網(wǎng)絡安全及安全技術(shù)的發(fā)展趨勢

CISP＆TCSP哈分公司技術(shù)總監(jiān)：李文學北京天融信網(wǎng)絡安全有限公司網(wǎng)絡安全及安全技術(shù)的發(fā)展趨勢網(wǎng)絡安全的發(fā)展趨勢網(wǎng)絡安全技術(shù)發(fā)展趨勢目錄網(wǎng)絡安全發(fā)展的回顧網(wǎng)絡安全經(jīng)過了二十多年的發(fā)展，已經(jīng)發(fā)展成為一個跨多門學科的綜合性科學，它包括：通信技術(shù)、網(wǎng)絡技術(shù)、計算機軟件、硬件設計技術(shù)、密碼學、網(wǎng)絡安全與計算機安全技術(shù)等。在理論上，網(wǎng)絡安全是建立在密碼學以及網(wǎng)絡安全協(xié)議的基礎(chǔ)上的。密碼學是網(wǎng)絡安全的核心，利用密碼技術(shù)對信息進行加密傳輸、加密存儲、數(shù)據(jù)完整性鑒別、用戶身份鑒別等，比傳統(tǒng)意義上簡單的存取控制和授權(quán)等技術(shù)更可靠。加密算法是一些公式和法則，它規(guī)定了明文和密文之間的變換方法。網(wǎng)絡安全發(fā)展的回顧安全協(xié)議方面，眾多標準化組織制定了許多標準和草案，尤其是以RFC文稿出現(xiàn)的協(xié)議標準更是成了網(wǎng)絡安全設備的基礎(chǔ)。舉例說，VPN技術(shù)就是建立在安全隧道基礎(chǔ)上的，點對點的隧道協(xié)議（PPTP：RFC2637）和第2層隧道協(xié)議（L2TP：RFC2661）提供遠程PPP客戶到LAN的安全隧道，因此，網(wǎng)絡安全要不斷發(fā)展和開發(fā)滿足新的需求的安全協(xié)議。

談及網(wǎng)絡安全技術(shù)，就必須提到網(wǎng)絡安全技術(shù)的三大主流—防火墻技術(shù)、入侵檢測技術(shù)以及防病毒技術(shù)。

任何一個用戶，在剛剛開始面對安全問題的時候，考慮的往往就是這“老三樣”。可以說，這三種網(wǎng)絡安全技術(shù)為整個網(wǎng)絡安全建設起到了功不可沒的作用，但是傳統(tǒng)的安全“老三樣”或者說是以其為主的安全產(chǎn)品正面臨著許多新的問題。

首先，從用戶角度來看，雖然系統(tǒng)中安裝了防火墻，但是仍避免不了蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務的侵擾。

其次，未經(jīng)大規(guī)模部署的入侵檢測單個產(chǎn)品在提前預警方面存在著先天的不足，且在精確定位和全局管理方面還有很大的空間。

網(wǎng)絡安全發(fā)展的回顧

再次,雖然很多用戶在單機、終端上都安裝了防病毒產(chǎn)品，但是內(nèi)網(wǎng)的安全并不僅僅是防病毒的問題，還包括安全策略的執(zhí)行、外來非法侵入、補丁管理以及合規(guī)管理等方面。所以說，雖然“老三樣”已經(jīng)立下了赫赫戰(zhàn)功，且仍然發(fā)揮著重要作用，但是用戶已漸漸感覺到其不足之處。其次，從網(wǎng)絡安全的整體技術(shù)框架來看，網(wǎng)絡安全技術(shù)同樣面臨著很大的問題，“老三樣”基本上還是針對數(shù)據(jù)、單個系統(tǒng)、軟硬件以及程序本身安全的保障。應用層面的安全，需要將側(cè)重點集中在信息語義范疇的“內(nèi)容”和網(wǎng)絡虛擬世界的“行為”上。網(wǎng)絡安全發(fā)展的回顧

