淺談網(wǎng)絡信息安全實驗室的建設
1 方案背景
信息安全維護與保障離不開專業(yè)化的人才培養(yǎng),國家對信息安全人才的培養(yǎng)高度重視。為貫徹十八大精神和國家教育發(fā)展規(guī)劃綱要,加強對高等學校信息安全專業(yè)教學改革的研究、咨詢、指導和評估。
目前在信息安全教育面臨著人才需求量大、綜合素質能力要求高的挑戰(zhàn)。
信息安全人才可從事信息安全工程師、安全咨詢顧問、安全售前顧問、安全產(chǎn)品經(jīng)理等多種崗位,目前信息安全人才需求旺盛,平均薪酬十分樂觀,于此同時用人單位對員工的綜合能力素質要求很高,需要熟練的實際動手能力,需要人才培養(yǎng)機制方面有針對性、目的性提升。
但高校信息安全教學還存在如下挑戰(zhàn):
信息安全學科的人才培養(yǎng)計劃和相應的課程體系還很不完善,學科建設的指導思想、人才培養(yǎng)的規(guī)格和一些具體做法都是各個高校根據(jù)自己的情況靈活掌握的。
教學計劃不夠科學,課程體系沒有體現(xiàn)信息安全學科本身的特點,課程體系上的某個相近學科課程體系的翻版或者延伸(與社會實用技能脫節(jié))。
信息安全學科不僅具有很強的理論性,同時也具有非常強的實踐性,許多安全技術與手段需要在實踐過程中去認識、去體會,在國外很多高校提倡基于仿真的信息安全教學法,國內信息安全教育缺乏有效的仿真教學平臺。
信息安全學科的體系建設還沒有建立起來,尚未形成完整的信息安全人才培養(yǎng)教育體系,盡管目前國內一些理工科大學正在開設或準備開設類似專業(yè),但開設的專業(yè)課程和人才培養(yǎng)仍然停留在技術防護層面(防火墻、密碼學),不能涵蓋信息安全的主要內容。
因此通過建設網(wǎng)絡信息安全實驗室,填補了高校在計算機網(wǎng)絡實驗教學方面的空白,極大改善計算機網(wǎng)絡實驗教學的條件,具備了跟蹤先進網(wǎng)絡和通信技術,開闊學生的思路和眼界,提高教學水平和教學質量,并在計算機網(wǎng)絡技術方向上為創(chuàng)新人才培養(yǎng)基地提供良好的教學與科研條件。
2 建設目標
通過網(wǎng)絡信息安全實驗室的建設以及培訓,可以達到以下目標:
提高學生的實際動手能力
網(wǎng)絡信息安全實驗室提供目前主流的安全設備,如下一代防火墻、上網(wǎng)行為管理、SSL VPN、應用交付、桌面云、WLAN等,可以根據(jù)教學要求進行網(wǎng)絡安全實驗,實驗的內容應充分結合當前網(wǎng)絡安全技術以及國內市場的典型應用,模擬真實環(huán)境。通過系統(tǒng)的、不同平臺環(huán)境的攻防演練,具體了解各種攻擊防范手段,熟練使用各種攻防工具,提高反黑客技術與實戰(zhàn)能力。
培養(yǎng)不同類型不同層次的網(wǎng)絡安全人才
網(wǎng)絡信息安全實驗室的實驗內容充分考慮到學生的專業(yè)以及今后的發(fā)展方向,建議為學生定制至少3個方向的實驗內容:網(wǎng)管人員、網(wǎng)絡安全技術支持人員、網(wǎng)絡安全研發(fā)人員。網(wǎng)絡實驗室需根據(jù)三種不同的角色進行相應的實驗內容,培養(yǎng)出不同類型不同層次的網(wǎng)絡安全實用性人才。
成為有特色的培訓基地
建成的網(wǎng)絡安全實驗室既可以為全校師生提供實際動手能力的環(huán)境,也要有能力為社會提供培訓環(huán)境。通過這種特色的教學、豐富的有針對性實驗內容,縮短在校學習與社會工作之間的距離,讓每一位學員都能在職場上給自己找到一個最準確的定位,實現(xiàn)培養(yǎng)實用性人才的目標。
豐富老師的知識面,提高在職老師的專業(yè)權威
由于網(wǎng)絡信息安全實驗室涵蓋目前主流網(wǎng)絡安全設備及技術,可以讓老師系統(tǒng)的研究當前網(wǎng)絡最前沿的技術動態(tài)和發(fā)展方向,并通過該實驗室將理論和實踐有機的結合起來,編寫出一套新穎的教材,發(fā)表絕對權威的學術報告,在教育界網(wǎng)絡安全領域樹立專家形象。
3 實驗室建設方案
3.1 實驗室平臺架構
網(wǎng)絡信息安全實驗室平臺由漏洞仿真系統(tǒng)、課件庫發(fā)布系統(tǒng)、防護單元系統(tǒng)、考生考試系統(tǒng)組成,通過實驗室平臺控制器進行統(tǒng)一資源調撥分配。
各個組成系統(tǒng)的主要功能如下:
漏洞仿真系統(tǒng):通過虛擬化技術集成windows、linux、unix、debain等跨平臺系統(tǒng)、web應用、數(shù)據(jù)庫等漏洞模擬;
教學課件分布:涵蓋滲透測試、安全防護、安全設備、木馬病毒等教學課件資源;
學生考試系統(tǒng):支持在線題庫錄入,發(fā)布,在線考試;
平臺防護單元:依托下一代防火墻,模擬IPS、WAF、FW等主流防護措施;
實驗室平臺控制器:采用B/S架構方便便捷進行資源統(tǒng)一管理。
3.2 實驗室網(wǎng)絡結構
實驗室網(wǎng)絡結構如上,主要分為教室區(qū)、平臺防護單元、運營管理區(qū)三大部分。
教室區(qū):在教室區(qū)部署桌面云瘦客戶機終端作為學生進行實驗操作的終端,另外在教室部署WLAN AP以方便通過使用各種智能終端接入網(wǎng)絡進行實驗操作。
平臺防護單元:主要提供下一代防火墻(NGAF)、上網(wǎng)行為管理(AC)、SSL VPN、應用交付(AD)、桌面云(aDesk)的控制器、WLAN無線控制器等安全設備。
