醫(yī)院信息化安全建設(shè)項目技術(shù)體系建設(shè)方案

醫(yī)院信息化安全建設(shè)項目技術(shù)體系建設(shè)方案外網(wǎng)安全建設(shè)抗DDos攻擊：ADS抗DDos系統(tǒng)在外網(wǎng)互聯(lián)出口邊界，串聯(lián)部署抗DDos系統(tǒng)，對DDoS攻擊進行檢測、分析和阻斷。解決方案NSFOCUSADS（綠盟抗拒絕服務(wù)攻擊產(chǎn)品）——作為綠盟流量清洗產(chǎn)品系列中的關(guān)鍵組成，NSFOCUSADS提供了單臺最大240Gbps的DDoS線速防護能力。通過部署NSFOCUSADS設(shè)備，可以對網(wǎng)絡(luò)中的DDoS攻擊流量進行清洗，同時保證正常流量的訪問。NSFOCUSADS采用旁路集群模式可以實現(xiàn)T級防護容量，提高整個系統(tǒng)抵御海量DDoS攻擊的能力。NSFOCUSADS展開流量的牽引和清洗。還可以通過BGPFlowspec技術(shù)與路由器進行聯(lián)動，提高防護效率，優(yōu)化清洗方案資源調(diào)配。另外，產(chǎn)品支持硬件部署與軟件部署兩種形態(tài)，滿足不同場景和方案的建設(shè)需求。當(dāng)發(fā)生海量DDoS攻擊時，綠盟抗拒絕服務(wù)產(chǎn)品還可以通過集群部署的方式并聯(lián)在網(wǎng)絡(luò)中，當(dāng)某臺ADS設(shè)備接收到攻擊告警后，會啟動流量牽引機制，將可疑流量均衡分配到若干臺ADS上進行流量過濾。網(wǎng)絡(luò)位置較高處（如骨干網(wǎng)、城域網(wǎng)、IDC出口）的綠盟高性能清洗中心還可以和網(wǎng)絡(luò)位置較低處部署的綠盟清洗中心、串聯(lián)ADS設(shè)備或綠盟WAF產(chǎn)品進行智能聯(lián)動，從而在下層位置的DDoS攻擊流量超過鏈路帶寬而堵塞鏈路時，協(xié)助其自動化的進行大流量清洗。針對中小企業(yè)客戶業(yè)務(wù)帶寬較小，無法承載大流量攻擊的痛點，綠盟科技還提供本地防護+云端清洗的解決方案?？蛻敉ㄟ^在本地部署的ADS設(shè)備進行小流量攻擊的清洗以及精細(xì)化防護，當(dāng)攻擊流量超過帶寬負(fù)荷時，一鍵通告云端清洗中心展開防護，從高處攔截大流量攻擊，保障本地帶寬的可利用性。產(chǎn)品價值滿足等級保護的網(wǎng)絡(luò)安全規(guī)范中：應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等技術(shù)要求中國區(qū)抗DDos產(chǎn)品方案供應(yīng)商銷售份額中排名第一。重要客戶包括聯(lián)通、電信和移動，各大廣播電視臺以及主管機構(gòu)，國有四大行、城商行、國有銀行、股份銀行、證券、保險和互聯(lián)網(wǎng)金融等行業(yè)。邊界訪問控制：下一代防火墻NF在外網(wǎng)互聯(lián)出口邊界，雙機串聯(lián)部署下一代防火墻，建立起以應(yīng)用為核心的網(wǎng)絡(luò)安全策略和以內(nèi)網(wǎng)資產(chǎn)風(fēng)險識別、云端安全管理為顯著特征的全方位的安全防護體系。下一代防火墻能精確分類與辨識出包括低風(fēng)險、高風(fēng)險在內(nèi)的1200+種應(yīng)用，根據(jù)應(yīng)用不同風(fēng)險等級分別進行不同級別的安全掃描，從而及時準(zhǔn)確的識別和攔截各種威脅攻擊，保障用戶網(wǎng)絡(luò)應(yīng)用的安全性。解決方案云、管、端三大NF功能特點可以分別提供預(yù)警、防護、分析三種能力，逐級減小網(wǎng)絡(luò)出現(xiàn)安全風(fēng)險的概率，并建立事前-事中-事后這樣一條完整、循環(huán)的防護鏈條，為客戶提供全方位的安全防護。依靠內(nèi)網(wǎng)資產(chǎn)識別功能，NF可以事先發(fā)現(xiàn)并預(yù)警內(nèi)網(wǎng)潛在的安全隱患，從源頭降低安全事件發(fā)生的概率，完成安全事件的事先預(yù)警。根據(jù)預(yù)警，NF強大的防火墻和應(yīng)用防護功能，能夠?qū)崟r流量進行有效的過濾和控制，最大限度防止安全事件發(fā)生，實現(xiàn)事中防護。而在實時流量處理完畢后，管理人員仍然可以依賴于云端提供的專業(yè)日志分析功能對歷史事件進行分析總結(jié)，為后續(xù)的安全優(yōu)化提供支持，這便完成了事后分析。云端接入下一代防火墻支持一鍵接入云端功能，用戶可以7*24小時在線監(jiān)控安全服務(wù)，除基礎(chǔ)的設(shè)備狀態(tài)及資源使用情況監(jiān)控，保障設(shè)備健康運行以外，對用戶網(wǎng)絡(luò)中發(fā)生的入侵嗅探、漏洞攻擊、惡意軟件侵入、遠(yuǎn)程越權(quán)操作竊取機密信息等攻擊行為第一時間進行云端捕獲并記錄。同時，用戶亦可通過云登錄云端，對防火墻設(shè)備狀態(tài)、網(wǎng)絡(luò)實時及歷史安全事件、事件趨勢及詳細(xì)日志、報表、甚至全國其他地區(qū)的安全形勢進行查詢和跟蹤。遠(yuǎn)程運維安全解決方案堡壘機一般部署在單位網(wǎng)絡(luò)內(nèi)部，而單位內(nèi)部網(wǎng)與互聯(lián)網(wǎng)隔離，遠(yuǎn)程用戶無法直接登陸部署在單位內(nèi)部網(wǎng)的堡壘機設(shè)備進行管理。如果將堡壘機映射到互聯(lián)網(wǎng)上，雖然方便了遠(yuǎn)程用戶，但是將會受到被攻擊或入侵的風(fēng)險，如果未采用任何加密措施，還會有被監(jiān)聽的風(fēng)險。通過該功能，遠(yuǎn)程用戶使用堡壘機帳號，登錄由下一代防火墻提供的VPN，認(rèn)證成功后，可直接登錄堡壘機。智能補丁解決方案下一代防火墻與漏洞掃描系統(tǒng)共享漏洞和安全防護信息，互通有無，實現(xiàn)對無防護的高風(fēng)險漏洞和漏洞防護情況的展示，使用戶對網(wǎng)絡(luò)安全狀況一目了然，從而為用戶制定更高效網(wǎng)絡(luò)維護計劃，提供參考依據(jù)。終端安全檢查解決方案通過與防病毒管控中心軟件的配合，全面提升內(nèi)部資產(chǎn)的安全性，以及遠(yuǎn)程接入終端的安全性，從而降低病毒帶來的危害。產(chǎn)品價值滿足等級保護的網(wǎng)絡(luò)安全技術(shù)規(guī)范：應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；網(wǎng)絡(luò)入侵防范：網(wǎng)絡(luò)入侵防御系統(tǒng)NIPS在外網(wǎng)互聯(lián)出口邊界，雙機串聯(lián)部署網(wǎng)絡(luò)入侵防御系統(tǒng)，針對日趨復(fù)雜的應(yīng)用安全威脅和混合型網(wǎng)絡(luò)攻擊，準(zhǔn)確監(jiān)測網(wǎng)絡(luò)異常流量，自動應(yīng)對各層面安全隱患，第一時間將安全威脅阻隔在單位網(wǎng)絡(luò)外部，彌補了防火墻、入侵檢測等產(chǎn)品的不足，提供動態(tài)的、深度的、主動的安全防御，從智能識別、環(huán)境感知、行為分析三方面加強了對應(yīng)用協(xié)議、異常行為、惡意文件的檢測和防護，提供了一個看得見、檢得出、防得住的全新入侵防護解決方案。解決方案入侵防護實時、主動攔截黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、D.o.S等惡意流量，保護單位信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機。數(shù)據(jù)泄露防護數(shù)據(jù)泄露防護能夠基于敏感數(shù)據(jù)的外泄、文件識別、服務(wù)器非法外聯(lián)等異常行為檢測，實現(xiàn)內(nèi)網(wǎng)的數(shù)據(jù)外泄防護功能。高級威脅防護高級威脅防護通過NIPS與沙箱產(chǎn)品聯(lián)動，實現(xiàn)0day漏洞利用和惡意軟件的檢測與防御。僵尸網(wǎng)絡(luò)發(fā)現(xiàn)基于實時的信譽機制，結(jié)合單位級和全球信譽庫，可有效檢測惡意URI、僵尸網(wǎng)絡(luò)，保護用戶在訪問被植入木馬等惡意代碼的網(wǎng)站地址時不受侵害，第一時間有效攔截Web威脅，并且能及時發(fā)現(xiàn)網(wǎng)絡(luò)中可能出現(xiàn)的僵尸網(wǎng)絡(luò)主機和C&C連接。防病毒采用流掃描技術(shù)+啟發(fā)式檢測技術(shù)，檢測性能高，檢測率高；針對對全球熱點病毒，進行快速檢測，并能夠?qū)崟r阻斷。流量控制阻斷一切非授權(quán)用戶流量，管理合法網(wǎng)絡(luò)資源的利用，有效保證關(guān)鍵應(yīng)用全天候暢通無阻，通過保護關(guān)鍵應(yīng)用帶寬來不斷提升單位IT產(chǎn)出率和收益率。應(yīng)用管理全面監(jiān)測和管理IM即時通訊、P2P下載、網(wǎng)絡(luò)游戲、在線視頻，以及在線炒股等網(wǎng)絡(luò)行為，協(xié)助單位辨識和限制非授權(quán)網(wǎng)絡(luò)流量，更好地執(zhí)行單位的安全策略。產(chǎn)品價值滿足主機安全、應(yīng)用安全中入侵防范（G2）要求：應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。亞太區(qū)唯一一家連續(xù)5年入選Gartner魔力象限亞太區(qū)唯一一家進入Gartner“挑戰(zhàn)者”象限中國地區(qū)入侵防御市場排名第一上網(wǎng)行為管理：SAS在外網(wǎng)核心交換區(qū)旁路部署上網(wǎng)行為管理系統(tǒng)，實現(xiàn)對互聯(lián)網(wǎng)訪問行為的全面管理，防止帶寬資源濫用，防止無關(guān)網(wǎng)絡(luò)行為影響工作效率，記錄上網(wǎng)軌跡滿足法規(guī)要求，實現(xiàn)管控外發(fā)信息，降低泄密風(fēng)險，掌握組織動態(tài)、優(yōu)化員工管理，為網(wǎng)絡(luò)管理與優(yōu)化提供決策依據(jù)。解決方案內(nèi)容審計提供深入的內(nèi)容審計功能，可對網(wǎng)頁頁面內(nèi)容、郵件、數(shù)據(jù)庫操作、論壇、即時通訊等提供完整的內(nèi)容檢測、信息還原功能；并內(nèi)置敏感關(guān)鍵字庫，進行細(xì)粒度的審計追蹤，同時，用戶可以自定義補充或者更新關(guān)鍵字庫。行為審計提供全面的網(wǎng)絡(luò)行為審計功能，根據(jù)設(shè)定的行為審計策略，對網(wǎng)站訪問、郵件收發(fā)、數(shù)據(jù)庫訪問、遠(yuǎn)程終端訪問、文件上傳下載、即時通訊、論壇、移動應(yīng)用、在線視頻、P2P下載、網(wǎng)絡(luò)游戲等網(wǎng)絡(luò)應(yīng)用行為進行監(jiān)測，對符合行為策略的事件實時告警并記錄。流量審計提供基于協(xié)議識別的流量分析功能，如：可識別使用80端口的P2P協(xié)議，避免基于80端口的HTTP協(xié)議流量統(tǒng)計錯誤，更精確可靠；實時統(tǒng)計出當(dāng)前網(wǎng)絡(luò)中的各種報文流量，進行綜合流量分析，提供詳細(xì)的流量報表；可以通過編輯自定義統(tǒng)計指定協(xié)議流量的IPTOPN，為流量管理策略的制定提供可靠支持。