北京电信防病毒网关技术建议书
2009-11
目录
第一部分背景 (3)
第二部分安全风险与现状分析 (4)
2.1现状分析 (4)
2.2当前安全风险 (5)
2.2.1 应用层恶意软件威胁分析 (5)
2.2.2网络层恶意软件威胁分析 (6)
2.2.3系统层恶意软件威胁分析 (7)
2.3 整体恶意软件防护设计思路 (7)
第三部分边界恶意软件防护需求与选型指南 (8)
第四部分边界恶意软件防护解决方案 (10)
第一部分背景
近几年,国家信息化领导小组下发了“关于加强信息安全保障工作的意见” (中办发[2003]27号) 文件把网络与信息安全工作提高为国家安全的重要组成部分,明确了加强信息安全保障工作的总体要求,即:“坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全”。文件要求正确处理安全与发展的关系,统筹规划,突出重点,强化基础性工作。北京电信严格按照国家的相关政策和要求,根据不同的保护等级,从网络、主机、应用系统不同层面逐步建设由安全基础设施(如防火墙、入侵检测、防病毒、账号管理等)构成的多层立体防护体系。
在此背景下,北京电信对全网的病毒防护提出完整的技术要求,以完善全网病毒防护立体防护体系架构,防止病毒入侵,完善网络防病毒能力,阻止蠕虫、木马、后门程序等通过互联网网关进入并通过局域网传播和扩散,保障数据安全和网络的正常运行。
为了提高北京电信网络安全性,提出针对目前北京电信系统需要的边界安全防护技术需求。在此建议书中指出采用目前国内网主流的边界恶意软件防护技术,建设北京电信网络系统统一、安全、稳定、高效的病毒安全维护体系,形成涵盖北京电信终端、应用和管理等信息系统各个方面的安全总体病毒防护方案及安全策略。
第二部分安全风险与现状分析
2.1现状分析
北京电信业务系统分为三出口多业务的架构,在各出口下发分别为彩信短信网关、来电提醒、W AP站点、WAP网关、彩铃业务、智能网系统和ISAG等重要业务系统提供Internet 接口以及外联DCN等接口。
从网络拓扑分析,所有核心业务系统均采用冗余链路与汇聚交换机连接,同时汇聚交换机、出口路由器、防火墙也均采用双链路连接。业务连续性、稳定性和冗余性得到充分保障。
在安全性保证方面,分别在ChinaNet与DCN接口部署防火墙进行访问控制策略与网络层安全防护。由于ChinaNet出口能够连接至外网并为下级各业务服务器提供Internet接入服务,由于防火墙网络数据过滤的局限性,在防火墙所开放的重要业务端口如:80、21、25、110、143等都需要在防火墙开放,而且业务端口中传输的数据是否为正常数据、是否夹带了病毒程序等则难以辨别。
网络示意图如下:
2.2当前安全风险
当前90%以上的恶意软件都是来自于互联网,并且网络病毒和蠕虫攻击速度非常惊人。蠕虫、木马和间谍软件等恶意软件是当今最危险、最流行的安全威胁,传输途径主要包括SMTP和POP3邮件以及HTTP和FTP通讯。
上述病毒现在都被称为恶意代码(Malware),为Malicious software的简写。按照国际著名信息安全专家、克林顿安全办公室顾问,Ed Skoudis的定义:“恶意代码是运行在你的计算机上,使系统按照攻击者意愿执行任务的一组指令。”
尽管近几年我们才目睹恶意代码的迅速增长,但它并不是什么新鲜事物。二十多年前,第一次被报道的计算机病毒就在Apple II中被发现,随着Internet的飞速发展,恶意代码更是肆虐传播。
按照其传播机制和危害,恶意代码可以区分为:计算机病毒、网络蠕虫、网页病毒、后门、木马、RootKit、间谍程序等,混合型恶意代码也越来越多。
要抵御当今的病毒和混合型恶意代码,仅仅一个单一解决方案是远远不够的,除了针对桌面设备的强大反病毒保护以外,在互联网网关、内部网络之间等安全环节防范恶意软件,基于边界、终端的恶意软件防护组合并已成为恶意代码立体防范技术的发展趋势。
2.2.1 应用层恶意软件威胁分析
应用层的恶意软件通常来自于以下五种传播途径:
?互联网接口:
由于互联网接口与Internet相联,内部所有访问互联网的行为和内部服务器对外提供的WEB服务等都通过互联网接口子域与互联网通讯,虽然有防火墙,仍会受到来自HTTP,FTP,SMTP,POP3等应用层通讯协议数据流为载体的潜在病毒的威胁和网络层蠕虫病毒的攻击。
?远程接入:
包括远程拨号接入,渠道营销合作伙伴远程VPN接入等方式,由远程终端发起TCP连接,与内部系统进行数据交换。这种类型的接入是无法控制接入端是否带病毒,病毒有可能会通过这种渠道传播进入业务支撑系统。
?终端设备:
由于终端设备的使用情况比较复杂,也没有很好的安全操作规范,因此这些终端有可能携带病毒的进入网络。这些终端包括业务操作终端,厂家测试终端等。这些终端通过插入带有病毒的介质(光盘、软盘等)感染自身,一旦受到感染,便可通过网络迅速传播感染其他子域系统进而交叉相互感染。
?应用平台服务器:
包括内部接口相联的业务应用服务器平台,互联网接口对外提供WEB服务的服务器等其他应用服务。如果不加防护,会成为病毒迅速扩散的温床。
?外联设备:
由于可能会有其他外来的人员联入网络,如:开发测试系统的使用人员多为第三方厂商,为不受控人员,可能对信息系统造成破环。
2.2.2网络层恶意软件威胁分析
由于网络层病毒与应用层病毒不同,病毒体多为不成文件的单个数据包,使用传统的应用层防护产品无法识别和处理网络层病毒。而网络蠕虫病毒主要是以占用网络带宽和系统资源为主,严重影响网络带宽资源和系统稳定性,并能导致网络交换机、路由器、服务器严重过载瘫痪。
网络层病毒攻击来自于以下三种传播途径:
?互联网接口:由于有部分区域可以访问互联网,该接口直接连接INTERNET,最易
受到攻击并形成传播病毒的源头。
?终端接口:终端接口包括业务操作终端,厂家开发测试终端,远程接入终端等。由
于使用终端的群体比较复杂如:营业厅的营业员,设备厂家调试人员,渠道合作伙
伴等,终端用户对网络的使用情况各不相同,极有可能携带病毒联入网络成为网络
病毒的主要传播渠道。
?内部接口:内部接口指内部的邮件系统,OA系统等应用系统相联,而内部的应用
系统能够直接访问,从而易受病毒攻击并成为传播病毒的通道,进一步感染到核心
域各系统。
2.2.3系统层恶意软件威胁分析
系统层的恶意软件风险是恶意软件主要的目的地,破坏的方式以盗取个人数据、破坏系统文件、占用系统资源并使染毒计算机成为跳板再通过网络共享等方式在局域网内大范围传播。系统层的威胁主要来自:
?网络接口:通过互联网、局域网到达目标主机。
?程序漏洞:包括操作系统漏洞、应用程序漏洞、弱口令漏洞等方式感染终端系统。
?移动介质:通过非网络传播的渠道,包括:U盘、光盘等方式感染终端系统。
2.3 整体恶意软件防护设计思路
通过上述对系统的恶意软件威胁分析,提出了整体恶意软件防护系统设计思想,对防病毒系统的集中或者分级控管、系统设计、系统部署等方面作了具体说明,为北京电信网络的平稳运行提供有力的安全保障。
