天融信异常流量管理与抗拒绝服务系统
(TopADS系列)
技术白皮书
天融信
TOPSEC?
北京市海淀区上地东路1号华控大厦100085
电话:(86)10-82776666
传真:(86)10-82776677
服务热线:400-610-5119
800-810-5119
Http: //https://www.doczj.com/doc/3712085568.html,
目录
1拒绝服务攻击背景 (1)
1.1拒绝服务攻击定义 (1)
1.2分布式拒绝服务攻击现状 (2)
1.3僵尸网络现状 (3)
1.4典型DD O S攻击原理 (4)
2产品概述 (8)
3产品技术架构 (9)
4产品主要功能 (10)
5产品优势与特点 (11)
5.1先进的新一代S MART AMP并行处理技术架构 (12)
5.2全面的拒绝服务攻击防御能力 (13)
5.3全64位的原生IPV6支持 (13)
5.4完善的应用层攻击防御功能 (13)
5.5灵活多样的部署方式 (14)
5.6针对运营需求的大客户两级保护对象策略 (14)
5.7高可靠的业务保障能力 (15)
5.8可视化的实时报表功能 (15)
6产品典型部署方案 (15)
6.1在线串接部署方式 (16)
6.2旁路部署方式 (16)
7产品型号和规格 (17)
8产品资质 (18)
1拒绝服务攻击背景
1.1 拒绝服务攻击定义
拒绝服务攻击(DOS)定义。DoS是Denial of Service的简称,即拒绝服务,造成DoS 的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS 攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。
分布式拒绝服务(DDoS: Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
在CNCERT出版的《2012年中国互联网网络安全报告》中对拒绝服务攻击的定性是“拒绝服务攻击仍然是影响互联网运行安全最主要的威胁之一”。
拒绝服务攻击的典型场景如下图,通常由攻击者、受攻击服务器和僵尸网络三个要素组成。攻击者只对僵尸控制机发起指令,由僵尸控制机操纵大量的僵尸主机对目标发起大规模拒绝服务攻击。这样可以便于攻击者操作,也有利于隐藏攻击者,使其很难被追踪到。
图1-1 典型DDoS 攻击场景
1.2 分布式拒绝服务攻击现状
有关统计显示,政治动机、恶意竞争、经济犯罪、敲诈勒索是黑客发起DDoS 攻击的主要目的。在国内,北京、上海、广州、深圳的DDoS 攻击事件最多,占全国总量的81.42%。这四个地区的近百个典型数据中心的2013年1~6月攻击统计数据显示,单个数据中心攻击频率不低于200次/月。主要针对数据中心在线业务,攻击目标主要为电子商务、在线游戏、DNS 授权服务、网银支付系统、社交网站、论坛、博客、门户网站。恶意竞争是主要攻击动机,利润越高的在线业务系统,遭受攻击的频率越高,攻击也越持久。现网统计到的针对某电子商务客户最大攻击持续时间为349小时36分钟42秒。2013年1~6月份,国内几乎没有数据中心能免遭DDoS 攻击,事实上数据中心已经成为DDoS 攻击的重灾区。
从统计数据上显示(如下图所示),SYN Flood 、UDP Flood 依然是DDoS 攻击的常见手段,同时随着基于HTTP 协议的各类互联网应用的快速发展,HTTP Get Flood 已经成为仅次于SYN Flood 的最常见的DDoS 攻击手段。
图1-2 攻击类型统计图
1.3 僵尸网络现状
据有关统计,从全球来看,僵尸网络总体上趋于小型化、局部化和专业化。为了便于控制,主机规模在1000台以内的僵尸网络仍是主流。
国内流行的用于实施DDoS攻击的僵尸工具包括:傀儡僵尸、风云、狂人、穿墙CC;流行于海外的包括LOIC、HOIC、HttpDosTool、Slowhttptest、Thc-ssl-dos等。
另外值得一提的是,Fast-Flux作为一种隐藏C&C服务器以延长僵尸网络生命周期的技术,已成为当前大部分僵尸网络的必备功能。借助该技术,僵尸网络的制造者们向互联网安全发起了新一轮的挑战。
中国和美国的僵尸网络主机数分别占整体数量的30.3%和28.2%,远高于其他国家;从控制者来看,美国境内的控制者最多,占总量的42.2%,而中国约占3.8%,其它所占比例较多的是德国(9.1%),法国(7%)和英国(5.8%)。僵尸网络控制服务器分布情况如下图所示:
图1-3 僵尸网络控制服务器分布图
1.4 典型DDoS攻击原理
TCP SYN flood攻击基本原理
要明白这种攻击的基本原理,还是要从TCP连接建立的过程开始说起:大家都知道,TCP 与UDP不同,它是基于连接的,也就是说:为了在服务端和客户端之间传送TCP数据,必须先建立一个虚拟电路,也就是TCP连接,建立TCP连接的标准过程是这样的:
?第一步,请求端(客户端)发送一个包含SYN标志的TCP报文,SYN即同步
(Synchronize),同步报文会指明客户端使用的端口以及TCP连接的初始序号;
?第二步,服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客
户端的请求被接受,同时TCP序号被加一,ACK即确认(Acknowledgment)。
?第三步,客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到
此一个TCP连接完成。
以上的连接过程在TCP协议中被称为三次握手(Three-way Handshake)。
如下图所示:问题就出在TCP连接的三次握手中,假设一个用户向服务器发送了SYN
报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK
报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情
况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU 时间和内存,何况还要不断对这个列表中的IP 进行SYN+ACK 的重试。实际上如果服务器的TCP/IP 栈不够强大,最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP 连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称作:服务器端受到了SYN Flood 攻击(SYN 洪水攻击)。
图1-4 TCP SYN Flood 攻击示意图
TCP 全连接攻击基本原理
对于tcp 服务来讲还有一种可以称为“全连接攻击”的攻击类型,这种攻击是针对用户态运行的tcp 服务器的,当然,它可能间接地导致主机瘫痪。所谓的全连接攻击说的就是客户端仅仅“连接”到服务器,然后再也不发送任何数据,直到服务器超时后处理或者耗尽服务器的处理进程。为何不发送任何数据呢?因为一旦发送了数据,服务器检测到数据不合法后就可能断开此次连接,如果不发送数据的话,很多服务器只能阻塞在recv 或者read 调用上。很多的服务器架构都是每连接一个进程的方式,这种服务器更容易受到全连接攻击,即使是进程池/线程池的方式也不例外,症状就是服务器主机建立了大量的客户端处理进程,然后阻塞在recv/read
而无所事事,
大量的这种连接会耗尽服务器主机的处理进程。如果处理进程数量达到了主机允许的最大值,那么就会影响到该主机的正常运作,比如你再也无法ssh 到该主机上了。
图1-5 TCP 全连接攻击示意图
CC 攻击基本原理
