医院信息化安全建设项目技术体系建设方案

医院信息化安全建设项目技术体系建设方案外网安全建设抗DDos攻击：ADS抗DDos系统在外网互联出口边界，串联部署抗DDos系统，对DDoS攻击进行检测、分析和阻断。解决方案NSFOCUSADS（绿盟抗拒绝服务攻击产品）——作为绿盟流量清洗产品系列中的关键组成，NSFOCUSADS提供了单台最大240Gbps的DDoS线速防护能力。通过部署NSFOCUSADS设备，可以对网络中的DDoS攻击流量进行清洗，同时保证正常流量的访问。NSFOCUSADS采用旁路集群模式可以实现T级防护容量，提高整个系统抵御海量DDoS攻击的能力。NSFOCUSADS展开流量的牵引和清洗。还可以通过BGPFlowspec技术与路由器进行联动，提高防护效率，优化清洗方案资源调配。另外，产品支持硬件部署与软件部署两种形态，满足不同场景和方案的建设需求。当发生海量DDoS攻击时，绿盟抗拒绝服务产品还可以通过集群部署的方式并联在网络中，当某台ADS设备接收到攻击告警后，会启动流量牵引机制，将可疑流量均衡分配到若干台ADS上进行流量过滤。网络位置较高处（如骨干网、城域网、IDC出口）的绿盟高性能清洗中心还可以和网络位置较低处部署的绿盟清洗中心、串联ADS设备或绿盟WAF产品进行智能联动，从而在下层位置的DDoS攻击流量超过链路带宽而堵塞链路时，协助其自动化的进行大流量清洗。针对中小企业客户业务带宽较小，无法承载大流量攻击的痛点，绿盟科技还提供本地防护+云端清洗的解决方案。客户通过在本地部署的ADS设备进行小流量攻击的清洗以及精细化防护，当攻击流量超过带宽负荷时，一键通告云端清洗中心展开防护，从高处拦截大流量攻击，保障本地带宽的可利用性。产品价值满足等级保护的网络安全规范中：应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等技术要求中国区抗DDos产品方案供应商销售份额中排名第一。重要客户包括联通、电信和移动，各大广播电视台以及主管机构，国有四大行、城商行、国有银行、股份银行、证券、保险和互联网金融等行业。边界访问控制：下一代防火墙NF在外网互联出口边界，双机串联部署下一代防火墙，建立起以应用为核心的网络安全策略和以内网资产风险识别、云端安全管理为显著特征的全方位的安全防护体系。下一代防火墙能精确分类与辨识出包括低风险、高风险在内的1200+种应用，根据应用不同风险等级分别进行不同级别的安全扫描，从而及时准确的识别和拦截各种威胁攻击，保障用户网络应用的安全性。解决方案云、管、端三大NF功能特点可以分别提供预警、防护、分析三种能力，逐级减小网络出现安全风险的概率，并建立事前-事中-事后这样一条完整、循环的防护链条，为客户提供全方位的安全防护。依靠内网资产识别功能，NF可以事先发现并预警内网潜在的安全隐患，从源头降低安全事件发生的概率，完成安全事件的事先预警。根据预警，NF强大的防火墙和应用防护功能，能够对实时流量进行有效的过滤和控制，最大限度防止安全事件发生，实现事中防护。而在实时流量处理完毕后，管理人员仍然可以依赖于云端提供的专业日志分析功能对历史事件进行分析总结，为后续的安全优化提供支持，这便完成了事后分析。云端接入下一代防火墙支持一键接入云端功能，用户可以7*24小时在线监控安全服务，除基础的设备状态及资源使用情况监控，保障设备健康运行以外，对用户网络中发生的入侵嗅探、漏洞攻击、恶意软件侵入、远程越权操作窃取机密信息等攻击行为第一时间进行云端捕获并记录。同时，用户亦可通过云登录云端，对防火墙设备状态、网络实时及历史安全事件、事件趋势及详细日志、报表、甚至全国其他地区的安全形势进行查询和跟踪。远程运维安全解决方案堡垒机一般部署在单位网络内部，而单位内部网与互联网隔离，远程用户无法直接登陆部署在单位内部网的堡垒机设备进行管理。如果将堡垒机映射到互联网上，虽然方便了远程用户，但是将会受到被攻击或入侵的风险，如果未采用任何加密措施，还会有被监听的风险。通过该功能，远程用户使用堡垒机帐号，登录由下一代防火墙提供的VPN，认证成功后，可直接登录堡垒机。智能补丁解决方案下一代防火墙与漏洞扫描系统共享漏洞和安全防护信息，互通有无，实现对无防护的高风险漏洞和漏洞防护情况的展示，使用户对网络安全状况一目了然，从而为用户制定更高效网络维护计划，提供参考依据。终端安全检查解决方案通过与防病毒管控中心软件的配合，全面提升内部资产的安全性，以及远程接入终端的安全性，从而降低病毒带来的危害。产品价值满足等级保护的网络安全技术规范：应在网络边界部署访问控制设备，启用访问控制功能；应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；应限制网络最大流量数及网络连接数；重要网段应采取技术手段防止地址欺骗；网络入侵防范：网络入侵防御系统NIPS在外网互联出口边界，双机串联部署网络入侵防御系统，针对日趋复杂的应用安全威胁和混合型网络攻击，准确监测网络异常流量，自动应对各层面安全隐患，第一时间将安全威胁阻隔在单位网络外部，弥补了防火墙、入侵检测等产品的不足，提供动态的、深度的、主动的安全防御，从智能识别、环境感知、行为分析三方面加强了对应用协议、异常行为、恶意文件的检测和防护，提供了一个看得见、检得出、防得住的全新入侵防护解决方案。解决方案入侵防护实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量，保护单位信息系统和网络架构免受侵害，防止操作系统和应用程序损坏或宕机。数据泄露防护数据泄露防护能够基于敏感数据的外泄、文件识别、服务器非法外联等异常行为检测，实现内网的数据外泄防护功能。高级威胁防护高级威胁防护通过NIPS与沙箱产品联动，实现0day漏洞利用和恶意软件的检测与防御。僵尸网络发现基于实时的信誉机制，结合单位级和全球信誉库，可有效检测恶意URI、僵尸网络，保护用户在访问被植入木马等恶意代码的网站地址时不受侵害，第一时间有效拦截Web威胁，并且能及时发现网络中可能出现的僵尸网络主机和C&C连接。防病毒采用流扫描技术+启发式检测技术，检测性能高，检测率高；针对对全球热点病毒，进行快速检测，并能够实时阻断。流量控制阻断一切非授权用户流量，管理合法网络资源的利用，有效保证关键应用全天候畅通无阻，通过保护关键应用带宽来不断提升单位IT产出率和收益率。应用管理全面监测和管理IM即时通讯、P2P下载、网络游戏、在线视频，以及在线炒股等网络行为，协助单位辨识和限制非授权网络流量，更好地执行单位的安全策略。产品价值满足主机安全、应用安全中入侵防范（G2）要求：应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。亚太区唯一一家连续5年入选Gartner魔力象限亚太区唯一一家进入Gartner“挑战者”象限中国地区入侵防御市场排名第一上网行为管理：SAS在外网核心交换区旁路部署上网行为管理系统，实现对互联网访问行为的全面管理，防止带宽资源滥用，防止无关网络行为影响工作效率，记录上网轨迹满足法规要求，实现管控外发信息，降低泄密风险，掌握组织动态、优化员工管理，为网络管理与优化提供决策依据。解决方案内容审计提供深入的内容审计功能，可对网页页面内容、邮件、数据库操作、论坛、即时通讯等提供完整的内容检测、信息还原功能；并内置敏感关键字库，进行细粒度的审计追踪，同时，用户可以自定义补充或者更新关键字库。行为审计提供全面的网络行为审计功能，根据设定的行为审计策略，对网站访问、邮件收发、数据库访问、远程终端访问、文件上传下载、即时通讯、论坛、移动应用、在线视频、P2P下载、网络游戏等网络应用行为进行监测，对符合行为策略的事件实时告警并记录。