某電信網(wǎng)絡(luò)安全解決方案

1、長沙電信網(wǎng)絡(luò)安全解決方案湖南計(jì)算機(jī)股份有限公司網(wǎng)絡(luò)通信及安全事業(yè)部目錄TOCo1-5hz一、長沙電信網(wǎng)絡(luò)安全現(xiàn)狀1二、長沙電信網(wǎng)絡(luò)安全需求分析2三、網(wǎng)絡(luò)安全解決方案3四、網(wǎng)絡(luò)安全設(shè)計(jì)和調(diào)整建議8五、服務(wù)支持.8六、附錄.91、Kill與其他同類產(chǎn)品比較92、方正方御防火墻與主要競爭對手產(chǎn)品比較113、湘計(jì)網(wǎng)盾與主要競爭對手產(chǎn)品比較124、湖南計(jì)算機(jī)股份有限公司簡介13、長沙電信網(wǎng)絡(luò)安全現(xiàn)狀由于長沙電信信息網(wǎng)上的網(wǎng)絡(luò)體系越來越復(fù)雜，應(yīng)用系統(tǒng)越來越多，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，逐漸由Intranet擴(kuò)展到Internet。內(nèi)部網(wǎng)絡(luò)通過ADSLISDN以太網(wǎng)等直接與外部網(wǎng)絡(luò)相連，對整個(gè)生產(chǎn)網(wǎng)絡(luò)安全構(gòu)成了巨大

2、的威脅。具體分析，對長沙電信網(wǎng)絡(luò)安全構(gòu)成威脅的主要因素有：應(yīng)用及管理、系統(tǒng)平臺(tái)復(fù)雜，管理困難，存在大量的安全隱患。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的連接為直接連接，外部用戶不但可以訪問對外服務(wù)的服務(wù)器，同時(shí)也很容易訪問內(nèi)部的網(wǎng)絡(luò)服務(wù)器，這樣，由于內(nèi)部和外部沒有隔離措施，內(nèi)部系統(tǒng)極為容易遭到攻擊。來自外部及內(nèi)部網(wǎng)的病毒的破壞，來自Internet的Web瀏覽可能存在的惡意Java/ActiveX控件。病毒發(fā)作情況難以得到監(jiān)控，存在大范圍系統(tǒng)癱瘓風(fēng)險(xiǎn)。缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如UNIX服務(wù)器，NT服務(wù)器及Windows桌面PG管理成本極高

3、,降低了工作效率。缺乏一套完整的管理和安全策略、政策，相當(dāng)多的用戶安全意識(shí)匱乏。與競爭對手共享資源(如聯(lián)通)，潛在安全風(fēng)險(xiǎn)極高。上網(wǎng)資源管理、客戶端工作用機(jī)使用管理混亂，存在多點(diǎn)高危安全隱患。計(jì)算機(jī)環(huán)境的缺陷可能引發(fā)安全問題；公司中心主機(jī)房環(huán)境的消防安全檢測設(shè)施，長時(shí)間未經(jīng)確認(rèn)其可用性，存在一定隱患。各重要計(jì)算機(jī)系統(tǒng)及數(shù)據(jù)的常規(guī)備份恢復(fù)方案，目前都處于人工管理階段，缺乏必要的自動(dòng)備份支持設(shè)備。目前電信分公司沒有明確的異地容災(zāi)方案，如出現(xiàn)災(zāi)難性的系統(tǒng)損壞，完全沒有恢復(fù)的可能性。遠(yuǎn)程拔號訪問缺少必要的安全認(rèn)證機(jī)制，存在安全性問題。二、長沙電信網(wǎng)絡(luò)安全需求分析網(wǎng)絡(luò)安全設(shè)計(jì)是一個(gè)綜合的系統(tǒng)工程，其復(fù)雜

