【正文】 。關(guān)鍵特性和價值? 對網(wǎng)頁內(nèi)容進行實時的操作監(jiān)控，發(fā)生非法操作及時告警；? 對網(wǎng)頁文件進行加密備份，有效保障網(wǎng)站的完整性；? 有效阻斷非法用戶對文件的非法操作，并通過實時監(jiān)控和定期掃描對已被非法修改的文件進行自動恢復(fù)；? 對指定的內(nèi)容設(shè)置特定的合法修改權(quán)限，保證 Web 管理員等合法用戶的正常網(wǎng)頁內(nèi)容更新；? 記錄所有對網(wǎng)站指定部分的合法或非法修改，以便事后進行審核與跟蹤；? 現(xiàn)場監(jiān)控與遠(yuǎn)程監(jiān)控可選，方便用戶靈活使用；? 通過系統(tǒng)用戶管理，保障只有合法用戶能夠啟動或中止本系統(tǒng)的運行。然而，在互聯(lián)網(wǎng)的安全問題日益嚴(yán)峻的情況下，網(wǎng)站遭受黑客攻擊的現(xiàn)象也時有發(fā)生，如何確保網(wǎng)站的安全也成為人們迫切關(guān)注的焦點問題。天玥系統(tǒng)基于網(wǎng)絡(luò)旁路監(jiān)聽的方式實現(xiàn)獨立的審計與三權(quán)分立，完善 IT 內(nèi)控機制。? 實現(xiàn)獨立審計與三權(quán)分立，完善 IT 內(nèi)控機制從內(nèi)控的角度來看，IT 系統(tǒng)的使用權(quán)、管理權(quán)與監(jiān)督權(quán)必須三權(quán)分立。對運維部門來說，網(wǎng)絡(luò)環(huán)境的安全狀況事關(guān)重大。天玥系統(tǒng)提供基于角色的訪問控制與審計，不但能夠有效地控制運維操作風(fēng)險，還能夠有效地區(qū)分不同維護人員的身份，便于事后追查原因與界定責(zé)任。? 有效控制運維操作風(fēng)險，便于事后追查原因與界定責(zé)任一個單位里負(fù)責(zé)運維的部門通常擁有目標(biāo)系統(tǒng)或者網(wǎng)絡(luò)設(shè)備的最高權(quán)限（掌握 root 帳號的口令） ，因而也承擔(dān)著很高的風(fēng)險（誤操作或者是個別人員的惡意破壞） 。天玥系統(tǒng)提供了一種獨立的審計方案，有助于完善組織的 IT 內(nèi)控與審計體系，從而滿足各種合規(guī)性要求，并且使組織能夠順利通過 IT 審計。）? 客戶受益? 滿足合規(guī)性要求，順利通過 IT 審計目前，越來越多的單位面臨一種或者幾種合規(guī)性要求。從系統(tǒng)變更的角度來看，網(wǎng)絡(luò)審計日志比系統(tǒng)日志在定位系統(tǒng)安全問題上更可信。? 最高權(quán)限用戶安全隱患一般來說，我們都是從各種系統(tǒng)日志里面去發(fā)現(xiàn)是否有入侵后留下來的“蛛絲馬跡”來判斷是否發(fā)生過安全事件。如何有效地監(jiān)控設(shè)備廠商和代維人員的操作行為,并進行嚴(yán)格的審計是企業(yè)面臨的一個關(guān)鍵問題。根據(jù)最新統(tǒng)計資料，對企業(yè)造成嚴(yán)重攻擊中的 70％是來自于組織里的內(nèi)部人員。網(wǎng)上銀行安全解決方案19銀行系統(tǒng)對于內(nèi)部違規(guī)操所面臨的問題主要表現(xiàn)在：? 內(nèi)部人員操作安全隱患隨著企業(yè)信息化進程不斷深入，企業(yè)的業(yè)務(wù)系統(tǒng)變得日益復(fù)雜，由內(nèi)部員工違規(guī)操作導(dǎo)致的安全問題變得日益突出起來。對于銀行系統(tǒng)由于數(shù)據(jù)來源多、數(shù)據(jù)量大、數(shù)據(jù)類型復(fù)雜，將面臨大量的攻擊事件，內(nèi)部違規(guī)事件等。