电子政务平台安全建设方案

电子政务平台安全建设方案■文档编号DOCPROPERTY文档编号请输入文档编号■密级限制分发■版本编号■日期2014-06-20©DATE\@"yyyy"2014绿盟科技

DOCPROPERTYTitle电子政务平台安全建设方案图4.2所示，电子政务平台的入侵防护系统部署在两个地方，分别是电子政务平台外网网络出口链路和内网上连出口链路，分别对所在区域内的访问进行实时探测与过滤，当发现存在异常行为时，按照指定的策略进行阻断、告警、记录等动作，并将相关消息传递到网络运维区域的监控台，供网络管理人员分析与响应。规则库升级方式规则库的升级应当由安全管理中心统一进行，规则库的升级可采用自动升级的方式从厂商网站升级、架设内网升级服务器升级和手动升级三种方式。入侵防护的作用电子政务平台是一个基于TCP/IP协议的通用网络，它的如下特点使得它面临较大的攻击风险：多个局域子网联入电子政务平台，使网络更加复杂和难以保证安全；电子政务平台内各子网的资源向其他子网人员开放，这种开放使得网络容易受到攻击；防火墙一般不提供对内部的保护，不能防止通向站点的后门，无法防范数据驱动型的攻击。开放的Internet环境，使得黑客工具唾手可得，无论是外部入侵还是内部破坏几乎不需要专业的计算机网络知识，安全事件逐年上升。利用防火墙技术，经过精心的配置，通常能够在内外网之间提供安全的网络保护，降低网络安全风险。但是，存在着一些防火墙等其它安全设备所不能防范的安全威胁，这就需要入侵防护系统提供实时的入侵防护及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等，来保护电子政务平台的安全。入侵防护是防火墙等其它安全措施的补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。入侵防护被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行防护，从而提供对内部攻击、外部攻击和误操作的实时检测与阻断。除了入侵防护技术能够保障系统安全之外，下面几点也是使用入侵防护的原因：计算机安全管理的基本目标是规范单个用户的行为以保护信息系统免受安全问题的困扰。入侵防护系统可以发现已有的威胁，并对攻击者进行惩罚，有助于上述目标的实现，并对那些试图违反安全策略的人造成威慑。入侵防护可以检测其它安全手段无法防止的问题。攻击者使用越来越容易得到的攻击技术，能够对大量系统进行非授权的访问，尤其是连接到政务平台的系统，而当这些系统具有已知漏洞的时候这种攻击更容易发生。尽管开发商和管理员试图将漏洞带来的威胁降到最低程度，但是很多情况下这是不能避免的：很多系统的操作系统不能得到及时的更新有的系统虽然可以及时得到补丁程序，但是管理员没有时间或者资源进行系统更新，这个问题很普遍，特别是在那些具有大量主机或多种类型的软硬件的环境中。正常工作可能需要开启网络服务，而这些协议是具有漏洞，容易被攻击的。用户和管理员在配置和使用系统时可能犯错误。在进行系统访问控制机制设置时可能产生矛盾，而这将造成合法用户逾越他们权限的错误操作。商业软件开发商总是希望将自己产品中的漏洞数量减到最少，而用户也应尽可能迅速可靠的修补已经公布的漏洞，但是并不总是我们希望的那样，事实上每天都有很多新的漏洞公布。当攻击者利用已知的漏洞进入一个系统时，入侵防护可以将其检测出来，此外，它将入侵汇报给管理员，管理员可以进行相应的系统恢复。当敌对方攻击一个系统时，他们总是按照一定的步骤进行。首先是对系统或网络的探测和分析，如果一个系统没有配置入侵防护，攻击者可以自由的进行探测而不被发现，这样很容易找到最佳攻入点。如果同样的系统配置了入侵防护，则会对攻击者的行动带来一定难度，它可以识别可疑探测行为，阻止攻击者对目标系统的访问，或者对安全人员报警以便采取响应措施阻止攻击者的下一步行动。入侵防护证实并且详细记录内部和外部的威胁，在制定网络安全方案时，通常需要证实网络很可能或者正在受到攻击。此外，攻击的频率和特征有助于选择保护网络免受相应攻击的安全手段。在入侵防护运行了一段时间后，系统使用模式和检测问题变得明显，这会使系统的安全设计与管理的问题暴露出来，在还没有造成损失的时候进行纠正。