天行安全隔离网闸技术白皮书.doc

《天行安全隔离网闸技术白皮书.doc》由会员分享，可在线阅读，更多相关《天行安全隔离网闸技术白皮书.doc（19页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、*- 天行安全隔离网闸 技术白皮书 北京天行网安信息技术有限责任公司 二九年三月 *- 目目 录录 一一 公司简介公司简介 .3 1.1 公司概况.3 1.2 “以我为主、积极防御”的技术理念 .3 二二 网络安全概述网络安全概述 .5 2.1 信息网络系统的发展.5 2.2 安全威胁.5 2.3 传统防御技术及其缺点.6 2.3.1 传统防御技术.6 2.3.2 传统防御技术的缺点.7 2.4 传统防御技术问题的分析及安全隔离技术的提出.7 三三 安全隔离网闸设计理念和特点安全隔离网闸设计理念和特点 .8 3.1 业务需求和安全需求分析.8 3.2 安全隔离（GAP）技术要点和体系结构.8

2、3.3 安全隔离技术的防御能力和特点.10 四四 天行安全隔离网闸天行安全隔离网闸(TOPWALK-GAP).11 4.1 概述.11 4.2 应用模块.11 4.2.1 基本模块和专用隔离硬件.12 4.2.2 数据库交换模块.13 4.2.3 文件交换模块.13 4.2.4 消息模块.13 4.2.5 邮件模块.14 4.2.6 浏览模块.14 4.3 产品认证情况.14 4.4 应用情况.15 五五 典型方案典型方案 .16 5.1 电子政务应用案例.16 5.2 公安系统应用案例.17 *- 一一 公司简介公司简介 1.1 公司概况公司概况 北京天行网安信息技术有限责任公司专业从事网络

3、与信息安全研究开发、技术支持、 产品销售和安全服务，是中关村科技园区认定的高新技术企业和北京市科委认定的软件企 业。 公司核心产品“天行安全隔离网闸（Topwalk-GAP） ”由天行网安公司与公安部信息通 信局联合研制，属国内首创（最早于 2000 年 10 月推出国内第一款网关级隔离产品， 2000 年 11 月获得公安部颁发的销售许可证） ，并达到国际先进水平。天行网安公司拥有这一产 品的全部知识产权，并已获专利证书。天行安全隔离网闸（Topwalk-GAP）为电子政务等 安全性要求较高的应用提供了全新的安全解决方案。目前安全隔离网闸产品成熟稳定，在 各个政府部门拥有广泛的客户基础和首屈

4、一指的市场占有率。 “以我为主，积极防御”是公司信奉的技术理念。在这一技术理念指导下，天行安全 隔离网闸（Topwalk-GAP）系列产品获得了符合需求、安全性高的赞誉；全程网络安全服 务集风险评估、安全产品部署、安全监控、安全管理和培训、应急响应与安全恢复为一体， 为用户构筑理想的安全防御体系。 广泛的信息资源、强大的技术力量，天行网安将为您提供品质卓越的安全产品和专业 化的安全服务。 公司资质： 北京市新技术产业开发试验区 新技术企业 北京市软件企业认证 软件企业 国家级火炬计划项目 承担单位 科技型中小企业技术创新项目 承担单位 北京市高新技术成果转化项目 承担单位 1.2 “以我为主、

5、积极防御以我为主、积极防御”的技术理念的技术理念 作为专业的安全产品提供商，天行网安与用户一起，深入实际进行调查分析，总结了 政府用户各个方面和层次的网络安全需求，并针对政府用户网络边界的信息交换这一突出 问题提出了既能保证高安全强度，又能提供信息交换功能的安全隔离方案。与用户一起、 基于用户具体网络安全需求基础上提供解决方案的思路即为“以我为主”的技术理念。 “我” 即天行网安所面对的用户和用户的网络安全需求。天行网安认为，必须从用户实际的、具 体的网络安全需求出发，才能提出切实可行的解决方案。 “积极防御”是中央关于加强信息安全保障工作的意见提出的指导方针，也是天 行网安在产品研发、方案提

