启明星辰全产品线介绍全解教案资料.ppt

《启明星辰全产品线介绍全解教案资料.ppt》由会员分享，可在线阅读，更多相关《启明星辰全产品线介绍全解教案资料.ppt（42页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1产品产品(chnpn)(chnpn)管理中心管理中心第一页，共42页。各产品应用定位各产品应用定位 专业化安全产品发展之路专业化安全产品发展之路第二页，共42页。3引领安全引领安全(nqun)(nqun)趋势的产品家族趋势的产品家族安全安全(nqun)网关类网关类威胁威胁(wixi)管理类管理类应用监管类应用监管类安全工具类安全工具类天清汉马 统一安全网关天阗 入侵检测系统天清 入侵防御系统天玥 合规性审计系统天镜 脆弱性评估系统泰合 安全管理平台天珣 内网安全管理系统强化风险控制强化风险管理NDP100 NDP200 NDP800 NDP1000 NDP2000NS100 NS200 NS

2、500 NS1500 NS2200 NS2800USG-300B USG-600 USG-800 USG-2000C USG-3600CCA300 CA500 CA2300 CA2800软件版便携版硬件版ZSOC 4ASOC ASOC TSOC MSOC低端低端高端高端CCE-BM泰合平台泰合平台CCE-ACCCE-DMCCE-MSCCE-TM第三页，共42页。4安全(nqun)产品怎么定位？可定义可定义不可不可(bk)(bk)定义定义可定义可定义不可不可(bk)(bk)定义定义可确定可确定不可确定不可确定不安全因素分而治之不安全因素分而治之控制控制管理管理合规合规止损止损以默认可信为出发点以

3、默认可信为出发点以默认不可信为出发点以默认不可信为出发点第四页，共42页。5IDSIDS基于(jy)纵深防御，看安全产品应用定位Internet办公办公(bn gng)网络网络生产生产(shngchn)网络网络WEBWEB服务器服务器天玥天玥II IIUSGUSGN-IPSN-IPS服务器扫描服务器扫描关键业务系统关键业务系统天珣天珣天珣天珣天镜天镜WAGWAG边界域边界域控制控制互联域互联域管理管理核心计算域核心计算域止损止损支撑域支撑域合规合规安全域控制器安全域控制器高端高端USGUSG天珣天珣安星安星IDSIDS第五页，共42页。6UTM、IPS的区别(qbi)第六页，共42页。7IPS

4、市场需求划分(hu fn)与产品应对网络入侵(rqn)保护B/S服务器C/S服务器天清汉马天清汉马天清汉马天清汉马USGUSG覆盖覆盖覆盖覆盖(fgi)(fgi)天清天清天清天清IPSIPS覆盖覆盖覆盖覆盖保护需求不突出保护需求不突出保护需求不突出保护需求不突出服务器入侵保护聚焦网络入侵保护需求聚焦基于WEB业务入侵保护需求第七页，共42页。8天清汉马USG定位(dngwi)全面访问控制天清汉马天清汉马USG的产品定位的产品定位为外联边界提供为外联边界提供(tgng)应用级安全访问控制，过滤网络病毒、网应用级安全访问控制，过滤网络病毒、网络入侵、非法应用、非授权访问、恶意流量等；络入侵、非法应

5、用、非授权访问、恶意流量等；解决企业级解决企业级VPN接入服务、终端准入控制服务；接入服务、终端准入控制服务；USG产品系列型号，满足产品系列型号，满足100M4G边界处理性能，能适应小企业边界处理性能，能适应小企业级到电信级应用；级到电信级应用；提供提供(tgng)事件库持续的升级服务；事件库持续的升级服务；型号型号(xngho)覆中小企业至电信级覆中小企业至电信级定位于外联网络边界定位于外联网络边界实现应用级访问控制实现应用级访问控制未来发展：性能提升，跨界组合第八页，共42页。9天清(tin qn)WIPS(NDP)产品定位WEB业务防御天清天清WIPS(WIPS(天清天清IPS NDP

