合众安全数据交换系统白皮书4.0

合众安全数据交换系统白皮书

V ersion 4.0

杭州合众信息工程有限公司

2009年10月

内容目录

1.背景 (3)

2.需求分析 (4)

2.1.安全威胁 (4)

2.2.传统防御技术及其缺点 (5)

2.2.1.防火墙防御技术 (5)

2.2.2.防火墙防御技术的缺点 (6)

2.2.3.网闸防御技术 (6)

2.2.4.网闸防御技术的缺点 (7)

2.3.应对方法 (11)

3.产品概述 (12)

3.1.产品简介 (12)

3.2.产品原理 (13)

3.3.产品优势 (14)

3.3.1.采用消息队列保证交换的可靠性和稳定性 (14)

3.3.2.内置数据转换工具支持数据异构性 (15)

3.3.3.通过批量获取和批量装载提升数据交换效率 (17)

3.3.4.深度的内容检查保证数据交换安全 (17)

3.3.5.认证通道技术保证交换通道的安全 (18)

3.3.6.内容审计技术保证交换行为可追溯 (19)

3.3.7.自主服务容错技术支持数据交换集群 (20)

4.产品特点 (22)

4.1.安全性 (22)

4.2.可靠性 (22)

4.3.兼容性 (23)

4.4.高性能 (24)

4.5.可管理性 (24)

4.6.高性价比 (24)

5.产品型号及指标 (25)

6.产品资质 (25)

1.背景

为保护重要内部系统的安全，目前国内各个政府单位和大型企事业单位都采用物理隔离的方式人为隔离外网和单位内网，这种情况符合2000年1月颁布的《计算机信息系统国际互联网保密管理规定》和2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》的要求，保证了国家机关的计算机信息系统与国际互联网或其他公共信息网络之间的物理隔离。

但是随着中国政府向着服务性政府的方向转化，各级政府机关和大型企事业单位都需要依托信息化手段向外采集更多的信息，对外提供更多的信息服务。向社会企事业单位和民众采集更多信息非常有利于政府部门及时了解民情、做好统计分析、提供更准确的决策依据。而对外提供信息服务将给普通民众带来更透明、更高效的政府形象，是一件有利国计民生的好事。目前各级政府部门都在全力推进政务信息服务水平，构筑高效便捷的政务公开网络和利民便民信息服务平台，为政府部门与老百姓之间畅通自如的信息交流开拓渠道，营造全社会政通人和的和谐氛围。

与此同时，随着国民经济和社会信息化的发展，特别是电子政务建设的推动，各级党政军机关、企事业单位及其它社会组织都积累了大量信息资源。整合共享这些社会信息资源，对于推进电子政务信息化建设、维护社会稳定和更好地为社会服务具有十分重要的意义。

随着网络安全技术的成熟和应用的不断完善,VPDN、IPSEC VPN等虚拟专用网的大面积运用和PKI等身份认证技术的成熟，也为进行跨内外网的数据交换提供足够的技术准备条件，可以这么说，在保证安全的前提下，政府部门与企事业单位和社会公众之间实现可控、有限制、隔离状态下的数据交换正是当时。

2.需求分析

开放系统的安全问题与系统本身相生相伴。随着系统的规模和复杂性的增大，系统运行中的安全问题随之增多增强。作为保障系统正常运行的必要措施，安全手段的应用不仅应该随着系统的规模的增大而增多，而且要随着复杂程度的增大而增强。当前，作为主流的安全防御手段，防火墙、防病毒和入侵检测这网络安全的“老三样”至今为止还是安全市场的主流。而日渐增多的“木马”和“蠕虫”的流行，对传统防御手段提出了挑战。

2.1. 安全威胁

人们为了解决资源的共享而建立了网络，然而当计算机真的联成了网络，安全却成了问题，因为在网络上，你不清楚对方在哪里，泄密、攻击、病毒…越来越多的不安全因素让人难以安宁。

信息网络上的安全威胁随着网络和信息系统的产生而产生，也随着其发展而发展。从DOS时代的病毒，到现在的网络黑客攻击、能够自动复制蔓延和攻击的蠕虫病毒、到各种各样的“特洛伊木马”，以及各种内部人员的恶意泄密或破坏。信息网络安全所面临的问题种类越来越多，内容越来越复杂。以下是一些事件统计：

⏹1996年4月因特网上平均每20秒发生一起入侵计算机的事件（英国金

融时报）

⏹1997年几乎所有世界排名前一千家的大公司都曾被黑客们成功地闯

入，有56％的公司被闯入过30~40次；美国国防部、空军、司法部、商

务部、中央情报局都曾经被黑客入侵

⏹2000年1月Yahoo等网站遭受DDOS攻击，陷入瘫痪

⏹2003年8月MS Blaster蠕虫在仅数天之内就使国内200万台以上的计算

机陷入瘫痪

⏹2004年1月MyDoom蠕虫，入侵和感染了数十万计算机；产生和发送

了数以千万计的病毒邮件，在全球直接造成了261亿美元的损失，蠕虫

发作时的攻击使得SCO网站被迫关闭

⏹2006年8月光大证券网站多款软件被捆绑木马，威胁用户工商银行网上

银行的帐号密码安全

⏹2006年12月爆发的“熊猫烧香”病毒，导致至少上百万人受此病毒威胁

从以上的事例可以看出，目前，危害最广、破坏性最大的安全威胁当属“木马”和“蠕虫”。如上所列的CodeRed、Nimda、SQL Slammer、MS Blaster、MyDoom、Sasser都属此列。这一现象与用户所采用的安全防御技术有关：目前主流的防御技术不能有效防止“木马”和“蠕虫”。

2.2. 传统防御技术及其缺点

通过以上的分析，我们知道只要存在网络边界就存在安全威胁，但是网络边界互通的需求是如此迫切，我们只能在采用各种边界保护技术手段的基础上，与各种安全威胁做博弈。随着用户对网络安全的重视，作为安全防御手段的各类网络安全产品得到了越来越广泛的使用。从防火墙到网闸，网络边界一直在重复着攻击者与防护者的博弈。

2.2.1.防火墙防御技术

网络隔离最初的形式是网段的隔离，因为不同的网段之间的通讯是通过路由器连通的，要限制某些网段之间不互通，或有条件地互通，就出现了访问控制技术，也就出现了防火墙。

防火墙防御技术包括包过滤、状态检测、应用代理等技术。包过滤技术根据IP报文的包头信息（如源地址、目的地址、目的端口）等信息对所通过的IP包是否能够通过进行判定，属于网络层的安全防御手段。状态检测技术可以根据IP报文之间的关系区分出不同会话，可以基于会话进行访问控制，属于会话层的安全防御手段。应用代理为防火墙增加了认证机制，并可以对应用数据进行简单、静态的检查，识别有害数据，进行防御。

综上所述的防火墙防御技术并不针对任何特定的网络、信息系统，非常通用，无论何种网络、信息系统，都可以采用这种技术，发现安全威胁然后进行阻止，保证网络、信息系统的正常运行。防火墙防御技术的共同特点是采用“黑名单”方式进行防御，即定义某些数据特征，并将其列入访问控制列表，符合这一特