【正文】 碎片重組、 TCP 流重組、統(tǒng)計分析能力； 3) 具備分析采用躲避入侵檢測技術的通信數(shù)據(jù)的能力，從而有效的檢測針對 IDS 進行的躲避行為； 4) 具有網(wǎng)絡蠕蟲病毒檢測功能； 5) 具有事件關聯(lián)分析功能，可以管理已發(fā)生的入侵事件 ，進行關聯(lián)分析，處理垃圾報警信息，準確描述攻擊行為； 6) 具有異常流量分析和內(nèi)容異常分析功能； 7) 具有用戶自定義事件的功能，擁有完備、開放的特征庫，支持用戶對網(wǎng)絡安全事件自定義和定制功能，允許修改或定義特定事件，生成自己的事件庫，對非通用入侵行為進行定義檢測； 8) 支持對 HTTP， FTP， ICMP， SNMP， TELNET， SMTP， POP3， RLOGIN， IMAP， TFTP， CHARGEN， DNS， NFS， RSH， Finger， NNTP， WHOIS，ARP， NETBIOS， RIP， IRC， SUNRPC， MSSQL， NTALK， ECHO，PMAP， AUTH， TNS， TDS 等 30 種以上協(xié)議的分析； 9) 入侵檢測系統(tǒng)采用的事件庫必須經(jīng)過國際 CVE 組織的授權證書 。 3) 按照安全策略定義的地址、事件、協(xié)議及端口對通信連接進行阻斷； 4) 能夠?qū)α髁慨惓，F(xiàn)象進行及時報警； 4. 管理功能 1) 具有分布式部署，統(tǒng)一管理、集中監(jiān)控、多級運行的功能： 2) 支持多個分布式的探測引擎，對多個網(wǎng)段同時進行入侵檢測與響應； 3) 采用組件架構，包括顯示中心、日志中心獨立組件，并且要求可以分布部署； 4) 支持與網(wǎng)絡漏洞掃描、 windows 以及多種 unix 主機入侵檢測系統(tǒng)組件的同臺管理（提供截圖證明）； 5) 具備分級管理功能，應能夠?qū)崿F(xiàn)三級以上的管理部署，滿足分級管理的要求； 6) 要求具有全局預警功能，下級控制中心應具有向上級控制中心匯報安全事件的能力，上級控制中心應具有制定并下發(fā)全局入侵管理策略、接收并顯示全局網(wǎng)絡安全態(tài)勢的能力； 7) 具有節(jié)點實名功能，在大規(guī)模分布式監(jiān)測環(huán)境中迅速直觀 地顯示報警區(qū)域和方位信息； 8) 具有事件規(guī)則集管理功能，要求可以重新定義通用網(wǎng)絡協(xié)議的默認端口； 9) 提供全面、靈活的事件規(guī)則自定義功能，能提供多種預定義、可衍生的事件策略集，并允許用戶自定義入侵檢測策略，能夠根據(jù)預設條件和當前事件統(tǒng)計趨勢提供策略自動調(diào)整響應方式； 10) 入侵檢測控制中心的報警窗口應滿足以下要求： ? 顯示內(nèi)容全面、窗口組織靈活、可提供同類事件的統(tǒng)計顯示方式； ? 能有效防止事件風暴，保證報警內(nèi)容的可視性； ? 能以多窗口形式顯示多種分類信息，并可提供用戶自定義窗口及窗口過濾條件方式，保證信息的可視性和完整性； 11) 告 警事件提供高級、中級、低級、掃描、行為關聯(lián)事件等不同級別，并提供便于使用的圖形界面，可進行遠程管理；支持標準的 VT++事件自定義語言，易于使用，用戶可以方便的自定義檢測事件。 3) 對控制臺與探測引擎之間的數(shù)據(jù)通信及存儲進行加密、完整性檢查，并進行基于 RSA（ 1024 位）的身份鑒別處理； 4) 網(wǎng)絡探測引擎應采用固化模塊（包含軟硬件），使用專有操作系統(tǒng)，探測引擎不設 IP 地址 ，便于 在網(wǎng)絡中實現(xiàn)自身隱藏及帶外管理。 漏洞掃描系統(tǒng) 應 具 備 對 操 作 系 統(tǒng) (Windows,Unix,Linux 等 ), 數(shù)據(jù)庫(Oracle,MSSql,MySql 等 ),網(wǎng)絡設備 (路由器等 ),安全設備 (防火墻等 ),特定應用程序等多種系統(tǒng)進行漏洞掃描評估的能力 . 漏洞掃描系統(tǒng)應采用軟件形式 ,以便于在不同的場合中靈活使用 . 應 能夠自動檢測目標對象的操作系統(tǒng)并提供精確的端口掃描功能 ,掃描漏洞數(shù)量應在 1300 個以上 . 漏洞掃描應能夠?qū)崟r顯示掃描過程進行狀態(tài) ,被掃描對象信息 ,漏洞信息 ,便于管理員了解掃描進展情況 . 支持直觀的圖形化中文界面 ,以方便掃描操作和對結果的評估 . 