6、IPS NDP系列系列)产品定位产品定位部署于部署于WEBWEB服务器前，精确阻断服务器前，精确阻断SQLSQL注入、跨站脚本等基于注入、跨站脚本等基于WEBWEB语法构建的入侵行语法构建的入侵行为为(xngwi)(xngwi)，降低，降低WEBWEB网站语法漏洞被利用的风险；网站语法漏洞被利用的风险；为入侵过程提供告警，提供入侵事件的分析依据，并实时阻断为入侵过程提供告警，提供入侵事件的分析依据，并实时阻断天清天清IPSIPS产品性能，可以覆盖产品性能，可以覆盖100M100M1000M1000M环境下的环境下的WEBWEB服务器前端。服务器前端。提供事件库持续的升级服务；提供事件库持续的升

7、级服务；精确精确(jngqu)阻断阻断SQL注入注入/跨站攻击跨站攻击InternetWEBWEB服务器服务器定位于定位于WEB服务器前端服务器前端NDP200NDP100NDP1000NDP2000覆盖百兆、千兆应用环境覆盖百兆、千兆应用环境未来发展：扩展DDOSXPATHSHELLCODE第九页，共42页。10天清NIPS定位(dngwi)弥补防火墙防御能力天清天清NIPS定位定位部署于防火墙外联接口的前端，弥补以防火墙、安全路由器等作为边界网关时入部署于防火墙外联接口的前端，弥补以防火墙、安全路由器等作为边界网关时入侵防御能力的不足，同事降低原有网关信息过滤的压力；侵防御能力的不足，同事

8、降低原有网关信息过滤的压力；对网络入侵提供对网络入侵提供(tgng)阻断和过滤能力，阻断和过滤能力，提供提供(tgng)应用级访问控制，降低原有防火墙访问控制方面压力；应用级访问控制，降低原有防火墙访问控制方面压力；提供提供(tgng)事件库持续的升级服务；事件库持续的升级服务；Internet办公网络办公网络防火墙防火墙定位于定位于(wiy)防火墙网关前端防火墙网关前端覆盖百兆、千兆应用环境覆盖百兆、千兆应用环境天清天清NIPS弥补防火墙入侵防御不足弥补防火墙入侵防御不足第十页，共42页。11IDS与IPS的区别(qbi)第十一页，共42页。12IPS是深层防御、IDS是全面(qunmin)

9、检测部署目标部署目标强化风险强化风险(fngxin)管理能管理能力力及时了解安全状况及时了解安全状况为改善风险为改善风险(fngxin)控制控制环境提供决策依据环境提供决策依据部署目标部署目标强化风险控制强化风险控制降低降低(jingd)风险风险进一步优化风险控制进一步优化风险控制环境环境检测与监控设施防护与控制设施审计系统审计系统 漏洞扫描漏洞扫描 入侵检测入侵检测IDS 监监控控平平台台 接入控制接入控制 防火墙防火墙 入侵防御入侵防御IPS P.D.R一个都不能少部署目标决定了部署目标决定了部署目标决定了部署目标决定了IPSIPSIPSIPS、IDSIDSIDSIDS各自的定位各自的定位

10、各自的定位各自的定位可以有可疑行为需要人工分析要求精确对人工分析无要求第十二页，共42页。13天阗IDS定位威胁(wixi)态势量化分析天阗天阗IDS定位定位旁路部署于互联网关口、威胁传播关键旁路部署于互联网关口、威胁传播关键(gunjin)路径，用于分析威胁蔓延路径，用于分析威胁蔓延态势，定位威胁，科学指导事件处理，衡量防御体系的效果；态势，定位威胁，科学指导事件处理，衡量防御体系的效果；涵盖国内最权威的入侵事件库，支持深度事件自定义；涵盖国内最权威的入侵事件库，支持深度事件自定义；基于分级管理的规模部署模式，实现对互联域的全局检测；基于分级管理的规模部署模式，实现对互联域的全局检测；提供事

