政法專款項目產(chǎn)品選型方案.docVIP

2013年度及2014年提前下達政法轉移支付資金業(yè)務裝備采購項目產(chǎn)品選型方案聯(lián)系電話:傳真: E-mail：公司地址: 郵編: 引 言在網(wǎng)絡信息安全建設中,特別是大眾型網(wǎng)絡工程設計的應用,合理的選擇交換機、路由器、防火墻、服務器、UPS電源和各種連接線路等設備是必然的,對相關設備進行測試也是不可缺少的。網(wǎng)絡工程建設的主要任務是：按計劃進行的網(wǎng)絡綜合性工作，包括網(wǎng)絡的需求分析、網(wǎng)絡設備的選擇、網(wǎng)絡拓撲結構的設計、施工技術要求等。網(wǎng)絡信息安全建設中重要關節(jié)之一就是網(wǎng)絡設備選型與測試，這一環(huán)節(jié)完成的優(yōu)劣將直接影響之后所完成系統(tǒng)的功能和性能。因此在信息安全建設之前，乙方的設備選型具有較強的實際應用的意義。目 錄1 防火墻選型1.1 防火墻的主要性能指標LAN接口：LAN接口類型，防火墻所能保護的網(wǎng)絡類型；支持最大LAN接口數(shù)。操作系統(tǒng)平臺：防火墻所運行的操作系統(tǒng)平臺。協(xié)議支持：是否支持AppleTalk、DECnet、IPX及NETBEUI等協(xié)議。加密支持：防火墻支持的加密算法，例如數(shù)據(jù)加密標準DES、3DES、RC4以及國內(nèi)專用的加密算法。認證支持：防火墻能夠為本地或遠程用戶提供經(jīng)過認證與授權的對網(wǎng)路資源的訪問，防護墻管理員必須決定客戶以何種方式通過認證。訪問控制：訪問控制一般通過包過濾、代理及NAT三種技術來實現(xiàn)。防御功能：支持病毒掃描的能力；提供內(nèi)容過濾的能力；能防御的DoS攻擊；阻止腳本侵入手段的能力；主動防御的能力。安全特性：支持轉發(fā)和跟蹤ICMP協(xié)議的能力；提供入侵實時警告機制；提供實時入侵防范；識別、記錄、防止IP地址欺騙。管理功能：防火墻管理是指對防火墻具有管理權限的管理員行為和防火墻運行狀態(tài)的管理。管理員的行為主要包括：通過防火墻的身份鑒別，編寫防火墻的安全規(guī)則，配置防火墻的安全參數(shù)，查看防火墻的日志等。記錄和報表功能；防火墻處理完整日志的方法；自動日志掃描；實時統(tǒng)計。1.2 防火墻的選項的基本原則總擁有成本和價格：防火墻產(chǎn)品作為網(wǎng)絡系統(tǒng)的安全屏障，其總擁有的成本不應該超過受保護網(wǎng)絡系統(tǒng)可能遭受最大損失的成本。防火墻的最終功能僵尸管理的結果，而非工程上的決策。明確系統(tǒng)需求：即用戶需要什么樣的網(wǎng)絡監(jiān)視、冗余度以及控制水平。確定總體目標，確定了可接受風險水平后，可以列出一個必須檢測怎樣的傳輸、必須允許怎樣的傳輸流通性，以及應當拒絕什么傳輸?shù)那鍐?。應滿足單位特殊要求：單位安全政策中的某些特殊需求并不是每種防火墻都能提供的，這常會成為選擇防火墻時需考慮的因素之一，企業(yè)常見的需求如下：加密控制標準；訪問控制；特殊防御功能。防火墻本身是安全的：作為信息系統(tǒng)安全產(chǎn)品，防火墻本身也應該保證安全，不給外部侵入者以可趁之機。不同用戶選擇不同：對于電信級用戶、企業(yè)及用戶、個人單機級用戶區(qū)別對待。管理與培訓：在計算防火墻的成本時，不能只簡單地計算購置成本，還必須考慮其總擁有成本。人員的培訓和日常維護費用通常會占較大的比例。防火墻的安全性：防火墻產(chǎn)品最難評估的方面是防火墻的安全性能，即防火墻是否能夠有效地阻擋外部入侵。這一點同防火墻自身的安全性一樣，普通用戶通常不發(fā)判斷，即使安裝好了防火墻，如果沒有實際的外部入侵，也無從得知產(chǎn)品性能的優(yōu)劣。但在實際應用檢測安全產(chǎn)品的性能是極為危險的，所以用戶在選擇防火墻產(chǎn)品時，應該盡量選擇占市場份額較大同時又通過了國家權威認證機構認證測試的產(chǎn)品。綜上所述，我方在該項目中選擇如下防火墻產(chǎn)品：1.3 天清汗馬 USG-FW-320C 防火墻天清漢馬USG防火墻是啟明星辰公司正式推出的高性能、易管理、可升級的全新防火墻系列產(chǎn)品。