支持對每次掃描結果進行保存 ,以便對歷史掃描記錄進行調(diào)用 . 應支持預約掃描功能 ,可以在計劃的時間按照定義的策略自動執(zhí)行掃描任務 . 應具備靈活的用戶自定義安全策略功能 .提供不同策略模板供用戶使用 ,并支持細力度的掃描策略編輯功能 ,用戶可定義掃描范圍 ,掃描端口 ,服務類型等 . 支持 DoS 攻擊測試 ,提供字典 (暴力遠程破解 )攻擊等功能 . 應具備高速掃描能力 ,并發(fā)掃描多個系統(tǒng) ,同時并發(fā)掃描 200 臺以上目標系統(tǒng) . 進行掃描時 ,應對網(wǎng)絡性能和被掃描對象主機性能不會產(chǎn)生明顯影響 . 應提供用戶管理功能 ,只有通過身份認證的用戶才可以使用漏洞掃描系統(tǒng) ,防止漏洞掃描器的盜用和濫用 ,保證自身的安全 。 7*24*365 快速響應服務， 1 小時內(nèi)響應（本地） 提供全天候的緊急響應服務，本地在 2 個小時內(nèi)到達現(xiàn)場 判定安全事件類型 從網(wǎng)絡流量、系統(tǒng)和 IDS 日志記錄、桌面日志中判斷安全事件類型。查明安全事件原因，確定安全事件的威脅和破壞的嚴重程度。在這一步中，通常會將受影響系統(tǒng)和服務隔離。 排除系統(tǒng)故障 針對發(fā)現(xiàn)的安全事件來源，排除潛在的隱患，消除安全威脅，徹底解決安全問題。 客戶信息系統(tǒng)安全加固 對系統(tǒng)中發(fā)現(xiàn)的漏洞進行安全加固，消除安全隱患。 備份還原系統(tǒng) 安全不是絕對的，沒有哪種產(chǎn)品的可以做到百分之百的安全，但我們的許多數(shù)據(jù)需要絕對的保護。如果遇到系統(tǒng)來重受損時，可以利用災難恢復系統(tǒng)進行快速恢復。安全運維涉及的內(nèi)容較多，包括安全運行維 護機構和維護機制的建立，環(huán)境、資產(chǎn)、設備、介質(zhì)的管理，網(wǎng)絡、系統(tǒng)的管理，密碼、密鑰的管理，運行變更的管理，安全狀態(tài)的監(jiān)控和安全事件處置，安全審計和安全檢查等等。制訂業(yè)務連續(xù)性計劃并成立危機管理小組。在適當?shù)那闆r下，制訂計劃應對以下情況： 1) 意外火災和縱火 2) 洪水 3) 斷電或基本服務中斷 4) 恐怖活動或無政府主義活 動 5) 蓄意破壞 6) 行業(yè)間諜活動 7) 勞工行動包括罷工和怠工 8) 靜坐示威和非法占用 9) 敵對接管 10) 因為媒體曝光而導致的公眾對抗 11) 綁架、挾持和敲詐 為了確保業(yè)務連續(xù)性，建立風險管理準則和內(nèi)部控制系統(tǒng)，維持有效的鍵客網(wǎng)運營安全，應建立如下風險管理策略： 1) 任命生存協(xié)調(diào)員：為確保在發(fā)生重大業(yè)務損失后維持業(yè)務連續(xù)性的適當水平，應任命生存協(xié)調(diào)員。對所有的主要業(yè)務應用程序和操作系統(tǒng)生成全面的審計跟蹤記錄； 7) PC 軟件安裝：確保所有的 IT 資源上只安裝經(jīng)過授權、得到許可的無病毒軟件，而且系統(tǒng)按照核準的程序安裝； 8) 系統(tǒng) 測試：確保所有新的程序和所有被修改的現(xiàn)有程序只有在獲得相關的數(shù)據(jù)、系統(tǒng)管理者授權，并和只能管理人員協(xié)商、在完成一系列測試程序后才能轉(zhuǎn)移到生產(chǎn)環(huán)境中； 9) 從開發(fā)到生產(chǎn)環(huán)境的程序轉(zhuǎn)換：應防止含有邏輯錯誤或不屬于程序最新版本的計算機程序應用到生產(chǎn)環(huán)境中，確保系統(tǒng)文件不斷更新，數(shù)據(jù)、系統(tǒng)用戶及時掌握程序變化情況。這種授權應包括更新的文件、更新的程序、用戶通知、用戶培訓、系統(tǒng)測試、管理變更授權、設置正確的源 程序庫和設置正確的生產(chǎn)程序庫等措施； 10) 有效數(shù)據(jù)的使用限制：應防止有效生產(chǎn)數(shù)據(jù)被意外或無意破壞、更改、誤用或損壞以及違反保密規(guī)定等情況的發(fā)生； 11) 變更管理：應確保對已經(jīng)安裝完畢或正在開發(fā)的軟件和系統(tǒng)所做的變更均以獲得授權，且所有的變更都可被審計。