6、供的工作中一贯遵循的技术理念。随着各种系统漏洞不断增多、 各种蠕虫病毒不断泛滥，网络安全形势日益严重。但电子政务的建设不能因此停止和减缓， 政务部门的网络也不能隔断信息交换途径，成为孤岛。积极面对网络安全形势，基于具体 *- 应用实际中的安全需求，将防御措施“嵌入”到应用系统之中，有针对性的解决实际安全 问题，是为“积极防御”。 “以我为主，积极防御”技术理念不仅代表了天行网安的主打产品“天行安全隔离网闸 （Topwalk-GAP） ”的技术思路，还指导着天行网安继续研究新的安全防御技术、开发新的 网络安全产品、提供各种安全技术和服务。在这一技术理念指导下，天行网安将和用户一 起，追求网络安全

7、的新境界。 *- 二二 网络安全概述网络安全概述 开放系统的安全问题与系统本身相生相伴。随着系统的规模和复杂性的增大，系统运 行中的安全问题随之增多增强。作为保障系统正常运行的必要措施，安全手段的应用不仅 应该随着系统的规模的增大而增多，而且要随着复杂程度的增大而增强。当前，作为主流 的安全防御手段，防火墙、防病毒和入侵检测这网络安全的“老三样”至今为止还是安全 市场的主流。而日渐增多的“蠕虫病毒”的流行，对传统防御手段提出了挑战。 2.1 信息网络系统的发展信息网络系统的发展 信息网络系统从规模和应用复杂性两个维度上都有迅速的发展和扩展。 规模的扩展规模的扩展 根据中国互联网络信息中心的统计

8、，中国互联网用户从 1997 年 7 月的 62 万增加到了 2004 年 1 月的 8000 万增长了 129 倍；同时期，上网计算机从 30 万增加到 3000 万，增长 了 100 倍。另外，根据著名的 Netcraft 公司的统计，全球互联网上的 Web 站点从 2000 年 2 月的 1100 万增长到 2004 年 1 月的 4713 万，增长 4.3 倍。目前的上网计算机数年增长率 稳定在 20%左右，上网用户数年增长率稳定在 20%以下。 复杂性增加复杂性增加 以因特网、内联网为代表的信息网络已经从以学术研究为目的的数字化网络，变成了 包罗万象的现实社会的信息化、数字化缩影。网

9、络应用从最初的浏览简单网页、使用搜索 引擎和收发邮件，发展出了各种各样的应用： 公众：即时信息通讯、网络视频、论坛(bbs/blog) 企业：网上银行、网上商店、网上拍卖、企业管理系统（ERP/协同办公等） 政府内部：内联网办公系统、与因特网相连接的数据采集、处理、查询系统； “金”字系列工程 电子政务：跨越不同的政府部门、面向公众的信息系统。 2.2 安全威胁安全威胁 信息网络上的安全威胁随着网络和信息系统的产生而产生，也随着其发展而发展。从 DOS 时代的病毒，到现在的网络黑客攻击、能够自动复制蔓延和攻击的蠕虫病毒、到各种 各样的“特洛伊木马” ，以及各种内部人员的恶意泄密或破坏。信息网络

10、安全所面临的问题 种类越来越多，内容越来越复杂。以下是一些统计数字： 1996 年 4 月 因特网上平均每 20 秒发生一起入侵计算机的事件（美国金融时报） 1997 年 几乎所有世界排名前一千家的大公司都曾被黑客们成功地闯入，有 56 的公司被闯入过 31 次到 40 次；美国国防部、空军、司法部、商务部、中央情报 局 2000 年 1 月 Yahoo 等网站遭受 DDOS 攻击，陷入瘫痪 2001 年 1 月 CodeRed/Nimda 蠕虫在数月入侵和感染了数十万台计算机 *- 2003 年 1 月 SQL Slammer 蠕虫在数小时就入侵和感染了国内 2 万多台计算机 2003 年

11、8 月 MS Blaster 蠕虫在仅数天之内就使国内 200 万台以上的计算机陷入瘫 痪 2004 年 1 月 MyDoom 蠕虫，入侵和感染了数十万计算机；产生和发送了数以千 万计的病毒邮件，在全球直接造成了 261 亿美元的损失，蠕虫发作时的攻击使得 SCO 网站被迫关闭 可以看出，目前，危害最广、破坏性最大的安全威胁当属“蠕虫病毒” 。如上所列的 CodeRed、Nimda、SQL Slammer、MS Blaster、MyDoom 都属此列。这一现象与用户所采 用的安全防御技术有关：目前主流的防御技术不能有效防止“病毒蠕虫” 。 2.3 传统防御技术及其缺点传统防御技术及其缺点 随着