天清漢馬USG防火墻采用領先的專用MIPS64多核硬件架構，高性能、綠色低功耗，集防火墻、VPN、內(nèi)容過濾、上網(wǎng)行為管理、抗拒絕服務攻擊(Anti-DoS)、NetFlow等多種安全技術于一身，全面支持QoS、高可用性（HA）、日志審計等功能。同時，可軟件升級支持UTM功能，保護用戶投資，是政府、能源、金融、教育、大型企業(yè)、中小企業(yè)、軍隊等用戶的理想選擇。此外，天清漢馬USG防火墻支持擴展無線安全模塊，可制定多維度的無線安全準入策略，并根據(jù)所制定策略實現(xiàn)無線網(wǎng)絡的訪問控制，為您提供有線、無線網(wǎng)絡訪問控制整體解決方案。1.3.1 設備參數(shù)功能參數(shù)US-FW-320C硬件架構硬件架構多核VPN硬件加速有CPU核數(shù)2管理及外圍接口帶外管理及專用HA接口無本地控制接口（Console）1（RJ45）CF卡插槽1USB接口2液晶顯示屏有固定業(yè)務接口百兆接口無前兆接口8GE萬兆接口無擴展業(yè)務接口接口板擴展槽位數(shù)量（不含主控板槽位）無擴展接口板卡類型無最大網(wǎng)絡接口數(shù)量設備在滿配情況下支持的最大網(wǎng)絡接口數(shù)量（包含管理及HA接口）8GE防火墻性能指標（注：吞吐量參數(shù)指1518字節(jié)下的值）最大并發(fā)連接數(shù)50W每秒新建連接數(shù)6K最大吞吐量（Mbps）1.6G推薦用戶數(shù)300VPN性能指標（注：吞吐量指164位3DES加密算法，1518字節(jié)下的值）VPN吞吐量（Mbps）200MIPSEC VPN隧道數(shù)300SSL VPN隧道數(shù)300VLAN數(shù)VLAN數(shù)4K安全策略數(shù)安全策略數(shù)1000認證用戶數(shù)本地認證用戶數(shù)4K部署USGFW防火墻讓院干警可以在一個統(tǒng)一的架構上建立自己的安全基礎設施，而以往困擾干警的安全產(chǎn)品協(xié)調性、資金和技術匱乏和單位級安全解決方案等問題也能夠得到完全解決。USGFW防火墻部署在網(wǎng)絡Internet出口和分支機構（各部門），全面抵御來自互聯(lián)網(wǎng)的病毒和攻擊威脅。同時可作為VPN網(wǎng)關，各分支機構與總部之間開啟VPN隧道，保證相互間通信的保密性。1.3.2 產(chǎn)品使用詳細說明對于大型企業(yè)，網(wǎng)絡規(guī)模較大、用戶數(shù)量多、業(yè)務系統(tǒng)較多，網(wǎng)絡建設類似于城域網(wǎng)。在安全建設方面也存在多點建設，除去在集團總部的互聯(lián)網(wǎng)出口需要安全防控外，各下屬單位也有安全防護需求。在總部互聯(lián)網(wǎng)出口部署的天清漢馬USGFW防火墻能夠抵御來自互聯(lián)網(wǎng)的入侵攻擊，同時為出差員工提供VPN接入，確保通信的保密性。在各單位出口部署USGFW防火墻，可以有效控制不同部門之間的越權訪問。 天清漢馬USGFW防火墻提供統(tǒng)一管理平臺，可以統(tǒng)一管理全網(wǎng)的USGFW防火墻，并提供詳盡直觀的報表，能夠讓管理員迅速了解到整個網(wǎng)絡的存在的安全風險和趨勢，為決定如何制定安全策略提供依據(jù)。2 入侵檢測產(chǎn)品的選型2.1 入侵檢測產(chǎn)品的必要性現(xiàn)在的網(wǎng)絡安全系統(tǒng)通常都已經(jīng)部署了防火墻、入侵檢測系統(tǒng)，通過對網(wǎng)絡安全產(chǎn)品正確配置，控制網(wǎng)絡訪問控制，監(jiān)測內(nèi)部網(wǎng)絡、外部網(wǎng)絡的攻擊行為，這樣的網(wǎng)絡系統(tǒng)是否已經(jīng)達到了真正的安全呢，答案是否定的。由于防火墻的眾多局限性，比如防火墻不能很好的防范內(nèi)部網(wǎng)絡攻擊，對不經(jīng)過防火墻的數(shù)據(jù)，防火墻無法檢查；防火墻無法解決TCP/IP協(xié)議的漏洞問題；防火墻不能阻止內(nèi)部泄密行為等，為了解決這些缺陷出現(xiàn)了入侵檢測產(chǎn)品。但是隨著黑客技術的迅猛發(fā)展，已經(jīng)出現(xiàn)了大量的針對IDS的規(guī)避技術，使得入侵檢測系統(tǒng)無能為力。