在整体恶意软件防护体系的设计中,贯彻了如下四点整体恶意软件防护的基本思想:
●构建“集中管理”的控管基础架构:
在总部构建恶意软件防护控管中心,集中管理防病毒软件、硬件系统,集中监控全网恶意软件防护动态。
●构建全方位、多层次的防毒体系:
在防病毒体系设计中,结合网络恶意软件防护需求,新建基于网关恶意软件防护技术、巩固和加强应用服务器防毒、客户端防毒多层次病毒防线,斩断病毒传播的多种途径,实现恶意软件的全面防范,重点加强恶意软件防治,有效切断病毒传播途径;同时要求恶意软件特征文件库能达到每天自动升级。
●构建覆盖病毒生命周期的控制体系:
恶意软件防护体系应该包含病毒预警、病毒扩散跟踪、病毒代码更新、病毒遏制等全过程。当一个恶性病毒、网络钓鱼、恶意软件入侵时,恶意软件防护系统不仅仅使用代码来防范这些攻击,而且要具备完善的预警机制、清除机制、修复机制来实现病毒的高效处理,特别是对那些利用系统漏洞、端口攻击等方式瘫痪整个网络的新型病毒具有很好的防护手段。
第三部分边界恶意软件防护需求与选型指南
推荐使用业界主流的硬件防病毒网关或安全网关以综合防护技术都得保护网络边界,在网络边界处扫描和过滤进出的恶意软件、垃圾邮件和非法内容等安全威胁。
如果在ChinaNet出口阻断恶意软件、木马、黑客程序和垃圾邮件传到内部网络,那么内部网络恶意软件防护工作将轻松很多,因此在网络边界部署安全网关或防病毒产品在ChinaNet网络出口进行透明接入和恶意软件过滤。考虑北京电信网络出口流量较大,安全网关或防病毒网关应当具备良好的处理性能、吞吐性能、综合的恶意软件、垃圾邮件、非法内容的防护功能并且需要具备良好的扩展能力和高可用性。
安全网关或防病毒网关应当具有下列功能和性能:
硬件平台
由于应用层过滤设备需要消耗较高的CPU和内存资源,所以在设备选型时优先推荐采用Sun、HP、IBM、Dell服务器硬件平台。
安装部署方式
需要能支持各种网络环境:
-交换机TRUNK环境支持,保证能够在TRUNK环境下扫描病毒并进行Web管理;
-双机热备环境支持,保证能够部署在双机热备设备的前后;
网卡模式
需要支持10/100/1000M自适应,全双工,半双工模式;
需要支持软硬件故障情况下的BYPASS功能,不能影响正常业务流量;
恶意软件检测种类
应当能够检测病毒,蠕虫,木马,间谍软件,网络钓鱼,拨号软件,玩笑程序,未知威胁,漏洞攻击和黑客工具,必须具有详细的配置选项。
扫描协议
至少支持以下6种常用Internet协议: HTTP (包括Java和ActiveX)、FTP、SMTP、POP3、IMAP4和NNTP。以及对以上6种协议的非标准端口的病毒扫描;
高扩展性和负载均衡
建议具有内置负载均衡功能,在对大量数据进行扫描时必须具备足够的扩展能力;
快速自动修复
必须支持CD/DVD光盘快速自动修复系统;自动恢复系统一旦发现硬件损害,比如说硬盘或者是主引导记录出现损坏,它将从一个正常的备份分区启动,同时会恢复被损坏的分区。
升级方式
需要支持恶意软件定义文件,防恶意软件引擎,的每日自动更新、增量更新、离线病毒库更新。
病毒库数量
鉴于目前恶意软件种类较多,防病毒网关应具备超过180万种以上的特征种类。对于北京电信售后运维服务来说,病毒库和引擎100%为自主研发是十分必要的。
SMTP扫描性能
至少要求 500封/秒来满足北京电信实际需求。
HTTP扫描性能
至少要求 500 Mbps来满足北京电信实际需求。
启发式扫描
应当支持启发式扫描技术,可以检测到隐藏在可执行文件中的未知病毒,保证潜在的危险内容被过滤掉。
其他功能
其他附件功能还应该包括B/S架构管理,如果支持内容过滤、反垃圾邮件、隔离区功能以及Web过滤将更加提升边界防护能力。
第四部分边界恶意软件防护解决方案
建议在ChinaNet双链路出口分别部署安全网关/防病毒网关保障内部核心业务系统安全,将互联网威胁阻断在内网之外。
部署后的示意图如下:
边界安全网关
在ChinaNet分别部署安全网关/防病毒网关,串行接入且不得修改网络拓扑和路由策略。达到即插即用、即插既忘的功效,安装和维护应该简单、快捷。
边界恶意软件防护技术部署后具有下列特点:
?易于使用:选用易于安装及使用的硬件网关产品,作为网络信息传递的桥梁而非无
需重新路由网络流量。
?安全性强:选择支持扫描协议最多的网关产品,实时扫描所有进入流量。
?性能卓越:选择高端硬件基础平台,能够以最大性能扫描进出流量,同时不能对网
络产生明显影响。
?扩展性:网关应具有高可用性功能,支持负载均衡、双机负载等功能。
防病毒网关部署方案 目前网络拓扑图: 一、防病毒网关的部署位置 建议将防病毒网关部署在入侵防御和汇聚交换机之间,有以下2点原因: 1、防火墙可以阻断非法用户访问网络资源,入侵防御可以在线攻击防御,将防病毒网关部署在IPS之后可以大大减轻防病毒网关的负载,提高了防病毒网关的工作效率。 2、防病毒网关部署在路由器或者防火墙后面都需要连接四根线,而防病毒网关只有两根进线,由于入侵防御的部署模式是两个两出,所以选择部署在入侵防御之后。 防毒墙部署后的拓扑图:
二、防病毒网关查杀内容的选取 为了充分发挥防病毒网关的性能,减少不必要的性能损耗,建议防病毒网关与防火墙协同工作,目前防火墙主要开放服务器的80端口,所以防病毒网关只需主要针对Http协议的报文进行扫描查杀等工作,其他Ftp、Smtp、Pop3等协议报文的查杀,根据实际应用的需要,再做相应的配置。 三、防病毒网关的查杀方式 防病毒网关发现病毒后有四种处理方式:包括删除文件、隔离文件、清除病毒和记录日志。如果在第一次策略处理失败的情况下,可以设置第二次策略正确的处理病毒。经讨论,我们建议先采取清除病毒的方式,清除病毒失败后采取隔离文件的方式。 四、蠕虫的防护 防病毒网关需开启蠕虫过滤功能,系统默认就会自动添加一些流行蠕虫的查杀规则,其他蠕虫的防护规则可以根据各应用系统的实际应用情况来设置阀值,其中阀值的设定需防病毒网关与各业务系统之 间不断的磨合,才可以达到最佳防护效果。
防止系统漏洞类的蠕虫病毒,最好的办法是更新好操作系统补丁,因此蠕虫的防护需与服务器操作系统补丁更新配合实施。 五、网卡模式选取 防病毒网关接线图: 综合分析目前网络拓扑现状,我们建议选用网络分组模式,将ETH1接口和ETH2接口划分到Bridage0通道中,用于扫描访问电信线路1和移动线路的数据包,将管理口划分到Bridage1通道中,用于扫描访问电信线路2和广电线路的数据包。需给Bridage0通道分配一个核心交换机1与汇聚交换机1互联网段的地址,用户防病毒网关的升级与日常管理维护。 六、病毒库的升级方式 病毒库的升级模式分为三种:自动升级、手动升级和离线升级,考虑到网络上的病毒每天每时都有新的、变种的病毒,我们建议选用自动升级的方法,因为手动升级和离线升级无法做到病毒库升级的及时性,可能会造成漏杀的状况对系统造成不良影响。 出于安全考虑,在防火墙配置访问控制策略,阻断所有的服务器