運營管理區(qū):主要提供仿真的漏洞平臺以及實驗室的運營管理平臺。
3.3 平臺防護單元
在平臺防護單元,通過提供下一代防火墻(NGAF)、上網(wǎng)行為管理(AC)、SSL VPN、應用交付(AD)、桌面云(aDesk)、WLAN六大產(chǎn)品線提供覆蓋用戶安全、終端安全、傳輸安全、網(wǎng)絡安全、應用安全、數(shù)據(jù)安全的端到端網(wǎng)絡安全解決方案,為網(wǎng)絡信息安全實驗室提供一站式的安全實驗平臺。
3.3.1 下一代防火墻NGAF
下一代防火墻(Next-Generation Application Firewall)NGAF是面向應用層設計,能夠精確識別用戶、應用和內容,具備完整安全防護能力,能夠全面替代傳統(tǒng)防火墻,并具有強勁應用層處理能力的全新網(wǎng)絡安全設備。NGAF解決了傳統(tǒng)安全設備在應用識別、訪問控制、內容安全防護等方面的不足,同時開啟所有功能后性能不會大幅下降。
區(qū)別于傳統(tǒng)的網(wǎng)絡層防火墻,NGAF具備L2-L7層的協(xié)議的理解能力。不僅能夠實現(xiàn)網(wǎng)絡層訪問控制的功能,且能夠對應用進行識別、控制、防護,解決了傳統(tǒng)防火墻應用層控制和防護能力不足的問題。
區(qū)別于傳統(tǒng)DPI技術的入侵防御系統(tǒng),NGAF具備深入應用內容的威脅分析能力,具備雙向的內容檢測能力為用戶提供完整的應用層安全防護功能。
同樣都能防護Web攻擊,與Web應用防火墻關注Web應用程序安全的設計理念不同,下一代防火墻NGAF關注Web系統(tǒng)在對外發(fā)布的過程中各個層面的安全問題,為對外發(fā)布系統(tǒng)打造堅實的防御體系。
項目 具體功能
部署方式 支持路由,透明,旁路,虛擬網(wǎng)線,混合部署模式;
實時監(jiān)控 實時提供CPU、內存、磁盤占用率、會話數(shù)、在線用戶數(shù)、網(wǎng)絡接口的鞥設備資源信息;提供安全事件信息,包括最近安全事件、服務器安全事件、終端安全事件等,事件信息提供發(fā)生事件、源IP、目的IP、攻擊類型以及攻擊的URL等;提供實時智能模塊間聯(lián)動封鎖的源IP以便實現(xiàn)動態(tài)智能安全管理;
網(wǎng)絡適應性 支持ARP代理、靜態(tài)ARP綁定,配置DNS及DNS代理、支持DHCP中繼、DHCP服務器、DHCP客戶端;支持SNMP v1,v2,v3,支持SNMP Trap;支持靜態(tài)路由、RIP v1/2、OSPF、策略路由;支持鏈路探測,端口聚合,接口聯(lián)動;
包過濾與狀態(tài)檢測 提供靜態(tài)的包過濾和動態(tài)包過濾功能;支持的應用層報文過濾,包括:應用層協(xié)議:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245, RTP/RTCP)、SQLNET、MMS、PPTP等;傳輸層協(xié)議:TCP、UDP;
NAT地址轉換 支持多個內部地址映射到同一個公網(wǎng)地址、多個內部地址映射到多個公網(wǎng)地址、內部地址到公網(wǎng)地址一一映射、源地址和目的地址同時轉換、外部網(wǎng)絡主機訪問內部服務器、支持DNS映射功能;可配置支持地址轉換的有效時間;支持多種NAT ALG,包括DNS、FTP、H.323、SIP等
抗攻擊特性 支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺騙攻擊防范、ARP主動反向查詢、TCP報文標志位不合法攻擊防范、支持IP SYN速度限制、超大ICMP報文攻擊防范、地址/端口掃描的防范、DoS/DDoS攻擊防范、ICMP重定向或不可達報文控制等功能,此外還支持靜態(tài)和動態(tài)黑名單功能、MAC和IP綁定功能;
IPSEC VPN 支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法,并且支持擴展國密辦SCB2等其他加密算法支持MD5及SHA-1驗證算法;支持各種NAT網(wǎng)絡環(huán)境下的VPN組網(wǎng);支持第三方標準IPSec VPN進行對接;*總部與分支有多條線路,可在線路間一一進行IPSecVPN隧道建立,并設置主隧道及備份隧道,對主隧道可進行帶寬疊加、按包或會話進行流量平均分配,主隧道斷開備份隧道自動啟用,保證IPSecVPN連接不中斷;可為每一分支單獨設置不同的多線路策略;單臂部署下同樣支持多線路策略;
應用訪問控制策略 支持對1000種以上應用、2500種以上應用動作,可以識別P2P、IM、OA辦公應用、數(shù)據(jù)庫應用、ERP應用、軟件升級應用、木馬外聯(lián)、炒股軟件、視頻應用、代理軟件、網(wǎng)銀等協(xié)議;支持自定義規(guī)則; 提供基于應用識別類型、用戶名、接口、安全域、IP地址、端口、時間進行應用訪問控制列表的制定;
APT檢測 內置超過20萬的病毒,木馬,間諜軟件等惡意軟件特征庫,并且在不斷的持續(xù)更新特征內容;支持通過安全云實現(xiàn)虛擬沙盒動態(tài)檢測技術?蓹z測未知威脅在沙盒中對注冊表、文件系統(tǒng)等的修改,通過云端聯(lián)動的方式快速更新到各節(jié)點設備中,可實現(xiàn)快速統(tǒng)一的防護未知攻擊;
