天融信安全隔离与信息交换系统资料.docx
《天融信安全隔离与信息交换系统资料.docx》由会员分享,可在线阅读,更多相关《天融信安全隔离与信息交换系统资料.docx(21页珍藏版)》请在冰豆网上搜索。
天融信安全隔离与信息交换系统资料
天融信安全隔离与信息交换系统
TopRules
产品说明
天融信
TOPSEC®
北京市海淀区上地东路1号华控大厦100085
电话:
+8610-82776666
传真:
+8610-82776677
服务热线:
+8610-8008105119
版权声明
本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。
版权所有不得翻印©2013天融信公司
商标声明
本手册中所谈及的产品名称仅做识别之用。
手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。
TOPSEC®天融信公司
信息反馈
1
产品概述
1.1公司简介
作为中国信息安全行业领导企业,北京天融信公司1995年成立于中国信息产业的摇篮——北京,十年来天融信人凭借勇于创新、积极进取、和谐发展的精神,成功打造中国信息安全产业著名品牌——TOPSEC。
从1996年天融信率先推出填补国内空白的中国自主知识产权防火墙产品,到能够提供防火墙、VPN、入侵检测与防御、多功能安全网关(UTM)、过滤网关、安全审计、安全管理等高品质全系列安全产品;再到以安全产品为基础、以打造信息安全保障体系为目标、以等级保护为主线,天融信已经完成了从单一安全产品生产商向全线安全产品、解决方案与服务综合提供商的飞跃。
天融信作为民族信息安全产业的领航者肩负着国家信息安全重任,秉承“可信网络安全世界”品牌理念,结合多年网络安全技术,以“可信安全管理”为技术发展方向,全力保障客户网络与信息安全、为客户创造更大价值。
1.2信息安全隔离的重要性
信息化是世界科学技术和信息社会发展的大趋势,国民经济和人文社会对于信息网络和信息系统的依赖性越来越大,加强信息安全保障工作的重要性日益凸现。
党中央、国务院一贯高度重视信息安全问题,强调要从国家安全、社会稳定、经济发展的高度去认识信息安全问题的极端重要性。
作为信息化建设重要组成部分的电子政务,也在各地轰轰烈烈地展开。
促进信息共享,避免信息孤岛,为科学决策、监管控制、大众服务提供有效的平台是电子政务建设的重要目标之一。
电子政务平台上承载着相当多的重要文件,这些文件信息一旦泄漏,将给国家和人民造成重大的损失,因此电子政务网信息安全隔离至关重要。
电子政务平台中信息安全隔离建设的基本需求是:
在对外部提供公共服务的同时,保证电子政务网络内部数据的安全性,并解决信息孤岛的问题。
这也是当前我国电子政务建设中的重要课题。
我国非常重视电子政务建设和信息安全保障工作。
2003年9月,中共中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》(简称27号文)明确提出要加强信息安全保障工作,实行信息安全等级保护的重要指导思想。
在此思想指导下,《关于信息安全等级保护工作的实施意见》(公通字200466号)里明确了信息安全等级保护制度的基本内容,国家对信息安全产品的使用实行分等级管理。
公通字20067号文件,即《信息安全等级保护办法》进一步明确了规定的系统安全保护划分。
同时,在我国的《2006━2020年国家信息化发展战略》中,也把推行电子政务和建设国家信息安全保障体系作为我国未来15年的信息化发展的战略重点。
电子政务建设将改善公共服务、加强社会管理、强化综合监管、完善宏观调控。
随着积极防御思想的深入贯彻,信息安全隔离技术必将为我国信息化和信息安全的科学发展做出重要贡献。
1.3隔离技术的发展过程
安全隔离技术是指在需要信息交换的情况下,实现网络隔离的信息安全软硬件技术。
