需求，如数据库交换可以满足内外网之间数据中心同异构数据库安全数据交换，消息模块提供了用户应用程序的 C、Java 等API 开发接口，实现了与上层业务应用的无缝集成，具有很好的灵活性可扩展性。3. 强大的数据交换性能，良好的平台兼容性强大的数据交换性能，良好的平台兼容性本方案所采用的天行安全隔离网闸在数据交换性能上具有传输速率高、延迟小等优势，符合公安业务系统“快速反应、协同作战”的要求，同时本产品的各个模块可以适应各类微软视窗、Unix、Linux 平台下的多种数据库、邮件等平台环境，具有良好的兼容性。公安行业解决方案公安行业解决方案方案分析方案分析该图表示了公安信息系统的典型布置，公安信息系统有信息点分散，业务复杂等特点，为发挥“统一指挥、快速行动”的目标，首先这些信息需要通过外部网络提交到公安外网的数据中心服务器，然后安全快速传输到公安专网数据中心进行比对确认等操作。本方案将天行安全隔离网闸设在专网与外部数据中心之间，在专网与外部链路层断开的前提下，实现了外网与专网之间数据交换的灵活高效，从而解决了物理隔离导致的“信息孤岛”问题。