德盼网安产品介绍.doc

UTM安全网关该系统是采用高性能的多核、多线程安全平台,集成状态检测防火墙、VPN、网关防病毒、入侵防护 （IPS）、应用监控、反垃圾邮件等多种安全防护功能；全面支持策略管理、IM/P2P管理、服务质量（QoS）、负载均衡、高可用性（HA）和带宽管理等功能；可以阻挡未授权的网络访问、网络入侵、病毒、蠕虫、木马、间谍软件、钓鱼诈骗、垃圾邮件等安全威胁。系统支持如下功能： 支持多种接入类型； 支持多WAN口线路的主备模式，保证网络的健壮性； 可根据访问策略进行控制，阻止非授权访问； 可根据协议进行过滤； 可对流量进行管理，能合理规划网络流量； 具备入侵防御功能，可阻止非法的入侵行为，并产生报警； 支持VPN功能，可以实现用户远程接入的数据加密等； 支持反垃圾邮件功能； 支持直观的图表，可详细了解网络流量及系统资源使用情况； 具备病毒过滤功能，阻止病毒侵入，与网络防病毒组成多层次的深度防御； 具备完善、详细的日志审计功能，包括系统访问、网络流量、入侵检测等日志； 可将报警数据传至网络安全管理中心，可与管理中心进行联动。优势：综合多种网络安全防护技术，低成本高安全度，降低信息安全工作强度，降低技术复杂度，提高应用信息安全设施的质量，可与网络安全监测监管平台联动，实现整个信息系统安全状况的集中管控。防火墙该防火墙系统是一套已在众多家企事业单位广泛应用了的，技术先进、稳定可靠的网关型硬件系统。该系统综合使用了状态监测、动态包过滤、应用代理等多项复合型安全技术，其将强大的信息分析功能、高效包过滤功能、防IP欺骗手段等多种安全措施综合运用，通过高性能的网络核心处理器实现不同网络间的访问控制，可有效地隔离内外网络，保护内部网络不受攻击。产品功能：支持透明桥、静态路由、混合等多种工作模式；支持双向NAT；支持动态地址转换和静态地址转换；支持TCP、UDP、ICMP等源网络地址转换；支持基于源/目的IP地址、源/目的端口、协议、时间等数据包的过滤；支持基于流、数据包、透明代理的过滤方式；对HTTP、SMTP、POP3、FTP等协议的深度支持；支持对邮件主题、正文、收发邮件人、附件名、附件内容等关键字匹配过滤；支持自定义内容过滤；可实现IP/MAC绑定；支持管理机、管理员的设置的权限管理；支持基于状态包过滤模块、各应用代理模块的日志审计功能；支持日志和防火墙配置文件的备份和恢复。产品优势：1)自主开发的专用操作系统。2)防火墙建立在自主开发的专用实时多任务安全网络操作系统和专用硬件平台之上，由于专用的安全操作系统没有后门、漏洞及多余的服务，极大地提高了防火墙系统的自身安全性。3)吞吐量达，并发连接数高，性能稳定，具有全面的防火墙控制功能以及高效的处理能力，可以满足各类型企业及电信级用户等各种规模网络的安全保护需要。4)安全有效的管理机制；支持本地及远程管理方式；提供本地命令行配置方式，并提供基于SSL协议的远程安全管理。5)可与网络安全监测监管平台联动，实现整个信息系统安全状况的集中管控。内外网数据安全摆渡系统该系统是一套采用专有信息摆渡机制，有效地克服了由于物理隔离引起的数据交换瓶颈，保持了多个网络间物理隔离的特性，同时提供了一种安全、有效的数据交换途径；解决内外网间（如：政务内外和外网）的数据安全交互问题的设备；可以保障诸如政务内网与公网间，非网络连接形式的数据、文件安全摆渡。该技术在国内尚无同类产品，处于领先地位；且已经在多家企事业单位实地运行，稳定可靠。主要功能1) 阻断内外网的物理网络连接，确保不能通过网络连接从外网侵入内网，同时防止内网信息通过网络连接泄漏到外网。