信息网络安全等级保护设备IPS入侵防护系统
解决方案建议书
目录
1典型网络风险分析 (4)
1.1病毒、蠕虫泛滥 (4)
1.2操作系统和应用软件漏洞隐患 (4)
1.3系统安全配置薄弱 (5)
1.4各种D O S和DD O S攻击的带来的威胁 (5)
1.5与工作无关的网络行为 (6)
2安全产品及解决方案效能分析 (6)
2.1传统安全技术的薄弱之处 (6)
2.1.1防火墙 (7)
2.1.2入侵检测 (7)
2.1.3补丁管理 (7)
2.2入侵防御系统简介 (8)
3领信信息安全保障解决方案介绍 (9)
3.1领信信息安全保障体系 (9)
3.2安氏领信入侵防御系统介绍 (11)
3.2.1领信入侵防御系统主要功能 (11)
3.2.2领信入侵防御系统产品特点 (12)
3.2.3领信入侵防御系统支持的工作模式 (14)
3.2.4入侵防御系统推荐部署流程 (15)
3.2.4.1IPS的学习适应期阶段 (16)
3.2.4.2IPS的Inline模式工作阶段 (17)
4入侵防御系统部署建议 (17)
4.1系统组件说明 (17)
4.1.1集中部署方式 (18)
4.1.2分布部署方式 (19)
4.1.3部署准备 (20)
4.2边界防护部署 (21)
4.3重点防护部署 (21)
5入侵防御系统安全策略配置与应用 (22)
6项目过渡方案及应急预案 (23)
6.1过渡方案 (23)
6.2应急预案 (24)
7工程实施方案 (25)
7.1分工界面 (25)
7.2工程设计 (26)
7.3产品生产及出厂验收 (26)
7.4设备运输、包装与到货安排 (26)
7.5到货验收 (27)
7.6安装调试及系统集成 (28)
7.7系统测试 (28)
7.8初步验收 (28)
7.9系统试运行 (28)
7.10最终验收 (28)
7.11工程实施进度表 (29)
8系统验收测试计划 (30)
8.1系统上线测试 (30)
8.2用户管理功能 (31)
8.3引擎工作模式配置 (31)
8.4组件管理 (31)
8.5策略配置 (32)
8.6威胁事件收集显示 (32)
8.7攻击检测能力 (33)
8.8系统升级能力 (33)
8.9日志报表 (34)
1 典型网络风险分析
通过对大量企业网络的安全现状和已有安全控制措施进行深入分析,我们发现很多企业网络中仍然存在着大量的安全隐患和风险,这些风险对企业网络的正常运行和业务的正常开展构成严重威胁,主要表现在:
1.1 病毒、蠕虫泛滥
目前,企业网络面临的病毒、蠕虫威胁具有传播速度快、范围广、破坏性大、种类多、变化快等特点,即使再先进的防病毒软件、入侵检测技术也不能独立有效的完成安全防护,特别是对新类型新变种的防护技术总要相对落后于新病毒、新蠕虫的入侵。
病毒、蠕虫很容易通过各种途径侵入企业的内部网络,除了利用企业网络安全防护措施的漏洞外,最大的威胁却是来自于网络用户的各种危险的应用:不安装杀毒软件;安装杀毒软件但未能及时升级;网络用户在安装完自己的办公桌面系统后未进行各种有效防护措施就直接连接到危险的开放网络环境中,特别是INTERNET;移动用户计算机连接到各种情况不明网络环境后,在没有采取任何措施情况下又连入企业网络;终端用户在使用各种数据介质、软件介质时都可能将病毒、蠕虫在不知不觉中带入到企业网络中,给企业信息基础设施、企业业务带来无法估量的损失。
1.2 操作系统和应用软件漏洞隐患
企业网络多由数量庞大、种类繁多的软件系统组成,有系统软件、数据库系统、应用软件等等,尤其是存在于广大终端用户办公桌面上的各种应用软件不胜繁杂,每一个软件系统都有不可避免的潜在的或已知的软件漏洞,每天软件开发者都在生产漏洞,每时每刻都可能有软件漏洞被发现被利用。无论哪一部分的漏洞被利用,都会给企业带来危害,轻者危及个别设备,重者漏洞成为攻击整个企
业网络的跳板,危及整个企业网络安全,即使安全防护已经很完备的企业网络也会由于一个联网用户个人终端PC机存在漏洞而丧失其整体安全防护能力。在与在与黑客的速度竞赛中,企业用户正处在越来越被动的地位,针对这些漏洞的补丁从补丁程序开发、测试、验证、再到最终的部署可能需要几天甚至几十天时间,而黑客攻击的速度却越来越快,例如著名的CodeRed蠕虫扩散到全球用了12个小时;而SQL SLAMMER感染全世界90%有漏洞的机器则只用了10分钟;
1.3 系统安全配置薄弱
一个安全的网络应该执行良好的安全配置策略,例如,账号策略、审核策略、口令策略、匿名访问限制、建立拨号连接限制策略等等。这些安全配置的正确应用对于各种软件系统自身的安全防护的增强具有重要作用,但在实际的网络环境中,这些安全配置却被忽视,尤其是那些网络的终端用户,从而导致软件系统的安全配置“软肋”,有时可能将严重的配置漏洞完全暴露给整个外部,使黑客可以长驱直入。
1.4 各种DoS和DDoS攻击的带来的威胁
除了由于操作系统和网络协议存在漏洞和缺陷,而可能遭受攻击外,现在IT
部门还会拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)的挑战。DOS 和DDOS攻击可以被分为两类:一种是利用网络协议的固有缺陷或实现上的弱点来进行攻击,与漏洞攻击相似。这类供给典型的例子如Teardrop、Land、KoD 和Winnuke;对第一种DOS攻击可以通过打补丁的方法来防御,但对付第二种攻击就没那么简单了,另一类DOS和DDOS利用看似合理的海量服务请求来耗尽网络和系统的资源,从而使合法用户无法得到服务的响应。
DOS和DDOS攻击会耗尽用户宝贵的网络和系统资源,使依赖计算机网络的正常业务无法进行,严重损害企业的声誉并造成极大的经济损失,据2004 美国CSI/FBI的计算机犯罪和安全调研分析,DOS和DDOS攻击已成为对企业损害最大的犯罪行为,超出其他各种犯罪类型两倍。
1.5 与工作无关的网络行为
权威调查机构IDC的统计表明:30%~40%的工作时间内发生的企业员工网络访问行为是与业务无关的,比如游戏、聊天、视频、P2P下载等等;另一项调查表明:1/3的员工曾在上班时间玩电脑游戏;
Emule、BT等P2P应用和MSN、QQ等即时通信软件在很多网络中被不加控制的使用,使大量宝贵的带宽资源被业务无关流量消耗。这些行为无疑会浪费网络资源、降低劳动生产率、增加企业运营成本支出,并有可能因为不良的网络访问行为导致企业信息系统被入侵和机密资料被窃,引起法律责任和诉讼风险。
2 安全产品及解决方案效能分析
2.1 传统安全技术的薄弱之处
当前随着网络软硬件技术的快速发展,网络信息安全问题日益严重,新的安全威胁不断涌现,如蠕虫病毒肆意泛滥、系统漏洞层出不穷、漏洞利用(vulnerability exploit)的时间日益缩短,甚至可能出现零日攻击(zero-day exploit),同时很多入侵和攻击由网络层逐渐向应用层发展,给检测和识别这些威胁带来了
困难。面临诸多安全问题,传统的安全产品和解决方案显示出其薄弱和不足之处。
2.1.1 防火墙
绝大多数人在谈到网络安全时,首先会想到“防火墙”。防火墙目前已经得到了广泛的部署,用户一般采用防火墙作为安全保障体系的第一道防线,防御黑客攻击。但是,随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙已经无法满足企业的安全需要。传统防火墙的不足主要体现在以下几个方面:
●防火墙作为访问控制设备,无法检测或拦截嵌入到普通流量中的恶意攻击代
码,比如针对WEB服务的Code Red蠕虫等。
●有些主动或被动的攻击行为是来自防火墙内部的,防火墙无法发现内部网络
中的攻击行为。
2.1.2 入侵检测
入侵检测系统IDS(Intrusion Detection System)是近几年来发展起来的一类安全产品,它通过检测、分析网络中的数据流量,从中发现网络系统中是否有违反安全策略的行为和被攻击的迹象。它弥补了防火墙的某些缺陷,但随着网络技术的发展,IDS受到新的挑战:
●IDS旁路在网络上,当它检测出黑客入侵攻击时,攻击已到达目标造成损失。
IDS无法有效阻断攻击,比如蠕虫爆发造成企业网络瘫痪,IDS无能为力。
●蠕虫、病毒、DDoS攻击、垃圾邮件等混合威胁越来越多,传播速度加快,
留给人们响应的时间越来越短,使用户来不及对入侵做出响应,往往造成企业网络瘫痪,IDS无法把攻击防御在企业网络之外。
2.1.3 补丁管理
补丁管理是重要的主动防御手段,但补丁管理同时也存在一些局限性,例如:1、对于某些操作系统,将不再能够获得厂商提供的支持。例如微软宣布将从2006年7月11日开始停止为多个老版本的Windows 操作系统提供技术支持,这意
