1、项目名称：高可用综合安全网关技术研究与应用 

2、项目简介： 

项目属于电子信息技术领域。 

安全网关是重要的网络边界防护设备，也是我国信息安全保障体系的核心组件之一。近年来，网络安全威胁呈现出强烈的多样化趋势，所带来的技术和管理挑战令传统安全网关产品难以为继。 

项目以建立高可用综合安全网关技术支撑体系为核心，进行了高性能、高可用、集成化的安全网关关键技术攻关与产品研发，形成了如下科技创新： 

（1）提出了支持多核平台、可扩展的多安全功能网络处理体系结构，解决了多安全功能统一调度和管理、高速两阶段特征匹配等问题，实现了高性能多核并行网络安全处理和数据流控制技术突破。 

（2）提出了一种统一防御和专有防御相结合的多层次分布式拒绝服务攻击防御方法，有效提高了未知攻击类型的识别率，解决了面临大规模攻击时受保护业务系统和网络设备自身可用性问题。 

（3）研制了面向网关系统的高安全系统内核和嵌入式数据库系统，突破了 BLP 网络扩展、多层次故障恢复等关键技术，构建了自主的综合安全网关基础系统平台。 

（4）突破了 WEB 应用攻击精确识别技术和主动 WEB 应用安全加固技术，构建了高效的WEB应用防护系统。 

（5）提出了基于网关的应用信任服务框架，实现了支持跨域的应用级统一认证、授权与审计服务，有效提升了网关的应用信任服务能力。 

项目编制国家标准3项（颁布1项），申请发明专利15项（授权7项），登记软件著作权10项，发表论文30余篇。 

项目成功推出了PowerV/KingGuard、洪御/昊天等综合安全网关产品，并在政府、电信等领域广泛应用。2010年1月~2012年10月，网关产品销售超过18000台，新增产值3.91亿元，新增利润超过6972万元。据IDC统计，2009年项目完成的安全网关产品在中国统一威胁防御市场中占据第一的位置。2010年11月，发改委授予项目"国家高技术产业化示范工程"称号。2012年3月，项目获北京市科学技术奖一等奖。 

项目成果评审专家组一致认为："项目研究成果内容丰富，系统设计思想先进，研制难度很大，在网关基础系统平台…等方面有重大创新，…整体技术水平达到国际先进、国内领先。" 

3、拟报奖种：国家科学技术进步奖 

4、完成人：冯登国，徐震，毕学尧，张阳，马多贺，高鹏，黄亮，宋晨，孟庆森，杨婧，宗兆伟，杨聪毅，吕双双，张颖君，翟征德 

5、主要完成人贡献 

冯登国：1）制定项目总体研究规划，指导关键技术研究，为项目关键技术突破和产品化做出了重要贡献；2）创新性地提出了网关内核加固和数据完整性保护方法，建立了网关基础系统平台的技术优势；3）提出了可定制的零拷贝方法和底层数据过滤方法，提升了网关数据处理和攻击过滤能力，为防御分布式拒绝服务攻击奠定了技术基础；4）提出了细粒度文本过滤方法，解决了应用层数据高效过滤的难题；5）提出跨域认证和访问控制模型，并组织实施相关国家标准制定工作。 

徐  震：1）负责高可用综合安全网关技术体系规划与整体项目管理；2）参与了嵌入式数据库系统多层次故障恢复方法研究，并组织网关基础系统平台研发工作；3）设计了分布式拒绝服务攻击防护技术体系，组织实施了洪御网关系统的产品规划、研发工作；4）组织实施昊天网关系统的产品规划、研发和中试工作；5）参与设计跨域的访问控制模型，并负责编制相关国家标准一项。 

毕学尧：1）总体负责项目的技术应用研究与产品规划工作，为项目产品化作出了重要贡献；2）主持多核平台的技术应用研究工作，并组织突破了两阶段匹配等多核应用和高性能网络处理关键技术；负责PowerV /KingGuard网关产品的设计、研发、生产，成功推动产品进入国内网络安全市场；3）设计基于网关的应用信任服务框架并应用于PowerV/KingGuard中。 

