银科数安云安全解决方案

银科数安云安全解决方案是基于银科数安信息安全集中管理平台V2.0,衍生出的适用私有云、混合云、多云管理场景的解决方案。通过将安全能力与硬件解耦,流量编排与云网络解耦,为云计算打造一朵安全云,承载种类丰富的安全能力,为本地私有云、数据中心提供安全服务。结合云端Web防护服务、流量清洗服务、威胁情报等服务,通过安全管理平台进行统一的服务申请和自动化编排,云端与本地联动实现混合云安全统一防护和纵深安全防护体系的建立。银科数安信息安全集中管理平台,面向私有云客户,为客户构建满足等级保护2.0合规安全要求的云计算环境。通过配套的安全资源池,可为客户提供边界安全防护服务、安全检测服务、主机安全服务以及安全管理类服务。通过深入了解等级保护2.0防护思想和标准,云安全管理平台为客户提供基于等级保护分权分域思想的安全管理过程,基于安全域划分,为安全域配属安全服务,客户可以轻松的构建针对云计算环境的安全防护阵线。

如图,云安全管理平台与配套的云安全资源池,共同向云计算平台提供安全能力。云安全资源池可以承载覆盖等级保护所需的众多安全服务,通过云安全管理平台提供的安全业务编排能力,向云计算平台内的各个安全域提供适应于安全域安全需求的安全能力。实现安全能力按需调度,安全服务链按需编排,集中化的云安全管理能力。

◎ 满足云计算场景下安全防护和等保合规

银科数安云解决方案与配套的云安全资源池,共同向云计算平台提供安全能力,覆盖等级保护所需的众多安全服务,满足云环境下各种安全防护需求。

◎ 提升资源利用率,降低整体投资成本

通过虚拟化技术将众多安全能力虚拟化为安全网元,由银科数安信息安全集中管理平台(云版)统一管理和自动化编排,真正实现安全即服务。与传统硬件安全设备相比,部署银科数安云安全资源池可提升硬件资源利用率,降低整体投资成本。

◎ 灵活部署,快速扩容

银科数安云安全资源池扩容时只需要购买标准的x86服务器和软件云安全能力节点授权数量即可,通过虚拟化技术和云安全管理平台的安全业务编排能力,满足业务快速增加/扩容安全能力的要求。

◎ 安全可视化

      资产可视、拓扑可视、流量可视、威胁可视、行为可视、脆弱性可视。

◎ 高性能弹性资源池

      1)  高性能虚拟化网络;Linux-Based轻量级虚拟化解决方案,敏捷、灵活、稳定、可靠;

      2)  分布式共享存储,支持资源池在线扩展;

      3) 软硬件多层优化,单服务器网络吞吐60G以上。

◎ 软件定义安全

      1)  支持纳管多个安全资源池,包括第三方资源池;

      2)  基于分片路由思想的完全转控分离架构;

      3)  图形化服务编排,一次编排实现多次调度,简化配置复杂度并提升防护效率。

◎    资源独立

      通过云安全管理平台的调度规则和资源划分策略控制,为每个租户提供逻辑隔离的虚拟网络空间和独立安全资源实例,从而保障租户安全策略、审计数据的独立性以及安全性。

◎ 普适开放

      本着“高内聚、低耦合”的设计开发原则,云安全管理平台内置了众多的外部接口主要包括北向云管平台接口、业务系统对接接口、SSO接口、网络引流接口、南向安全原子能力对接接口等,此外还有其他按需定制的定制化功能接口,可对接各类云管平台、SDN控制器和安全网元。