IPS入侵防護 微軟“MAPP”計劃會員,漏洞特征庫: 3500+并獲得CVE“兼容性認證證書”,能夠自動或者手動升級;防護類型包括蠕蟲/木馬/后門/DoS/DDoS攻擊探測/掃描/間諜軟件/利用漏洞的攻擊/緩沖區(qū)溢出攻擊/協(xié)議異常/ IPS逃逸攻擊等;防護對象分為保護服務器和保護客戶端兩大類,便于策略部署;漏洞詳細信息顯示:漏洞ID、漏洞名稱、漏洞描述、攻擊對象、危險等級、參考信息、地址等內容;支持自動攔截、記錄日志、上傳灰度威脅到“云端”
服務器防護 支持web攻擊特征數(shù)量2500+;支持Web網(wǎng)站隱藏,包括HTTP響應報文頭出錯頁面的過濾,web響應報文頭可自定義;支持FTP服務應用信息隱藏包括:服務器信息、軟件版本信息等;支持OWASP定義10大web安全威脅,保護服務器免受基于Web應用的攻擊,如SQL注入防護、XSS攻擊防護、CSRF攻擊防護、支持根據(jù)網(wǎng)站登錄路徑保護口令暴力破解;支持web站點掃描、web站點結構掃描、漏洞掃描等掃描防護;可嚴格控制上傳文件類型,檢查文件頭的特征碼防止有安全隱患的文件上傳至服務器,并支持結合病毒防護、插件過濾等功能檢查文件安全性;支持指定URL的黑名單、加入排除URL目錄,ftp弱口令防護、telnet弱口令防護等功能;
敏感信息防泄漏 內置常見敏感信息的特征,如身份證信息、MD5、手機號碼、銀行卡號、郵箱等,并可自定義具有特殊特征的敏感信息;支持正常訪問http連接中非法敏感信息的外泄防護;支持數(shù)據(jù)庫文件敏感信息檢測,防止數(shù)據(jù)庫文件被“拖庫”、“暴庫”;
風險評估 支持服務器、客戶端的漏洞風險評估功能,支持對目標IP進行端口、服務掃描;支持ftp、mysql、oracle、mssql、ssh、RDP、網(wǎng)上鄰居NetBIOS、VNC等多種應用的弱口令評估與掃描;支持SQL注入,SQL盲注,跨站腳本攻擊(XSS),跨站請求偽造(CSRF),操作系統(tǒng)命令,本地文件包含,遠程文件包含,暴力破解,弱密碼登錄,XPATH注入,LDAP注入,服務器端包含(SSI)等豐富的Web應用服務漏洞檢測;風險評估可以實現(xiàn)與FW、IPS、服務器防護模塊的智能策略聯(lián)動,自動生成策略;
實時漏洞分析 支持對經(jīng)過設備的流量被動進行分析,分析內容包括底層軟件漏洞分析,Web應用風險分析,Web不安全配置檢測以及服務器弱密碼檢測,并實時生成分析報告。具備單獨的針對服務器安全風險和潛在威脅的特征識別庫;
業(yè)務風險報表 提供基于用戶/業(yè)務的綜合風險報表,統(tǒng)計維度為用戶和業(yè)務而非IP地址;根據(jù)網(wǎng)絡風險狀況提供優(yōu)、良、中、差評級;攻擊統(tǒng)計提供所有檢測攻擊數(shù)和有效攻擊數(shù)兩個維度;報表內容呈現(xiàn)主動掃描的漏洞分布情況,匹配攻擊日志輸出已被攻擊的漏洞數(shù)和發(fā)現(xiàn)的所有漏洞數(shù)的統(tǒng)計報表;業(yè)務安全報表提供攻擊分析、漏洞評估、業(yè)務系統(tǒng)漏洞詳情等信息;用戶安全報表提供遭攻擊最多的用戶詳情、異常連接用戶詳情等信息;安全風險類型匯總基于業(yè)務系統(tǒng)遭受攻擊類型、業(yè)務系統(tǒng)存在最多漏洞類型、用戶遭受最多威脅類型進行統(tǒng)計;
網(wǎng)頁篡改防護 網(wǎng)關型網(wǎng)頁防篡改,無需在服務器中安裝任何插件;支持文件比對、特征碼比對、網(wǎng)站元素、數(shù)字指紋比對多種比對方式,保證網(wǎng)站安全;全面保護網(wǎng)站的靜態(tài)網(wǎng)頁和動態(tài)網(wǎng)頁,支持網(wǎng)頁的自動發(fā)布、篡改檢測、應用保護、警告和自動恢復,保證傳輸、鑒別、地址訪問、表單提交、審計等各個環(huán)節(jié)的安全,完全實時杜絕篡改后的網(wǎng)頁被訪問的可能性及任何使用Web方式對后臺數(shù)據(jù)庫的篡改;支持各級頁面模糊框架匹配、精確匹配的方式適用不同的網(wǎng)頁類型;支持提供管理員業(yè)務操作界面與網(wǎng)管管理界面分離功能,方便業(yè)務人員更新網(wǎng)站內容;支持通過替換、重定向等技術手段,防護篡改頁面;網(wǎng)站維護管理員必須通過短信認證才可進行網(wǎng)站更新業(yè)務操作(選配);支持短信報警、郵件報警、控制臺報警等多種篡改報警方式;
病毒防護 支持基于流引擎查毒技術,可以針對HTTP、FTP、SMTP、POP3等協(xié)議進行查殺;能實時查殺大量文件型、網(wǎng)絡型和混合型等各類病毒;并采用新一代虛擬脫殼和行為判斷技術,準確查殺各種變種病毒、未知病毒;內置10萬條以上的病毒庫,并且可以自動或者手動升級;檢測到病毒后支持記錄日志、阻斷連接;
Web過濾 對用戶web行為進行過濾,保護用戶免受攻擊;支持只過濾HTTP GET、HTTP POST、HTTPS等應用行為;并進行阻斷和記錄日志;支持針對上傳、下載等操作進行文件過濾;支持自定義文件類型進行過濾;支持基于時間表的策略制定;支持的處理動作包括:阻斷和記錄日志
流量管理 支持將多條外網(wǎng)線路虛擬映射到設備上,實現(xiàn)對多線路的分別流控;支持基于應用類型、網(wǎng)站類型、文件類型的帶寬劃分與分配;支持時間和IP的帶寬劃分與分配;