2) 隔离内外网的物理存储，内外网的信息分开存储，防止交叉使用移动存储介质造成信息泄露和病毒感染。3) 实现非网络连接协议的数据交换，为跨内外网络的特殊应用提供安全的信息交换渠道。4) 专用病毒和木马检测工具，防止文件交换过程中的带来的安全隐患。产品优势专用协议高强度的加密算法，保障数据传输安全。无需外部存储介质节省成本，且方便对交换数据的统一管理，简洁实用。彻底杜绝因移动存储内网外拷贝，感染病毒、木马带来的安全隐患。专用内网数据服务器和外网数据服务器，双重安全扫描检测，保障数据安全。加密电子邮件系统电子邮件在网络中是以明文形式传输和存储，就犹如明信片一样在网上飞来飞去，个人隐私和公司机密随时存在被截获和浏览的风险。因此，端到端的电子邮件加密服务已成为电子邮件安全市场的迫切需求。采用普通密库的解决方案：采用普通信息密库可使用其加密功能提供简单安全的邮件传输解决方案。方法是利用信息密库创建一个适合附件大小和邮件传输的密库文件；将需要加密传输的文件内容放入密库中进行加密存储；然后通过电子邮件的将密库文件作为附件发送。不过这种情况下需要接收邮件方拥有与发件方相同的USBKEY，所以在使用上具有一定的局限性。采用组群用户版的解决方案：组群用户版信息密库在用户分组的过程中已经写入组群用户的加密公钥信息，该版本除具有普通版的所有功能外，随USBKEY附带加密邮件客户端软件，经过此软件发送的电子邮件在传输过程中被自动加密，防止邮件内容在网络上被截取。认证中心版解决方案：在网络上设置认证中心，为用户提供身份认证、密钥分发等服务内容。该版本除具有普通版的所有功能外，该版本可以通过认证中心实现用户高级分级管理功能，不限分级层次，通过对USBKEY进行级别设置，上级用户可以打开、查看下级用户的密库内容。通过认证中心的身份认证和密钥分发功能，配合加密邮件客户端可以为系统内所有用户发送加密电子邮件，其发送原理和组群用户版相同，不过其加密信息是存储在认证中心，加密邮件的发送不受组群用户的限制，可为同一认证中心的所有用户发送。SecrectDisk系统SecrectDisk系统是一款技术成熟，已经在多家企事业单位广泛应用的，功能强大、简单易用的软硬件结合的数据安全保护与管理系统；通过专用的USBKEY设备，能够在你的电脑中增加多个加密的磁盘，采用高效的加密算法技术，能够对存储的数据实时的加解密。数据操作通过授权给用户USB Key实现，更加有效的保障了数据的安全，预防了数据泄密事件发生。本系统还可以和身份认证系统对接，并具备分级管理功能；还具备安全邮件扩展功能，在企事业单位内构建出一个安全邮件传输体系，保障内部人员邮件收发数据的安全保密。产品优势1) 非对称算法加密技术：非对称算法具有其强大的防破解功能，是当今最可靠的加密算法之一，只要采用合适的加密流程就可保护被加密数据的安全。在不知道密码的情况下，任何反编译软件，跟踪软件执行过程等都不能解密使用该算法加密的数据，数据安全得到最有效的保护。2) 加密虚拟磁盘技术：不同于一般的普通加密软件，它采用世界领先的虚拟磁盘加密技术，在电脑中创建一个任意大小的加密文件，通过SecrectDisk加载后成为电脑中的一个虚拟磁盘分区，在这个分区中您可以像正常的硬盘分区一样操作。3) 高强度文件加密技术：全新设计的高强度加密文件算法，在加密过程无任何临时文件生成，极大提高文件加密解的安全性。4) 授权硬件保护：应用授权USB Key硬件设备对用户认证，授权用户才能够对密库操作。终端安全防护系统对服务器、终端等各种主机的使用及运行情况进行实时监控和统一管理，以保障网络内主机的整体安全，防止由于主机使用混乱造成的内部安全隐患。