面對這種尷尬局面，出現(xiàn)了漏洞掃描系統(tǒng)，它可以靜態(tài)的評估現(xiàn)有網(wǎng)絡的安全現(xiàn)狀，并提出建設性的意見。2.2 入侵檢測系統(tǒng)介紹入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡攻擊，特別是來自于防火墻內(nèi)部的惡意攻擊，它從計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集信息，并分析這些信息，看看網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。打一個比方，如果說防火墻是一棟大樓的門衛(wèi)，負責檢查進出人員的身份并做好登記，那么大樓里面的錄像監(jiān)控系統(tǒng)就是入侵檢測系統(tǒng)，它知道進入大樓的人員都做了些什么事情，如果有異常情況立即采取相應的行動。入侵檢測系統(tǒng)通常由兩部分組成：傳感器和控制臺。傳感器負責采集數(shù)據(jù)(網(wǎng)絡包、系統(tǒng)日志等)、分析數(shù)據(jù)并生成安全事件?？刂婆_主要起到中央管理的作用，提供圖形界面的控制臺。根據(jù)采集的數(shù)據(jù)源，入侵檢測系統(tǒng)分為基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡的入侵檢測系統(tǒng)。兩者的區(qū)別表格所示：類別數(shù)據(jù)源內(nèi)容優(yōu)點缺點基于網(wǎng)絡的入侵檢測系統(tǒng)網(wǎng)絡中的所有數(shù)據(jù)包不會影響業(yè)務系統(tǒng)的性能；采取旁路偵聽工作方式，不會影響網(wǎng)絡的正常運行不能檢測通過加密通道的攻擊；基于主機的入侵檢測系統(tǒng)計算機操作系統(tǒng)的事件日志、應用程序的事件日志、系統(tǒng)調用、端口調用和安全審計記錄能夠提供更為詳盡的用戶行為信息；系統(tǒng)復雜性??；誤報率低對主機的依賴性很強、性能影響很大；不能監(jiān)測網(wǎng)絡情況基于主機的入侵檢測系統(tǒng)都是安裝在需要進行檢測的主機上，一般都是安裝在需要嚴格監(jiān)控的主機上；基于網(wǎng)絡的入侵檢測系統(tǒng)部署復雜一些，通常采取在各個重要網(wǎng)段部署探測器，然后通過統(tǒng)一的控制管理臺進行管理，對于交換式網(wǎng)絡，要想探測器獲取到網(wǎng)絡數(shù)據(jù)，需要交換機端口鏡像功能的支持。2.3 入侵檢測產(chǎn)品功能通過部署入侵檢測系統(tǒng)，可以起到以下功能：記錄和分析用戶和系統(tǒng)的活動檢查系統(tǒng)配置、漏洞以及文件完整性識別已知的、未知的攻擊行為基于檢測結果做特定的響應動作可以提供作為審計用的日志2.4 選擇入侵略檢測系統(tǒng)考慮的要點入侵檢測系統(tǒng)常用的檢測方法有特征檢測、統(tǒng)計檢測與專家系統(tǒng)。據(jù)公安部計算機信息系統(tǒng)安全產(chǎn)品質量監(jiān)督檢驗中心的報告，國內(nèi)送檢的入侵檢測產(chǎn)品中95是屬于使用入侵模板進行模式匹配的特征檢測產(chǎn)品，其他5是采用概率統(tǒng)計的統(tǒng)計檢測產(chǎn)品與基于日志的專家知識庫系產(chǎn)品。市面上的入侵檢測產(chǎn)品很多，廠家的宣傳也都很好，那么我們在考慮入侵檢測產(chǎn)品的好壞以及它是否適合自己應用時通常需要考慮的要點有：特征庫升級與維護的費用入侵檢測的特征庫需要不斷更新才能檢測出新出現(xiàn)的攻擊方法。最大可處理流量(包/秒 PPS一般有百兆、千兆之分該產(chǎn)品容易被躲避嗎能否有效檢測分片、TTL欺騙、異常TCP分段、慢掃描、協(xié)同攻擊等規(guī)避方法產(chǎn)品的可伸縮性系統(tǒng)支持的傳感器數(shù)目、最大數(shù)據(jù)庫大小、傳感器與控制臺之間通信帶寬和對審計日志溢出的處理產(chǎn)品支持的入侵特征數(shù)不同廠商對檢測特征庫大小的計算方法都不一樣，盡量參考國際標準產(chǎn)品的響應方法要從本地、遠程等多個角度考察，以及是否支持防火墻聯(lián)動等等是否通過了國家權威機構的評測主要的權威測評機構有：國家信息安全測評認證中心、公安部計算機信息系統(tǒng)安全產(chǎn)品質量監(jiān)督檢驗中心是否有成功案例需要了解產(chǎn)品的成功應用案例，有必要進行實地考察和測試使用系統(tǒng)的價格性能價格比、以及要保護系統(tǒng)的價值可是更重要的因素。