【正文】 斷入侵會話。執(zhí)行程序執(zhí)行本地程序。聯動防火墻當有入侵事件發(fā)生時，入侵檢測系統(tǒng)向防火墻發(fā)送消息，防火墻將動態(tài)生成規(guī)則，阻斷入侵者的入侵，以保護網絡的安全。8. 監(jiān)控系統(tǒng)的活動和狀態(tài)除了提供入侵檢測功能外，NIP 還提供對各種信息和狀態(tài)的監(jiān)控功能：引擎狀態(tài)監(jiān)控電業(yè)局安全存儲網絡建設技術建議書管理員可以實時查看引擎的狀態(tài)，包括資源的使用情況和監(jiān)聽網卡的網絡流量（當前會話數、當前流量、每秒報文數和每秒丟包數） ，通過顯示每秒丟包數，可以及時發(fā)現網絡中出現的異常情況。服務器工作狀態(tài)監(jiān)控網絡中存在很多提供應用服務的服務器，如：Web 服務器、FTP服務器、郵件服務器等，這些服務器一般情況下都需要 24小時運行，因此需要實時監(jiān)控這些服務器是否正常運行。通過服務器工作狀態(tài)監(jiān)控功能，用戶可以及時發(fā)現服務器的存活狀態(tài)和相應服務的運行情況，以便第一時間發(fā)現并解決問題，最大限度地減少由于這些服務器不能正常運行而造成的損失。郵件監(jiān)控郵件監(jiān)控可以對通過 SMTP、POPIMAP 和 Web傳送的郵件信息進行監(jiān)控，以避免泄漏敏感信息。MSN監(jiān)控NIP可以對 MSN的會話進行監(jiān)控。文件傳輸監(jiān)控NIP以對通過 FTP或 MSN傳輸的文件進行監(jiān)控，以避免泄漏敏感信息。實時會話監(jiān)控系統(tǒng)可以實時顯示當前會話列表。針對每一個會話，用戶可以查看并記錄會話內容，或者切斷該會話。有害站點監(jiān)控NIP可以對黃色和暴力等有害站點的訪問進行監(jiān)控。多端口監(jiān)聽NIP可以為每個引擎定義多個監(jiān)聽端口，以保護不同網段。默認配置有三個接口：管理、監(jiān)聽和擴展。其中：管理口負責與控制臺進行通信；監(jiān)聽口負責監(jiān)視網絡流量；擴展口滿足可擴展性。經過配置，引擎可以同時對多個端口進行監(jiān)聽，以適應不同的應用環(huán)境，如：支持跨網段監(jiān)聽、支持 TAP設備等。9. 日志管理電業(yè)局安全存儲網絡建設技術建議書NIP的日志管理功能主要包括：日志查詢：根據風險級別設置不同的顏色顯示。日志備份：將日志信息備份到指定的目錄下。日志同步：從各引擎接收最新的日志信息。日志刪除：刪除當前的日志記錄。日志壓縮：通過壓縮可以釋放未使用的空間。同時提供備份文件信息記錄和顯示功能，防止備份文件的丟失。入侵統(tǒng)計NIP可以按風險級別和事件類型對入侵事件進行統(tǒng)計，還可以按照一定周期查看入侵統(tǒng)計的發(fā)展趨勢。流量統(tǒng)計NIP的控制臺可以從引擎獲得網絡流量信息，包括 Web流量統(tǒng)計，網絡流量統(tǒng)計，入侵網絡流量統(tǒng)計，以及實時流量統(tǒng)計等，并可通過小時統(tǒng)計、日統(tǒng)計、月統(tǒng)計、年統(tǒng)計等多種方式顯示流量統(tǒng)計結果。 