傳統(tǒng)的信息安全管理基本上還處在一種靜態(tài)的、局部的、少數(shù)人負責的、突擊式、事后糾正式的管理方式，而安全建設停留在靜態(tài)的防護技術(shù)上，更多采用的是以點概面和就事論事的方法。導致的結(jié)果是不能從根本上避免、降低各類風險，也不能降低信息安全故障導致的綜合損失。網(wǎng)絡安全發(fā)展的回顧（管理和建設）防病毒例：1、網(wǎng)絡出現(xiàn)病毒防火墻、入侵檢測等2、網(wǎng)絡出現(xiàn)攻擊審計系統(tǒng)、管理系統(tǒng)3、管理問題出現(xiàn)投資不小但網(wǎng)絡安全狀況依然不理想問題：網(wǎng)絡安全發(fā)展的回顧（管理和建設）例：2、防火墻、入侵監(jiān)測等網(wǎng)絡出現(xiàn)攻擊3、審計系統(tǒng)、管理系統(tǒng)管理問題出現(xiàn)投資不小但網(wǎng)絡安全狀況依然不理想問題：基本解決病毒問題（病毒對網(wǎng)絡影響?。┗窘鉀Q攻擊問題（攻擊對網(wǎng)絡影響小）基本解決管理問題（管理對網(wǎng)絡影響?。?、防病毒系統(tǒng)網(wǎng)絡出現(xiàn)病毒4、新的復雜的安全事件出現(xiàn)現(xiàn)有的防護系統(tǒng)很難解決網(wǎng)絡安全發(fā)展的回顧（管理和建設）關(guān)于網(wǎng)絡安全的一些觀念誤區(qū)網(wǎng)絡安全是一次性投資可以完成的.網(wǎng)絡安全純粹是技術(shù)人員的工作，重視技術(shù)，輕視管理網(wǎng)絡安全只要買一批好產(chǎn)品就能完成，重視產(chǎn)品，輕視人為因素；應該由自己單位的技術(shù)人員全部完成重視外部安全，輕視內(nèi)部安全；重視局部，忽略整體；靜態(tài)不變；系統(tǒng)工程攻防技術(shù)是在對抗中不斷發(fā)展的組織(制訂制度),技術(shù),管理(執(zhí)行制度)根據(jù)情況,大的趨勢是社會分工越來越細專業(yè)安全服務公司專業(yè)安全服務的外包隨著信息息系統(tǒng)的的開放化化、網(wǎng)絡絡化、復復雜化發(fā)發(fā)展，信信息安全全建設不不再局限限于單個的技術(shù)術(shù)產(chǎn)品，，而是需需要綜合合考慮的的一個體體系。這這個體系系是一個個動態(tài)的的、協(xié)調(diào)調(diào)聯(lián)動的、系系統(tǒng)化、、程序化化和文件件化的安安全防護護體系。。而這個個體系體體現(xiàn)預防防控制為為主的思想，，強調(diào)全全過程和和動態(tài)控控制，本本著控制制費用與與風險平平衡的原原則合理理選擇安安全控制方式式保護組組織所擁擁有的關(guān)關(guān)鍵信息息資產(chǎn)，，使信息息風險的的發(fā)生概概率和結(jié)結(jié)果降低低到可接受收收水平，，確保信信息的保保密性、、完整性性和可用用性，保保持組織織業(yè)務運運作的持持續(xù)性。。網(wǎng)絡安全全發(fā)展的的趨勢什么是安安全新的安全全定義及時的檢檢測就是是安全及時的響響應就是是安全PtDtPt:ProtectiontimePt>+RtDt:DetectiontimeRt:ResponsetimeDtRt安全＝及及時的檢檢測和處處理我們稱之之為防護護時間Pt：黑黑客在到到達攻擊擊目標之之前需要要攻破很很多的設設備(路路由器，，交換機機)、系系統(tǒng)（NT，UNIX）和放放火墻等等障礙，，在黑客客達到目目標之前前的時間間；在黑客攻攻擊過程程中，我我們檢測測到他的的活動的的所用時時間稱之之為Dt，檢測測到黑客客的行為為后，我我們需要要作出響響應，這這段時間間稱之為為Rt.