基础平台(纯软件)
银科数安信息安全集中管理平台统一管理云计算环境内的安全防护和检测功能,实现对安全资源池内各安全组件的部署、指配操作,帮助用户实现按需引流,按需配属安全服务的能力。同时包括云网安全适配层模块,用于协调第三方安全平台中间件集成的各第三方安全能力,与编排与调度管理协同完成安全组件的业务及流量编排,传递安全云安全管理系统下发的安全处置策略至各安全池,分为管理端与分布式控制端。模块包括安全策略的适配及下发、安全编排的适配、授权适配(封装成统一授权)、分布式控制端统一管理、安全策略的翻译转换、基础设施监控、策略隔离、流量动态负载均衡、事件上报等。
云安全资源池(纯软件)
序号模块名称简要描述单位
1银科数安防火墙系统NFV化安全产品,提供下一代防火墙功能,部署在串行安全防护资源池上。涵盖防火墙、入侵防御、WEB应用安全防护、上网行为管理与审计、防病毒等安全功能。
2银科数安WEB应用防火墙系统SQL注入防护模块,XSS防护模块,CSRF防护模块,CC防护模块,XML注入防护模块,盗链防护模块,篡改防护模块,Cookie防护模块,撞库防护模块,HTTP协议校验模块,源区域访问控制模块,网站锁定模块,关键字过滤模块,智能补丁模块,敏感信息防护模块,客户端访问控制模块,HTTP智能学习模块。
3银科数安日志审计分析系统集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,实现对信息系统日志的全面审计。包含日志采集、日志解析、日志存储、检索、统计、系统管理等模块。
4银科数安数据库审计系统支持主流数据库,实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警。帮助用户事后生成合规报告、事故追根溯源。SQL注入防护模块、实时监控、报表系统管理、事件策略、会话策略、对象管理、自定义规则策略匹配、非法操作的识别,告警,系统管理。
5银科数安安全运维管理系统支持对Windows、linux、unix、数据库、网络设备、安全设备等一系列授权账号进行密码的自动化周期更改,简化密码管理,实现对所有服务器、网络设备、安全设备等账号进行集中管理,完成对账号整个生命周期的监控,以满足审计需求。
6银科数安脆弱性扫描系统安装在资源池,提供系统、数据库、网站漏扫,基线核查,网站监测,等保工具箱等模块。
7银科数安应用交付系统包括:服务器负载均衡,应用优化与加速,链路负载均衡,全局负载均衡,广域网优化,安全防护等功能。
8银科数安安全审计系统用于防止非法信息恶意传播,避免国家机密、商业信息、科研成果泄漏的场景;并可实时监控网络资源使用情况,提高整体工作效率。适用于需实施内容审计与行为监控的网络环境,尤其是按等级进行计算机信息系统安全保护的相关单位或部门。

银科数安®智慧云管理平台

产品概述

银科数安®智慧云管理平台定位为中立的统一云资源管理控制台,对接公有云、私有云等多厂商、多类型的云平台,实现云资源和服务的统一交付,避免单一厂商锁定,有效简化服务交付流程,提升业务上线效率。云管理平台作为企业在云或数字转型战略的关键组成部分,使企业能够轻松地跨多云产品组合管理平台,以充分实现云计算的成本节约和敏捷性优势。通过利用云管理平台,企业将能够跟上其数字化转型路线图的步伐。

功能特点

统一管理多云资源

管理企业中多类型云资源,包括私有云、公有云、混合等多种类型。支持快速接入并无缝管理存量虚拟机,通过使用云平台标准的SDK\API进行操作管理。

自动化交付

通过图形化资源编排管理员可以非常高效地完成服务的编排和发布,包括复杂多节点应用、资源运维等多种场景。用户可以在此基础上,完成支持业务逻辑的复杂应用环境的自动部署。

统一服务目录

银科数安®WEB应用防火墙

产品概述

银科数安®Web应用防火墙(WAF)是福建银数为解决Web应用安全问题而专门研发的专业WEB应用安全产品。银科数安WAF提供了事前风险扫描、事中Web防护、事后防篡改的全面防护体系,帮助客户构建风险预警、实时防护、追溯分析的一整套Web安全处理流程,全方位保障客户网站业务安全运行。

功能特点

网络层访问控制

  • 通过一定的规则组合,可以实现ip|tcp|udp|icmp协议、源地址、目的地址、源端口以及目的端口的访问控制;
  • 支持snat和dnat。

Web应用安全防护

  • 主流的web攻击方式,如Sql注入防护、Xss防护、特洛伊木马防护、常见攻击防护、http协议防护、自动扫描防护、服务器信息隐藏、Web爬虫防护、URL关键词过滤、网页文件格式、请求方法防护、CSRF防护、盗链防护等。
  • 静态页面防篡改,在Web服务器上安装客户端监控软件,防止页面文件在管理人员不知晓的情况下被恶意修改;
  • 多维统计与趋势分析,攻击的发生有一定的来源分布特征、目标特征、事件类型特征以及时间分布特征。
  • 丰富的攻击地图展示,系统根据用户配置的网站归属地及攻击源IP地址绘制出丰富的三维攻击地图,让用户更加明了的分析攻击来源。

Web网页防篡改

基于OS内核级别的完整防篡改方案,提供网页监控、篡改防护等功能。文件驱动级别的保护技术,在篡改发生之前进行识别和拦截。

HTTPS网站防护

支持对HTTPS网站进行检测,对SSL进行代理,高效的解密访问内容,最终进行应用安全检测。

技术优势

网站URL自学习功能

设备能够智能的识别出用户正常访问请求,分析用户请求数据,提取URL请求方法、参数等信息,生成一套白名单策略,防御指定URL的未知攻击。

利于隐藏应用系统的相关信息

可以有效的隐藏后台Web服务器类型、应用服务器类型、操作系统、版本号、已知安全漏洞、IP地址等信息,利于提高整个系统的安全性;

