(新2004)JAC江淮汽車網(wǎng)絡(luò)安全整體解決方案

JAC江淮汽車網(wǎng)絡(luò)安全解決方案合肥中方計算機工程有限責(zé)任公司二00四年三月五日隨著企業(yè)信息化程度的提高，企業(yè)對于信息處理的手段日益先進，運作的效率也日益提高，同時，各單位對其電子化的信息系統(tǒng)的依賴程度也越來越高。但是由于大多數(shù)單位都把網(wǎng)絡(luò)建立在傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)上，而該架構(gòu)又缺乏對于諸多安全問題的考慮，加之人們對網(wǎng)絡(luò)安全認(rèn)識不足、管理松散、專業(yè)安全技術(shù)人員匱乏、網(wǎng)絡(luò)安全設(shè)施投資缺乏、安全制度不完善等因素，使得網(wǎng)絡(luò)信息的安全風(fēng)險日益加劇。因此，網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的建設(shè)已經(jīng)成為刻不容緩的重要課題。符合國家有關(guān)規(guī)定我國相關(guān)部門已經(jīng)制訂了一系列關(guān)于信息安全的法律法規(guī)，涉及安全策略、密碼與安全設(shè)備選用、網(wǎng)絡(luò)互聯(lián)、安全管理等內(nèi)容。安全保密建設(shè)必須能夠符合這些法律法規(guī)，確保國家秘密信息的安全。整體安全原則貴單位信息系統(tǒng)是一個復(fù)雜的系統(tǒng)，對安全的需求是任何一種單元技術(shù)都無法解決的。必須從一個完整的安全體系結(jié)構(gòu)出發(fā)，綜合考慮信息網(wǎng)絡(luò)的各種實體和各個環(huán)節(jié)，綜合使用各層次的各種安全手段，為信息網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)提供全方位的服務(wù)。全網(wǎng)統(tǒng)一原則集中有關(guān)各方的力量和資源，使信息系統(tǒng)設(shè)計得更加系統(tǒng)、完善、嚴(yán)密；包容現(xiàn)存的和將要改進的信息系統(tǒng)對于安全普遍的、特殊的要求，使體系更趨科學(xué)和適用；通盤考慮所有通信分系統(tǒng)的安全互通。標(biāo)準(zhǔn)化與一致性原則網(wǎng)絡(luò)安全建設(shè)是一個龐大的系統(tǒng)工程，其安全體系的設(shè)計必須遵循一系列的標(biāo)準(zhǔn)，這樣才能確保各個分系統(tǒng)的一致性，才能使整個系統(tǒng)安全地互聯(lián)互通、信息共享。需求、風(fēng)險、成本折衷原則任何信息系統(tǒng)都不能做到絕對的安全，而且真正絕對的安全也是不必要的。鑒于這種情況，在設(shè)計信息系統(tǒng)安全時，要在安全需求、安全風(fēng)險和安全成本之間進行平衡和折中。過多的安全需求、過低的安全風(fēng)險追求必將造成安全成本迅速增加和復(fù)雜性的增加。因此，在設(shè)計貴單位的安全方案時必須遵守三項要求折衷的原則。實用、高效、可擴展原則安全保障系統(tǒng)所采用的產(chǎn)品，要方便工作、實用高效。同時，隨著IT技術(shù)的不斷發(fā)展，信息系統(tǒng)將會發(fā)生各種變化，信息系統(tǒng)安全設(shè)計必須能適應(yīng)這種變化。在系統(tǒng)實施過程中，系統(tǒng)的結(jié)構(gòu)、配置也會發(fā)生一些變化，系統(tǒng)的安全工程要有一定的靈活性來適應(yīng)這種變化，比如做到層次性、體系性，既有利于系統(tǒng)的安全，又有利于系統(tǒng)的擴展。技術(shù)與管理相結(jié)合原則網(wǎng)絡(luò)安全建設(shè)工程是一個系統(tǒng)工程，單靠技術(shù)或單靠管理都不可能實現(xiàn)。各種安全技術(shù)應(yīng)該與運行管理機制、人員思想教育和技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合，從社會系統(tǒng)工程的角度綜合考慮。本方案在設(shè)計過程中主要參考了以下信息安全相關(guān)標(biāo)準(zhǔn)：ISO/IECTR13335：《信息技術(shù)安全技術(shù)信息產(chǎn)業(yè)安全管理的指導(dǎo)方針》ISO/IEC15408：《信息技術(shù)安全性評估通用準(zhǔn)則》GB17859：《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》ISO17799/BS7799：《信息安全管理慣例》《信息安全工程質(zhì)量管理要求》《系統(tǒng)安全工程能力成熟模型》(SSE-CMM)等1.1方正數(shù)碼有限公司—方正數(shù)碼有限公司（EC-FounderCo.,Ltd.）成立于2000年9月，是方正集團旗下的一家獨立上市公司。除北京方正數(shù)碼有限公司外，方正數(shù)碼在香港、臺灣設(shè)有分公司，并在上海、廣州、西安設(shè)有辦事處。方正數(shù)碼的主要業(yè)務(wù)圍繞互聯(lián)網(wǎng)安全技術(shù)應(yīng)用、企業(yè)/政府信息化領(lǐng)域，在技術(shù)開發(fā)、應(yīng)用解決方案和運營服務(wù)方面為用戶提供實用、先進的產(chǎn)品和技術(shù)。方正方御防火墻產(chǎn)品是國內(nèi)領(lǐng)先的基于邊界的網(wǎng)絡(luò)安全解決方案。為適應(yīng)廣大用戶不斷發(fā)展的需求，方御產(chǎn)品精益求精，不斷創(chuàng)新。方御防火墻針對目前網(wǎng)絡(luò)應(yīng)用日益復(fù)雜的趨勢，為了彌補傳統(tǒng)防火墻控制范圍有限的不足，結(jié)合用戶需求推出獨創(chuàng)的智能IP識別技術(shù)，具有強大的信息分析能力和高效數(shù)據(jù)處理能力，密切配合網(wǎng)絡(luò)應(yīng)用，實現(xiàn)多種網(wǎng)絡(luò)對象的高效訪問控制。目前，方御全新推出包括專業(yè)級、企業(yè)級和電信級三個系列，多個品種的方御防火墻產(chǎn)品，全面擴充方御防火墻產(chǎn)品線。配合原有1U/2U型防火墻，方御產(chǎn)品從網(wǎng)絡(luò)適應(yīng)性、產(chǎn)品核心功能、增值功能和性能方面都有相應(yīng)的突破。方御防火墻產(chǎn)品既適合行業(yè)用戶的專業(yè)需求，又能滿足中小企業(yè)用戶的安全接入需要，是一套完整的網(wǎng)絡(luò)邊界安全解決方案。1.2上海金諾網(wǎng)絡(luò)安全技術(shù)發(fā)展股份有限公司--上海金諾網(wǎng)絡(luò)安全技術(shù)發(fā)展股份有限公司()成立于2000年4月，注冊資本2518萬人民幣，由上海精宏投資管理有限公司、上海港機股份有限公司、中油龍昌（集團）股份有限公司等單位共同投資組建，是國內(nèi)最大的網(wǎng)絡(luò)安全產(chǎn)品及服務(wù)供應(yīng)商。公司總部位于上海，北京、廣州等地設(shè)有分公司或辦事處，現(xiàn)有員工近百人，其中一半以上的管理人員擁有碩士以上學(xué)位，70%以上是多年專業(yè)從事技術(shù)管理、市場和人力資源管理的職業(yè)經(jīng)理人。金諾網(wǎng)安擁有相當(dāng)完備的產(chǎn)品線體系，涉及入侵檢測、漏洞掃描、上網(wǎng)行為管理、防火墻、防病毒等各個安全領(lǐng)域。公司自主開發(fā)的部分產(chǎn)品有：金諾入侵檢測系統(tǒng)KIDS、金諾上網(wǎng)行為管理系統(tǒng)EIM、計費系統(tǒng)（校園版、酒店版）、金諾網(wǎng)安Cyberpro掃描器等。這些產(chǎn)品多次受到國家有關(guān)部門的肯定，達到了國內(nèi)領(lǐng)先，國際先進的水平，已經(jīng)在政府、金融、證券、IDC、ISP、保險、教育等各個行業(yè)擁有眾多用戶群。目前金諾網(wǎng)安國內(nèi)的代理商數(shù)目達到一百多家，在全國范圍內(nèi)擁有了一批金牌、銀牌及認(rèn)證代理，已經(jīng)形成最具廣泛代表性的網(wǎng)絡(luò)安全產(chǎn)品銷售網(wǎng)絡(luò)。金諾網(wǎng)安技術(shù)力量雄厚，除了已有多名信息安全領(lǐng)域的博士、碩士研究人員和海外歸來的信息安全專家加盟外，還與國內(nèi)信息安全研究領(lǐng)域的多家權(quán)威機構(gòu)建立了長期的戰(zhàn)略合作關(guān)系，掌握著國際、國內(nèi)信息安全技術(shù)的最新發(fā)展趨勢。公司不僅是國家863計劃信息安全領(lǐng)域?qū)ｍ椪n題研究承擔(dān)單位，也是上海市首批通過軟件企業(yè)認(rèn)定的高新技術(shù)企業(yè)，同時還參與發(fā)起和設(shè)立建在浦東的國家信息安全產(chǎn)業(yè)化基地，已被上海市政府列入了上海市信息產(chǎn)業(yè)重點企業(yè)，多次接待過國家有關(guān)部門領(lǐng)導(dǎo)的視察，受到中央電視臺、人民日報等多家國家級媒體及有關(guān)專業(yè)報刊的專題報道。受中國國家信息安全測評認(rèn)證中心的委托，金諾網(wǎng)安全面負(fù)責(zé)國內(nèi)規(guī)模最大、資料最全、最具權(quán)威性的“中國信息安全論壇”()的運營與維護，該網(wǎng)站擁有已知世界上最大的公開漏洞數(shù)據(jù)庫、最大的工具庫及內(nèi)容最豐富的技術(shù)資料文檔庫，已經(jīng)成為了信息安全領(lǐng)域最具影響力的綜合性門戶網(wǎng)站。在公安部十一局、公安部第三研究所及公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心等有關(guān)主管部門的指導(dǎo)與委托下，公司還擔(dān)負(fù)著“中國信息網(wǎng)絡(luò)安全”（）網(wǎng)站的運營與維護工作，網(wǎng)站涉及與計算機信息網(wǎng)絡(luò)安全相關(guān)的政策法規(guī)、標(biāo)準(zhǔn)規(guī)范、產(chǎn)品名單及最新的病毒公告，為信息網(wǎng)絡(luò)安全的研究與管理提供了一個全面的權(quán)威平臺。公司本著“求實、創(chuàng)新、服務(wù)社會”的經(jīng)營理念，以腳踏實地的工作態(tài)度、扎實過硬的技術(shù)基礎(chǔ)，奠定一個高科技企業(yè)的立身之本；同時結(jié)合現(xiàn)代信息產(chǎn)業(yè)的特點，順應(yīng)社會信息化發(fā)展的潮流，不斷研究具有創(chuàng)新思維的新產(chǎn)品、新服務(wù)，以最大程度地滿足客戶的需求。金諾網(wǎng)安擁有高度專業(yè)的員工，致力于持續(xù)的創(chuàng)新與開發(fā)，立志成為中國最優(yōu)秀的信息安全企業(yè)。滿足基本的安全要求，是網(wǎng)絡(luò)成功運行的必要條件，在此基礎(chǔ)上提供強有力的安全保障，是網(wǎng)絡(luò)系統(tǒng)安全的重要原則。針對目前很多黑客往往專注于攻擊企業(yè)網(wǎng)站，一旦網(wǎng)絡(luò)中心本身受到攻擊而癱瘓，將直接影響企業(yè)的正常運轉(zhuǎn)，因此而承受相當(dāng)大的責(zé)任和損失。