(金诺)安徽图书馆网络安全方案建议书

1、安徽省图书馆 网络安全解决方案 版本： 编号：安徽省图书馆-AHTSG- 001 上海金诺网络安全技术发展股份有限公司 2012 年 12 月 17 日 修修订订历历史史记记录录 日期日期版本版本说明说明作者作者 金诺网安安全服务部 上海金诺网络安全技术发展股份有限公司上海金诺网络安全技术发展股份有限公司 上海市浦东世纪大道 1500 号东方大厦 4 楼， 电话：021- 传真：021- URL： 北京分公司北京分公司 北京西城区裕民东路 5 号 瑞得大厦 604 室 电话：010- 传真：010- 广州办事处广州办事处 广东省广州市天河北路 183 号 广州大都

2、会广场 2908 室 电话：020- 传真： 020- 目目 录录 1前前言言 .6 1.1概述.6 1.2方案设计原则.6 1.3方案设计参考标准.7 2金金诺诺公公司司介介绍绍.8 3安安徽徽省省图图书书馆馆网网络络安安全全需需求求分分析析.10 3.1安徽省图书馆安全需求分析.10 3.1.1网络基本安全需求.10 3.1.2安徽省图书馆安全需求.10 4安安徽徽省省图图书书馆馆安安全全解解决决方方案案设设计计.12 4.1全方位的安全体系.12 4.2安徽省图书馆安全解决方案.12 4.2.1技术安全设备保障.13 应用防火墙实现网络访问控制（建议）.13

3、.1高性能（千兆级）防火墙 .13 金诺网安入侵检测系统.15 .1技术架构.16 .2主要功能.17 .2.1入侵检测.17 .2.2应用审计.17 .2.3状态监控.17 .2.4资产和可疑主机监控 .18 .2.5实时报警响应.18 .2.6事件分析处理.19 .2.7安全策略管理.21 .2.8事件自定义.21 .2.9数据维护.22 .2.10在线升级.22 .3技术特点.23 4.2.1.

4、2.3.1智能检测技术.23 .3.2Deep-Tracking入侵追踪分析技术.23 .3.3高性能处理技术.24 .3.4集中控制、多层管理的体系结构.24 .3.5采用 SafeBoot技术的集成化硬件平台.24 .3.6开放式检测和响应基础设施（DRI）技术框架 .25 .4产品应用.26 .4.1工作组应用.26 .4.2企业级分布式监控.26 .4.3行业级多级监控.27 .4.4大规模集中监控.28 .5型号分类.29 4.2.

5、KIDS 1250.29 .5.2KIDS 1500.29 .5.3KIDS 3000.30 .5.4KIDS 10000.30 4.2.2强化安全管理水平.31 安全管理原则.31 安全管理的实现.31 5项项目目组组织织和和工工程程实实施施.33 5.1项目组织结构.33 5.2项目组织责任.34 5.3工程实施流程.36 6技技术术支支持持及及售售后后服服务务计计划划 .39 6.1培训.39 6.1.1标准专业培训.39 .1.1培训目的.39 .1.2培训对象.39 6.1

6、.标准专业培训课程.39 .1.4培训教师.40 .1.5培训教材.40 6.1.2可选专业培训.40 .1.1培训背景.40 .1.2培训目的.41 .1.3培训对象.41 .1.4可选专业培训课程.41 .1.5培训教师.42 6.2售后服务和应急响应 .42 6.2.1产品安装及验收流程.42 6.2.2售后服务.42 售后服务综述.42 金诺服务机构.43 服务内容.44 6.2.3应急响应和质量保证.45 服务人员.4

7、5 响应时间保证.45 规范的内部流程.46 客户档案管理系统.48 统一的服务文档.49 投诉热线.49 1前前言言 1.1概概述述 随着企业信息化程度的提高，企业对于信息处理的手段日益先进，运作的效率也 日益提高，同时，各单位对其电子化的信息系统的依赖程度也越来越高。但是由于大 多数单位都把网络建立在传统的网络架构上，而该架构又缺乏对于诸多安全问题的考 虑，加之人们对网络安全认识不足、管理松散、专业安全技术人员匮乏、网络安全设 施投资缺乏、安全制度不完善等因素，使得网络信息的安全风险日益加剧。因此，网 络安全基础设施的建