流量审计提供基于协议识别的流量分析功能，如：可识别使用80端口的P2P协议，避免基于80端口的HTTP协议流量统计错误，更精确可靠；实时统计出当前网络中的各种报文流量，进行综合流量分析，提供详细的流量报表；可以通过编辑自定义统计指定协议流量的IPTOPN，为流量管理策略的制定提供可靠支持。APT攻击防护：威胁分析系统TAC在外网核心交换区旁路部署威胁分析系统，有效检测通过网页、电子邮件或其他的在线文件共享方式进入网络的已知和未知的恶意软件，发现利用0day漏洞的APT攻击行为，保护客户网络免遭0day等攻击造成的各种风险，如敏感信息泄露、基础设施破坏等。解决方案多种应用层及文件层解码从高级可持续威胁的攻击路径上分析，绝大多数的攻击来自与Web冲浪，钓鱼邮件以及文件共享，基于此监测系统提供以上相关的应用协议的解码还原能力，具体包括：HTTP、SMTP、POP3、IMAP、FTP。为了更精确的检测威胁，监控系统考虑到高级可持续威胁的攻击特点，对关键文件类型进行完整的文件还原解析，系统支持了以下的文件解码：Office类：Word、Excel、PowerPoint…Adobe类：.swf、.pdf…不同的压缩格式：.zip、.rar、.gz、.tar、.7z，.bz…图片类：jpg、jpeg、bmp….独特的信誉设计威胁分析系统利用广阔的全球信誉，让检测更加高效、精准，当文件被还原出来后，首先进入信誉检测引擎，利用全球信誉库的信息进行一次检测，如果文件命中则提升在非动态环境下的检测优先级但不放到动态检测引擎中进行检测，如有需求可手动加载至动态检测引擎用以生成详细的报告。目前的信誉值主要有文件的MD5、CRC32值，该文件的下载URL地址、IP等信息；集成多种已知威胁检测技术：AV、基于漏洞的静态检测系统为更全面的检测已知、未知恶意软件，同时内置AV检测模块及基于漏洞的静态检测模块。AV模块采用启发式文件扫描技术，可对HTTP、SMTP、POP3、FTP等多种协议类型的百万种病毒进行查杀，包括木马、蠕虫、宏病毒、脚本病毒等，同时可对多线程并发、深层次压缩文件等进行有效控制和查杀。静态漏洞检测模块，不同与基于攻击特征的检测技术，它关注与攻击威胁中造成溢出等漏洞利用的特征，虽然需要基于已知的漏洞信息，但是检测精度高，并且针对利用同一漏洞的不同恶意软件，可以使用一个检测规则做到完整的覆盖，也就是说不但可以针对已知漏洞和恶意软件，对部分的未知恶意软件也有较好的检测效果。智能ShellCode检测恶意攻击软件中具体的攻击功能实现是一段攻击者精心构造的可执行代码，即ShellCode。一般是开启Shell、下载并执行攻击程序、添加系统账户等。由于通常攻击程序中一定会包含ShellCode，所以可以检测是否存在ShellCode作为监测恶意软件的依据。这种检测技术不依赖与特定的攻击样本或者漏洞利用方式，可以有效的检测已知、未知威胁。系统在传统ShellCode检测基础上，增加了文件解码功能，通过对不同文件格式的解码，还原出攻击功能字段，从而在新的情势下，依然可以检测出已知、未知威胁。在系统中，此方式作为沙箱检测的有益补充，使系统具备更强的检测能力，提升攻击检测率。动态沙箱检测（虚拟执行检测）动态沙箱检测，也称虚拟执行检测，它通过虚拟机技术建立多个不同的应用环境，观察程序在其中的行为，来判断是否存在攻击。这种方式可以检测已知和未知威胁，并且因为分析的是真实应用环境下的真实行为，因此可以做到极低的误报率，而较高的检测率。检测系统具备指令级的代码分析能力，可以跟踪分析指令特征以及行为特征。指令特征包括了堆、栈中的代码执行情况等，通过指令运行中的内存空间的异常变化，可以发现各种溢出攻击等漏洞利用行为，发现0day漏洞。系统同时跟踪以下的行为特征，包括：进程的创建中止，进程注入；服务、驱动注册表访问、改写文件访问、改写、下载程序端口监听网络访问行为……系统根据以上行为特征，综合分析找到属于攻击威胁的行为特征，进而发现0day木马等恶意软件。 系统发现恶意软件后，会持续观察其进一步的行为，包括网络、文件、进程、注册表等等，作为报警内容的一部分输出给安全管理员，方便追查和审计。而其中恶意软件连接C&C服务器（命令与控制服务器）的网络特征也可以进一步被用来发现、跟踪botnet网络。完备的虚拟环境目前典型的APT攻击多是通过钓鱼邮件、诱惑性网站等方式将恶意代码传递到内网的终端上，威胁分析系统支持http、pop3、smtp、imap、smb等典型的互联网传输协议。受设备内置虚拟环境有限影响，会存在部分文件无法运行，威胁分析系统内置静态检测引擎，通过模拟CPU指令集的方式来形成轻量级的虚拟环境，以应对以上问题。很多APT安全事件都是从防御较薄弱的终端用户处入手，威胁分析系统支持WINXP、WIN7、安卓等多个终端虚拟操作系统；Web应用防护：web应用防火墙在对DMZ区域边界，串联部署web应用防火墙，采用黑、白名单机制相结合的完整防护体系，通过精细的配置将多种Web安全检测方法，并整合成熟的DDoS攻击抵御机制，能够在IPV4、IPV6及二者混合环境中抵御OWASPTop10等各类Web安全威胁和拒绝服务攻击。解决方案细致高效的规则体系规则是WAF识别和阻止已知攻击的基础检测方法，绿盟WAF规则库基于多年网络安全研究积累，已高度细化，基于规则的防护功能包括：Web服务器漏洞防护Web插件漏洞防护爬虫防护跨站脚本防护SQL注入防护LDAP注入防护SSI指令防护XPATH注入防护命令行注入防护路径穿越防护远程文件包含防护在细化多种规则的同时，绿盟WAF也引入了众多机制保证规则的精准、有效。前导字符网络中合法流量占主体，引入前导码机制，通过前导码的简单字符串的匹配，对流量进行预筛选，提高检测效率。不同检测位置支持灵活的检测对象定义，包括任意的HTTP头部字段，HTTPBODY字段，支持各种检测运算。多种检测条件的逻辑组合支持多个检测条件的逻辑组合，以支持复杂规则的定义。自定义规则提供贴近于自然语言、支持复杂场景描述的自定义规则，能作用于具体的URL上，大大提高了规则的有效性和精准度。独立的规则升级通过编译式运行的规则库，绿盟WAF还分离了规则升级和系统升级。智能自学习白名单黑名单规则即内置及自定义的规则是web应用防火墙在防护Web安全时的强大知识依托，然而，黑名单体系固有的”事后更新”特点使其仅仅能解决已知问题，在应对0day漏洞防护时显得略为滞后，且由于未参考客户环境的业务逻辑，在防护效果上也无法做到精准。web应用防火墙引入的自学习+白名单机制，弥补了黑名单防护体系的固有缺点，有效增强了0day漏洞的防护能力和精准防护能力。WEB应用防火墙基于统计学方法的自学习技术，分析用户行为和指定URL的HTTP请求参数，能将站点的业务逻辑完整的呈现出来，协助管理员构建正常的业务流量模型，形成白名单规则。在防护顺序上，web应用防火墙先利用黑名单规则解决已知安全风险，在用自学习、白名单作为黑名单规则的补充解决业务逻辑层面的安全风险，使web应用防火墙的安全防护体系更完整，进一步贴近了客户业务环境，在应对0day漏洞时也更加快速、精准、有效。而这种防护顺序的设计，避免了依赖白名单机制而带来的设备上线需要长时间的学习业务、且业务模型变动时策略调整频繁等缺点，上线就能即插即用、零配置防护。智能补丁应急响应通过与云安全平台的Web漏洞扫描服务或者WEB应用漏洞扫描系统联合防护，web应用防火墙能获取被防护站点的漏洞扫描报告，并根据自身已有的规则自动生成一套新的规则即智能补丁，应用于被保护站点。当被防护站点打上了智能补丁之后，之前被扫描出的Web应用漏洞将无法重现。智能补丁，借助了云安全平台中Web漏洞扫描服务和WEB应用漏洞扫描系统对Web漏洞的感知能力，又很好利用了web应用防火墙自身的规则体系，在不用更改被防护站点配置、不为其设备提供额外负担的情况下，有效减少了一些站点因无法频繁打补丁、业务频繁升级而引入漏洞带来的安全风险，还能及协助客户满足安全合规要求。