|
序号
|
产品
|
功能描述
|
|
1
|
互联网防火墙服务
|
1.通过平台内置的碎片重组、协议分析和特征匹配等技术对所流经的所有互联网流量进行深度分析过滤。
|
|
2.通过平台内置的应用感控技术,能有效识别互联网流量中的各类应用,如QQ、微信、炒股软件和在线游戏等。通过对应用流量的分类,能有效从边界对应用进行控制。
|
|
3.通过平台内置的抗DDOS攻击技术,能有效辨识阻断互联网边界流量中的拒绝服务攻击流量。
|
|
4.通过平台内置的QOS流量控制技术,能够按照不同的用户、应用、地址和时间等,设置带宽限制、带宽保障、每IP带宽等等
|
|
5.通过平台内置的IP-MAC绑定功能,实现网内IP地址和MAC地址的绑定。可以实现对问题主机的有效溯源。
|
|
6.通过部署平台系统,满足等级保护中的访问控制要求,应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出。
|
|
2
|
业务专网防火墙服务
|
1.通过平台内置的碎片重组、协议分析和特征匹配等技术对所流经的业务专网边界流量进行深度分析过滤。
|
|
2.通过平台内置的抗DDOS攻击技术,能有效辨识阻断业务专网边界流量中的拒绝服务攻击流量。
|
|
3.通过平台内置的QOS流量控制技术,能够按照不同的用户、应用、地址和时间等,设置带宽限制、带宽保障、每IP带宽等等
|
|
4.通过平台内置的IP-MAC绑定功能,实现业务专网IP地址和MAC地址的绑定。可以实现对问题主机的有效溯源。
|
|
5.通过部署平台系统,满足等级保护中的访问控制要求,应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出。
|
|
3
|
杀毒软件
|
1.通过信创杀毒软件所配备的多引擎联合检测查杀技术及主动防御技术,能够对已知、未知病毒、木马、恶意程序等进行检测、清除。宏病毒专杀引擎,可以解析办公软件所有常用版本的文档,处理被感染的文档,将恶意代码清除而保留正常文档。
|
|
2.信创杀毒软件支持国产操作系统,如中标麒麟、银河麒麟、中科方德、统信UOS、凝思磐石等;同时支持主流国产化硬件(龙芯、飞腾、兆芯、申威等)以及X86 CPU。
|
|
3.通过信创杀毒软件中的全网统一监控管理功能,能针对局域网所有终端进行统一监测,实时展示专网内所有终端的安全概况,威胁趋势等,方便进行统一管理。
|
|
4.通过部署信创杀毒软件,满足等级保护中的恶意代码防范要求,应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
|
|
4
|
维保服务
|
1.提供三年期维保服务,包括同代软件版本升级服务。
2.出现应急事件,我公司提供电话响应服务、远程网络接入响应服务、现场应急响应服务等多种响应方式,帮助客户解决问题。
3.运维支持,提供日常运维技术支持服务及运维服务,服务内容包括:平台设备运行情况,检查、更新版本,优化安全事件策略,备份日志数据库等等。
4.软件升级,提供事件库和软件版本的升级服务。
5.设备优化,定期对系统进行策略检查,合并并优化策略等等。
6.设备出现故障我单位负责对项目的设备进行维修更换,更换。
7.设备巡检,提供定期巡检服务,并提供详细的巡检报告。
|
一、防火墙服务
1平台描述
依据等级保护要求中网络和通信安全相关安全要求,边界访问控制防护需要通过在网络区域边界部署专业的安全平台服务,并配置细颗粒度的基于地址、协议和端口级的访问控制策略,实现对区域边界信息内容的过滤和访问控制,同时利用所配备的入侵防御模块,实现对网络中深层攻击行为进行准确的分析判断,在判定为攻击行为后立即予以阻断,主动而有效的保护网络的安全。
2系统架构
