网络卫士安全隔离与信息交换系统TopRules产品说明天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话:+8610-82776666传真:+8610-82776677服务热线:+8610-8008105119版权声明本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。
版权所有不得翻印© 1995-2008 天融信公司商标声明本手册中所谈及的产品名称仅做识别之用。
手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。
TOPSEC® 天融信公司信息反馈目录1前言 (2)2产品概述 (3)3产品特点 (5)4产品功能 (8)4.1W EB访问功能 (8)4.2邮件访问功能 (8)4.3文件访问和同步功能 (8)4.4FTP访问功能 (8)4.5数据库访问和同步功能 (9)4.6自定义功能通道 (9)5产品规格 (10)6运行环境和标准 (11)7典型应用 (12)7.1涉密网络中的应用 (12)7.2常规网络中的应用 (13)1前言作为中国信息安全行业领导企业,北京天融信公司1995年成立于中国信息产业摇篮的北京,十年来天融信人凭借勇于创新、积极进取、和谐发展的精神,成功打造中国信息安全产业著名品牌——TOPSEC。
从1996年天融信率先推出填补国内空白的中国自主知识产权防火墙产品,到能够提供防火墙、VPN、入侵检测与防御、多功能安全网关(UTM)、过滤网关、安全审计、安全管理等高品质全系列安全产品;再到以安全产品为基础、以打造信息安全保障体系为目标、以等级保护为主线,天融信已经完成了从单一安全产品生产商向全线安全产品、解决方案与服务综合提供商的飞跃。
天融信作为民族信息安全产业的领航者肩负着国家信息安全重任,秉承“完全你的安全(Seamless Security Network)”品牌宗旨,结合多年网络安全技术,以“可信安全管理”为技术发展方向,全力保障客户网络与信息安全、为客户创造更大价值。
2产品概述最早提出隔离概念是70年代美国、俄罗斯和以色列等国,并且都存在此方面的技术应用和相关法规;国内隔离要求最早是由国家保密局提出的,并已严格在涉密网内执行;随着电子政务的开展,我国相关部门已经陆续出台相关的政策和规章:➢2000年1月1日开始实施的《计算机信息系统国际网保密管理规定》:涉密网络不得与公共信息网络连接,要实行物理隔离;➢中共中央办公厅2002年第17号文件明确强调:“政务内网和政务外网之间物理隔离,政务外网与互联网之间逻辑隔离”;➢2007年3月,《电子政务保密管理指南》:电子政务信息系统间的信息交换“可采用国家保密工作部门批准的安全隔离与信息交换系统进行连接”。
在我国的《2006━2020年国家信息化发展战略》中,把推行电子政务和建设国家信息安全保障体系作为我国未来15年的信息化发展战略重点。
电子政务力图在实现国家行政决策的同时,信息得以广泛传播,服务能够随时面向社会公众;与此同时,关系国家安全的重要信息也面临威胁;信息安全成为电子政务的头等大事,事关国家安全和社会稳定,如何确保电子政务安全性就成了当务之急。
传统做法➢独立网络形式,通过建立多套完全独立的网络来实现隔离——信息孤岛问题严重;➢简单的介质拷贝——效率低,数据缺乏安全审查,带来其他的安全隐患(病毒、泄密),无法审核核心涉密网内部人员误用、滥用以及违规违法的行为;➢用防火墙进行过滤——通用协议,极易导致攻击代码的流入,应用层过滤深度不够;➢网络隔离卡,将一台设备上的硬盘物理分割为两个分区,形成两个完全独立的环境——采用单机隔离卡技术,解决了单机非实时信息交换的需求,但网间连续实时的业务依然无法开展,且对单机通信的信息泄漏问题没有有效的监控手段,而且人力、物力浪费,操作不便;➢传统网闸技术——在安全隔离方面也曾出现过其它多种技术方案,比如在隔离卡建立起的两套系统间设立数据缓冲区,进行分时连接和切换,还有就是基于电子开关的方式进行隔离系统两端网络通断的控制。
这类技术可以归结为传统网闸技术。
传统网闸技术在一定程度上能够解决信息交换和隔离的需求,但在安全功能实现和系统性能上仍不能完全满足电子政务建设的安全要求。
传统做法,避免了安全责任,满足了形式上的隔离要求,技术上不够安全,很难兼顾安全隔离与信息交换两者的需求,更缺乏对信息安全的严格审查。
由此,一种需要避免信息孤岛,需要进行重点积极防御,提高防御的广度和深度,需要提高安全管理能力和服务响应能力,排除来自外网的攻击,同时避免内部人员的违法和违规行为的需求摆在我们面前;一种能在保证重要网络与其他网络安全隔离同时,还能实现高效、受控的数据交换的设备需求迫切。
因此,天融信结合自身多年的网络安全技术和可信安全体系架构,经过严密的产品设计和研发推出了安全高效的网间隔离产品——网络卫士安全隔离与信息交换系统TopRules。
该产品基于完整的安全体系架构设计理念,完善了安全隔离的概念,提出了安全高效的隔离模型,将访问控制、身份签别、客体重用、审计和数据完整性等多种安全技术完美结合,彻底切断了不同安全级别网络间的直接连接,通过对信息进行落地、还原、扫描、过滤、防病毒、入侵检测、审计等一系列安全处理,实现数据在应用层的细粒度、深层次的完全内容过滤检测,并以自有专用协议在安全隔离网间交换,有效防止黑客攻击、恶意代码和病毒渗入,同时防止内部机密信息的泄露,实现网间安全隔离和信息交换。