假如能做做到Dt+Rt<Pt,那么么我們可可以說我我們的目目標系統(tǒng)統(tǒng)是安全全的PtDtRtDtPt>+Rt網(wǎng)絡安全全框架體體系從兩大角角度考慮慮：網(wǎng)絡安全全管理框框架網(wǎng)絡安全全技術(shù)框框架網(wǎng)絡安全全框架體體系網(wǎng)絡安全全管理體體系網(wǎng)絡安全全技術(shù)體體系網(wǎng)絡安全全組織網(wǎng)絡安全全策略網(wǎng)絡安全全保障機機制管理和維維護隊伍技術(shù)支撐撐隊伍應急響應應隊伍綱領(lǐng)性策策略管理規(guī)章章制度操作流程程和規(guī)程程應急響應應風險管理理安全預警警安全培訓訓區(qū)域邊界界保護網(wǎng)絡內(nèi)部部環(huán)境保保護網(wǎng)絡基礎(chǔ)礎(chǔ)設施網(wǎng)絡安全全支持設設施防火墻技技術(shù)入侵檢測測技術(shù)日志和備備份技術(shù)術(shù)防病毒技技術(shù)評估、修修補、加加固防源地址址欺騙路由安全全安全網(wǎng)管管反垃圾郵郵件密鑰管理理設施檢測和響響應設施施網(wǎng)絡安全全管理體體系框架架建立完善善的安全全組織結(jié)結(jié)構(gòu)建立層次次化的網(wǎng)網(wǎng)絡安全全策略包括綱領(lǐng)領(lǐng)性策略略各種安全全制度、、安全規(guī)規(guī)范和操操作流程程應用各種種安全機機制包括網(wǎng)絡絡安全預預警機制制安全風險險識別和和控制機機制應急響應應機制安全培訓訓機制網(wǎng)絡安全全技術(shù)體體系框架架區(qū)域邊界界保護網(wǎng)絡內(nèi)部部環(huán)境保保護網(wǎng)絡基礎(chǔ)礎(chǔ)設施保保護網(wǎng)絡安全全支持設設施網(wǎng)絡安全全技術(shù)體體系框架架－區(qū)域域邊界保保護目標：著著重對重重要的安安全區(qū)域域進行保保護，，包括支支撐系統(tǒng)統(tǒng)業(yè)務系系統(tǒng)、管管理系統(tǒng)統(tǒng)，如認認證和計計費系統(tǒng)統(tǒng)、域名名服務系系統(tǒng)、網(wǎng)網(wǎng)管中心心、IDC系統(tǒng)統(tǒng)等。常用的技技術(shù):防火墻技技術(shù)入侵檢測測技術(shù)。。其他防護護技術(shù)產(chǎn)產(chǎn)品網(wǎng)絡安全全技術(shù)體體系框架架－網(wǎng)絡絡內(nèi)部環(huán)環(huán)境保護護目標：減少內(nèi)部部環(huán)境中中存在的的安全漏漏洞。防止計算算機病毒毒在內(nèi)部部環(huán)境的的傳播。。提高對網(wǎng)網(wǎng)絡攻擊擊的發(fā)現(xiàn)現(xiàn)能力以以及在安安全事件件發(fā)生后后的跟蹤蹤和追查查能力。。提高網(wǎng)絡絡安全事事件發(fā)生生后的恢恢復能力力。對應保護護技術(shù)系統(tǒng)安全全加固本地安全全掃描防病毒日志與備備份技術(shù)術(shù)網(wǎng)絡安全全技術(shù)體體系框架架－網(wǎng)絡絡基礎(chǔ)設設施目標：提高網(wǎng)絡絡拓撲的的安全可可靠性。。提高網(wǎng)絡絡設備特特別是骨骨干設備備的安全全性。保證網(wǎng)絡絡設備遠遠程管理理的安全全性。保護技術(shù)術(shù)網(wǎng)絡基礎(chǔ)礎(chǔ)實施的的設備、、物理鏈鏈路、路路由的冗冗余和備備份。網(wǎng)絡設備備的安全全設置、、安全掃掃描與加加固。網(wǎng)絡設備備遠程安安全管理理：SSH、多多因素認認證密碼碼系統(tǒng)（（如RSA令牌牌）、VPNSOC技技術(shù)網(wǎng)絡安全全技術(shù)體體系框架架－網(wǎng)絡絡安全支支持網(wǎng)絡安全全支持目目標為網(wǎng)絡用用戶、設設備和應應用系統(tǒng)統(tǒng)提供安安全服務務密鑰管理理服務。。