證券行業(yè)網(wǎng)絡(luò)應(yīng)用安全解決方案_第1頁
證券行業(yè)網(wǎng)絡(luò)應(yīng)用安全解決方案_第2頁
證券行業(yè)網(wǎng)絡(luò)應(yīng)用安全解決方案_第3頁
證券行業(yè)網(wǎng)絡(luò)應(yīng)用安全解決方案_第4頁
證券行業(yè)網(wǎng)絡(luò)應(yīng)用安全解決方案_第5頁
已閱讀5頁,還剩27頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) XX 證券公司 網(wǎng)絡(luò) 應(yīng)用安全 建議書 穩(wěn)捷網(wǎng)絡(luò)技術(shù)有限公司 2010 年 7 月 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 目 錄 一、 證券行業(yè)綜述 . 3 1.1 證券信息系統(tǒng)重要性 . 3 1.2 證券信息系統(tǒng)必要性 . 4 二、 XX 證券公司網(wǎng)絡(luò)安全現(xiàn)狀及需求分析 . 5 2.1 XX 證券公司 安全現(xiàn)狀 . 5 2.2 XX 證券公司安全需求 . 7 2.3 威脅來源 .11 三、 XX 證券公司安全解決方案 . 12 3.1 方案設(shè)計(jì) . 12 3.2 解決方案 . 13 四、 Besecure NDP 系列安全產(chǎn)品解決方案 . 17 4.1 產(chǎn)品介 紹 . 17 4.2 功能描述 . 18 4.3 產(chǎn)品型號(hào)說明 . 19 4.4 BeSecure 網(wǎng)絡(luò)數(shù)據(jù)處理技術(shù) . 19 4.5 BESECURE 反惡意軟件掃描技術(shù) . 24 4.6 Web 安全過濾技術(shù) . 24 4.7 Email 過濾技術(shù) . 25 4.8 關(guān)鍵字過濾技術(shù) . 27 4.9 BeSecure 技術(shù)亮點(diǎn) . 28 五、 技術(shù)支持和售后服務(wù) . 31 5.1 廠家提供的增值服務(wù) . 31 5.2 服務(wù)商提供服務(wù) . 31 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 一、 證券行業(yè) 綜述 90 年代以來,我國(guó)證券期貨業(yè)以其特有的魅力吸引了千百萬投資者的熱情參與,發(fā)展迅速,成為社會(huì)主義市場(chǎng)經(jīng)濟(jì)重要組成部分。其間,證券業(yè)信息系統(tǒng)的電子化建 設(shè)取得長(zhǎng)足的進(jìn)步。在發(fā)行、交易、清算、信息披露、技術(shù)監(jiān)控、信息咨詢與服務(wù)等方面,計(jì)算機(jī)技術(shù)的應(yīng)用深度和廣度都大大擴(kuò)展。各證券經(jīng)營(yíng)機(jī)構(gòu)已全部建立了電子化業(yè)務(wù)處理系統(tǒng),計(jì)算機(jī)與網(wǎng)絡(luò)通信技術(shù)成為支撐各項(xiàng)證券業(yè)務(wù)運(yùn)轉(zhuǎn)的關(guān)鍵設(shè)施。 證券業(yè)務(wù)共包括證券經(jīng)紀(jì) 、證券承銷、自營(yíng)、兼并與收購(gòu)、咨詢服務(wù)和基金管理等項(xiàng)業(yè)務(wù)。上述證券經(jīng)紀(jì)業(yè)務(wù)的各項(xiàng)功能、服務(wù)都由證券信息系統(tǒng)處理完成。作為業(yè)務(wù)的載體,證券信息系統(tǒng)應(yīng)具備一定的條件,才能滿足證券業(yè)高質(zhì)量服務(wù)和化解經(jīng)營(yíng)風(fēng)險(xiǎn)的目標(biāo)要求。 目前國(guó)內(nèi)的各大證券網(wǎng)絡(luò)經(jīng)過建設(shè),都已經(jīng)形成比較完善的 綜合網(wǎng)絡(luò),整體結(jié)構(gòu)是 個(gè)通過 WAN 連接的多級(jí)網(wǎng)絡(luò),在網(wǎng)絡(luò)每一級(jí)的節(jié)點(diǎn)上具有一個(gè)局域網(wǎng),在多級(jí)網(wǎng)絡(luò)上運(yùn)行著證券業(yè)務(wù)系統(tǒng)、多媒體應(yīng)用系統(tǒng)、辦公自動(dòng)化等。由于證券業(yè)是個(gè)開放化,社會(huì)化的行業(yè),其信息系統(tǒng)已經(jīng)有封閉式轉(zhuǎn)向了開放式系統(tǒng),存在許多的不安全風(fēng)險(xiǎn)因素。由于應(yīng)用系統(tǒng)的復(fù)雜化,網(wǎng)絡(luò)安全體系的建立和網(wǎng)絡(luò)安全的全面解決方案更是迫在眉睫。 1998 年中國(guó)證監(jiān)會(huì)頒布了證券經(jīng)營(yíng)機(jī)構(gòu)營(yíng)業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范和關(guān)于加強(qiáng)證券機(jī)構(gòu)計(jì)算機(jī)系統(tǒng)安全管理的通知,明確要求證券業(yè)務(wù)處理系統(tǒng)必須保證數(shù)據(jù)的安全,實(shí)現(xiàn)業(yè)務(wù)與技術(shù)的分離 、前臺(tái)與后臺(tái)分離、網(wǎng)絡(luò)與數(shù)據(jù)分離。中國(guó)證監(jiān)會(huì)還針對(duì)網(wǎng)上交易部分制定了網(wǎng)上證券委托暫行管理辦法,規(guī)定了證券公司應(yīng)采取嚴(yán)格、完善的技術(shù)措施,確保網(wǎng)上委托系統(tǒng)和其他業(yè)務(wù)系統(tǒng)的安全性。 1.1 證券信息系統(tǒng)重要性 證券信息系統(tǒng)是證券公司基本的基礎(chǔ)建設(shè),是證券業(yè)務(wù)正常進(jìn)行的前提條件。滿足基本的安全要求,是網(wǎng)絡(luò)成功運(yùn)行的必要條件,在此基礎(chǔ)上提供強(qiáng)有力的安全保障,是證券網(wǎng)絡(luò)系統(tǒng)安全的重要原則。 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 證券網(wǎng)絡(luò)內(nèi)部部署了眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器,保護(hù)這些設(shè)備的正常運(yùn)行,維護(hù)主要業(yè)務(wù)系統(tǒng)的安全,是證券網(wǎng)絡(luò)的基本安全需求。但是網(wǎng)絡(luò)安全事 件頻頻威脅到證券信息系統(tǒng)的安全,對(duì)證券行業(yè)的正常運(yùn)作造成了極大的威脅。 無論是有意的攻擊,還是無意的誤操作,都將會(huì)給系統(tǒng)帶來不可估量的損失。攻擊者可以竊聽網(wǎng)絡(luò)上的信息,竊取用戶的口令、數(shù)據(jù)庫(kù)的信息;還可以篡改數(shù)據(jù)庫(kù)內(nèi)容,偽造用戶身份,否認(rèn)自己的簽名。更有甚者,攻擊者可以刪除數(shù)據(jù)庫(kù)內(nèi)容,摧毀網(wǎng)絡(luò)節(jié)點(diǎn),釋放計(jì)算機(jī)病毒等等。由于內(nèi)部工作人員能較多地接觸內(nèi)部信息,工作中的任何不小心都可能給信息安全帶來危險(xiǎn)。這些都使信息安全問題越來越復(fù)雜。另外在交易軟件程序中出現(xiàn)漏洞導(dǎo)致風(fēng)險(xiǎn)的發(fā)生,其后果是也非常嚴(yán)重的。 最重要的風(fēng) 險(xiǎn)是網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)。證券營(yíng)業(yè)部的計(jì)算機(jī)系統(tǒng)是構(gòu)建在一個(gè)內(nèi)部網(wǎng)絡(luò)平臺(tái)之上的,利用網(wǎng)絡(luò)平臺(tái)使得證券營(yíng)業(yè)部的計(jì)算機(jī)實(shí)現(xiàn)與服務(wù)器互連。網(wǎng)絡(luò)服務(wù)器內(nèi)裝有證券營(yíng)業(yè)部所有的交易資料,因此網(wǎng)絡(luò)系統(tǒng)的安全性至關(guān)重要,一旦網(wǎng)絡(luò)系統(tǒng)被黑客進(jìn)入,那么證券營(yíng)業(yè)部的交易資料將成為黑客進(jìn)行破壞的對(duì)象。上海證券市場(chǎng)發(fā)生的“建工事件”就屬于此種,黑客進(jìn)入營(yíng)業(yè)部交易系統(tǒng),并將自制的程序加入系統(tǒng)中,使得上海建工股票出現(xiàn)超常大買單,由于交易所發(fā)現(xiàn)及時(shí),并做了緊急處理,才使風(fēng)險(xiǎn)降到最小。 面對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的種種安全威脅,必須采取有力的措施來保證安全。無 論是在局域網(wǎng)還是在廣域網(wǎng)中,網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和脆弱性,這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。 