【文章內(nèi)容簡(jiǎn)介】 8 因此，多核架構(gòu)最能滿足安全產(chǎn)品高性能、低功耗、高靈活性、易升級(jí)的要求，更能適應(yīng)安全產(chǎn)品向深層過濾發(fā)展、支持更多應(yīng)用協(xié)議的發(fā)展趨勢(shì)。 高效一體化的多核并行操作系統(tǒng) 有了多核的硬件架構(gòu)，還必須在全線多核并行操作系統(tǒng)的配合下，才能充分發(fā)揮多核的優(yōu)勢(shì)。我們可以從下面的分析看到一 個(gè)高效的并行操作系統(tǒng)對(duì)于系統(tǒng)性能的影響。 衡量一個(gè)多核并行系統(tǒng)設(shè)計(jì)能力的數(shù)學(xué)模型為著名的 Amdahl 定律： Amdahl 定律： 其中三個(gè)影響加速比的關(guān)鍵因素是： S 表示系統(tǒng)設(shè)計(jì)中串行執(zhí)行的比例； n表示多核的處理器個(gè)數(shù)， H(n)表示系統(tǒng)開銷。 例如：串行比例 3%， 32 個(gè)核， H(n)＝ 0,理論最高性能 speedup＝ 倍 串行比例 30%， 32 個(gè)核， H(n)＝ 0,理論最高性能 speedup＝ 倍 也就是說，如果數(shù)據(jù)處理流程的算法設(shè)計(jì)很差，性能相差將 倍！ 例如：串行比例 30%， 2 個(gè)核， H(n)＝ 0,理論最高性能 speedup＝ 倍 串行比例 30%， 2 個(gè)核， H(n)=40%,實(shí)際性能 speedup＝ 倍 也就是說，如果多核之間的并行系統(tǒng)開銷設(shè)計(jì)很差，性能可能讓多核不如單核！ 由此可見，在安全并行操作系統(tǒng)中，能否有效降低串行執(zhí)行比例和降低交互開銷決定了能否充分發(fā)揮多核的性能，其中的關(guān)鍵在于：合理劃分任務(wù)、減少核間通信。 整個(gè)系統(tǒng)任務(wù)可以按數(shù)據(jù)、功能等多個(gè)維度劃分為若干子任務(wù)，分別由不同的核來執(zhí)行這些子任務(wù)。 合理的任務(wù)分解方案使得不同任務(wù)相對(duì)獨(dú)立，既降低了串 行執(zhí)行比例，也減少了核間通信的需求。此外，減少核間通信的技術(shù)還包括異步并行、無鎖編程等技術(shù)。 異步并行技術(shù)與同步并行技術(shù)相對(duì)應(yīng)。后者是同步處理的一般模式，指的是一個(gè)核執(zhí)行任務(wù)到某個(gè)時(shí)刻必須與其它核進(jìn)行數(shù)據(jù)交換，然后才能繼續(xù)進(jìn)行；前 中國(guó)農(nóng)業(yè)科學(xué)院圖書館項(xiàng)目專用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計(jì)算機(jī)終端）采購 項(xiàng)目（第 3 包） －投標(biāo)書 中國(guó)電信集團(tuán)系統(tǒng)集成有限責(zé)任公司 9 者是對(duì)同步處理的優(yōu)化，數(shù)據(jù)交換不必嚴(yán)格在某個(gè)時(shí)刻進(jìn)行，可以集中進(jìn)行數(shù)據(jù)交換，從而減少交互的次數(shù)和時(shí)間。 無鎖編程是減少核間通信的另一個(gè)思路，通過精心設(shè)計(jì)的數(shù)據(jù)結(jié)構(gòu)，兩個(gè)核可以完全不進(jìn)行任務(wù)同步，同時(shí)又能協(xié)同進(jìn)行工作。 向應(yīng)用層過濾發(fā)展、支持更多應(yīng)用協(xié)議 當(dāng)前，攻擊行為呈現(xiàn)多層次化， 已經(jīng)逐步從傳統(tǒng)的 Synflood、 Udpflood、端口掃描等網(wǎng)絡(luò)層攻擊發(fā)展到 HTTP Get、 CC 等應(yīng)用層拒絕服務(wù)攻擊，這些新的應(yīng)用層攻擊數(shù)據(jù)量和連接頻率都不高，使用傳統(tǒng)的檢測(cè)手段根本無法檢測(cè)和抵御。只有對(duì)內(nèi)容進(jìn)行深度檢測(cè)和分析，才能發(fā)現(xiàn)并有效防御。 