味着全球将有超过7000万名Windows用户面临网络攻击和恶意代码的危险,因为他们无法继续从微软获得安全更新。
2、补丁从漏洞发现、操作系统开发补丁、测试补丁、发布补丁到用户接收补丁、局部更新测试补丁到大范围更新补丁需要一定的时间周期,即所谓空窗期,在空窗期内用户的系统漏洞无法得到有效的防御,而恶意的程序和代码有可能利用这段时间对系统造成破坏;
3、某些系统和应用由于自身的原因(如非授权软件、程序冲突等等)不适合打补丁,这样自身即使存在漏洞,也无法得到修复;
针对以上技术和产品面对新的安全威胁所暴露出来的薄弱之处,作为有效的整体安全体系的重要组成和有效补充,入侵防御系统IPS(Intrusion Prevention System)作为新一代安全防护产品应运而生。
2.2 入侵防御系统简介
基于目前网络安全形势的严峻,入侵防御系统IPS(Intrusion Prevention System)作为新一代安全防护产品应运而生。
入侵防御系统/IPS提供一种主动的、实时的防护,其设计旨在对常规网络流量中的恶意数据包进行检测,阻止入侵活动,预先对攻击性的流量进行自动拦截,使它们无法造成损失,而不是简单地在监测到恶意流量的同时或之后发出警报。IPS 是通过直接串联到网络链路中而实现这一功能的,即IPS接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络。
从IPS的工作原理来看,IPS有几个主要的特点:
●为企业网络提供虚拟补丁
IPS预先、自动拦截黑客攻击、蠕虫、网络病毒、DDoS等恶意流量,使攻击无法到达目的主机,这样即使没有及时安装最新的安全补丁,企业网络仍然不会受到损失。IPS给企业提供了时间缓冲,在厂商就新漏洞提供补丁和更新之前确保企业的安全。
●提供流量净化
目前企业网络遭受到越来越多的流量消耗类型的攻击方式,比如蠕虫。病毒造成网络瘫痪、BT,电驴等P2P下载造成网络带宽资源严重占用等。IPS过滤正常流量中的恶意流量,为网络加速,还企业一个干净、可用的网络环境。
提供反间谍能力
企业机密数据被窃取,个人信息甚至银行账户被盗,令许多企业和个人蒙受重大损失。IPS可以发现并阻断间谍软件的活动,保护企业机密。
总的来说,入侵防御系统IPS的设计侧重访问控制,注重主动防御,而不仅仅是检测和日志记录,解决了入侵检测系统IDS的不足,为企业提供了一个全新的网络安全保护解决方案。
3 领信信息安全保障解决方案介绍
3.1 领信信息安全保障体系
“信息安全是一条链,其强度取决于链上最弱的一环(著名安全专家Bruce Schneier语)”这句话深刻阐明了整体安全的重要性。为了建设一个有效的安全防御体系,就要从保护、检测、响应等多个环节以及网络和基础设施、网络边界、终端环境等多个层次全面考虑,综合防范,这样才能提高网络整体的信息安全保障能力,保证安全体系中不存在薄弱的环节。
安氏领信基于对信息安全的深刻理解,以及多年的安全领域建设经验,总结提炼出安氏独有的信息安全保障体系框架模型,该安全体系从保障对象、安全需求、能力来源三个维度深刻揭示了信息安全保障的内涵:
保障对象是信息安全建设要保护的目标,分成多个安全防御领域,包括:网络基础设施,网络边界,局域计算环境,支持性基础设施;
安全需求包括信息的机密性,完整性,可用性,可控性,不可否认性等需求;信息的机密性,完整性,可用性,可控性,不可否认性需求是信息安全的基本属性,所有的安全技术和安全产品从本质来说都是为了满足被保护对象的上述安全需求;
为了有效的满足保障对象的安全需求,需要从人员,技术,管理等方面提供安全保障能力;技术层面的安全保障能力源于业界所采用的各种安全产品和技术,包括访问控制、入侵检测、入侵防御、弱点评估等等技术;
安氏领信信息安全保障体系(ISAF)
在安氏信息保障体系框架(ISAF)之下,安氏领信公司开发出一系列世界领先的信息安全产品,包括防火墙、入侵检测、终端安全管理系统、统一威胁管理系统入侵防御系统等等,提供强有力的技术手段,帮助用户构筑一个主动的、深层的安全技术体系,从容应对来自网络外部和内部的、已知的和未知的安全风险,保护信息资产的安全,以及企业业务的正常运营。
安氏领信技术体系及对应防御领域
在领信安全保障体系中,入侵防御系统系统(IPS)占有重要的位置,它可以根据用户的实际需求,部署在某些关键位置,如网关出口,内部服务器集群,以及某些重要业务系统前端,起到实时检测和主动防御的效果,提高防御性能,缩短响应时间,为网络提供强有力的保护。
3.2 安氏领信入侵防御系统介绍
安氏领信入侵检测系统(Linktrust IPS)是安氏领信针对目前流行的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等黑客攻击,以及网络资源滥用(P2P下载、IM即时通讯、网游等)等推出的全新安全防护方案,其具有先进的体系架构并继承了安氏领信入侵检测系统先进的入侵检测技术,以全面深入的协议分析技术为基础,结合协议异常检测、协议异常检测、关联分析形成的新一代检测引擎,实时拦截数据流量中各种类型的恶意攻击流量,把攻击防御在企业网络之外,保护企业的信息资产。
3.2.1 领信入侵防御系统主要功能
领信入侵防御系统的主要功能可以总结为几个方面,如下图所示:
具体功能阐述如下:
●阻止来自外部或内部的蠕虫、病毒和黑客等的威胁,确保企业信息资产的安
全。
●阻止间谍软件的威胁,保护企业机密。
●阻止企业员工因为各种IM即时通讯软件、网络在线游戏、P2P下载、在线
视频导致的企业网络资源滥用而影响正常工作,净化流量,为网络加速。
●阻止P2P应用可能导致的企业重要机密信息泄漏和可能引发的与版权相关
的法律问题。
●实时保障企业网络系统7x24不间断运行,提高企业整体的网络安全水平。
●智能、自动化的安全防御,降低企业整体的安全费用以及对于网络安全领域
人才的需求。
●高效、全面的流量分析、事件统计,能迅速定位网络故障,提高网络稳定运
行时间。
3.2.2 领信入侵防御系统产品特点
●实时的主动防御
?多种检测技术的结合使得Linktrust IPS可以预防多种已知和未知攻击,
准确率保持在很高的水平
?最小化人员干预,结合安氏领信的SOC系统可以使网络管理人员从大
量的事件分析工作中解脱出来,有效减轻攻击报警处理的压力。
?IPS的检测模块与内置防火墙模块的完美集成使得产品具有更安全可靠
的防护能力,同时还可获得更强的访问控制功能和灵活性。准确的检测/
防护
?Linktrust IPS基于状态的协议分析检测技术、流量和协议异常检测技术、
基于漏洞存在的攻击检测技术,结合基于特征匹配的检测技术,极大地
提高检测的准确性,降低误报率。
?Linktrust IPS独有的协议识别技术能够识别近100种包括后门、木马、
IM、网络游戏在内的应用层协议,不仅可以更有效的检测通过动态端口
或者智能隧道等进行的恶意入侵,并且能更好的提高检测效率和准确率。
?Linktrust IPS出色的协议异常检测针对检测未知的溢出攻击与拒绝服务
攻
击,达到接近100%的检测准确率和几乎为零的误报率。
?Linktrust IPS能够有效防御拒绝服务攻击DoS,阻止攻击者消耗网络资
源、中止服务。
●优异的产品性能
?Linktrust IPS专门设计了安全、可靠、高效的硬件运行平台。硬件平台
采用严格的设计和工艺标准,保证了高可靠性;独特的硬件体系结构大
大提升了处理能力、吞吐量;操作系统经过优化和安全性处理,保证系
统的安全性和抗毁性。
?Linktrust IPS依赖先进的体系架构、高性能专用硬件,在实际网络环境
部署中性能表现优异,具有线速的分析与处理能力。
●高可靠、可扩展
?Linktrust IPS支持失效开放(Fail bypass)机制,当出现软件故障、硬
件故障、电源故障时,系统自动切换到直通状态以保障网络可用性,避
免单点故障。
?Linktrust IPS支持双机热备HA,不仅支持Active-Standby(主从热备),
还支持Active-Active(对等热备),提供高可用性保障。
?Linktrust IPS的工作模式灵活多样,支持inline主动防御、旁路检测、
以及bypass方式,能够快速部署在几乎所有的网络环境中
●强大的管理能力
?全新的集中管理平台-Linktrust安全防护中心,使得用户可操作性和方
便性都有了很大程度的提高。
?极易扩展的集中管理平台使得用户在升级网络时无需额外的投资
●全中文图形化的操作界面,符合安氏领信产品操作简单灵活的传统。丰富的
报表格式
?提供了多达40余种的统计报表模版,方便用户直观的了解网络安全状
况