APT攻擊防護：威脅分析系統(tǒng)TAC在外網(wǎng)核心交換區(qū)旁路部署威脅分析系統(tǒng)，有效檢測通過網(wǎng)頁、電子郵件或其他的在線文件共享方式進入網(wǎng)絡(luò)的已知和未知的惡意軟件，發(fā)現(xiàn)利用0day漏洞的APT攻擊行為，保護客戶網(wǎng)絡(luò)免遭0day等攻擊造成的各種風(fēng)險，如敏感信息泄露、基礎(chǔ)設(shè)施破壞等。解決方案多種應(yīng)用層及文件層解碼從高級可持續(xù)威脅的攻擊路徑上分析，絕大多數(shù)的攻擊來自與Web沖浪，釣魚郵件以及文件共享，基于此監(jiān)測系統(tǒng)提供以上相關(guān)的應(yīng)用協(xié)議的解碼還原能力，具體包括：HTTP、SMTP、POP3、IMAP、FTP。為了更精確的檢測威脅，監(jiān)控系統(tǒng)考慮到高級可持續(xù)威脅的攻擊特點，對關(guān)鍵文件類型進行完整的文件還原解析，系統(tǒng)支持了以下的文件解碼：Office類：Word、Excel、PowerPoint…Adobe類：.swf、.pdf…不同的壓縮格式：.zip、.rar、.gz、.tar、.7z，.bz…圖片類：jpg、jpeg、bmp….獨特的信譽設(shè)計威脅分析系統(tǒng)利用廣闊的全球信譽，讓檢測更加高效、精準(zhǔn)，當(dāng)文件被還原出來后，首先進入信譽檢測引擎，利用全球信譽庫的信息進行一次檢測，如果文件命中則提升在非動態(tài)環(huán)境下的檢測優(yōu)先級但不放到動態(tài)檢測引擎中進行檢測，如有需求可手動加載至動態(tài)檢測引擎用以生成詳細(xì)的報告。目前的信譽值主要有文件的MD5、CRC32值，該文件的下載URL地址、IP等信息；集成多種已知威脅檢測技術(shù)：AV、基于漏洞的靜態(tài)檢測系統(tǒng)為更全面的檢測已知、未知惡意軟件，同時內(nèi)置AV檢測模塊及基于漏洞的靜態(tài)檢測模塊。AV模塊采用啟發(fā)式文件掃描技術(shù)，可對HTTP、SMTP、POP3、FTP等多種協(xié)議類型的百萬種病毒進行查殺，包括木馬、蠕蟲、宏病毒、腳本病毒等，同時可對多線程并發(fā)、深層次壓縮文件等進行有效控制和查殺。靜態(tài)漏洞檢測模塊，不同與基于攻擊特征的檢測技術(shù)，它關(guān)注與攻擊威脅中造成溢出等漏洞利用的特征，雖然需要基于已知的漏洞信息，但是檢測精度高，并且針對利用同一漏洞的不同惡意軟件，可以使用一個檢測規(guī)則做到完整的覆蓋，也就是說不但可以針對已知漏洞和惡意軟件，對部分的未知惡意軟件也有較好的檢測效果。智能ShellCode檢測惡意攻擊軟件中具體的攻擊功能實現(xiàn)是一段攻擊者精心構(gòu)造的可執(zhí)行代碼，即ShellCode。一般是開啟Shell、下載并執(zhí)行攻擊程序、添加系統(tǒng)賬戶等。由于通常攻擊程序中一定會包含ShellCode，所以可以檢測是否存在ShellCode作為監(jiān)測惡意軟件的依據(jù)。這種檢測技術(shù)不依賴與特定的攻擊樣本或者漏洞利用方式，可以有效的檢測已知、未知威脅。系統(tǒng)在傳統(tǒng)ShellCode檢測基礎(chǔ)上，增加了文件解碼功能，通過對不同文件格式的解碼，還原出攻擊功能字段，從而在新的情勢下，依然可以檢測出已知、未知威脅。在系統(tǒng)中，此方式作為沙箱檢測的有益補充，使系統(tǒng)具備更強的檢測能力，提升攻擊檢測率。動態(tài)沙箱檢測（虛擬執(zhí)行檢測）動態(tài)沙箱檢測，也稱虛擬執(zhí)行檢測，它通過虛擬機技術(shù)建立多個不同的應(yīng)用環(huán)境，觀察程序在其中的行為，來判斷是否存在攻擊。這種方式可以檢測已知和未知威脅，并且因為分析的是真實應(yīng)用環(huán)境下的真實行為，因此可以做到極低的誤報率，而較高的檢測率。檢測系統(tǒng)具備指令級的代碼分析能力，可以跟蹤分析指令特征以及行為特征。指令特征包括了堆、棧中的代碼執(zhí)行情況等，通過指令運行中的內(nèi)存空間的異常變化，可以發(fā)現(xiàn)各種溢出攻擊等漏洞利用行為，發(fā)現(xiàn)0day漏洞。系統(tǒng)同時跟蹤以下的行為特征，包括：進程的創(chuàng)建中止，進程注入；服務(wù)、驅(qū)動注冊表訪問、改寫文件訪問、改寫、下載程序端口監(jiān)聽網(wǎng)絡(luò)訪問行為……系統(tǒng)根據(jù)以上行為特征，綜合分析找到屬于攻擊威脅的行為特征，進而發(fā)現(xiàn)0day木馬等惡意軟件。 系統(tǒng)發(fā)現(xiàn)惡意軟件后，會持續(xù)觀察其進一步的行為，包括網(wǎng)絡(luò)、文件、進程、注冊表等等，作為報警內(nèi)容的一部分輸出給安全管理員，方便追查和審計。而其中惡意軟件連接C&C服務(wù)器（命令與控制服務(wù)器）的網(wǎng)絡(luò)特征也可以進一步被用來發(fā)現(xiàn)、跟蹤botnet網(wǎng)絡(luò)。完備的虛擬環(huán)境目前典型的APT攻擊多是通過釣魚郵件、誘惑性網(wǎng)站等方式將惡意代碼傳遞到內(nèi)網(wǎng)的終端上，威脅分析系統(tǒng)支持http、pop3、smtp、imap、smb等典型的互聯(lián)網(wǎng)傳輸協(xié)議。受設(shè)備內(nèi)置虛擬環(huán)境有限影響，會存在部分文件無法運行，威脅分析系統(tǒng)內(nèi)置靜態(tài)檢測引擎，通過模擬CPU指令集的方式來形成輕量級的虛擬環(huán)境，以應(yīng)對以上問題。很多APT安全事件都是從防御較薄弱的終端用戶處入手，威脅分析系統(tǒng)支持WINXP、WIN7、安卓等多個終端虛擬操作系統(tǒng)；Web應(yīng)用防護：web應(yīng)用防火墻在對DMZ區(qū)域邊界，串聯(lián)部署web應(yīng)用防火墻，采用黑、白名單機制相結(jié)合的完整防護體系，通過精細(xì)的配置將多種Web安全檢測方法，并整合成熟的DDoS攻擊抵御機制，能夠在IPV4、IPV6及二者混合環(huán)境中抵御OWASPTop10等各類Web安全威脅和拒絕服務(wù)攻擊。解決方案細(xì)致高效的規(guī)則體系規(guī)則是WAF識別和阻止已知攻擊的基礎(chǔ)檢測方法，綠盟WAF規(guī)則庫基于多年網(wǎng)絡(luò)安全研究積累，已高度細(xì)化，基于規(guī)則的防護功能包括：Web服務(wù)器漏洞防護Web插件漏洞防護爬蟲防護跨站腳本防護SQL注入防護LDAP注入防護SSI指令防護XPATH注入防護命令行注入防護路徑穿越防護遠(yuǎn)程文件包含防護在細(xì)化多種規(guī)則的同時，綠盟WAF也引入了眾多機制保證規(guī)則的精準(zhǔn)、有效。前導(dǎo)字符網(wǎng)絡(luò)中合法流量占主體，引入前導(dǎo)碼機制，通過前導(dǎo)碼的簡單字符串的匹配，對流量進行預(yù)篩選，提高檢測效率。不同檢測位置支持靈活的檢測對象定義，包括任意的HTTP頭部字段，HTTPBODY字段，支持各種檢測運算。多種檢測條件的邏輯組合支持多個檢測條件的邏輯組合，以支持復(fù)雜規(guī)則的定義。自定義規(guī)則提供貼近于自然語言、支持復(fù)雜場景描述的自定義規(guī)則，能作用于具體的URL上，大大提高了規(guī)則的有效性和精準(zhǔn)度。獨立的規(guī)則升級通過編譯式運行的規(guī)則庫，綠盟WAF還分離了規(guī)則升級和系統(tǒng)升級。智能自學(xué)習(xí)白名單黑名單規(guī)則即內(nèi)置及自定義的規(guī)則是web應(yīng)用防火墻在防護Web安全時的強大知識依托，然而，黑名單體系固有的”事后更新”特點使其僅僅能解決已知問題，在應(yīng)對0day漏洞防護時顯得略為滯后，且由于未參考客戶環(huán)境的業(yè)務(wù)邏輯，在防護效果上也無法做到精準(zhǔn)。web應(yīng)用防火墻引入的自學(xué)習(xí)+白名單機制，彌補了黑名單防護體系的固有缺點，有效增強了0day漏洞的防護能力和精準(zhǔn)防護能力。WEB應(yīng)用防火墻基于統(tǒng)計學(xué)方法的自學(xué)習(xí)技術(shù)，分析用戶行為和指定URL的HTTP請求參數(shù)，能將站點的業(yè)務(wù)邏輯完整的呈現(xiàn)出來，協(xié)助管理員構(gòu)建正常的業(yè)務(wù)流量模型，形成白名單規(guī)則。在防護順序上，web應(yīng)用防火墻先利用黑名單規(guī)則解決已知安全風(fēng)險，在用自學(xué)習(xí)、白名單作為黑名單規(guī)則的補充解決業(yè)務(wù)邏輯層面的安全風(fēng)險，使web應(yīng)用防火墻的安全防護體系更完整，進一步貼近了客戶業(yè)務(wù)環(huán)境，在應(yīng)對0day漏洞時也更加快速、精準(zhǔn)、有效。而這種防護順序的設(shè)計，避免了依賴白名單機制而帶來的設(shè)備上線需要長時間的學(xué)習(xí)業(yè)務(wù)、且業(yè)務(wù)模型變動時策略調(diào)整頻繁等缺點，上線就能即插即用、零配置防護。智能補丁應(yīng)急響應(yīng)通過與云安全平臺的Web漏洞掃描服務(wù)或者WEB應(yīng)用漏洞掃描系統(tǒng)聯(lián)合防護，web應(yīng)用防火墻能獲取被防護站點的漏洞掃描報告，并根據(jù)自身已有的規(guī)則自動生成一套新的規(guī)則即智能補丁，應(yīng)用于被保護站點。當(dāng)被防護站點打上了智能補丁之后，之前被掃描出的Web應(yīng)用漏洞將無法重現(xiàn)。智能補丁，借助了云安全平臺中Web漏洞掃描服務(wù)和WEB應(yīng)用漏洞掃描系統(tǒng)對Web漏洞的感知能力，又很好利用了web應(yīng)用防火墻自身的規(guī)則體系，在不用更改被防護站點配置、不為其設(shè)備提供額外負(fù)擔(dān)的情況下，有效減少了一些站點因無法頻繁打補丁、業(yè)務(wù)頻繁升級而引入漏洞帶來的安全風(fēng)險，還能及協(xié)助客戶滿足安全合規(guī)要求。安全管家客戶可在AppStore中下載安全管家APP，通過WEB應(yīng)用防火墻與云的聯(lián)動，可以把APP與WEB應(yīng)用防火墻進行綁定，時刻獲取設(shè)備的運行的狀態(tài)，包括設(shè)備的cpu、內(nèi)存、規(guī)則庫版本等信息，一旦設(shè)備出現(xiàn)問題，可通過APP上一鍵聯(lián)系安全人員對設(shè)備進行維護。運營實時化，大大降低了運維難度。IP信譽WEB應(yīng)用防火墻與威脅情報中心對接后，獲取不同攻擊類型的高危信譽IP，在WEB應(yīng)用防火墻上自動生成防護策略。通過啟用IP信譽功能，可有效防止撞庫、羊毛黨（刷單、刷積分）的問題，同時有效減少疑似攻擊行為的告警噪音，達(dá)到提升告警精度的效果。產(chǎn)品價值滿足應(yīng)用安全中訪問控制（S2）的要求：應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作；應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限；滿足應(yīng)用安全中通信完整性（S2）的要求：應(yīng)采用校驗碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。綠盟科技持續(xù)七年引領(lǐng)WAF國內(nèi)市場，連續(xù)兩年國內(nèi)唯一一家進入亞太前三2014~2017，綠盟WAF連續(xù)四年入選Gartner魔力象限(2014、2015，中國廠商僅綠盟和安恒入選；2016，僅綠盟入選，2017年僅啟明和綠盟入選)內(nèi)外網(wǎng)隔離建設(shè)在內(nèi)網(wǎng)和外網(wǎng)核心交換機之間，雙機部署網(wǎng)閘系統(tǒng)，實現(xiàn)內(nèi)外網(wǎng)的安全隔離，實現(xiàn)對網(wǎng)絡(luò)層/OS層已知和未知攻擊的全面防護能力，保護可信網(wǎng)絡(luò)免遭黑客攻擊。