天融信网络卫士安全隔离与信息交换系统TopRules是北京天融信公司基于公司具有自主知识产权的安全操作系统TOS (Topsec Operating System) 和多年网络安全产品研发经验研发而成的，该产品基于完整的安全体系结构设计理念，率先完善了安全隔离的概念。该产品采用2+1系统架构，通过对信息进行落地、还原、扫描、过滤、防病毒、入侵检测、审计等一系列安全处理机制，有效防止黑客攻击、恶意代码和病毒渗入，同时防止内部机密信息的泄露，实现网间安全隔离和信息交换。

      该产品刚推出就得到很多用户的关注，使其在刚进入市场后就可以迅速积累客户应用经验，产品得到更快的完善和发展。天融信作为中国信息安全的领先厂商，永于创新、不懈努力，将致力于为客户提供更加安全、可行的隔离和信息交换的解决方案。

核心技术：

先进的2+1系统模型

      TopRules“2+1”系统架构网闸产品，由内端机、外端机、数据迁移控制单元（又称仲裁系统）三部分组成。内端机和外端机具有独立的存储和运算单元，并具有独立总线。内外端机采用了天融新自主知识产权的专有TOS安全操作系统，可为TopRules系统提供全方位的保护。内外端机之间采用了具有互斥效果的数据迁移控制单元进行连接，其结构如下图所示:

专用硬件和专用通信协议

      采用了高速的专用硬件处理设备，使系统具有了极高的数据吞吐能力；通过在天融信公司专用安全操作系统TOS内核中嵌入专用协议和认证机制，使得设备的安全隔离能力大大增强；内网主机和外网主机是内部网络和外部网络通用TCP/IP协议的终点，各自的网络协议在仲裁系统实现剥离和重建，内部网络和外部网络不可向对方延伸。所有过数据流都从TCP/IP协议包中剥离，还原为应用层数据，应用层数据通过专用硬件和专用通信协议发送给仲裁系统进行安全控制和审查。

安全隔离特征

      一方面TopRules能防止来自外网恶意的攻击，另一方面也可以有效保护内网用户的信息、防止泄漏，进而减少病毒等恶意代码泛滥和传播的可能，从而确保受保护网络系统能够达到预期的安全等级。

      1、内外端机严格控制对外网用户提供的服务，甚至可以不对外提供服务，以减少由于开放知名服务而带来的安全隐患。

      2、设备所依赖的TOS安全操作系统，是天融信公司集多年安全经验自主研发的新一代安全操作系统，该系统集防火墙、入侵检测、身份认证等多种安全技术为一体，其本身的安全性值得信赖。

      3、TopRules采用了内嵌入侵检测和病毒防护等安全机制，利用自有高效的安全算法，可最大限度防止攻击和恶意代码侵袭等活动。

      4、系统提供管理员身份鉴别功能，并借助强有力的安全策略来保证鉴别的有效性和安全性，例如对口令强度的检测及对鉴别尝试次数的限制等。

基于下推自动机的高效过滤算法

      TopRules在实现时，采用了天融信自主研发的基于下推自动机的高效过滤算法。这种算法采用树形结构存储敏感信息，特别设计的数据源过滤器以策略树为过滤依据, 内建多个下推自动机（自动机数量由策略树结构动态决定），对敏感信息进行并行的匹配和过滤。更新策略树不会影响已经存在的数据源过滤器,更新之后的过滤动作自动采用新的策略树作为过滤依据，策略树更新做到了“热插拔”。这种过滤算法，特别适合大批量关键字同时过滤，而且还能避免常见的掩饰手段的干扰，如将敏感关键词拆开、加入标点、换行等，具有很强的信息滤出能力。

产品特点：

可靠的安全隔离和受控的信息交换

      技术领先的2+1系统结构，专用的硬件和专用的通信协议，有效地隔断内外网间的直接连接，借助严格的安全策略对数据流进行细粒度控制，防范恶意攻击和敏感信息的泄漏，有效的保障了网络间的安全可靠隔离和信息的受控交换。

独特的仲裁/审计系统

      仲裁系统是安全隔离与信息交换系统的核心，这里保存着TopRules的所有重要数据资料，并且实现了多种安全机制，可以为系统内每一位用户提供身份识别，在系统检测到相关事件之后可以追溯直接责任人；对流经仲裁系统的所有信息进行检查，找出其中的敏感内容，最终将内部网络和外部网络的信息交换置于一个可控的状况之下；记录各类审计信息，供管理员审查。

防范各类攻击和信息泄漏

      通过访问控制策略、安全协议通道、入侵检测引擎、杀毒引擎、数字签名等技术的使用，可以使设备发现、过滤并阻塞各种已知、未知的攻击，病毒和蠕虫等恶意代码，有效保护内部网络系统的安全性，同时借助严格的内容控制技术，还可以防止内部敏感信息的泄漏。

应用级完全内容检测与审计

      采用天融信公司专有完全内容检测模块，过滤所有交换数据，全面解析网络传输信息，通过深层次细粒度的内容过滤，预先拦截内、外网用户禁止访问的内容，还具有避免常见的掩饰手段（如拆分敏感关键词、加入标点、换行等）干扰的特点，达到了完全内容检测CCI（Complete Content Inspection）；同时仲裁系统对所有信息交换数据和行为进行审计记录，可以及时获知网络使用情况。

广泛的应用协议支持

      支持常见的基于TCP和UDP的各类主流应用协议，此外，针对某些网络系统中存在的其它数据库同步、文件同步、视频访问等其它类型的信息交换业务，TopRules提供灵活的扩展和定制功能，能够快速方便地满足用户需求。

基于用户的访问控制

      如果要让内外网两端进行正常的信息交换，必须首先在TopRules系统上建立合法的用户账号，后续所有的信息交换过程都将基于预先建立的用户来进行安全控制。TopRules设备支持两类基本用户，一类是普通用户，一类是管理员用户。其中，普通用户是受TopRules系统控制的、对内外网络中信息交换提出使用需求的用户，而管理员用户则是对TopRules设备本身进行管理维护的人员。

安全、便捷的管理

      设备本身的管理和维护，都在仲裁系统上进行。仲裁系统采用专用协议，与内外部网络没有任何关联，不但保证了设备管理的可靠性和安全性；设备的管理完全符合中国人的习惯，全中文化设计，便捷、灵活。