NIP 1000性能指標項目 NIP1000性能設備類型電信級4 探頭千兆入侵檢測吞吐量 檢測效率100M網絡環(huán)境下漏報率：低于1%1000M網絡環(huán)境下漏報率：低于5%電業(yè)局安全存儲網絡建設技術建議書項目 NIP1000性能攻擊特征攻擊特征數：30大類3000余條規(guī)則響應方式日志記錄/TCP連接主動切斷/重新配置邊緣設備（如交換機、防火墻）/Email告警/SNMP TRAP告警/SYSLOG告警機柜尺寸（寬深高） 425 mm x 652 mm x88 mm滿配置時最大重量 15kg整機最大功耗 400W電源要求交流輸入電壓：220VAC177。30%處理器2個 Intel 內存 2G接口類型 兩個個10/100/1000M電業(yè)局安全存儲網絡建設技術建議書項目 NIP1000性能探測端口(電口)兩個1000M探測端口（光口）一個 100管理端口(電口)一個配置串口 終端安全管理系統(tǒng)部署系統(tǒng)的設計開發(fā)中完全遵從國際和國內的相關行業(yè)標準和軟件工程管理規(guī)范，并完全采用通用化和模塊化設計，保證了系統(tǒng)的可擴充性，允許用戶開發(fā)新的安全策略來滿足更靈活的安全需求，可以使有安全問題的終端無法接入網絡，或是在接入網絡之前已經消除了自身的安全問題，從而保證了整個網絡的安全。概念設計階段就充分考慮了大中型企業(yè)網絡的應用特點，從部署、擴容、管理和性能等多方面進行了充分驗證，系統(tǒng)中的 SPS、SRS 系統(tǒng)可以靈活的部署在企業(yè)網絡的任何地方，SACG 設備也可以根據網絡情況進行靈活配置，服務器端采用專用端口和協議，并內嵌防火墻技術，可防止黑客和病毒的攻擊；Agent軟件自身進行了加密處理，可防止黑客篡改和假冒Agent；Agent 與 SPS之間采用專有通信協議，認證信息和通訊信息進行加密處理，并加入時間戳，可防止黑客的假冒、篡改和重演攻擊； 客戶端認證采用用戶名、密碼、IP 地址、MAC 地址等多因素綁定方式，保證了認證的可信度?？蛻舳?Agent軟件可通過網絡自動升級，不會影響用戶終端的使用，十分利于大規(guī)模網絡的實施和管理。電業(yè)局安全存儲網絡建設技術建議書一個用于審計監(jiān)控的安全系統(tǒng)，首先要考慮使用管理上的安全性。Secospace 系統(tǒng)在設計上對審計人員和管理人員的職能劃分采取了分級分權管理，確保每一個人的操作都會被審計被監(jiān)控，從而保證了使用的安全性。系統(tǒng)的擴容可簡單通過添加 SACG設備和 SPS服務器來實現。系統(tǒng)提供非常方便的各種日志的查詢功能，多種形式的審計報表，幫助審計人員更好完成審計工作。1. 安全防護功能終端安全防護系統(tǒng)主要是通過身份認證和安全策略檢查的方式，對未通過身份認證或不符合安全策略的用戶終端進行網絡隔離，并幫助終端進行安全修復，以達到防范不安全網絡用戶終端給安全網絡帶來安全威脅的目的。終端安全性檢查Windows、應用程序補丁檢查；防病毒軟件版本、病毒特征庫版本檢查；違規(guī)軟件安裝檢查；共享目錄檢查；屏幕保護密碼檢查；SQL Server版本檢查。網絡強身份認證檢查用戶名、密碼認證；MAC地址認證；AD域認證；；Web認證；設備指紋與用戶名綁定認證與 AD域結合進行認證SecoSpace可以與微軟 AD域管理器進行結合，把 AD的用戶/帳號信息同步到 SecoSpace系統(tǒng)中來。用戶在認證的時候把 AD域帳號作為信任對象，認證過程中從終端取得域帳號信息直接進行認證。詳細功能點包括：域帳號信息同步；SecoSpace服務器通過配置 AD域服務器信息，自動同步 AD域電業(yè)局安全存儲網絡建設技術建議書服務器上的帳號信息到 SecoSpace服務器上，作為域認證的一句。