導(dǎo)語：如何才能寫好一篇防火墻解決方案，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：雙出口 校園網(wǎng)解決方案 靜態(tài)路由

一、問題分析與提出

校園網(wǎng)是高校的信息化建設(shè)的基礎(chǔ)設(shè)施，是教學(xué)科研管理信息化和現(xiàn)代化的重要平臺。大部分高校校園網(wǎng)從初建至今已有幾年的歷史。我院于2005年申請一條10M的網(wǎng)通線路接入Internet，用于日常辦公和教學(xué)使用。網(wǎng)絡(luò)拓?fù)鋱D如圖1：

由于學(xué)院的發(fā)展和招生、評估等需求，我院于2007年又接入一條100M教育網(wǎng)。眾所周知，教育網(wǎng)內(nèi)部訪問速度是非?？斓?，但是由于教育網(wǎng)與其他非教育網(wǎng)絡(luò)如CHINANET之間存在瓶頸，所以從教育網(wǎng)訪問新浪、搜狐等非教育網(wǎng)站點時速度相對較慢。在網(wǎng)絡(luò)改造時我們同時保留網(wǎng)通10M線路，這樣做的好處是可以同時高速訪問教育網(wǎng)資源和非教育網(wǎng)資源，滿足師生學(xué)習(xí)和辦公的需求。

接入教育網(wǎng)后，校園網(wǎng)應(yīng)滿足如下需求：

（1）客戶端IP地址設(shè)置不受影響，即不用重新設(shè)置地址就可以正常上網(wǎng)；

（2）客戶端訪問教育科研網(wǎng)的網(wǎng)站時，走教育網(wǎng)線路，訪問其他站點時，走網(wǎng)通線路。

（3）盡可能的節(jié)約校園網(wǎng)調(diào)整、改造的投資。

校園網(wǎng)改造后結(jié)構(gòu)如圖2：

二、基本技術(shù)介紹

目前解決網(wǎng)絡(luò)雙出口的方案通常會使用默認(rèn)路由、靜態(tài)路由、NAT轉(zhuǎn)換等技術(shù)。

1.靜態(tài)路由

靜態(tài)路由是在路由器中設(shè)置的固定的路由表。除非網(wǎng)絡(luò)管理員干預(yù)，否則靜態(tài)路由不會發(fā)生變化。靜態(tài)路由的優(yōu)點是簡單、高效、可靠。在所有的路由中，靜態(tài)路由優(yōu)先級最高。當(dāng)動態(tài)路由與靜態(tài)路由發(fā)生沖突時，以靜態(tài)路由為準(zhǔn)。這種方式對于上網(wǎng)的路由選擇與用戶無關(guān)，用戶的上網(wǎng)方式無需進(jìn)行任何改動，可操作性較好。同時，網(wǎng)絡(luò)管理人員可以根據(jù)兩個出口的帶寬和流量情況，調(diào)整路由指向。

建立靜態(tài)路由的命令為：

ip route 目的地址網(wǎng)絡(luò) 目的網(wǎng)絡(luò)子網(wǎng)掩碼 下一跳地址

2.默認(rèn)路由

默認(rèn)路由是一種特殊的靜態(tài)路由,指的是當(dāng)路由表中與包的目的地址之間沒有匹配的表項時路由器能夠做出的選擇。默認(rèn)路由在某些時候非常有效,當(dāng)存在末梢網(wǎng)絡(luò)時,默認(rèn)路由會大大簡化路由器的配置,減輕管理員的工作負(fù)擔(dān),提高網(wǎng)絡(luò)性能.

3.NAT技術(shù)

NAT(Network Address Translation)顧名思義就是網(wǎng)絡(luò)IP地址的轉(zhuǎn)換。NAT的出現(xiàn)是為了解決IP日益短缺的問題，將多個內(nèi)部地址映射為少數(shù)幾個甚至一個公網(wǎng)地址。這樣，就可以讓我們內(nèi)部網(wǎng)中的計算機(jī)通過偽IP訪問INTERNET的資源。目前NAT功能通常被集成到路由器、防火墻等設(shè)備中。NAT設(shè)置可以分為靜態(tài)地址轉(zhuǎn)換、動態(tài)地址轉(zhuǎn)換和端口地址轉(zhuǎn)換。

（1）靜態(tài)地址轉(zhuǎn)換

靜態(tài)地址轉(zhuǎn)換將內(nèi)部本地地址與內(nèi)部合法地址進(jìn)行一對一地轉(zhuǎn)換，且需要指定和哪個合法地址進(jìn)行轉(zhuǎn)換。如果內(nèi)部網(wǎng)絡(luò)有WWW服務(wù)器或FTP服務(wù)器等可以為外部用戶提供服務(wù)，則這些服務(wù)器的IP地址必須采用靜態(tài)地址轉(zhuǎn)換，以便外部用戶可以使用這些服務(wù)。

（2）動態(tài)地址轉(zhuǎn)換

動態(tài)地址轉(zhuǎn)換也是將內(nèi)部本地地址與內(nèi)部合法地址一對一地轉(zhuǎn)換，但是動態(tài)地址轉(zhuǎn)換是從內(nèi)部合法地址池中動態(tài)地選擇一個未使用的地址來對內(nèi)部本地地址進(jìn)行轉(zhuǎn)換的。

（3）端口地址轉(zhuǎn)換

端口地址轉(zhuǎn)換首先是一種動態(tài)地址轉(zhuǎn)換，但是它可以允許多個內(nèi)部本地地址共用一個內(nèi)部合法地址。對只申請到少量IP地址但卻經(jīng)常同時有多個用戶上外部網(wǎng)絡(luò)的情況，這種轉(zhuǎn)換極為有用。

三、具體解決方案

此技術(shù)方案采用策略路由結(jié)合網(wǎng)絡(luò)地址轉(zhuǎn)換和訪問控制列表來具體實現(xiàn)，在本校出口采用NAT和策略路由技術(shù)，對于訪問目標(biāo)地址不在CERNET范圍之內(nèi)的，或?qū)儆诠娋W(wǎng)的地址，首先通過NAT進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換，然后將請求通過網(wǎng)通出口路由出去，將計算機(jī)與CERNET及其聯(lián)網(wǎng)單位的通信通過CERNET出口進(jìn)行。

由于涉及到網(wǎng)絡(luò)安全機(jī)密，校園網(wǎng)的各個接口地址均由其他地址代替。其中：校園網(wǎng)內(nèi)部地址為59.68.0.0/24，10.0.0.0/24表示校園網(wǎng)內(nèi)部服務(wù)器的地址，192.168.0.0/24表示網(wǎng)通地址。連接網(wǎng)通防火墻的ip地址為172.16.0.254，教育網(wǎng)路由器的ip地址為59.68.0.254。配置方案如下（以下配置均以思科產(chǎn)品為準(zhǔn)）：

1．核心交換機(jī)的配置

（1）設(shè)置默認(rèn)路由指向連接網(wǎng)通路由器：

ip route 0.0.0.0 0.0.0.0 10.0.0.254

（2）對于所有走教育網(wǎng)流量設(shè)置靜態(tài)路由，指向連接教育網(wǎng)的路由器。

ip route 4.17.184.59 255.255.255.255 59.68.0.254

ip route 12.130.28.213 255.255.255.255 59.68.0.254

ip route 58.116.0.0 255.252.0.0 59.68.0.254

……

ip route 222.204.0.0 255.254.0.0 59.68.0.254

ip route 222.206.0.0 255.254.0.0 59.68.0.254

ip route 222.248.0.0 255.254.0.0 59.68.0.254

由于教育網(wǎng)上經(jīng)常會增刪一些IP地址，未免IP地址有變化或者教育網(wǎng)站點不全面，可從教育科研網(wǎng)（省略）下載最新地址列表。同時為避免靜態(tài)路由條目太多，可使用超網(wǎng)技術(shù)合并一些相似的IP地址。

2.在防火墻上進(jìn)行NAT配置

通常的做法是將NAT放在路由器上，由于路由器采用硬件技術(shù)進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)，具有轉(zhuǎn)發(fā)速度快的特點，但路由器是靠軟件來實現(xiàn)地址轉(zhuǎn)換的，當(dāng)?shù)刂忿D(zhuǎn)換列表大量產(chǎn)生時，會導(dǎo)致路由器的CPU的利用率過高甚至產(chǎn)生宕機(jī)現(xiàn)象。

在路由器滿負(fù)荷工作時，防火墻、核心交換機(jī)的負(fù)荷卻很低，還沒有充分發(fā)揮這些設(shè)備的性能，所以將路由器的工作分散到防火墻上。利用防火墻作NAT，無論轉(zhuǎn)換速度還是處理能力都比用路由器做NAT效果好得多，不會出現(xiàn)占用CPU資源過高的現(xiàn)象。

ip address outside 172.16.0.254 255.255.255.0

ip address inside 172.16.100.1 255.255.252.0

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

四、結(jié)束語

校園網(wǎng)按新的拓?fù)浣Y(jié)構(gòu)改造后，很好的解決了以前在校園網(wǎng)雙出口實施中存在的問題，運行以來效果很好，由于在核心交換機(jī)上作優(yōu)化的策略路由，利用防火墻作網(wǎng)絡(luò)地址轉(zhuǎn)換，校園網(wǎng)用戶既可以高速地訪問教育網(wǎng)上的資源，本地ISP出口也不顯得擁擠不堪。校園網(wǎng)的雙出口已為越來越多的學(xué)校所采納，解決方案亦是仁者見仁、智者見智。在確定方案的時候，應(yīng)根據(jù)所選用的設(shè)備和設(shè)計要求，合理的進(jìn)行設(shè)計。

參考文獻(xiàn)

[1]徐宏，程代偉，池亞平譯CCNA學(xué)習(xí)指南第2版電子工業(yè)出版社2005

[2]劉偉，崔永峰基于防火墻和策略路由的校園網(wǎng)雙出口實現(xiàn)周口師范學(xué)院學(xué)報2006

篇2

企業(yè)戰(zhàn)略集團(tuán)(ESG)的一項調(diào)查顯示,IT管理人員認(rèn)為網(wǎng)絡(luò)安全是2011年必須優(yōu)先考慮的問題。不斷增長的互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡(luò)帶寬需要更快、更可靠的網(wǎng)絡(luò)安全系統(tǒng),以保證所有級別網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)安全。“數(shù)據(jù)安全是一場必須在多條戰(zhàn)線上同時進(jìn)行的戰(zhàn)斗,特別是在網(wǎng)絡(luò)層面?！边~克菲(McAfee)公司副總裁Dan Ryan表示。無論在IT基礎(chǔ)設(shè)施的哪個層面,安全都是不容忽視的一個問題。正因為如此,網(wǎng)絡(luò)與安全融合、存儲與安全融合的例子越來越多。

隨著數(shù)據(jù)量和業(yè)務(wù)的不斷增加,人們需要訪問的設(shè)備越來越多,面臨的網(wǎng)絡(luò)安全威脅也越來越多,因此打造端到端的網(wǎng)絡(luò)安全體系,實現(xiàn)主動的安全性管理,降低業(yè)務(wù)風(fēng)險成了數(shù)據(jù)中心用戶的當(dāng)務(wù)之急?！鞍踩珶o處不在。以后,獨立的安全廠商可能會越來越少。博科(Brocade)之所以和邁克菲合作提供廣泛的、完全互通的端到端網(wǎng)絡(luò)安全解決方案,目的是為客戶提供更多的選擇?！辈┛乒敬笾袊鴧^(qū)總經(jīng)理盧少文表示。

博科與邁克菲合作的近期目標(biāo)是,聯(lián)合設(shè)計一套互通的解決方案,以滿足企業(yè)客戶的網(wǎng)絡(luò)安全需求。聯(lián)合解決方案主要包括以下內(nèi)容:博科Netlron MLX系列高性能路由器與邁克菲企業(yè)級防火墻和入侵防御技術(shù)相結(jié)合,為大型企業(yè)網(wǎng)絡(luò)核心進(jìn)行優(yōu)化配置,以抵御外來的安全威脅;博科Servering應(yīng)用交付控制器與可實現(xiàn)負(fù)載均衡的邁克菲企業(yè)級防火墻技術(shù)相結(jié)合,提供針對拒絕服務(wù)(DoS)和SYN攻擊的充分保護(hù),同時提供高性能的、永遠(yuǎn)在線的、安全的防火墻服務(wù);邁克菲網(wǎng)絡(luò)訪問控制(NAC)解決方案與博科Fastlron CX和Fastlron緊湊型邊緣交換機(jī)相結(jié)合,可確保網(wǎng)絡(luò)接入層的安全;博科IronView網(wǎng)絡(luò)管理工具通過基于開放標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理協(xié)議,使網(wǎng)絡(luò)基礎(chǔ)設(shè)施能夠自動回應(yīng)由邁克菲網(wǎng)絡(luò)訪問控制、入侵防御和防火墻解決方案生成的安全事件。在完成聯(lián)合解決方案的設(shè)計與包裝后,博科與邁克菲將繼續(xù)在網(wǎng)絡(luò)管理方面進(jìn)行深入合作。

EGS分析師Jon Oltsik表示:“不斷變化的安全威脅和校園網(wǎng)絡(luò)的融合促進(jìn)了網(wǎng)絡(luò)與安全產(chǎn)品的整合。企業(yè)必須讓整個網(wǎng)絡(luò)基礎(chǔ)設(shè)施時刻保持警惕的狀態(tài),以主動應(yīng)對可能產(chǎn)生的攻擊。”在收購網(wǎng)捷之后,博科已經(jīng)把市場拓展的重點放在了IP網(wǎng)絡(luò)產(chǎn)品上。博科IP網(wǎng)絡(luò)產(chǎn)品與邁克菲安全產(chǎn)品集成在一起,構(gòu)成了從防火墻、入侵檢測、預(yù)防系統(tǒng)到網(wǎng)絡(luò)訪問控制的完整的安全保障體系,能夠保護(hù)客戶不受惡意活動、數(shù)據(jù)泄露、網(wǎng)絡(luò)入侵等各類安全威脅的侵襲。盧少文表示:“安全是一種功能。博科自己不是安全專家,但是為了讓客戶能隨時隨地、安全地訪問網(wǎng)絡(luò)服務(wù),博科通過與邁克菲合作的方式,也能夠為用戶提供高可靠的網(wǎng)絡(luò)安全解決方案。未來,博科將抱著一種開放的心態(tài),與更多安全廠商合作,為用戶提供更多的安全功能選擇。”