因此，需要江淮汽車網(wǎng)絡(luò)中心對自身網(wǎng)絡(luò)運行的安全性和穩(wěn)定性有著極高的重視：既要求網(wǎng)絡(luò)高帶寬，高效率，又要求網(wǎng)絡(luò)能抵抗黑客攻擊和硬件故障穩(wěn)定運行，不會因為單節(jié)點的故障影響整個系統(tǒng)。需要盡量的能夠?qū)Ω鞣N異常情況（如黑客入侵、病毒發(fā)作等）的發(fā)生進行事前的監(jiān)控和阻止。當(dāng)異常情況發(fā)生時，需要及時的網(wǎng)絡(luò)和處理手段。對于各種各樣的網(wǎng)絡(luò)攻擊，如何在提供靈活且高效的網(wǎng)絡(luò)通訊及信息服務(wù)的同時，抵御和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，并且提供跟蹤攻擊的手段，是本項目需要解決的問題。網(wǎng)絡(luò)基本安全要求：網(wǎng)絡(luò)正常運行。在受到攻擊的情況下，能夠保證網(wǎng)絡(luò)系統(tǒng)繼續(xù)運行。網(wǎng)絡(luò)管理/網(wǎng)絡(luò)部署的資料不被竊取。具備先進的入侵檢測及跟蹤體系。提供靈活而高效的內(nèi)外通訊服務(wù)。為保障江淮汽車網(wǎng)絡(luò)中心的正常運行，提高防黑反黑手段，構(gòu)建全面統(tǒng)一的網(wǎng)絡(luò)安全管理架構(gòu)。采取必要有效措施加以保證，江淮汽車網(wǎng)絡(luò)中心網(wǎng)絡(luò)安全建設(shè)的有關(guān)目標(biāo)有：接入控制:與互聯(lián)網(wǎng)的接入，采用防火墻隔離，并將服務(wù)器群放在受防火墻保護的安全隔離區(qū)。同時，關(guān)鍵業(yè)務(wù)需要通過VPN安全通道進行傳遞。內(nèi)部檢測：內(nèi)部網(wǎng)絡(luò)在關(guān)鍵節(jié)點部署入侵檢測產(chǎn)品，生成有關(guān)網(wǎng)絡(luò)各種狀況的報告，便于管理。內(nèi)部網(wǎng)絡(luò)部署漏洞掃描系統(tǒng)，為消除網(wǎng)絡(luò)隱患做先期準(zhǔn)備。另外，網(wǎng)絡(luò)安全的建設(shè)，可以一次性規(guī)劃、分階段進行，要易于實施、實現(xiàn)業(yè)務(wù)的無縫割接。具有良好的可靠性、可擴展性及維護性，進一步規(guī)范IP地址。一個完整的安全體系應(yīng)包含：訪問控制，通過對特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達被攻擊目標(biāo)之前；檢查安全漏洞，通過對網(wǎng)絡(luò)和系統(tǒng)安全漏洞的周期檢查，即使攻擊可到達被攻擊目標(biāo)，也可使絕大多數(shù)攻擊失效；攻擊檢測，通過對特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻擊，并采取相應(yīng)的行動（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）；多層防御，攻擊者在突破第一道防線后，延緩或阻斷其到達被攻擊目標(biāo)；隱藏內(nèi)部信息，使攻擊者不能了解系統(tǒng)內(nèi)的基本情況；設(shè)立安全監(jiān)控中心，為信息系統(tǒng)提供安全體系管理、監(jiān)控，維護及緊急情況服務(wù)。根據(jù)江淮汽車網(wǎng)絡(luò)中心實際網(wǎng)絡(luò)建設(shè)規(guī)劃，我們公司為江淮汽車網(wǎng)絡(luò)中心提出了全方位綜合網(wǎng)絡(luò)解決方案，部署圖如下：我們在網(wǎng)絡(luò)中的各個部分采取了多種防范手段，使用了各種安全防范技術(shù)。對應(yīng)客戶計算機網(wǎng)絡(luò)的所面臨的安全問題，我們應(yīng)用了以下幾項技術(shù)逐一解決：防火墻技術(shù)VPN技術(shù)入侵檢測技術(shù)通過以上幾項技術(shù)的運用再加上強化的安全管理水平，我們相信江淮汽車網(wǎng)絡(luò)中心的計算機網(wǎng)絡(luò)的安全將獲得全面加強。防火墻3.1.1什么是防火墻目前，網(wǎng)絡(luò)攻擊和入侵的手段多種多樣，主要可以分為以下幾大類：※欺騙：通過偽造IP地址或者盜用用戶帳號等方法來獲得對系統(tǒng)的非授權(quán)使用，例如盜用撥號帳號?！`聽：利用以太網(wǎng)廣播的特性，使用監(jiān)聽程序來截獲通過網(wǎng)絡(luò)的數(shù)據(jù)包，對信息進行過濾和分析后得到有用的信息，例如使用sniffer程序竊聽用戶密碼。數(shù)據(jù)竊?。涸谛畔⒌墓蚕砗蛡鬟f過程中，對信息進行非法的復(fù)制，例如，非法拷貝網(wǎng)站數(shù)據(jù)庫內(nèi)重要的商業(yè)信息，盜取網(wǎng)站用戶的個人信息等?！鶖?shù)據(jù)篡改：在信息的共享和傳遞過程中，對信息進行非法的修改，例如，刪除系統(tǒng)內(nèi)的重要文件，破壞網(wǎng)站數(shù)據(jù)庫等?！芙^服務(wù)：使用大量無意義的服務(wù)請求來占用系統(tǒng)的網(wǎng)絡(luò)帶寬、CPU處理能力和IO能力，造成系統(tǒng)癱瘓，無法對外提供服務(wù)。典型的例子就是2000年年初黑客對Yahoo等大型網(wǎng)站的攻擊。黑客的攻擊往往造成重要數(shù)據(jù)丟失、敏感信息被竊取、主機資源被利用和網(wǎng)絡(luò)癱瘓等嚴(yán)重后果，如果是對軍用和政府網(wǎng)絡(luò)的攻擊，還會對國家安全造成嚴(yán)重威脅。防火墻能夠根據(jù)源地址、目的地址、端口號、時間、用戶、URL等控制數(shù)據(jù)包的通過還是拒絕通過，從而將非法的數(shù)據(jù)包拒絕在防火墻之外。防火墻一般布置在可信任網(wǎng)絡(luò)與不可信任網(wǎng)絡(luò)之間，以確保需要保護網(wǎng)絡(luò)的數(shù)據(jù)安全。3.1.2使用防火墻的必要性Internet正在越來越多地融入到社會的各個方面。一方面，隨著網(wǎng)絡(luò)用戶成分越來越多樣化，出于各種目的的網(wǎng)絡(luò)入侵和攻擊越來越頻繁；另一方面，隨著Internet和以電子商務(wù)為代表的網(wǎng)絡(luò)應(yīng)用的日益發(fā)展，Internet越來越深地滲透到各行各業(yè)的關(guān)鍵要害領(lǐng)域。Internet的安全包括其上的信息數(shù)據(jù)安全，日益成為與政府、軍隊、企業(yè)、個人的利益休戚相關(guān)的“大事情”。尤其對于政府和軍隊而言，如果網(wǎng)絡(luò)安全問題不能得到妥善的解決，將會對國家安全帶來嚴(yán)重的威脅。2000年二月，在三天的時間里，黑客使美國數(shù)家頂級互聯(lián)網(wǎng)站－Yahoo!、Amazon、eBay、CNN陷入癱瘓，造成了十幾億美元的損失，令美國上下如臨大敵。黑客使用了DDoS（分布式拒絕服務(wù)）的攻擊手段，用大量無用信息阻塞網(wǎng)站的服務(wù)器，使其不能提供正常服務(wù)。在隨后的不到一個月的時間里，又先后有微軟、ZDNet和E*TRADE等著名網(wǎng)站遭受攻擊。國內(nèi)網(wǎng)站也未能幸免于難，新浪、當(dāng)當(dāng)書店、EC123等知名網(wǎng)站也先后受到黑客攻擊。國內(nèi)第一家大型網(wǎng)上連鎖商城IT163網(wǎng)站3月6日開始運營，然而僅四天，該商城突遭網(wǎng)上黑客襲擊，界面文件全部被刪除，各種數(shù)據(jù)庫遭到不同程度的破壞，致使網(wǎng)站無法運作。客觀地說，沒有任何一個網(wǎng)絡(luò)能夠免受安全的困擾，依據(jù)FinancialTimes曾做過的統(tǒng)計，平均每20秒鐘就有一個網(wǎng)絡(luò)遭到入侵。僅在美國，每年由于網(wǎng)絡(luò)安全問題造成的經(jīng)濟損失就超過100億美元。黑客們進行網(wǎng)絡(luò)攻擊的目的各種各樣，有的是出于政治目的，有的是員工內(nèi)部破壞，還有的是出于好奇或者滿足自己的虛榮心。隨著Internet的高速發(fā)展，也出現(xiàn)了有明確軍事目的的軍方黑客組織。通過上面的現(xiàn)狀描述，則，我們現(xiàn)有網(wǎng)絡(luò)的安全隱患在哪里呢？下面我們將從攻擊手段、攻擊線路等幾個方面來分析：1）從攻擊手段來看，因為整個網(wǎng)絡(luò)目前僅建成了網(wǎng)絡(luò)層，做到了互聯(lián)互通。但在此之上的網(wǎng)絡(luò)規(guī)劃和安全防護并未很好的考慮。實際上是不設(shè)防的網(wǎng)絡(luò)，可以被各種攻擊手段（包括病毒、木馬、掃描等）攻擊。當(dāng)前出于政治目的和商業(yè)競爭目的的網(wǎng)絡(luò)攻擊日益增多。網(wǎng)絡(luò)攻擊和入侵對于獲取其它目標(biāo)機構(gòu)的機密信息是一種非常重要的手段。對于一個重要的部門，信息的安全尤為重要。具有優(yōu)秀功能的防火墻也是網(wǎng)絡(luò)安全防護體系的非常重要的一部分。鑒于當(dāng)今網(wǎng)絡(luò)安全形勢嚴(yán)峻，問題復(fù)雜，對于防止網(wǎng)絡(luò)入侵、非法訪問和防病毒來說，動態(tài)的防護體系是一個非常優(yōu)秀的、安全系數(shù)最高的安全網(wǎng)路，所以，擁有入侵檢測網(wǎng)絡(luò)狙擊手是使網(wǎng)絡(luò)的安全性達到質(zhì)的飛躍的必要手段。2）從攻擊線路來看，從外到內(nèi)可以通過撥號用戶通過INTERNET直接進入；在業(yè)務(wù)網(wǎng)內(nèi)部是直接互聯(lián)，未做有效隔離；沒有網(wǎng)絡(luò)控制中心對全網(wǎng)進行有效的監(jiān)控。基于以上分析，因此，我們需要從以下幾個方面考慮網(wǎng)絡(luò)安全問題：如何在網(wǎng)絡(luò)的網(wǎng)絡(luò)層實現(xiàn)安全控制？在連接Internet時，如何控制遠(yuǎn)程用戶訪問，保證網(wǎng)絡(luò)的安全性？如何保證系統(tǒng)內(nèi)各網(wǎng)絡(luò)間的安全？如何保證系統(tǒng)內(nèi)重要部門的安全？如何保證系統(tǒng)軟件及其應(yīng)用系統(tǒng)的安全性？如何保證系統(tǒng)重要數(shù)據(jù)資源的完整性？如何保證網(wǎng)絡(luò)內(nèi)重要服務(wù)器的安全？如何保證對外WEB服務(wù)器的安全？如何防止可能來自內(nèi)部的非法訪問或惡意攻擊？如何防止來自外部互聯(lián)網(wǎng)上可能的惡意攻擊？3.1.3方正方御千兆防火墻御防火墻簡介領(lǐng)先的智能IP識別技術(shù)方御防火墻智能IP識別技術(shù)是方正數(shù)碼針對網(wǎng)絡(luò)應(yīng)用不斷發(fā)展的需求，自行研發(fā)的高效網(wǎng)絡(luò)檢測技術(shù)，創(chuàng)新性地采用零拷貝流分析、特有快速搜索算法等技術(shù)，針對網(wǎng)絡(luò)流2-7層數(shù)據(jù)進行高效識別。方御防火墻可控對象除了傳統(tǒng)的IP包相關(guān)信息外，還引入時間、用戶、應(yīng)用及其操作等控制對象，大大擴展了防火墻的防護功能，并且在保證針對應(yīng)用的細(xì)致分析和防護的同時，對產(chǎn)品的性能有大幅的提高，解決了目前內(nèi)容分析型防火墻普遍存在的效率瓶頸問題。