用戶管理 支持基于用戶名/密碼、單點登陸以及基于IP地址、MAC地址、計算機名的識別等多種認證方式;支持AD域結合、Proxy、POP3、web表單等多種單點登陸方式,簡化用戶操作;*可強制指定用戶、指定IP段的用戶必須使用單點登錄;支持添加到指定本地組、臨時賬號和不允許新用戶認證等新用戶認證策略;支持強制AD域認證,指定用戶必須用AD域賬戶登錄操作系統(tǒng),否則禁止上網(wǎng);認證成功的用戶支持頁面跳轉,包括最近請求頁面、管理員制定URL、注銷頁面等;支持CSV格式文件導入、掃描導入和從外部LDAP服務器上導入等賬戶導入方式;用戶分組支持樹形結構,支持父組、子組、組內套組等組織結構;
關鍵頁面雙因素認證 支持管理員頁面、管理后臺的短信強認證機制,要求至少提供URL、telnet、ssh三種方式的短信認證
高可用性 支持A/A,A/S模式部署,支持會話同步,配置同步和用戶信息同步;
網(wǎng)關管理 網(wǎng)管管理員具備安全管理員,審計員和系統(tǒng)管理員三種權限,安全管理員默認只允許安全策略和安全日志的查看和編輯權限;審計員默認只開放數(shù)據(jù)中心日志的查看和編輯權限,不具備設備的管理權限;系統(tǒng)管理員默認具備除安全功能外的其他系統(tǒng)管理權限,不具備設備的日志查看權限;支持SSL加密WEB方式管理設備;支持郵件、短信(可擴展)等告警方式,可提供管理員登錄、病毒、IPS、web攻擊以及日志存儲空間不足等告警設置;提供圖形化排障工具,便于管理員排查策略錯誤等故障;提供路由、網(wǎng)橋、旁路等部署模式的配置引導,提供保護服務器、保護內網(wǎng)用戶上網(wǎng)安全、保證內網(wǎng)用戶上網(wǎng)帶寬、保證遭到攻擊及時提醒和保留證據(jù)等網(wǎng)關應用場景的配置引導,簡化管理員配置;
日志管理與報表 能夠自定義時間段查詢DOS攻擊、web防護、IPS、病毒、web威脅、網(wǎng)站訪問、應用控制、用戶登錄、系統(tǒng)操作等多種安全日志查詢;提供可定義時間內安全趨勢分析報表;支持自定義統(tǒng)計指定IP/用戶組/用戶/應用在指定時間段內的服務器安全風險、終端安全風險等內容,并形成報表;支持將統(tǒng)計/趨勢等報表自動發(fā)送到指定郵箱;支持導出安全統(tǒng)計/趨勢等報表,包括網(wǎng)頁、PDF等格式;
3.3.2 上網(wǎng)行為管理AC
2005年,科技推出中國第一款專業(yè)上網(wǎng)行為管理產(chǎn)品,得益于提供的專業(yè)上網(wǎng)行為管理技術和業(yè)界性能最強的處理平臺,該產(chǎn)品的用戶數(shù)量已達18000多家,其中超過5000家為中高端客戶。正是由于客戶的大力支持,上網(wǎng)行為管理產(chǎn)品才能獲得市場占有率第一,成為業(yè)界第一品牌。
以大量創(chuàng)新技術和應用始終引領著中國上網(wǎng)行為管理的發(fā)展方向。上網(wǎng)行為管理產(chǎn)品以用戶識別、終端識別、應用識別為基礎,結合封堵、流控、審計等管理手段,全面應對互聯(lián)網(wǎng)給組織帶來的工作效率下降、帶寬效率下降、泄密風險、法律風險及上網(wǎng)安全風險等挑戰(zhàn),幫助組織有效管理組織的互聯(lián)網(wǎng)應用,充分發(fā)揮互聯(lián)網(wǎng)的價值。
功能列表
分類 詳細指標
部署模式 支持網(wǎng)關、網(wǎng)橋、旁路、多路橋接等部署模式,支持雙機熱備、多機部署、集中部署;
設備管理 支持Web、CLI、SSH等管理方式;管理員支持分級管理,能將所有功能模塊按需分配給不同管理員;多臺設備支持通過統(tǒng)一平臺集中管理、集中配置;提供圖形化排障工具,便于管理員排查策略錯誤等故障;
實時監(jiān)控 支持提供設備實時CPU、內存、硬盤占有率、會話數(shù)、在線用戶數(shù)、系統(tǒng)時間、網(wǎng)絡接口等設備資源信息;支持實時提供在線用戶信息、應用流量排名、連接排名、所有線路應用流速趨勢、流量管理狀態(tài)、連接監(jiān)控信息等;支持實時查看各帶寬通道的使用情況;支持實時顯示當天的安全狀況、最后發(fā)生安全事件的時間、類型、總次數(shù)、源對象;
用戶識別 支持以IP、MAC、IP/MAC綁定、用戶名密碼等方式認證用戶;支持LDAP/RADIUS/POP3/數(shù)據(jù)庫等第三方認證服務器;支持USB-KEY硬件特征;支持AD域/POP3/Proxy/Web/第三方系統(tǒng)單點登錄;支持指定網(wǎng)段/賬號強制單點登錄;支持賬號公有/私有控制;支持賬號有效期控制;用戶賬戶支持文本導入、IP/MAC掃描導入、或從AD服務器導入賬戶和組織結構信息;支持AD安全組嵌套同步;支持短信認證;
認證機制 新用戶支持根據(jù)源IP段以IP/MAC/計算機名等方式實現(xiàn)賬戶自動命名;支持認證沖突檢測;支持認證失敗后的權限管控;支持認證成功后的頁面跳轉控制;
終端檢測 能檢測操作系統(tǒng)版本/補丁、系統(tǒng)進程、硬盤文件、注冊表信息等終端特征、并能調用管理員自寫腳本實現(xiàn)個性化檢測;不滿足組織相關IT規(guī)定而未能通過檢測的終端予以提示或禁止其上網(wǎng);支持win 7 64位操作系統(tǒng),支持在旁路模式部署下生效;