12、用户对网络安全的重视，作为安全防御手段的各类网络安全产品得到了越来越广 泛的使用。据 IDG 的统计，目前网络安全投资年增长率 34%。这个数字已经大大超过了信 息网络系统规模的年增长率(20%)。 2.3.1 传统防御技术传统防御技术 目前作为主流的网络安全防御技术主要有三类：防火墙、防病毒和入侵检测/防御系统 (IDS/IPS)。 防火墙技术包括包过滤、状态检测、应用代理等技术。包过滤技术根据 IP 报文的包头 信息（如源地址、目的地址、目的端口）等信息对所通过的 IP 包是否能够通过进行判定， 属于网络层的安全防御手段。状态检测技术可以根据 IP 报文之间的关系区分出不同会话， 可以基于

13、会话进行访问控制，属于会话层的安全防御手段。应用代理为防火墙增加了认证 机制，并可以对应用数据进行简单、静态的检查，识别有害数据，进行防御。 防病毒软件的基本技术是病毒特征码的检查。病毒特征代码需要进行及时更新，才可 能检查出新出现的病毒。虽然有些防病毒技术可以针对行为特征进行检查，但是对未知病 毒基本上是无能为力的。 IDS/IPS 通过抓取网络上数据报文，对其内容进行比对，如果符合称为 Signature 的特 征库所描述的内容，就认为是攻击行为，进行报警和拦截。特征库可以通过网络进行更新 和升级。IPS 采用串连的部署方式，对攻击行为的阻止和拦截更为主动有效，但发现攻击 行为的机制与 I

14、DS 基本相同。最新的 IDS/IPS 技术增加了异常流量分析、DoS/DDoS 攻击 防范等技术，但是对于最新的、未知的攻击行为，IDS/IPS 也一样基本上无法防范。 综上所述的防火墙、防病毒、IDS/IPS 等技术手段不针对任何特定的网络、信息系统， 比较通用，无论何种网络、信息系统，都可以采用这些技术，发现安全威胁然后进行阻止， 保证网络、信息系统的正常运行。这些技术手段的共同特点是采用“黑名单”方式进行防 御， 即，定义某些数据特征，并将其列入访问控制列表，符合这一特征的数据的为禁止、 否则允许。这样的访问控制列表成为可简称为“黑名单”。对这种防御手段最简单的描述是： “兵来将挡，水

15、来土掩” ，发现一种新的攻击行为或者新的病毒、蠕虫，就将其列入“黑名 单” ，进行防范。 *- 2.3.2 传统防御技术的缺点传统防御技术的缺点 亡羊补牢、事后防御，不能防患于未然亡羊补牢、事后防御，不能防患于未然 安全威胁是变化多端的动态、持续的过程。当一种最新的攻击技术出现时，这些的技 术手段都难以在第一时间进行防御，只能做起到“亡羊补牢”的作用。从安全威胁的发展 趋势上看，新的攻击手段和新病毒、蠕虫才是对网络和信息系统的最大威胁。新的恶意代 码的形成和新型攻击行为的发生永远早于“黑名单”的形成。因此，传统防御手段无法有 效防止针对未知漏洞的攻击和针对已知漏洞的新型攻击。 作为目前安全威胁

16、的主流，80%以上的有效攻击是新型恶意代码和新型攻击行为导致。 因此，传统防御手段不能抵挡 80%的攻击，其防御能力令人置疑。 需要实时监控和即时维护更新，管理代价巨大需要实时监控和即时维护更新，管理代价巨大 防火墙需要及时查看日志；IDS/IPS 需要及时更新标记文件；查病毒软件需要及时更 新病毒代码库。信息网络安全要以管理为核心。安全产品是作为安全管理的技术手段得以 实施、为管理服务、减轻管理工作量的。由于管理上难以做到进行 7x24 的维护、监控和更 新，所以，防火墙等传统防御手段的防御效果经常大打折扣。 2.4 传统防御技术问题的分析及安全隔离技术的提出传统防御技术问题的分析及安全隔离

17、技术的提出 由于传统防御技术本身的实现机制，一种新型攻击的出现时间和这种防御技术具备防 御能力的时间存在一个时间差。这个时间差我们暂时称为“攻击防御”时间差。随着信 息网路系统规模的增大，以及其上运行应用系统的复杂性的增大，未知安全隐患在加速积 累，并越来越多、越来越快的暴露；同时，防火墙等传统防御手段越来越多地采用，需要 的管理工作(维护、监控和更新)越来越多；另外，恶意代码的开发随着网络协作，开发周 期越来越短。因此， “攻击防御”时间差越来越大。 另外一方面，同样的时间差，其危害却越来越大。这主要是因为：一、越来越快速的 网络系统和计算能力不断放大攻击行为；二、越来越多的重要应用开始运行