立體安全防護體系方正方御防火墻秉承立體防護的理念，防火墻功能實現(xiàn)遭遇網(wǎng)絡(luò)攻擊前安全策略的定制，使用入侵檢測功能進行攻擊過程中的防范與報警，輔以日志系統(tǒng)完成攻擊后的分析。實現(xiàn)事前、事中、事后的全面防護。再通過虛擬專用網(wǎng)功能進一步將安全保護延伸到數(shù)據(jù)的傳輸過程。更引入安全評估觀念，主動對網(wǎng)絡(luò)進行模擬攻擊，檢驗整個網(wǎng)絡(luò)的安全性。良好的升級機制保證了整個安全系統(tǒng)能夠隨著技術(shù)的進步不斷增強。概言之，方御防火墻涵蓋了整個網(wǎng)絡(luò)的空間范圍和時間范圍，從主動及被動多方面進行立體防護，真正實現(xiàn)全面安全。杰出的工作效率方正方御防火墻性能優(yōu)異，先進的狀態(tài)檢測技術(shù)和獨特的智能IP識別技術(shù)保證了杰出的工作效率。網(wǎng)絡(luò)吞吐能力達到線速，支持高達100萬并發(fā)連接，在多次產(chǎn)品評測中性能領(lǐng)先。使用方御防火墻可以保證網(wǎng)絡(luò)的實時暢通，不會像傳統(tǒng)防火墻一樣成為網(wǎng)絡(luò)瓶頸。穩(wěn)定可靠作為網(wǎng)絡(luò)關(guān)鍵設(shè)備，方正方御防火墻對自身的穩(wěn)定性提出了嚴(yán)格的要求。方御防火墻采用高度集成的工業(yè)級硬件設(shè)計，適應(yīng)各種復(fù)雜的環(huán)境條件。每臺方御防火墻出廠前均在方正獨有“網(wǎng)際颶風(fēng)”高壓力網(wǎng)絡(luò)環(huán)境中經(jīng)過100小時全負(fù)荷測試，確保產(chǎn)品萬無一失。靈活適應(yīng)不同網(wǎng)絡(luò)環(huán)境方正方御防火墻通過引入交換模式、路由模式和全新推出的混和模式，可以根據(jù)用戶的網(wǎng)絡(luò)環(huán)境要求，靈活的將防火墻接入用戶網(wǎng)絡(luò)中。同時方御防火墻支持VLAN功能，支持多種網(wǎng)絡(luò)路由協(xié)議，能適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境。超強的增值功能方正方御防火墻除提供全面的網(wǎng)絡(luò)安全防護功能外，還提供了包括代理服務(wù)器、帶寬管理、地址轉(zhuǎn)換等增值功能，使用戶在實施和步署安全策略時，獲得更多的網(wǎng)絡(luò)產(chǎn)品功能。簡單實用的使用方式人性化設(shè)計的全中文圖形界面，即使非專業(yè)人員也能輕松掌握。支持遠(yuǎn)程管理和集中管理，支持SNMP管理，降低日常維護成本?？汕袚Q的路由或橋式接入方式以及新加入的混和接入方式可以輕松配合用戶原有的網(wǎng)絡(luò)環(huán)境。在一般情況下，只需不到1個小時就可以完成安全產(chǎn)品的實施，對客戶應(yīng)用的影響更是可以減少到只需幾秒。方正智能IP識別技術(shù)：2到7層的安全防護隨著國內(nèi)防火墻系統(tǒng)應(yīng)用的迅速推廣普及，用戶對防火墻系統(tǒng)有了越來越深入的了解，走出了初期功能堆砌攀比的誤區(qū)，逐漸明晰了防火墻作為網(wǎng)絡(luò)邊界安全設(shè)備的首要位置和關(guān)鍵性作用。與此同時，在實際應(yīng)用中，用戶也從各種角度發(fā)現(xiàn)了當(dāng)前防火墻的缺憾和不足，對防火墻產(chǎn)品提出了更高的要求。這些從實際應(yīng)用中產(chǎn)生的需求大多集中在如下幾個問題上。首先，是防火墻性能問題。在實際應(yīng)用中，銀行、電信、大中型網(wǎng)站等大型用戶對防火墻性能的需求是勿庸置疑的；就是對于普通用戶，隨著多媒體應(yīng)用的廣泛應(yīng)用，對防火墻的性能也提出了很高的要求。在實際用戶使用中，還出現(xiàn)了Nimda病毒傳播時大量的病毒掃描連接導(dǎo)致某些低效率防火墻崩潰的實際案例。業(yè)務(wù)需求、應(yīng)用需求和安全防護需求，從三方面都提出了對防火墻高性能的要求。如果沒有性能作為基礎(chǔ)和保障，則再多再好的功能和協(xié)議支持都只能是繡花枕頭，經(jīng)受不住用戶實際應(yīng)用的考驗。其次，是網(wǎng)絡(luò)適應(yīng)性問題。隨著網(wǎng)絡(luò)的高速發(fā)展，網(wǎng)絡(luò)設(shè)備和環(huán)境也越來越復(fù)雜，VLAN/TRUNK、Bridge/STP、Multicast、VPN、NAT、OSPF/RIP、熱備等網(wǎng)絡(luò)技術(shù)和協(xié)議層出不窮，這些問題還經(jīng)常交織在一起，使得問題加倍的復(fù)雜化。有很多網(wǎng)絡(luò)是先建設(shè)，后防護，這時防火墻必須能夠融入各種各樣已有的網(wǎng)絡(luò)環(huán)境。于是用戶常常頭痛的一個問題就是：防火墻如何部署到自己的網(wǎng)絡(luò)環(huán)境？傳統(tǒng)的防火墻適應(yīng)能力不足，尤其在各種協(xié)議支持混雜在一起時，更是無計可施；有時甚至為了實施，被迫犧牲安全性，把某些應(yīng)用放置在防火墻保護之外。然后，是應(yīng)用過濾問題。防火墻的安全防護要從簡單的IP端口向更高層協(xié)議的應(yīng)用過濾方向發(fā)展，是所有人的共識，尤其是呼之欲出的WebService，更加提升了對應(yīng)用過濾需求的重要性和急迫性。但是，目前有兩大難題困擾著應(yīng)用過濾在實際中的應(yīng)用。其一，應(yīng)用過濾大大降低了防火墻的性能，包括吞吐量、時延、并發(fā)連接數(shù)等，都大受影響；其二，應(yīng)用過濾控制的對象復(fù)雜程度遠(yuǎn)遠(yuǎn)超出了IP端口的復(fù)雜程度，用戶往往沒有足夠的精力進行有效的安全策略制定和維護。如何解決應(yīng)用過濾性能問題和策略可維護性問題，將是擺在防火墻廠商面前的兩座大山。只有真正解決了這兩個問題，應(yīng)用過濾才能真正為廣大用戶服務(wù)。最后，另外一個需求廣泛的是多媒體（網(wǎng)絡(luò)視頻、音頻等）支持。多媒體應(yīng)用是包含視頻、音頻、用戶數(shù)據(jù)等多種數(shù)據(jù)流的綜合應(yīng)用，是寬帶網(wǎng)絡(luò)最重要的應(yīng)用之一。隨著網(wǎng)絡(luò)基礎(chǔ)帶寬的增大，對于多媒體應(yīng)用（IP電話，視頻會議等）的需求也在不斷增長，很多客戶在購置防火墻的時候常會提出對于多媒體應(yīng)用的支持。多媒體應(yīng)用的數(shù)據(jù)量大，數(shù)據(jù)傳輸協(xié)議復(fù)雜，數(shù)據(jù)流眾多，每種數(shù)據(jù)對于網(wǎng)絡(luò)傳輸質(zhì)量的要求不盡相同。其中的代表如H.323、UPnP協(xié)議，協(xié)議都非常復(fù)雜，需要打開大量的動態(tài)端口。為此，防火墻要有強大的高層協(xié)議分析能力，要能動態(tài)跟蹤和維持大量動態(tài)協(xié)商創(chuàng)建的網(wǎng)絡(luò)連接，要能夠滿足相關(guān)網(wǎng)絡(luò)連接的帶寬和時延要求，并處理其中的碎片等問題。這使防火墻對多媒體的支持變得復(fù)雜，所以很多防火墻在支持多媒體應(yīng)用時會功能無法正常使用或是使用時經(jīng)常出現(xiàn)掉線或是數(shù)據(jù)丟失的情況。甚至有些防火墻在支持多媒體協(xié)議時，通過設(shè)置全通規(guī)則來解決這些問題，造成了嚴(yán)重的安全漏洞，使用戶的網(wǎng)絡(luò)增大了安全風(fēng)險，所以防火墻對于多媒體應(yīng)用的支持也成為衡量防火墻功能的一個重要方面。綜合這些重要的用戶需求，方正數(shù)碼公司認(rèn)為當(dāng)今的防火墻系統(tǒng)作為首要的網(wǎng)絡(luò)邊界安全設(shè)備，已經(jīng)從初期的三層協(xié)議安全網(wǎng)關(guān)，向2－7層全面的安全網(wǎng)關(guān)方向發(fā)展，并且要有強大的性能作為支撐，如圖所示。2層協(xié)議的支持是為了使防火墻有良好的網(wǎng)絡(luò)適應(yīng)性；7層協(xié)議的支持，是為了防火墻有強大的多媒體支持能力，以及應(yīng)用過濾能力。而高性能，使得這一切得以真正實用化，而不僅僅是一些理論原型。為了支持這樣新的防火墻發(fā)展趨勢，方正數(shù)碼自行研發(fā)的新一代防火墻技術(shù)――智能IP識別技術(shù)。智能IP識別技術(shù)采用先進的內(nèi)核調(diào)度算法、零拷貝流分析算法和快速搜索算法實現(xiàn)高效的數(shù)據(jù)應(yīng)用分類和規(guī)則快速定位；再通過將其與狀態(tài)檢測技術(shù)相結(jié)合，對會話進行訪問控制，做到了針對多元化應(yīng)用進行有效的訪問控制的同時，保持了高速的網(wǎng)絡(luò)數(shù)據(jù)檢測效率，為2－7層網(wǎng)絡(luò)協(xié)議和應(yīng)用提供了強有力的支撐。尤其值得一提的是，智能IP識別技術(shù)中先進的零拷貝流分析算法（ZeSA算法，Zero-copyStreamAnalysis）。傳統(tǒng)的流過濾算法，必須要在內(nèi)存中組包，進行額外的拷貝、對齊等操作，大大降低了防火墻的處理效率，嚴(yán)重影響了吞吐量、時延和總并發(fā)連接數(shù)等關(guān)鍵指標(biāo)。智能IP識別技術(shù)的ZeSA算法，可以省去這一步驟，通過高效偏序匹配，以及網(wǎng)絡(luò)包的安全模式識別，在進行有效流處理的同時，保持防火墻處理的高效率。結(jié)合智能IP識別技術(shù)獨有的內(nèi)核調(diào)度算法、快速搜索算法，方正方御防火墻在國內(nèi)歷次評測中性能指標(biāo)都遙遙領(lǐng)先。在ZeSA強有力的支持下，方正方御防火墻的多媒體支持功能和應(yīng)用過濾功能都非常出色。方正方御防火墻可以全面的支持H.323、UPnP等多媒體協(xié)議，支持netmeeting、msn、realplay、mediaplay、iptv等關(guān)鍵多媒體應(yīng)用。在不降低用戶網(wǎng)絡(luò)安全級別和性能的前提下，智能IP識別技術(shù)支持這些協(xié)議和應(yīng)用進行完整的狀態(tài)檢測，并且提供完整的NAT支持；方正方御防火墻的應(yīng)用過濾功能效率出眾，不再成為網(wǎng)絡(luò)瓶頸，為應(yīng)用過濾真正的到應(yīng)用邁出了重要一步。方正數(shù)碼會和其他安全公司一起，努力解決應(yīng)用過濾安全策略的實用化問題，真正為用戶提供有效的應(yīng)用過濾支持。此外，智能IP識別技術(shù)提供了完整的2－7層協(xié)議分析的框架，對各種底層協(xié)議，如VLAN/TRUNK、Bridge/STP、高效熱備協(xié)議、VPN協(xié)議、動態(tài)路由、ARP代理等都有良好的支持，提供了透明、路由、混雜等模式。在復(fù)雜網(wǎng)絡(luò)拓?fù)湎拢€能有效的支持VPN的NAT穿越，H.323、UPnP等多媒體協(xié)議的NAT支持等。在實施時，對原有網(wǎng)絡(luò)拓?fù)涞母膭雍苄?，給用戶提供最大的便捷和安全。方正方御防火墻憑借先進的智能IP識別技術(shù)，提供了完整高效的2－7層的網(wǎng)絡(luò)安全防護，很好的解決了用戶在實際應(yīng)用中的性能、適應(yīng)性、應(yīng)用過濾、多媒體應(yīng)用等重要方面的需求。