相比之下，啟明星辰NT600-PF-B產(chǎn)品將應用和網(wǎng)絡可視性與事件調查和糾正功能集成在一起以幫助客戶快速而自信地部署在線攻擊防護功能，是一項不錯的具有智能檢測入侵的硬件產(chǎn)品。當然對于一棟大樓的安全來說，除了門衛(wèi)和錄像監(jiān)控系統(tǒng)，還需要巡邏人員，進行定時定點的巡邏，檢查現(xiàn)有的一些安全設施的情況，并作一些建設性意見，提高現(xiàn)有的安全性。漏洞掃描系統(tǒng)對服務器、網(wǎng)絡設備、個人主機進行潛在威脅分析，找出網(wǎng)絡設備的錯誤配置、操作系統(tǒng)的漏洞、應用軟件的Bug等等，根據(jù)漏洞掃描系統(tǒng)的建議進行補救和改善，做到未雨綢繆，防范于未然，有效的避免黑客攻擊。所以綜合上述入侵檢測產(chǎn)品性能，我們選擇NT600-PF-B產(chǎn)品作為院檢察院信息安全項目建設的入侵檢測產(chǎn)品。 2.5 啟明星辰NT600-PF-B 入侵檢測天闐入侵檢測與管理系統(tǒng)（IDS）是啟明星辰自主研發(fā)的入侵檢測類安全產(chǎn)品，其主要作用是幫助用戶量化、定位來自內(nèi)外網(wǎng)絡的威脅情況，提供有針對性的指導措施和安全決策依據(jù)，并能夠對網(wǎng)絡安全整體水平進行效果評估，天闐入侵檢測與管理系統(tǒng)（IDS）采用了融合多種分析方法的新一代入侵檢測技術，配合經(jīng)過安全優(yōu)化的高性能硬件平臺，堅持“全面檢測、有效呈現(xiàn)”的產(chǎn)品核心價值取向，可以依照用戶定制的策略，準確分析、報告網(wǎng)絡中正在發(fā)生的各種異常事件和攻擊行為，實現(xiàn)對網(wǎng)絡的“全面檢測”，并通過實時的報警信息和多種格式報表，為用戶提供翔實、可操作的安全建議，幫助用戶完善安全保障措施，確保將信息“有效呈現(xiàn)”給用戶。同時，天闐入侵檢測與管理系統(tǒng)支持擴展無線安全模塊，可準確識別各類無線安全攻擊事件，按不同安全級別實時告警，并據(jù)此生成多種統(tǒng)計報表，為您提供有線、無線網(wǎng)絡攻擊檢測整體解決方案。2.5.1 產(chǎn)品詳細說明品牌：啟明星辰 型號（版本號）： 天闐入侵檢測NT600-PF-B-Y 基本描述： 包括硬件平臺（1U上架設備，1個RJ-45 Console口，1個10/100 Base-Tx帶外管理口，5個10/100/1000 Base-T接口，2個USB口，單電源，含嵌入式軟件）一臺，天闐控制中心軟件一套，質保期內(nèi)（自硬件產(chǎn)品發(fā)貨之日起，為期36個月）免費維修，含1個監(jiān)聽口授權，產(chǎn)品含三年保修、三年備機、免費安裝、三年特征庫授權。 網(wǎng)上鏈接地址： 本國企業(yè)具有自主知識產(chǎn)權及自主創(chuàng)新的產(chǎn)品： 本國產(chǎn)品：保修期限3年 嵌入式OS，版本號V2.6 管理模式： B/S模式進行管理 傳輸數(shù)據(jù)加密： 系統(tǒng)內(nèi)各組件模塊的通信均采用加密傳輸，審計日志的傳輸和存儲也采用加密方式 數(shù)據(jù)庫類型： SQL Server 2005，SQL Server 2008 特征庫升級方式： 支持離線升級、支持在線升級 常規(guī)工作環(huán)境： 電源：350W，氣壓：86-106KPa，工作溫度：（） 040，存儲溫度：（） -4070，相對濕度：（非凝結） 5%-95% 向控制臺實時發(fā)送報警信息： * 日志記錄： 支持日志查詢、日志刪除、csv格式導出日志 Email通知： 通過Email向用戶發(fā)送事件和報表 與防火墻聯(lián)動： 支持 主動攻擊方式檢測： 網(wǎng)絡設備攻擊、安全掃描、蠕蟲病毒、安全審計、可疑行為、網(wǎng)絡娛樂、安全漏洞、欺騙劫持、網(wǎng)絡通訊、脆弱口令、窮舉探測、間諜軟件、流量事件、分布事件、CGI訪問 