8、设已经成为刻不容缓的重要课题。 1.2方方案案设设计计原原则则 符合国家有关规定 我国相关部门已经制订了一系列关于信息安全的法律法规，涉及安全策略、密码 与安全设备选用、网络互联、安全管理等内容。安全保密建设必须能够符合这些 法律法规，确保国家秘密信息的安全。 整体安全原则 贵单位信息系统是一个复杂的系统，对安全的需求是任何一种单元技术都无法解 决的。必须从一个完整的安全体系结构出发，综合考虑信息网络的各种实体和各 个环节，综合使用各层次的各种安全手段，为信息网络和业务系统提供全方位的 服务。 全网统一原则 集中有关各方的力量和资源，使信息系统设计得更加系统、完善、严密；包容现 存的和将要改进

9、的信息系统对于安全普遍的、特殊的要求，使体系更趋科学和适 用；通盘考虑所有通信分系统的安全互通。 标准化与一致性原则 网络安全建设是一个庞大的系统工程，其安全体系的设计必须遵循一系列的标准， 这样才能确保各个分系统的一致性，才能使整个系统安全地互联互通、信息共享。 需求、风险、成本折衷原则 任何信息系统都不能做到绝对的安全，而且真正绝对的安全也是不必要的。鉴于 这种情况，在设计信息系统安全时，要在安全需求、安全风险和安全成本之间进 行平衡和折中。过多的安全需求、过低的安全风险追求必将造成安全成本迅速增 加和复杂性的增加。因此，在设计贵单位的安全方案时必须遵守三项要求折衷的 原则。 实用、高效、

10、可扩展原则 安全保障系统所采用的产品，要方便工作、实用高效。同时，随着 IT 技术的不断 发展，信息系统将会发生各种变化，信息系统安全设计必须能适应这种变化。在 系统实施过程中，系统的结构、配置也会发生一些变化，系统的安全工程要有一 定的灵活性来适应这种变化，比如做到层次性、体系性，既有利于系统的安全， 又有利于系统的扩展。 技术与管理相结合原则 网络安全建设工程是一个系统工程，单靠技术或单靠管理都不可能实现。各种安 全技术应该与运行管理机制、人员思想教育和技术培训、安全规章制度建设相结 合，从社会系统工程的角度综合考虑。 1.3方方案案设设计计参参考考标标准准 本方案在设计过程中主要参考了以

11、下信息安全相关标准： ISO/IEC TR13335：信息技术 安全技术 信息产业安全管理的指导方针 ISO/IEC 15408：信息技术安全性评估通用准则 GB17859：计算机信息系统安全保护等级划分准则 ISO17799/BS7799：信息安全管理惯例 信息安全工程质量管理要求 系统安全工程能力成熟模型(SSE-CMM)等 2金金诺诺公公司司介介绍绍 上海金诺网络安全技术发展股份有限公司()成立于 2000 年 4 月，注 册资本 2518 万人民币，由上海精宏投资管理有限公司、上海港机股份有限公司、中油 龙昌（集团）股份有限公司等单位共同投资组建，是国内最

12、大的网络安全产品及服务 供应商。公司总部位于上海，北京、广州等地设有分公司或办事处，现有员工近百人， 其中一半以上的管理人员拥有硕士以上学位，70%以上是多年专业从事技术管理、市场 和人力资源管理的职业经理人。 金诺网安拥有相当完备的产品线体系，涉及入侵检测、漏洞扫描、上网行为管理、 防火墙、防病毒等各个安全领域。公司自主开发的部分产品有：金诺入侵检测系统 KIDS、金诺上网行为管理系统 EIM、计费系统（校园版、酒店版）、金诺网安 Cyberpro 扫描器等。这些产品多次受到国家有关部门的肯定，达到了国内领先，国际先 进的水平，已经在政府、金融、证券、IDC、ISP、保险、教育等各个行业拥有