抗DDOS攻击功能

采用主动检测和被动跟踪相结合的技术,可以识别多种网络层和应用层DDoS攻击行为,智能区分攻击行为和正常请求,有效过滤对Web服务器资源的异常消耗行为,确保正常请求的有效响应,保障Web业务可用性和连续性。

部署方式灵活

部署方式灵活,支持透明代理 、反向代理、路由代理、透明非代理、旁路等多种模式,灵活适用用户环境,轻松接入用户环境。

产品部署

客户价值

银科数安上网行为管理(安全审计)

产品概述


银科数安®上网行为管理系统融合应用网关(以下简称“网行为管理”)是面向中小企业、数据中心、大型网络边界及行业中心和分支机构等而自主研发的业界领先的综合型产品,该产品融合了应用控制、行为审计、网络业务优化等功能,为用户提供一个综合、完整的全业务应用场景解决方案。

产品可通过路由模式、透明桥接模式或混合模式部署在网络的关键节点上,对数据进行2-7层的全面检查和分析。深度识别、管控和审计近千种IM聊天软件、P2P下载软件、炒股软件、网络游戏应用、流媒体在线视频应用等常见应用,并利用智能流控、智能阻断、智能路由等技术提供强大的带宽管理特性。配合创新的网络应用行为精细化管理功能、清晰易管理日志等功能,提供业界最全面、完善的网络行为管理解决方案。

产品特点

  • 络适应性强

银科数安上网行为管理系统可适应用户各种复杂网络场景。在满足路由、透明、旁路、混合等部署模式同时,配合IPv4/IPv6双协议栈,结合静态路由、动态路由、策略路由、ISP路由、链路负载均衡和服务器负载均衡等,可在802.1Q、GRE 、RIP、OSPF、VRF、多出口等各种复杂的网络环境中灵活组网。

  • 全面身份认证

以用户需求为导向,提供了丰富的身份认证手段:本地WEB认证、微信认证、短信认证、Portal Server、免认证、SAM认证、单点登录、访客二维码认证、IC卡认证、APP认证、POP3认证、钉钉认证、酒店会员认证、第三方小程序认证、企业微信认证、混合认证,从而可以有效的区分用户和差异化部署授权和审计控制策略,真正做到有效防御身份冒充、权限扩散和滥用。

  • 细致行为管理

银科数安上网行为管理系统控制层面不再局限于对网络应用的阻断,更能深入识别应用的内置动作。例如对QQ的控制力度不仅仅是登录动作,更可识别到收发文件、语音、视频、远程协助、设备共享等动作,对微信也可识别控制多达11种行为动作,精细化管理使网络更有序。

快速识别“一拖N”的网络私接行为,精准定位“N”即私接用户数量,并进行有效精细的针对终端类型进行管控,及时发现非法热点,预防个人用户私接路由,通过对应用的更精细化管理让网络更有序。

  • SSL网站解密

银科数安上网行为管理系统提供了HTTPS审计功能,采用特有的加密流量识别技术,能够对主流的加密网站、加密网站搜索记录、加密邮件等进行行为识别。管理员可以采用自定义的方式,定向审计用户和加密网站,保障网络行为清晰的事后审计,有效的防止企业机密外泄。

  • 动态带宽管理

银科数安上网行为管理系统采用智能流控、智能阻断、智能路由等技术,将网络出口带宽划分为逻辑通道,并支持在通道中再划分子通道,完美进行带宽限制和带宽保障。同时支持将类型复杂的网络流量分布到不同的网络出口转发,是企业提升带宽利用率、保护带宽投资的最佳利器。

银科数安信息安全集中管理平台

银科数安®信息安全集中管理平台是面向全网IT资源的全方位综合分析和管理平台。该系统以保障业务安全为核心,创造性的将网络管理、安全管理和IT服务管理等功能进行有机结合、融为一体,以全局视角统筹业务安全涉及到的各个方面,将基础系统运行监控、网络风险识别与处置、系统维护与应急处理等纳入统一管理,形成日常监控、问题发现、问题处理、分析回溯的全流程自动化IT运营体系,真正做到业务安全的闭环管理。

  • 集成网管、安管与运维的统一管理

银科数安信息安全集中管理平台打破了传统方式下网络管理、安全管理和运维管理割裂的状况,有机的融合网络管理和安全管理的相关技术,并通过统一平台实现流程化控制、自动化运行、可视化展现。

  • 流程化风险识别与运维管理

银科数安信息安全集中管理平台实现了风险评估过程的定量化、流程化、例行化,并可结合企业自身情况和特点,具备可操作性。基于风险评估结果,并借助安全事件管理、告警与响应管理、工单管理模块和通告管理等功能,能够协助用户实现事件的采集、分析、评估、响应、通报、提升、取证、上报、改进的全过程闭环管理。

