天虹PSCU1000病毒隔离墙技术白皮书.docx

1、天虹PSCU1000病毒隔离墙技术白皮书天虹PSCU-1000病毒隔离墙技术白皮书天虹PSCU-1000病毒隔离墙技术白皮书安徽天虹数码技术有限公司第一部分、公司简介安徽天虹数码技术有限公司总部位于合肥市高新技术开发区，公司前身是芜湖天虹数码科技有限公司。公司在首都北京的中关村还设有一个全资子公司。自1996年公司成立以来，一直专业从事播控产品的研发、生产和销售。是“省级高新技术企业”、“安徽省双软企业”、“芜湖市科委及芜湖高新技术创业服务中心（国家级）重点扶持的企业”、“芜湖市技术创新先进单位”、“优秀民营科技企业” 和“北京市高新技术企业”。公司还多次获得省科技厅的无偿资金赞助和国家科技部

2、中小企业技术创新基金。董事长张进先生曾被授予“芜湖市江城十大杰出青年”、“安徽省十大青年创业之星”等光荣称号。公司经过多年的发展，聚集了一批专业的技术人才。生产上采用国际先进技术，开发和生产出一批技术水平高、产品性能卓越的专业播控产品。目前公司已开发出包括硬盘播出工作站、视频服务器、硬盘广告截播系统、多通道广告标识播控系统、多通道监播系统，全套双串口切换器、双时基切换器和宽带时基等模拟播控周边设备及全套A/D、D/A、嵌入、解嵌等数字播控周边设备。产品已被国内包括省、市级电视台、县级电视台以及企业电视台在内的近千个用户选用。 公司经过多年的发展，已成为广电行业知名“播出”名牌。天虹公司是国内播

3、出系统研制时间“最长”和市场占有率“最大”的厂家；是“唯一”能够提供全套播控产品的厂家；是“唯一”从视频服务器到播控周边设备全面通过国家广电总局检测的厂家；银河视频服务器是“唯一”全部采用进口硬件的国产视频服务器；银河视频服务器是国内“最早”实现五个频道同时播出的实例。 公司坚持“以质为本，用户至上” 的态度，谨守诚信之道，以精湛的技术、优质的产品和完善的服务与广大顾客携手共进，为中国的广播电视事业的发展贡献绵薄之力！我们坚信：有了广大顾客的支持与合作，天虹公司明天会更加灿烂辉煌！第二部分、PSCU-1000病毒隔离墙介绍随着数字化、网络化技术的发展，国内各级电视台纷纷投入大量资金搭建了数字电

4、视节目制作网络和播出网络。播出设备的兼容性增强，非编设备的改良，使的非编与播出系统可以实现直接的打包文件传输播出，全台一体网已经呼之欲出。全台一体网的建成，减少了二次上载设备的投资，减少了制作人员工作的重复性，使播出的资源共享性、实时性都大大的增强。但是随之而来的病毒传播以及网络病毒攻击行为已经严重威胁电视台的正常运转。因为病毒等原因造成的停播、漏播等事故时有发生，以至于至今有70%的电视台不敢把制作部和播出部的网络进行连接，使它们成为一个个数字孤岛，这样既降低了工作效率，又因为重复的上载损害了节目质量。因为常规的网络安全措施难以满足广电网络的特殊要求，在这种情况下，天虹公司开发了PSCU-1

5、000病毒隔离墙。PSCU-1000病毒隔离墙能够使本地计算机和USB、DVD光盘等存储设备之间快速、安全传输数据，同时又对USB、DVD光盘等存储设备上的病毒进行有效防范、并隔离，保障网络中的计算机安全。PSCU-1000病毒隔离墙主要技术内容和创新点包括：1、国内自主研发的数字视频网络专用病毒隔离墙，具有自主知识产权；2、专有的传输协议，保证传输的安全性；传输的完整性检测，通过MD5码校验，最大限度得保证传输的正确性。3、病毒隔离墙基于安全优化的特殊软硬件构架平台之上，从而有效地避免了通用计算机病毒和黑客程序的攻击 ；4、以白名单机制限制用户传输的文件，用户在本地计算机和USB存储设备之间