传统的安全系统报文处理流程中,多个功能模块往往是串行的关系,每个模块的处理相对独立,或者只共享少量的信息。这样做的好处是每个模块的实现相对简单,降低了开发的技术难度。但是各个模块重复解析,有的还存在报文多次拷贝,降低了处理性能。更重要的是多个模块之间缺乏逻辑上的一致性导致难以综合所有信息进行高级策略管理和行为分析。
平台采用了一体化报文处理引擎完成报文的统一解析。引擎首先分析用户配置的各项功能,决定进行哪些分析,随后一次性对二至七层所有需要进行解析的内容进行统一处理,并将结果一并送至策略控制模块。策略控制模块依据这些解析结果,匹配用户配置的策略进行报文的后续处理。
一体化报文处理引擎配合智能分流器,在单个处理核的处理进程上完成从报文接收、报文解析、策略控制、报文发送的所有工作。一次解析,统一处理,避免了多模块、多进程之间的重复工作和报文拷贝。在策略统一处理时,还可基于用户策略、应用策略、安全策略等,进行更高层次的抽象,制定基于基础策略的高级策略。
3功能设计
(一)七元组访问控制
以源地址、目的地址、源端口(源安全域)、目的端口(目的安全域)、服务类型、APP类型及用户为参数的访问许可控制;
(二)七元组会话控制
以源地址、目的地址、源端口(源安全域)、服务类型、APP类型及用户为参数的会话许可控制:总新建连接速率/总连接数、每源IP新建连接速率/每源IP总连接数、每目的IP新建连接速率/每目的IP总连接数
(三)应用行为控制
深入APP或各类网络协议的细节参数,实现精细的网络行为管理和日志记录;并对上网行为管理信息进行存储管理,提供日常审计功能。
(四)带宽及QoS控制:
以源地址、目的地址、服务类型、APP类型及用户为参数的多层管道嵌套式流量及QoS控制。
平台支持领先的入侵防御技术和病毒过滤功能。产品采用了多种专利技术和创新技术,为客户提供最高可达数百G流量的入侵防御及防病毒性能。
(五)基于一次标签匹配的病毒及入侵综合匹配技术
平台基于标签的融合式综合匹配技术在结构上最大限度地融合了存在冗余功能的模块,从而避免了重复的数据还原、分析过程。同时将相关的特征码加上标签,输入同一个特征匹配器——融合式综合匹配器,融合后的过滤模块对输入的数据只匹配一次,匹配到关键字后,根据相应关键字的标签选择报警/响应方式。这一步避免了对同一数据流进行重复匹配过滤的操作。
(六)多维度网络状态可视化呈现
网络状态的可视化呈现(也称为安全可视化)技术,是支撑日常运维工作的核心技术之一。通过有效的可视化呈现,安全管理者可一目了然地观察到网络的现状从而做出有效的针对性策略,来确保核心业务的安全可靠运行。
在产品中,提供了领先的多维度的安全可视化呈现。
(七)SDWAN软件定义广域网
集成了领先的软件定义广域网技术,可实现关键业务的智能选路、广域网加速及访问优化。
基于链路质量的实时选择,传统链路选择只能根据链路带宽、通断等情况,做静态的选择,这并不符合网络链路的实际情况,T系列可以实时监控每个应用在每条链路的运行情况,根据业务在当前链路的丢包率,延迟,抖动作为参考,设置一个链路质量分配算法,使关键应用优先选择质量最佳链路,当链路质量发生变化时,可以实时调整应用使用的链路,最大限度地减少链路瓶颈和拥塞的能力。用户还可以通过监视器,实时查看链路质量,分析网络延迟产生的原因。真正做到对网络情况的可视化。
二、杀毒软件服务
1
方案描述
计算机病毒是系统安全中需要防范的风险,病毒可以导致中心平台服务拒绝、破坏数据,甚至使平台服务器系统完全瘫痪。因此此次需在服务器、终端上安装终端防病毒系统,实现对病毒行为进行深度分析,智能实时检测、监控、拦截各种病毒行为,对恶意代码进行有效防护,满足病毒防护的需求。
2
系统架构
1)中控平台
由管控平台、升级服务组成中控平台,它是杀毒体系中负责威胁管理和病毒防护的控制核心。中控平台可以实时记录防护体系中每台终端上的病毒相关情报,并能够根据用户环境和使用习惯来设置终端防护策略。
2)客户端
