电力公司网络安全技术规范书

5.1附件1华能电力网络安全项目技术规范书TOC\o"1-3"\h\z华能电力网络安全解决方案 11. 背景介绍 31.1. 项目总述 31.2. 网络环境总述 31.3. 信息安全方案的组成 41.3.1. 信息安全产品的选型原则 41.3.2. 网络安全现状 51.3.3. 典型的黑客攻击 51.3.4. 网络与信息安全平台的任务 71.3.5. 网络安全解决方案的组成 71.3.6. 超高安全要求下的网络爱护 92. 安全架构分析与设计 112.1. 网络整体结构 112.2. 集中治理和分级治理 122.3. 华能电力网络安全系统治理中心网络 132.4. 各地点公司和电厂网络设计 132.5. 和Internet相连的外部网络设计 143. 产品选型 153.1. 防火墙的选型 153.1.1. 方正数码公司简介 153.1.2. 产品概述 163.1.3. 系统特点 163.1.4. 方正方御防火墙功能讲明 203.2. 入侵检测产品选型 273.2.1. 启明星辰公司介绍 283.2.2. 入侵检测系统介绍 283.2.3. 天阗(tian)黑客入侵检测系统功能特点 293.3. 防病毒产品的选型 313.3.1. 病毒介绍 313.3.2. 为何使用CA公司的Kill2000网络防病毒 353.3.3. KILL的技术和优势 363.3.4. KILL与其他同类产品的比较的相对优势 383.3.5. KILL所获得的权威机构认证 393.3.6. KILL病毒防护系统部署方案 394. 工程实施方案 424.1. 测试及验收 424.1.1. 测试及验收描述 424.2. 系统初验 424.2.1. 功能测试 424.2.2. 性能测试 435. 售后服务和技术支持 435.1. 为华能电力网络提供安全评估 435.2. 售后服务内容 445.3. 保修 455.4. 保修方式 455.5. 保修范围 465.6. 保修期的确认 465.7. 培训安排 475.8. 全国服务网络 485.9. 场地及环境预备 485.9.1. 常规要求 485.9.2. 机房电源、地线及同步要求 485.9.3. 设备场地、通信 495.9.4. 机房环境 495.10. 验收清单 505.10.1. 设备开箱验收清单 505.10.2. 用户信息清单 515.10.3. 用户验收清单 526. 方案整体优势 527. 方正方御防火墙荣誉证书 54

附录一：北京威通网讯网络技术有限公司介绍背景介绍项目总述本项目是华能国际电力股份有限公司为其内网及下属电厂作网络安全爱护中的防火墙选型和实施部分(关于入侵检测系统和防病毒系统，我们建议使用启明星辰的天阗黑客入侵检测与预警系统和冠群金辰的kill网络防病毒系统)。华能国际电力股份有限公司网络整体结构是—个通过WAN连接的二级网络，整个网络分为内网和外网两个网，内外网之间物理隔离。网络中心与下属15个电厂通过网络进行数据传输，在网络每一级的节点上具有一个局域网，在二级网络上运行着电力业务系统、办公自动化服务等网络环境总述华能电力网络安全系统是非涉密的内部业务工作处理网络，传输、处理、查询工作中非涉密的信息。该网由与网络中心和15个电厂单位组成。在给地点局域网出入口安装防火墙。在关键部位安放入侵检测系统，而且所有的服务器和一般PC机需要安装防病毒软件。而且这些防火墙和入侵检测系统需要集中在数据中心进行治理和审计。信息安全方案的组成信息安全产品的选型原则华能电力网络安全系统是一个要求高可靠性和安全性的网络系统，若干重要的公文信息在网络传输过程中不可泄露，假如数据被黑客修改或者删除，那么就会严峻的阻碍工作。因此华能电力网络安全系统安全产品的选型事关重大，要提到国家战略的高度来衡量，否则一旦被黑客或者敌国攻入，其代价将是不能想象的。华能电力网络安全系统网络安全系统方案必须遵循如下原则：全局性原则：安全威胁来自最薄弱的环节，必须从全局动身规划安全系统。华能电力网络安全系统安全体系，遵循中心统一规划，各电厂分不实施的原则。综合性原则：网络安全不单靠技术措施，必须结合治理，当前我国发生的网络安全问题中，治理问题占相当大的比例，在各地点建立网络安全设施体系的同时必须建立相应的制度和治理体系。均衡性原则：安全措施的实施必须以依照安全级不和经费限度统一考虑。网络中相同安全级不的保密强度要一致。节约性原则：整体方案的设计应该尽可能的不改变原来网络的设备和环境，以免资源的白费和重复投资。集中性原则：所有的防火墙产品要求在数据中心能够进行集中治理，如此才能保证在数据中心的服务器上能够掌握全局。角色化原则：防火墙产品在治理上面不仅在数据中心能够完全操纵外，在地点还需要分配适当的角色使地点能够在自己的权利下修改和查看防火墙策略和审计。目前，专门多公开的新闻表明美国国家安全局（NSA）有可能在许多美国大软件公司的产品中安装“后门”，其中包括一些应用广泛的操作系统。为此德国军方前些时候甚至规定在所有牵涉到机密的计算机里，不得使用美国的操作系统。作为信息安全的保障，我们在安全产品选型时强烈建议使用国内自主开发的优秀的网络安全产品，将安全风险降至最低。在为各安全产品选型时，我们立足国内，同时保证所选产品的先进性及可靠性，并要求通过国家各要紧安全测评认证。网络安全现状Internet正在越来越多地融入到社会的各个方面。一方面，随着网络用户成分越来越多样化，出于各种目的的网络入侵和攻击越来越频繁；另一方面，随着Internet和以电子商务为代表的网络应用的日益进展，Internet越来越深地渗透到各行各业的关键要害领域。Internet的安全包括其上的信息数据安全，日益成为与政府、军队、企业、个人的利益休戚相关的“大情况”。尤其关于政府和军队而言，假如网络安全问题不能得到妥善的解决，将会对国家安全带来严峻的威胁。2000年二月，在三天的时刻里，黑客使美国数家顶级互联网站－Yahoo!、Amazon、eBay、CNN陷入瘫痪，造成了十几亿美元的损失，令美国上下如临大敌。黑客使用了DDoS（分布式拒绝服务）的攻击手段，用大量无用信息堵塞网站的服务器，使其不能提供正常服务。在随后的不到一个月的时刻里，又先后有微软、ZDNet和E*TRADE等闻名网站遭受攻击。国内网站也未能幸免于难，新浪、当当书店、EC123等知名网站也先后受到黑客攻击。国内第一家大型网上连锁商城IT163网站3月6日开始运营，然而仅四天，该商城突遭网上黑客突击，界面文件全部被删除，各种数据库遭到不同程度的破坏，致使网站无法运作。客观地讲，没有任何一个网络能够免受安全的困扰，依据FinancialTimes曾做过的统计，平均每20秒钟就有一个网络遭到入侵。仅在美国，每年由于网络安全问题造成的经济损失就超过100亿美元。典型的黑客攻击黑客们进行网络攻击的目的各种各样，有的是出于政治目的，有的是职员内部破坏，还有的是出于好奇或者满足自己的虚荣心。随着Internet的高速进展，也出现了有明确军事目的的军方黑客组织。