安全管家客户可在AppStore中下载安全管家APP，通过WEB应用防火墙与云的联动，可以把APP与WEB应用防火墙进行绑定，时刻获取设备的运行的状态，包括设备的cpu、内存、规则库版本等信息，一旦设备出现问题，可通过APP上一键联系安全人员对设备进行维护。运营实时化，大大降低了运维难度。IP信誉WEB应用防火墙与威胁情报中心对接后，获取不同攻击类型的高危信誉IP，在WEB应用防火墙上自动生成防护策略。通过启用IP信誉功能，可有效防止撞库、羊毛党（刷单、刷积分）的问题，同时有效减少疑似攻击行为的告警噪音，达到提升告警精度的效果。产品价值满足应用安全中访问控制（S2）的要求：应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限；满足应用安全中通信完整性（S2）的要求：应采用校验码技术保证通信过程中数据的完整性。绿盟科技持续七年引领WAF国内市场，连续两年国内唯一一家进入亚太前三2014~2017，绿盟WAF连续四年入选Gartner魔力象限(2014、2015，中国厂商仅绿盟和安恒入选；2016，仅绿盟入选，2017年仅启明和绿盟入选)内外网隔离建设在内网和外网核心交换机之间，双机部署网闸系统，实现内外网的安全隔离，实现对网络层/OS层已知和未知攻击的全面防护能力，保护可信网络免遭黑客攻击。网闸系统具有网络隔离功能，通过基于ASIC设计的硬件芯片开关实现可信、不可信网络间的物理链路断开，保护可信网络免遭黑客攻击。解决方案IDS入侵检测功能网闸系统在设备两端内置了IDS入侵检测引擎，该引擎可有效保护系统自身及受保护网络免受攻击者的频繁攻击。该系统将自动分析对受保护内网的访问请求，并与网闸系统实现内部联动对可疑数据包采取拒绝连接的方式防御攻击。SAT（安全服务器地址映射）网闸系统具备完善的SAT功能，可信端服务器可通过SAT功能将自身的特定服务虚拟映射到不可信端接口上，通过隔离系统的不可信端虚拟端口对外提供服务，访问者仅能访问虚拟端口而无法直接连接服务器，从而对外屏蔽服务器，防止服务器遭到攻击。身份认证除了提供基本的用户名/口令身份认证功能以外，还可与外部认证系统集成支持扩展的PKI数字证书、SecureID等多种强身份认证功能。支持SSO（SingleSign-on）单点登录，支持Radius、LDAP、AD（ActiveDirectory）等CAS认证模式。安全上网、邮件收发高级认证支持采用专用ViIE、ViMail认证客户端实现高安全性的上网、邮件应用安全认证控制功能，防止客户端涉密信息未经授权外发。没有经过客户端认证的用户即使用IE、OUTLOOK、FOXMAIL等软件也无法上网和收发邮件。安全代理服务允许可信端用户以应用代理方式访问不可信网络，支持Socks代理，支持流媒体、视频应用代理，可作为应用代理网关对内网访问请求进行检测，相对于传统的基于网络层的NAT方式来说，由于代理服务在应用层对访问请求进行检测具有更细的粒度和检查元素，因此，对访问具有更高的安全控制能力。AI安全过滤应用智能能够使您根据来源、目的地、用户特权和时间来控制对特定的HTTP、SMTP或FTP等资源的访问。通过协议分析技术提供应用级的安全过滤以保护数据和应用服务器免受恶意Java和ActiveXapplet的攻击。支持关键字、网址、恶意代码、文件类型、黑白名单等过滤功能；在AI功能中新增了安全功能，包括：确认通信是否遵循相关的协议标准；进行异常协议检测；限制应用程序携带恶意数据的能力；对应用层操作进行控制，这些新功能对单位级网络环境中应用层的安全控制起到了很重要的强化作用。防病毒网闸系统的防病毒引擎，可实现对内外网摆渡数据的病毒查杀，其防水墙模块可有效阻止内网信息的外泄及木马、蠕虫等恶意程序通过HTTP、SMTP等方式向外泄漏信息。实现对病毒的高效查杀，支持包括HTTP、SMTP、POP3协议的网关级病毒过滤。内容及格式检测具备内容过滤及文件格式检查功能，支持黑白名单过滤，对管理员指定格式的文件或指定内容关键字的邮件、网页、FTP文件等具有安全过滤功能，支持深层文件格式和编码检测，能够阻止敏感的信息外泄或恶意程序的入侵。VPN通讯安全对受保护WEB服务器提供内置的SSLVPN加密通讯机制，建立客户端与虚拟服务端口间的SSL加密VPN链路，实现通讯安全。该加密方式无需修改客户端设置，透明实现客户端与服务器端的加密通讯。WEB站点保护全面分析来自WEB服务的漏洞，建立了WEB站点保护系统WebAppliaction™，全面抵御黑客对用户对外WEB、MAIL以及FTP系统服务系统发动的攻击。包括：Cookie安全签名、URL字段细粒度过滤、输入参数检测、操作系统屏蔽、Webservice函数、CGI调用函数、特别针对WEB的IDS检测、文件目录及文件访问控制等功能。内网安全建设边界防御：下一代防火墙NF在内网专线出口边界以及数据中心区域边界，双机串联部署高性能下一代防火墙，建立起以应用为核心的网络安全策略和以内网资产风险识别、云端安全管理为显著特征的全方位的安全防护体系。下一代防火墙能精确分类与辨识出包括低风险、高风险在内的1200+种应用，根据应用不同风险等级分别进行不同级别的安全扫描，从而及时准确的识别和拦截各种威胁攻击，保障用户网络应用的安全性。（产品功能介绍请参照3.1.1边界防护中下一代防火墙的相关描述）入侵防御在内网专线出口边界，双机串联部署网络入侵防御系统，针对日趋复杂的应用安全威胁和混合型网络攻击，准确监测网络异常流量，自动应对各层面安全隐患，第一时间将安全威胁阻隔在单位网络外部，弥补了防火墙、入侵检测等产品的不足，提供动态的、深度的、主动的安全防御，从智能识别、环境感知、行为分析三方面加强了对应用协议、异常行为、恶意文件的检测和防护，提供了一个看得见、检得出、防得住的全新入侵防护解决方案。（产品功能介绍请参照3.1.2入侵防御中网络入侵防护系统的相关描述）防病毒网关在内网专线出口边界，双机部署网络防病毒网关，有效抵御各类病毒和恶意软件对用户网络和业务系统的破坏。产品功能•支持对HTTP，FTP，SMTP，POP3四大协议防毒，对通过的数据进行在线病毒查杀，查杀邮件正文附件、网页及下载文件中包含的病毒•病毒库自动更新，liveupdate•采用新一代的流模式扫描技术，提供多种模式的扫描方式（快速，全面等不同级别）•基于状态检测的动态包过滤•实现基于源/目的IP地址、源/目的MAC地址、源/目的端口、协议、时间等数据包快速过滤•支持不同功能区段的划分，区段间和区段内部策略的定义•支持对多种文件格式扫描•支持与云联动•支持URL过滤蠕虫过滤蠕虫可以利用电子邮件、文件传输等方式进行扩散，更主要的特点是利用系统的漏洞发起动态攻击。近几年蠕虫造成的危害越来越大，可以导致系统严重损坏和网络瘫痪。如尼姆达（Nimda）、飞客（Conficker）、蠕虫王（Slammer）、冲击波（Blaster）、震荡波等。根据蠕虫的特点，金山VGM新一代防毒墙从OSI的多个层次进行处理。在网络层和传输层过滤蠕虫利用漏洞的动态攻击数据，在应用层过滤利用正常协议（SMTP、HTTP、POP3、FTP、IMAP、SMB等）传输的静态蠕虫代码。金山VGM新一代防毒墙可实现对恶意代码威胁的动态防御攻击，能够全方位抵御已知蠕虫病毒的攻击。这一技术标志着，金山VGM新一代防毒墙不仅可以过滤静态蠕虫代码，而且能够阻断蠕虫的动态攻击（包括所引发的病毒传播、后门漏洞、系统利用攻击等）。这样，可全面实现威胁动态防御。病毒过滤这里的病毒过滤是指静态型病毒（例如CIH）、邮件病毒（例如求职信、美丽杀手、爱虫、Mydoom）、特洛伊木马、网页恶意代码的过滤等。对于网页浏览（HTTP协议）、文件传输（FTP协议）、邮件传输（SMTP、POP3协议）等病毒，基于专门的病毒引擎进行查杀。对邮件病毒，可以定义对病毒的处理方式，决定清除病毒、删除附件、丢弃等操作，发现病毒时通知管理员、收件人、发件人等操作。