篇3

關(guān)鍵詞：網(wǎng)絡(luò)安全 防火墻 IDS IPS

中圖分類號：G4 文獻(xiàn)標(biāo)識碼：A 文章編號：1673-9795（2013）05（a）-0155-01

隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)應(yīng)用已經(jīng)越來越多的走進(jìn)了人們的生活，網(wǎng)絡(luò)安全問題已經(jīng)從一個純技術(shù)問題上升到關(guān)乎社會經(jīng)濟(jì)乃至國家安全的戰(zhàn)略問題，上升到關(guān)乎人們的工作和生活的重要問題。網(wǎng)絡(luò)不安全的因素很多，主要包括病毒、木馬、黑客、系統(tǒng)漏洞和后門、內(nèi)部威脅和無意破壞，事實上大部分威脅來自內(nèi)部人員蓄意攻擊，這類攻擊所占比例高達(dá)70%。因此，我們既要從管理制度上建立和完善安全管理規(guī)范和機(jī)制，增強(qiáng)安全防范意識。更要從安全技術(shù)上進(jìn)行全面的安全漏洞檢測和分析，針對檢測和分析的結(jié)果制定防范措施和完整的解決方案。

1 網(wǎng)絡(luò)安全技術(shù)

網(wǎng)絡(luò)安全技術(shù)很多，主要包括數(shù)據(jù)加密與認(rèn)證技術(shù)、防火墻技術(shù)、訪問控制技術(shù)、病毒防治技術(shù)、入侵檢測技術(shù)、入侵防御技術(shù)等。

1.1 防火墻技術(shù)

防火墻是網(wǎng)絡(luò)系統(tǒng)的第一道安全閘門。它是一種計算機(jī)硬件和軟件的組合，在內(nèi)網(wǎng)和外網(wǎng)之間建立的一個安全網(wǎng)關(guān)。它對網(wǎng)絡(luò)間需要傳輸?shù)臄?shù)據(jù)包以及連接方式來進(jìn)行安全性的檢查，同時，來決定網(wǎng)絡(luò)間的通訊是否能夠被允許。

防火墻主要由服務(wù)訪問政策、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成。防火墻的主要功能有兩個：阻止和允許，也就是說阻止或允許某種類型的通信量通過防火墻。

防火墻能阻擋外部入侵者，但對內(nèi)部攻擊無能為力；同時某些防火墻自身也容易引起一些安全性的問題。通常來說作為防火墻不能夠阻止通項站點的后面，從而就不能夠提供對內(nèi)部的安全保護(hù)措施，抵擋不了數(shù)據(jù)驅(qū)動類型的攻擊，像用戶通過Internet下載上傳的程序或文件是很容易被傳染上病毒的。尤其是現(xiàn)在攻擊層次越來越高，據(jù)統(tǒng)計超過70%的應(yīng)用層攻擊防火墻無法攔截如服務(wù)器漏洞攻擊、SQL注入等。

1.2 入侵檢測技術(shù)

對于入侵檢測來說，是對入侵行為進(jìn)行的一個檢測，同時也是在防火墻之后的第二道安全的閘門，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)且不影響網(wǎng)絡(luò)的性能，是一種積極主動的安全防衛(wèi)技術(shù)。它不僅幫助對付網(wǎng)絡(luò)性的攻擊，同時也擴(kuò)展了系統(tǒng)管理員的管理能力，這其中就包括安全審計、監(jiān)視、進(jìn)攻識別和響應(yīng)等，大大提高了基礎(chǔ)結(jié)構(gòu)的完整性。

入侵檢測的主要技術(shù)體現(xiàn)在入侵分析技術(shù)，主要有三大類：

首先是簽名分析法。主要用來檢測有無對系統(tǒng)的己知弱點進(jìn)行的攻擊行為。這類攻擊可以通過監(jiān)視有無針對特定對象的某種行為而被檢測到。主要方法是從攻擊模式中歸納出其簽名，編寫到IDS系統(tǒng)的代碼里，再由IDS系統(tǒng)對檢測過程中收集到的信息進(jìn)行簽名分析。簽名分析實際上是一個模板匹配操作，匹配的一方是系統(tǒng)設(shè)置情況和用戶操作動作；一方是已知攻擊模式的簽名數(shù)據(jù)庫。

其次是統(tǒng)計分析法。以系統(tǒng)正常使用情況下觀察到的動作為基礎(chǔ)，如果某個操作偏離了正常的軌道，此操作就值得懷疑。主要方法是首先根據(jù)被檢測系統(tǒng)的正常行為定義出一個規(guī)律性的東西，被稱為“寫照”，然后檢測有沒有明顯偏離“寫照”的行為。統(tǒng)計分析法的理論基礎(chǔ)是統(tǒng)計學(xué)，此方法中，“寫照”的確定至關(guān)重要。

最后是數(shù)據(jù)完整性分析法。用來查證文件或?qū)ο笫欠癖恍薷倪^，它的理論基礎(chǔ)是密碼學(xué)。

上述分析技術(shù)在IDS中會以各種形式出現(xiàn)，把這些方法組合起來使用，互相彌補(bǔ)不足是最好的解決方案，從而在IDS系統(tǒng)內(nèi)部實現(xiàn)多層次、多手段的入侵檢測功能。如簽名分析方法沒有發(fā)現(xiàn)的攻擊可能正好被統(tǒng)計分析方法捕捉到。

IDS雖然能有效檢測和告警入侵事件，但不能主動地把變化莫測的威脅阻止在網(wǎng)絡(luò)之外。雖然我們可以講防火墻與IDS聯(lián)動當(dāng)時還沒有標(biāo)準(zhǔn)協(xié)議，有滯后現(xiàn)象，并非最優(yōu)方案。

因此，我們迫切地需要找到一種主動入侵防護(hù)解決方案，以確保企業(yè)網(wǎng)絡(luò)在威脅四起的環(huán)境下正常運行。

2 入侵防御技術(shù)

入侵防御系統(tǒng)（Intrusion Prevention System或Intrusion Detection Prevention，即IPS或IDP）它是一款智能化檢測入侵和防御的產(chǎn)品，這款產(chǎn)品不但能檢測出入侵，它還可以通過一定的響應(yīng)方式，來中止這次的入侵行為，從而保護(hù)了信息系統(tǒng)受到實質(zhì)性的攻擊。同時也讓IPS與IDS還有防火墻能夠得到統(tǒng)一。

IPS在網(wǎng)絡(luò)中一般有四種連接方式即：Span即接在交換機(jī)旁邊，作為端口鏡像；Tap即接在交換機(jī)與路由器中間，旁路安裝，拷貝一份數(shù)據(jù)到IPS中；Inline即接在交換機(jī)與路由器中間，在線安裝，在線阻斷攻擊；Port-cluster（被動抓包，在線安裝）。它在報警的同時，能阻斷攻擊。

IPS能準(zhǔn)確判斷隱含在網(wǎng)絡(luò)實時流量當(dāng)中的惡意數(shù)據(jù)，并實現(xiàn)及時的阻斷，可以降低內(nèi)部網(wǎng)絡(luò)遭受攻擊的可能，同時減少內(nèi)部審計數(shù)據(jù)的大小。

3 網(wǎng)絡(luò)安全解決方案

通過分析網(wǎng)絡(luò)入侵方式及對比三種網(wǎng)絡(luò)安全技術(shù)，可以推知防火墻技術(shù)和ids、技術(shù)缺乏深層分析或在線部署，都無法真正實現(xiàn)深層防御，只有IPS才是目前深層防御的最優(yōu)方案如圖1所示。

4 結(jié)語

首先介紹和分析了防火墻和入侵檢測協(xié)同各自的特點和缺陷，然后提出了入侵防御系統(tǒng)能夠有效彌補(bǔ)目前防火墻和入侵檢測技術(shù)的缺陷。然而入侵防御系統(tǒng)（IPS）技術(shù)目前還不夠成熟，需要不斷改進(jìn)，隨著新的攻擊工具的出現(xiàn)，勢必會出現(xiàn)新的防范技術(shù)。

參考文獻(xiàn)

[1] 東輝.入侵防御系統(tǒng)技術(shù)[J].信息安全與通信保密，2009（2）：48-50.

[2] 鄒峰.基于計算機(jī)網(wǎng)絡(luò)的入侵檢測與防御研究[J].煤炭技術(shù)，2011（1）：92-94.

篇4

從整個網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展來看,對應(yīng)用的管理和控制順應(yīng)了用戶對于網(wǎng)絡(luò)安全新需求的渴望和要求。可以說,誰把握住應(yīng)用,誰就能掌握未來IT發(fā)展的權(quán)杖。

一切為了更簡單

劉保華:最近幾年,梭子魚公司的收購舉動頻頻,2007年收購應(yīng)用防火墻廠商N(yùn)etcontinuum,2008年收購虛擬存儲公司Yosemite,最近又收購了歐洲著名的提供安全的網(wǎng)絡(luò)設(shè)備廠商Phion和以服務(wù)方式提供信息安全保障的供應(yīng)商Purewire。梭子魚進(jìn)行收購的目的是什么,如何選擇收購對象?在您心目中,將來梭子魚會往哪個方向發(fā)展?

Niall King:兩年前開始我們做了很多收購工作,一方面為了擴(kuò)大產(chǎn)品線,另一方面可以補(bǔ)充更多的新技術(shù)。借助反垃圾第一品牌,把其他產(chǎn)品線帶動起來。有很多廠商的產(chǎn)品,用戶用起來并不容易,我們的目的是給用戶展現(xiàn)一個非常簡單易用的界面。

目前,梭子魚中國為廣大的中國企業(yè)用戶提供了9款系列產(chǎn)品和四大解決方案(包括垃圾郵件防火墻、安全負(fù)載均衡機(jī)、Web、應(yīng)用防火墻、郵件存儲網(wǎng)關(guān)等產(chǎn)品系列)。梭子魚企業(yè)級應(yīng)用安全解決方案廣泛適用于大型企業(yè)和中小型企業(yè)。

在未來,梭子魚將會繼續(xù)采用自主研發(fā)和產(chǎn)品收購的方式,進(jìn)一步整合現(xiàn)有的應(yīng)用安全產(chǎn)品線,為用戶提供更多、更專業(yè)的應(yīng)用安全解決方案,以保護(hù)企業(yè)中關(guān)鍵業(yè)務(wù)的連續(xù)性,使企業(yè)關(guān)鍵業(yè)務(wù)實現(xiàn)真正的交付使用。

劉保華:梭子魚最近有兩條比較新的產(chǎn)品線,請問為什么要進(jìn)軍這兩個領(lǐng)域?對于梭子魚來說,進(jìn)軍這兩個領(lǐng)域有怎樣的戰(zhàn)略意義?

Niall King:這是梭子魚整個產(chǎn)品的發(fā)展策略。我們現(xiàn)在已經(jīng)具備了一個完整的產(chǎn)品線結(jié)構(gòu)。梭子魚目前已經(jīng)進(jìn)入備份和VPN的領(lǐng)域,目的就是要向廣大客戶提供全系列的解決方案。隨著備份和VPN產(chǎn)品的推出,有效完善這個解決方案,為我們廣大的用戶提供很好的產(chǎn)品服務(wù)。

梭子魚的備份產(chǎn)品,首先會提供高性價比的方案,在價格上會比競爭者更有優(yōu)勢。同時我們可以為用戶提供一個遠(yuǎn)程的安全存儲方案。傳統(tǒng)的存儲解決方案是非常昂貴的,很多中小企業(yè)用戶在應(yīng)用的時候,有這個需求,但是由于預(yù)算的限制,他們得不到很好的實施。梭子魚備份產(chǎn)品的推出有效地解決了這個問題。

然而,VPN這個產(chǎn)品會把眾多企業(yè)的分支機(jī)構(gòu)很好地連接起來,這個方案配合我們的備份和其他的系列產(chǎn)品,給用戶提供一個高可靠性的集團(tuán)性的解決方案。這樣,梭子魚就會一改以往傳統(tǒng)的高端解決方案,為更多的用戶提供性價比非常好的解決方案。

劉保華:我之前看到一些資料說,梭子魚不排除在中國收購某些本地技術(shù)性企業(yè)的可能性,不知道這一資料是否屬實,梭子魚在中國有沒有潛在的收購對象,或者說你們希望在中國收購什么樣的企業(yè)?

Niall King:我們倡導(dǎo)以易用的產(chǎn)品和解決方案切實解決各種規(guī)模企業(yè)所面臨的關(guān)鍵網(wǎng)絡(luò)問題,突顯梭子魚強(qiáng)大和全面的解決方案的能力。

在未來,我們會把目光重點放在擁有云技術(shù)和虛擬化領(lǐng)域的企業(yè)。如果一些企業(yè)或科研機(jī)構(gòu)有這方面的技術(shù),我們十分樂意進(jìn)行技術(shù)購買。這樣,我們可以為企業(yè)用戶提供一系列可以幫助他們解決快速增長的應(yīng)用需求的解決方案。用戶能夠充分利用云技術(shù)的優(yōu)勢來簡化其安全架構(gòu),輕松使用更廣泛的應(yīng)用選件,包括設(shè)備、軟件或云部署。

應(yīng)用推動用戶需求

劉保華:面對全球金融危機(jī),許多企業(yè)都開始縮減預(yù)算、削弱IT支出,請問貴公司是如何看待這個問題的,有哪些策略與調(diào)整?

Niall King:目前來講,金融危機(jī)確實對于廣大的IT企業(yè)產(chǎn)生影響。但是對于梭子魚來說,并沒有產(chǎn)生太多的影響。這主要從兩方面來講。

首先,我們梭子魚在做產(chǎn)品的時候,會貼近用戶。其次,我們的產(chǎn)品就是為了給廣大客戶縮減開支。

劉保華:請您談一下中國和美國的信息安全市場有怎樣的區(qū)別,您又是如何看待中國安全市場的發(fā)展呢?

Niall King:總體來說美國市場是發(fā)展比較成熟的,而中國安全市場還處于起步的階段。但是可以看到,中國的一些中小企業(yè),在建網(wǎng)的時候就會考慮從基礎(chǔ)網(wǎng)絡(luò)建設(shè)開始,同時考慮網(wǎng)絡(luò)安全的需求。

劉保華:美國因為薩班斯法案的推出,使得各個企業(yè)將安全提到了前所未有的高度。而中國今年也推出了上市公司IT系統(tǒng)應(yīng)用指引這樣類似薩班斯法案的規(guī)定,你覺得這對于整個國內(nèi)安全市場會不會有一個大的提升?這種提升是不是不僅限于資金投入層面,還會牽扯到技術(shù)和全方位防護(hù)等應(yīng)用層面?你認(rèn)為將來國內(nèi)用戶應(yīng)用安全系統(tǒng)的趨勢會是什么?