6、完成单位及其创新/应用贡献： 

中国科学院软件研究所：在高可用综合安全网关方面取得了多项理论和技术成果，完成了网关基础系统平台、WEB应用安全保护模块、基于网关的应用信任框架等的研发，并与网御星云合作研制了网络安全服务综合管理系统。申请发明专利8项（其中3项已授权），获得软件著作权7项，发表论文30多篇，培养博士、硕士40余人。在技术创新方面，研制了面向网关系统的高安全系统内核和嵌入式数据库系统，突破了BLP网络扩展、多层次故障恢复、高可用集群等关键技术，构建了自主的综合安全网关基础系统平台；提出了可扩展的多安全功能网络处理体系结构，解决了多安全功能统一调度和管理等问题；突破了WEB应用攻击精确识别技术和主动式的WEB应用安全加固技术，实现了高效的WEB应用防护；提出了基于网关的应用信任服务框架，实现了支持跨域的应用级统一认证、授权与审计服务，有效提升了网关的应用安全防护能力。在应用推广方面，牵头研制了昊天安全网关，协助两家合作单位研制了Power UTM/KingGuard、洪御安全网关等产品,并开展了应用推广工作，取得了良好的经济效益和社会效益。在标准建设方面，制定了《基于角色的访问控制模型与管理规范》等3项国家标准（1项颁布，2项送审）。 

中科信息安全共性技术国家工程研究中心有限公司：研制了分布式拒绝服务攻击防护模块，推出了以分布式拒绝服务攻击为特色的洪御安全网关产品，并与中国科学院软件研究所联合进行了以WEB应用安全防护为特色的昊天网关的产品化工作，并已完成相关发明专利申请2项。在洪御网关研制过程中，提出了一种统一防御和专有防御相结合，具有入侵容忍能力的多层次分布式拒绝服务攻击防御方法，显著提高了拒绝服务的防御效率，有效提高了对未知攻击类型的识别率，解决了面临大规模攻击时受保护业务系统和网络设备自身的可用性问题。推出的安全网关产品现已实际应用于国家信息中心、北京信息安全测评中心、什邡市等单位，为保障用户的网络和应用安全做出了重要贡献。 

北京网御星云信息技术有限公司：在高可用综合安全网关技术研究与应用方面开展了大量工作，申请发明专利5项（2项已授权），获得软件著作权2项。推出的高性能综合安全网关产品，有力地提升了我国网络安全行业的核心竞争力和网络安全产业的国际地位。在安全网关的研制过程中，突破了基于多核平台的高性能并行网络安全和数据流控制技术，研究并解决了硬件线程通信、核计算资源的分配、多核间状态表共享数据访问、两阶段特征匹配等关键技术问题，实现了高性能多核并行处理和实时在线内容检测。基于多核平台的网关系统在启用单一功能时可实现双向近20G的网络处理能力。 

网御星云牵头产品化的Power UTM/KingGuard综合安全网关。自2008年至今，相关产品销售累计销售超过1.4亿，实现利税超过2400万元。目前，高可用综合安全网关已成为网御星云的技术和产品创新的战略方向。

7、主要知识产权： 

（1）发明专利 

数据库恶意事务处理方法及其系统 ZL200710177511.0 

以太网驱动级底层过滤方法和系统 ZL200610011477.5 

文本内容过滤方法和系统 ZL200610113592.3 

一种XACML策略规则检测方法 ZL200810119404.7 

一种跨域认证方法及其系统 ZL200810226845.7 

一种HTTP Flood分布式拒绝服务攻击防御方法 ZL200910008858.1 

一种网络安全设备的连接控制方法及设备 ZL200910076845.8 

（2）论文 

Research on Malicious Transaction Processing Method of Database System，WAIM2008，July 2008 

SEPCOM: Customizable Zero Copy Model, Performance Evaluation Methodologies and Tools, 2007 

Mediator-Free Secure Policy Interoperation of Exclusively-Trusted Multiple Domains, ISPEC 2008,lncs 4991 

一种基于指针逻辑的代码安全属性分析方法，计算机学报2009 

我单位拟推荐该项目申报2014年度国家科学技术进步奖，特公示，公示期：2013年12月6日至2013年12月12日，公示期内如对公示内容有异议，请您向中国科学院软件研究所科技处反映。联系人及联系电话：李洁，01062661022。