  • 可视化监控和安全态势展示

银科数安信息安全集中管理平台采用可视化分析和展示技术,通过多角度为用户展示网络与业务拓扑、各IT资源运行情况、安全事件统计与行为分析、系统脆弱性分布及潜在风险等丰富的信息,使用户对业务运行的各个方面都能有直观感受和细致的了解。

  • 外部智能与大数据分析

银科数安信息安全集中管理平台在各种IT资源数据采集的基础上,可结合云端的威胁情报,进行全方位持续监测及挖掘分析。系统具备海量数据采集能力、存储能力、检索能力和多维度关联能力,利用威胁情报、安全大数据搜索、数据挖掘、自动化关联分析等技术手段,打破各种信息和技术壁垒,及时准确的发现影响业务运行的各种问题。

  • 及时告警与安全协同

银科数安信息安全集中管理平台在发现系统运行故障或安全问题时,能够自动或手工的对故障和问题进行响应,并及时采取安全对策,从而形成运营闭环。系统可以通过派发工单、电子邮件、短信告警等方式对外发出通告,能够执行预定义命令行程序,可通过与网络设备、安全设备共同协作来关闭威胁通信,快速恢复系统运行或阻止正在进行的攻击。

  • 源发现与拓扑生成

多维度监控银科数安信息安全集中管理平台可全自动搜索网络、识别网络资源,并且可根据用户需要自动完成更新。支持的资源类型涵盖服务器、链路、网络设备、安全设备、应用、中间件、数据库、虚拟化等构成业务系统的各个方面。根据用户的视角不同提供机房拓扑、物理拓扑、区域拓扑、业务拓扑、示意拓扑等多种网络拓扑视图。

  • 多维度监控


银科数安信息安全集中管理平台支持从路由、设备、终端、流量、故障等方面多角度,细颗粒度地监控和管理整个IT网络。系统提供各种资源的监控模板和监控指标体系,除了各个网络资源的CPU、内存、磁盘使用等数据外,还监控网络链路的通断、带宽利用率、流量等信息,各业务系统的可用性信息以及终端的安全性、活跃度、流量等信息,用户还可根据需要调整和自定义。

  • 大屏幕监控展示


银科数安信息安全集中管理平台提供大屏幕监控展示功能,可根据客户关注的角度出发,个性化设置重要的IT资源、监控状态等信息,采用图形化方式集中展现给客户,使用户对整个网络和重要资源的运行情况、安全情况一览无余。

  • 日志采集与关联分析


银科数安信息安全集中管理平台可对网络流量日志、网络设备日志、安全设备日志、软件和中间件日志、数据库日志、应用日志等进行采集和汇总。系统可按照时间和业务等属性,将各种日志信息和安全事件进行多个维度进行关联分析。用户可以根据各种条件和攻击线索进行多维拓展和数据钻取,最终发现完整的攻击链条。

  • 安全态势感知


银科数安信息安全集中管理平台可提供多维度安全态势展示,包括全局风险态势、地址安全态势、网络热点分析、威胁趋势变化、脆弱性分布与变化趋势、安全告警监控、资产风险监控等。业务管理和决策者能通过各种图形化信息展示总览全局网络安全态势。

  • 安全告警与风险预警


银科数安信息安全集中管理平台可对多维度日志设置关联规则,从海量日志中发现可疑的行为并生成告警,并将告警信息同步到防火墙、入侵防御、终端安全等产品,实现对威胁和异常行为的有效处置。用户可根据监控到的安全态势生成各种威胁和攻击预警,方便相关部门及时采取预防措施。

  • 设备协同与联动


银科数安信息安全集中管理平台支持对防火墙、VPN、IPS、IDS、WAF、漏洞扫描等产品管理和控制,实现对象定义、安全策略定义、策略下发、策略撤销等功能。当系统发现网络和业务出现异常和攻击时,可及时调度安全设备进行防护和阻断。

  • 运维与考核管理


银科数安信息安全集中管理平台可根据不同类型或等级的异常产生告警并自动发送请求至运维服务台,并按照不同角色和地域的管理权限自动派送给相关运维人员或组,对故障处理人、处理步骤、工时、故障根源分析等进行详细记录。系统根据运维工作绩效考核相关标准,生成绩效考核报告,实现基于各项数据支撑的可量化的运维绩效考核管理。

  • 日志与报表展示


银科数安信息安全集中管理平台提供全面的日志记录与查询功能,方便问题定位和回溯。提供性能、告警、状态、资源等统计和分析报表,帮助用户从多角度掌控IT资源的运行情况。用户可根据需要自定义报表,定期提供关键资源、业务的运行状况报表。

典型应用


银科数安信息安全集中管理平台为用户打造,面向业务安全的企业安全运营中心平台,实现对IT环境中的所有网络设备、安全设备、主机和服务器、服务、应用和业务系统的全方位掌控,从业务的角度,进行统一的运行监控、统一的安全事件管理与审计、统一的风险与运维管理,实现业务服务管理、安全管理和运维管理的一体化。