Niall King:類似像薩班斯法案這樣的法律條款,針對國內(nèi)企業(yè)內(nèi)控管理的中國基本法規(guī)將會對中國上市公司進(jìn)一步加強(qiáng)管理。這套正在擬定的法規(guī)通過一個簡單、統(tǒng)一的方案對上市企業(yè)的可管理性和下一代郵件存檔解決方案進(jìn)行保留、發(fā)現(xiàn)、法規(guī)遵循,內(nèi)容監(jiān)測和數(shù)據(jù)保護(hù)等方面的進(jìn)行檢驗。

這套為中國企業(yè)量身定做的法規(guī)所面臨的一大難題是如何管理企業(yè)內(nèi)部那些呈爆炸式增長的郵件和文檔。

舉一個例子來說,法規(guī)中最重要的一點是要求郵件可查,結(jié)合我們的產(chǎn)品來看,我們的反垃圾郵件產(chǎn)品可以對郵件收發(fā)進(jìn)行過濾,郵件歸檔產(chǎn)品可以充分幫助企業(yè)有效簡化其存儲環(huán)境和降低相應(yīng)成本,再配合Web應(yīng)用防火墻產(chǎn)品,來保證用戶的網(wǎng)站安全。這些將形成一個整體,幫助企業(yè)有效簡化其存儲環(huán)境和相應(yīng)成本,以便更好地滿足用戶對于法規(guī)遵從的需求。

做易于部署的企業(yè)

劉保華:郵件安全產(chǎn)品目前是梭子魚在國內(nèi)最有影響力的產(chǎn)品之一,但是我也注意到,從去年開始,梭子魚希望從郵件安全向Web應(yīng)用安全轉(zhuǎn)型。但其實很多廠商、用戶對Web應(yīng)用的認(rèn)知并不一致,甚至有人把它和網(wǎng)絡(luò)防火墻混為一談,梭子魚怎么定義Web應(yīng)用?提供什么樣的產(chǎn)品和服務(wù)叫Web應(yīng)用?

Niall King:目前復(fù)雜的IT系統(tǒng)正面臨嚴(yán)重的挑戰(zhàn):IT業(yè)務(wù)多,但是各自為政,條塊分割,無法整合;IT系統(tǒng)反應(yīng)緩慢,甚至無法正常工作;IT業(yè)務(wù)面臨的威脅及風(fēng)險越來越大,如Web下載、IM病毒、網(wǎng)絡(luò)攻擊、網(wǎng)站掛馬等。但這些趨勢的核心都集中在應(yīng)用層面,如何保證應(yīng)用的安全,將是未來用戶對安全需求的重點。

Web應(yīng)用防火墻與傳統(tǒng)防火墻不同,傳統(tǒng)防火墻還是針對端口的策略,而應(yīng)用防火墻主要防范應(yīng)用層的風(fēng)險。Web應(yīng)用防火墻是基于策略的產(chǎn)品,需要結(jié)合企業(yè)的Web應(yīng)用進(jìn)行具體的安全咨詢。安全廠商需要對企業(yè)的各種內(nèi)部應(yīng)用非常了解,比如對OA、MIS、ERP等應(yīng)用的支持。因此當(dāng)初Gartner就曾提出更加綜合的應(yīng)用交付網(wǎng)絡(luò)的概念,將安全、加速、管理等集成在一起,實現(xiàn)完整的Web保護(hù)。

劉保華:IDC有研究表明,到2012年,國內(nèi)Web應(yīng)用市場將超過5億美元,而梭子魚說自己能夠成為市場領(lǐng)導(dǎo)者,這個信心來自于哪里?你認(rèn)為在這個市場中,贏得用戶的最關(guān)鍵的難點在哪里,梭子魚如何克服?

Niall King:從中國的經(jīng)濟(jì)發(fā)展來看,未來中國的市場會很大,我們的目標(biāo)是50%的市場份額。因為經(jīng)過5年來對中國市場的不斷了解和深入接觸,梭子魚已經(jīng)充分把握中國企業(yè)用戶對圍繞其關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)應(yīng)用的問題和需求,結(jié)合中國用戶的實際網(wǎng)絡(luò)環(huán)境,逐漸完善公司產(chǎn)品線。梭子魚會有效地貼近用戶需求,為中國用戶提供非常完善的解決方案,而且梭子魚也一直看好中國市場的發(fā)展,會持續(xù)不斷地加大對中國的投入。

梭子魚目前在中國已經(jīng)超過2000家客戶,梭子魚的產(chǎn)品是大家所公認(rèn)的,易于安裝,產(chǎn)品是比較穩(wěn)定的,而且我們在跟我們的渠道進(jìn)行合作的時候,有渠道共贏的策略,我們會有非常好的渠道政策,而且我們會有比較強(qiáng)的執(zhí)行力?；谏鲜鎏攸c,我們會跟我們的合作伙伴一起把我們的產(chǎn)品做強(qiáng)。

梭子魚有自己的優(yōu)勢。首先我們會在全球把每天取得的垃圾信息,傳到我們美國中心進(jìn)行匯總,從而列出一個信息采集的名單,這種信息采集能力是其他廠家所不具備的。這是基于我們?nèi)虺^7萬家用戶而建立的,這種信息采集是及時的,而且是非常海量的。這種通過全球范圍進(jìn)行信息采集的方式,是我們的競爭對手所不具備的。

劉保華:梭子魚今年在中國開始建立自己的研發(fā)團(tuán)隊,初期只有3~5個人,今年準(zhǔn)備把研發(fā)團(tuán)隊規(guī)模擴(kuò)大到15~20人。這一研發(fā)團(tuán)隊目前建設(shè)情況怎么樣?主要從事哪方面產(chǎn)品的研發(fā)?是否真正融入到梭子魚全球研發(fā)體系中了?

Niall King:梭子魚在全球擁有四個研發(fā)中心,除中國外,還有印度、北美和奧地利。針對中國本地化的研發(fā),我們甚至將規(guī)則庫都進(jìn)行了重新定制和優(yōu)化。與國際上的大公司一樣,我們很看好在中國進(jìn)行研發(fā)方面的建設(shè),這樣能夠更貼近本地用戶需求。設(shè)立研發(fā)中心的另一個目的是,如果中國用戶有特殊需求,我們可能會為中國市場定制產(chǎn)品。

我們的產(chǎn)品越來越多,所有這些產(chǎn)品的設(shè)計初衷都是貼近用戶的需求,以及對于用戶要求的性價比的考量,所以我們提供了易于安裝,且性價比非常好的產(chǎn)品。對于具有地域特色的網(wǎng)絡(luò)非法入侵,我們的安全網(wǎng)關(guān)能夠非常有效地過濾,達(dá)到很好的效果。

研發(fā)的重點,還是各項基于應(yīng)用層的網(wǎng)絡(luò)解決方案,只有這樣才能使得企業(yè)的應(yīng)用達(dá)到智能、安全、高效,并最終幫助企業(yè)獲得最大投資回報。

劉保華:云是目前最熱的詞之一。我看到的資料是,梭子魚準(zhǔn)備在國內(nèi)推云存儲和云安全的方案,能不能詳述一下梭子魚的計劃?

Niall King:云創(chuàng)造了一種不同以往的全新的商業(yè)模式,即用戶不再需要關(guān)心如何根據(jù)自己的業(yè)務(wù)需求來購買服務(wù)器、軟件和解決方案,只是根據(jù)自己的需要,通過互聯(lián)網(wǎng)來購買自己需要的計算處理資源。

我們對于云的理解,稱為易于部署,也就是讓用戶更加容易實施IT。

篇5

自從電力行業(yè)組織機(jī)構(gòu)重組和區(qū)域重新劃分之后，廠網(wǎng)拆分以及三網(wǎng)融合，數(shù)據(jù)打擊眾等多種IT應(yīng)用出現(xiàn)，不僅要求電廠，電網(wǎng)用戶內(nèi)部網(wǎng)絡(luò)的互聯(lián)互通，還要求二者開放更多的外界網(wǎng)絡(luò)端口。這種網(wǎng)絡(luò)端口開放使用使得電力行業(yè)的信息安全問題由原來的僅限于內(nèi)部事件，專變?yōu)楝F(xiàn)在來自外界的攻擊將越來越多，原有的網(wǎng)絡(luò)安全設(shè)計很難滿足這種變化。

作為內(nèi)蒙古自冶區(qū)唯一獨資大型電力企業(yè)，內(nèi)蒙古電力資產(chǎn)總額348億元，所屬單位29個，員工28000人。近年來內(nèi)蒙古電力的信息化建設(shè)取得了快速的發(fā)展，目前已建起覆蓋內(nèi)蒙古所有12家供電企業(yè)及相關(guān)單位的寬帶IP數(shù)據(jù)廣域網(wǎng)。該網(wǎng)絡(luò)以省公司信息中心、包頭供電局為核心節(jié)點，其他單位就近接入核心節(jié)點，主干帶寬為622M，二級節(jié)點到主干帶寬為155M，并采用千兆網(wǎng)絡(luò)來構(gòu)建城域網(wǎng)。

隨著內(nèi)蒙古電力信息網(wǎng)絡(luò)業(yè)務(wù)的進(jìn)一步推進(jìn)和發(fā)展，網(wǎng)絡(luò)安全建設(shè)成為重點。來自外部網(wǎng)絡(luò)的病毒和進(jìn)攻不斷增加，特別是大規(guī)模網(wǎng)絡(luò)蠕蟲病毒的泛濫，為內(nèi)蒙古電力原有的安全設(shè)備造成了不小壓力。特別是全網(wǎng)的網(wǎng)絡(luò)層和應(yīng)用層的安全問題更是安全改造的重點。

為了加強(qiáng)并鞏固廣域網(wǎng)的信息安全，同時避免將來擴(kuò)展和部署網(wǎng)絡(luò)的復(fù)雜性，Juniper公司對內(nèi)蒙古電力公司數(shù)據(jù)中心網(wǎng)絡(luò)平臺的可靠運行進(jìn)行了全面評測，并進(jìn)一步分析出存在的安全隱患。通過部署Juniper公司的ISG系列防火墻與IDP的最佳組合，把網(wǎng)絡(luò)攻擊有效地控制在小型的局域網(wǎng)范圍內(nèi)，確保了信息網(wǎng)絡(luò)的正常運轉(zhuǎn)。解決全網(wǎng)的網(wǎng)絡(luò)層和應(yīng)用層安全防護(hù)問題。

根據(jù)安全域部署安全網(wǎng)關(guān)：ISG+IDP是最佳組合，內(nèi)蒙古電力網(wǎng)絡(luò)安全一期建設(shè)將全網(wǎng)劃分為核心交換區(qū)、IDC應(yīng)用區(qū)、辦公區(qū)、Internet區(qū)等區(qū)域。此次Juniper公司采用安全網(wǎng)關(guān)/防火墻系統(tǒng)核心節(jié)點防火墻部署來對企業(yè)網(wǎng)絡(luò)的所有不用安全域互聯(lián)接口進(jìn)行安全控制，包括Internet進(jìn)出口控制，廣域網(wǎng)進(jìn)出口控制以及IDC進(jìn)出口控制。內(nèi)蒙古電力網(wǎng)絡(luò)安全一期建設(shè)的主安全域的劃分主要通過安全網(wǎng)管以及入侵檢測防御系統(tǒng)(IDP)實現(xiàn)。

根據(jù)Juniper對電力系統(tǒng)實際需求的分析并結(jié)合內(nèi)蒙古電力對二次系統(tǒng)地相關(guān)建設(shè)要求，Juniper公司提供的方案中采用了千兆安全網(wǎng)關(guān)/防火墻系列產(chǎn)品：ISGl000、ISG2000與IDP，ISGl000/2000是代表全球最先進(jìn)網(wǎng)絡(luò)安全技術(shù)的產(chǎn)品，最有價值的優(yōu)勢在于其卓越的實際環(huán)境性能，穩(wěn)定性以及與IDP硬件集成的特性，能夠全面適應(yīng)電網(wǎng)安全發(fā)展的需要。JuniperISG系列防火墻將訪問控制(Fw)和入侵保護(hù)(IDP)功能無縫集成在一個安全平臺上，很好的平衡了兩者之間的關(guān)系，并優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，方便網(wǎng)絡(luò)運維，有效保護(hù)用戶的投資。ISG 1000和ISG 2000集成了最佳的深層檢測防火墻、VPN和DoS解決方案，齊全的高密端口布局，體現(xiàn)了軟硬兼施、內(nèi)外統(tǒng)一、應(yīng)用靈活、集中管理等多種設(shè)計優(yōu)點。能夠為關(guān)鍵的高流量網(wǎng)絡(luò)分段提供安全可靠的連接以及網(wǎng)絡(luò)層和應(yīng)用層保護(hù)。同時Juniper公司的IDP產(chǎn)品可在網(wǎng)絡(luò)和應(yīng)用層攻擊產(chǎn)生任何損害前有效識別并終止它們，從而最大限度的減少與入侵相關(guān)的時間和成本。

內(nèi)蒙古電力通過架設(shè)Juni―per防火墻產(chǎn)品，對全網(wǎng)的網(wǎng)絡(luò)層和應(yīng)用層提供了進(jìn)一步的安全保護(hù)，隔離把網(wǎng)絡(luò)攻擊有效地控制在小型的局域網(wǎng)范圍內(nèi)，降低了網(wǎng)絡(luò)面臨的各種潛在安全威脅，極大地提高了主干網(wǎng)的信息安全防護(hù)水平，并有效保護(hù)了業(yè)務(wù)的安全和連續(xù)進(jìn)行，以及信息網(wǎng)絡(luò)的正常運轉(zhuǎn)。內(nèi)蒙古電力IT信息部門相關(guān)負(fù)責(zé)人表示：“我們選擇Juniper網(wǎng)絡(luò)公司的防火墻產(chǎn)品是因為其防火墻產(chǎn)品擁有高可靠性，為我們主干網(wǎng)日益增長的安全管理問題提供了最好的解決方案，使內(nèi)蒙古電力的信息安全防護(hù)水平得到了進(jìn)一步的加強(qiáng)。未來我們還會考慮繼續(xù)采用Juniper的其它安全產(chǎn)品，進(jìn)一步加固內(nèi)蒙古電力全網(wǎng)的安全水平?！?/p>

