【正文】 第 頁 共 47 頁 23 主要 功能 資產(chǎn)發(fā)現(xiàn)與管理 天鏡能夠通過綜合運用多種手段（主機(jī)存活探測，智能端口檢測，操作系統(tǒng)指紋識別等）全面、快速、準(zhǔn)確的發(fā)現(xiàn)被掃描網(wǎng)絡(luò)中的存活主機(jī)，準(zhǔn)確識別其屬性，包括主機(jī)名稱、設(shè)備類型、端口情況、操作系統(tǒng)以及開放的服務(wù)等，為進(jìn)一步脆弱性掃描做好準(zhǔn)備。啟明星辰 第 頁 共 47 頁 22 得到了長足的發(fā)展，這種積累也使得天鏡在同類產(chǎn)品中一直處于市場和技術(shù)的領(lǐng)先位置。 經(jīng)過多年市場驗證的成熟產(chǎn)品 “天鏡”漏洞掃描類產(chǎn)品自 2020 年推出以來，已經(jīng)在政府、金融、電信、軍隊、教育、企業(yè)、能源等各個行業(yè)得到了成功應(yīng)用，獲得了最廣泛的用戶認(rèn)可。 2020 年，天鏡產(chǎn)品兼容中國國家信息安全漏洞庫（ CNNVD），是國內(nèi)第一家支持國家漏洞庫的掃描器產(chǎn)品廠商。 保持與國際、國內(nèi)標(biāo)準(zhǔn)的統(tǒng)一 天鏡是國內(nèi)第一個獲得 CVE1兼容性認(rèn)證（ CVECompatible）的漏洞掃描產(chǎn)品，標(biāo)志天鏡產(chǎn)品的技術(shù)實力和研發(fā)成果 得到了國際權(quán)威組織的充分認(rèn)可 。 ADLABTM 專注于網(wǎng)絡(luò)安全深層攻防技術(shù)和信息安全技術(shù)的研究，其漏洞研究成果積累和前瞻性的漏洞跟蹤能力，為天鏡產(chǎn)品的持續(xù)發(fā)展提供了核心動力，保證了天鏡產(chǎn)品漏洞庫的全面性、準(zhǔn)確性、權(quán)威性和更新的及時性，能夠?qū)W(wǎng)絡(luò)安全突發(fā)事件進(jìn)行應(yīng)急。啟明星辰 第 頁 共 47 頁 21 驗室，也是啟明星辰核心專業(yè)技術(shù)隊伍之一。天鏡的主要系統(tǒng)結(jié)構(gòu)以及系統(tǒng)各模塊與用戶、硬件平臺的交互關(guān)系如下圖所示： 169。 169。 天闐入侵檢測系統(tǒng) 采用全面的檢測技術(shù)保證威脅發(fā)現(xiàn) 的準(zhǔn)確 性 ；采用多維度圖 、 表 、數(shù)據(jù) 結(jié)合的方法保證威脅展示的簡單 性 、充分 性； 同時通過智能分析過濾的方法過濾掉無需關(guān)注的事件，保證威脅展示的質(zhì)量；采用去技術(shù)化的向?qū)椭褂谜邔ν{進(jìn)行分析和處理，此外，自動處理的機(jī)制也最大程度地降低了使用者的維護(hù)工作量。啟明星辰 第 頁 共 47 頁 18 ? 簡單威脅管理 天闐入侵檢測系統(tǒng) 強(qiáng)調(diào)使用的簡單，主要是指對威脅管理的簡單。此外，分析報表采用對比分析的方法，讓使用者對近期的安全狀況一目了然，不再需要使用者在海量的日志數(shù)據(jù)中進(jìn)行人工分析，減輕了使用者的工作量和難度，提 高 使用者的工作效率。啟明星辰 第 頁 共 47 頁 17 為有非常準(zhǔn)確高效的檢測效果，并通過簡單易懂的去技術(shù)化語言幫助用戶分析威脅，對威脅進(jìn)行有效處理。 入侵檢測系統(tǒng) 產(chǎn)品綜述 天闐入侵檢測系統(tǒng) 是啟明星辰自主研發(fā)的 新一代威脅檢測、分析與管理產(chǎn)品 ，該 產(chǎn)品 在總結(jié) 傳統(tǒng)入侵檢測產(chǎn)品 （包括：入侵檢測系統(tǒng)、異常流量監(jiān)測設(shè)備、病毒類檢測設(shè)備等）不足的基礎(chǔ)上，結(jié)合大量用戶（尤其是行業(yè)用戶，如政府、金融、軍隊、能源、教育、媒體等）的實際使用效果和反饋，進(jìn)行了大規(guī)模的改進(jìn)和創(chuàng)新，在保證全面威脅檢測的同時， 強(qiáng)調(diào)用戶使用的體驗，實用、易用、在檢測威脅的同時方便用戶對威脅進(jìn)行有效分析和處理、實現(xiàn)對威脅的閉環(huán)處理、降低 使 用人員的使用難度、降低實用人員的使用成本、提高使用人員的工作效率是本品的特色。