?提供了向导式的自定义报表功能,用户可以根据网络的实际情况制定出
符合自身需求的报表模版
3.2.3 领信入侵防御系统支持的工作模式
领信入侵防御系统产品支持4种工作模式,包括透明学习模式、服务保障模式、强制防御模式、以及旁路模式,以适应不同的网络环境和不同的业务需求。用户可以根据自身的安全需求灵活的进行选择和切换。其中Passive模式相当于传统的IDS设备,我们重点关注的是其中的三种“Inline”模式。
这些工作模式的定义如下:
1透明学习模式(Inline Bridging):该模式下引擎将根据安全策略对网络中通
过的数据进行检测,但是不会采取任何阻断或流量控制操作。这种模式主要用于首次部署时对用户网络环境的学习与策略优化阶段。
2服务保障模式(Inline Fail-passthrough):该模式下引擎将按照安全策略对所有会话过程进行检测,并产生对不符合安全策略的内容进行告警和适当的防御。当进入IPS引擎的数据包在引擎内的转发延迟超过最大转发延迟所限制的时延时,超时的数据包会被转发以保障服务的可用性。另外在一些特殊条件下引擎也会采用透明转发或Bypass的方式保障服务可用性。这些可能的特殊情况有:
●当引擎正处在Reboot或初始化过程中时。(非bypass功能支持)
●当引擎正在执行“策略应用”命令,或正在编译签名时。(非bypass
功能支持)
●当引擎失去电源,或意外掉电时(该项需要网卡硬件支持)
●当出现任何硬件故障,导致引擎无法工作时(该项需要网卡硬件支持)
●当检测引擎由于某种原因而意外失效时(如:死机,系统崩溃等)(该
项需要网卡硬件支持)
●数据转发延迟超时后数据直接被转发(非bypass功能支持)
3强制防御模式(Inline Fail-severed):与服务保障模式的工作方式类似,引擎会按照安全策略的要求对通信内容进行检测并作出反应,区别在于当进入IPS 引擎的数据包在引擎内的转发延迟超过最大转发延迟所限制的时延时,超时的数据包会被丢弃以保障通信的安全性,在此模式下bypass功能将被禁用。
4旁路模式(Passive):传统IDS部署模式,采用旁路监听方式部属;
3.2.4 入侵防御系统推荐部署流程
安氏领信提供一整套的入侵保护解决方案,具有良好可扩展性的Linktrust IPS的部署方式灵活多样,能够快速部署在几乎所有的网络环境中,实现从企业网络核心至边缘及分支机构的全面保护,适用于不同环境不同企业的安全需求。
入侵防御系统通常部署在网络中的关键位置,这样对入侵防御系统自身的安装配置提出了很高的要求,为了更好的让领信入侵防御系统适应用户的网络环境,发挥更高的防御能力,我们推荐用户将入侵防御系统的上线分为两个阶段: 第一阶段:IPS的学习适应期阶段,采用透明学习模式(Inline Bridging);
第二阶段: IPS的在线工作阶段。以Inline模式工作,全面检测,全面防护;
其中Inline模又可以具体分成服务保障模式(Inline Fail-passthrough)和强制防御模式(Inline Fail-severed),具体采用何种模式取决与用户对安全性的要求和对设备鲁棒性的要求;我们强烈建议您采用服务保障模式,这样可以在设备故障或失效的情况下仍然保证网络的可用性。
3.2.
4.1 IPS的学习适应期阶段
入侵防御系统和入侵检测系统在部署方式上的区别为IPS工作于Inline模式,而IDS工作于旁路监听模式,但并不意味着只要将IPS放置于网络的出口处,设置为inline模式,让它直接对攻击或可疑行为进行丢弃就可以了,通常情况下,在IPS以Iiline模式部署后,都需要一段时间的学习适应,才能正确无误的担当起主动防护的重任。
之所以IPS需要一个学习适应的过程,主要是因为:
●防止IPS设备误阻挡合法的数据流量
●根据被保护网络的流量,调整各项攻击阈值参数(threshold)
●根据被保护网络环境,调整需要检测的攻击特征项目
在这个阶段,IPS以Inline模式工作,只检测攻击并告警,不进行阻断
首先,将IPS的工作模式设置为Inline Bridging模式,并将IPS以Inline模式串接在被保护网络之前,所有进出被保护网络的数据包都会通过IPS的检查,正常的流量才会允许进入被保护网络。
在该模式下,IPS的检测引擎将根据安全策略对网络中通过的数据进行检测,如果用户设置了对攻击数据包的阻断功能,IPS会产生相应的阻断报警,但是不会采取任何阻断或流量控制操作。这种模式主要用于首次部署时对用户网络环境的学习与策略优化阶段,根据检测到的网络中可能出现的攻击行为,对攻击签名特征库和阈值等参数做出调整,减少IPS产生误报的可能性
另外在此模式下,用户可以观察IPS设备的加入会不会对原有的网络应用产生影响,以确保IPS的性能能够满足原有网络应用的需求。
3.2.
4.2 IPS的Inline模式工作阶段
在经过第一阶段的学习、调整和适应后,已经可以确认IPS能够以Inline方式正常运行,并且不会阻断正常合法的网络数据包,这时候就可以开启IPS的防御功能,进入阻断攻击、全面防御的阶段。
在此阶段中有两种模式可以供不同安全要求的用户使用:
1 Inline Fail-passthrough模式适用于对网络应用的连续性要求高于对网络安全性要求的用户,在此模式下,如果IPS不能正常检测攻击时或出现故障,将使用Bypass和超时转发技术优先保证用户业务的连续性。
2 Inline Fail-severed模式适用于对网络安全要求高于对网络应用连续性要求的用户,在此模式下,如果IPS不能正常检测攻击或出现故障,将拒绝所有数据包的通过,优先保证被保护网络中数据的安全。
4 入侵防御系统部署建议
安氏领信提供一整套的入侵保护解决方案,具有良好可扩展性的Linktrust IPS的部署方式灵活多样,能够快速部署在几乎所有的网络环境中,实现从企业网络核心至边缘及分支机构的全面保护,适用于不同环境不同企业的安全需求。
4.1 系统组件说明
LinkTrust IPS需要安装的组件:
?LinkTrust IPS Console (控制台)
?LinkTrust IPS Event-Collector(事件收集服务器)
?MSDE 2000数据库(第三方软件)
?LinkTrust IPS LogServer(日志服务器)
?LinkTrust IPS Report(报表)
?Sensor(传感器)
4.1.1 集中部署方式
LinkTrust IPS 的包括多个相互独立的组件,集中式部署是最典型的一种部署方式,在这种方式下,LinkTrust IPS 管理组件控制台、数据库(包括MSDE数据库和LogServer)、报表和事件收集器安装到一台计算机上。这种部署方式易于管理,管理员可以通过对一台机器的操作完成配置组件、监控报警、查看报表等操作,在保证IPS性能的基础上充分节省了用户的资源。
4.1.2 分布部署方式
分布式部署安装可以选择将LinkTrust IPS的各个管理组件安装在多台计算机上,在大型的网络环境中,这种部署方式可以充分保证IPS系统的性能,所选的安装方式取决于拥有的传感器的数目,以及计划对它们进行部署的方式。
在一个典型的分布部署方式中,通常环境中会有多个传感器,LinkTrust IPS 管理组件分布在到四台计算机上。由于传感器数目较多,建议使用SQL Server 数据库。在这种部署方式中,有两台EC,每台EC可以接收多个传感器的报警事件,同时这两台EC又可以作为对方的备份EC。当某个EC出现故障的时候,向它发送报警事件的传感器可以将报警事件发送到另一台EC。这种部署的好处是均衡流量,并保证在一个EC故障时告警能够及时送达管理系统。控制台和报表安装在一台机器上,方便管理员查看任何时段的报警事件。
4.1.3 部署准备
攻击者可能会对我们的网络中的任何可用资源发起攻击。分析我们的网络拓扑结构对于定义我们的所有资源是至关重要的。而且,定义我们想要保护的信息和资源,是创建一个传感器部署计划的第一步。除非我们对我们的网络拓扑结构有非常透彻的理解,否则我们不可能全面地识别出需要保护的所有网络资源。当分析我们的网络拓扑结构时,我们必须考虑很多因素:
网络入口点。
关键网络组件。
远程网络。
网络大小和复杂度。
考虑安全策略限制。