CAeTrust身份識別和訪問管理(IAM)套件

eTrust IAM是一套全面的、集成化的、模塊化的解決方案，在SC雜志的評獎中，它獲得了醫(yī)療衛(wèi)生類最佳安全解決方案獎(US Excellence)。eTrust Network Forensics可捕捉原始網(wǎng)絡(luò)數(shù)據(jù)，并使用高級證據(jù)分析技術(shù)來識別網(wǎng)絡(luò)入侵、內(nèi)部數(shù)據(jù)盜竊和安全策略違規(guī)等行為。 SafeNet DRM Fusion Toolkit4TV是第一個為廣播電視許可和保護(hù)而設(shè)計的產(chǎn)品，并且支持所有主要和開放的廣播數(shù)字版權(quán)管理標(biāo)準(zhǔn)。DRM Fusion Toolkit4TV能夠為廣播移動內(nèi)容和服務(wù)提供保護(hù)，避免未授權(quán)的使用和分發(fā)。為了采用移動電視保護(hù)解決方寨，運營商不得不依賴一個特殊廠商。另外，運營商不再需要版權(quán)客戶端軟件，就能夠向用戶提供標(biāo)準(zhǔn)和現(xiàn)成的聽筒。標(biāo)準(zhǔn)支持包括DVB-18Crypt和第一個OMABCAST智能卡詳細(xì)標(biāo)準(zhǔn)。

通過提供內(nèi)容和服務(wù)保護(hù)以及版權(quán)管理功能，DRM FuSin Toolkit4TV提供了整體解決方案，運營商和服務(wù)供應(yīng)商能夠無縫集成到他們的廣播提供平臺上，向市場提供令人興奮的新移動電視服務(wù)。DRM Fusion Toolkit4TV利用在移動電視保護(hù)領(lǐng)域的專業(yè)技術(shù)，并且為BT Movio提供了第一個安全的DRM廣播移動電視解決方案。該解決方案作為SafeNet現(xiàn)有DRM Fusion Toolkit產(chǎn)品的附加模塊向客戶提供，因此，運營商能啦應(yīng)用針對移動音樂，視頻和電視的整體解決方案。

SonicWALL互聯(lián)網(wǎng)防火墻與VPN安全設(shè)備

SonicWALL互聯(lián)網(wǎng)防火墻VPN安壘設(shè)備支持各種安全應(yīng)用，并能提供功能強(qiáng)大的防火墻和VPN性能。SonicWALl，設(shè)備基于壘狀態(tài)榆測防火墻技術(shù)，及一個設(shè)計用來確保VPN使能應(yīng)用最大性能的專用安全處理器。以對防火墻、VPN、入侵防護(hù)、防病毒、內(nèi)容過濾及獲獎壘球管理系統(tǒng)(GMS)的綜合支持，IT管理員可在安全、可靠地連接至其分支機(jī)構(gòu)與遠(yuǎn)程雇員時，放心地用SonicWALL來保護(hù)其網(wǎng)絡(luò)的安全。

另外，SonicWAIL公司的SSL卸載器還能無縫集成至一個內(nèi)容交換環(huán)境中，并在優(yōu)化web應(yīng)用性能的同時提供可靠的安全。

SonicWALL系列互聯(lián)網(wǎng)安全設(shè)備可提供對互聯(lián)網(wǎng)威脅的高級防護(hù)。它們包括經(jīng)ICSA認(rèn)證的深度包檢測防火墻、用于遠(yuǎn)程訪問的IPSecVPN、IP地址管理特性以及對SonicWALI。增值安壘服務(wù)的支持等。

UTM－l具有高度集成、經(jīng)實踐檢驗的安全功能，包括防 火墻、入侵防御、防病毒、防間諜軟件、網(wǎng)絡(luò)應(yīng)用防病毒、VoIP安全、即時通訊(IM)、二層隔離網(wǎng)絡(luò)安全(P2P blocking)、Web過濾、URIL過濾以及實現(xiàn)安壘的站點到站點和遠(yuǎn)程接八連接。

業(yè)內(nèi)可靠的防火墻技術(shù)，能強(qiáng)勁的IPSecVPN，可實現(xiàn)保護(hù)數(shù)百種應(yīng)用程序和協(xié)議；功括的SSL遠(yuǎn)程接入，無須添加硬件配置；集成的入侵防御功能；網(wǎng)關(guān)防病毒，適用重要通訊協(xié)議；直觀的硬件設(shè)置、診斷和恢復(fù)工具；網(wǎng)絡(luò)應(yīng)用防火墻和反間諜軟件保護(hù)。

Websense Web Security Ecosystem

Websense Web SecurRy Ecosystem是網(wǎng)絡(luò)安壘技術(shù)的集大成者，能夠提供增強(qiáng)的安全保護(hù)，簡化Websense Web安全解決方案在企業(yè)環(huán)境中的部署。Websense Web SecurityEcosystem整合了世界一流的安壘和網(wǎng)絡(luò)技術(shù)，包括：網(wǎng)關(guān)、網(wǎng)絡(luò)訪問控制、安壘事件管理、身份管理和設(shè)備平臺。通過無縫集成40多個不同的技術(shù)解決方案，Websense Web SecurityEcosystem可以幫助企業(yè)識別和減少基于Web的成脅和漏洞。

JUNOS 7.0軟件不僅提供功能強(qiáng)火的操作系統(tǒng)，還提供豐富的IP業(yè)務(wù)工具包。JUNOS軟件可提供無與倫比的IP可靠性和安全性，可確?？深A(yù)測的高教IP基礎(chǔ)設(shè)施。利用這個穩(wěn)定的可用網(wǎng)絡(luò)，客戶能夠靈活地分割流量、創(chuàng)建獨特的應(yīng)用環(huán)境、或部署可創(chuàng)收的IP業(yè)務(wù)。JUNOS軟件在全球最大的1P網(wǎng)絡(luò)中經(jīng)過生產(chǎn)驗證，能夠幫助客戶將IP基礎(chǔ)設(shè)施轉(zhuǎn)變成服務(wù)供應(yīng)商獲得持續(xù)經(jīng)濟(jì)成功的重要途徑。

模塊化：JUNOS軟件采用模塊化的軟件設(shè)計，提供卓越的故障恢復(fù)能力并確保能夠簡單地集成IPv6等新功能；

路由專業(yè)技術(shù)：Juniper網(wǎng)絡(luò)公司在IP路由方面的專業(yè)技術(shù)可全面補(bǔ)充增強(qiáng)用于生產(chǎn)的路由協(xié)議；

基于標(biāo)準(zhǔn)：嚴(yán)格遵守路由和MPLS行業(yè)標(biāo)準(zhǔn)以及協(xié)議平穩(wěn)重啟等可用性機(jī)制，為客戶提高穩(wěn)定性并降低運行復(fù)雜性。

安全性：JUNOS軟件結(jié)合了智能數(shù)據(jù)包處理功能和卓越的性能，為客戶提供了一個強(qiáng)有力的IP安全性工具包；

豐富的業(yè)務(wù)；無論是個人用戶，企業(yè)客戶或服務(wù)供應(yīng)商，JUNOS IP業(yè)務(wù)系列使客戶能夠為各種類型的最終用戶提供有保證的體驗。

安氏終端安全管理解決方案TerminaI Guard

安氏著眼干企業(yè)安全管理中最為薄弱的終端管理的環(huán)節(jié)，推出了Terminal Guard，該產(chǎn)品實現(xiàn)了以集中管理為基礎(chǔ)的終端保護(hù)，以資產(chǎn)管理為核心的管理系統(tǒng)，它從企業(yè)內(nèi)終端安全出發(fā)，核心思想是集中管理和強(qiáng)制，提供了基于browser/serve和client/server相結(jié)合的全面終端安全管理解決方案。

Symantec Endpoint Protection

Symantec Endpoint Protection是賽門鐵克多年以來市場領(lǐng)先的企業(yè)級防病毒的最新產(chǎn)品，在單一中整合了賽門鐵克防病毒與高級威脅防護(hù)，為用戶提供前所未有的防護(hù)，抵御各種惡意軟件，從而保護(hù)便攜式電腦、臺式機(jī)和服務(wù)器的安壘。為了保護(hù)用戶抵御當(dāng)前威脅和未來新興威脅，Symantec Endpoint Protection納入了主動防護(hù)技術(shù)，自動分折應(yīng)用行為和網(wǎng)絡(luò)溝通，從而檢測并主動攔截威脅。用戶可獲得單一解決方案，集成了防病毒、反間諜軟件、防火墻、基于主機(jī)和網(wǎng)絡(luò)的入侵防護(hù)方案以及應(yīng)用和設(shè)備控制，并十分易于部署和管理。

Symantec Endpoint Protection通過整合賽門鐵克屢獲殊榮的技術(shù)，包括Sygate、Whole Security和Veritas，降低了與管理多重端點安全產(chǎn)品相關(guān)的管理成本。同時，賽門鐵克全球智能網(wǎng)絡(luò)、8家賽門鐵克安全響應(yīng)中心、4家賽門鐵克安全運營中心、1.2億個系統(tǒng)和部署干180個國家的4萬多個傳感器也將為其提供支持。卡巴斯基7.O單機(jī)版

卡巴斯基7.0單機(jī)版產(chǎn)品中，包含卡巴斯基互聯(lián)網(wǎng)安全套裝7.O單機(jī)版與卡巴斯基反病毒軟件7.0單機(jī)版兩款，以此來滿足不同用戶的信息安壘需求。

卡巴斯基實驗室在7.0反病毒軟件單機(jī)版這個新品中還賦予了三重保護(hù)防御技術(shù)，即基于特征碼的精確病毒查殺、主動防御和啟發(fā)式分析器。

基于特征碼的精確病毒查殺，自動更新反病毒數(shù)據(jù)庫；啟發(fā)式分析器，前攝行為分析；主動防御，實時行為分析。以上三項技術(shù)獨特結(jié)合可以達(dá)到準(zhǔn)確、高效防御的效果，使用戶的計算機(jī)安全達(dá)到前所未有的高度。

金山毒霸2007殺毒套裝

1.針對中國特有的盜號木馬、流氓軟件、蠕蟲病毒絞殺更徹底；

2．防堵黑客漏洞治標(biāo)治本；

3．流行蠕蟲病毒終身免疫首創(chuàng)流行病毒免疫器；

4．7×24小時壘天候主動實時升級．反應(yīng)更迅速；每周l 7次以上病毒庫主動更新-按月更新各種功能。

江民KV2008

KV2008采用了新一代智能分級高速殺毒引擎，占用系統(tǒng)資源少，掃描速度得到了大幅提升，同時KV2008新增了三大技術(shù)和五項新功能，可有效防殺超過40萬種的計算機(jī)病毒、木馬、網(wǎng)頁惡意腳本、后門黑客程序等惡意代碼以及絕大部分未知病毒。

江民KV2008三大技術(shù)包括強(qiáng)大的“自我保護(hù)’反病毒技術(shù)，系統(tǒng)災(zāi)難一鍵恢復(fù)技術(shù)以及雙核引擎優(yōu)化技術(shù)?！白晕冶Ｗo(hù)”技術(shù)采用窗口保護(hù)以及進(jìn)程保護(hù)，可以有效避免病毒關(guān)閉殺毒軟件進(jìn)程，確保殺毒軟件自身安壘。

系統(tǒng)災(zāi)難一鍵恢復(fù)技術(shù)可以在系統(tǒng)崩潰無法進(jìn)入的情況下，一鍵恢復(fù)系統(tǒng)．無論是惡性病毒破壞或是電瞄用戶誤刪除系統(tǒng)文件，都可以輕松還原到無毒狀態(tài)或正常狀態(tài)。

雙核引攀優(yōu)化技術(shù)，對KV2008基于雙核和多核處理器進(jìn)行了全面優(yōu)化，掃描病毒時，雙核或多核處理器同時啟用多線程多硬盤數(shù)據(jù)進(jìn)行掃描，使掃描速度得到r大幅提升。趨勢科技中小企業(yè)無?隴安全解決方案v3．6

除了對Vista的支持以外，CSM3．6與上一代版本一樣，針對目前日益猖撅的Web威脅提供了集成的防間諜軟件保護(hù)、消除rootkit、封鎖僵尸網(wǎng)絡(luò)攻擊．從而提供了可別抗傳統(tǒng)與新型惡意程序的主動式防御。

趨勢科技CSM3．6攜“10247'’(1站式整合防護(hù)、0成本管理平臺、24*7安全防護(hù))的特點，延續(xù)了過去容易安裝與使用的特性。讓客戶隨時獲得完整的保護(hù)。

CSM3．6特別針對中小企業(yè)的安全需求而設(shè)計，因此具備了中小企業(yè)專屬的安全防護(hù)產(chǎn)品與單一步驟安裝部署的便利性，可以一次部署、統(tǒng)一更新，而且通過單一管理界面就可以保護(hù)PC和服務(wù)器免受多種威脅。

綠盟冰之網(wǎng)絡(luò)入侵檢測系統(tǒng)

綠盟冰之眼網(wǎng)絡(luò)入檢測系統(tǒng)(ICEYE Network In- trumon Detection System，簡稱：ICEYE NIDS)是對防火墻的有效補(bǔ)充，實時檢測網(wǎng)絡(luò)流量．監(jiān)控各種網(wǎng)絡(luò)行為，對違反安壘策略的流量及時報警和防護(hù)，實現(xiàn)從事前警告、事中防護(hù)到事后取證的一體化解決方案。

入侵檢測：對黑客攻擊(緩沖區(qū)溢出、SQL注入、暴力猜測、拒絕服務(wù)、掃描探測、非授權(quán)訪問等)、蠕蟲病毒、木馬后門、間諜軟件、僵尸網(wǎng)絡(luò)等進(jìn)行實時檢測及報警，并通過與防火墻聯(lián)動、TCP Killer、發(fā)送郵件、控制臺顯示、日志數(shù)據(jù)庫記錄、打印機(jī)輸出、運行用戶自定義命令等方式進(jìn)行動態(tài)防護(hù)。

行為監(jiān)控：對網(wǎng)絡(luò)流量進(jìn)行監(jiān)控，對P2P下載、IM即時通訊、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)流媒體等嚴(yán)重濫用網(wǎng)絡(luò)資源的事件提供告警和記錄。

流量分析：對網(wǎng)絡(luò)進(jìn)行流量分析，實時統(tǒng)計出當(dāng)前網(wǎng)絡(luò)中的各種報文流量。

聯(lián)想網(wǎng)御UTM以USE(Uniform Secure Engine)統(tǒng)一安全引擎為基礎(chǔ)，優(yōu)化傳統(tǒng)引擎。抽象數(shù)據(jù)模型、構(gòu)造統(tǒng)一絮構(gòu)，有效地將防火墻、VPN、防病毒、IPS、反垃圾郵件、Web內(nèi)容過濾等多類安全引擎集成為統(tǒng)一的安全引擎，提供了卓越的功能和檢測能力。