所有計劃內(nèi)的變更在實施之前必須經(jīng)過授權，在投入生產(chǎn)運用之前，需按照已制訂的系統(tǒng)測試程序，進行嚴格、全面的測試； 12) 生產(chǎn)環(huán)境的變更：對重要的業(yè)務應用程序、操作系統(tǒng)和硬件做出變更時都要嚴格遵從變更控制程序 ，在變更在實施之前必須經(jīng)過授權，在投入生產(chǎn)運用之前，需按照已制訂的系統(tǒng)測試程序，進行嚴格、全面的測試； 13) 問題管理：確保所有的 IT 系統(tǒng)問題按照一致的方式上報并記錄在案； 14) 源代碼管理：確保對生產(chǎn)源代碼做出的所有變更都獲得了正確的授權和控制，并且所有這些變更都是可審計的； 15) 軟件授權：確保使用中的已授權軟件通過合法途徑獲得，而且沒有違反授權規(guī)定； 容量設計：確保關鍵的 IT 系統(tǒng)和網(wǎng)絡和能夠及時和高效率、低成本地達到業(yè)務發(fā)展的要求。 利用防火墻實現(xiàn)內(nèi)外網(wǎng)或不信任域之間的隔離與訪問控制并作日志； 通過防火墻的一次性口令認證機制，實現(xiàn)遠程用戶對內(nèi)部網(wǎng)訪問的細粒度訪問控制； 通過入侵檢測系統(tǒng)全面監(jiān)視進出網(wǎng)絡的所有訪問行為，及時發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為并對攻擊行為作日志； 通過網(wǎng)絡及系統(tǒng)的安全掃描系統(tǒng)檢測網(wǎng)絡安全漏洞，減少可能被黑客利用的不安全因素； 利用全網(wǎng)的防病毒系統(tǒng)軟件 ，保證網(wǎng)絡和主機不被病毒的侵害； 備份與災難恢復 強化系統(tǒng)備份，實現(xiàn)系統(tǒng)快速恢復； 通過安全服務提高整個網(wǎng)絡系統(tǒng)的安全性 管理程序 入侵防護解決方案可在不降低網(wǎng)絡性能，實時檢測并消除來自電子郵件、病毒、蠕蟲和入侵中基于內(nèi)容的各種威脅。這些風險存在于電子郵件及諸如病毒、蠕蟲、入侵和不正當 Web 內(nèi)容等的 Web 流量。 當今全球信息基礎架構面臨著可導致經(jīng)濟損失的巨大風險 ，效果欠佳的入侵防護方案在應對入侵攻擊時，并不能挽回這樣的損失。在集成這些技術到相關產(chǎn)品時，不能忽視匹配重要的新入侵防護解決方案。 實時漏洞 – 入侵防護 實時漏洞防護套件打破傳統(tǒng)方法，即攻擊發(fā)生后再對其進行驅(qū)除，衍變?yōu)橄⑨槍ο到y(tǒng)中的漏洞進行保護。 網(wǎng)絡基礎架構 – 入侵防護 入侵防護保護 網(wǎng)絡基礎架構，以便業(yè)務不受打斷。 電子郵件 – 入侵防護 金融公司、制造企業(yè)和零售商等使用入侵防護，掃描郵件消息和附件以查找病毒。 應用級攻擊 – 入侵防護 一旦發(fā)生拒絕服務攻擊可使企業(yè)網(wǎng)站斷線幾個小時甚至更多。 大型企業(yè) – 入侵防護 大型企業(yè)具有廣域分布的電信及數(shù)據(jù)中心網(wǎng)絡，需要特別構建高性能入侵防護安全網(wǎng)關，具有確實的防火墻和 IPSec VPN，提供可擴展的網(wǎng)絡及應用級安全。 7 安全服務體系建設 隨著互聯(lián)網(wǎng)技術的每一步發(fā)展，都伴隨著新的黑客技術及漏洞的產(chǎn)生，任何防護產(chǎn)品或方式都無法終結網(wǎng)絡安全威脅。安全產(chǎn)品只是解決安全的一種手段，只維護靜態(tài)安全，真正的安全不是產(chǎn)品 堆砌后一成不變的被動防御，而是動態(tài)的、主動的，安全產(chǎn)品必須通過服務才能保證動態(tài)安全，實現(xiàn)主動防御，產(chǎn)品本身的作用和價值是靠服務體現(xiàn)出來的，安全產(chǎn)品與服務永遠不能分，如果拋開了服務，那么安全產(chǎn)品從購買的那天起，就開始失去存在的意義。即使招聘一批安全專家，但成本相對較高，資源浪費。專門的安全服務公司，專注于安全領域，有很多專業(yè)人員能夠給用戶提供安全服務，包括人員安全知識培訓、幫助設定安全的策略，檢測網(wǎng)絡的漏洞，評估網(wǎng)絡的安全性，告訴用戶如何設定，怎么確保最安全，漏洞在哪里以及如何去補，幫助客戶監(jiān)測網(wǎng)絡，監(jiān)測防火墻，如果有攻擊近來，幫助用戶作出反應等。 亞洲大藥房網(wǎng)上藥品交易平臺 安全服務體系建設內(nèi)容有： 1) 建立安全服務規(guī)范。 2) 建立安全培訓計劃。 3) 簽訂外包服務合同。