1、項目名稱：高可用綜合安全網關技術研究與應用 

2、項目簡介： 

項目屬于電子信息技術領域。 

安全網關是重要的網絡邊界防護設備，也是我國信息安全保障體系的核心組件之一。近年來，網絡安全威脅呈現出強烈的多樣化趨勢，所帶來的技術和管理挑戰令傳統安全網關產品難以為繼。 

項目以建立高可用綜合安全網關技術支撐體系為核心，進行了高性能、高可用、集成化的安全網關關鍵技術攻關與產品研發，形成了如下科技創新： 

（1）提出了支持多核平臺、可擴展的多安全功能網絡處理體系結構，解決了多安全功能統一調度和管理、高速兩階段特征匹配等問題，實現了高性能多核并行網絡安全處理和數據流控制技術突破。 

（2）提出了一種統一防御和專有防御相結合的多層次分布式拒絕服務攻擊防御方法，有效提高了未知攻擊類型的識別率，解決了面臨大規模攻擊時受保護業務系統和網絡設備自身可用性問題。 

（3）研制了面向網關系統的高安全系統內核和嵌入式數據庫系統，突破了 BLP 網絡擴展、多層次故障恢復等關鍵技術，構建了自主的綜合安全網關基礎系統平臺。 

（4）突破了 WEB 應用攻擊精確識別技術和主動 WEB 應用安全加固技術，構建了高效的WEB應用防護系統。 

（5）提出了基于網關的應用信任服務框架，實現了支持跨域的應用級統一認證、授權與審計服務，有效提升了網關的應用信任服務能力。 

項目編制國家標準3項（頒布1項），申請發明專利15項（授權7項），登記軟件著作權10項，發表論文30余篇。 

項目成功推出了PowerV/KingGuard、洪御/昊天等綜合安全網關產品，并在政府、電信等領域廣泛應用。2010年1月~2012年10月，網關產品銷售超過18000臺，新增產值3.91億元，新增利潤超過6972萬元。據IDC統計，2009年項目完成的安全網關產品在中國統一威脅防御市場中占據第一的位置。2010年11月，發改委授予項目"國家高技術產業化示范工程"稱號。2012年3月，項目獲北京市科學技術獎一等獎。 

項目成果評審專家組一致認為："項目研究成果內容豐富，系統設計思想先進，研制難度很大，在網關基礎系統平臺…等方面有重大創新，…整體技術水平達到國際先進、國內領先。" 

3、擬報獎種：國家科學技術進步獎 

4、完成人：馮登國，徐震，畢學堯，張陽，馬多賀，高鵬，黃亮，宋晨，孟慶森，楊婧，宗兆偉，楊聰毅，呂雙雙，張穎君，翟征德 

5、主要完成人貢獻 

馮登國：1）制定項目總體研究規劃，指導關鍵技術研究，為項目關鍵技術突破和產品化做出了重要貢獻；2）創新性地提出了網關內核加固和數據完整性保護方法，建立了網關基礎系統平臺的技術優勢；3）提出了可定制的零拷貝方法和底層數據過濾方法，提升了網關數據處理和攻擊過濾能力，為防御分布式拒絕服務攻擊奠定了技術基礎；4）提出了細粒度文本過濾方法，解決了應用層數據高效過濾的難題；5）提出跨域認證和訪問控制模型，并組織實施相關國家標準制定工作。 

徐  震：1）負責高可用綜合安全網關技術體系規劃與整體項目管理；2）參與了嵌入式數據庫系統多層次故障恢復方法研究，并組織網關基礎系統平臺研發工作；3）設計了分布式拒絕服務攻擊防護技術體系，組織實施了洪御網關系統的產品規劃、研發工作；4）組織實施昊天網關系統的產品規劃、研發和中試工作；5）參與設計跨域的訪問控制模型，并負責編制相關國家標準一項。 

畢學堯：1）總體負責項目的技術應用研究與產品規劃工作，為項目產品化作出了重要貢獻；2）主持多核平臺的技術應用研究工作，并組織突破了兩階段匹配等多核應用和高性能網絡處理關鍵技術；負責PowerV /KingGuard網關產品的設計、研發、生產，成功推動產品進入國內網絡安全市場；3）設計基于網關的應用信任服務框架并應用于PowerV/KingGuard中。 

