网络安全情况说明.docx
《网络安全情况说明.docx》由会员分享,可在线阅读,更多相关《网络安全情况说明.docx(12页珍藏版)》请在冰点文库上搜索。
网络安全情况说明
网络安全情况说明
附件一:
网络安全隔离
产品型号
SecSIS3600
产品性能
系统吞吐量
900Mbps
内部交换带宽
5Gbps
延时
<20µs
MTBF(小时)
50,000
接口说明
网络口
网闸内/外端机各包含6个10/100/1000Base-T(RJ45)以太网接口,分别是:
-4个网络口:
用于连接内部/外部网络
-管理口:
用于管理配置
-HA口:
用于支持HA监测
CONSOLE口
2
USB口
4
硬件特性
机箱
标准2U机箱
液晶面板
有
电源
单电源/冗余电源
硬件架构
系统内部采用“2+1”模块结构设计,即包括外网主机模块、内网主机模块和隔离交换模块
自主研发的基于安全芯片的专用隔离部件,无操作系统,外部无法编程控制,全硬件交换
内外端机为网络协议终点,彻底阻断各种网络协议,保证信任网络和非信任网络之间链路层的断开,彻底阻断TCP/IP协议以及其他网络协议
内外网主机系统与专用隔离部件之间采用高性PCI-E总线连接,消除性能瓶颈
★内、外网分别具有独立的管理接口,而不是通过网络接口管理,也不是通过内网一个管理接口完成全部管理
★内、外网分别具有独立的HA口,实现双机热备及负载均衡
★面板具有液晶屏,能够显示产品品牌、型号、CPU/内存占用率、网络接口状态等信息。
主模块
采用基于linux内核的多核并行安全操作系统SecOS2
★提供基于https的图形化安全管理,支持用户名/口令、数字证书等多种认证管理方式
支持跨网段管理,实现管理终端IP地址和端口的访问控制
管理员及审计员区分并独立,支持分权管理,对管理员角色定制,可以添加多个管理员角色,并定制权限
支持管理员登录失败锁定次数、锁定时间和超时时间的设定
★支持对网络接口模式进行设定(支持网闸同一侧网络接口桥模式设定或bonding设定),进行灵活部署(提供证明截图)
具有独立审计用户,提供完善的日志审计功能
支持标准Syslog日志审计方式,支持Syslog端口自定义(提供证明截图)
支持内外端机主机名更改,强化日志审计及集中管理功能。
(提供证明截图)
支持标准的SNMP协议安全管理
★支持通过SecFOX安全管理系统实现的集中安全管理
★支持配置管理,能够对单独模块及全部模块配置进行配置导入导出(提供证明截图)
具有系统补丁管理功能
★支持设备诊断信息导出(提供证明截图)
★支持许可证下载,方便维护管理(提供证明截图)
支持状态日志配置,通过设置硬件信息使用率进行日志记录及暂停使用
支持IP/MAC地址绑定和自动探测
通过WEB管理界面进行设备的远程关闭及重启功能
支持NTP网络时间同步;
★支持内外端机系统时间同步(提供证明截图)
★提供调制工具,其中包括:
trace;ping;telnet;arp等(提供证明截图)
支持软硬件多核技术
★通过界面能够查看到多核CPU使用率(提供证明截图)
提供设备运行状态检测、系统资源监控。
文件交换模块
支持文件传输方向控制:
单向传输和双向同步
★支持NFS、SMB、FTP等文件传输协议实现文件同步。
支持不同文件传输协议之间的文件同步,如:
NFS与SMB之间的文件同步(提供证明截图)
文件交换模块支持病毒检测功能,支持通过文件大小控制病毒查杀;(提供证明截图)
★支持多种同步模式:
完全一致、完全复制、首次复制+新增、源端移动、源端删除等多种模式。
(提供证明截图)
支持无客户端传输方式,不需要安装任何客户端软件。
支持专用客户端,数据加密传输。
支持被动传输方式,设备提供共享空间被动接受用户提交的文件。
支持子目录同步控制和二进制文件同步控制。
支持空间限制、文件类型限制、文件数量限制、文件大小限制、修改时间限制。
可以设定同步任务的循环周期和开始时间。
支持暂缓传输文件控制。
提供关键字、黑白名单信息过滤,发送白名单、发送黑名单、接收白名单、接收黑名单等多种组合控制方式。
支持文件名与后缀的过滤。
★支持任务运行标记。
(提供证明截图)
邮件模块
邮件模块支持病毒检测功能;支持通过文件大小控制病毒查杀;支持超长邮件限定是否接受;(提供证明截图)
支持SMTP、POP3通用协议,支持SMTP认证
支持垃圾邮件过滤,支持对邮件内容和附件的过滤
支持SMTP、POP3用户名过滤
支持对邮件的数字签名
支持邮件地址、主题、内容及附件关键字过滤
支持对附件及其附件的大小和类型进行过滤控制
能够对邮件访问的源/目的地址、端口进行访问控制
支持任务运行标记
★支持任务运行时间控制(提供证明截图)
数据库同步模块
支持Oracle、Sybase、SQLServer、MySql、DB2等多种主流数据库同步
不需要更改数据库结构和添加数据表,不影响数据库服务器性能