保障医院网络信息系统安全 “网络安全方案不要过于复杂,我个人认为简单就是可靠。”中国医院协会信息管理专业委员会副主任委员、解放军总医院(301医院)信息中心主任薛万国先生表示:“首先,安全对于医院信息化非常重要,该买的产品一定要买;其次,安全方案不要太复杂;再次,还应重视应用的安全。安全方案复杂了以后不稳定的因素是客观存在的,会导致网络出现问题。比如,如果加太多的防火墙、防病毒网关、行为管理软件等等以后,将会导致网络的实际带宽可能只剩有20%、30%。” 北京宣武医院信息中心的专家尚邦志认为:“解决网络安全问题不能只靠拿网络产品去堆砌,解决网络安全问题首先应该有一个系统的网络安全方案。网络安全问题是永远存在,安全问题实际上是管理加技术的问题,而且是管理在前,技术在后。一定要考虑在管理的前提下应用技术,这样才能保证安全。” 论坛中,尚邦志从安全方案的设计,风险评估,设备选型到施工等等方面展开的一一阐述。他认为,医院在进行网络安全设计时,不同的医院在需求上会有所不同,安全方案必须结合各自医院的具体需求情况,而对于厂商提供的方案一定要进行二次设计。在网络施工阶段,施工质量不好,施工的工艺不行,同样会造成网络安全遗患。同样,有很多的细节需要重视,比如交换机的配置,交换机买来了之后不是上来就用,一定要做好初始化配置。 此外,医院应该做好风险评估工作,风险是随着时间的推移而不断变化的。 在设备选型方面,尚邦志强调,所有最佳的产品设备简单组合在一起未必能组成一个最佳的系统,反倒不是最佳的产品设备组合在一起,可能会产生一个比较理想的系统,这需要具体问题具体分析,而不是盲目追求。 关于采用万兆网的选择问题,中国医院协会信息管理专业委员会常务委员兼秘书长,北医三院信息管理中心主任沈韬研究员表示:“目前北医三院的骨干网采用的是千兆,即便是高峰期能用到20%就不错了。所以,就目前医院的实际需要情况看,即便是在有很多应用的情况下,网络带宽并不是一个迫不急待需要解决的问题。”同样,薛万国主任也认为:“网络并不是最大的就好,一定要有容度才是最好。”
恶意代码检测 白皮书在网关处阻止恶意软件
1.病毒问题 目前,恶意软件感染率大幅增高,以窃取公司敏感数据和破坏重要用户用户记录的恶意软件会给企业造成巨大的损失,企业必须选择正确的防御方式来阻止恶意软件感染。针对现在的Internet,恶意软件研究人员发现了大量的恶意软件活动,并评估每天都有数以千计的恶意软件变种在发布并传播。与之形成强烈对比的是,只是在几年前,研究人员每天只能发现少量新的恶意软件。研究人员预计随着Internet中大量的新恶意继续恶化,这种情况仅是大流行的初期阶段。同时黑客发布越来越复杂的恶意软件——一些被设计为偷渡式安装并通过一台曾经是信任的主机或假冒他人进行分发。 这篇文档针对在网关处检测数据的网关防病毒架构设计,描述、比较并提出了一份最好的实践指南。这种架构被设计对识别并阻止恶意软件内容进行高速数据检查,如:键盘记录器、后门程序、间谍软件、rootkit等其它形态的恶意软件。 将两种主流架构进行比较。第一种方式是Fortinet利用定制硬件来加速文件重组和应用识别的代理方式,可提供更全面的文件分析。第二种是基于数据流方式,在对数据包进行逐个检测。以下内容将描述基于流方式虽然可提供最大化的性能,但性能提高的代价是低检测率,增加用户因检测失败而感染恶意软件的高风险。 值得注意的是Fortinet向正规的第三方认证中心(ICSA实验室)提交了Fortinet架构以确保100%的WildList防御(WildList是一个Internet上最活跃病毒的数据库。列表每月更新,由https://www.doczj.com/doc/647719696.html,维护,Fortinet是其成员之一)。每月的ICSA测试证明FortiGate设备可提供100%的WildList保护。另外,Fortinet 对恶意软件防御相比WildList进行了扩充,使用启发式分析和文件还原引擎动态的检测多形态病毒及新的恶意软件变种。通过对Web、FTP下载/上传、邮件信息及IM(即时消息)等应用的数据传输进行扫描,FortiGate设备可对最流行的恶意软件进行阻止。反之,没有一种目前的基于流网关经过认证或行业证明可提供100% WildList保护。 2.Fortinet方式——加速的内容分析 Fortinet网络架构是利用专用的硬件架构,在不牺牲网络安全性和性能的前提下,正确快速的检测恶意内容。使用深度文件分析和基于代理的应用引擎,FortiGate设备把文件提交给内容层、协议层和启发式分析层等多个层次,使系统能检查到最复杂的多形态恶意软件。为了进一步增加检测正确性,代理方式在检测前可对文件解包或解密,使FortiGate设备能解决规避方法。由于文件经常被有意的打包或加密,以逃避基于流的检测方式。 例如,黑客清楚基于流检测的运行原理后,故意的打包恶意软件以逃避基于流扫描的检测。打包文件是指把文件压缩或归档为某种格式,如UPX、gzip、ZIP
入侵防御TOPIDP之IPS产品分析 学院:计算机科学与工程学院 年级:大三 学号: 姓名: 专业:信息安全 2013.11.15
摘要 本文介绍了天融信公司开发的入侵防御系统I P S的产品特点、功能、特性以及应用等,使读者对I P S有一个简要的概念。 关键词:特点;特性:功能;
目录 摘要..............................一产品厂家 二产品概述 三产品特点 四产品功能 4、1 入侵防护 4、2 DoS/DDoS防护 4、3 应用管控 4、4 网络病毒检测 4、5 URL过滤 五产品特性 六产品应用 6、1 典型部署 6、2 内网部署 七结论
一、产品厂家 北京天融信网络安全技术有限公司1995年成立于中国信息产业摇篮的北京,十八年来天融信人凭借勇于创新、积极进取、和谐发展的精神,成功打造中国信息安全产业著名品牌——TOPSEC。 天融信是中国领先的信息安全产品与服务解决方案提供商。基于创新的“可信网络架构”以及业界领先的信息安全产品与服务,天融信致力于改善用户网络与应用的可视性、可用性、可控性和安全性,降低安全风险,创造业务价值。 ●构建可信网络安全世界 ●中国安全硬件市场领导者 ●快速成长的安全管理业务 ●互联网安全云服务的开拓者 ●实现安全的业务交付 ●安全研究与前沿探索 ●技术创新引领发展 ●国家安全企业责任 二、产品概述 天融信公司的网络卫士入侵防御系统(以下简称TopIDP产品)采用在线部署方式,能够实时检测和阻断包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、木马、蠕虫、系统漏洞等在内的11大类超过3500种网络攻击行为,有效保护用户网络IT服务资源,使其免受各种外部攻击侵扰。TopIDP产品能够阻断或限制p2p下载、网络视频、网络游戏等各种网络带宽滥用行为,确保网络业务通畅。TopIDP产品还提供了详尽的攻击事件记录、各种统计报表,并以可视化方式动态展示,实现实时的全网威胁分析。 TopIDP产品全系列采用多核处理器硬件平台,基于先进的新一代并行处理技术架构,内置处理器动态负载均衡专利技术,实现了对网络数据流的高性能实时检测和防御。TopIDP产品采用基于目标主机的流检测引擎,可即时处理IP分片和TCP流重组,有效阻断各种逃逸检测的攻击手段。天融信公司内部的攻防专业实验室通过与厂商和国家权威机构的合作,不断跟踪、挖掘和分析新出现的各种漏洞信息,并将研究成果直接应用于产品,保障了TopIDP产品检测的全面、准确和及时有效。