網(wǎng)閘系統(tǒng)具有網(wǎng)絡(luò)隔離功能，通過基于ASIC設(shè)計的硬件芯片開關(guān)實現(xiàn)可信、不可信網(wǎng)絡(luò)間的物理鏈路斷開，保護可信網(wǎng)絡(luò)免遭黑客攻擊。解決方案IDS入侵檢測功能網(wǎng)閘系統(tǒng)在設(shè)備兩端內(nèi)置了IDS入侵檢測引擎，該引擎可有效保護系統(tǒng)自身及受保護網(wǎng)絡(luò)免受攻擊者的頻繁攻擊。該系統(tǒng)將自動分析對受保護內(nèi)網(wǎng)的訪問請求，并與網(wǎng)閘系統(tǒng)實現(xiàn)內(nèi)部聯(lián)動對可疑數(shù)據(jù)包采取拒絕連接的方式防御攻擊。SAT（安全服務(wù)器地址映射）網(wǎng)閘系統(tǒng)具備完善的SAT功能，可信端服務(wù)器可通過SAT功能將自身的特定服務(wù)虛擬映射到不可信端接口上，通過隔離系統(tǒng)的不可信端虛擬端口對外提供服務(wù)，訪問者僅能訪問虛擬端口而無法直接連接服務(wù)器，從而對外屏蔽服務(wù)器，防止服務(wù)器遭到攻擊。身份認(rèn)證除了提供基本的用戶名/口令身份認(rèn)證功能以外，還可與外部認(rèn)證系統(tǒng)集成支持?jǐn)U展的PKI數(shù)字證書、SecureID等多種強身份認(rèn)證功能。支持SSO（SingleSign-on）單點登錄，支持Radius、LDAP、AD（ActiveDirectory）等CAS認(rèn)證模式。安全上網(wǎng)、郵件收發(fā)高級認(rèn)證支持采用專用ViIE、ViMail認(rèn)證客戶端實現(xiàn)高安全性的上網(wǎng)、郵件應(yīng)用安全認(rèn)證控制功能，防止客戶端涉密信息未經(jīng)授權(quán)外發(fā)。沒有經(jīng)過客戶端認(rèn)證的用戶即使用IE、OUTLOOK、FOXMAIL等軟件也無法上網(wǎng)和收發(fā)郵件。安全代理服務(wù)允許可信端用戶以應(yīng)用代理方式訪問不可信網(wǎng)絡(luò)，支持Socks代理，支持流媒體、視頻應(yīng)用代理，可作為應(yīng)用代理網(wǎng)關(guān)對內(nèi)網(wǎng)訪問請求進行檢測，相對于傳統(tǒng)的基于網(wǎng)絡(luò)層的NAT方式來說，由于代理服務(wù)在應(yīng)用層對訪問請求進行檢測具有更細(xì)的粒度和檢查元素，因此，對訪問具有更高的安全控制能力。AI安全過濾應(yīng)用智能能夠使您根據(jù)來源、目的地、用戶特權(quán)和時間來控制對特定的HTTP、SMTP或FTP等資源的訪問。通過協(xié)議分析技術(shù)提供應(yīng)用級的安全過濾以保護數(shù)據(jù)和應(yīng)用服務(wù)器免受惡意Java和ActiveXapplet的攻擊。支持關(guān)鍵字、網(wǎng)址、惡意代碼、文件類型、黑白名單等過濾功能；在AI功能中新增了安全功能，包括：確認(rèn)通信是否遵循相關(guān)的協(xié)議標(biāo)準(zhǔn)；進行異常協(xié)議檢測；限制應(yīng)用程序攜帶惡意數(shù)據(jù)的能力；對應(yīng)用層操作進行控制，這些新功能對單位級網(wǎng)絡(luò)環(huán)境中應(yīng)用層的安全控制起到了很重要的強化作用。防病毒網(wǎng)閘系統(tǒng)的防病毒引擎，可實現(xiàn)對內(nèi)外網(wǎng)擺渡數(shù)據(jù)的病毒查殺，其防水墻模塊可有效阻止內(nèi)網(wǎng)信息的外泄及木馬、蠕蟲等惡意程序通過HTTP、SMTP等方式向外泄漏信息。實現(xiàn)對病毒的高效查殺，支持包括HTTP、SMTP、POP3協(xié)議的網(wǎng)關(guān)級病毒過濾。內(nèi)容及格式檢測具備內(nèi)容過濾及文件格式檢查功能，支持黑白名單過濾，對管理員指定格式的文件或指定內(nèi)容關(guān)鍵字的郵件、網(wǎng)頁、FTP文件等具有安全過濾功能，支持深層文件格式和編碼檢測，能夠阻止敏感的信息外泄或惡意程序的入侵。VPN通訊安全對受保護WEB服務(wù)器提供內(nèi)置的SSLVPN加密通訊機制，建立客戶端與虛擬服務(wù)端口間的SSL加密VPN鏈路，實現(xiàn)通訊安全。該加密方式無需修改客戶端設(shè)置，透明實現(xiàn)客戶端與服務(wù)器端的加密通訊。WEB站點保護全面分析來自WEB服務(wù)的漏洞，建立了WEB站點保護系統(tǒng)WebAppliaction?，全面抵御黑客對用戶對外WEB、MAIL以及FTP系統(tǒng)服務(wù)系統(tǒng)發(fā)動的攻擊。包括：Cookie安全簽名、URL字段細(xì)粒度過濾、輸入?yún)?shù)檢測、操作系統(tǒng)屏蔽、Webservice函數(shù)、CGI調(diào)用函數(shù)、特別針對WEB的IDS檢測、文件目錄及文件訪問控制等功能。內(nèi)網(wǎng)安全建設(shè)邊界防御：下一代防火墻NF在內(nèi)網(wǎng)專線出口邊界以及數(shù)據(jù)中心區(qū)域邊界，雙機串聯(lián)部署高性能下一代防火墻，建立起以應(yīng)用為核心的網(wǎng)絡(luò)安全策略和以內(nèi)網(wǎng)資產(chǎn)風(fēng)險識別、云端安全管理為顯著特征的全方位的安全防護體系。下一代防火墻能精確分類與辨識出包括低風(fēng)險、高風(fēng)險在內(nèi)的1200+種應(yīng)用，根據(jù)應(yīng)用不同風(fēng)險等級分別進行不同級別的安全掃描，從而及時準(zhǔn)確的識別和攔截各種威脅攻擊，保障用戶網(wǎng)絡(luò)應(yīng)用的安全性。（產(chǎn)品功能介紹請參照3.1.1邊界防護中下一代防火墻的相關(guān)描述）入侵防御在內(nèi)網(wǎng)專線出口邊界，雙機串聯(lián)部署網(wǎng)絡(luò)入侵防御系統(tǒng)，針對日趨復(fù)雜的應(yīng)用安全威脅和混合型網(wǎng)絡(luò)攻擊，準(zhǔn)確監(jiān)測網(wǎng)絡(luò)異常流量，自動應(yīng)對各層面安全隱患，第一時間將安全威脅阻隔在單位網(wǎng)絡(luò)外部，彌補了防火墻、入侵檢測等產(chǎn)品的不足，提供動態(tài)的、深度的、主動的安全防御，從智能識別、環(huán)境感知、行為分析三方面加強了對應(yīng)用協(xié)議、異常行為、惡意文件的檢測和防護，提供了一個看得見、檢得出、防得住的全新入侵防護解決方案。（產(chǎn)品功能介紹請參照3.1.2入侵防御中網(wǎng)絡(luò)入侵防護系統(tǒng)的相關(guān)描述）防病毒網(wǎng)關(guān)在內(nèi)網(wǎng)專線出口邊界，雙機部署網(wǎng)絡(luò)防病毒網(wǎng)關(guān)，有效抵御各類病毒和惡意軟件對用戶網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的破壞。產(chǎn)品功能?支持對HTTP，F(xiàn)TP，SMTP，POP3四大協(xié)議防毒，對通過的數(shù)據(jù)進行在線病毒查殺，查殺郵件正文附件、網(wǎng)頁及下載文件中包含的病毒?病毒庫自動更新，liveupdate?采用新一代的流模式掃描技術(shù)，提供多種模式的掃描方式（快速，全面等不同級別）?基于狀態(tài)檢測的動態(tài)包過濾?實現(xiàn)基于源/目的IP地址、源/目的MAC地址、源/目的端口、協(xié)議、時間等數(shù)據(jù)包快速過濾?支持不同功能區(qū)段的劃分，區(qū)段間和區(qū)段內(nèi)部策略的定義?支持對多種文件格式掃描?支持與云聯(lián)動?支持URL過濾蠕蟲過濾蠕蟲可以利用電子郵件、文件傳輸?shù)确绞竭M行擴散，更主要的特點是利用系統(tǒng)的漏洞發(fā)起動態(tài)攻擊。近幾年蠕蟲造成的危害越來越大，可以導(dǎo)致系統(tǒng)嚴(yán)重?fù)p壞和網(wǎng)絡(luò)癱瘓。如尼姆達(dá)（Nimda）、飛客（Conficker）、蠕蟲王（Slammer）、沖擊波（Blaster）、震蕩波等。根據(jù)蠕蟲的特點，金山VGM新一代防毒墻從OSI的多個層次進行處理。在網(wǎng)絡(luò)層和傳輸層過濾蠕蟲利用漏洞的動態(tài)攻擊數(shù)據(jù)，在應(yīng)用層過濾利用正常協(xié)議（SMTP、HTTP、POP3、FTP、IMAP、SMB等）傳輸?shù)撵o態(tài)蠕蟲代碼。金山VGM新一代防毒墻可實現(xiàn)對惡意代碼威脅的動態(tài)防御攻擊，能夠全方位抵御已知蠕蟲病毒的攻擊。這一技術(shù)標(biāo)志著，金山VGM新一代防毒墻不僅可以過濾靜態(tài)蠕蟲代碼，而且能夠阻斷蠕蟲的動態(tài)攻擊（包括所引發(fā)的病毒傳播、后門漏洞、系統(tǒng)利用攻擊等）。這樣，可全面實現(xiàn)威脅動態(tài)防御。病毒過濾這里的病毒過濾是指靜態(tài)型病毒（例如CIH）、郵件病毒（例如求職信、美麗殺手、愛蟲、Mydoom）、特洛伊木馬、網(wǎng)頁惡意代碼的過濾等。對于網(wǎng)頁瀏覽（HTTP協(xié)議）、文件傳輸（FTP協(xié)議）、郵件傳輸（SMTP、POP3協(xié)議）等病毒，基于專門的病毒引擎進行查殺。對郵件病毒，可以定義對病毒的處理方式，決定清除病毒、刪除附件、丟棄等操作，發(fā)現(xiàn)病毒時通知管理員、收件人、發(fā)件人等操作。金山VGM新一代防毒墻具有卓越的病毒查殺能力，能夠?qū)Χ喾N應(yīng)用協(xié)議（HTTP、FTP、SMTP、POP3、IMAP、SMB）所傳遞的數(shù)據(jù)進行病毒過濾。金山VGM新一代防毒墻采用多引擎技術(shù)，可檢測出目前“流行病毒名單”上的病毒。木馬行為監(jiān)測一個完整的木馬程序包含控制端和被控端?？刂普咄ㄟ^操作被控端竊取大量機密或個人隱私信息。金山VGM新一代防毒墻采用多重特征匹配、模式匹配和規(guī)則算法，對網(wǎng)絡(luò)數(shù)據(jù)流實時解析，檢測出的木馬信息包括主機源IP地址、MAC地址、源端口、目的IP地址、目的端口、木馬類型、危害等級等信息?？诹钚崽焦舯O(jiān)測近幾年帳號及口令外泄事件時有發(fā)生，越來越多的攻擊手段也更加明確惡意攻擊者的最終目的是要獲得核心系統(tǒng)的最高權(quán)限，進而更加的肆意妄為。因此，對于企事業(yè)單位信息系統(tǒng)的賬戶及口令態(tài)勢現(xiàn)狀，儼然需要提升到一個新的高度，實現(xiàn)對各項信息系統(tǒng)帳戶口令的惡意探測及暴力破解等非法行為的實時阻斷與監(jiān)控。金山VGM新一代防毒墻通過對信息系統(tǒng)所依賴的網(wǎng)絡(luò)服務(wù)進行協(xié)議識別，并深入分析協(xié)議層數(shù)據(jù)包內(nèi)帳戶信息傳輸狀態(tài)，進而做到對帳戶及口令的有效防御措施，最終實現(xiàn)對信息系統(tǒng)帳戶安全的態(tài)勢分析與全面掌控。僵尸網(wǎng)絡(luò)檢測僵尸網(wǎng)絡(luò)構(gòu)成了一個攻擊平臺，控制者利用這個平臺可以發(fā)起各種各樣的惡意攻擊，可以導(dǎo)致整個基礎(chǔ)信息網(wǎng)絡(luò)或者重要應(yīng)用系統(tǒng)癱瘓，也可以導(dǎo)致大量機密或個人隱私泄漏，還可以用來從事網(wǎng)絡(luò)欺詐等其他違法犯罪活動。