網(wǎng)頁監(jiān)控 內置海量URL庫且支持手工創(chuàng)建、支持基于URL地址/搜索詞條/網(wǎng)頁正文內容包含的關鍵字過濾網(wǎng)頁訪問行為;同時可基于關鍵字過濾網(wǎng)絡發(fā)帖、Webmail郵件外發(fā)行為,支持能看帖但不準發(fā)帖、能收郵件但不準發(fā)郵件的細致管控功能;對于未包含在URL庫里的其他海量網(wǎng)頁通過網(wǎng)頁智能識別管控;
高級管控 支持過濾SSL加密網(wǎng)址,并能基于關鍵字過濾SSL加密的網(wǎng)絡發(fā)帖和Webmail;能夠識別和過濾使用公網(wǎng)代理或自由門/無界瀏覽器等加密代理軟件來師徒規(guī)避管理的行為;能夠管控通過安裝代理軟件將自己的上網(wǎng)權限共享給其他人的行為;
文件控制 支持HTTP上傳/FTP/Email附件等形式的外發(fā)文件行為,支持基于擴展名識別并攔截外發(fā)文件;支持識別并攔截經(jīng)過篡改/刪除擴展名、壓縮、加密后外發(fā)的文件(選配);支持控制通過web IM傳文件的行為,支持審計IM傳文件行為及內容;
應用控制 內置支持1600種以上網(wǎng)絡主流應用,管理IM、web IM、微博、網(wǎng)絡游戲、網(wǎng)絡炒股、P2P、流媒體、遠程控制、木馬、代理翻墻軟件、移動APP等常用網(wǎng)絡應用;支持應用更新版本后的主動識別和控制;支持給每種應用定義標簽,通過選擇標簽指定多個應用;
P2P智能識別 通過DPI技術識別BT、迅雷、電騾等30余種常見P2P應用協(xié)議,利用智能P2P識別技術實現(xiàn)變種P2P、未知P2P應用的全面識別和管理;
郵件管控 支持完全封堵郵件收發(fā)行為;支持基于關鍵字、收發(fā)件人地址等多種條件過濾包括SSL加密郵件在內的外發(fā)郵件;支持郵件延遲審計技術、可根據(jù)預設條件攔截外發(fā)郵件,通過人工審核后再允許外發(fā);
上網(wǎng)安全 設備具有安全桌面功能,通過權限設置,使病毒、木馬及間諜軟件無法進入真實電腦系統(tǒng),防中毒防泄密;設備內置惡意網(wǎng)址庫,對惡意網(wǎng)址進行匹配和過濾,識別外網(wǎng)病毒、危險插件、惡意腳本、掛馬網(wǎng)站等;支持識別和封堵無界瀏覽、自由門及在線代理,包括HTTP在線代理和HTTPS在線代理的翻墻行為;內置防火墻,能夠防御DOS攻擊、ARP欺騙等影響網(wǎng)關穩(wěn)定性的多種安全風險;支持識別內網(wǎng)已經(jīng)感染病毒、木馬、間諜軟件、被黑客控制的危險終端,并自動向管理員提出告警(選配);內置專業(yè)殺毒引擎,支持網(wǎng)關殺毒功能(選配);
上網(wǎng)授權 支持桌面訪問權限設置,智能使用安全桌面訪問外網(wǎng),使用默認桌面訪問局域網(wǎng),實現(xiàn)雙網(wǎng)隔離,保障信息安全;支持與組織結構一致的多級用戶賬號管理方式,可基于用戶賬號、IP、應用、行為、內容、時間段等多種因素管控上網(wǎng)權限;結合對象化的上網(wǎng)策略模板,實現(xiàn)上網(wǎng)權限在不同用戶用戶組間的復用、集成、強制集成等效果;支持對指定用戶的指定應用行為累計使用時長及最高流速進行監(jiān)控,超出配額將自動彈出提醒對話框智能提醒用戶自行采取措施解決,充分減少管理員人工干涉的工作量;
流量管理 支持多線路復用、智能選路、虛擬線路、虛擬子通道、動態(tài)流控等功能;可基于應用類型/網(wǎng)站類型/文件類型及用戶、時間、目標IP等條件分配帶寬資源;支持由外網(wǎng)訪問內網(wǎng)的流控和帶寬平均分配效果;
上網(wǎng)審計 記錄訪問的網(wǎng)頁地址、標題、(含關鍵字網(wǎng)頁)內容;記錄HTTP、FTP等外發(fā)文件行為及內容,記錄下載文件名及行為;記錄明文及SSL加密論壇發(fā)帖,記錄明文及SSL加密的Email、Webmail;記錄IM聊天及Web IM聊天內容;記錄網(wǎng)游、炒股、影音娛樂、P2P下載、Telnet等應用行為;支持發(fā)送微博的行為和微博內容審計,支持審計微博上傳附件;支持智能終端web IM聊天行為的審計,支持智能終端發(fā)送微博的行為審計;提示木馬、病毒等危險行為;統(tǒng)計用戶流量、上網(wǎng)時長等信息;支持行為和內容分開審計;支持對網(wǎng)頁過濾和審計分開控制,支持審計指定類型的URL;可審計外網(wǎng)用戶在內網(wǎng)服務器上的網(wǎng)頁/文件/郵件等訪問行為;數(shù)據(jù)中心支持網(wǎng)頁快照功能查看,審計網(wǎng)頁的內容;
免審計Key 避免對持有免審計Key人員的上網(wǎng)審計,且免審計狀態(tài)不可由系統(tǒng)管理員私自變更(選配);
日志審查Key 管理過程記錄的各類審計日志,數(shù)據(jù)中心管理員需持日志審查Key才能查看詳細日志信息(選配);
數(shù)據(jù)中心 支持內置和獨立數(shù)據(jù)中心,海量存儲日志,可實現(xiàn)不同管理員根據(jù)自己的管理對象分級審計;