随着电子政务建设安全隔离需求的发展,我国的隔离技术这几年来发展迅速,走过了以下历程:
Ø多套网络技术
早期没有合适的设备可用,一些组织通过建立两套完全独立的网络来实现隔离,一套可对外连接,一套完全封闭于内部,两套网络互不相连。
两套系统间无法做到信息共享,只能借助于人工或各自部署于两套网络中的独立的计算机来分别获取内部和外部信息。
这种方式安全性较高,但两个网络间信息交换困难。
Ø隔离卡技术
随后出现的隔离卡技术避免了使用多套计算机系统而带来的资源浪费和操作不便。
它借助隔离卡对两个网络控制器分别供电,并将一台设备上的硬盘物理分割为两个分区,分别与内外网络相连。
在不同的硬盘上各自安装独立的操作系统,形成两个完全独立的环境。
操作者每次只能进入其中一个系统,要进行系统切换时,必须关机重启。
采用单机隔离卡技术,解决了单机非实时信息交换的需求,但网间连续实时的业务依然无法开展,且对单机通信的信息泄漏问题没有有效的监控手段。
Ø传统网闸技术
在安全隔离方面也曾出现过其它多种技术方案,比如在隔离卡建立起的两套系统间设立数据缓冲区,进行分时连接和切换,还有就是基于电子开关的方式进行隔离系统两端网络通断的控制。
这类技术可以归结为传统网闸技术。
传统网闸技术在一定程度上能够解决信息交换和隔离的需求,但在安全功能实现和系统性能上仍不能完全满足电子政务建设的安全要求。
1.4天融信安全隔离与信息交换系统TopRules
随着电子政务建设的不断深化发展,很多组织的内部网络与外部网络之间需要交换的信息越来越多,传统的方式很难兼顾安全隔离与信息交换两者的需求,更缺乏对信息安全的严格审查,极易导致攻击代码的流入和重要信息的泄漏。
因此,在电子政务系统的内外网络之间迫切需要一种安全设备,它既能保证重要网络与其它网络安全隔离,又能实现网络之间有效的数据交换。
目前,北京天融信科技有限公司利用自身的技术优势和在安全体系结构方面的研究成果,经过长期研发的过程,推出了一种全新的、高效的、安全的网间隔离产品——天融信安全隔离与信息交换系统TopRulesV3.0(以下简称TopRules)。
该产品基于完整的安全体系结构设计理念,率先完善了安全隔离的概念。
该产品采用“2+1”系统架构,通过对信息进行落地、还原、扫描、过滤、防病毒、入侵检测、审计等一系列安全处理,有效防止黑客攻击、恶意代码和病毒渗入,同时防止内部机密信息的泄露,实现网间安全隔离和信息交换。
北京天融信科技有限公司的“安全隔离与信息交换系统TopRulesV3.0”产品,通过了公安部计算机信息系统安全产品质量监督检测中心的检验,符合端设备隔离部件安全技术要求,取得了计算机信息系统安全专用产品销售许可证;通过了国家保密局涉密信息系统安全保密测评中心的检测及鉴定,满足涉密系统对安全隔离与信息交换的技术要求,取得了涉密信息系统产品检测证书;通过了国家信息安全产品认证中心认证,获得中国国家信息安全产品认证证书;还取得了军用信息安全产品B级认证证书。
TopRules的基本功能主要体现在这些方面:
在保持内外网络有效隔离的基础上,实现了两网间安全的、受控的数据交换。
数据交换由发起方以客户机身份与TopRules连接,TopRules再以客户机身份与数据交换的另一方建立连接,实现数据交换。
系统中的数据交换业务可以灵活配置和快速定制,数据交换可以单向也可以双向。
除了必须要开放的用于数据交换的特定应用通道外,TopRules不提供任何对外的服务。
此外,独特的结构设计和所支持的双机热备功能,更在极大程度上保证了网络系统间信息交换的安全性和可靠性,增强了产品的竞争力。
TopRules具体的功能特点总结如下:
Ø网间安全隔离:
TopRules采用多机系统结构,以软硬件结合的方式,有效地隔断内外网络间直接的连接,保障信息可信的交换。
Ø协议中断,信息落地:
TopRules的内外端机是内外网络各自通用协议(即TCP/IP协议)的终点,一方的网络协议不可向对方延伸。