第八章入侵检测系统 第一节引言 通过电子手段对一个组织信息库的恶意攻击称为信息战(information warfare)。攻击的目的可能干扰组织的正常活动,甚至企图对组织的信息库造成严重的破坏。对信息战的各种抵抗措施都可归结为三类:保护、检测、响应。 保护 (入侵的防范)指保护硬件、软件、数据抵御各种攻击的技术。目前各种网络安全设施如防火墙及VPN,各种加密技术,身份认证技术,易攻击性扫描等都属于保护的范围之内,它们是计算机系统的第一道防线。 检测 (入侵的检测)研究如何高效正确地检测网络攻击。只有入侵防范不足以保护计算机的安全,任何系统及协议都不可避免地存在缺陷,可能是协议本身也可能是协议的实现,还有一些技术之外的社会关系问题,都能威胁信息安全。因此即使采用这些保护措施,入侵者仍可能利用相应缺陷攻入系统,这意味着入侵检测具有其他安全措施所不能代替的作用。 响应 (入侵的响应)是入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下的后门,数据恢复,收集入侵者留下的证据等。这三种安全措施构成完整的信息战防御系统。 入侵检测(Intrusion Detection,ID)是本章讨论的主题之一,它通过监测计算机系统的某些信息,加以分析,检测入侵行为,并做出反应。入侵检测系统所检测的系统信息包括系统记录,网络流量,应用程序日志等。入侵(Intrusion)定义为未经授权的计算机使用者以及不正当使用(misuse)计算机的合法用户(内部威胁),危害或试图危害资源的完整性、保密性、可用性的行为。入侵检测系统(Intrusion Detection System,IDS)是实现入侵检测功能的硬件与软件。入侵检测基于这样一个假设,即:入侵行为与正常行为有显著的不同,因而是可以检测的。入侵检测的研究开始于20世纪80年代,进入90年代入侵检测成为研究与应用的热点,其间出现了许多研究原型与商业产品。 入侵检测系统在功能上是入侵防范系统的补充,而并不是入侵防范系统的替代。相反,它与这些系统共同工作,检测出已经躲过这些系统控制的攻击行为。入侵检测系统是计算机系统安全、网络安全的第二道防线。 一个理想的入侵检测系统具有如下特性: ?能以最小的人为干预持续运行。 ?能够从系统崩溃中恢复和重置。 ?能抵抗攻击。IDS必须能监测自身和检测自己是否已经被攻击者所改变。
智慧城市设备项目 建议书 规划设计 / 投资分析
摘要说明— 近年来,国务院出台相关文件,诸如《关于促进快递业发展的若干意见》《快递条例》以及地方性的法规规章,都明确提出推动属地化解决快递进校园、进社区、进机关难的现实问题,这为智能快递柜的发展提供了相关的政策支持;加上科技的进步大幅度推动了新兴媒体的发展,依靠新媒体而逐渐出现的各种新形态不断渗透到了社会经济的发展和人们的日常生活当中;还有,我国快递行业业务量快速增长,2017年增长速度超过25%,消费者日益增长的巨大购物需求无疑对于智能快递柜的发展来说,有着巨大的发展潜力。 近年来,国务院出台相关文件,诸如《关于促进快递业发展的若干意见》《快递条例》以及地方性的法规规章,都明确提出推动属地化解决快递进校园、进社区、进机关难的现实问题,这为智能快递柜的发展提供了相关的政策支持;加上科技的进步大幅度推动了新兴媒体的发展,依靠新媒体而逐渐出现的各种新形态不断渗透到了社会经济的发展和人们的日常生活当中;还有,我国快递行业业务量快速增长,2017年增长速度超过25%,消费者日益增长的巨大购物需求无疑对于智能快递柜的发展来说,有着巨大的发展潜力。 近年来,国务院出台相关文件,诸如《关于促进快递业发展的若干意见》《快递条例》以及地方性的法规规章,都明确提出推动属地
化解决快递进校园、进社区、进机关难的现实问题,这为智能快递柜 的发展提供了相关的政策支持;加上科技的进步大幅度推动了新兴媒 体的发展,依靠新媒体而逐渐出现的各种新形态不断渗透到了社会经 济的发展和人们的日常生活当中;还有,我国快递行业业务量快速增长,2017年增长速度超过25%,消费者日益增长的巨大购物需求无疑 对于智能快递柜的发展来说,有着巨大的发展潜力。 该智慧城市设备项目计划总投资10048.25万元,其中:固定资产投资8030.03万元,占项目总投资的79.91%;流动资金2018.22万元,占项目 总投资的20.09%。 达产年营业收入19708.00万元,总成本费用15427.63万元,税金及 附加197.74万元,利润总额4280.37万元,利税总额5068.51万元,税后 净利润3210.28万元,达产年纳税总额1858.23万元;达产年投资利润率42.60%,投资利税率50.44%,投资回报率31.95%,全部投资回收期4.63年,提供就业职位394个。 提供初步了解项目建设区域范围、面积、工程地质状况、外围基础设 施等条件,对项目建设条件进行分析,提出项目工程建设方案,内容包括:场址选择、总图布置、土建工程、辅助工程、配套公用工程、环境保护工 程及安全卫生、消防工程等。
入侵防御TOPIDP之IPS产品分析 学院:计算机科学与工程学院 年级:大三 学号: 姓名: 专业:信息安全 2013.11.15
摘要 本文介绍了天融信公司开发的入侵防御系统I P S的产品特点、功能、特性以及应用等,使读者对I P S有一个简要的概念。 关键词:特点;特性:功能;
目录 摘要..............................一产品厂家 二产品概述 三产品特点 四产品功能 4、1 入侵防护 4、2 DoS/DDoS防护 4、3 应用管控 4、4 网络病毒检测 4、5 URL过滤 五产品特性 六产品应用 6、1 典型部署 6、2 内网部署 七结论
一、产品厂家 北京天融信网络安全技术有限公司1995年成立于中国信息产业摇篮的北京,十八年来天融信人凭借勇于创新、积极进取、和谐发展的精神,成功打造中国信息安全产业著名品牌——TOPSEC。 天融信是中国领先的信息安全产品与服务解决方案提供商。基于创新的“可信网络架构”以及业界领先的信息安全产品与服务,天融信致力于改善用户网络与应用的可视性、可用性、可控性和安全性,降低安全风险,创造业务价值。 ●构建可信网络安全世界 ●中国安全硬件市场领导者 ●快速成长的安全管理业务 ●互联网安全云服务的开拓者 ●实现安全的业务交付 ●安全研究与前沿探索 ●技术创新引领发展 ●国家安全企业责任 二、产品概述 天融信公司的网络卫士入侵防御系统(以下简称TopIDP产品)采用在线部署方式,能够实时检测和阻断包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、木马、蠕虫、系统漏洞等在内的11大类超过3500种网络攻击行为,有效保护用户网络IT服务资源,使其免受各种外部攻击侵扰。TopIDP产品能够阻断或限制p2p下载、网络视频、网络游戏等各种网络带宽滥用行为,确保网络业务通畅。TopIDP产品还提供了详尽的攻击事件记录、各种统计报表,并以可视化方式动态展示,实现实时的全网威胁分析。 TopIDP产品全系列采用多核处理器硬件平台,基于先进的新一代并行处理技术架构,内置处理器动态负载均衡专利技术,实现了对网络数据流的高性能实时检测和防御。TopIDP产品采用基于目标主机的流检测引擎,可即时处理IP分片和TCP流重组,有效阻断各种逃逸检测的攻击手段。天融信公司内部的攻防专业实验室通过与厂商和国家权威机构的合作,不断跟踪、挖掘和分析新出现的各种漏洞信息,并将研究成果直接应用于产品,保障了TopIDP产品检测的全面、准确和及时有效。
支持集中管理的分布工作模式,能够远程监控。可以对每一个探测器 进行远程配置,可以监测多个网络出口或应用于广域网络监测,并支 持加密 通信和认证。 具备完善的攻击检测能力,如监视E-Mail 攻击、Web 攻击、RPC 攻 击、NFS 攻击、Telnet 攻击.监视非授权网络传输;监视口令攻击、 扫描攻击、特洛 伊攻击、拒绝服务攻击、防火墙攻击、Daemon 攻击、 监视非授权网络访问等。 9.提供相应硬件设备。 第一章入侵检测分系统安全方案 7.1设计目标 能提供安全审讣、监视、攻击识别和反攻击等多项功能,对内部攻 击、外部攻击和误操作进行实时监控。 通过入侵检测探测器和安全服务中心对网络内流动的数据包进行获 取和分析处理,发现网络攻击行为或者符合用户自定义策略的操作, 及时报警。 与网御Power V-203防火墙互动响应,阻断攻击行为,实时地实现入 侵防御。 7. 2技术要求 L 具有对主机、防火墙、交换机等网络设备监控的功能。 2. 3. 具备从56Kbps 到T3以上速率管理多个网段的功能,包括4/16Mbps 令牌环、lO/lOOMbps 以太网及FDDIo 支持实时网络数据流跟踪,网络攻击模式识别。 4. 支持网络安全事件的自动响应。即能够自动响应网络安全事件,包括 控制台报警;记录网络安全事件的详细宿息,并提示系统安全管理员 采取一定的安全措施;实时阻断连接。 5, 自动生成按用户策略筛选的网络日志。 6. 支持用户自定义网络安全策略和网络安全事件。 7.