18、，用户对网络 和信息系统的依赖越来越大，导致同样的攻击造成危害和损失越来越大 由于这些原因，虽然网络安全的投入快速增长(34%)，甚至超过了信息网络系统规模的 增长速度(20%)，但网络安全威胁和事件发生频度没有得到有效抑制(50%-100%)。传统防 御技术不能有效防范的“蠕虫病毒”(如最新的 MyDoom/NetSky 等)成为网络安全威胁的主 流，正在不断造成巨大损失。 “以我为主，积极防御以我为主，积极防御” 从积极防御的角度看，静态的、 “兵来将挡，水来土掩”式的防御显然属于“被动防御” 的范畴。另一方面，物理隔离作为一种安全管理和技术手段，能够比较有效的防范来自外 界对网络和信息系

19、统的安全威胁。但是物理隔离隔断了网络，禁止了数据交换，造成信息 化工作无法开展，可以称之为“消极防御”的手段。 那么，从物理隔离提供的高安全性和用户数据交换的实际需求出发，并对安全需求和 应用需求进行深入分析，以“积极防御”的方式，即保持物理隔离所提供的高安全性保证， 又能够满足业务应用系统的数据交换需求。 *- 三三 安全隔离网闸设计理念和特点安全隔离网闸设计理念和特点 3.1 业务需求和安全需求分析业务需求和安全需求分析 从实际需求出发，分析所需要防御的网络和信息系统的安全需求，才能做到有的放矢， 采取积极主动的手段进行防御。 对于电子政务的业务特点，沈昌祥院士曾指出：“在电子政务的内外网

20、中，要处理的 工作流程都是预先设计好的，操作使用的角色是确定的，应用范围和边界都是明确的。 ” 审计部门需要财政部门定期提供财政预算数据，税务部门需要定期向财政部门提交税收数 据。电子政务涉及到的网络间和信息系统间的数据传输大都是固定模式、可以明确定义的： 网络的边界明晰，隔离点可确定 网络间传输和交换的数据可定义 只传输明确定义的、需要传输的、确保安全的信息和数据，其它数据一概不传的 方法可行 根据以上需求特点，对需要传输的数据进行定义，称为“白名单”：符合定义的数据 是允许的，其余的禁止。这一采用“白名单”的思路进行积极防御的技术即为安全隔离技 术的核心理念。 安全隔离技术在物理隔离（Ai

21、r Gap）的前提下，提供了安全适度的信息交换，因此又 成为 GAP 技术。 3.2 安全隔离（安全隔离（GAP）技术要点和体系结构）技术要点和体系结构 “隔离-定义应用数据“白名单”策略-安全方式获取数据-数据内容检查-安全方 式发送数据” ，是 GAP 技术实现思路的核心。为体现这一技术思路，GAP 技术采用了独特 的体系架构，如下图所示： *- 以上的 GAP 体系结构示意图体现了 GAP 技术的要点：面向应用数据，采用白名单策 略，进行高度可控的数据交换。实现机制上，GAP 技术采用以下三点设计确保核心机制的 实施。 一、采用多主机结构设计和专用硬件切断一、采用多主机结构设计和专用硬件

22、切断 TCP/IP 协议通讯，形成网络间的隔离协议通讯，形成网络间的隔离 GAP 硬件采用多主机架构。GAP 设备需要对在网络间交换的数据进行预处理。预处理 过程包括：将网络上传送的数据还原为应用层数据；对这些数据进行由用户所定义的检查； 读取和发送这些应用数据。这些预处理操作在进行数据交换之前必须在独立的主机系统中 进行，保证数据的隔离。另外，多台主机用专用硬件串联的架构形成纵深防御，既使外部 主机被攻击，也可以保证内部主机的安全。 GAP 硬件架构中采用专用防篡改硬件隔断 TCP/IP 协议通信，保证数据传送和检查机 制固化、防篡改，保证网络隔离的有效性。 二、不接受任何未知来源的主动请求