多種工作模式方正方御網(wǎng)絡(luò)安全產(chǎn)品可以工作在交換和路由兩種模式下：A：交換模式：3個端口構(gòu)成一個以太網(wǎng)交換機，產(chǎn)品本身沒有IP地址，在IP層透明。可以將任意三個物理網(wǎng)絡(luò)連接起來構(gòu)成一個互通的物理網(wǎng)絡(luò)。當(dāng)產(chǎn)品工作在交換模式時，內(nèi)網(wǎng)、DMZ區(qū)和路由器的內(nèi)部端口構(gòu)成一個統(tǒng)一的交換式物理子網(wǎng)，內(nèi)網(wǎng)和DMZ區(qū)還可以有自己的第二級路由器，這種模式不需要改變原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和各主機和設(shè)備的網(wǎng)絡(luò)設(shè)置。B：路由模式：產(chǎn)品本身構(gòu)成3個網(wǎng)絡(luò)間的路由器，3個界面分別具有不同的IP地址。三個網(wǎng)絡(luò)中的主機通過該路由進行通信。當(dāng)產(chǎn)品工作在路由模式時，可以作為三個區(qū)之間的路由器，同時提供內(nèi)網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換，也就是說，內(nèi)網(wǎng)和DMZ都可以使用保留地址，內(nèi)網(wǎng)用戶通過地址轉(zhuǎn)換訪問Internet，同時隔絕Internet對內(nèi)網(wǎng)的訪問，DMZ區(qū)通過反向地址轉(zhuǎn)換對Internet提供服務(wù)。在沒有安裝方御網(wǎng)絡(luò)安全產(chǎn)品的時候典型網(wǎng)絡(luò)結(jié)構(gòu)圖如下:在安裝了方御網(wǎng)絡(luò)安全產(chǎn)品的時候網(wǎng)絡(luò)結(jié)構(gòu)圖如下:方御防火墻的主要功能是對指定IP包進行包過濾，并且按照設(shè)定策略對IP包進行入侵或流量等活動的統(tǒng)計，并記入日志中，供用戶察看。主要根據(jù)IP包的如下信息進行過濾：IP包的源IP地址IP包的目的IP地址IP包的協(xié)議類型（包括IP、ICMP、TCP、UDP等協(xié)議）IP包的源TCP/UDP端口IP包的目的TCP/UDP端口ICMP報文類型域和代碼域碎片包IP包的其它標(biāo)志位，如SYN，ACK位等高效包過濾有些防火墻在安裝上以后對WEB服務(wù)器的吞吐能力影響很大，造成性能的降低。由于方御防火墻采用了3I智能IP識別技術(shù)（IntelligentIPIdentifying），能夠?qū)崿F(xiàn)快速匹配。因此方御防火墻不會對性能造成任何影響。方御防火墻優(yōu)化了算法，使最大并發(fā)連接數(shù)可以達到200,000個以上，而一般的防火墻的最大并發(fā)連接只能達到幾萬個左右。強大的狀態(tài)檢測功能方御防火墻可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進行訪問控制，同時還對任何網(wǎng)絡(luò)連接和會話的當(dāng)前狀態(tài)進行分析和監(jiān)控。傳統(tǒng)的防火墻的包過濾只是與規(guī)則表進行匹配，而方御防火墻對每個連接，作為一個數(shù)據(jù)流，通過規(guī)則表與連接表共同配合，在繼承了傳統(tǒng)包過濾系統(tǒng)對應(yīng)用透明的特性外，還大大的提高了系統(tǒng)的性能和安全性。其他的防火墻大多采用傳統(tǒng)的規(guī)則表的匹配方法，隨著安全規(guī)則的增加，勢必會使防火墻的性能大幅度的減少，造成網(wǎng)絡(luò)擁塞。狀態(tài)檢測的具體過程如下：方御防火墻支持在內(nèi)部網(wǎng)和DMZ區(qū)使用保留的IP地址，通過動態(tài)的地址轉(zhuǎn)換功能實現(xiàn)對外部網(wǎng)的訪問。方御防火墻以兩種方式支持NAT：√源地址轉(zhuǎn)換(正向NAT)，即內(nèi)部地址向外訪問時，發(fā)起訪問的內(nèi)部IP地址轉(zhuǎn)換為指定的IP地址（可含端口號或者端口范圍），這可以使內(nèi)部使用保留IP地址的主機訪問外部網(wǎng)絡(luò)，即內(nèi)部的多個機器可以通過一個外部有效地址訪問外部網(wǎng)絡(luò)。例如，內(nèi)部地址對外部的訪問可以被修改為一個合法的互聯(lián)網(wǎng)地址00，并且可以限定其端口范圍為80~82?！棠康牡刂忿D(zhuǎn)換（反向NAT），即外部地址向內(nèi)訪問時，被訪問的IP地址（可含端口號或者端口范圍）被轉(zhuǎn)換為指定的內(nèi)部IP地址（可含端口號或者端口范圍），可以支持針對外部地址服務(wù)端口到內(nèi)部地址的一對一映射，內(nèi)部的多臺機器的服務(wù)端口可以分別映射到外部地址的若干個端口，通過這些端口對外部提供服務(wù)。例如。如果外部的計算機要訪問地址為00的主機時，他實際上訪問的會是一臺IP地址為的主機，外部的計算機可以任意的訪問00主機上面的所有端口，這些訪問都會轉(zhuǎn)到的相同端口上，這樣就突破了以往防火墻做反向NAT時都必須和服務(wù)端口綁定的限制（即00:80:80），當(dāng)然，如果用戶需要，也可以和以往的防火墻一樣，做端口綁定?！駧捁芾砗土髁拷y(tǒng)計方御防火墻系統(tǒng)使用流量統(tǒng)計與控制策略，可方便地根據(jù)網(wǎng)段和主機等對流量進行統(tǒng)計與控制管理，以防止線路資源的非許可消耗，有效地管理帶寬資源，從而使網(wǎng)絡(luò)得到有效利用。方御通過設(shè)置每小時允許通過的網(wǎng)絡(luò)流量和最大突發(fā)流量來實現(xiàn)帶寬管理和流量統(tǒng)計的功能。●代理服務(wù)器功能對于瀏覽器用戶來說，方御是一個高性能的代理緩存服務(wù)器，方御支持FTP、HTTP協(xié)議。和一般的代理緩存軟件不同，方御用一個單獨的、非模塊化的、I/O驅(qū)動的進程來處理所有的客戶端請求。方御將數(shù)據(jù)元緩存在內(nèi)存中，同時也緩存DNS查詢的結(jié)果，除此之外，它還支持非模塊化的DNS查詢，對失敗的請求進行消極緩存。方御支持SSL，支持訪問控制。由于使用了ICP（輕量Internet緩存協(xié)議），方御能夠?qū)崿F(xiàn)層疊的代理陣列，從而最大限度地節(jié)約帶寬。用戶可以在客戶管理中，通過設(shè)置客戶權(quán)限，為用戶提供代理服務(wù)模式，在訪問規(guī)則中設(shè)置“禁止用戶訪問的站點”和“僅允許訪問的站點”，同時還可以建立URL級的訪問限制，通過建立禁止用戶訪問的URL列表，方御防火墻可以對該列表進行匹配，禁止對列表中的URL的訪問。違反限制規(guī)則的訪問企圖將被記錄到系統(tǒng)日志中。方御防火墻提供的URL級的屏蔽功能，可以使管理員屏蔽某些URL，如色情、反動的主頁等。另外通過對內(nèi)部網(wǎng)的WWW服務(wù)器的某些URL屏蔽，可以消除服務(wù)器本身的安全漏洞，從而對WWW服務(wù)器進行保護。●IP地址和MAC地址綁定計算機中每一塊網(wǎng)卡都具有一個唯一的硬件物理地址標(biāo)識號碼，即網(wǎng)卡的MAC地址，MAC地址與網(wǎng)卡一一對應(yīng)。為解決IP地址欺騙和盜用的問題，系統(tǒng)提供了IP地址和MAC地址（網(wǎng)卡）一一綁定的功能，主要用于綁定一些重要的管理員IP地址和特權(quán)IP地址。IP地址和MAC地址綁定后，即使某個用戶盜用了此網(wǎng)卡的IP地址，在通過防火墻時也會因網(wǎng)卡的MAC地址不匹配而拒絕通過。●雙機熱備方御在橋模式下能夠在網(wǎng)絡(luò)中智能的尋找其對等的備份機，并且使備份機自動進入等待狀態(tài)，而一旦備份機發(fā)現(xiàn)主工作機失效，可及時的啟動，防止網(wǎng)絡(luò)中斷事故的發(fā)生。在路由模式下，方御提供手工設(shè)置雙機熱備功能。目前，可以支持兩臺方御在網(wǎng)絡(luò)上進行主從備份，或者互為備份。●復(fù)雜別名機制復(fù)雜別名機制是FG的一類方便實用，也很重要的功能，F(xiàn)G使用端口別名和子網(wǎng)別名來代替相關(guān)的端口號和子網(wǎng)地址，幫助用戶管理多個網(wǎng)段和多個端口的地址。用戶可以在混合模式里用一個別名來管理一組離散的網(wǎng)段地址，或者是離散的端口值。在大部分的其他功能模塊里都要使用這些別名來進行配置。●授權(quán)等級遵循國家有關(guān)安全標(biāo)準(zhǔn)規(guī)定，方御作了四級授權(quán)：實施域管理權(quán)、策略管理權(quán)、審計管理權(quán)、日志查看權(quán)。實施域管理權(quán)包括：向?qū)嵤┯蛑性鰟h管理員帳號，增刪FireGate，設(shè)置FireGate雙機熱備，切換FireGate橋/路由模式，為管理員授策略管理權(quán)和審計管理權(quán)；策略管理權(quán)包括：配置FireGate各個模塊的策略，如包過濾策略，入侵檢測策略，NAT策略，流量控制策略，用戶認(rèn)證管理、Proxy策略等等；審計管理權(quán)包括：設(shè)置日志滿時系統(tǒng)的策略，為管理員授日志查看權(quán)，清空日志等；日志查看權(quán)包括：查詢?nèi)罩荆山y(tǒng)計報表等。擁有實施域管理權(quán)的僅有Admin帳號；且Admin也僅有實施域管理權(quán)，而沒有策略管理權(quán)及審計管理權(quán)。其他管理員（指除了Admin以外的管理員）的策略管理權(quán)和審計管理權(quán)由Admin授予，日志查看權(quán)由擁有審計管理權(quán)的管理員授予?！窨啥ㄖ频姆阑饓δ０宸接阑饓Φ念A(yù)置模板功能是將針對典型應(yīng)用的幾條防火墻規(guī)則整合成為模板，利用填空方式配置，簡化了用戶的配置工作?！駨姶蟮膶徲嫻δ芊接峁┝舜罅康膶徲媰?nèi)容和對審計內(nèi)容的查詢功能，由于日志可能對一般用戶比較難以理解，而我們將日志記錄分成了若干部分，而且就每一個部分都是可以進行查詢和管理的，這樣一來就可以是用戶對防火墻的情況有一個非常透徹的了解。方御中審計功能有著非常完善的權(quán)限管理，有專門的審計員來對審計內(nèi)容進行管理，在審計中又分成了若干級別的權(quán)限。這樣可以方便管理員管理審計內(nèi)容?！窕赑KI的高級授權(quán)認(rèn)證PKI是一種新的安全技術(shù)，它由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機構(gòu)（CA）和關(guān)于公開密鑰的安全策略等基本成分共同組成的。PKI是利用公鑰技術(shù)實現(xiàn)電子商務(wù)安全的一種體系，是一種基礎(chǔ)設(shè)施，網(wǎng)絡(luò)通訊、網(wǎng)上交易是利用它來保證安全的。從某種意義上講，PKI包含了安全認(rèn)證系統(tǒng)，即安全認(rèn)證系統(tǒng)-CA/RA系統(tǒng)是PKI不可缺的組成部分。方御的授權(quán)認(rèn)證是基于PKI基礎(chǔ)之上，因此完全性極高?！窦泄芾砀鶕?jù)美國財經(jīng)雜志統(tǒng)計資料表明，30%的入侵發(fā)生在有防火墻的情況下，這些入侵的主要原因并非是防火墻無用，而是由于一般的防火墻的管理及配置相當(dāng)復(fù)雜，要想成功的維護防火墻，要求防火墻管理員對網(wǎng)絡(luò)安全攻擊的手段及其與系統(tǒng)配置的關(guān)系有相當(dāng)深刻的了解，而且防火墻的安全策略無法進行集中管理，這些都造成了網(wǎng)絡(luò)安全的失敗。