10月28日工作日志
与willie,sah,layne一起探讨相关问题。
金电网安的分析报告:
一. 分析金电网安的基本情况:
公司概况
上海金电网安科技有限公司是上海浦东软件园控股的专业从事信息安全的子公司,是国家信息安全成果产业化基地(东部)的首批入驻企业。公司面向客户提供安全咨询、安全评估、安全集成等安全服务;并通过与业内知名企业的紧密合作,以先进理念给客户提供一流的技术支持。公司经过多年的发展,得到了国家有关部门和众多行业的认可,获得了《涉及国家秘密的计算机信息系统集成资质证书》、《软件企业认定证书》等多项证书。
公司员工95%以上来自国内著名高校,其中博士、硕士等高级人才所占比例高达25%,是一支具有高水平、高素质的专业安全团队。金电网安与上海交大成立了信息与网络安全体系结构实验室;并在上海建立了中软信息安全博士后研发工作站上海分站和信息安全实验室上海分中心,进一步提高了金电网安在信息安全领域内的信息技术开发能力,以及信息安全技术服务和安全技术人才培养的能力。 金电网安公司在业务拓展过程中,利用自身的技术沉淀和优势,适时推出满足电子政务和重要行业迫切需求、完全拥有自主知识产权的安全隔离产品——“安全隔离信息交换系统FerryWay”。该产品在保证内部重要网络与外部其他网络有效隔离的基础上,实现了网络间的安全数据交换。产品采用先进的系统结构、严密的安全措施、专用的通信协议及高性能硬件,有效地防止了敏感信息的泄露、黑客的侵扰、网络资源的非法使用和计算机病毒等等,可广泛使用在电子政务系统、银行、证券、航天等对安全要求较高的行业。
金电网安公司的产品线还包括:“NetPryer网络安全监测系统”、“HuaTech-2000型防火墙”、“HuaTech VPN安全网关”、“Windows 2000/XP IPSec密码本地化产品”、“windows终端安全保护系统”和“网站监护与综合管理系统”。这些安全产品在电子政务、金融、税务、电信、航天、铁路、军队等领域已得到广泛应用。 金电网安公司将一直秉承发展民族信息安全产业的宏伟目标,以求实、创新的姿态,在信息安全领域不断开拓进取。
经营理念
务实、诚信、创新、效益
公司目标
专业的信息安全服务提供商。
二. 金电网安的主要客户:
| 政府教育系统 |
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
| 金融系统 |
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
| 大型企业 |
||||||||||||||||||||||||||
|
三. 金电网安的重大项目:
| |
《若干关键软件技术及实用化》项目中的“开放系统中文信息处理平台的研究开发”、“Internet中文信息支撑环境的研究与产品开发”、“‘国家标准'汉英计算机翻译系统” |
|
|
|
| |
《国产开放式系统软件平台COSA V1.1》 |
| |
《基于可重用技术的大型商场管理信息系统开发平台》 |
| |
国家973课题,“信息与网络安全体系结构研究” , 编号:G1999035801 |
| |
国家重点科技项目(攻关)计划,“信息网络的安全测评技术”, 编号:2000-A32-06 |
| |
国家自然科学基金项目,“双向认证系统的研究及Internet上的电子支付系统” , |
|
|
|
| |
国家八六三计划,“安全电子支付系统中的关键技术” , |
| |
公安部99攻关课题“网络监控系统”的研究、设计和开发 |
| |
上海市电子商务攻关课题“安全支付网关”的研究、设计和开发 |
| |
上海市电子商务示范工程“中昊电子商务交易系统”的整体规划、设计与实施 |
| |
国家社保卡系统试点工程“上海市社保卡系统”的安全设计 |
四. 金电网安的优势:
上海浦东软件园有限责任公司是由中国电子信息产业集团代表信息产业部、上海张江高科技园区开发公司代表上海市人民政府共同投资组建,承担上海浦东软件园的建设和管理,是国家计委立项的两个国家级软件园项目之一。
中国计算机软件与技术服务总公司(中软总公司)是从事软件与信息产品开发、系统集成和技术服务的大型国有高科技企业。自公司成立以来,连续多年进入全国电子百强企业行列,并多次被评为十大优秀系统集成商。1999年,公司进入经贸委评定的国家520家重点企业,首批通过了全国软件开发、系统集成服务及培训ISO9001质量体系认证和全国“软件企业”认证。2000年申请了首批系统集成一级(最高级别)企业资质认证。