23、；应用层数据的读取和发送通过主动请求和专用二、不接受任何未知来源的主动请求；应用层数据的读取和发送通过主动请求和专用 API 接口的方式进行接口的方式进行 GAP 的“白名单”策略面向应用数据，并对未知来源的主动请求一律拒绝。因为用户 对所传输的数据的定义只能是面向应用而不可能面向网络会话或者 IP 报文。读取和发送这 些数据时，GAP 采用主动请求（Pull & Push）或者专用安全接口或专用安全客户端的方法。 内部网络的服务端口暴露在各种各样的未知请求面前时，很难避免遭受堆栈溢出、绕过安 全检查、拒绝服务等的攻击。通过主动请求的方法可以避免开放服务端口；通过专用安全 接口或者专用安全客户

24、端进行数据读取和发送可以避免接收未知数据。这样可以避免绝大 多数隐患。 三、通过可进行扩展定义的内容检查机制为白名单策略提供进一步的保障机制三、通过可进行扩展定义的内容检查机制为白名单策略提供进一步的保障机制 GAP 提供内容检查机制。内容检查机制首先采用病毒查杀引擎对已知病毒进行查杀。 其次内容检查根据用户对数据的定义检查数据的格式和内容。 综上所述，GAP 技术隔断了从物理层到应用层所有网络层次的协议通信，因此，可以 把 GAP 理解“the Gap of All Protocol”的缩写。 作为全新的网络边界防御技术，GAP 技术与防火墙技术有明显的区别。以下是两种技 术的对比： 项目项

25、目安全隔离安全隔离(GAP)技术技术防火墙防火墙(Firewall)技术技术 *- 访问控制特点访问控制特点基于物理隔离的白名单控制基于连通网络的黑名单控制 多主机形成纵深防御，保证隔离效 果 单主机多宿主硬件特点硬件特点 专用隔离硬件无专用数据交换硬件 不允许 TCP 会话允许 TCP 会话软件特点软件特点 不允许从外到内的访问允许从外到内的访问 安全性特点安全性特点可以最大程度防止未知攻击不能防止未知攻击 确保安全性能所需的管理和维护工 作量小 需要 7x24 监控，确保安全性 能 性能适中高性能 性能与应用特点性能与应用特点 需要与应用系统结合对应用透明 3.3 安全隔离技术的防御能力和

26、特点安全隔离技术的防御能力和特点 防御能力防御能力 多主机结构和专用硬件：多主机结构和专用硬件：纵深防御架构和防篡改隔离硬件保证网络隔离，是实施 应用数据白名单的基础。 对所交换的所有数据进行包括病毒查杀在内的内容检查：对所交换的所有数据进行包括病毒查杀在内的内容检查：确保所传输的数据符合 “白名单”的定义。 对对 TCP 会话：会话：大多数的蠕虫通过在内外网之间建立 TCP 会话来进行攻击和数据 窃取等非法行为；GAP 技术是在隔离基础上传输“白名单”所定义的应用数据。 在网络间进行数据交换的过程中 GAP 内部不存在内外网之间的 TCP 会话。 其它未知的数据：其它未知的数据：对于未知数据

27、， “白名单”访问控制规则的缺省行为是禁止，而 “黑名单”访问控制规则的缺省行为是允许。当未知数据是有害或恶意信息时， 采用“白名单”方式的 GAP 技术可以有效防止。 特点特点 高安全性高安全性：最大程度防止未知攻击。 低管理代价：低管理代价：白名单一旦确定即可安全运行，无需针对新出现的安全威胁进行监 控和更新；真正做到“Set and forget”和“Zero Administration” 。 专用：专用：GAP 技术隔断了从物理层到应用层所有网络层次的协议通信，为特定应用 建立和维护一个专用数据交换机制。因此，GAP 也可理解为“the Gap of All Protocol”的缩写

28、。 *- 四四 天行安全隔离网闸天行安全隔离网闸(Topwalk-GAP) 4.1 概述概述 早在 2000 年公司成立之初，天行网安公司就开始安全隔离与信息交换技术的研究，并 与公安部信息通信局合作，进行了长时间的需求调研和分析，于 2000 年 10 月推出了当时 名为“物理隔离系统”的第一款安全隔离与信息交换系统，并与 2000 年 11 月通过了公安 部计算机信息系统安全产品质量监督检验中心的检测，取得了“计算机信息系统安全专用 产品销售许可证” ，是国内首家安全隔离基础上实现了安全适度信息交换的产品。 2002 年至 2003 年 4 月，天行网安公司的改名为“天行安全隔离网闸（To

