【正文】 。時至今日，公司已經(jīng)發(fā)展成為中國知名的信息安全技術(shù)研究、產(chǎn)品開發(fā)和安全服務(wù)的高科技企業(yè)，正在努力向世界級信息安全企業(yè)的目標(biāo)邁進(jìn)。公司建立了以北京為中心覆蓋全國三十多個省市的支撐服務(wù)平臺，擁有由近千名信息安全專業(yè)研發(fā)、技術(shù)與服務(wù)人員構(gòu)成的強(qiáng)大服務(wù)團(tuán)隊。無論安全技術(shù)還是安全理念，天融信始終引領(lǐng)和見證著中國信息安全產(chǎn)業(yè)發(fā)展的每一個里程碑。從1996年率先推出填補(bǔ)國內(nèi)空白的自主知識產(chǎn)權(quán)防火墻產(chǎn)品，到自主研發(fā)的可編程ASIC安全芯片，到全球首發(fā)新一代可信并行計算安全平臺，再到云時代超百G機(jī)架式“擎天”安全網(wǎng)關(guān)；天融信公司堅持自主創(chuàng)新完成了國內(nèi)安全產(chǎn)品跟隨、跟近甚至超越國際知名產(chǎn)品的過渡。第六章 天融信公司簡介天融信公司1995年成立，總部設(shè)在北京。報表中可以記錄病毒的數(shù)目，主要病毒所占比例等信息，并且可以記錄所有的網(wǎng)絡(luò)活動情況。l 采用業(yè)界領(lǐng)先的黑名單和白名單技術(shù)，實時、準(zhǔn)確地過濾垃圾郵件，保證公司不受垃圾郵件的干擾。l 提供了一個基于瀏覽器的啟發(fā)性管理界面。掃描時只需要配置管理IP地址。l 無需改動現(xiàn)有網(wǎng)絡(luò)的任何設(shè)置。管理員還可以針對每個協(xié)議設(shè)置高級選項，例如：可以選擇清除病毒、刪除文件、隔離病毒或是記錄日志的方式來處理病毒。將網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)部署在網(wǎng)關(guān)處，可以在病毒進(jìn)入網(wǎng)絡(luò)并阻塞網(wǎng)絡(luò)之前就清除它，并利用其他過濾通道對如DMZ區(qū)域進(jìn)行獨(dú)立策略進(jìn)行防御。 安全措施整合可以將網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)部署在防火墻和核心交換機(jī)之間。它被設(shè)計成安裝在網(wǎng)絡(luò)邊緣，在病毒侵入網(wǎng)絡(luò)之前實時的阻止它們，并且沒有傳統(tǒng)解決方案通常都有的延時。l 據(jù)定義的事件的危險級別可以進(jìn)行EMAIL、聲音、WinPOP、SNMP、短消息等多種響應(yīng)方式。l 系統(tǒng)按照三權(quán)分立的原則，設(shè)置了用戶管理員、系統(tǒng)管理員、系統(tǒng)審計員三種角色。審計報表支持按照排行、流量和概要進(jìn)行統(tǒng)計，同時支持日、月、年等統(tǒng)計周期。l 系統(tǒng)在對收集的事件進(jìn)行詳盡的分析及統(tǒng)計的基礎(chǔ)上支持豐富的報表，實現(xiàn)分析結(jié)果的可視化。 安全策略設(shè)計l 由于采用原始日志壓縮存儲方式，存儲能力極大提高，每兆磁盤空間可以存儲10萬條左右防火墻日志，徹底解決了以前的系統(tǒng)日志存儲能力差的瓶頸。提供了多樣、靈活的日志信息查詢。 安全措施整合系統(tǒng)全面支持安全設(shè)備（如防火墻，IDS、AV等）、網(wǎng)絡(luò)設(shè)備（如路由器、交換機(jī)）、應(yīng)用系統(tǒng)（如Web、 Mail）、操作系統(tǒng)（如Windows、 Linux、 Unix）等多種產(chǎn)品及系統(tǒng)的日志數(shù)據(jù)的采集和分析。