即使当入侵防护不能阻止攻击时，它仍可以收集该攻击的可信的详细信息进行事件处理和恢复，此外，这些信息在某些情况下可以作为犯罪的佐证。总之，入侵防护的根本意义在于发现与阻断网络中的异常。管理人员需要了解网络中正在发生的各种活动，需要在攻击到来之前发现攻击行为，需要识别异常行为，需要有效的工具进行针对攻击行为以及异常的实时和事后分析。“知情权是网络安全的关键”，这使得入侵防护成为其它许多安全手段，如审计系统、安全网管系统的基础。入侵防护系统作为边界保护的一项关键手段，可有效实现如下安全措施：报告安全事故，降低外部访问风险；入侵防护系统可有效发现来自外部访问人员的违规行为，可探测电子政务平台中不应出现的行为，包括内部人员的行为，如口令猜测等。协助发现安全弱点，生成安全事件分析报告；检测到的安全事件信息同样也反映了系统中存在的某些安全漏洞，许多场合下，正是由于这些弱点的存在，才导致出现攻击。建立边界的安全保护体系；入侵防护的设置点之一就是关键网段的边界、外部网关等位置，以便可以监测那些可抽取网络事件特征的流量（如最有可能被用来攻击的通道），检测部分恶意软件危害信息保密性、完整性的行为，同时，可检测网络病毒（如Nimida）等恶意代码。入侵防护是保护电子邮件系统、办公自动化系统的一种重要手段，可防止上述系统被恶意攻击。同时，入侵防护能够检测整个网络的安全状况，包括检测来自外部和内部对无人值守的设备的攻击。入侵防护反映出的安全事件可用于指导制订设备的操作制度。对远程访问进行保护；入侵防护可发现并记录任何对远程诊断端口的使用，可检测对网络路由的控制和攻击。任何对开放的网络服务的滥用、攻击，入侵防护系统都能够记录下来。对敏感系统建立专用保护环境；入侵防护系统可实时检测敏感系统的安全状况，保护敏感系统不被非法攻击，近乎实时地识别和阻止内部网络用户和外部攻击者对计算机系统的非授权使用、误用和滥用。同时，能够发现并记录利用隐通道发出的信息流，以及特洛伊木马的破坏保密性的行为。建立安全事件记录系统；入侵防护系统可发现并存储安全事件，以作为建立安全事件记录体系、报告体系、分析体系、安全应对体系的基础，并可作为审计的基础。WEB应用防火墙系统设计针对政府网站面临的安全威胁，传统的安全设备，如防火墙、IPS，虽然是网络安全策略中不可缺少的重要模块，但受限于自身的产品架构和功能，无法对千变万化的Web应用攻击提供周密的解决方案。因此，在网站前端部署专业的Web安全设备是一种合理的选择，只有采用专门设计的产品，才能对攻击进行有效检测和阻断。Web应用防火墙正是这类专业产品，它提供了网站安全运维过程中的一系列控制手段，基于对HTTP/HTTPS流量的双向检测，为Web应用提供实时的防护。WEB应用防火墙系统部署方案针对电子政务平台的业务应用进行分析可以发现，部署于电子政务平台外网的政府服务平台网站是整个依托电子政务平台的县级政府政务公开和政务服务试点系统的核心。因此建议在该网站系统上连链路部署WEB应用防火墙系统，对政务服务试点系统的应用和访问流量进行全方位的过滤和保护。WEB应用防火墙系统的作用降低数据泄漏风险Web承载的交互式应用是数据库的门户，攻击者经常通过SQL注入等方法入侵数据库，造成数据泄露。WEB应用防火墙系统能检查HTTP请求的各个字段，用精炼的规则对攻击实施过滤，加上HTTP协议合规检查、状态码过滤等机制，降低数据泄露风险。支撑Web服务可用性DDoS攻击对Web服务可用性的威胁最大，绿盟科技WAF系统集成专业DDoS防护功能，包括多种动态防护算法，可以在线过滤DDoS攻击，与SQL注入防护等功能一起使用，提供从网络层到应用层的攻击过滤，支撑Web服务可用性。控制恶意访问自动化攻击工具能构造大规模的恶意访问，给Web应用稳定性造成很大危害。绿盟科技WAF系统支持多种Web访问控制，可以满足不同用户的需求，包括URL访问控制、自动化攻击工具识别、控制非法文件上传和下载、阻止盗链和爬虫等。保护Web客户端用户访问站点时，如果遭受CSRF攻击，用户就会对该站点失去信任。因此，保护Web客户端也是Web服务提供者的责任和关切。绿盟科技WAF系统可以提供CSRF防护、XSS防护、Cookie签名和加密等安全策略，保护Web客户端。网络安全审计系统设计安全审计系统可以实时监听网络数据流，监视和记录内、外部用户出入网络的相关操作，在发现违规模式和未授权访问时，报告统一安全管理平台。