11、件库持续的升级服务；提供事件库持续的升级服务；Internet办公网络办公网络网关网关定位于定位于(wiy)关键威胁路径入侵检测关键威胁路径入侵检测覆盖百兆、多千兆应用环境覆盖百兆、多千兆应用环境NIDS分析威胁态势，管理威胁分析威胁态势，管理威胁未来发展：安全基线的呈现效果，将事件数量减少第十三页，共42页。14其它(qt)产品作用第十四页，共42页。15天玥定位(dngwi)业务合规审计天玥网络安全审计定位天玥网络安全审计定位旁路部署于关键业务路径服务侧，通过设定违规的审计策略匹配业务违规行为，旁路部署于关键业务路径服务侧，通过设定违规的审计策略匹配业务违规行为，并进行记录行为过程和阻断，

12、记录的结果可作为事后取证；并进行记录行为过程和阻断，记录的结果可作为事后取证；促进业务内控管理效率，确保计算环境域关键业务安全合规运营；促进业务内控管理效率，确保计算环境域关键业务安全合规运营；避免企业避免企业IT运营事故与法律风险；运营事故与法律风险；提供丰富的业务违规审计策略，可细粒度自定义策略匹配违规操作；提供丰富的业务违规审计策略，可细粒度自定义策略匹配违规操作；提供高速提供高速T级大容量存储级大容量存储(cn ch)，满足电信级应用，满足电信级应用支撑网络支撑网络定位于关键业务操作定位于关键业务操作(cozu)行为审计行为审计覆盖百兆、千兆应用环境覆盖百兆、千兆应用环境天玥网络安全审

13、计天玥网络安全审计记录记录/阻断违规行为，事后取证阻断违规行为，事后取证数据库未来发展：三层关联，看到结果，知道过程第十五页，共42页。16天珣定位终端(zhn dun)合规 内网安全天珣内网安全产品定位天珣内网安全产品定位部署于企业办公终端，实现企业终端统一管理。避免终端违规应用；部署于企业办公终端，实现企业终端统一管理。避免终端违规应用；自动化推送式部署：满足大规模部署。具备数十万点部署经验；自动化推送式部署：满足大规模部署。具备数十万点部署经验；多层准入控制机制：从源头上避免企业敏感信息被非法访问；多层准入控制机制：从源头上避免企业敏感信息被非法访问；桌面合规管理：避免终端资产桌面合规管

14、理：避免终端资产(zchn)滥用，影响企业内网安全性；滥用，影响企业内网安全性；终端泄密控制：解决终端数据泄密问题，保护关键信息资产终端泄密控制：解决终端数据泄密问题，保护关键信息资产(zchn)。终端审计：确保终端审计：确保100%的终端接受监督，促进内网安全状况持续改善。的终端接受监督，促进内网安全状况持续改善。易用：对终端系统资源占用小，管理配置操作简单。易用：对终端系统资源占用小，管理配置操作简单。定位于定位于(wiy)企业终端统一安全管理企业终端统一安全管理满足大规模部署环境满足大规模部署环境天珣客户端天珣客户端实现终端合规，促进内网安全实现终端合规，促进内网安全终端安全控制终端安全

15、控制终端准入控制终端准入控制桌面合规管理桌面合规管理终端泄密控制终端泄密控制终端审计终端审计策略网关策略服务器办公网络办公网络第十六页，共42页。17Internet天镜(tin jn)、安星定位脆弱性评估安星产品定位安星产品定位对对WEB网站的脆弱性检测，提供网站的脆弱性检测，提供WEB网站漏洞报告、被挂马报告等；网站漏洞报告、被挂马报告等；及时预知及时预知WEB网站安全状况，利于安全加固与改造，避免网站漏洞被利网站安全状况，利于安全加固与改造，避免网站漏洞被利用导致敏感信息被窃取；用导致敏感信息被窃取；天镜天镜(tin jn)产品定位产品定位对企业主机、终端进行扫描，提供可视化的脆弱性评估