29、pwalk-GAP） ” 的安全隔离与信息交换系统还先后取得了国家保密局、国家信息安全测评认证中心、解放 军信息安全测评认证中心的检测、测评和认证，取得了相应证书。 在 2002 年 12 月举行的公安部科技成果鉴定会上，与会包括院士在内的多名专家一致 认为，天行安全隔离网闸（Topwalk-GAP） “安全性高，功能齐全，技术上有创新，产品化 程度高，运行稳定可靠” ， “属国内首创，达到国际先进水平” ，并建议尽快推广使用。 从 2001 年 1 月至 2003 年 11 月，天行安全隔离与信息交换系统分别在外贸部（现商务 部）许可证管理局、北京市包括公安局在内的多个委办局、成都、广州、深

30、圳、成都、厦 门、山东公安系统、河南公安系统等数十家政府单位成功应用。 天行安全隔离网闸（Topwalk-GAP）经过持续开发、改进和多年来的应用实践，证明 了产品成熟稳定、功能齐全，已经成为“安全隔离与信息交换”产品技术领域内的带头人、 技术领先者和市场领先者。 国内首创的基于 GAP 技术的安全隔离产品，达到国际领先水平 国内第一款拥有专利技术的安全隔离产品 国内第一款通过国家保密局和公安部等主管部门鉴定的安全隔离产品 国家科技部、国家火炬计划唯一支持的安全隔离产品 唯一获得公安部科技成果鉴定的安全隔离产品 4.2 应用模块应用模块 由于职能和业务的不同，用户的应用系统及其数据交换方式也多

31、种多样：各种审批系 统、各种数据查询系统需要在网络间传输和交换指定数据库记录；各种汇总系统、各种数 据采集系统需要在网络间传输和交换指定文件；各种复杂的应用系统需要传输和交换定制 数据；内外网之间的邮件互通和网页浏览需求要求网络之间能够进行邮件转发和网页转发。 针对以上典型需求，天行网安以安全隔离技术为基础，有针对性的开发了各种应用模 块：数据库模块、文件模块、消息模块、邮件模块和浏览模块。见下图所示： *- 如上图所示，基本模块是整个安全隔离网闸的核心部件，是其他功能模块的硬件和支 撑软件平台。其它五个功能模块在基本模块上可以自由组合，分别支持 HTTP（浏览模块） 、 CIFS（或称 SM

32、B，用以替代 FTP） （文件传输模块） 、SMTP 和 POP3（邮件模块） 、各种数 据库操作（包括 Oracle 和 SQL Server，由数据库模块提供） 。这些功能模块的访问控制方 式各有不同，可以分别用户身份等属性进行访问控制。 在安全隔离网闸内部不存在 TCP 会话，所谓协议数据均还原到应用层进行处理，对应 用层数据处理方式和内容检查方式随功能模块的不同而不同。 4.2.1 基本模块和专用隔离硬件基本模块和专用隔离硬件 基本模块包含的专用隔离硬件由天行网安公司自主设计，拥有自主知识产权。专用隔 离硬件通过独立控制电路和读写保护电路保证信任网络和非信任网络之间链路层的断开， 从而

33、保证网络间的安全隔离。通过硬件实现安全隔离，彻底阻断 TCP/IP 协议以及其他网络 协议，通过自定义的通讯机制进行数据的读写，实现可控的信息交换。 专用隔离硬件是独立与内外网处理单元（主机）的单板机。主要特点有三： 1.独立工作的时钟。隔离硬件电路工作的时序有自己的时钟来控制，与内外网处理 单元的时钟无关。内外网处理单元的时序不能影响隔离硬件电路自己的时钟，这 在硬件设计上已经加以保证，防止了内外网处理单元通过控制隔离硬件电路的时 钟，进而控制切换时间。 2.电子开关。独立时钟控制下的读写保护电路中的电子开关采用固定电路来控制数 据线的通断。链路层的断开由开关切断数据信号，任何数字信号处理芯

34、片可识别 的低电平和高电平被开关处理之后，都变成不可识别信号或者缺省信号。这样保 证内外网处理单元之间的数字链路层是断开的。 3.独立处理器。硬件隔离电路的处理器独立于内外网处理单元工作。其切换工作， 对数据的处理工作不收到内外网处理单元的影响，不可编程，也不接受内外网处 理单元的任何命令。 同时，该电路的设计通过长时间的测试，保证其无故障工作时间在 3 万小时以上，其 独特的设计保证即使系统硬件出现故障也不会导致安全问题产生，这其独特之处。 专用隔离硬件的切换速度小于 5 毫秒，每个切换周期最多可传输 4Mbit 的数据，因此， 硬件数据传输速率大于 800MB。 专用隔离硬件与经过了安全定