金山VGM新一代防毒墙具有卓越的病毒查杀能力，能够对多种应用协议（HTTP、FTP、SMTP、POP3、IMAP、SMB）所传递的数据进行病毒过滤。金山VGM新一代防毒墙采用多引擎技术，可检测出目前“流行病毒名单”上的病毒。木马行为监测一个完整的木马程序包含控制端和被控端。控制者通过操作被控端窃取大量机密或个人隐私信息。金山VGM新一代防毒墙采用多重特征匹配、模式匹配和规则算法，对网络数据流实时解析，检测出的木马信息包括主机源IP地址、MAC地址、源端口、目的IP地址、目的端口、木马类型、危害等级等信息。口令嗅探攻击监测近几年帐号及口令外泄事件时有发生，越来越多的攻击手段也更加明确恶意攻击者的最终目的是要获得核心系统的最高权限，进而更加的肆意妄为。因此，对于企事业单位信息系统的账户及口令态势现状，俨然需要提升到一个新的高度，实现对各项信息系统帐户口令的恶意探测及暴力破解等非法行为的实时阻断与监控。金山VGM新一代防毒墙通过对信息系统所依赖的网络服务进行协议识别，并深入分析协议层数据包内帐户信息传输状态，进而做到对帐户及口令的有效防御措施，最终实现对信息系统帐户安全的态势分析与全面掌控。僵尸网络检测僵尸网络构成了一个攻击平台，控制者利用这个平台可以发起各种各样的恶意攻击，可以导致整个基础信息网络或者重要应用系统瘫痪，也可以导致大量机密或个人隐私泄漏，还可以用来从事网络欺诈等其他违法犯罪活动。金山VGM新一代防毒墙采用特征匹配、模式匹配和规则算法，对网络数据流实时解析，检测出僵尸网络发动拒绝服务攻击、发送大量垃圾邮件、窃取计算机上的有用信息、滥用网络资源等恶意的黑客行为，详细信息包括主机源IP地址、MAC地址、源端口、目的IP地址、目的端口、僵尸类型、危害等级、僵尸服务器域名等信息，通过检测信息可以找出内部网络中被种植了“僵尸程序”的“僵尸计算机”以及僵尸的行为。安全管理方式对金山VGM新一代防毒墙的管理支持https加密通讯的Web管理方式，界面直观、操作简便、易于理解。此外还支持console方式的本地管理，以及ssh加密方式的远程维护管理。为避免对金山VGM新一代防毒墙设备的管理权限滥用，增加安全性，可设定允许访问金山VGM新一代防毒墙设备的IP地址范围。管理员根据权限进行划分，管理用户按性质可划分为：系统维护员（超级用户）、配置管理员、策略审计员、日志审计员等。特征库自动升级金山VGM新一代防毒墙通过不断更新过滤特征码来保持与攻击数据特征的同步。根据更新策略，用户可通过HTTP方式从公网服务器自动更新特征码。APT攻击防护在内网核心交换区旁路部署威胁分析系统，有效检测通过网页、电子邮件或其他的在线文件共享方式进入网络的已知和未知的恶意软件，发现利用0day漏洞的APT攻击行为，保护客户网络免遭0day等攻击造成的各种风险，如敏感信息泄露、基础设施破坏等。（产品功能介绍请参照3.1.4APT攻击防护中威胁分析系统的相关描述）运维管理建设运维安全审计：堡垒机在运维管理区，部署运维审计系统（堡垒机），通过逻辑上将人与目标设备分离，建立“人->主账号（堡垒机用户账号）->授权->从账号（目标设备账号）->目标设备”的管理模式；在此模式下，通过基于唯一身份标识的集中账号与访问控制策略，与各服务器、网络设备、安全设备、数据库服务器等无缝连接，实现集中精细化运维操作管控与审计。产品功能集中账号管理建立基于唯一身份标识的全局实名制管理，支持统一账号管理策略，实现与各服务器、网络设备、安全设备、数据库服务器等无缝连接。集中访问控制通过集中访问控制和细粒度的命令级授权策略，基于最小权限原则，实现集中有序的运维操作管理，让正确的人做正确的事。集中安全审计基于唯一身份标识，通过对用户从登录到退出的全程操作行为进行审计，监控用户对目标设备的所有敏感操作，聚焦关键事件，实现对安全事件的实时发现与预警。流量审计：网络安全审计-SAS在运维管理区，部署网络安全审计系统，通过对网络数据的采集、分析、识别，实时动态监测通信内容、网络行为和网络流量，发现和捕获各种敏感信息、违规行为，实时报警响应，全面记录网络系统中的各种会话和事件，实现对网络信息的智能关联分析、评估及安全事件的准确定位，为整体网络安全策略的制定提供权威可靠的支持。产品价值满足主机安全、应用安全中安全审计（G2）要求：审计范围应覆盖到服务器上的每个操作系统用户和数据库用户；审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；应保护审计记录，避免受到未预期的删除、修改或覆盖等。满足网络安全、主机安全、应用安全中访问控制（G2）要求：应启用访问控制功能，依据安全策略控制用户对资源的访问；应实现操作系统和数据库系统特权用户的权限分离；应限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令；应及时删除多余的、过期的账户，避免共享账户的存在；满足主机安全、应用安全中身份鉴别（G2）要求：应对登录操作系统和数据库系统的用户进行身份标识和鉴别；操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性；产品功能智能化协议识别与分析网络安全审计系统采用业界领先的智能协议识别和关联技术，智能识别采用标准及非标准端口的网络协议，例如使用80端口的P2P协议，提供全面深入的协议分析、解码回放，能够分析超过100种应用层协议，包括HTTP、TELNET、FTP、SMTP、POP3、WEBMAIL、P2P、IM等，极大地提高内容分析的准确性，帮助管理员全面掌握网络安全状态。智能身份关联与认证用户审计网络安全审计系统基于智能身份关联与认证用户审计功能，实现对网络事件责任人的精准定位。网络安全审计系统从网络数据流中收集IP地址、用户帐号、账号类型等身份信息，创建用户身份信息库，信息库中记录了审计到的IP地址、用户账号、账号类型与审计时间等信息。利用该信息库中的用户身份信息，SAS自动关联所有网络访问事件，特别是数据流中并不包含用户身份信息的网络访问事件，从而实现对网络事件的用户身份关联与自动识别功能。网络安全审计系统在进行智能身份关联的同时，进一步通过与AD域控认证系统联动，实时、动态地同步IP地址与终端认证用户的身份信息，进而识别发起网络访问的具体的终端认证用户。智能身份关联对用户身份进行模糊的识别与审计功能，但无需依赖任何用户认证系统。认证用户审计则对用户身份进行精准的识别与审计功能，但要求用户环境中部署AD域控认证系统，并与之联动。智能身份关联与认证用户审计功能互补，最终实现对网络事件完整而精准的审计，记录网络事件的用户身份、IP地址、访问时间、访问目标、具体访问内容等信息。网络安全审计系统对用户身份信息的识别和支持功能，不仅体现在最终的审计日志上，而是全程的用户审计。事前，支持基于用户帐号信息定义审计策略；事中，智能化识别每一次网络访问的用户帐号信息；事后，记录包含用户帐号信息在内的全面的日志信息。为安全事件的准确、快速追踪和定位提供了有力支持。如下图所示：智能URL分类与WEB信誉管理网络安全审计系统内置超过1000万条的庞大中英文URL数据库，超过40种的精细分类，如不良言论、色情暴力、挂马网站等。基于内置URL分类库，网络安全审计系统能够精确分类用户所访问的网页类型。在此基础之上，网络安全审计系统拥有超过1万条的关键字库，支持针对URL地址、网页标题等信息进行智能分类。内置URL分类库与关键字库的配合使用，大大提高了网络安全审计系统在网页分类特性方面的识别率和准确率。在系统采用云安全中心提供的Web信誉库，云安全中心通过对互联网资源（域名、IP地址、URL等）进行威胁分析和信誉评级，将含有恶意代码的网站列入Web信誉库，实现对用户访问非法、不良和高风险网站行为的审计和告警功能。