网络防病毒系统客户端,其主要功能是对内网中的终端群提供反病毒安全防护,监控用户风险行为,接收并执行管理端策略,及时清除病毒威胁。客户端反病毒能力主要体现在多核引擎:包括狩猎者引擎V-Hunter、人工智能启发式引擎Matrix,引擎以更轻、更快、更准为首要研究方向,在降低用户终端资源消耗同时,能使病毒查杀更加精准。另外在动态防御能力上,不但能够提供主动防御功能,而且还能够提供MAD多步主防技术,能够有效拦截风险进程的混合多步行为,比传统的根据简单的单步行为规则来做监控的主防技术捕获风险能力更强。同时客户端也提供系统修复功能以及漏洞修复补丁,让用户的操作系统更安全,更坚固。
3功能设计
(一)多引擎联合检测技术
采用高效的引擎融合框架,将多款自研引擎进行关联,集中每款引擎的优势能力对样本做出全方位的联合鉴定,可有效减少终端资源消耗,提升反病毒系统查杀速度和精度。
Ø
高速缓存:高速缓存技术是传统I/O读写速度的20倍,可以存储本地高频黑白名单,对给定对象进行查杀先进行缓存检索,能有效提高整体查杀速度。
Ø
私有云引擎:对于给定对象在缓存中没有命中,则进行云查。私有云引擎包括哈希云和MDC,仅需提取很小的样本特征上传即可,网络压力小。云端的检出率在99.8%以上。
(二)狩猎者引擎 V-Hunter
V-Hunter 摒弃传统特征码技术,使用自研的广谱匹配法,采用高压缩比算法,自身病毒库体积比传统病毒库减少百倍以上,同时每条特征均包含家族式病毒DNA,使特征更具通杀性。
PS多模引擎:传统引擎是基于文件偏移加特征来分析样本的黑白属性,这样也会导致病毒库越来越大,响应速度慢,新病毒需要通过高频病毒库更新来解决;通过对海量样本的分析,研发出PS多模引擎。采用广谱匹配法,实现了短小、抗免杀、能力超强的识别模式技术突破,解决了传统杀软特征数据冗余,抗免杀能力弱的识别技术,并且通过高压缩比压缩算法,将多种特征一次检索,大幅提升查杀速度,同时让病毒库体积压缩数百倍。
OLE宏病毒专杀引擎:可以准确的解析office所有常用版本的文档,从中抽取出宏脚本。配合多态扫描引擎,快速、准确的查出各种宏病毒。如若病毒使用加密方式(如base64)加密,引擎也可以尽量解密,从而加大查出率。针对宏病毒的清除,反病毒引擎提供了丰富的操作office文档的接口,可以细致的处理被感染的文档,将恶意代码清除而保留正常文档。清除操作的粒度可以到清除excel公式、宏脚本中某个函数等。
(三)多步主防技术MAD
基于MAD(Multi-step active defense)多步行为判断的主动防御技术,能够根据样本一系列的行为特征来进行综合的风险判定。传统主防在判断进程安全性时仅判断一次且并不连贯,所以在一些病毒体存在组合行为的情况下是无法发现并拦截的。且在发现异常的时候会交由用户手工处理,频繁弹窗询问用户。极大的影响了用户体验。MAD的监控和判断能力由病毒鉴定中心和大数据训练集群支持,对于动态行为的分析,MAD利用RNN算法的特性,将进程的某一个时刻的行为只与它下一个时刻的行为进行关联,避免产生大量的全连接网络,能够有效降低引入机器学习后产生的计算资源压力。
MAD能够持续监控可疑进程,比传统的根据简单的单步行为规则来做监控的主防技术捕获风险能力更强,可有效拦截未知病毒、缓解本地引擎带来的性能压力,并且会在获得确切证据的情况下才会通知用户,有效减少与用户的无效交互,使产品更适用于用户环境。
(四)基于机器学习的自动化样本运营技术
常规的病毒特征提取方法是采用人工对计算机病毒进行一对一分析,计算机病毒为应对杀软加入了多种免杀机制,衍生出大量的病毒变种并在互联网散播,为病毒特征提取工作带来极大的障碍。网络防病毒系统对已分类的样本,能够以进行基于机器学习的自动化的特征提取,能够按需提供给用户提供最新最准确的病毒库更新包,有效提升专网的病毒库更新频率,帮助用户应对层出不穷的互联网病毒。