終端域帳號信息獲??；SecoSpace客戶端能夠根據用戶登錄的情況，提取域帳號信息。域帳號認證。在 SecoSpace的認證界面中自動添加域帳號信息，用戶可以做簡單的點擊進行認證隔離重大安全隱患隔離未授權外部計算機接入網絡；隔離未打補丁的終端，防止被病毒感染；隔離其它安全策略要求隔離的終端。系統(tǒng)安全加固Windows、應用程序補丁協助安裝；必須安裝的軟件協助安裝；用戶終端安全配置的協助修復；個性化安全幫助；主機防火墻。方便強大的系統(tǒng)管理功能用戶和群組管理；策略定義管理；統(tǒng)計查詢管理；用戶上網日志管理；實時安全公告。審計員： 查看審計系統(tǒng)日志，監(jiān)控管理員和用戶行為，審計員權限與管理員權限分離。管理員：負責系統(tǒng)運行參數的增加、刪除和修改。能夠查看部分審計策略定義。根據實際審計需要，向所管轄部門（權限范圍內的部門）的用戶終端下達各種審計監(jiān)控任務，生成各種審計報表。用戶：接受審計監(jiān)控，進行本機自檢。電業(yè)局安全存儲網絡建設技術建議書Secospace終端安全管理系統(tǒng)支持兩種審計監(jiān)控模式：依據安全策略執(zhí)行的持續(xù)監(jiān)控審計模型基于任務執(zhí)行的單次審計模型對于第一種模式，企業(yè)的安全策略下發(fā)到 Secospace安全代理，Secospace安全代理實時監(jiān)測終端用戶的行為，并且把安全策略要求采集的事件上報 Secospace服務器。管理員可以根據這些上報的安全事件，分析企業(yè)的安全狀況，并且生成相應的報表。對于第二種模式，管理員可以根據臨時的需要，采集當前網絡中的某個特定的狀態(tài)或者事件。例如，防病毒系統(tǒng)發(fā)布新病毒升級包后，管理員希望查看當前網絡中病毒升級包的安裝和部署情況，可以針對這一個單一的事件，生成一個審計任務，下發(fā)到所有或者部分的 Secospace安全代理；Secospace 安全代理根據這個任務進行采集和上報。終端安全管理系統(tǒng)支持資產收集以及管理功能。包括計算機硬件信息、軟件信息、操作系統(tǒng)信息的采集和上報功能，資產變更的上報功能，并且提供查詢以及統(tǒng)計功能。在服務器端，提供對資產管理的報表功能，管理員利用該功能，實現對網絡中所有資產及其變化的掌控。采用華為的 Eudemon防火墻作為安全接入控制網關。根據安全策略服務器的指示打開用戶的權限?？梢詾椴煌挠蚍峙洳煌臋嘞?，通過讓用戶歸屬不同的域到達控制用戶的不同權限，并且可以做到基于端口級、時間段的控制。還可以為不同等級的用戶指定不同的帶寬。同時 Eudemon防火墻具有強大的抗攻擊能力，防范惡意終端的各種攻擊，保證網絡的正常運行。在用戶訪問網絡的過程中，可以對用戶使用網絡資源進行審計。另外我們防火墻是基于 NP架構的，具有非常很高的處理性能。電業(yè)局安全存儲網絡建設技術建議書項目 Secospace性能網絡帶寬占用率 傳數據時， 5%CPU資源占用率 執(zhí)行任務時， 5%管理終端數單臺SPS應用服務器可管理5000個終端用戶SACG設備容量單臺SACG設備可支持0－2022個并發(fā)用戶（Eudemon300:4000并發(fā)用戶；Eudemon500：10000并發(fā)用戶；Eudemon1000：20220并發(fā)用戶；）GUI友好性用戶界面結構清晰，易于操作，符合一般操作習慣