13、众多用 户群。目前金诺网安国内的代理商数目达到一百多家，在全国范围内拥有了一批金牌、 银牌及认证代理，已经形成最具广泛代表性的网络安全产品销售网络。 金诺网安技术力量雄厚，除了已有多名信息安全领域的博士、硕士研究人员和海 外归来的信息安全专家加盟外，还与国内信息安全研究领域的多家权威机构建立了长 期的战略合作关系，掌握着国际、国内信息安全技术的最新发展趋势。公司不仅是国 家 863 计划信息安全领域专项课题研究承担单位，也是上海市首批通过软件企业认定的 高新技术企业，同时还参与发起和设立建在浦东的国家信息安全产业化基地，已被上 海市政府列入了上海市信息产业重点企业，多次接待过国家有关部门领导的

14、视察，受 到中央电视台、人民日报等多家国家级媒体及有关专业报刊的专题报道。 受中国国家信息安全测评认证中心的委托，金诺网安全面负责国内规模最大、资 料最全、最具权威性的“中国信息安全论坛”()的运营与维护，该 网站拥有已知世界上最大的公开漏洞数据库、最大的工具库及内容最丰富的技术资料 文档库，已经成为了信息安全领域最具影响力的综合性门户网站。 在公安部十一局、公安部第三研究所及公安部计算机信息系统安全产品质量监督 检验中心等有关主管部门的指导与委托下，公司还担负着“中国信息网络安全” （www.china-）网站的运营与维护工作，网站涉及与计算机信息网络安全相 关的政策法规、标准规范、产品名单

15、及最新的病毒公告，为信息网络安全的研究与管 理提供了一个全面的权威平台。 公司本着“求实、创新、服务社会”的经营理念，以脚踏实地的工作态度、扎实 过硬的技术基础，奠定一个高科技企业的立身之本；同时结合现代信息产业的特点， 顺应社会信息化发展的潮流，不断研究具有创新思维的新产品、新服务，以最大程度 地满足客户的需求。 金诺网安拥有高度专业的员工，致力于持续的创新与开发，立志成为中国最优秀 的信息安全企业。 3安安徽徽省省图图书书馆馆网网络络安安全全需需求求分分析析 3.1安安徽徽省省图图书书馆馆安安全全需需求求分分析析 3.1.1网网络络基基本本安安全全需需求求 满足基本的安全要求，是网络成功运

16、行的必要条件，在此基础上提供强有力的安 全保障，是网络系统安全的重要原则。 针对安徽省图书馆是政府形象工程，目前很多黑客往往专注于攻击政府网站，一 旦网络中心本身受到攻击而瘫痪，将直接影响图书馆的正常服务，因此而承受相当大 的责任和损失。因此，需要安徽省图书馆对自身网络运行的安全性和稳定性有着极高 的重视：既要求网络高带宽，高效率，又要求网络能抵抗黑客攻击和硬件故障稳定运 行，不会因为单节点的故障影响整个系统。需要尽量的能够对各种异常情况（如黑客 入侵、病毒发作等）的发生进行事前的监控和阻止。当异常情况发生时，需要及时的 报警和处理手段。 对于各种各样的网络攻击，如何在提供灵活且高效的网络通讯

17、及信息服务的同时， 抵御和发现网络攻击，并且提供跟踪攻击的手段，是本项目需要解决的问题。 网络基本安全要求： 网络正常运行。在受到攻击的情况下，能够保证网络系统继续运行。 网络管理/网络部署的资料不被窃取。 具备先进的入侵检测及跟踪体系。 提供灵活而高效的内外通讯服务。 3.1.2安安徽徽省省图图书书馆馆安安全全需需求求 为保障安徽省图书馆的正常运行，提高防黑反黑手段，构建全面统一的网络安全管 理架构。采取必要有效措施加以保证，安徽省图书馆网络安全建设的有关目标有： 接接入入控控制制: : 与互联网的接入，采用防火墙隔离，并将 Web 网站放在受防火墙保护的安全隔离区。 内内部部检检测测： 内

