曙光安全解决方案

1、曙光安全解决方案C o r p o r a t e P r o f I l e 2 0 1 4C O N T E N T S2安全产品线概述通用安全产品介绍我国网络安全态势安全方案介绍网络安全上升到国家战略伴随信息化发展，网络安全形势日趋严峻，网络安全威胁种类复杂多变，网络安全问题层出不穷。大规模拒绝服务攻击（DDoS）高级持续性威胁攻击（APT）网络钓鱼攻击远程控制病毒传播利用内部人员安全意识或安全制度薄弱发起的内部攻击硬件层面的漏洞或者后门木马和僵尸网络安全漏洞、后门互联网和移动互联网恶意程序主要网络安全威胁互联网+网络安全威胁涉及各方面安全事件及威胁数量逐年增多境内感染木马僵尸网络的主机

2、达1108万台境内飞客蠕虫感染主机数量占全球12.7%14年CNVD收录漏洞9163个，较13年增长16.7%14年向重要单位通报漏洞事件数量增长3倍，达9068起网络攻击目的性趋利性增强出于政治、军事等目的的网络攻击：如针对他国关键信息基础设施的攻击等；经济信息安全威胁：钓鱼欺诈攻击、网银盗号、用户隐私非法贩卖等。网络攻击趋利性凸显网络安全管理工作体系支撑机构工信部垂直领导管理部门 中央网络安全和信息化领导小组科研机构其他行业主管部门（银行、教育、电力等）安全职能部门（公安、国安、保密等）网络安全信息化企业院校通管局网络安全法律法规体系全国人大常委会关于维护互联网安全的决定全国人大常委会关于

3、加强网络信息保护的决定刑法修正案（七）网络安全法。法律电信条例国务院关于大力推进信息化发展和切实保障信息安全的若干意见计算机信息网络国际联网安全保护管理办法计算机信息系统安全保护条例。行政法规工信部：通信网络安全防护管理办法等公安部:互联网安全保护技术措施规定等国家保密局：计算机信息系统保密管理暂行规定等。部门规章安全制度及规范第七条规定：建设、运营网络或者通过网络提供服务，应当依照规定和标准的强制性要求，采取技术措施和其他必要措施，保障网络安全。第十七条规定：网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、

4、篡改。第十八条规定：网络产品、服务应当符合相关有关标准，不得设置恶意程序；发现其网络产品、服务存在安全隐患时，应当及时向用户告知并采取补救措施。网络产品、服务的提供者应当为其产品、服务持续提供安全维护。网络安全法教育部关于加强教育行业网络与信息安全工作的指导意见要求建立健全网络与信息安全组织领导体系。要求全面实施信息安全等级保护制度。要求大力提升网络与信息安全技术防护能力。要求建立健全网络与信息安全应急处置和通报机制。安全制度及规范C o r p o r a t e P r o f I l e 2 0 1 4C O N T E N T S2安全产品线概述通用安全产品介绍我国网络安全态势安全方案

5、介绍通用安全面向数据中心、信息化系统建设的信息安全产品族覆盖网络安全、主机安全、运维安全、身份安全针对等保、传统安全、云安全、大数据安全自研+合作+商品销售产品和方案（未来是安全服务）特种安全专注于流量采集及处理的定制化开发服务技术源自于网安，辐射到GA、公安、军工、运营商等多个领域掌握FPGA、众核及底层包处理核心技术，硬件+软件自主研发；力争今年和一些合作伙伴（如某上层分析软件开发方）形成系统方案销售产品、系统方案和技术安全产品线组成课题项目曙光安全积累深厚历史悠久技术起源于CNCERT国际网络关口设备2003年开始做IDS2004年开始做防火墙高举高打安全相关科研项目案例20112012

6、2013201520142009多功能音视频处理卡专用网卡串接设备下一代专用网卡242课题项目（5个）高性能VPN产品高性能异常流量处理系统发改委信息安全专项（4个）新型安全网关产品军工项目（3个）某监控系统探针设备基于SDN的安全服务设备科委项目（1个）某指控系统安防设备某卫星系统安防设备大数据安全管理平台数据安全处理专用系统十多年的钻研2.5亿科研经费200多项专利齐全的产品认证证书公安部计算机信息系统安全专用产品售许可证中国人民解放军军用信息安全产品认证证书军B中国信息安全认证中心强制性ISCCC认证证书中国信息安全测评中心EAL3级产品认证证书国家保密局涉密信息系统产品检测证书北京市自