4、性絲毫不亞于設(shè)計(jì)一個(gè)龐大的應(yīng)用系統(tǒng)。長沙電信信息網(wǎng)的安全設(shè)計(jì)，需要考慮涉及到承載的所有軟硬件產(chǎn)品及處理環(huán)節(jié)，而總體安全往往取決于所有環(huán)節(jié)中的最薄弱環(huán)節(jié)，如果有一個(gè)環(huán)節(jié)出了問題，總體安全就得不到保障；具體就以下幾個(gè)方面來分析。物理安全：在設(shè)計(jì)時(shí)需要考慮門禁、防盜、防火、防塵、防靜電、防磁、電源系統(tǒng)等等。網(wǎng)絡(luò)結(jié)構(gòu)安全：通過層次設(shè)計(jì)和分段設(shè)計(jì)能夠更好的實(shí)現(xiàn)網(wǎng)絡(luò)之間的訪問控制，結(jié)構(gòu)設(shè)計(jì)需要對網(wǎng)絡(luò)地址資源分配、路由協(xié)議選擇等方面進(jìn)行合理規(guī)劃。通常應(yīng)該要求網(wǎng)絡(luò)集成商在網(wǎng)絡(luò)設(shè)計(jì)時(shí)對結(jié)構(gòu)安全加以考慮，并在運(yùn)營維護(hù)過程中不斷改進(jìn)和完善。網(wǎng)絡(luò)安全：對重要網(wǎng)段加以保護(hù)。通過防火墻做接入點(diǎn)的安全；通過掃描軟件對網(wǎng)絡(luò)范

5、圍內(nèi)的所有提供網(wǎng)絡(luò)服務(wù)的設(shè)備進(jìn)行漏洞掃描和修補(bǔ)；通過基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)動(dòng)態(tài)的保護(hù)重要網(wǎng)段。系統(tǒng)安全：對網(wǎng)上運(yùn)行的所有重要服務(wù)器加以保護(hù)，并從自身實(shí)施一定的安全措施。通過操作系統(tǒng)升級和打安全補(bǔ)丁減少系統(tǒng)漏洞；通過掃描軟件對服務(wù)器進(jìn)行漏洞掃描和修補(bǔ)；通過安裝基于主機(jī)的入侵檢測系統(tǒng)來保護(hù)重要的服務(wù)器。數(shù)據(jù)庫安全：通過專業(yè)的數(shù)據(jù)庫掃描軟件檢測數(shù)據(jù)庫系統(tǒng)存在的安全漏洞并進(jìn)行修補(bǔ)，保護(hù)關(guān)鍵應(yīng)用系統(tǒng)存放在數(shù)據(jù)庫中的數(shù)據(jù)。應(yīng)用系統(tǒng)和數(shù)據(jù)的安全：對于應(yīng)用系統(tǒng)的安全，一方面可以借助掃描工具對軟件安裝的主機(jī)進(jìn)行評估，另一方面對應(yīng)用系統(tǒng)所占用的網(wǎng)絡(luò)服務(wù)、用戶權(quán)限和資源使用情況進(jìn)行分析，找出可能存在的安全問題。對于

6、數(shù)據(jù)的安全，通過使用防病毒產(chǎn)品進(jìn)行全方位的數(shù)據(jù)掃描服務(wù)，保證整個(gè)生產(chǎn)網(wǎng)處于安全無毒的環(huán)境。網(wǎng)絡(luò)安全是個(gè)長期的過程，不僅需要有好的規(guī)劃設(shè)計(jì)，還要有良好的安全策略、及時(shí)的安全評估和完善的安全管理體系，綜合運(yùn)用各種安全工具，方能保證系統(tǒng)處于最佳安全狀態(tài)。以下是僅對長沙電信網(wǎng)絡(luò)的一個(gè)集各項(xiàng)先進(jìn)技術(shù)、國內(nèi)優(yōu)秀品牌網(wǎng)絡(luò)安全產(chǎn)品的網(wǎng)絡(luò)安全解決方案。三、網(wǎng)絡(luò)安全解決方案工程公司新開鋪裝機(jī)址司火車站涂家沖新民路香鐐路黃興路妙高嵯掘樹山上大圾局工程公司新開鋪裝機(jī)址司火車站涂家沖新民路香鐐路黃興路妙高嵯掘樹山上大圾局荷花園五一路Gatalyst5-505伍家?guī)X郵電大產(chǎn)芙蓉路榮灣鎮(zhèn)朝陽路hdLLiSS天心絲茅沖南托D