報表 支持多種報表,包括統(tǒng)計報表、趨勢報表、匯總報表、對比報表、自定義報表等常規(guī)報表,以及風險智能報表、關鍵字報表、熱帖報表等高級報表;實現(xiàn)用戶及用戶組的上網(wǎng)流量、時間、行為的查詢、統(tǒng)計、排行等各類統(tǒng)計報表功能,提供危險行為用戶排行、網(wǎng)站訪問時長排行等數(shù)百種細節(jié)報表;
內容檢索 提供類似Google的日志檢索工具,管理者可輸入多個關鍵字實現(xiàn)對日志的快速定位,包括對日志附件正文內容的檢索和定位;支持主題訂閱,自動將檢索結果以Email形式發(fā)送到指定郵箱;
3.3.3 SSL VPN
作為國家SSL VPN標準的核心制定者之一,SSL VPN產(chǎn)品是國內業(yè)界應用最廣泛、最完善的SSL安全訪問解決方案。
據(jù)國際權威調查機構FROST & SULLIVAN 2011年和2012年調查報告顯示,SSL VPN分別以39.2%和40.3%的市場占有率獨占鰲頭。SSL VPN大量大規(guī)模、高并發(fā)客戶案例為同行業(yè)之最,已連續(xù)四年保持國內市場占有率第一。
功能列表 | ||
功能 分類 |
詳細指標 | |
部署 模式 |
網(wǎng)關模式、單臂(旁路)模式、 多機熱備模式、集群模式、分布式集群模式 | |
支持性 | 完整支持Window2000/XP/2003/Vista/Win7/Win8、Linux、Mac OS、Android、IOS等主流操作系統(tǒng) | |
完整支持IE、Firefox、Safari、Google Chrome、Opera、采用IE內核的主流瀏覽器 | ||
快速性 | 支持路由和單臂模式下的基于Web的多線路智能選路(選配),客戶端無需安裝插件 | |
支持Web服務壓縮、C/S服務壓縮(LZO、GZIP)、動態(tài)壓縮算法、Web優(yōu)化技術、WebCache技術、IPTunnel加速技術,全面提升B/S應用和C/S應用的訪問速度 | ||
支持單邊加速功能,支持web服務,TCP服務,L3VPN服務,遠程應用發(fā)布的單邊加速 | ||
支持HTP高速傳輸協(xié)議,保證高丟包高延時環(huán)境下的快速訪問 | ||
支持資源負載均衡,根據(jù)不同的權值實現(xiàn)負載接入,提高接入效率 | ||
|
支持國際算法標準AES、DES、3DES、DH、RSA、RC4、MD5、SHA1等加密算法; 支持中國國家標準GM/T系列的SM2、SM3、SM4等算法,支持加載擴展SM1硬件加密卡 |
|
支持本地認證、基于GSM/CDMA短信貓、短信網(wǎng)關的短信認證(選配)、動態(tài)令牌(選配)、硬件特征碼、有驅及無驅USB Key、第三方與自建CA、LDAP、RADIUS等多種認證方式的組合認證,可支持5因素捆綁認證;支持終端的基于IP和用戶名的防暴破登錄和多種密碼安全策略;從綁定實現(xiàn)SSL VPN賬號與應用系統(tǒng)賬號的唯一綁定 | ||
支持客戶端安全配置權限控制,允許或禁止私用用戶自行配置密碼、手機號碼及用戶描述;支持客戶端注銷后自動清除所有緩存、瀏覽器歷史記錄、保存的表單信息等,實現(xiàn)零痕跡訪問;可配置含Vista/Win7下的VPN專線功能 | ||
支持進行操作系統(tǒng)、文件、進程、注冊表、用戶接入IP、登錄IP、登錄時間、接入終端等規(guī)則的“與或”組合進行登錄前和登錄后的客戶端安全檢測,可配置準入和授權策略;支持客戶端安全策略庫,并支持自動升級 | ||
可配置匿名登錄用戶,只提供SSL加密隧道傳輸 | ||
支持服務資源隱藏、URL地址偽裝 | ||
實現(xiàn)針對資源的IP地址、端口、服務、URL級別等實現(xiàn)基于角色的細粒度權限分配功能 | ||
支持基于狀態(tài)監(jiān)測的防火墻功能,支持防DoS攻擊;支持防火墻過濾規(guī)則在線虛擬測試 | ||
易用性 | 支持B/S、C/S應用的單點登錄,可允許用戶自行修改SSO登錄帳號,支持NTLM、BASIC單點登錄 | |
支持虛擬門戶功能,為不同的用戶配置獨立擁有IP、域名、認證方式、訪問資源等元素,實現(xiàn)更高隔離的安全性。 | ||
支持系統(tǒng)托盤及懸浮窗口;支持SSL VPN開機自動登錄、桌面快捷方式啟動、C/S客戶端方式啟動;可配置用戶登錄后默認服務頁面;支持自定義資源組、資源圖標化顯示;管理員可在線對登錄用戶發(fā)布即時廣播消息 | ||
支持User權限登錄正常使用SSL VPN;支持域控下發(fā)控件;支持ISA代理環(huán)境下無縫接入;支持內網(wǎng)DNS | ||
支持用戶、用戶組、各種資源的查詢和排行功能;支持資源導入導出,支持csv格式導出 | ||
支持4套頁面模板和頁面完全定制,支持界面顏色、頁面標題、LOGO、用戶公告信息自定義 | ||
支持智能遞推功能,防止資源漏訪 | ||
支持用戶/用戶組的流量管理、會話控制、超時時間設置、閑置時間設置;會話管理可全局配置 | ||
支持LDAP、RADIUS分配虛擬IP,支持基于用戶、用戶組分配不同的虛擬IP | ||
支持16級用戶分級,支持下級組對上級組的角色、組屬性及認證方式繼承 | ||
穩(wěn)定性、可擴展性 | 支持VPN隧道的斷線自動重連;多線路部署下,客戶端可實時監(jiān)控隧道健康狀態(tài)并進行隧道的線路間切換,切換過程中保持SSLVPN連接不中斷 | |
