安码科技产品与解决方案白皮书 - 图文

更新时间：2024-06-14 10:38:01 阅读量：综合文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

产品赋码解决方案推荐度：
相关推荐

产品和解决方案白皮书

北京安码科技有限公司北京邮电大学信息安全中心教育部网络攻防重点实验室灾备技术国家工程实验室

?2006-2010安码科技 www.safe-code.com

产品和解决方案简介

一. 二.

2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9 2.10 2.11 2.12 三.

3.1 3.2 3.3 3.4 四.

4.1 4.2 4.3 五.

5.1 5.2 六.

6.1 6.2 6.3 6.4 6.5

概述 .............................................................................................................................................. 4 自主产品介绍 ................................................................................................................................ 6 WEB应用防火墙 ......................................................................................................................... 6 上网行为管理系统 .................................................................................................................... 9 网页防篡改系统 ...................................................................................................................... 10 网络漏洞扫描系统 .................................................................................................................. 13 主机安全管理系统 .................................................................................................................. 15 安全配置检查工具 .................................................................................................................. 17 网络单向物理隔离系统 ........................................................................................................... 19 网络安全隔离系统 .................................................................................................................. 21 一体化安全防护设备 ............................................................................................................... 24 安全运营中心 ......................................................................................................................... 26 VPN产品.................................................................................................................................. 30 信息安全试验室系统平台 ........................................................................................................ 35 解决方案产品 .............................................................................................................................. 39 网络舆情监控解决方案 ........................................................................................................... 39 网络电子渠道运营分析与安全监控解决方案 ........................................................................... 41 WEB网站安全解决方案 ............................................................................................................ 42 4A解决方案 ............................................................................................................................ 46 信息系统定制开发....................................................................................................................... 49 外籍人员管理信息系统 ........................................................................................................... 49 CSAW网站建设与运维 .............................................................................................................. 52 北京市旅游局信息管理系统 .................................................................................................... 54 软件著作权和专利介绍 ............................................................................................................... 57 软件著作权 ............................................................................................................................. 57 专利 ........................................................................................................................................ 57 合作与代理产品介绍 ................................................................................................................... 59 服务器安全加固系统 ............................................................................................................... 59 数据库安全审计系统 ............................................................................................................... 61 流量控制产品 ......................................................................................................................... 62 桌面虚拟化产品 ...................................................................................................................... 64 软件缺陷测试系统 .................................................................................................................. 65

- 2 - ?2006-2009 安码科技密级：商业机密

产品和解决方案简介

6.6 6.7 6.8 七. 八.

端到端性能管理测试产品 ........................................................................................................ 67 防病毒产品 ............................................................................................................................. 68 储存虚拟化产品 ...................................................................................................................... 69 合作伙伴 ..................................................................................................................................... 72 成功案例 ..................................................................................................................................... 73

- 3 - ?2006-2009 安码科技密级：商业机密

产品和解决方案简介

一. 概述

北京安码科技有限公司（简称“安码科技”）是一家孵化于北京邮电大学信息安全中心与灾备技术国家工程实验室的高新技术企业，由长江学者教授率领一批具有博士学位的管理技术骨干创立。研发团队主要由具有博士、硕士学位的优秀人才构成，业务服务涉及通信、互联网、信息安全、灾备等多个领域，客户遍及包括世界500强在内的多个企业及军政单位。业务线包括：产品与解决方案、存储与安全咨询培训、校企合作业务。其中，产品与解决方案通过北邮深厚的研发积累为企事业单位提供全面的信息安全产品和解决方案。

安码科技自成立以来推出多款信息安全产品和解决方案，包括WEB防火墙系统、上网行为管理产品、网页防篡改产品、网络漏洞扫描系统、主机安全管理系统、安全配置检查工具、网络单向物理隔离系统、网络安全隔离系统、一体化安全防护设备、安全运营中心（SOC）、VPN、信息安全实验室系统平台等多款信息安全产品。

针对客户和市场的需要，安码科技同时推出了网络舆情监控解决方案、网络电子渠道运营分析和安全监控解决方案、WEB网站安全解决方案等解决方案产品。这些解决方案产品已经为众多客户如教育部、中国电信、中国石化等政府和知名企事业单位提供安全和应用集一体的优质方案。

