【正文】 執(zhí)行程序執(zhí)行本地程序。聯(lián)動防火墻當有入侵事件發(fā)生時，入侵檢測系統(tǒng)向防火墻發(fā)送消息，防火墻將動態(tài)生成規(guī)則，阻斷入侵者的入侵，以保護網(wǎng)絡的安全。8. 監(jiān)控系統(tǒng)的活動和狀態(tài)除了提供入侵檢測功能外，NIP 還提供對各種信息和狀態(tài)的監(jiān)控功能：引擎狀態(tài)監(jiān)控27 / 34管理員可以實時查看引擎的狀態(tài)，包括資源的使用情況和監(jiān)聽網(wǎng)卡的網(wǎng)絡流量（當前會話數(shù)、當前流量、每秒報文數(shù)和每秒丟包數(shù)） ，通過顯示每秒丟包數(shù)，可以及時發(fā)現(xiàn)網(wǎng)絡中出現(xiàn)的異常情況。服務器工作狀態(tài)監(jiān)控網(wǎng)絡中存在很多提供應用服務的服務器，如：Web 服務器、FTP服務器、郵件服務器等，這些服務器一般情況下都需要 24 小時運行，因此需要實時監(jiān)控這些服務器是否正常運行。通過服務器工作狀態(tài)監(jiān)控功能，用戶可以及時發(fā)現(xiàn)服務器的存活狀態(tài)和相應服務的運行情況，以便第一時間發(fā)現(xiàn)并解決問題，最大限度地減少由于這些服務器不能正常運行而造成的損失。郵件監(jiān)控郵件監(jiān)控可以對通過 SMTP、POPIMAP 和 Web 傳送的郵件信息進行監(jiān)控，以避免泄漏敏感信息。MSN 監(jiān)控NIP 可以對 MSN 的會話進行監(jiān)控。文件傳輸監(jiān)控NIP 以對通過 FTP 或 MSN 傳輸?shù)奈募M行監(jiān)控，以避免泄漏敏感信息。實時會話監(jiān)控系統(tǒng)可以實時顯示當前會話列表。針對每一個會話，用戶可以查看并記錄會話內(nèi)容，或者切斷該會話。有害站點監(jiān)控NIP 可以對黃色和暴力等有害站點的訪問進行監(jiān)控。多端口監(jiān)聽NIP 可以為每個引擎定義多個監(jiān)聽端口，以保護不同網(wǎng)段。默認配置有三個接口：管理、監(jiān)聽和擴展。其中：管理口負責與控制臺進行通信；監(jiān)聽口負責監(jiān)視網(wǎng)絡流量；擴展口滿足可擴展性。經(jīng)過配置，引擎可以同時對多個端口進行監(jiān)聽，以適應不同的應用環(huán)境，如：支持跨網(wǎng)段監(jiān)聽、支持 TAP 設備等。9. 日志管理28 / 34NIP 的日志管理功能主要包括：日志查詢：根據(jù)風險級別設置不同的顏色顯示。日志備份：將日志信息備份到指定的目錄下。日志同步：從各引擎接收最新的日志信息。日志刪除：刪除當前的日志記錄。日志壓縮：通過壓縮可以釋放未使用的空間。同時提供備份文件信息記錄和顯示功能，防止備份文件的丟失。入侵統(tǒng)計NIP 可以按風險級別和事件類型對入侵事件進行統(tǒng)計，還可以按照一定周期查看入侵統(tǒng)計的發(fā)展趨勢。流量統(tǒng)計NIP 的控制臺可以從引擎獲得網(wǎng)絡流量信息，包括 Web 流量統(tǒng)計，網(wǎng)絡流量統(tǒng)計，入侵網(wǎng)絡流量統(tǒng)計，以及實時流量統(tǒng)計等，并可通過小時統(tǒng)計、日統(tǒng)計、月統(tǒng)計、年統(tǒng)計等多種方式顯示流量統(tǒng)計結(jié)果。 