安全审计设备作为应用模块可直接部署与核心交换机。通过旁路部署手段，监控网络内部各种应用流量状况及内部用户的上网情况。安全审计系统部署方案鉴于电子政务平台的数据敏感性和内容机密性，建议在电子政务平台内网核心交换旁路部署安全审计系统，通过不同区域的策略配置，针对内网应用服务器区域的数据库数据交换做详细的审计、对内网办公人员的网络行为做全程审计，实现全网行为的实时记录、告警和存档取证。安全审计系统的作用内容审计提供深入的内容审计功能，对网页页面内容、邮件、数据库操作、论坛、即时通讯等提供完整的内容检测、信息还原功能；并可自定义关键字库，进行细粒度的审计追踪。行为审计提供全面的网络行为审计功能，根据设定的行为审计策略，对网站访问、邮件收发、数据库访问、远程终端访问、文件上传下载、即时通讯、论坛、在线视频、P2P下载、网络游戏等网络应用行为进行监测，对符合行为策略的事件实时告警并记录。流量审计提供基于协议识别的流量分析功能，如：可识别使用80端口的P2P协议，避免基于80端口的HTTP协议流量统计错误，更精确可靠；实时统计出当前网络中的各种报文流量，进行综合流量分析，提供详细的流量报表。漏洞扫描系统设计漏洞扫描系统部署方案漏洞扫描系统即脆弱性评估与管理系统，基于海量的已知漏洞数据库，对整体网络平台内网络设备、服务器、终端和安全设备的扫描，发现网络中存在的安全隐患，并根据安全隐患给出解决方案，方便电子政务网络管理人员进行补救，将安全隐患修补在被攻击者利用之前。漏洞扫描系统建议部署于运维管理区，采用旁路部署的模式，对IP可达的被扫描目标进行自动/手动的安全扫描检查。漏洞扫描系统的作用隐患扫描漏洞隐患扫描是做好安全防护的第一步，其作用是在黑客攻击之前，找出网络中存在的漏洞，防患于未然。漏洞扫描器作为自动化的网络安全风险评估工具，侧重发生安全事故前这一阶段。通过模拟黑客的进攻方法，对被检系统进行攻击性的安全漏洞和隐患扫描，提交风险评估报告，并提供相应的整改措施。先于黑客发现并弥补漏洞，防患于未然。预防性的安全检查最大限度地暴露了现存网络系统中存在的安全隐患，配合行之有效的整改措施，可以将网络系统的运行风险降至最低。安全管理漏洞扫描系统将所发现的隐患和漏洞依照风险等级进行分类，向用户发出不同的警告提示，提交风险评估报告，并给出详细的解决办法。系统应对可扫描IP地址进行严格地限定，能有效地防止系统被滥用和盗用。策略管理漏洞扫描系统针对不同用户的需求，对扫描项进行合理的组合，更快、更有效地帮助不同用户构建自己专用的安全策略。统计分析漏洞扫描系统采用报表和图形的形式对扫描结果进行分析，可以方便直观地对用户进行安全性能评估和检查。漏洞扫描系统不仅能发现系统存在的弱点和漏洞，还能给用户提出修补这些弱点和漏洞的建议和措施，能给用户建议保证系统安全的安全策略，最大限度地保证用户信息系统的安全。上网行为管理系统设计电子政务网络作为政府服务提供平台的支撑体系，其完整性、可用性直接关系到政务服务的在网运行健康状况。作为面对纷繁复杂的公网环境，合理规范内网用户的上网行为，阻断恶意外网资源的访问，隔绝无意识的风险引入，对电子政务平台的安全有着至关重要的作用。上网行为管理系统作为细粒化的用户上网行为控制系统，能够严格按照安全策略要求，阻断违规的网络访问行为。将安全隐患隔绝在网络边界之外。上网行为管理系统部署方案由于安全风险由外网引入内网的风险要远远大于内网之间的扩散风险，建议将上网行为管理系统部署在电子政务平台的外网出口处，以针对外网办公用户制定相应的安全策略，阻断病毒、木马等恶意流量的进入。上网行为管理系统的作用防止带宽资源滥用上网行为管理系统通过基于应用类型、网站类别、文件类型、用户/用户组、时间段等的细致带宽分配策略限制P2P、在线视频、大文件下载等不良应用所占用的带宽，保障OA、ERP等办公应用获得足够的带宽支持，提升上网速度和网络办公应用的使用效率。防止无关网络行为影响工作效率上网行为管理系统可基于用户/用户组、应用、时间等条件的上网授权策略可以精细管控所有与工作无关的网络行为，并可根据各组织不同要求进行授权的灵活调整，包括基于不同用户身份差异化授权、智能提醒等。记录上网轨迹满足法规要求上网行为管理系统可以帮助组织详尽记录用户的上网轨迹，做到网络行为有据可查，满足组织对网络行为记录的相关要求、规避可能的法规风险。