同时为了全方位为客户提供安全和灾备整体解决方案，安码同时也广泛地与国内网知名厂商合作，代理了多款优秀的信息安全产品和灾备产品，如服务器安全加固产品、数据库安全审计系统、流量控制产品、桌面虚拟化产品、软件缺陷测试系统、端到端性能测试系统、防病毒产品以及存储虚拟化产品。

- 4 - ?2006-2009 安码科技密级：商业机密

产品和解决方案简介

安码科技产品及解决方案网络舆情监控解决方案网络电子渠道运营分析与安全监控解决方案WEB网站安全解决方案外籍人员管理信息系统CSAW网站建设与运维系统北京市旅游局管理信息系统储存虚拟化产品桌面虚拟化产品软件缺陷测试系统端到端性能管理测试产品数据库安全审计系统防病毒产品服务器安全加固系统流量控制产品安全运营中心信息安全试验室系统平台主机安全管理系统 VPN产品一体化安全防护设备安全配置检查工具网络单向物理隔离系统网络安全隔离系统WEB应用防火墙上网行为管理系统网页防篡改系统网络漏洞扫描系统

- 5 - ?2006-2009 安码科技密级：商业机密

产品和解决方案简介

二. 自主产品介绍

2.1 WEB应用防火墙产品概述

安码Web 应用防火墙是一款能够深入理解Web应用层数据，真正运行在OSI 7层的应用层防火墙。与其他主要查看网络层、传输层信息，并简单匹配应用层头信息的传统安全产品不同，Web 应用防火墙基于对HTTP应用层数据的理解，采用积极主动安全模型和被动消极安全模型双向深度防护Web流量对未知及已知的Web攻击进行彻底防护，来达到保护企业关键Web应用的目的。

产品功能

Web应用防火墙针对客户端请求及服务器响应进行双向深度、立体防护，来确保Web服务的安全性。在http请求到达服务器的过程中，需要经过网络防火墙、协议有效性验证、基于静态请求限制及自学习安全模型的积极主动防御、基于签名特征库的被动防御(入侵防御)等一系列防护，而对于服务器端返回的响应过程将会进行Web服务器隐身、自学习安全模型、敏感信息泄漏等处理。

具体涉及的功能包括：

网络防火墙；协议有效性验证；积极主动防御；自学习安全模型；请求限制；被动安全模型；用户自定义应用层规则；SSL加密检测；Cookie安全；Web服务器隐身；防止敏感信息泄露；QoS功能；用户行为审计功能；防页面篡改。

典型应用

? 网桥模式

最简单的部署方式，不需要配置IP地址，不需要对用户的网络和应用做任何修改。

- 6 - ?2006-2009 安码科技密级：商业机密

产品和解决方案简介

客户端路由器防火墙Web应用防火墙Web服务器

? 单臂模式需要L4设备的配合

客户端路由器为了接收Redirect，需要IP地址 dst.port 80 redirectL4交换机src.port 80 redirectWeb应用防火墙Web服务器? 转发模式适用于非对称路由环境

- 7 - ?2006-2009 安码科技密级：商业机密

产品和解决方案简介

路由器交换机Web应用防火墙交换机路由器Web服务器 ? HA模式支持Active-Standby部署，支持Fail-Over功能

路由器交换机ActiveStandby交换机Web服务器

产品规格

型号 SC-WAF1100 SC-WAF1200 SC-WAF2100 SC-WAF2200 说明 1U；全功能；100M；1 路；单电源； 1U；全功能；400M；1路；单电源； 2U；全功能；1G；1路；光口(选配）冗余电源； 2U；全功能；2G；1路（电口）；光口（选配）冗余电源； - 8 - ?2006-2009 安码科技密级：商业机密

产品和解决方案简介

2.2 上网行为管理系统产品概述

上网行为管理系统是北京安码科技拥有自主知识产品的、软硬件一体化的访问控制和深度包检测产品。可以有效帮助用户实现各种安全管理策略、规范网络使用行为、杜绝信息外发安全隐患、提高生产效率，以保证用户安全、高效、合理地使用互联网。产品拥有以下主要功能：限制高带宽应用，优化网络带宽；规范上网行为，杜绝安全隐患；限制网络应用，提高工作效率；外发信息管控，确保信息机密；应用内容审计，降低法律风险；遵从法律法规，网络审计存档；灵活策略设置，细分网络群体。