通信网络安全防护集团公司文件内部编码:(TTT-UUTT-MMYB-URTTY-ITTLTY-
通信网络安全防护互联网(CMNet)是完全开放的IP网络。面临的主要安全风险来自用户、互联伙伴的带有拒绝服务攻击性质的安全事件,包括利用路由器漏洞的安全攻击,分布式大流量攻击,蠕虫病毒、虚假路由、钓鱼攻击、P2P滥用等。 互联网上的安全事件会影响直接或间接连接互联网的业务系统。因此,针对互联网,应重点做好以下几方面安全措施: (1)流量控制系统:在互联网的国际出入口、网间接口、骨干网接口的合适位置部署流量控制系统,具备对各种业务流量带宽进行控制的能力,防止P2P等业务滥用。 (2)流量清洗系统:在互联网骨干网、网间等接口部署异常流量清洗系统,用于发现对特定端口、特定协议等的攻击行为并进行阻断,防止或减缓拒绝服务攻击发生的可能性。 (3)恶意代码监测系统:在骨干网接口、网间接口、IDC和重要系统的前端部署恶意代码监测系统,具备对蠕虫、木马和僵尸网络的监测能力。
(4)路由安全监测:对互联网关键基础设施重要组成的BGP路由系统进行监测,防止恶意的路由宣告、拦截或篡改BGP路由的事件发生。 (5)重点完善DNS安全监控和防护手段,针对异常流量以及DNS欺骗攻击的特点,对DNS服务器健康情况、DNS负载均衡设备、DNS系统解析情况等进行监控,及时发现并解决安全问题。 通信网络安全防护—移动互联网安全防护 移动互联网把移动通信网作为接入网络,包括移动通信网络接入、公众互联网服务、移动互联网终端。移动互联网面临的安全威胁主要来自终端、网络和业务。终端的智能化带来的威胁主要是手机病毒和恶意代码引起的破坏终端功能、窃取用户信息、滥用网络资源、非法恶意订购等。 网络的安全威胁主要包括非法接入网络、进行拒绝服务攻击、跟踪窃听空口传输的信息、滥用网络服务等。业务层面的安全威胁包括非法访问业务、非法访问数据、拒绝服务攻击、垃圾信息的泛滥、不良信息的传播、个人隐私和敏感信息的泄露等。 针对以上安全威胁,应在终端侧和网络侧进行安全防护。
内网安全整体解决方案
目录
第一章总体方案设计 1.1 依据政策标准 1.1.1 国内政策和标准 1.《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)2.《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号) 3.《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号) 4.《信息安全等级保护管理办法》(公通字〔2007〕43号) 5.《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号) 6.《信息安全等级保护备案实施细则》(公信安〔2007〕1360号) 7.《公安机关信息安全等级保护检查工作规范》(公信安〔2008〕736号)8.《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技〔2008〕2071号) 9.《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号) 10.国资委、公安部《关于进一步推进中央企业信息安全等级保护工作的通知》(公通字[2010]70号文) 11.《关于推动信息安全等级保护测评体系建设和开展等保测评工作的通知》(公信安[2010]303号文) 12.国资委《中央企业商业秘密保护暂行规定》(国资发〔2010〕41号)13.《 22239.1 信息安全技术网络安全等级保护基本要求第1部分安全通用要求(征求意见稿)》 14.《 22239.2 信息安全技术网络安全等级保护基本要求第2部分:
云计算安全扩展要求(征求意见稿)》 15.《 25070.2 信息安全技术网络安全等级保护设计技术要求第2部分:云计算安全要求(征求意见稿)》 16.《 20—信息安全技术网络安全等级保护定级指南(征求意见稿)》 17.《信息安全技术信息系统安全等级保护基本要求》 18.《信息安全技术信息系统等级保护安全设计技术要求》 19.《信息安全技术信息系统安全等级保护定级指南》 20.《信息安全技术信息系统安全等级保护实施指南》 21.《计算机信息系统安全等级保护划分准则》 22.《信息安全技术信息系统安全等级保护测评要求》 23.《信息安全技术信息系统安全等级保护测评过程指南》 24.《信息安全技术信息系统等级保护安全设计技术要求》 25.《信息安全技术网络基础安全技术要求》 26.《信息安全技术信息系统安全通用技术要求(技术类)》 27.《信息安全技术信息系统物理安全技术要求(技术类)》 28.《信息安全技术公共基础设施系统安全等级保护技术要求》 29.《信息安全技术信息系统安全管理要求(管理类)》 30.《信息安全技术信息系统安全工程管理要求(管理类)》 31.《信息安全技术信息安全风险评估规范》 32.《信息技术安全技术信息安全事件管理指南》 33.《信息安全技术信息安全事件分类分级指南》 34.《信息安全技术信息系统安全等级保护体系框架》 35.《信息安全技术信息系统安全等级保护基本模型》
安全网关部署方案 随着企业网络的普及和网络开放性,共享性,互连程度的扩大,网络的信息安全问题也越来越引起人们的重视。一个安全的计算机局域网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。计算机局域网络不仅要保护计算机网络设备安全和计算机网络系统安全,还要保护数据安全。这样,局域网络信息安全问题就成为危害网络发展的核心问题,与外界的因特网连接使信息受侵害的问题尤其严重。目前局域网信息的不安全因素来自病毒、黑客、木马、垃圾邮件等几个方面。另外域网内部的信息安全更是不容忽视的。网络内部各节点之间通过网络共享网络资源,就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下,因此造成信息泄漏;甚至存在内部人员编写程序通过网络进行传播,或者利用黑客程序入侵他人主机的现象。因此,网络安全不仅要防范外部网,同时更防范内部网安全。因此,企业采取统一的安全网关策略来保证网络的安全是十分需要的。一个完整的安全技术和产品包括:身份认证、访问控制、流量监测、网络加密技术、防火墙、入侵检测、防病毒、漏洞扫描等;而造成安全事件的原因则包括技术因素、管理因素以及安全架构设计上的疏漏等问题。安全网关是各种技术有机融合,具有重要且独特的保护作用,其范围从协议级过滤到十分复杂的应用级过滤,对保护计算机局域网起着关键性的作用。