在典型的网络攻击中，黑客一般会采取如下的步骤：自我隐藏，黑客使用通过rsh或telnet在往常攻克的主机上跳转、通过错误配置的proxy主机跳转等各种技术来隐藏他们的IP地址，更高级一点的黑客，精通利用电话交换侵入主机。网络侦探和信息收集，在利用Internet开始对目标网络进行攻击前，典型的黑客将会对网络的外部主机进行一些初步的探测。黑客通常在查找其他弱点之前首先试图收集网络结构本身的信息。通过查看上面查询来的结果列表，通常专门容易建立一个主机列表同时开始了解主机之间的联系。黑客在那个时期使用一些简单的命令来获得外部和内部主机的名称：例如，使用nslookup来执行“ls<domainornetwork>”，finger外部主机上的用户等。确认信任的网络组成，一般而言，网络中的主控主机都会受到良好的安全爱护，黑客对这些主机的入侵是通过网络中的主控主机的信任成分来开始攻击的，一个网络信任成员往往是主控主机或者被认为是安全的主机。黑客通常通过检查运行nfsd或mountd的那些主机输出的NFS开始入侵，有时候一些重要目录（例如/etc，/home）能被一个信任主机mount。确认网络组成的弱点，假如一个黑客能建立你的外部和内部主机列表，他就能够用扫描程序（如ADMhack,mscan,nmap等）来扫描一些特定的远程弱点。启动扫描程序的主机系统治理员通常都不明白一个扫描器差不多在他的主机上运行，因为’ps’和’netstat’都被特洛伊化来隐藏扫描程序。在对外部主机扫描之后，黑客就会对主机是否易受攻击或安全有一个正确的推断。有效利用网络组成的弱点，当黑客确认了一些被信任的外部主机，同时同时确认了一些在外部主机上的弱点，他们就要尝试攻克主机了。黑客将攻击一个被信任的外部主机，用它作为发动攻击内部网络的据点。要攻击大多数的网络组成，黑客就要使用程序来远程攻击在外部主机上运行的易受攻击服务程序，如此的例子包括易受攻击的Sendmail,IMAP,POP3和诸如statd,mountd,pcnfsd等RPC服务。获得对有弱点的网络组成的访问权，在攻克了一个服务程序后，黑客就要开始清除他在记录文件中所留下的痕迹，然后留下作后门的二进制文件，使其以后能够不被发觉地访问该主机。目前，黑客的要紧攻击方式有：欺骗：通过伪造IP地址或者盗用用户帐号等方法来获得对系统的非授权使用，例如盗用拨号帐号。窃听：利用以太网广播的特性，使用监听程序来截获通过网络的数据包，对信息进行过滤和分析后得到有用的信息，例如使用sniffer程序窃听用户密码。数据窃取：在信息的共享和传递过程中，对信息进行非法的复制，例如，非法拷贝网站数据库内重要的商业信息，盗取网站用户的个人信息等。数据篡改：在信息的共享和传递过程中，对信息进行非法的修改，例如，删除系统内的重要文件，破坏网站数据库等。拒绝服务：使用大量无意义的服务请求来占用系统的网络带宽、CPU处理能力和IO能力，造成系统瘫痪，无法对外提供服务。典型的例子确实是2000年年初黑客对Yahoo等大型网站的攻击。黑客的攻击往往造成重要数据丢失、敏感信息被窃取、主机资源被利用和网络瘫痪等严峻后果，假如是对军用和政府网络的攻击，还会对国家安全造成严峻威胁。网络与信息安全平台的任务网络与信息安全平台的任务确实是创建一个完善的安全防护体系，对所有非法网络行为，如越权访问、病毒传播、恶意破坏等等，做到事前预防、事中报警并阻止，事后能有效的将系统恢复。在上文对黑客行为的描述中，我们能够看出，网络上任何一个安全漏洞都会给黑客以可乘之机。闻名的木桶原理（木桶的容量由其最短的木板决定）在网络安全里尤其适用。因此，我们的方案必须是一个完整的网络安全解决方案，对网络安全的每一个环节，都要有认确实考虑。网络安全解决方案的组成针对前文对黑客入侵的过程的描述，为了更为有效的保证网络安全，方正数码提出了两个理念：立体安全防护体系和安全服务支持。首先网络的安全决不仅仅是一个防火墙，它应是包括入侵测检（IDS）、防病毒等功能在内的立体的安全防护体系；其次真正的网络安全一定要配备完善的高质量的安全维护服务，以使安全产品充分发挥出其真正的安全效力。一个好的网络安全解决方案应该由如下几个部分组成：防火墙：对网络攻击的阻隔防火墙是保证网络安全的重要屏障。防火墙依照网络流的来源和访问的目标，对网络流进行限制，同意合法网络流，并禁止非法网络流。防火墙最大的意义在网络边界处提供统一的安全策略，有效的将复杂的网络安全问题简化，大大降低治理成本和潜在风险。在应用防火墙技术时，正确的划分网络边界和制定完善的安全策略是至关重要的。进展到今天，好的防火墙往往集成了其他一些安全功能。比如方正方御防火墙在专门好的实现了防火墙功能的同时，也实现了下面所讲的入侵检测功能；入侵检测（IDS）：对攻击试探的预警当黑客试探攻击时，大多采纳一些已知的攻击方法来试探。网络安全漏洞扫描器是“先敌发觉”，未雨绸缪。而从另外一个角度考虑问题，“实时监测”，发觉黑客攻击的企图，关于网络安全来讲也是特不有意义的。甚至由此派生出了P^2DR理论。入侵检测系统通过扫描网络流里的特征字段（网络入侵检测），或者探测系统的异常行为（主机入侵检测），来发觉这类攻击的存在。一旦被发觉，则报警并作出相应处理，同时能够依照预定的措施自动反应，比如临时封掉发起该扫描的IP。需要注意的是，入侵检测系统目前不能，以后也专门难，精确的发觉黑客的攻击痕迹。事实上，黑客能够将一些广为人知的网络攻击进行一些较为复杂的变形，就能做到没有入侵检测系统能够识不出来。因此，在应用入侵检测系统时，千万不要因为有了入侵检测系统，就不对系统中的安全隐患进行及时补救。安全审计治理安全审计系统必须实时监测网络上和用户系统中发生的各类与安全有关的事件，如网络入侵、内部资料窃取、泄密行为、破坏行为、违规使用等，将这些情况真实记录，并能关于严峻的违规行为进行阻断。安全审计系统所做的记录如同飞机上的黑匣子，在发生网络犯罪案件时能够提供宝贵的侦破和取证辅助数据，并具有防销毁和篡改的特性。安全审计跟踪机制的内容是在安全审计跟踪中记录有关安全的信息，而安全审计治理的内容是分析和报告从安全审计跟踪中得来的信息。安全审计跟踪将考虑要选择记录什么信息以及在什么条件下记录信息。收集审计跟踪的信息，通过列举被记录的安全事件的类不（例如对安全要求的明显违反或成功操作的完成），能适应各种不同的需要。已知安全审计的存在可对某些潜在的侵犯安全的攻击源起到威摄作用。防病毒以及特洛伊木马计算机病毒的危害不言而喻，计算机病毒进展到今天，差不多和特洛伊木马结合起来，成为黑客的又一利器。微软的原码失窃案，据信，确实是一黑客使用特洛伊木马所为。安全策略的实施保证网络安全知识的普及，网络安全策略的严格执行，是网络安全最重要的保障。此外，信息备份是信息安全的最起码的要求。能减少恶意网络攻击或者意外灾难带来的破坏性损失。超高安全要求下的网络爱护关于华能电力网络安全系统数据中心安全而言，安全性需求就更加的高，属于超高安全要求下的网络爱护范围，因此需要在这些地点使用2台防火墙进行双机热备，以保证数据稳定传输。