流量分析： 提供web應用流量、郵件流量、數(shù)據(jù)庫流量、其他流量、流量配置與報警、引擎的總流量、能顯示與歷史同期流量值的比較 歷史事件分析： 可以對組織進行歷史事件查詢 IDS規(guī)避： 支持 集中與分級管理： 支持，上級可對下級進行組件控制管理、特征事件更新、策略下發(fā)、軟件版本升級；下級向上報事件 安全策略管理： 可以新建、編輯、合并、導入、衍生、刪除策略集，策略集配置、特征事件、二次事件、拒絕服務器與掃描類事件、事件導入導出 用戶管理功能： * 數(shù)據(jù)管理功能： 數(shù)據(jù)庫維護手動維護、自動維護、數(shù)據(jù)導入、數(shù)據(jù)備份、數(shù)據(jù)恢復 報表內(nèi)容： 支持分析報表、基礎統(tǒng)計報表、高級統(tǒng)計報表、詳細事件報表、根據(jù)備份庫生成日志報表、報告導出， 報表分析和匯總： 支持HTML、PDF、WORD、EXCEL格式的報表導出 接口類型： 10/100/1000M自適應以太網(wǎng)電口 多監(jiān)聽口支持： 支持 漏報率（）： 0 資源占用率（）： 9 專有技術新技術： 產(chǎn)品采用了啟明星辰的多項專利技術，包括：一種具備主動防御能力的入侵防御系統(tǒng)及方法、一種自動協(xié)議識別方法及系統(tǒng)、一種結合病毒檢測與入侵檢測的方法及系統(tǒng)、一種快速內(nèi)容分析的多關鍵詞匹配方法、匹配規(guī)則包含位移指示符的并行多模式匹配的方法及系統(tǒng)、一種SQL注入攻擊檢測方法及系統(tǒng)、一種計算機網(wǎng)絡入侵定位系統(tǒng)和方法等 保修承諾具體描述： 提供三年硬件維保服務（最長36個工作日修好，12個工作日內(nèi)未修好備機先行）、724技術支持服務、信息快遞服務、電話回訪服務。 2.5.2 設備參數(shù)入侵檢測 啟明星辰NT600-PF-B產(chǎn)品性能產(chǎn)品描述適用背景：適應低負荷百兆網(wǎng)絡環(huán)境最大檢測率：80Mbps最大并發(fā)連接數(shù)：20萬每秒新建連接數(shù)：4萬處理能力(漏報率為零)：80M協(xié)議自識別：支持非常規(guī)端口的HTTP，F(xiàn)TP，POP3，SMTP，TELNET協(xié)議識別接口：標配1個10M/100M電口，最大2個10M/100M電口電源：100-240V輸入電流：4-2A功率：180W外型尺寸320*430*44.5mm其它功能攻擊檢測能力；響應方式；日志與報表；策略功能；管理功能；用戶管理；升級管理；產(chǎn)品安全性產(chǎn)品特性產(chǎn)品特性1工作溫度：-555，工作濕度：1090(無凝結)，存儲溫度：-3060，存儲濕度：5%95%(無凝結) 3 防病毒網(wǎng)關產(chǎn)品的選型3.1 防病毒網(wǎng)關介紹防病毒網(wǎng)關是一種網(wǎng)絡設備，用以保護網(wǎng)絡內(nèi)（一般是局域網(wǎng)）進出數(shù)據(jù)的安全。主要體現(xiàn)在病毒殺除、關鍵字過濾（如色情、反動）、垃圾郵件阻止的功能，同時部分設備也具有一定防火墻（劃分Vlan）的功能。對于企業(yè)網(wǎng)絡，一個安全系統(tǒng)的首要任務就是阻止病毒通過電子郵件與附件入侵。當今的威脅已經(jīng)不單單是一個病毒，經(jīng)常伴有惡意程序、黑客攻擊以及垃圾郵件等多種威脅。網(wǎng)關作為企業(yè)網(wǎng)絡連接到另一個網(wǎng)絡的關口，就象是一扇大門，一旦大門敞開，企業(yè)的整個網(wǎng)絡信息就會暴露無遺。從安全角度來看，對網(wǎng)關的防護得當，就能起到“一夫當關，萬夫莫開”的作用，反之，病毒和惡意代碼就會從網(wǎng)關進入企業(yè)內(nèi)部網(wǎng)，為企業(yè)帶來巨大損失?；诰W(wǎng)關的重要性，企業(yè)紛紛開始部署防病毒網(wǎng)關，主要的功能就是阻擋病毒進入網(wǎng)絡。這種網(wǎng)關防病毒產(chǎn)品能夠檢測進出網(wǎng)絡內(nèi)部的數(shù)據(jù)，對HTTP、FTP、SMTP、IMAP四種協(xié)議的數(shù)據(jù)進行病毒掃描，一旦發(fā)現(xiàn)病毒就會采取相應的手段進行隔離或查殺，在防護病毒方面起到了非常大的作用。