产品功能

1. 管控部分：包括访问控制、HTTP访问控制、IM控制、P2P控制、网络视频控制、邮件关

键字控制、webmail控制、文件传输控制、Httppost、串流媒体、Tunnel、黑白名单； 2. 日志功能部分：HTTP记录、IM记录、FTP记录、Telnet记录、P2P记录、文档传输记

录、流媒体、Httppost、分类查询、使用记录、系统记录、系统信息；

3. 报告统计部分：网络流量分析、连接统计、阻断统计、组排名、人员排名、网站分类统

计、网站连接统计、邮件服务器统计、即时通信文件传输记录、即时通信记录、流量监控；

典型应用

防火墙互联网交换设备上网行为审计系统局域网

安码上网行为管理旁路模式部署

- 9 - ?2006-2009 安码科技密级：商业机密

产品和解决方案简介

防火墙互联网上网行为审计系统交换设备局域网

安码上网行为管理串接模式部署

产品规格

CS-XWGL500 普通企业级 CS-XWGL1000 高端企业级电信级

CS-XWGL5000 CS-XWGL10000 1U,千兆,500-1000 用户 2U,千兆,1000-5000 用户 2U,千兆,5000-10000 用户 1U,百兆,500 用户以下 2.3 网页防篡改系统产品概述

S-Guard网页防篡改系统是一个综合的网页保护方案，提供网页防篡改、攻击追踪和数据备份恢复等功能。S-Guard网页防篡改功能提供实时的网站篡改检测，保障非法篡改能被及时阻止；攻击追踪功能提供网站攻击行为追踪和审计，帮助用户追踪可疑的攻击者；数据备份恢复功能提供全面的系统和数据备份恢复功能，快速修复损坏的网页、数据库乃至整个网站系统。

产品功能

网页篡改检测

?2006-2009 安码科技 - 10 - 密级：商业机密

产品和解决方案简介

对试图进行网页篡改的攻击行为进行检测，并进行告警。能够发现通过后台篡改网页文件或者通过HTTP会话修改网页文件及动态网页数据的攻击企图，并且能够发现成功篡改网页的攻击，并进行告警。对网页内容的完整性进行实时监控，监控其发生变化的合法性。

网页篡改防护

保障用户从互联网有权限访问的网页内容的完整性；保障用户不能通过各种基于WEB的攻击方式在网页内显示用户无权限直接或间接访问的内容。保障静态网页、动态网页脚本不能被篡改或者在网页内容被篡改后能够及时恢复，确保用户访问不到篡改后的网页内容。主动阻断针对动态网页数据的篡改。

系统自我保护功能

S-Guard网页防篡改系统具备系统自我保护的功能，避免被非法关停或者卸载； S-Guard网页防篡改系统具备卸载密码保护，并具备一定的自恢复功能。

告警功能

S-Guard网页防篡改系统能够对非法篡改(包括篡改成功)、非法上传行为、对监控进程进行关闭等事件进行实时告警。告警方式支持包括Email、声音或屏幕提示等形式。支持通过Syslog、SNMP Trap两种方式中的至少一种方式将告警相关信息发送到指定的主机或系统，包括将告警信息发送到ISMP系统。

管理功能

S-Guard网页防篡改系统支持B/S模式和C/S模式的图形化管理界面, 能够对分布在各个网站系统侧的检测、防护模块进行统一的配置管理。能够通过统一的网页篡改防护系统检控中心对多个网站进行监控并实时检测各组件工作状态以及系统关键资源的运行状态。支持帐号创建、帐号授权、帐号属性修改和帐号删除等账号管理功能。