1.2 證券信息系統(tǒng) 必要 性 在目前的證券業(yè)中,電腦系統(tǒng)維護(hù)部門和財(cái)務(wù)部門已經(jīng)成為支撐證券公司的兩大支柱,系統(tǒng)維護(hù)部門尤其承受著巨大的壓力,一旦系統(tǒng)出了故障,將給證券公司造成巨大的經(jīng)濟(jì)損失。 面對(duì)這樣巨大的壓力,證券公司的信息化建設(shè)一直是在左右搖擺中緩步而行,一方面希望盡快利用新的計(jì)算和網(wǎng)絡(luò)技術(shù)提高股票交易效率,方便股民炒股,擴(kuò)大自身的知名度,從而吸引更多的人加入股民的行列;另一方面又 擔(dān)心技術(shù)的 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 不成熟或管理不到位會(huì)引發(fā)更多的系統(tǒng)問題,造成巨大的經(jīng)濟(jì)損失。尤其是出于對(duì)網(wǎng)絡(luò)安全方面的顧慮,大多數(shù)券商采取了謹(jǐn)慎的態(tài)度,內(nèi)部交易網(wǎng)和外部網(wǎng)采取的是物理分離的方式,防止外來的侵襲。 除此之外,證券信息安全化對(duì)安全管理的需求也在不斷增加。除了建立好基本的信息化應(yīng)用系統(tǒng)外,如何使這套系統(tǒng)實(shí)現(xiàn)設(shè)定的目標(biāo),牽扯到證券公司的信息制度建立和管理問題。 由于證券行業(yè)的信息系統(tǒng)是實(shí)現(xiàn)證券交易經(jīng)紀(jì)業(yè)務(wù)的核心系統(tǒng),其安全性直接關(guān)系到證券市場(chǎng)的穩(wěn)定發(fā)展和證券經(jīng)營(yíng)機(jī)構(gòu)及廣大投資者的切身利益。同時(shí)更加中國(guó)證監(jiān)會(huì)頒布的證券經(jīng) 營(yíng)機(jī)構(gòu)營(yíng)業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范和關(guān)于加強(qiáng)證券機(jī)構(gòu)計(jì)算機(jī)系統(tǒng)安全管理的通知,網(wǎng)上證券委托暫行管理辦法等法規(guī)也明確要求證券系統(tǒng)必須保證數(shù)據(jù)的安全,實(shí)現(xiàn)三分離等原則。所以說證券行業(yè)的信息系統(tǒng)安全性建設(shè)具有高度的必要性。 二、 XX 證券公司 網(wǎng)絡(luò)安全 現(xiàn)狀及 需求分析 XX 證券股份有限公司(以下簡(jiǎn)稱“公司”)公司總部設(shè)在 廣州 ,下設(shè) 167家證券營(yíng)業(yè)部和 47 家服務(wù)部總計(jì) 214 個(gè)營(yíng)業(yè)網(wǎng)點(diǎn)。營(yíng)銷網(wǎng)絡(luò)分布在全國(guó) 29 個(gè)省、自治區(qū)、直轄市的 62 個(gè)中心城市,直接為 400 余萬客戶服務(wù),客戶總資產(chǎn)5000 多億元。旗下?lián)碛?XX 期貨經(jīng)紀(jì)公 司。 公司的經(jīng)營(yíng)范圍包括:證券經(jīng)紀(jì);證券投資咨詢;與證券交易、證券投資活動(dòng)有關(guān)的財(cái)務(wù)顧問;證券承銷與保薦;證券自營(yíng);證券資產(chǎn)管理。 公司被亞太著名金融雜志金融亞洲、亞洲貨幣同時(shí)評(píng)選為 2006-2008財(cái)年“中國(guó)內(nèi)地最佳經(jīng)紀(jì)業(yè)務(wù)機(jī)構(gòu)”、“中國(guó)內(nèi)地最佳債券承銷機(jī)構(gòu)”和“ 2009年度中國(guó)最佳債券承銷商”。 2.1 XX 證券公司 安全現(xiàn)狀 XX證券 公司 在全國(guó)范圍內(nèi)經(jīng)營(yíng)業(yè)務(wù),網(wǎng)絡(luò)龐大、結(jié)構(gòu)復(fù)雜,典型業(yè)務(wù)模式有柜臺(tái)交易、自助委托、電話 委托、網(wǎng)上委托等。各證券營(yíng)業(yè)部和總部通過計(jì)算機(jī)網(wǎng)絡(luò)將交易所、證券公司與交易者三方連接 在一起,共同完成證券交易,并實(shí)現(xiàn)行情、交易、結(jié)算、辦公等各個(gè)環(huán)節(jié)的自動(dòng)化。一個(gè)典型的 證券公司 網(wǎng)絡(luò)由四個(gè)部分組成:總部網(wǎng)絡(luò)、營(yíng)業(yè)部網(wǎng)絡(luò)、銀證交易系統(tǒng)和網(wǎng)站系統(tǒng)。 如下圖: 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) XX證券 公司 由于自身經(jīng)營(yíng)的特點(diǎn),在安全要求方面一般比較高,在安全設(shè)計(jì)上要充分考慮到影響網(wǎng)絡(luò)安全的因素,保證網(wǎng)絡(luò)具有較高 的可靠性、保密性,對(duì)病毒、黑客攻擊有較強(qiáng)的防御能力。 隨著證券行業(yè)的發(fā)展和網(wǎng)絡(luò)規(guī)模的擴(kuò)大,網(wǎng)絡(luò)病毒的種類越來越多,木馬、病毒、黑客等對(duì)網(wǎng)絡(luò)進(jìn)行攻擊的事件越來越多,這些安 全方面的威脅對(duì)證券行業(yè)的網(wǎng)絡(luò)造成越來越大的影響, 而且證券行業(yè)代表的是廣大股民的利益,一個(gè)安全的交易網(wǎng)絡(luò)也能夠增強(qiáng)股民對(duì) 證券公司 的信心。 其中,證券交易網(wǎng)站服務(wù)器的安全是重中之重。網(wǎng)站因需要被公眾訪問而暴露于因特網(wǎng)上,由于處于一個(gè)相對(duì)開放的環(huán)境中,加之各類網(wǎng)頁應(yīng)用系統(tǒng)的復(fù)雜性和多樣性導(dǎo)致系統(tǒng)漏洞層出不窮,極易成為黑客的攻擊目標(biāo)。根據(jù) CNCERT調(diào)查報(bào)告顯示, 2007年上半年,中國(guó)大陸被篡改網(wǎng)站的數(shù)量相比往年處于明顯上升趨勢(shì),被篡改網(wǎng)站總數(shù)達(dá)到 28367個(gè),比去年全年增加了近 16%。而僅在 2007年 11月 1日至 30日,大陸地區(qū)被篡改網(wǎng)站的數(shù)量就達(dá)到了 5499個(gè),較上月增加 537個(gè),其中代號(hào)為“ Kml!”和“ SLN_BEY”的攻擊者對(duì)大陸網(wǎng)站進(jìn)行了大量的篡改。針對(duì)金融類網(wǎng)站的攻擊事件也呈不斷上升趨勢(shì)。 2005年,美國(guó)爆發(fā)了當(dāng)今最大的金融數(shù)據(jù)泄密事件,有黑客侵入了為萬事達(dá)、 Visa、 AmericanExpress和 Discover服務(wù)的“信用卡第三方付款處理器”的網(wǎng)絡(luò)系統(tǒng),造成 4000多萬信用卡用戶的數(shù)據(jù)資料被竊; 2006年,某犯罪組織竟然在某銀行的證券交易服務(wù) 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 器內(nèi)成功植入了木馬程序,每隔 0.5秒掃描一次,凡是此時(shí)登陸的客戶,其帳號(hào)和口令通通被竊取,這一事件甚 至驚動(dòng)了國(guó)務(wù)院。因此,提高證券交易網(wǎng)站的安全性刻不容緩。 下圖是 2009年 網(wǎng)絡(luò)安全事件類型分布 ,可以看得出現(xiàn)在的攻擊主要集中在應(yīng)用層, WEB應(yīng)用的攻擊居于首位:網(wǎng)頁篡改、網(wǎng)絡(luò)仿冒,惡意代碼等等?;诰W(wǎng)絡(luò)層的防護(hù)如防火墻對(duì)動(dòng)態(tài)的應(yīng)用層攻擊已無能為力。 2.2 XX 證券 公司 安全需求 證券網(wǎng)絡(luò)是各種經(jīng)濟(jì)行為匯集的地方,網(wǎng)絡(luò)安全問題將直接威脅上市公司、投資者、證券公司的經(jīng)濟(jì)利益。這個(gè)特點(diǎn)決定了證券網(wǎng)絡(luò)安全系統(tǒng)所關(guān)注的重點(diǎn) : 1、網(wǎng)絡(luò)可用性 :網(wǎng)絡(luò)是證券業(yè)務(wù)的載體 ,網(wǎng)絡(luò)中斷對(duì)于業(yè)務(wù)系統(tǒng)來說就意味著業(yè)務(wù)的中斷,其帶來的經(jīng)濟(jì)影響和社會(huì)影響都十分巨大,因此安全體系必須保證網(wǎng)絡(luò)的持續(xù)有效的運(yùn)行,防止對(duì)關(guān)鍵網(wǎng)絡(luò)設(shè)施的入侵和攻擊、防止通過消耗帶寬等方式破壞網(wǎng)絡(luò)的可用性。 