35、制的 Linux 操作系统结合，提供一个可信数据交换平台。 在各个平台基础上，各个功能模块可以公用日志和审计服务和管理服务。 日志处理系统可为各功能模块提供统一的日志生成、存储、分类和备份功能。基于基 *- 本模块日志和审计服务，各功能模块实现了不同的报警机制。 基本模块提供统一的 Web 方式的管理界面，通过这一管理界面，用户可以对多台安全 隔离网闸进行集中管理。Web 管理界面的连接方式为 HTTPS 方式，即对管理数据的传输 进行了加密保护。通过加密连接的 Web 管理界面可对不同的功能模块进行灵活的配置管理。 基本模块还提供串口方式，用户可以通过串口方式对单台设备进行维护管理。 由于天

36、行安全隔离网闸对数据的读取和发送方式采用主动请求和专用接口两种方式， 因此对未知来源的数据报文一概丢弃，因此，一定程度上 DoS/DDoS 对安全隔离网闸是无 效的。同时，天行安全隔离网闸不允许外部网络与内部网络的主机建立会话，因此，基于 会话的 DoS/DDoS 攻击无法进入内部网络。 4.2.2 数据库交换模块数据库交换模块 天行安全隔离网闸(Topwalk-GAP)数据库交换模块以安全隔离硬件模块为基础，在保 证信任网络业务系统安全运行的同时，提供与不信任网络进行同异构数据库之间安全数据 交换的功能。 功能特点： 多种灵活机制的数据提取功能。可选远程提取或者本地专用数据库客户端方式。 可

37、灵活配置数据配置提取方式、传输方向、读写预处理等多种策略 良好的兼容性，支持所有主流关系型数据库，包括各种平台和版本的 Oracle 和 SQL Server 数据库。 完备的日志查询系统 4.2.3 文件交换模块文件交换模块 天行安全隔离网闸(Topwalk-GAP)文件交换模块以安全隔离硬件模块为基础，在保证 信任网络业务系统安全运行的同时，提供与不信任网络进行安全文件交换的功能。 功能特点： 基于组策略的访问控制 方向可控选择 可灵活配置的读写规则，包括对所传输文件的文件名的配置 实时及定时传输选项 灵活的传输冲突选项 完备的日志查询系统 文件传输队列实时监控，并支持断点续传 采用配置灵

38、活的专用客户端 4.2.4 消息模块消息模块 消息模块以安全隔离硬件模块为基础，针对高级 GAP 用户需求定制的一套隔离数据传 输解决方案. 它在原有 Topwalk-GAP 的硬件架构上, 设计了性能更优秀的传输机制，并为 *- 用户提供高强度安全可靠的客户端开发接口, 使用户能够在享受 GAP 的强大安全性的同时,可 以根据自己需要更加灵活的实现隔离网络间的数据交换 功能特点： 基于数字证书技术的身份验证保证传输安全性。 基于用户的授权访问和灵活的权限管理。 集成安全性，灵活性，可靠性以及可管性于一体。 跨 Windows、Linux、Unix 平台环境支持，兼容性和适应性优异。 开发接口

39、灵活（提供 C 与 Java 接口） 4.2.5 邮件模块邮件模块 天行安全隔离网闸(Topwalk-GAP)邮件模块以安全隔离硬件模块为基础，通常布署于 内部网络和因特网之间，在保证内部网络和因特网链路层上断开的前提下为内部用户提供 收发邮件的功能；也可在两个互不信任的网络中间提供邮件中转服务。 提供邮件病毒过滤、内容过滤、基于数字签名或用户名/口令认证的邮件认证方式等安 全功能；在应用上提供基于 POP3 和 Web Mail 两种邮件方式。 功能特点： 基于用户信息的授权访问 两种邮件收发模式（SMTP/POP3 和 Web Mail） 提供强大的邮件病毒、关键字检查 基于证书数字认证技术 可有效防止无意信息泄漏完备的日志查询系统 4.2.6 浏览模块浏览模块 天行安全隔离网闸(Topwalk-GAP)浏览模块以安全隔离硬件模块为基础，部署于信任 网