它的原理是 :在 TCP 服務(wù)器收到 TCP SYN 包時，不分配一個專門的數(shù)據(jù)區(qū)，而是根據(jù)這個 SYN 包計算出一個 cookie值，并加載在所回 應(yīng)的 SYN/ACK 包中，在收到 TCP ACK 包時， TCP 服務(wù)器在根據(jù)那個 cookie 值檢查這個 TCP ACK 包的合法性。 該算法會以 1 秒鐘為單位時間，進(jìn)行流量的統(tǒng)計，如果上 1 秒鐘的流量大于事先約定的閥值，那么立即進(jìn)入流量識別模式，如果連接請求可以在知識庫搜索到，則直接放行，并記錄放行的數(shù)據(jù)包數(shù)，否則以上 1 秒鐘的流量作為樣本，計算放行的概率。這樣可以始終保證知識庫 中存放的是發(fā)生頻率最高的連169。 將上述所獲的網(wǎng)絡(luò)連接信息放入網(wǎng)絡(luò)連接知識庫中，該緩沖區(qū)按照索引標(biāo)識、源和目的地址進(jìn)行合并存放，即相同的源和目的地址將該連接的發(fā)生次數(shù)進(jìn)行累計計算。對于不同的功能模塊，模式匹配是基于不同特征庫的，因此模式匹配的融合主要是特征庫的統(tǒng)一。即將入侵檢測、防病毒、防垃圾郵件、內(nèi)容過濾和流量管理等各項功能的分析處理引擎進(jìn)行一體化設(shè)計，以達(dá)到性能最優(yōu)的目的。 如何融合 這些 分析處理引擎， 降低 關(guān)鍵業(yè)務(wù)單元 的 性能消耗成為軟件結(jié)構(gòu)設(shè)計首要考慮的問題。 169。而且可以充分利用緩沖區(qū)的空間。 捕包程序在捕獲一個數(shù)據(jù)包之前，從空閑緩沖區(qū)隊列的頭部取下一個空的存儲單元（為了提高訪問速度，采用內(nèi)存邊界對齊的數(shù)據(jù)單元，比如說 2k 字節(jié)一個單元），將從網(wǎng)卡讀入的數(shù)據(jù)拷貝到這個緩沖區(qū)以后，捕包程序?qū)⑦@個緩沖單元掛到已使用緩沖隊列的尾部。最初定義的是直接在緩沖區(qū)上定義讀寫指針將緩沖區(qū)當(dāng)成環(huán)形隊列使用，現(xiàn)在不同是緩沖區(qū)不再是一個環(huán)形隊列，而被分成了獨立的兩部分：空閑緩沖區(qū)隊列和已使用緩沖區(qū)隊列。又由于協(xié)議棧分析時多線程同時進(jìn)行，沒有辦法確定每一數(shù)據(jù)包分析完成的時間，這樣很難確定環(huán)形緩沖區(qū)的讀指針了 。這樣問題也就出現(xiàn)了：那個環(huán)形緩沖區(qū)的讀指針不再正確。 但是上述數(shù)據(jù)交換方式在內(nèi)容分析多線程的情況下就出現(xiàn)了問題。傳統(tǒng)的做法就是把這個緩沖區(qū)變成一個環(huán)形隊列，捕包程序和協(xié)議棧程序分別持有一個寫指針和讀指針，只要兩個指針不互相超越就可以。啟明星辰 第 頁 共 47 頁 14 內(nèi)容分析子系統(tǒng)要充分 發(fā)揮當(dāng)前處理器所具備的多核能力。 天清漢馬 USG 防火墻為客戶提供前瞻的安全能力，在業(yè)界率先通過了 IPv6 Ready Phase II 認(rèn)證，支持 IPv6 環(huán)境下的狀態(tài)包過濾、靜態(tài)路由、 OSPF 動態(tài)路由、 FTP、 ALG 等基本安全控制，支持 IPv6/v4 雙協(xié)議棧部署，為用戶提供過渡網(wǎng)絡(luò)的安全解決方案。 