★同步由网闸主动发起并完成,不需要第三方软件支持(无需在数据库安全任何第三方软件)(提供证明截图),支持windows、linux、unix等多种数据库操作系统类型。
网闸不需要开放任何服务端口,避免造成漏洞
支持异构数据库同步,实现不同表结构和不同数据库类型之间的转化
支持一对一、一对多、多对一数据库同步
支持断点续传
★支持周期复制、实时复制、增量更新等多种同步方式。
(提供证明截图)
支持设定同步时间和同步周期
支持大字段和二进制字段的数据同步
支持字段级同步
支持双向同步
支持具有复杂关联关系的数据库表的同步
数据库访问模块
支持SQL、ORACLE、DB2、SYBASE等主流数据库的访问
支持访问用户名过滤
支持任务运行标记
★支持任务运行时间控制(提供证明截图)
FTP模块
★支持透明模式、代理模式及混合模式(提供证明截图)
FTP访问模块支持病毒检测功能,支持通过文件大小控制病毒查杀;(提供证明截图)
支持FTP主动、被动工作模块转换
支持禁止文件断点续传功能。
(提供证明截图)
采用端到端的安全通道式访问
支持对访问用户的限制
支持传输文件扩展名过滤
支持PORT命令端口范围控制
支持传输文件中文件名控制
支持FTP访问命令过滤
支持访问时间控制
支持对访问的FTP服务器地址的重定向
支持源地址和目的地址控制
支持最大连接数控制
支持单个IP最大连接数限制
★支持任务运行标记(提供功能截图)
安全浏览模块
支持代理模式、透明模式
安全浏览模块支持病毒检测功能,支持通过内容长度控制病毒查杀;支持图片文件、媒体文件等文件类型病毒检查;可设定病毒扫描内容最大长度。
(提供证明截图)
支持对代理上网端口的进行控制
支持URL、URI后缀黑白名单控制
支持MIME类型细粒度控制,如网页中的应用程序、视频、音频、图像、文本等进行细粒度控制
支持对HTML细粒度控制,如网页中的Script脚本、ActiveX脚本、javaapplet、cookie等
支持关键字网页过滤
支持HTTP方法控制,如POST、GET、HEAD、CONNECT等。
支持用户名口令认证、数字证书认证、LDAP、RADIUS等多种认证方式
支持用户上网的IP控制
支持用户上网时段限制
支持用户连接数限制
定制服务
支持TCP定制服务;支持源地址绑定、网络接口地址绑定功能;(提供功能截图)
支持源地址、源端口、目的地址、目的端口过滤功能;
支持UDP定制服务;支持网络接口地址绑定功能;
支持源地址、源端口、目的地址、目的端口过滤功能;
★支持组播的定制服务
支持广泛的基于TCP/UDP视频应用
★支持任务运行标记(提供功能截图)
支持任务运行时间控制
Socks代理模块
支持Socks代理模块
高可用性支持
支持双机热备及超过双机的多机热备功能
热备检测通讯接口可以设置为HA接口、网络接口等(非第三方软件实现)(提供功能截图)
支持宕机切换、抜线切换,支持ping、connect等多种主动链路探测,发现异常便实现主备切换(提供证明截图),支持HA状态实时查看,双机故障邮件报警,支持双机负载检测间隔设置,支持设备优先级设置和自动抢占功能
★支持多机(最多32台)负载均衡,支持负载分担、负载信息查看(提供证明截图)、自动切换、自动恢复等。
支持端口和链路的冗余:
无需其他设备支持和配合,实现了在一条链路故障时,业务能够切换到另一条链路上。
防护设置
支持入侵检测功能,可对网页攻击、缓冲区溢出攻击、后门/木马、P2P、病毒/蠕虫、拒绝服务攻击、扫描类攻击等多种攻击类型进行实时检测并记录日志。
(提供证明截图)
具有防病毒模块,支持在线升级、离线升级等病毒库升级方式。
可针对文件交换、安全浏览、FTP访问、邮件访问等多种模块进行病毒防护。
(提供证明截图)
抗Dos攻击功能设置
ICMP应答功能设置
产品资质要求
★参与《军用网络安全隔离交换产品通用要求》标准编制,要求提供证明文件
★国家信息安全测评信息技术产品安全测评证书(百兆)
★北京市自主创新产品证书
★涉密系统集成甲级资质证书
★多核并行安全操作系统证书
★微软MAPP资质
公安部销售许可证(三级)
国家信息安全测评信息技术产品安全测评证书(千兆)
国家保密局涉密信息系统产品检测证书
国家信息安全产品认证证书(二级)
军B级军用信息安全产品认证证书
计算机软件著作权登记证书
附件二:
WEB安全防护
WEB卫士防护系统
序号
技术指标
1
主动防御攻击,防止篡改网页
2
主动防御SQLInjection攻击
3
主动防御缓冲区溢出攻击
4
主动防御URL洪水攻击
5
过滤防护要求
能自动对HTTP中的所有请求进行过滤
6
能自动对缓冲区溢出进行过滤
7
能过滤关键字
8
后缀映射过滤
9
HTTP头过滤
10
ShellCode过滤
11
EncodingAttack过滤
12
管理功能要求
调用系统的Internet服务服务管理器,用于对Internet的设置与管理.