18、部网络在关键节点部署入侵检测产品，生成有关网络各种状况的报告，便于管理。 另外，网络安全的建设，可以一次性规划、分阶段进行，要易于实施、实现业务的 无缝割接。具有良好的可靠性、可扩展性及维护性，进一步规范 IP 地址。 4安安徽徽省省图图书书馆馆安安全全解解决决方方案案设设计计 4.1全全方方位位的的安安全全体体系系 一个完整的安全体系应包含： 访问控制，通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到 达被攻击目标之前； 检查安全漏洞，通过对网络和系统安全漏洞的周期检查，即使攻击可到达被攻击目 标，也可使绝大多数攻击失效； 攻击检测，通过对特定网段、服务建立的攻击监控体系，可实

19、时检测出绝大多数攻 击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）； 多层防御，攻击者在突破第一道防线后，延缓或阻断其到达被攻击目标； 隐藏内部信息，使攻击者不能了解系统内的基本情况； 设立安全监控中心，为信息系统提供安全体系管理、监控，维护及紧急情况服务。 4.2安安徽徽省省图图书书馆馆安安全全解解决决方方案案 根据安徽省图书馆实际网络建设规划，我们公司为安徽省图书馆提出了全方位综 合网络解决方案，部署图如下： 图图表表 4-1 安安徽徽省省图图书书馆馆网网络络安安全全解解决决方方案案部部署署图图 4.2.1技技术术安安全全设设备备保保障障 我们在网络中的各个部分采取了多

20、种防范手段，使用了各种安全防范技术。对应 客户计算机网络的所面临的安全问题，我们应用了以下几项技术逐一解决： 防火墙技术 入侵检测技术 通过以上两项项技术的运用再加上强化的安全管理水平，我们相信安徽省图书馆 的计算机网络的安全将获得全面加强。 应应用用防防火火墙墙实实现现网网络络访访问问控控制制（建建议议） .1高高性性能能（千千兆兆级级）防防火火墙墙 针对安徽省图书馆建立防火墙保护的需求，在此方案中我们建议采用高性能千兆 级防火墙，根据安徽省图书馆的网络拓扑，在网络中心与互联网的接入处放置一台高 性能千兆级防火墙，并将服务器群放置在防火墙 DMZ 区，这样既可对外

21、提供服务，又 保护服务器不受外部攻击。 该该产产品品有有如如下下功功能能： 具有基于状态检测的包过滤。 支持 VPN。采用通过国家鉴定的硬件加密卡所提供的 128 位对称加密算法和 128 位 HASH 算法。身份认证采用 1024 位的非对称算法。 支持多级过滤，可完成组合规则的信息过滤。 支持双向网络地址翻译（双向 NAT）技术。 支持动态 NAT（IP POOL）。 提供 WEB 及命令行管理界面。 支持透明应用代理功能，支持 HTTP、FTP、TELNET、SMTP、POP3、NNTP 等协议。 支持应用层过滤：防火墙对常用的高层应用（HTTP、FTP）有详细控制，如 HTTP 命令级

22、（GET、POST、HEAD）及 URL 级，FTP 命令级 （GET、PUT）及文件控制等。 具有连接 DMZ 的功能。 IP 与用户绑定。 配置规则的一致性测试。 日志与审计。 支持透明的连接方式，使防火墙在网络中不可探测及访问。 支持路由模式及透明加路由的混合模式。 具备较强的抗攻击能力，能够防范网络中针对防火墙的攻击，如 IP 地址假冒 攻击、服务拒绝攻击、口令字探询攻击等。 支持一次性口令认证。 支持用户身份认证功能，如本地身份认证。 支持流量、时间控制。 性能方面：性能方面： 高性能千兆级防火墙系统的主体是高可靠性的工业控制设备，支持 24*7 小时 工作，且 MTBF=30000