管控外发信息，降低泄密风险上网行为管理系统充分考虑网络使用中的主动泄密、被动泄密行为，从事前防范、事中告警、事后追踪等多方面防范泄密，为组织保护信息资产安全，降低网络风险。为网络管理与优化提供决策依据防止病毒木马等网络风险通过部署上网行为管理系统，利用其内置的危险插件和恶意脚本过滤等技术过滤挂马网站的访问、封堵不良网站等，从源头上切断病毒、木马的潜入。防病毒网关系统设计防病毒网关部署方案在电子政务外网的出入口配置硬件防病毒网关、对进入网络的病毒进行主动式的查杀。硬件防病毒网关基于专用操作OS，漏洞较少，与传统的防病毒系统相比具有较大的优势。硬件防病毒网关能够避免病毒传播到网络后到处扩散，然后被动的查杀的现象。使用硬件防病毒网关在病毒进入网络之前即可进行查杀，确保网络中心的高效运行。硬件防病毒网关主要针对HTTP、FTP、SMTP、POP3协议进行病毒的查杀。防病毒网关系统的作用高性能的流扫描过滤网关采用流扫描技术来获得很高的吞吐率，同时大大减少网络延迟和超时。流扫描技术在收到文件的一部分时就开始扫描，大大减少总的处理时间。透明扫描大多数传统的解决方案工作在OSI的应用层，以代理的方式截获数据进行扫描，这种方法丢失了很多有用的客户端及服务器的信息。邮件服务器往往需要知道客户机的地址来决定是否允许客户端通过它发送邮件，特别是现在的垃圾邮件实在是泛滥成灾，这一点尤其重要。过滤网关工作在3-7层，它能够完整地保留这些信息，透明串联在出口链路，无需更改数据路径与处理流程，提供高效的病毒过滤、垃圾邮箱过滤等功能，使企业的网络更安全。真正的即插即用设备传统的解决方案实施有一定的挑战性。网络管理员需要重定向网络数据流，这个过程可能会很复杂。过滤网关实现了真正的即插即用，不需要改动现有网络的任何设置。一旦部署的位置被确定，只需要连接上网线，开启电源就可以进行扫描。主要网络协议防病毒保护过滤网关能处理以下协议：SMTP、POP3、HTTP、FTP和IMAP。管理员可针对每个协议选择清除病毒、删除文件、隔离病毒或是记录日志的方式来处理病毒。而且还可以在相应的协议中设置一些附加功能，如对关键字的过滤，对特定文件类型的扫描和过滤等功能。详细的报告过滤网关提供详细的报告，按照用户配置的参数查询相关的数据生成报表。报表中可以记录病毒的数目，主要病毒所占比例等信息，并且可以记录所有的网络活动情况。这些数据可以帮助管理员更好的规划网络需求和对防病毒网关进行配置。同时，这些用户需要的报表可以发送到管理员预先配置的邮箱，以供进一步的信息查询。过滤垃圾邮件过滤网关通过检查邮件服务器的地址来过滤垃圾邮件。采用黑名单和白名单技术，实时、准确地过滤垃圾邮件，保证内部用户不受垃圾邮件的干扰。身份认证系统设计PKI/CA系统目标CA（CertificateAuthorities）系统是目前在电子政务、商务中以及几乎所有的使用非对称密钥体制的网络安全系统中最为重要的组成部分。它的基本功能是实现系统中非对称密钥的管理，为河南电子政务平台身份认证、安全邮件应用等提供可靠的密钥基础。CA中心，又称为证书认证中心，作为Intranet/Internet通信中受信任和具有权威性的第三方，承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的客户发放数字证书，数字证书的作用是证明证书中列出的客户合法拥有证书中列出的公开密钥。CA机构的数字签名使得第三者不能伪造和篡改证书。它将要负责产生、分配并管理所有参与网上信息交换各方所需的数字证书。在电子政务平台中CA系统的使用主要是为“单点登陆，全网通行”中的每一个用户提供网络中的唯一身份标识，保证数据的源发可信。PKI/CA系统的部署方案针对电子政务平台计算机系统的特点和要求，CA系统的实现可有两种参考方案，一种是自建CA中心系统；另外是采用委外的方式来建立CA系统，来减轻建设和维护的成本。PKI/CA系统的作用开放网络上的电子政务、电子商务要求为信息安全提供有效的、可靠的保护机制。这些机制必须提供机密性、身份验证特性(使通信的每一方都可以确认对方的身份)、不可否认性(通信的各方不可否认它们的参与)。这就需要依靠一个可靠的第三方机构来验证，而认证中心（CA，CertificationAuthority）专门提供这种服务。