中国农业科学院图书馆项目专用设备投标技术文件(编辑修改稿)

中国农业科学院图书馆项目专用设备投标技术文件(编辑修改稿)内容摘要：

8 因此，多核架构最能满足安全产品高性能、低功耗、高灵活性、易升级的要求，更能适应安全产品向深层过滤发展、支持更多应用协议的发展趋势。 高效一体化的多核并行操作系统 有了多核的硬件架构，还必须在全线多核并行操作系统的配合下，才能充分发挥多核的优势。 我们可以从下面的分析看到一 个高效的并行操作系统对于系统性能的影响。 衡量一个多核并行系统设计能力的数学模型为著名的 Amdahl 定律： Amdahl 定律： 其中三个影响加速比的关键因素是： S 表示系统设计中串行执行的比例； n表示多核的处理器个数， H(n)表示系统开销。 例如：串行比例 3%， 32 个核， H(n)＝ 0,理论最高性能 speedup＝ 倍 串行比例 30%， 32 个核， H(n)＝ 0,理论最高性能 speedup＝ 倍 也就是说，如果数据处理流程的算法设计很差，性能相差将 倍。 例如：串行比例 30%， 2 个核， H(n)＝ 0,理论最高性能 speedup＝ 倍 串行比例 30%， 2 个核， H(n)=40%,实际性能 speedup＝ 倍 也就是说，如果多核之间的并行系统开销设计很差，性能可能让多核不如单核。 由此可见，在安全并行操作系统中，能否有效降低串行执行比例和降低交互开销决定了能否充分发挥多核的性能，其中的关键在于：合理划分任务、减少核间通信。 整个系统任务可以按数据、功能等多个维度划分为若干子任务，分别由不同的核来执行这些子任务。 合理的任务分解方案使得不同任务相对独立，既降低了串 行执行比例，也减少了核间通信的需求。 此外，减少核间通信的技术还包括异步并行、无锁编程等技术。 异步并行技术与同步并行技术相对应。 后者是同步处理的一般模式，指的是一个核执行任务到某个时刻必须与其它核进行数据交换，然后才能继续进行；前 中国农业科学院图书馆项目专用设备（网络安全设备、工作站、计算机终端）采购 项目（第 3 包） －投标书 中国电信集团系统集成有限责任公司 9 者是对同步处理的优化，数据交换不必严格在某个时刻进行，可以集中进行数据交换，从而减少交互的次数和时间。 无锁编程是减少核间通信的另一个思路，通过精心设计的数据结构，两个核可以完全不进行任务同步，同时又能协同进行工作。 向应用层过滤发展、支持更多应用协议 当前，攻击行为呈现多层次化， 已经逐步从传统的 Synflood、 Udpflood、端口扫描等网络层攻击发展到 HTTP Get、 CC 等应用层拒绝服务攻击，这些新的应用层攻击数据量和连接频率都不高，使用传统的检测手段根本无法检测和抵御。 只有对内容进行深度检测和分析，才能发现并有效防御。 同时，新的网络应用层出不穷，网络中已经不单单是传统的 HTTP、 MAIL、FTP 等应用协议数据了，网络视频、流媒体、在线游戏、即时通信、 P2P 下载等应用已经成为了网络中的“绝对主力”。 这些新的应用不仅仅占用了大量的网络带宽，造成网络拥塞，更可怕的是迅雷等即时通 讯软件协议以及其他应用于互联网的协议已经成为了恶意者实施攻击的承载协议。 于是，对这些新的应用协议进行细粒度的控制，并对这些协议进行完全的内容过滤越来越必要。 比如，识别并限制 P2P 占用的带宽、连接数，以限制其对网络资源的过渡占用；对各种应用协议进行深度检测并限制其操作权限，避免其成为黑客攻击的载体。 从工具转变为助手 当前网络状况下，网络安全问题日益严重，要求网络管理员对内部网络进行严格、精细的管理和限制。 而网络结构越来越复杂，网络接入方式越来越灵活，网络内部主机越来越多，新的应用层出不穷，对外提供的服务也 越来越丰富，这给网络管理员带来了前所未有的压力。 一方面，内部网络不断的有主机或者服务器加入，网络管理员要根据内部主机情况，实时调整策略，对于一个大的网络，要求各个部门通报新增或者离开的 中国农业科学院图书馆项目专用设备（网络安全设备、工作站、计算机终端）采购 项目（第 3 包） －投标书 中国电信集团系统集成有限责任公司 10 主机，根本无法保证实时性，而对于那些经常有临时用户加入或者离开的网络，其工作量对于网络管理员也是无法承受的。 