7、DN64K寧鄉(xiāng)縣瀏陽縣望城縣銅關(guān)市局/悵/望/瀏/寧撥號用戶望城縣潘家坪黃花Me長沙市電信局網(wǎng)絡(luò)安全解決方案防光墻+入僵檢測+掃描器+VPNKILL網(wǎng)絡(luò)版+妄全評估PSTN?長沙縣防火墻：我們采用方正方御的1U型防火墻。該防火墻屬于集成模塊型狀態(tài)檢測防火墻，用戶可根據(jù)需要選擇功能模塊。在這里我們選擇的是入侵檢測模塊、掃描器模塊、VPN模塊，并考慮在中心機(jī)房的防火墻上選擇安全評估模塊。*中心機(jī)房防火墻將重要數(shù)據(jù)與內(nèi)外網(wǎng)絡(luò)隔離，在長沙節(jié)點(diǎn)與四個(gè)縣之間、長沙節(jié)點(diǎn)與骨干網(wǎng)之間、PSTNDDN接入網(wǎng)絡(luò)處分別配置防火墻，并根據(jù)原有的冗余鏈路利用防火墻提供的內(nèi)外網(wǎng)口實(shí)現(xiàn)關(guān)鍵鏈路的雙機(jī)熱備；*VPN模塊可實(shí)現(xiàn)

8、點(diǎn)-網(wǎng)關(guān)、網(wǎng)關(guān)-網(wǎng)關(guān)的VPN加密通道，數(shù)字證書作為防火墻之間的身份認(rèn)證，保證PSTN遠(yuǎn)程撥號訪問傳輸數(shù)據(jù)的完整性和保密性；*入侵檢測模塊結(jié)合掃描器可對關(guān)鍵鏈路進(jìn)行實(shí)時(shí)監(jiān)控；*安全評估能夠全面的評估企業(yè)范圍內(nèi)的所有網(wǎng)絡(luò)服務(wù)、防火墻、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器等系統(tǒng)的安全狀況，找出存在的安全漏洞并給出修補(bǔ)建議。防火墻還可以將企業(yè)內(nèi)部PC的MAC地址和IP地址進(jìn)行捆綁，這樣可以避免內(nèi)部人員隨意修改IP地址；*URL過濾功能可限制企業(yè)內(nèi)部員工訪問一些特定性質(zhì)的站點(diǎn)。*網(wǎng)絡(luò)地址轉(zhuǎn)換(NetworkAddressTranslation)功能不僅可以隱藏內(nèi)部網(wǎng)絡(luò)地址信息，使外界無法直接訪問內(nèi)部網(wǎng)絡(luò)設(shè)備，同時(shí)，

9、它還幫助網(wǎng)絡(luò)可以超越地址的限制，合理地安排網(wǎng)絡(luò)中上公用地址和私有地址的內(nèi)部網(wǎng)用戶順利的訪問Internet的信息資源，不但不會(huì)造成任何網(wǎng)絡(luò)應(yīng)用的阻礙，同時(shí)還可以節(jié)省大量的網(wǎng)絡(luò)地址資源，解決公司IP地址資源不夠的問題。防病毒軟件：我們采用的是北京冠群金辰公司的Kill系列防病毒軟件，KILL防病毒軟件有專門針對Email服務(wù)器和0A服務(wù)器的版本以及KillForLotus，KillForUNIX，KillForNT等等，適用于電信行業(yè)這樣的大型網(wǎng)絡(luò)。在內(nèi)部網(wǎng)絡(luò)中選擇一臺(tái)服務(wù)器作為KILL下載服務(wù)器，可以定時(shí)的從網(wǎng)絡(luò)中下載最新的病毒庫，然后分發(fā)到客戶端KILL的機(jī)器上面。大大簡化了防病毒的管理工作

10、。升級問題是反病毒軟件的一個(gè)重要考核標(biāo)準(zhǔn)，因此，KILL所提供的自動(dòng)簡單升級方法也是KILL系列產(chǎn)品的一個(gè)重要優(yōu)勢。KILL主動(dòng)郵件服務(wù)功能，能夠直接將最新升級版本用電子郵件的方式發(fā)送到指定電子郵箱中。同時(shí)，企業(yè)內(nèi)部網(wǎng)通過簡單配置，在一臺(tái)服務(wù)器上下載升級文件便能夠自動(dòng)完成全域內(nèi)所有計(jì)算機(jī)升級工作。即系統(tǒng)管理員可以將文件服務(wù)器作為下載升級文件服務(wù)器，當(dāng)文件服務(wù)器升級文件下載成功后，KILL會(huì)自動(dòng)將升級文件分發(fā)給其他服務(wù)器和NT工作站；在終端用戶登錄到升級后的服務(wù)器時(shí)，客戶端會(huì)自動(dòng)運(yùn)行升級程序，從而完成客戶端升級工作。整個(gè)升級工作如下圖所示：KILL自動(dòng)下黠文件分布援收AVUPDATE*將在收至J