认证与授权认证与授权是一切网络安全的根基所在，尤其在网络安全治理、外部网络访问内部网络（包括拨号）时，要有特不严格的认证与授权机制，防止黑客假冒身份渗透进内部网络。关于内部访问，也要有完善的网络行为审计记录和权限限定，防止由内部人员发起的攻击──70%以上的攻击差不多上内部人员发起的。我们建议华能电力网络安全系统利用基于X.509证书的认证体系（目前最强的认证体系）来进行认证。方正方御防火墙治理也是用X.509证书进行认证的。网络隔离网络安全界的一个玩笑确实是：要想安全，就不要插上网线。这是一个简单的原理：假如网络是隔离开的，那么网络攻击就失去了其存在的介质，皮之不存，毛将焉附。但关于需要和外界沟通的实际应用系统来讲，完全的物理隔离是行不通的。方正数码提出了安全数据通道网络隔离解决方案，在网络连通条件下，通过破坏网络攻击得以进行的另外两个重要条件：从外部网络向内部网络发起连接将可执行指令传送到内部网络从而确保华能电力网络安全系统的安全。实施保证华能电力网络安全系统牵涉网点众多，网络结构复杂。要爱护如此一个繁杂的网络系统的网络安全，必须有完善的治理保证。安全系统要能够提供统一的集中的灵活的治理机制，一方面要能让华能电力网络安全系统网控中心的网管人员监控整体网络安全状况，另外一方面，要能让地点网管人员灵活处理具体事务。方正方御防火墙采纳基于WindowsGUI的用户界面进行远程集中式治理，配置治理界面直观，易于操作。能够通过一个操纵机对多台方正方御防火墙进行集中式的治理。方正方御防火墙符合国家最新防火墙安全标准，采纳了三级权限机制，分为治理员，策略员和审计员。治理员负责防火墙的开关及日常维护，策略员负责配置防火墙的包过滤和入侵检测规则，审计员负责日志的治理和审计中的授权机制，如此他们共同地负责起一个安全的治理平台。事实上，方御防火墙是通过该标准认证的第一个包过滤防火墙。另外，方正方御防火墙还提供了原标准中没有强制执行的实施域分组授权机制，尤其适合于华能电力网络安全系统如此的大型网络。安全架构分析与设计逻辑上，华能电力网络安全系统将划分为三个区域：数据中心、局域网用户和外网。其中每一个局域网节点划分为内部操作（操纵）区、信息共享区两个网段，网段之间设置安全隔离区。每一个网段必须能够构成一个独立的、完整的、安全的、可靠的系统。网络整体结构华能电力网络安全系统需要涉及若干电力部门，各地点的网络通过专用网连接起来，网络安全通过防火墙设备和入侵检测设备实现。网络整体结构如下图所示：网络整体结构示意图集中治理和分级治理由于华能电力网络安全系统涉及的网络安全设备繁多，因此在治理上面需要既能集中治理，又能够在本地进行审计治理，日志查询等操作。而用户的权限机制分配必须通过网络治理中心统一分配和治理。需要集中治理的网络设备包括防火墙设备、入侵检测设备和防病毒软件。在华能电力网络安全系统网络治理中心需要对各公司，电厂的网络安全设备进行集中治理。分析华能电力网络安全系统的特点和需求，方正方御防火墙的集中治理功能和权限治理机制完全能够满足这些需求。方正方御防火墙采纳基于WindowsGUI的用户界面进行远程集中式治理，配置治理界面直观，易于操作。能够通过一个操纵机对多台方正方御防火墙进行集中式的治理。方正方御防火墙采纳了三级权限机制，分为治理员，策略员和审计员。治理员负责防火墙的开关及日常维护，策略员负责配置防火墙的包过滤和入侵检测规则，审计员负责日志的治理和审计中的授权机制。如此他们共同的负责起一个安全的治理平台。华能电力网络安全系统的集中治理图如下所示：网络安全产品集中治理示意图华能电力网络安全系统治理中心网络华能电力网络安全系统治理中心除了需要提供信息服务外，还需要对各公司和电厂的网络设备进行集中治理，因此网络的安全性和可靠性尤其的重要。内部区放置操纵服务器、数据库服务器、文件服务器、系统治理服务器等设备。华能电力网络安全系统治理中心的网管工作站负责对给地点公司和电厂的所有的安全产品进行集中治理和权利分配任务。而且安全产品的审计工作也差不多上在网管中心进行统计和备份。各地点公司和电厂网络设计各地点公司和电厂的网络结构节点也同样划分为内部操作（操纵）区、公开信息区两个网段。关于这些网络我们建议使用如下方案：地点公司和电厂网络示意图和Internet相连的外部网络设计由于华能电力网络安全系统的内网和外网是物理隔离的，因此保障了内部网络的安全同时，还需要对外部网络进行适当的安全防护。关于外网我们建议使用如下方案：外部网络示意图产品选型防火墙的选型我们采纳方正最新型方正方御防火墙。方正方御防火墙是一个专门优秀的防火墙，同时它集成强大的入侵检测功能。方正方御防火墙是国内第一个通过公安部公共信息网络安全监督局新防火墙认证标准的包过滤级防火墙产品，同时通过了中国人民解放军安全测评认证中心、国家保密局和中国国家信息安全测评认证中心的严格认证。方正数码公司简介作为方正集团互联网战略的实施者，方正数码将自身定位于电子商务的“赋能者”，其业务涉及互联网与电子商务的技术研究应用与系统集成、网络市场营销服务、空间信息应用、无线互联以及电子商务的咨询服务等方向，以关心政府、行业、企业、网站、电子商务的运营者在互联网时代健康成功的进展为己任。要给电子商务运营者赋能，先要给安全赋能。方正数码首先推出的确实是方正方御互联网安全解决方案。方正方御是在通过一年多的大量投入和深入的研究后，提出的一套基于中国国情、全部自主开发、具有领先优势的解决方案。它是一套整体的集群平台，能够解决互联网运营商最为关切的安全性、高可靠性、可扩展性和易于远程治理的问题。目前这套方案差不多得到国家有关部门的大力支持，被国家经贸委列为国家创新打算项目之一。另外，还得到了国家”863”打算的支持。在立身自主开发外，方正数码还与众多国际知名的安全公司保持着良好的合作关系，并集成了国内外最优秀的公司安全产品，为国内Internet的安全建设保驾护航。产品概述方御防火墙是方正方御中的要紧安全产品之一。由于防火墙技术的针对性专门强，它已成为实现网络安全的重要保障之一。方御防火墙是通过对国外防火墙产品的综合分析，针对我们国家的具体应用环境，结合国内外防火墙领域里的最新进展，在面向IDC和中小企业的FireBridge防火墙的基础上，提出的一种具有强大的信息分析功能、高效包过滤功能、多种反电子欺骗手段、多种安全措施综合运用的安全可靠的专用防火墙系统。方正方御防火墙不仅仅是一个包过滤的防火墙，而且包括了大量的有用模块，能够为用户提供多方面的服务。方御防火墙爱护如下模块：系统特点一体化的硬件设计方正方御防火墙采纳了一体化的硬件设计，采纳了自己的操作系统，无需其他操作系统的支持，如此能够发挥硬件的最大性能，同时也提高了系统的安全性。双机热备份通过双机热备份，本系统提供可靠的容错/热待机功能。备份防火墙服务器中存有主防火墙服务器的设置镜像，当主防火墙因为某些缘故不能正常运作，备份服务器能够在12秒钟内取代主服务器运作，充分保证整个网络系统运作的稳定性。完善的访问操纵方正方御防火墙符合国家最新防火墙安全标准，采纳了三级权限机制，分为治理员，策略员和审计员。