6、进行传输的文件都有严格的格式限制，这样就防止已经感染了病毒的USB存储设备在无意识下向本地计算机传输病毒。5、设备的安装、配置简单，可以很容易的整合到现有的网络环境中，在安装过程中仅需要设置相关的IP地址信息，就可以正常工作，降低了对相关人员专业性的要求。PSCU-1000病毒隔离墙是由安徽天虹数码技术有限公司自主研发的计算机网络边界安全防护产品。本产品是专门针对目前各电视台外部不可信USB、DVD光盘等存储设备向内部可信网络安全、可靠得传输数据文件而研制的，其部署于电视台非编网（内部局域）与各种移动存储设备之间，保障外部存储设备中的数据向内部局域网中的计算机传输的同时，实现了数据资料的受控传

7、输、内容审查、等安全功能，确保整个传输过程高速、安全、可控。2.1 产品结构PSCU-1000病毒隔离墙被设计为一个连接外部存储设备和内部局域网计算机的中介设备。我们将USB设备插到PSCU-1000 病毒隔离墙上，用本地计算机通过对PSCU-1000 病毒隔离墙进行配置和访问，来访问我们要访问的USB设备，这样PSCU-1000 病毒隔离墙不但起到了病毒过滤的功能，而且保证了我们需要的数据快速高效地传输。如下图，将PSCU-1000 病毒隔离墙安装到局域网中：2.2 产品功能及性能指标 1、产品功能指标PSCU-1000 病毒隔离墙的基本功能为数据交换及安全处理功能，以下是其主要功能特性：功

8、能类功能项功能说明信息交换功能定制应用数据交换功能在安全受控的情况下完成外部存储设备和内部局域网中的计算机之间的数据传递，进行文件传输的功能。安全控制功能访问控制提供基于IP地址、网络端口、协议、数据包状态等属性的过滤控制功能身份认证提供系统管理的安全身份鉴别功能，以及在网络应用访问时，对访问者身份的身份鉴别功能，如基于用户名/口令等身份鉴别功能内容检查提供传输数据内容的检查功能，检查机制基于关键字完成文件深度检查遵循“除非明确允许，否则就禁止”的白名单基本原则，以文件为单位对传输内容进行格式分析和过滤病毒防护特别优化得操作系统，有效得防止常规病毒数据的入侵内部拓扑隐蔽功能基于服务器地址转换功

9、能（SAT）实现内部网络拓扑隐蔽高可用性功能传输效率高支持千兆网络，高传输率，用户几乎感觉不到性能的损失，保证了传输的流畅性专有的设备操作软件设备的安装、配置简单，保证用户以简单快捷的操作来配置和使用设备2、产品性能指标PSCU-1000 病毒隔离墙的工作性能指标列示如下：指标类型指标项指标值PSCU-1000性能指标网络带宽850Mbps开关切换延迟纳秒级应用访问延迟小于1秒网络接口网络接口千兆网口：1个，可扩展规格参数平均无故障运行时间70000小时工作温度4085存储温度55125工作湿度2080存储湿度1095尺寸重量重量：6 KG 长度：50.5cm 宽度：43cm高度：9cm工作电

10、压220 5V功率270W第三部分、产品技术体系网络安全防御体系是以防火墙为核心的防御体系，通过纵深部署、协同防御达到保障网络安全的目的。防火墙作为一种核心的访问控制手段，在网络安全防护中起到了不可替代的作用，由此，天虹公司借助目前网络安全领域中先进的隔离交换思想，研制了PSCU-1000 病毒隔离墙。基于白名单机制的数据分析和过滤在限制来自USB存储设备的病毒向局域网中的计算机传播方面，PSCU-1000 病毒隔离墙在设计上面用严格遵循“除非明确允许，否则就禁止”的白名单基本原则，以文件为单位对传输内容进行格式分析和过滤。通过对传输内容进行严格分析和过滤，仅仅容许通过“认可的”和符合规范的文

11、件通过，对无法识别的文件和格式错误的文件一律视为非法文件限制其向本地计算机传播。比如，我们允许Mpeg2格式的视频文件和Jpeg格式的图片文件通过。那么我们怎么判断一个文件是否是真正的Mpeg2格式的文件或者Jpeg格式的文件呢？如果，攻击者将非法文件的扩展名改成以上两种文件格式的扩展名，那么是不是就逃避安全规则的检查，而侵入局域网中的计算机呢？事实上我们的安全检测机制并不是这么简单，并非只是通过扩展名就确定一个文件是否是非法文件。除了对扩展名的分析以外，我们还会对文件内部结构做严格的检查。而文件内部结构往往是比较复杂的。比如，我们就以以上两种文件Mpeg2文件和Jpeg文件为例来说明一下文件