對于初次使用天闐網(wǎng)絡(luò)入侵檢測系統(tǒng)的客戶，系統(tǒng)還提供了動態(tài)策略調(diào)整的方式，可以根據(jù)預(yù)設(shè)事件發(fā)生的頻率來自動調(diào)整使用的安全策略，從而實現(xiàn)減少日志量和自動修改事件風(fēng)險級別。? 靈活的安全策略管理天闐網(wǎng)絡(luò)入侵檢測系統(tǒng)采用基于策略的防護方式，內(nèi)置了多種默認(rèn)安全策略集，用戶可以根據(jù)需要選擇最適合自己需要的策略，以達到最佳防護效果。VFPR 方法的協(xié)議指紋識別過程基于快速哈希表方法實現(xiàn)，而協(xié)議驗證規(guī)則執(zhí)行過程基于高效的專用網(wǎng)絡(luò)報文處理虛擬機實現(xiàn)。此外，天闐網(wǎng)絡(luò)入侵檢測系統(tǒng)采用了啟明星辰公司設(shè)計并實現(xiàn)的高效協(xié)議自識別方法——VFPR (Venus Fast Protocol Recognition)，該協(xié)議自識別方法基于協(xié)議指紋識別和協(xié)議規(guī)則驗證技術(shù)實現(xiàn)，能夠在網(wǎng)絡(luò)協(xié)議通信初期根據(jù)前期網(wǎng)絡(luò)報文特征自動識別所屬協(xié)議類型，并采用預(yù)先建立的協(xié)議驗證規(guī)則進一步驗證協(xié)議識別結(jié)果正確性。? 準(zhǔn)確的攻擊檢測能力入侵檢測系統(tǒng)對客戶帶來的價值體現(xiàn)在對攻擊和可疑行為的及時發(fā)現(xiàn)和主動響應(yīng)上，而實現(xiàn)及時的發(fā)現(xiàn)，就要求入侵檢測系統(tǒng)擁有全面的攻擊檢測能力。在這種背景下，為了實現(xiàn)對深層攻擊的防御，彌補防火墻等傳統(tǒng)安全網(wǎng)關(guān)設(shè)備的不足，入侵檢測系統(tǒng)（IDS）應(yīng)運而生。因此在深層防御方面存在較大的需求。根據(jù)相關(guān)統(tǒng)計顯示，現(xiàn)階段 70%以上的攻擊事件發(fā)生在傳輸層和應(yīng)用層之間，我們稱這類 47 層上的攻擊為深層攻擊行為。啟明星辰天清漢馬 USG 可以通過如下手段控制連接異常：控制系統(tǒng)總連接數(shù)目控制系統(tǒng)總半連接數(shù)目基于協(xié)議的連接數(shù)控制基于地址的連接數(shù)控制 入侵檢測與保護隨著信息化建設(shè)的不斷發(fā)展、核心應(yīng)用業(yè)務(wù)迅速網(wǎng)絡(luò)化以及互聯(lián)網(wǎng)用戶的飛速增長，我們面臨的安全威脅也日益增多和復(fù)雜，建設(shè)一個實時有效的網(wǎng)絡(luò)安全防護系統(tǒng)，是保障業(yè)務(wù)正常進行的必然前提。網(wǎng)上銀行安全解決方案17因為拒絕服務(wù)攻擊者所發(fā)出的每個連接都是合法的，因此無法通過特征匹配來找到它并阻止它。如果說計算機與網(wǎng)絡(luò)的處理能力加大了 10 倍，用一臺攻擊機來攻擊不再能起作用的話，攻擊者使用 10 臺攻擊機同時攻擊呢？用 100 臺呢？DDoS 就是利用更多的傀儡機來發(fā)起進攻，以比從前更大的規(guī)模來進攻受害者。這時侯分布式的拒絕服務(wù)攻擊手段（DDoS）就應(yīng)運而生了。單一的 DoS 攻擊一般是采用一對一方式的，當(dāng)攻擊目標(biāo) CPU 速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項性能指標(biāo)不高它的效果是明顯的。 