集成多种终端信息安全管理技术，使网络内主机使用情况得到统一管控，不但能规范终端使用行为，而且对服务器、终端等各类主机设备进行统一病毒、恶意代码防范和统一升级管理，大大增强网络信息系统内部安全。 可对及时发现终端的非法外联行为； 具备资产管理、I/O接口管理、终端配置维护、终端审计监控等功能； 具备远程控制功能，可实现文件的远程传输、进程管理、端口查看、可对终端进行各种远程操作（关机、重启、锁定、运行指令等）、远程桌面、远程维护等； 可对移动存储设备的使用进行管理； 具备详细的审计功能，包括外联记录、打印记录、进程记录、移动存储设备接入记录、网络访问记录、文件操作记录等； 支持策略的集中分发； 具备权限分离功能，系统可分角色进行管理； 具有详细、严格的审计措施，确保对系统的操作有据可查； 可对病毒、木马进行查杀，保证系统的安全； 内网补丁的统一下发； 可将日志记录上传到安全管理中心，可与安全管理中心进行联动。优势：集成多种终端信息安全管理技术，使网络内主机使用情况得到统一管控，不但能规范终端使用行为，而且对服务器、终端等各类主机设备进行统一病毒、恶意代码防范和统一升级管理，大大增强网络信息系统内部安全。网络行为审计系统该系统是一套针对内部网络终端的浏览行为，进行管理与控制的系统；采用旁路监听与控制技术，不降低网络效率，不安装客户端，利用先进的网页内容智能采集、分析、过滤和阻断技术，实现对用户上网行为的综合管理与控制；已经在多家企事业单位部署运行，且稳定可靠效果良好。产品功能 记录在某时间段内网络用户的上网访问日志 按用户浏览网页的标题进行关键字查询 查阅用户上传信息 网站黑名单、白名单设置功能，禁止或允许用户访问特定网站 用户分组设置功能 对选定用户的实时流量进行监测 对该用户上传、下载、总流量进行监测 对具体文件的描述、文件类型进行监测 对传输端口、IP、时间、URL等信息进行监测 支持对用户上网信息进行查询，包括IP地址、URL、 网页标题等 FTP登陆、传输内容的记录 Smtp、pop3邮件协议的捕获，邮件的接收、发送、邮件内容、附件名称 Msn聊天内容的检测 telnet协议的检测 126,163，sina，sohu，qq等web邮箱发送邮件的检测，包含邮件内容、附件等 支持导出备份系统配置功能 支持日志导出备份和恢复功能产品优势对用户透明，可自动列出被管理者的主机名、IP地址和MAC地址等信息系统的人性化设计，可针对不同用户设置不同的安全策略采用旁路监听技术，对网络效率没有影响不安装客户端。方便使用和管理网络异常行为监测系统该系统是一套针对敏感机关单位、保密部门是否存在特种木马、窃密程序的检测和追踪设备；可以及时检测发现各类恶意用户、敌对势力利用隐藏木马对敏感部门的保密数据进行窃取的网络行为，并对报警信息进行综合威胁评估，追踪定位网络攻击窃密和发生失泄密事件的主机，并可以为进一步采取措施提供决策支持、取证的需要。具备专用的窃密行为识别模块、通连监测模块、DNS协议异常检测模块、流量异常检测模块、木马心跳检测模块、协议伪装检测模块、告警相关网络数据处理、关联分析和深度挖掘模块，能够长期积累分析，并发现未知特种木马。该系统已经在多家关键机关单位部署应用，技术先进、稳定可靠。统一身份安全管理系统用于保护企业内部应用系统安全，基于SSL协议加密所有外部访问的数据，同时结合多样化的认证手段、详细的审计日志来保障企业应用系统的安全；使用统一身份安全管理系统可以在Internet上建立安全的内部网，在内部网上建立分级的信息安全控制。