Power V UTM系列產(chǎn)品采用聯(lián)想網(wǎng)御獨創(chuàng)的VSP通用安全平臺，將系統(tǒng)平臺分為通用控制平面、數(shù)據(jù)平面、系統(tǒng)服務(wù)平面和硬件抽象平面，系統(tǒng)功能與資源管理分別工作在不同的空間平面。

聯(lián)想網(wǎng)御UTM在集群設(shè)計中采用了MRP(Multi-LayersRedundant Protoc01)多重冗余協(xié)議，支持鏈路聚合、雙機(jī)熱備、負(fù)載均衡等功能。最高支持32臺的設(shè)備集群和負(fù)載均德，具備會話表同步功能，為用戶提了無與倫比的高可靠性。

東軟NetEye異常流量分析與響應(yīng)系統(tǒng)(Ntars)

主要用于骨干網(wǎng)絡(luò)的監(jiān)控檢測和分析，通過對骨干網(wǎng)絡(luò)流量信息和系統(tǒng)信息的收集，采用多種方法進(jìn)行分析、檢測，實時監(jiān)控、檢測骨干劂絡(luò)中DoS/DDoS攻擊、蠕蟲病毒、垃圾郵件及其他網(wǎng)絡(luò)異常事件，提取異常特征，井啟動報警和響應(yīng)系統(tǒng)進(jìn)行過濾、阻斷和防御。

啟明星辰泰合信息安全運營中心(簡稱：TSOC)是國內(nèi)目前應(yīng)用最廣泛的安全管理平臺類產(chǎn)品，在政府、金融、能源、運營商、大企業(yè)等行業(yè)均實現(xiàn)規(guī)模部署。

啟明星辰TSOC采用成熟的瀏覽器/服務(wù)器/數(shù)據(jù)庫架構(gòu)，由“五個中心、五個功能模塊”組成。五個中心為漏洞評估中心、網(wǎng)絡(luò)管理中心、事件/流量監(jiān)控中心、安全預(yù)警與風(fēng)險管理中心以及響應(yīng)管理中心。五個功能模塊為資產(chǎn)管理、策略配置管理、自身系統(tǒng)維護(hù)管理、用戶管理、安全知阻管理。

“應(yīng)用為本、開放融合”是扁明星辰泰合信息安壘運營中心的核心體現(xiàn)，具備壘面性，開放性和實用性三大突出特點。思科安全監(jiān)控、分析和響應(yīng)系統(tǒng)(MARs)

思科安全監(jiān)控分析和響應(yīng)系統(tǒng)(MARS)是一個高性能、可擴(kuò)展的威脅管理、監(jiān)控和防御設(shè)備系列，將傳統(tǒng)安全事件監(jiān)控與網(wǎng)絡(luò)智能、上下文關(guān)聯(lián)、因素分析，異常流量檢測、熱點識別和自動防御功能相結(jié)合，可幫助客戶更為高效地使用網(wǎng)絡(luò)和安全設(shè)備。通過結(jié)合這些功能，思科安MARS可幫助公司準(zhǔn)確識別和消除網(wǎng)絡(luò)攻擊，且保持網(wǎng)絡(luò)的安全策略符合性。

集中監(jiān)控、集中事件庫、數(shù)據(jù)減少、及時攻擊防御、高度可擴(kuò)展的部署、充分利用已有投資進(jìn)行防御、先進(jìn)的報告功能、端到端網(wǎng)絡(luò)感知等。

天融信“銀河”

篇6

電子商務(wù)的組成

在電子商務(wù)的運作過程中涉及到企業(yè)或個人的消費者、網(wǎng)上的商業(yè)機(jī)構(gòu)、ca認(rèn)證中心、物流配送體系和銀行。它們通過internet網(wǎng)絡(luò)連接在一起。

電子商務(wù)中的安全

internet是一個開放的公網(wǎng)，基于internet的電子商務(wù)給商家、企業(yè)和個人帶來了新的機(jī)會，同時也給別有用心者留下了廣闊的“施展”空間。在新型的交易環(huán)境下，安全是一切交易行為的基礎(chǔ)，所謂安全，是指安全策略、安全標(biāo)準(zhǔn)、安全制度及安全流程的結(jié)合。

我們認(rèn)為“安全=管理+技術(shù)”，安全是一整套體系，單點的安全防范技術(shù)都不能很好的解決問題。有效管理和采用完善的技術(shù)手段相結(jié)合組成了安全的體系，該體系安全程度的高低取決于體系中最薄弱的環(huán)節(jié)。我們常用的安全防范技術(shù)有防火墻技術(shù)、ca認(rèn)證技術(shù)、數(shù)據(jù)加密技術(shù)和帳號口令技術(shù)。

1．防火墻技術(shù)

對于外部惡意攻擊，針對“黑客”入侵，采用防火墻（fire wall）技術(shù)來防護(hù)。要使防火墻技術(shù)有效，所有接收和發(fā)送到internet的信息都必須經(jīng)過防火墻，接受防火墻的檢查。防火墻必須只允許被授權(quán)的通訊業(yè)務(wù)通過，并且防火墻本身也必須能夠免滲透，即系統(tǒng)自身對入侵是免疫的。

（1）數(shù)據(jù)包過濾技術(shù)

路由器是網(wǎng)絡(luò)內(nèi)外通訊的必須端口，因此，我們連接時采用包過濾路由器。它是一個檢查通過它的數(shù)據(jù)包的路由器，限定外部用戶的數(shù)據(jù)包。其原理是監(jiān)視并過濾網(wǎng)絡(luò)上流入流出的ip包，拒絕發(fā)送可疑的包。其實現(xiàn)方式是運用ip地址和端口號來進(jìn)行限定處理。

（2）應(yīng)用網(wǎng)關(guān)技術(shù)

建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過濾、轉(zhuǎn)發(fā)功能，它特定的網(wǎng)關(guān)應(yīng)用服務(wù)協(xié)議指定數(shù)據(jù)過濾邏輯，并可根據(jù)按應(yīng)用服務(wù)協(xié)議指定數(shù)據(jù)過濾邏輯進(jìn)行過濾的同時，對數(shù)據(jù)包分析的結(jié)果及采用的措施做登錄和統(tǒng)計形成報告。

（3）服務(wù)技術(shù)

服務(wù)器是設(shè)置在internet防火墻網(wǎng)關(guān)的專用應(yīng)用級編碼。這種服務(wù)器由網(wǎng)絡(luò)管理員決定允許或拒絕某一特定的應(yīng)用程序或特定功能。服務(wù)器像一個內(nèi)部網(wǎng)絡(luò)與外界之間的邊界檢查點。兩邊應(yīng)用可以通過服務(wù)器相互通信，服務(wù)器檢查并確認(rèn)這一通信是否授權(quán)通過。

2．ca（certificate authority）認(rèn)證技術(shù)

為了保證秘密的信息不能被人非法獲得，同時保證信息傳輸過程不能被篡改，交易的不可否認(rèn)性、身份識別、網(wǎng)站不受非法攻擊，通常還要采用ca認(rèn)證和信息加密技術(shù)。常用的包括set協(xié)議和pki認(rèn)證體系。

（1）set：安全電子交易（secure electronic transaction）

set協(xié)議是由visa和mastercard兩大信用卡公司于1997年5月聯(lián)合推出的規(guī)范。set主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設(shè)計的，以保證支付信息的機(jī)密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。set中的核心技術(shù)主要有公開密匙加密、電子數(shù)字簽名、電子信封、電子安全證書等。

（2）pki：公共密鑰基礎(chǔ)結(jié)構(gòu)(pubic key infrastructure)

pki(pubic key infrastructure)是一種易于管理的、集中化的網(wǎng)絡(luò)安全方案。它可支持多種形式的數(shù)字認(rèn)證：數(shù)據(jù)加密，數(shù)字簽名、不可否認(rèn)、身份鑒別、密鑰管理以及交叉認(rèn)證等。pki可通過一個基于認(rèn)證的框架處理所有的數(shù)據(jù)加密和數(shù)據(jù)簽名工作。pki必須具有認(rèn)證機(jī)構(gòu)（ca）、證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢處理系統(tǒng)、客戶端證書處理系統(tǒng)等基本成份。

（3）ssl：安全套接層（secure socket layer）

ssl協(xié)議是由網(wǎng)景（netscape）公司推出的一種安全通信協(xié)議，它能夠?qū)π庞每ê蛡€人信息提供較強(qiáng)的保護(hù)。ssl是對計算機(jī)之間整個會話進(jìn)行加密的協(xié)議。在ssl中，采用了公開密鑰和私有密鑰兩種加密方法。set協(xié)議比ssl協(xié)議復(fù)雜，因為前者不僅加密兩個端點間的單個會話，它還可以加密和認(rèn)定三方間的多個信息。

三、電子商務(wù)業(yè)務(wù)模型及解決方案

1．商業(yè)機(jī)構(gòu)對消費者的電子商務(wù)（b2c）

商業(yè)機(jī)構(gòu)對消費者（business-to-customer）的電子商務(wù)，指的是企業(yè)與消費者之間進(jìn)行的電子商務(wù)活動。這類電子商務(wù)主要是借助于國際互聯(lián)網(wǎng)所開展的在線式銷售活動。最近幾年隨著國際互聯(lián)網(wǎng)絡(luò)的發(fā)展，這類電子商務(wù)的發(fā)展異軍突起。例如，在國際互聯(lián)網(wǎng)上目前已出現(xiàn)許多大型超級市場，所出售的產(chǎn)品一應(yīng)俱全，從食品、飲料到電腦、汽車等，幾乎包括了所有的消費品。

開展商業(yè)機(jī)構(gòu)對消費者的電子商務(wù)，障礙最少，應(yīng)用潛力巨大。就目前發(fā)展看，這類電子商務(wù)仍將持續(xù)發(fā)展，是推動其他類型電子商務(wù)活動的主要動力之一。

商業(yè)機(jī)構(gòu)對消費者（b2c）電子商務(wù)解決方案的基本組成部分為： （1）動態(tài)的html頁面； （2）儲存會員（客戶）的信息，用其來進(jìn)行會員認(rèn)證及提供其他管理工具；

（3）實現(xiàn)“購物籃”功能； （4）服務(wù)器和管理的安全性； （5）客戶信息安全管理； （6）管理和處理定單，應(yīng)用商務(wù)規(guī)則來與客戶完成交易； （7）進(jìn)行其它產(chǎn)品和服務(wù)的宣傳，并對該過程加以控制； （8）支持直銷功能； （9）提供cross-selling銷售和up-selling的機(jī)制和規(guī)則；

（10）方便儲存數(shù)據(jù)（分類、定單、庫存、日志等等）并且能夠?qū)崿F(xiàn)動態(tài)的訪問；

（11）商品、交易以及商務(wù)系統(tǒng)的管理；

（12）價格促銷的工具；

（13）分析流量和購買數(shù)據(jù)，獲得商務(wù)智能和建立客戶行為模型。

2．商業(yè)機(jī)構(gòu)之間的電子商務(wù)（b2b）

商業(yè)機(jī)構(gòu)對商業(yè)機(jī)構(gòu)（business-to-business）的電子商務(wù)指的是企業(yè)與企業(yè)之間進(jìn)行的電子商務(wù)活動。例如，工商企業(yè)利用計算機(jī)網(wǎng)絡(luò)向它的供應(yīng)商進(jìn)行采購，或利用計算機(jī)網(wǎng)絡(luò)進(jìn)行付款等。這一類電子商務(wù)已經(jīng)存在多年。特別是企業(yè)通過私營或增值計算機(jī)網(wǎng)絡(luò)（value-added network，van）采用edi（電子數(shù)據(jù)交換）方式所進(jìn)行的商務(wù)活動。

商業(yè)機(jī)構(gòu)對商業(yè)機(jī)構(gòu)的電子商務(wù)從未來的發(fā)展看仍將是電子商務(wù)的主流。商業(yè)機(jī)構(gòu)之間的交易和商業(yè)機(jī)構(gòu)之間的商業(yè)合作是商業(yè)活動的主要方面，企業(yè)目前面臨的激烈競爭，也需要電子商務(wù)來改善競爭條件，建立競爭優(yōu)勢。企業(yè)在尋求自身發(fā)展的同時，不得不逐漸改善電子商務(wù)的運用環(huán)境。

供應(yīng)鏈集成，也叫作價值鏈集成，利用了internet的低成本來實現(xiàn)供應(yīng)商，生產(chǎn)商和發(fā)行商之間的更緊密的結(jié)合。許多關(guān)于建立網(wǎng)站，處理定單和接入原系統(tǒng)的基本要求和操作都可以包括在直銷和銷售方案中，而在供應(yīng)鏈方案中產(chǎn)生了一些新的要求，如確認(rèn)過的登入，為關(guān)鍵用戶生成用戶類，根據(jù)用戶協(xié)議采取定價和支付的形式。

商業(yè)機(jī)構(gòu)之間的電子商務(wù)解決方案的核心平臺非常相似于商業(yè)機(jī)構(gòu)對消費者解決方案。在商業(yè)機(jī)構(gòu)之間的電子商務(wù)解決方案中，商家在向商家銷售，而不是向個人銷售。

商業(yè)機(jī)構(gòu)之間的電子商務(wù)解決方案的基本組成部分為：

（1）動態(tài)的html頁面；

（2）儲存一個會員（客戶）的信息，用來進(jìn)行會員認(rèn)證以及提供管理工具；

（3）實現(xiàn)”購物籃”功能；

（4）服務(wù)器和管理的安全性；

（5）客戶信息安全；

（6）管理和處理定單；

（7）進(jìn)行其它產(chǎn)品和服務(wù)的宣傳，并對該過程加以控制；

（8）支持直銷功能；

（9）提供cross-selling銷售和up-selling的機(jī)制和規(guī)則；

（10）方便儲存數(shù)據(jù)（分類、定單、庫存、日志等等）并且能夠?qū)崿F(xiàn)動態(tài)的訪問；

（11）商品、交易以及商務(wù)系統(tǒng)的管理；

（12）價格促銷的工具。

3．企業(yè)采購 商家希望利用intranet和internet的杠桿作用使現(xiàn)有的業(yè)務(wù)進(jìn)行的更加有效。這種商業(yè)模型的核心就是商務(wù)解決方案，它使得購買低成本的大量商品的過程更加容易，并且保證了一項業(yè)務(wù)的維持，修復(fù)和操作（mro）。