2）日志檢索使用全文檢索技術(shù)對收集到的各種日志按照設(shè)備（日志）類型、日志來源和收集時間分類檢索，支持多個關(guān)鍵字組合檢索。 安全策略選擇鏈路負(fù)載均衡l 支持單臂接入模式和雙臂接入模式l 全面的服務(wù)監(jiān)測及服務(wù)健康檢查l 支持TCP、HTTP、HTTPS等多種服務(wù)健康檢查方式l 支持自定義的服務(wù)健康檢查方式l 自動選擇最佳服務(wù)器并智能地均衡服務(wù)器流量l 隱藏服務(wù)器真實IP，對于應(yīng)用和用戶透明，可伸縮性強(qiáng)l 支持各種應(yīng)用服務(wù)器的負(fù)載均衡l 至少10種以上快速高效的智能負(fù)載均衡算法l 具有快速高效的非持續(xù)性負(fù)載均衡算法l 具有多種持續(xù)性負(fù)載均衡算法l 支持專為Cache服務(wù)器設(shè)定的負(fù)載均衡算法l 支持服務(wù)器流量的自動均衡l 支持服務(wù)器最大連接數(shù)限制l 具有會話保持功能l 自定修復(fù)故障應(yīng)用l 實現(xiàn)服務(wù)故障自動通知l 支持服務(wù)器負(fù)載均衡高可用性部署帶寬保障策略l 實現(xiàn)精確的端到端帶寬控制與均衡l 不損失任何帶寬的情況下精確控制下載方向的帶寬使用l 不是通過丟棄已收到數(shù)據(jù)包的方式限制下載方向流量l 流量整形功能解決非對稱帶寬上行壓死下行問題l 支持入站以及出站雙向流量的帶寬管理與控制l 對用戶及應(yīng)用進(jìn)行優(yōu)先級管理l 保證關(guān)鍵用戶及關(guān)鍵應(yīng)用帶寬l 限制非關(guān)鍵用戶及非關(guān)鍵應(yīng)用帶寬l 實現(xiàn)帶寬自動借用l 實現(xiàn)帶寬自動檢測l 實現(xiàn)智能主機(jī)帶寬分配l VoIP自動識別及優(yōu)先保障l 基于行為的P2P識別與控制l 基于用戶或用戶組進(jìn)行連接數(shù)限制 安全審計平臺 技術(shù)措施選擇天融信公司根據(jù)現(xiàn)代安全技術(shù)發(fā)展的趨勢和理念開發(fā)推出了網(wǎng)絡(luò)衛(wèi)士日志收集與分析系統(tǒng)（TAL），用于幫助實現(xiàn)網(wǎng)絡(luò)事件和信息的有效管理及全面審計。智能DNS均衡，用戶訪問服務(wù)器時，根據(jù)用戶所在的運(yùn)營商智能選擇最有利的網(wǎng)絡(luò)路徑。這樣就避開了跨越運(yùn)營商網(wǎng)絡(luò)，從而降低了丟包的幾率。 安全措施整合基于策略路由的優(yōu)化（Policy Based Routing），根據(jù)目的地網(wǎng)絡(luò)地址及應(yīng)用類型選擇最有利的網(wǎng)絡(luò)路徑。完善的鏈路、應(yīng)用服務(wù)健康檢查機(jī)制，及時診斷出不能正常工作或負(fù)載過重的鏈路和服務(wù)器。目前中國應(yīng)用交付市場主要為幾大國際廠商所占據(jù)，作為老牌安全公司的天融信，也邁開了進(jìn)入國內(nèi)應(yīng)用交付市場的重要一步。 保護(hù)通信網(wǎng)絡(luò) 負(fù)載均衡系統(tǒng) 安全措施選擇伴隨著網(wǎng)絡(luò)應(yīng)用發(fā)展的日新月異、移動辦公人員的指數(shù)級增長、數(shù)據(jù)大集中的高速發(fā)展、云計算時代的臨近，巨量的數(shù)據(jù)將跨越廣域網(wǎng)傳輸，應(yīng)用交付日益凸顯其重要性，并跨入了高速成長期。l 訪問控制。天融信網(wǎng)閘可在內(nèi)部定制集成殺毒引擎，能夠?qū)σ恍┲髁鞯牟《具M(jìn)行檢測與查殺。有了這種機(jī)制，可以最大程度上降低網(wǎng)絡(luò)攻擊事件的發(fā)生。 