12、的内部结构：MPEG-2:MPEG-2制定于1994年，设计目标是高级工业标准的图象质量以及更高的传输率。MPEG-2的编码码流分为六个层次。为更好地表示编码数据，MPEG-2用句法规定了一个层次性结构。它分为六层，自上到下分别是：图像序列层、图像组(GOP)、图像、宏块条、宏块、块。序列层是编码流最高层，它包含序列标题和后续的一系列图像组。序列层开始于序列开始码（0x000001b7），结束于序列结束码（0x000001b3）。在序列标题中包含有一系列关于序列的信息，包括每幅图像的垂直和水平尺寸、像素宽高比、画面速率（画面/秒）、比特率（以400bps为单位）、解码器所需的最小缓冲区大小（以

13、2KB为单位）等；标题中还包含一位指出编码流是否是前面提到过的受限参数比特流；另外，标题中还可能包括帧间或帧内编码时用到的DCT系数量化矩阵以及一些用户定义的信息。图组层编码一个图像组，一个图像组是一系列要连续编码的图像。一个图像组中至少还有一个I帧。一个图像组可以以I帧或B帧开始，而结尾必须是I帧或P帧。图像组层的标题中含有的信息包括定时信息、封闭标志及一些扩展信息和用户定义信息。图像层定义了每幅图像的编码信息。由于可能要进行P帧和B帧的重排序，在图像层的标题中定义了一个时间参考数用于定义各帧的显示顺序。其他的标题信息包括图像类型、同步、分辨率和运动矢量范围等。每幅图像都被切割成一系列的片。

14、片的大小是可变的，最大可以是整幅图像，最小的可以是一个宏块。片标题中的信息记录了片在图像中的位置以及该片的量化因子Q，Q在131之间，解码器在反量化时要用到它。定义量化因子可以使得解码器在片这个层次上对码流进行校正。一个片被进一步划分为若干宏块。每个宏块的标题定义了宏块的类型、位置信息、水平和垂直运动矢量等，也表明在一个宏块中的哪些块真正被编码和传送了。宏块中包含块，其中有表示色度的块和表示亮度的块等。Jpeg:JPEG图像存储格式一个比较成熟的图像有损压缩格式，虽然一个图片经过转化为JPEG图像后，一些数据会丢失，但是，人眼是很不容易分辨出来这种差别的。也就是说，JPEG图像存储格式既满足了

15、人眼对色彩和分辨率的要求，又适当的去除了图像中很难被人眼所分辨出的色彩，在图像的清晰与大小中JPEG找到了一个很好的平衡点。虽然图像转化为JPEG格式会减小很多，但是并不是文件就变得简单了，相反，JPEG文件的格式是比较复杂的。不经过认真地分析，是不容易弄懂它的。JPEG文件由下面八个部分组成：图像开始SOI（Start of Image）标记、APP0标记、APPn标记（其中n=115任选）、一个或者多个量化表DQT、帧图像开始SOF0、一个或者多个霍夫曼表DHT、扫描开始SOS、图像结束EOI。其中图像开始标记SOI为0xD8。APP0标记包含的信息有APP0长度、标识符、版本号、X和Y的

16、密度单位、X方向像素密度、Y方向像素密度、缩略图水平像素数目、缩略图垂直像素数目、缩略图RGB位图。APPn标记包含APPn长度，应用详细信息。一个或者多个量化表DQT包含的信息有量化表长度、量化表数目、量化表等。帧图像开始SOF0包含的信息有帧开始长度、精度（每个颜色分量每个像素的位数）、图像高度、图像宽度、颜色分量数、每个颜色分量的信息（ID、垂直方向的样本因子、水平方向的样本因子、量化表号）。一个或者多个霍夫曼表DHT包含的信息有霍夫曼表的长度、类型、AC或者DC、索引、位表、值表等。扫描开始SOS包含的信息有扫描开始长度、颜色分量数、每个颜色分量的信息（ID、交流系数表号、直流系数表号

17、）、压缩图像数据。图像结束标志EOI为0xD9。PSCU-1000病毒隔离墙就是针对这些文件的内部结构，运用自己专有的算法，精确的分析一个文件是否符合其应有的结构标准，从而做到精确的分析并过滤文件数据，确保非法文件不被允许通过，从而有力地保障了与PSCU-1000病毒隔离墙连接的计算机的安全。其防护安全体系可由下示意图来表示：第四部分、PSCU-1000病毒隔离墙功能介绍4.1 文件深度检查管理员可能需要对通过PSCU-1000病毒隔离墙传输的文件类型进行控制，比如，不允许外部存储设备上的非法文件传输到内部局域网中的计算机上。但是，攻击者可以将文件的后缀修改为被允许的后缀并传输，以逃避安全规则