同時(shí)，新的網(wǎng)絡(luò)應(yīng)用層出不窮，網(wǎng)絡(luò)中已經(jīng)不單單是傳統(tǒng)的 HTTP、 MAIL、FTP 等應(yīng)用協(xié)議數(shù)據(jù)了，網(wǎng)絡(luò)視頻、流媒體、在線游戲、即時(shí)通信、 P2P 下載等應(yīng)用已經(jīng)成為了網(wǎng)絡(luò)中的“絕對(duì)主力”。這些新的應(yīng)用不僅僅占用了大量的網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)擁塞，更可怕的是迅雷等即時(shí)通 訊軟件協(xié)議以及其他應(yīng)用于互聯(lián)網(wǎng)的協(xié)議已經(jīng)成為了惡意者實(shí)施攻擊的承載協(xié)議。 于是，對(duì)這些新的應(yīng)用協(xié)議進(jìn)行細(xì)粒度的控制，并對(duì)這些協(xié)議進(jìn)行完全的內(nèi)容過濾越來越必要。比如，識(shí)別并限制 P2P 占用的帶寬、連接數(shù)，以限制其對(duì)網(wǎng)絡(luò)資源的過渡占用；對(duì)各種應(yīng)用協(xié)議進(jìn)行深度檢測(cè)并限制其操作權(quán)限，避免其成為黑客攻擊的載體。 從工具轉(zhuǎn)變?yōu)橹? 當(dāng)前網(wǎng)絡(luò)狀況下，網(wǎng)絡(luò)安全問題日益嚴(yán)重，要求網(wǎng)絡(luò)管理員對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行嚴(yán)格、精細(xì)的管理和限制。而網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜，網(wǎng)絡(luò)接入方式越來越靈活，網(wǎng)絡(luò)內(nèi)部主機(jī)越來越多，新的應(yīng)用層出不窮，對(duì)外提供的服務(wù)也 越來越豐富，這給網(wǎng)絡(luò)管理員帶來了前所未有的壓力。 一方面，內(nèi)部網(wǎng)絡(luò)不斷的有主機(jī)或者服務(wù)器加入，網(wǎng)絡(luò)管理員要根據(jù)內(nèi)部主機(jī)情況，實(shí)時(shí)調(diào)整策略，對(duì)于一個(gè)大的網(wǎng)絡(luò)，要求各個(gè)部門通報(bào)新增或者離開的 中國(guó)農(nóng)業(yè)科學(xué)院圖書館項(xiàng)目專用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計(jì)算機(jī)終端）采購 項(xiàng)目（第 3 包） －投標(biāo)書 中國(guó)電信集團(tuán)系統(tǒng)集成有限責(zé)任公司 10 主機(jī)，根本無法保證實(shí)時(shí)性，而對(duì)于那些經(jīng)常有臨時(shí)用戶加入或者離開的網(wǎng)絡(luò)，其工作量對(duì)于網(wǎng)絡(luò)管理員也是無法承受的。 另一方面，隨著電子政務(wù)、網(wǎng)上辦公、電子商務(wù)等信息化建設(shè)，網(wǎng)絡(luò)中新的服務(wù)和應(yīng)用不斷涌現(xiàn)，需要管理員不停的增加安全策略，以開啟越來越多的對(duì)外應(yīng)用端口。然而，一些應(yīng)用會(huì)同時(shí)使用多個(gè)端口，而且這些端口會(huì)不斷的變化。統(tǒng)計(jì)各種新 應(yīng)用和使用的端口給管理員帶來了巨大的工作量，更為嚴(yán)重的是，從統(tǒng)計(jì)新的應(yīng)用和端口，到最終調(diào)整安全策略需要很長(zhǎng)的時(shí)間，這將會(huì)大大降低網(wǎng)上辦公效率，對(duì)于那些商業(yè)類應(yīng)用，則會(huì)給用戶帶來巨大的經(jīng)濟(jì)損失。 