l 防范網(wǎng)絡(luò)攻擊。l 防止非授權(quán)訪問。l 防止敏感信息泄漏。 實際解決問題l 實時可信信息交互。l Web訪問：政務(wù)內(nèi)網(wǎng)用戶可通過網(wǎng)閘維護(hù)政務(wù)外網(wǎng)Web服務(wù)器，進(jìn)行信息發(fā)布等操作。l 數(shù)據(jù)庫同步：政務(wù)內(nèi)外網(wǎng)之間的數(shù)據(jù)庫數(shù)據(jù)雙向同步，使內(nèi)外網(wǎng)業(yè)務(wù)數(shù)據(jù)庫的數(shù)據(jù)信息保持一致。該產(chǎn)品采用多機(jī)系統(tǒng)架構(gòu)，通過對信息進(jìn)行落地、還原、掃描、過濾、防病毒、入侵檢測、審計等一系列安全處理，有效防止黑客攻擊、惡意代碼和病毒滲入，同時防止內(nèi)部機(jī)密信息的泄露，實現(xiàn)網(wǎng)間安全隔離和信息交換。目前，北京天融信科技有限公司利用自身的技術(shù)優(yōu)勢和在安全體系結(jié)構(gòu)方面的研究成果，經(jīng)過長期研發(fā)的過程，推出了一種全新的、高效的、安全的網(wǎng)間隔離產(chǎn)品——天融信網(wǎng)絡(luò)衛(wèi)士安全隔離與信息交換系統(tǒng)TopRules （以下簡稱TopRules）。網(wǎng)閘是一種利用物理隔離技術(shù)實現(xiàn)的可以做準(zhǔn)實時交互的安全保密設(shè)備，早已通過國家保密局保密技術(shù)研究所的技術(shù)鑒定，具有極高的安全性與保密性。 隔離與交換系統(tǒng)部署 安全措施選擇隨著電子政務(wù)建設(shè)的不斷深化發(fā)展，很多組織的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間需要交換的信息越來越多，傳統(tǒng)的方式很難兼顧安全隔離與信息交換兩者的需求，更缺乏對信息安全的嚴(yán)格審查，極易導(dǎo)致攻擊代碼的流入和重要信息的泄漏。l 異常報警策略：入侵防護(hù)系統(tǒng)通過報警類型的制定，明確哪類事件，通過什么樣的方式，進(jìn)行報警，可以選擇的包括聲音、電子郵件、消息以及與防火墻聯(lián)動。一站式管理結(jié)構(gòu)，簡化了配置流程?？梢愿玫乇Ｗo(hù)重要信息資產(chǎn)、提高網(wǎng)絡(luò)整體的安全水平。 安全措施整合面對復(fù)雜多變的網(wǎng)絡(luò)環(huán)境，不僅需要有針對重點(diǎn)區(qū)域的防護(hù)，還需要針對內(nèi)部整個網(wǎng)絡(luò)的全面防護(hù)。TopIDP產(chǎn)品能夠阻斷或限制p2p下載、網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)游戲等各種網(wǎng)絡(luò)帶寬濫用行為，確保網(wǎng)絡(luò)業(yè)務(wù)通暢。 安全策略設(shè)計防火墻策略設(shè)計l 劃分安全區(qū)域：在網(wǎng)絡(luò)中每個網(wǎng)絡(luò)區(qū)域的訪問授權(quán)、訪問內(nèi)容、安全水平各不相同，為了更好的實現(xiàn)訪問控制，一個常用的方法就是根據(jù)網(wǎng)絡(luò)不同部分的重要性劃分為不同的安全區(qū)域，并著重對其中重要的安全區(qū)域進(jìn)行隔離和保護(hù)；這里通過防火墻將內(nèi)網(wǎng)終端、服務(wù)器、安全管理系統(tǒng)、互聯(lián)網(wǎng)分別隔離為不同的安全區(qū)域，各區(qū)域成為相對獨(dú)立的計算環(huán)境，這種隔離的好處就是減少了安全區(qū)域之間的干擾，避免因個別方位出現(xiàn)安全問題后，會迅速地蔓延到全網(wǎng)；同時也成為防火墻進(jìn)行強(qiáng)制認(rèn)證的基礎(chǔ)；l 