所有过往的应用层信息都从TCP/IP协议包被剥离成为应用层信息。
Ø受控的信息交换:
由TopRules连接的内外网络之间,所有信息交换活动都在预先建立的有效安全通道上进行,这些安全通道借助严格的安全策略进行控制,因此能防范恶意攻击和敏感信息的泄漏。
Ø基于用户的访问控制:
内外网络之间,只有合法用户的特定信息交换活动才允许通过。
协议通道的建立、通信、断开,都是严格基于用户的访问控制策略进行的。
Ø防范各类攻击和信息泄漏:
借助用户访问控制、安全协议通道的建立、安全策略的设定,TopRules可以发现、过滤并阻塞各种已知和未知的攻击,特别是很多基于应用的攻击手段,例如Web脚本攻击、病毒和蠕虫等恶意代码,有效保护内部网络系统的安全性。
与此同时,借助严格的内容控制,也可以防止内部敏感信息外泄。
Ø应用级的安全审计:
借助预先设定的审计策略,TopRules可以对所有信息交换过程中出现的问题进行审计记录,便于及时获知“谁在何时做了何事”。
综上所述,TopRules一方面可以防止来自外部网络的恶意攻击,另一方面也能防止内部网络重要信息的泄漏,在保障网络安全隔离的前提下,最终实现了可控的网间信息交换。
1.5关键技术
TopRules是北京天融信科技有限公司具有自主知识产权的安全隔离产品。
从最初的完全断开,到物理隔离,再到逻辑隔离,以及今天常讲的“安全隔离”(SecurityIsolation),安全隔离技术随着时代发展迅速演化。
安全隔离当前一般指两个或两个以上可路由的网络借助不可路由的协议来进行数据交换而达到隔离的目的,这与单机系统间的隔离是有所区别的。
安全隔离产品务必要满足现实应用当中的安全需求,对于电子政务建设而言,在实践中总结提炼出来的政策性的要求更应该被严格遵守。
TopRules正是这样一款产品,它从设计理念、功能实现等都紧密结合电子政务建设中的安全隔离需求。
●“2+1”系统架构
TopRules“2+1”系统架构网闸产品,由内端机、外端机、隔离系统(也称数据迁移控制单元)三部分组成。
内端机和外端机具有独立的存储和运算单元,并具有独立总线。
内外端机采用了天融信自主知识产权的专有TOS安全操作系统,可为TopRules系统提供全方位的保护。
内外端机之间采用了具有互斥效果的隔离系统进行连接,其结构如下图所示:
TopRules“2+1”系统模型
内端机和外端机分别是内网和外网网络协议的终点。
所有过往的应用层数据都从内网和外网的TCP/IP协议中剥离,被剥离的数据再通过隔离系统在内外端机之间进行传输。
内端机与外端机之间采用专用传输隔离硬件和专用协议相连,从而阻断了任何从一端机攻击另外一端机的可能。
由于隔离系统使用专用的私有协议与内外端机进行通信,且其驱动程序模块也是独立编写的,在这种情况下,即使有人试图通过代码分析洞悉TopRules一端机的接口,也无法通过控制单元攻击到另外一端机,也就无法攻击到另一端网络。
●专用硬件和专用通信协议
在TopRules系统内部,采用了专用硬件(双通道光钎卡)进行高速数据摆渡,使系统具有了极高的数据吞吐能力。
通过在专用操作系统内核中嵌入专有协议和认证机制,使得TopRules安全隔离的能力进一步增强。
对于高并发的多数据流,TopRules采用基于虚拟通道的并发处理机制,从而解决了传统多进程处理的效率问题,大大提高了现有硬件设备的数据吞吐能力。
●完善的安全隔离机制
一方面TopRules能防止来自外网恶意的攻击,另一方面也可以有效保护内网用户的信息、防止泄漏,进而减少病毒等恶意代码泛滥和传播的可能,从而确保受保护网络系统能够达到预期的安全等级。
ØTopRules对经过的数据包进行协议落地,裸数据还原,专有协议封装,高效数据摆渡传输,在网络隔离的基础之上实现信息交换。
Ø内外端机严格控制对外网用户提供的服务,甚至可以不对外提供服务,以减少由于开放知名服务而带来的安全隐患。