綜上所述，在當(dāng)前嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)下，新的主機(jī)、新的服務(wù)不斷的加入和變化，給網(wǎng)絡(luò)管理員帶來了巨大的工作量，而且由于無法及時(shí)調(diào)整安全策略，網(wǎng)絡(luò)管理員們?cè)谄渌鼧I(yè)務(wù)部門中的滿意度大幅下降，這一切已使得他們不堪重負(fù)。防火墻作為最重要的網(wǎng)絡(luò)邊界訪問控制設(shè)備，需要從易用性上做的更多，需要能夠幫助網(wǎng)絡(luò)管理員實(shí)時(shí)了解內(nèi)網(wǎng)網(wǎng)絡(luò)狀況和隨 時(shí)的變化，并能夠幫助他們及時(shí)、動(dòng)態(tài)的調(diào)整安全策略。這樣可以大大減少網(wǎng)絡(luò)管理員的工作量，也就是說防火墻對(duì)于用戶正在逐步從復(fù)雜的工具轉(zhuǎn)變?yōu)橐子玫闹帧? 網(wǎng)神 SecGate 3600 防火墻基于高性能、高穩(wěn)定性的多核處理器架構(gòu)硬件平臺(tái)和多核并行操作系統(tǒng)新一代 SecOS 推出的全線多核下一代防火墻產(chǎn)品。在產(chǎn)品性能、功能、穩(wěn)定性、易升級(jí)、易用性管理等方面都有了明顯的突破，能夠帶給用戶全新的使用感受。 網(wǎng)神防火墻產(chǎn)品的穩(wěn)定性 網(wǎng)神 SecGate3600 防火墻的穩(wěn)定性包括硬件成熟度和技術(shù)穩(wěn)定性兩方面。 硬件成熟度層面： 網(wǎng)神 SecGate3600 防火墻由網(wǎng)神自主研發(fā)，系統(tǒng)高效、可靠，并且采用了高可靠性的硬件平臺(tái)和生產(chǎn)工藝，產(chǎn)品出廠前經(jīng)過了 27 道檢測(cè)工序，超過 72 小時(shí)高溫老化以及 100 小時(shí)的高壓力測(cè)試，產(chǎn)品穩(wěn)定可靠， MTBF高達(dá) 80000 小時(shí)，在多個(gè)項(xiàng)目中穩(wěn)定使用。網(wǎng)神 SecGate3600 防火墻已獲得市場(chǎng)一致認(rèn)可，并在客戶群中有很好的口碑，連續(xù)數(shù)年取得多個(gè)獎(jiǎng)項(xiàng)： ? 20xx 中國(guó)信息安全技術(shù)創(chuàng)新獎(jiǎng)（ SecOS 安全操作系統(tǒng)） ? 20xx 年度中國(guó) CSO 信賴獎(jiǎng)（ SecGate 防火墻） 中國(guó)農(nóng)業(yè)科學(xué)院圖書館項(xiàng)目專用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計(jì)算機(jī)終端）采購 項(xiàng)目（第 3 包） －投標(biāo)書 中國(guó)電信集團(tuán)系統(tǒng)集成有限責(zé)任公司 11 ? 20xx 中國(guó)信息安全值得信賴品牌獎(jiǎng) ? 20xx 中國(guó)信息安全優(yōu)秀防火墻產(chǎn)品獎(jiǎng) ? 中國(guó)計(jì)算機(jī)報(bào) 20xx 年度編輯選擇技術(shù)之星（ SecGate 防火墻） ? 中國(guó)信息安全產(chǎn)業(yè)十大品牌企業(yè) ? 20xx20xx 中國(guó)防火墻市場(chǎng)創(chuàng)新產(chǎn)品獎(jiǎng) ? 20xx 年度中國(guó)信息安全值得信賴品牌獎(jiǎng) ? 20xx20xx 中國(guó)防火墻市場(chǎng)創(chuàng)新產(chǎn)品 ? 20xx 中國(guó)應(yīng)用安全最佳行業(yè)產(chǎn)品獎(jiǎng) ? 20xx 中國(guó)電腦商 500 強(qiáng)之供應(yīng)商 100 強(qiáng) ? 20xx 年度最值得 CSO 信賴的行業(yè)安全解決方案（電子政務(wù)） ? 20xx 年中國(guó)值得 CSO 信賴的信息安全企業(yè) ? 為奧組委提供產(chǎn)品及服務(wù)方案 技術(shù) 層面： 網(wǎng)神 SecGate3600 防火墻具備業(yè)內(nèi)最全面的 HA 技術(shù)，其基于路由的多機(jī)負(fù)載均衡技術(shù)領(lǐng)先于同行業(yè)防火墻產(chǎn)品，此項(xiàng)技術(shù)可以在保證硬件可用性的同時(shí)，保障傳輸鏈路的可靠性。