自动样本运营采用自研的“样本动态行为捕获”和“样本多维度的静态特征分析”技术,并结合机器学习、大数据等方法,后台实现自动化样本运营。能够对从各渠道获得的样本进行多方位判别,迅速、高效、准确的处理样本。系统自动化样本运营后台平均每日能够处理百万级以上的病毒样本,处理完成后自动生成病毒库更新包,增量增加至病毒库更新地址(外网内网均可)供用户自行下载。
(五)勒索病毒免疫工具
系统杀毒搭载反勒索引擎,基于人工智能和大数据分析,搭建勒索软件行为模型,对勒索行为进行分析和预判,发现已知和未知的勒索病毒,配合智能诱捕技术,第一时间拦截勒索软件对文件的加密和破坏行为,保护数据安全。同时反勒索系统为用户建立文件墙,保护重要文件不被篡改和破坏,做到事中防护。目前已建立反勒索解密平台,针对主流的勒索软件加密过的文件,可以提供解密服务,帮助用户事后补救,提供全方位的勒索软件防护体验。
(六)漏洞防护
漏洞防护能够对系统进行漏洞扫描和修复。在管理端对终端下发体检任务,完成后可上报终端扫描到的漏洞信息。漏洞修复可通过防病毒公网服务器下载补丁,或通过在内网部署的防病毒管理端下载漏洞补丁,能够有效减少外网带宽占用。漏洞防护还支持通过系统内核加固、应用加固等手段对0day漏洞或未知漏洞进行防护。全网漏洞扫描及修复过程无需人工参与,并且提供了对终端的系统漏洞管理功能,可以精确的了解全网终端的系统漏洞情况。
三 售后服务支撑
3.1应急响应
(一)我公司提供的应急事件响应服务方式
F电话响应服务。在周一至周五的当地办公时间,向提供不受限制的求助电话支持,依靠中国电信的专业安全服务技术和完善的问题处理流程,保证提供快速有效的支持服务。
F7×24小时在线响应服务。可以在任何时候通过电话、传真、邮件得到技术支持服务。可以通过直接拨打中国电信应急响应服务热线,或者传真方式,以及给我们发送邮件,与我们负责应急响应的工程师取得联系。在我们的工程师获知了问题后,将及时进行分析和诊断,并提供相应的处理建议直到最后解决问题为止。
F远程网络接入响应服务。在中国电信工程师接到申报故障后,若判断需要连接客户端进行详细的检查时,安全应急响应服务技术工程师将通过安全的授权方式,接入系统的网络系统中,快速而直接的对问题进行诊断和分析,直到找到问题的原因,并提出相应的解决建议为止。
F现场应急响应服务。在接到的故障申报后,且经过判断不能通过电话或远程接入进行解决的紧急情况下,中国电信将派遣经验丰富的专业技术人员在约定时间内到达现场,解决所面临的问题。
(二)应急事件响应流程
F优先级1(P1):骨干网络严重故障,造成30%以上用户业务中断或掉包率持续超过10%,严重影响系统基本业务正常开展,门户网站系统遭受攻击瘫痪或纂改。
服务说明:
1.
应急响应服务中心将即时给予客户响应,工程师最迟在半小时内与用户联络,并委派主管支持工程师全时(24小时)处理客户故障。
2.
安全服务工程师在接获应急响应指示后1小时内到达指定现场。
3.
安全应急响应服务工程师在到达现场1小时内初步查明故障原因,并采取有效措施控制故障范围。
4.
在到达现场2小时内明确故障原因,并向提交故障处理方案,取得同意,并做相关的技术准备。
5.
在到达现场开始工作2小时后仍不能明确判断故障原因时,与相关厂商和协作单位联络以取得支持。
6.
与和相关方合作,24小时不间断工作,直至故障解决或有应对方案。
7.
故障解决后的3个工作日内现场持续跟踪系统的运行情况。
8.
应急响应服务相关资料经相关负责人和我方工程师签字后存档。
F优先级2(P2):系统部分网段严重故障,造成5%以上用户业务中断或掉包率持续超过5%,影响系统基本业务正常开展;核心网络区功能出现故障或性能大幅下滑;应用服务器区业务或功能上出现故障。
服务说明:
1.
应急响应服务中心将即时给予客户响应,工程师最迟在半小时内与用户联络,并委派主管支持工程师全时(24小时)处理客户故障。
2.
安全服务工程师在接获应急响应指示后1小时内到达指定现场。
3.