企業(yè)采購解決方案的基本組成部分

（1）企業(yè)采購解決方案設(shè)計成一個商業(yè)組織的成本結(jié)構(gòu)，而供應(yīng)鏈集成解決方案是在向著商品的直接貿(mào)易和生產(chǎn)方向努力；

（2）企業(yè)采購解決方案一般來說設(shè)計成一個基于intranet的解決方案，而供應(yīng)鏈集成解決方案可以包含基于intranet的組件，但是大部分應(yīng)用程序或者是基于internet的或者是基于extranet的；

（3）申請人能夠在瀏覽器上被標(biāo)準(zhǔn)化；

（4）諸如象activex控件和dhtml的技術(shù)能夠被用來實現(xiàn)圖形化和功能化的傳輸豐富的web應(yīng)用程序；

（5）集成采購到公司現(xiàn)有的安全和郵件的基本結(jié)構(gòu)中，這樣有助于消除額外的管理費用和加速routing/basic工作流；

（6）各種規(guī)模的公司無論大小和地點如何，都能交流購買定單信息，進(jìn)行交易支付和傳送產(chǎn)品；

（7）購買定單的輸出形式可以多樣化，這樣參與的商家就可以選擇一種與他們現(xiàn)有系統(tǒng)可以協(xié)同工作的共同形式；

（8）企業(yè)采購應(yīng)用程序可以在一個站點內(nèi)支持多個供貨商；

（9）對企業(yè)的供貨商的結(jié)構(gòu)進(jìn)行合理化，來獲得更大的折扣率。

4．技術(shù)方案

根據(jù)用戶的不同需要可以選擇不同的主機(jī)平臺和開發(fā)技術(shù)。

（1）技術(shù)方案1 操作系統(tǒng)：windows nt 4.0（service pack 4） 數(shù)據(jù)庫平臺：ms sql server 7.o web服務(wù)器：ms internet information server 4.0 web site server 3.0 開發(fā)技術(shù)：asp、dhtml、com組件技術(shù)等 （2）技術(shù)方案二 操作系統(tǒng)：sun solaris 數(shù)據(jù)庫平臺：oracle 8.0

篇7

隨著IP網(wǎng)絡(luò)建設(shè)的大發(fā)展。現(xiàn)在基于IP網(wǎng)絡(luò)環(huán)境下的視頻通信應(yīng)用越來越普遍，不但一部分政府部門、大型企業(yè)采用基于IP的網(wǎng)絡(luò)傳輸環(huán)境構(gòu)筑專用的視頻通信網(wǎng)，商業(yè)、企業(yè)更加傾向于將他們的視頻通信系統(tǒng)構(gòu)建在基于IP的傳輸環(huán)境中，以降低建設(shè)成本，特別是使用成本。

目前符合國際標(biāo)準(zhǔn)的視頻通信應(yīng)用模式。主要為遵循ITU組織H.323標(biāo)準(zhǔn)的系統(tǒng)。以及遵循ITEF組織SIP的系統(tǒng)。

經(jīng)過幾年的實際應(yīng)用考驗和不斷改進(jìn)?；贖.323的應(yīng)用模式的應(yīng)用體系非常成熟。相關(guān)產(chǎn)品在穩(wěn)定性，連接的安全、可靠性等方面可以完全滿足市場，特別是專業(yè)視頻，多媒體會議的要求。由于H.323標(biāo)準(zhǔn)體系非常完備和嚴(yán)格。從而確保了基于H.323的眾多產(chǎn)品所具有的良好互通互聯(lián)性，這一點為H.323協(xié)議的大范圍推廣奠定了技術(shù)基礎(chǔ)?；赟IP的視頻應(yīng)用是隨著NGN的需求而日益得到市場的重視，特別是在3G背景環(huán)境下，越來越多的廠商相繼推出了基于SIP的視頻通信產(chǎn)品，以滿足個人用戶、移動用戶對視頻通信的需求。SIP提出的目的是在基于Internet環(huán)境中，實現(xiàn)多媒體通信的應(yīng)用。它和HTTP、SMTP等ITEF的協(xié)議一樣。是一種基于“文本”的通信協(xié)議。結(jié)構(gòu)簡單，便于擴(kuò)充、擴(kuò)展是SIP與H.323體系的明顯區(qū)別。

二、視頻通信在防火墻環(huán)境下的應(yīng)用

和所有的網(wǎng)絡(luò)應(yīng)用一樣，無論基于H.323標(biāo)準(zhǔn)還是基于SIP的，視頻通信系統(tǒng)都不可避免地受到所依托網(wǎng)絡(luò)環(huán)境的限制。這一點不但影響到視頻產(chǎn)品選型、系統(tǒng)結(jié)構(gòu)方案，同時對網(wǎng)絡(luò)環(huán)境本身是否需要進(jìn)一步改造都有著比較大的影響。在所有影響因素中，除了網(wǎng)絡(luò)環(huán)境傳輸條件本身外，如何有效解決“防火墻”對視頻系統(tǒng)的影響是所有用戶、建設(shè)方以及視頻廠商乃至網(wǎng)絡(luò)廠商所不得不面對的一個“難題”。

從協(xié)議中對握手的定義來看，無論是H.323還是SIP。這個過程和保證網(wǎng)絡(luò)安全的“防火墻”、NAT等機(jī)制是一對矛盾體。

對于目前經(jīng)常使用的“防火墻”而言，為保證墻內(nèi)內(nèi)部網(wǎng)絡(luò)的安全性，其工作機(jī)制一般是屏蔽掉外部數(shù)據(jù)對受保護(hù)網(wǎng)絡(luò)中計算機(jī)的數(shù)據(jù)訪問。而只開放少許的指定地址和通信端口，以保證Internet服務(wù)器等設(shè)備正常工作。

NAT則通過地址轉(zhuǎn)換，一方面保護(hù)了內(nèi)部網(wǎng)絡(luò)中各計算機(jī)以免被外部惡意數(shù)據(jù)的直接破壞；另一方面也可以保證內(nèi)部局域網(wǎng)絡(luò)對有限公網(wǎng)地址的有效利用。

就目前企事業(yè)單位、國家機(jī)關(guān)的現(xiàn)有網(wǎng)絡(luò)狀況來看。標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全防護(hù)措施一般是“防火墻”和NAT同時使用，而且在所保護(hù)網(wǎng)絡(luò)中開辟出一個DMZ區(qū)域供Internet和E-mail等服務(wù)器使用，而將所有辦公計算機(jī)放置于受保護(hù)的內(nèi)網(wǎng)，位于外網(wǎng)的數(shù)據(jù)只能到達(dá)位于DMZ區(qū)域的設(shè)備，而不能直接訪問位于內(nèi)網(wǎng)的設(shè)備，它們之間的數(shù)據(jù)傳輸則是通過位于DMZ區(qū)的各種服務(wù)器來實現(xiàn)。這樣位于外網(wǎng)的視頻設(shè)備A是不能直接和位于內(nèi)網(wǎng)的設(shè)備B直接進(jìn)行通信的。對于一般的數(shù)據(jù)應(yīng)用而言。在這種網(wǎng)絡(luò)結(jié)構(gòu)下，位于內(nèi)網(wǎng)的計算機(jī)可以訪問外網(wǎng)的設(shè)備。但和常規(guī)的網(wǎng)絡(luò)應(yīng)用不同，基于H.323或SIP的視音頻通信設(shè)備通信時，在握手的同時，發(fā)出呼叫申請的一端將自己本身的地址包括在有效的數(shù)據(jù)包中，設(shè)備B向A發(fā)出一個呼叫申請，A要根據(jù)數(shù)據(jù)包中的有效地址發(fā)出應(yīng)答信息，而這個有效地址是一個內(nèi)網(wǎng)的“私有”地址，該應(yīng)答會被“防火墻”有效屏蔽。由于在指定的時間周期不能得到A端的應(yīng)答信息。在B端會顯示呼叫被拒絕。即使通過開放端口的手段后，A端的應(yīng)答信息可以到達(dá)B端，建立連接，對于有嚴(yán)格合法性、“同源性”檢查的H.323系統(tǒng)而言。視音頻數(shù)據(jù)可以從B發(fā)送到A。但A的視音頻信號難以到達(dá)B，這種現(xiàn)象在具體的視頻通信網(wǎng)絡(luò)建設(shè)過程中會經(jīng)常看到。

為有效解決在有安全機(jī)制的網(wǎng)絡(luò)環(huán)境中的視頻應(yīng)用，網(wǎng)絡(luò)設(shè)備商已做了大量工作，相繼推出了一些支持H.323，SIP的防火墻產(chǎn)品，而視頻通信廠商則對標(biāo)準(zhǔn)H.323／SIP產(chǎn)品和系統(tǒng)體系加以擴(kuò)充，推出了可以在NAY／防火墻環(huán)境中使用的視頻產(chǎn)品。

下面就幾種目前常見的解決方案進(jìn)行簡單介紹：

(1)開放網(wǎng)絡(luò)／VPN

這種方法是直接將視頻設(shè)備放置在DMZ區(qū)或直接放置在外網(wǎng)，這種辦法不需要對現(xiàn)有網(wǎng)絡(luò)進(jìn)行大的改造，但這是以基本喪失對視頻產(chǎn)品進(jìn)行網(wǎng)絡(luò)安全保護(hù)為代價的，同時由于和內(nèi)網(wǎng)之間原有的“隔絕”沒有消除。難以實現(xiàn)到桌面的視頻應(yīng)用。這種辦法比較適合在全網(wǎng)有較好的安全保障的專網(wǎng)使用?；蛟赩PN內(nèi)部使用。

(2)選用支持NAT的視頻產(chǎn)品

由于H.323產(chǎn)品在呼叫信息的有效數(shù)據(jù)包中包含了本地的地址信息，在經(jīng)過NAT轉(zhuǎn)換后，被邀請端設(shè)備難以給予有效應(yīng)答，因而部分H.323產(chǎn)品通過在呼叫過程中，將有效的NAT映射地址取代本地私有地址來完成呼叫應(yīng)答，解決了地址解析問題。如VTEL公司的VISTA系列產(chǎn)品，不但可以支持NAT的地址解析，還可以指定NAT端口，便于網(wǎng)絡(luò)設(shè)置。這種方案對單一NAT機(jī)制比較有效，如ADSL等PPPOE網(wǎng)絡(luò)環(huán)境下，可以不附加其他網(wǎng)絡(luò)或H.323設(shè)備，就可以解決問題。

(3)服務(wù)器

H.323服務(wù)器是為解決防火墻／NAT環(huán)境下，實現(xiàn)H.323通信的一種“非標(biāo)準(zhǔn)”H.323設(shè)備。在標(biāo)準(zhǔn)的H.323系統(tǒng)中沒有它的嚴(yán)格意義的定位。和Internet服務(wù)器一樣，它同樣被置于網(wǎng)絡(luò)的DMZ區(qū)，在實際呼叫過程中所有的內(nèi)外網(wǎng)的呼叫都通過它來“中繼”。即服務(wù)器將一個呼叫轉(zhuǎn)換成為由它發(fā)起的兩個呼叫來完成，從而繞過了防火墻的限制。

使用服務(wù)器不需要防火墻／NAT設(shè)備以及H323設(shè)備的特殊支持，實現(xiàn)比較容易，但由于服務(wù)器本身能力的限制。對呼叫數(shù)量以及數(shù)據(jù)交互量的規(guī)模都有一定的影響，同時，使用H.323服務(wù)器對視頻網(wǎng)絡(luò)建設(shè)成本的影響，也是需要根據(jù)實際情況考慮的一個問題。如當(dāng)本地只有一臺視頻終端時，使用服務(wù)器不是一個經(jīng)濟(jì)的解決方案。

相對于H.323服務(wù)器，SIP的靈活性使得SIP服務(wù)器解決方案更為簡單靈活，通過位于公網(wǎng)的一個，注冊服務(wù)器，可以較為簡單和便宜地解決這個問題。目前Microsoft的MSN就是一個比較好的應(yīng)用實例。

(4)使用應(yīng)用層網(wǎng)關(guān)(ALG)

應(yīng)用層網(wǎng)關(guān)也就是具有協(xié)議分析功能的防火墻產(chǎn)品，通過這些防火墻在判斷數(shù)據(jù)是否可以通過時，不是簡單地對IP數(shù)據(jù)包的包頭進(jìn)行分析，而是要對數(shù)據(jù)包中的具體數(shù)據(jù)進(jìn)行相應(yīng)的協(xié)議分析，并對視音頻通信過程中所需求的數(shù)據(jù)通道進(jìn)行動態(tài)打開，關(guān)閉，以保證視音頻通信的正常進(jìn)行。

現(xiàn)在許多網(wǎng)絡(luò)設(shè)備商推出了采用ALG支持H.323和SIP的產(chǎn)品，可以在新建視音頻網(wǎng)絡(luò)時或進(jìn)行網(wǎng)絡(luò)改造時考慮。

(5)視頻網(wǎng)關(guān)

為在標(biāo)準(zhǔn)H.323框架下解決防火墻／NAT對視頻通信的影響，出現(xiàn)了一種“變形”的MCU。該產(chǎn)品一般由兩個獨立的網(wǎng)絡(luò)接口分別和內(nèi)網(wǎng)、外網(wǎng)連接，位于內(nèi)外網(wǎng)的H.323設(shè)備分別和對應(yīng)的端口進(jìn)行連接，而視音頻數(shù)據(jù)的交換則通過MCU本身來實現(xiàn)。采用該類產(chǎn)品在構(gòu)造視音頻通信網(wǎng)時。不需對網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行改造，實現(xiàn)方法比較直接、簡單。如VTEL公司的Codian MCU是這種產(chǎn)品的一個代表，采用雙工作端口模式，不需要對內(nèi)外網(wǎng)的規(guī)模進(jìn)行預(yù)先定義，也不會對MCU總的處理能力有所影響，有較好的實際應(yīng)用效果。

以上是目前經(jīng)常使用的解決防火墻／NAT環(huán)境下實現(xiàn)視音頻通信的方法，這些方法之間不是相互獨立的。在一個實際的應(yīng)用中可根據(jù)各個通信點的網(wǎng)絡(luò)狀態(tài)、使用情況以及建設(shè)成本等多方面因素進(jìn)行綜合考慮。

篇8

關(guān)鍵詞：電力 無線網(wǎng)絡(luò) 漏洞 自動化 解決方案

中圖分類號：TN915 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791（2014）10（c）-0084-02