审计功能

能够对保护内容的篡改、管理员推出登陆行为，安全策略的添加、删除、修改行为，日志修改删除行为等产生审计记录。

网站发布系统兼容功能

S-Guard网页防篡改系统兼容不同的网站发布系统，并且在应用的过程中减小对网页发布过程的影响。

报表功能

S-Guard网页防篡改系统具备报表功能，对一定时期（包括年、月、周）的网页篡改攻击进行统计报表并查询。

典型应用

?2006-2009 安码科技 - 11 - 密级：商业机密

产品和解决方案简介

S-Guard监控端FTP同步更新S-Guard监控端S-Guard监控端内容管理系统S-Guard发布服务器网页发布流程图

Web服务器集群

S-Guard报警系统报警S-Guard监控端S-Guard监控端S-Guard监控端非法请求用户Web服务器集群防火墙实时阻断流程

产品规格

1．Web服务器端支持以下操作系统：

Microsoft/Windows NT/2000/XP/2003/Linux/Sun/Solaris/HP/HP-UX/IBM/AIX 支持以下Web服务器：

IIS/Apache/iPlanet/SunONE/Weblogic/WebSphere/resin/tomcat/HP-AS 2. 发布服务器端需要如下软硬件：

CPU：Intel PIII或以上内存：256M或以上硬盘：整个网站容量 + 5G 操作系统：Windows 2000 / Linux / Solaris

?2006-2009 安码科技 - 12 - 密级：商业机密

产品和解决方案简介

2.4 网络漏洞扫描系统产品概述

安码网络漏洞扫描系统是用实践性的方法扫描分析网络系统，检查系统中存在的弱点和漏洞并生成相应的报告，适时提出修补方法和应实施的安全策略，从而达到增强网络安全性的目的。

随着计算机网络技术的发展和大量应用，网络中不安全因素随时增加，如果不及时加以限制和消除，就为黑客留下了可乘之机。如金额及时发现众多不安全因素并最大限度地保证计算机系统的安全？一个行之有效的方法就是定期对计算机系统进行安全性分析，找到系统中存在的弱点和漏洞并进行相应的修补。NetHawk NVS-100网络漏洞扫描系统正式为此而设计的有效工具，它可帮助管理人员进行全面的网络安全分析，及时找出网络中的各种不安全因素，为网络系统安全提供保障。

产品功能

扫描目标

操作系统—Windos、Unix、Linux；网络设备—路由器、交换机；安全设备—防火墙、VPN、IDS; 应用系统用—数据库系统、应用软件。扫描报告

在系统扫描分析后，为用户提供一份完整的安全性分析报告。用户可对扫描结果进行浏览和删除等操作。

集中管理

系统所有扫描和评估活动均可在一个或多个集中控制台上实施与管理。并发多网段扫描

系统支持跨地域、跨网段的并发扫描。使用知识库

使用扫描方法之间的相关性，采用渐进式的分级扫描方法，提高了扫描的针对性，改善了扫描效率，有效的降低了网络负载。

定时升级机制

提供丰富的漏洞库，与国际标准CVE、BugTraq等兼容。设定时间段让系统进行周期性版本检查并自动进行升级而不需要管理员进行任何操作，使用这种定时扫描机制，既能保证系统进行自动安全维护，又能减轻管理员的劳动量。

用户自定义策略

?2006-2009 安码科技 - 13 - 密级：商业机密

产品和解决方案简介

系统内置多种不同的扫描策略，能基本适应大多数用户需要，同时用户也可以根据不同的安全需要自定义扫描策略并进行储存，就用户所关心的安全问题进行重点检测。

典型应用

产品规格

项目设备接口网络接口外部接口电源特性交流电源功耗物理/机械特性外形尺寸（mm）材料与重量环境要求 430×40.3×350 （宽×高×深，19英寸标准机架，1U高）重负荷钢≤5kg 220V?15%，50Hz±3Hz ≤20W ?10指标 3个百兆网卡接口 1个终端接口(RS232) ?2006-2009 安码科技 - 14 - 密级：商业机密

产品和解决方案简介

温度湿度维修特性平均故障间隔时间（MTBF） ≥6000小时（100%负荷）工作温度：-15 ~ +45℃；存储温度：- 40 ~ +65℃ 工作湿度：40% ~ 90%；存储湿度：30% ~ 98%