Ø设备所依赖的TOS安全操作系统,是天融信公司集多年安全经验自主研发的新一代安全操作系统,该系统集防火墙、入侵检测、身份认证等多种安全技术为一体,其本身的安全性值得信赖。
ØTopRules采用了内嵌入侵检测和病毒防护等安全机制,利用自有高效的安全算法,可最大限度防止攻击和恶意代码侵袭等活动。
Ø系统提供管理员身份鉴别功能,并借助强有力的安全策略来保证鉴别的有效性和安全性,例如对口令强度的检测及对登录尝试次数的限制等。
2产品特点
2.1基于下推自动机的高效过滤算法
TopRules在核心实现时,采用了天融信自主研发的基于下推自动机的高效过滤算法。
这种算法采用树形结构存储敏感信息,特别设计的数据源过滤器以策略树为过滤依据,内建多个下推自动机(自动机数量由策略树结构动态决定),对敏感信息进行并行的匹配和过滤。
更新策略树不会影响已经存在的数据源过滤器,更新之后的过滤动作自动采用新的策略树作为过滤依据,策略树更新做到了“热插拔”。
这种过滤算法,特别适合大批量关键字同时过滤,而且还能避免常见的掩饰手段的干扰,如将敏感关键词拆开、加入标点、换行等,具有很强的信息滤出能力。
2.2基于协议落地的信息交换
TopRules的信息交换主要基于通用的应用协议(如HTTP、FTP、Telnet、SMTP、POP3、Oracle等)和用户自定义协议(TCP、UDP)的信息交换。
信息交换的功能通过内外端机来实现,信息交换的安全性通过隔离系统来保证。
根据信息交换的发起源所在位置,可以分为从内端机向外端机和从外端机向内端机两个方向的数据交换。
这里,我们以内端机到外端机这个方向为例,来说明TopRules“2+1”架构网闸内部信息处理的整个过程。
ØTopRules“2+1”架构网闸信息处理过程
内端机接受用户发来的连接请求后,将用户连接的基本信息与管理员配置的策略进行匹配,审查其来源,连接发起源是否为合法发起源。
若是合法发起源,内端机接受连接发起源发来的信息,对信息就行TCP/IP协议剥离和专用私有协议封装,然后按照既定的安全通道进行传输,随后交由隔离系统进行应用层数据过滤和处理,隔离系统如果没有发现问题则将剥离出来的应用层数据交换到外端机。
外端机在收到数据之后,,将数据重新封装成TCP/IP包并发送给目的服务器,本次数据交换工作即告结束。
TopRules“2+1”架构网闸
2.3专有隔离系统
隔离系统是安全隔离与信息交换系统的核心,这里保存着TopRules的重要数据资料,并且实现了多种安全机制。
隔离系统对流经的所有信息进行应用层数据安全处理,找出其中的敏感内容、命令和参数并进行过滤和控制,最终将内部网络和外部网络的信息交换置于一个可控的状况之下;同时记录各类审计信息,供管理人员审查。
2.4受控安全通道
建立应用规则之后,需要将内外网两端任何一类信息交换都置于特定的受控安全通道上,这些安全通道是和应用规则关联在一起的。
TopRules借助受控安全通道来实现信息交换功能。
这种受控安全通道,指的是专有协议基础之上一条从内端机通向外端机或者从外端机通向内端机的逻辑信息通路。
安全通道的开启和关闭均由管理员控制。
安全通道开启后,内端机/外端机开始监听通道入口IP上指定的端口,隔离系统上相应的安全分析部件开始运作,准备处理各种流经安全通道的数据信息。
TopRules对所有安全通道提供基本的策略配置,包括:
Ø安全通道的入口IP和监听端口;
Ø安全通道所允许的发起源IP;
Ø安全通道所允许的发起源MAC;
Ø安全通道所允许的协议、命令和参数;
Ø安全通道可按照管理员设置定时自动开启/关闭;
2.5多种工作模式
TopRules支持三种工作模式,即代理模式,透明代理模式,路由模式。
代理模式:
当设备工作为代理模式时,客户端比较容易理解隔离设备的工作原理,即代理。
这时的客户端需要将与服务器通信的内容全部改由隔离设备的IP来进行通信,在客户端看来,服务器的IP已经不可见,客户端只需要把隔离设备的内、外端机的IP作为其目标服务器即可。