金山VGM新一代防毒墻采用特征匹配、模式匹配和規(guī)則算法，對網(wǎng)絡(luò)數(shù)據(jù)流實時解析，檢測出僵尸網(wǎng)絡(luò)發(fā)動拒絕服務(wù)攻擊、發(fā)送大量垃圾郵件、竊取計算機上的有用信息、濫用網(wǎng)絡(luò)資源等惡意的黑客行為，詳細(xì)信息包括主機源IP地址、MAC地址、源端口、目的IP地址、目的端口、僵尸類型、危害等級、僵尸服務(wù)器域名等信息，通過檢測信息可以找出內(nèi)部網(wǎng)絡(luò)中被種植了“僵尸程序”的“僵尸計算機”以及僵尸的行為。安全管理方式對金山VGM新一代防毒墻的管理支持https加密通訊的Web管理方式，界面直觀、操作簡便、易于理解。此外還支持console方式的本地管理，以及ssh加密方式的遠(yuǎn)程維護管理。為避免對金山VGM新一代防毒墻設(shè)備的管理權(quán)限濫用，增加安全性，可設(shè)定允許訪問金山VGM新一代防毒墻設(shè)備的IP地址范圍。管理員根據(jù)權(quán)限進行劃分，管理用戶按性質(zhì)可劃分為：系統(tǒng)維護員（超級用戶）、配置管理員、策略審計員、日志審計員等。特征庫自動升級金山VGM新一代防毒墻通過不斷更新過濾特征碼來保持與攻擊數(shù)據(jù)特征的同步。根據(jù)更新策略，用戶可通過HTTP方式從公網(wǎng)服務(wù)器自動更新特征碼。APT攻擊防護在內(nèi)網(wǎng)核心交換區(qū)旁路部署威脅分析系統(tǒng)，有效檢測通過網(wǎng)頁、電子郵件或其他的在線文件共享方式進入網(wǎng)絡(luò)的已知和未知的惡意軟件，發(fā)現(xiàn)利用0day漏洞的APT攻擊行為，保護客戶網(wǎng)絡(luò)免遭0day等攻擊造成的各種風(fēng)險，如敏感信息泄露、基礎(chǔ)設(shè)施破壞等。（產(chǎn)品功能介紹請參照3.1.4APT攻擊防護中威脅分析系統(tǒng)的相關(guān)描述）運維管理建設(shè)運維安全審計：堡壘機在運維管理區(qū)，部署運維審計系統(tǒng)（堡壘機），通過邏輯上將人與目標(biāo)設(shè)備分離，建立“人->主賬號（堡壘機用戶賬號）->授權(quán)->從賬號（目標(biāo)設(shè)備賬號）->目標(biāo)設(shè)備”的管理模式；在此模式下，通過基于唯一身份標(biāo)識的集中賬號與訪問控制策略，與各服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫服務(wù)器等無縫連接，實現(xiàn)集中精細(xì)化運維操作管控與審計。產(chǎn)品功能集中賬號管理建立基于唯一身份標(biāo)識的全局實名制管理，支持統(tǒng)一賬號管理策略，實現(xiàn)與各服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫服務(wù)器等無縫連接。集中訪問控制通過集中訪問控制和細(xì)粒度的命令級授權(quán)策略，基于最小權(quán)限原則，實現(xiàn)集中有序的運維操作管理，讓正確的人做正確的事。集中安全審計基于唯一身份標(biāo)識，通過對用戶從登錄到退出的全程操作行為進行審計，監(jiān)控用戶對目標(biāo)設(shè)備的所有敏感操作，聚焦關(guān)鍵事件，實現(xiàn)對安全事件的實時發(fā)現(xiàn)與預(yù)警。流量審計：網(wǎng)絡(luò)安全審計-SAS在運維管理區(qū)，部署網(wǎng)絡(luò)安全審計系統(tǒng)，通過對網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、識別，實時動態(tài)監(jiān)測通信內(nèi)容、網(wǎng)絡(luò)行為和網(wǎng)絡(luò)流量，發(fā)現(xiàn)和捕獲各種敏感信息、違規(guī)行為，實時報警響應(yīng)，全面記錄網(wǎng)絡(luò)系統(tǒng)中的各種會話和事件，實現(xiàn)對網(wǎng)絡(luò)信息的智能關(guān)聯(lián)分析、評估及安全事件的準(zhǔn)確定位，為整體網(wǎng)絡(luò)安全策略的制定提供權(quán)威可靠的支持。產(chǎn)品價值滿足主機安全、應(yīng)用安全中安全審計（G2）要求：審計范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；審計記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等；應(yīng)保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。滿足網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全中訪問控制（G2）要求：應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；應(yīng)限制默認(rèn)賬戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)賬戶，修改這些賬戶的默認(rèn)口令；應(yīng)及時刪除多余的、過期的賬戶，避免共享賬戶的存在；滿足主機安全、應(yīng)用安全中身份鑒別（G2）要求：應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標(biāo)識和鑒別；操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換；應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；當(dāng)對服務(wù)器進行遠(yuǎn)程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性；產(chǎn)品功能智能化協(xié)議識別與分析網(wǎng)絡(luò)安全審計系統(tǒng)采用業(yè)界領(lǐng)先的智能協(xié)議識別和關(guān)聯(lián)技術(shù)，智能識別采用標(biāo)準(zhǔn)及非標(biāo)準(zhǔn)端口的網(wǎng)絡(luò)協(xié)議，例如使用80端口的P2P協(xié)議，提供全面深入的協(xié)議分析、解碼回放，能夠分析超過100種應(yīng)用層協(xié)議，包括HTTP、TELNET、FTP、SMTP、POP3、WEBMAIL、P2P、IM等，極大地提高內(nèi)容分析的準(zhǔn)確性，幫助管理員全面掌握網(wǎng)絡(luò)安全狀態(tài)。智能身份關(guān)聯(lián)與認(rèn)證用戶審計網(wǎng)絡(luò)安全審計系統(tǒng)基于智能身份關(guān)聯(lián)與認(rèn)證用戶審計功能，實現(xiàn)對網(wǎng)絡(luò)事件責(zé)任人的精準(zhǔn)定位。網(wǎng)絡(luò)安全審計系統(tǒng)從網(wǎng)絡(luò)數(shù)據(jù)流中收集IP地址、用戶帳號、賬號類型等身份信息，創(chuàng)建用戶身份信息庫，信息庫中記錄了審計到的IP地址、用戶賬號、賬號類型與審計時間等信息。利用該信息庫中的用戶身份信息，SAS自動關(guān)聯(lián)所有網(wǎng)絡(luò)訪問事件，特別是數(shù)據(jù)流中并不包含用戶身份信息的網(wǎng)絡(luò)訪問事件，從而實現(xiàn)對網(wǎng)絡(luò)事件的用戶身份關(guān)聯(lián)與自動識別功能。網(wǎng)絡(luò)安全審計系統(tǒng)在進行智能身份關(guān)聯(lián)的同時，進一步通過與AD域控認(rèn)證系統(tǒng)聯(lián)動，實時、動態(tài)地同步IP地址與終端認(rèn)證用戶的身份信息，進而識別發(fā)起網(wǎng)絡(luò)訪問的具體的終端認(rèn)證用戶。智能身份關(guān)聯(lián)對用戶身份進行模糊的識別與審計功能，但無需依賴任何用戶認(rèn)證系統(tǒng)。認(rèn)證用戶審計則對用戶身份進行精準(zhǔn)的識別與審計功能，但要求用戶環(huán)境中部署AD域控認(rèn)證系統(tǒng)，并與之聯(lián)動。智能身份關(guān)聯(lián)與認(rèn)證用戶審計功能互補，最終實現(xiàn)對網(wǎng)絡(luò)事件完整而精準(zhǔn)的審計，記錄網(wǎng)絡(luò)事件的用戶身份、IP地址、訪問時間、訪問目標(biāo)、具體訪問內(nèi)容等信息。網(wǎng)絡(luò)安全審計系統(tǒng)對用戶身份信息的識別和支持功能，不僅體現(xiàn)在最終的審計日志上，而是全程的用戶審計。事前，支持基于用戶帳號信息定義審計策略；事中，智能化識別每一次網(wǎng)絡(luò)訪問的用戶帳號信息；事后，記錄包含用戶帳號信息在內(nèi)的全面的日志信息。為安全事件的準(zhǔn)確、快速追蹤和定位提供了有力支持。如下圖所示：智能URL分類與WEB信譽管理網(wǎng)絡(luò)安全審計系統(tǒng)內(nèi)置超過1000萬條的龐大中英文URL數(shù)據(jù)庫，超過40種的精細(xì)分類，如不良言論、色情暴力、掛馬網(wǎng)站等?；趦?nèi)置URL分類庫，網(wǎng)絡(luò)安全審計系統(tǒng)能夠精確分類用戶所訪問的網(wǎng)頁類型。在此基礎(chǔ)之上，網(wǎng)絡(luò)安全審計系統(tǒng)擁有超過1萬條的關(guān)鍵字庫，支持針對URL地址、網(wǎng)頁標(biāo)題等信息進行智能分類。內(nèi)置URL分類庫與關(guān)鍵字庫的配合使用，大大提高了網(wǎng)絡(luò)安全審計系統(tǒng)在網(wǎng)頁分類特性方面的識別率和準(zhǔn)確率。在系統(tǒng)采用云安全中心提供的Web信譽庫，云安全中心通過對互聯(lián)網(wǎng)資源（域名、IP地址、URL等）進行威脅分析和信譽評級，將含有惡意代碼的網(wǎng)站列入Web信譽庫，實現(xiàn)對用戶訪問非法、不良和高風(fēng)險網(wǎng)站行為的審計和告警功能。無線熱點發(fā)現(xiàn)與移動應(yīng)用審計網(wǎng)絡(luò)安全審計系統(tǒng)高度關(guān)注用戶在合規(guī)、信息安全建設(shè)方面所面臨的新問題，針對當(dāng)下被廣泛使用的無線熱點、移動上網(wǎng)，網(wǎng)絡(luò)安全審計系統(tǒng)提供了相應(yīng)的功能特性，協(xié)助用戶更好地解決當(dāng)前形勢下面臨的新難題，有效降低安全風(fēng)險。網(wǎng)絡(luò)安全審計系統(tǒng)能夠?qū)崟r、自動發(fā)現(xiàn)辦公網(wǎng)絡(luò)內(nèi)的無線熱點，記錄無線熱點訪問網(wǎng)絡(luò)時所使用的IP地址、認(rèn)證用戶等信息；能夠識別移動熱點所訪問的移動應(yīng)用，例如IM類、社交類、網(wǎng)購類、影音類、資訊類等應(yīng)用，記錄IP地址、應(yīng)用名稱、訪問時間等信息；能夠?qū)χ髁鞯囊苿討?yīng)用進行內(nèi)容層面的詳細(xì)審計，主要是對微博、網(wǎng)頁言論、網(wǎng)頁訪問詳細(xì)記錄IP地址、URL地址、訪問時間、訪問或發(fā)布的具體內(nèi)容等信息。業(yè)界首創(chuàng)“網(wǎng)站內(nèi)容安全”主動審計網(wǎng)絡(luò)安全審計系統(tǒng)“主動審計”能夠幫助用戶及時準(zhǔn)確發(fā)現(xiàn)網(wǎng)站、論壇、博客中的非法敏感信息和網(wǎng)頁掛馬隱患；系統(tǒng)部署簡單方便，接入網(wǎng)絡(luò)就可以掃描檢測。