CC 攻击可以归为DDoS 攻击的一种。他们之间的原理都是一样的,即发送大量的请求数据来导致服务器拒绝服务,是一种连接攻击。CC 攻击又可分为代理CC 攻击和肉鸡CC 攻击。代理CC 攻击是黑客借助代理服务器生成指向受害主机的合法网页请求,实现DOS 和伪装,就叫CC (Challenge Collapsar )。而肉鸡CC 攻击是黑客使用CC 攻击软件,控制大量肉鸡,发动攻击,相比来后者比前者更难防御。因为肉鸡可以模拟正常用户访问网站的请求。伪造成合法数据包。
图1-6 CC 攻击示意图
DNS 反射攻击基本原理
这种攻击技术的特点就是利用互联网上大量开放的DNS 递归服务器作为攻击源,利用“反弹”手法攻击目标机器。攻击原理如下图所示。
在DNS 反射攻击手法中,假设DNS 请求报文的数据部分长度约为40字节,而响应报文数据部分的长度可能会达到4000字节,这意味着利用此手法能够产生约100倍的放大效应。因此,对于.CN 遇袭事件,攻击者只需要控制一个能够产生150M 流量的僵尸网络就能够进行如上规模(15G)的DDoS 攻击。 据不完全统计,国内外总计有超过250W 台开放DNS 服务器可以充当这种“肉鸡”,开放的DNS 服务器简直是互联网上无处不在的定时炸弹。
服务
图1-7 DNS反射攻击示意图
2产品概述
天融信公司自主研发的天融信异常流量管理与抗拒绝服务系统(Topsec Anti-DDOS System,以下简称TopADS产品)是专业的抗拒绝服务攻击产品,它能够从纷杂的网络背景流量中精准地识别出各种已知和未知的拒绝服务攻击流量,并能够实时过滤和清洗,确保网络正常访问流量通畅,是保障服务器数据可用性的安全产品。
TopADS产品具有在线串接、旁路检测和旁路清洗三种工作模式,既可以单台设备在线串接方式部署,也可以两台设备分别进行检测和清洗工作。能够检测与防御流量型DDOS攻击(如UDP Flood、TCP SYN Flood等)、应用型DDOS攻击(如CC、DNS Flood、慢速连接耗尽等)、DOS攻击(如Land、Teardrop、Smurf等)、非法协议攻击(如IP流、TCP无标记、无确认FIN、圣诞树等)四大类拒绝服务攻击。TopADS产品还具有流量牵引和回注、数据包过滤、攻击报文取证等功能,支持双机热备和集群,并提供了详尽的攻击事件记录、各种统计报表,并以可视化方式动态展示,实现实时的全网威胁监控,是适用于政企网、电商、网游、电信骨干网、IDC网络和云计算中心的理想的抵御拒绝服务攻击的安全产品。
TopADS产品全系列采用x86多核处理器硬件平台,基于先进的新一代SmartAMP并行处理技术架构,全64位原生ipv4/ipv6双栈处理。采用业界领先的源信誉机制,通过流量业务预警、比例抽样分析、源认证、源限速、步进式协议分析、模式过滤、业务应用防护、强制保护等多种技术手段,精准、快速地阻断攻击流量,保障用户业务网络通畅。TopADS 产品具备在10GE万兆链路上线速清洗攻击流量的高性能,内置双引擎设计的高可靠性保障,加之天融信公司完善的技术支持和服务,是用户构筑网络安全系统的理想选择。
3产品技术架构
TopADS产品是软硬件一体的机架设备,硬件采用Intel Sandy Bridge/Ivy Bridge标准工业机架构,内置双至强处理器(高端型号),支持最多20个处理内核共40个硬件处理线程,标配Intel新一代高速网络接口处理芯片,硬件关键器件实现冗余设计,在实现高性能基础上保障了高可靠性。高端型号外观如下图所示:
图3-1 TopADS产品(高端型号)外观图
TopADS产品采用天融信公司自主研发的下一代并行高可靠安全网关软件平台(Next Generation Topsec Operation System,以下简称NGTOS)作为基础系统软件,采用统一的检测与防护引擎设计,在数据平面处理器上实现了针对数据报文的解析、识别、检测、清洗、动作和统计的一体化高速处理,同时支持特定业务应用防御的处理注册,在管理平面处理器上实现了配置管理及日志报表等功能。TopADS产品的技术架构图如下所示:
图3-2 TopADS产品技术架构图
4产品主要功能
TopADS产品具有网络支持、检测与清洗、高可用性、牵引和回注、日志和报表、系统管理等主要功能,具体见下表。
表4-1 TopADS产品功能列表
5产品优势与特点
5.1 先进的新一代SmartAMP并行处理技术架构
TopADS产品基于天融信公司自主开发的NGTOS软件平台,采用新一代SmartAMP并行处理技术架构,整个系统独立于通用操作系统,采用自主设计实现的高效实时任务调度算法和专门针对转发的安全处理协议栈,所有处理逻辑运行在应用态,以进程的形式存在,保障了系统的高可靠性和高安全性。
NGTOS的数据平面会动态的对各个处理器内核进行任务分配,当报文到达设备时,设备将通过高效的负载均衡算法,将报文分配到合适的处理器内核上。每个处理器内核运行一个(或多个)完整的安全引擎实例,各个处理器内核上运行的安全引擎实例相互独立,实例之间完全无干扰的运转,从而最大限度的发挥出多核硬件的并行处理优势。通过优化内存管理、独特的多线程竞争保护算法、无锁多线程算法、队列管理算法等独有技术,TopADS产品在x86硬件平台上达到了万兆小包线速的报文转发和检测清洗能力。
先进的新一代SmartAMP并行处理技术架构示意图见下图:
图5-1 先进的新一代SmartAMP并行处理技术架构示意图
5.2 全面的拒绝服务攻击防御能力
TopADS产品可以检测和清洗4大类超过100种拒绝服务攻击,涵盖几乎所有常见的流量型DDOS攻击,如:ICMP Flood、ICMP分片、UDP Flood、UDP分片、TCP SYN Flood、TCP ACK Flood、TCP SYN-ACK Flood、TCP RST Flood、TCP FIN Flood、TCP分片、TCP Connection Flood (连接耗尽)等,应用型DDOS攻击,如HTTP GET Flood、HTTP POST Flood、CC、HTTPS Flood、DNS QUERY Flood、DNS NXDomain Flood、DNS反射投毒、慢速连接耗尽等,以及DOS攻击和各种非法协议攻击。
TopADS产品采用国际上最新的基于源信誉的检测机制,为每一个访问源建立信誉标签,标记其信誉等级,并依据长期流量模型学习结果和历史记录,动态感知恶意源的恶意访问流量,所以TopADS产品不仅能够检测和清洗已知DDOS攻击,还可以有效发现和清洗各种未知DDOS攻击。
5.3 全64位的原生ipv6支持
TopADS产品的管理平面和数据平面均为全64位系统,具备原生ipv4/ipv6双栈处理能力,不仅能够在纯ipv6网络环境中部署和检测攻击,还能够在ipv4/ipv6混合网络环境中部署和检测攻击行为。全64位系统在处理ipv4和ipv6地址相关操作时具有相同的处理效率,所以TopADS产品在ipv6网络环境中具有与在ipv4网络环境中一样的性能。
TopADS产品中处理的所有ip地址均支持ipv4和ipv6地址,所有DDOS攻击无论来自ipv4网络还是ipv6网络均采用统一处理流程,使得各种拒绝服务攻击都无所遁形。TopADS 产品还支持配置ipv6地址的主机管理、ipv6 SNMP网管、BGP ipv6动态流量牵引以及支持ipv6的日志服务器等增强功能。
5.4 完善的应用层攻击防御功能
据相关数据显示,近些年,针对应用层的DDoS攻击事件上升趋势明显,针对HTTP应用的DDoS攻击已经占到攻击总量的89%。对于DDoS攻击的重灾区数据中心,排名前三的被攻击业务分别为电子商务、在线游戏和DNS服务。尤其是针对DNS服务的攻击影响面最广,对互联网基础架构所造成的威胁也最严重。而在WEB攻击的主要目标中,排名前三的被攻击业务分别为电子商务、网页游戏、在线金融业务。应用层DDoS攻击威胁着在线业务,大量的
DDoS攻击直接导致数据中心运营成本增高,而带宽的可用性降低则导致客户满意度下降甚至流失。