无线热点发现与移动应用审计网络安全审计系统高度关注用户在合规、信息安全建设方面所面临的新问题，针对当下被广泛使用的无线热点、移动上网，网络安全审计系统提供了相应的功能特性，协助用户更好地解决当前形势下面临的新难题，有效降低安全风险。网络安全审计系统能够实时、自动发现办公网络内的无线热点，记录无线热点访问网络时所使用的IP地址、认证用户等信息；能够识别移动热点所访问的移动应用，例如IM类、社交类、网购类、影音类、资讯类等应用，记录IP地址、应用名称、访问时间等信息；能够对主流的移动应用进行内容层面的详细审计，主要是对微博、网页言论、网页访问详细记录IP地址、URL地址、访问时间、访问或发布的具体内容等信息。业界首创“网站内容安全”主动审计网络安全审计系统“主动审计”能够帮助用户及时准确发现网站、论坛、博客中的非法敏感信息和网页挂马隐患；系统部署简单方便，接入网络就可以扫描检测。主动审计功能包括：不良敏感信息扫描：网络安全审计系统具有高效智能的内容识别引擎，通过基于域名、关键字正则表达式等多种组合主动内容审计策略扫描指定网站，对被检测站点网页页面进行深度内容扫描检测，快速、准确的分析判断网页页面是否含有非法敏感信息，实时告警响应，并支持人工辅助校正扫描结果，从而有效防止不良信息扩散，为追查取证提供有力支持。网站挂马扫描：网络安全审计系统系可通过扫描指定网站，分析检测网页是否被挂马，并实时告警响应，为网站安全提供及时有效支持。漏洞扫描：安全评估系统RSAS在运维管理区，部署漏洞扫描系统，高效、全方位的检测网络中的各类脆弱性风险，提供专业、有效的安全分析和修补建议，并贴合安全管理流程对修补效果进行审计，最大程度减小受攻击面。产品功能全方位系统脆弱性发现全面发现信息系统存在的安全漏洞、安全配置问题、应用系统安全漏洞，检查系统存在的弱口令，收集系统不必要开放的账号、服务、端口，形成整体安全风险报告。从海量数据中快速定位风险提供仪表盘报告和分析方式，在大规模安全检查后，快速定位风险类型、区域、严重程度，根据资产重要性进行排序，可以从仪表盘报告直接定位到具体主机具体漏洞。融入并促进安全管理流程安全管理不只是技术，更重要的是通过流程制度对安全脆弱性风险进行控制，产品结合安全管理制度，支持安全风险预警、检查、分级管理、修复、审计流程，并监督流程的执行。产品价值连续6年市场占有率第一（数据来源：IDC安全性与漏洞管理统计2011-2016）国内唯一入选国际权威分析机构Gartner报告是国内测评机构最主要的漏洞扫描和风险评估工具。基线核查：配置核查系统BVS在运维管理区，部署基线核查系统，通过自动化的进行安全配置检查，从而节省传统的手动单点安全配置检查的时间，并避免传统人工检查方式所带来的失误风险，同时能够出具详细的检测报告。大大提高检查结果的准确性和合规性，节省时间成本，让检查工作变得简单。产品功能结合等级保护的安全配置检查在等级保护检查、测评、整改工作过程中，对定级业务系统进行对应级别的安全风险检查是技术方面的必要工作。基线核查系统产品根据安全服务团队的经验积累，对国家等级保护规范进行了细化整理，把技术要求落实到每一种网络设备的配置检查工作上基线核查系统能够结合等级保护工作过程，对业务系统资产进行等保定级跟踪，根据资产定级自动进行对应级别的安全配置检查，对合规情况进行等保符合性报告，保证系统建设符合等保要求、促使等保监督检查工作高效执行。结合授权认证系统简化配置检查操作安全配置检查工作需要具备被检查目标的账号、密码等授权信息，登录到被检查目标设备中，执行配置查看命令列举配置信息，然后与规范要求进行对比，得到合规及不合规的配置项，自动化的配置检查过程也类似，需要目标系统的账号、密码等授权信息，对数量众多的网络设备的安全配置检查，每一组目标系统的账号、密码由管理员维护和录入，工作量巨大，也容易出错。一些单位部门已经部署了4A认证授权系统或者堡垒机运维审计系统，能够很好的维护业务系统中各主机、设备的登录授权信息，基线核查系统充分考虑配置检查工作的方便性，能够和4A系统或者堡垒机系统对接，自动化获取被检查目标系统的登录授权信息，批量检查业务系统安全配置，使配置检查操作简单易用。自定义安全配置检查项目通常网络环境的情况是，设备类型逐渐增多，各种服务平台被应用，应用软件不断更新升级，这些变化给安全配置检查带来一定的困难。作为Checklist知识库的补充，基线核查系统提供自定义安全配置检查功能，可以由用户根据需要或者行业标准，自行制定对目标系统执行的各种安全配置检查操作，可以形成针对自身单位或行业的自定义安全配置检查模板。自定义安全配置检查的功能让安全管理员能够很好的适应网络情况的变化，对产品暂不支持的安全规范或配置检查点，都可以通过自定义安全配置检查功能轻松实现。威胁态势感知在运维管理区，部署威胁态势感知系统，有效支撑安全监控部门开展网络安全工作，实时掌握网络安全态势，及时掌握重要信息系统相关网络安全威胁风险，及时检测漏洞、病毒木马、网络攻击情况，及时发现网络安全事件线索，及时通报预警重大网络安全威胁，调查、防范和打击网络攻击等恶意行为。产品功能威胁态势感知系统专注于从网络入侵、异常流量、系统漏洞、网站安全、僵木蠕五大部分进行安全态势感知，能够覆盖各种安全运营场景。网络入侵态势感知尤其是对“基于对抗的智能态势感知预警模型”的相关研究，威胁态势感知系统吸收了“杀伤链”（KillChain）和“攻击树”（AttackTree）等相关理论，形成了独有的推理决策引擎，借助大数据安全分析系统的分布式数据库，可以实现网络入侵态势感知。经过实际测试，在网络带宽1Gbps的典型环境中，入侵检测系统每日的日志在20万条左右，经过“入侵威胁感知引擎”分析处理后，形成500个左右的威胁事件，再经过“APT攻击推理引擎”分析处理后，仅仅形成10-20个攻击成功的事件。数据压缩率达到万分之一，大幅节省数据处理的时间成本和人工成本。异常流量态势感知目前，DDoS攻击越来越频繁，尤其针对发达地区和重点业务。在2016年第一季度，全球范围内的DDoS攻击事件频发。从重大攻击事件分析，追逐利益仍然是黑客攻击的主要动机，“黑客主义”事件也在不断挑战重要单位的门户网站。在抗拒绝服务攻击方面，可以对全网流量进行深度流检测，具有网络流量自学习功能，与同类产品相比误报率降低80%以上。网络流量分析系统可以准确发现DDoS攻击事件并掌握攻击源、攻击目的、攻击总流量和峰值流量，协助客户准确掌握网络DDoS攻击态势。僵木蠕态势感知僵尸网络、木马、蠕虫病毒三者合称“僵木蠕”。僵木蠕对互联网和单位内部网络危害非常巨大。僵木蠕消耗大量网络带宽，引起ARP攻击等问题，造成骨干网络瘫痪。同时受到僵木蠕传染的主机受到命令控制服务器的控制，成为DDoS攻击的帮凶。更为严重的是，目前大多数僵木蠕的命令控制服务器位于海外，对国家网络安全造成严重的威胁。针对僵木蠕的传播特点，对网络上传播的僵木蠕进行识别，并追踪溯源僵木蠕的传播路径、控制命令路径，最终追踪溯源发现命令控制服务器。通过发现的命令控制服务器，再反查受控主机，最终实现对僵木蠕网络态势的感知，为后续采取行动打击僵木蠕创造条件系统漏洞态势感知黑客攻击本质上是利用系统存在的安全漏洞对系统进行危害。因此要避免黑客攻击，一个重要的安全防护手段就是在黑客之前发现重要信息系统存在的脆弱性问题，并进行修补，做到防患于未然。依托漏洞扫描系统，可以发现网络信息系统脆弱性，形成脆弱性态势感知。网站安全态势感知网站作为网络信息系统对外提供服务的重要窗口，面临的安全威胁也是最多的。对重要网站信息系统的黑客攻击，不仅会对网站造成严重破坏，还会让黑客能够利用被黑网站对网站浏览者进行攻击，造成更为恶劣的影响。因此，需要对网站的安全态势进行监控，及时发现网站安全问题。网站安全态势感知，可以及时监控到网站漏洞情况，发现网站挂马、网页篡改、域名劫持等黑客攻击行为，对网站平稳度、网站敏感内容等进行持续监控，并有效进行运维管理，从而避免因为网站出现问题导致公众问题。