主動審計功能包括：不良敏感信息掃描：網(wǎng)絡(luò)安全審計系統(tǒng)具有高效智能的內(nèi)容識別引擎，通過基于域名、關(guān)鍵字正則表達(dá)式等多種組合主動內(nèi)容審計策略掃描指定網(wǎng)站，對被檢測站點網(wǎng)頁頁面進行深度內(nèi)容掃描檢測，快速、準(zhǔn)確的分析判斷網(wǎng)頁頁面是否含有非法敏感信息，實時告警響應(yīng)，并支持人工輔助校正掃描結(jié)果，從而有效防止不良信息擴散，為追查取證提供有力支持。網(wǎng)站掛馬掃描：網(wǎng)絡(luò)安全審計系統(tǒng)系可通過掃描指定網(wǎng)站，分析檢測網(wǎng)頁是否被掛馬，并實時告警響應(yīng)，為網(wǎng)站安全提供及時有效支持。漏洞掃描：安全評估系統(tǒng)RSAS在運維管理區(qū)，部署漏洞掃描系統(tǒng)，高效、全方位的檢測網(wǎng)絡(luò)中的各類脆弱性風(fēng)險，提供專業(yè)、有效的安全分析和修補建議，并貼合安全管理流程對修補效果進行審計，最大程度減小受攻擊面。產(chǎn)品功能全方位系統(tǒng)脆弱性發(fā)現(xiàn)全面發(fā)現(xiàn)信息系統(tǒng)存在的安全漏洞、安全配置問題、應(yīng)用系統(tǒng)安全漏洞，檢查系統(tǒng)存在的弱口令，收集系統(tǒng)不必要開放的賬號、服務(wù)、端口，形成整體安全風(fēng)險報告。從海量數(shù)據(jù)中快速定位風(fēng)險提供儀表盤報告和分析方式，在大規(guī)模安全檢查后，快速定位風(fēng)險類型、區(qū)域、嚴(yán)重程度，根據(jù)資產(chǎn)重要性進行排序，可以從儀表盤報告直接定位到具體主機具體漏洞。融入并促進安全管理流程安全管理不只是技術(shù)，更重要的是通過流程制度對安全脆弱性風(fēng)險進行控制，產(chǎn)品結(jié)合安全管理制度，支持安全風(fēng)險預(yù)警、檢查、分級管理、修復(fù)、審計流程，并監(jiān)督流程的執(zhí)行。產(chǎn)品價值連續(xù)6年市場占有率第一（數(shù)據(jù)來源：IDC安全性與漏洞管理統(tǒng)計2011-2016）國內(nèi)唯一入選國際權(quán)威分析機構(gòu)Gartner報告是國內(nèi)測評機構(gòu)最主要的漏洞掃描和風(fēng)險評估工具?；€核查：配置核查系統(tǒng)BVS在運維管理區(qū)，部署基線核查系統(tǒng)，通過自動化的進行安全配置檢查，從而節(jié)省傳統(tǒng)的手動單點安全配置檢查的時間，并避免傳統(tǒng)人工檢查方式所帶來的失誤風(fēng)險，同時能夠出具詳細(xì)的檢測報告。大大提高檢查結(jié)果的準(zhǔn)確性和合規(guī)性，節(jié)省時間成本，讓檢查工作變得簡單。產(chǎn)品功能結(jié)合等級保護的安全配置檢查在等級保護檢查、測評、整改工作過程中，對定級業(yè)務(wù)系統(tǒng)進行對應(yīng)級別的安全風(fēng)險檢查是技術(shù)方面的必要工作。基線核查系統(tǒng)產(chǎn)品根據(jù)安全服務(wù)團隊的經(jīng)驗積累，對國家等級保護規(guī)范進行了細(xì)化整理，把技術(shù)要求落實到每一種網(wǎng)絡(luò)設(shè)備的配置檢查工作上基線核查系統(tǒng)能夠結(jié)合等級保護工作過程，對業(yè)務(wù)系統(tǒng)資產(chǎn)進行等保定級跟蹤，根據(jù)資產(chǎn)定級自動進行對應(yīng)級別的安全配置檢查，對合規(guī)情況進行等保符合性報告，保證系統(tǒng)建設(shè)符合等保要求、促使等保監(jiān)督檢查工作高效執(zhí)行。結(jié)合授權(quán)認(rèn)證系統(tǒng)簡化配置檢查操作安全配置檢查工作需要具備被檢查目標(biāo)的賬號、密碼等授權(quán)信息，登錄到被檢查目標(biāo)設(shè)備中，執(zhí)行配置查看命令列舉配置信息，然后與規(guī)范要求進行對比，得到合規(guī)及不合規(guī)的配置項，自動化的配置檢查過程也類似，需要目標(biāo)系統(tǒng)的賬號、密碼等授權(quán)信息，對數(shù)量眾多的網(wǎng)絡(luò)設(shè)備的安全配置檢查，每一組目標(biāo)系統(tǒng)的賬號、密碼由管理員維護和錄入，工作量巨大，也容易出錯。一些單位部門已經(jīng)部署了4A認(rèn)證授權(quán)系統(tǒng)或者堡壘機運維審計系統(tǒng)，能夠很好的維護業(yè)務(wù)系統(tǒng)中各主機、設(shè)備的登錄授權(quán)信息，基線核查系統(tǒng)充分考慮配置檢查工作的方便性，能夠和4A系統(tǒng)或者堡壘機系統(tǒng)對接，自動化獲取被檢查目標(biāo)系統(tǒng)的登錄授權(quán)信息，批量檢查業(yè)務(wù)系統(tǒng)安全配置，使配置檢查操作簡單易用。自定義安全配置檢查項目通常網(wǎng)絡(luò)環(huán)境的情況是，設(shè)備類型逐漸增多，各種服務(wù)平臺被應(yīng)用，應(yīng)用軟件不斷更新升級，這些變化給安全配置檢查帶來一定的困難。作為Checklist知識庫的補充，基線核查系統(tǒng)提供自定義安全配置檢查功能，可以由用戶根據(jù)需要或者行業(yè)標(biāo)準(zhǔn)，自行制定對目標(biāo)系統(tǒng)執(zhí)行的各種安全配置檢查操作，可以形成針對自身單位或行業(yè)的自定義安全配置檢查模板。自定義安全配置檢查的功能讓安全管理員能夠很好的適應(yīng)網(wǎng)絡(luò)情況的變化，對產(chǎn)品暫不支持的安全規(guī)范或配置檢查點，都可以通過自定義安全配置檢查功能輕松實現(xiàn)。威脅態(tài)勢感知在運維管理區(qū)，部署威脅態(tài)勢感知系統(tǒng)，有效支撐安全監(jiān)控部門開展網(wǎng)絡(luò)安全工作，實時掌握網(wǎng)絡(luò)安全態(tài)勢，及時掌握重要信息系統(tǒng)相關(guān)網(wǎng)絡(luò)安全威脅風(fēng)險，及時檢測漏洞、病毒木馬、網(wǎng)絡(luò)攻擊情況，及時發(fā)現(xiàn)網(wǎng)絡(luò)安全事件線索，及時通報預(yù)警重大網(wǎng)絡(luò)安全威脅，調(diào)查、防范和打擊網(wǎng)絡(luò)攻擊等惡意行為。產(chǎn)品功能威脅態(tài)勢感知系統(tǒng)專注于從網(wǎng)絡(luò)入侵、異常流量、系統(tǒng)漏洞、網(wǎng)站安全、僵木蠕五大部分進行安全態(tài)勢感知，能夠覆蓋各種安全運營場景。網(wǎng)絡(luò)入侵態(tài)勢感知尤其是對“基于對抗的智能態(tài)勢感知預(yù)警模型”的相關(guān)研究，威脅態(tài)勢感知系統(tǒng)吸收了“殺傷鏈”（KillChain）和“攻擊樹”（AttackTree）等相關(guān)理論，形成了獨有的推理決策引擎，借助大數(shù)據(jù)安全分析系統(tǒng)的分布式數(shù)據(jù)庫，可以實現(xiàn)網(wǎng)絡(luò)入侵態(tài)勢感知。經(jīng)過實際測試，在網(wǎng)絡(luò)帶寬1Gbps的典型環(huán)境中，入侵檢測系統(tǒng)每日的日志在20萬條左右，經(jīng)過“入侵威脅感知引擎”分析處理后，形成500個左右的威脅事件，再經(jīng)過“APT攻擊推理引擎”分析處理后，僅僅形成10-20個攻擊成功的事件。數(shù)據(jù)壓縮率達(dá)到萬分之一，大幅節(jié)省數(shù)據(jù)處理的時間成本和人工成本。異常流量態(tài)勢感知目前，DDoS攻擊越來越頻繁，尤其針對發(fā)達(dá)地區(qū)和重點業(yè)務(wù)。在2016年第一季度，全球范圍內(nèi)的DDoS攻擊事件頻發(fā)。從重大攻擊事件分析，追逐利益仍然是黑客攻擊的主要動機，“黑客主義”事件也在不斷挑戰(zhàn)重要單位的門戶網(wǎng)站。在抗拒絕服務(wù)攻擊方面，可以對全網(wǎng)流量進行深度流檢測，具有網(wǎng)絡(luò)流量自學(xué)習(xí)功能，與同類產(chǎn)品相比誤報率降低80%以上。網(wǎng)絡(luò)流量分析系統(tǒng)可以準(zhǔn)確發(fā)現(xiàn)DDoS攻擊事件并掌握攻擊源、攻擊目的、攻擊總流量和峰值流量，協(xié)助客戶準(zhǔn)確掌握網(wǎng)絡(luò)DDoS攻擊態(tài)勢。僵木蠕態(tài)勢感知僵尸網(wǎng)絡(luò)、木馬、蠕蟲病毒三者合稱“僵木蠕”。僵木蠕對互聯(lián)網(wǎng)和單位內(nèi)部網(wǎng)絡(luò)危害非常巨大。僵木蠕消耗大量網(wǎng)絡(luò)帶寬，引起ARP攻擊等問題，造成骨干網(wǎng)絡(luò)癱瘓。同時受到僵木蠕傳染的主機受到命令控制服務(wù)器的控制，成為DDoS攻擊的幫兇。更為嚴(yán)重的是，目前大多數(shù)僵木蠕的命令控制服務(wù)器位于海外，對國家網(wǎng)絡(luò)安全造成嚴(yán)重的威脅。針對僵木蠕的傳播特點，對網(wǎng)絡(luò)上傳播的僵木蠕進行識別，并追蹤溯源僵木蠕的傳播路徑、控制命令路徑，最終追蹤溯源發(fā)現(xiàn)命令控制服務(wù)器。通過發(fā)現(xiàn)的命令控制服務(wù)器，再反查受控主機，最終實現(xiàn)對僵木蠕網(wǎng)絡(luò)態(tài)勢的感知，為后續(xù)采取行動打擊僵木蠕創(chuàng)造條件系統(tǒng)漏洞態(tài)勢感知黑客攻擊本質(zhì)上是利用系統(tǒng)存在的安全漏洞對系統(tǒng)進行危害。因此要避免黑客攻擊，一個重要的安全防護手段就是在黑客之前發(fā)現(xiàn)重要信息系統(tǒng)存在的脆弱性問題，并進行修補，做到防患于未然。依托漏洞掃描系統(tǒng)，可以發(fā)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)脆弱性，形成脆弱性態(tài)勢感知。網(wǎng)站安全態(tài)勢感知網(wǎng)站作為網(wǎng)絡(luò)信息系統(tǒng)對外提供服務(wù)的重要窗口，面臨的安全威脅也是最多的。對重要網(wǎng)站信息系統(tǒng)的黑客攻擊，不僅會對網(wǎng)站造成嚴(yán)重破壞，還會讓黑客能夠利用被黑網(wǎng)站對網(wǎng)站瀏覽者進行攻擊，造成更為惡劣的影響。因此，需要對網(wǎng)站的安全態(tài)勢進行監(jiān)控，及時發(fā)現(xiàn)網(wǎng)站安全問題。網(wǎng)站安全態(tài)勢感知，可以及時監(jiān)控到網(wǎng)站漏洞情況，發(fā)現(xiàn)網(wǎng)站掛馬、網(wǎng)頁篡改、域名劫持等黑客攻擊行為，對網(wǎng)站平穩(wěn)度、網(wǎng)站敏感內(nèi)容等進行持續(xù)監(jiān)控，并有效進行運維管理，從而避免因為網(wǎng)站出現(xiàn)問題導(dǎo)致公眾問題。終端安全在運維管理區(qū)，部署防病毒管控中心。產(chǎn)品功能領(lǐng)先的云引擎防病毒管控中心為單位提供數(shù)倍于傳統(tǒng)單位殺毒軟件的能力的同時，終端資源占用相對于傳統(tǒng)本地庫的殺毒軟件大為降低。邊界聯(lián)動防御通過對外界程序進入電腦的監(jiān)控，與云端及動態(tài)行為分析系統(tǒng)聯(lián)動，阻止威脅于入口之外，攔截私有敏感行為，迅速發(fā)現(xiàn)未知新威脅,使其在尚未被運行時即可被判定為安全或不安全，上報至信息管理中心，便于追溯惡意程序的來源、感染路徑。