证书机制是目前被广泛采用的一种安全机制，使用证书机制的前提是建立CA（CertificationAuthority——认证中心）以及配套的RA（RegistrationAuthority_注册审批机构）系统。在数字证书认证的过程中，证书认证中心（CA）作为权威的、公正的、可信赖的第三方，其作用是至关重要的。认证中心就是一个负责发放和管理数字证书的权威机构。同样CA允许管理员撤销发放的数字证书,在证书废止列表(CRL)中添加新项并周期性地发布这一数字签名的CRL。具体地说，CA有4大职能：证书发放、证书更新、证书撤销和证书验证。RA（RegistrationAuthority），数字证书注册审批机构。RA系统是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作。同时，对发放的证书完成相应的管理功能。RA系统是整个CA中心得以正常运营不可缺少的一部分。构建安全的密码服务系统的核心内容是如何实现密钥管理，公钥体制涉及到一对密钥，即私钥和公钥。私钥只由持有者秘密掌握，无须在网上传送，而公钥是公开的，需要在网上传送，故公钥体制的密钥管理主要是公钥的管理问题，目前较好的解决方案就是引进公钥证书机制。公钥证书是公开密钥体制的一种密钥管理媒介。它是一种权威性的电子文档，形同网络计算环境中的一种身份证，用于证明某一主体（如人、服务器等）的身份以及其公开密钥的合法性。在使用公钥体制的网络环境中，必须向公钥的使用者证明公钥的真实合法性。因此，在公钥体制环境中，必须有一个可信的机构来对任何一个主体的公钥进行公证,证明主体的身份以及他与公钥的匹配关系。CA正是这样的机构,它的职责归纳起来有：验证并标识证书申请者的身份；确保CA用于签名证书的非对称密钥的质量；确保整个签证过程的安全性,确保签名私钥的安全性；证书材料信息（包括公钥证书序列号、CA标识等）的管理；确定并检查证书的有效期限；、确保证书主体标识的唯一性,防止重名；发布并维护作废证书列表；对整个证书签发过程做日志记录；向申请人发通知。运维管理与审计系统设计随着信息化的发展，企事业单位IT系统不断发展，网络规模迅速扩大、设备数量激增，建设重点逐步从网络平台建设，转向以深化应用、提升效益为特征的运行维护阶段，IT系统运维与安全管理正逐渐走向融合。信息系统的安全运行直接关系企业效益，构建一个强健的IT运维安全管理体系对政府信息化的发展至关重要，对运维的安全性提出了更高要求。运维管理与审计系统通过逻辑上将人与目标设备分离，建立“人->主账号（堡垒机用户账号）->授权->从账号（目标设备账号）->目标设备”的管理模式；在此模式下，通过基于唯一身份标识的集中账号与访问控制策略，与各服务器、网络设备、安全设备、数据库服务器等无缝连接，实现集中精细化运维操作管控与审计。运维管理与审计系统部署方案针对电子政务平台的网络特点，建议将运维管理与审计系统分别部署在内网和外网的运维管理区，以实现对内、外网不同网络资产的运维策略制定、运维行为规范和运维内容审计。运维管理与审计系统的作用集中账号管理建立基于唯一身份标识的全局实名制管理，支持统一账号管理策略，实现与各服务器、网络设备、安全设备、数据库服务器等无缝连接。集中访问控制通过集中访问控制和细粒度的命令级授权策略，基于最小权限原则，实现集中有序的运维操作管理，让正确的人做正确的事。集中安全审计基于唯一身份标识，通过对用户从登录到退出的全程操作行为进行审计，监控用户对目标设备的所有敏感操作，聚焦关键事件，实现对安全事件的实时发现与预警。推荐产品介绍绿盟科技网络入侵防护系统概述NSFOCUSNIPS是网络入侵防护系统同类产品中的精品典范，该产品高度融合高性能、高安全性、高可靠性和易操作性等特性，产品内置先进的Web信誉机制，同时具备深度入侵防护、精细流量控制，以及全面用户上网行为监管等多项功能，能够为用户提供深度攻击防御和应用带宽保护的完美价值体验。功能特点入侵防护实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量，保护企业信息系统和网络架构免受侵害，防止操作系统和应用程序损坏或宕机。Web安全基于互联网Web站点的挂马检测结果，结合URL信誉评价技术，保护用户在访问被植入木马等恶意代码的网站时不受侵害，及时、有效地第一时间拦截Web威胁。