另一方面，随着电子政务、网上办公、电子商务等信息化建设，网络中新的服务和应用不断涌现，需要管理员不停的增加安全策略，以开启越来越多的对外应用端口。 然而，一些应用会同时使用多个端口，而且这些端口会不断的变化。 统计各种新 应用和使用的端口给管理员带来了巨大的工作量，更为严重的是，从统计新的应用和端口，到最终调整安全策略需要很长的时间，这将会大大降低网上办公效率，对于那些商业类应用，则会给用户带来巨大的经济损失。 综上所述，在当前严峻的网络安全形势下，新的主机、新的服务不断的加入和变化，给网络管理员带来了巨大的工作量，而且由于无法及时调整安全策略，网络管理员们在其它业务部门中的满意度大幅下降，这一切已使得他们不堪重负。 防火墙作为最重要的网络边界访问控制设备，需要从易用性上做的更多，需要能够帮助网络管理员实时了解内网网络状况和随 时的变化，并能够帮助他们及时、动态的调整安全策略。 这样可以大大减少网络管理员的工作量，也就是说防火墙对于用户正在逐步从复杂的工具转变为易用的助手。 网神 SecGate 3600 防火墙基于高性能、高稳定性的多核处理器架构硬件平台和多核并行操作系统新一代 SecOS 推出的全线多核下一代防火墙产品。 在产品性能、功能、稳定性、易升级、易用性管理等方面都有了明显的突破，能够带给用户全新的使用感受。 网神防火墙产品的稳定性 网神 SecGate3600 防火墙的稳定性包括硬件成熟度和技术稳定性两方面。 硬件成熟度层面： 网神 SecGate3600 防火墙由网神自主研发，系统高效、可靠，并且采用了高可靠性的硬件平台和生产工艺，产品出厂前经过了 27 道检测工序，超过 72 小时高温老化以及 100 小时的高压力测试，产品稳定可靠， MTBF高达 80000 小时，在多个项目中稳定使用。 网神 SecGate3600 防火墙已获得市场一致认可，并在客户群中有很好的口碑，连续数年取得多个奖项：  20xx 中国信息安全技术创新奖（ SecOS 安全操作系统）  20xx 年度中国 CSO 信赖奖（ SecGate 防火墙） 中国农业科学院图书馆项目专用设备（网络安全设备、工作站、计算机终端）采购 项目（第 3 包） －投标书 中国电信集团系统集成有限责任公司 11  20xx 中国信息安全值得信赖品牌奖  20xx 中国信息安全优秀防火墙产品奖  中国计算机报 20xx 年度编辑选择技术之星（ SecGate 防火墙）  中国信息安全产业十大品牌企业  20xx20xx 中国防火墙市场创新产品奖  20xx 年度中国信息安全值得信赖品牌奖  20xx20xx 中国防火墙市场创新产品  20xx 中国应用安全最佳行业产品奖  20xx 中国电脑商 500 强之供应商 100 强  20xx 年度最值得 CSO 信赖的行业安全解决方案（电子政务）  20xx 年中国值得 CSO 信赖的信息安全企业  为奥组委提供产品及服务方案 技术 层面： 网神 SecGate3600 防火墙具备业内最全面的 HA 技术，其基于路由的多机负载均衡技术领先于同行业防火墙产品，此项技术可以在保证硬件可用性的同时，保障传输链路的可靠性。 在某银行生产网的核心位置，网神在基于多机负载均衡技术的基础上，更创新性的开发了“动态路由 +HA”的扩展技术，实现了多达四台防火墙多主模式的异地自动冗余备份，达到业内最高的设备保障水平。 网神防火墙产品的可扩展性 在满足本项目安全目标的前提下，以不增加项目费用为目标，选择具有最佳扩展能力的产品。 网神在产品选型过程中充分考虑了产品的扩展能力。 网神防火墙设备采用了可扩展的硬件架构，通过增加产品接口等方式可以扩展设备整体性能，能够满足用户未来几年业务发展的需求。 网神防火墙设备支持冗余热插拔电源，有效保障设备自身的稳定、不间断运行。 