TopADS产品采用基于源信誉的检测机制,具有完善的应用层攻击防御功能,可有效防御各种应用层DDoS攻击,如流行的CC、DNS反射、DNS投毒、慢速连接耗尽等攻击。通过协议扩展,TopADS产品还具备检测和清洗https和SIP协议拒绝服务攻击的能力。
5.5 灵活多样的部署方式
TopADS产品具有在线串接、旁路检测和旁路清洗三种工作模式。在用户网络流量不大的环境中,可以使用单台TopADS设备以虚拟线方式透明在线串接在用户网络中,独立进行针对拒绝服务攻击的检测和清洗工作。因为TopADS产品支持软硬件bypass功能,所以不用担心串接设备故障造成网络中断。
在运营商、IDC或云计算中心等网络流量较大的环境中,TopADS产品可以用两台设备配合工作,其中1台旁路部署在被保护服务器前端进行攻击检测,另1台旁路部署在核心路由器端进行流量牵引和清洗工作。在流量更大或网络更复杂的环境中,还可以使用多台TopADS 产品进行集群进行更大规模的检测和清洗工作。
5.6 针对运营需求的大客户两级保护对象策略
通常情况下,用户的保护对象就是用户自己网络中的对外开放服务的服务器,包括WEB 服务器、DNS服务器、邮件服务器以及其它服务器等,因为这些服务器对外开放服务,是拒绝服务攻击潜在的攻击目标,所以需要保护。TopADS产品的保护策略中的保护对象实际上就是一个或一组ip地址,针对不同保护对象(通常是不同的服务器类型)选取不同的保护模板就形成了保护策略,这样就在一个层级上展示出了保护策略,不仅清晰而且简明。
但是对于运营商或IDC以运营为目的的用户,他们的保护对象首先是大客户(大型企业、政府机构、特殊客户等关键服务对象),其次才是这些大客户需要保护的服务器。如果不加区分地在一个层级上进行配置,不仅容易混乱,而且容易造成黑白名单等作用范围的混淆。TopADS产品内置了针对运营需求的大客户两级保护对象策略,可以在一级保护对象中定义大客户(实际上是大客户需要保护的所有服务器),并在一级保护对象上设置针对大客户个体的黑白名单、过滤规则等策略,然后在二级保护对象中针对大客户的不同服务器配置不同的保护模板,形成二级保护策略。这样在两个层级上展示出了保护策略,不仅实现了策略作
用范围在不同大客户主体上的区别对待,也便于运营需求的大客户管理,体现了以客户为中心的策略配置思想。
5.7 高可靠的业务保障能力
TopADS产品采用双引擎设计,主检测引擎和影子检测引擎不仅功能完全相同,且均处于运行态,即只要有数据报文传送就可以进行攻击检测。不同的是,正常情况下,数据流只上送到主检测引擎,影子检测引擎没有数据可以处理,相当于处于“待命”状态。一旦主检测引擎出现故障无法处理数据报文,NGTOS平台底层负责数据流分发的模块会及时将数据流切换到影子检测引擎,由于影子检测引擎处于准工作的“待命”状态,此时会即刻开始数据报文的检测工作,从而确保整个检测引擎的不间断工作,大幅提高了检测业务的可靠性。
TopADS产品支持硬件bypass功能,可以串行接入用户网络环境,在设备升级维护等需要重新启动过程中确保用户网络通畅。TopADS产品支持主备方式的双机热备功能,可以实现链路的高可用性。
5.8 可视化的实时报表功能
TopADS产品本身携带了固态硬盘做为存储介质,可以本地实时存储日志,并依据日志数据生成统计报表,报表内容包括流量统计数据、攻击事件统计数据、牵引回注事件统计数据、流量Top排名、攻击Top排名等。报表支持日报、周报、月报,并可以设置邮件自动发送。应用配套的TopPolicy集中管理产品(需要单独采购),还可以实时收集多台TopADS 产品设备的日志,并进行综合统计分析,实时展示流量变化趋势、Top10攻击者、Top10被攻击者、Top10攻击事件等统计数据,更可以显示24小时连续变化的事件发生统计曲线图,借助于可视化的实时报表功能,用户可以轻松实现全网威胁分析。
6产品典型部署方案
TopADS产品有两种最基本的部署方式:在线串接部署和旁路部署。
6.1 在线串接部署方式
针对服务器较少或出口带宽较小的网络环境(如企业内部网),TopADS产品提供在线串接部署方式,TopADS产品以虚拟线模式“串接”在网络入口端,对DDoS攻击进行检测、分析和阻断。部署拓扑图如下所示:
图6-1 TopADS产品的在线串接部署方式示意图
6.2 旁路部署方式
针对运营商、IDC数据中心、云计算中心等关键业务系统,TopADS产品提供了基于流量牵引技术的旁路部署方式。通常将一台TopADS产品设备(工作在检测模式)旁路部署在核心路由器端,接收并分析核心路由器发出的Netflow数据,另一台TopADS产品设备(工作在清洗模式)旁路部署在核心路由器端,以BGP邻居方式准备牵引和清洗攻击流量。当检测设备发现DDoS攻击时,会将受攻击服务器ip地址等信息传送给清洗设备,由清洗设备进行流量牵引并清洗,清洗后的干净流量再回注回网络。
图6-2 TopADS 产品的旁路部署方式示意图
7 产品型号和规格
TopADS 产品系列按照性能分为2G 、4G 、10G 、20G 四个型号,各个型号功能完全相同,主要区别是性能和接口数量,各型号具体规格见下表。
表7-1 TopADS 产品型号规格表
(TX-71664) (TX-71572) (TX-51628) (TX-51528)
)
)
8产品资质
TopADS产品具有的资质见下表:表8-1 TopADS产品资质列表
I D S产品技术白皮书-标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
UnisIDS技术白皮书
1UnisIDS 简介 1.1入侵检测系统概述 1.1.1入侵检测系统分类 不同于防止只针对具备一定条件入侵者进入的防火墙,入侵检测系统(IDS ,Intrusion Detection System)可以在系统内部定义各种hacking手段,进行实时监控的功能。如果说防火墙是验证出入者身份的“大门”,那么 IDS相当于进行“无人自动监控”的闭路电视设备。入侵检测大致可分为基于网络的入侵检测和基于主机的入侵检测两种类型。 基于网络的入侵检测系统具有如下特点: 通过分析网络上的数据包进行入侵检测 入侵者难以消除入侵痕迹–监视资料将保存这些信息 可以较早检测到通过网络的入侵 可以检测到多种类型的入侵 扫描–利用各种协议的脆弱点 拒绝服务攻击–利用各种协议的脆弱点 hacking代码规则匹配–识别各种服务命令 可灵活运用为其他用途 检测/防止错误网络活动 分析、监控网络流量 防止机密资料的流失
图 1网络入侵检测模型 而基于主机的入侵检测系统则具有以下的特点 具有系统日志或者系统呼叫的功能 可识别入侵成功与否 可以跟踪、监视系统内部行为 检测系统缓冲区溢出 基于主机的入侵检测可以区分为 基于单机的入侵检测系统(收集单一系统的监视资料并判断入侵与否) 基于多机的入侵检测系统(从多个主机收集监视资料并判断入侵与否) 而清华紫光推出的UnisIDS入侵检测系统,实现了基于主机检测功能和基于网络检测功能的无缝集成,UnisIDS通过对系统事件和网络上传输的数据进
Ibot8.0产品白皮书 第 1 页共47 页
目录 1.前言 (6) 1.1.目的范围 (6) 1.2.产品定位 (6) 1.3.名词术语 (6) 2.公司简介 (8) 2.1.小I简介 (8) 2.2.小I发展历程 (8) 3.产品概述 (11) 3.1.智能机器人 (11) 3.2.产品架构 (11) 3.1.1.机器人前端平台 (12) 3.1.2.智能服务引擎平台 (12) 3.1.3.机器人统一管理平台 (14) 3.1.4.知识库组织说明 (14) 3.3.产品演进路径 (17) 3.4.技术特点 (17) 3.5.技术指标 (18) 3.6.扩展接口 (19) 3.7.优势特性 (19) 4.产品主要功能 (22) 4.1.基础智能问答 (22) 4.2.前端用户功能 (23) 4.2.1 Web机器人功能 (23) 4.2.2微信机器人功能 (28) 4.2.3IM机器人功能 (31) 4.2.4短信机器人功能 (33) 4.3.后台主要管理功能 (35) 4.3.1知识管理功能 (35) 4.3.2服务管理功能 (36) 4.3.3渠道管理功能 (36) 4.3.4素材管理功能 (37) 4.3.5语音管理功能 (38) 4.3.6运维管理功能 (38) 4.3.7系统管理功能 (39) 5产品实施 (39) 5.1.实施流程 (39)
