创造产品与服务的卓越品牌.ppt

创造产品与服务的卓越品牌 东软股份曹斌博士 安全体系以人为中心 典型的 3G 防御体系 Gate Guards Guns在信息系统的防御体系中 包含类似的三个因素 定义清楚的系统边界执行防御任务的人员人员所使用的工具其中人是核心因素 所有工具都是为了人完成任务而提供各种服务 用户构建安全体系的四个阶段 产品唯一 阶段产品解决一些 基本没有管理 发烧友 阶段管理是零星的几个决定聪明技术人员的自发行为觉醒初级阶段 一劳永逸的理想主意者决策者觉醒 过多依赖外部 从评估 规划 实施 维护 以及内部管理制度 大批量外包自身队伍建设缺乏 持续性的维护是最大风险系统级阶段兼顾考虑自身队伍的培养和安全系统的实施渐进进行 充分考虑自身系统的特殊性 不盲目崇拜技术 且内外有别 用户的安全管理需要厂商的技术 产品和服务 核心技术研发 使用户使用先进的产品产品策划 以用户使用为目标产品服务 确保产品能用 好用咨询服务 为用户安全体系的建设提供技术支援快速响应服务 就用户于危难培训服务 帮助用户发展自己的技术队伍 东软的产品体系 二级研发体系 以北京信息安全实验室为依托 进行持续的核心技术研究以用户为核心的产品功能性设计 产品为用户服务 产品的品质是技术和功能真正为用户所用的根本所在专注于少数产品 力求精品 NeuSoftNetEye产品线 VPN技术 安全互联解决方案 防火墙 边界安全 内网安全管理 容易部署和管理 降低组网复杂度 适合大规模的VPN体系 高强度 随时更新的应用级保护 丰富的管理和维护工具 网络入侵检测 集中的安全管理 审计 监控 诊断平台 CCID第一季度国内安全产品市场品牌分布 IDC2002年防火墙市场品牌结构 数据来源IDC2003 IDC2002年数据 NetEye安全产品 NetEyeFirewallNetEyeVPNNetEyeIDS 核心技术 流过滤 以包过滤的外部形态实现对应用层信息流的过滤提供覆盖应用层和网络层的完整的访问控制流过滤的突出特点 融合了状态检测包过滤和应用代理安全保护能力具有包过滤防火墙的透明性 容易部署 对应用透明可以实现应用防护特性的迅速升级以抵御新出现的攻击手段专为防火墙实现的TCP协议栈 抛弃了Socket接口 轻量 高效 极低的内存占用 支持大规模并发访问极强的抗攻击能力抵御各种TCP层的扫描 流过滤 快速发展的安全技术 2000 2002 2001 2003 流过滤技术设计 NetEyeFW3 0内置对HTTP SMTP FTP的保护模块 NetEyeFW3 1可扩充平台独立发展 可下载的应用层保护插件 性能提升的流过滤引擎丰富的保护插件采用类似技术的IDS 基于会话跟踪的检测技术 流过滤的内部结构 SecurityPolicyforAppProtocol StatefulInspection StatefulInspection NetEyeTCP协议栈 NetEyeTCPStack IPPackets DataStream NetEyeFirewall 以人为核心的网络安全管理平台 人性化的GUI管理界面 包括如下的安全管理工具 策略管理用户管理在线监控审计分析 丰富的管理和监控工具 全部基于GUI的管理系统人性化的策略编辑向导更容易配置 减少出错的可能性专用的审计工具提供丰富 严格的审计功能专业的实时监控系统首次在防火墙中集成了网络连接状态显示 数据包抓取和分析等网络分析功能 NetEyeFirewall 开放协议的支持 Radius协议的支持 能够与第三方厂商的认证产品进行互操作 包括对于采用认证客户端的用户 对防火墙进行管理的管理用户 通过VPN移动客户端进行连接的用户 支持SNMP管理协议 支持SNMPV1 V2C V3几个版本 支持NAP协议 能够与IDS产品进行互动 NetEye安全产品 NetEyeFirewall3 1NetEyeVPNNetEyeIDS NetEyeVPN 适应各种VPN组网模式 组建内联网络 通过公用IP网络 Internet 或专用IP网络连接企业或行业用户的各个分支机构 办事处 总部 办事处 因特网 