银科数安网络接入控制系统

银科数安®网络接入控制系统为企业用户接入内网全过程提供一套综合完整的端点安全准入控制解决方案。网络接入控制系统能够勾勒企业终端接入的安全基线,屏蔽一些不安全的设备和人员接入网络,规范用户接入网络的行为。对于未安装终端代理软件或已安装终端代理软件但不符合安全策略要求(杀毒软件、系统安全设置、违规软件等)的终端设备,能够禁止其访问网络,或进行网络VLAN隔离,并对其提供安全修复向导。


全方位的可信准入

可信终端:通过多样化的入网要素校验与审核机制,为用户构建可信终端准入体系,杜绝非法终端接入同时,确保终端准入控制安全性、唯一性、可控性得到有效兼顾;

可信用户:提供多种身份验证方式选择,并支持实名制的准入机制,通过与AD域、LDAP联动,将网络准入同外部认证有机结合,实时在线管理方式,确保用户入网必可信。

完整的接入管理流程

完整的接入管理流程与细粒度的准入功能,多样化不同形态准入方式,从基本的接入身份标识,到接入后的合规检查和修复向导以及安全审计等,保证终端准入的安全性、纯净化与抗抵赖作用。

直观高效的可视化管理

网络准入终端状态可视化反馈,以图形化方式展示银科数安网络接入控制系统与入网终端状态信息,实时获取、实时掌握、实时管理,辅以统计分析,使准入产品的应用更为便捷、高效。

便捷部署兼顾环境适应

网络设备统一管理,避免实施准入控制所带来的交换机复杂配置,简化部署难度,系统可适应各类复杂网络环境,多种准入模式可灵活选择、混合应用,有效提高系统网络环境适应性与可用性。

  • 户与认证

银科数安网络接入控制系统提供802.1X、Portal、透明网关、策略路由等多种准入模式,通过不同方式对接入内网终端进行身份认证,判定合法性,多种准入模式可设置混合应用。认证支持用户名/密码、手机短信等不同认证方式。

  • 安全策略管理

终端计算机在入网身份认证通过后,进入终端安全合规检测环节,银科数安网络接入控制系统通过评分制的形式对终端的健康状况做最后的评估。只有通过合规检测的,才能顺利通过入网认证管理,否则隔离处理。而与此同时,为防止终端非法外联、私接AP、无线网卡等外设所导致的网络边界不可控问题出现,系统提供上述违规行为监控管理手段,有效解决终端安全隐患,即入网必合规。

  • 准入资产管理

银科数安网络接入控制系统可针对在网设备实施资产化管理,能够对资产进行添加、修改、删除操作,涉及资产类型包括:台式机、笔记本、打印机、IP电话机、服务器、工作站、手机、哑终端等,能够有效帮助管理人员及时发现在网终端设备信息,并进一步围绕准入控制进行相关管理与维护操作。

  • 良好的适应性与可管理性

银科数安网络接入控制系统可适应各类复杂网络和混合型网络环境,支持有线和无线的准入。兼容CISCO、H3C、华为等多个厂商的设备,所提供的多种准入模式,可灵活选择、混合应用,大大提高准入设备对于各种网络环境适应性与可用性。

  • 细粒度的合规检查

从识别系统特征,到操作系统以及杀毒软件的特征,全面支持对客户端主机的各种合规检查,对于不同的安全检查项,可以由管理员自定义制订检查安全监测任务,用户可根据实际需求选择符合自己的合规检查内容,使其灵活配置、便捷高效,即入网必合规。

  • 强大的可扩展性

银科数安网络接入控制系统从技术上除了满足客户端安全监控、客户端安全加固、客户端管理等防护措施之外,还可提供多种数据接口和二次开发接口。可与捷普主机监控与审计、防火墙等产品联合部署,提供终端安全与数据安全完整防护方案。

  • 路典型部署

银科数安网络接入控制系统支持旁路部署模式,所提供的多种准入模式均可在旁路下应用。在终端网络可达情况下,准入设备可安装在接入层或核心层等任意位置,对终端入网实施合法与合规验证。

  • 串联典型部署

在应用透明网关准入模式情况下,将采取串联部署模式,串联模式无需网络设备功能支持,可提供硬件BYPASS功能,其主要达到保护核心业务区域与网络的目的。

银科数安®入侵防御系统

产品概述

银科数安®下一代入侵防御系统(NGIPS)提供了全面、稳定、完善的入侵防御解决方案。下一代入侵防御系统在传统IPS产品的基础上进行了扩展,增加对所保护的网络环境感知能力、深度应用感知能力、内容感知能力,以及对未知威胁的防御能力,实现了更精准的检测能力,和更优化的管理体验。更好地保障客户应用和业务安全,实现对网络基础设施、服务器、客户端以及网络带宽性能的全面防护。