防病毒網(wǎng)關也通常被稱作UTM（統(tǒng)一威脅管理），目前比較有名的反病毒網(wǎng)關為McAfee公司的Web Gateway（也稱MWG）和趨勢科技的IWSA，這兩種產(chǎn)品均采用經(jīng)過優(yōu)化的linux內(nèi)核。其中McAfee Web Gateway還支持https等加密流量的惡意代碼檢測，并支持URL過濾、應用控制、以及對互聯(lián)網(wǎng)的使用行為進行統(tǒng)計等功能，性能和功能居于業(yè)界領導地位。網(wǎng)關在應用網(wǎng)絡的七層協(xié)議：OSI是一個開放性的通行系統(tǒng)互連參考模型，他是一個定義的非常好的協(xié)議規(guī)范。OSI模型有7層結構，每層都可以有幾個子層。下面我簡單的介紹一下這7層及其功能。OSI的7層從上到下的分布圖形如下圖所示：其中高層，即7、6、5、4層定義了應用程序的功能，下面3層，即3、2、1層主要面向通過網(wǎng)絡的端到端的數(shù)據(jù)流。目前的安全網(wǎng)關在應用層和網(wǎng)絡層上面都有防火墻的身影，在第三層上面還能看到VPN作用。防毒墻這種安全網(wǎng)關作用在第二層。根據(jù)七層的級別限制，高等級協(xié)議能夠掌管低等級協(xié)議的原則，安全網(wǎng)關的發(fā)展正在走向高等級協(xié)議的路線。網(wǎng)關與路由器的區(qū)別：網(wǎng)關是訪問路由器的IP，其他的電腦必須和網(wǎng)關一個IP段才能訪問路由器，比如說路由器的IP是（這個就是網(wǎng)關）也是進路由器必須的地址，其他的主機也必須是192.168.0.X（2254之間任意一個數(shù)字）這樣才能訪問路由器也就是說這樣才能上網(wǎng)，電腦上的網(wǎng)關地址就要填寫。3.2 防病毒網(wǎng)關的功能特點3.2.1 智能接入，完美可靠產(chǎn)品支持ADSL、光纖等多種方式寬帶接入方案，實現(xiàn)了靈活擴展帶寬和廉價接入。通過路由、NAT、多鏈路復用及檢測等功能為企業(yè)解決靈活擴展帶寬和廉價接入的接入方案。3.2.2 健康網(wǎng)絡，應用安全產(chǎn)品通過自身具有的防火墻、防病毒、入侵檢測、用戶接入主動認證等功能，為企業(yè)提供全方位的局域網(wǎng)接入安全管理方案。通過自身具有的DHCP服務器、ARP防火墻、DDNS等功能為企業(yè)提供全方位的局域網(wǎng)管理方案。3.2.3 移動辦公，快速安全產(chǎn)品中帶有的SSLVPN、IPSEC、PPTP、L2TP等VPN功能，能夠讓用戶通過一鍵式操作，方便快捷的建立價格低廉的廣域網(wǎng)上專用網(wǎng)絡，為企業(yè)提供廣域網(wǎng)安全業(yè)務傳輸通道，便利的實現(xiàn)了企業(yè)總部與移動工作人員、分公司、合作伙伴、產(chǎn)品供應商、客戶間的連接，提高與分公司、客戶、供應商和合作伙伴開展業(yè)務的能力。3.2.4 抑制帶寬濫用，保障關鍵業(yè)務動態(tài)智能帶寬管理功能，只需一次性設置，自動壓抑占用帶寬用戶，輕松解決BT、P2P及視頻影片下載等占用帶寬問題。3.3 冠群金辰 KSG-V100 防病毒網(wǎng)關SMTP性能：支持HTTP性能：支持POP3性能：支持POP3過濾機柜種類：1U機架3.3.1 設備參數(shù)KILL 過濾網(wǎng)關-防毒墻KSG-V100硬件參數(shù)機柜種類1U機架其他性能網(wǎng)絡接口210/100-TX,210/100/1000-TXSMTP性能支持HTTP性能支持POP3性能支持POP3過濾容錯性有電源220V主要功能KILL過濾網(wǎng)關-防毒墻（KSG-V）定位于網(wǎng)絡病毒過濾網(wǎng)關，提供全面的網(wǎng)絡病毒防御。KSG-V產(chǎn)品面向企業(yè)級用戶，包括政府、金融、電信、教育、企業(yè)等網(wǎng)絡用戶4 殺毒軟件產(chǎn)品選型 冠群金辰KILL4.1 產(chǎn)品簡介和概述KILL網(wǎng)絡防病毒系統(tǒng)（簡稱KILL）是冠群金辰公司的企業(yè)級網(wǎng)絡防病毒軟件，可全面查殺病毒、蠕蟲、木馬、間諜軟件等惡意代碼。