2、業(yè)務(wù)系統(tǒng)的可用性 :運(yùn)行業(yè)務(wù)系統(tǒng)的各主機(jī)、數(shù)據(jù)庫(kù)、應(yīng)用服務(wù)器系統(tǒng)的安全運(yùn)行同樣十分關(guān)鍵,網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會(huì)遭受來自網(wǎng)絡(luò)的非法訪問、惡意入侵和破壞 ; 3、數(shù)據(jù)機(jī)密性 :保密數(shù)據(jù)的泄密將直接影響導(dǎo)致數(shù)據(jù)擁有者和相關(guān)機(jī)構(gòu) (或 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 人員 )的經(jīng)濟(jì)利益。網(wǎng)絡(luò)安全系統(tǒng)必須保證這些機(jī)密信息在傳輸時(shí)的保密性。 4、 訪問的可控性 :對(duì)關(guān)鍵網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的訪問必須得到有效的控制,這要求系統(tǒng)能夠可靠確認(rèn)訪問者的身份,謹(jǐn)慎授權(quán),并對(duì)任何訪問進(jìn)行跟蹤記錄。 5、災(zāi)難恢復(fù)能力 :業(yè)務(wù)數(shù)據(jù)是政權(quán)企業(yè)的戰(zhàn)略性資源,經(jīng)常性的備份以及快速、精確的恢復(fù)可以使系統(tǒng)遭到災(zāi)難性破壞時(shí)將經(jīng)濟(jì)損失降低到最低的程度。 針對(duì)以上的安全需求,網(wǎng)絡(luò)安全保護(hù)系統(tǒng)應(yīng)該具備如下的特征 : 1.根據(jù)可信任程度的不同,對(duì)網(wǎng)絡(luò)區(qū)域進(jìn)行劃分,不同區(qū)域間的訪問要進(jìn)行嚴(yán)格控制 ; 2.進(jìn)入關(guān)鍵系統(tǒng)和關(guān)鍵區(qū)域必須經(jīng)過可靠的身份鑒別 ; 3.安全系統(tǒng)整體具有充分的抗攻擊能力 ; 4.系統(tǒng)具備多層面的完備的審計(jì)設(shè)施 ; 5.系統(tǒng)對(duì)于異常事件足夠敏感,使整個(gè)防御體系在遇到威脅時(shí)能夠及的做出正確的響應(yīng)。 6.系統(tǒng)的安全策略可管理、并且易于管理 ; 7.應(yīng)用和數(shù)據(jù)庫(kù)安全,包括數(shù)據(jù)庫(kù)漏洞掃描,數(shù)據(jù)庫(kù)安全管理。 8.數(shù)據(jù)和內(nèi)容安全,包括 防惡意軟件如間諜軟件、廣告軟件、篡權(quán)工具、后門、撥號(hào)器、鍵盤記錄器、密碼偷竊,網(wǎng)頁掛馬,反垃圾郵件,內(nèi)容過濾,防數(shù)據(jù)泄漏等 WEB 應(yīng)用安全 網(wǎng)關(guān) 。 基于以上特點(diǎn), 在考慮 XX 證券公司 的信息安全時(shí),應(yīng)從以下幾個(gè)方面來考慮 網(wǎng)絡(luò)安全風(fēng)險(xiǎn) 問題 和應(yīng)對(duì)策略 : 網(wǎng)絡(luò)安全風(fēng)險(xiǎn) 證券網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)主要來自網(wǎng)絡(luò)設(shè)施物理特性的安全、網(wǎng)絡(luò)系統(tǒng)平臺(tái)的安全、網(wǎng)上交易的安全、數(shù)據(jù)存儲(chǔ)的安全。 物理安全風(fēng)險(xiǎn) 由于水災(zāi)、火災(zāi)、雷擊、粉塵、靜電等突發(fā)性事故和環(huán)境污染造成網(wǎng)絡(luò)設(shè)施工作停滯 。 人為引起設(shè)備被盜、被毀或外界的電磁干擾使通信線路中斷 。 電子、電力設(shè)備本身固有缺陷和弱點(diǎn)及所處環(huán)境容易在人員誤操作或 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 外界誘發(fā)下發(fā)生故障 。 系統(tǒng)安全風(fēng)險(xiǎn) 系統(tǒng)風(fēng)險(xiǎn)在三個(gè)方面:網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和應(yīng)用系統(tǒng) 。 網(wǎng)絡(luò)系統(tǒng)在設(shè)計(jì)實(shí)施不夠完善,例如缺乏正確路由、網(wǎng)絡(luò)的容量、帶寬估計(jì)不足、對(duì)證券系統(tǒng)局域網(wǎng)沒做 劃分隔離以及關(guān)鍵網(wǎng)絡(luò)設(shè)備沒有冗余設(shè)計(jì),一旦發(fā) 生故障,將直接影響網(wǎng)絡(luò)系統(tǒng)安全。 網(wǎng)絡(luò)系統(tǒng)缺乏安全可靠的網(wǎng)絡(luò)通信協(xié)議和網(wǎng)絡(luò)安全設(shè)備,使網(wǎng)絡(luò)黑客容易利用網(wǎng)絡(luò)設(shè)計(jì)和協(xié)議漏洞進(jìn)行網(wǎng)絡(luò)攻擊和 信息竊取,例如未經(jīng)授權(quán)非法訪問證券系統(tǒng)內(nèi)部網(wǎng)絡(luò)、對(duì)電話網(wǎng)進(jìn)行監(jiān)聽、對(duì)系統(tǒng)的安全漏洞進(jìn)行探測(cè)掃描、遠(yuǎn)程登陸交易、行情服務(wù)器并對(duì)數(shù)據(jù)進(jìn)行篡改、對(duì)通信 線路、服務(wù)器實(shí)施洪流攻擊造成線路涌塞和系統(tǒng)癱瘓等。 網(wǎng)絡(luò)操作系統(tǒng),無論是 windowsunixnetware 各種商用操作系統(tǒng),其國(guó) 外開發(fā)商都留有后門( back door),目前 每種操作系統(tǒng)都發(fā)現(xiàn)有安全漏洞,一旦被人發(fā)現(xiàn)利用將對(duì)整個(gè)證券網(wǎng)絡(luò)系統(tǒng)造成不可估量的損失。 辦公 應(yīng)用系統(tǒng)的風(fēng)險(xiǎn)主要是涉及不同地區(qū)、不同部門的資源有限共享時(shí)被內(nèi)部人員不安全使用造成口令失竊、文電丟失泄密,以及在與外界進(jìn)行郵件往來 、訪問 WEB 網(wǎng)站 時(shí)帶來病毒和黑客進(jìn)入的隱患。 針對(duì)業(yè)務(wù)系統(tǒng)(包括業(yè)務(wù)管理系統(tǒng)、業(yè)務(wù)服務(wù)系統(tǒng))的威脅主要來自于內(nèi)、外界對(duì)業(yè)務(wù)系統(tǒng)非授權(quán)訪問、系統(tǒng)管理權(quán)限喪失(由于用戶 名、口令、 IC 卡等身份標(biāo)志泄漏)、使用不當(dāng)或外界攻擊引起系統(tǒng)崩潰、網(wǎng)絡(luò)病毒的傳播或其他原因造成系統(tǒng)損壞、系統(tǒng)開發(fā)遺留的安全 漏洞等。 網(wǎng)上交易的安全風(fēng)險(xiǎn) 因特網(wǎng)是全球性公共網(wǎng)絡(luò),并不由任何一個(gè)機(jī)構(gòu)所控制。 數(shù)據(jù)在因特網(wǎng)上傳輸?shù)耐緩绞遣煌耆_定的。 因特網(wǎng)本身并不是一個(gè)完全安全可靠的網(wǎng)絡(luò)環(huán)境。 在因特網(wǎng)上可能有人采用相似的名稱和外觀仿冒證券網(wǎng)站和服務(wù)器, 用于騙取投資者的數(shù)據(jù)資料。 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 如果用于證實(shí)投資者身份的數(shù)字證書和口令被竊取, 他人有可能仿冒投資者身份進(jìn)行交易委托和查詢。 在網(wǎng)上傳輸?shù)闹噶?、?shù)據(jù)有可能 被某些個(gè)人、團(tuán)體或機(jī)構(gòu)通過某種渠道截取、篡改、重發(fā)。 但他們并不一定能夠了解該數(shù)據(jù)的真實(shí)內(nèi)容。 由于網(wǎng)絡(luò)交易的非接觸性 ,交易雙方可能對(duì) 交易結(jié)果進(jìn)行抵賴 。 在網(wǎng)上的數(shù)據(jù)傳輸可能因通信繁忙出現(xiàn)延遲,或因其它原因出現(xiàn)中斷、停頓或數(shù)據(jù)錯(cuò)誤, 從而使得網(wǎng)上交易出現(xiàn)延遲、停頓或中斷。 網(wǎng)上發(fā)布的證券交易行情信息可能滯后,與真實(shí)情況不完全一致。 數(shù)據(jù)的安全風(fēng)險(xiǎn) 因內(nèi)、外因素造成數(shù)據(jù)庫(kù)系統(tǒng)管理失控或破壞使用戶的個(gè)人資料和業(yè)務(wù)數(shù)據(jù)遭到偷竊、復(fù)制、泄密、丟失,并且無法得到恢復(fù) 網(wǎng)絡(luò)病毒的傳播 或其他原因造成存儲(chǔ)數(shù)據(jù)的丟失和損壞 網(wǎng)站發(fā)布的信息數(shù)據(jù)(包括分析、預(yù)測(cè)性資料)有可能被更改、刪除,給證券公司帶來損失。 基礎(chǔ)安全策略 對(duì)于一個(gè)良好的 安全體系的建立,必須擁有一個(gè)良好的安全策略,而所有的安全架構(gòu)和安全防護(hù)措施,以及在次基礎(chǔ)上實(shí)施的安全管理,都必須是建立在安全策略符合的基礎(chǔ)上的。 