在某銀行生產(chǎn)網(wǎng)的核心位置，網(wǎng)神在基于多機(jī)負(fù)載均衡技術(shù)的基礎(chǔ)上，更創(chuàng)新性的開發(fā)了“動(dòng)態(tài)路由 +HA”的擴(kuò)展技術(shù)，實(shí)現(xiàn)了多達(dá)四臺(tái)防火墻多主模式的異地自動(dòng)冗余備份，達(dá)到業(yè)內(nèi)最高的設(shè)備保障水平。 網(wǎng)神防火墻產(chǎn)品的可擴(kuò)展性 在滿足本項(xiàng)目安全目標(biāo)的前提下，以不增加項(xiàng)目費(fèi)用為目標(biāo)，選擇具有最佳擴(kuò)展能力的產(chǎn)品。網(wǎng)神在產(chǎn)品選型過程中充分考慮了產(chǎn)品的擴(kuò)展能力 。 網(wǎng)神防火墻設(shè)備采用了可擴(kuò)展的硬件架構(gòu)，通過增加產(chǎn)品接口等方式可以擴(kuò)展設(shè)備整體性能，能夠滿足用戶未來幾年業(yè)務(wù)發(fā)展的需求。 網(wǎng)神防火墻設(shè)備支持冗余熱插拔電源，有效保障設(shè)備自身的穩(wěn)定、不間斷運(yùn)行。 中國(guó)農(nóng)業(yè)科學(xué)院圖書館項(xiàng)目專用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計(jì)算機(jī)終端）采購 項(xiàng)目（第 3 包） －投標(biāo)書 中國(guó)電信集團(tuán)系統(tǒng)集成有限責(zé)任公司 12 網(wǎng)神防火墻產(chǎn)品的可管理性及節(jié)能性 豐富、安全的管理方式 網(wǎng)神防火墻提供 Web 管理方式（通過網(wǎng)口）、 CLI 命令行管理方式（通過串口），同時(shí)還支持遠(yuǎn)程撥號(hào)（ PPP）管理方式。上述三種管理方式是一直打開的。另外，網(wǎng)神防火墻還提供通過 SSH 登錄對(duì)防火墻以命令行方式進(jìn)行遠(yuǎn)程管理的功能，此管理方式管理員有權(quán)進(jìn)行添加和刪除。 分級(jí)權(quán)限的安全管理 網(wǎng)神防火墻提供分級(jí)安全管理機(jī)制，系統(tǒng)分為超級(jí)管理員、配置管理員、策略管理員、審計(jì)管理員四個(gè)等級(jí)。通過管理員身份認(rèn)證（電子鑰匙認(rèn)證或證書認(rèn)證）、管理主機(jī)限制、防火墻管理 IP 限制、防火墻管理方式定義（ Web 管理 /命令行管理 /SSH 方式 /PPP+SSH 連接）、配置信息加密（支持 SSL協(xié)議和 SSH 協(xié)議），提供方便且安全的配置管理。 采用三權(quán)分立設(shè)計(jì)，滿足合規(guī)性要求。超級(jí)管理員只能增加其他管理員賬號(hào)，配置管理員只能進(jìn)行設(shè)備的配置管理，日志管理員只能查看其他管理員操作的日志。通過三權(quán)分立的設(shè)計(jì)，防 火墻完全等級(jí)保護(hù)的合規(guī)性的要求。 完善的系統(tǒng)升級(jí) 隨著技術(shù)的飛速發(fā)展和安全需求的不斷延伸，網(wǎng)神防火墻會(huì)適時(shí)地進(jìn)行軟件版本升級(jí)。防火墻的軟件升級(jí)直接通過管理界面進(jìn)行，用戶只需選擇新的升級(jí)軟件包并重啟防火墻即可方便地完成軟件升級(jí)。 系統(tǒng)配置的導(dǎo)入導(dǎo)出 網(wǎng)神防火墻的導(dǎo)入導(dǎo)出功能便于管理員對(duì)整個(gè)防火墻的配置進(jìn)行備份，在需要的時(shí)候，可以離線調(diào)整后，重新導(dǎo)入防火墻即可即時(shí)生效。導(dǎo)出的配置信息可 中國(guó)農(nóng)業(yè)科學(xué)院圖書館項(xiàng)目專用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計(jì)算機(jī)終端）采購 項(xiàng)目（第 3 包） －投標(biāo)書 中國(guó)電信集團(tuán)系統(tǒng)集成有限責(zé)任公司 13 以保存在管理主機(jī)上做備份，導(dǎo)出的文件格式可以選擇加密或不加密。 