5.2.知识建设 (39) 5.2.1 语言知识库构建 (40) 5.2.2 业务知识库构建 (41) 5.3.二次开发 (42) 5.4.系统部署 (44) 5.4.1 常规部署 (45) 5.4.2 扩展部署 (45) 5.4.3 集群部署 (47)
智慧科技-计划管理系统 技术白皮书 1产品定位 各级科委目前对科技计划的管理主要采用电子文档化的管理模式。随着业务工作发展与政府服务职能的深化,业务信息的数据量也不断积累和扩大,现有的管理方式对业务工作的支撑力度开始显得不足,主要体现在信息记录的格式缺乏统一性、信息由多人管理较为分散、对信息的查阅和利用不够便捷等。因此,建设科技计划管理系统,利用更为有效的信息化管理手段变得十分必要。 计划管理系统的建设将以实际业务需求为导向,实现科技计划的全生命周期管理,通过信息化手段规范计划管理业务的管理要素和日常工作,并对收集到的各类要素信息进行更为有效的分析利用,为业务人员在计划管理中的综合处理、高效配置、科学决策提供更为有效的支撑。 凭借多年在信息化系统建设领域的丰富实践经验,我们在方案总体设计方面,周密考虑,充分部署,力争在方案的总体架构方面体现先进性、扩展性和实用性。 一方面,根据各级科委具体需求,采用BS应用结构作为整体应用架构,实现安全的信息交换与业务处理; 其次,采用模块化设计的思想,将各个管理环节标准化和规范化,实现业务开展过程的全面推进; 第三,通过完善的后台管理功能,提供灵活的定制服务,满足业务处理的需求。 整个系统设计在考虑了现有信息系统的使用特点以及现阶段的业务需求的同时,还充分考虑了系统的潜在需求,具有先进性和较高的可扩展性。 系统总体框架如下图:
2主要功能 ●计划可研 计划可行性研究阶段,根据计划指南,部门推荐,完成计划科研报告编写(Word和在线),在计划申报系统中进行填报。 可研报告包含企业信息,计划可研书要求的信息等 ●立项管理: 计划管理最关键过程,根据可研报告,进行立项管理过程。 计划立项审查,和全省市计划库中原有计划进行对比,从计划名称、计划建设内容、考核指标、承担单位、计划负责人等各个方面进行比对, 形成相应的客观报告。 专家根据立项审查结果,进行再次审核,最终形成结果,专家随机取自专家系统库,同时各自打分可以网上网下结合进行,保证其公平透明。 ●计划申报: 计划可研和立项管理结束后,将发放计划正式立项通知书。
天融信网络入侵防御TopIDP系列 产品说明 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:(86)10-82776666 传真:(86)10-82776677 服务热线:400-610-5119 800-810-5119 Http: //https://www.doczj.com/doc/3712085568.html,
1前言 (2) 2网络入侵防御系概况 (2) 2.1入侵防御系统与防火墙 (3) 2.2入侵防御系统与IDS (3) 3天融信网络入侵防御系统TOPIDP (3) 3.1产品概述 (3) 3.2T OP IDP体系架构 (4) 3.3T OP IDP主要功能 (5) 3.4天融信网络入侵防御系统T OP IDP特点 (6) 3.4.1领先的多核SmartAMP并行处理架构 (6) 3.4.2强大的攻击检测能力 (6) 3.4.3精准的应用协议识别能力 (7) 3.4.4实用的网络病毒检测功能 (8) 3.4.5智能的上网行为监控和管理 (8) 3.4.6立体的Web安全防护 (8) 3.4.7先进的无线攻击防御能力 (9) 3.4.8精确的QOS流量控制能力 (9) 3.4.9灵活的自定义规则能力 (9) 3.4.10丰富的网络部署方式 (9) 3.4.11高可靠的业务保障能力 (10) 3.4.12可视化的实时报表功能 (10) 4天融信网络入侵防御系统TOPIDP部署方案 (11) 4.1.1典型部署 (11) 4.1.2内网部署 (12) 4.1.3IDP.VS.IDS混合部署 (13) 4.1.4WIPS旁路部署 (14) 5结论 (15)
1前言 随着计算机网络与信息化技术的高速发展,越来越多的企业、政府构建了自己的互联网络信息化系统,互联网络已成为人们生活中必不可缺的工具,在网络带来高效和快捷的同时,网络安全形势也从早期的随意性攻击,逐步走向了以政治或经济利益为主的攻击; 攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击;攻击的层面也从网络层,传输层转换到高级别的网络应用层面;而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行为上,其攻击行为有明显的政治或经济诉求目的,给政府、企业的网络信息业务系统安全造成极大隐患。 同时,大量的网络资源滥用充斥在整个网络通路上,各种基于P2P协议的资源下载工具、网络视频、网络游戏、IM视频通讯工具等造成企业网络带宽过度消耗,影响企业正常业务系统运行。 能否主动发现并防御这些网络攻击,规范终端的网络行为,保护企业的信息化资产,保障企业业务系统的正常运行,是企业要面临的重要问题。 2网络入侵防御系概况 网络入侵防御系统,简称IDP(Intrusion Detection and Prevention System ),是串联在计算机网络中可对网络数据流量进行深度检测、实时分析,并对网络中的攻击行为进行主动防御的安全设备;入侵防御系统主要是对应用层的数据流进行深度分析,动态地保护来自内部和外部网络攻击行为的网关设备。必须同时具备以下功能 ●深层检测(deep packet inspection) ●串连模式(in-line mode) ●即时侦测(real-time detection) ●主动防御(proactive prevention) ●线速运行(wire-line speed)
一、背景概述 (2) 1、研发背景 (2) 2、产品定位 (2) 二、产品方案功能介绍 (2) 1、设计理念 (2) 2、系统拓扑图 (2) 3、系统构架描述 (2) 4、系统功能介绍 (2) 5、产品方案规格 (2) 四、产品方案应用介绍 (3) 1、应用模式 (3) 2、应用流程 (3) 3、应用环境 (3) 五、产品方案特性介绍 (3) 1、技术特性 (3) 2、应用特性 (3) 3、系统特性 (3) 六、产品方案技术介绍 (3) 1、相关技术 (3) 2、技术指标 (4) 七、产品方案测评数据 (4) 八、实施运维方式说明 (4) 九、售后服务方式说明 (4)
一、背景概述 1、研发背景 介绍用户需求背景、该产品所在行业信息化建设背景、产品所涉及的相关政策简述等,以说明该产品的研发背景,以及满足的客户需求。 2、产品定位 为了满足客户以上需求,该产品具有什么功能,能够解决什么问题。 二、产品方案功能介绍 1、设计理念 该产品方案的设计思路。 2、系统拓扑图 使用统一的图标,制作系统拓扑图。 3、系统构架描述 按照系统的构成,分类对系统进行描述。 4、系统功能介绍 详细阐述系统的主要功能。 5、产品方案规格 产品方案不同的规格介绍,或者对产品方案技术规格的介绍。