針對(duì) XX 證券公司 ,我們需要從幾個(gè)方面考慮安全策略的建立。 IT 安全架構(gòu)、IT 管理、緊急響應(yīng)機(jī)制、自身管理人員和用戶的安全教育和 IT 安全防護(hù)手段。 建立 XX 證券公司 IT 安全架構(gòu),則是構(gòu)建一個(gè) IT 模型,有效標(biāo)識(shí)威脅來源,風(fēng)險(xiǎn)的定義和承擔(dān),必須對(duì) XX 證券公司 的所有資源進(jìn)行有效的標(biāo)識(shí)和定義,進(jìn)一步劃分其風(fēng)險(xiǎn)的大小,同時(shí),采用何種方式防護(hù)或者承擔(dān)。 現(xiàn)代的安全體系的建立,是 和有效的管理機(jī)制無法分離的,單純的技術(shù)手段已經(jīng)無法保障一個(gè)系統(tǒng)的安全了。而管理體系中,很重要的一個(gè)因素將是人的因素,內(nèi)部人員,外部人員和第三方人員、外部入侵者等構(gòu)成了 XX 證券公司 的威脅的主要來源,必須有一套良好的管理機(jī)制來保障 XX證券公司 系統(tǒng)的安全運(yùn)作。 任何防護(hù)手段都無法保障 100%的安全性,這已經(jīng)是在安全領(lǐng)域內(nèi)大家已經(jīng)產(chǎn)生的共識(shí)。關(guān)鍵在于如何在發(fā)生安全事件以后,有沒有一套緊急響應(yīng)處理機(jī)制。 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 通過一個(gè)什么樣的途徑,由什么人人負(fù)責(zé),由那些人參加,按照什么樣的流程,采用什么樣的手段來處理安全事件,是緊急響應(yīng)機(jī)制 中定義的,同時(shí),也能夠保障發(fā)生了安全事件以后,將威脅和風(fēng)險(xiǎn)降到最低。 伴隨著 IT 技術(shù)的發(fā)展,安全威脅也逐漸增長(zhǎng),新的安全漏洞和威脅也越來越多,對(duì)于 XX 證券公司 管理人員和用戶本身的要求也越來越高,只有不斷的加強(qiáng)對(duì)管理員和用戶進(jìn)行持續(xù)的安全教育,才能夠有效降低安全風(fēng)險(xiǎn)。 安全體系 按照安全策略的要求及風(fēng)險(xiǎn)分析的結(jié)果,整個(gè)證券網(wǎng)絡(luò)安全措施應(yīng)根據(jù)證券網(wǎng)絡(luò)的行業(yè)特點(diǎn),按照網(wǎng)絡(luò)安全的整體構(gòu)想來建立,具體的安全控制系統(tǒng)由以下幾方面組成: 2.3 威脅來源 當(dāng)確定了防護(hù)對(duì)象后,再來考慮威脅的來源。針對(duì) XX 證券公司 的網(wǎng)絡(luò)結(jié)構(gòu)現(xiàn)狀,可看出威脅的來源主要在于 來自于廣域網(wǎng) Internet 的入侵 Internet 為 XX 證券公司 之間互聯(lián)互通、外界使用 XX 證券公司 服務(wù)提供了極大的便利。但是,由于 Internet 的開放性,使得在享受各種便利的同時(shí)也面臨著來自整個(gè) Internet 世界的威脅。雖然將來可能在內(nèi)部網(wǎng)訪問 Internet 的入口處配置防火墻,但防火墻本 身在安全防護(hù)方面具存在一定的缺陷,即它只能提供靜 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 態(tài)的、被動(dòng)的保護(hù),而對(duì)動(dòng)態(tài)的 應(yīng)用層 威脅 如惡意軟件,垃圾信息, SQL 注入,垮站 腳 本攻擊等等 無能為力。適當(dāng)配置的防火墻雖然可以將非預(yù)期的信息屏蔽在外,但我們要訪問 Internet、要收發(fā) Email、要 通過 WEB 交易網(wǎng)站 向 外提供 證券 交易信息 ,就必須 防火墻上打開一些固定的的端口,這樣入侵者還是可以利用這些打開的端口滲透到我們的內(nèi)部網(wǎng)絡(luò),對(duì)我們的網(wǎng)絡(luò)資源進(jìn)行破壞,所以我們還是面臨著來自外部世界的安全威脅。 來自于內(nèi)部用戶的入侵 XX 證券 公司 下屬的分支機(jī)構(gòu),用戶數(shù)量多、并 且地理分布廣泛,收發(fā)電子郵件或上網(wǎng)獲取信息已經(jīng)成為工作中不可缺少的部分,由于各分支機(jī)構(gòu)的網(wǎng)管水平不一,在網(wǎng)絡(luò)安全特別是防病毒方面很容易出現(xiàn)漏洞,因此分支機(jī)構(gòu)的用戶更容易感染計(jì)算機(jī)病毒;如果分支結(jié)構(gòu)的用戶感染計(jì)算機(jī)病毒,不但對(duì)本分支結(jié)構(gòu)造成影響,若不及時(shí)處理,病毒會(huì)迅速在整個(gè) XX 證券 公司 內(nèi)部擴(kuò)散,也會(huì)對(duì)其他的分支結(jié)構(gòu)及 XX 證券 公司 總部帶來影響,因此提高 XX 證券 公司 下面分支結(jié)構(gòu)網(wǎng)絡(luò)的安全性對(duì)整個(gè) XX 證券 公司 網(wǎng)絡(luò)整體的安全性是非常重要的。 三、 XX 證券公司 安全解決 方案 3.1 方案設(shè)計(jì) 結(jié)合以上對(duì) XX 證券公司 網(wǎng)絡(luò)及網(wǎng)絡(luò)安全隱 患的分析,結(jié)合穩(wěn)捷科技公司多年安全防護(hù)的項(xiàng)目經(jīng)驗(yàn)。對(duì) XX 證券公司 網(wǎng)絡(luò)安全提出如下建議: 1)增加基于 Web 的防病毒,防攻擊能力。防止網(wǎng)絡(luò)病毒,木馬對(duì)內(nèi)部用戶的侵害,以及外部威脅對(duì) web 服務(wù)器的注入攻擊,同時(shí)要增加對(duì)內(nèi)網(wǎng)到外網(wǎng)的Web 病毒,木馬等惡意程序的檢測(cè),防止內(nèi)部在不知情的情況下成為“黑客”的幫兇,成為新的網(wǎng)絡(luò)攻擊源。企業(yè) Web 防護(hù)基本內(nèi)容如下: 具備對(duì) Web應(yīng)用的病毒傳播進(jìn)行防護(hù); 具備對(duì) Web應(yīng)用的間諜軟件進(jìn)行防護(hù); 具備對(duì) Web應(yīng)用的網(wǎng)絡(luò)釣魚行為進(jìn)行阻斷; 具備對(duì) Web應(yīng)用的惡意 URL地址進(jìn)行阻擋; 具備對(duì) web服務(wù)器 SQL 注入以及跨站腳本攻擊防護(hù) ; 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 具備對(duì) Web應(yīng)用的非工作相關(guān)站點(diǎn)的訪問進(jìn)行控制。 2)增加基于 Email( SMTP,POP3,IMAP)的防病毒,防攻擊能力,防止惡意程序通過 Email 方式進(jìn)行傳播,同時(shí)增加垃圾郵件控制功能,保護(hù)寶貴的網(wǎng)絡(luò)帶寬資源,避免垃圾郵件對(duì)員工的騷擾。同時(shí)要增加對(duì)內(nèi)網(wǎng)到外網(wǎng)的 Email 傳輸檢測(cè),防止 Email Server 在不知情的情況下成為網(wǎng)絡(luò)“僵尸”,成為新的網(wǎng)絡(luò)攻擊源。建議 IDC Email 防護(hù)的基本內(nèi)容如下: 具備對(duì) Email應(yīng)用的病毒傳播進(jìn)行防護(hù); 具備對(duì) Email應(yīng)用的間諜軟件進(jìn)行防護(hù); 具備對(duì) Email應(yīng)用的網(wǎng)絡(luò)釣魚行為進(jìn)行阻斷; 具備對(duì) Email應(yīng)用的垃圾郵件智能過濾功能; 具備對(duì) Email應(yīng)用的未知惡意程序啟發(fā)式掃描功能; 3)增加基于常見網(wǎng)絡(luò)數(shù)據(jù)傳輸協(xié)議( FTP)的防病毒,防攻擊能力,增加對(duì)用戶頻繁使用的 FTP 數(shù)據(jù)傳輸協(xié)議的控制能力,防止惡意程序通過 FTP 協(xié)議高速的特點(diǎn),在短時(shí)間內(nèi)大規(guī)模的擴(kuò)散。從而對(duì)更多的無辜用戶造成更大的危害。 3.2 解決 方案 本方案將從 WEB 應(yīng)用安全的角度, 對(duì)來 自 Internet 外部 網(wǎng)絡(luò) 和內(nèi)部用戶的入侵行為進(jìn)行實(shí)時(shí)防御 ,保護(hù) XX 證券公司的 郵件服務(wù)器、 FTP 服務(wù)器、證券交易 WEB 服務(wù)器以及對(duì) XX 證券公司 辦公網(wǎng)絡(luò)系統(tǒng)的保護(hù) 以 免遭 網(wǎng)絡(luò)釣魚、病毒入侵、木馬、惡意軟件、垃圾郵件 等等攻擊等因素 進(jìn)行綜合設(shè)計(jì)。 同時(shí)也保護(hù)了訪問用戶。 