1 研究背景

近年來，全球的數(shù)據(jù)網(wǎng)絡(luò)正以令人驚奇的速度發(fā)展，為信息的交流和經(jīng)濟(jì)的發(fā)展提供了高效的工具和便利的平臺。隨著電力建設(shè)的飛速發(fā)展，電力自動化數(shù)據(jù)網(wǎng)絡(luò)也迅速擴(kuò)大，正在向全面覆蓋所有的電力企業(yè)邁進(jìn)，電力系統(tǒng)數(shù)字化已是大勢所趨。電力調(diào)度自動化系統(tǒng)、配電自動化系統(tǒng)、電量計費系統(tǒng)、電力市場技術(shù)支持系統(tǒng)及交易系統(tǒng)、電力客戶服務(wù)中心系統(tǒng)、變電站自動化系統(tǒng)、發(fā)電廠監(jiān)控系統(tǒng)、MIS 系統(tǒng)等，無一不是以高速的數(shù)據(jù)傳輸與交換為基本手段而建設(shè)的。電力自動化數(shù)據(jù)通信網(wǎng)絡(luò)利用因特網(wǎng)、無線網(wǎng)等的工具和平臺，在提高數(shù)據(jù)傳輸效率、減少開發(fā)維護(hù)工作量的同時，也帶來了新的問題，這就是內(nèi)部機(jī)密信息在網(wǎng)絡(luò)上的泄密、以及被攻擊破壞等。

隨著計算機(jī)運算性能的提高，通信技術(shù)的不斷發(fā)展，電力通信協(xié)議也在不斷的改進(jìn)，以適應(yīng)通信數(shù)據(jù)類別、流量和實時性的要求。IEC60870規(guī)約系列規(guī)定了電力遠(yuǎn)動、繼電保護(hù)數(shù)據(jù)、電能計費等多個方面的通信協(xié)議，甚至出現(xiàn)了104網(wǎng)絡(luò)通信規(guī)約，以適應(yīng)網(wǎng)絡(luò)RTU在電力系統(tǒng)中的應(yīng)用。各項信息安全技術(shù)也開始得到廣泛的應(yīng)用，但是仍然是以以下觀點為基礎(chǔ)開展的，電力數(shù)據(jù)網(wǎng)絡(luò)的信息安全研究應(yīng)該有所突破：

（1）電力通信網(wǎng)絡(luò)的兩個隔離。物理隔離作為國家的明文規(guī)定是建立在網(wǎng)絡(luò)條件不如人意，網(wǎng)絡(luò)威脅依然嚴(yán)重的情況下的，需要看到電力信息系統(tǒng)的開放性將是主流方向，基礎(chǔ)研究應(yīng)該突破這個框架開展一些前瞻性的工作。（2）重點防護(hù)監(jiān)控系統(tǒng)，對通信數(shù)據(jù)網(wǎng)絡(luò)的信息安全重視不足。雖然通信網(wǎng)絡(luò)的安全威脅相比而言較小，但是由于電力通信對實時性和可靠性的要求，使得通信數(shù)據(jù)網(wǎng)絡(luò)與電力監(jiān)控系統(tǒng)的信息安全同等重要。（3）認(rèn)為電力自動化通信沒有安全問題，或者認(rèn)為還不值得深入研究，電力信息使得任何安全研究都不能不重視其實時性的要求，因此自動化通信的信息安全研究開展不多，還需要進(jìn)行大量的研究。

2 電力系統(tǒng)無線通信對于信息安全的需求

電力自動化管理系統(tǒng)無線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)非?；祀s，從加密的技術(shù)角度來區(qū)分，可分為實時數(shù)據(jù)和非實時數(shù)據(jù)兩類。

2.1 實時數(shù)據(jù)的數(shù)據(jù)特點

無線網(wǎng)絡(luò)中傳輸?shù)膶崟r數(shù)據(jù)，其通信規(guī)約對時間的要求很嚴(yán)格，不允許較大的傳輸延遲；另一方面，實時數(shù)據(jù)的數(shù)據(jù)量相對較小，且數(shù)據(jù)流量比較穩(wěn)定。主要包括：

（1）下行數(shù)據(jù)。包括遙控、遙調(diào)和保護(hù)裝置及其他自動裝置的整定值信息等。這類數(shù)據(jù)與設(shè)備狀態(tài)相關(guān)，直接影響到電網(wǎng)的安全運行。安全要求和實時要求都很高。（2）上行數(shù)據(jù)。包括遙信、重要遙測、事件順序記錄（SOE）信息等。這類數(shù)據(jù)是電網(wǎng)穩(wěn)定運行的判據(jù)，也是調(diào)度決策的依據(jù)，實時性要求很高。管理數(shù)據(jù)。如負(fù)荷管理、停電計劃等管理信息系統(tǒng)（MIS）的重要管理數(shù)據(jù)。這類數(shù)據(jù)對保密性有一定要求。實時數(shù)據(jù)其數(shù)據(jù)流量穩(wěn)定且時效性快，但是要求實時性高、可靠性高，其保密性和數(shù)據(jù)完整性的要求也高，因此對實時數(shù)據(jù)加密必須慎之又慎。

2.2 非實時數(shù)據(jù)的數(shù)據(jù)特點

無線網(wǎng)絡(luò)中傳輸?shù)姆菍崟r數(shù)據(jù)，其數(shù)據(jù)量一般較大，但時效性不高，可以允許一定的傳輸延遲。它主要包括電力設(shè)備的維護(hù)日志、電力用戶的電能質(zhì)量信息等。非實時數(shù)據(jù)實時性要求不高，但是對數(shù)據(jù)完整性和保密性有一定的要求，在數(shù)據(jù)加密中要注意選擇合適的算法。

3 電力自動化系統(tǒng)的安全漏洞及解決方案

電力自動化應(yīng)用系統(tǒng)，不論是電力負(fù)荷管理系統(tǒng)、電能量管理系統(tǒng)或是其它的應(yīng)用系統(tǒng)，它的網(wǎng)絡(luò)結(jié)構(gòu)框圖都可以歸納成圖1所示。

3.1 中心站的安全隱患及解決方法

應(yīng)用系統(tǒng)都有一個中心站，它包括前置機(jī)、服務(wù)器等硬件設(shè)備及配套的管理軟件，它負(fù)責(zé)接收各個子站上傳的數(shù)據(jù)并通過管理軟件對數(shù)據(jù)進(jìn)行分析、歸納和管理；另一方面，它也維護(hù)各個子站正常運行，并以下發(fā)命令的方式對子站進(jìn)行操作管理；而且中心站還是本應(yīng)用系統(tǒng)與其它的電力自動化應(yīng)用系統(tǒng)進(jìn)行數(shù)據(jù)共享和管理的一個數(shù)據(jù)接口。一般來說，中心站和子站之間以及中心站和其它應(yīng)用系統(tǒng)之間的數(shù)據(jù)傳輸都是通過有線傳輸（如光纖）進(jìn)行的。

中心站既是內(nèi)部通信子站數(shù)據(jù)集中的一個節(jié)點，也是應(yīng)用系統(tǒng)與外部進(jìn)行數(shù)據(jù)收發(fā)的一個接口。只要攻擊者侵入了該節(jié)點，整個系統(tǒng)的數(shù)據(jù)就相當(dāng)于暴露在了入侵者的面前。而且一旦中心站出現(xiàn)了故障，即使其它的通信子站均運行正常，整個系統(tǒng)也無法正常工作了。正由于它的重要性和脆弱性，因此對于中心站就更是要進(jìn)行重點防護(hù)。防火墻就是一種有效的網(wǎng)絡(luò)安全保護(hù)措施，它可以按照用戶事先規(guī)定好的方案控制信息的流入和流出，監(jiān)督和控制使用者的操作。防火墻大量的應(yīng)用于企業(yè)中，它可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的信息的出入口，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它能有效地監(jiān)控內(nèi)部網(wǎng)和 Internet之間的任何活動，保證內(nèi)部網(wǎng)絡(luò)的安全。

防火墻的目的是在內(nèi)部、外部兩個網(wǎng)絡(luò)之間建立一個安全控制點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計和控制。一般的防火墻都可以達(dá)到以下目的：一是可以限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶；二是防止入侵者接近你的防御設(shè)施；三是限定用戶訪問特殊站點；四是為監(jiān)視Internet安全提供方便。由于防火墻假設(shè)了網(wǎng)絡(luò)邊界和服務(wù)，因此更適合于相對獨立的網(wǎng)絡(luò)，例如Intranet 等種類相對集中的網(wǎng)絡(luò)。防火墻正在成為控制對網(wǎng)絡(luò)系統(tǒng)訪問的非常流行的方法。事實上，在Internet上的Web網(wǎng)站中，超過三分之一的Web網(wǎng)站都是由某種形式的防火墻加以保護(hù)，這是對黑客防范最嚴(yán)，安全性較強(qiáng)的一種方式，任何關(guān)鍵性的服務(wù)器，都建議放在防火墻之后?？梢?，防火墻處于可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)邊界的位置，是可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)數(shù)據(jù)交換的“門戶”，用來防止未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)，通過邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全策略，其性能、可用性、可靠性、安全性等指標(biāo)在很大程度上決定了網(wǎng)絡(luò)的傳輸效率和傳輸安全。防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分，它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理，從總體上來看，防火墻的基本功能有兩個：一是隔離，使內(nèi)部網(wǎng)絡(luò)不與外部網(wǎng)絡(luò)進(jìn)行物理直接連接；二是訪問控制，是進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包按照安全策略有選擇地轉(zhuǎn)發(fā)。圍繞這兩個基本功能，大量與安全有關(guān)的網(wǎng)絡(luò)技術(shù)和安全技術(shù)被綜合進(jìn)防火墻設(shè)備中，使防火墻地功能不斷擴(kuò)展，性能不斷提高。概括地說，功能較完善的防火墻采用了以下安全技術(shù)：

3.1.1 多級的過濾控制技術(shù)

一般采用了三級過濾措施，并輔以鑒別手段。在分組過濾一級，能過濾掉所有的源路由分組和假冒的IP源地址；在應(yīng)用級網(wǎng)關(guān)一級，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測Internet提供的所有通用服務(wù)；在電路網(wǎng)關(guān)一級，實現(xiàn)內(nèi)部主機(jī)與外部站點的透明連接，并對服務(wù)的通行實行嚴(yán)格控制。

3.1.2 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）

利用NAT技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換，使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的拓?fù)湫畔?，同時允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個主機(jī)的通信，確保每個分組送往正確的地址。

3.1.3 用戶鑒別與加密

為了降低防火墻產(chǎn)品在Telnet、FTP等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險，鑒別功能必不可少，防火墻采用一次性使用的口令字系統(tǒng)來作為用戶的鑒別手段，并實現(xiàn)了對郵件的加密。

3.1.4 審計和告警

對網(wǎng)絡(luò)事件進(jìn)行審計，如果發(fā)現(xiàn)入侵行為將以發(fā)出郵件、聲響等多種方式報警。為了加強(qiáng)自動化應(yīng)用系統(tǒng)的安全水平，需要在系統(tǒng)與其它網(wǎng)絡(luò)的接口之間設(shè)置一套防火墻設(shè)備。這樣既能防止外來的訪問者攻擊系統(tǒng)，竊取或者篡改系統(tǒng)數(shù)據(jù)；同時也能防止內(nèi)部數(shù)據(jù)未經(jīng)允許流向外部網(wǎng)絡(luò)。如圖1所示，在公網(wǎng)通信中，除了自動化系統(tǒng)與其它應(yīng)用系統(tǒng)的接口外，子站采集自終端的數(shù)據(jù)要發(fā)送到中心站，也要通過 Internet網(wǎng)絡(luò)進(jìn)行傳輸，這就給攻擊者提供了一個侵入的端口。因此要在這兩處均安裝防火墻設(shè)備，來保證系統(tǒng)的安全運行。在專網(wǎng)通信中，由于整個通信網(wǎng)絡(luò)是一個相對獨立的網(wǎng)絡(luò)，因此中心站了通信子站之間就不必加裝防火墻了。

3.2 無線終端的安全防護(hù)手段

無論是哪種無線網(wǎng)絡(luò)，都有若干數(shù)量的無線終端，它們是通信系統(tǒng)的最基本的組成結(jié)構(gòu)，通過通信子站與中心站進(jìn)行通信。因為無線終端的數(shù)據(jù)眾多，也使它們往往成為系統(tǒng)安全漏洞所在。對于應(yīng)用系統(tǒng)而言，保護(hù)系統(tǒng)信息安全與保護(hù)系統(tǒng)業(yè)務(wù)正常是同等重要的。保護(hù)系統(tǒng)信息安全首先必須保證信息訪問的安全性，要讓不該看到信息的人不能看到，不該操作信息的人不能操作。這方面，一是要依靠身份認(rèn)證技術(shù)來給信息的訪問加上一把鎖，二是要通過適當(dāng)?shù)脑L問控制模型顯式地準(zhǔn)許或限制訪問能力及范圍。這就引出了兩種信息安全技術(shù)：身份認(rèn)證技術(shù)及訪問控制技術(shù)。通過這兩種技術(shù)手段，就能有效的解決以上的兩個安全問題。對于自動化應(yīng)用系統(tǒng)來說，系統(tǒng)內(nèi)的終端用戶只是采集電力用戶數(shù)據(jù)并上傳給服務(wù)器，并不存在越權(quán)訪問系統(tǒng)信息的問題。因此采用身份認(rèn)證技術(shù)就足以解決無線終端的信息保護(hù)問題了。

身份認(rèn)證是指被認(rèn)證對象向系統(tǒng)出示自己身份證明的過程，通常是獲得系統(tǒng)服務(wù)所必須的第一道關(guān)卡。身份認(rèn)證需要證實的是實體本身，而不是象消息認(rèn)證那樣證實其合法性、完整性。身份認(rèn)證的過程一般會涉及到兩方面的內(nèi)容識別和驗證。識別，就是要對系統(tǒng)中的每個合法注冊的用戶具有識別能力，要保證識別的有效性，必須保證任意兩個不同的用戶都不能具有相同的標(biāo)識符。驗證是指訪問者聲明自己的身份后，系統(tǒng)還必須對它聲稱的身份進(jìn)行驗證。標(biāo)識符可以是非秘密的，而驗證信息必須是秘密的。