安全网关部署拓扑图: (图1)
上图为安全网关部署示意图,包含了组建局域网网的基本要素。下面对其各个部分进行讲解。 一、安全网关接入网络。 安全网关一般具有2个W AN口以及4个LAN口。如上图所示,外网IP为221.2.197.149,连接网线到W AN口上。LAN的口IP地址是可以自由设置的,图中设定的2个LAN口的IP为192.168.0.1(局域网用户)以及10.0.0.1(服务器用网段)。另外安全网关具有了无线网络功能,分配IP地址为192.168.10.1。下面对上述接入方式进行详细说明。 1.路由NET部署 图一所示接入方式即为路由NET部署拓扑图。安全网关设备部署在网络的出口位置,实现路由、NAT转发功能。同时可以开启Qos (流量)控制、URL过滤、IM限制等功能,这种部署模式是最为常见的部署模式,应用客户最多。 2. 透明模式部署拓扑图
防毒墙 品牌:浦喆 要求:为专业级防病毒过滤网关产品;非防火墙、UTM、防病毒模块化产品; 1.硬件规格:标准1U机架式网关,配备单电源,支持液晶屏。接口支持6个千兆电口(含 两路bypass)(需提供产品彩页加盖原厂公章)。 支持液晶屏信息显示(系统资源、IP地址)和液晶屏设备操作:BYPASS、重启、关机。 2.性能指标:网络吞吐量≥ 3Gbps;防病毒吞吐量≥550Mbps;并发连接数≥80万。 3.网络支持:支持透明部署模式,要求单台设备实现两条链路间的非对称路由环境接入, 实现双网桥之间的会话同步、病毒过滤(提供功能界面截图)。 支持网桥管理和任意接口地址管理; 支持对IPv4、IPv6环境的接入和综合性防御; 4.高可靠性:支持WEB管理界面的BYPASS开启与关闭;并在BYPASS开启状态下,WEB管 理界面仍可继续操作; 支持串行部署模式下的连接状态传递用于链路切换状态的传递。 支持端口震荡场景下的自动BYPASS功能,并可灵活设定端口震荡次数作为触发机制(提供功能界面截图)。 5.部署应用:支持串行部署、并行部署、串/并混合部署三种模式。 支持串/并混合部署模式下的多路防御、多接口监听。 6.病毒防御:支持可执行病毒、宏病毒、木马、蠕虫、间谍软件、恶意脚本等混合型病毒 文件的过滤。 支持针对手机恶意APP病毒程序的过滤,并于界面数据呈现时自动归类为“手机病毒”,便于管理员一目了然。 支持HTTP、SMTP、FTP、POP3、IMAP、SMB协议过滤,支持断点续传过滤,协议过滤端口为自适应模式,无需手工设定(提供功能界面截图)。 支持对协议层病毒文件的告警、破坏、隔离、阻断四种操作模式,且每一种协议的过滤动作均可灵活设定(提供功能界面截图) 支持对病毒名称的白名单设定,设定后此类病毒名称将被放行。 支持对HTTP、FTP、SMB、POP3、IMAP、SMTP传输的文件格式进行过滤、阻断。 7.恶意代码通讯防御:支持对处于活动状态下的蠕虫扩散、木马通讯(含手机木马通讯)、 僵尸网络通讯、漏洞攻击、恶意站点、WEB攻击行为的识别及阻断; 支持对恶意代码攻击的自动阻断功能,且阻断时长可手动设定,支持自动的黑名单加入。 支持对具有认证机制的协议探测防御,如SMTP、POP3、IMAP、SMB、HTTP、FTP协议的探测扫描、暴力破解防护; 支持在产生恶意代码威胁攻击时,呈现当前正在遭受攻击的服务器地址及受威胁的服务端口。以此提醒管理员当前威胁状态; 支持对邮件服务器IP地址、邮件域、邮件地址的黑、白名单设定。以及对邮件主题关键字、附件名称、附件类型的过滤拦截功能。 8.恶意代码库:支持一千两百万以上数量的全量恶意代码库,且每次更新可看到库数量的 变化;(提供功能界面截图) 支持在线更新、离线导入、指向升级、定时更新,更新途径必须采用加密协议,确保库更新过程的完整性和安全性; 支持对恶意代码库的旧版本回滚功能,回滚版本应支持三个版本以上; 9.设备管理:支持互联网环境下的设备远程登录功能,且链路为加密方式,以此解决互联 网环境下的地址映射和厂商技术的快速支持; 支持SNMP、SYSLOG、NTP、Radius协议; 支持对设备操作记录的审计、新旧操作对比功能。支持在线用户审计; 支持对设备本机的细颗粒度访问控制。如五元组访问设定;支持账户的权限分离、本地账户操作、Radius账户同步下发、安全性检查操作等功能;
病毒过滤 高性能纯硬件系列病毒过滤 ——基于多核Plus G2架构和全并行流检测引擎 高性能纯硬件系列病毒过滤 Hillstone 山石网科的病毒过滤是基于多核Plus G2安全架构,并采用了全并行流检测引擎。可快速有效阻止病毒、木马、蠕虫、间谍软件等恶意软件通过网页、邮件等应用渗透至内网,从而预防病毒感染引起的信息丢失、内网主机无法正常工作、数据泄漏或被窃取等现象。作为现代防病毒体系中必不可少的防病毒网关,Hillstone 山石网科病毒过滤采用世界知名厂商kasperskyLab(卡巴斯基)的病毒库,可及时、有效、可靠地更新病毒数据库信息。Hillstone 山石网科系列产品可为电信运营商、各类大中小型企业、金融机构以及各种机关单位提供专业的高性能的防病毒解决方案。 基于多核Plus? G2 Hillstone 山石网科自主开发的64位实时安全操作系统StoneOS?,具备强大的并行处理能力。StoneOS?采用专利的多处理器全并行架构,和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同;StoneOS?实现了从网络层到应用层的多核全并行处理。较业界其他的多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升,为同时开启多项防护功能奠定了性能基础,突破了传统安全网关的功能实用性和性能的无法两全的局限。所以,Hillstone山石网科系列网关的每秒新建处理能力、网络处理能力以及抗DOS攻击能力超于一般的防病毒网关,其自身的安全性、可靠性和可用性也都远远高于传统的防病毒网关。 可扩展的病毒过滤 Hillstone 山石网科支持的应用处理扩展模块充分保护用户投资,应用处理模块FEC-AV-30和FEC-AV-60可以提高本机应用处理能力,将病毒过滤的处理放在应用处理模块上进行,释放主机处理和运算能力,让病毒过滤不再成为性能瓶颈。同时,病毒过滤的性能上也有1倍左右的提升。 基于全并性流检测引擎 传统的串联型检测和基于代理的内容安全网关技术不能满足作为网关设备的性能和容量要求。Hillstone山石网科独创了全并行流扫描引擎,与传统的文件型防病毒网关的引擎不同,并发流病毒扫描引擎无需将应用会话中所有数据包在内部进行重组缓存后再对文件进行扫描,而是接收数据包和病毒扫描同时并行处理,并发的流扫描引擎能提供高性能,低延迟,高容量的处理, 对扫描的文件大小和数量没有限制,同时,所有内容安全处理在统一的内容处理流程中完成,能保证同时开启防病毒,入侵检测等内容安全处理,依然能保持高性能的处理。 专业及时的病毒库更新服务 Hillstone 山石网科与国际知名反病毒厂商kaspersky Lab(卡巴斯基)技术合作,采用专门为多核Plus架构以及并发流病毒扫描引擎优化的病毒库,为用户提供专业的、本地化的、实时的病毒库样本更新,实时阻断木马、病毒、蠕虫、间谍软件通过Web页面、邮件等应用向内网渗透。 丰富的软件特性