金电网安通过与软件园和中软总公司的合作,从品牌、技术和资金等方面得到了强势的支持。
丰富的安全服务实践经验
金电网安公司能够根据以往的安全顾问服务与工程实施经验提供给客户更可靠,更规范的安全工程实施、技术培训与服务。
|
|
|
|
| 得到政府部门的大力支持 在目前的市场与科研条件下,信息与网络安全技术的研究如果没有政府的大力支持与资助,很难有持续发展的机会和势头。金电网安公司将信息与网络安全技术与产品的研究作为公司发展的主要产业之始,在产业政策、资金等方面就得到了政府部门的大力支持与资助,成为国家信息与网络安全技术基础研究、产品开发的重点单位,成为信息与网络安全产品产业化基地。金电网安公司在信息与网络安全技术研究方面得到中科院、中国工程学院、信息产业部、科技部、国家经济贸易委员会、国家信息安全管理小组、国家973项目管理委员会、国家超级863项目管理委员会、上海市人民政府等单位的支持与资助。 |
| 承担国家信息网络安全重点课题,理论基础扎实、前瞻性好 我们多年来一直从事国家信息网络安全基础理论与技术项目研究,收集整理了大量的安全信息,作了大量的战略性的前瞻性研究,对网络技术的发展趋势走向、网络安全技术的发展趋势走向能够准确的把握,能够为企业信息与网络系统规划设计出面向应用、面向未来的安全体系框架,能够为企业信息与网络系统提供周全的顾问服务。 |
五. 金电网安的资质:
软件企业认定证书
涉及国家秘密的计算机信息系统集成资质证书
上海市国家保密局安全隔离类产品唯一推荐使用证书
软件产品登记证书
国家公安部销售许可证
国家保密局科学技术成果鉴定证书
六. 合作伙伴:
北京中软华泰信息技术有限责任公司
浙江众新信息科技股份有限公司
中国政府采购网
中国软件网
七. 金电网安的网络安全产品:可见ferryway白皮书。
八. 金电网安的解决方案:
安全隔离与信息交换系统FerryWay 2.0应用
涉密单位FerryWay应用
FerryWay针对涉密系统采用了专用硬件进行数据交换,并由仲裁机负责完成安全保密检查。因此,FerryWay可以在安全隔离的基础上,实现内外网之间有效、安全、受控的数据交换。系统在涉密单位主要应用在以下场合:
1、 不同的涉密网络之间;
2、 同一涉密网络的不同安全域之间;
3、 与互联网物理隔离的网络与秘密级网络之间;
4、 未与涉密网络连接的网络与互联网之间;
5、 存在手动拷盘传输数据的场合。
安全隔离与信息交换系统完全可以做到只允许单向的信息交换,这样就防止了内网向外网的泄密,进一步保证了网间隔离的安全。
而采用“安全隔离与信息单向传输系统”将Internet信息导入涉密网的方案,将会比通过手动拷盘传输数据方式更安全。
原因如下:
(1) 只允许信息由外到内单向传输,不会泄密;
(2) 采用专用硬件和专用协议,可防止由Internet对内网的网络攻击;
(3) 在外端机上集成了入侵检测模块,且不对外提供任何服务,每次传输的数据自动进行安全检查,可防范对内网的计算机病毒、拒绝服务等攻击。
当然,安全隔离与信息交换系统究竟在电子政务网络系统中应用到什么程度,主要与电子政务中安全域与网络的划分有关,中办17号文件对此进行了说明。文件指出电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离。政务内网主要是副省级以上政务部门的办公网,与副省级以下政务部门的办公网物理隔离。政务外网是政府的业务专网,主要运行政务部门面向社会的专业性服务业务和为需在内网上运行的业务。
重要网络FerryWay应用
另外, FerryWay也可以广泛使用在行业数据网之间的隔离、行业内不同性质业务网间的隔离以及内部网络和外部网络之间的隔离。该平台上的数据交换业务是可以灵活配置和快速定制的,数据交换可以单向也可以双向。
- 内部核心网与内部一般业务网间的隔离
内部核心网与内部一般业务网由于业务性质不同,一般情况下,其数据库性质也是不同的,但之间往往存在数据交流。直接向对方开放权限让对方访问是很不安全的。即使使用防火墙设备,为了让对方能够访问,也必须使对方在开放的业务上网络可达。安全隔离平台可以在网络安全隔离的基础上,与网络应用提供者共同制定应用通信协议,并对该协议的数据流进行仲裁,从而实现安全的数据交换和隔离。 - 内部边缘网与总部综合网间的隔离