網(wǎng)絡安全全檢測服服務。網(wǎng)絡安全全響應服服務。網(wǎng)絡安全全支持設設施建設設PKI技技術(shù)，SOC技技術(shù)網(wǎng)絡流量量異常檢檢測技術(shù)術(shù)網(wǎng)絡安全全事件統(tǒng)統(tǒng)一收集集安全事事件的關(guān)關(guān)聯(lián)分析析網(wǎng)絡安全全告警和和響應TelnetSMTPDNSFTPUDPTCPIP以太網(wǎng)無線網(wǎng)絡SATNETARPNETTCP/IP模模型與網(wǎng)網(wǎng)絡安全全應用程序攻擊拒絕服務攻擊數(shù)據(jù)監(jiān)聽和竊取硬件設備破壞應用層：：應用程程序和操操作系統(tǒng)統(tǒng)的攻擊擊與破壞壞等傳輸層：：拒絕服服務攻擊擊和數(shù)據(jù)據(jù)竊聽風風險等網(wǎng)絡層：：拒絕服服務攻擊擊，路由由欺騙等等硬件設備備與數(shù)據(jù)據(jù)鏈路：：物理竊竊聽與破破壞等安全技術(shù)術(shù)體系框框架1.安全全管理安全管理理是確保保網(wǎng)絡信信息安全全的重要要環(huán)節(jié)安全管理理包括對對信息系系統(tǒng)的所所有部件件和整個個生命周周期的安安全管理理，涵蓋蓋上述所所有層面面，管理內(nèi)容容應包括括組織和人人員、工工程管理理、運行行管理、、等級保保護管理理、應急急處理管管理和密密碼管理理等方面面。安全工程程活動的的生命周周期安全需求求建立安全系統(tǒng)統(tǒng)規(guī)劃安全系統(tǒng)統(tǒng)確認安全系統(tǒng)統(tǒng)實施安全需求求驗證PDCA循環(huán)：Plan—Do—Check—Act計劃實施檢查改進PDACPDCA循環(huán)PDCA循環(huán)（續(xù)續(xù)）又稱“戴戴明環(huán)””,PDCA循循環(huán)是能能使任何何一項活活動有效效進行的的工作程程序:P：計劃劃，方針針和目標標的確定定以及活活動計劃劃的制定定；D：執(zhí)行行，具體體運作，，實現(xiàn)計計劃中的的內(nèi)容；；C：檢查查，總結(jié)結(jié)執(zhí)行計計劃的結(jié)結(jié)果，分分清哪些些對了，，哪些錯錯了，明明確效果果，找出出問題；；A：改進進（或處處理）,對總結(jié)結(jié)檢查的的結(jié)果進進行處理理，成功功的經(jīng)驗驗加以肯肯定，并并予以標標準化，，或制定定作業(yè)指指導書，，便于以以后工作作時遵循循；對于于失敗的的教訓也也要總結(jié)結(jié)，以免免重現(xiàn)。。對于沒有有解決的的問題，，應提給給下一個個PDCA循環(huán)環(huán)中去解解決。PDCA循環(huán)的特點一一按順序進進行，它它靠組織織的力量量來推動動，像車車輪一樣樣向前進進，周而而復始，，不斷循循環(huán)PDCA循環(huán)（（續(xù)））PDCA循循環(huán)的特點點二組織中中的每每個部部分，，甚至至個人人，均均有一一個PDCA循循環(huán)，，大環(huán)環(huán)套小小環(huán)，，一層層一層層地解解決問問題。。PDCA循環(huán)（（續(xù)））PDCA循循環(huán)的特點點三每通過過一次次PDCA循循環(huán)，，都要要進行行總結(jié)結(jié)，提提出新新目標標，再再進行行第二二次PDCA循循環(huán)環(huán)。