产品特点

◆多重检测全面防护

8000+条检测规则:全面覆盖Windows、Linux、Solaris、ALX、BSD等操作系统,实现了对攻击行为的全面识别和检测,支持僵尸网络、蠕虫、病毒木马、APT攻击等检测。实现对系统、应用、恶意软件以及客户端攻击防护,提供最精准的保护。识别120+真实文件类型,识别文件中的恶意代码。

应对面向HTTP、DNS、SIP等应用的DDoS拒绝服务攻击,提供全面的应用层DDOS防护功能。实现对SSL加密以及各种高级逃逸的检测。防护服务器恶意外联检测,保护重要信息资产安全。规则库经国际权威组织CVE以及国家漏洞库CNNVD的兼容性认证

◆动态环境感知

  1. 识别网络环境,构建全网资产静态安全和流量的动态安全风险
  2. 根据安全风险,自适应的进行安全防御策略调整,有针对性地防护
  3. 根据安全风险,以及检测日志信息进行综合分析,实现日志的分级管理,识别真正有效的安全风险

◆沙箱联动检测

  1. 支持与沙箱联动,将疑似文件送入沙箱分析并反馈,实现对威胁文件检测与响应
  2. 支持信誉IP信誉、C&C信誉系统,实现对已知恶意攻击的快速高效的检测与响应

◆高可用性保障

  1. bypass:软件bypass,设备CPU过载时可自动切换成bypass模式,保证网络畅通;硬件bypass,异常断电时,保证网络流量透明转发。
  2. HA部署:主备模式,两台设备进行热备,一台故障时,另外一台自动接管流量;主主模式,两台设备进行流量负载,增加了链路带宽。
  3. 多核硬件DPDK架构,自主操作系统,17年开发、商用积累,功能丰富并且结构稳定。

◆快速性能平台

基于多核处理架构和动态处理器负载均衡技术,保证了系统的高性能实时检测和防御,通过WEB安全检测、病毒检测、各种攻击检测、DPI深度检测等多引擎自由协商调度先进技术,提供多层次立体化防护,并实现对网络数据的高性能实时检测和防御,检测性能超过20Gbps。

典型部署

入侵防御系统部署于系统网络边界,满足用户对内外网安全性的防护期望,能够顺畅地随业务的增长而扩充。通过后期的效果验证,产品可以完全控制用户所关心的P2P应用滥用的需求,对于蠕虫传播的控制也有相当的抑制作用,为信息系统安全建设奠定了坚实的基础,提升了信息资源的利用效率,同时方案的可扩展性,可充分满足目前及未来的信息化发展和管理的需求。

客户价值

银科数安®安全运维管理系统

产品概述

随着企事业单位信息化的发展,网络规模和设备数量迅速扩大,建设重点逐步从网络平台转向深化应用、提升效益为特征的运行维护阶段; IT系统运维与安全管理正逐渐走向融合。信息系统的安全运行直接关系企业效益,如何构建一个强健的IT运维安全管理体系对企业信息化的发展至关重要,对运维的安全性提出更高要求。 

银科数安®安全运维管理系统(简称“堡垒机”)的目标是帮助企业转变传统IT 安全运维被动响应的模式,建立面向用户的集中、主动的运维安全管控模式,降低人为安全风险,满足合规要求,保障企业效益。

银科数安®安全运维管理系统可对主机、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操作审计,对策略配置、系统维护、内部访问等进行详细的记录,并支持操作过程的全程回放。

系统弥补了传统审计系统的不足,将运维审计由事件审计提升为内容审计,并将身份认证、授权、管理、审计有机地结合,保证只有合法用户才能使用其拥有运维权限的关键资源。

为组织在 IT 操作风险控制、内控安全和合规性等方面提供了完善、有效的审计手段。

产品特点

◆集中账号管理

建立基于唯一身份标识的全局实名制管理,支持统一账号管理策略,实现与各服务器、网络设备等无缝连接,集中管理主账号(普通用户)、从账号(目标设备系统账号)及相关属性。

◆集中访问控制

通过集中统一的访问控制和细粒度的命令级授权策略,确保用户拥有的权限是完成任务所需的最小权限,实现集中有序的运维操作管理,防止非法、越权访问事件发生。

◆集中安全审计

基于唯一身份标识,通过对用户从登录到退出的全程操作行为审计,监控用户对被管理设备的所有敏感关键操作,提供分级告警,聚焦关键事件,实现对安全事件及时预警发现、准确可查。