16、报告；对企业主机、终端进行扫描，提供可视化的脆弱性评估报告；了解企业整体脆弱性状况，便于统一治理与加固；了解企业整体脆弱性状况，便于统一治理与加固；指导企业对终端安全状态进行改进，并提供参考依据；指导企业对终端安全状态进行改进，并提供参考依据；定位于定位于(wiy)计算机系统脆弱性评估计算机系统脆弱性评估满足大规模部署环境满足大规模部署环境天镜天镜WEB业务脆弱性业务脆弱性/主机与终端脆弱性主机与终端脆弱性办公网络办公网络安星安星互联网站数据库Server终端WEB网站网站远程在线检查远程在线检查服务服务天镜天镜安星安星漏洞扫描系统漏洞扫描系统未来发展：扫描器准确度提高，硬件化网站检测系统第十

17、七页，共42页。18从安全(nqun)建设阶段看产品布局自我认知阶段自我认知阶段自我认知阶段自我认知阶段 了解面临了解面临了解面临了解面临(minlng)(minlng)(minlng)(minlng)的风险（威胁、弱点、价值）的风险（威胁、弱点、价值）的风险（威胁、弱点、价值）的风险（威胁、弱点、价值）基础改进阶段基础改进阶段基础改进阶段基础改进阶段(jidun)(jidun)(jidun)(jidun)根据资产价值治理控制环境（威胁、弱点）根据资产价值治理控制环境（威胁、弱点）根据资产价值治理控制环境（威胁、弱点）根据资产价值治理控制环境（威胁、弱点）合规管理阶段合规管理阶段合规管理阶段合

18、规管理阶段 定义业务内控流程，加强合规管理定义业务内控流程，加强合规管理定义业务内控流程，加强合规管理定义业务内控流程，加强合规管理安全运营阶段安全运营阶段安全运营阶段安全运营阶段 IT IT IT IT风险集中管理与监控风险集中管理与监控风险集中管理与监控风险集中管理与监控自行驱动自行驱动自行驱动自行驱动/突发事件驱动突发事件驱动突发事件驱动突发事件驱动IDS/安全工具/服务安全网关/IPS应用监管/审计利用各种措施形成闭环泰合平台天阗IDS天玥天珣天清IPS天镜USG泰合SOC看问题看问题定目标定目标促管理促管理建体系建体系第十八页，共42页。各产品应用定位各产品应用定位 专业化安全产品发

19、展之路专业化安全产品发展之路第十九页，共42页。20安全产品总体趋势(qsh)与发展方向安全目标更具体、产品定位更清晰、防御安全目标更具体、产品定位更清晰、防御(fngy)更有更有效效在不可信的网络世界中，建立纵深防御在不可信的网络世界中，建立纵深防御(fngy)体系的体系的需要需要产品融入专业服务，逐渐由产品融入专业服务，逐渐由“冷冷”变变“热热”安全变得简单，安全成为服务，服务成就安全安全变得简单，安全成为服务，服务成就安全向结构性安全演进，向结构性安全演进，“跨界跨界”组合成为必然组合成为必然保障业务安全、实现主体防御保障业务安全、实现主体防御(fngy)、构建可信网络、构建可信网络世界

20、的必经阶段世界的必经阶段第二十页，共42页。21你知道(zh do)那杯是有害的吗？威胁(wixi)未知？防御目标未知？面对未知目标如何有效？面对未知目标如何有效？威胁威胁(wixi)源未知源未知保护目标未知保护目标未知三杯液体，哪杯有害？三杯液体，哪杯有害？你能判断吗？你能判断吗？威胁源未知？防御目标未知？你知道那杯是有害的吗？看得出哪杯有害吗？看得出哪杯有害吗？第二十一页，共42页。22你知道(zh do)那杯是有害的吗？威胁(wixi)已知，防御目标仍未知？面对未知目标如何面对未知目标如何(rh)有有效？效？威胁源已知威胁源已知酒精酒精水水硫酸硫酸但保护目标仍未知但保护目标仍未知哪杯有害