流量控制阻断一切非授权用户流量，管理合法网络资源的利用，有效保证关键应用全天候畅通无阻，通过保护关键应用带宽来不断提升企业IT产出率和收益率。应用管理全面监测和管理IM即时通讯、P2P下载、网络游戏、在线视频，以及在线炒股等网络行为，协助企业辨识和限制非授权网络流量，更好地执行企业的安全策略。产品价值以最优性价比，提供2~7层双向（服务器和客户端）深度入侵防护解决方案，保障信息系统持续可用；同时显著减少虚假告警事件，降低维护成本，提高客户满意度。服务器防护：阻断针对服务器的扫描、溢出、DoS、SQL注入、跨站脚本等各种攻击；客户端防护：精确识别基于文件传播的恶意代码，阻断针对访问互联网客户端的网站挂马等攻击，能协助防范APT攻击。基于异常行为分析，以及网络安全感知能力，能及时发现企业中的潜在恶意流量，并协助管理员全面了解网络安全状况。合理管控网络资源及网络应用，保障关键应用畅通，提升IT产出率和收益率。遵循等级保护等合规性条款要求，以支撑客户通过行业主管部门的检查，保障各项主营业务的顺利开展。Realword环境下的网络入侵防护能力，覆盖300M~8Gbps等多个范围，全面满足各类用户需求。市场优势做的最早，应用最多，市场占有率第一2005年发布国内第一款具有完全自主知识产权的IPS产品，2011年起连续3年稳居中国大陆市场综合排名第一。技术领先,用着安心2010年3月通过国际最权威的IPS产品评测机构NSSLabs的严苛测试，获得亚太区唯一、全球第四个Recommend最高级别认证。深厚技术底蕴国内发布自主研究安全漏洞最多的安全公司，超过40个自研漏洞被国际CVE组织收录。绿盟科技远程安全评估系统概述绿盟科技自主研发的绿盟远程安全评估系统（NSFOCUSRemoteSecurityAssessment，RSAS），采用高效、智能的漏洞识别技术，第一时间主动对网络中的资产进行细致深入的漏洞检测、分析，并给用户提供专业、有效的漏洞防护建议，让攻击者无机可乘，是您身边专业的“漏洞管理专家”。功能特点漏洞预警：NSFOCUS安全小组致力于安全前沿技术的研究，对重要漏洞进行及时预警，重大漏洞的升级在全球首次发现后两天内完成。漏洞检测：整合了业界强劲的底层扫描引擎NSSE（NSFOCUSScanningEngine）以及信息重整化NSIP（NSFOCUSIntelligentProfile）技术，使绿盟RSAS拥有近乎完美的准确性、扫描速度和覆盖度。风险管理：RSAS产品采用“风险管理”模块对网络风险进行全方位管理和分析，方便用户掌握风险分布情况、定位风险和高效实施风险降低或规避措施。漏洞修复：RSAS提供了多种二次开发接口供漏洞修复产品或补丁管理产品使用。漏洞审计：漏洞审计功能，能够通过发送监督邮件的方式来督促相应的资产管理员对漏洞进行修复，同时启动自动的定时任务对漏洞进行审计，提高了管理人员手工验证漏洞是否修复的效率。产品价值事实证明，99%的攻击事件都是利用未修补的漏洞。许多已经部署防火墙、入侵检测系统和防病毒软件的企业仍然饱受漏洞入侵之苦，其中有更多受到蠕虫及其变种的破坏，造成巨大的经济损失。归根结底，其原因是用户缺乏一套完整的漏洞管理体系，未能落实定期评估与漏洞修补工作，忽视了漏洞的管理，最终漏洞成为攻击者实施攻击的有效途径，甚至成为蠕虫攻击的目标。依托国内权威中文漏洞知识库和已在国际上享有盛名的NSFOCUS安全小组，绿盟远程安全评估系统已经是国际领先的漏洞管理产品之一，配合专业的Web扫描模块，它能够定期和持续地给用户提供全面可靠的安全评估服务，满足多种应用需求，并且提供完整的漏洞管理机制，有效降低用户网络和主机风险，更大限度地保证用户网络和系统的安全性和稳定性。市场优势技术领先通过英国西海岸国际权威认证，全球六强，世界唯一，国内安全评估和等级保护测评的标准工具，国内首家通过国家发改委下一代信息安全专项测试产品。市场占有率第一据IDC统计，绿盟RSAS荣获2011年中国安全性与漏洞管理市场份额第一名。行业标准各大行业的绝大部分检查机构都使用绿盟RSAS作为检查测评工具。绿盟科技WEB应用防火墙概述绿盟Web应用防火墙（又称绿盟Web应用防护系统，简称WAF）是绿盟科技面向企业、政府等各类机构推出的专注于保护Web应用和Web服务的安全产品。为了有效防护网站，绿盟WAF采用了一种创新的安全模型。