天津大学交换机及防病毒网关项目采购 招标文件 (招标编号:TD2009-N-30) 招标单位:天津大学设备处 日期:二00九年九月 目录 41
第一部分:投标邀请 天津大学(以下简称招标单位)就天津大学交换机及防病毒网关项目采购项目的相关货物和有关服务进行国内公开招标,现邀请合格投标人参加投标。 一、项目名称:天津大学交换机及防病毒网关项目采购项目 二、招标编号:TD2009-N-30 三、招标内容:交换机及防病毒网关 详见本招标文件第四部分。 *四、合格的投标人 1、具有独立承担民事责任的能力; 2、具有良好的商业信誉和健全的财务会计制度; 3、具有履行合同所必需的设备和专业技术能力; 4、具有依法缴纳税收和社会保障资金的良好记录; 5、参加此项采购活动前三年内,在经营活动中没有重大违约、违法记录; 五、投标报名及招标文件的发放 1、要求: 报名领取招标文件时请携带以下文件: (1)有效营业执照副本复印件(加盖单位公章) (2)法人代表授权委托书原件(法人代表签字或盖章,并加盖单位公章)(3)授权代表身份证原件及复印件 2、报名时间(北京时间): 2009年9月29日-10月14日上午9:00-11:00,下午2:00-4:00(周六、日,法定节假日除外) 3、地点:天津大学第九教学楼420室
地址:天津市南开区卫津路92号天津大学设备处 邮编:300072 联系人:窦松久、孟峥 电话: 传真: 六、投标文件的递交 1、递交截止时间(北京时间):2009年10月23日9:00。 逾期收到或不符合招标文件规定的投标文件概不接受。 2、递交地点:天津大学第九教学楼9-419 地址:天津市南开区卫津路92号天津大学设备处 3.递交方式: 投标人须由法定代表人或授权代表人向招标单位递交投标文件(含对投标文件的有效修改、澄清文件),以邮寄(含快递)、传真、电子邮件、电报、电话等方式递交的投标文件无效。 七、开标 1、开标时间(北京时间):2009年10月23日9:00。 2、开标地点:天津大学第九教学楼9-419 3、开标时,投标人出席并必须按照本招标文件的规定参加开标,否则因无法检查、确认投标文件密封情况时,招标单位有权对该投标人的投标文件视为无效投标。 第二部分:投标人须知 一、总则 1.适用范围 本招标文件适用于本文件第四部分所述所有货物及相关服务的招标投标。2.定义 “招标单位”指组织本次招标的天津大学设备处。
解决内网安全问题的措施 摘要:说起网络安全,大家就会想到病毒破坏和黑客攻击,事实并非如此。常规安全防御理念往往局限在网关级别、网络边界(防火墙、漏洞扫描、防病毒、IDS)等方面的防御,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反,在所有的安全事件中,高于70%的安全事件是发生在内网上的,并且随着网络的庞大化和复杂化,这一比例仍有增长的趋势,内网安全面临着前所未有的挑战。因此文章针对几个方面的挑战提出了一些解决措施。 关键词:内网安全防火墙病毒 1、内网安全面临的挑战 1.1以太网交换机难担安全重任 组建内网的主要设备是以太网交换机,其安全性较弱;虽然划分VLAN、ACL访问控制可以在一定程度上控制内网安全,但这种控制是比较粗的方式,难以做到比较精细的安全控制,同时也会影响到VLAN间用户的访问,从而影响网络的使用效率。另外在内网安全事件中,攻击对象也从攻击主机、网络设备而改为对网络资源进行攻击为主要特征,而以太网交换机的工作原理和开放特征难以对此类攻击进行有效的控制。 1.2单一安全技术难以实现有效防控 病毒和攻击手段的发展成就了防火墙、防病毒网关、IDS等安全设备,但是这几种设备均是基于对已知攻击手段的防范,无法有效防范未知攻击手段,尤其是对以网络资源为攻击对象的攻击手段进行防范。防火墙没有办法实现对内部用户安全攻击的控制;IDS不能实现对所有业务的监测和控制;防病毒软件没有办法控制病毒在网络内的传播;可以看出分别部署这些设备的网络在安全措施上缺乏系统性,防火墙、IDS、防病毒各自为政,难以对整网形成有效防控。 1.3安全发展面临硬件平台的挑战 由于全部工作在OSI参考模型的传输层之上,防火墙、IDS、防病毒等设备都要求复杂的算法、丰富的功能、不断的升级,这些特点注定防火墙、IDS、防病毒设备出生在x86平台上。而网络设备已经发生了非常大的变化,采用专有的ASIC芯片,核心交换机已经具备近千个G的交换处理能力。基于x86平台的安全设备,性能通常不到这些网络设备的1%,会成为整网性能的瓶颈。为了迎接以上挑战,产生了内部网络与安全的融合。 2、内部网络与安全的融合
网络防病毒软件技术协议 目录 1. 总则 (1) 2. 引用标准 (2) 3. 技术要求 (3) 4. 订货范围 (8) 5. 双方工作安排 (9) 6. 质量保证和试验 (10) 7. 包装、运输和贮存 (11) 8. 附件 (12)
1.总则 1.1 投标者资格 投标者必须具有自主产权的国产设备授权证明,具备计算机集成资质3级以上,具有公安部颁发的《计算机信息系统安全专用产品销售许可证》,提供产品唯一授权书,提供给本标书的设备必须提供在电力系统商业运行的良好记录。 1.2 本设备技术规范书适用于AA局调度主站二次安全防护防病毒网关等设备加装(网络防病毒软件)的成套装置的功能设计、结构、性能、安装和试验等方面的技术要求。 1.3 本设备技术规范书提出的是最低限度的技术要求,并未对一切技术细节做出规定,也未充分引述有关标准和规范的条文,卖方应提供符合本规范书和工业标准的优质产品。 1.4 如果卖方没有以书面形式对本规范书的条文提出异议,则意味着卖方提供的设备(或系统)完全符合本技术规范书的要求。如有异议,不管是多么微小,都应在报价书中以“对规范书的意见和同规范书的差异”为标题的专门章节中加以详细描述。 1.5 本设备技术规范书所使用的标准如遇与卖方所执行的标准不一致时,按较高标准执行。 1.6 本设备技术规范书经买、卖双方确认后作为订货合同的技术附件与合同正文具有同等法律效力。 1.7 本设备规范书未尽事宜,由买卖双方协商确定。