治理员负责防火墙的开关及日常维护，策略员负责配置防火墙的包过滤和入侵检测规则，审计员负责日志的治理和审计中的授权机制。如此他们共同地负责起一个安全的治理平台。多种工作模式方正方御防火墙能够工作在网桥路由两种模式下，如此能够方便用户使用。使用在网桥模式时在IP层透明，使用路由模式时能够作为三个区之间的路由器，同时提供内网到外网、DMZ到外网的网络地址转换。防备DOS，DDOS攻击一般的防火墙差不多上采纳限制每一网络地址单位时刻内通过的SYN包数量来抵御DDOS攻击，然而通常网络攻击者都会随机的伪造网络地址，因此这种方法防范的效果特不差，不能从全然上抵御DDOS攻击。方正方御防火墙修改了TCP/IP堆栈的算法，使得新的syn连接包能够正常通过，幸免了由于大量的攻击SYN包造成网络的堵塞。状态检测方正方御防火墙能够依照数据包的地址、协议和端口进行访问操纵，同时还对任何网络连接和会话的当前状态进行分析和监控。传统的防火墙的包过滤只是依照规则表进行匹配，而方正方御防火墙对每个连接，作为一个数据流，通过规则表与连接表共同配合来对网络状态进行操纵。代理服务用户能够设置代理服务器端口来启动代理服务器功能，而且通过设置使用代理服务器用户帐号密码和访问操纵来维护安全性。代理服务的访问操纵特不的完善，能够对时刻、协议、方法、地址、DNS域、目的端口和URL来进行操纵。用户完全能够通过设置一定的条件来符合自己的要求。双向网络地址转换系统支持动态、静态、双向的NAT。当用户需要从内部IP访问Internet时，NAT系统会从IP池里取出一个合法的InternetIP，为该用户建立映射。假如需要在Intranet提供让外部访问的服务（如WWW、FTP等），NAT系统能够为Intranet里的服务器建立静态映射，外部用户能够直接访问该服务器。双向网络地址转换为企业用户连接到Internet提供了良好的网络地址隐蔽，同时能减少IP占用，替用户节约费用。提供DMZ区除了内部网络界面和外部网络界面，系统还能够再增加一个网络界面，让治理员灵活应用。如建立DMZ（军事独立区），在其中放置公共应用服务器。带宽治理和流量统计方正方御防火墙系统使用流量统计与操纵策略，可方便的依照网段和主机等对流量进行统计与操纵治理。用户能够通过设置源地址到目的地址单位在时刻内同意通过的流量以及协议和端口来进行带宽操纵。日志审计审计功能是方正方御防火墙特不强大的一个部分，目前国内防火墙的审计功能都特不不完善，方正方御防火墙提供了大量的审计内容和对审计内容的查询功能，由于日志可能对一般用户比较难以理解，而我们将日志记录分成了若干部分，而其中每一部分都能够进行查询和治理，如此用户就能对防火墙的情况有一个特不透彻的了解。入侵检测方正方御防火墙入侵检测系统采纳了可扩展的检测库方法，目前能够抵御1000多种攻击方法，而且能够通过升级检测库的方法来不断的抵御新的攻击方法。用户还能够自定义攻击检测库来符合自己的要求。自动报警和防范系统方正方御防火墙一旦检测到有黑客进行攻击，会在第一时刻内在操纵机上进行报警，而且同时会自动封禁掉攻击者的IP地址，如此能够做到防火墙的防范完全自动化，而不象一般的防火墙那样需要人工干预。基于PKI的授权认证方正方御防火墙的授权认证是基于PKI基础之上，因此完全性极高。PKI是一种新的安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等差不多成分共同组成的。快速安装配置方正方御防火墙的安装和配置特不方便，治理员只要设定好网络设备的IP地址，然后使用系统提供的一些典型配置模板，适当的修改一些规则来符合要求。除此以外还能够添加系统提供的一些子模板来实现一些特定的功能。图形治理界面用户能够通过图形界面对防火墙进行配置和治理。而且也能够通过图形界面来治理审计内容，而不象有些防火墙是通过命令行方式进行配置。完全中国化的设计方正方御防火墙是由方正数码自行设计和制作的，充分考虑了中国国情，除了界面、关心文档、使用讲明完全中文化外，还加入了一些小型模板用户给治理员配置防火墙。集中治理方正方御防火墙采纳基于WindowsGUI的用户界面进行远程集中式治理，配置治理界面直观，易于操作。能够通过一个操纵机对多台方正方御防火墙进行集中式的治理。方正方御防火墙功能讲明多种工作模式方正方御防火墙能够工作在网桥和路由两种模式下：A：网桥模式：3个端口构成一个以太网交换机，防火墙本身没有IP地址，在IP层透明。能够将任意三个物理网络连接起来构成一个互通的物理网络。当防火墙工作在交换模式时，内网、DMZ区和路由器的内部端口构成一个统一的交换式物理子网，内网和DMZ区还能够有自己的第二级路由器，这种模式不需要改变原有的网络拓扑结构和各主机和设备的网络设置。B：路由模式：防火墙本身构成3个网络间的路由器，3个界面分不具有不同的IP地址。三个网络中的主机通过该路由进行通信。当防火墙工作在路由模式时，能够作为三个区之间的路由器，同时提供内网到外网、DMZ到外网的网络地址转换，也确实是讲，内网和DMZ都能够使用保留地址，内网用户通过地址转换访问Internet，同时隔绝Internet对内网的访问，DMZ区通过反向地址转换对Internet提供服务。

在没有安装方正方御防火墙的时候典型网络结构图如下:在安装了方正方御防火墙的时候网络结构图如下:包过滤防火墙方正方御防火墙包过滤的功能是对指定IP包进行包过滤，同时按照设定策略对IP包进行统计和日志记录，要紧依照IP包的如下信息进行过滤：源IP地址目的IP地址协议类型（IP、ICMP、TCP、UDP）源TCP/UDP端口目的TCP/UDP端口ICMP报文类型域和代码域碎片包其它标志位，如SYN，ACK位高效的过滤有些防火墙在安装上以后对WEB服务器的吞吐能力阻碍专门大，造成性能的降低。由于方正方御防火墙采纳了3I（IntelligentIPIdentifying）技术，能够实现快速匹配。因此方正方御防火墙可不能对性能造成任何阻碍。方正方御防火墙优化了算法，使最大并发连接数能够达到300,000个以上，而一般的防火墙的最大并发连接只能够达到几万个左右。碎片处理功能由于专门多系统平台，包括一些路由器对IP碎片的处理存在问题，容易产生欺骗和拒绝服务等攻击，方正方御防火墙能够识不出IP碎片同时进行操纵，如此一来通过禁止IP碎片通过方正方御防火墙，防止了如此的问题的产生。防SYNFlood攻击一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息，因为他们只有有限的内存缓冲区用于创建连接，假如这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区里的连接企图超时。典型的确实是SynFlood攻击,通过大量的虚假的Syn包使服务器速度变慢，甚至是死机。一般的防火墙是通过限制每秒钟通过的Syn包数量来组织SynFlood攻击，这种方法能够在一定意义上阻止SynFlood攻击，然而也有可能将正常的Syn包忽略掉，因此不是一种特不行的方法。