终端安全在运维管理区，部署防病毒管控中心。产品功能领先的云引擎防病毒管控中心为单位提供数倍于传统单位杀毒软件的能力的同时，终端资源占用相对于传统本地库的杀毒软件大为降低。边界联动防御通过对外界程序进入电脑的监控，与云端及动态行为分析系统联动，阻止威胁于入口之外，拦截私有敏感行为，迅速发现未知新威胁,使其在尚未被运行时即可被判定为安全或不安全，上报至信息管理中心，便于追溯恶意程序的来源、感染路径。这样管理员清晰找出单位内部边防的薄弱地带，最大限度地保障对单位内部计算机的安全防护。动态行为分析对通过边界联动防御上报来的未知文件，进行全生命周期内的行为分析。在规模化的虚拟机中分析文件的进程操作行为、文件操作行为、系统配置操作行为、网络通信行为等关键行为，提供系统运行过程中的截图；通过这些行为组合综合判断是否为安全的文件。铠甲防御系统铠甲防御技术中的行为拦截模式，是基于多步行为的综合判定，是拥有广谱特征匹配的启发式行为判定。拥有广谱特征匹配的启发式行为判定就是指一个规则可以对应很多种的行为和一些行为的变种。通过熵，SVM，人脸识别算法等铠甲防御是全新架构的防御体系，拥有超强抽象能力的本地行为启发引擎，拥有很强的自我学习能力，无需频繁升级病毒特征库，就能直接查杀未知新病毒，尤其是在流行病毒的变种分析上，结合火眼行为分析，大幅度提升防御与病毒检出能力。虚拟化支持同无代理保护一样，轻客户端模式在系统中心也集成一个任务调度系统，负责所有高性能消耗的工作调度。安装在虚拟机上的“轻终端”将快速响应调度器的统一指令，使得服务器整体时时刻刻保持很低的负载，从而将其对机器性能的影响降到最低。智能漏洞修复针对病毒利用系统漏洞传播的新趋势，防病毒管控中心率先采用了分布式的漏洞扫描及修复技术。管理员通过管理节点获取终端主动智能上报的漏洞信息，再精确部署漏洞修复程序；其通过代理下载修复程序的方式，极大地降低了网络对外带宽的占用。全网漏洞扫描及修复过程无需人工参与，且能够在终端用户未登录或以受限用户登录情况下进行。并且提供了对终端系统漏洞管理功能，可以精确的了解全网终端的系统漏洞情况。软件管理为便于管理员集中管理全网软件资产，防病毒管控中心提供软件统计、软件禁用管理、软件卸载管理、软件分发管理功能，构建由软资产采集到软件行为监控再到软件行为管理的立体式软资产管理模型。大幅度提高工作效率降低管理成本。系统优化防病毒管控中心提供了系统优化功能，有效的帮助用户对开机启动项目进行管理，找到影响开机速度、影响电脑运行效率的软件，通过系统优化功能提升系统的运行效率，降低不必要的资源消耗。垃圾清理防病毒管控中心系统的垃圾清理新增52项清理垃圾规则和21项痕迹清理规则，提供的垃圾清理功能，能够协助终端用户对上网产生的垃圾文件、看视频和听音乐产生的缓存以及Windows系统产生的垃圾文件进行有效的清除；清除使用计算机时留下的各种痕迹，有效保护个人隐私；清理注册表可以加快系统速度。保证电脑快速健康的运转。数据库审计及统方监管在运维管理区，部署数据库审计系统，通过对医院的海量、无序的数据库访问操作进行整理及分析，按需记录工作人员对数据库的操作行为，提供丰富的检索和关联分析，输出完整的事件报告，供相关人员分析。产品功能全面数据库入侵监控本系统支持全局策略配置，根据【数据库类型】和【业务类型】添加不同的规则组，可引用不同的数据库开启监控策略，以提供业界最为全面的数据库攻击行为监控技术：漏洞攻击检测技术：针对CVE公布的漏洞库，提供漏洞特征检测技术；SQL注入监控技术：提供SQL注入特征库；高危访问监控技术：在指定时间周期内，根据不同的访问来源，如：客户单IP、数据库用户、MAC地址、操作系统、主机名，以及应用关联的用户、ip等元素设置访问策略；高危操作控制技术：针对不同访问来源，提供对数据库表、函数、存储过程等对象的高危操作行为监控，返回行超标监控技术：提供对敏感表的返回行数监控；快速的入库检索本系统具备高效的日志检索能力，实现审计记录的快速查询。当设备旁路进入网络，即可对添加的数据库进行协议解析，并对解析内容快速入库建立索引文件。从而在审计分析时实现高效的查询机制。索引文件和数据表文件如果损坏，系统会启用自动修复机制，以确保系统日志查询时的有效性和准确性。准确的识别定位本系统提供强大的应用行为描述方法，并结合数据库行为建模，将误报率降低为“零”。本系统基于精确应用关联审计功能，通过关联应用层的访问和数据库层的访问操作请求，可以追溯到应用层的原始访问者及请求信息（如：操作发生的URL、客户端的IP等信息），以确定符合数据库操作请求的WEB访问，通过应用关联审计精准的定位事件发生前后所有层面的访问及操作请求。产品提供多种查询条件，并实现正向和逆向查询检索，基于时间、原地址、对象、关键字等十几种审计要素进行信息筛选，节约合规成本为迎合等保法规对安全审计产品日志存储的要求，本系统引用高压缩比数据存储机制。根据设置可自动对审计日志进行备份和压缩存储到系统硬盘。产品支持审计日志导出和外挂存储能力。可有效的确保三个月或半年的百亿级日志存储。系统提出【高压缩】和【高性能】两种日志备份存储方案，以满足不同现场压力下的备份存储机制有效运行。终端准入在运维管理区，部署终端准入系统，广泛地结合用户已有的交换机、杀毒软件、AD域、LDAP服务器等，并完全实践了“入网-在网-出网”的整体化流程。能够达到“违规不入网、入网必合规”的管理规范。产品功能边界控制管理对于国内大部分机构而言，内部网络环境都混合了多厂商的设备，终端准入系统遍历各种交换、路由设备制造商，能够兼容国内各种混合网络环境，在此基础上提供从802.1x、PBR（Policy–Based-Routing）、MVG的各种边界控制强度的实现方案，终端准入系统准入控制系统是真正适合国内网络环境的方案，也是众多用户的第一选择。利用各种网络控制技术，实现在各种网络环境下适应性，终端准入系统能够帮助用户快速实现对于内网边界的规划。可以实现基于接入层边界的控制和基于重要资源边界的控制。人员认证管理终端准入系统能够提供广泛的身份认证功能，以及基于人员角色的权限控制功能，从而在识别、授权、审计等多个角度对内网边界设立好人员管理的第一道防线。本地用户名/密码通过管理者在终端准入系统中内建用户名/密码，具有中小规模网络的机构能够迅速地对所有接入内网安全边界的人员进行识别和授权。由于提供了相当大限度的自定义字段，管理者能够对每个人员的身份特征进行描述，从而便于在后期进行更为详细的入网审计和统计。Email绝大多数机构都内建了E-mail系统，利用POP3协议及其他邮件协议，终端准入系统能够和机构已有的E-mail系统进行身份衔接。用户在入网时能够凭借已有的邮箱/口令进行快速认证，并得到相应的访问授权。RadiusRadius协议是具有广泛应用基础的认证/授权/计费标准，在包括802.1x、交换机安全登录、VPN拨号等诸多环境中都能够提供唯一的、有力的支撑。终端准入系统从大量的802.1x部署环境中获取了与第三方RadiusServer联动的丰富经验，在各种Radius环境下均能够迅速实现用户的识别与认证。LDAPLDAP（LightweightDirectoryAccessProtocol）是相比Radius更为专业的得到关于人或资源的集中及静态数据的快速方式。被广泛运用于利用数字证书进行人员识别的系统中。终端准入系统能够对众多基于LDAP的认证系统进行身份认证联动，在提取出其中的用户信息后进行相关的用户认证、审计和授权管理。AD域AD（ActiveDirectory）是基于Windows系统的强大而有效的安全管理工具。由于在目录中包含了有关各种对象（例如：用户、用户组、计算机、域、组织单位（OU）以及安全策略）的信息，终端准入系统能够从中获取到相比其他认证系统/接口更为详细的管理信息。