7. 3配置方案 根据蚌埠广电局网络系统和应用系统的要求,配置一台入侵检测控制台和2 个引擎。入侵检测安全控制中心安装在内部网管理区的一台主机上,对入侵检测探测器1和入侵检测探测器2进行控制和管理。 入侵检测探测器与网络的连接方式主要有3钟,第一,与防火墙吊联;第二, 在内网区(或者SSN区)与防火墙之间加装一台集线器,并将其两个接口接入集线器;第三,安装在内网区(或者SSN区)交换机的监听口上。从尽可能不影响网络效率和可靠性的角度考虑,我们选择了第三种连接方式。 7.4选型建议 本方案推荐釆用联想先进的细粒度检测技术推出的网御IDS N800网络入侵 检测系统。 选择选用联想网御IDS N800网络入侵检测系统是因为该产品不仅能够满足 “蚌埠广电局网安全系统包技术指标要求”规定的入侵检测系统技术要求,同时该产品还具有以下显著的技术特点: 实时数据包收集及分析: 联想网御IDS N800不使用原有的协议而用特殊的网络驱动,在MAC层 收集.分析数据包,因此保证了数据包收集及分析的实时性和完整性。 稳定.高效的网络探测器:网络探测器采用多线程设计,网络数据的获取、分析、处理、及针对入侵行为的响应动作均独立进行,并在数据处理过程中进行了合理的分类,优化了处理过程■大大提高了网络探测器在数据流量较大的情况下稳定和较小丢包率的性能。 灵活的用方式和多网卡支持功能:联想网御IDS N800具有高灵活性接入 的特点,为了检测外部的入侵及对其响应,探测器放在外部网络和内部网络的连接路口(有防火墙时,可放在防火墙的内侧或外侧)。支持100Mbps Full Duplex(200Mbps),为了检测通过网关的所有数据流,入侵探测器使 用三个网络适配器(分别用于检测各个接收的数据流、发送的数据流和入侵响应专用适配器)和分线器可以放置在基于共享二层网络结构内的,也可而且在提供监听能力的交换网络环境中也可以正常的工作。一个探测器可支持到8个网络适配器,可灵活的在多种网络环境中根据检测的需求进行部署。 简单.易用的全中文控制台界面:联想网御IDS N800提供了基于浏览器 的控制台界面,操作简单、容易掌握。不需安装特殊的客户端软件,方便用户移动式管理。所有信息全中文显示,例如警报信息、警报的详细描述等,人机界面简洁、亲切,便于使用。
渗透测试方案
四川品胜安全性渗透测试 测 试 方 案 成都国信安信息产业基地有限公司 二〇一五年十二月
目录 目录 (1) 1.引言 (3) 1.1.项目概述 (3) 2.测试概述 (3) 2.1.测试简介 (3) 2.2.测试依据 (3) 2.3.测试思路 (4) 2.3.1.工作思路 4 2.3.2.管理和技术要求 4 2.4.人员及设备计划 (5) 2.4.1.人员分配 5 2.4.2.测试设备 5 3.测试范围 (6) 4.测试内容 (9) 5.测试方法 (11) 5.1.渗透测试原理 (11) 5.2.渗透测试的流程 (11) 5.3.渗透测试的风险规避 (12) 5.4.渗透测试的收益 (13) 5.5.渗透测试工具介绍 (13) 6.我公司渗透测试优势 (15) 6.1.专业化团队优势 (15) 6.2.深入化的测试需求分析 (15) 6.3.规范化的渗透测试流程 (15) 6.4.全面化的渗透测试内容 (15)
7.后期服务 (17)
1. 引言 1.1. 项目概述 四川品胜品牌管理有限公司,是广东品胜电子股份有限公司的全资子公司。依托遍布全国的5000家加盟专卖店,四川品牌管理有限公司打造了线上线下结合的O2O购物平台——“品胜?当日达”,建立了“线上线下同价”、“千城当日达”、“向日葵随身服务”三大服务体系,为消费者带来便捷的O2O购物体验。 2011年,品胜在成都温江科技工业园建立起国内首座终端客户体验馆,以人性化的互动设计让消费者亲身感受移动电源、数码配件与生活的智能互联,为追求高品质产品性能的用户带来便捷、现代化的操作体验。 伴随业务的发展,原有的网站、系统、APP等都进行了不同程度的功能更新和系统投产,同时,系统安全要求越来越高,可能受到的恶意攻击包括:信息篡改与重放、信息销毁、信息欺诈与抵赖、非授权访问、网络间谍、“黑客”入侵、病毒传播、特洛伊木马、蠕虫程序、逻辑炸弹、APT攻击等。这些攻击完全能造成信息系统瘫痪、重要信息流失。 2. 测试概述 2.1. 测试简介 本次测试内容为渗透测试。 渗透测试:是为了证明网络防御按照预期计划正常运行而提供的一种机制。 2.2. 测试依据 ※G B/T 25000.51-2010《软件工程软件产品质量要与评价(SQuaRE) 商业现货(COTS)软件产品的质量要求和测试细则》 ※G B/T 16260-2006《软件工程产品质量》
电子专用设备项目 建议书 泓域咨询/规划设计/投资分析
报告说明 技术的持续更新是平板显示行业的显著特点。纵观平板显示的历史发展过程,平板显示一直呈现多种显示技术并存、显示技术不断创新发展的局面。以LCD为例,LCD技术兴起于上世纪70年代,由起初的TN-LCD(扭曲向列型液晶显示)发展到STN-LCD(超扭曲向列型液晶显示)、DSTN-LCD(双层超扭曲向列型液晶显示)再到目前主流的TFT-LCD(薄膜晶体管液晶显示)。进入21世纪,TFT-LCD逐步取代了CRT(阴极射线管)、PDP(等离子)技术,成为全球显示技术主流。智能手机、平板电脑、液晶电视的普及及用户需求的不断提升,进一步加快了平板显示技术的发展,TFT-LCD又先后发展出非晶硅(a-Si)TFT、低温多晶硅(LTPS)TFT、氧化物(Oxide)TFT等多种技术,其中LTPS-TFT凭借性能与技术上的优势已成为高端应用市场的主流显示技术。 本期项目总投资包括建设投资、建设期利息和流动资金。根据谨慎财务估算,项目总投资44802.55万元,其中:建设投资34662.79万元,占项目总投资的77.37%;建设期利息926.11万元,占项目总投资的2.07%;流动资金9213.65万元,占项目总投资的20.57%。
根据谨慎财务测算,项目正常运营每年营业收入110600.00万元,综合总成本费用86193.33万元,净利润15293.81万元,财务内部收 益率21.28%,财务净现值4594.56万元,全部投资回收期5.09年。本期项目具有较强的财务盈利能力,其财务净现值良好,投资回收期合理。 本期项目技术上可行、经济上合理,投资方向正确,资本结构合理,技术方案设计优良。本期项目的投资建设和实施无论是经济效益、社会效益等方面都是积极可行的。 实现“十三五”时期的发展目标,必须全面贯彻“创新、协调、 绿色、开放、共享、转型、率先、特色”的发展理念。机遇千载难逢,任务依然艰巨。只要全市上下精诚团结、拼搏实干、开拓创新、奋力 进取,就一定能够把握住机遇乘势而上,就一定能够加快实现全面提 档进位、率先绿色崛起。 作为投资决策前必不可少的关键环节,报告主要对项目市场、技术、财务、工程、经济和环境等方面进行精确系统、完备无遗的分析,完成包括市场和销售、规模和产品、厂址、原辅料供应、工艺技术、 设备选择、人员组织、实施计划、投资与成本、效益及风险等的计算、论证和评价,选定最佳方案,依此就是否应该投资开发该项目以及如
1.1?某市政府网络系统现状分析 《某市电子政务工程总体规划方案》主要建设内容为:一个专网(政务通信专网),一个平台(电子政务基础平台),一个中心(安全监控和备份中心),七大数据库(经济信息数据库、法人单位基础信息数据库、自然资源和空间地理信息数据库、人口基础信息库、社会信用数据库、海洋经济信息数据库、政务动态信息数据库),十二大系统(政府办公业务资源系统、经济管理信息系统、政务决策服务信息系统、社会信用信息系统、城市通卡信息系统、多媒体增值服务信息系统、综合地理信息系统、海洋经济信息系统、金农信息系统、金水信息系统、金盾信息系统、社会保障信息系统)。主要包括: 政务通信专网 电子政务基础平台 安全监控和备份中心 政府办公业务资源系统 政务决策服务信息系统 综合地理信息系统 多媒体增值服务信息系统 某市政府中心网络安全方案设计 1.2?安全系统建设目标 本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案,包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施,以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下,实现对网络的全面安全管理。 1)?将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险; 2)?通过部署不同类型的安全产品,实现对不同层次、不同类别网络安全问题的防护; 3)?使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。 具体来说,本安全方案能够实现全面网络访问控制,并能够对重要控制点进行细粒度的访问控制; 其次,对于通过对网络的流量进行实时监控,对重要服务器的运行状况进行全面监控。 1.2.1?防火墙系统设计方案 1.2.1.1?防火墙对服务器的安全保护