KILL通過積極防御的保護措施和強大的管理特性，能夠在惡意代碼進入網(wǎng)絡前及時阻止并刪除它們，從而減少系統(tǒng)異常、數(shù)據(jù)損壞或失竊帶來的風險，保障業(yè)務連續(xù)性。 KILL同步支持Windows系統(tǒng)的各個版本(含64位)，全球首款通過西海岸實驗室Vista兼容認證，并且連年獲得病毒公告牌VB100、西海岸實驗室、ICSA實驗室等機構檢測認證，是國際領先的防病毒產(chǎn)品。管理方式 B/S開發(fā)架構，可通過WEB瀏覽器管理服務器及客戶端，多種模塊 支持獨立的防病毒、防間諜模塊，并可通過管理服務器統(tǒng)一管理。4.2 產(chǎn)品特點綜合防御病毒、蠕蟲、木馬、間諜軟件，幫助企業(yè)級用戶應對最廣泛的安全威脅。專業(yè)網(wǎng)管技術，支持集中管理、多級分布式管理，單個服務器最多可管理10萬個客戶端?；谕④浽创a級的合作，合理調度Windows資源，CPU、內(nèi)存消耗低，運行速度快。支持思科的NAC（網(wǎng)絡準入控制）和微軟的NAP（網(wǎng)絡訪問保護）特征碼升級嚴格校驗，確保兼容性，避免其它殺毒軟件因升級造成的系統(tǒng)故障。全球專業(yè)研究小組724小時監(jiān)視最新安全動態(tài)，幫助用戶應對最新安全威脅。4.3 主要功能深入查殺病毒、蠕蟲、木馬、惡意java/ActiveX/cookie、宏病毒等，保護系統(tǒng)和數(shù)據(jù)安全掃描引導區(qū)、內(nèi)存、注冊表、服務/進程、進出文件、目錄、壓縮文件、網(wǎng)頁代碼、電子郵件等提供實時監(jiān)視、人工掃描、作業(yè)調度掃描等多種檢查方式，并可主動設定CPU使用級別提供清除病毒、刪除文件、報告、重命名、隔離、還原等多種處理方式啟發(fā)式掃描方式可發(fā)現(xiàn)最新疑似病毒和病毒變種特征庫每日自動更新，系統(tǒng)組件和補丁程序自動更新 防間諜軟件KILL-增強版內(nèi)置了業(yè)界最全面的間諜軟件庫，具有強大的反間諜軟件能力發(fā)現(xiàn)并清除間諜軟件、后門程序、黑客工具、擊鍵記錄器、跟蹤cookie、瀏覽器劫持、廣告軟件、可疑文件等，防止個人身份信息、財務數(shù)據(jù)、網(wǎng)絡訪問習慣等信息失竊掃描內(nèi)存、注冊表、服務/進程、帳戶文件、進出文件、目錄、壓縮文件、java/ActiveX/cookie等提供實時監(jiān)視、人工掃描、作業(yè)調度掃描等多種檢查方式，并可主動設定CPU使用級別提供對間諜軟件清除、報告、隔離、還原的處理方式特征庫每日自動更新，系統(tǒng)組件和補丁程序自動更新先進的網(wǎng)絡化管理 基于Web方式的專業(yè)網(wǎng)管技術，實現(xiàn)集中監(jiān)控、強制掃描、集中日志和報表分析處理支持跨網(wǎng)絡的分層和分組管理，自動發(fā)現(xiàn)子網(wǎng)計算機、遠程計算機的信息和安裝KILL的情況 支持本地安裝、登錄腳本安裝、遠程推送安裝、無人值守安裝、軟件分發(fā)等多種安裝方式可定義和分發(fā)實時掃描、作業(yè)調度、郵件處理、特征碼分發(fā)等策略，策略鎖定時可防客戶端修改支持本地報警、郵件通知、NT事件日志、SNMP、報警轉發(fā)等多種報警方式 提供完整的掃描日志和檢測報告，內(nèi)置近百種不同類型的統(tǒng)計分析報告，圖文并茂，易于掌握。要求操作系統(tǒng)KILL代理（客戶端）- Pentium 150 MHz +； 64MB硬盤空間； 512MB內(nèi)存- Windows NT 4.0, SP6A+- Windows 2000- Windows Server 2003 (32位; 64位-Intel/AMD)- Windows XP Professional (32位; 64位-Intel/AMD)- Windows Vista Desktop (32位) KILL服務器（管理控制臺）- Pentium 4/2.6 GHz+； 10GB硬盤空間； 1GB內(nèi)存- Windows NT 4.0, SP6A+- Windows 2000 Server- Windows 2003 Server- Windows XP Professional- Windows 2000 Workstation- Windows Vista OS 群件系統(tǒng)- Microsoft Exchange 2000/2003以上- Lotus Notes/Domino 4.6.2以上安裝平臺 支持多種操作系統(tǒng)平臺，包括：WindowsNT/2000/XP/2003/Vista、Unix、Linux等32位及64位操作系統(tǒng)。