四、产品方案应用介绍 1、应用模式 该产品方案包括的应用模式类型,或者针对不同类型客户的解决方案。 2、应用流程 该产品方案的应用流程。 3、应用环境 描述该产品所运行的应用环境。 五、产品方案特性介绍 1、技术特性 主要是性能先进性、功能齐全性、系统兼容性、技术稳定性等。 2、应用特性 主要是部署灵活性、可扩展性、管理方便性、易用性等。 3、系统特性 对系统的主要特性进行描述,根据产品不同和竞争优势的不同而不同。 六、产品方案技术介绍 1、相关技术 主要应用技术的介绍,以及该技术的优势。
华为eSight 产品技术白皮书 文档版本 01 发布日期 2016-05-30 华为技术有限公司
版权所有? 华为技术有限公司2015。保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标,由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证。 由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为技术有限公司 地址:深圳市龙岗区坂田华为总部办公楼邮编:518129 网址:https://www.doczj.com/doc/3712085568.html,
目录 1 执行摘要 (4) 2 简介 (5) 3 解决方案 (7) 3.1 eSight系统介绍 (7) 3.1.1 关键技术特点 (7) 3.2 统一监控、诊断和恢复解决方案 (12) 3.2.1 性能采集和预测分析 (12) 3.2.1.1 整体方案介绍 (12) 3.2.1.2 关键技术点介绍 (13) 3.2.1.3 功能约束 (13) 3.2.1.4 典型场景应用 (14) 3.2.2 告警信息采集和通知 (14) 3.2.2.1 整体方案介绍 (14) 3.2.2.2 关键技术点介绍 (15) 3.2.2.3 功能约束 (16) 3.2.2.4 典型场景应用 (17) 3.2.3 网络故障诊断(智真会议) (17) 3.2.3.1 整体方案介绍 (17) 3.2.3.2 关键技术点介绍 (17) 3.2.3.3 功能约束 (18) 3.2.3.4 典型场景应用 (18) 3.2.4 通过设备配置备份数据快速修复故障 (20) 3.2.4.1 整体方案介绍 (20) 3.2.4.2 关键技术点介绍 (20) 3.2.4.3 功能约束 (21) 3.2.4.4 典型场景应用 (21) 3.3 安全管理解决方案介绍 (21) 4 结论 (22) A 缩略语 (23)
此处是Logo 数据库审计系统 技术白皮书 地址: 电话: 传真: 邮编:
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属北京所有,受到有关产权及版权法保护。任何个人、机构未经北京的书面授权许可,不得以任何方式复制或引用本文的任何内容。 ■适用性声明 文档用于撰写XX公司产品介绍、项目方案、解决方案、商业计划书等。
目录 一.产品概述 (1) 二.应用背景 (1) 2.1现状与问题 (1) 2.1.1现状 (1) 2.1.2问题 (1) 2.2需求分析 (3) 2.2.1政策需求 (3) 2.2.1.1《信息系统安全等级保护基本要求》 (3) 2.2.1.2《商业银行信息科技风险管理指引》 (3) 2.2.2技术需求 (4) 2.2.3管理需求 (4) 2.2.4性能需求 (4) 2.2.5环境与兼容性需求 (5) 2.2.6需求汇总 (5) 三.产品介绍 (5) 3.1目标 (5) 3.2产品功能 (6) 3.2.1数据库访问行为记录 (6) 3.2.2违规操作告警响应 (6) 3.2.3集中存储访问记录 (6) 3.2.4访问记录查询 (7) 3.2.5数据库安全审计报表 (7) 3.3产品部署 (7) 3.3.1旁路部署 (7) 3.3.2分布式部署 (8) 3.4产品特性 (9) 3.4.1安全便捷的部署方式 (9) 3.4.2日志检索能力 (9) 3.4.3灵活的日志查询条件 (10) 3.4.4灵活的数据库审计配置策略 (10) 3.4.5数据库入侵检测能力 (10) 3.4.6符合审计需求设计 (11) 四.用户收益 (11) 4.1对企业带来的价值 (11) 4.2全生命周期日志管理 (12) 4.3日常安全运维工作的有力工具 (12)
白皮书
文档控制/Document Control 文档属性 模板修改记录 文档修改记录 审阅记录 分发
目录 第一章传统BPM面临的问题和挑战 (3) 1.1IT需要支撑业务在频繁的调整和优化 (3) 1.2传统BPM严重割裂业务 (3) 1.3对于复杂的中国特色企业管理的有效支撑 (3) 1.4高可扩展性和高性能的挑战 (4) 1.5移动端的挑战 (4) 第二章LBPM解决之道 (4) 2.1提出非常6+1接口规范来规约业务系统(去业务化解决方案) (4) 2.2不干预任何业务以避免割裂业务 (5) 2.3长期关注复杂的中国特色企业管理 (5) 2.4从底层架构就支持业务流程的高可扩展和高性能 (5) 2.5充分支持跨浏览器 (6) 第三章为何要使用LBPM? (6) 3.1快速应对市场和业务的频繁变化和调整 (6) 3.2业界性价比最高的BPM (7) 3.3多种手段提升业务系统与LBPM之间高效通讯 (7) 3.4完善的监控机制来保障快速跟踪和分析问题 (8) 第四章LBPM产品核心架构概述 (9) 4.1LBPM流程虚拟机 (10) 4.2LBPM流程引擎 (10) 4.3LBPM流程应用 (10) 4.4LBPM流程扩展服务 (10) 4.5LBPM集成引擎 (11) 第五章LBPM产品功能概述 (11) 5.1流程建模平台 (11) 5.1.1对接业务系统全局配置 (12) 5.1.2创建流程模板 (12) 5.1.3节点绑定业务表单 (13) 5.1.4业务字段映射配置 (13) 5.1.5节点的事件监听器配置业务逻辑 (14) 5.2流程运行平台 (15) 第六章LBPM流程分析平台 (16) 附录A 非常6+1参考 (17) 附录B BPM思想流派参考 (17)
XXXX 技术白皮书 XX技术股份有限公司 XXXX 2011年1月 目录 第一章概述 3 第二章平台架构 4 2.1平台整体架构 4 2.2平台技术架构 4 第三章平台特点 5 3.1 稳定性 5 3.2 设备接入全面 5 3.3 智能 5 3.4 易用性 5 3.5 扩展性 5
3.6 开放性 5 3.7 标准性 5 3.8 组件化 5 3.9 传输能力 5 3.10 多级级联 5 第四章平台特色功能 5 3.1 特色功能一 5 3.2特色功能二 5 3.3特色功能三 5 3.4特色功能四 6 3.5特色功能五 6 3.6特色功能六 6 第五章平台技术参数 6 5.1服务器端配置要求 6 5.2管理员客户端配置要求 6 5.3操作员客户端配置要求 6 5.4 单服务器性能指标 6
5.5 客户端性能指标 6 第六章行业案例 6 6.1 案例概述 6 6.2 案例特点 6 6.3 案例网络结构图 6 6.4 案例图例 6 第一章概述 第二章平台架构 2.1平台整体架构 2.2平台技术架构 第三章平台特点
3.1 稳定性 3.2 设备接入全面 3.3 智能 3.4 易用性 3.5 扩展性 3.6 开放性 3.7 标准性 3.8 组件化 3.9 传输能力 3.10 多级级联 第四章平台特色功能 3.1 特色功能一 3.2特色功能二 3.3特色功能三 3.4特色功能四 3.5特色功能五 3.6特色功能六 第五章平台技术参数
5.1服务器端配置要求 5.2管理员客户端配置要求5.3操作员客户端配置要求5.4 单服务器性能指标 5.5 客户端性能指标 第六章行业案例 6.1 案例概述 6.2 案例特点 6.3 案例网络结构图 6.4 案例图例