专用IP网 分公司 加密隧道 VPN网关 NetEyeVPN 适应各种VPN组网模式 组建外联网络 与供应商 客户 分销商 客户及其他相关的机构进行网络的连接 提高企业的业务处理效率 并能够与相关的合作伙伴保持紧密地联系 Internet 企业间互联网 客户 分销商 公司 供应商 NetEyeVPN 适应各种VPN组网模式 组建远程接入网络 远程办公用户 移动办公用户安全的接入企业专用网络 无线内部用户的安全接入 内部安全级别高的用户的安全接入 网上电子商务交易的安全连接等 NetEyeVPN 优良的可扩展性 1 多星型的组网结构 适合于大规模的扩展 2 采用 PUSH 技术 通过中心网关的策略推送 对于小规模的分支机构 办事处及移动用户无需设置任何安全策略 3 采用链路层的通道技术 将路由于通道分离 可以依赖于现有的IP路由技术 进行大规模的星型中心点的路由信息交换 减少基于策略VPN的配置复杂度 4 通过对移动用户的集中认证 并且能够支持RADIUS 很好大实现了大量用户的支持 并简化了用户的管理 能够与原有用户认证系统进行兼容 保证了良好的可扩展性 NetEyeVPN 优良的可扩展性 5 从高端到低端的各种型号NetEyeVPN网关 FW3 1 大型SJW20网关NetEye灵巧网关 SJW20低端型号 VPN硬件客户端 方便的VPN通道上连功能 适合于大量小型机构与中心网关的星型连接NetEye安全客户端 移动用户到VPN网关的安全虚拟接入6 支持IPSec的NAT穿越 适合于通过广域网模式大规模应用 NetEyeVPN 部署 维护简单灵活 1 由于采用策略推送技术 大大简化了大规模部署 维护的成本 2 由于采用了链路层的通道技术 可以从分利用IP路由的成熟技术 进行大规模的部署 简化策略的配置 3 管理系统具有人性化 向导式的安全策略配置工具 具有很强的通道检测 故障排除辅助工具 4 通道自动维护 由于网络链路质量造成的通道断开 能够进行自动地维护 但网络恢复正常时 VPN将可以正常使用 NetEye安全产品介绍 NetEyeFirewall3 1NetEyeVPNNetEyeIDS IDS产品的两级研发体系 攻击技术分析与特征提取 检测引擎技术研究 应用协议分析 产品开发 硬件平台开发 产品测试 产品需求定义 NetEyeIDS2 1 综合的内网安全管理平台 高速的数据提取内核 入侵识别与报警 网络实时监控 SNIFFER 3层到7层的行为审计 主动探测 SCANNER NetEyeIDS2 1 基于NetEyeIDS的典型防御过程 攻击报警 网络或系统异常 分析审计记录 查看当前网络行为 主动探测可疑系统 调整安全部署追查攻击行为 NetEyeIDS 安全策略与入侵识别 NetEyeIDS 网络实时监控和分析 NetEyeIDS 审计和报表 NetEyeIDS 网络诊断和扫描 NetEye动态防御模型 NAP NetworkAlertProtocol 网络设备间的信息通告协议 用于实现联动和集中审计 Firewall IDS 审计中心 受保护主机 告警 联动 告警 联动 日志 告警 日志 告警 日志 告警 对等开放协议 使用户拥有更大的选择范围 软件质量 东软的永远的追求 1998年1月 中国第一家同时通过软件开发与系统集成ISO9001质量体系认证2000年9月 率先通过CMMLevel22000年10月 中国第一家通过ISO90012000版认证 挪威船级社 2001年6月 中国第一家通过CMMLevel32002年12月 中国第一家通过CMMLevel5 东软的服务体系 强大的系统集成能力 2000年9月 通过信息产业部首批计算机信息系统集成一级资质认证 组织机构区域分布图 总部 客户服务中心33个销售子公司和办事处分布式研发中心 十二个 北京 长春 丹东 大连武汉 西安 长沙 深圳南京 昆明 南海 杭州 网络安全需要永久的服务 攻击与防御的矛盾长期存在没有一劳永逸的解决方案世界500强企业中的80 在信息安全方面选择与技术领先的厂商建立长久的合作关系全方位的咨询服务提前预警应急响应产品与服务提供商