7、主创新产品认证证书国家密码局商用密码产品销售许可证、生产定点单位证书国家密码局商用密码产品型号证书网络安全架构internetSOCIDS审计漏扫终端管理DLPIPSWAF堡垒机上网行为管理数据库防火墙ISP1ISP2/internetVPN负载均衡无线IPSUTMFW准入网关主机加固桌面网关通用安全产品线概览下一代防火墙安全应用交付龙芯堡垒机主机加固系统身份认证系统Nikey200智能密码钥匙机群安全认证系统SHCSC统一身份认证平台TLFW-ASWindows普通版Linux旗舰版管理50个管理150个12G10G20G龙芯平台龙芯平台2G10G20G6G管理300个VPN低端中端40G云

8、安全HPC安全自主可控安全等级保护安全检测安全方案接入路由器联通电信接入路由器链路负载均衡链路负载均衡下一代防火墙下一代防火墙WAF服务器负载均衡WEB服务器WEB服务区核心交换机安全加固系统堡垒机身份认证系统管理区核心应用区数据库区VPN五维信息安全纵深防御体系网络安全应用安全运维安全主机安全身份安全C o r p o r a t e P r o f I l e 2 0 1 4C O N T E N T S2安全产品线概述通用安全产品介绍我国网络安全态势安全方案介绍下一代防火墙防火墙在网络中的位置没有防火墙有防火墙在不同的安全域之间做隔离和访问控制下一代防火墙卖点应用层安全防护，能够发现刻意

9、隐藏的安全问题集成多种安全功能，可作为综合安全网关高性能，不会因为开启多个安全模块而导致性能大幅下降一站式配置云计算虚拟化支持专业DDos防护功能曙光下一代防火墙核心功能病毒木马蠕虫垃圾邮件洪水攻击僵尸网络1、IPS库最新有效条目6000+2、病毒库120000+条3、web Trojan 20000+条1、最高达40Gbps有效流量的防御能力2、全面阻断DDoS攻击1、深度支持SSL VPN、IPSec VPN2、可对传输数据进行加密1、海量日志存储，统计报表可视化展示2、利于直观分析网络流量，及时发现异常问题集成专业VPN功能全面直观的日志记录和取证精准、深层次的入侵检测和拦截高性能的异常

10、流量清洗和管控曙光下一代防火墙核心功能一体化安全功能智能流量管理、应用管控、入侵防护、病毒防护、DNS防护、应用安全防护、URL过滤、垃圾邮件过滤、数据防泄密、内容过滤、三层至七层DDoS防护6000+无重复IPS特征库、过亿URL信息库、2000+应用识别、庞大的病毒库应用层DPI，加密隧道检测IPv6支持一体化处理引擎单次解包，并行处理，在开启全部功能时，性能不会大幅度下降云安全支持基于云租户的独立策略（虚拟化），支持VLAN、AAA、VXLAN、Trill、NVGRE定义租户支持虚拟机软件版，兼容VMware支持安装在服务器上集群部署方案可突破1000G性能负载均衡功能链路负载均衡、服务

11、器负载均衡下一代防火墙型录防火墙吞吐量最大并发连接1000万，每秒新建连接20万2U，冗余电源板载6千兆电口，3个接口卡插槽最大并发连接800万，每秒新建连接15万2U，冗余电源3个接口卡插槽最大并发连接500万，每秒新建连接8万1U，单电源6千兆电口、4千兆光口最大并发连接300万，每秒新建连接2万1U，单电源6千兆电口、2千兆光口最大并发连接100万，每秒新建连接1万1U，单电源6千兆电口40G20G10G2G1GTFLW-2000-M60TFLW-2000-M50TFLW-2000-M40TFLW-2000-R20TFLW-2000-R10如何选型型号TLFW-2000-R10TLFW-