由地理因素隔开的分部门和总部门之间的信息交换是一个经常性的行为。分部门和总部门之间一般通过开放的互联网络传输设施相互连接。分部门和总部门中任何一方直接向互联网络开放访问权限都是不明智的行为,即使使用防火墙设备也必须为相应的业务开放相应的权限,从而带来各种安全隐患。FerryWay在信息隔离的基础上,提供的受控业务信息交换的通道,可以避免向互联网络开放权限带来的弊病。 - 内部甲部门业务网与乙部门业务网间的隔离
单位内部的各个部门之间的信息一般情况下是隔离的,同时,出于单位统一的业务需要,部门间常常会发生信息交换,甚至多个部门联合进行业务活动,在这种情况下,在部门之间直接开放各种访问权限是简单直接的做法,但也是最不安全的行为。即使使用了防火墙,由于防火墙的协议可达性,同样容易造成部门之间的不安全性。FerryWay避免了基于协议的攻击,经过审计的部门之间通信不会有信息泄漏的顾虑。 - 内部网与外部网间的隔离
内部网络相对于外部网络而言必须保证其安全性,不能受到来自外部的攻击,同时要避免内部信息泄漏。内部网与外部网之间又需要进行信息交换。要使得内部网络对于外部网络而言通信协议不可达,必须使用安全隔离与信息交换系统FerryWay。
行业间有数据交换需求时实现安全的数据交换
跨行业的业务行为要求有跨行业的信息交换。除了涉及该项业务行为之外的其它所有信息必须严格隔离,防止泄密。采用安全隔离与信息交换系统FerryWay为专用的业务制定专门的协议,或者采用受控的传统协议(如绑定在HTTP上等)进行信息交换可以有效地避免各种基于协议的攻击和泄密行为。
九. 重要场合应用示范
下图说明了安全隔离与信息交换系统FerryWay在多种重要场合下的应用。
1、 内部重要网络与其他网络之间的安全隔离 ;
2、 分支机构与总部网络之间的安全隔离;
3、 重要服务器的安全隔离(如数据库服务器);
4整体网络与Internet之间的安全隔离。
十. 解决方案实施案例:
| 宁波*信息中心 |
||
| 上海市*中心 |
||
| 上海*研究所 |
||
| 浙江*科技集团 |
||
| 上海市*软件有限公司 |
||
| 上海市*法院 |
||
| 南京市*信息中心 |
||
| *保障中心 |
||
| 航天集团公司*研究所 |
||
| 江苏省*海关 |
|
|
| 南京*开发集团 |
||
| 江苏省**海关 |
||
| 上海市**资产管理委员会 |
|
|
| 上海*新技术研究所 |
||
| 上海市*财政局 |
||
| 上海市*报社 |
||
十一. 售后服务:
金电网安建立了一套完整的售后服务体系,以上海为中心辐射南方各省市。为了保障金电网安的售后服务网络得以顺利地实施和稳定可靠地运行,公司制定了详细的技术支持与售后服务方案,包括提供免费技术支持和为期一年的保修服务,建立完善的备品备件系统等内容。并按照ISO9001质量体系标准,竭诚为用户提供快速的服务响应和优质的技术服务。在技术支持与售后服务工作中,一贯遵循以下准则:
- 确保网络系统的正常运行
- 充分保护用户的投资和效益
- 充分满足用户的需要
- 充分降低用户的负担
我们提供的技术支持与服务内容包括电话支持、现场服务、设备维护、网络安全系统故障报告和预防、软件版本升级与增强、后期技术培训、电子邮件支持、因特网支持、定期拜访、提供系统应急策略等内容。
(一)服务体系
(二)、服务流程
(三)、质量体系
我们有完善的质量体系,建立了有效的质量策划、质量控制和质量改进的质量管理及质量保证机制。
金电网安在质量管理和质量保证机制的运行过程中,对公司涉及所有产品质量、工作质量、服务质量的内容和过程进行了识别,根据市场变化和顾客需求、法律法规要求确定了公司总的质量方针和质量目标,以公司制度形式加以贯彻、执行,公司还对质量管理、质量保证所需的各种资源进行了管理,对员工落实了质量职责并进行了培训,通过售前服务体系 合同管理 售中服务体系 产品开发体系 产品生产体系 工程实施 售后服务体系完全满足顾客需求,建立了售前技术支持、投标、合同评审、合同签定、生产任务下达、产品方案论证、方案评审、研制、定型、采购、外协、生产加工控制、产品调试、质量检测、不合格品控制、产品包装、发运、合同执行、工程安装、技术培训、售后服务等21个子系统及相关的过程控制流程,确保了质量管理和质量保证机制的有效运行。
此外,我公司具有一支经过专业培训的质量管理队伍,能定期对质量体系所有的过程进行内审及检查,并对内审及检查中发现的不符合项采取纠正和预防措施,消除质量体系运行过程中的问题,保持质量体系运行的适宜性、充分性、有效性和效率。