11、適當(dāng)?shù)纳壾浖r(shí)itNT服務(wù)器和工件站自動(dòng)更新分發(fā)，接收接收DOSind4v/f3LnUlind4v/fNTWoricftatioftWinAwt95t;9e入侵檢測系統(tǒng)軟件：我們知道，Intranet的保護(hù)需要有適當(dāng)?shù)墓ぞ撸ū热绶阑饓Γ?。但值得注意的是，如果我們在有了適當(dāng)?shù)墓ぞ咭院筮€缺乏必要的審核手段，仍有可能造成企業(yè)50%上的的巨大損失。據(jù)一些著名防火墻專家的估測，在現(xiàn)已安裝的防火墻中，大約有防火墻實(shí)現(xiàn)是不當(dāng)?shù)?。而造成這一現(xiàn)狀的重要原因就是用戶在配置的細(xì)節(jié)以及基本操作系統(tǒng)的易受攻擊上。正是由于這一原因，在網(wǎng)絡(luò)日益成為當(dāng)今公司企業(yè)賴以生存的手段的時(shí)候，它在將用戶與必要的資源相連接的同時(shí)，傳輸

12、著至關(guān)重要而且往往是高度敏感的信息。但是隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大、復(fù)雜性的增加，防止它們受到諸如低級協(xié)議攻擊、服務(wù)器與桌面電腦入侵之類的威脅就變得越來越困難。更有其它危險(xiǎn)來自于通過內(nèi)部網(wǎng)絡(luò)傳播的病毒和惡意小程序。因此與往常一樣，我們很有必要檢測和阻止對內(nèi)部服務(wù)和桌面的不合理訪問以及不正常的外部URL那么網(wǎng)絡(luò)在被動(dòng)保護(hù)自己不受侵犯的同時(shí)，能否采取某些技術(shù)，主動(dòng)保護(hù)自身的安全呢？入侵檢測技術(shù)就是一種主動(dòng)保護(hù)自己免受黑客攻擊的一種網(wǎng)絡(luò)安全技術(shù)。入侵檢測技術(shù)可以幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵點(diǎn)

13、收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，它在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。湘計(jì)網(wǎng)盾入侵檢測系統(tǒng)產(chǎn)品介紹應(yīng)用環(huán)境：TCP/IP10/100M以太網(wǎng)；兼容性：與控制臺(tái)通信加密，與控制臺(tái)相互認(rèn)證；適用性：獨(dú)立操作系統(tǒng)；功能描述網(wǎng)絡(luò)監(jiān)聽能力：支持10/100M以太網(wǎng)監(jiān)聽；監(jiān)聽網(wǎng)口不綁定IP。網(wǎng)絡(luò)流預(yù)處理能力：支持TCP流重組，能夠監(jiān)控的并發(fā)活動(dòng)TCP連接數(shù)為60,000以上；支持IP碎片重組。協(xié)議支持與信息收集：arp監(jiān)控，收集MAC/IP信息；generalIP

14、/TCP/UDP流監(jiān)控，能支持識(shí)別syn-attack、portscan；ICMP監(jiān)控，包括traceroute行為、主機(jī)與端口不可達(dá)信息。行為檢測：實(shí)時(shí)分析支持基于規(guī)則匹配的內(nèi)容分析；支持各類約1000多個(gè)事件描述；自動(dòng)通過管理端網(wǎng)口將事件信息傳遞給Console，通信協(xié)議要支持實(shí)時(shí)流量轉(zhuǎn)儲(chǔ)的吞吐量；根據(jù)配置，能自動(dòng)實(shí)時(shí)阻斷某種特征的連接，也可以根據(jù)Console的請求阻斷某些特征的連接；TCPRST；ICMPUNREACHAB；LEARPTakeover；管理控制權(quán)限分級，參照公安部要求執(zhí)行，至少分：管理員、授權(quán)管理人員、授權(quán)用戶，詳見公安部標(biāo)準(zhǔn)；集中管理集中管理一個(gè)或多個(gè)Sensor（理