身份認(rèn)證策略：防火墻和終端安全防護(hù)系統(tǒng)采用專用的OTP認(rèn)證策略，只有安裝了終端安全防護(hù)，并且通過終端健康性檢查的設(shè)備方可與防火墻進(jìn)行OTP認(rèn)證，認(rèn)證通過后防火墻將根據(jù)終端用戶身份，允許終端對互聯(lián)網(wǎng)的訪問，并且同時要斷開終端與內(nèi)網(wǎng)的鏈接； l 訪問控制策略：防火墻將執(zhí)行包含源地址、目的地址、網(wǎng)絡(luò)協(xié)議、服務(wù)、時間、用戶、帶寬等的訪問控制，確?；ヂ?lián)網(wǎng)無法訪問內(nèi)網(wǎng)；l 日志和審計策略：防火墻針對內(nèi)網(wǎng)終端的外訪行為進(jìn)行有效的監(jiān)控，實現(xiàn)日志的分級管理、自動報表、自動報警功能，并且產(chǎn)生的日志能夠以多種方式導(dǎo)出，有利于安全事情發(fā)生后的日志查看和取證統(tǒng)一的管理。該系列產(chǎn)品具有高可靠性、高擴(kuò)展性，確保業(yè)務(wù)端口在各種應(yīng)用下達(dá)到線速轉(zhuǎn)發(fā)。該系列產(chǎn)品繼承了天融信公司十多年來在安全產(chǎn)品研發(fā)中的積累的多項成果，以自主知識產(chǎn)權(quán)的網(wǎng)絡(luò)安全操作系統(tǒng)TOS（Topsec Operating System）為系統(tǒng)平臺，采用開放性的系統(tǒng)架構(gòu)及模塊化的設(shè)計思想，充分體現(xiàn)了天融信公司在長期的產(chǎn)品開發(fā)和市場推廣過程中對于用戶需求的深刻理解。文件系統(tǒng)采用中間層的先進(jìn)技術(shù)對關(guān)鍵數(shù)據(jù)進(jìn)行安全保護(hù)。從而保護(hù)用戶的服務(wù)器安全。l 網(wǎng)站防護(hù)系統(tǒng)可以通過高效的URL過濾技術(shù)，把SQL注入的關(guān)鍵字過濾掉，從而有效的避免網(wǎng)站服務(wù)器受到SQL注入攻擊。因為動態(tài)網(wǎng)頁是通過網(wǎng)站腳本來實現(xiàn)網(wǎng)頁的動態(tài)顯示，而網(wǎng)站腳本是以文件形式存放的。 安全策略設(shè)計l 通過利用信任鏈機(jī)制，對系統(tǒng)中所有裝載的可執(zhí)行文件代碼（例如EXE、DLL、COM等）進(jìn)行控制，所有可執(zhí)行文件代碼在加載運(yùn)行之間都需要先經(jīng)過檢驗，只有通過驗證的代碼才可以加載，從而有效地阻止惡意代碼的運(yùn)行。同時在網(wǎng)站服務(wù)器中安裝惡意代碼主動防御系統(tǒng)，其目的是為了防止Web服務(wù)器被病毒可執(zhí)行程序和木馬可執(zhí)行程序攻擊服務(wù)器的操作系統(tǒng)。其中惡意代碼主動防御子系統(tǒng)、網(wǎng)頁防篡改子系統(tǒng)為軟件實現(xiàn)，Web Wall子系統(tǒng)是一個由專用硬件平臺和專用安全操作系統(tǒng)組成的硬件設(shè)備。網(wǎng)站防護(hù)系統(tǒng)主要實現(xiàn)了惡意代碼主動防御、網(wǎng)頁的文件過濾驅(qū)動保護(hù)、防跨站攻擊、防SQL注入、自身抗網(wǎng)絡(luò)攻擊能力等功能，以期防止黑客入侵、網(wǎng)站篡改，從而更有效地對網(wǎng)站網(wǎng)頁安全進(jìn)行保護(hù)。 