1：没有安装1：没有安装方御防火墙2：安装方御防火墙强大的状态检测功能方正方御防火墙能够依照数据包的地址、协议和端口进行访问操纵，同时还对任何网络连接和会话的当前状态进行分析和监控。传统的防火墙的包过滤只是与规则表进行匹配，而方正方御防火墙对每个连接，作为一个数据流，通过规则表与连接表共同配合，在继承了传统包过滤系统对应用透明的特性外，还极大地提高了系统的性能和安全性。其他的防火墙大多采纳传统的规则表的匹配方法，随着安全规则的增加，势必会使防火墙的性能大幅度的减少，造成网络拥塞。IDS(入侵检测系统)反端口扫描一般黑客假如要对一个网站发动攻击，首先都要扫描目标服务器的端口，确定服务器上开启的服务，然后做出相应的入侵方式。方正方御防火墙入侵检测系统能够在黑客扫描网站的时候就能检测到并报警，如此就能提早将黑客拒之于门外。方正方御防火墙入侵检测系统在检测到有黑客扫描服务器端口的时候会立即在攻击者的视野中消逝，从而使黑客无法进行后面的攻击。方正方御防火墙入侵检测系统依照配置文件监控任何和TCP、UDP端口的连接。能够对全部端口同时进行监控，同时也能够忽略指定的端口。如此就能满足不同的需求方式。能够防范1500余种攻击方式检测多种DoS攻击检测多种DDoS攻击检测爱护子网中是否存在后门和木马程序检测多种针对Finger服务的攻击检测多种针对FTP服务的攻击检测基于NetBIOS的攻击检测缓冲区溢出类型攻击检测基于RPC的攻击检测基于SMTP的攻击检测基于Telnet的攻击检测网络上传输的病毒和蠕虫检测CGI攻击检测针对WEBServer的FrontPage扩展进行的攻击检测针对WEBServer的ColdFusion扩展进行的攻击检测针对MicroSoftIISserver进行的攻击检测利用ICMP进行的扫描和攻击。检测利用Traceroute对网络的探测检测ActiveX，JaveApplet的传输检测对其他可能的网络服务进行的攻击在线升级和实时报警由于入侵检测系统的库文件是需要不断的更新，因此方正方御防火墙提供了特不方便的升级接口，能够通过我们的网站进行在线升级，而且我们提供了特不方便的用户升级界面，使升级工作能够特不方便的完成。报警是否能够及时是衡量一个入侵检测系统的重要因素之一，假如在黑客刚刚进行攻击的时候就能够做出响应，那么治理员会有足够的时刻进行防护。方正方御防火墙的报警系统和入侵检测系统的协调工作几乎是一致的，一旦入侵检测系统检测到攻击，报警系统会立即做出反应，通过Email或手机通知治理员。同时会启动自动防范系统进行防范。入侵检测和防火墙的互动通过通信行为跟踪，防火墙能够检测到对网络的多种扫描，检测到对网络的攻击行为，并能够对攻击行为进行响应，包括自动防范及用户自定义安全响应策略等。双机热备方正方御防火墙系统能够在网络中智能地查找与其对等的备份机，同时使备份机自动进入等待状态，而一旦备份机发觉主工作机失效，可及时自动启动，防止网络中断事故的发生。其智能识不技术甚至能够支持多于两台以上的方正方御防火墙在网络上互为备份，适用于对可靠性要求极高的场合。强大的审计功能审计功能是方正方御防火墙特不强大的一个部分，目前国内防火墙的审计功能都特不不完善，方正方御防火墙提供了大量的审计内容和对审计内容的查询功能，由于日志可能对一般用户比较难以理解，而我们将日志记录分成了若干部分，而且就每一个部分差不多上能够进行查询和治理的，如此一来就能够使用户对防火墙的情况有一个特不透彻的了解。方正方御防火墙中审计功能有着特不完善的权限治理，有专门的审计员来对审计内容进行治理，在审计中又分成了若干级不的权限。如此能够方便治理员治理审计内容。基于PKI的高级授权认证PKI（PublicKeyInfrastructure）是一种新的安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等差不多成分共同组成的。PKI是利用公钥技术实现电子商务安全的一种体系，是一种基础设施，网络通讯、网上交易是利用它来保证安全的。从某种意义上讲，PKI包含了安全认证系统，即安全认证系统-CA/RA系统是PKI不可缺的组成部分。网络，特不是Internet网络的安全应用差不多离不开PKI技术的支持。网络应用中的机密性、真实性、完整性、不可否认性和存取操纵等安全需求只有PKI技术才能满足。PKI在国外差不多开始实际应用。在美国，随着电子商务的日益兴盛，电子签名、数字证书差不多在实际中得到了一定程度的应用，就连某些国家都差不多开始同意电子签名的档案。方正方御防火墙的授权认证是基于PKI基础之上，因此完全性极高。有些防火墙的认证机制采纳OTP（OnceTimePassword），或者采纳了静态口令机制。比如讲，静态密码是用户和机器之间共知的一种信息，而其他人不明白，如此用户若明白那个口令，就讲明用户是机器所认为的那个人，那么就专门容易的操纵防火墙。而一次性口令也一样，用户和机器之间必须共知一条通行短语，而这通行短语对外界是完全保密的。和静态口令不同的是，那个通行短语并不在网络上进行传输，因此黑客通过网络窃听是不可能的。当时使用起来没有使用证书认证方便。因此方正方御防火墙基于PKI的高级授权认证机制在技术上面特不的先进，超越了大部分的防火墙产品。集中治理依照美国财经杂志统计资料表明，30%的入侵发生在有防火墙的情况下，这些入侵的要紧缘故并非是防火墙无用，而是由于一般的防火墙的治理及配置相当复杂，要想成功的维护防火墙，要求防火墙治理员对网络安全攻击的手段及其与系统配置的关系有相当深刻的了解，而且防火墙的安全策略无法进行集中治理，这些都造成了网络安全的失败。而方正方御防火墙采纳基于WindowsGUI的用户界面进行远程集中式治理，配置治理界面直观，易于操作。能够通过一个操纵机对多台方正方御防火墙进行集中式的治理。入侵检测产品选型关于入侵检测产品我们选用启明星辰信息技术有限公司的天阗(tian)黑客入侵检测系统。启明星辰公司介绍启明星辰公司自1996年成立以来，差不多开发了黑客防范与反攻击产品线、采纳国际闻名厂商芬兰F-Secure公司杀毒技术形成的网络病毒防杀产品线、以网站安全扫描与个人主机爱护为代表的网络安全治理产品线，以及几大产品线之间互动的网络资源治理平台，成为具有自主知识产权、覆盖防病毒和反黑客两大领域的高科技含量的网络安全产品研发与生产基地。启明星辰公司产品均获得了《计算机信息系统安全专用产品销售许可证》，《国家信息安全产品测评认证证书》和《军用信息安全产品认证证书》，在政府、银行、证券、电信和军队等领域得到了广泛的使用。入侵检测系统介绍防火墙与IDS 谈到网络安全，人们第一个想到的是防火墙。但随着技术的进展，网络日趋复杂，传统防火墙所暴露出来的不足和弱点引出了人们对入侵检测系统(IDS)技术的研究和开发。首先，传统的防火墙在工作时，就像深宅大院虽有高大的院墙，却不能挡住小老鼠甚至是家贼的偷袭一样，因为入侵者能够找到防火墙背后可能放开的后门。其次，防火墙完全不能阻止来自内部的突击，而通过调查发觉，70%的攻击都今后自于内部，关于企业内部心怀不满的职员来讲，防火墙形同虚设。