而方御防火墻采用基于WindowsGUI的用戶界面進行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作?？梢酝ㄟ^一個控制機對多臺方御進行集中式的管理?！駥崟r控制和日志轉(zhuǎn)存管理員可以通過控制界面對防火墻進行實時的控制和調(diào)整，可以修改其策略和工作方式。管理員可以將日志保存起來，供以后分析使用，由于方御每天都會記錄大量的日志信息，而且一些日志記錄是非常有用的信息，因此方御的日志監(jiān)視系統(tǒng)會將服務(wù)器上面的日志下載到管理員的機器上面，管理員可以對它進行編輯和保存?！裰С諷NMP管理方御網(wǎng)絡(luò)安全產(chǎn)品提供對簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)的支持，支持V1、V2等不同版本，可與當(dāng)前主流的網(wǎng)絡(luò)管理平臺如HPOpenview、CAUnicenter等聯(lián)用，通過專業(yè)網(wǎng)管軟件兼控方御產(chǎn)品運行狀況。此外通過SNMP管理，方御還可以對攻擊事件進行收集，轉(zhuǎn)發(fā)給SNMP服務(wù)器，用戶可以通過對SNMP的管理，發(fā)現(xiàn)產(chǎn)品問題?！馠.323支持隨著語音/影像數(shù)據(jù)的流行，網(wǎng)絡(luò)上流動大量的H.323數(shù)據(jù)。H.323數(shù)據(jù)流的特點是同一個數(shù)據(jù)流在不同的時間使用不同的UDP端口，而這種端口的變化通常是靠分析數(shù)據(jù)流的內(nèi)容得到的，方御防火墻采用特殊技術(shù)對實際數(shù)據(jù)流情況作出判斷，以判別數(shù)據(jù)的合法性，在保證網(wǎng)絡(luò)安全的前提下支持H.323數(shù)據(jù)合法通過。第二節(jié)虛擬專用網(wǎng)（VPN）越來越多的企業(yè)需要在全國乃至世界范圍內(nèi)建立各種辦事機構(gòu)、分公司、研究所等，各個分公司之間傳統(tǒng)的網(wǎng)絡(luò)連接方式一般是租用專線。顯然，在分公司增多、業(yè)務(wù)開展越來越廣泛時，網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜，費用昂貴。利用VPN特性可以在Internet上組建世界范圍內(nèi)的企業(yè)內(nèi)部虛擬網(wǎng)。FG的企業(yè)內(nèi)部虛擬網(wǎng)采用網(wǎng)關(guān)-網(wǎng)關(guān)的加密通道模式，用戶可靈活設(shè)置軟、硬件加密算法的優(yōu)先順序。例如：某公司的總部與分公司的遠(yuǎn)程辦公網(wǎng)絡(luò)通過Internet進行聯(lián)系，在公司的兩臺FG之間由于建立了企業(yè)內(nèi)部虛擬網(wǎng)絡(luò)，使兩個公司之間的通訊就象在一個內(nèi)部網(wǎng)中通訊一樣。虛擬專用網(wǎng)技術(shù)（VPN，VirtualPrivateNetwork）是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，則各地的機構(gòu)就可以互相傳遞信息。使用VPN有節(jié)約成本、擴展性強、便于管理和實現(xiàn)全面控制等好處。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的，是通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點到點的專線技術(shù)。所謂虛擬，是指用戶不再需要擁有實際的長途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)。而在Internet上，VPN使用者可以控制自己與其他使用者的聯(lián)系，同時支持撥號的用戶。目前VPN主要采用四項技術(shù)來保證安全，這四項技術(shù)分別是隧道技術(shù)（Tunneling）、加解密技術(shù)（Encryption&Decryption）、密鑰管理技術(shù)（KeyManagement）、使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）。方御虛擬專用網(wǎng)中應(yīng)用了上述全部技術(shù)，包括軟件加密和硬件加密，例如：使用IPSEC技術(shù)進行隧道通訊，使用3DES技術(shù)等進行加解密，使用IKE進行密鑰管理，使用X.509進行身份認(rèn)證等?！裰С侄喾N應(yīng)用模式方御虛擬專用網(wǎng)支持兩種用戶模式：遠(yuǎn)程訪問虛擬網(wǎng)（AccessVPN）和企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）。●身份授權(quán)與鑒別體系方御虛擬專用網(wǎng)系統(tǒng)內(nèi)置CA中心模塊，管理員可獨立完成VPN用戶的身份授權(quán)工作。系統(tǒng)采用PKI技術(shù)，使用標(biāo)準(zhǔn)的X.509證書體系，支持客戶/服務(wù)器雙向身份鑒別和客戶份鑒別機制。方御虛擬專用網(wǎng)身份授權(quán)與鑒別體系有效降低了系統(tǒng)維護和客戶使用的復(fù)雜性，并保證身份授予權(quán)過程的安全性?！癜踩用芊接摂M專用網(wǎng)建立加密通訊隧道，保證私密數(shù)據(jù)傳輸?shù)陌踩?。方御虛擬專用網(wǎng)支持3DES和國家認(rèn)可的對稱加密算法，完成對數(shù)據(jù)包的加密；同時采用MD5、SHA-1算法對所傳數(shù)據(jù)Hash摘要及結(jié)果實現(xiàn)數(shù)字簽名，有效地保證了數(shù)據(jù)在傳達室輸過程中的完整性，防止數(shù)據(jù)被他人篡改?！癞a(chǎn)品主要標(biāo)指標(biāo)協(xié)議：IPSec協(xié)議（支持TCP/IP、UDP、ICMP及其高層應(yīng)用） 加密算法：國密辦認(rèn)可的密算法、3DES 鑒別算法：MD5、SHA-1 密鑰管理算法：RSA、Diffie-Hellman 密鑰管理方式：IKE、OAKLEY系統(tǒng)管理方式：支持遠(yuǎn)程管理和集中管理。第三節(jié)入侵檢測系統(tǒng)（IDS）針對江淮汽車網(wǎng)絡(luò)中心對接警和處警要求及時準(zhǔn)確的處理案件，我們建議在主交換機上部署金諾公司的入侵檢測產(chǎn)品KIDS，以對所有接警和處警終端進行有效的監(jiān)控。目前，網(wǎng)絡(luò)攻擊和入侵的手段多種多樣，從使用的方法主要可以分為以下幾大類：掃描：檢測攻擊者使用各種掃描方式企圖獲得攻擊目標(biāo)的有關(guān)信息及漏洞情況的行為。常用的掃描工具有SANTAN、Saint、LANguardNetworkScanner、Nmap等。嗅探：攻擊者試圖從網(wǎng)絡(luò)中獲取用戶名、口令等敏感信息。常用的嗅探工具有SATAN、Xray、Sniffer等。后門：攻擊者試圖利用各種后門程序?qū)δ繕?biāo)系統(tǒng)進行訪問，常用的后門攻擊工具如冰河、Backoffice、SubSseven、NetBusSolaris、RootkitDagger等。病毒：利用互聯(lián)網(wǎng)的高速傳播速度，網(wǎng)絡(luò)病毒已經(jīng)成為網(wǎng)絡(luò)攻擊的主要組成部分。近來比較猖獗的病毒有Nimda病毒、Toadie病毒、W97M/Vale宏病毒、電子郵件蠕蟲VBS.Loveletter.FW.A、W32/Navidad@M因特網(wǎng)蠕蟲等。惡意代碼：攻擊者編寫ActiveX、Javascript等形式的各種惡意代碼對例如網(wǎng)站這樣對外提供服務(wù)的系統(tǒng)進行攻擊。拒絕服務(wù)（DoS）和分布式拒絕服務(wù)(DDoS)：攻擊者通過消耗系統(tǒng)資源使目標(biāo)主機的部分或全部服務(wù)功能喪失。常見的拒絕服務(wù)攻擊有SYNFLOOD攻擊，PINGFLOOD攻擊，WINNUK攻擊等。欺騙：攻擊者還經(jīng)常使用欺騙手段達到攻擊目的，如域名系統(tǒng)無權(quán)限的欺騙查詢、ICMPECHO報文數(shù)據(jù)等入侵檢測系統(tǒng)實時監(jiān)測網(wǎng)絡(luò)通信，進行分析并且可以進行實時安全預(yù)警，從而有效地管理內(nèi)部人員的安全使用和對外部的攻擊進行早期預(yù)警和跟蹤，有效地保障系統(tǒng)安全。因此，需有專用的入侵檢測設(shè)備或入侵檢測軟件提供入侵信息以便及時采取相應(yīng)的安全措施，遏制入侵行為。針對日益嚴(yán)重的網(wǎng)絡(luò)安全問題和越來越突出的安全需求，P2DR“動態(tài)安全模型”應(yīng)運而生，該模型目前已被業(yè)內(nèi)人士廣泛認(rèn)同。在P2DR模型較為獨特之處，是它加進了時間的因素，如入侵探測時間、應(yīng)變時間等概念，使其成為了一套完整的安全架構(gòu)。P2DR模型的基本描述為：安全=風(fēng)險分析+執(zhí)行策略+系統(tǒng)實施+漏洞監(jiān)測+實時響應(yīng)該模型強調(diào)的是系統(tǒng)安全的動態(tài)性，以安全檢測、漏洞監(jiān)測和自適應(yīng)填充“安全間隙”為循環(huán)來提高網(wǎng)絡(luò)安全。P2DR理論提出了全新的安全概念，安全不能依靠單純的靜態(tài)防護，也不能依靠單純的技術(shù)手段來解決。根據(jù)該模型，防護是一個必備的措施和必須的環(huán)節(jié)。從發(fā)生的入侵事件可以看出，基礎(chǔ)防護的網(wǎng)絡(luò)還是缺乏安全性，訪問控制等靜態(tài)安全措施只能對網(wǎng)絡(luò)系統(tǒng)中的某幾個環(huán)節(jié)起保護作用，如果忽略了網(wǎng)絡(luò)系統(tǒng)中的安全漏洞和隨時可能發(fā)生的攻擊，隱患仍然存在，計算機信息仍然受到威脅。所以需要增設(shè)檢測和響應(yīng)這兩個環(huán)節(jié)，發(fā)現(xiàn)隱藏的漏洞，主動提高網(wǎng)絡(luò)的抗攻擊能力。這個環(huán)節(jié)主要通過日常漏洞檢測掃描和實時入侵檢測響應(yīng)技術(shù)來擔(dān)當(dāng)重任。近來信息安全問題越來越受到人們的關(guān)注，為了解決安全問題，各單位都不同程度地增加了對信息安全的資金投入，各種防火墻、防病毒等安全產(chǎn)品都被廣泛應(yīng)用到了用戶的信息網(wǎng)絡(luò)當(dāng)中。則在網(wǎng)絡(luò)中部署了上述這些安全產(chǎn)品以后，用戶所面臨的安全問題是否都得到了全部解決呢？從上面介紹的P2DR模型我們可以知道，答案是否定的。這主要表現(xiàn)在以下幾個方面：防火墻的局限性傳統(tǒng)的邊界防火墻由于其部署于內(nèi)部局域網(wǎng)與外網(wǎng)之間，進行網(wǎng)絡(luò)隔離和訪問控制，但它很難解決內(nèi)部局域網(wǎng)控制內(nèi)部人員的安全問題，即只能防范來自外部的風(fēng)險，而不能防范來自內(nèi)部的風(fēng)險。對于應(yīng)用層的攻擊防火墻的防護也是不能令人滿意的。安全漏洞與攻擊方法的不斷出現(xiàn)隨著安全漏洞不斷被公布，及攻擊者知識的日趨成熟，攻擊工具與手法的趨復(fù)雜多樣化，單純的防火墻策略已經(jīng)無法滿足對安全高度敏感的部門的需要。網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣的手段。靜態(tài)防御的不足訪問控制等靜態(tài)安全措施可以發(fā)揮一定的安全保護作用，但如忽略了網(wǎng)絡(luò)系統(tǒng)中的安全漏洞和隨時可能發(fā)生的攻擊隱患，計算機安全系統(tǒng)仍然會受到威脅。部署入侵檢測系統(tǒng)不但可以有效地解決上述問題，并且能夠幫助用戶達到以下網(wǎng)絡(luò)安全管理目的。識別各種黑客攻擊或入侵的方法和手段入侵檢測系統(tǒng)從網(wǎng)絡(luò)數(shù)據(jù)流中搜集各種網(wǎng)絡(luò)行為的信息，然后從中分析各種攻擊的特征，它可以全面快速地識別各種網(wǎng)絡(luò)攻擊，并做相應(yīng)的防范。