15、論上對Sensor無限制）；負(fù)責(zé)策略的配置；可以對Sensor進(jìn)行入侵庫和軟件的升級；規(guī)則庫與規(guī)則定制系統(tǒng)規(guī)則庫有事件的詳細(xì)說明和分級；系統(tǒng)提供幾套缺省入侵檢測集供用戶選用；用戶可以自行制定入侵檢測集；用戶可以自行定制入侵檢測匹配規(guī)則；統(tǒng)計(jì)分析對一個(gè)或多個(gè)Sensor上傳的日志進(jìn)行統(tǒng)計(jì)分析；能夠根據(jù)日志分析并鑒別下列行為，并生成分析日志，（同時(shí)自動(dòng)將相關(guān)事件日志復(fù)制到分析日志關(guān)聯(lián)庫中，以防原始事件日志被回卷）：黑客攻擊（35大類，1290多種），并能通過網(wǎng)絡(luò)接口進(jìn)行檢測庫和程序的升級檢測端口掃描攻擊檢測常見的web攻擊對不正常的請求icmp報(bào)警檢測利用finger的攻擊檢測利用ftp的攻擊對少

16、見的ip選項(xiàng)報(bào)警檢測常見的后門檢測利用RPC漏洞的攻擊檢測利用緩沖區(qū)溢出的攻擊根據(jù)分析結(jié)果，觸發(fā)響應(yīng)完善的審計(jì)、日志功能對所有管理員操作進(jìn)行記錄；對所有Sensor上傳事件信息進(jìn)行記錄；根據(jù)不同等級的事件設(shè)置各自獨(dú)立的回滾存儲(chǔ)區(qū)；審計(jì)信息應(yīng)能加密存儲(chǔ)（需要明確：審計(jì)信息包括哪些）；支持流行數(shù)據(jù)庫報(bào)表用直觀的柱行圖或餅圖統(tǒng)計(jì)攻擊的各情況；入侵響應(yīng)可以針對不同事件等級、統(tǒng)計(jì)分析結(jié)果等級制定不同的響應(yīng)方式；中斷連接（通過Sensor執(zhí)行）；提醒系統(tǒng)維護(hù)，漏洞更新多種報(bào)警，通知方式Email、聲音、切斷連接、記錄到數(shù)據(jù)庫等。四、網(wǎng)絡(luò)安全設(shè)計(jì)和調(diào)整建議盡快與尋呼、移動(dòng)網(wǎng)絡(luò)從物理上完全分離；物理安全的保護(hù)

17、主要網(wǎng)絡(luò)設(shè)備和各種業(yè)務(wù)服務(wù)器的安全（包括確認(rèn)防火、防盜，自動(dòng)煙霧檢測系統(tǒng)的工作正常，以及防塵、防靜電防磁、電源系統(tǒng)等）；毀滅性災(zāi)難發(fā)生時(shí)的異地容災(zāi)（從節(jié)約資金的角度，現(xiàn)主要考慮數(shù)據(jù)磁帶的異地備份）；應(yīng)用系統(tǒng)按其重要性分段，重要系統(tǒng)在條件允許時(shí)盡量集中放置，以便集中實(shí)施安全策略。維護(hù)人員的桌面機(jī)所在網(wǎng)段應(yīng)與重要網(wǎng)段邏輯上隔離；針對桌面平臺(tái)現(xiàn)狀，制定規(guī)范化管理方案。統(tǒng)一操作系統(tǒng)版本并安裝相應(yīng)的補(bǔ)丁。不允許在辦公用機(jī)上私自安裝各種非生產(chǎn)用的軟件。非計(jì)算機(jī)專業(yè)維護(hù)部門不允許私自拆卸計(jì)算機(jī)設(shè)備。五、服務(wù)支持湖南計(jì)算機(jī)股份有限公司網(wǎng)絡(luò)通信及安全事業(yè)部一直倡導(dǎo)與客戶共同發(fā)展，客戶的成長才是我們持續(xù)發(fā)展的源動(dòng)