再者，由于性能的限制，防火墙通常不能提供实时的入侵检测能力，而这一点，关于现在层出不穷的攻击技术来讲是至关重要的。第四，防火墙关于病毒也束手无策。因此，以为在Internet入口处部署防火墙系统就足够安全的方法是不切实际的。入侵检测系统(IDS)能够弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，如及时记录证据用于跟踪、切断网络连接，执行用户的安全策略等。IDS概念解析 入侵检测系统全称为IntrusionDetectionSystem，它从计算机网络系统中的关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到突击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。IDS要紧执行如下任务： 1．监视、分析用户及系统活动。 2．系统构造变化和弱点的审计。 3．识不反映已知进攻的活动模式并向相关人士报警。 4．异常行为模式的统计分析。 5．评估重要系统和数据文件的完整性。 6．操作系统的审计跟踪治理，并识不用户违反安全策略的行为。 一个成功的入侵检测系统，不仅可使系统治理员时刻了解网络系统，还能给网络安全策略的制订提供依据。它应该治理配置简单，使非专业人员特不容易地获得网络安全。入侵检测的规模还应依照网络规模、系统构造和安全需求的改变而改变。入侵检测系统在发觉入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。IDS分类入侵检测通过对入侵行为的过程与特征进行研究，使安全系统对入侵事件和入侵过程作出实时响应。 入侵检测系统按其输入数据的来源来看，能够分为以下两种： 1.基于主机的入侵检测系统：其输入数据来源于系统的审计日志，一般只能检测该主机上发生的入侵。 2.基于网络的入侵检测系统：其输入数据来源于网络的信息流，能够检测该网段上发生的网络入侵。IDS功能结构 总体来讲，入侵检测系统的功能有： 1．监视用户和系统的运行状况，查找非法用户和合法用户的越权操作。 2．检测系统配置的正确性和安全漏洞，并提示治理员修补漏洞。 3．对用户的非正常活动进行统计分析，发觉入侵行为的规律。4．检查系统程序和数据的一致性与正确性。如计算和比较文件系统的校验和能够实时对检测到的入侵行为进行反应。天阗(tian)黑客入侵检测系统功能特点网络版天阗是基于网络的入侵检测系统，以下称为天阗网络入侵检测系统。 天阗网络入侵检测系统是通过监视网络中的数据包来发觉黑客的入侵企图，它能够运行在一台单独的计算机上监视整个网络的信息。 天阗网络入侵检测系统是一种分布式的网络入侵检测系统，能够适用于任何规模的网络。不管是小型局域网依旧跨地区的城际网络，都能够自由，灵活的来部署天阗。 天阗网络入侵检测系统由两部分构成，操纵中心和网络探测器。操纵中心即网络探测器的前端操作界面。一个网络探测器能够监测一个共享网络，一个操纵中心能够治理一个或多个网络探测器，组成局部独立的预警网络（见下图）。 多个局部预警网络能够相互联系，按照一定的规则构建成一个多层次，分级治理的大规模的预警网络。 网络探测器是预警系统中检测部分的核心。通过对网络进行实时监听，收集网络上的信息，并对这些信息进行实时的分析，看是否对被爱护的网络构成威胁，然后按照预先定义的策略自动报警，阻断和记录日志等。 操纵中心是预警系统的治理和配置工具，同时，它也接收来自网络探测器的实时报警信息，操纵中心还提供了将实时报警信息转发至邮件信箱的功能。 操纵中心能够编辑，修改和分发下属网络探测器和下属分操纵中心的策略定义，给下属网络探测器升级事件库。系统特点¤ 内置了多种预定义策略，并同意用户添加修改策略；¤ 同防火墙进行联合行动，阻断任何非法连接；¤ 实时显示分析结果；¤ 开放式事件特征库，任何人都能够自行定义和添加特征事件；¤ 包含一个报表分析软件，事后可对日志进行二次分析；¤ 网络流量分析，能够关心分析网络故障；¤ 提供固化版本的网络探测器，即插即用，方便安装；系统运行环境¤ 天阗主机版 探测引擎：Solaris7(SPARC) 操纵中心：Windows2000¤ 天阗网络版 探测引擎：RedHatLinux6.1 操纵中心：windows2000防病毒产品的选型针对华能电力网络安全系统，我们采纳CA公司的Kill2000产品进行网络防毒。病毒介绍随着电脑的普及，几乎所有的电脑用户都已明白“计算机病毒”这一名词。关于大多数计算机用户来讲，谈到“计算机病毒”大概觉得它深不可测，无法琢磨。而关于企业用户，由于办公自动化及电子商务的逐步深入的应用，企业关于计算机网络的依靠越来越强。这使得企业的办公效率进一步加快，给企业带来了巨大的效益。然而，同时计算机病毒及黑客也给企业带来了极大的风险。试想假如由于病毒或黑客的突击，使得整个企业办公网络瘫痪、数据库无法进行查询或重要数据丢失、重要文件无法使用、计算机通信无法进行甚至重要客户资料被黑客窃取等情况发生，将给企业带来多大的损失。因此企业网络的防病毒及黑客更是比单机防病毒更为重要。以下对病毒作一简要介绍。病毒历史自从1946年第一台冯-诺依曼型计算机ENIAC出世以来，计算机已被应用到人类社会的各个领域。然而，1988年发生在美国的“蠕虫病毒”事件，给计算机技术的进展罩上了一层阴影。蠕虫病毒是由美国CORNELL大学研究生莫里斯编写。尽管并无恶意，但在当时，“蠕虫”在INTERNET上大肆传染，使得数千台连网的计算机停止运行，并造成巨额损失，成为一时的舆论焦点。在国内，最初引起人们注意的病毒是80年代末出现的“黑色星期五”，“米氏病毒”，“小球病毒”等。因当时软件种类不多，用户之间的软件交流较为频繁且反病毒软件并不普及，造成病毒的广泛流行。后来出现的word宏病毒及win95下的CIH病毒，使人们对病毒的认识更加深了一步。最初对病毒理论的构思可追溯到科幻小讲。在70年代美国作家雷恩出版的《P1的青春》一书中构思了一种能够自我复制，利用通信进行传播的计算机程序，并称之为计算机病毒。病毒定义“计算机病毒”什么缘故叫做病毒。首先，与医学上的“病毒”不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制具有专门功能的程序。由于它与生物医学上的“病毒”同样有传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来。从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。依据此定义，诸如逻辑炸弹，蠕虫等均可称为计算机病毒。在国内，专家和研究者对计算机病毒也做过不尽相同的定义，但一直没有公认的明确定义。直至1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全爱护条例》，在《条例》第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，阻碍计算机使用，并能自我复制的一组计算机指令或者程序代码。”