實時的網(wǎng)絡(luò)和響應(yīng)，幫助用戶及時發(fā)現(xiàn)并解決安全問題入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵或誤用行為之后，根據(jù)一定的事件響應(yīng)規(guī)則進行實時的網(wǎng)絡(luò)。入侵檢測系統(tǒng)同時也能夠針對惡意攻擊按照預(yù)定的響應(yīng)方式進行實時響應(yīng)。詳盡紀(jì)錄網(wǎng)絡(luò)事件信息所有的網(wǎng)絡(luò)攻擊事件的詳細(xì)信息都會被記錄到入侵檢測系統(tǒng)的日志中，以備用戶進行事后核查。并且所記錄的日志信息可以作為對攻擊者實施法律制裁的依據(jù)，加強對用戶信息系統(tǒng)的法律保護。網(wǎng)絡(luò)攻擊事件的統(tǒng)計分析網(wǎng)絡(luò)管理人員利用入侵檢測系統(tǒng)可以便捷地統(tǒng)計分析出網(wǎng)絡(luò)在一段時間遭受了哪些攻擊、哪種攻擊方式最多、從哪里來的攻擊最嚴(yán)重等等。入侵檢測系統(tǒng)產(chǎn)生的統(tǒng)計分析報表將是用戶加強網(wǎng)絡(luò)安全建設(shè)的重要事實依據(jù)。協(xié)助管理員加強網(wǎng)絡(luò)安全的管理借助入侵檢測系統(tǒng)，網(wǎng)絡(luò)管理人員可以隨時了解人們正在訪問的信息，并且在有人試圖偷窺或盜取敏感數(shù)據(jù)時及時覺察。入侵檢測系統(tǒng)具備的網(wǎng)絡(luò)安全專家的入侵分析與判斷能力，擴展了系統(tǒng)管理員的安全管理能力。系統(tǒng)結(jié)構(gòu)KIDS屬于分布式、多層控制管理體系結(jié)構(gòu)的產(chǎn)品，其主要由KIDS管理中心和傳感器兩大部分組成，管理中心是KIDS的系統(tǒng)中心，實現(xiàn)諸多的管理和處理功能，而傳感器則是KIDS的探測引擎，主要實現(xiàn)檢測分析的功能。管理中心和傳感器都分別包括更加具體的功能組件，具體介紹如下：管理中心（KIDSManagementCenter/KMC）作為系統(tǒng)中心的KIDS管理中心（KIDSManagementCenter），KMC包含大部分的功能組件，包括控制臺、事件處理器、響應(yīng)器、策略編輯器、數(shù)據(jù)庫管理工具、報表分析工具等。KMC可以安裝在MSWindows平臺上。KMC的組成結(jié)構(gòu)如下圖：控制臺（KIDSConsole/KC）控制臺（KC）提供了日常使用的用戶界面，可以管理各組件和監(jiān)視警報及審計信息，并可以調(diào)用各類工具。KC是KMC的重要組成部分，也是KMC管理功能的具體體現(xiàn)，在使用當(dāng)中用戶接觸的最多就是KC。KC包括數(shù)據(jù)庫管理（KDT）、報表分析（KEA）和策略編輯器（KPE）等工具。事件處理器（KIDSEventProcessor/KEP）事件處理器（KEP）接收來自傳感器的事件，根據(jù)策略記錄到數(shù)據(jù)庫中、分發(fā)到控制臺、分發(fā)到上級事件處理器或分發(fā)到響應(yīng)器中。KEP主要實現(xiàn)內(nèi)部處理的機制，目前對用戶基本上是不可見的。數(shù)據(jù)庫管理工具（KIDSDatabaseTool/KDT）數(shù)據(jù)庫管理工具（KDT）是對KIDS數(shù)據(jù)庫進行管理維護的主要工具，通過KDT，用戶可以實現(xiàn)對數(shù)據(jù)庫進行備份、合并或刪除等具體操作。策略編輯器（KIDSPolicyEditor/KPE）策略編輯器（KPE）是定義KIDS系統(tǒng)檢測策略和響應(yīng)策略等內(nèi)容的功能組件，策略編輯會形成相應(yīng)的配置文件為系統(tǒng)調(diào)用。響應(yīng)器（KIDSResponder/KR）響應(yīng)器（KR）主要產(chǎn)生響應(yīng)動作，如阻斷、關(guān)閉系統(tǒng)、產(chǎn)生各類網(wǎng)絡(luò)等。報表分析工具（KIDSReporterandAnalyzer/KRA）報表分析工具（KRA）是對KIDS數(shù)據(jù)庫中的網(wǎng)絡(luò)日志進行統(tǒng)計分析的重要工具，可以為用戶提供詳細(xì)的明細(xì)報表和各類圖文并茂的統(tǒng)計報表，并實現(xiàn)入侵分析和對安全進行評估的目的。網(wǎng)絡(luò)傳感器（KIDSNetworkSensor/KNS）網(wǎng)絡(luò)傳感器監(jiān)測所在網(wǎng)段的所有流量，能產(chǎn)生各類網(wǎng)絡(luò)事件，并具有部分響應(yīng)功能。網(wǎng)絡(luò)傳感器抓取網(wǎng)絡(luò)上的數(shù)據(jù)包，并采用包特征檢測、協(xié)議分析和異常檢測等技術(shù)對數(shù)據(jù)流進行分析，以發(fā)現(xiàn)入侵攻擊、誤操作或資源濫用等非法行為。主機傳感器（KIDSHostSensor/KHS）主機傳感器監(jiān)視所在主機上的信息，產(chǎn)生各類事件，并具有部分響應(yīng)功能。主機傳感器安裝在需要重點保護的主機上，采取分布式探測、集中網(wǎng)絡(luò)的形式。網(wǎng)絡(luò)集中發(fā)往控制臺。主機入侵檢測可以實現(xiàn)對注冊表、關(guān)鍵文件、事件日志和撥號狀態(tài)等方面的監(jiān)測功能。主要功能識別各種黑客攻擊或入侵的方法和手段KIDS從網(wǎng)絡(luò)中搜集各種網(wǎng)絡(luò)行為的信息，然后從中分析各種攻擊的特征，它可以全面快速地識別各種網(wǎng)絡(luò)攻擊，如掃描、嗅探、后門、病毒、惡意代碼、拒絕服務(wù)、分布式拒絕服務(wù)、可疑行為、非授權(quán)訪問、主機異常和欺騙等，并做相應(yīng)的防范。監(jiān)控內(nèi)部人員的誤操作、資源濫用或惡意行為KIDS記錄網(wǎng)絡(luò)行為的屬性、特征、來源和目標(biāo)，并在控制臺的監(jiān)控視圖上顯示實時活動TCP連接和正在訪問的URL，任何不符合網(wǎng)絡(luò)安全策略的網(wǎng)絡(luò)數(shù)據(jù)都會被KIDS探測到并網(wǎng)絡(luò)。KIDS可以根據(jù)用戶需要定義各種需檢測的安全事件，例如對特定目標(biāo)主機的訪問的檢測、數(shù)據(jù)傳輸中包含的特定內(nèi)容的檢測。這樣可以及時發(fā)現(xiàn)違反安全規(guī)定的誤操作、資源濫用和惡意行為。實時的網(wǎng)絡(luò)和響應(yīng)，幫助用戶及時發(fā)現(xiàn)并解決安全問題KIDS在發(fā)現(xiàn)入侵或誤用行為之后，可以根據(jù)預(yù)先定義的事件響應(yīng)規(guī)則進行實時的網(wǎng)絡(luò)。它提供多種網(wǎng)絡(luò)手段，網(wǎng)絡(luò)信息可以通過發(fā)送文字、電子郵件、手機短消息、尋呼、SNMPTrap等多種手段進行通知，并將所有的網(wǎng)絡(luò)信息記到日志中，以備核查。KIDS還能夠針對惡意攻擊進行實時響應(yīng)，響應(yīng)的手段有：中斷TCP會話、偽造ICMP應(yīng)答、根據(jù)黑名單斷開、阻塞HTTP請求、模擬SYN/ACK和執(zhí)行用戶自定義程序等。核查系統(tǒng)漏洞及后門KIDS帶有已知系統(tǒng)漏洞及后門的詳細(xì)信息，這些信息包括事件名稱、事件描述、發(fā)布日期、更新日期、解決方案和影響平臺等。通過對網(wǎng)絡(luò)數(shù)據(jù)包連接的方式、連接端口以及連接中特定的內(nèi)容等進行特征分析，可以有效地發(fā)現(xiàn)網(wǎng)絡(luò)中針對系統(tǒng)漏洞進行的非法行為。而且，KIDS提供的詳細(xì)信息可以幫助系統(tǒng)管理員修補系統(tǒng)漏洞。協(xié)助管理員加強網(wǎng)絡(luò)安全的管理借助KIDS系統(tǒng)，網(wǎng)絡(luò)管理人員可以隨時了解人們正在訪問的信息，并且在有人試圖偷窺或盜取敏感數(shù)據(jù)時及時覺察。KIDS具備網(wǎng)絡(luò)安全專家一樣的入侵分析與判斷能力，擴展了系統(tǒng)管理員的安全管理能力。KIDS為系統(tǒng)管理員提供了各種直觀圖形化工具和實時檢測網(wǎng)絡(luò)功能，極大地方便了系統(tǒng)管理員的安全管理。性能指標(biāo)KIDSVer3.3的系統(tǒng)特性特性描述檢測類型基于網(wǎng)絡(luò)，基于主機網(wǎng)絡(luò)環(huán)境10M/100M，以太網(wǎng)和高速以太網(wǎng)通信方式OpenSSL加密，傳感器與控制臺相互認(rèn)證升級網(wǎng)上自動升級或通過本地存儲介質(zhì)升級運行平臺網(wǎng)絡(luò)傳感器：硬件封裝形式。主機傳感器：Windows2000Advanced/Server/Professional中文版管理主機：Windows2000Advanced/Server/Professional中文版檢測規(guī)則>1800種事件種類>1200種網(wǎng)絡(luò)方式控制臺網(wǎng)絡(luò)/郵件/手機短信/傳呼機/傳真/SNMPTrap消息/Winpopup/聲音/自定義程序響應(yīng)方式日志記錄、中斷TCP會話、偽造ICMP應(yīng)答、根據(jù)黑名單斷開、通過防火墻阻斷等支持互動的防火墻類型支持天融信、東方龍馬和華堂防火墻等自身安全性監(jiān)聽網(wǎng)口與管理網(wǎng)口分開，監(jiān)聽網(wǎng)口不帶IP地址，管理網(wǎng)口不開放端口，能抗DoS攻擊和繞過IDS的攻擊文件監(jiān)測（KHS）支持目錄監(jiān)測（KHS）支持事件日志監(jiān)測（KHS）支持撥號監(jiān)控（KHS）支持顯示活動TCP連接支持流量統(tǒng)計支持URL訪問監(jiān)控支持查看URL內(nèi)容支持敏感內(nèi)容檢測支持協(xié)議分析支持HTTP、SMTP/POP3等TCP流重組支持IP碎片重組8,192監(jiān)控TCP連接數(shù)（Max）10,000管理中心（KMC）能同時管理傳感器的數(shù)量（個）>50（理論上沒有限制，受硬件性能影響）控制臺處理網(wǎng)絡(luò)事件的性能參數(shù)約3000條/秒（不記庫）事件處理引擎的性能參數(shù)約4000條/秒（不記庫）檢測引擎性能參數(shù)100Mb之80%的流量下系統(tǒng)工作正常傳感器檢測能力參數(shù)20,000個包/秒的流量環(huán)境下（UDP，150Byte），攻擊檢測率不小于97%（HTTPGet