2.引用标准 下列标准所包含的条文,通过在本规范书中引用而构成本规范书的基本条文。在本规范书出版时,所示版本均为有效。所有标准都会被修订,使用本规范书的各方应探讨使用下列标准最新版本的可能性。 1、南方电网电力二次装备技术导则 2、中国南方电网电力监控系统安全防护技术规范 3、2016年南网电力监控系统安全防护管理办法 4、电力监控系统安全防护规定(14号令) 5、发改委14号令配套文件--能源局36号文 6、中国网络安全法
Juniper防火墙部署工程(第一部分) 第一章 Juniper的安全理念 (3) 1.1 基本防火墙功能 (3) 1.2 内容安全功能 (4) 1.3 虚拟专网(VPN)功能 (7) 1.4 流量管理功能 (7) 1.5 强大的ASIC的硬件保障 (8) 1.6 设备的可靠性和安全性 (8) 1.7 完备简易的管理 (9) 第二章项目概述 (9) 第三章总体方案建议 (10) 3.1 防火墙A和防火墙B的双机热备、均衡负载实现方案 (10) 3.2 防火墙A和防火墙B的VLAN(802.1Q的trunk协议)实现方案 (15) 3.3 防火墙A和防火墙B的动态路由支持程度的实现方案 (16) 3.4 防火墙的VPN实现方案 (16) 3.5 防火墙的安全控制实现方案 (17) 3.6 防火墙的网络地址转换实现方案 (25) 3.7 防火墙的应用代理实现方案 (28)
3.9 防火墙用户认证的实现方案 (28) 3.10 防火墙对带宽管理实现方案 (30) 3.11 防火墙日志管理、管理特性以及集中管理实现方案 (31) 第一章Juniper的安全理念 网络安全可以分为数据安全和服务安全两个层次。数据安全是防止信息被非法探听;服务安全是使网络系统提供不间断的通畅的对外服务。从严格的意义上讲,只有物理上完全隔离的网络系统才是安全的。但为了实际生产以及信息交换的需要,采用完全隔离手段保障网络安全很少被采用。在有了对外的联系之后,网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。这里的成本包括设备成本、人力成本、时间成本等多方面的因素。Juniper 的整合式安全设备是专为互联网网络安全而设,将硬件状态防火墙、虚拟专用网(IPsec VPN)、入侵防护(IPS)和流量管理等多种安全功能集于一体。Juniper 整合式安全设备具有ASIC芯片硬件加速的安全策略、IPSec加密演算性能、低延时,可以无缝地部署到任何网络。设备安装和操控也是非常容易,可以通过内置的WebUI、命令行界面或中央管理方案进行统一管理。 1.1 基本防火墙功能Juniper提供了可扩展的网络安全解决方案,适用于包括宽带移动用户、中小型企业Internet边界、大型企业的内部网络安全域划分和控制,以至电子商务网站的服务器保护等等。Juniper全功能防火墙采用实时检测技术,可以防止入侵者和拒绝服务(denial-of-service)的攻击。Juniper防火墙采用ScreenOS软件,是经过ICSA认证的实时检测防火墙。Juniper的防火墙系列采用安全优化的硬件(包括ASIC芯片和主板、操作系统和防火墙),比拼凑而成的软件类方案提供更高级的安全水平。Juniper的防火墙系列提供强大的攻击防御能力,包括SYN攻击、ICMP泛滥、端口扫描(Port Scan)等攻击防御能力,配备硬件加速的会话建立(session ramp rates)性能,即使在最关键性的环境下也可以提供安全保护。 Juniper的防火墙系列提供各种网络地址翻译(NAT)、端口地址翻译(PAT)的功
医院服务窗安全建设方案 2014年9月
目录 一、医院服务窗背景介绍 随着3G、4G 时代的到来,大家越来越习惯使用智能手机来查询、和商户
的互动。来自中国互联网络信息中心(CNNIC)的《2013中国互联网络发展状况统计报告》显示,截至2013年底,中国手机网民规模达到约亿人,占整体网民的比例达到%。 而最近几年,互联网在快速颠覆和改变很多传统行业,包括零售、通讯、医疗等行业。医院作为特殊的事业单位,涉及到13 亿中国人的福祉,但一直存在“挂号难”“看病难、看病贵”“医生劳动与回报”突出的问题,之所以出现这种状态是由于两方信息的不对称,医患不融合。我们知道,解决任何双方矛盾的根本是平台的建设,只有双方在一个平台中共同努力,协调利益,才能有效解决问题。 目前支付宝将对医疗机构开放自己的平台能力,包括账户体系、移动平台、支付及金融解决方案、云计算能力等,通过支付宝钱包中的服务窗可以提供患者与医院交流的一个公众服务平台。这也就为医院提高就医体验,掌握病人就医行为提供了可能;也为医院将更优质的服务通过互联网提供给病人提供了可能。 医院服务窗正是基于支付宝钱包服务窗向患者提供的医疗服务平台。在这个平台上患者及其家属可以通过服务窗自助完成预约挂号、诊间支付以及查看患者感兴趣的信息,使医院和患者之间就建立了一种信任关系,进一步增加了患者对医院的信赖感和黏度,从而达到和谐医患关系的目标。 二、医院服务窗网络安全解决方案 医院服务窗的终端用户(病友及访客)是通过互联网来访问医院服务窗的IIS 服务器获取信息,由于医院服务窗的IIS服务器位于医院内部网络且需要向医院的核心服务器HIS服务器提取相关数据,整个数据链路涉及内网及外网,为降低数据流被意外安全事件中断的机率,保证整个业务高效,流畅地运转,现为相关数据流设计如下网络安全防护体系。 下图是医院服务窗系统在应用过程中一个典型的安全防护设备部署拓补图。医院服务窗的终端用户通过各种移动设备(智能手机、智能平板等)经过互联网向IIS服务器查询数据。数据流会先经过安全设备的第一道门槛-防火墙,然后再经防病毒网关到达第二道门槛-WEB应用防护设备到达IIS服务器。IIS服务器得到请求后会根据终端要求查询的内容向HIS核心服务器提取相关数据,这时数据流会经过安全防护设备的第三道门槛-网闸到达HIS服务器。在医院内部核心交换机处还有一个安全防护设备-IDS来保证监视整个医院内部网络的攻击行为或异常现象为快速排错及故障定位提供保障。以上提到的各种安全设备层层防护,