18、的检查。为此，PSCU-1000病毒隔离墙采用白名单机制，对文件实行了一致性检查，即一个声称的exe是否真是exe文件，一个声称的pdf文件是否真是pdf文件等。这种功能即为PSCU-1000病毒隔离墙的深度检查功能。目前，PSCU-1000病毒隔离墙允许通过的合法文件如下：视频：MPEG1、MPEG2、MPEG4（mp4 m4v m4a m4p 3gpp 3gp 3gpp2 3g2 k3g）、MPEG传输流（ts m2t m2s m4t m4s ts tp trp）、MOV、AVI、FLASH、Windows Media（ASF、WMV、WMA）、RealMedia（RM、RMVB、RA）、

19、mkv mka mks等；音频：MP1、MP2、MP3、WAV、MIDI、OGG、AAC、AC3、DTS；图片：BMP、JPG、TGA、GIF、PNG、ICO、TIF；其他格式：TXT，XML；4.2 用户行为管理通过限制用户对USB存储设备的访问行为，被保护的本地计算机无法与USB存储设备进行直接数据传输，这样就限制了和阻断了USB存储设备上病毒向本地计算机传播的途径。以白名单机制限制用户传输的文件，用户在本地计算机和USB存储设备之间进行传输的文件都有严格的格式限制，这样就防止已经感染了病毒的USB存储设备在无意识下向本地计算机传输病毒。4.3 访问控制功能PSCU-1000病毒隔离墙实现

20、了从网络接口路层到应用层的访问控制功能。在网络接口层，PSCU-1000病毒隔离墙支持静态ARP列表，防止局域网内ARP欺骗，保证PSCU-1000病毒隔离墙的MAC条目是真实可靠的。同时，管理员可以配置IP地址和MAC的绑定关系，在用户访问PSCU-1000病毒隔离墙时，防止IP地址盗用。在网络层，PSCU-1000病毒隔离墙具有包过滤防火墙所有的安全功能。能实现对源/目的IP地址、通信端口、访问时间等属性的全面控制。在传输层，PSCU-1000病毒隔离墙实现了IP分组与TCP连接和UDP Socket从属关系真实性的判别，以实现防止连接劫持攻击。在应用层，PSCU-1000病毒隔离墙能对应

21、用头的格式、内容、应用数据的内容进行审查、过滤，使得只有符合安全策略的数据才被传输。通过贯穿整个协议栈的访问控制，PSCU-1000病毒隔离墙能够有效过滤非法连接、数据的非法传输。4.4 传输速率高、性能损失小支持千兆网络，高传输率，用户几乎感觉不到性能的损失，保证了传输的流畅性。4.5 文件传输的安全性与完整性专有的传输协议，保证传输的安全性；传输的完整性检测，通过MD5码校验，最大限度得保证传输的正确性。4.6 简单的设置与人性化的操作设备的安装、配置简单，可以很容易的整合到现有的网络环境中，在安装过程中仅需要设置相关的IP地址信息，就可以正常工作，降低了对相关人员专业性的要求。4.7 传

22、输透明化保证用户迅捷的上传、下载和选择文件。4.8 权限控制对工作目录的文件进行读写的权限设置，保证文件的安全性。4.9专有的设备操作软件保证用户以简单快捷的操作来配置和使用设备。第五部分、产品管理方式对于PSCU-1000病毒隔离墙，我们配有专门的控制软件DemonUpdate.exe，对PSCU-1000病毒隔离墙进行配置和管理。我们可以通过控制软件DemonUpdate.exe，来完成扫描设备、设置设备信息、升级设备等功能。在设置设备信息界面，我们可以根据不同需要对PSCU-1000病毒隔离墙进行各种设置。其中设置信息涵盖如下方面：设备IP地址；默认网关。另外，我们还可以通过运用控制软件DemonUpdate.exe的高级设置功能，对PSCU-1000病毒隔离墙设置多个IP地址、升级设备等。其设置界面如下：第六部分、典型应用电视台用户的采编系统和播放系统往往分属两个不同敏感级别的网络。两个网络具有不同的用户群，但业务系统之间的数据需要共享，或者说，当采编系统形成了特定影像文件之后，是需要及时、准确、安全的传输到内部包房系统中进行播放的。PSCU-1000病毒隔离墙可以实现从外部存储设备到内部播放网络文件服务器之间的数据传送，同时保证内部播放网络不受来自外部存储设备上的病毒的侵犯。其典型的应用场景如下：