3产品特点➢三机三系统架构TopRules采用独特的三机系统结构,以软硬件结合的方式,系统硬件平台由内网主机系统、仲裁主机系统、外网主机系统、专用的隔离卡四部分组成;内网主机、仲裁主机和外网主机系统分别具有独立的运算单元和存储单元,并以天融信自主知识产权的TOS 通用安全平台作为系统支撑;仲裁主机独立于内/外网主机,不受内/外网主机系统控制,独立完成协议的剥离和重建,达到对应用数据的封包、拆包、完全内容过滤监测和摆渡,从而实现网间隔离和数据交换,如下图所示。
图表3-1 三机系统模型➢专用协议摆渡TopRules的内网主机和外网住机是内部网络和外部网络通用协议TCP/IP协议的终点,各自的网络协议在仲裁主机实现剥离和重建,内部网络和外部网络不可向对方延伸。
所有过往的信息流都从TCP/IP协议包中剥离,被还原为应用层数据。
应用层数据通过专用硬件和专用通信协议发送给仲裁系统进行安全控制和审查,如下图所示。
图表3-2 安全隔离与信息交换系统的数据流➢有效安全通道TopRules连接的网络之间,所有的数据交换活动都在预先建立的有效安全通道上进行,这些安全通道借助基于用户的访问控制、安全的专用协议以及相关的安全策略,检测、过滤并阻断各种已知、未知攻击,特别是很多基于应用的攻击手段,例如Web脚本攻击、病毒和蠕虫等恶意代码,有效保护内部网络系统的安全性;与此同时,借助严格的内容检测控制,防止内部敏感信息泄漏出去。
➢独特的客体重用机制TopRules在为所有内部或外部网络主机连接进行资源分配时,专用的隔离系统保证了不提供以前连接的任何信息内容,充分保障了数据交换的安区性和可靠性。
➢应用级完全内容检测与审计集成天融信独有的一站式内容安全模块,过滤所有交换数据,全面解析网络传输信息,通过深层次细粒度的内容过滤,预先拦截内、外网用户禁止访问的内容,特别适合对大批量的关键字同时进行过滤,还具有避免常见的掩饰手段(如拆分敏感关键词、加入标点、换行等)干扰的特点,达到了完全内容检测(CCI,Complete Content Inspection);同时仲裁系统对所有信息交换数据和行为进行审计记录,便于及时获知网络使用情况。
➢独有的并发处理机制采用基于虚电路的并发处理机制,解决了传统多进程处理的效率问题,大大提高了现有硬件设备的数据吞吐能力。
➢安全性、可靠性TopRules设备本身的管理和维护,都在仲裁机上进行。
仲裁机基于独立网络,与内外网络没有任何关联,不但保证了设备本身的可靠性和安全性,而且做到了内、外皆防。
独特的仲裁机结构设计和所支持的双机热备功能,更在极大程度上保证了网络系统间信息交换的安全性和可靠性。
➢卓越的网络及应用环境适应能力支持常见的基于TCP和UDP的各类主流应用协议,此外,针对某些网络系统中存在的其它数据库和其它类型的信息交换业务,TopRules提供灵活的扩展和定制功能,能够快速方便地满足用户需求。
4产品功能4.1Web访问功能Web访问功能有两种工作机制:客户端保护机制和服务端保护机制。
Web客户端保护机制保护内网用户不受外网Web站点上有害内容的侵扰,服务端保护机制保护内网Web服务器不受外来访问的恶意攻击。
TopRules在HTTP协议中加入了多种安全策略:➢协议通道可以访问的URL清单;➢协议通道允许使用的用户名但;➢协议通道过滤有害脚本;➢协议通道过滤的敏感关键字列表。
4.2邮件访问功能TopRules在处理邮件服务协议时,可将其看作一个安全的邮件信息交换平台,用户可以使用常见的邮件客户端工具(如outlook和foxmail)来设置在互联网上的公共邮箱,以便实现邮件信息交换。
TopRules在邮件相关协议的处理中加入了多种保护邮件的策略设置:➢对邮件的主题及内容进行过滤,可以有效地防止内部机密信息的泄漏;➢限制邮件的大小,可限制大附件的邮件;➢限制邮件中的执行脚本;➢限制垃圾邮件,保护用户不受垃圾邮件的干扰;➢检测管理员设置的附件文件名的安全规则,阻断规则所禁止的邮件。
4.3文件访问和同步功能TopRules提供文件交换和同步通道,支持SAMBA、NFS等多种文件交换方式,同时提供文件整体性、正确性校验机制和断点续传高可靠性技术保障。
4.4FTP访问功能TopRules提供FTP协议通道主要保护内网FTP服务器不受攻击。
除受控通道的基本安全支持外,FTP协议还可对使用FTP通道传输的内容进行过滤,包括病毒等恶意代码的查杀。
4.5数据库访问和同步功能TopRules提供MS SQL Server、Oracle、Sybase、DB2等协议通道,保护数据库信息交换的安全性、适时性和实时性。
支持各种同构或异构的关系数据库之间的数据交换,如Oracle、Sybase、SQL Server、DB2等,另外,还支持数据库到文件、文件到数据库、文件到文件的数据交换;支持异构数据结构以及代码语义的转换规则定义,并实现源数据到目标数据之间的实时数据交换,支持数据整合业务;支持数据一对一、一对多、多对多的单向或双向交换和同步,支持实时交换或定时同步的策略定义;采用XML技术,具有可配置性。