2.5 主机安全管理系统产品概述

随着网络信息技术的飞速发展，网络系统的开放性和网络资源的共享性不断加大，在有效推进企事业单位网络化办公进程和工作效率的同时，内部网络安全问题也愈加凸显。目前超过85%的网络安全威胁来自内部，这其中有系统存在的安全漏洞，也有因管理不善造成内部人员违规操作所致。内网中的主机如果存在安全隐患，则很容易造成整个网络系统的不可信和不安全，攻击往往先从内部突破。加强主机安全，提高网内主机设备的自身免疫能力，已经成为网络安全防护的重点。

主机安全管理系统正是基于这一需求，通过对近年来国内外主机安全管理技术和发展趋势的深入研究，全面分析内网主机安全问题，综合采用先进的认证、代理、资源控制和信息加解密等技术，提出了对主机用户“事前控制，事后审计”的一揽予技术解决方案，从主机状态、行为、事件三个方面入手，打造可信主机、可信数据、可信网络，有效加强企事业单位办公网络信息安全。

产品功能

? 登录控制

使用基于PKI数字证书认证技术的电子钥匙，代替手工输入密码登录的传统认证方式；电子钥匙支持统一认证方式：集操作系统登录、文件加解密、本地、网络和移动存储介质等多种身份认证为一体，用户无需记忆大量帐号／口令；

? 外设控制

禁用或启用各种外设；可控制光驱为只读；支持移动硬盘接入认证，移动硬盘脱离环境后将无法读写。

? 网络控制

启用或禁用对源／目特定IP/端口的访问能力；非法接入、外联的检测和禁止；支持802.lx接入认证。

? 进程控制

?2006-2009 安码科技 - 15 - 密级：商业机密

产品和解决方案简介

支持白名单／黑名单模式；支持名单动态更新，立即生效，无需重启；支持白名单和黑名单模式动态切换，立即生效；可自动搜索产生基准；支持多种程序特征。

? 用户行为审计

? 加密存储及传输

支持逻辑分区透明加解密，用户对加解密过程无感知，确保主机上的数据加密存储于硬盘，有效解决因硬盘遗失造成信息泄露问题；支持文件、目录加解密，解决木马盗取明文造成信息泄露问题；支持内网文件加密传输，解决文件通过即时通信、邮件等传统方式交互存在的安全问题；支持在线文件交互即时提醒；离线文件交互提供接收信息提醒和查询功能。

? 安全软件自我保护

文件保护功能，防止安全模块与文件被删除及篡改，进程保护功能，具有双进程保护及内核拦截能力，防止相关进程被终止；注册表保护功能，防止关键注册表项被删除、篡改；禁用安全模式功能，防止用户通过安全模式绕行控制。

? 运维管理

网络设备自动搜索；主机状态实时更新；网络硬件设备配置信息自动收集；主机当前运行进程扫描；主机安装软件、服务信息采集。

典型应用

主要包括TSM服务器、控制台、客户端代理、电子钥匙等功能模块或组件。

?2006-2009 安码科技 - 16 - 密级：商业机密

产品和解决方案简介

产品规格

项目 TSM服务器配置要求 OS CPU 内存空间硬盘空间主机终端配置要求 OS CPU占用占用内存空间占用硬盘空间处理能力可管理终端数

≤2000 Windows2000 Professional, Windows XP Professional, Win7 ≤2% 21.8M 13.7M Red Hat Linux 5. 4 英特尔双核至强5310 1. 6GHz 2GB 146GB/SAS 指标 2.6 安全配置检查工具产品概述

随着电信运营商的业务不断发展，网络规模日益扩大，其生产、业务支撑系统的网络结构也变得越来越复杂。其中，重要应用和服务器的数量及种类日益增多，一旦发生维护人员误操作，或者采用一成不变的初始系统设置而忽略了对于安全控制的要求，就可能会极大的影响系统的正常运转。

《配置规范》的出台，采用了统一的安全配置标准来规范技术人员在各类系统上的日常操作，让运维人员有了检查默认风险的标杆，但是面对网络中种类繁杂、数量众多的设备和软件，真正完成合规性的系统配置检查和修复，却成为一个费时费力的事情。