◆高效批量管理

提供批量脚本和批量命令实时及定时执行的功能,减少运维人员反复的重复性工作,提高工作效率,降低运维成本。

◆智能设备发现

提供了一种智能发现网络中的设备及协议功能,并支持一键式添加到策略,简易运维管理员繁琐的操作,同时减少遗漏,提高运维的效率。

◆严格的审计管理

系统包含默认的三权分立的管理模式,包括系统管理员、运维管理员和审计员三种管理员角色,同时支持可灵活定制管理员角色,进一步细化管理员权限,从技术上保证系统管理安全。

◆高效的处理能力

系统具有业界最强的协议转发处理能力,摒弃业界常用的协议转发“黑盒子”,能够对Telnet、 FTP、 SSH、 SFTP、 RDP(Windows Terminal)、 Xwindows、 VNC、 HTTP、 HTTPS等协议进行完整的透明转发,特别是对图形化操作协议的转发性能远远优于其它同类型产品。

◆丰富的运维方式

系统提供客户端方式运维和 web 方式运维。对于图形类协议及 HTTP、 HTTPS、 ORACLE、 SQL SERVER、 MYSQL、 DB2 等协议,系统还额外提供 mstsc remoteapp 和 web remoteapp 方式运维。对于 HTTP、HTTPS 协议,系统提供内置 3 种浏览器方式的运维,分别为 Chrome、 Firefox和 IE11。

◆强大的应用发布支持

通过专业的应用发布系统配合运维堡垒机发布维护工具,如PCAnywhere、IE、dame ware、常用数据库工具、常用运维工具等,能够完美支持堡垒机功能扩展。

◆完善的系统安全设计

精简的内核和优化的 TCP/IP 协议栈。基于 HTTPS/SSL 的自身安全管理与审计,严格的安全访问控制和管理员身份认证,审计信息加密存储,口令信息加密存储,完善的审计信息备份机制,完整全面的自审计功能。

◆全面的运维审计

系统采用协议分析、基于数据包还原虚拟化技术,实现操作界面模拟,将所有的操作转换为图形化界面予以展现,实现 100%审计信息不丢失。针对运维操作图形化审计功能的展现外,同时还能对字符进行分析,包括命令行操作的命令以及回显信息和键盘、鼠标的操作信息。

典型部署

银科数安®安全运维管理系统支持镜像、单臂、中间机等三种模式接入到企业网络中,不需改变网络拓扑,安装调试过程简单, 无需再核心服务器或操作客户端安装任何软硬件系统,同时,安全运维管理系统的部署不会对业务系统、网络中的数据流向、带宽等重要指标产生负面影响。

客户价值

银科数安®数据库审计系统

银科数安®数据库审计与风险控制系统是通过对数据库操作的深度监控和用户行为审计,及时发现各种危害数据库安全的风险因素,结合各类法规、等级保护等对数据库审计的要求,为企业提供细粒度、精细化、全方位的数据库风险控制解决方案。

产品特点

◆最广泛的协议解析

支持Oracle、DB2、SQL Server、Cache、Teradata、MySQL、PostgreSQL、南大通用、人大金仓、达梦等17种主流数据库及国产数据库,还支持运维协议、文件操作协议、互联网协议等协议类型,实现了对数据库和业务系统的所有访问的全面审计。

◆最快速的数据处理

具备高速日志处理能力,采用特有的数据索引技术,提高海量日志的检索速度,默认条件查询无延时,对于多变量的复杂查询场景,响应时间快速。采用归一化处理、批量写入、多级存储等技术,确保日志信息的快速入库。

◆最全面的风险分析

提供用户、IP、客户端工具、访问时间、操作对象、SQL操作类型、成功与否、访问时长、影响行数等多维度风险关联分析,可以根据数据库返回结果设置审计规则,及时发现违规行为。

◆最便捷的使用体验

采用人性化UI界面,提供丰富的配置向导和业务向导。用户可以根据需要定制化信息展示内容,通过简单的点击即可实现数据挖掘与钻取,快速实现数据库业务分析和问题定位。提供审计策略自动化学习功能,可根据用户网络中的数据库访问行为模型,自动生成对应的审计策略,简化了系统配置,提高了审计准确性。

典型部署

采用旁路部署方式,无需改变现有网络结构,不占用任何数据库资源和性能,可以快速部署到业务系统网络中,实现全面、准确、高效的数据库审计。

客户价值

银科数安®下一代防火墙

产品概述

随着社交网络、云计算、大数据等新热点的出现,互联网迈向了历史上从未有过的繁荣阶段,随之所面临的信息化安全问题日益复杂。面对层出不穷的应用层威胁与未知威胁,“下一代防火墙”应时而生。