在軟件架構(gòu)上，天清漢馬 USG 防火墻采用了一體化的設(shè)計方案，在性能和防護(hù)的全面性上取得完美平衡，能夠滿足客戶的不同安全需求。 為了適應(yīng)不同類型客戶的需求，天清漢馬 USG 防火墻綜合采用了 MIPS 多核、X86 多核和 ASIC 加速等多種硬件技術(shù)平臺，為用戶提供了業(yè)界最豐富、最靈活的安全部署能力。 實戰(zhàn)專題名稱如下： ? 網(wǎng)絡(luò)攻防實戰(zhàn) ? 無線攻防實戰(zhàn) ? 防火墻實戰(zhàn) ? 網(wǎng)絡(luò)應(yīng)急實戰(zhàn) ? 安全運維實戰(zhàn) ? 等級保護(hù)實戰(zhàn) ? 安全服務(wù)實戰(zhàn) 169。實訓(xùn)項目名稱如下： ? 網(wǎng)絡(luò)滲透攻擊實訓(xùn) ? 網(wǎng)絡(luò)安全加固實訓(xùn) ? 入侵檢測防御實訓(xùn) ? 個人防火墻開發(fā)實訓(xùn) ? 企業(yè)防火墻構(gòu)建實訓(xùn) ? 動態(tài)網(wǎng)站安全實訓(xùn) ? 電子商務(wù)安全實訓(xùn) （ 3）網(wǎng)絡(luò)安全實戰(zhàn)教學(xué) 實戰(zhàn)競技專題共計 6個，每個專題包涵至少 510個實戰(zhàn)競技任務(wù)。 8 個實驗方向如下： 169。 三大類的實驗體系 （ 1）網(wǎng)絡(luò)信息安全綜合實驗教學(xué) 實驗項目包涵 8 個實驗方 向、 63 個實驗題目。 實驗室教學(xué) 開設(shè)實驗課程名稱、實驗項目名稱 本次實驗室建設(shè)主要參考教育部高等學(xué)校信息安全類專業(yè)教學(xué)指導(dǎo)委員會發(fā)布 的《網(wǎng)絡(luò)安全類專業(yè)指導(dǎo)性專業(yè)規(guī)范》建設(shè)，主要服務(wù)于學(xué)院網(wǎng)絡(luò)工程專業(yè)及其他專業(yè)網(wǎng)絡(luò)安全方向課程的實踐教學(xué)，包含網(wǎng)絡(luò)信息安全綜合實驗教學(xué)、網(wǎng)絡(luò)安全實訓(xùn)教學(xué)、網(wǎng)絡(luò)安全實戰(zhàn)教學(xué)三種類型的實驗，可以支持教學(xué)計劃中網(wǎng)絡(luò)工程 /安全專業(yè)所有實踐課程的開設(shè)。同時可以完成基于網(wǎng)絡(luò)的在線取證分析和黑客追蹤技術(shù)的應(yīng)用。 169。從技術(shù)來講，兩大模塊可以實現(xiàn)無縫的融合，甚至在兩者之間還可以增加網(wǎng)絡(luò)協(xié)議分析，根據(jù)專業(yè)的發(fā)展最終實現(xiàn)三者結(jié)合，在應(yīng)用方面是一個層層相扣和逐步深化的知識關(guān)聯(lián)。啟明星辰 第 頁 共 47 頁 9 （ 3） 基于 ICMP 路由欺騙 （ 4） RIP 路由欺騙 （ 5） DNS 欺騙 7) 特洛伊木馬 （ 1） 網(wǎng)頁木馬 （ 2） 木馬捆綁與隱藏 （ 3） 木馬免殺 8) 防火墻 （ 1） iptables 應(yīng)用 9) 蜜罐（ HoneyPot）捕獲 3. 病毒攻防 1) 引導(dǎo)區(qū)病毒 （ 1） BMW 病毒 2) 腳本病毒 （ 1） 腳本及惡意網(wǎng)頁病毒 3) 宏病毒 （ 1） Word 宏病毒 4) 蠕蟲病毒 （ 1） 暴風(fēng)一號蠕蟲病毒 4. 密碼學(xué)及應(yīng)用 1) 對稱密碼算法 （ 1） DES 算法 （ 2） AES 算法 （ 3） IDEA 算法 （ 4） RC4 算法 （ 5） BlowFish 算法 2) 公開密鑰加密算法 （ 1） RSA 算法 （ 2） ElGamal 算法 （ 3） 橢圓曲線密碼編碼學(xué) 3) 單向散列算法 （ 1） MD5 算法 （ 2） SHA 算法 4) 其他算法 （ 1） Base64inC （ 2） CRC32 算法 5) PKI 技術(shù) （ 1） 證書管理 （ 2） 信任模型 5. 