中国农业科学院图书馆项目专用设备（网络安全设备、工作站、计算机终端）采购 项目（第 3 包） －投标书 中国电信集团系统集成有限责任公司 12 网神防火墙产品的可管理性及节能性 丰富、安全的管理方式 网神防火墙提供 Web 管理方式（通过网口）、 CLI 命令行管理方式（通过串口），同时还支持远程拨号（ PPP）管理方式。 上述三种管理方式是一直打开的。 另外，网神防火墙还提供通过 SSH 登录对防火墙以命令行方式进行远程管理的功能，此管理方式管理员有权进行添加和删除。 分级权限的安全管理 网神防火墙提供分级安全管理机制，系统分为超级管理员、配置管理员、策略管理员、审计管理员四个等级。 通过管理员身份认证（电子钥匙认证或证书认证）、管理主机限制、防火墙管理 IP 限制、防火墙管理方式定义（ Web 管理 /命令行管理 /SSH 方式 /PPP+SSH 连接）、配置信息加密（支持 SSL协议和 SSH 协议），提供方便且安全的配置管理。 采用三权分立设计，满足合规性要求。 超级管理员只能增加其他管理员账号，配置管理员只能进行设备的配置管理，日志管理员只能查看其他管理员操作的日志。 通过三权分立的设计，防 火墙完全等级保护的合规性的要求。 完善的系统升级 随着技术的飞速发展和安全需求的不断延伸，网神防火墙会适时地进行软件版本升级。 防火墙的软件升级直接通过管理界面进行，用户只需选择新的升级软件包并重启防火墙即可方便地完成软件升级。 系统配置的导入导出 网神防火墙的导入导出功能便于管理员对整个防火墙的配置进行备份，在需要的时候，可以离线调整后，重新导入防火墙即可即时生效。 导出的配置信息可 中国农业科学院图书馆项目专用设备（网络安全设备、工作站、计算机终端）采购 项目（第 3 包） －投标书 中国电信集团系统集成有限责任公司 13 以保存在管理主机上做备份，导出的文件格式可以选择加密或不加密。 启明星辰天清入侵防御系统的技术先进性 天清入侵防御 系统 采用了独创 式的柔性化检测机制，综合了基于攻击原理和基于攻击特征的两种检测手法，既扩大了攻击检测的覆盖面，又保障了检测的精确度。 柔性化检测机制包括如下专有技术： 在攻击前期： 抗躲避检测 —— 采用载体还原技术，重新组合攻击会话，可以发现那些割裂攻击会话攻击企图。 拟态识别 —— 采用过程再现技术，模拟目标环境实现攻击语言解析，可以发现那些企图以多变 shell 或字符替换方式进行的攻击企图。 在攻击分析阶段： 多因子协议识别 —— 在识别网络数据的协议时，并不单纯采用 RFC 的端口标准规范，而是综合协议指纹技术，融合协议的常见字段、参 数和惯用用法，对没有采用常规端口的协议进行准确识别。 协议伺服器 —— 支持随时添加对新型协议的支持，而不影响原有协议识别机制。 在攻击判定阶段： 会话内和会话间的时序关联 —— 有一些攻击事件可能并不是一个会话，而是由多个会话组合，这就要求检测设备可以将多个会话关联起来分析。 多个参数组合判断事件 —— 对于一些复杂的事件，需要组合多个逻辑参数变量进行判断，任何一个单一变量都不是攻击，但多个组合在一起，就形成完整的攻击。 基于漏洞机理的判断机制 —— 对某一个漏洞而言，可能会存在上百种攻击方法，无需为每一种新的攻击变种定 制单独的检测规则，而是针对漏洞的攻击机理进行分析，不论是什么变种，都可以及时发现。 上述技术综合起来，确保了天清入侵防御产品的最大产品特点：精确阻断。 作为串行接入的防御产品，如果没有确保精确阻断这一核心，就有可能阻断正常业务，使得所有的保护和防御措施都失去意义。 中国农业科学院图书馆项目专用设备（网络安全设备、工作站、计算机终端）采购 项目（第 3 包） －投标书 中国电信集团系统集成有限责任公司 14 启明星辰在天清入侵防御产品的技术研究上进行了充分的考虑，结合入侵防御产品的发展方向和核心，将技术研究的重点聚焦在对应用业务的深层防御上，特别是针对目前普及最为广泛的 Web 业务的威胁防御能力，更是达到国际领先水平。 据 OWASP（ Open Web Application Security Project）的报告称，当前 Web 业务面临的最大威胁就是 SQL 注入和 XSS（跨站脚本攻击）。 这两种攻击的都是利用了网站页面的脚本编写不完善，导致攻击者可以提交精心构。