业务系统的安全基线建立起来之后，将形成针对不同系统的详细checklist表格和操作指南，为标准化的技术安全操作提供了框架和标准。其应用范围非常广泛，主要包括新业务系统的上线安全检查、第三方入网安全检查、合规安全检查（上级检查）、日常安全检查等。安码科技根据上述规范推出了合规性检查工具，工具可以针对移动公司内各业务系统的网元进行合规性检查，从系统部署和集成的层面规避缺省脆弱性的存在。

产品功能

?2006-2009 安码科技 - 17 - 密级：商业机密

产品和解决方案简介

? 调度核心模块

调度核心模块是系统最重要的模块之一，它负责完成目标的探测评估工作，包括判定主机存活状态、操作系统识别、模板解析匹配等。? ? Checklist知识库

Checklist知识库包含安全配置检查点相关信息，是系统运行的基础，调度核心模块和数据分析模块都依赖它进行工作。 ? 检查结果库

检查结果库包含了扫描任务的结果信息，是扫描结果报告生成的基础，也是查询和分析结果的数据来源。 ? 数据分析模块

数据分析模块是综合分析、趋势分析和报表合并的统计信息的数据来源，是任务合并、分布式数据汇总之后的结果。 ? 配置模板库

管理员通过此模块可以在进行评估任务之前，对被检查设备自定义相应的安全配置检查点，以及每项检查点的权重。 ? WEB界面模块

WEB界面模块负责和用户进行交互，配合用户的请求完成管理工作。WEB管理模块包含多个子模块共同完成用户的请求，其主要子模块有：

? 任务管理子模块—完成用户评估任务的管理工作。

? 报表子模块—读取扫描结果库，并根据漏洞描述信息和解决方案生成扫描报

表。

? 用户/审计/系统管理子模块

? 系统升级模块--通过此模块可以完成Checklist知识库的更新，并且系统的各个

功能模块都可以通过升级模块进行升级。

?2006-2009 安码科技 - 18 - 密级：商业机密

产品和解决方案简介

? 辅助模块：

本地执行工具---由于一些系统或网络设置的原因，而不能远程检查的目

标系统（如Windows系统），安全配置检查系统有配套的本地执行工具，在待查设备本地执行后可生成报表文件，该文件能导入到安全配置检查系统中进行汇总分析。

典型应用

建立安全基线首先需要对业务系统进行识别和梳理，然后结合基线安全模型分析业务系统的功能架构，再将功能架构细化到系统层面的不同模块。在此基础上，就是针对业务系统特性，分析可能存在的安全威胁，并将针对威胁的应对措施逐层分解到系统实现层。系统实现层中的安全基线要求主要是由安全漏洞方面、安全配置方面等检查项构成，这些检查项的覆盖面、有效性成为了基线安全实现的关键。

应用第三层面安全基线的要求，可以对目标业务系统展开合规性安全检查，以找出不符合的项，并选择和实施安全措施来控制安全风险。

2.7 网络单向物理隔离系统产品概述

网络单向物理隔离系统通过对物理层的有效控制实现单向数据传输，彻底固化数据传送方式及数据流方向，从而确保数据正向受控传输，反向禁止通过。

该系统作为专用高防护级别的安全防护装置，部署于高密级网络与低密级网络之间，严格限制数据传输流向和数据内容。从而在向外发布数据时，只允许数据受控输出，杜绝来自外部网络的恶意攻击；在向内接收数据时，只允许数据受控输入，杜绝任何内部信息的向外泄露。该设备的应用将大大提高不同密级网络连接时数据传输的安全性和可靠性，避免高密级网络遭受恶意攻击或者信息泄漏。

?2006-2009 安码科技 - 19 - 密级：商业机密

产品和解决方案简介

产品功能

? 单向数据导通

采用任何软件控制方法都不能改变硬件链路导通方向，从而达到严格意义上的数据流向物理控制，防止了有意或无意造成的数据非法反向传输。

? “纯净”数据传输

设备采用TCP连接终结的方法，剥离数据包中的TCP/IP头，仅将纯数据通过单向数据通道传输，杜绝了各种利用TCP/IP协议栈漏洞的网络攻击，同时对于应用层教据进行数据验证，保证传输数据的“纯净”，极大提高了接收数据方网络的安全性。