此定义具有法律性、权威性。（此节内容摘自《计算机安全治理与有用技术》一书）病毒的产生那么究竟它是如何产生的呢？其过程可分为：程序设计--传播--埋伏--触发、运行--实行攻击。究其产生的缘故不外乎以下几种：1、开个玩笑，一个恶作剧。某些爱好计算机并对计算机技术精通的人士为了炫耀自己的高超技术和智慧，凭借对软硬件的深入了解，编制这些专门的程序。这些程序通过载体传播出去后，在一定条件下被触发。如显示一些动画，播放一段音乐，或提一些智力问答题目等，其目的无非是自我表现一下。这类病毒一般差不多上良性的，可不能有破坏操作。2、产生于个不人的报复心理。每个人都处于社会环境中，但总有人对社会不满或受到不公证的待遇。假如这种情况发生在一个编程高手身上，那么他有可能会编制一些危险的程序。在国外有如此的事例：某公司职员在职期间编制了一段代码隐藏在其公司的系统中，一旦检测到他的名字在工资报表中删除，该程序立即发作，破坏整个系统。类似案例在国内亦出现过。3、用于版权爱护。计算机进展初期，由于在法律上关于软件版权爱护还没有象今天如此完善。专门多商业软件被非法复制，有些开发商为了爱护自己的利益制作了一些专门程序，附在产品中。如：巴基斯坦病毒，其制作者是为了追踪那些非法拷贝他们产品的用户。用于这种目的的病毒目前已不多见。4、用于专门目的。某组织或个人为达到专门目的，对政府机构、单位的专门系统进行宣传或破坏。或用于军事目的。病毒特征这种专门程序有以下几种特征：1、传染性是病毒的差不多特征。在生物界，通过传染病毒从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量生殖，并使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我生殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台机子上迅速扩散，其中的大量文件（一般是可执行文件）会被感染。而被感染的文件又成了新的传染源，再与其他机器进行数据交换或通过网络接触，病毒会接着进行传染。2、正常的计算机程序一般是可不能将自身的代码强行连接到其它程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道，如软盘、计算机网络去传染其它的计算机。当你在一台机器上发觉了病毒时，往往曾在这台计算机上用过的软盘已感染上了病毒，而与这台机器相联网的其它计算机也许也被该病毒侵染上了。是否具有传染性是判不一个程序是否为计算机病毒的最重要条件。3、未经授权而执行。一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性，它隐藏再正常程序中，当用户调用正常程序时窃取到系统的操纵权，先于正常程序执行，病毒的动作、目的对用户时未知的，是未经用户同意的。4、隐蔽性。病毒一般是具有专门高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地点，也有个不的以隐含文件形式出现。目的是不让用户发觉它的存在。假如不通过代码分析，病毒程序与正常程序是不容易区不开来的。一般在没有防护措施的情况下，计算机病毒程序取得系统操纵权后，能够在专门短的时刻里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户可不能感到任何异常。试想，假如病毒在传染到计算机上之后，机器立即无法正常运行，那么它本身便无法接着进行传染了。正是由于隐蔽性，计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。大部分的病毒的代码之因此设计得特不短小，也是为了隐藏。病毒一般只有几百或1k字节，而PC机对DOS文件的存取速度可达每秒几百KB以上，因此病毒转瞬之间便可将这短短的几百字节附着到正常程序之中，使人特不不易被察觉。5、埋伏性。大部分的病毒感染系统之后一般可不能立即发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。只有如此它才可进行广泛地传播。如“PETER-2”在每年2月27日会提三个问题，答错后会将硬盘加密。闻名的“黑色星期五”在逢13号的星期五发作。国内的“上海一号”会在每年三、六、九月的13日发作。因此，最令人难忘的便是26日发作的CIH。这些病毒在平常会隐藏得专门好，只有在发作日才会露出本来面目。6、破坏性。任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的阻碍。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句，或者全然没有任何破坏动作，但会占用系统资源。这类病毒较多，如：GENP、小球、W-BOOT等。恶性病毒则有明确得目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的对数据造成不可挽回的破坏。这也反映出病毒编制者的险恶用心。病毒分类从第一个病毒出世以来，究竟世界上有多少种病毒，讲法不一。不管多少种，病毒的数量仍在不断增加。据国外统计，计算机病毒以10种/周的速度递增，另据我国公安部统计，国内以4种/月的速度递增。如此多的种类，做一下分类可更好地了解它们。1、按传染方式分为：引导型病毒、文件型病毒和混合型病毒。文件型病毒一般只传染磁盘上的可执行文件（COM，EXE）。在用户调用染毒的可执行文件时，病毒首先被运行，然后病毒驻留内存伺机传染其他文件或直接传染其他文件。其特点是附着于正常程序文件，成为程序文件的一个外壳或部件。这是较为常见的传染方式。混合型病毒兼有以上两种病毒的特点，既染引导区又染文件，因此扩大了这种病毒的传染途径（如97年国内流行较广的“TPVO-3783（SPY）”）。2、按连接方式分为：源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒。源码病毒较为少见，亦难以编写。因为它要攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。现在刚刚生成的可执行文件便差不多带毒了。入侵型病毒可用自身代替正常程序种的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般情况下也难以被发觉，清除起来也较困难。操作系统病毒可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统，这类病毒的危害性也较大。外壳病毒将自身附在正常程序的开头或结尾，相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。新兴一族：宏病毒。宏病毒是近两年才出现的，如分类它可算做文件型。在此对其专门介绍。