EPS档案信息管理系统V3.0 技术白皮书 南京科海智博信息技术有限公司 2013年
目录 1.产品简介 (4) 1.1 文档信息化发展趋势 (4) 1.2 产品研发背景 (4) 1.3系统特点 (5) 2.总体架构 (5) 2.1 产品技术架构 (5) 2.2 产品业务架构 (6) 3.运行环境 (6) 3.1 硬件环境 (6) 3.1.1 服务器配置 (6) 3.1.2客户端配置 (6) 3.1.3存储设备 (7) 3.1.4网络环境 (7) 3.2软件环境 (7) 3.2.1 数据库支持 (7) 3.2.2中间件支持 (7) 3.2.3浏览器支持 (7) 3.2.4 容灾支持 (7) 4.基本功能 (7) 4.1系统管理 (8) 4.2业务管理 (13) 4.3文件收集 (13) 4.4文件整编 (14) 4.5档案管理 (15) 4.6库房管理 (16) 4.7统计信息 (16) 4.8档案利用 (17) 4.9档案编研 (18) 4.10光盘打包 (18)
5.扩展功能 (19) 5.1 企业档案门户集成 (19) 5.2企业年鉴展示 (19) 5.3照片档案展示 (20) 5.4 数据安全控制 (20) 5.5数据一体化接口 (20) 5.6信息提醒接口 (20) 6.技术创新 (21) 6.1文档安全控制 (21) 6.2 全文检索技术 (22) 6.3 光盘打包技术 (23) 6.4工作流技术 (23) 6.5 海量存储技术 (24) 6.6异构数据接口 (24) 6.7系统的可扩展性 (24) 6.8档案管理平台综合业务管理 (24) 7.公司简介 (24)
业务服务监控平台技术白皮书 (V2.0) 联想中望系统服务有限公司 2008年7月
1背景及现状 随着企业IT技术的广泛应用,企业IT资源的拥有量越来越多,结构越来越复杂。如何保障IT系统的正常运行,从而保障公司的核心业务,已经日益成为CIO(首席信息执行官)需要仔细思考的问题。 此外,由于各种法规(如SOX法案)对企业诚信经营以及企业自身内控管理的要求,IT治理已开始越来越为各企业重视,作为IT治理框架的关键环节,IT系统的监控也已成为各企业的当务之急。 1.1 被动监控、分散管理 图1描述了支撑企业业务运营的典型IT资源结构图,其中包括硬件(主机、路由、存储等)、软件(系统软件、应用软件、数据库等)等多种IT资源。 图1 典型企业IT资源结构示意图 日益复杂的IT环境给运营环境保障人员带来如下问题: 1、监控劳动强度大,事故不易及时主动发现。 缺乏统一集中的监控手段,不能对所管理的IT资产进行及时有效的监控管理。随着IT设施的不断扩大,整个IT环境的日趋复杂,系统监控人员巡视设备(IT资源)的间隔越来越短,花费大量的时间,来发现与解决问题。 2、监控数据没有集中存储,无法为系统运行情况提供量化的科学依据。 缺乏一整套集中的数据中心来记录、配置信息和历史记录,使在日常的监控管理工作中,不能及时获取相关的信息,严重影响排查故障的效率。
没有建立一个统一的监控平台,难于适应业务系统扩展时的监控需求扩展业务系统在不断地扩展,相应地监控需求也在不断地扩展。缺少一个统一,高可扩展性的监控平台,使得新的监控需求难以被满足。 1.2 “自下而上”的模式不能有效保障业务可用性 企业的基础IT环境为业务系统提供支撑。传统的IT运维建设思路是“自下而上”的,即:从基础架构监控开始,到应用系统的监控,再到业务系统的监控。 自下而上的建设思路不能适用于高速增长下的中国企业。一方面,基础IT 环境的高可用性不能代表业务系统的高可用性;另一方面,业务的快速增长,需要更加快速、直接、高效的监控手段,以保障业务的有效运行。 下图描述了支撑企业业务运营的IT资源可用性对核心业务系统可用性的影响。 图2 基础IT资源可用性对业务可用性影响示意图上图描述的是:即便基础IT环境的可用性很高,仍然不能保证业务系统也有很高的可用性。 这种情况下,需要一种更直接、更高效、更快速的手段来为业务系统提供监测与保障。 这就是本产品所强调的:以业务为导向、自上而下的服务监控与保障手段。
深度操作系统 服务器产品技术白皮书 武汉深之度科技有限公司
目录 一、概述 (2) 二、深度操作系统服务器版 (3) 三、技术指标 (4) 四、应用需求 (6) 4.1 通用服务器应用 (6) 4.2 小型机替换 (6) 4.3 国产化应用 (7) 五、产品特点 (9) 六、技术特色 (10) 七、产品对比 (11) 八、应用场景 (13) 九、典型案例 (14) 9.1 国家工商总局法人库项目 (15) 9.2 国家工商总局商标局灾备项目 (16) 9.3国土资源部信访系统 (17) 9.4典型用户 (18) 十、产品资质 (19)
一、概述 深度操作系统将全球领先的技术和创新带入政府信息化建设和企业级信息技术基础架构,是当今国内增长最快的操作系统之一。许多政府和企业用户由于其易用性和可扩展性而选择深度操作系统,信息部门和运维部门则更重视深度操作系统提供给桌面终端的稳定性、安全性和灵活性。因为完全开放源代码和自下而上的自主研发,深度操作系统可以快速、轻松的增强和定制,而无需依赖国外厂家的产品维护周期。 深度操作系统服务器版提供对国产处理器与服务器的良好兼容,全面支持国产主流数据库、中间件和应用软件,并通过了工信部安全可靠软硬件测试认证,符合“自主可控”战略目标的要求,可以为国内电子政务、信息化管理等应用提供全国产一体化的架构平台。 深度操作系统服务器版通过对全生态环境的支撑,以及多应用场景解决方案的构建,能够满足企业级用户对服务器高稳定性、高可靠性、高可用性的要求。
二、深度操作系统服务器版 深度操作系统服务器版软件,是深度科技发布的符合POSIX系列标准和兼容LSB标准的服务器操作系统产品,广泛兼容各种数据库和应用中间件,支持企业级的应用软件和开发环境,并提供丰富高效的管理工具,体现了当今Linux服务器操作系统发展的最新水平。 深度操作系统服务器版软件,以安全可靠、高可用、高性能、易维护为核心关注点:基于稳定内核,对系统组件进行配置和优化,提升系统的稳定性和性能;在加密、认证、访问控制、内核参数等多方面进行增强,提高系统的整体安全性;提供稳定可靠的业务支撑,以及高效实用的运维管理,从容面对快速的业务增长和未来挑战。 产品分类产品名称 服务器操作系统产品深度操作系统服务器版软件(x86_64平台) 深度操作系统龙芯服务器版软件(龙芯平台,3B2000/3B3000等)深度操作系统申威服务器版软件(申威平台,1600/1610/1621等) 服务器应用软件产品 深度日志分析软件 深度高可用集群软件
终端安全配置管理系统 技术白皮书 国家信息中心
目录 第一章终端安全配置管理系统简介 (1) 1.1 为什么要做终端安全配置 (1) 1.2 机构如何实现机构高效的终端安全配置管理 (2) 1.3 终端安全配置管理系统技术优势 (3) 第二章终端安全配置管理系统逻辑结构 (5) 第三章终端安全配置管理系统功能 (7) 第四章终端安全配置基线介绍 (9) 4.1 基线概述 (9) 4.2 终端硬件安全配置 (9) 4.3 终端软件安全配置 (10) 4.4 终端核心安全配置 (11) 第五章系统应用方案 (14) 5.1 应用架构 (14) 5.2 实施流程 (16) 5.3 运行环境要求 (16) 第六章技术支持服务 (18) 附录一W INDOW7操作系统安全配置清单(示例) (19) 附录二国家信息中心简介 (24) i