NIP 1000 性能指標項目 NIP1000性能設備類型電信級4 探頭千兆入侵檢測吞吐量 檢測效率100M網(wǎng)絡環(huán)境下漏報率：低于1%1000M網(wǎng)絡環(huán)境下漏報率：低于5%29 / 34項目 NIP1000性能攻擊特征攻擊特征數(shù)：30大類3000余條規(guī)則響應方式日志記錄/TCP連接主動切斷/重新配置邊緣設備（如交換機、防火墻）/Email告警/SNMP TRAP告警/SYSLOG告警機柜尺寸（寬深高） 425 mm x 652 mm x88 mm滿配置時最大重量 15kg整機最大功耗 400W電源要求交流輸入電壓：220VAC177。30%處理器2 個 Intel 內(nèi)存 2G接口類型 兩個個10/100/1000M30 / 34項目 NIP1000性能探測端口(電口)兩個1000M探測端口（光口）一個 100 管理端口(電口)一個配置串口 終端安全管理系統(tǒng)部署系統(tǒng)的設計開發(fā)中完全遵從國際和國內(nèi)的相關行業(yè)標準和軟件工程管理規(guī)范，并完全采用通用化和模塊化設計，保證了系統(tǒng)的可擴充性，允許用戶開發(fā)新的安全策略來滿足更靈活的安全需求，可以使有安全問題的終端無法接入網(wǎng)絡，或是在接入網(wǎng)絡之前已經(jīng)消除了自身的安全問題，從而保證了整個網(wǎng)絡的安全。概念設計階段就充分考慮了大中型企業(yè)網(wǎng)絡的應用特點，從部署、擴容、管理和性能等多方面進行了充分驗證，系統(tǒng)中的 SPS、SRS 系統(tǒng)可以靈活的部署在企業(yè)網(wǎng)絡的任何地方，SACG 設備也可以根據(jù)網(wǎng)絡情況進行靈活配置，服務器端采用專用端口和協(xié)議，并內(nèi)嵌防火墻技術(shù)，可防止黑客和病毒的攻擊；Agent 軟件自身進行了加密處理，可防止黑客篡改和假冒Agent；Agent 與 SPS 之間采用專有通信協(xié)議，認證信息和通訊信息進行加密處理，并加入時間戳，可防止黑客的假冒、篡改和重演攻擊； 客戶端認證采用用戶名、密碼、IP 地址、MAC 地址等多因素綁定方式，保證了認證的可信度?？蛻舳?Agent 軟件可通過網(wǎng)絡自動升級，不會影響用戶終端的使用，十分利于大規(guī)模網(wǎng)絡的實施和管理。31 / 34一個用于審計監(jiān)控的安全系統(tǒng)，首先要考慮使用管理上的安全性。Secospace 系統(tǒng)在設計上對審計人員和管理人員的職能劃分采取了分級分權(quán)管理，確保每一個人的操作都會被審計被監(jiān)控，從而保證了使用的安全性。系統(tǒng)的擴容可簡單通過添加 SACG 設備和 SPS服務器來實現(xiàn)。系統(tǒng)提供非常方便的各種日志的查詢功能，多種形式的審計報表，幫助審計人員更好完成審計工作。1. 安全防護功能終端安全防護系統(tǒng)主要是通過身份認證和安全策略檢查的方式，對未通過身份認證或不符合安全策略的用戶終端進行網(wǎng)絡隔離，并幫助終端進行安全修復，以達到防范不安全網(wǎng)絡用戶終端給安全網(wǎng)絡帶來安全威脅的目的。終端安全性檢查Windows、應用程序補丁檢查；防病毒軟件版本、病毒特征庫版本檢查；違規(guī)軟件安裝檢查；共享目錄檢查；屏幕保護密碼檢查；SQL Server 版本檢查。網(wǎng)絡強身份認證檢查用戶名、密碼認證；MAC 地址認證；AD 域認證； 認證；Web 認證；設備指紋與用戶名綁定認證與 AD 域結(jié)合進行認證SecoSpace 可以與微軟 AD 域管理器進行結(jié)合，把 AD 的用戶/帳號信息同步到 SecoSpace 系統(tǒng)中來。用戶在認證的時候把 AD 域帳號作為信任對象，認證過程中從終端取得域帳號信息直接進行認證。詳細功能點包括：域帳號信息同步；SecoSpace 服務器通過配置 AD 域服務器信息，自動同步 AD 域32 / 34服務器上的帳號信息到 SecoSpace 服務器上，作為域認證的一句。終端域帳號信息獲取；SecoSpace 客戶端能夠根據(jù)用戶登錄的情況，提取域帳號信息。