23、 小时。 支持 64000 个同时连接数 在加载 512 条规则的情况下，防火墙速率达到 80M。 典典型型应应用用： 图图表表 4-2 防防火火墙墙典典型型部部署署图图 金金诺诺网网安安入入侵侵检检测测系系统统 金诺网安入侵检测系统 KIDS 是上海金诺网络安全技术股份有限公司自主研发的 入侵检测系统，是国家“863”安全应急计划课题的延伸和发展，也是国家科技部创 新基金无偿资助的重点项目。 在管理和产品部署结构上，KIDS 系统安装快捷，部署灵活，升级简便，维护成本 低，可用性强。KIDS 采用了金诺独有的 SafeBoot专利技术，以可引导光盘和移动 存储介质来构建应用系统

24、，具有“即插即用”、“直接引导”和“防篡改”等优点。 SafeBoot技术使 KIDS 产品在系统结构、安装部署和升级维护等方面都得到了极大 的简化，同时也使得产品具有更好的灵活性、可靠性及安全性。 在检测技术上，KIDS 采用了智能的检测技术，综合了特征匹配、协议分析、流量 异常监测等技术的优点。KIDS 具有完善的攻击事件库，并与国际上标准的漏洞库 CVE、BugTraq 和 Whitehats 等保持兼容，每周升级一次。在检测能力测试中，KIDS 表现出完整的检测能力，目前共可检测 1200 多种不同的攻击和异常行为，能准确地 检测到已知的最新攻击行为。KIDS 能检测端口扫描、蠕虫病毒

25、和各种拒绝服务攻击等 具有“多会话形式”特点的攻击。KIDS 具有完善的 IP 碎片重组和 TCP 重组机制，能 有效地对抗 fragrouter、whisker、stick 等针对入侵检测的攻击。除此之外，KIDS 通 过采用协议状态分析的方法，具有分析和判断一些未知异常行为的能力。 KIDS 提供了多种分析工具，具有强大的安全事件追踪分析功能。事件树可以对事 件进行实时的分类和归并；事件分析器可以实现事件综合分析、事件事后追查、来源 追踪和事件信息查看等功能；事件综合处理工作台可对事件对象进行全面地事后处理； 报表工具具有 200 多张预定义的报表，可以对历史数据进行多角度、多层次的统计和

26、 分析，并可支持用户自定义的数据分析。因此，KIDS 既能帮助用户迅速定位网络的安 全问题，也能使用户及时掌握网络安全的趋势变化。 KIDS 具有最完整的响应功能，目前共提供 20 多种响应方式。它采用了多种实时 的报警方式及时通知用户，如发送到控制台、声音报警、SNMP Trap、邮件通知、传 真、传呼通知、手机短消息、WinPopup 或用户自定义的响应方式等。KIDS 可以按照 设定的安全策略实时阻断非法的连接，支持中断 TCP 会话、伪造 ICMP 应答、模拟 SYN/ACK 或通过防火墙阻塞等。此外，KIDS 还提供了与扫描器互动、安全响应脚本、 动态策略调整以及自定义响应方式等功能

27、。 KIDS 采用了新一代的包处理技术和协议分析算法，传感器具备强劲的流量处理引 擎。据公安部计算机信息系统安全产品质量监督检验中心的严格检验及认定，在平均 包长 256 字节的情况下，KIDS 的百兆产品（KIDS1250/KIDS1500/KIDS1500- GJB/KIDS3000）和千兆产品（KIDS10000）都已具备全线速处理能力，完全可适用 于对各种高速网络环境的防御和监控。 .1技技术术架架构构 KIDS 属于分布式、多层控制管理体系结构的产品，其主要由 KIDS 管理中心和传 感器两大部分组成，管理中心是 KIDS 的系统中心，主要实现监控和管理功能，传感 器则

28、是 KIDS 的探测引擎，主要实现检测分析功能。KIDS 管理中心由多个组件组成， 包括控制台的安全策略管理工具（策略编辑器、响应编辑器、事件处理器及协议编辑 器）、事件分析器、事件处理工作台、报表分析系统和事件处理引擎等组件。如图所 示： 图图表表 4-3 技技术术架架构构图图 KIDS 管管理理中中心心 控制台 （Console） 事件处理引擎（KEP） 安全策略 管理工具 事件分析器 （KEA） 事件处理工作台 （KWB） 报表分析系统 （KRA） KIDS 传传感感器器响应编辑器 （KRE） 策略编辑器 （KPE） 事件编辑器 （KEE） 协议编辑器 （KPRE） 多个管理中心可通过