這樣管理員清晰找出單位內(nèi)部邊防的薄弱地帶，最大限度地保障對單位內(nèi)部計算機的安全防護。動態(tài)行為分析對通過邊界聯(lián)動防御上報來的未知文件，進行全生命周期內(nèi)的行為分析。在規(guī)模化的虛擬機中分析文件的進程操作行為、文件操作行為、系統(tǒng)配置操作行為、網(wǎng)絡(luò)通信行為等關(guān)鍵行為，提供系統(tǒng)運行過程中的截圖；通過這些行為組合綜合判斷是否為安全的文件。鎧甲防御系統(tǒng)鎧甲防御技術(shù)中的行為攔截模式，是基于多步行為的綜合判定，是擁有廣譜特征匹配的啟發(fā)式行為判定。擁有廣譜特征匹配的啟發(fā)式行為判定就是指一個規(guī)則可以對應(yīng)很多種的行為和一些行為的變種。通過熵，SVM，人臉識別算法等鎧甲防御是全新架構(gòu)的防御體系，擁有超強抽象能力的本地行為啟發(fā)引擎，擁有很強的自我學(xué)習(xí)能力，無需頻繁升級病毒特征庫，就能直接查殺未知新病毒，尤其是在流行病毒的變種分析上，結(jié)合火眼行為分析，大幅度提升防御與病毒檢出能力。虛擬化支持同無代理保護一樣，輕客戶端模式在系統(tǒng)中心也集成一個任務(wù)調(diào)度系統(tǒng)，負(fù)責(zé)所有高性能消耗的工作調(diào)度。安裝在虛擬機上的“輕終端”將快速響應(yīng)調(diào)度器的統(tǒng)一指令，使得服務(wù)器整體時時刻刻保持很低的負(fù)載，從而將其對機器性能的影響降到最低。智能漏洞修復(fù)針對病毒利用系統(tǒng)漏洞傳播的新趨勢，防病毒管控中心率先采用了分布式的漏洞掃描及修復(fù)技術(shù)。管理員通過管理節(jié)點獲取終端主動智能上報的漏洞信息，再精確部署漏洞修復(fù)程序；其通過代理下載修復(fù)程序的方式，極大地降低了網(wǎng)絡(luò)對外帶寬的占用。全網(wǎng)漏洞掃描及修復(fù)過程無需人工參與，且能夠在終端用戶未登錄或以受限用戶登錄情況下進行。并且提供了對終端系統(tǒng)漏洞管理功能，可以精確的了解全網(wǎng)終端的系統(tǒng)漏洞情況。軟件管理為便于管理員集中管理全網(wǎng)軟件資產(chǎn)，防病毒管控中心提供軟件統(tǒng)計、軟件禁用管理、軟件卸載管理、軟件分發(fā)管理功能，構(gòu)建由軟資產(chǎn)采集到軟件行為監(jiān)控再到軟件行為管理的立體式軟資產(chǎn)管理模型。大幅度提高工作效率降低管理成本。系統(tǒng)優(yōu)化防病毒管控中心提供了系統(tǒng)優(yōu)化功能，有效的幫助用戶對開機啟動項目進行管理，找到影響開機速度、影響電腦運行效率的軟件，通過系統(tǒng)優(yōu)化功能提升系統(tǒng)的運行效率，降低不必要的資源消耗。垃圾清理防病毒管控中心系統(tǒng)的垃圾清理新增52項清理垃圾規(guī)則和21項痕跡清理規(guī)則，提供的垃圾清理功能，能夠協(xié)助終端用戶對上網(wǎng)產(chǎn)生的垃圾文件、看視頻和聽音樂產(chǎn)生的緩存以及Windows系統(tǒng)產(chǎn)生的垃圾文件進行有效的清除；清除使用計算機時留下的各種痕跡，有效保護個人隱私；清理注冊表可以加快系統(tǒng)速度。保證電腦快速健康的運轉(zhuǎn)。數(shù)據(jù)庫審計及統(tǒng)方監(jiān)管在運維管理區(qū)，部署數(shù)據(jù)庫審計系統(tǒng)，通過對醫(yī)院的海量、無序的數(shù)據(jù)庫訪問操作進行整理及分析，按需記錄工作人員對數(shù)據(jù)庫的操作行為，提供豐富的檢索和關(guān)聯(lián)分析，輸出完整的事件報告，供相關(guān)人員分析。產(chǎn)品功能全面數(shù)據(jù)庫入侵監(jiān)控本系統(tǒng)支持全局策略配置，根據(jù)【數(shù)據(jù)庫類型】和【業(yè)務(wù)類型】添加不同的規(guī)則組，可引用不同的數(shù)據(jù)庫開啟監(jiān)控策略，以提供業(yè)界最為全面的數(shù)據(jù)庫攻擊行為監(jiān)控技術(shù)：漏洞攻擊檢測技術(shù)：針對CVE公布的漏洞庫，提供漏洞特征檢測技術(shù)；SQL注入監(jiān)控技術(shù)：提供SQL注入特征庫；高危訪問監(jiān)控技術(shù)：在指定時間周期內(nèi)，根據(jù)不同的訪問來源，如：客戶單IP、數(shù)據(jù)庫用戶、MAC地址、操作系統(tǒng)、主機名，以及應(yīng)用關(guān)聯(lián)的用戶、ip等元素設(shè)置訪問策略；高危操作控制技術(shù)：針對不同訪問來源，提供對數(shù)據(jù)庫表、函數(shù)、存儲過程等對象的高危操作行為監(jiān)控，返回行超標(biāo)監(jiān)控技術(shù)：提供對敏感表的返回行數(shù)監(jiān)控；快速的入庫檢索本系統(tǒng)具備高效的日志檢索能力，實現(xiàn)審計記錄的快速查詢。當(dāng)設(shè)備旁路進入網(wǎng)絡(luò)，即可對添加的數(shù)據(jù)庫進行協(xié)議解析，并對解析內(nèi)容快速入庫建立索引文件。從而在審計分析時實現(xiàn)高效的查詢機制。索引文件和數(shù)據(jù)表文件如果損壞，系統(tǒng)會啟用自動修復(fù)機制，以確保系統(tǒng)日志查詢時的有效性和準(zhǔn)確性。準(zhǔn)確的識別定位本系統(tǒng)提供強大的應(yīng)用行為描述方法，并結(jié)合數(shù)據(jù)庫行為建模，將誤報率降低為“零”。本系統(tǒng)基于精確應(yīng)用關(guān)聯(lián)審計功能，通過關(guān)聯(lián)應(yīng)用層的訪問和數(shù)據(jù)庫層的訪問操作請求，可以追溯到應(yīng)用層的原始訪問者及請求信息（如：操作發(fā)生的URL、客戶端的IP等信息），以確定符合數(shù)據(jù)庫操作請求的WEB訪問，通過應(yīng)用關(guān)聯(lián)審計精準(zhǔn)的定位事件發(fā)生前后所有層面的訪問及操作請求。產(chǎn)品提供多種查詢條件，并實現(xiàn)正向和逆向查詢檢索，基于時間、原地址、對象、關(guān)鍵字等十幾種審計要素進行信息篩選，節(jié)約合規(guī)成本為迎合等保法規(guī)對安全審計產(chǎn)品日志存儲的要求，本系統(tǒng)引用高壓縮比數(shù)據(jù)存儲機制。根據(jù)設(shè)置可自動對審計日志進行備份和壓縮存儲到系統(tǒng)硬盤。產(chǎn)品支持審計日志導(dǎo)出和外掛存儲能力?？捎行У拇_保三個月或半年的百億級日志存儲。系統(tǒng)提出【高壓縮】和【高性能】兩種日志備份存儲方案，以滿足不同現(xiàn)場壓力下的備份存儲機制有效運行。終端準(zhǔn)入在運維管理區(qū)，部署終端準(zhǔn)入系統(tǒng)，廣泛地結(jié)合用戶已有的交換機、殺毒軟件、AD域、LDAP服務(wù)器等，并完全實踐了“入網(wǎng)-在網(wǎng)-出網(wǎng)”的整體化流程。能夠達(dá)到“違規(guī)不入網(wǎng)、入網(wǎng)必合規(guī)”的管理規(guī)范。產(chǎn)品功能邊界控制管理對于國內(nèi)大部分機構(gòu)而言，內(nèi)部網(wǎng)絡(luò)環(huán)境都混合了多廠商的設(shè)備，終端準(zhǔn)入系統(tǒng)遍歷各種交換、路由設(shè)備制造商，能夠兼容國內(nèi)各種混合網(wǎng)絡(luò)環(huán)境，在此基礎(chǔ)上提供從802.1x、PBR（Policy–Based-Routing）、MVG的各種邊界控制強度的實現(xiàn)方案，終端準(zhǔn)入系統(tǒng)準(zhǔn)入控制系統(tǒng)是真正適合國內(nèi)網(wǎng)絡(luò)環(huán)境的方案，也是眾多用戶的第一選擇。利用各種網(wǎng)絡(luò)控制技術(shù)，實現(xiàn)在各種網(wǎng)絡(luò)環(huán)境下適應(yīng)性，終端準(zhǔn)入系統(tǒng)能夠幫助用戶快速實現(xiàn)對于內(nèi)網(wǎng)邊界的規(guī)劃?？梢詫崿F(xiàn)基于接入層邊界的控制和基于重要資源邊界的控制。人員認(rèn)證管理終端準(zhǔn)入系統(tǒng)能夠提供廣泛的身份認(rèn)證功能，以及基于人員角色的權(quán)限控制功能，從而在識別、授權(quán)、審計等多個角度對內(nèi)網(wǎng)邊界設(shè)立好人員管理的第一道防線。本地用戶名/密碼通過管理者在終端準(zhǔn)入系統(tǒng)中內(nèi)建用戶名/密碼，具有中小規(guī)模網(wǎng)絡(luò)的機構(gòu)能夠迅速地對所有接入內(nèi)網(wǎng)安全邊界的人員進行識別和授權(quán)。由于提供了相當(dāng)大限度的自定義字段，管理者能夠?qū)γ總€人員的身份特征進行描述，從而便于在后期進行更為詳細(xì)的入網(wǎng)審計和統(tǒng)計。Email絕大多數(shù)機構(gòu)都內(nèi)建了E-mail系統(tǒng)，利用POP3協(xié)議及其他郵件協(xié)議，終端準(zhǔn)入系統(tǒng)能夠和機構(gòu)已有的E-mail系統(tǒng)進行身份銜接。用戶在入網(wǎng)時能夠憑借已有的郵箱/口令進行快速認(rèn)證，并得到相應(yīng)的訪問授權(quán)。RadiusRadius協(xié)議是具有廣泛應(yīng)用基礎(chǔ)的認(rèn)證/授權(quán)/計費標(biāo)準(zhǔn)，在包括802.1x、交換機安全登錄、VPN撥號等諸多環(huán)境中都能夠提供唯一的、有力的支撐。終端準(zhǔn)入系統(tǒng)從大量的802.1x部署環(huán)境中獲取了與第三方RadiusServer聯(lián)動的豐富經(jīng)驗，在各種Radius環(huán)境下均能夠迅速實現(xiàn)用戶的識別與認(rèn)證。LDAPLDAP（LightweightDirectoryAccessProtocol）是相比Radius更為專業(yè)的得到關(guān)于人或資源的集中及靜態(tài)數(shù)據(jù)的快速方式。被廣泛運用于利用數(shù)字證書進行人員識別的系統(tǒng)中。終端準(zhǔn)入系統(tǒng)能夠?qū)Ρ姸嗷贚DAP的認(rèn)證系統(tǒng)進行身份認(rèn)證聯(lián)動，在提取出其中的用戶信息后進行相關(guān)的用戶認(rèn)證、審計和授權(quán)管理。AD域AD（ActiveDirectory）是基于Windows系統(tǒng)的強大而有效的安全管理工具。由于在目錄中包含了有關(guān)各種對象（例如：用戶、用戶組、計算機、域、組織單位（OU）以及安全策略）的信息，終端準(zhǔn)入系統(tǒng)能夠從中獲取到相比其他認(rèn)證系統(tǒng)/接口更為詳細(xì)的管理信息。終端準(zhǔn)入系統(tǒng)優(yōu)秀的AD同步功能能夠一次性或按需從AD中自動請求有關(guān)用戶的所有相關(guān)字段，配合已部署的AD域?qū)崿F(xiàn)安全準(zhǔn)入功能。終端準(zhǔn)入系統(tǒng)還能夠提供AD域環(huán)境下的單點登錄，為機構(gòu)提供更多的管理便捷性。短信在管理者登記了所有授權(quán)入網(wǎng)用戶的移動電話后，終端準(zhǔn)入系統(tǒng)能夠迅速跟運營商或用戶網(wǎng)絡(luò)中的短信平臺進行結(jié)合，為入網(wǎng)用戶提供更方便的利用動態(tài)短信驗證碼進行認(rèn)證的入網(wǎng)訪問驗證方式。