河北通信设备项目 建议书 规划设计/投资方案/产业运营
河北通信设备项目建议书说明 近30年来,以路由器和交换机为核心的IP网络始终遵循摩尔定律, 和其他IT设备一起,构建了现代化信息文明。其中路由器做为广域网和局 域网出口的核心设备,始终扮演者关键的角色,也经历了持续的发展和无 数次的更新换代。时至今日,路由器的接口已经从五花八门的X.25、E1、ATM、POS、SDH等窄带接口转变为宽带纯以太接口为主,辅以少量的更高速和更高性能的波分接口;运行协议上,也逐步统一成分布式IP/MPLS体系。更大的带宽、更低的时延、更小的体积、更优的成本使得路由器以及其兄 弟交换机、PTN成为几乎所有网络的基础网络。 该路由器项目计划总投资20630.89万元,其中:固定资产投资 14466.73万元,占项目总投资的70.12%;流动资金6164.16万元,占项目 总投资的29.88%。 达产年营业收入50855.00万元,总成本费用40207.34万元,税金及 附加395.44万元,利润总额10647.66万元,利税总额12511.74万元,税 后净利润7985.74万元,达产年纳税总额4525.99万元;达产年投资利润 率51.61%,投资利税率60.65%,投资回报率38.71%,全部投资回收期 4.08年,提供就业职位872个。
本报告所描述的投资预算及财务收益预评估均以《建设项目经济评价 方法与参数(第三版)》为标准进行测算形成,是基于一个动态的环境和 对未来预测的不确定性,因此,可能会因时间或其他因素的变化而导致与 未来发生的事实不完全一致,所以,相关的预测将会随之而有所调整,敬 请接受本报告的各方关注以项目承办单位名义就同一主题所出具的相关后 续研究报告及发布的评论文章,故此,本报告中所发表的观点和结论仅供 报告持有者参考使用;报告编制人员对本报告披露的信息不作承诺性保证,也不对各级政府部门(客户或潜在投资者)因参考报告内容而产生的相关 后果承担法律责任;因此,报告的持有者和审阅者应当完全拥有自主采纳 权和取舍权,敬请本报告的所有读者给予谅解。 ...... 报告主要内容:基本信息、背景及必要性、项目市场空间分析、建设 规划方案、选址方案、建设方案设计、工艺原则及设备选型、项目环保研究、生产安全保护、项目风险评价分析、项目节能情况分析、项目进度说明、项目投资情况、项目经济评价分析、项目总结等。 2017年全球企业和服务提供商(SP)路由器市场整体市场规模为152 亿美元,比2016年增长4.0%。其中2017Q4达到40亿美元,同比增长 2.4%。按照市场细分,2017全年服务提供商路由器市场增长了5.7%,企业 路由器件市场增长了1.1%。据预测,未来三年全球及中国路由器市场规模
DPtech IPS2000测试方案 迪普科技 2011年07月
目录 DPtech IPS2000测试方案 (1) 第1章产品介绍 (1) 第2章测试计划 (2) 2.1测试方案 (2) 2.2测试环境 (2) 2.2.1 透明模式 (2) 2.2.2 旁路模式 (3) 第3章测试容 (4) 3.1功能特性 (4) 3.2响应方式 (4) 3.3管理特性 (4) 3.4安全性 (5) 3.5高可靠性 (5) 第4章测试方法及步骤 (6) 4.1功能特性 (6) 4.1.1 攻击防护 (6) 4.1.2 防病毒 (8) 4.1.3 访问控制 (10) 4.1.4 最接数与DDoS (11) 4.1.5 黑功能 (12) 4.2响应方式 (13) 4.2.1 阻断方式 (13) 4.2.2 日志管理 (14) 4.3管理特性 (15) 4.3.1 设备管理 (15) 4.3.2 报表特性 (16) 4.4安全特性 (17) 4.4.1 用户的安全性 (17) 4.4.2 设备的安全性 (19) 第5章测试总结 (21)
第1章产品介绍 随着网络的飞速发展,以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。传统的基于网络层的防护只能针对报文头进行检查和规则匹配,但目前大量应用层攻击都隐藏在正常报文中,甚至是跨越几个报文,因此仅仅分析单个报文头意义不大。IPS正是通过对报文进行深度检测,对应用层威胁进行实时防御的安全产品。但目前大多数IPS都是从原有的IDS平台改制而来,性能低、误报和漏报率高、可靠性差,尤其是在新应用不断增多、特征库不断增长的情况下,性能压力持续增加,只能通过减少或关闭特征库来规避。这样的IPS不仅起不到安全防御的作用,甚至会成为网络中的故障点。 如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延?很显然,传统的基于串行设计思想的硬件和软件架构,无论是X86、ASIC或是NP,都无法承受成千上万条且在不断更新中的漏洞库,更不用说再增加病毒库、应用协议库……。迪普科技在IPS2000 N系列IPS中,创新性的采用了并发硬件处理架构,并采用独有的“并行流过滤引擎”技术,性能不受特征库大小、策略数大小的影响,全部安全策略可以一次匹配完成,即使在特征库不断增加的情况下,也不会造成性能的下降和网络时延的增加。同时,迪普科技IPS还采用了管理平面和数据平面相分离技术,这种的分离式双通道设计,不仅消除了管理通道与数据通道间相互耦合的影响,极大提升了系统的健壮性,并且数据通道独特的大规模并发处理机制,极大的降低了报文处理的时延,大大提升了用户体验。以IPS2000-TS-N为例,IPS2000-TS-N是全球第一款可提供万兆端口的IPS产品,即使在同时开启其置的漏洞库、病毒库、协议库后,性能依然可达万兆线速,目前已成功部署于多个大型数据中心、园区出口。 漏洞库的全面性、专业性、及时性是决定IPS对攻击威胁能否有效防御的另一关键。迪普科技拥有专业的漏洞研究团队,能不断跟踪其它知名安全组织和厂商发布的安全公告,并持续分析、挖掘、验证各种新型威胁和漏洞,凭借其强大的漏洞研究能力,已得到业界普遍认可并成为微软的MAPP合作伙伴,微软在发布漏洞之前,迪普科技能提前获取该漏洞的详细信息,并且利用这一时间差及时制作可以防御该漏洞的数字补丁。迪普科技IPS漏洞库以定期(每周)和紧急(当重大安全漏洞被发现)两种方式发布,并且能够自动分发到用户驻地的IPS中,从而使得用户驻地的IPS在最快时间具备防御零时差攻击(Zero-day Attack)的能力,最大程度的保护用户安全。目前,迪普科技已成为中国国家漏洞库的主要提供者之一。借助迪普科技专业漏洞研究团队的持续投入和漏洞库的持续升级,不仅显著提升了IPS的可用性,并极大减少了IPS误报、漏报给用户带来的困扰。 IPS2000 N系列是目前全球唯一可提供万兆线速处理能力的IPS产品,并在漏洞库的基础上,集成了卡巴斯基病毒库和应用协议库,是针对系统漏洞、协议弱点、病毒蠕虫、DDoS攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁的一体化应用层深度防御平台。IPS2000 N系列部署简单、即插即用,配合应用Bypass等高可靠性设计,可满足各种复杂网络环境对应用层安全防护的高性能、高可靠和易管理的需求,是应用层安全保障的最佳选择。