12、2000-R20TLFW-2000-M40TLFW-2000-M50TLFW-2000-M60整机吞吐量1Gbps2Gbps10Gbps20Gbps40Gbps并发连接数100万300万500万800万1000万新建连接数1万2万8万15万30万推荐用户数100020001万2万4万大马拉小车要求设备性能远超出当前推算值一般，性能超出3倍为宜关注物理接口数量光口支持要求接口数量电源形式要求安全应用交付何为应用交付？负载均衡资源卸载安全防护网络加速终端加速应用交付(ADC)：涵盖负载均衡全部功能，保障整个应用交付链的高效，可靠和安全。是一种端到端的解决方案L4-L7服务器负载出口多链路负载健康监

13、控内存CacheSSL硬件加速TCP链接卸载 内容压缩TCP协议优化智能选路Anti-DDoSL4-L7防火墙Web应用防火墙多连接下载智能终端加速图片压缩应用场景是什么Internet服务器负载均衡保障应用系统可靠性和安全性优化应用系统，提升访问速度服务器组数据中心办公网数据中心多链路负载均衡保障链路可靠性，提升使用效率保障跨多运营商链路高效访问内部应用系统Internet全局负载均衡服务器负载均衡灾备/多活负载均衡多数据中心全局流量管理数据中心双活/多活解决方案主数据中心备数据中心安全设备负载均衡解决网络安全产品性能可靠性瓶颈预定义分流实现智能安全备数据中心服务器组WAF安全审计联通教育电

14、信安全应用交付四大核心优势高性能、高稳定全面支持虚拟化和IPv6安全防护能力基于应用协议的链路流量调度设备虚拟化VMware 联动虚拟机自动发现及流量管理全面支持IPv4-IPv6过渡方案性能 2-600G接口灵活配置支持万兆接口扩展支持HA双活、主备集成应用防火墙 WAFL7数据中心防火墙L4/L7 DDoS 防御应用访问速率控制实现基于应用协议的链路流量管理有效管理视频、IM、社交、上网的流量，实现带宽选路调度，提升宽带使用效率安全应用交付型录600 G/ 240G2G6G10G20GDCLB-6100AD DCLB-6300AD DCLB-6400AD DCLB-6600AD 设备吞吐量

15、 小企业大企业&运营商大型电商/多租户云提供商DCLB-6900AD 中型企业大企业运营商40GDCLB-6800AD 原来黄色框里内容不变设备虚拟化多租户vtForce服务器负载均衡应用系统2财务部门vtForce服务器负载均衡应用系统1OA办公vtForce多链路负载均衡互联网出口HypervisionCPU虚拟化内存虚拟化网络接口虚拟化IO存储虚拟化硬件加速卡虚拟化资源独享：每个虚拟ADC独享部分CPU,内存，IO等资源，互不影响安全隔离：多业务系统可以使用不同的ADC版本，不同配置策略和切割方案；统一管理：根据业务的运行状态，动态调整虚拟ADC的资源占用，最大合理化设备使用；高可靠：虚

16、拟机间HA，实现单机高可靠性vtMnt资源管分配云数据中心虚机负载和动态管理VMAT1-Plug-InvCenterServerInternet配置自动下发动态监控虚机状态实时智能流量调度理VMwareVMware软件负载曙光SADC结果说明架构&性能通过虚机上运行的一套软件，受限于虚拟机的自身资源限制，性能和稳定性无法保证；专业硬件平台，稳定可靠；支持压缩，SSL硬件加速；专业优化的高性能操作系统VMware只能用于简单，流量小，对稳定性要求不高络环境；功能，性能，可靠性都无法和专业的ADC比。功能简单的4层分流，流量分配不均；不具备加速，优化和安全功能；不具备7层负载均衡能力，无法为用户提

17、供差异化服务专业ADC，支持L7复杂业务，支持多种优化和加速，智能终端识别与加速压缩前138KB质量：100压缩后33KB质量：70大小是原来的23%根据手机分辨率调整图片大小；降低图片质量进行压缩；图片格式转换，GIF- PNG；网页内容压缩，html, CSS, Scripts等；数据压缩-缩短传输时间智能缓冲-减少重传和丢包识别终端类型，协商合适的传输速率减少终端设备在高延迟低带宽条件下的反复丢包和重传减少对服务器资源的浪费L4-L7安全防护能力多数据中心应用系统云数据中心桌面虚拟化InternetServerClient四层访问控制标准防火墙出接口NAT如接口NAT四层Anti-DDo