方式）傳感器能夠識別的攻擊和事件類型說明拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊通過消耗系統(tǒng)資源使目標(biāo)主機的部分或全部服務(wù)功能喪失。例如，SYNFLOOD攻擊，PINGFLOOD攻擊，WINNUK攻擊等。掃描檢測攻擊者使用各種掃描方式企圖獲得攻擊目標(biāo)的有關(guān)信息及漏洞情況的行為。如，PortScan、SANTAN、Saint、LANguardNetworkScanner、IPHalfScan等。預(yù)攻擊嗅探攻擊者試圖從網(wǎng)絡(luò)中獲取用戶名、口令等敏感信息。如SATAN掃描、端口掃描、IPHALF掃描等?？梢尚袨榉恰罢！钡木W(wǎng)絡(luò)訪問，很可能是需要注意的不安全事件。如IP地址復(fù)用，無法識別IP協(xié)議的事件。協(xié)議分析對協(xié)議進行解析，幫助管理員發(fā)現(xiàn)可能的危險事件。如FTP口令解析，EMAIL主題解析等。后門攻擊者試圖利用各種后門程序?qū)δ繕?biāo)系統(tǒng)進行訪問，如，Backoffice、SubSseven、NetBusSolaris、RootkitDagger等。病毒Nimda病毒、Toadie病毒、W97M/Vale宏病毒、電子郵件蠕蟲VBS.Loveletter.FW.A、W32/Navidad@M因特網(wǎng)蠕蟲等。惡意代碼以ActiveX、Javascript等形式出現(xiàn)的各種惡意代碼。非授權(quán)訪問攻擊者企圖讀取、寫或執(zhí)行被保護的資源。如FTPROOT攻擊，EMAILWIZ攻擊等。欺騙域名系統(tǒng)無權(quán)限的欺騙查詢、ICMPECHO報文數(shù)據(jù)等主機異常登錄失敗、審核策略改變、調(diào)用了特許的服務(wù)、關(guān)鍵文件被修改等。普通網(wǎng)絡(luò)事件識別各種網(wǎng)絡(luò)協(xié)議包的源、目的IP地址，源、目的端口號，協(xié)議類型等。產(chǎn)品優(yōu)勢與國內(nèi)外其它產(chǎn)品比較，金諾網(wǎng)安的網(wǎng)絡(luò)入侵檢測系統(tǒng)具有以下的特點和優(yōu)勢：自主設(shè)計開發(fā)，自主版權(quán)在1997年~1999年金諾網(wǎng)安尚未成立時，就已經(jīng)開始入侵檢測技術(shù)的研究，KIDS國內(nèi)最早以入侵檢測為方向的博士論文研究課題《入侵檢測智能方法研究》的成果，KIDS也是2000年國家863項目資助的課題《智能入侵檢測平臺》。KIDS具有完全的知識產(chǎn)權(quán)，并受政府支持，能夠長期、穩(wěn)定地為廣大用戶提供優(yōu)質(zhì)的產(chǎn)品服務(wù)權(quán)威機構(gòu)測評認(rèn)證的安全產(chǎn)品目前，金諾網(wǎng)安的KIDS已經(jīng)獲得了公安部銷售許可證、國家信息安全測評認(rèn)證中心認(rèn)證、國家保密局鑒定、解放軍信息安全測評認(rèn)證中心認(rèn)證，產(chǎn)品質(zhì)量穩(wěn)定可靠，用戶可以放心使用。強大的入侵檢測和攻擊處理能力KIDS采用了獨特的零拷貝技術(shù)，可以有效地降低網(wǎng)絡(luò)數(shù)據(jù)包的處理開銷，最大能支持千兆網(wǎng)絡(luò)的數(shù)據(jù)流量。綜合了最新的協(xié)議分析和攻擊模式識別技術(shù)，在提高檢測性能的同時也大大降低了誤報率。KIDS可重組的最大的IP碎片數(shù)目為8192，同時監(jiān)控的TCP連接數(shù)為10000，管理控制臺同時能管理的傳感器的數(shù)目也可以是多個（僅受計算機配置的影響）。這些性能最終形成了KIDS強大的入侵檢測和攻擊處理能力。金諾新一代檢測分析引擎，采用了基于狀態(tài)的協(xié)議分析技術(shù)，支持VLAN（802.1q）,優(yōu)化配置的策略。使得入侵檢測和攻擊處理能力更上一層樓。全面的檢測知識庫KIDS具備國內(nèi)最為全面的檢測知識庫，包括掃描、嗅探、后門、病毒、惡意代碼、拒絕服務(wù)、分布式拒絕服務(wù)、可疑行為、非授權(quán)訪問、主機異常和欺騙等11大類的安全事件，目前共有檢測規(guī)則1700條。檢測知識庫每周進行更新和升級，用戶完全不必?fù)?dān)心最新黑客攻擊方法的威脅。強大的響應(yīng)能力KIDS提供了多達17種網(wǎng)絡(luò)響應(yīng)方式，用戶可以根據(jù)自身需要靈活選擇。KIDS一旦發(fā)現(xiàn)了攻擊入侵或可疑的行為，便可以采用多種實時的網(wǎng)絡(luò)方式通知用戶，如屏幕顯示、發(fā)聲網(wǎng)絡(luò)、郵件通知、傳呼通知、手機短消息、WinPop、SNMPTrap或用戶自定義的響應(yīng)方式等，并將所有的網(wǎng)絡(luò)信息記錄到日志中。同時KIDS對于一些非法的連接也能夠進行及時的阻斷，如中斷TCP會話、偽造ICMP應(yīng)答、根據(jù)黑名單斷開、阻塞HTTP請求、模擬SYN/ACK或通過防火墻阻塞等。專業(yè)的報表分析系統(tǒng)KIDS的報表系統(tǒng)采用了最新的設(shè)計思路，報表樣式的設(shè)計更加科學(xué)、更加直觀，報表種類也更加豐富、更加全面。新的報表系統(tǒng)具有如下的特點：統(tǒng)計概要用戶簡報，包括管理簡報、執(zhí)行簡報和技術(shù)簡報帶概覽的分組報表可以動態(tài)調(diào)整、實時定義的時間范圍條件更加直觀、更加簡便的自定義報表功能開放式的插件結(jié)構(gòu)傳感器采用了插件技術(shù)進行分析處理。傳感器的核心引擎從網(wǎng)絡(luò)上抓取數(shù)據(jù)包，并調(diào)用相應(yīng)的處理插件對其進行分析處理，處理插件將獲得的數(shù)據(jù)包特征與知識庫進行比較。對網(wǎng)絡(luò)高層協(xié)議的分析和數(shù)據(jù)的處理是由專門的插件來實現(xiàn)的。不同的應(yīng)用層協(xié)議用不同的插件來處理。新的協(xié)議檢測，只需要增加新的處理插件。系統(tǒng)在檢測能力上的增強，只需增加和更新插件即可。KIDS包含包特征檢測、端口掃描檢測、流敏感內(nèi)容監(jiān)測器、HTTP檢測、POP3分析器、SMTP分析器等多種插件。系統(tǒng)的安全性KIDS全面按照《入侵檢測保護輪廓IDSPP》標(biāo)準(zhǔn)的要求開發(fā)，已完全達到《IT安全性評估準(zhǔn)則》（即CC）EAL2級的標(biāo)準(zhǔn)，而且大部分的指標(biāo)已達到了CCEAL3級的要求。在實現(xiàn)上，KIDS的監(jiān)聽網(wǎng)口與管理網(wǎng)口是分開的，監(jiān)聽網(wǎng)口不帶IP地址，管理網(wǎng)口不開放任何端口，傳感器與控制臺之間的數(shù)據(jù)傳輸也經(jīng)過加密和認(rèn)證。這些機制充分保證了KIDS系統(tǒng)自身的安全性。SafeBoot?技術(shù)，獨一無二SafeBoot?技術(shù)是KIDS產(chǎn)品的最大特色，也是金諾公司基于對IDS產(chǎn)品技術(shù)深入研究和理解而創(chuàng)新的高端技術(shù)，SafeBoot?技術(shù)主要利用了可引導(dǎo)光盤（BootableCD）和SafeBlock?USB配置盤兩種存儲介質(zhì)，BootableCD裝載著NIDS的主體程序，而SafeBlock?配置盤則為傳感器提供了安全配置和維護檢測規(guī)則的功能，通過利用可直接引導(dǎo)的傳感器光盤和“即插即用”的USB配置盤，KIDS在產(chǎn)品形態(tài)、安裝部署、升級更新和運行機制等方面都得到了大大的簡化，同時，在一定程度上也提高了產(chǎn)品的靈活性、可靠性和安全性。智能入侵檢測KIDS采用了金諾公司新一代智能的檢測技術(shù)，以基于包特征的檢測技術(shù)為主體，充分結(jié)合協(xié)議狀態(tài)分析、流量異常檢測等先進技術(shù)，在保證檢測到已知的最新攻擊行為的前提下，及時發(fā)現(xiàn)一些未知的非法入侵行為，從而確保檢測的準(zhǔn)確性和廣泛性。包特征檢測技術(shù)可以檢測到各類攻擊的明顯特征，所以能檢測到許多已知的攻擊方法；協(xié)議狀態(tài)分析則可以檢測到在網(wǎng)絡(luò)層（IP協(xié)議）、傳輸層（TCP、UDP、ICMP協(xié)議）和應(yīng)用層（HTTP、SMTP、FTP等協(xié)議）中許多未知的攻擊行為；流量異常檢測則可發(fā)現(xiàn)諸如端口掃描（PORTSCANNING）、蠕蟲（STORM）和FLOOD等具有“多會話形式”特點的攻擊方法。事件追蹤分析KIDS具備了具有強勁分析功能的事件分析器，它可以查看分析事件所有相關(guān)的具體信息，也可以針對各個源IP地址以各種不同的方式進行追蹤分析：

歸并統(tǒng)計功能：分別以事件、事件類型、源地址或目標(biāo)地址作為條件來對網(wǎng)絡(luò)事件進行歸并和計數(shù)（以樹的形式顯示），并統(tǒng)計出發(fā)生事件數(shù)量最多的前10個源IP地址（以統(tǒng)計圖的形式表達）。提供事件基本信息：包括源端口、源地址、目標(biāo)端口、目標(biāo)地址、網(wǎng)絡(luò)時間、網(wǎng)絡(luò)次數(shù)和產(chǎn)生該事件的傳感器的ID等信息。提供事件詳細(xì)信息：包括事件的詳細(xì)描述、受影響平臺、解決方案及參考資源等內(nèi)容。追蹤分析功能：可以對所選地址進行回應(yīng)測試、遠(yuǎn)程登錄或路由跟蹤等事后處理分析，同時也實時顯示源IP地址的來源，即顯示該IP地址所屬的區(qū)域位置。集中控制、多層管理的體系結(jié)構(gòu)KIDS支持多層管理、集中控制的部署結(jié)構(gòu)。在實際的部署中，可以設(shè)置具有上下級別的管理中心，子管理中心可以管理多個傳感器，同時又可以向上級的管理中心進行負(fù)責(zé)，而上級管理中心既可以管理多個子管理中心，也可以直接管理各類傳感器。管理的層次可以是多個，而最終可以擁有一個總的管理中心。在具有上下級別的管理體系中，KMC中的事件處理器（KEP）充當(dāng)了中間處理和通信的媒介，這樣，屬于下級的傳感器或管理中心就可以對屬于上級的子管理中中心或總管理中心進行事件上報；相反，上級的對象就可以對下級的管理對象進行策略下發(fā)、下傳執(zhí)行命令等工作。KIDS所具有的其它特性：HTTP檢測、URL內(nèi)容顯示和HTTP阻塞檢測基于HTTP協(xié)議的攻擊，監(jiān)控Web訪問的內(nèi)容，實現(xiàn)Internet訪問控制。POP3和SMTP分析器對POP3和SMTP應(yīng)用層協(xié)議進行協(xié)議分析，排除來自郵件收發(fā)過程中的安全隱患。流敏感內(nèi)容檢測

利用獨特的流敏感技術(shù)，可以實現(xiàn)對病毒的檢測和防止郵件泄密。黑名單與灰名單功能可以把一些特殊的IP地址加入到黑名單或灰名單中。如果一個TCP連接的源IP地址被列在黑名單中，則立即發(fā)送RESET斷開連接；如果一個IP數(shù)據(jù)包的源IP地址被列在灰名單中，則立即發(fā)出網(wǎng)絡(luò)。黑名單和灰名單功能可以使用戶對一些非法的IP地址進行有效的監(jiān)控或過濾。自動漏洞分析與評估