29、KIDS 的事件处理引擎（KEP）实现多级事件监控和集中控 制的功能，所有下级的事件都可按一定的响应策略上报到最高级的管理中心，而上级 管理中心则可对每一个下级的管理中心颁发统一的安全策略。 图图表表 4-4 事事件件处处理理引引擎擎 .2主主要要功功能能 .2.1入侵检测入侵检测 KIDS 采用智能的入侵检测技术，能检测多种入侵攻击行为，包括扫描、嗅探、后 门、病毒、恶意代码、拒绝服务、分布式拒绝服务、可疑行为、非授权访问、主机异 常和欺骗等 11 大类的安全事件，目前拥有的检测规则超过 1800 条，安全报警事件 1200 多条。同时，KIDS 的知识库也与国际

30、上标准的漏洞库 CVE、BugTraq 和 Whitehats 等保持兼容，检测知识库定期进行升级，用户完全不必担心最新黑客攻击 方法的威胁。 .2.2 应用审计应用审计 KIDS 除了实现入侵侦测功能外，还具有应用审计功能。它可对各种网络应用服务 进行实时监控和审计，能记录并回放各种应用协议的摘要信息，如邮件首部信息、网 页访问链接内容、FTP/TELNET 等协议的连接信息、数据库访问操作、网络游戏和网 上聊天等活动的状态信息。 .2.3 状态监控状态监控 KIDS 具有专用的状态监控视图，可以实时监控各种协议的网络流量，并显示出每 秒传输的包数量和大小；状态视

31、图也支持对当前活动 TCP 连接的监控，TCP 活动信 息自动定期刷新，同时也允许管理人员对其进行手动阻断。 .2.4 资产和可疑主机监控资产和可疑主机监控 KIDS 对网络资产和可疑主机进行集中监控和统一管理，可以分析资产或可疑主机 所产生的相应报警事件，也可以对与他们相关的属性信息进行配置和管理。资产和可 疑主机的监控功能可以使网络管理人员有效定位网络安全风险并能及时做出响应。 .2.5 实时报警响应实时报警响应 .2.5.1多多种种报报警警响响应应方方式式 KIDS 一旦发现了攻击入侵或可疑的行为，便可以采用多种实时的报警方式通知用 户，如屏幕显

32、示、发声报警、邮件通知、传呼通知、手机短消息、Win Pop、SNMP Trap 或用户自定义的响应方式等，并将所有的报警信息记录到日志中。同时 KIDS 对 于一些非法的连接也能够进行及时的阻断，如中断 TCP 会话、伪造 ICMP 应答、根据 黑名单断开、阻塞 HTTP 请求、模拟 SYN/ACK 或通过防火墙阻塞等。 .2.5.2 与与防防火火墙墙互互动动 KIDS 支持与多种防火墙的联动，包括天融信、联想、东方龙马、华堂、华依、东 软、中软华泰和安达通等公司的防火墙，可自动调整联动防火墙的安全策略，实现对 非法连接及时有效的阻断或过滤。 .2.5.3 与与扫

33、扫描描器器互互动动 KIDS 可与 Rj-iTop 扫描器实现联动，当 KIDS 检测到入侵行为时，可利用 Rj- iTop 扫描器对入侵源或被攻击主机进行扫描评估，确定其当前的活动状态，并返回最 后的评估报告，以供安全管理员进行决策参考。KIDS 具有开放的响应互动接口，可实 现与多种扫描器进行互动。 .2.5.4 动动态态策策略略调调整整 IDS 在检测分析时会采用某些规则，这些检测规则的组合就形成一种检测策略。 传统的 IDS 在检测过程中经常使用一个固定的检测策略，针对性较差，这就会造成在 检测过程中将产生很多不必要的检测内容，从而导致检测效率低、系统资源消耗大的 问题。