結(jié)合終端準(zhǔn)入系統(tǒng)自建的用戶名+密碼認(rèn)證方式，還可以搭建靜態(tài)+動態(tài)密碼的雙因素認(rèn)證，從而為機構(gòu)提供更高層次的安全接入保障。提供自主研發(fā)的短信Modem，可以獲得與終端準(zhǔn)入系統(tǒng)更高的集成性和穩(wěn)定性。生物指紋隨著生物信息技術(shù)的發(fā)展，利用個人特征進行識別的人員管理模式在眾多行業(yè)的管理模式中均得到了應(yīng)用，如虹膜、指紋、語音等。由于這些生物特征具有唯一性和永久性，且無需人員進行預(yù)先設(shè)置和記憶，因此具有其他記憶和攜帶類認(rèn)證方式所不具有的突出優(yōu)點。終端準(zhǔn)入系統(tǒng)在行業(yè)內(nèi)率先推出了與眾多品牌個人指紋識別系統(tǒng)進行結(jié)合的身份認(rèn)證模塊，能夠利用用戶的指紋識別系統(tǒng)作為入網(wǎng)人員身份的采集點，并結(jié)合內(nèi)置的角色管理、授權(quán)審計模塊進行更細(xì)致的人員入網(wǎng)訪問管理，從而更適合高端用戶基于邊界的用戶認(rèn)證管理需求。其他第三方認(rèn)證方式終端準(zhǔn)入系統(tǒng)提供了行業(yè)內(nèi)領(lǐng)先的第三方認(rèn)證接口API，您可以通過網(wǎng)絡(luò)中已有的各種身份系統(tǒng)與終端準(zhǔn)入系統(tǒng)進行無縫對接，終端準(zhǔn)入系統(tǒng)能夠從各種以其他方式存儲賬號/口令的第三方系統(tǒng)（如OA服務(wù)器等）獲取到需要進行授權(quán)的人員信息，并結(jié)合機構(gòu)所制定的安全策略進行相應(yīng)的角色劃分和訪問授權(quán)。設(shè)備規(guī)范管理機構(gòu)自身的安全規(guī)范是隱居于抽屜、文件夾或墻頭真正的安全管理高手，準(zhǔn)入控制的意義就在于釋放出安全規(guī)范中所包含的真正的安全意蘊，遵循ISMS的框架性指導(dǎo)，用技術(shù)平臺的手段實現(xiàn)安全規(guī)范的意義，管理者的思路能夠在終端準(zhǔn)入系統(tǒng)中真正得到展示。終端準(zhǔn)入系統(tǒng)充分利用了PDCA的管理模型，通過準(zhǔn)入控制的技術(shù)手段加強了“Do”、“Check”和“Act”這3個在內(nèi)網(wǎng)管理中傳統(tǒng)的弱勢環(huán)節(jié)。在終端準(zhǔn)入系統(tǒng)數(shù)年所歷經(jīng)的大型網(wǎng)絡(luò)用戶中，積累了關(guān)于各行業(yè)的規(guī)范特征，并最終形成了更適合用戶行業(yè)特點的核心規(guī)范庫，終端準(zhǔn)入系統(tǒng)的核心規(guī)范庫與設(shè)備識別、用戶認(rèn)證、行為監(jiān)測等共同構(gòu)成了幾十項的內(nèi)網(wǎng)安全要素集合，這就克服了老舊控制技術(shù)單一利用MAC地址、用戶認(rèn)證等極少量安全要素進行管理的短板。通用規(guī)范終端準(zhǔn)入系統(tǒng)所提供的機構(gòu)內(nèi)網(wǎng)安全管理的通用規(guī)范包括：設(shè)備識別——根據(jù)IP、MAC、操作系統(tǒng)、硬盤ID系統(tǒng)指紋等特征完整地給出接入設(shè)備的形態(tài)，從而幫助管理者區(qū)分內(nèi)部設(shè)備與外部設(shè)備，授權(quán)設(shè)備與非授權(quán)設(shè)備，已注冊設(shè)備與未知設(shè)備等多種管理形態(tài)。用戶認(rèn)證——依托于終端準(zhǔn)入系統(tǒng)強大完善的認(rèn)證系統(tǒng)，能夠提供給管理者基于用戶的角色管理，賦予不同的用戶不同的訪問權(quán)限、所使用設(shè)備的安全配置要素及網(wǎng)絡(luò)行為準(zhǔn)則。AV（Anti-Virus，防病毒軟件）健康保障——眾多的機構(gòu)都部署了防病毒軟件，但在實際使用中往往存在漏裝、不更新病毒庫或殺毒引擎、或意外卸載的諸多問題，管理者定期的統(tǒng)計數(shù)據(jù)表明，國內(nèi)機構(gòu)內(nèi)防病毒軟件的安裝/運行率一般徘徊在60%~70%之間。因此，針對機構(gòu)內(nèi)防病毒軟件的健康性保障系統(tǒng)是幫助管理者增強防御水平，降低管理成本的有效手段。終端準(zhǔn)入系統(tǒng)能夠針對主流的十幾類殺毒軟件進行健康性保障，基于用戶所規(guī)劃的邊界，確保在終端設(shè)備接入邊界時就自動提升殺毒軟件的健康程度，從而在終端設(shè)備最重要的安全配置上實施強制管理。系統(tǒng)補?。≒atch）健康保障——如果操作系統(tǒng)不及時更新補丁，那么任何漏洞都會變成0day威脅，從而對設(shè)備、使用者甚至是機構(gòu)造成巨大的威脅和損失。終端準(zhǔn)入系統(tǒng)依托于Microsoft每月補丁更新，及自身專業(yè)補丁檢測團隊，為用戶提供更合適的補丁分級管理機制，確保檢測過的補丁具有更高的穩(wěn)定性和安全針對性。由于終端準(zhǔn)入系統(tǒng)自身集成了補丁服務(wù)器功能，因此不需要用戶額外搭建WSUS等補丁設(shè)施，從而有效降低了內(nèi)網(wǎng)管理的TCO。行業(yè)特征規(guī)范醫(yī)療衛(wèi)生——類似于金融機構(gòu)所擁有的消費及賬號信息，醫(yī)療機構(gòu)中存儲的大量醫(yī)藥、患者信息由于其重要性及涉及到的非法利益鏈，日益成為網(wǎng)絡(luò)安全事件的焦點所在，而在眾多醫(yī)療機構(gòu)紛紛加固服務(wù)器自身安全的同時，內(nèi)網(wǎng)邊界的模糊、內(nèi)網(wǎng)接入終端的缺乏管理、人員控制成為了自身的另一塊短板。終端準(zhǔn)入系統(tǒng)在大量醫(yī)療機構(gòu)中搭建了防御于服務(wù)器區(qū)域之前的堅強壁壘，通過強大的控制系統(tǒng)，終端準(zhǔn)入系統(tǒng)能夠在內(nèi)網(wǎng)接入層邊界進行布防，利用設(shè)備識別/用戶認(rèn)證/hub及NAT管理等手段進行嚴(yán)密的內(nèi)網(wǎng)接入規(guī)范。終端準(zhǔn)入系統(tǒng)提供的近30項安全要素規(guī)范庫，能夠充分滿足企業(yè)機構(gòu)對接入終端設(shè)備多樣性的安全配置及安全操作要求。另外在終端準(zhǔn)入系統(tǒng)的規(guī)范系統(tǒng)中還提供了行業(yè)內(nèi)最全面的來賓管理模塊，依據(jù)管理嚴(yán)格度從低到高可以分別配置為：禁止訪客非授權(quán)入網(wǎng)；對試圖入網(wǎng)的訪客進行有效審計；對部分訪客進行審核后允許入網(wǎng)；訪客入網(wǎng)后權(quán)限受到控制；明確訪客訪問的內(nèi)部員工對象，進行一對一監(jiān)管；訪客入網(wǎng)有時效限制，超過規(guī)定時間自動出網(wǎng)，如需入網(wǎng)則必須再次向管理員申請等。操作行為管理出于對NAC理念全面理解的終端準(zhǔn)入系統(tǒng)，除了在邊界位置履行對人員和設(shè)備控制的基本NAC職責(zé)外，更提供了延續(xù)到人員和設(shè)備入網(wǎng)后的行為、狀態(tài)變更、維護等綜合管理。能夠在用戶及設(shè)備入網(wǎng)后，提供機構(gòu)管理策略的延展性，可配置的策略能夠搭建用戶/設(shè)備入網(wǎng)后的全面管理規(guī)范，包括：對用戶各種操作的監(jiān)控和響應(yīng)：ip更改違規(guī)軟件使用必須安裝軟件隨意卸載網(wǎng)絡(luò)訪問操作安全檢查違規(guī)計算機設(shè)備狀態(tài)變更的監(jiān)控和響應(yīng)設(shè)備變更系統(tǒng)環(huán)境變更入/出網(wǎng)狀態(tài)變更開/關(guān)機狀態(tài)變更計算機設(shè)備的統(tǒng)一維護管理類別管理設(shè)備信息管理軟件分發(fā)服務(wù)管理終端探測違規(guī)外聯(lián)管控（單獨授權(quán)模塊）終端外聯(lián)行為檢測終端外聯(lián)行為阻斷外聯(lián)行為記錄違規(guī)外聯(lián)報警U盤數(shù)據(jù)加密管控（單獨授權(quán)模塊）U盤強制加密U盤注冊審核U盤使用權(quán)限控制非法U盤禁用資產(chǎn)管理（單獨授權(quán)模塊）終端硬件資產(chǎn)信息收集終端軟件資產(chǎn)信息收集終端硬件資產(chǎn)變動收集終端軟件資產(chǎn)變動收集終端資產(chǎn)變動排行任務(wù)管控終端軟件安裝包分發(fā)終端批處理腳本分發(fā)終端消息通知分發(fā)入網(wǎng)后，直至設(shè)備出網(wǎng)或下線的管理保證了接入控制的延續(xù)性，同時更符合機構(gòu)對各類規(guī)范/制度的連續(xù)性要求，確保網(wǎng)絡(luò)管理與維護者的工作不存在盲點和漏洞，準(zhǔn)入控制也真正成為一個能夠維系和把控內(nèi)網(wǎng)各種流程安全的平臺性方案。視角報表管理終端準(zhǔn)入系統(tǒng)中提供多種查看安全威脅點的方法和方式。系統(tǒng)使用人員可以從自己關(guān)注的起始點出發(fā)逐級進行查看。所有安全狀態(tài)均提供了豐富的報表輸出。基于網(wǎng)絡(luò)管理的整體視圖架設(shè)在用戶網(wǎng)絡(luò)中的終端準(zhǔn)入系統(tǒng)能夠?qū)W(wǎng)絡(luò)設(shè)備進行自動發(fā)現(xiàn)，同時能夠利用telnet、snmp、ssh等方式對機構(gòu)的所有網(wǎng)絡(luò)設(shè)備（switch、router、firewall、vpn等）進行更全面的統(tǒng)一管理，通過優(yōu)化的算法，為用戶快速生成全網(wǎng)的整體視圖。利用終端準(zhǔn)入系統(tǒng)的整體網(wǎng)絡(luò)視圖，用戶能夠直觀地獲得所轄網(wǎng)絡(luò)的基礎(chǔ)設(shè)施資產(chǎn)概況、物理分布、連接狀況、地址分配、所有物理位置的接入設(shè)備狀況利用報表系統(tǒng)，終端準(zhǔn)入系統(tǒng)能夠幫助管理者統(tǒng)計出全網(wǎng)接入設(shè)備的數(shù)量；利用網(wǎng)絡(luò)整體視圖，管理者則能夠進一步明確接入設(shè)備的位置和分布狀況?；诙丝诘目臻g定位在整體視圖的基礎(chǔ)上，終端準(zhǔn)入系統(tǒng)能夠勾勒出所有網(wǎng)絡(luò)設(shè)備的面板視圖，并展現(xiàn)出各個端口的運行狀態(tài)，從而從物理位置/空間角度更形象地向用戶傳遞所有即時接入信息。利用遞進式的展現(xiàn)頁面，管理者更能夠獲取到從端口到下聯(lián)設(shè)備、設(shè)備安全狀況直至設(shè)備詳情的4層安全信息。事件/時間交互定位在大部分的網(wǎng)絡(luò)安全方案忽視/忽略時間維度的情況下，終端準(zhǔn)入系統(tǒng)能夠在行業(yè)內(nèi)提供領(lǐng)先的時間維度的安全定位。通過將所有事件（入網(wǎng)、出網(wǎng)、上線、下線、認(rèn)證、評估、監(jiān)測等）以時間維度進行串聯(lián)，管理者能夠獲取到以時間段為中心軸的事件體系報告，從而能夠?qū)r間進行事件定位；終端準(zhǔn)入系統(tǒng)還支持通過查詢事件得出對應(yīng)的時間報表，并得出事件的時間分布狀況，以及同一類型的事件的歸類視圖。