XX 證券 公司 下屬的分支機(jī)構(gòu),用戶數(shù)量多、并且地理分布廣泛,收發(fā)電子郵件或上網(wǎng)獲取信息已經(jīng)成為工作中不可缺少的部分,由于各分支機(jī)構(gòu)的網(wǎng)管水平不一,在網(wǎng)絡(luò)安全特別是防病毒方面很容易出現(xiàn)漏洞,因此分支機(jī)構(gòu)的用戶更容易感染計(jì)算機(jī)病毒;如果分支結(jié)構(gòu)的用戶感染計(jì)算機(jī)病毒,不但對(duì) 本分支結(jié)構(gòu)造成影響,若不及時(shí)處理,病毒會(huì)迅速在整個(gè) XX 證券 公司 內(nèi)部擴(kuò)散,也會(huì)對(duì)其他的分支結(jié)構(gòu)及 XX 證券 公司 總部帶來影響,因此提高 XX 證券 公司 下面分支結(jié)構(gòu)網(wǎng)絡(luò)的安全性對(duì)整個(gè) XX 證券 公司 網(wǎng)絡(luò)整體的安全性是非常重要的。 穩(wěn)捷 公司建議在 XX 證券 公司 的 總部和 各地分支 營(yíng)業(yè) 機(jī)構(gòu)的 Internet 出口處 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 部署 Besecure NDP WEB 安 全 網(wǎng)關(guān) 進(jìn)行隔離,做到未雨綢繆,將各類惡意程序抵御 在 XX 證券公司 網(wǎng)絡(luò)之外;防止各類垃圾郵件進(jìn)入 XX 證券公司網(wǎng)絡(luò) 內(nèi)部, 防止外部以及內(nèi)部感染肉雞對(duì) WEB 服務(wù)器的篡改攻擊 。 同 時(shí) 總部 交易網(wǎng)的 Internet的入口處 ,部署 穩(wěn)捷 公 司 NDP WEB 安 全 網(wǎng)關(guān) 產(chǎn)品能夠?qū)νㄟ^ HTTP 協(xié)議訪問網(wǎng)頁進(jìn)行病毒過濾, 內(nèi)容清洗, 同時(shí)對(duì)通過 POP3 以及 IMAP 協(xié)議接受公共郵箱郵件進(jìn)行病毒過濾和垃圾郵件過濾。 穩(wěn)捷 公 司 NDP WEB 安全網(wǎng)關(guān) 通過高效的病毒引擎和透明的工作方式, 不用改動(dòng)網(wǎng)絡(luò)配置,實(shí)現(xiàn)對(duì)應(yīng)用服務(wù)器群進(jìn)行保護(hù) , 以及 “零 ”管理成本,能夠?qū)⒘餍械挠?jì)算機(jī)病毒拒之 “墻外 ”,從而確保了分支機(jī)構(gòu)局域網(wǎng)的安全 和辦公系統(tǒng)的安全, 按照 XX 證券公司 網(wǎng)絡(luò)實(shí)際使用迫切需求, 首先對(duì) XX 證券公司 總部和營(yíng)業(yè)部的辦公網(wǎng)絡(luò)系統(tǒng)進(jìn)行保護(hù)。同時(shí) , 證券交 易業(yè)務(wù)系統(tǒng) 中 證券交易網(wǎng)站服務(wù)器的安全 也 是重中之重 , 所以在 XX 證券公司 總部的交易網(wǎng)的 Internet 出口處部署 穩(wěn)捷 公 司 NDP WEB 安全網(wǎng)關(guān), 對(duì)證券交易網(wǎng) 進(jìn)行 安全保護(hù)。 具體 的網(wǎng)絡(luò) 拓?fù)鋱D 如下: 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 通過在網(wǎng)絡(luò)中合理的部署 BeSecure NDP 系列 安全網(wǎng)關(guān)設(shè)備 ,可以有效的提升網(wǎng)絡(luò)的安全級(jí)別,為網(wǎng)絡(luò)用戶提供良好的保護(hù)措施。其顯著的特色如下: 立體式多重防護(hù) 通過 BeSecure 保護(hù)客戶端、保護(hù)內(nèi)網(wǎng)、保護(hù)服務(wù)器群,配合現(xiàn)有的終端防病毒軟件,形成“三位一體”防護(hù)理念。首先是防護(hù)由外到內(nèi)的威脅,其次是防護(hù)內(nèi)部客戶端攻擊內(nèi)部服務(wù)器,最后是阻止內(nèi)部重要信息向外傳輸。這樣就能有效的把威脅降到最低。 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 高性能、無瓶頸 在網(wǎng)關(guān) internet 出口處部署高性能的穩(wěn)捷 web 安全網(wǎng)關(guān),首先 重點(diǎn)解決了網(wǎng)關(guān)病毒掃描所造成的性能瓶頸問題,從而在保證安全掃描的前提下,大大提高了用戶訪問 Web 的速度。 高效,準(zhǔn)確,可靠的安全防護(hù)技術(shù) 穩(wěn)捷網(wǎng)絡(luò)安全設(shè)備的防病毒技術(shù), 反 垃圾郵件 掃描以及 URL 信譽(yù)等 級(jí)評(píng)分及分類 分別與世界知名的防病毒廠商卡巴斯基 、反垃圾郵件廠商 cloudmark 和世界著名安全廠商 McAfee 共同合作開發(fā), 防病毒特征碼數(shù)據(jù)庫(kù)已經(jīng)達(dá)到了 400 萬條目級(jí)別,遠(yuǎn)遠(yuǎn)的超出了同類安全廠商的產(chǎn)品 。 利用 URL 信譽(yù)評(píng)分系統(tǒng) 提供的基于信譽(yù)和基于分類的過濾組合,攔截通過員工下載入侵網(wǎng)絡(luò)的病毒和惡意軟件 ,URL 庫(kù)達(dá)到 100 種分類, 3000 多 萬條目。 全球超過 100 家有線和無線運(yùn)營(yíng)商,如 Comcast、 Earthlink、 Cox Communications、 Swisscom、 Tele2、 KPN 等,共同使 用穩(wěn)捷網(wǎng)絡(luò) 核心郵件安全解決方案。 來自全球范圍的 one billion 報(bào)告源進(jìn)行接收、分析、驗(yàn)證和傳遞的同時(shí),采用高級(jí)指紋編碼算法實(shí)時(shí)識(shí)別 垃圾郵件威脅變種。 零時(shí)差威脅保護(hù) 為了達(dá)到零時(shí)差保護(hù), BeSecure 采用了 啟發(fā)式智能分析 架構(gòu)來識(shí)別新的安全威脅,在攻擊 到達(dá)用戶網(wǎng)絡(luò)之前主動(dòng)阻止新型的惡意軟件、釣魚攻擊、垃圾郵件、惡意 URL 站點(diǎn) 和網(wǎng)絡(luò)僵尸、蠕蟲等。它每天從大量數(shù)據(jù)源(如 “ 零時(shí)差惡意軟件特征碼 ” 、 “ 釣魚攻擊檢測(cè) ” 、 “ 全球威脅響應(yīng)中心 ” 、 “ URL 信譽(yù) ” “ ip信譽(yù)” 等)中探測(cè) 20 億個(gè)事件。 簡(jiǎn)單,便捷的產(chǎn)品 部署 BeSecure 可以 提供安全方便的純透明網(wǎng)橋部署, 很容易地部署到任何節(jié)點(diǎn)的網(wǎng)絡(luò)上,而不需要網(wǎng)絡(luò)重新搭建或額外的硬件。 只需要簡(jiǎn)單的將 NDP 設(shè)備安裝在受保護(hù)網(wǎng)絡(luò)的網(wǎng)關(guān)位置,不需要對(duì)網(wǎng)絡(luò)中的 IP 地址規(guī)劃做任何修改, 就可以立即提供對(duì)網(wǎng)絡(luò)的保護(hù)作用。真正做到“即插即用” 豐富,詳細(xì)的日志及用戶報(bào)表統(tǒng)計(jì)功能 BeSecure 在具有強(qiáng)度的安全防護(hù)功能的同時(shí),它還可以根據(jù)用戶的需要,為用戶提供了多種多樣的統(tǒng)計(jì),及圖形化報(bào)表。同時(shí),用戶還可以在設(shè)備管理界 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 面中,實(shí)時(shí)的查看設(shè)備硬件負(fù)載情況包括 CPU 利用率,內(nèi)存占用率, 協(xié)議使用等信息。極大的方便用戶查看,分析,評(píng)估網(wǎng)絡(luò)安全狀況。 最后 通過穩(wěn)捷科技專屬咨詢服務(wù),幫助用戶設(shè)計(jì)防病毒系統(tǒng)發(fā)展規(guī)劃,梳理內(nèi)部流程,提供運(yùn)維支持和專業(yè)培訓(xùn)服務(wù)、員工科普培訓(xùn)服務(wù),甚至提供外派技術(shù)人員常駐客戶方,協(xié)助用戶開展具體的防病毒工作,如支持下屬分支機(jī)構(gòu)的產(chǎn)品和病毒問題,定期提供病毒分析報(bào)告,評(píng)估防病毒體系,分支機(jī)構(gòu)巡檢等多種形式的服務(wù)。 四、 Besecure NDP 系列安全產(chǎn)品 解決方案 4.1 產(chǎn)品介紹 穩(wěn)捷網(wǎng)絡(luò)通過始終不移的研發(fā)投資以確保全球最高性能的 WEB安全技術(shù)領(lǐng)先地位 , 優(yōu)化整合最優(yōu)秀的檢測(cè)算法 (防病毒 ,防垃圾郵件 , 內(nèi)容過濾 , 網(wǎng)址過濾 , 關(guān)鍵字過濾 ) , 專注于渠道的開發(fā)與支持,不斷向客戶提供卓越易銷的 WEB安全功能及成功案例。 