21、？你能判断吗？哪杯有害？你能判断吗？酒精、水、硫酸？酒精、水、硫酸？威胁源已知防御目标仍未知？你知道那杯是有害的吗？看得出哪杯有害吗？看得出哪杯有害吗？第二十二页，共42页。23你知道(zh do)那杯是有害的吗？目标明确，防御(fngy)才更有效目标具体，防御才有效；目标具体，防御才有效；目标明确，防御才明确；目标明确，防御才明确；目标不同，判断威胁的方式目标不同，判断威胁的方式也不同也不同如果保护目标是：植物如果保护目标是：植物(zhw)怎么检测有害？怎么检测有害？如果保护目标是：伤口如果保护目标是：伤口怎么检测有害？怎么检测有害？你知道那杯是有害的吗？看得出哪杯有害吗？看得出哪杯有害吗？

22、第二十三页，共42页。24IDSIDS纵深防御中，产品目标(mbio)明确、定位清晰Internet办公办公(bn gng)网络网络安星安星生产生产(shngchn)网络网络WEBWEB服务器服务器天玥天玥II IIWEBWEB服务器扫描服务器扫描USGUSGN-IPSN-IPS(USG)(USG)服务器扫描服务器扫描关键业务系统关键业务系统天珣天珣天珣天珣天镜天镜W-IPSW-IPS边界域边界域控制控制互联域互联域管理管理核心计算域核心计算域止损止损支撑域支撑域合规合规安全域控制器安全域控制器“门卫门卫”“保镖保镖”“巡警巡警”“督查督查”“纪检纪检”第二十四页，共42页。25为什么WIPS

23、能精确阻断(z dun)SQL注入攻击者WEB&数据库难以防范的SQL注入如何解决：语法攻击特征虽然千变万化，但天清IPS保护目标相对具体，可以(ky)模拟被保护目标（WEB业务、数据库），实现SQL注入的精确阻断；攻击(gngj)过程千变万化模拟目标校验结果有危害的丢弃没有危害的保留启明星辰VISD专利算法已应用于IPS产品第二十五页，共42页。26安全产品(chnpn)总体趋势与发展方向安全目标更具体、产品定位更清晰、防御更有效安全目标更具体、产品定位更清晰、防御更有效在不可信的网络世界中，建立纵深防御体系的需要在不可信的网络世界中，建立纵深防御体系的需要安全产品融入专业服务安全产品融入专

24、业服务(fw)，逐渐由，逐渐由“冷冷”变变“热热”安全变得简单，安全成为服务安全变得简单，安全成为服务(fw)，服务，服务(fw)成就安全成就安全向结构性安全演进，向结构性安全演进，“跨界跨界”组合成为必然组合成为必然保障业务安全、实现主体防御、构建可信网络世界的必经阶段保障业务安全、实现主体防御、构建可信网络世界的必经阶段第二十六页，共42页。27两个例子的对比(dub)后的反思安全安全(nqun)是动态的，本身充满了众多不确定性因素是动态的，本身充满了众多不确定性因素？两个例子的对比与反思两个例子的对比与反思导弹导弹炮弹炮弹炮弹：静态打击炮弹：静态打击发射后由风速、仰角等因素，决定落点无法

25、根据环境或目标的变化改变落点导弹：动态打击导弹：动态打击能随着环境或打击目标移动而自我调整二者本质区别：能否二者本质区别：能否二者本质区别：能否二者本质区别：能否(nn fu)(nn fu)应对目标的动态性和不确定性？应对目标的动态性和不确定性？应对目标的动态性和不确定性？应对目标的动态性和不确定性？第二十七页，共42页。28冷产品、热产品的定义冷产品、热产品的定义热产品：基于动态更新的环境信息，不断适应动态的安全热产品：基于动态更新的环境信息，不断适应动态的安全(nqun)需求需求冷产品：只解决相对静态的需求，不能随环境变化而变化冷产品：只解决相对静态的需求，不能随环境变化而变化安全安全(n