这个安全模型针对“攻击事件”，提供事前预防、事中防护、事后补偿的整体解决方案。事前，WAF能发现网站漏洞，提醒管理者修补；事中，WAF能提供基于规则的静态防护，以及基于应用交互逻辑的动态防护；事后，WAF能检测出网页篡改，提醒管理者修复，并遮盖被篡改页面。功能特点降低数据泄露风险SQL注入防护、HTTP协议防护、Web漏洞攻击防护、信息安全防护（状态码过滤/伪装）、Web内容安全防护支撑Web服务可用性HTTPFlood防护、TCPFlood防护控制恶意访问URL访问控制、文件非法下载/上传防护、盗链防护、爬虫防护保护Web客户端CSRF防护、XSS防护、Cookie安全（加密/签名）产品价值降低数据泄漏风险Web承载的交互式应用是数据库的门户，攻击者经常通过SQL注入等方法入侵数据库，造成数据泄露。绿盟科技WAF系统能检查HTTP请求的各个字段，用精炼的规则对攻击实施过滤，加上HTTP协议合规检查、状态码过滤等机制，降低数据泄露风险。支撑Web服务可用性DDoS攻击对Web服务可用性的威胁最大，绿盟科技WAF系统集成专业DDoS防护功能，包括多种动态防护算法，可以在线过滤DDoS攻击，与SQL注入防护等功能一起使用，提供从网络层到应用层的攻击过滤，支撑Web服务可用性。控制恶意访问自动化攻击工具能构造大规模的恶意访问，给Web应用稳定性造成很大危害。绿盟科技WAF系统支持多种Web访问控制，可以满足不同用户的需求，包括URL访问控制、自动化攻击工具识别、控制非法文件上传和下载、阻止盗链和爬虫等。保护Web客户端用户访问站点时，如果遭受CSRF攻击，用户就会对该站点失去信任。因此，保护Web客户端也是Web服务提供者的责任和关切。绿盟科技WAF系统可以提供CSRF防护、XSS防护、Cookie签名和加密等安全策略，保护Web客户端。市场优势市场占有率第一据Frost&Sullivan统计，绿盟WAF2010、2011连续两年持续领跑大中华区WAF市场。起步最早，技术可靠2008年推出了国内第一款WEB应用防护墙产品，开国内WEB应用防护市场的先河。2011年最值得推荐Web应用防护产品2011年中国值得CSO信赖的信息安全高端产品奖绿盟安全审计系统概述绿盟安全审计系统（NSFOCUSSAS）是绿盟科技自主知识产权的安全产品，通过对网络数据的采集、分析、识别，实时动态监测通信内容、网络行为和网络流量，发现和捕获各种敏感信息、违规行为，实时报警响应，全面记录网络系统中的各种会话和事件，实现对网络信息的智能关联分析、评估及安全事件的准确定位，为整体网络安全策略的制定提供权威可靠的支持。功能特点内容审计绿盟SAS提供深入的内容审计功能，可对网页页面内容、邮件、数据库操作、论坛、即时通讯等提供完整的内容检测、信息还原功能，进行细粒度的审计追踪。行为审计绿盟SAS提供全面的网络行为审计功能，根据设定的行为审计策略，对网站访问、邮件收发、数据库访问、远程终端访问、文件上传下载、即时通讯、论坛、在线视频、P2P下载、网络游戏等网络应用行为进行监测，对符合行为策略的事件实时告警并记录。流量审计绿盟SAS提供基于协议识别的流量分析功能，如：可识别使用80端口的P2P协议，避免基于80端口的HTTP协议流量统计错误，更精确可靠；实时统计出当前网络中的各种报文流量，进行综合流量分析，提供详细的流量报表；可以通过编辑自定义统计指定协议流量的IPTOPN，为流量管理策略的制定提供可靠支持。产品价值行为与内容审计，防止敏感信息外泄NSFOCUSSAS支持细粒度的网络行为与内容审计，可帮助用户有效监控业务系统访问行为和敏感信息传播，防止不良言论、企业机密信息外泄。违规流量预警，减轻网络运行压力NSFOCUSSAS支持流量监测功能，可帮助用户及时发现网络内的违规流量，减轻网络运行压力。事件告警与记录，违规操作快速定位与取证NSFOCUSSAS可及时发现违反安全策略的事件并实时告警、记录，实现安全事件的定位分析，并为事后追查取证提供技术支持。法规遵从NSFOCUSSAS帮助用户满足相关法律、法规，如等级保护、分级保护、公安部82号令等在安全审计方面的要求。市场优势全面支持IPv6/IPv4双协议栈基于用户的全程审计国内首家内容安全审计技术专利业界首创“网站内容安全”主动审计业界领先的协议识别和智能关联分析技术绿盟抗拒绝服务攻击系统概述针对目前流行的DDoS攻击，包括未知的攻击形式，绿盟科技提供了自主研发的抗拒绝服务产品——NSFOCUSAnti-DDoSSystem，简称NSFOCUSADS。