身份认证系统包括手机验证码、动态口令卡、非标准USBkey密钥认证、标准CA认证等多种认证方式，适用于各种类型的网上业务和管理系统，能够自由扩展为大型认证系统，也可以小型化到各类应用系统中，提供身份认证、签名、数据加密等服务，是电子政务、电子商务和其他各类应用管理系统必备的用户身份鉴定认证系统，是保障网上办公、网上交易、网上管理等业务系统安全运行的最有效措施。不仅能保护Web应用系统，而且广泛支持基于TCP/UDP的C/S应用，如FTP、TFTP、Telnet、SMTP、POP3、IMAP及其他第三方应用系统等；只要部署了统一身份安全管理系统，就对所有的应用系统进行了安全加固；通过统一认证服务器提供的认证技术，可以实现应用系统认证手段由单因素向双因素的平滑过渡；权限管理模块可以为单位建立统一的用户资源库，为所有应用系统提供统一的用户信息源；保障身份可靠、防抵赖、防篡改，提升可审计能力。网站安全加固针对现有网站定制开发网站加固系统，采用动态访问控制技术，对网页文件提供实时、动态保护，未经授权的非法访问行为一律进行拦截，从而防止非法人员篡改、删除受保护的文件，确保网页文件的完整性。网站服务器管理人员和网站维护人员通过保护策略的设置，指定网站目录的保护属性，受到保护的目录、文件没有经过授权不能更改和删除。此外，信息系统建设使用单位在各类应用系统建设过程中，应严格按照系统等保要求对访问控制、身份鉴别、操作审计、软件容错、防注入、防攻击等方面进行完善。病毒补丁管理系统终端安全是网络安全防范体系重要的组成部分，病毒补丁管理系统针对局域网内计算机由于无法联网等原因不能及时更新病毒补丁的问题，在内网架设病毒补丁服务器，实现病毒补丁的统一更新，从而提高系统安全性。具有以下几个优势:统一补丁管理和防病毒策略，对局域网中的所有客户机实现统一管理、统一调控。定期更新定义文件和引擎，可以在无人干预的情况下实现局域网内每个客户机和服务器的病毒定义和系统更新。客户软件安装自动化，实现登录到网络域中的计算机防病毒客户端的自动安装。双机热备采用主从模式实现对底层数据的同步复制，保证本地数据与异地数据的一致性，保障应用系统的应急能力。将一台服务器作为主机或工作机（Primary Server），另一台服务器为备份机（Standy Server），在系统正常情况下，工作机为信息系统提供支持，备份机监视工作机的运行情况（工作机也同时监视备份机是否正常，有时备份机因某种原因出现 异常，工作机可尽早通知系统管理员解决，确保下一次切换的可靠性）。当工作机出现异常，不能支持信息系统运营时，备份机主动接管工作机的工作，继续支持信息的运营，从而保证信息系统能够不间断的运行。机房环境监控系统机房环境监测预警系统对机房环境、设备状态、人员出入、设备使用等情况进行记录，对系统故障和恶意行为进行报警，从而保障机房设备和信息系统的安全。系统主要功能如下： 可监测电力系统的负荷、电压、电流、通断等状况； 可采集和监控机房的温、湿度情况，超过阈值会发出警报； 通过前端的烟感、漏水监测设备，一旦机房发生火灾或水浸的，可马上发出警报； 支持红外探测，可实现机房的防盗功能； 集成门禁管理，留有出入记录，事后可对情况进行追查； 集成视频监控，可对机房情况进行远程视频查看和实时录像； 对异常情况有短信、邮件等多种报警方式； 与现有设备兼容，支持空调、UPS等设备运行状态监控； 可将报警信息上传至网络安全管理平台，与管理平台联动。系统优势：不同于普通机房监控系统由分散的功能模块组成，本系统采用综合集成式机房环境安全监测监管平台，提供机房环境综合管理平台，可对机房整体情况进行一站式管理，大大简化管理工作，提高管理效率，节约管理费用。同时系统可将机房报警数据上报网络安全监测监管平台，实现整个