银科数安®从市场实际需求出发,结合多年的技术积累与“下一代防火墙”的发展趋势,推出全新下一代防火墙。银科数安®下一代应用防火墙面向大中企业和数据中心,通过对应用、用户、内容、威胁、时间、位置等维度的全面感知,提供多维度的应用层监控与分析,帮助用户掌握风险,精准预警。IPS、防病毒、内容防泄漏、垃圾邮件过滤、WEB应用防御、僵尸网络阻断等应用层深度防御与应用识别相结合,有效提高了威胁防御的效率和准确性。智能配置优化技术大大降低下一代防火墙的整体运营成本。同时,采用功能统一引擎和多核并行处理技术,有效提升了业务处理能力,满足大型网络的实际防护需求,持续、简单、高效地提供下一代网络安全服务。

产品特点

◆ 最全面的安全防护能力

全面防护:集传统防火墙、入侵防御、防病毒、数据防泄漏、僵尸网络防护、垃圾邮件过滤、WEB攻击防御、DDoS攻击防护、带宽管理、上网行为管理等功能于一身,简化部署,提高管理效率。

用户认证:支持本地、Radius、Tacacs、AD域、POP、LDAP等6种认证方式识别用户,同时支持操作系统版本、文件、进程等6种认证检查方式,应对移动化办公趋势,保证终端安全准入;

QoS管理:基于应用灵活的3级通道带宽嵌套机制对流量进行控制处理,优先级高的通道在所属线路带宽不足时优先获得设置的保障带宽,在所属线路带宽富裕的情况下优先获得最大带宽;

安全互联:丰富的VPN特性,确保企业总部和分支机构之间高可靠安全互联。支持IPsec VPN、SSL VPN、L2TP VPN、PPTP、GRE等;

弱口令检测:检测口令复杂度策略配置是否满足要求,提前发现弱口令漏洞,预防危险发生;

虚拟化:支持多种安全业务的虚拟化,包括防火墙、入侵防御、防病毒等,不同用户可在同一台物理设备上进行隔离的个性化管理;

抵御未知威胁:具备云安全中心联动能力,提供全面且有效的未知威胁解决方案。当网络中出现可疑文件时,可将此文件上传至云沙箱运行。一旦文件出现异常行为,进程在沙箱内终止,不会感染到网络中的任何主机与系统,助企业能够绕过传统防御手段的威胁与攻击。

◆最细致的可视化呈现

内置应用风险系数、Top高风险应用、应用类型排行、应用流速趋势、Top应用、接口流量监控、最新威胁列表、最新流量排行、服务器安全、Top安全策略等实时监控信息,支持应用、威胁、网址、内容过滤等TOP排名统计,还支持应用/IP趋势分析、Top连接增长/减少、Top消耗带宽应用/IP等趋势分析。内置安全态势模块,直观显示资产风险态势、攻击威胁态势,全网风险一目了然。

◆最简单的策略管理

快速部署上线:内置场景配置向导模板和关键字、文件、应用、URL等类别,不依赖使用者的经验也能快速地部署常用防护策略。

策略优化:基于端口/业务的流量学习,感知网络整体业务环境,基于业务和安全风险进行智能化分析,最终自动生成策略建议。

策略精简:自动发现重复和长期没有使用的策略,精简策略规模,简化管理。

◆最智能的融合协同

在黑客攻击日益盛行的形式下,攻击方法层出不穷,安全产品不再是孤立存在、单打独斗地与攻击抗衡,银科数安®下一代防火墙会与威胁情报中心、安全一体化管理系统、漏洞扫描、终端安全、银科数安®管家等系统构建协同的工作机制,确保一旦单点受到攻击,全网实施策略升级及综合预警、响应的快速防御效果,对黑客攻击实施精准打击。

典型部署

◆互联网出口边界防护

作为边界防护的安全设备,防火墙部署在互联网出口,实现不同安全域之间的访问控制,同时,针对各种终端提供精细化访问控制、入侵防御、防病毒、内容放过滤、URL管控、DDoS防护、邮件防护、流量控制等功能,提供一体化的安全防护。

◆企业内网安全管控

部署在公司内部的财务、ERP、OA等服务器群前面,精细控制访问权限,防止非法访问,防止企业重要的信息被泄露,保护核心业务获取必要的带宽资源。

◆数据中心边界防护

部署在数据中心边界,提供高性能安全防护,通过入侵防御、防病毒、内容防泄漏、DDoS防护等功能保护关键业务和客户隐私信息,避免损害单位形象,造成经济或声誉的损失。安全业务虚拟化功能提供增值服务,保护用户投资。

◆广域网纵向安全互联

作为广域网边界安全网关,通过VPN功能保证传输安全,通过身份认证保证用户可信,通过入侵防御、防病毒、内容防泄漏、URL、邮件过滤等功能对出入广域网的流量进行深层检测,过滤应用层垃圾流量,防止病毒、木马等威胁向分支机构间横向传播,影响业务开展,优化广域网带宽,保障关键业务稳定运行。

客户价值

© 2015-2023 银科数安 福建银数信息技术有限公司 | 闽ICP备18024091号-1

TOP ↑