第一章终端安全配置管理系统简介 1.1 为什么要做终端安全配置 在构成信息系统的网络、服务器和终端三要素中,对终端的攻击和利用终端实施的窃密事件急剧增多,终端安全问题日益突显。攻击和窃密是终端安全的外部原因,计算机系统存在缺陷或漏洞、系统配置不当是终端安全的内部原因。外因通过内因起作用,内因是决定因素。据调查,针对系统核心的攻击中,5%是零日攻击,30%是没有打补丁,65%是由于错误的配置。因此正确的安全配置才是保障终端安全性的必要条件。 计算机终端核心配置最早由美国联邦政府提出,称为联邦桌面核心配置计划(FDCC)。该计划由美国联邦预算管理办公室(OMB)负责推动,旨在提高美国联邦政府计算机终端的安全性,并实现计算机管理的统一化和标准化。美国空军最先实施桌面标准配置并取得了良好的应用效果。2007年,美国联邦政府强制规定所有使用Windows的计算机必须符合FDCC的配置要求。 近年来,我国逐步认识到终端安全配置管理对于加强计算机终端安全保障工作的重要作用,对美国联邦政府实施的桌面核心配置进行了跟踪研究,并开展了我国终端安全配置标准的研制工作。多家科研院所和安全厂商参与了相关研究工作,其中,国家信息中心是国内最早开展终端安全配置研究的单位之一,目前已编制完成政务终端安全核心配置标准草案,并开发出一整套标准应用支撑工具—终端安全配置管理系统。该系统在各地方的试点应用取得了明显的成效。 终端安全配置分为硬件安全配置、软件安全配置和核心安全配置,如图1所示。分别介绍如下: 硬件安全配置:根据计算机硬件列装的安全要求,仅可安装符合规定的硬件和外联设备,关闭存在安全隐患的接口以及驱动,以满足政府机构和大型企业对硬件环境的安全需求。包括计算机部件清单、外联设备清单、外联接口安全配置和硬件驱动安全配置; 软件安全配置:根据计算机软件安装的安全要求,仅可安装符合规定的操作系统和软件,禁止非法软件安装,以满足政府机构和大型机构对软件环境的安全需求。包括应安装软件列表、可安装软件列表和禁止安装软件列表; 核心安全配置:对终端操作系统、办公软件和浏览器、邮件系统软件、其它常用软件等与安全有关的可选项进行参数设置,限制或禁止存在安全隐患或漏洞的功能,启用
AS8000技术白皮书 1. 产品简介 浪潮AS8000存储系统是浪潮云时代DaaS存储产品的先导者,它传承了浪潮活性存储的产品设计理念,增加了云存储的技术内容,根据客户不同数据保护需求推出的业界领先的数据保护应用平台。在统一的管理系统中为客户提供异构虚拟化整合、业务连续保护、自动精简、无中断异构平台数据迁移、数据自动分层、持续数据保护、本地/异地容灾等高级功能,最大限度的保障用户数据安全,为不同需求的用户提供了多种级别的解决方案。 2. 产品优势 2.1 先进的系统架构设计 AS8000采用了全冗余架构、全模块化设计,无单点故障,保障业务系统持续运行; 标配两个DSE(Data System Engine)(active-active)引擎,可扩展为群集体系架构,实现多路径故障无缝自动切换、路径IO负载均衡的组网模式,并且随着节点的增加,系统性能线性增加; 丰富的扩展接口能够满足不同业务需求,充分保证了硬件的灵活性、可靠性
和扩展性; 实时监控设备运行状态,全方位的故障诊断机制,一目了然的硬件报警措施,极大的降低管理难度; 支持系统掉电保护 2.2 自动精简配置 存储资源的分配不再受存储物理空间大小的限制,实现100% 的随需分配; 当物理存储资源不足时,可在线实时扩容;降低初期IT 投入成本的同时,大幅度提高了资源使用效率。 2.3 容灾镜像保护 支持基于IP、FC的同步异步数据镜像,在异构存储间建立起本地或远程的数据容灾功能,打造数据级跨应用级容灾方案,实现数据零丢失; 支持多站点间的数据同步异步传输,建立大规模的全局数据容灾系统。 2.4 灵活的快照策略保护 可以基于虚拟系统或主机触发快照生成,用于备份、测试、数据挖掘等应用;增量的快照相比传统快照,空间缩减80%以上,有效降低系统负载。 2.5 持续数据保护 提供持续数据保护,可以将生产数据恢复到保护周期内的任意时间点,完全解决了连续快照方式只有有限时间点的弊端,实现真正意义上的持续数据保护。 2.6 便捷的管理 集中管理平台,对异构厂商存储设备实现统一管理; 支持FC SAN、IP SAN、NAS不同存储架构不同协议接入; 实时监控设备运行状态,全方位的故障诊断机制,一目了然的硬件报警措施,
工业互联网平台技术白皮书
目录 一、工业互联网平台的整体态势 (1) (一)全球工业互联网平台保持活跃创新态势 (1) (二)我国工业互联网平台呈现蓬勃发展良好局面 (1) (三)工业互联网平台整体仍处于发展初期 (2) 二、工业互联网平台的应用路径 (3) (一)平台应用场景逐步聚焦,国内外呈现不同发展特点 (3) (二)我国平台应用进展迅速,大中小企业协同推进 (5) 1.平台应用全面开展,模式创新与跨界融合成为我国特色.5 2.我国大中小企业基于平台并行推进创新应用与能力普及.7 (三)平台应用发展层次与价值机理逐步清晰 (9) 1.由单点信息化走向跨域智能化,应用呈现三大发展层次.9 2.数据分析深度与工业机理复杂度决定平台应用优化价值和 发展热度 (12) (四)垂直行业平台应用走向纵深 (13) 1.高端装备行业重点围绕产品全生命周期开展平台应用.. 13 2.流程行业以资产、生产、价值链的复杂与系统性优化为应用 重点 (15) 3.家电、汽车等行业侧重于规模化定制、质量管理与产品后服 务应用 (17)
4.制药、食品等行业的平台应用以产品溯源与经营管理优化为 重点 (18) 5.电子信息制造业重点关注质量管理与生产效率提升 (19) 三、工业互联网平台的技术进展 (20) (一)边缘功能重心由接入数据向用好数据演进 (22) 1.数据接入由定制化方案走向平台通用服务 (22) 2.边缘数据分析从简单规则向复杂分析延伸 (23) 3.通用IT 软硬件架构向边缘侧下沉,为边缘应用创新提供更 好载体和环境 (24) (二)模型的沉淀、集成与管理成平台工业赋能的核心能力. 26 1.信息模型规范统一成为平台提升工业要素管理水平的关键 (26) 2.机理模型、数据模型、业务模型加速沉淀,工业服务能力不 断强化 (27) 3.多类模型融合集成,推动数字孪生由概念走向落地 (28) (三)数据管理与分析从定制开发走向成熟商业方案 (29) 1.平台聚焦工业特色需求,强化工业数据管控能力 (29) 2.实时分析与人工智能成为平台数据分析技术的创新热点. 30 3.平台贴近工业实际,完善工具不断提高工业数据易用性. 31 (四)平台架构向资源灵活组织、功能封装复用、开发敏捷高效加速演进 (32) 1.容器、微服务技术演进大幅提升平台基础架构灵活性.. 32
机房线路管理系统 -CVMS 一、当前现状 机房线路及设备管理现状 ?采用手工记录管理现有线缆标识、线路连接关系 ?缺乏统一的资料管理平台 ?网络物理线路查询困难 ?人员变更交接资料繁琐 ?缺乏规范的管理流程 ?无法清楚的了解网络设备的配置和资源使用状况 ?维护效率低,增加维护成本 为什么我们推出软件形式的机房线路管理系统? ?提高企业/政府/教育/金融IT管理部门的效 率 ?解脱繁琐的传统文档管理工序 ?迅速诊断和定位网络问题 ?提升内部安全性能 ?极为合理的投资成本 ?实现管理图形化和数字化 ?纯软件系统对线路及网络硬件没有任何不良影响 智邦(知微?)机房线路管理系统是对机房系统中设备的维护信息和连接信息进行图形化管理,把图形、数据和连接关系三种对象紧密的结合,为管理员提供一个直观、易用的图形化管理平台。