项目建议书 项目建议书定义: 项目建议书(又称立项申请)是拟增上项目单位向发改局项目管理部门申报的项目申请。 是项目建设筹建单位或项目法人,根据国民经济的发展、国家和地方中长期规划、产业政策、生产力布局、国内外市场、所在地的内外部条件,提出的某一具体项目的建议文件,是对拟建项目提出的框架性的总体设想。对于大中型项目,有的工艺技术复杂,涉及面广,协调量大的项目,还要编制可行性研究报告,作为项目建议书的主要附件之一。项目建议书是项目发展周期的初始阶段,是国家选择项目的依据,也是可行性研究的依据,涉及利用外资的项目,在项目建议书批准后,方可开展对外工作。 项目建议书的类型和编写格式 工业项目建议书格式 一、总论 1、项目名称: 2、承办单位概况(新建项目指筹建单位情况,技术改造项目指原企业情况) 3、拟建地点: 4、建设内容与规模: 5、建设年限: 6、概算投资: 7、效益分析: 二、项目建设的必要性和条件 1、建设的必要性分析 2、建设条件分析:包括场址建设条件(地质、气候、交通、公用设施、征地拆迁工作、施工等)、其它条件分析(政策、资源、法律法规等) 3、资源条件评价(指资源开发项目):包括资源可利用量(矿产地质储量、可采储量等)、资源品质情况(矿产品位、物理性能等)、资源赋存条件(矿体结构、埋藏深度、岩体性质等) 三、建设规模与产品方案 1、建设规模(达产达标后的规模) 2、产品方案(拟开发产品方案) 四、技术方案、设备方案和工程方案 (一)技术方案 1、生产方法(包括原料路线) 2、工艺流程 (二)主要设备方案 1、主要设备选型(列出清单表) 2、主要设备来源 (三)工程方案 1、建、构筑物的建筑特征、结构及面积方案(附平面图、规划图)
1.1 入侵检测部署方案 1.1.1需求分析 利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险,但是入侵者可寻找防火墙背后可能敞开的后门,或者入侵者也可能就在防火墙内。通过部署安全措施,要实现主动阻断针对信息系统的各种攻击,如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等,能防御针对操作系统漏洞的攻击,能够实现应用层的安全防护,保护核心信息资产的免受攻击危害。 针对网络的具体情况和行业特点,我们得到的入侵检测的需求包括以下几个方面: ●入侵检测要求 能够对攻击行为进行检测,是对入侵检测设备的核心需求,要求可以检测的种类包括:基于特征的检测、异常行为检测(包括针对各种服务器的攻击等)、可移动存储设备检测等等。 ●自身安全性要求 作为网络安全设备,入侵检测系统必须具有很高的安全性,配置文件需要加密保存,管理台和探测器之间的通讯必须采用加密的方式,探测器要可以去除协议栈,并且能够抵抗各种攻击。 ●日志审计要求 系统能对入侵警报信息分类过滤、进行统计或生成报表。对客户端、服务器端的不同地址和不同服务协议的流量分析。可以选择不同的时间间隔生成报表,反映用户在一定时期内受到的攻击类型、严重程度、发生频率、攻击来源等信息,使管理员随时对网络安全状况有正确的了解。可以根据管理员的选择,定制不同形式的报表。 ●实时响应要求
当入侵检测报警系统发现网络入侵和内部的违规操作时,将针对预先设置的规则,对事件进行实时应急响应。根据不同级别的入侵行为能做出不同方式告警,用以提醒管理人员及时发现问题,并采取有效措施,控制事态发展。报警信息要分为不同的级别:对有入侵动机的行为向用户显示提示信息、对严重的违规现象实行警告通知、对极其危险的攻击可通过网管或者互动防火墙进行及时阻断、以及向安全管理中心报告。另外,必须在基于规则和相应的报警条件下,对不恰当的网络流量进行拦截。 联动要求 入侵检测系统必须能够与防火墙实现安全联动,当入侵检测系统发现攻击行为时,能够及时通知防火墙,防火墙根据入侵检测发送来的消息,动态生成安全规则,将可疑主机阻挡在网络之外,实现动态的防护体系!进一步提升网络的安全性。 1.1.2方案设计 网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。 入侵检测系统可以部署在网络中的核心,这里我们建议在网络中采用入侵检测系统,监视并记录网络中的所有访问行为和操作,有效防止非法操作和恶
前所未有的超强安全防护。 TippingPoint已成功开发领先业界的网络入侵防御系统(Intrusion Prevention Systems; IPS),提供无人能及的安全性、性能、高可用性和简易使用性。TippingPoint IPS是唯一获得NSS Gold金牌奖、获ICSA Labs认证的第一台multi-gigabit网络入侵防御系统及其他多项业界奖项的产品,成为网络入侵防御方面的标准产品。 功能与优点 比拟交换器的性能 Multi-gigabit Per Second的攻击过滤性能 延迟< 84 μsec 真实应用环境的TCP/UDP流量混合 200万以上的同时连线 --TCP/UDP/ICMP 每秒1,000,000以上的连接 完备的威胁防护 VoIP 网络钓鱼 蠕虫病毒 隔离检查 操作系统安全漏洞 散式拒绝服务攻击(DDoS) P2P对等网络 间谍软件 病毒 零时差计划(ZDI)客户端和服务器保护 防御针对脆弱的应用程序和操作系统的攻击 免除高昂的特别系统补丁程序 多重过滤方法 网络基础设施保护 保护Cisco IOS、DNS及其他基础设施 防护异常流量、拒绝服务(DoS)、SYN Floods攻击、Process Table Floods攻击 访问控制列表(Access Control Lists) 流量正常化 增加网络带宽和路由器性能 无效网络流量正常化 最佳化网络性能 应用性能保护 增加带宽和服务器容量 限制或阻断未经授权的流量(对等通讯/即时传讯) 关键性应用的保证带宽 数字(Digital Vaccine?)疫苗即时接种 全球知名安全研究团队 防护零时差攻击 自动分配最新过滤器 安全管理系统 管理多个TippingPoint系统 一目了然的Dashboard状态显示 自动化报表 装置配置与监控 高级政策定义与鉴识分析 高可用性与全状态网络冗余冗余 双重电源供应 Layer 2 Fallback Active-Active或Active-Passive全状态网络冗余 (IPS & SMS) 断电高可用性(Zero Power High Availability; ZPHA)无人能及的安全与性能平台 前所未有的超强安全防护。 TippingPoint已 成功开发领先业界的网络入侵防御系统 (Intrusion Prevention Systems; IPS),提供无 人能及的安全性、性能、高可用性和简易 使用性。 TippingPoint IPS是唯一获得NSS Gold金牌奖、获ICSA Labs认证的第一台 multi-gigabit网络入侵防御系统及其他多项 业界奖项的产品,成为网络入侵防御方面 的标准产品。 主动防御的网络安全性 入侵防御系统(Intrusion Detection Systems) 从定义而言仅能侦测,而不能阻断未经授 权的流量。 TippingPoint IPS在网络上进行 即时分析,阻止恶意和未经授权的流量, 同时保护合法流量的畅通。 事实上,它 持续清理网络流量,并为业务关键性的应 用提供优先性,以维护合法流量的最佳性 能。 TippingPoint的高性能和超精确的入 侵防御,已重新定义了网络安全,并且从 根本上改变了人们保护组织的方法。 您将不再需要在服务器和工作站遭受攻击 后进行清理,不需要采用特别和紧急的系 统补丁,不再需要面对失控、未经授权应 用(例如Peer-to-Peer对等通讯和即时通讯 等)蔓延到整个网络的问题。 再者,造成 Internet连接阻塞或使业务关键性应用瘫痪 的拒绝服务攻击也将成为过去。 TippingPoint方案藉由免除特别的系统补丁 和预警反应,持续降低IT安全成本,同时 也通过带宽节约和对关键应用的保护,持 续提高IT生产力和利润。 无出其右的性能 TippingPoint是业界性能最好的IPS,它通过 特别针对入侵防御而设计的硬件,以 multi-gigabit的速度和极低的延迟阻断网络 攻击,而且唯有TippingPoint采用此种革命 性的结构方法提供真正的入侵防御。 相 对的,以一般用途硬件和处理器为基础的 传统软件与应用解决方案,并不能在不折 损网络性能的前提下运作。 TippingPoint 已通过严格的第三方测试验证,展现了 multi-gigabit速度的入侵防御性能,并且在 防御攻击上达到杰出的精准度。 「TippingPoint IPS是我所见最好的安全 解决方案。其性能除了"惊讶"二字之外 无法形容。 部署后第一年内,该方案的 效益已超过其投资成本。它很容易部署和 管理,因为它可以和各种硬件进行互操作。」 Richard Cross Toyota Motor Europe安全主管
智能电子设备项目 建议书 规划设计 / 投资分析