13
日志功能要求
管理显示Web访问日志
能显示web卫士日志
14
高级功能要求
针对各种动态网站和静态网站,提供强大的专业规则集供用户选择
WEB服务器加固系统产品(SSR1.0)
序号
技术指标
1
内核级安全加固
从操作系统内核实现对服务器的安全加固
2
内置操作系统安全模板(要求提供截图,并出据权威部门提供的检测报告)
用户可以根据安全需求,自定义倒入高中低三个不同安全级别的模板。
3
文件完整性保护机制
允许针对进程、用户对文件/目录进行访问规则的设置。
任何进程/用户(包括系统管理员)对已设置规则的文件/目录的创建、读写、删除等都必须遵循已设置的规则。
允许设置用户、文件/目录的敏感标记,通过敏感标记规范用户对文件/目录的访问。
4
注册表防篡改机制
允许针对进程对注册表项进行访问规则的设置。
任何进程(包括系统进程)对已设置规则的注册表项的创建、读写、删除等都必须遵循已设置的规则。
5
进程强制访问控制
允许针对进程对进程进行访问规则的设置。
任何进程(包括系统进程)对已设置规则的进程的内存操作、非法中止、复制句柄等操作都必须遵循已设置的规则。
6
服务强制访问控制
防止新增的服务及驱动在系统中的加载,可以实现服务强制访问控制。
7
防止格式化
防止非法格式化,可防止攻击者对硬盘分区进行毁灭性破坏。
8
文件完整性检测机制(要求提供截图,并出据权威部门提供的检测报告)
检测程序自动记录制定目录中所有文件的基本属性及内容校验和。
通过定期进行对比检测,监测重要文件或目录的完整性。
9
全面的服务检测机制
检测程序自动记录系统中所有服务的基本属性及内容校验和。
通过定期进行队比检测,监测服务的完整性。
10
网络安全访问保护机制(linux特有)
允许网络进行强制访问控制。
任何用户默认都不可以在本地建立端口,不可以访问远程网络,只有通过许可的用户才可以访问远程网络。
11
防缓冲区溢出攻击(linux特有)缓冲区溢出攻击是现在攻击主机的常见手法,而且给主机造成很大的危害。
SSR在您的系统上田间了一层防护盾,为您提供安全保障,从根本上解决了黑客攻击问题。
12
身份强认证
采用硬件USB-KEY进行的身份认证,防止非法使用SSR系统。
13
日志审计功能
具有独立的日志系统,并提供查询和审计工具;
14
规则向导设置
可使用向导功能,依据向导提示配置自己所需的功能。
15
防止恶意程序或驱动加载
防止恶意程序以驱动形式加载感染系统
除防止应用级攻击手法以外,还可以防止内核级后门安装。
16
对重要数据的保护
可以有效的防止利用移动存储设备从服务器上窃取数据,可拒绝移动储存设备的加载。
17
使用简便易操作
安装和卸载容易,安装不修改操作系统内核,不需重启系统,卸载后系统可完全恢复到安装前的状态,系统断电重启时仍能保持原有安全设置;产品界面友好,易于安装、配置和管理,并有详尽的技术文档,所有文档资料均为中文。
18
自主知识产权
自主知识产权,完全国产化,拥有完整支持产权的内核加固产品。
产品开发过程、技术来源,人员可信。
19
产品资质要求:
公安部销售许可证、涉密信息系统产品检测证书、军用信息安全产品认证证书军B级、微软认证。
升级会员 