26、qun)产品由产品由“冷冷”变变“热热”源动力源动力安全安全(nqun)的动态性、不确定性的动态性、不确定性不确定性导致(dozh)安全产品由“冷”变“热”实时更新实时更新库信息库信息安全服务支撑团队安全服务支撑团队非法入侵者非法入侵者/组织组织出现出现威胁威胁A研究特征研究特征和原理和原理明确应对明确应对方法方法解决解决威胁威胁A躲避防御躲避防御而演变而演变演变出新演变出新威胁威胁B热产品热产品 VS 威胁的动态性、不确定性威胁的动态性、不确定性那就不需要那就不需要“热产品热产品(chnpn)”所包含的这部分所包含的这部分如果，威胁不存在动态性或不确定性如果，威胁不存在动态性或不确定性如果威

27、胁是确定的、静态不变的如果威胁是确定的、静态不变的那么那么“冷产品冷产品”就可以解决问题就可以解决问题可是，事实并非如此！可是，事实并非如此！第二十八页，共42页。29专业安全厂家(chn ji)的“热产品”安全产品与专业的后援支撑服务结合，共同应对动态性和不确定性安全产品与专业的后援支撑服务结合，共同应对动态性和不确定性漏洞研究、威胁研究、法律法规研究的成果，成为产品适应环境的基础漏洞研究、威胁研究、法律法规研究的成果，成为产品适应环境的基础产品通过动态信息库的不断更新，完成产品通过动态信息库的不断更新，完成(wn chng)自我调整，以达到持续安自我调整，以达到持续安全目的全目的通过专业通

28、过专业(zhuny)后援支撑团队不断研究后援支撑团队不断研究使产品不断更新库信息，实现持续性的安全保障使产品不断更新库信息，实现持续性的安全保障各种信息库各种信息库第二十九页，共42页。30天清天清(tin qn)IPS(tin qn)IPS产品产品天清天清IPSIPS：一个：一个(y)“(y)“热热”产品的背后产品的背后研究漏洞机理(j l)研究新攻击特征研究攻击躲避机理设计抗躲避机制/算法发现新漏洞A AD DLABLABTMTMMicrosoftMicrosoft相关软件厂家相关软件厂家相关软件厂家相关软件厂家CVECNCVECERTCNCERT/CC披露信息安全事件M2S-M2S-远程

29、监控远程监控远程监控远程监控攻击特征无法精确定义客户客户客户客户/其它厂家其它厂家其它厂家其它厂家披露漏洞产品研发产品研发列入产品可升级事件库实现精确阻断攻击基于攻击躲避机理的精确识别程序包在线升级引擎，加载新算法实现精确阻断攻击攻击特征可被精确定义信息安全信息安全博士后工作站博士后工作站人人/组织组织资源使命价值图例图例开放源代码研究安全的不确定性研究安全的不确定性找出环境信息的变化的要素和规律找出环境信息的变化的要素和规律实时更新安全产品的环境信息实时更新安全产品的环境信息实现精确打击实现精确打击第三十页，共42页。31安星：一个“热”产品(chnpn)的背后二级检查(jinch)：除误报

30、三级检查(jinch)：人工验证一级检查：渗透看异常准确网站漏洞报告WEB网站网站用户用户修补漏洞修补漏洞应付应付WEB网页挂马、网站各种动态的漏洞网页挂马、网站各种动态的漏洞一个热产品的背后一个热产品的背后第三十一页，共42页。32冷产品与热产品几个(j)举例冷产品（应对静态需求）热产品（应对动态和不确定的需求）路由器、交换机、防火墙自主UTM（专业后援团队保障）开源IDS（开源库）自主IDS（专业后援团队保障）开源IPS（开源库）自主IPS（专业后援团队保障）防病毒（开源库）自主防病毒（专业后援团队保障）网页防篡改网站漏洞扫描（后援团队保障）冷产品（应对静态需求）热产品（应对动态和不确定的