90909090改進執(zhí)行計劃檢查CADP達到新的水平改進(修訂標準)維持原有水平90909090改進執(zhí)行計劃檢查CADPPDCA循環(huán)（（續(xù)））總體解解決方方案－－TopSec等級級保護護體系系遵照國國家等等級保保護制制度、、滿足足客戶戶實際際需求求，采用用等級級化、、體系系化相相結(jié)合合的方方法，，為客客戶建建設一一套覆覆蓋全全面、、重點點突出出、節(jié)節(jié)約成成本、、持續(xù)續(xù)運行行的安安全保保障體體系。。實施后后狀態(tài)態(tài)：一一套持持續(xù)運運行、、涵蓋蓋所有有安全全內(nèi)容容的安安全保保障體體系，，是企企業(yè)或或組織織安全全工作作所追追求的的最終終目標標特質(zhì)：：等級化化：突突出重重點，，節(jié)省省成本本，滿滿足不不同行行業(yè)、、不同同發(fā)展展階段段、不不同層層次的的要求求整體性性：結(jié)結(jié)構(gòu)化化，內(nèi)內(nèi)容全全面，，可持持續(xù)發(fā)發(fā)展和和完善善，持持續(xù)運運行針對性性：針針對實實際情情況，，符合合業(yè)務務特性性和發(fā)發(fā)展戰(zhàn)戰(zhàn)略等級保保護體體系安安全措措施框框架安全策略體系安全技術(shù)體系身份認證加密加固審核跟蹤訪問控制防惡意代碼監(jiān)控備份恢復管理制度組織職責技術(shù)標準規(guī)范信息安全政策安全組織教育培訓人員職責人員安全安全組織體系安全體系建設項目建設安全管理安全風險管理與控制安全運行與維護安全運行體系安全管理運行中心技術(shù)體體系安全組組織設設置和和崗位位職責責安全教教育、、培訓訓與資資質(zhì)認認證組織體體系安全策策略體體系設設計安全策策略與與流程程推廣廣實施施策略體體系項目建建設的的安全全管理理安全風風險管管理與與控制制保護對對象框框架內(nèi)部與與第三三方人人員安安全管管理日常安安全運運行與與維護護安全體體系推推廣與與落實實運作體體系全程全網(wǎng)監(jiān)控和審計平臺統(tǒng)一監(jiān)控與審計管理平臺終端管理和防病毒集中管理平臺安全域和網(wǎng)絡訪問控制平臺終端管理和防病毒集中管理平臺防病毒、補丁和終端管理平臺設備安全配置與加固基礎(chǔ)設施安全第三方統(tǒng)一安全接入平臺應用加密平臺第三方統(tǒng)一安全接入平臺統(tǒng)一鑒別認證平臺數(shù)據(jù)備份與冗災平臺統(tǒng)一身份認證與授權(quán)管理平臺應用系統(tǒng)安全增強應用安全等級保保護體體系的的實現(xiàn)現(xiàn)安全組組織與與職責責設計計安全培培訓與與資質(zhì)質(zhì)認證證安全策策略體體系與與流程程設計計網(wǎng)絡與與應用用加密密服務務平臺臺業(yè)務應應用系系統(tǒng)安安全改改造數(shù)據(jù)備備份與與冗災災平臺臺統(tǒng)一身份認認證與授權(quán)權(quán)管理平臺臺設備安全配配置與加固固安全域劃分分與邊界訪訪問控制平平臺安全管理運運行中心安全策略與與流程推廣廣實施安全體系推推廣與常年年咨詢防病毒、補補丁和終端端管理平臺臺統(tǒng)一安全監(jiān)監(jiān)控與審計計平臺安全技術(shù)體體系建設安全組織體體系建設安全策略體體系建設安全運行體體系建設安全規(guī)劃安全調(diào)查與與風險評估估等級保護定定級咨詢等級保護體體系設計方案設計等級保護測測評支持與與咨詢定級階段規(guī)劃階段實施與運維階段常年安全運運維外包服服務安全托管監(jiān)監(jiān)控與管家家服務等級保護階階段天融信提供供的安全服服務與解決決方案網(wǎng)絡安全的的發(fā)展趨勢勢網(wǎng)絡安全技技術(shù)發(fā)展趨趨勢目錄錄防火墻技術(shù)術(shù)發(fā)展趨勢勢速度對安全全的挑戰(zhàn)國際安全技技術(shù)格局實力保證創(chuàng)創(chuàng)“芯”小芯片，大大內(nèi)涵獵豹出世宣講膠片目目錄網(wǎng)絡速度vs摩爾定定律網(wǎng)絡發(fā)展速速度遠大于于CPU速速度0100M100G100T19901995200020052010網(wǎng)速CPU1990－－2010年，網(wǎng)速速和CPU處理能力力對比高性能網(wǎng)絡絡防火墻越越來越迫切切用戶到底缺缺什么高性能防火火墻只能用用國外這幾幾家？