6、完成單位及其創新/應用貢獻： 

中國科學院軟件研究所：在高可用綜合安全網關方面取得了多項理論和技術成果，完成了網關基礎系統平臺、WEB應用安全保護模塊、基于網關的應用信任框架等的研發，并與網御星云合作研制了網絡安全服務綜合管理系統。申請發明專利8項（其中3項已授權），獲得軟件著作權7項，發表論文30多篇，培養博士、碩士40余人。在技術創新方面，研制了面向網關系統的高安全系統內核和嵌入式數據庫系統，突破了BLP網絡擴展、多層次故障恢復、高可用集群等關鍵技術，構建了自主的綜合安全網關基礎系統平臺；提出了可擴展的多安全功能網絡處理體系結構，解決了多安全功能統一調度和管理等問題；突破了WEB應用攻擊精確識別技術和主動式的WEB應用安全加固技術，實現了高效的WEB應用防護；提出了基于網關的應用信任服務框架，實現了支持跨域的應用級統一認證、授權與審計服務，有效提升了網關的應用安全防護能力。在應用推廣方面，牽頭研制了昊天安全網關，協助兩家合作單位研制了Power UTM/KingGuard、洪御安全網關等產品,并開展了應用推廣工作，取得了良好的經濟效益和社會效益。在標準建設方面，制定了《基于角色的訪問控制模型與管理規范》等3項國家標準（1項頒布，2項送審）。 

中科信息安全共性技術國家工程研究中心有限公司：研制了分布式拒絕服務攻擊防護模塊，推出了以分布式拒絕服務攻擊為特色的洪御安全網關產品，并與中國科學院軟件研究所聯合進行了以WEB應用安全防護為特色的昊天網關的產品化工作，并已完成相關發明專利申請2項。在洪御網關研制過程中，提出了一種統一防御和專有防御相結合，具有入侵容忍能力的多層次分布式拒絕服務攻擊防御方法，顯著提高了拒絕服務的防御效率，有效提高了對未知攻擊類型的識別率，解決了面臨大規模攻擊時受保護業務系統和網絡設備自身的可用性問題。推出的安全網關產品現已實際應用于國家信息中心、北京信息安全測評中心、什邡市等單位，為保障用戶的網絡和應用安全做出了重要貢獻。 

北京網御星云信息技術有限公司：在高可用綜合安全網關技術研究與應用方面開展了大量工作，申請發明專利5項（2項已授權），獲得軟件著作權2項。推出的高性能綜合安全網關產品，有力地提升了我國網絡安全行業的核心競爭力和網絡安全產業的國際地位。在安全網關的研制過程中，突破了基于多核平臺的高性能并行網絡安全和數據流控制技術，研究并解決了硬件線程通信、核計算資源的分配、多核間狀態表共享數據訪問、兩階段特征匹配等關鍵技術問題，實現了高性能多核并行處理和實時在線內容檢測。基于多核平臺的網關系統在啟用單一功能時可實現雙向近20G的網絡處理能力。 

網御星云牽頭產品化的Power UTM/KingGuard綜合安全網關。自2008年至今，相關產品銷售累計銷售超過1.4億，實現利稅超過2400萬元。目前，高可用綜合安全網關已成為網御星云的技術和產品創新的戰略方向。

7、主要知識產權： 

（1）發明專利 

數據庫惡意事務處理方法及其系統 ZL200710177511.0 

以太網驅動級底層過濾方法和系統 ZL200610011477.5 

文本內容過濾方法和系統 ZL200610113592.3 

一種XACML策略規則檢測方法 ZL200810119404.7 

一種跨域認證方法及其系統 ZL200810226845.7 

一種HTTP Flood分布式拒絕服務攻擊防御方法 ZL200910008858.1 

一種網絡安全設備的連接控制方法及設備 ZL200910076845.8 

（2）論文 

Research on Malicious Transaction Processing Method of Database System，WAIM2008，July 2008 

SEPCOM: Customizable Zero Copy Model, Performance Evaluation Methodologies and Tools, 2007 

Mediator-Free Secure Policy Interoperation of Exclusively-Trusted Multiple Domains, ISPEC 2008,lncs 4991 

一種基于指針邏輯的代碼安全屬性分析方法，計算機學報2009 

我單位擬推薦該項目申報2014年度國家科學技術進步獎，特公示，公示期：2013年12月6日至2013年12月12日，公示期內如對公示內容有異議，請您向中國科學院軟件研究所科技處反映。聯系人及聯系電話：李潔，01062661022。