透明模式:
设备工作为透明模式时,在外部网络看来,设备就是一条透明的网络,不存在网络拓扑中,但是设备一样有安全作用,是因为隔离设备的工作机制是白名单工作机制,即只允许明确指出允许通信的内容才可以通信,除此之外的一律丢弃。
路由模式:
当设备工作为路由模式时,客户只需要将隔离设备理解为一个路由器或网关即可,客户机的网关设置为隔离设备的IP,或到目标段的静态路由设置为隔离设备的IP,或其网关上做了路由设置可以到达隔离设备端时,客户端访问目标服务器的IP进行相应的访问即可,这时它一样只能访问隔离设备允许的通信内容,除此之外的一律无法访问。
TopRules所支持的几种工作模式相辅相成,可以胜任绝大多数的应用场合。
2.5安全管理
Ø无ip地址专有协议管理
提供基于C/S架构方式的专有协议管理系统,同时对管理员身份进行严格的认证,管理端与服务器端采用专有协议进行通信。
提供统一管理平台,管理端控制台主动搜索查询TopRules设备,提供双重密码认证,包括用户密码认证和隔离系统密码认证,并对输入错误次数及控制台操作超时时间进行限定,防止非法用户的登录尝试。
Ø独立端口配置和管理设备
TopRules管理端口和业务端口分离,管理员只能通过独立的物理端口(MAN口)管理网闸设备,防止非法用户通过业务端口控制网闸。
Ø支持管理配置的导入导出
TopRules支持配置信息的加密备份,配置信息可以通过控制台界面下载保存成专有格式,并可以进行配置导入功能恢复到一定时期的配置。
Ø强大的日志和审计功能
强大的日志和审计功能是一个具有完整安全体系的安全产品中不可或缺的部分。
TopRules提供了强大的日志审计功能,支持对所有访问的日志记录功能,包括系统事件、成功事件、报警事件。
提供对日志信息的浏览、查询、下载等多种操作,也可以将日志发送到单独的syslog日志服务器上,支持图形化日志统计可以生成html格式的日志报表文件。
2.6其它技术特点
TopRules在支持安全隔离和信息交换基本功能的同时,还借助一些辅助性安全机制,来提供足够的安全保证。
其中包括:
内嵌的入侵检测和病毒防护机制、内容过滤、访问控制、地址绑定、双机热备、情景模式等。
Ø入侵检测
TopRules系统在内核中嵌入了专用的入侵检测引擎,能够对进出网络的原始数据进行攻击检测、过滤和审计。
这种入侵检测是基于TopRules预先设定的完备的攻击特征库来实现的,无须管理员配置。
有了这种机制,可以最大程度上降低TopRules遭受直接攻击的可能性。
Ø病毒检测
针对目前互联网上以病毒等恶意代码为主的信息攻击,TopRules可在内部定制集成杀毒引擎,能够对一些主流的病毒进行检测查杀功能。
Ø内容过滤
TopRules作为一种高精度的网络控制设备,能够对进出网络的通信进行深层的内容控制,用户可通过内容管理界面针对某一应用或服务实现URL控制、文件类型识别控制、关键字过滤等。
Ø访问控制
TopRules支持基于地址、端口、协议等元素的包过滤检测技术。
通过严格的访问控制策略,拒绝非法连接于网络层,实现基本的网络安全访问和控制。
Ø地址绑定
为了防止IP地址被非法盗用,同时校验主机的合法性,TopRules提供地址绑定功能。
通过对指定接口所连接的网络中主机的IP和MAC地址进行绑定,防止IP盗用,并对非法IP地址的访问进行详细记录,以便管理员查看。
Ø双机热备
TopRules提供双机、多机热备功能,系统以主动机和备用机的身份独立运行,同时随时检测运行状态。
当主动机出现问题时,备用机可以在几秒钟内接管,并提升为主动机。
双机热备方案保证了网络的高可用性和高安全性,显著提升了系统的可靠性。
Ø情景模式
TopRules提供情景模式设置,允许用户在设置的特定时间内通过TopRules访问应用系统。
3产品主要功能
3.1安全Web浏览功能