18、STCP FloodUDP Flood七层访问控制基于Cookie，浏览器类型，URL，HTTP Header的访问七层Anti-DDoS智能动态Cookie脚本识别CC攻击HTTP请求速率控制WAF应用防火墙防XSS，SQL注入攻击HTTP协议合规敏感信息擦除应用协议链路引流电信Internet网通SADC应用协议选路内置应用检测引擎，有效识别URL，视频，下载，IM等主流应用。应用协议种类500+根据策略把流量引导至相应链路，同时可以实现QOS带宽管理。IMP2P视频应用移动应用娱乐办公/网银上网行为管理和流控设备的局限：只能做到简单的阻断和限流，无法做到出口选路；管理粒度松散，无法有效的

19、利用多运营商链路；管理方式相对粗暴，不够人性化，很多场景下无法满足；更智能，更人性化的多链路流量管理方案云计算数据中心整体方案亮点核心区云计算数据中心办公区管理控制区负载负载互联网接入区网通电信链路负载链路负载数据中心区：高性能，弹性扩展架构：更符合云计算业务模式设备虚拟化：云里面多个业务系统实现完全隔离负载+加速+安全ALL-IN-ONE：国内唯一可以同时提供专业安全防护的应用交付产品，避免设备叠加减少时延软件可编程控制：支持tRule可编程脚本，更好接入云管控平台智能虚机负载：支持虚机的动态部署，迁移；智能终端加速：不修改应用系统情况下加速手机和pad用户访问速度，提升体验互联网接入区：数

20、据中心防火墙+链路负载：具备L4-L7访问控制能力应用协议负载：智能识别IM，下载，视频，OA，政务软件，根据策略选择链路异地灾备数据中心：智能全局负载均衡：多数据中心智能监控，同时实现主备或双活龙芯堡垒主机IT运行维护事故频发，涉及问题查找困难，代价异常昂贵；IT系统构成复杂；操作人员众多；操作途径繁多。各企事业计算机犯罪以每年30%速度增长，涉案性质越来越严重；犯罪主体以内部或内外勾结为主；作案目的以盗窃资金、敏感信息资产为主；发案原因多是由于缺乏内部风险控制机制为主。IT运维现状事前身份不明确授权不清晰内容不可见过程不可控无法重现事件过程无法定责事中事后合规性 相关政策规范和标准SOX法

21、案（新资本协议）对接触资产须记录何人何时做何操作企业内控基本指引-中国的SOX法案国家标准：我国颁布的安全等级保护技术要求信息系统中必须建立并保存下面的各种访问日志：网络（网络安全审计 ）主机（安全审计 ）应用（安全审计 ）银监会制定的电子银行业务管理办法、商业银行信息科技风险管理指引等法规制度相继出台保险公司内部审计指引（试行）ISO27001标准要求必须记录系统管理和维护人员的操作行为曙光龙芯堡垒机核心功能日常报表自定义报表综合统计单点登录定期改密密函打印资源第三方认证Pswd/Token/证书账户命令一站式单点登录强认证身份管理细粒度访问授权核心功能点完备的合规报表WindowAppHt

22、tp(S)/DBRDP/VNC/XWindowFTP/SFTPTelnet/SSH全面的操作审计HAOperaFirmOperaFirm工作过程演示核心服务器区安全运维网段内部可信人员非可信人员A非可信人员B对操作进行记录，并保存日志禁止的操作龙芯堡垒机型录可管理设备数并发会话数512个硬盘500GB，内存2GB龙芯3A 4核心CPU，主频1.0GHz1U，单电源4千兆电口，2千兆光口，2个USB，1个串口300个OperaFirm-L1060150个50个并发会话数256个硬盘500GB，内存2GB龙芯3A 4核心CPU，主频1.0GHz1U，单电源4千兆电口，2千兆光口，2个USB，1个串