3、按破坏性可分为：良性病毒，恶性病毒。为何使用CA公司的Kill2000网络防病毒KILL作为全球第二大软件企业CA公司与中国公安部金辰公司合作推出的全中文防病毒产品。他具有世界领先的反病毒技术：主动内核技术（ActiveK）技术，Kill通过全方位的治理、多种报警机制、完整的病毒报告、远程服务器支持，关心治理员更好的实施防病毒工作。同时Kill的技术支持中心由合资企业负责，能够独立针对中国流行的病毒进行及时的更新与服务。KILL是一个用于WindowsNT网络的功能强大的新一代网络防病毒产品。KILL系列产品包括爱护您的WindowsNT服务器、Windows95/98、WindowsNTWorkstation、Windows3.X、DOS工作站的一系列产品，另外一些选件产品，能够提供对LotusNotes和MicrosoftExchange群件系统的防护功能以及防护Internet网关的KILLforInternetProtector。KILL同样能够适用于NovellNetWare操作系统。KILLforWindowsNT以一系列无与伦比的功能为您的WindowsNT企业网提供强大的防护。KILL系列软件获得世界上多家权威计算机安全机构的认证与推举，其中包括中国公安部检验中心的认证及销售许可，微软公司、Novell公司、Compaq公司等软件、硬件兼容性认证以及国际计算机安全协会（ICSA）、美国西海岸病毒实验室和美国病毒公告牌的病毒检测能力认证，证明KILL系列产品具有良好的资质和信誉。KILL连续三个测试月获得《病毒公告》（TheVirusBulletin）杂志最高荣誉：100%反病毒能力证明奖，是唯一取得三连冠的反病毒产品。KILL的技术和优势KILL具有全球领先的主动内核技术KILL是将差不多开发的各种防病毒技术从源程序级嵌入操作系统和网络系统内核，实现无缝联结。如将实时防毒墙、文件动态解压缩、病毒陷阱、宏病毒分析器等功能，组合起来嵌入操作系统和网络系统，作为系统本身的一个“补丁”，与其浑然一体。即使用户是一个全球性的大型异构网络，KILL也能自动探测网络的每一台计算机是否都安装了主动内核，是否都已升级到了最新版本，假如有一台计算机没有做到，KILL就能补上那个漏洞。用户所使用的计算机系统处于主动内核爱护之下，任何已知病毒的入侵都会被KILL拒之门外，防患于未然。而用户平常使用的计算机是感受不到防病毒主动内核的存在，对用户完全透明。KILL系列产品都采纳了主动内核技术。事实上，仅当使用主动内核技术，防病毒产品才可能对病毒进行从内存、存储设备到压缩文件等所有方面的全面、细致而精确的定位这是杀除病毒的全然前提。无缝联结技术是主动内核保障系统安全性的最全然技术KILL主动内核技术是CAUnicenterTNG无缝联结技术。这种技术能够保证防病毒模块从底层内核与各种操作系统、网络、硬件、应用环境紧密协调，确保了在发生病毒入侵反应时，防毒操作可不能伤及到操作系统内核，同时确保杀灭来犯的病毒。无缝联结只有在充分掌握系统的底层协议和接口规范的基础上，才能开发出与之完全兼容的产品。正是CA与微软深厚的合作伙伴关系，才会获得底层协议和接口规范，并开发出与内核无缝集成的产品。VXD机制VXD（虚拟设备驱动），是微软专门为Windows制定的设备驱动程序接口规范。通俗的讲，VXD程序有点类似于DOS种的设备驱动程序，专门用于治理系统所加载的各种设备。VXD不仅适用于硬件设备，Windows防病毒技术也需要利用VXD机制，这是因为VXD程序具有比其他类型应用程序更高的优先级，而且更靠近系统底层资源只有如此，防病毒软件才有可能全面、完全的操纵系统资源，并在病毒入侵时及时报警。KILL的实时监测器就采纳了VXD技术。她在系统启动时被自动加载，并对系统所用资源进行实时监控。每当进行读写操作，它就会对相关文件进行扫描，检查是否存在病毒或是否有类似病毒的行为。VXD技术与TSR技术有专门大的不同，占用极少的内存，对系统阻碍微小。实时防病毒KILL实时防病毒技术能够作用于计算机系统整个工作过程中，随时防止病毒从外界侵入系统。全面提高了计算机系统整体的防护水平。动态实施的防病毒技术克服了传统DOS版防病毒技术的缺点，由于DOS本身是一种“任务独占式”的操作系统，在其上实现动态、实时防病毒技术相当困难。而Windows95/NT的准/纯32为多任务、多线程特性，恰好是解决实时防病毒技术的难点关键所在。实时防病毒软件作为一个任务，对进出计算系统的数据进行监控，保证系统不受病毒侵害。同时，用户的其他应用程序可作为其他任务在系统重并行运行，与实时防病毒任务毫无冲突。KILL与其他同类产品的比较的相对优势KILL与其他的产品的比较上，首先在预防病毒的思想上。其他的产品其着眼点在于“杀病毒”，而KILL除了具有强大的杀病毒功能外，特不重视“防病毒”。因为，KILL认为，真正的安全性应建立在“防”上。以往的经验告诉我们，当我们发觉有病毒侵入时，往往差不多太晚了，病毒尽管被杀掉了，然而，文件、信息、系统也受到重大的破坏，有的甚至于不能恢复。而KILL对每一个可能被病毒侵入的环节严密把关，再加上实时的更新功能，最大限度的爱护了网络的安全。特不要指出的是，KILL所采纳的主动内核技术（ActiveK），与其他的防病毒软件不同的是，他突破了传统的防病毒技术的被动杀毒的模式，基于操作系统一层，“主动”从操作系统的内核与操作系统、网络应用环境无缝连接，确保用户的网络系统处于主动内核爱护之下，防备任何病毒的入侵。KILL的第二个优点是系统资源占用率低。在《PCCOMPUTING》杂志反病毒测试中，开启KILL实时监视器，系统资源占用率只增加了1.8%，是参加测试的所有中文平台反病毒软件中对系统资源阻碍最小的产品。KILL的第三个优点是集成度高，易用性好。KILL支持网络集中治理，系统治理员使用KILL提供的强大网络治理功能，实现全网络的防病毒治理工作是特不容易的。在域中的一台机器上就能够来治理整个防病毒域，能够进行监控、查毒、防毒、杀毒等各种工作，统一设置域中计算机的防病毒策略。另外，还能够通过点到点的方法来治理远程的不同网段上的计算机，这大大的减少治理员的工作量，方便了治理。这种网络治理操纵系统差不多全部集成在KILLforNTServer中，用户只要安装KILLforNTServer，就拥有了强大的网络治理操纵系统，不需要再购买任何额外的选件。这对用户来讲是即有用又实惠的。KILL群件系统防病毒产品是KILLforNTServer的选件产品，群件系统的防病毒功能与KILLforNTServer完全集成在一起。安装KILL群件系统选件后，在KILLforNTServer操纵界面中就能够直接治理群件系统的防病毒操作，简单方便，可不能给用户增加任何新的治理与操作。KILL所获得的权威机构认证KILL共获得国际、国内权威机构的评测和认证标志18个，其中包括中国公安部检验中心的认证及销售许可，微软公司、Novell公司、Compaq公司等软件、硬件兼容性认证以及国际计算机安全协会（ICSA）、