郵件插件 支持群件系統(tǒng)Lotus Notes和MS Exchange郵件服務器的實時監(jiān)控和查殺毒。安裝方式 獨立的遠程安裝工具，支持本地安裝、登錄腳本安裝、遠程推送安裝、UNC無人值守安裝、軟件分發(fā)等多種安裝方式。系統(tǒng)實時保障 管理服務器和客戶端安裝后系統(tǒng)不需要重新啟動，病毒查殺 支持對病毒、蠕蟲、木馬等惡意代碼的綜合防范， 支持計劃掃描、實時監(jiān)控、按需掃描等多種防護方式， 掃描引導區(qū)、內(nèi)存、注冊表、服務/進程、進出文件、目錄、壓縮文件、網(wǎng)頁代碼、utlook/foxmail等郵件客戶端和WEB郵箱（如：新浪、搜狐等）可進行病毒實時防護功能。處理方式 支持對染毒文件進行實時查殺、刪除文件、重命名、只報告等多種處理方式，清除文件前可進行備份，對不能處理的病毒文件進行隔離。安全聯(lián)動 支持思科的NAC（網(wǎng)絡準入控制）和微軟的NAP（網(wǎng)絡訪問保護），更新方式 支持特征代碼文件多種升級方式：重新分發(fā)服務器、FTP、UNC、HTTP方式、網(wǎng)絡共享目錄方式、本地路徑等。規(guī)則統(tǒng)一分發(fā)：能實現(xiàn)總部對分支機構進行規(guī)則統(tǒng)一分發(fā)制定統(tǒng)一策略，以提高管理效率。特征庫統(tǒng)一升級：能實現(xiàn)總部對分支機構防病毒軟件特征庫的統(tǒng)一升級。130個PC用戶，20服務器端。5 準入、補丁系統(tǒng) 北信源5.1 產(chǎn)品背景 近些年來，蠕蟲病毒和木馬病毒的頻繁爆發(fā)給全球網(wǎng)絡運行乃至經(jīng)濟都造成了嚴重影響，之所以這些蠕蟲能造成如此危害，是因為利用了操作系統(tǒng)或者應用程序的漏洞。補丁的安裝普遍會遇到以下的問題：1)普通用戶技術知識水平有限，造成了計算機系統(tǒng)漏洞經(jīng)常不能得到及時的修補，甚至長期不修補；2)網(wǎng)絡維護人員為每臺機器安裝補丁耗時巨大；3)物理隔離網(wǎng)絡用戶必須使用移動存儲設備從外網(wǎng)將補丁導入并安裝，麻煩且?guī)硇畔⑿孤┖筒《緜魅氲娘L險；4)每個終端補丁安裝均從外網(wǎng)下載補丁造成網(wǎng)絡資源消耗過大；5)用戶隨意下載補丁導致補丁來源不統(tǒng)一帶來的風險。 消除漏洞的根本辦法就是安裝軟件補丁，每一次大規(guī)模蠕蟲病毒的爆發(fā)，都提醒人們要居安思危，打好補丁，做好防范工作補丁越來越成為安全管理的一個重要環(huán)節(jié)。黑客技術的不斷變化和發(fā)展，留給管理員的時間將會越來越少，在最短的時間內(nèi)安裝補丁將會極大地保護網(wǎng)絡和其所承載的機密，同時也可以使更多的用戶免受蠕蟲的侵襲。對于機器眾多的用戶，繁雜的手工補丁安裝已經(jīng)遠遠不能適應大規(guī)模網(wǎng)絡的管理，必須依靠新的技術手段來實現(xiàn)對操作系統(tǒng)的補丁自動修補。 因此，如何利用有效技術手段來及時、持續(xù)、穩(wěn)定的安裝計算機補丁，是所有網(wǎng)絡安全管理人員、信息安全決策人員亟需解決的問題。系統(tǒng)功能概述北信源補丁分發(fā)管理系統(tǒng)是北信源公司在為國家各大部委機關、各大行業(yè)網(wǎng)絡用戶進行病毒安全服務、總結安全運營保障經(jīng)驗的基礎上，分析當前網(wǎng)絡客戶端實際安全管理要求研發(fā)的，系統(tǒng)支持推、拉兩種方式自動下載補丁，同時，系統(tǒng)本身也可作為違規(guī)聯(lián)網(wǎng)內(nèi)網(wǎng)安全管理系統(tǒng)的增強模塊綜合使用。整個補丁管理運行平臺構架是：通過北信源外網(wǎng)補丁下載服務器及時從補丁廠商網(wǎng)站獲取最新補??；補丁