TopRules的Web模块支持http和https协议,为用户提供网页访问和控制功能。
不仅能够为内网用户屏蔽外网Web站点上有害内容的侵扰,而且能够保护内网Web服务器不受外来访问的恶意攻击。
内置https安全功能可在https加密通道中分解出正常https网络应用,屏蔽自由门等各类加密翻墙软件的传输。
除了基本的功能配置之外,TopRules在该模块加入了多种安全策略设置,具体包括:
Ø支持访问控制对象:
源地址、目标地址、源端口、目的端口、域名、URL、访问方式、时间等;
Ø支持脚本过滤,如Javascript、Applet、Activex等;
Ø支持关键字过滤(采用自主研发的下推自动机的高效过滤算法);
Ø支持文件类型和页面提交方式控制。
3.2安全邮件收发功能
TopRules在处理邮件相关协议时,可将其看作一个安全的邮件信息交换平台,用户可以使用常见的邮件客户端工具(如outlook和foxmail)来设置在互联网上的公共邮箱,以便实现邮件信息交换。
TopRules在业务功能的处理中加入了多种保护邮件的策略设置,具体包括:
Ø支持POP3、SMTP协议包括协议命令和参数的控制;
Ø支持邮件的主题及内容过滤,可以有效地防止内部机密信息的泄漏;
Ø支持邮件附件类型的控制;
Ø支持邮件中可执行的脚本过滤;
Ø支持发送地址、收件地址过滤;
Ø支持IP、MAC等地址过滤;
3.3FTP文件交换功能
TopRules提供的FTP协议通道主要保护内网FTP服务器不受攻击。
除受控通道的基本安全支持外,FTP协议还可对使用FTP通道传输的内容进行过滤,包括病毒等恶意代码的查杀。
Ø支持主动模式和被动模式;
Ø支持FTP命令及命令参数控制;
Ø支持文件类型的控制;
Ø支持文件内容过滤;
ØIP地址、MAC等地址过滤。
3.4数据库访问功能
TopRules的数据库访问功能提供在内外网隔离的环境下,实现内外网之间的数据库访问。
Ø支持常见数据库的访问,如Oracle、SqlServer、DB2、SyBase、MySql等;
Ø支持Sql语句控制;
Ø支持IP地址、MAC等地址过滤;
3.5文件同步功能
TopRules的文件同步功能能够实现两个网络间的文件实时交换功能,可跨平台部署。
Ø基于专用客户端提供安全的文件同步功能,占用系统资源少,文件交换效率高,不会频繁的进行磁盘扫描;
Ø支持windows平台和linux平台;
Ø同步传输方向可控,双向或单向;
Ø支持实时扫描传输;
Ø支持一对多或多对一传输;
Ø支持目录内子目录同步,至多支持32级目录;
Ø支持中文文件名或目录同步;
Ø支持文件类型控制;
Ø支持文件内容过滤。
3.6数据库同步功能
TopRules的数据库同步功能通过灵活的同步机制,保证不同安全等级网络中的数据库中数据的实时同步更新,具体包括:
Ø支持各种同构或异构的关系数据库之间的数据交换,如Oracle、Sybase、SQLServer、DB2等;
Ø支持异构数据结构以及代码语义的转换规则定义,并实现源数据到目标数据之间的实时数据交换,支持数据整合业务;
Ø支持数据一对一、一对多、多对多的单向或双向交换和同步,支持实时交换或定时同步的策略定义;
Ø支持灵活的数据冲突检测机制,当同步的数据记录发成冲突时,可以灵活处理出现冲突的数据记录;
Ø支持数据库记录以增量方式、全表复制方式、标识方式同步;
Ø支持二进制普通文件、图片、文本文件等大字段同步;
Ø采用XML技术,具有可配置性。
可以通过标准定义、规则定义、通道定义和路由定义进行个性化的数据交换策略定义。
3.7视频监控信息传输
TopRules支持标准的H.323、H.264、MMS、RSTP、SIP等多种音视频信息交换协议,兼容主流视频厂商的视频应用。
在指定的通道中绑定视频媒体模块后,可以保证通道中传输的数据必须符合以上的媒体协议格式,否则丢弃。
TopRules创造性的采用动态端口技术,能够完美的支持基于动态端口或者范
升级会员 