域帳號認證。在 SecoSpace 的認證界面中自動添加域帳號信息，用戶可以做簡單的點擊進行認證隔離重大安全隱患隔離未授權(quán)外部計算機接入網(wǎng)絡；隔離未打補丁的終端，防止被病毒感染；隔離其它安全策略要求隔離的終端。系統(tǒng)安全加固Windows、應用程序補丁協(xié)助安裝；必須安裝的軟件協(xié)助安裝；用戶終端安全配置的協(xié)助修復；個性化安全幫助；主機防火墻。方便強大的系統(tǒng)管理功能用戶和群組管理；策略定義管理；統(tǒng)計查詢管理；用戶上網(wǎng)日志管理；實時安全公告。審計員： 查看審計系統(tǒng)日志，監(jiān)控管理員和用戶行為，審計員權(quán)限與管理員權(quán)限分離。管理員：負責系統(tǒng)運行參數(shù)的增加、刪除和修改。能夠查看部分審計策略定義。根據(jù)實際審計需要，向所管轄部門（權(quán)限范圍內(nèi)的部門）的用戶終端下達各種審計監(jiān)控任務，生成各種審計報表。用戶：接受審計監(jiān)控，進行本機自檢。33 / 34Secospace 終端安全管理系統(tǒng)支持兩種審計監(jiān)控模式：依據(jù)安全策略執(zhí)行的持續(xù)監(jiān)控審計模型基于任務執(zhí)行的單次審計模型對于第一種模式，企業(yè)的安全策略下發(fā)到 Secospace 安全代理，Secospace 安全代理實時監(jiān)測終端用戶的行為，并且把安全策略要求采集的事件上報 Secospace 服務器。管理員可以根據(jù)這些上報的安全事件，分析企業(yè)的安全狀況，并且生成相應的報表。對于第二種模式，管理員可以根據(jù)臨時的需要，采集當前網(wǎng)絡中的某個特定的狀態(tài)或者事件。例如，防病毒系統(tǒng)發(fā)布新病毒升級包后，管理員希望查看當前網(wǎng)絡中病毒升級包的安裝和部署情況，可以針對這一個單一的事件，生成一個審計任務，下發(fā)到所有或者部分的 Secospace 安全代理；Secospace 安全代理根據(jù)這個任務進行采集和上報。終端安全管理系統(tǒng)支持資產(chǎn)收集以及管理功能。包括計算機硬件信息、軟件信息、操作系統(tǒng)信息的采集和上報功能，資產(chǎn)變更的上報功能，并且提供查詢以及統(tǒng)計功能。在服務器端，提供對資產(chǎn)管理的報表功能，管理員利用該功能，實現(xiàn)對網(wǎng)絡中所有資產(chǎn)及其變化的掌控。采用華為的 Eudemon 防火墻作為安全接入控制網(wǎng)關。根據(jù)安全策略服務器的指示打開用戶的權(quán)限?？梢詾椴煌挠蚍峙洳煌臋?quán)限，通過讓用戶歸屬不同的域到達控制用戶的不同權(quán)限，并且可以做到基于端口級、時間段的控制。還可以為不同等級的用戶指定不同的帶寬。同時 Eudemon 防火墻具有強大的抗攻擊能力，防范惡意終端的各種攻擊，保證網(wǎng)絡的正常運行。在用戶訪問網(wǎng)絡的過程中，可以對用戶使用網(wǎng)絡資源進行審計。另外我們防火墻是基于 NP 架構(gòu)的，具有非常很高的處理性能。34 / 34 系統(tǒng)性能指標項目 Secospace性能網(wǎng)絡帶寬占用率 傳數(shù)據(jù)時， 5%CPU資源占用率 執(zhí)行任務時， 5%管理終端數(shù)單臺SPS應用服務器可管理5000個終端用戶SACG設備容量單臺SACG設備可支持0－2022個并發(fā)用戶（Eudemon300:4000并發(fā)用戶；Eudemon500：10000并發(fā)用戶；Eudemon1000：20220并發(fā)用戶；）GUI友好性用戶界面結(jié)構(gòu)清晰，易于操作，符合一般操作習慣