可以對每一種安全事件進行詳細(xì)的漏洞分析與評估，并提供完整的解決方案。與防火墻的互動KIDS支持與多種防火墻的聯(lián)動，包括天融信、東方龍馬和華堂等公司的防火墻，可自動調(diào)整聯(lián)動防火墻的安全策略，實現(xiàn)對非法連接及時有效的阻斷或過濾。事后處理可以對可疑的主機地址進行事后分析處理，包括對可疑地址進行回應(yīng)測試、路由追蹤或遠(yuǎn)程登錄等操作；同時顯示源主機的地址來源，并隨時可以解析源地址和目標(biāo)地址的主機名。事件分類歸并功能在事件樹視圖中，KIDS按事件類型對網(wǎng)絡(luò)事件進行分類，同時也按網(wǎng)段范圍對源IP和目標(biāo)IP進行歸并，可以為用戶提供直觀、清晰的統(tǒng)計信息。計算機信息系統(tǒng)的安全管理主要基于三個原則。多人負(fù)責(zé)原則每項與安全有關(guān)的活動都必須有兩人或多人在場。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，應(yīng)忠誠可靠，能勝任此項工作。任期有限原則一般地講，任何人最好不要長期擔(dān)任與安全有關(guān)的職務(wù)，以免誤認(rèn)為這個職務(wù)是專有的或永久性的。職責(zé)分離原則除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)，在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外、與安全有關(guān)的任何事情。信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應(yīng)的管理制度或采用相應(yīng)規(guī)范，其具體工作是：確定該系統(tǒng)的安全等級；根據(jù)確定的安全等級，確定安全管理的范圍；制訂相應(yīng)的機房出入管理制度，對安全等級要求較高的系統(tǒng)，要實行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域；制訂嚴(yán)格的操作規(guī)程，操作規(guī)程要根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則，各負(fù)其責(zé)，不能超越自己的管轄范圍；制訂完備的系統(tǒng)維護制度，維護時，要首先經(jīng)主管部門批準(zhǔn)，并有安全管理人員在場，故障原因、維護內(nèi)容和維護前后的情況要詳細(xì)記錄；制訂應(yīng)急措施，要制訂在緊急情況下，系統(tǒng)如何盡快恢復(fù)的應(yīng)急措施，使損失減至最??；建立人員雇用和解聘制度，對工作調(diào)動和離職人員要及時調(diào)整相應(yīng)的授權(quán)。安全系統(tǒng)需要由人來計劃和管理，任何系統(tǒng)安全設(shè)施也不能完全由計算機系統(tǒng)獨立承擔(dān)系統(tǒng)安全保障的任務(wù)。一方面，各級領(lǐng)導(dǎo)一定要高度重視并積極支持有關(guān)系統(tǒng)安全方面的各項措施。其次，對各級用戶的培訓(xùn)也十分重要，只有當(dāng)用戶對網(wǎng)絡(luò)安全性有了深入了解后，才能降低網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險。總之，制定系統(tǒng)安全策略、安裝網(wǎng)絡(luò)安全系統(tǒng)只是網(wǎng)絡(luò)系統(tǒng)安全性實施的第一步，只有當(dāng)各級組織機構(gòu)均嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全的各項規(guī)定，認(rèn)真維護各自負(fù)責(zé)的分系統(tǒng)的網(wǎng)絡(luò)安全性，才能保證整個系統(tǒng)網(wǎng)絡(luò)的整體安全性。網(wǎng)絡(luò)管理人員的培訓(xùn)是本項目的重要組成部分，是實現(xiàn)業(yè)務(wù)網(wǎng)絡(luò)安全、提高安全系統(tǒng)效率的重要保證。為此，方正數(shù)碼和金諾網(wǎng)安制定了如下的培訓(xùn)計劃，對技術(shù)人員進行必要的培訓(xùn)，確保技術(shù)人員自己能對安全產(chǎn)品進行日常的維護。為使相關(guān)管理人員盡快掌握防火墻和入侵檢測產(chǎn)品的相關(guān)知識和產(chǎn)品使用，我們精心設(shè)計并提供防火墻和入侵檢測產(chǎn)品的標(biāo)準(zhǔn)專業(yè)培訓(xùn)課程。為滿足用戶對網(wǎng)絡(luò)安全培訓(xùn)進一步的需求，本方案中列出了相關(guān)可選專業(yè)培訓(xùn)方案供用戶參考。培訓(xùn)目的本項目培訓(xùn)的主要目的是讓相關(guān)系統(tǒng)管理人員和技術(shù)人員系統(tǒng)地了解：網(wǎng)絡(luò)安全相關(guān)基礎(chǔ)知識防火墻和入侵檢測產(chǎn)品的架構(gòu)、實現(xiàn)原理；防火墻和入侵檢測策略設(shè)定及管理方式；防火墻和入侵檢測產(chǎn)品安裝、調(diào)試及維護；防火墻和入侵檢測產(chǎn)品常見問題的處理。培訓(xùn)對象培訓(xùn)的對象主要為：安全系統(tǒng)管理人員；相關(guān)技術(shù)人員。標(biāo)準(zhǔn)專業(yè)培訓(xùn)課程標(biāo)準(zhǔn)專業(yè)培訓(xùn)課程如下：培訓(xùn)內(nèi)容培訓(xùn)地點培訓(xùn)對象培訓(xùn)人數(shù)培訓(xùn)時間（小時）現(xiàn)場培訓(xùn)產(chǎn)品安裝、調(diào)試安裝現(xiàn)場安全系統(tǒng)管理人員不限-產(chǎn)品使用安裝現(xiàn)場安全系統(tǒng)管理人員不限-技術(shù)培訓(xùn)信息安全基礎(chǔ)各地技術(shù)服務(wù)中心或客戶處安全系統(tǒng)管理人員相關(guān)技術(shù)人員待定2防火墻技術(shù)入侵檢測技術(shù)各地技術(shù)服務(wù)中心或客戶處安全系統(tǒng)管理人員相關(guān)技術(shù)人員待定2產(chǎn)品安裝、調(diào)試各地技術(shù)服務(wù)中心或客戶處安全系統(tǒng)管理人員相關(guān)技術(shù)人員待定2產(chǎn)品使用和故障診斷、排除各地技術(shù)服務(wù)中心或客戶處安全系統(tǒng)管理人員相關(guān)技術(shù)人員待定2說明：以上課程將在每次合同簽訂后免費提供給客戶。其中：現(xiàn)場培訓(xùn)：在產(chǎn)品實際施工過程中現(xiàn)場提供給用戶。另外，當(dāng)客戶對產(chǎn)品需要深入了解或客戶產(chǎn)品維護人員更換后，我公司技術(shù)服務(wù)中心的工程師可以隨時應(yīng)客戶要求，對產(chǎn)品功能、操作、部署等內(nèi)容進行培訓(xùn)，培訓(xùn)地點在我們的技術(shù)服務(wù)中心或客戶處。技術(shù)培訓(xùn)：在項目用戶當(dāng)?shù)丶夹g(shù)服務(wù)中心或者客戶處進行，總的培訓(xùn)時間每期為1天，培訓(xùn)人次根據(jù)實際要求待定，不少與50人。培訓(xùn)地點：在全國大部分城市可以開培訓(xùn)，包括北京、廣州、長春、沈陽、濟南、石家莊、鄭州、西安、成都、長沙、武漢、杭州、南京、南昌、合肥、福州、昆明、貴陽等地。培訓(xùn)教師方正數(shù)碼、金諾網(wǎng)安技術(shù)專家；通過國家認(rèn)證的“注冊信息安全專業(yè)人員”。培訓(xùn)教材方正數(shù)碼、金諾網(wǎng)安編寫的安全培訓(xùn)教材，免費提供可選專業(yè)培訓(xùn)為參考培訓(xùn)方案，不包括在本方案中。用戶可以根據(jù)實際需要就相關(guān)可選專業(yè)培訓(xùn)聯(lián)系我們的商務(wù)人員。培訓(xùn)背景中國信息安全產(chǎn)品測評認(rèn)證中心（中國國家信息安全測評認(rèn)證中心，簡稱CNITSEC）是經(jīng)中央批準(zhǔn)成立、代表國家開展信息安全測評認(rèn)證的職能機構(gòu)，依據(jù)國家有關(guān)產(chǎn)品質(zhì)量認(rèn)證和信息安全管理的政策、法律、法規(guī)，管理和運行國家信息安全測評認(rèn)證體系。“中華人民共和國國家信息安全認(rèn)證”是國家對信息安全技術(shù)、產(chǎn)品、信息系統(tǒng)安全質(zhì)量以及信息安全服務(wù)資質(zhì)、人員資質(zhì)的最高認(rèn)可。中國信息安全產(chǎn)品測評認(rèn)證中心的主要職能有：對國內(nèi)外信息安全產(chǎn)品和信息技術(shù)進行測評和認(rèn)證；對國內(nèi)信息系統(tǒng)和工程進行安全性評估和認(rèn)證；對提供信息系統(tǒng)安全服務(wù)的組織和單位進行評估和認(rèn)證；對信息安全專業(yè)人員的資質(zhì)進行評估和認(rèn)證?？捎谥袊畔踩a(chǎn)品評測認(rèn)證中心網(wǎng)站獲取詳細(xì)介紹：。中國信息安全產(chǎn)品測評認(rèn)證中心目前提供的相關(guān)注冊安全專業(yè)人員評估和認(rèn)證包括：注冊信息安全專業(yè)人員（注重技術(shù)）注冊信息安全管理人員（注重管理）等兩種。中國信息安全產(chǎn)品評測認(rèn)證中心制訂了相應(yīng)的培訓(xùn)課程，這些課程模塊的設(shè)立不僅可以協(xié)助相關(guān)專業(yè)安全人員全面、系統(tǒng)地學(xué)習(xí)涉及各個安全領(lǐng)域的專業(yè)安全知識，還能為相關(guān)人員通過相關(guān)注冊安全專業(yè)人員的評估和認(rèn)證提供幫助。培訓(xùn)目的全面、系統(tǒng)地學(xué)習(xí)涉及各個安全領(lǐng)域的專業(yè)安全知識；為專業(yè)安全人員通過相關(guān)注冊安全專業(yè)人員的評估和認(rèn)證提供幫助。培訓(xùn)對象相關(guān)管理人員和技術(shù)人員可選專業(yè)培訓(xùn)課程中國信息安全產(chǎn)品評測認(rèn)證中心制訂的培訓(xùn)課程模塊及內(nèi)容請參見下表：課程模塊課程內(nèi)容授課時間信息安全理論（2-4天）信息安全概況0.5-1天信息安全體系0.5-1天信息安全模型0.5-1天信息安全測評認(rèn)證0.5-1天信息安全技術(shù)（5.5-12天）密碼技術(shù)0.5-2天密碼技術(shù)的應(yīng)用0.5-1天防火墻0.5-1天入侵檢測技術(shù)0.5-1天PKI/CA0.5-1天網(wǎng)絡(luò)與通信安全0.5-1天Unix安全管理0.5-1天Windows安全管理0.5-1天數(shù)據(jù)庫安全管理0.5-1天惡意代碼0.5-1天安全編程0.5-1天安全工程及管理(3.5-8天)安全管理體系1-3天風(fēng)險評估0.5-1天安全工程0.5-1天應(yīng)急響應(yīng)0.5-1天安全攻防0.5-1天物理安全0.5-1天安全標(biāo)準(zhǔn)和法規(guī)(1-2天)信息安全標(biāo)準(zhǔn)0.5-1天信息安全法律法規(guī)0.5-1天實驗（可選）(1-2天)安全攻防實驗0.5-1天安全產(chǎn)品配置0.5-1天培訓(xùn)教師中國信息安全產(chǎn)品評測認(rèn)證中心專家；被中國信息安全產(chǎn)品評測認(rèn)證中心授予“注冊信息安全認(rèn)證講師”的專家；國內(nèi)安全界知名