NDP (Network Data Processing)是由穩(wěn)捷網(wǎng)絡(luò)首創(chuàng)的針對(duì)網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)的高精度高速 (吉比特 )深度內(nèi)容檢測(cè)技術(shù) ,基于此項(xiàng)技術(shù) ,穩(wěn)捷網(wǎng)絡(luò)的 WEB安全設(shè)備 ,BeSecure系列產(chǎn)品 ,使企業(yè)服務(wù)商及運(yùn)營(yíng)商準(zhǔn)確實(shí)時(shí)地檢測(cè)攔截抵御來自 WEB及郵件的威脅 ,提高工作效率 ,有效阻斷資料數(shù)據(jù)的泄露 : BeSecure Internet Gateway 是 多功能的整合安全設(shè)備,提供 Web安全(防病毒,內(nèi)容過濾,網(wǎng)址攔截 )和郵件安全 (垃圾郵件病毒內(nèi)容過濾 )服務(wù)。 BeSecure Web Gateway 是提供 Web防病毒,網(wǎng)頁內(nèi)容過濾和網(wǎng)址攔截等服務(wù)的高性能整合網(wǎng)絡(luò)安全設(shè)備。 BeSecure Web AV Gateway 是一個(gè)在網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)層攔截網(wǎng)絡(luò)惡意攻擊,間諜軟件和病毒的高效能的解決方案。 BeSecure Message Gateway 能每小時(shí)對(duì) 650萬封郵件進(jìn)行深度內(nèi)容檢測(cè) , 是一個(gè)有效高速的檢測(cè)攔截抵御垃圾郵件 , 病毒及 資料數(shù)據(jù)泄露威脅 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 的郵件安全設(shè)備。 新一代穩(wěn)捷 WEB 安全網(wǎng)關(guān)技術(shù) , 實(shí)時(shí)準(zhǔn)確高效全面地為您提供可靠易行的 WEB 內(nèi)容安全傳統(tǒng)的基于網(wǎng)絡(luò)的安全解決方案包括防火墻及入侵檢測(cè) /入侵防御系統(tǒng)( IDS/IPS),防火墻通過對(duì)數(shù)據(jù)包包頭的檢測(cè)可決定阻止或允許對(duì)特定端口的訪問, IDS/IPS 可進(jìn)一步對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行簡(jiǎn)單檢測(cè)以發(fā)現(xiàn)數(shù)據(jù)包是否有攻擊傾向。兩者對(duì)來自互聯(lián)網(wǎng)的內(nèi)容攻擊及有害內(nèi)容都是無能為力的,因?yàn)檫@類攻擊大多是包含多個(gè)數(shù)據(jù)包且隱含于壓縮或混碼之中。通俗的講,防火墻是閘口,數(shù)據(jù)只能通過打開的閘口,而 IDS/IPS 就像一個(gè)粗篩,對(duì)污水只能進(jìn)行大的污染物的過濾,當(dāng)前,僅有防火墻和 IDS/IPS 已無法滿足對(duì) WEB 安全的要求,而 BeSecure 則像是細(xì)篩,過濾后,“水”的品質(zhì)可達(dá)到直接“飲用”,完全滿足對(duì) WEB 安全的要求。 主要優(yōu)勢(shì)高效率 ,實(shí)時(shí) ,深層 ,全覆蓋的網(wǎng)絡(luò)數(shù)據(jù)處理技術(shù)(專利 ) 以提供最完整全面的內(nèi)容網(wǎng)關(guān)安全服務(wù)優(yōu)化整合高精確度 ,世界領(lǐng)先的模式識(shí)別算法以提供最準(zhǔn)確的識(shí)別率高可靠性 ,靈活 ,簡(jiǎn)便的網(wǎng)絡(luò)集成及管理界面以提供最快速的 WEB 安全方案實(shí)施與維護(hù),主要功能間諜軟件廣告軟件及惡意軟件實(shí)行實(shí)時(shí) Web 防護(hù)。 4.2 功能描述 對(duì)經(jīng)過網(wǎng)關(guān)的 WEB 數(shù)據(jù)進(jìn)行實(shí)時(shí)深度檢測(cè)以鑒別病毒間諜軟件廣告軟件及惡意軟件的攻擊。每小時(shí)可檢測(cè) 1150 萬個(gè)網(wǎng)頁。準(zhǔn)確率達(dá) 100% 可選擇性地根據(jù)網(wǎng)頁內(nèi)容分類以對(duì) WEB 的使用進(jìn)行檢測(cè)或阻擋。支持 100 個(gè)內(nèi)容分類 庫(kù) , 3000 多 萬個(gè)網(wǎng)址數(shù)據(jù)庫(kù)。 可制定對(duì)關(guān)鍵字(包括有復(fù)雜結(jié)構(gòu)關(guān)鍵字組)進(jìn)行檢測(cè)或阻擋,防止數(shù)據(jù)泄露或?qū)﹂T戶網(wǎng)站的攻擊。 對(duì)經(jīng)過網(wǎng)關(guān)的電子郵件進(jìn)行實(shí)時(shí)深度檢測(cè)以鑒別垃圾郵件病毒間諜軟件廣告軟件及惡意軟件的攻擊。每小時(shí)可檢測(cè) 650 萬封電子郵件。準(zhǔn)確率達(dá) 98%。 可 制定對(duì)網(wǎng)址訪問進(jìn)行檢測(cè)或阻擋,以檢測(cè)或阻攔炒股或?qū)Σ涣純?nèi)容及與工作無關(guān)內(nèi)容的訪問 ,提高工作效率 ,優(yōu)化網(wǎng)絡(luò)使用 。 世界領(lǐng)先全透明嵌入代理模式可快速完成方案整合。 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 4.3 產(chǎn)品型號(hào)說明 NDP-1005D NDP-1005G NDP-1020N NDP-1038 NDP-2040 在線吞吐量( Mbps) 150Mbps 500Mbps 700 Mbps 1 Gbps 3Gbps 電子郵件 (封 /小時(shí) ) 150,000 2,250,000 2,500,000 2,850,000 5,000,000 HTTP(頁 /小 時(shí) ) 1,500,000 6,750,000 7,500,000 9,000,000 17,500,000 推薦用戶數(shù) (所有服務(wù)全激合 ) 200 1000 2,000 4,000 10,000 硬件 平臺(tái)類型 專用硬件平臺(tái) 專用硬件平臺(tái) 專用硬件平臺(tái) 專用硬件平臺(tái) 專用硬件平臺(tái) 網(wǎng)絡(luò)接口 10/100/100Bast-TX4w/ LAN Bypass 10/100/100Bast-TX 4w/ LAN Bypass 10/100/100Bast-TX 4w/ LAN Bypass 4GbECopper+2GbE SL w/ LAN Bypass 4GbECopper+2GbE SL w/ LAN Bypass 4.4 BeSecure 網(wǎng)絡(luò)數(shù)據(jù)處理技術(shù) 4.4.1 BeSecure 專利的“ Subsonic”技術(shù) Subsonic 技術(shù)( PCT/CA2007/000020, USPTO 11/620,556)是為解決 NBCI 應(yīng)用程序的關(guān)鍵性能問題而開發(fā)的。 Subsonic 的關(guān)鍵設(shè)計(jì)目標(biāo)是在本地和城域網(wǎng)絡(luò)中克服 NBCI 的性能障礙。今天,繁忙的網(wǎng)絡(luò)連接經(jīng)常通過多種網(wǎng)絡(luò)協(xié)議同時(shí)承載著數(shù)百或數(shù)千個(gè)網(wǎng)絡(luò)通信會(huì)話。 NBCI 設(shè)備需要能夠處理這種大尺度并發(fā)。 Subsonic 的體系結(jié)構(gòu)框架是使用 Linux 內(nèi)核實(shí)現(xiàn)的,它使用本機(jī) POSIX 線程庫(kù) (NPTL) 來配合輕型 NPTL 線程所處理的每個(gè)傳輸流掃描會(huì)話。此途徑有效地減少了處理單個(gè)掃描會(huì)話的系統(tǒng)資源需求和上下文切換時(shí)間。圖 21 將 Subsonic 以 NPTL 為基礎(chǔ)的網(wǎng)絡(luò)吞吐量與常規(guī)的基于 進(jìn)程的吞吐量進(jìn)行比較??梢杂^察到, Subsonic NPTL 快了至少 10 倍。 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 圖 1:多線程與多進(jìn)程 一旦負(fù)載數(shù)據(jù)被獲取并檢查其指紋,該算法可以確定此負(fù)載數(shù)據(jù)是否 已在之前被檢查過。如果是,則直接檢索以前的檢查結(jié)果,而不應(yīng)用通常昂貴的內(nèi)容檢查算法。 因?yàn)橹T如 SHA-1 這樣的指紋算法是流式算法,并且在應(yīng)用指紋算法時(shí)我們可以不擔(dān)心所截取的負(fù)載的內(nèi)部存檔結(jié)構(gòu),因此,指紋程序的執(zhí)行速度要比運(yùn)行內(nèi)容檢查算法快很多。圖 22 是通過對(duì)負(fù)責(zé)處理有 23 個(gè) LAN 節(jié)點(diǎn)的網(wǎng)絡(luò) NBCI 設(shè)備進(jìn)行常規(guī)內(nèi)容檢查和執(zhí)行 SHA1 算法所產(chǎn)生的性能數(shù)據(jù)進(jìn)行采樣所獲得的??梢杂^察到,文件越大,則使用內(nèi)容識(shí)別途徑時(shí)的增益越大,并且可能的性能增益超過 60 倍。通過對(duì)負(fù)載進(jìn)行流處理而不做任何 計(jì) 算,從而度量出理論上限。 