支持高達253個站點集群功能,支持不同型號、低端型號設備集群(選配),支持集群設備間的Session同步,承載設備切換后用戶無需重新登錄SSLVPN;可擴展異地分布式集群功能(選配) | ||
可管理功能 | 支持管理員16級分級分權限管理,支持配置模塊、用戶/資源/角色的查看、配置權限授予不同管理員;支持用戶組流量、會話配置的強制繼承,支持用戶組屬性的強制繼承和可選繼承;支持管理員登錄IP限制 | |
支持系統(tǒng)實時監(jiān)控,實時顯示CPU、內存、硬盤、線路運行狀態(tài),查看實時接入用戶會話數(shù)、發(fā)送/接收流速、發(fā)送/接收流量、接入時間等信息,并可在線中斷指定用戶;支持查看歷史最高并發(fā)用戶數(shù) | ||
支持Web/CLI/SSH管理,支持Telnet管理;支持SNMP、Syslog;支持本地和遠程備份及恢復;支持SSLVPN配置的單獨備份及恢復,支持配置的回滾 | ||
支持獨立日志服務器提供多種日志類型,支持基于用戶、用戶組、流量、資源多因素的柱狀圖、曲線圖等多種報表,可定時發(fā)送報表;支持多臺設備日志統(tǒng)一到一臺日志服務器,支持日志服務器的管理員分級管理。 | ||
IPSec功能 | 支持IPSec VPN,支持與第三方國際標準的IPSec VPN進行對接 | |
遠程應用發(fā)布功能 | 支持遠程應用發(fā)布功能,可以無需二次開發(fā),即把Windows應用發(fā)布到移動智能終端中。 | |
手機客戶端必須經(jīng)過蘋果公司/谷歌公司官方檢測官方檢測,并發(fā)布在蘋果官方應用商店appstore/ PlayGoogle中。 | ||
支持本地磁盤資源映射、本地打印機、本地串行口、本地智能卡,本地輸入法;支持剪切板,并能夠實現(xiàn)剪貼板數(shù)據(jù)流雙向控制。 | ||
支持云盤功能,即能將手機、PAD、PC電腦中的文檔、照片等上傳到云端,或下載到本地終端。并實現(xiàn)基本的復制、剪切、粘貼、新建、重命名等操作。 | ||
支持直接調用手機或PAD攝像頭,實現(xiàn)拍照;蛟L問手機本地照片庫,調用已拍的照片。 | ||
支持應用權限控制項,不得通過遠程應用訪問任何未經(jīng)授權的windows資源,至少應該包括:未經(jīng)授權的應用程序、注冊表、任務管理器、資源管理器、控制面板、cmd命令提示行、Win+R運行命令行、管理選型、映射網(wǎng)絡驅動器選型、斷開網(wǎng)絡驅動器選型、回收站、網(wǎng)上鄰居等。并支持隱藏本地原有磁盤,僅提供公共磁盤。 | ||
支持會話復用功能,即當存在多臺終端發(fā)布服務器且未設置集中存儲時時,同一用戶的同一會話必須始終發(fā)布到同一終端服務器。 | ||
支持對終端服務器的實時監(jiān)測,包括服務器綜合狀態(tài)、CPU使用率、內存使用率、磁盤I/O、遠程應用會話數(shù)、服務器當前會話數(shù)等,能通過服務器綜合性能實現(xiàn)智能負載均衡。 |
3.3.4 應用交付AD
AD產(chǎn)品作為專業(yè)的應用交付設備,能夠為用戶的應用發(fā)布提供包括多數(shù)據(jù)中心負載均衡、多鏈路負載均衡、服務器負載均衡的全方位解決方案。配合性能優(yōu)化、單邊加速以及多重智能管理等技術,實現(xiàn)對各個數(shù)據(jù)中心、鏈路以及服務器狀態(tài)的實時監(jiān)控,同時根據(jù)預設規(guī)則將用戶的訪問請求分配給相應的數(shù)據(jù)中心、鏈路以及服務器,進而實現(xiàn)數(shù)據(jù)流的合理分配,使所有的數(shù)據(jù)中心、鏈路和服務器都得到充分的利用。不僅擴展應用系統(tǒng)的整體處理能力,提高其穩(wěn)定性,更可切實改善用戶的訪問體驗,降低組織的IT投資成本。
功能全面:應用交付解決方案包含全局負載均衡、多鏈路負載均衡、服務器負載均衡三位一體,幫助用戶提高多數(shù)據(jù)中心、多鏈路、服務器資源的利用率。
高性價比:AD系列應用交付產(chǎn)品打破國外廠商壟斷,在無需購買額外授權的情況下,一臺設備具備了三大負載均衡功能,并直接開通SSL加速、緩存、壓縮等眾多優(yōu)化功能,獲得超出業(yè)界同類產(chǎn)品的投資回報。
快速、智能
單邊加速功能:獨一無二的單邊加速功能,用戶客戶端無需安裝任何插件或軟件即可提升訪問速度。打造穩(wěn)定智能的業(yè)務發(fā)布平臺,使得用戶可以更快更穩(wěn)定地訪問發(fā)布內容。
商業(yè)智能分析:AD應用交付產(chǎn)品在保證數(shù)據(jù)交互穩(wěn)定性的前提下,不僅可以知悉組織網(wǎng)絡、服務器以及數(shù)據(jù)中心的運行狀況,更可幫助組織分析自身的業(yè)務系統(tǒng)運行狀況,進而為高層的網(wǎng)絡優(yōu)化和業(yè)務優(yōu)化提供決策依據(jù)。
智能優(yōu)化技術:DNS透明代理、鏈路/服務器擁塞繁忙保護、智能路由、短信/郵件智能告警技術進一步提升各類資源的利用率,增強用戶的訪問體驗。
3.3.5 桌面云aDesk
企事業(yè)單位中,不同員工對桌面性能和個性化需求是不一樣的,有些可能需要簡易、標準化的桌面,有些可能需要高性能、個性化的桌面,有些可能僅需通過訪問個別應用程序進行移動辦公。利用SRAP桌面交付技術可以滿足多種類型的桌面,實現(xiàn)具備靈活性、安全性、可擴展性的一站式桌面虛擬化解決方案。