31、需求）汽车各种安全系统汽车保险（保险机构保障）炮弹导弹（制导系统保障）第三十二页，共42页。33小结(xioji)：为什么安全产品要逐渐变热安全是动态的，存在大量的不确定性；安全是动态的，存在大量的不确定性；促使安全产品由冷变热促使安全产品由冷变热防火墙防火墙UTM“热热”产品能更快速的适应环境的变化产品能更快速的适应环境的变化动态的安全需求，有动态的专业的安全后援团队动态的安全需求，有动态的专业的安全后援团队“热热”产品使安全变得更简单产品使安全变得更简单用炮弹打击动态的目标，对于用炮弹打击动态的目标，对于(duy)使用者将是一件复杂使用者将是一件复杂的事情的事情用导弹打击动态目标，却很简单

32、，甚至不需要瞄准用导弹打击动态目标，却很简单，甚至不需要瞄准第三十三页，共42页。34安全产品(chnpn)总体趋势与发展方向安全目标更具体、产品定位更清晰、防御更有效安全目标更具体、产品定位更清晰、防御更有效在不可信的网络在不可信的网络(wnglu)世界中，建立纵深防御体系的需要世界中，建立纵深防御体系的需要产品融入专业服务，逐渐由产品融入专业服务，逐渐由“冷冷”变变“热热”安全变得简单，安全成为服务，服务成就安全安全变得简单，安全成为服务，服务成就安全向结构性安全演进，向结构性安全演进，“跨界跨界”组合成为必然组合成为必然保障业务安全、实现主体防御、构建可信网络保障业务安全、实现主体防御、

33、构建可信网络(wnglu)世界的世界的必经阶段必经阶段第三十四页，共42页。35什么是结构(jigu)安全什么是结构安全什么是结构安全一个结构物的任何剖面上，其应力小于强度的表征一个结构物的任何剖面上，其应力小于强度的表征为什么要结构安全为什么要结构安全不会因为局部损失，导致危害全局不会因为局部损失，导致危害全局在各种不确定性因素下，能达到最佳的安全状态在各种不确定性因素下，能达到最佳的安全状态结构安全怎么做？结构安全怎么做？产品怎样发展，满足结构安全的需要？产品怎样发展，满足结构安全的需要？有很多方法，例如参考有很多方法，例如参考PDR就是一种结构安全思想的体现就是一种结构安全思想的体现(t

34、xin)；结构安全是我们的目标结构安全是我们的目标第三十五页，共42页。36每个产品都有自己(zj)的界限每个产品都有自己定位，它们之间往往每个产品都有自己定位，它们之间往往(wngwng)是是互补关系；互补关系；目标都是为了保障整体安全目标都是为了保障整体安全安全产品有界，但安全需求是无界的安全产品有界，但安全需求是无界的防火墙防火墙终端终端(zhn dun)安全安全UTM网络审计网络审计IPSIDS第三十六页，共42页。37未来(wili)安全产品将围绕跨界需求整合目前已有几个跨界的先例目前已有几个跨界的先例准入控制，将网络与终端准入控制，将网络与终端(zhn dun)安全，整合应用，协同

35、实现整体安安全，整合应用，协同实现整体安全目标全目标UTM将将FW、VPN、IPS、AV整合整合未来安全产品的发展目标，促进结构性安全未来安全产品的发展目标，促进结构性安全安全产品之间的紧密协同，优势互补安全产品之间的紧密协同，优势互补面向业务安全融合，产品跨界组合面向业务安全融合，产品跨界组合整合的例子整合的例子终端终端(zhn dun)安全与安全网关的整合，面向主体的可信访问控制安全与安全网关的整合，面向主体的可信访问控制WIPS与网站安全服务整合，完整的网站安全措施与网站安全服务整合，完整的网站安全措施终端终端(zhn dun)审计与网络审计的整合，可精确溯源的强审计审计与网络审计的整合

36、，可精确溯源的强审计IDS与资产管理整合，有效呈现全局威胁态势与资产管理整合，有效呈现全局威胁态势第三十七页，共42页。38网关与终端安全(nqun)的跨界组合实体组合实现跨界应用实体组合实现跨界应用2009年年Q2发布发布USG增加增加(zngji)内网安全功能，将内网安全功能，将UTM的访问控制延伸到终端的访问控制延伸到终端安全网关中内嵌终端安全客户端，结合网络认证，实现便捷的一体化、自动化部署安全网关中内嵌终端安全客户端，结合网络认证，实现便捷的一体化、自动化部署访问控制延伸到终端，网络访问控制能力可提升到对主机进程的访问控制；访问控制延伸到终端，网络访问控制能力可提升到对主机进程的访问