無線安全 1) WiFi基礎(chǔ)應(yīng)用 （ 1） WLAN 通信 （ 2） AP 橋模式 2) WiFi安全方案 169。啟明星辰 第 頁 共 47 頁 7 基于 ICMP 流量攻擊的入侵阻斷過程 基于 ICMP 流量攻擊的防火墻聯(lián)動防御 WEB 應(yīng)用防火墻 Web 防火 墻防范惡意攻擊、 SQL 注入攻擊 Web 防火墻防范非法網(wǎng)頁請求 實時應(yīng)用防護(hù) 網(wǎng)頁流出檢測 WEB BI 智能分析 病毒郵件防御 子策略郵件過濾 郵件路由策略設(shè)置 拒絕非法郵件 郵件備份審計、報表統(tǒng)計 設(shè)計型 單人實驗 多人驗證 安全掃描系統(tǒng) 系統(tǒng)的初始化連接與配置 基于網(wǎng)段的端口掃描應(yīng)用 單機(jī)漏洞的掃描與解決方案 單機(jī)指定端口的掃描應(yīng)用 多類型掃描的應(yīng)用 基于 DB2 數(shù)據(jù)庫的漏洞掃描應(yīng)用 基于多個掃描口的應(yīng)用 流光掃描器的應(yīng)用 供電局系統(tǒng)的掃描案例應(yīng)用 設(shè)計型 單人實驗 網(wǎng)絡(luò)審計 系統(tǒng) 運維審計 實 驗 數(shù)據(jù)庫審計 實驗 定制 審計事件規(guī)則 特定帳號 行為跟蹤 定制 數(shù)據(jù)庫審計規(guī)則 命令及 字段 智能 分析 業(yè)務(wù)黑白名單 設(shè)置 驗證型 單 人驗證 安全終端 管理系統(tǒng) 終端資產(chǎn)管理 遠(yuǎn)程桌面控制 補丁 管理 終端 外設(shè)管理 軟件 分發(fā)實驗 桌面 自動化運維工具使用 主機(jī) 防火墻設(shè)置 主機(jī) 審計實驗 驗證型 多人驗證 網(wǎng)絡(luò)安全綜合實驗 網(wǎng)絡(luò)安全整體解決方案的設(shè)計 等保測評與安全整改 防病毒技術(shù)綜合應(yīng)用 黑客追蹤技術(shù) 風(fēng)險評估 網(wǎng)絡(luò)搜索與掃描 綜合型 多人實驗 169。 169。 169。 其部署方式是以組的方式來搭建實驗環(huán)境， 可 根據(jù) 實際 情況 把 多個組 組成 一個更大的網(wǎng)絡(luò)進(jìn)行設(shè)計。啟明星辰 第 頁 共 47 頁 4 過增加新的安全產(chǎn)品，以相互結(jié)合的方式，搭建成一個具有網(wǎng)絡(luò)安全技術(shù)應(yīng)用、信息安全技術(shù)的實驗室。根據(jù)學(xué)校的總體發(fā)展規(guī)劃及專業(yè)建設(shè)和實驗需求， 啟明星辰 公司決定充分發(fā)揮各自優(yōu)勢， 以校企合作為原則， 建立以專業(yè)實驗教學(xué)、人才培養(yǎng)、科研為主要內(nèi)容的互惠、互利合作關(guān)系，制定網(wǎng)絡(luò)安全實驗室及校企合作建設(shè)方案。實現(xiàn)應(yīng)用型、研究型人才的培養(yǎng)教育；第二：可以以此為平臺，成為網(wǎng)絡(luò)安全的校內(nèi)學(xué)生、校外社會人員、高校師資培訓(xùn)及考證的環(huán)境；第三：作為校企產(chǎn)學(xué)研、項目合作、課題申報的研究平臺，承擔(dān)地方重大項目的技術(shù)攻關(guān)，實現(xiàn)科技創(chuàng)新，完成學(xué)生的實習(xí)與就業(yè)。 本方案的設(shè)計擬產(chǎn)生三方面的效益。 本方案設(shè)計的網(wǎng)絡(luò)安全實驗室是采用新建的方式，基于網(wǎng)絡(luò)安全產(chǎn)品基礎(chǔ)上結(jié)合安全產(chǎn)品的規(guī)劃。啟明星辰