深信服SANGFOR AC网关杀毒功能简介 一、网关杀毒时代的来临 从单机版走向网络版,再到网关,杀毒市场正悄然面临一场新的变革——网关杀毒。这项被誉为能够守住病毒第一道关口的技术,可谓“一夫当关,万毒莫开”。 市场是因需求而定,网关杀毒也是如此。早在1995年,网关防毒技术就已经在美国面市。但此后的几年,用户并没有太多关注它。伴随着互联网技术的发展,网关杀毒市场也日趋成熟。直至今天,从桌面杀毒到网关杀毒已是互联网发展的必然。 从用户的角度来看,他们对安全的意识已经由最初的被动杀病毒转变为主动防护,因此他们需要的是一个“Total Solution”。由于病毒具有不可预知性,当有病毒攻击时,他们需要有能够缩短病毒响应时间、快速自动升级等一系列必要措施。此外,当他们通过电子邮件与外界沟通时,他们还希望不被那些与自己无关的信息打扰。而所有这些正是网关杀毒软件所要做的工作。 正是网关杀毒承担着“一夫当关,万毒莫开”的重要角色。我们相信,伴随着互联网技术的成熟,网关杀毒时代已经来临! 二、深信服SANGFOR AC网关杀毒功能模块简介 SANGFOR UTM安全网关是集防火墙、VPN、IPS、网关杀毒、垃圾邮件过滤及访问控制、内容过滤为一体的All in One安全网关;为用户提供了一体化的Internet安全解决方案,极大的降低了用户在网络安全方面的总体投资,并拥有强大的访问控制和内网审计功能,能有效管理用户上网,防止机密信息泄漏。 在网关杀毒方面,SANGFOR AC的网关杀毒模块采用了灵活的设计手段,经过实际的测试和应用效果检验,深信服科技选用了来自欧洲著名杀毒厂商“F-PROT”的高效杀毒引擎作为缺省的杀毒模块,杀毒速度达到50Mb/s,远远超过大多数杀毒厂商的网络杀毒速度,也超过一般用户的Internet带宽。该病毒引擎获得国际权威机构VB 100%的认证,不仅可以查杀普通病毒,还可以检查出各种压缩包(zip,rar,gzip等)内部隐藏的病毒。病毒库每天在线升级,保护内网的所有用户免受病毒困扰。 F-Prot网络杀毒功能一览表: 功能详细指标 支持协议 HTTP、SMTP、POP3、FTP、NETBIOS 邮件附件杀毒支持 查杀压缩文件类型 Zip、gzip、rar、tar、bz2 网页恶意代码过滤支持 病毒库升级自动(每天)/手动 病毒引擎 F-PROT(获得VB100%认证) P.S.网关防病毒和桌面/主机防病毒(网络版杀毒软件)的优略区别 主机防病毒(网络版杀毒软件)主要是针对主机进行防范,需要每台电脑都部署专门的客户端,这样对于没有安装客户端的电脑主机还是有可能在上Internet的时候感染上病毒,另外对于没有及时升级最新杀毒版本的电脑主机也同样有可能会感染上病毒,从而导致整个局域网中毒。——网关防病毒就可以很好的解决上述问题,所有流经网关的网络数据,都会经过杀毒处理。
第一章安全概况 SCADA、DCS、PCS、PLC等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域,用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。 2010年发生的“震网”病毒事件,充分反映出工业控制系统信息安全面临着严峻的形势。与此同时,我国工业控制系统信息安全管理工作中仍存在不少问题,主要是对工业控制系统信息安全问题重视不够,管理制度不健全,相关标准规范缺失,技术防护措施不到位,安全防护能力和应急处置能力不高等,威胁着工业生产安全和社会正常运转。对此,各地区、各部门、各单位务必高度重视,增强风险意识、责任意识和紧迫感,切实加强工业控制系统信息安全管理。 去年,一款名为Worm.Win32.Stuxnet的蠕虫病毒席卷全球工业界,在短时间内威胁到了众多企业的正常运行。Stuxnet病毒被多国安全专家形容为全球首个“超级工厂病毒”,截至目前,该病毒已经感染了全球超过45000个网络,伊朗、印尼、美国等多地均不能幸免。其中,以伊朗遭到的攻击最为严重,该病毒已经造成伊朗布什尔核电站推迟发电,60%的个人电脑感染了这种病毒。 2003年1月,Slammer蠕虫病毒入侵大量工厂网络,直到防火墙将其截获,人们依然认为系统是安全的。 2005年8月13日美国佳士拿汽车工厂的控制系统通过维修人员的笔记本电 脑感染病毒,虽然已安装了IT防火墙,病毒就在几秒钟之内从一个车间感染到另一个车间,从而最终导致停工。 ?2006年10月一部被感染的笔记本电脑(维修用的),让黑客入侵访问了在美国宾夕法尼亚州的哈里斯堡水处理厂的计算机系统。 ?2006年8月因反应堆在‘高功率、低流量条件’的危险情况下, 美国Browns
防病毒网关、防火墙与防病毒软件功能及部署对比一、防病毒网关 防病毒网关就是针对网络安全所面临的新挑战应运而生的。对病毒等恶意软件进行防御的硬件网络防护设备,可以协助企业防护各类病毒和恶意软件,对其进行隔离和清除。当企业在网络的Internet出口部署防病毒网关系统后,可大幅度降低因恶意软件传播带来的安全威胁,及时发现并限制网络病毒爆发疫情,同时它还集成了完备的防火墙,为用户构建立体的网络安全保护机制提供了完善的技术手段。广泛适用于政府、公安、军队、金融、证券、保险等多个领域。 部署位置:网络的网关处,也可以说是网络的出口。如图1所示: 图1 防病毒网关应具有以下特性: ?强劲的恶意软件防护功能,Web应用高效防护 防病毒网关产品应该采用独特的虚拟并行系统检测技术,在对网络数据进行网络病毒等恶意软件扫描的同时,会实时同步传送数据。这一技术的在系统中的应用,从根本上解决了以往对Web数据进行扫描操作时,普遍存在的性能瓶颈,在实际使用效果上远远超出了“存储-扫描-转发”的传统技术模式。由于采用了虚拟并行系统技术,在保证不放过任何一个可能的恶意软件同时,大大减小了网
络应用的请求响应时间,改善了用户体验效果。用户在使用防病毒网关对网络数据流量进行检测时,基本感觉不到数据扫描操作所带来的响应延迟,更不用担心错过精彩的网络实况播报 ?适应于复杂的核心网络 防病毒网关系统吸收了业界多年来在防火墙领域的设计经验和先进技术,支持众多网络协议和应用协议,如802.1Q VLAN、PPPoE、802.1Q、Spanning tree等协议,适用的范围更广泛,确保了用户的网络的“无缝部署”、“无缝防护”、“无缝升级”。当防病毒网关设备处于透明工作模式时,相当于一台二层交换机。这种特性使防病毒网关产品具有了极佳的环境适应能力,用户无需改变网络拓扑,就可以零操作、零配置的升级到更全面的网络安全解决方案,同时也降低了因新增网络设备而导致的部署、维护和管理开销。 ?灵活的网络安全概念 防病毒网关应该基于先进的安全区段概念实施安全策略的定制和部署,将从接口层面的访问控制提升到安全区段概念。防病毒网关从概念上继承了传统防火墙的网络安全区域概念,也实现了很多突破。它默认各个安全区段间的安全级别是一样的,相互间的安全需求差异交由用户定制,为安全策略的定制和部署提供了很大的灵活性,同时也避免了机械的将网络划分为Internal,External和DMZ的传统安全概念,能够完备灵活的表达不同网络、网段间的安全需求。 防病毒网关系统还应该提供丰富的网络地址转换(NAT)功能支持,支持映像IP地址(MIP)、动态地址池的正向地址转换、反向地址转换。 ?集中管理,全局控制 防病毒网关提供了功能强大的图形化管理系统,该系统基于Windows平台运行。使用图形化管理系统,可以对多台不同地域的防病毒网关系统设备进行统一管理和配置,收集并审计分析多台防病毒网关设备发送的日志信息,包括事件日志,配置日志,安全日志和负载日志,对多台防病毒网关系统设备进行统一的固件升级,病毒库升级;实时监控多台防病毒网关设备的运行状态和负载信息。?细致入微的系统日志和审计功能