18、力。我們的網(wǎng)絡(luò)安全服務(wù)主要業(yè)務(wù)如下：網(wǎng)絡(luò)安全咨詢服務(wù)：主要通過分析用戶的業(yè)務(wù)需求和現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，提出實(shí)用明確的網(wǎng)絡(luò)的方案，根據(jù)網(wǎng)絡(luò)功能和業(yè)務(wù)制定完善的安全策略；制定網(wǎng)絡(luò)安全管理制度體系：幫助用戶解決網(wǎng)絡(luò)中由于制度和結(jié)構(gòu)導(dǎo)致的問題，設(shè)計(jì)網(wǎng)絡(luò)安全整體解決方案和建立網(wǎng)絡(luò)安全管理制度體系，根據(jù)實(shí)際安全需要和客戶預(yù)算，增加和配置網(wǎng)絡(luò)安全產(chǎn)品。安全產(chǎn)品集成與網(wǎng)絡(luò)安全技術(shù)服務(wù)：在用戶網(wǎng)絡(luò)安全建設(shè)中，網(wǎng)絡(luò)安全相關(guān)的軟硬件建設(shè)是一個(gè)很重要的環(huán)節(jié)。我們精心選擇了部分網(wǎng)絡(luò)安全產(chǎn)品提供商結(jié)成戰(zhàn)略合作伙伴，能夠向用戶提供全方位、成系列的網(wǎng)絡(luò)安全解決方案及定期與不定期相結(jié)合的完善周到的網(wǎng)絡(luò)安全技術(shù)服務(wù)，幫助擁護(hù)了解自身網(wǎng)

19、絡(luò)的安全狀況，消除用戶網(wǎng)絡(luò)中潛在的隱患，提高用戶網(wǎng)絡(luò)安全等級。應(yīng)用系統(tǒng)安全評估：安全是一個(gè)系統(tǒng)的工程，整體安全評估和安全規(guī)劃服務(wù)的目的是對客戶的安全工程建設(shè)有一個(gè)整體上的把握并且提供針對性的建議。*整體安全評估和安全規(guī)劃*主機(jī)安全評估*即時(shí)漏洞報(bào)告網(wǎng)絡(luò)安全知識(shí)培訓(xùn)：提供網(wǎng)絡(luò)安全知識(shí)普及培訓(xùn)、網(wǎng)絡(luò)安全管理人員培訓(xùn)等培訓(xùn)服務(wù)。*網(wǎng)絡(luò)安全知識(shí)普及培訓(xùn)*網(wǎng)絡(luò)安全管理人員培訓(xùn)六、附錄1、Kill與其他同類產(chǎn)品比較KILLNorton公司背景及技術(shù)實(shí)力中國公安部和全球第二大軟件公司冠群電腦（CA）合資成立冠群金辰軟件有限公司。本地化的研發(fā)隊(duì)伍，融合CA的世界級先進(jìn)技術(shù)，開發(fā)出適合國內(nèi)用戶的KILL系列國產(chǎn)

20、安全產(chǎn)品。公司直接負(fù)責(zé)產(chǎn)品生產(chǎn)、銷售和技術(shù)服務(wù)。國際著名安全產(chǎn)品公司，產(chǎn)品在國外開發(fā)，銷售、服務(wù)由國內(nèi)總代理負(fù)責(zé)。防病毒產(chǎn)品全中文操作界面，非常適合國內(nèi)用戶使用所有產(chǎn)品中文操作界面，適合國內(nèi)用戶使用。網(wǎng)絡(luò)防病毒基本性能系統(tǒng)資源占用率比較其他同類產(chǎn)品對系統(tǒng)資源占用較少，用戶還可以根據(jù)實(shí)際使用情況調(diào)配系統(tǒng)資源占有率，確保查殺病毒過程不會(huì)影響用戶系統(tǒng)的使用。中文產(chǎn)品占用系統(tǒng)資源較多，有時(shí)會(huì)嚴(yán)重影響系統(tǒng)的運(yùn)行速度和用戶應(yīng)用程序的運(yùn)行。查、殺病毒能力依靠北京冠群金辰公司在國內(nèi)與國際上建立的獨(dú)一無二的病毒監(jiān)測網(wǎng)，及時(shí)收集國內(nèi)和國際出現(xiàn)的最新病毒，使KILL能及時(shí)為用戶提供新型病毒的解決方案，在查、殺病毒，