摘要说明— 于消费电子产品制造技术的迭代发展以及移动互联网应用的普及,以智能手机、平板和笔记本电脑为代表的全球移动设备市场规模快速 增长,消费者群体持续扩大。根据市场研究机构IDC预测,2019年全 球智能手机出货量将会达到13.76亿部。预计到2023年,全球智能手 机出货量将上升至15.20亿部,呈现在高基数基础上继续稳步发展的 态势。 完善的物流体系等周边配套产业为出口跨境电子商务行业的持续 稳定发展提供了有利支持。据国家邮政总局的统计,2018年全年全国 快递服务企业业务量共完成507.10亿件,实现业务收入近6,038.40 亿元,分别同比增长约26.60%和21.80%;其中国际/港澳台业务量和 业务收入分别完成11.1亿件和585.7亿元,同比分别增长34.0%和 10.7%,我国物流产业规模持续增长。据京东、中国物流与采购联合会 统计,我国电商物流运行指数指数2019年6月为241.88,较2015年 初有较大幅度上升,整体上电商物流行业呈现持续健康发展的趋势, 电商市场发展服务的基础条件得以持续发展、改善。 近年来,消费者使用及购买习惯呈现由PC端向移动端转移的趋势 据爱立信统计,全球移动签约用户数由2017年的77亿增至2019年1 季度的约79亿,其中智能手机签约用户数由2017年的44亿上升至
2019年1季度的57亿,智能手机签约用户数快速增长。此外,全球智能手机用户月均使用数据流量将大幅提升,大部分地区年复合增长率在30%以上,全球消费者对移动电子设备使用依赖度将持续上升。以上所述全球移动设备行业的市场规模持续扩大、消费者对移动设备产品使用程度与依赖程度不断上升等因素,带动了移动电源、充电器及线材等充电类产品,无线耳机和音箱等音频类产品等移动设备周边产品市场的迅速崛起全球各主要移动设备周边产品细分行业快速发展,市场规模持续扩大。此外,移动设备周边产品相关技术迭代迅速,各类新设计、新功能和新应用领域的周边产品层出不穷,行业领先的前沿产品不断发掘并拓展消费者的需求边界,全球移动设备周边产品市场呈现蓝海市场的经营、竞争特点。 该智能电子设备项目计划总投资14205.90万元,其中:固定资产投资12437.25万元,占项目总投资的87.55%;流动资金1768.65万元,占项目总投资的12.45%。 达产年营业收入15838.00万元,总成本费用12638.53万元,税金及附加260.15万元,利润总额3199.47万元,利税总额3900.93万元,税后净利润2399.60万元,达产年纳税总额1501.33万元;达产年投资利润率22.52%,投资利税率27.46%,投资回报率16.89%,全部投资回收期7.42年,提供就业职位229个。
网络卫士入侵防御系统 配置案例 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119 https://www.doczj.com/doc/8916845452.html,
版权声明 本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。 版权所有不得翻印? 2009天融信公司 商标声明 本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。 TOPSEC? 天融信公司 信息反馈 https://www.doczj.com/doc/8916845452.html,
目录 前言 (3) 文档目的 (3) 读者对象 (3) 约定 (4) 相关文档 (4) 技术服务体系 (4) 配置导入、导出 (6) 配置导出 (6) 基本需求 (6) 配置要点 (6) WEBUI配置步骤 (6) 配置导入 (7) 基本需求 (7) 配置要点 (7) WEBUI配置步骤 (8) 在线升级 (9) 基本需求 (9) 配置要点 (9) WEBUI配置步骤 (9) 注意事项 (10) 规则库升级 (11) 基本需求 (11) 配置要点 (11) WEBUI配置步骤 (11) 注意事项 (12) TOPIDP快速简易配置 (14) 基本需求 (14) 配置要点 (14) WEBUI配置步骤 (14) 注意事项 (17) 应用协议控制-BT (18) 基本需求 (18) 配置要点 (18) WEBUI配置步骤 (18) 注意事项 (20) 以IDS方式接入 (21) 基本需求 (21) 配置要点 (21) WEBUI配置步骤 (21) 注意事项 (24) IPS策略+防火墙功能 (25) 基本需求 (25) 配置要点 (25)
入侵检测安全解决方案 摘要: 随着互联网技术的飞速发展,网络安全逐渐成为一个潜在的巨大问题。但是长久以来,人们普遍关注的只是网络中信息传递的正确与否、速度怎样,而忽视了信息的安全问题,结果导致大量连接到Internet上的计算机暴露在愈来愈频繁的攻击中。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。本文先介绍入侵检测的概念和基本模型,然后按不同的类别分别介绍其技术特点。 关键词: 网络安全、入侵检测、入侵检测系统、蠕虫、入侵检测系统的发展 引言: 随着Internet的迅速扩张和电子商务的兴起,越来越多的企业以及政府部门依靠网络传递信息。然而网络的开放性与共享性使它很容易受到外界的攻击与破坏,信息的安全保密性受到了严重影响。与此同时,网上黑客的攻击活动也逐渐猖狂。人们发现保护资源和数据的安全,让其免受来自恶意入侵者的威胁是件非常重要的事。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题,入侵检测技术随即产生。 正文: 该网络的拓扑结构分析 从网络拓扑图可以看出,该网络分为办公局域网、服务器网络和外网服务器,通过防火墙与互联网连接。在办公局域网中有一个交换机和一些客户机。对于办公局域网络,每台计算机处于平等的位置,两者之间的通信不用经过别的节点,它们处于竞争和共享的总线结构中。这种网络适用于规模不大的小型网络当中,管理简单方便,安全控制要求不高的场合。在服务器网络中,有目录服务器、邮件服务器等通过核心交换机,在经过防火墙与外网服务器相连,在通过外网防火墙与互联网相连。 网络拓扑结构安全性考虑 网络拓扑结构与网络的安全性关系很大,如果设备再好,结构设计有问题,比如拓扑结构不合理,使防火墙旋转放置在网络内部,而不是网络与外部的出口处,这样整个网络就不能抵挡外部的入侵了。设计好网络的拓扑结构,也就是使其进出口减少了收缩,把防御设备放置到网络的出入口,特别是防火墙和路由器,一定要放置在网络的边缘上,且是每个出入口均要有。 内网防火墙是一类防范措施的总称,它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。 防火墙的功能有: 1、过滤掉不安全服务和非法用户 2、控制对特殊站点的访问 3、提供监视Internet安全和预警的方便端点 由于互连网的开放性,有许多防范功能的防火墙也有一些防范不到的地方: 1、防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受限制的向外拨号,一些用户可以形成与Internet的直接的连接,从而绕过防火墙,造成一个潜在的后门攻击渠道。
项目建议书范本 一、总论 1、项目名称:通讯设备生产项目 2、项目投资人简介:xxx有限公司是一家专门生产天线通信工程产品厂家,为中国移动、中国联通、中国电信等各大运营商的通信网络建设提供物美价廉的优质产品,如天馈线系统、射频同轴连接器、室内外机房铁件、一体化基站房及各类其他通信器材等,并提供快捷周到的通信安装工程等综合性成套服务,是中国通信协会会员单位。 本着遵纪守法,诚信经营,科技创新的原则,目标是在大多数的省市设立了分公司及办事处等分支机构,已技术娴熟服务周到的工程队伍和售后服务遍布全国,随时准备以快速准确的服务响应我们每一位客户。进行统一的运筹与资源整合,并在此基础上寻求新的战略发展空间。 3、拟建地点:xxx 4、建设年限:壹年 5、概算投资:6000万 二、技术方案、设备方案和工程方案 (一)技术方案 1、主要原料:钢材、铜、铝、彩钢板、电缆、电线、橡胶 工艺流程: (二)主要设备方案
主要设备选型:数控冲床、数控铣床、数控钻床、数控车床、剪板机、转弯机、喷塑机、注塑机。 三、投资估算 1、建设投资估算表: 附件2 基本建设项目总投资估算表填写说明 单位:万元 序号 项目 名称 单价数量合计说?明 第一部分:建筑工程费指为建造永久性建筑物和构筑物所需要的费用,包括以下内容: 1.各类房屋建筑工程和列入房屋建筑工程预算的供水、供暖、卫生、通风、煤气等设备费用及其装设、油饰工程的费用,列入房屋建筑工程预算的各种管道、电力、电信和电缆导线敷设工程的费用; 2.设备基础、支柱、工作台、烟囱、水塔、水池、灰塔等建筑工程以及各种窑炉的砌筑工程和金属结构工程的费用;