用了防火墻墻，沒攻擊擊了，可是是網(wǎng)速也慢慢了網(wǎng)絡延遲太太大，視頻頻會議沒法法進行我們要的是是又有安全全性，又穩(wěn)穩(wěn)定的產(chǎn)品品速度對安全全的挑戰(zhàn)國際安全技技術(shù)格局實力保證創(chuàng)創(chuàng)“芯”小芯片，大大內(nèi)涵獵豹出世宣講膠片目目錄安全產(chǎn)業(yè)技技術(shù)格局ASICNP構(gòu)架X86、通通用CPU構(gòu)架只有世界級前幾名安全廠家擁有ASIC自有產(chǎn)權(quán)國內(nèi)前幾名廠商，選擇了NP構(gòu)架的防火墻國內(nèi)以百計的小廠商依舊采用X86構(gòu)架防火墻天融信技術(shù)定位哪個層面？

TopASICTM

PowerNP4GS3IXP2400技術(shù)架構(gòu)ASICPowerPCBasedNPXscaleBasedNP處理層次2－7層的數(shù)據(jù)和安全處理2-4層數(shù)據(jù)轉(zhuǎn)發(fā)2-4層數(shù)據(jù)轉(zhuǎn)發(fā)網(wǎng)絡加速強強強安全加速強弱弱應用層過濾強弱弱廠商性質(zhì)中國自主美國(IBM賣給Hifn)美國(Intel賣給Marvell)下代產(chǎn)品TopASICTMII無前途不明TopASICvsNP分析在安全領(lǐng)域域，NP將將何去何從從？穩(wěn)定的性能能：無策略略轉(zhuǎn)發(fā)對比比無策略路由由轉(zhuǎn)發(fā)ASIC性性能千兆100％NP性能千千兆100％X86小包包千兆無法法達到線速速ASICNPX86穩(wěn)定的性能能：模擬攻攻擊模擬攻擊下下ASIC性性能千兆100％NP在小包包下性能降降低X86性能能快速下降降A(chǔ)SICNPX86構(gòu)架對比：：性能－功功能ASICTopASICx86CPU性能安全功能嵌入式CPU高低高NP性能-功能能：綜合對對比TopASICTM最佳構(gòu)架對比：安安全－穩(wěn)定ASICTopASICx86CPU穩(wěn)定性安全性嵌入式CPU低高NP高安全性-穩(wěn)定定性：綜合ASIC或者者TopASICTM最佳安全加速技術(shù)術(shù)的演進NP架構(gòu)通訊加速ASIC架構(gòu)通訊加速安全加速性能時間通用平臺，無無網(wǎng)絡、安全全加速網(wǎng)絡處理器，，對通訊專項項加速定制安全芯片片，對通訊和和安全處理都都加速x86架構(gòu)TopASICTM特點……NAT交換七層過濾VPN路由QoS狀態(tài)

核檢測可編程模塊TopASICTM特性芯片內(nèi)置多模模塊，全功能能硬加速預留編程空間間，持續(xù)升級級線速轉(zhuǎn)發(fā)，超超低時延，無無瓶頸防火墻墻TopASICTM芯片內(nèi)部結(jié)構(gòu)構(gòu)GMIIGMIIMII×8rsvdrsvd…GMIIGMIIJTAGCFGwithPROMPCIInterfaceXCF32PConfigConnectorEEPROMPHYPHYPHY×8PCIData[63:0]Ctl&ClkSignalAddr[12:0]SDRAMControllerSRAMPDMANATVPNQoSSLUSwitchRouteParserFilterL2EQMUCDURegExrsvdrsvdrsvdrsvdI2CInterface管理通道數(shù)據(jù)通道處理流程固定單元可修改單元可編程單元TopASIC性能指標標5Gbps的的芯片轉(zhuǎn)發(fā)容容量千兆端口吞吐吐率：100％（64Byte小包包）最大并發(fā)連接接>200萬萬每秒新建連接接>30000轉(zhuǎn)發(fā)延遲<10us支持2GE端端口＋8FE端口產(chǎn)品硬件構(gòu)架架ASICCPU一級緩存二級緩存內(nèi)存FlashNVRam接口控制TAPF技術(shù)術(shù)，減少CPU干預數(shù)據(jù)據(jù)處理，報文文快速轉(zhuǎn)發(fā)大容量二級緩緩存，充分提提高性能網(wǎng)絡數(shù)據(jù)策略授權(quán)高性能CPU，動態(tài)管理理和策略授權(quán)權(quán)。完全內(nèi)容檢測測CCI19902000垃圾郵件病毒木馬蠕蟲處理能力拒絕服務攻擊擊19952005社會學攻擊1101001000完全內(nèi)容檢測測CCI深度包檢測DPI狀態(tài)檢測SI狀態(tài)檢測只檢檢查數(shù)據(jù)包的的包頭；深度包檢測可可對數(shù)據(jù)包內(nèi)內(nèi)容進行檢查查；而CCI則可可實時將網(wǎng)絡絡層數(shù)據(jù)還原原為完整的應應用層對象（（如文件、網(wǎng)網(wǎng)頁、郵件等等），并對這這些完整內(nèi)容容進行全面檢檢查，實現(xiàn)徹徹底的內(nèi)容防防護。SI——StatefulInspectionDPI—DeepPacketInspectionCCI—CompleteContentInspection多級多路負載均衡SSL全網(wǎng)接入CCICleanVPN可編程專用芯片應用還原技術(shù)黑匣子高速捕包技術(shù)TAPF轉(zhuǎn)發(fā)技術(shù)TOS內(nèi)核多層次狀態(tài)表防病毒攻擊防御漏洞掃描技術(shù)防火墻無縫穿透具有很大的未未知風險沒有辦法對操操作系統(tǒng)做更更多優(yōu)化發(fā)生安全問題題后沒辦法第第一時間解決決問題具有知識產(chǎn)權(quán)權(quán)風險安全性高充分優(yōu)化掌握所有操作作系統(tǒng)技術(shù)，，控制所有核核心技術(shù)獨立發(fā)展自己己的知識產(chǎn)權(quán)權(quán)TOS：通用操作系統(tǒng)統(tǒng)：防火墻OS系系統(tǒng)的發(fā)展廠家操作系統(tǒng)CISCOIOSNokiaIPSOJuniper（Netscreen）ScreenOsFoundryTrafficWorksIronWareNortelAlteonOSLucentTAOSTopsecTOS防火墻OS系系統(tǒng)的發(fā)展硬件：ASIC,NPU,MIPS,X86，，ARM……TopsecOS架構(gòu)構(gòu)IPSSSLVPN監(jiān)控報警管理QOSHA接入OS層基礎(chǔ)層安全引擎層AntispamIPSEC服務層健壯中心文件系統(tǒng)交換FW硬件抽象層OS核認證路由日志配置GTAAV硬件TOS應用入侵檢測技術(shù)術(shù)發(fā)展趨勢入侵檢測技術(shù)術(shù)將從簡單的的事件報警逐逐步向趨勢預預測和深入的的行為分析方方向過渡。IMS（IntrusionManagementSystem，入侵侵管理系統(tǒng)））具有大規(guī)模模部