身份認(rèn)證系統(tǒng)有兩方認(rèn)證和三方認(rèn)證兩種形式兩方認(rèn)證系統(tǒng)由被認(rèn)證對象和認(rèn)證方組成，被認(rèn)證對象出示證件，提出操作要求，認(rèn)證方檢驗被認(rèn)證對象所提供證件的合法性和有效性三方認(rèn)證系統(tǒng)除了被認(rèn)證對象和認(rèn)證方外，還有一個仲裁者，由雙方都信任的人充當(dāng)仲裁和調(diào)節(jié)。建立一個身份認(rèn)證系統(tǒng)的應(yīng)滿足的是：1）可識別率最大化：認(rèn)證方正確識別合法被認(rèn)證對象身份的概率最大化；2）可欺騙率最小化：攻擊者偽裝被認(rèn)證對象欺騙認(rèn)證方的成功率最小化；3）不可傳遞性：認(rèn)證方不可以用被認(rèn)證對象提供的信息來偽裝被認(rèn)證對象；4）計算有效性：實現(xiàn)身份認(rèn)證所需的計算量要小；5）安全存儲：實現(xiàn)身份認(rèn)證所需的參數(shù)能夠安全的存儲；6）第三方可信賴性：在三方認(rèn)證的系統(tǒng)中，第三方必須是雙方都信任的人或組織或可信安全性身份認(rèn)證系統(tǒng)所使用的算法的安全性是可證明和可信任的。

電力自動化系統(tǒng)內(nèi)部使用身份認(rèn)證技術(shù)，在每一個無線終端的實體上增加了一道安全防護(hù)，如圖2 所示。在進(jìn)行數(shù)據(jù)傳輸之前，驗證對方是否是系統(tǒng)內(nèi)的合法用戶?？梢苑乐谷肭终邆窝b成內(nèi)部用戶，獲取系統(tǒng)數(shù)據(jù)。

3.3 保護(hù)系統(tǒng)信息安全的常用方案-算法加密

除了以上的信息安全技術(shù)之外，算法加密技術(shù)是一種被普遍應(yīng)用的安全技術(shù)。它在發(fā)送方將要發(fā)送的數(shù)據(jù)根據(jù)一定的算法進(jìn)行加密，變成不可識別的密文；而在接收方通過對應(yīng)的解密算法再將密文轉(zhuǎn)化為明文。從而保證數(shù)據(jù)在傳輸過程中的保密性。

4 結(jié)論

該文研究了電力自動化無線通信系統(tǒng)中的信息安全問題。隨著電力自動化無線通信技術(shù)的快速發(fā)展，對網(wǎng)絡(luò)信息安全的要求也不斷提高。無線通信技術(shù)有著其自身的特點，要求的安全解決方案也與其他不同。需要既保證無線信道的帶寬，又要有效地提高系統(tǒng)的安全防護(hù)強(qiáng)度。

參考文獻(xiàn)

[1] 孫毅，唐良瑞，杜丹.配電自動化中的通信網(wǎng)解決方案[J].燕山大學(xué)學(xué)報，2004，5（28）：423-426.

[2] 宋磊，羅其亮，羅毅，等.電力系統(tǒng)實時數(shù)據(jù)通信加密方案[J].電力系統(tǒng)自動化，2004，28（14）：76-81.

篇9

關(guān)鍵字:防火墻;網(wǎng)絡(luò)安全;內(nèi)部網(wǎng)絡(luò);外部網(wǎng)絡(luò)。

一、概述

隨著計算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用,全球信息化已成為人類發(fā)展的大趨勢?；ヂ?lián)網(wǎng)已經(jīng)成了現(xiàn)代人生活中不可缺少的一部分,隨著互聯(lián)網(wǎng)規(guī)模的迅速擴(kuò)大,網(wǎng)絡(luò)豐富的信息資源給用戶帶來了極大方便的同時,由于計算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征,致使網(wǎng)絡(luò)易受黑客、怪客、惡意軟件和其他不軌的攻擊。為了保護(hù)我們的網(wǎng)絡(luò)安全、可靠性,所以我們要用防火墻,防火墻技術(shù)是近年來發(fā)展起來的一種保護(hù)計算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施。

其實防火墻就好像在古老的中世紀(jì)安全防務(wù)的一個現(xiàn)代變種:在你的城堡周圍挖一道深深的壕溝。這樣一來,使所有進(jìn)出城堡的人都要經(jīng)過一個吊橋,吊橋上的看門警衛(wèi)可以檢查每一個來往的行人。對于網(wǎng)絡(luò),也可以采用同樣的方法:一個擁有多個LAN的公司的內(nèi)部網(wǎng)絡(luò)可以任意連接,但進(jìn)出該公司的通信量必須經(jīng)過一個電子吊橋(防火墻)。也就是說防火墻實際上是一種訪問控制技術(shù),在某個機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙,阻止對信息資源的非法訪問,也可以使用防火墻阻止保密信息從受保護(hù)網(wǎng)絡(luò)上被非法輸出。

防火墻不是一個單獨的計算機(jī)程序或設(shè)備。在理論上,防火墻是由軟件和硬件兩部分組成,用來阻止所有網(wǎng)絡(luò)間不受歡迎的信息交換,而允許那些可接受的通信。

二、防火墻技術(shù)

網(wǎng)絡(luò)防火墻是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制的特殊網(wǎng)絡(luò)設(shè)備,它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對其進(jìn)行檢查,來決定網(wǎng)絡(luò)之間的通信是否被允許,其中被保護(hù)的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò)或私有網(wǎng)絡(luò),另一方則被稱為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。防火墻能有效得控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳輸,從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的。一個好的防火墻系統(tǒng)應(yīng)具有以下五方面的特性:

1、所有的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過防火墻;

2、只有被授權(quán)的合法數(shù)據(jù)及防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過防火墻;

3、防火墻本身不受各種攻擊的影響;

4、使用目前新的信息安全技術(shù),比如現(xiàn)代密碼技術(shù)等;

5、人機(jī)界面良好,用戶配置使用方便,易管理。

實現(xiàn)防火墻的主要技術(shù)有:分組篩選器,應(yīng)用網(wǎng)關(guān)和服務(wù)等。

(1)分組篩選器技術(shù)

分組篩選器是一個裝備有額外功能的標(biāo)準(zhǔn)路由器。這些額外功能用來檢查每個進(jìn)出的分組。符合某種標(biāo)準(zhǔn)的分組被正常轉(zhuǎn)發(fā),不能通過檢查的就被丟棄。

通常,分組篩選器由系統(tǒng)管理員配置的表所驅(qū)動。這些表列出了可接受的源端和目的端,擁塞的源端和目的端,以及作用于進(jìn)出其他機(jī)器的分組的缺省規(guī)則。在一個UNIX設(shè)置的標(biāo)準(zhǔn)配置中,一個源端或目的端由一個IP地址和一個端口組成,端口表明希望得到什么樣的服務(wù)。例如,端口23是用于Telnet的,端口79是用于Finger分組,端口119是用于USENET新聞的。一個公司可以擁塞到所有IP地址及一個端口號的分組。這樣,公司外部的人就不能通過Telnet登陸,或用Finger找人。進(jìn)而該公司可以獎勵其雇員看一整天的USENET新聞。

擁塞外出分組更有技巧性,因為雖然大多數(shù)節(jié)點使用標(biāo)準(zhǔn)端口號,但這也不一定是一成不變的,更何況有一些重要的服務(wù),像FTP(文件傳輸協(xié)議),其端口號是動態(tài)分配的。此外,雖然擁塞TCP連接很困難,但擁塞UDP分組甚至更難,因為很難事先知道它們要做什么。很多篩選分組器只是攔截UDP分組流。

(2)應(yīng)用網(wǎng)關(guān)技術(shù)

應(yīng)用網(wǎng)關(guān)(ApplicationGateway)技術(shù)是建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過濾,它針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報告。應(yīng)用網(wǎng)關(guān)對某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴(yán)格的控制,以防有價值的程序和數(shù)據(jù)被竊取。它的另一個功能是對通過的信息進(jìn)行記錄,如什么樣的用戶在什么時間連接了什么站點。在實際工作中,應(yīng)用網(wǎng)關(guān)一般由專用工作站系統(tǒng)來完成。

有些應(yīng)用網(wǎng)關(guān)還存儲Internet上的那些被頻繁使用的頁面。當(dāng)用戶請求的頁面在應(yīng)用網(wǎng)關(guān)服務(wù)器緩存中存在時,服務(wù)器將檢查所緩存的頁面是否是最新的版本(即該頁面是否已更新),如果是最新版本,則直接提交給用戶,否則,到真正的服務(wù)器上請求最新的頁面,然后再轉(zhuǎn)發(fā)給用戶(3)服務(wù)

服務(wù)器(ProxyServer)作用在應(yīng)用層,它用來提供應(yīng)用層服務(wù)的控制,起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請服務(wù)時中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接受提出的服務(wù)請求,拒絕外部網(wǎng)絡(luò)其它接點的直接請求。

具體地說,服務(wù)器是運行在防火墻主機(jī)上的專門的應(yīng)用程序或者服務(wù)器程序;防火墻主機(jī)可以是具有一個內(nèi)部網(wǎng)絡(luò)接口和一個外部網(wǎng)絡(luò)接口的雙重宿主主機(jī),也可以是一些可以訪問因特網(wǎng)并被內(nèi)部主機(jī)訪問的堡壘主機(jī)。這些程序接受用戶對因特網(wǎng)服務(wù)的請求(諸如FTP、Telnet),并按照一定的安全策略轉(zhuǎn)發(fā)它們到實際的服務(wù)。提供代替連接并且充當(dāng)服務(wù)的網(wǎng)關(guān)。

在實際應(yīng)用當(dāng)中,構(gòu)筑防火墻的“真正的解決方案”很少采用單一的技術(shù),通常是多種解決不同問題的技術(shù)的有機(jī)組合。你需要解決的問題依賴于你想要向你的客戶提供什么樣的服務(wù)以及你愿意接受什么等級的風(fēng)險,采用何種技術(shù)來解決那些問題依賴于你的時間、金錢、專長等因素。超級秘書網(wǎng)

三、防火墻技術(shù)展望

伴隨著Internet的飛速發(fā)展,防火墻技術(shù)與產(chǎn)品的更新步伐必然會加強(qiáng),而要全面展望防火墻技術(shù)的發(fā)展幾乎是不可能的。但是,從產(chǎn)品及功能上,卻又可以看出一些動向和趨勢。下面諸點可能是下一步的走向和選擇:

1)防火墻將從目前對子網(wǎng)或內(nèi)部網(wǎng)管理的方式向遠(yuǎn)程上網(wǎng)集中管理的方式發(fā)展。

2)過濾深度會不斷加強(qiáng),從目前的地址、服務(wù)過濾,發(fā)展到URL(頁面)過濾、關(guān)鍵字過濾和對ActiveX、Java等的過濾,并逐漸有病毒掃描功能。

3)利用防火墻建立專用網(wǎng)是較長一段時間用戶使用的主流,IP的加密需求越來越強(qiáng),安全協(xié)議的開發(fā)是一大熱點。

4)單向防火墻(又叫做網(wǎng)絡(luò)二極管)將作為一種產(chǎn)品門類而出現(xiàn)。

5)對網(wǎng)絡(luò)攻擊的檢測和各種告警將成為防火墻的重要功能。

6)安全管理工具不斷完善,特別是可以活動的日志分析工具等將成為防火墻產(chǎn)品中的一部分。

另外值得一提的是,伴隨著防火墻技術(shù)的不斷發(fā)展,人們選擇防火墻的標(biāo)準(zhǔn)將主要集中在易于管理、應(yīng)用透明性、鑒別與加密功能、操作環(huán)境和硬件要求、VPN的功能與CA的功能、接口的數(shù)量、成本等幾個方面。

參考文獻(xiàn):

[1]KaranjitS,ChirsH.InternetFirewallandNetworkSecurity,NewRiderspublishing,1996.

[2]AndrewS.TanenbaumComputerNetworks(ThirdEdition),PrenticeHallInternational,Inc.1998.

篇10

銀澎云計算旗下的主要產(chǎn)品有：

云主機(jī)：通過對計算與存儲資源的聚合和虛擬化，給用戶帶來高效、低成本、按需供給、靈活使用的計算與數(shù)據(jù)服務(wù)。

云加速：將網(wǎng)站靜態(tài)內(nèi)容于離用戶最近節(jié)點，用戶使用時可就近獲得所需數(shù)據(jù)。

云會議：公司旗下“好視通”云會議平臺是國內(nèi)領(lǐng)先的云會議服務(wù)領(lǐng)導(dǎo)品牌，擁有多項創(chuàng)新核心技術(shù)優(yōu)勢，產(chǎn)品已成功地廣泛運用于全國教育、培訓(xùn)、金融、物流、通信、政府等行業(yè)和領(lǐng)域，企業(yè)榮膺國家級高新技術(shù)企業(yè)和雙軟企業(yè)等科技認(rèn)證。

云存儲：致力于打造具備大數(shù)據(jù)集中存儲、自助云備份、發(fā)送共享和管理服務(wù)的私有云平臺。該平臺是針對企業(yè)、政府、學(xué)校、科研、傳媒等企業(yè)級用戶應(yīng)用而開發(fā)的，適用于任何機(jī)構(gòu)內(nèi)部或內(nèi)外之間的電子文檔存儲管理、網(wǎng)絡(luò)服務(wù)、傳閱簽收、公文審批等業(yè)務(wù)流程，便于機(jī)構(gòu)全體、部門、個人的電子文檔共享，有關(guān)文檔按機(jī)構(gòu)、部門、項目組、職員進(jìn)行嚴(yán)格管理，實現(xiàn)對文件的嚴(yán)格管理與可控共享。

云數(shù)據(jù)中心：銀澎云計算自建的銀澎百盛云計算數(shù)據(jù)中心，是國家五星級超大云計算數(shù)據(jù)中心，總投資3億元，建筑面積達(dá)18000平米，最大可容納6000個機(jī)柜、80000臺服務(wù)器，是目前國內(nèi)少有達(dá)到T3+級別的云數(shù)據(jù)中心，可為客戶按需提供優(yōu)質(zhì)的云計算數(shù)據(jù)資源和高級別的安全保障服務(wù)。云計算數(shù)據(jù)中心主要業(yè)務(wù)包括服務(wù)器托管、服務(wù)器出租、機(jī)柜租賃、系統(tǒng)維護(hù)以及其他支撐、運行服務(wù)等。同時，銀澎云計算依托國內(nèi)領(lǐng)先的五星級云計算數(shù)據(jù)中心資源，憑借深厚的行業(yè)經(jīng)驗、雄厚的技術(shù)研發(fā)能力和卓越高效的服務(wù)保障體系，為廣大客戶提供高彈性、高性能和高安全的云計算整體解決方案。