網(wǎng)站防護(hù)系統(tǒng) 安全措施選擇網(wǎng)站防護(hù)系統(tǒng)，是天融信公司網(wǎng)絡(luò)安全研發(fā)團(tuán)隊在深厚技術(shù)積累和應(yīng)用實踐經(jīng)驗的基礎(chǔ)上，對目前國內(nèi)外相關(guān)計算機(jī)數(shù)據(jù)進(jìn)行詳盡搜集、分析、仔細(xì)研究，對同類安全產(chǎn)品進(jìn)行縱橫比較分析，自主研制開發(fā)的一套針對網(wǎng)站網(wǎng)頁保護(hù)的防護(hù)系統(tǒng)。l 行為監(jiān)管策略，對內(nèi)網(wǎng)終端桌面系統(tǒng)打印行為、外存使用行為、文件操作行為的監(jiān)控（文件操作只進(jìn)行監(jiān)視），確保數(shù)據(jù)的安全，避免泄密。只要終端接入到網(wǎng)絡(luò)中，通過統(tǒng)一的終端安全防護(hù)平臺，便可自動獲得補(bǔ)丁，實現(xiàn)操作系統(tǒng)補(bǔ)丁的自動升級，從而確保操作系統(tǒng)的強(qiáng)壯性。同時終端代理限制了在一個時間終端只能訪問一個網(wǎng)絡(luò)，從而避免因同時訪問互聯(lián)網(wǎng)和內(nèi)網(wǎng)，形成了互聯(lián)網(wǎng)到內(nèi)網(wǎng)的隱蔽通道；l 終端文件保險柜策略：終端代理在終端硬盤上劃分出專用文件夾（文件保險柜），所有存儲在本文件夾下的文件都將加密，并且策略限制該文件夾只對內(nèi)網(wǎng)開放，如果終端訪問內(nèi)網(wǎng)，那么該文件夾可見，并且存放的文件可讀，可寫，可刪除；但是如果終端訪問互聯(lián)網(wǎng)或外網(wǎng)，那么該文件夾不可見，也無法進(jìn)行寫和刪除的操作；l 補(bǔ)丁自動升級：幫助企業(yè)管理員對內(nèi)網(wǎng)終端快速部署最新的重要更新和安全更新。系統(tǒng)還能檢測內(nèi)網(wǎng)終端桌面系統(tǒng)的軟件資源、軟件進(jìn)程，當(dāng)發(fā)現(xiàn)有非法軟件安裝、異常軟件進(jìn)程時，進(jìn)行報警和阻斷。 安全策略設(shè)計終端安全防護(hù)系統(tǒng)策略設(shè)計l 終端準(zhǔn)入檢測策略：這里主要通過三種手段來實現(xiàn)準(zhǔn)入控制，從而限制非法的主機(jī)接入；二是與防火墻進(jìn)行OPT認(rèn)證，限制了非法終端的接入；三是利用終端安全管理平臺，對非法終端（沒有安裝代理的終端）進(jìn)行ARP欺騙，第三種方式是針對沒有智能交換機(jī)的網(wǎng)絡(luò)（）進(jìn)行的準(zhǔn)入控制；l 終端健康性檢查策略：系統(tǒng)能夠自動檢測內(nèi)網(wǎng)終端桌面系統(tǒng)的病毒防護(hù)工作是否正常，如果發(fā)覺終端未安裝防病毒系統(tǒng)，或者安裝的防病毒系統(tǒng)沒有及時升級到最新版本，那么終端防護(hù)系統(tǒng)將自動通知終端用戶，督促其盡快安裝防病毒軟件或者將病毒庫進(jìn)行升級。這樣避免了終端同時訪問互聯(lián)網(wǎng)和內(nèi)網(wǎng)服務(wù)器的情況；l 終端文件保護(hù)：在終端上設(shè)置專用的內(nèi)網(wǎng)文件保險柜，保險柜內(nèi)存放了終端在訪問內(nèi)網(wǎng)服務(wù)器時的很多緩存信息，當(dāng)終端訪問互聯(lián)網(wǎng)的時候，該文件保險柜自動隱藏，從而防止互聯(lián)網(wǎng)攻擊者對緩存文件的竊取，造成信息泄密。l 終端管理系統(tǒng)監(jiān)管桌面行為：對桌面系統(tǒng)上撥號行為、打印行為、外存使用行為、外存設(shè)備的監(jiān)控，通過策略定制限制主機(jī)是否允許使用外存設(shè)備，確保機(jī)密數(shù)據(jù)的安全，避免了內(nèi)部保密數(shù)據(jù)的泄漏和減少了非