37、控制；天珣 策略服务器网络安全网关便捷部署(b sh)终端安全客户端便捷部署终端安全客户端Internet内联网自动同步终端安全策略USGUSG配置界面配置界面 病毒防御病毒防御 入侵防御入侵防御 内网安全内网安全(v3.0(v3.0新增新增)终端经过USG网关访问其它IT资源终端未通过安全验证拒绝访问网络请点击“安装”天珣客户端例如：BT进程访问控制禁止终端运行迅雷软件或流量不能超过10K例如：准安全域控制器非指定程序，不能访问XX安全域中的服务或业务第三十八页，共42页。39生产(shngchn)终端安全(nqun)网关天珣终端安全(nqun)强准入控制外联业务(yw)服务生产网络内联业务

38、服务数据中心生产终端办公终端办公网络外联网络运维终端DMZ存储/备份系统漏洞防WEB业务入侵系统漏洞防系统入侵DB违规操作远程接入访问防病毒接入控制文档防护终端审计终端维护终端漏洞接入控制防违规操作终端维护运维过程审计命令级控制业务违规操作业务违规操作DB防入侵非法外联入侵检测防网络入侵网络访问控制网络访问控制防资源滥用防资源滥用互联网行为监管防网络病毒防系统入侵远程终端管理/监控平台信息采集资产管理灾难备份数据恢复防WEB业务入侵数据防盗身份鉴别防网络入侵业务访问控制二次身份鉴别二次身份鉴别二次身份鉴别USG天珣USGUSGWEB业务漏洞天珣！天珣天珣！天珣天珣天珣！USGUSGUSGUSG

39、USGUSG账户管理DB漏洞IT管理网络Internet外部业务服务(托管)远程接入日志管理USG-C天珣威胁管理漏洞管理网元管理审计管理远程操作强认证SSO系统漏洞防系统入侵业务违规操作防WEB业务入侵WEB业务漏洞网络访问控制USG可信主体可信主体访问接入访问接入网络地址可信网络地址可信主体状态可信主体状态可信行为可信行为可信实现基于可信主体的访问控制实现基于可信主体的访问控制阻止阻止不可信主不可信主体访问体访问第三十九页，共42页。40网站(wn zhn)安全360 网站(wn zhn)安全360120120天清(tin qn)IPSWEB网站入侵防护（P）安星服务远程网站漏洞检查远程网

40、页挂马检查（D）M2S、ADLAB、网页篡改恢复网页安全修复应急响应服务（R）120120120120天清IPS入侵防御P网页安全修复R响应防御安星-网站安全检查D检测基于结构性安全思想应用的一个体现基于结构性安全思想应用的一个体现第四十页，共42页。41跨产品界组合(zh)形式的演进LV1（松耦合）：目前最多的形式（松耦合）：目前最多的形式每个产品维持独立的每个产品维持独立的WEB控制台控制台LV2（紧耦合）：组合技术壁垒较高（紧耦合）：组合技术壁垒较高以一个产品的以一个产品的WEB控制台为主，集成其控制台为主，集成其他产品的他产品的WEB控制界面控制界面LV3（面向（面向(min xin)业务需求），形业务需求），形成新产品形态成新产品形态面向面向(min xin)用户业务，独立的用户业务，独立的WEB控制台，同时配置多个产品上的策略控制台，同时配置多个产品上的策略产品A产品BWeb控制台Web控制台联动产品A产品BWeb控制台配置产品A产品BWeb控制台配置配置逐逐步步(zhb)深深入入第四十一页，共42页。42领领领领 航航航航 信信信信 息息息息 安安安安 全全全全谢谢谢谢谢谢谢谢(xi(xi xie)xie)！第四十二页，共42页。