二、系统特点 CVMS 是一套专业的机房线路管理软件,通过创建“可视化数据库”,将信息和图形有机结合,能帮助企业更好地规划、管理和维护其物理网络、通信、视频、监控及布线基础设施。 基于B/S(浏览器/服务器)结构模型,客户端以浏览器的web 页面形式运行; 系统后台采用SQL Server数据库; 纯软件架构,不需要对现有的网络和硬件进行任何改动; 管理界面友好、精美、简单、功能强大、操作灵活; 可实行跨地域管理和分工管理; 数据和图形相结合; 图形定位快捷; 设备、线缆、终端链路关联处理; 文档、设备、线路连接统一管理,建立完整的技术管理平台; 通过操作日志、管理权限、角色管理来实现对操作人员的管理; 线缆线标的管理使您的管理能精确到每一根线缆; 通过派工单管理,规范机房线路系统的维护工作流程。 三、应用范围 广泛应用于政府、军队、金融、税务、烟草、交通、教育、医疗、能源、电信、广电、司法、电力等多个行业 四、功能模块 1.数据采集 该模块的主要功能是对整个项目的内容进行录入,建立项目数据库。 模块特点: 以目录树的形式自上而下对项目内容进行逐步录入 上传楼层或区域平面图,使每个端口或信息点都可以在楼层平面图上的准确物理位 置以闪烁的形式标明 由机柜信息自动生成机柜和设备模拟图,并确定设备在机柜中的位置 定义信息点、终端设备的类型和内容 建立设备之间的连接关系,生成链路关系模拟图 支持数据批量录入,支持多人同时分工录入 支持线缆线标的批量录入
IP网络运维经管系统 为企业的网络和关键应用保驾护航 “网络预警”系统产品技术 白皮书
嘉锐世新科技(北京)有限公司 目录
1、概述 “网络”的迅速发展已经成为人们办公、日常生活中不可缺少的一部分,一旦网络出现问题将导致无法正常办公,甚至网站内容被篡改等将产生不良影响等。 网络机房,作为企业或政府“网络心脏”,网络机房的重要性越来越被信息部门重视,在以往的建设中网络中心领导注重外网的攻击,内网的经管等部分,设立防火墙,上网行为经管等设备保证网络的正常运行,往往忽视了网络运维中的网络预警。 预警,听到这个名词大多会理解为,消防、公安、天气、山体滑坡等,非专业人士很少人知道网络也可以“预警”,网络预警是建立在正常网络运行状态下所占用的网络带宽,CPU的使用率、温度,内存的使用率等,根据常规值设定阀值,一但产生大的变化超过阀值将产生报警,自动通知网络经管人员,及时准确的定位到某台设备、某个端口出现故障,网络经管人员免去繁琐的检查工作,一免影响网络的正常运行。 现在市场上以有众多的网络预警产品,各家都有相应的优缺点,我公司所提供的产品相比其他家的优势为: 1.专业硬件系统,没有纯软件产品的部署和维护烦恼;
集网络设备、服务器、应用系统监控经管、机房环境监控、内网流量分析经管于一身,不需单独投资各个系统; 2.网络日志服务子系统,可收集所有网络设备的运行log,易于查询,永久保存; 3.独创的集成VPN功能,轻松监控和经管远端局域网内的服务器; 4.监控历史记录、性能曲线、报表等非常详尽; 5.全中文web经管方式,智能式向导配置,更易于使用和符合国内网络经管人员使用习惯; 6.独创远程协助功能,轻松获取专业技术服务; 7.同比其它的国际品牌有较高的性价比。 2、“网络预警”产品结构及主要功能 “网络预警”系统由IP网络监控报警主系统和流量分析经管、VPN和防火墙、日志储存服务等多个子系统组成。 系统以实用设计为原则,运行于安全可靠的Linux操作系统,采用多层高性能架构设计,可经管上万个监控对象。采用中文WEB架构,全面支持SNMP、WMI 和IPMI协议,提供昂贵的高端网管产品才具有的丰富功能,操作简单,是追求实用和高性价比的企业用户、政府、事业单位以及IDC服务提供商为用户提供增值服务的首选产品。 IP网络监控预警主系统
AS3000技术白皮书 1. 产品简介 AS3000是浪潮面向金融电信、勘探勘测、空天信息、生物工程、气象、能源等海量数据业务的广大客户,自主研发的拥有完全自主知识产权的海量存储系统平台。AS3000同时支持NAS、IPSAN、FCSAN功能,融合iSCSI、FC、Infiniband 及10Gb万兆主机接口,囊括了目前主流的存储网络架构及主机连接方式。AS3000海量存储系统平台能高效、合理整合用户目前的存储网络架构,统一部署和集中管理,降低能耗,降低整体拥有成本(TCO)。在提供网络存储系统各项功能的基础上,融合数据保护,是高可靠、高性能、智能化兼具的新一代存储系统平台。 2. 产品优势 海量存储,融合创新 ◆多控制器体系架构,各控制器间可实现负载均衡,避免单控制器故障带来的 风险和性能的瓶颈 ◆支持NFS/CIFS等多种文件共享协议,可安装部署于Windows、Linux、Unix 等多种操作系统并存的复杂网络环境中,无需为各种文件协议单独设置存储,可轻松实现跨操作系统的数据存储与共享 ◆支持NAS/IPSAN/FCSAN,支持IP/FC-SAN和NAS同时运行,满足客户在 不同时间、不同地点、不同业务对存储的不同需求 ◆支持丰富的主机连接接口,支持iSCSI、FC、InfiniBand及万兆主机连接, 无缝接入用户现有环境,同时可以为用户提供高带宽的IB及万兆网络连接,满足客户对高带宽及高性能的差异化需求
◆全面支持SSD/FC/SAS/SATA磁盘,模块化的容量扩展模式 数据持续保护,业务运行无忧 ◆支持数据卷隔离映射功能、数据快照功能、快照回滚、远程卷复制(同步/ 异步)、远程数据复制及恢复、逻辑分区动态扩容 ◆支持Active-Active、Active-Standby等控制器工作模式,保障整体系统的高 可用,确保数据存取及业务运行万无一失 ◆系统可用性达到99.999% 模块化设计,人性化管理 ◆AS3000各主要部件均采用模块设计,客户按需选择,维护、升级、管理简 单方便 ◆支持自动构建RAID、各RAID级别间可在线迁移不影响正常数据应用 ◆完备监控管理方式,当系统出现异常时,除了通过机器指示灯报警外,可通 过邮件方式将异常状况及时通知管理员 ◆集中部署,统一管理 绿色节能 ◆全系统选取节能降耗的处理器、芯片组、风扇和散热片等部件,提高系统的 能效利用率 ◆采用独特的机箱结构设计,优化散热,降低能耗 ◆支持Maid磁盘节能技术,降低磁盘能耗,节约开支 ◆支持自动精简技术,大大提高存储资源利用率 3. 产品技术规格
小额贷款公司综合业务管理系统
目录 1、前言 (3) 2、方案概述 (4) 3、系统功能 (5) 4、系统逻辑结构 (8) 6、运行环境 (11) 7、案例介绍 (12) 8、附录 (15)
1、前言 “小额贷款”(Micro Loan),是指以广大微小企业、个体工商户、农户为服务对象,以生产经营为主要用途的贷款品种,特点是:单笔贷款金额不超过100万人民币(平均每笔贷款金额在5万元左右);贷款期限以1年以内为主;由正规金融机构按照商业化经营模式运作。与扶贫式贷款不同,这种小额贷款经营模式强调的是贷款本身的可持续性。 小额贷款主要是解决传统银行难以服务到的低端客户的金融服务问题,目标客户群体包括有生产能力的贫困和低收入人口、微小型企业主等。发展小额贷款属世界性难题,直到孟加拉乡村银行采取商业化、可持续发展模式获得成功,才为各国发展小额贷款业务提供了可资借鉴的案例。 小额贷款公司综合业务管理系统(Micro Loan Management System 简称MLMS)通过设计小额贷款管理目标、组织系统、监控系统、信息系统、管理政策、资源配置及小额贷款操作中的贷款对象、用途、额度、期限、方式、利率等要素,以及贷款的条件、调查和监管技术,解决当前小额贷款业务管理过程中存在的漏洞,填补国内小额贷款技术的空白.
2、方案概述 本方案是针对各金融机构、各银行小额贷款业务部进行电子信息管理的完整的技术解决方案。小额贷款公司综合业务管理系统,是以服务于中小型金融机构、各银行小额贷款业务部为目标,全面提升信息系统的技术内涵,实现"以产品为中心向以客户服务为中心"的战略转移,达到对外充分适应、快速反应,对内高效沟通、快速决策。 小额贷款公司综合业务管理系统(MLMS)解决方案可以在各金融机构、银行小额贷款业务部范围内更好地管理项目和资源,同时高效完成资料收集、数据分析、款项审批和报告。基于Web的数据分析管理工具帮助项目执行人员将人员、数据和分析结果完美地结合起来,及时发现企业经营中所存在的问题,并进行相关预警。各部室人员通过审批工具来传递资料,进行相互协作。可扩展的基础架构使各金融机构和银行小额贷款业务部可以将MLMS解决方案与现有的第三方系统系统进行无缝集成