由于 NDP 設(shè)備對(duì)網(wǎng)絡(luò)應(yīng)用傳輸流進(jìn)行深度檢測(cè),所以,當(dāng)包含復(fù)雜壓縮組件的大型負(fù)載到達(dá)時(shí), NDP 將花費(fèi)很多系統(tǒng)資源對(duì)此特定通信會(huì)話進(jìn)行內(nèi)容檢查。 具體來說, TQD 線程管理器是為管理掃描線程的優(yōu)先級(jí)而開發(fā)的。當(dāng)創(chuàng)建掃描線程時(shí),它會(huì)注冊(cè)到 TQD 線程管理器。管理器按時(shí)間循環(huán),并隨著過去的時(shí)間減少每個(gè)線程的優(yōu)先級(jí)和存活時(shí)間 (TTL)。它還會(huì)清理掉持續(xù)時(shí)間太長(zhǎng)的線程,即 TTL 小于 0 的線程??梢园催\(yùn)行窗口中每單位時(shí)間的哈希沖突概率和傳輸流量的函數(shù)來自動(dòng)計(jì)算 TTL。 圖 3 摘自 2003 年 5 月第 21 卷第 2 號(hào)的 ACM Transactions on Computer Systems中的 HARCHOL-BALTER, etc。此研究表明, TQD 算法對(duì)最小 80% 的文件的受益為 10 倍以上,而超過最高 1% 的所有請(qǐng)求受益也可達(dá) 5倍以上。 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 圖 2: 內(nèi)容檢查(常規(guī)掃描)與指紋 (SHA1) 的性能 圖 3: 平均響應(yīng)時(shí)間 (TQD) 與常規(guī)途徑 4.4.2 采用 Green Stream 技術(shù)以降低滯后 將 NBCI 系統(tǒng)部署到網(wǎng)絡(luò)中時(shí),它可能帶來更多滯 后。對(duì)于已經(jīng)遇到穩(wěn)定性問題的網(wǎng)絡(luò)來 說,此滯后將使這些問題變得更為嚴(yán)重。據(jù)報(bào)告,某些 NBCI 系統(tǒng)會(huì)導(dǎo)致應(yīng)用程序發(fā)生更多的連接中斷。由于內(nèi)容檢查所引入的滯后,第一個(gè)數(shù) 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 據(jù)包會(huì)在應(yīng)用程序會(huì)話已超時(shí)之后才來到。 NDP Green Stream 技術(shù)是為解決此“第一個(gè)數(shù)據(jù)包”問題而開發(fā)的。使用 Green Stream 后,將極大減少網(wǎng)絡(luò)滯后。對(duì)于大型負(fù)載,這種減少可以是 10 到 20 倍,從而使 Green Stream 成為非常有效的技術(shù)。 4.4.3 支持新協(xié)議 不同的協(xié)議有不同的握手序列和不同的負(fù)載格式。但是,在 NBCI 方面,有很多通用的任務(wù),比如調(diào)用內(nèi)容檢查算法、連接管理、配置加載 /備份等。 NDP 提供了高級(jí)建模能力(稱為協(xié)議工廠),以便跨越特定協(xié)議的細(xì)節(jié)實(shí)現(xiàn)來實(shí)現(xiàn)這些任務(wù)。對(duì)于新協(xié)議,此建模能力允許穩(wěn)捷網(wǎng)絡(luò)迅速開發(fā)出針對(duì)此協(xié)議的掃描器。 4.4.4 開放式服務(wù)總線 一旦 Subsonic 引擎重新構(gòu)造數(shù)據(jù)負(fù)載之后,就會(huì)將它路由到多種內(nèi)容檢查服務(wù)進(jìn)行數(shù)據(jù)處理,比如標(biāo)識(shí)和刪除威脅。這些服務(wù)可以是惡意軟件檢測(cè)、垃圾郵件檢測(cè)和規(guī)則遵守實(shí)施。 為了滿足提供高準(zhǔn)確和高性能內(nèi)容檢查服務(wù)和引入新服務(wù)的需要,BeSecure 采用了開放式 服務(wù)總線 (OSB)。 OSB 是高性能的多線程系統(tǒng)后臺(tái)程序,它調(diào)用最佳類型的第三方內(nèi)容檢查服務(wù)。 在作為高性能的多線程系統(tǒng)后臺(tái)程序運(yùn)行時(shí), OSB 將對(duì) Subsonic 引擎所路由的數(shù)據(jù)負(fù)載應(yīng)用一組內(nèi)容檢查和優(yōu)化算法。該路由通過基于共享內(nèi)存機(jī)制的進(jìn)程間通信完成。這些內(nèi)容檢查算法通常由第三方供應(yīng)商以軟件庫(kù)的形式提供。圖 4 演示了 Subsonic 引擎、 OSB 和內(nèi)容檢查服務(wù)之間的高層關(guān)系。 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 圖 4:開放式服務(wù)總線 OSB 體系結(jié)構(gòu)提供以下優(yōu)點(diǎn): 跨所有應(yīng)用程序協(xié)議的統(tǒng)一內(nèi)容檢查服務(wù)。 對(duì)第三方內(nèi)容檢查 服務(wù)容錯(cuò)。 OSB 監(jiān)視第三方模塊的服務(wù)可用性。如果檢測(cè)到失敗,則 OSB 強(qiáng)制啟動(dòng)另一個(gè)服務(wù)實(shí)例。 比獨(dú)立第三方服務(wù)更高的性能。基于共享內(nèi)存的 IPC 允許檢查吞吐量大幅提高。 多線程服務(wù)調(diào)用機(jī)制充分利用了今天的多核多處理器硬件平臺(tái)。 數(shù)據(jù)負(fù)載僅需要一次路由到 OSB,便可以完成所有內(nèi)容檢查服務(wù)。 通過對(duì)一組簡(jiǎn)單的 API 進(jìn)行測(cè)試,可以確保第三方服務(wù)的質(zhì)量。因此,具有更新算法的版本可以很容易集成到 NDP OS 中。 可以很容易集成新服務(wù),以實(shí)施針對(duì)內(nèi)容的新策略。 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 4.5 BESECURE 反惡意軟件掃描 技術(shù) 為了 獲得能夠應(yīng)對(duì)提供完整的反惡意軟件保護(hù)這一挑戰(zhàn)所需的準(zhǔn)確性和性能,必須采用“最佳”解決方案。同世界知名的防病毒廠商卡巴斯基合作,共同開發(fā)了防病毒引擎并集成了 Kaspersky Lab 的贏得獎(jiǎng)項(xiàng)的惡意軟件指紋數(shù)據(jù)庫(kù)集成。借助與分布全球 150多個(gè)國(guó)家的防病毒試驗(yàn)中心, BeSecure產(chǎn)品具業(yè)界最準(zhǔn)確的惡意軟件掃描能力。 最優(yōu)啟發(fā)式 檢 測(cè)技術(shù) 它利用多種主動(dòng)探測(cè)技術(shù)(啟發(fā)式、遺傳式和行為式)的組合對(duì)未知惡意軟件程序進(jìn)行零時(shí)間檢測(cè)。 從惡意軟件產(chǎn)生,到防病毒廠家檢測(cè)、分析、并加入特征庫(kù),再到用戶下載并使用新的特征庫(kù) ,存在著一個(gè)相當(dāng)大的時(shí)差。而 Besecure 的啟發(fā)式檢測(cè) 技術(shù)則消除了這個(gè)時(shí)間差 。 特征庫(kù)覆蓋率是其它眾多同類產(chǎn)品的 100 倍,使用這個(gè)特征庫(kù),可以全面檢測(cè)并阻止病毒、間諜軟件和其它惡意軟件。 可以同時(shí)阻止間諜軟件回傳、偷渡式下載等,來避免更大的損失,保護(hù)重要信息。 所支持的最大打包格式數(shù) 反病毒解決方案應(yīng)當(dāng)能夠掃描對(duì)象,無論它們是如何或多少次被壓縮、打包、存檔或嵌入到安裝程序中的。 BeSecure 支持大約 2,000 種不同類型的打包程序、存檔和安裝程序 。 4.6 Web 安全 過濾 技術(shù) Internet 對(duì)于當(dāng) 今業(yè)務(wù)發(fā)展來說不可或缺。 然而,隨著博客、維基、社交站點(diǎn)等多種互動(dòng)性功能的出現(xiàn),動(dòng)態(tài)化的 Web 2.0 環(huán)境給企業(yè)帶來了棘手的安全難題。 當(dāng)用戶訪問被感染的網(wǎng)站時(shí),惡意代碼和 Web 病毒就會(huì)“悄無聲息”地進(jìn)入網(wǎng)絡(luò)。 穩(wěn)捷的 web安全過濾功能 將助您遠(yuǎn)離這些風(fēng)險(xiǎn)。 這是一款智能化 Web 過濾解決方案,旨在防止員工訪問那些可能導(dǎo)致病毒、惡意軟件和其他安全風(fēng)險(xiǎn)的網(wǎng)站,同時(shí)幫助您減少法律責(zé)任、充分提升員工效率并節(jié)約帶寬以保證業(yè)務(wù)活動(dòng)順暢開展,有效確保企業(yè)安全。 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 此功能 可以讓您 了解、過濾和監(jiān)控 Internet 的使用情況,同時(shí)幫助您有效控制傳出的 Web 訪問,預(yù)防可能出現(xiàn)的各種 Web 威脅。 