? 信息过滤控制

采用应用数据过滤技术，在网络底层截获数据包，根据用户需求制定安全策略，只允许指定的数据单向通过。

? 网络通信流畅

设备采用专用网络处理器，内核使用高效的过滤算法，百兆状态下的网络吞吐率达到60～80Mbps，不会成为网络通信的瓶颈。

? 透明接入

透明接入用户网络环境，不影响用户原有网络拓朴与配置。 ? 自身安全性

设备内部嵌入系统采用专用的网络处理器NPU加无协议栈系统方式，外部网络无法登录设备内部系统，保证设备系统自身安全。

典型应用

当高密级业务信息系统需要将自己的一些数据通过低密级网络向外发布时，要绝对禁止低密级网络向高密级网络发送数据。当高密级网络需要从低密级网络收集数据时，要绝对禁止高密级网络当中的信息反向向低密级网络发送出去，防止造成泄密。

?2006-2009 安码科技 - 20 - 密级：商业机密

产品和解决方案简介

产品规格

项目指标外部接口网络接口配置管理 4个百兆以太网口（2条单向通路）双机热备接口 1个百兆以太网口（高级配置管理） 1个RS-232口（基础配置功能，RJ-45插座）性能指标吞吐率电源特性交流电源功耗物理／机械特性外形尺寸(mm) 重量硬件色彩与标记电磁兼容 430×40×350 （宽×高×深） <6 kg 符合大系统规范要求满足GJB15IA中相关五项 CSIOI. CS106. RS103、CE102. RE102 环境要求温度湿度维修特性平均故障间隔时间(MTBF)

≥6000小时(100%负荷) 工作温度：-5 -+50℃；存储温度：- 40 - +650c 工作湿度：40% - 90%；存储湿度：30% - 98% 220V-10%, 50Hz+3Hz <20 W +15≥60 Mbps 2.8 网络安全隔离系统产品概述

网络安全隔离系统部署于不同安全域之间，既能实现对网络的相互隔离，又能进行网络数据的安全交换。

系统采用“3+1系统”的硬件架构与内部私有协议,彻底阻断了通用的网络协议，仅保留其中的数据信息，通过安全摆渡达到“安全隔离、数据交换”的目的。

?2006-2009 安码科技 - 21 - 密级：商业机密

产品和解决方案简介

系统设计涵盖了底层的访问控制和应用层的内容检查，具有极高的应用安全性；提供的透明接入方式与千兆线速吞吐率，确保了其具有良好的适用性。

产品功能

安全隔离

系统有两套独立主机系统，并且它们之间不存在任何网络层的直接连接，所有来自两侧网络的攻击都只能对本侧主机系统起作用，无法穿透系统到达对侧网络，从而实现网络安全隔离。

信息交换

用户专用应用层协议的数据交换。透明接入

在不影响用户原有网络拓朴与配置的情况下透明接入用户网络环境。访问控制

能够完成对于IP地址、TCP/UDP端口这些基本的访问控制，还能够对通讯协议应用层字段进行控制。

内容检查

能够对应用层携带的数据内容进行搜索和关键字查找。管理员身份认证

系统管理员的身份可以通过USBKey和用户密码双重身份认证方式进行认证。系统管理能够通过web方式和串口界面对隔离设备方便地进行地址配置等操作，不同管理员拥有不同功能权限和使用界面。

日志审计

日志的浏览、查询、导出等操作（审计报告支持DOC、PDF、EXCEL、HTML等格式）。自身安全性

具有自身安全防护能力，能够抵御针对设备的攻击，保证设备在遭受攻击时正常运行。

典型应用

?2006-2009 安码科技 - 22 - 密级：商业机密

产品和解决方案简介

产品规格

项目外部接口网络连接配置管理 1个RS-232口（高级配置功能）性能指标吞吐量传输时延最大并发连接数电源特性交流电源功耗物理/机械特性外形尺寸（mm）重量硬件色彩与标记电磁兼容 CS101、CS106、RS103、CE102、RE102 环境要求 482×180×400 （宽×高×深，19英寸标准机架，4U高）＜30kg 符合大系统规范要求满足GJB151A中相关五项： 220V ±10 %，50Hz±3Hz <100VA （电源供电能力 ≥300VA）千兆线速无阻塞 ≤1ms （最大吞吐量时） 500,000个 2个千兆以太网口（1000/100/10兆自适应；可选为光纤接口） 1个百兆以太网口（基本配置功能）指标 ?2006-2009 安码科技 - 23 - 密级：商业机密