通过及时发现背景流量中各种类型的攻击流量，NSFOCUSADS可以迅速对攻击流量进行过滤或旁路，保证正常流量的通过。产品可以在多种网络环境下轻松部署，不仅能够避免单点故障的发生，同时也能保证网络的整体性能和可靠性。功能特点精准的攻击流量识别绿盟抗拒绝服务系统应用了自主研发的抗拒绝服务攻击算法，在对网络数据报文进行概率统计的基础上，针对不同种类的DDoS攻击采用不同的算法（例如流量建模、反欺骗、协议栈行为模式分析、特定应用防护、用户行为模式分析、动态指纹识别等）进行识别，从而准确地区分出恶意的DDoS报文和正常访问的网络数据报文。强大的攻击防护能力基于绿盟科技自主研发的独特的防护算法，绿盟抗拒绝服务攻击系统可高效防护各类基于网络层、混合型、连接耗尽型等的拒绝服务攻击，如SYNFlood、UDPFlood、UDPDNSQueryFlood、(M)StreamFlood、ICMPFlood、ACKFlood/DrDoS等，系统还可针对HTTPGetFlood攻击、游戏服务攻击、音视频服务攻击等危害更大的应用层拒绝服务攻击进行有效防护。海量的攻击防护性能根据型号不同，电信级高端NSFOCUSADS系统分别采用先进的多核处理器及NP+ASIC硬件构架。单台设备最高可具有10G流量的线速分析和DDoS攻击防护能力。多台ADS集群后，可以使得整体防护集群的容量和处理性能进一步提升。系统可以依据攻击的目的、流量、类型等多种因素进行流量牵引，拥有对更大规模、更复杂的DDoS攻击防御的能力。即使电信运营商或者大型企业在面临最严重的DDoS攻击威胁时也能提供最佳的防护实践。另一方面，基于保障全网可用性的思路，系统采用了主机识别和流量牵引等多种技术，在过滤攻击流量的同时，确保了正常流量不受影响，从而保证了网络服务的品质。灵活的应用部署方式由于客户网络环境和规模不同，绿盟抗拒绝服务攻击系统也包含了多种产品形态和部署方式，包括串联、串联集群、旁路以及旁路集群等不同方式，不同的部署方式和对各类网络协议的支持使得NSFOCUSADS系统能够适应各种复杂的网络环境，为独立服务器、中小企业或是大型企业，以及电信运营商网络提供代价最小的应用方案，便于系统的部署和管理。友好的系统/报表管理配合NSFOCUSADS-M系列管理设备进行旁路部署应用时，系统可以提供直观而便利的设备运行监控、策略配置、报表生成和抓包取证等管理：利用NSFOCUSADS-M系列的管理产品，可以对多台NSFOCUSADS设备集中管理、集中监控、集中控制、集中维护。集中管理功能可以让用户同时查看和修改多台NSFOCUSADS设备，并将修改结果统一下发。集中监控功能可以让用户同时查看多台NSFOCUSADS设备上的流量和运行状态。集中控制功能可以同时下达远程启动和抓包取证命令。多台NSFOCUSADS设备的配置文件和流量统计数据、告警信息都可以集中存贮在NSFOCUSADS管理平台上以便集中维护。独特的增值业务管理结合NSFOCUSADS-M系列的管理产品，系统可提供特有的运营维护和自服务系统的增值服务平台，从而获取服务收益。运营商藉此对有强烈防护需求的大客户（网吧、证券、珠宝商场、电力、政府、酒店、IPTV提供商等）提供安全防护增值服务，而大客户可通过登录本系统开放的自服务界面，查看自己的实时网络流量、应用协议分布情况、攻击防护等关键业务信息。该平台，一方面提高了大客户对其系统安全状况的感知度；另一方面提升客户服务质量和内涵。IPv6&v4双栈支持Ipv6的时代大幕正在逐渐开启，互联网向ipv6过渡已经开始进入实施阶段。国内作为ipv6商用主要力量的运营商部分已进入功能验证，大型互联网企业也搭建了自己的实验室平台，用于旗下各个业务进行ipv6的实验和试点。IPv6网络被更广泛地部署，针对Ipv6网络的攻击也将越来越频繁而常见，绿盟科技积极接应客户需求，产品支持IPv6&v4双栈协议，解除客户后顾之忧。专业的攻击支持经验基于绿盟科技自2002年以来抗拒绝服务商用产品多年的商用案例和服务支持积累的丰富经验，绿盟科技服务专家可提供快速的现场防御支持及攻击防御咨询/部署/培训等服务，不仅帮助客户建立坚固的防御系统、提供防御支