桌面云---三大關鍵組件
虛擬機管理軟件VMS:構建資源動態(tài)化、可彈性調度的服務器集群環(huán)境,通過虛擬機可承載桌面環(huán)境,最終實現(xiàn)對物理資源的完全控制、統(tǒng)一桌面資源池管理和性能監(jiān)控等;
虛擬桌面控制器VDC:與VMS協(xié)同工作,提供桌面用戶認證管理、桌面/應用資源訪問控制、虛擬桌面創(chuàng)建及啟動、桌面監(jiān)控等功能,實現(xiàn)以更低成本、更安全、更可靠地交付Windows桌面;
瘦客戶機aDesk:獨特ARM架構,基于Android平臺的瘦終端設備,打造綠色辦公環(huán)境。
桌面虛擬化主要優(yōu)勢特性:
− 靈活訪問:用戶可從任何地方,通過任意網(wǎng)絡、任意客戶端訪問屬于自己的桌面環(huán)境。
− 管理簡化:桌面的管理和配置都統(tǒng)一在數(shù)據(jù)中心進行,軟件更新、系統(tǒng)升級快速、有效。
− 節(jié)能減排:瘦終端能耗低,小巧無污染,真正實現(xiàn)綠色IT。
− 數(shù)據(jù)安全:所有數(shù)據(jù)都存放在數(shù)據(jù)中心,網(wǎng)絡中傳輸?shù)膬H僅是圖像信息,可有效實現(xiàn)核心數(shù)據(jù)防泄密。
− 數(shù)據(jù)保護:基于磁盤鏡像的備份和恢復,輕松恢復原始狀態(tài),保障數(shù)據(jù)不丟失。
− 穩(wěn)定可靠:虛擬桌面部署于數(shù)據(jù)中心,有更有效的冗余機制,穩(wěn)定性更高。
3.3.6 WLAN
智能識別
精細化的應用識別與管控
結合無線控制器對應用層流量進行識別,并對其識別出的內容進行有效的管理。讓無線網(wǎng)絡的管理從底層提升到了應用層。
全面的終端識別
終端識別功能,實現(xiàn)無線網(wǎng)絡的管理能夠基于不同的操作系統(tǒng)。
URL識別與管控
獨有的URL識別技術,對識別出的URL進行管控,讓無線網(wǎng)絡的管理真正達到精細化。
應用加速
應用加速技術
無線環(huán)境下,干擾易造成丟包和延遲,獨有的協(xié)議棧加速技術,同等條件下,能提高2-8倍無線傳輸速度,有效提升無線接入體驗,。
平均帶寬分配
由于所有終端搶到的空口機會均等,高速率終端每次快速發(fā)完自己的數(shù)據(jù)后都要等待低速終端慢騰騰的發(fā)完它的數(shù)據(jù),所以,高速率終端的性能基本上與低速率終端的性能是一樣的,顯然,整體的性能也被大幅拉了下來。所以,當環(huán)境中存在低速率用戶時,需降低其對整體性能的影響。無線控制器支持用戶平均分配帶寬,根據(jù)時間公平算法,防止單個用戶拉低網(wǎng)絡整體速度。
廣播優(yōu)化
在無線網(wǎng)絡使用過程中,會有很多廣播包在信道中傳遞,很大程度的影響了正常業(yè)務數(shù)據(jù)的傳遞。全系列無線接入點針對廣播包發(fā)送機制優(yōu)化,減少廣播報浪費過多資源,從而保證了正常業(yè)務數(shù)據(jù)的帶寬。
智能頁面推送
自定義信息推送中心
結合無線控制器自定義頁面推送,能基于SSID,AP,用戶組去推送不同的頁面。同時,支持認證前推送以及認證后推送,二次營銷。終端自適應技術能夠保障終端頁面自適應,提高了用戶體驗。
便捷的訪客管理——二維碼認證
訪客連接WiFi后,內網(wǎng)系統(tǒng)向訪客終端自動推送二維碼,內部接待員工掃一掃,系統(tǒng)通過認證返回提示,只需簡單2步即可完成認證過程。
短信認證
終端連接WiFi后,通過接收短信獲取驗證碼,快速認證,方便快捷。同時,用戶通過短信認證上網(wǎng),支持手機號采集與導出,為商業(yè)營銷及分析提供依據(jù);在用戶接入無線網(wǎng)絡時,根據(jù)用戶名、用戶組、位置的區(qū)別進行個性化通知和廣告推送;支持WiFi在線時長管理,促進用戶互動,同時防止蹭網(wǎng)、長時間在線等方式造成資源耗用
微信認證
通過獨有的應用識別技術進行微信識別,認證前放通微信流量,待訪客終端關注某官方微信過后,通過微信進行認證上網(wǎng)。并且后期可以通過此微信推送促銷信息,達到良好的互動營銷效果。
3.4 運營管理單元
運營管理單元主要由云平臺控制器、教室電腦、云漏洞仿真平臺組成,主要特點有:
課件多樣化、豐富教學活動
為保障和豐富教務工作開展,攻防演練平臺內置多元化、層次化、實用化的教學課件,課件涵蓋主機安全、數(shù)據(jù)庫安全、應用安全、數(shù)據(jù)安全、漏洞利用、木馬病毒、網(wǎng)絡攻防、PKI應用、安全設備等。
一站式教學,教學輕松實用
信息安全試驗要求動手能力強,學生在參與過程中可能會遇到卡殼、軟件故障等突發(fā)情況。攻防實驗室平臺教師端可以全程監(jiān)控學生試驗進展,可隨時接管學生機以協(xié)助分析問題原因;同時為滿足教學考試要求,平臺還提供教學考試功能,教師提前準備、導入、下發(fā)考卷試題,學生登錄后便可直接參加考試并進行自動閱卷打分。
多元化仿真,動手能力更強
攻防演練平臺集成多元化的漏洞練習與防護單元,可模擬出網(wǎng)絡安全攻擊與防護(網(wǎng)絡掃描、遠程溢出、暴力破解、IPS、FW等)、WEB應用安全攻擊與防護(SQL注入漏洞、命令執(zhí)行、XSS、CSRF、Web應用防火墻等)等典型網(wǎng)絡入侵防護技能知識。