穩(wěn)捷 WEB安全過濾 采用實(shí)時(shí)信譽(yù)評(píng)分和類別過濾組合,前瞻、可靠地執(zhí)行檢測(cè),幫助您有效攔截當(dāng)今 Web 2.0 環(huán)境中的間諜軟件、網(wǎng)絡(luò)釣魚詐騙、惡意軟件以及其他安全威脅。 信譽(yù)評(píng)分 技術(shù)可以前瞻地查找和報(bào)告與可疑來源之間的流量,并通過 BeSecure 進(jìn)行攔截。 信譽(yù)評(píng)分 借助全局信譽(yù)網(wǎng)絡(luò)和 Internet 實(shí)體知識(shí),識(shí)別潛在的惡意行為,包括指示意圖散播惡意代碼的操作。 對(duì)于基于分類的過濾, 穩(wěn)捷網(wǎng)絡(luò) 提供了一個(gè)成熟的 URL存儲(chǔ) 庫(kù),包含 100 個(gè)分類、 3000 多萬個(gè)可阻止站點(diǎn)。 URL存儲(chǔ)庫(kù) 由掌握一流技術(shù)的多語 Web 分析專家合力打造,擁有無與倫比的范圍、品質(zhì)和準(zhǔn)確率。 充分利用全面和細(xì)化的類別范圍; 穩(wěn)捷網(wǎng)絡(luò) 提供了一個(gè)成熟的存儲(chǔ)庫(kù),包含 100 多個(gè)分類、 3000 多萬個(gè)可阻止站點(diǎn) 借助 信譽(yù) 中心 提供的實(shí)時(shí)評(píng)分功能加強(qiáng)基于類別的過濾;前瞻、可靠地檢測(cè)當(dāng)今 Web 2.0 環(huán)境中的間諜軟件、網(wǎng)絡(luò)釣魚詐騙、惡意軟件以及其他安全威脅 快速了解企業(yè)內(nèi)部如何使用 Web,進(jìn)而詳細(xì)分析趨勢(shì)、隔離問題、記錄不當(dāng)?shù)?Web 活動(dòng)并定制過濾 設(shè)置以有效實(shí)施 Web 使用策略 指定特定時(shí)間里可以覆寫過濾規(guī)則的用戶,排除您希望特定群組或用戶訪問的站點(diǎn),并創(chuàng)建定制類別以更好地實(shí)施企業(yè)獨(dú)特的 Internet 訪問策略 4.7 Email 過濾技術(shù) 高性能 BeSecure 網(wǎng)絡(luò)數(shù)據(jù)處理技術(shù)提供了業(yè)界最高級(jí)的反垃圾郵件解決方案。 BeSecure 在 OSI 第 7 層工作,并且獨(dú)立于任何 MTA,它提供以下功能: 基于頻繁更新的垃圾郵件指紋數(shù)據(jù)庫(kù),檢查通過它傳輸?shù)娜魏坞娮余]件( POP、 IMAP、 SMTP)中是否有垃圾郵件和仿冒消息。 檢測(cè)在圖像中嵌入的垃圾郵 件。 通過一個(gè)遍布全球的信任網(wǎng)絡(luò)不斷對(duì)新垃圾郵件進(jìn)行特征提取以匯總到垃圾郵件指紋數(shù)據(jù)庫(kù)中,從而不斷提高檢測(cè)率。 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 基于正則表達(dá)式 (regex) 的 IETF 電子郵件標(biāo)題白名單。 可以用于為電子郵件添加戳記以便進(jìn)行下游檢疫、刪除或分析的可自定義垃圾郵件標(biāo)記。 相 比傳統(tǒng)方法或基于直觀判斷的解決方案, BeSecure 獨(dú)樹一幟地利用網(wǎng)絡(luò)化智囊資源,以更迅速、更準(zhǔn)確和更理想的性能阻止郵件攻擊及其變種。下列技術(shù)緊密協(xié)作,可確保極高的準(zhǔn)確率,并在面對(duì)新威脅時(shí)以最快的速度 做出 反應(yīng): Advanced Message Fingerprinting(高級(jí)郵件指紋編碼技術(shù)) 由極其復(fù)雜的指紋編碼算法技術(shù)生成數(shù)字指紋編碼,可準(zhǔn)確識(shí)別所有語言和文件格式條件下的郵件濫用及其變種。輕量型的指紋編碼僅占用傳統(tǒng)內(nèi)容過濾系統(tǒng)所用 CPU 的一小部分,可以快速處理郵件。要應(yīng)對(duì)新的威脅,只需添加額外的指紋編碼算法即可,而無需重新架構(gòu)方案。 Global Threat Network(全球威脅響應(yīng)網(wǎng)) 依靠 穩(wěn)捷網(wǎng)絡(luò) 的 Advanced Message Fingerprinting(高級(jí)郵件指紋編碼技術(shù))算法和 Global Threat Network(全球威脅響應(yīng)網(wǎng))系統(tǒng), 穩(wěn)捷網(wǎng)絡(luò) 能以最快的響應(yīng)速度抵御新的攻擊。全球威脅響應(yīng)網(wǎng)擁有超過 7 億個(gè)報(bào)告源,包括反濫用團(tuán)隊(duì)、系統(tǒng)管理員、用戶和“蜜罐”系統(tǒng),這些報(bào)告源實(shí)時(shí)向 穩(wěn)捷網(wǎng)絡(luò)反饋有關(guān)威脅數(shù)據(jù)的信息。 Trust Evaluation System(可信度評(píng)估系統(tǒng)) (TES) 穩(wěn)捷網(wǎng)絡(luò) 的 Trust Evaluation System(可信度評(píng)估系統(tǒng))可以實(shí)時(shí)分析并驗(yàn)證威脅數(shù)據(jù)信息,只對(duì)真正的郵件濫用進(jìn)行堵截,而合法郵件則可以快速地抵達(dá)收件人的郵箱。一旦郵件被定義為威脅或合法郵件,該信息將立 即傳遞給全世界的 穩(wěn)捷網(wǎng)絡(luò) 用戶。 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 信任評(píng)估系統(tǒng) 4.8 關(guān)鍵字過濾技術(shù) BeSecure 提供的獨(dú)特的關(guān)鍵字過濾功能可以讓數(shù)據(jù)會(huì)話與關(guān)鍵字類別進(jìn)行匹配,以阻止數(shù)據(jù)泄露。數(shù)據(jù)損失阻止 (DLP) 是一條計(jì)算機(jī)安全術(shù)語,是指那些通過深入內(nèi)容檢查和集中管理框架對(duì)在使用中的數(shù)據(jù)(比如終端節(jié)點(diǎn)操作)、運(yùn)動(dòng)中的數(shù)據(jù)(比如網(wǎng)絡(luò)操作)和靜止的數(shù)據(jù)(比如數(shù)據(jù)存儲(chǔ))進(jìn)行標(biāo)識(shí)、監(jiān)視和保護(hù)的系統(tǒng)。提供 DLP 措施的主要業(yè)務(wù)動(dòng)機(jī)是: 法規(guī)遵守 很多公司受到政府規(guī)章和報(bào)表法律條款的約束,要求他們對(duì)信息進(jìn)行控制,這些法規(guī)包括醫(yī)療保 險(xiǎn)方面的“健康保險(xiǎn)可移植性及可記帳性法案” (HIPAA)、金融方面的“ Gramm-Leach-Bliley 法案” (GLBA) 和 BASEL II 協(xié)議、“支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)” (PCCI DSS) 以及針對(duì)公共貿(mào)易公司的 Sarbanes-Oxley 法規(guī)。這些法規(guī)中有一些規(guī)定了信息技術(shù)內(nèi)部控制及審核機(jī)制,如果組織缺少適合的 IT 安全控制過程,則會(huì)違反相關(guān)法規(guī)。 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 客戶信息丟失 客戶信息的大量丟失已經(jīng)成為常見的頭條新聞,這會(huì)迫使公司重新發(fā)布卡片、通知客戶并減輕負(fù)面公開造成的信譽(yù)損失。客戶信息丟失通 常發(fā)生在服務(wù)器被誘惑執(zhí)行暴露其技術(shù)漏洞的命令,從而導(dǎo)致其防御能力降低。例如,以網(wǎng)頁請(qǐng)求提交 SQL 命令的 SQL 注入會(huì)導(dǎo)致這類事故。 作為 BeSecure 的服務(wù)的組成部分, BeSecure 的關(guān)鍵字過濾功能可以用于執(zhí)行以下任務(wù): 防止數(shù)據(jù)在傳輸中被竊取 用戶可設(shè)置策略對(duì)與預(yù)置類別(比如信用卡信息、社會(huì)安全號(hào)碼或使用 POSIX 樣式的通配符語法的用戶編程表達(dá)式)相匹配的內(nèi)容的傳輸情況進(jìn)行阻止和 /或監(jiān)視。 IT 審核 可以對(duì)傳輸中數(shù)據(jù)進(jìn)行檢測(cè)以判斷是否違反法規(guī)。例如,有人從服務(wù)器群獲取病歷時(shí), 可以對(duì)其跟蹤。 提供額外級(jí)別的惡意軟件保護(hù) 除了 BeSecure 的惡意軟件保護(hù)模塊以外,還可防止跨站點(diǎn)腳本攻擊, SQL 注入或惡意文件執(zhí)行。 4.9 BeSecure 技術(shù)亮點(diǎn) 功能 說明 1 管理接口語言支持 提供英語、簡(jiǎn)體中文、繁體中文、日語和韓文管理接口 2 配置管理 可以通過基于 HTTPS 的 Web 管理接口從任何聯(lián)網(wǎng)計(jì)算機(jī)實(shí)施管理 基于 XML over HTTPS 的 API,用于自定義的大規(guī)模管理集成 支持 SN

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論