终端准入系统优秀的AD同步功能能够一次性或按需从AD中自动请求有关用户的所有相关字段，配合已部署的AD域实现安全准入功能。终端准入系统还能够提供AD域环境下的单点登录，为机构提供更多的管理便捷性。短信在管理者登记了所有授权入网用户的移动电话后，终端准入系统能够迅速跟运营商或用户网络中的短信平台进行结合，为入网用户提供更方便的利用动态短信验证码进行认证的入网访问验证方式。结合终端准入系统自建的用户名+密码认证方式，还可以搭建静态+动态密码的双因素认证，从而为机构提供更高层次的安全接入保障。提供自主研发的短信Modem，可以获得与终端准入系统更高的集成性和稳定性。生物指纹随着生物信息技术的发展，利用个人特征进行识别的人员管理模式在众多行业的管理模式中均得到了应用，如虹膜、指纹、语音等。由于这些生物特征具有唯一性和永久性，且无需人员进行预先设置和记忆，因此具有其他记忆和携带类认证方式所不具有的突出优点。终端准入系统在行业内率先推出了与众多品牌个人指纹识别系统进行结合的身份认证模块，能够利用用户的指纹识别系统作为入网人员身份的采集点，并结合内置的角色管理、授权审计模块进行更细致的人员入网访问管理，从而更适合高端用户基于边界的用户认证管理需求。其他第三方认证方式终端准入系统提供了行业内领先的第三方认证接口API，您可以通过网络中已有的各种身份系统与终端准入系统进行无缝对接，终端准入系统能够从各种以其他方式存储账号/口令的第三方系统（如OA服务器等）获取到需要进行授权的人员信息，并结合机构所制定的安全策略进行相应的角色划分和访问授权。设备规范管理机构自身的安全规范是隐居于抽屉、文件夹或墙头真正的安全管理高手，准入控制的意义就在于释放出安全规范中所包含的真正的安全意蕴，遵循ISMS的框架性指导，用技术平台的手段实现安全规范的意义，管理者的思路能够在终端准入系统中真正得到展示。终端准入系统充分利用了PDCA的管理模型，通过准入控制的技术手段加强了“Do”、“Check”和“Act”这3个在内网管理中传统的弱势环节。在终端准入系统数年所历经的大型网络用户中，积累了关于各行业的规范特征，并最终形成了更适合用户行业特点的核心规范库，终端准入系统的核心规范库与设备识别、用户认证、行为监测等共同构成了几十项的内网安全要素集合，这就克服了老旧控制技术单一利用MAC地址、用户认证等极少量安全要素进行管理的短板。通用规范终端准入系统所提供的机构内网安全管理的通用规范包括：设备识别——根据IP、MAC、操作系统、硬盘ID系统指纹等特征完整地给出接入设备的形态，从而帮助管理者区分内部设备与外部设备，授权设备与非授权设备，已注册设备与未知设备等多种管理形态。用户认证——依托于终端准入系统强大完善的认证系统，能够提供给管理者基于用户的角色管理，赋予不同的用户不同的访问权限、所使用设备的安全配置要素及网络行为准则。AV（Anti-Virus，防病毒软件）健康保障——众多的机构都部署了防病毒软件，但在实际使用中往往存在漏装、不更新病毒库或杀毒引擎、或意外卸载的诸多问题，管理者定期的统计数据表明，国内机构内防病毒软件的安装/运行率一般徘徊在60%~70%之间。因此，针对机构内防病毒软件的健康性保障系统是帮助管理者增强防御水平，降低管理成本的有效手段。终端准入系统能够针对主流的十几类杀毒软件进行健康性保障，基于用户所规划的边界，确保在终端设备接入边界时就自动提升杀毒软件的健康程度，从而在终端设备最重要的安全配置上实施强制管理。系统补丁（Patch）健康保障——如果操作系统不及时更新补丁，那么任何漏洞都会变成0day威胁，从而对设备、使用者甚至是机构造成巨大的威胁和损失。终端准入系统依托于Microsoft每月补丁更新，及自身专业补丁检测团队，为用户提供更合适的补丁分级管理机制，确保检测过的补丁具有更高的稳定性和安全针对性。由于终端准入系统自身集成了补丁服务器功能，因此不需要用户额外搭建WSUS等补丁设施，从而有效降低了内网管理的TCO。行业特征规范医疗卫生——类似于金融机构所拥有的消费及账号信息，医疗机构中存储的大量医药、患者信息由于其重要性及涉及到的非法利益链，日益成为网络安全事件的焦点所在，而在众多医疗机构纷纷加固服务器自身安全的同时，内网边界的模糊、内网接入终端的缺乏管理、人员控制成为了自身的另一块短板。终端准入系统在大量医疗机构中搭建了防御于服务器区域之前的坚强壁垒，通过强大的控制系统，终端准入系统能够在内网接入层边界进行布防，利用设备识别/用户认证/hub及NAT管理等手段进行严密的内网接入规范。终端准入系统提供的近30项安全要素规范库，能够充分满足企业机构对接入终端设备多样性的安全配置及安全操作要求。另外在终端准入系统的规范系统中还提供了行业内最全面的来宾管理模块，依据管理严格度从低到高可以分别配置为：禁止访客非授权入网；对试图入网的访客进行有效审计；对部分访客进行审核后允许入网；访客入网后权限受到控制；明确访客访问的内部员工对象，进行一对一监管；访客入网有时效限制，超过规定时间自动出网，如需入网则必须再次向管理员申请等。操作行为管理出于对NAC理念全面理解的终端准入系统，除了在边界位置履行对人员和设备控制的基本NAC职责外，更提供了延续到人员和设备入网后的行为、状态变更、维护等综合管理。能够在用户及设备入网后，提供机构管理策略的延展性，可配置的策略能够搭建用户/设备入网后的全面管理规范，包括：对用户各种操作的监控和响应：ip更改违规软件使用必须安装软件随意卸载网络访问操作安全检查违规计算机设备状态变更的监控和响应设备变更系统环境变更入/出网状态变更开/关机状态变更计算机设备的统一维护管理类别管理设备信息管理软件分发服务管理终端探测违规外联管控（单独授权模块）终端外联行为检测终端外联行为阻断外联行为记录违规外联报警U盘数据加密管控（单独授权模块）U盘强制加密U盘注册审核U盘使用权限控制非法U盘禁用资产管理（单独授权模块）终端硬件资产信息收集终端软件资产信息收集终端硬件资产变动收集终端软件资产变动收集终端资产变动排行任务管控终端软件安装包分发终端批处理脚本分发终端消息通知分发入网后，直至设备出网或下线的管理保证了接入控制的延续性，同时更符合机构对各类规范/制度的连续性要求，确保网络管理与维护者的工作不存在盲点和漏洞，准入控制也真正成为一个能够维系和把控内网各种流程安全的平台性方案。视角报表管理终端准入系统中提供多种查看安全威胁点的方法和方式。系统使用人员可以从自己关注的起始点出发逐级进行查看。所有安全状态均提供了丰富的报表输出。基于网络管理的整体视图架设在用户网络中的终端准入系统能够对网络设备进行自动发现，同时能够利用telnet、snmp、ssh等方式对机构的所有网络设备（switch、router、firewall、vpn等）进行更全面的统一管理，通过优化的算法，为用户快速生成全网的整体视图。利用终端准入系统的整体网络视图，用户能够直观地获得所辖网络的基础设施资产概况、物理分布、连接状况、地址分配、所有物理位置的接入设备状况利用报表系统，终端准入系统能够帮助管理者统计出全网接入设备的数量；利用网络整体视图，管理者则能够进一步明确接入设备的位置和分布状况。基于端口的空间定位在整体视图的基础上，终端准入系统能够勾勒出所有网络设备的面板视图，并展现出各个端口的运行状态，从而从物理位置/空间角度更形象地向用户传递所有即时接入信息。利用递进式的展现页面，管理者更能够获取到从端口到下联设备、设备安全状况直至设备详情的4层安全信息。事件/时间交互定位在大部分的网络安全方案忽视/忽略时间维度的情况下，终端准入系统能够在行业内提供领先的时间维度的安全定位。通过将所有事件（入网、出网、上线、下线、认证、评估、监测等）以时间维度进行串联，管理者能够获取到以时间段为中心轴的事件体系报告，从而能够对时间进行事件定位；终端准入系统还支持通过查询事件得出对应的时间报表，并得出事件的时间分布状况，以及同一类型的事件的归类视图。