23、口OperaFirm-L1030并发会话数128个硬盘500GB，内存2GB龙芯3A 4核心CPU，主频1.0GHz1U，单电源4千兆电口，2千兆光口，2个USB，1个串口OperaFirm-L1020市面上常见的堡垒机原厂商主要有帕拉迪、思福迪、齐治、江南科友等，均为小厂商，其他大的厂商均为OEM其他厂商的OEM情况为：启明星辰上海谐润、天融信北京建恒信安、网神和锐捷极地、华为帕拉迪、浪潮瑞宁智远六大核心优势：业内唯一一家纯自主可控的堡垒主机（采用龙芯3A）支持”总部分部”分级部署常规协议仅443单一端口，不开放3389、22、21、23、5900等高危端口，保证自身安全性HA支持独立心跳线

24、和独立数据线支持数据库本地运维，不需要部署前置机支持批量设备及端口智能自动发现，且不会被误判为攻击产品优势及竞争分析龙芯堡垒机在线演示环境访问地址：自建管理员帐户：system 密码：1q2w3e4r5t演示环境中的功能和龙芯堡垒机实体机功能一致。目前可以进行rdp、ssh、sftp、oracle、mysql、informix资源的运维审计，其他运维环境会不断完善。堡垒机公网演示环境安全加固系统安全加固面对的市场TCSEC(Trusted Computer System Evaluation Criteria : 美国防部系统安全测评标准)安全加固能做什么进不来拿不走看不到改不了赖不掉通过系统

25、登录与硬件令牌紧密捆绑，实现非法用户“进不来”由安全管理中心对系统中的主体及客体进行安全标识，利用强制访问，从而全方位地确保重要信息“拿不走”，保护信息系统的机密性利用强制访问控制，确保私有信息的隐密性，实现非法用户“看不到”的效果利用完整性机制，保证程序及数据信息运行及传输的完整性，达到“改不了”的效果 详尽的审计机制实现非法行为“赖不掉”的效果法规要求等级保护物理层面系统层面应用层面网络层面管理层面安全管理制度业务处理流程网络防火墙网络入侵检测系统业务应用系统数据库应用系统主机加固物理设备安全环境安全网络安全体系等保三级主机加固系统Windows普通版SecSystem-W0110主机加固

26、系统Unix旗舰版SecSystem-U1101Windows版本一套含10个licenceLinux版本一套含1个licence，一次采购十套以上有优惠每套操作系统对应一个Licence产品形态身份认证系统产品介绍 NiKey200 令牌密钥 基于国密SM3算法 支持时间、事件、挑战应答模式 脱机工作，避免受到网络攻击 产品结构紧凑、防水、安全系数高 TLFW-AS 统一身份认证平台 管理NiKey200，并且与各类型的应用服务器系统进行身份控制联动 基于国密SM3算法和OATH算法 支持千万级用户 支持HA、集群式及负载均衡 支持TCP/SSL、SOAP/HTTPS、RADIUS、LDAP

27、认证协议 安全认证套件：Gridview+Cloudview 安全认证系统：TLFW-AS配Windows、Linux登陆Agent 可与TLFW-1000T防火墙联动，实现VPN拨入、本地上网动态口令认证 可用于登录GridView和CloudView的身份认证典型应用场景VPN登陆SSH、Telnet登陆Windows登陆Linux登陆系统应用登陆曙光自研各类软件系统可与1、GridView2、CloudView3、TLFW-1000T4、龙芯堡垒机绑定，构成身份认证方案C o r p o r a t e P r o f I l e 2 0 1 4C O N T E N T S2安全产品线

28、概述通用安全产品介绍我国网络安全态势安全方案介绍与全球最顶级安全厂商合作曙光信息安全的盲区HPC安全部分曙光中毒的HPC集群曙光承建的大量HPC集群存在安全隐患，遭受攻击和破坏云安全曙光的云计算系统缺少云安全的解决方案Here Comes与全球最顶尖的安全公司Check Point在云安全、HPC安全领域展开合作，以全新姿态进入安全领域技术薄弱实力雄厚非专业专业缺少安全整体方案发明了状态检测防火墙全球防火墙市场占有率第一连续17年位居领导者象限云安全方案VMWare ESXCorpnetDMZExtranet部门A部门B部门CIPS-AV-AS-MobileMAB MDM“东西”和“南北”向流量协同防护曙光HPC安全解决方案千兆交换机局域网Internet路由器远程控制内网外网千兆管理网控制台本地KVM外部网络InfiniBand网机房环境并行存储系统P200（96T