综上所述,由于我公司有完善的质量体系,并具备对质量体系的有效运行进行持续改进的能力,因此,我公司能为顾客提供高品质的产品和优质的服务,一定能让顾客完全满意。
十二. 第一次咨询的信息
1. 硬件结构分为内网机、外网机、仲裁机。都有处理功能,仲裁机的处理能力最强,其次是外网机,最后为内网机。但是仲裁机为主,外网机和内网机为从。处理的模式是多级流水线结构。
2. 三块板的通信速度为400Mbps=50MB,白皮书上有误。(所有的资料上都是这个数据)。
3. 利用两台Ferry way做冗余,其中一台坏掉另一台会代替其功能。坏掉的Ferry way会报警。
4. 电源的冗余是n+1模式,其中一个电源工作,另一个电源Standby。
5. 在线能力是工控机水平。
6. Ferry way和防火墙之间的关系:Ferry way还不能完全代替防火墙。
7. 客户已经想要用小一点的系统,因为机箱实在太大了。
十三. 资料收集和分析
8. 应用层数据从TCP协议中剥离出来,通过自定义的安全协议,发给仲裁系统;仲裁系统处理后,发给另一方,还原为TCP/IP包格式, 网络协议包不可能跨越两个网络。
9. 基本算法原理:高效的基于下推自动机的过滤算法自主研发的高效的基于下推自动机的过滤算法,采用树形结构存储敏感信息。特别设计的数据源过滤器以策略树为过滤依据, 内建多个下推自动机,自动机数量由策略树结构动态决定。对目标内容实现并行过滤。更新策略树不会影响已经存在的数据源过滤器,更新之后的过滤动作自动采用新的策略树作为过滤依据,策略树更新做到了“热插拔”。该过滤算法,特别适合大批量关键字同时过滤,而且该算法还能避免常见的掩饰手段,如将敏感关键词拆开、加入标点、换行等的干扰,有很强的信息滤出能力。
10. FerryWay交换平台创造性地采用了三机的体系结构,由仲裁机担任的“安全检查员”对从TCP包中剥离出来的应用层信息进行安全检查。仲裁系统会对检查结果进行审计。这样一方面防止外网黑客的攻击,另一方面也可以有效地控制内网用户的信息泄漏,减少病毒的泛滥和传播,提高系统的安全等级。外网机不向外网用户提供任何服务,以减少知名服务的安全隐患。同时对操作系统进行最大化精简,并做了安全优化。FerryWay采用了内嵌的入侵检测机制,检查外网机上的可能的入侵事件。
11. ferryway产生的背景:
随着国家信息化建设不断深入,作为信息化建设重要组成部分的电子政务,也在各地轰轰烈烈地展开。为提供科学决策、监管控制、大众服务等功能,电子政务平台上存在相当多的重要文件,其泄漏将给国家和人民造成很大的损失。越来越多的专家认识到信息安全是电子政务建设中的头等大事,关系到国家安全和社会稳定。
对于网络安全域的划分和控制,国家已经明确分为内网、外网和互联网,内网和外网之间是物理隔离,外网和互联网是逻辑隔离。电子政务要求对国家涉密的、特别是核心办公的信息要放在内网上,而内网和外网必须物理隔离。内网和外网之间的物理隔离分为有三个层次,第一个层次是物理级的,防电子辐射,如屏蔽线、加干扰器等。第二层次是终端级,有的单位可能已选择了双网机。第三层次是网络级,它使内网和外网能够连起来,连起来之后才能做适度的信息交换和共享。网络级的隔离有三种类型,一种是适度的信息交换型,比如邮件传输;第二种是适度的信息共享型,比如从内部能反馈到外边的某个网站;第三种是互操作型,电子政务服务要求互操作型网络级隔离。
内网和外网的物理级的隔离虽然切掉了全球的一大批黑客群,但也出现了一个问题,如何加强管理防止内外勾结型的信息泄漏,杜绝内部犯罪,这包括违规操作或是有目的的窃取等。尤其在信息化建设日益普及的今天,这个问题更加突出。此外,目前的物理隔离方案成本都相当高,在每个工作站上都需安装专门的硬件设施,几乎相当于重建一套网络,同时给信息交换带来很大的不便。
本公司研制的安全隔离信息交换平台FerryWay是一种基于物理隔离的安全设备,它在允许适度信息交换的基础上,保证网络的安全。可以广泛地应用于各种不可信任网和内部信任网络之间的连接,例如电子政务系统的外网和内网之间以及应用在银行、证券、航天等对安全要求较高的行业中。
十四. 基本原理:
FerryWay的数据流程如图2所示,应用层数据从TCP协议中剥离出来,通过自定义的安全协议,发给仲裁系统;仲裁系统处理后,发给另一方,还原为TCP/IP包格式, 网络协议包不可能跨越两个网络。
十五. 如何保护外网机:
外网机不向外网用户提供任何服务,以减少知名服务的安全隐患。同时对操作系统进行最大化精简,并做了安全优化。