通过事件/时间的交互定位管理，管理者能够对网络中深层次的运维状况进行具有连续性的统计和管理，将所有的接入网络/组成网络的终端进行归纳，形成一个不断发展，不断治理的内网管理体系。日志审计建设建设方案在运维管理区中旁路部署日志审计系统，针对大量分散设备的异构日志进行集中采集、统一管理、存储、统计分析，满足等保合规要求、高效统一管理资产日志并为安全事件的事后取证提供依据。产品介绍绿盟安全审计系统[日志审计](NSFOCUSSAS[L])包含日志采集、日志管理、资产管理、事件管理、告警管理、报表管理、系统管理以及用户管理等八大核心功能。通过内置的日志采集功能可实时采集不同厂商的安全设备、网络设备、主机、操作系统以及各种应用系统产生的日志信息，然后经过统一的日志管理过程，如日志范式化处理等，将采集来的海量的异构的日志信息进行集中化的解析和存储，结合资产管理模块、事件告警模块的相关规则以及配置，形成事件告警信息，用户可基于这些进行原始日志、范式化日志以及事件、告警等信息的查询，并可通过丰富灵活的日志报表功能进行可视化的查看，实现对日志的全生命周期管理。采用当前最为流行高效的大数据架构，支持高性能的多端口采集、高适应性的日志采集，可基于主流协议实时采集不同厂商的安全设备、网络设备、主机、操作系统以及各种应用系统产生的日志信息。经过高效的统一处理日志，结合基于规则的事件分析以及交互式语义提供非常灵活的事件分析规则以及交互式查询方式，提供内置的丰富报表模版、灵活自定义的报表模版功能、可按需配置的可视化统计图表。此外，绿盟安全审计系统[日志审计](NSFOCUSSAS[L])提供可灵活扩展的存储方案，可满足等保合规等法律法规规定的日志存储需要。全面集中的日志管理支持SYSLOG、SNMPTrap、FTP、SFTP、JDBC、ODBC、Netflow等多种日志采集方式，支持但不限于网络设备，如交换机、路由器、网关等。安全设备，如防火墙、入侵防护、网闸、防毒墙等。安全系统，如身份认证系统、授权管理系统等。应用系统，如邮件系统、OA系统、数据库系统、中间件系统等。业务系统，如ERP系统、CRM系统等。绿盟安全审计系统[日志审计](NSFOCUSSAS[L])可以支持有代理和无代理两种日志采集方式和多种标准协议。通过数据采集、数据理解引擎、数据抽取和数据清洗等操作，将各种应用系统和设备的日志进行预处理，帮助管理员把海量日志进行去噪，提取其中人们事先不知道，但潜在有用的信息和知识，进行事件关联分析。独家数据强化技术根据绿盟科技对攻防研究的长期积累，提供一套简洁有效的日志统一分类，使用独有的技术将日志快速标准化，并基于安全分析需要进行数据的过滤和强化，丢弃无法用的噪音信息，提升日志查询和分析效率。海量的日志处理能力使用大数据技术，在并发内存内处理机制方面能够带来数倍于其它采用磁盘访问方式的解决方案，借助离线计算引擎在小时级别内，即可完成对海量日志的处理。方案效益满足《中华人民共和国网络安全法》、《信息系统安全等级保护基本要求》以及其他行业的合规性要求：《中华人民共和国网络安全法》中：第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。《信息系统安全等级保护基本要求》：网络安全：安全审计（G2）：应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；安全服务安全漏洞扫描服务服务范围安全漏洞扫描服务可以为客户提供包括网络设备、操作系统、数据库、常见应用服务器以及WEB应用等范围的扫描。漏洞扫描的详细服务范围如下：操作系统Windows、发行版Linux、AIX、UNIX通用、Solaris、FreeBSD、HP-UX、BSD等主流操作系统。数据库Oracle、MySQL、MSSQL、Sybase、DB2、I下一代防火墙ormix等主流数据库。常见应用服务Apache、IIS、Tomcat、Weblogic等主流应用服务，常见FTP、EMAIL、DNS、TELENT、POP3、SNMP、SMTP、Proxy、RPC服务等。Web应用程序ASP、PHP、JSP、.NET、Perl、Python、Shell等语言编写的WEB应用程序。网络设备常见的路由器、交换机等设备。服务内容安全漏洞扫描会对信息系统内的网络设备、操作系统、应用软件、中间件和服务等进行安全漏洞识别，详细内容如下：网络层漏洞识别版本漏洞，包括但不限于IOS存在的漏洞，涉及包括所有在线网络设备及安全设备。开放服务，包括但不限于路由器开放的Web管理界面、其他管理方式等。空弱口令，例如空/弱telnet口令、snmp口令等。网络资源的访问控制：检测到无线访问点，……域名系统：ISCBINDSIG资源记录无效过期时间拒绝服务攻击漏洞，MicrosoftWindowsDNS拒绝服务攻击，……路由器：CiscoIOSWeb配置接口安全认证可被绕过，Nortel交换机/路由器缺省口令漏洞，华为网络设备没有设置口令，…………操作系统层漏洞识别操作系统（包括Windows、AIX和Linux、HPUX、Solaris、VMware等）的系统补丁、漏洞、病毒等各类异常缺陷，……空/弱口令系统帐户检测例如：身份认证：通过telnet进行口令猜测，……访问控制：注册表HKEY_LOCAL_MACHINE普通用户可写，远程主机允许匿名FTP登录，ftp服务器存在匿名可写目录，……系统漏洞：SystemV系统Login远程缓冲区溢出漏洞，MicrosoftWindowsLocator服务远程缓冲区溢出漏洞，……安全配置问题：部分SMB用户存在薄弱口令，试图使用rsh登录进入远程系统，…………应用层漏洞识别应用程序（包括但不限于数据库Oracle、DB2、MSSQL，Web服务，如Apache、WebSphere、Tomcat、IIS等，其他SSH、FTP等）缺失补丁或版本漏洞检测，……空弱口令应用帐户检测。数据库软件：Oracletnslsnr没有设置口令，MicrosoftSQLServer2000Resolution服务多个安全漏洞，……Web服务器：ApacheMod_SSL/Apache-SSL远程缓冲区溢出漏洞，MicrosoftIIS5.0.printerISAPI远程缓冲区溢出，SunONE/iPlanetWeb服务程序分块编码传输漏洞，……电子邮件系统：Sendmail头处理远程溢出漏洞，MicrosoftWindows2000SMTP服务认证错误漏洞，……防火墙及应用网管系统：AxentRaptor防火墙拒绝服务漏洞，……其它网络服务系统：WingatePOP3USER命令远程溢出漏洞，Linux系统LPRng远程格式化串漏洞，…………服务流程整个安全漏洞扫描服务的流程分为三个阶段：准备阶段、扫描过程和报告汇报。通过这三个阶段结合安全漏洞扫描内容和实际客户系统情况，完成安全漏洞扫描服务。准备阶段：前期技术交流包括相关安全扫描技术、扫描原理、扫描方式及扫描条件进行交流和说明；同时商谈安全漏洞扫描服务的范围，主要是哪些主机，网络设备，应用系统等；并结合实际业务情况需求，确定扫描范围，扫描实施的时间，设备接入点，IP地址的预留，配合人员及其他相关的整体漏扫方案。扫描过程：依据前期准备阶段的漏扫方案，进行漏洞扫描、漏洞分析和漏洞测试，扫描过程主要是进行范围内的漏洞信息数据收集，为下一步的报告撰写提供依据和数据来源。漏洞扫描，主要采用远程安全评估系统进行范围内的安全扫描。漏洞分析，主要是对扫描结果进行分析，安全工程师会结合扫描结果和实际客户系统状况，进行安全分析。漏洞验证，对部分需要人工确定和安全分析的漏洞，进行手工测试，以确定其准确性和风险性。报告与汇报：这个阶段主要对现场进行扫描后的数据进行安全分析，安全工程师对远程安全评估系统输出的报告，漏洞分析结果及漏洞测试具体情况进行综合梳理，分析，总结。最后