34、KIDS 则实现了检测策略的动态调整功能，其检测策略在检测过程中可以随着网 络状况的变化而变化，即可实现在不同的网络环境下具有不同的检测广度和检测深度， 这种动态适配、动态调整的检测技术使得 KIDS 具有了极好的处理性能，同时也能大 大提高检测的正确率。 .2.5.5 SAFESCRIPT安安全全脚脚本本语语言言 KIDS 为用户提供了可自定义的标准的响应执行脚本语言SafeScript， SafeScript类似我们常用的 VB script，普通用户只要参考一下系统的使用手册，即 能实现定制特殊响应方式的目的。SafeScript简单易学、非常灵活，可随时满足企 业的特殊需

35、求。 .2.6 事件分析处理事件分析处理 .2.6.1事事件件分分析析器器 KIDS 提供了具有强劲分析功能的事件分析器，它可以查看分析事件所有相关的具 体信息，也可以针对各个 IP 地址以各种不同的方式进行追踪分析。 归并统计功能：分别以事件、事件类型、源地址或目标地址作为条件来对报警事 件进行归并和计数（以树的形式显示），并统计出发生事件数量最多的前 10 个源 IP 或目标 IP（以统计图的形式表达）。 提供事件基本信息：包括源端口、源地址、目标端口、目标地址、报警时间、报 警次数和产生该事件的传感器的 ID 等信息。 提供事件详细信息：包括事件的详细描述、受

36、影响平台、解决方案及参考资源等 内容。 追踪分析功能：可以对所选地址进行回应测试、远程登录或路由跟踪等事后处理 分析，同时也实时显示源和目标 IP 地址的来源，即显示该 IP 地址所属的区域位置。 同时事件分析器还可随时调用事件综合处理工作台，以对事件进行进一步处理。 .2.6.2 事事件件综综合合处处理理工工作作台台 事件处理工作台（KWB）是 KIDS 为用户提供的对事件进行综合处理的工具，即 在安全事件发生时，用户可以即时阻断非法连接，并对攻击源进行追踪分析，也可对 被攻击主机进行扫描评估，查看其毁损状态，同时也可以对其进行远程管理或控制等 操作。事件处理工作台是 KIDS

37、 对攻击入侵进行有效处理和全面分析的重要工具。 .2.6.3 统统计计报报表表 KIDS 的报表系统采用了最新的设计思路，其报表样式的设计更加科学、更加直观， 报表种类也更加丰富、更加全面。它为用户提供了多达 200 多种的预定义报表，包括 为管理人员提供的管理简报，为执行者提供的执行简报和为技术人员提供的技术简报， 能满足不同用户对象的需要。KIDS 的预定义报表可以从攻击类型、风险等级及应用服 务等多个角度对安全事件进行全面的分析。 KIDS 的报表系统具有强大的定制功能，用户可以对报表进行任意定制可以自 定义文件夹、查询条件和报表模板，由时 间、IP 地址、攻击类型、攻击风

38、险和应用 服务等多个条件组合而生成相应的报表。 KIDS 的报表系统生成的报表支持预览、 打印和发送邮件等功能，可按 Excel、Word、HTML、XML、RTF、PDF、CSV、TXT、金诺报表文件等多种格式导 出和发送邮件。同时，KIDS 也提供了可独立安装的报表浏览器，可直接浏览和打印金 诺报表文件。 KIDS 的报表系统具有完善的计划任务管理功能（schedule），用户可以自定义报 表任务，能定时生成报表并直接发 送给相关人员。 .2.7 安全策略管理安全策略管理 在 KIDS 控制台中，内嵌了三 种主要安全策略管理工具，包括： 策略编辑器、响应编辑器和协议编 辑器。策略编辑器提供了几种常用 的策略文件，同时支持用户自己调 整或定义新的检测响应策略集；响 应编辑器可配置 KIDS 的全局响应 策略，包括定义各类报警对象和响应设 备的目标地址等；协议编辑器则可定 义新的协议类型，以使 KIDS 能检测 出基于特殊协议的入侵攻击行为。 .2.8 事件自定义事件自定义 用户可以