21、尤其是國產(chǎn)病毒方面優(yōu)于國外產(chǎn)品。只有國外的病毒監(jiān)測網(wǎng)，查、殺國產(chǎn)病毒的能力遜于國產(chǎn)殺毒軟件。自動(dòng)修復(fù)注冊表KILL可以自動(dòng)修復(fù)被蠕蟲病毒等修改的系統(tǒng)注冊表信息，清毒更徹底。無自動(dòng)刪除特洛伊木馬程序KILL可以自動(dòng)刪除由病毒產(chǎn)生的特洛伊木馬程序，清毒更徹底，完全自動(dòng)化只能由用戶手工刪除網(wǎng)絡(luò)防病毒產(chǎn)品總體特占八、服務(wù)器和客戶端可以集中管理，安裝、配置操作簡單、方便。服務(wù)器和客戶端可以集中管理，但安裝、配置較復(fù)雜。安裝方式一點(diǎn)安裝，處處安裝WindowsNT/2000的機(jī)器安裝可以在一臺(tái)機(jī)器上通過遠(yuǎn)程安裝來統(tǒng)一完成。Win98/95客戶端軟件可以在用戶登錄服務(wù)器時(shí)自動(dòng)安裝完成，不需要用戶干預(yù)。也就是

22、說，可以在一臺(tái)機(jī)器上完成對整個(gè)網(wǎng)絡(luò)中所有計(jì)算機(jī)的安裝。WindowsNT的機(jī)器安裝可以在一臺(tái)機(jī)器上通過遠(yuǎn)程安裝來統(tǒng)一完成。對于Win98/95客戶端用戶首先要手動(dòng)從服務(wù)器下載并安裝客戶端代理程序（Agent），Win98/95軟件可以通過分發(fā)，或在用戶登錄服務(wù)器時(shí)自動(dòng)安裝完成?？蛻舳说陌惭b不能完全自動(dòng)化。管理系統(tǒng)支持。自動(dòng)探測進(jìn)行管理。可以進(jìn)行分布式（分級）集中管理，適合大型機(jī)構(gòu)/企業(yè)管理模式的要求，管理方式靈活、多樣。通過KILL管理服務(wù)器，對網(wǎng)絡(luò)中所有計(jì)算機(jī)進(jìn)行集中分布式管理，并基于策略實(shí)施管理。網(wǎng)絡(luò)管理員可以在網(wǎng)絡(luò)中任意NT/2000機(jī)器上進(jìn)行遠(yuǎn)程管理控制，制定網(wǎng)絡(luò)防病毒策略。在發(fā)現(xiàn)病毒

23、后的管理方面，KILL網(wǎng)絡(luò)版具有跟蹤病毒源獲取詳細(xì)的信息并米取隔離的措施來防止該用戶的進(jìn)一步操作，從而保證網(wǎng)絡(luò)安全?？梢钥缙脚_(tái)管理，KILL網(wǎng)絡(luò)版可以管理Unix、NetWare的網(wǎng)絡(luò)防病毒。通過“控制中心”進(jìn)行控制。網(wǎng)絡(luò)管理員在安裝了“防病毒控制中心”的NT服務(wù)器上進(jìn)行防病毒的配置操作、管理控制。病毒庫升級自動(dòng)多級分發(fā)升級系統(tǒng)：網(wǎng)絡(luò)版的升級可以由一臺(tái)服務(wù)器下載最新的升級文件，然后分發(fā)到其他的NT/2000/9X/ME的機(jī)器上。設(shè)置好的分發(fā)系統(tǒng)，由KILL自動(dòng)控制完成，不需要用戶干預(yù)。完全自動(dòng)增里升級。網(wǎng)絡(luò)升級分發(fā)功能與其安裝方式一樣，在服務(wù)器上要安裝“控制程序”，在Win98/95客戶端安裝

24、客戶端代理程序（Agent）。網(wǎng)絡(luò)升級容錯(cuò)具備升級校驗(yàn)功能。即：先試驗(yàn)，后運(yùn)行。在自動(dòng)升級過程中，下載來的升級文件先在本機(jī)進(jìn)行升級試驗(yàn)，如果升級成功則進(jìn)行下一步的分發(fā)和自動(dòng)升級工作。如果發(fā)現(xiàn)升級過程有誤，則自動(dòng)重新下載升級文件，然后再一次進(jìn)行試驗(yàn)，直到升級成功為止，然后進(jìn)行下一步的升級過程。沒有升級容錯(cuò)校驗(yàn)功能。目前國內(nèi)因特網(wǎng)的傳輸質(zhì)量很差，用戶在下載升級文件時(shí)，經(jīng)常產(chǎn)生錯(cuò)誤，下載的文件內(nèi)容有錯(cuò)或不完整，不進(jìn)行校驗(yàn)就強(qiáng)行將升級文件進(jìn)行分發(fā)，就會(huì)對網(wǎng)絡(luò)產(chǎn)生不安全的因素，對用戶的網(wǎng)絡(luò)運(yùn)行構(gòu)成威脅。技術(shù)服務(wù)技術(shù)支持本地研發(fā)中心，廠家直接負(fù)責(zé)行業(yè)售前、支持售后技術(shù)服務(wù)與國外研發(fā)中心，售前、售后技術(shù)服務(wù)