防拒絕服務(wù)（DOS）攻擊DoS 的攻擊方式有很多種，最基本也是危害最大的的 DoS 攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。 病毒的實時檢測更困難：眾所周知，對待病毒應(yīng)以預(yù)防為主，如果發(fā)生了病毒感染，往往就已經(jīng)造成了不可挽回的損失，因此對網(wǎng)上傳輸?shù)奈募M行實時病毒檢測成了亟待解決的重要問題。隨著網(wǎng)速的提高，在數(shù)據(jù)傳輸時間變短的同時，病毒的傳送時間會變得更加微不足道。用戶通過網(wǎng)絡(luò)甚至可以獲得專門編寫病毒的工具軟件，只需要通過簡單的操作就可以生成破壞性的病毒。制作病毒的方法更簡單： 由于網(wǎng)絡(luò)的普及，使得編寫病毒的知識越來越容易獲得。一方面可能會導(dǎo)致本機機密資料的泄漏，另一方面會導(dǎo)致一些網(wǎng)絡(luò)服務(wù)的中止。病毒破壞性更大： 計算機病毒不再僅僅以侵占和破壞單機的資料為目的。 蠕蟲病毒更加泛濫： 其表現(xiàn)形式是郵件病毒會越來越多，這類病毒是由受到感染的計算機自動向用戶的郵件列表內(nèi)的所有人員發(fā)送帶毒文件，往往在郵件當(dāng)中附帶一些具有欺騙性的話語，由于是熟人發(fā)送的郵件，接受者往往沒有戒心。 病毒與黑客程序相結(jié)合：隨著網(wǎng)絡(luò)的普及和網(wǎng)速的提高，計算機之間的遠(yuǎn)程控制越來越方便，傳輸文件也變得非常快捷，正因為如此，病毒與黑客程序（木馬病毒）結(jié)合以后的危害更為嚴(yán)重，病毒的發(fā)作往往伴隨著用戶機密資料的丟失。 病毒防護防病毒必須立足于系統(tǒng)全網(wǎng)的角度，除了在終端部署放病毒產(chǎn)品控制病毒對終端的破壞，更應(yīng)該在網(wǎng)絡(luò)中部署安全產(chǎn)品，控制病毒的傳播。可以對網(wǎng)絡(luò)數(shù)據(jù)進行細(xì)粒度的過濾，過濾條件包括：? 源接口? 目的接口? 協(xié)議類型（ICMP/TCP/UDP）? 源地址? 目的地址? 服務(wù)類型? 報文通訊時間以上條件構(gòu)成了 USG 對一個具體業(yè)務(wù)流的判斷，在此基礎(chǔ)上，用戶可以定義針對具體業(yè)務(wù)流的安全策略，包括：允許通過、需要認(rèn)證通過、阻斷、建立VPN 隧道等。它劃定了一個邊界，使經(jīng)認(rèn)證的局域網(wǎng)用戶、管理員、獨立工作站和單機用戶可以安全的訪問不可信的外部網(wǎng)絡(luò)或接受這些外部網(wǎng)絡(luò)的訪問；它使邊界中的所有成員都可以有效的防止未授權(quán)系統(tǒng)的侵入、避免數(shù)據(jù)被修改和刪除、避免資源被竊取、抵抗拒絕服務(wù)等攻擊；處在防火墻邊界的用戶使用的安全連接，數(shù)字處理、信息的傳輸和存儲都受到保護。所以需要對邊界部署訪問控制系統(tǒng)，有效地監(jiān)控內(nèi)部網(wǎng)和公共網(wǎng)之間的活動，并對數(shù)據(jù)進行過濾與控制，保證內(nèi)部網(wǎng)絡(luò)的安全。如果在邊界沒有一個可集中控制訪問請求的措施，很容易被惡意攻擊者或其它企圖人員利用這些邊界進行非法入侵。網(wǎng)上銀行安全解決方案14 邊界訪問控制銀行系統(tǒng)的邊界之內(nèi)包含多個局域網(wǎng)以及計算資源組件。第 4 章 網(wǎng)銀系統(tǒng)安全防護方案為了網(wǎng)銀系統(tǒng)的高可用性，網(wǎng)絡(luò)層的安全防護是必不可少的措施，在鏈路、設(shè)備多個層次上實現(xiàn)鏈路冗余、多機集群、負(fù)載均衡等各項措施。[6] 客觀性： 堅持正確的商業(yè)精神，以負(fù)責(zé)的態(tài)度，嚴(yán)謹(jǐn)、審慎、科學(xué)