通過事件/時間的交互定位管理，管理者能夠?qū)W(wǎng)絡(luò)中深層次的運維狀況進行具有連續(xù)性的統(tǒng)計和管理，將所有的接入網(wǎng)絡(luò)/組成網(wǎng)絡(luò)的終端進行歸納，形成一個不斷發(fā)展，不斷治理的內(nèi)網(wǎng)管理體系。日志審計建設(shè)建設(shè)方案在運維管理區(qū)中旁路部署日志審計系統(tǒng)，針對大量分散設(shè)備的異構(gòu)日志進行集中采集、統(tǒng)一管理、存儲、統(tǒng)計分析，滿足等保合規(guī)要求、高效統(tǒng)一管理資產(chǎn)日志并為安全事件的事后取證提供依據(jù)。產(chǎn)品介紹綠盟安全審計系統(tǒng)[日志審計](NSFOCUSSAS[L])包含日志采集、日志管理、資產(chǎn)管理、事件管理、告警管理、報表管理、系統(tǒng)管理以及用戶管理等八大核心功能。通過內(nèi)置的日志采集功能可實時采集不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機、操作系統(tǒng)以及各種應(yīng)用系統(tǒng)產(chǎn)生的日志信息，然后經(jīng)過統(tǒng)一的日志管理過程，如日志范式化處理等，將采集來的海量的異構(gòu)的日志信息進行集中化的解析和存儲，結(jié)合資產(chǎn)管理模塊、事件告警模塊的相關(guān)規(guī)則以及配置，形成事件告警信息，用戶可基于這些進行原始日志、范式化日志以及事件、告警等信息的查詢，并可通過豐富靈活的日志報表功能進行可視化的查看，實現(xiàn)對日志的全生命周期管理。采用當(dāng)前最為流行高效的大數(shù)據(jù)架構(gòu)，支持高性能的多端口采集、高適應(yīng)性的日志采集，可基于主流協(xié)議實時采集不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機、操作系統(tǒng)以及各種應(yīng)用系統(tǒng)產(chǎn)生的日志信息。經(jīng)過高效的統(tǒng)一處理日志，結(jié)合基于規(guī)則的事件分析以及交互式語義提供非常靈活的事件分析規(guī)則以及交互式查詢方式，提供內(nèi)置的豐富報表模版、靈活自定義的報表模版功能、可按需配置的可視化統(tǒng)計圖表。此外，綠盟安全審計系統(tǒng)[日志審計](NSFOCUSSAS[L])提供可靈活擴展的存儲方案，可滿足等保合規(guī)等法律法規(guī)規(guī)定的日志存儲需要。全面集中的日志管理支持SYSLOG、SNMPTrap、FTP、SFTP、JDBC、ODBC、Netflow等多種日志采集方式，支持但不限于網(wǎng)絡(luò)設(shè)備，如交換機、路由器、網(wǎng)關(guān)等。安全設(shè)備，如防火墻、入侵防護、網(wǎng)閘、防毒墻等。安全系統(tǒng)，如身份認(rèn)證系統(tǒng)、授權(quán)管理系統(tǒng)等。應(yīng)用系統(tǒng)，如郵件系統(tǒng)、OA系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、中間件系統(tǒng)等。業(yè)務(wù)系統(tǒng)，如ERP系統(tǒng)、CRM系統(tǒng)等。綠盟安全審計系統(tǒng)[日志審計](NSFOCUSSAS[L])可以支持有代理和無代理兩種日志采集方式和多種標(biāo)準(zhǔn)協(xié)議。通過數(shù)據(jù)采集、數(shù)據(jù)理解引擎、數(shù)據(jù)抽取和數(shù)據(jù)清洗等操作，將各種應(yīng)用系統(tǒng)和設(shè)備的日志進行預(yù)處理，幫助管理員把海量日志進行去噪，提取其中人們事先不知道，但潛在有用的信息和知識，進行事件關(guān)聯(lián)分析。獨家數(shù)據(jù)強化技術(shù)根據(jù)綠盟科技對攻防研究的長期積累，提供一套簡潔有效的日志統(tǒng)一分類，使用獨有的技術(shù)將日志快速標(biāo)準(zhǔn)化，并基于安全分析需要進行數(shù)據(jù)的過濾和強化，丟棄無法用的噪音信息，提升日志查詢和分析效率。海量的日志處理能力使用大數(shù)據(jù)技術(shù)，在并發(fā)內(nèi)存內(nèi)處理機制方面能夠帶來數(shù)倍于其它采用磁盤訪問方式的解決方案，借助離線計算引擎在小時級別內(nèi)，即可完成對海量日志的處理。方案效益滿足《中華人民共和國網(wǎng)絡(luò)安全法》、《信息系統(tǒng)安全等級保護基本要求》以及其他行業(yè)的合規(guī)性要求：《中華人民共和國網(wǎng)絡(luò)安全法》中：第二十一條國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：

（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實網(wǎng)絡(luò)安全保護責(zé)任；

（二）采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；

（三）采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月；

（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；

（五）法律、行政法規(guī)規(guī)定的其他義務(wù)?！缎畔⑾到y(tǒng)安全等級保護基本要求》：網(wǎng)絡(luò)安全：安全審計（G2）：應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄；安全服務(wù)安全漏洞掃描服務(wù)服務(wù)范圍安全漏洞掃描服務(wù)可以為客戶提供包括網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、常見應(yīng)用服務(wù)器以及WEB應(yīng)用等范圍的掃描。漏洞掃描的詳細(xì)服務(wù)范圍如下：操作系統(tǒng)Windows、發(fā)行版Linux、AIX、UNIX通用、Solaris、FreeBSD、HP-UX、BSD等主流操作系統(tǒng)。數(shù)據(jù)庫Oracle、MySQL、MSSQL、Sybase、DB2、I下一代防火墻ormix等主流數(shù)據(jù)庫。常見應(yīng)用服務(wù)Apache、IIS、Tomcat、Weblogic等主流應(yīng)用服務(wù)，常見FTP、EMAIL、DNS、TELENT、POP3、SNMP、SMTP、Proxy、RPC服務(wù)等。Web應(yīng)用程序ASP、PHP、JSP、.NET、Perl、Python、Shell等語言編寫的WEB應(yīng)用程序。網(wǎng)絡(luò)設(shè)備常見的路由器、交換機等設(shè)備。服務(wù)內(nèi)容安全漏洞掃描會對信息系統(tǒng)內(nèi)的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用軟件、中間件和服務(wù)等進行安全漏洞識別，詳細(xì)內(nèi)容如下：網(wǎng)絡(luò)層漏洞識別版本漏洞，包括但不限于IOS存在的漏洞，涉及包括所有在線網(wǎng)絡(luò)設(shè)備及安全設(shè)備。開放服務(wù)，包括但不限于路由器開放的Web管理界面、其他管理方式等?？杖蹩诹睿缈?弱telnet口令、snmp口令等。網(wǎng)絡(luò)資源的訪問控制：檢測到無線訪問點，……域名系統(tǒng)：ISCBINDSIG資源記錄無效過期時間拒絕服務(wù)攻擊漏洞，MicrosoftWindowsDNS拒絕服務(wù)攻擊，……路由器：CiscoIOSWeb配置接口安全認(rèn)證可被繞過，Nortel交換機/路由器缺省口令漏洞，華為網(wǎng)絡(luò)設(shè)備沒有設(shè)置口令，…………操作系統(tǒng)層漏洞識別操作系統(tǒng)（包括Windows、AIX和Linux、HPUX、Solaris、VMware等）的系統(tǒng)補丁、漏洞、病毒等各類異常缺陷，……空/弱口令系統(tǒng)帳戶檢測例如：身份認(rèn)證：通過telnet進行口令猜測，……訪問控制：注冊表HKEY_LOCAL_MACHINE普通用戶可寫，遠(yuǎn)程主機允許匿名FTP登錄，ftp服務(wù)器存在匿名可寫目錄，……系統(tǒng)漏洞：SystemV系統(tǒng)Login遠(yuǎn)程緩沖區(qū)溢出漏洞，MicrosoftWindowsLocator服務(wù)遠(yuǎn)程緩沖區(qū)溢出漏洞，……安全配置問題：部分SMB用戶存在薄弱口令，試圖使用rsh登錄進入遠(yuǎn)程系統(tǒng)，…………應(yīng)用層漏洞識別應(yīng)用程序（包括但不限于數(shù)據(jù)庫Oracle、DB2、MSSQL，Web服務(wù)，如Apache、WebSphere、Tomcat、IIS等，其他SSH、FTP等）缺失補丁或版本漏洞檢測，……空弱口令應(yīng)用帳戶檢測。數(shù)據(jù)庫軟件：Oracletnslsnr沒有設(shè)置口令，MicrosoftSQLServer2000Resolution服務(wù)多個安全漏洞，……Web服務(wù)器：ApacheMod_SSL/Apache-SSL遠(yuǎn)程緩沖區(qū)溢出漏洞，MicrosoftIIS5.0.printerISAPI遠(yuǎn)程緩沖區(qū)溢出，SunONE/iPlanetWeb服務(wù)程序分塊編碼傳輸漏洞，……電子郵件系統(tǒng)：Sendmail頭處理遠(yuǎn)程溢出漏洞，MicrosoftWindows2000SMTP服務(wù)認(rèn)證錯誤漏洞，……防火墻及應(yīng)用網(wǎng)管系統(tǒng)：AxentRaptor防火墻拒絕服務(wù)漏洞，……其它網(wǎng)絡(luò)服務(wù)系統(tǒng)：WingatePOP3USER命令遠(yuǎn)程溢出漏洞，Linux系統(tǒng)LPRng遠(yuǎn)程格式化串漏洞，…………服務(wù)流程整個安全漏洞掃描服務(wù)的流程分為三個階段：準(zhǔn)備階段、掃描過程和報告匯報。通過這三個階段結(jié)合安全漏洞掃描內(nèi)容和實際客戶系統(tǒng)情況，完成安全漏洞掃描服務(wù)。準(zhǔn)備階段：前期技術(shù)交流包括相關(guān)安全掃描技術(shù)、掃描原理、掃描方式及掃描條件進行交流和說明；同時商談安全漏洞掃描服務(wù)的范圍，主要是哪些主機，網(wǎng)絡(luò)設(shè)備，應(yīng)用系統(tǒng)等；并結(jié)合實際業(yè)務(wù)情況需求，確定掃描范圍，掃描實施的時間，設(shè)備接入點，IP地址的預(yù)留，配合人員及其他相關(guān)的整體漏掃方案。掃描過程：依據(jù)前期準(zhǔn)備階段的漏掃方案，進行漏洞掃描、漏洞分析和漏洞測試，掃描過程主要是進行范圍內(nèi)的漏洞信息數(shù)據(jù)收集，為下一步的報告撰寫提供依據(jù)和數(shù)據(jù)來源。漏洞掃描，主要采用遠(yuǎn)程安全評估系統(tǒng)進行范圍內(nèi)的安全掃描。漏洞分析，主要是對掃描結(jié)果進行分析，安全工程師會結(jié)合掃描結(jié)果和實際客戶系統(tǒng)狀況，進行安全分析。漏洞驗證，對部分需要人工確定和安全分析的漏洞，進行手工測試，以確定其準(zhǔn)確性和風(fēng)險性。報告與匯報：這個階段主要對現(xiàn)場進行掃描后的數(shù)據(jù)進行安全分析，安全工程師對遠(yuǎn)程安全評估系統(tǒng)輸出的報告，漏洞分析結(jié)果及漏洞測試具體情況進行綜合梳理，分析，總結(jié)。最后