啟明星辰天清入侵防御系統(tǒng)的技術(shù)先進(jìn)性 天清入侵防御 系統(tǒng) 采用了獨(dú)創(chuàng) 式的柔性化檢測(cè)機(jī)制，綜合了基于攻擊原理和基于攻擊特征的兩種檢測(cè)手法，既擴(kuò)大了攻擊檢測(cè)的覆蓋面，又保障了檢測(cè)的精確度。柔性化檢測(cè)機(jī)制包括如下專有技術(shù)： 在攻擊前期： 抗躲避檢測(cè) —— 采用載體還原技術(shù)，重新組合攻擊會(huì)話，可以發(fā)現(xiàn)那些割裂攻擊會(huì)話攻擊企圖。 擬態(tài)識(shí)別 —— 采用過程再現(xiàn)技術(shù)，模擬目標(biāo)環(huán)境實(shí)現(xiàn)攻擊語言解析，可以發(fā)現(xiàn)那些企圖以多變 shell 或字符替換方式進(jìn)行的攻擊企圖。 在攻擊分析階段： 多因子協(xié)議識(shí)別 —— 在識(shí)別網(wǎng)絡(luò)數(shù)據(jù)的協(xié)議時(shí)，并不單純采用 RFC 的端口標(biāo)準(zhǔn)規(guī)范，而是綜合協(xié)議指紋技術(shù)，融合協(xié)議的常見字段、參 數(shù)和慣用用法，對(duì)沒有采用常規(guī)端口的協(xié)議進(jìn)行準(zhǔn)確識(shí)別。 協(xié)議伺服器 —— 支持隨時(shí)添加對(duì)新型協(xié)議的支持，而不影響原有協(xié)議識(shí)別機(jī)制。 在攻擊判定階段： 會(huì)話內(nèi)和會(huì)話間的時(shí)序關(guān)聯(lián) —— 有一些攻擊事件可能并不是一個(gè)會(huì)話，而是由多個(gè)會(huì)話組合，這就要求檢測(cè)設(shè)備可以將多個(gè)會(huì)話關(guān)聯(lián)起來分析。 多個(gè)參數(shù)組合判斷事件 —— 對(duì)于一些復(fù)雜的事件，需要組合多個(gè)邏輯參數(shù)變量進(jìn)行判斷，任何一個(gè)單一變量都不是攻擊，但多個(gè)組合在一起，就形成完整的攻擊。 基于漏洞機(jī)理的判斷機(jī)制 —— 對(duì)某一個(gè)漏洞而言，可能會(huì)存在上百種攻擊方法，無需為每一種新的攻擊變種定 制單獨(dú)的檢測(cè)規(guī)則，而是針對(duì)漏洞的攻擊機(jī)理進(jìn)行分析，不論是什么變種，都可以及時(shí)發(fā)現(xiàn)。 上述技術(shù)綜合起來，確保了天清入侵防御產(chǎn)品的最大產(chǎn)品特點(diǎn)：精確阻斷。作為串行接入的防御產(chǎn)品，如果沒有確保精確阻斷這一核心，就有可能阻斷正常業(yè)務(wù)，使得所有的保護(hù)和防御措施都失去意義。 中國(guó)農(nóng)業(yè)科學(xué)院圖書館項(xiàng)目專用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計(jì)算機(jī)終端）采購 項(xiàng)目（第 3 包） －投標(biāo)書 中國(guó)電信集團(tuán)系統(tǒng)集成有限責(zé)任公司 14 啟明星辰在天清入侵防御產(chǎn)品的技術(shù)研究上進(jìn)行了充分的考慮，結(jié)合入侵防御產(chǎn)品的發(fā)展方向和核心，將技術(shù)研究的重點(diǎn)聚焦在對(duì)應(yīng)用業(yè)務(wù)的深層防御上，特別是針對(duì)目前普及最為廣泛的 Web 業(yè)務(wù)的威脅防御能力，更是達(dá)到國(guó)際領(lǐng)先水平。 據(jù) OWASP（ Open Web Application Security Project）的報(bào)告稱，當(dāng)前 Web 業(yè)務(wù)面臨的最大威脅就是 SQL 注入和 XSS（跨站腳本攻擊）。這兩種攻擊的都是利用了網(wǎng)站頁面的腳本編寫不完善，導(dǎo)致攻擊者可以提交精心構(gòu)