25、由本地總代理負(fù)責(zé)客戶服全國授權(quán)服務(wù)網(wǎng)全國授權(quán)經(jīng)銷商務(wù)主動(dòng)郵件服務(wù)網(wǎng)上病毒碼更新和升級特殊服務(wù)成立專為行業(yè)用戶提供支持的技術(shù)小組，方位的技術(shù)維護(hù)和支持?？梢噪S時(shí)進(jìn)行全2、方正方御防火墻與主要競爭對手產(chǎn)品比較防火墻產(chǎn)品比較表公司名稱方正數(shù)碼東大阿爾派北京天融信產(chǎn)品名稱FG2NetEye2.0NGFW3000產(chǎn)品類型（路由器、軟件、硬硬件設(shè)備硬件硬件件設(shè)備）三個(gè)10/100Base-TX（內(nèi)網(wǎng)口、外網(wǎng)口、DMZ口和控制口）三個(gè)10/100Base-TX接口一個(gè)Console口三個(gè)10/100Base-TX接口一個(gè)Console口列出支持的LAN接口類型（以-4-F/71/廠mi以太網(wǎng)以太網(wǎng)以太網(wǎng)太網(wǎng)

26、/FDDI等）服務(wù)器平臺(tái)專用平臺(tái)專用平臺(tái)專用平臺(tái)協(xié)議支持建立VPN通道的協(xié)議IKE,IPSecIKE,IPSecIKE，IPSEC支持視頻會(huì)議協(xié)議支持支持不支持支持VLAN的TRUNK協(xié)議支持支持加密支持支持的VPN加密標(biāo)準(zhǔn)使用IPSEC技術(shù)進(jìn)行隧道通訊，使用3DES技術(shù)等進(jìn)行加解密，未知DES,3DES,MD5，RC4,RSA，國家許可專用算法除了VPN之外，加密的其他用途遠(yuǎn)程管理遠(yuǎn)程管理遠(yuǎn)程管理提供基于硬件的加密專用加密硬件專用加密硬件專用加密硬件認(rèn)證支持支持的認(rèn)證類型客戶認(rèn)證可以使用多種認(rèn)證方式，用戶可以自行設(shè)定用戶賬號、密碼，并專用OTP，RADIUS11列出支持的認(rèn)證標(biāo)準(zhǔn)和CA互操作

27、性X.509無X.509互操1FI土支持?jǐn)?shù)字證書VVV3、湘計(jì)網(wǎng)盾與主要競爭對手產(chǎn)品比較產(chǎn)品名稱湘計(jì)網(wǎng)盾HDIDSCAeTrustIntrusionDetection硬件/軟件硬件軟件基于主機(jī)是是基于主機(jī)否系統(tǒng)結(jié)構(gòu)傳感器/控制臺(tái)傳感器/控制臺(tái)控制臺(tái)操作系統(tǒng)及硬件需求WindowsNT/2000,166MHzPentium,64M內(nèi)存,100M空間WindowsNT/95/98/2K，166MHzPentium，64M內(nèi)存，100M空間傳感器操作系統(tǒng)及硬件需求機(jī)架式網(wǎng)絡(luò)設(shè)備，256MWindowsNT/95/98/2K，166MHzPentium，64M內(nèi)存，200M空間被監(jiān)控端的操作系統(tǒng)平臺(tái)Windows2000/NTWindows95/98/NT支持的網(wǎng)絡(luò)類型10/100M以太網(wǎng):10/100M以太網(wǎng)，F(xiàn)DDI,令牌環(huán)管理網(wǎng)口與監(jiān)聽網(wǎng)口分離是是監(jiān)聽網(wǎng)口不帶IP地址是TCP流重組是是監(jiān)控的TCP連接數(shù)12000IP碎片重組8462分析的協(xié)議TCP/IPTCP/IP,UDP/IP分析的高層應(yīng)用協(xié)議HTTP,FTP,telnet,SNMP,SMTP,NFS,rsh,DNS,POP3,IMAP,TFTP,finger,ICMP等HTT