安全应急响应服务工程师在到达现场1小时内初步查明故障原因,并采取有效措施控制故障范围。
4.
在到达现场2小时内明确故障原因,并向提交故障处理方案,取得同意,并做相关的技术准备。
5.
在到达现场开始工作2小时后仍不能明确判断故障原因时,向公司应急响应中心申请等级升级,与相关厂商和协作单位联络以取得支持。
6.
与和相关方合作,24小时不间断工作,直至故障解决或有应对方案。
7.
故障解决后的3个工作日内现场持续跟踪系统的运行情况。
8.
应急响应服务相关资料经负责人和我方工程师签字后存档。
F优先级3(P3):系统部分网段故障,造成2%以上用户业务中断或掉包率持续超过1%;应用服务器区性能上出现大幅下滑。
1.
服务说明:
2.
应急响应服务中心将即时给予客户响应,工程师最迟在半小时内与用户联络,并委派主管支持工程师全时(24小时)处理客户故障。
3.
安全服务工程师在接获应急响应指示后1小时内到达指定现场。
4.
安全应急响应服务工程师在到达现场8小时内查明故障原因,并采取有效措施监视故障的发展情况。
5.
在到达现场开始工作2小时后仍不能明确判断故障原因时,向公司应急响应中心申请等级升级,与相关厂商和协作单位联络以取得支持。
6.
与和相关方合作,24小时不间断工作,直至故障解决或有应对方案。
7.
故障解决后的1个工作日内现场持续跟踪系统的运行情况。
8.
应急响应服务相关资料经负责人和我方工程师签字后存档。
F优先级4(P4):系统网络、应用系统或者安全系统改进问题,以及其它存在的安全问题,但尚未产生重大影响的问题。
服务说明:
1.
应急响应服务中心将即时给予客户响应,工程师最迟在半小时内与用户联络,并委派主管支持工程师全时(24小时)处理客户故障。
2.
安全服务工程师在接获应急响应指示后1小时内到达指定现场。
3.
安全服务工程师在2个工作日内明确故障原因,并向提出相关解决方案,并在有关各方的协助下,解决故障。
4.
故障解决后的1个工作日内现场持续跟踪系统的运行情况。
5.
应急响应服务相关资料经负责人和我方工程师签字后存档。
3.2运维支持
中国电信提供日常运维技术支持服务及运维服务,服务内容包括:平台运行情况,查看平台的CPU利用率、内存使用率,检查、更新版本,优化安全事件策略,备份日志数据库等等,同时中国电信在国家重大活动等关键服务期,提供重点保障服务。
3.3软件升级
(一)事件库升级
对于平台及杀毒软件的事件库升级,为了对最新的入侵方式做出反应,需要对事件库进行及时更新。
更新周期:每周更新一次,但以下特殊情况除外:影响客户所使用的操作系统、应用软件的安全漏洞,在此类特殊情况下,我们将以最快的时间,及时通知客户,指导客户升级事件库,修补系统漏洞。
(二)软件版本升级
对于本次安全集成项目中所提供的软硬件产品,提供软件版本升级。通过软件版本升级,进一步提高项目单位安全产品当前版本的功能等。
更新周期:根据版本发布情况以及用户使用情况;一旦产品有新的版本,并需要进行版本升级的,中国电信公司安排并立即通知项目单位,并且派技术人员现场指导产品升级。
3.4性能调优
在产品服务期内根据项目的需要,中国电信公司将对系统进行策略检查,合并并优化策略,根据业务特点进行自定义策略等等。
3.5保修
出现故障,中国电信将组织专业技术人员负责对项目进行维修更换,更换的全部部件都是来自原厂商全新同型备件。
|
项目名称
|
主要内容
|
|
服务价值
|
全面保障此次建设安全正常运行,解决项目的后顾之忧。
|
|
保修期内服务
|
在产品质量保证期内原厂商将提供免费提供保换和保修服务。
在保换期间,发生的产品损坏,均在保换范围,原厂商须予以更换。但自保换起始之日起,因甲方人为因素造成的产品损坏不在免费更换范围之内。
|
3.6客户回访
在质保期内免费提供回访服务,每半年一次,至质量保证期满。了解产品的使用情况、对产品的意见及建议、解决用户使用产品中的各种问题,最终反馈并解决用户问题。