产品和解决方案简介

温度湿度工作温度：-5 ～ +50℃；存储温度：-40 ～ +65℃ 工作湿度：40% ～ 90%；存储湿度:：30% ～ 98%；

2.9 一体化安全防护设备产品概述

一体化安全防护设备将一个中小型信息网络系统安全防护所需要的边界防护、入侵检测、主机管理、安全设备、事件管理和流量控制，以及值班管理等功能有机地集成为一体，方便安装与使用，有效解决了普通安全设备分立使用，集成度不高、不便加固和运输、设备安装占用空间大、使用维护复杂等问题。

设备机箱结构设计满足《军用通信设备通用技术规范》对设备的要求，成功应用于各类机动式、可搬移以及中小型固定式信息系统的网络安全防护。

产品功能

? 边界访问控制

控制局域网内所有主机与外部广域网的双向网络通信；以透明方式接入使用，不需改变网络系统的原有拓扑结构和其他设备的配置；根据IP地址、服务、用户等级、时间等对流量进行控制，有效地管理网络资源；可实现IP与MAC地址绑定。

? 入侵检测

动态监测网络流量和信息，实时发现、告警和记录非法或异常行为。 ? 漏洞扫描

用实践性的方法扫描分析网络系统，检查系统中存在的弱点和漏洞并生成相应的报告。 ? 主机安全管理

实时监控、动态跟踪系统中每台主机的安全状态，对系统内主机的安全防护策略进行配置管理，可实现对主机进行非法接入／外联监控、外设访问控制、文件访问监控等功能。

? 安全告警与事件管理

根据设定的条件进行事件追溯查询，生成事件逻辑关系图等相关图表；对产生的安全事件按照指定规则进行报警，包括：声音、图形、邮件等；按指定条件将相关事件报告给本系统内其它模块以及上级管理系统；按照用户定制的计划进行历史事件的备份、导出、删除等维护操作；网络入侵检测事件、非法接入／外联、外设访问、文件访问日志、漏洞扫描日志等事件告警及边界访问控制事件采集。

? 网络状态监控

?2006-2009 安码科技 - 24 - 密级：商业机密

产品和解决方案简介

可对内部主机与外部网络之间实时的网络流量、网络连接情况（协议、端口、地址等）进行监控，并提供历史流量统计报表查询。

? 安全应急响应

采用工作流方式对管理人员处理安全事件的过程进行提示、引导、监督和记录；提供安全事件应急响应预案库，以及预案库的快速检索、增改和报表输出等功能；将预案与告警进行关联，根据管理员的设定启动应急响应工作流，并在管理员参与下控制相关安全设备联动。

? 安全值班管理

值班日志向导、历史查询和报表输出，班次管理，上报安全管理报告。

典型应用

产品规格

项目网络连接配置管理指标 2个千兆以太网口（1000/100/10兆自适应 1个千兆以太网口（基本配置功能） 1个RS-232口（高级配置功能）可管理主机数（单服务器） ≤256台吞吐量边界访问控制时延最大并发连接数可用存储空间交流电源 ≥150Kpps（包长为256 bytes时） ≤Ims 50000个 ≥50G 220V+i~%, 50Hz+3Hz ?2006-2009 安码科技 - 25 - 密级：商业机密

产品和解决方案简介

功耗外形尺寸( mm) 重量硬件结构硬件色彩与标记电磁兼容 <300VA(电源供电能力≥500VA) 482×180×400（宽×高×深，19英寸标准机架，4U高） <30kg 按GJB 367A-2001第3.30节有关要求符合大系统规范要求满足GJB15IA中相关五项： CSl01、CS106、RS103、CE102、RE102 振动频率：5. 5～200Hz：加速度：1.5g；试验时间：30分钟；扫描时间：12分钟；振动过程中不开机冲击半正弦11ms；加速度；15g，每方向三次冲击过程中不开机温度湿度平均无故障时间(MTBF) 平均故障恢复时间(MTTR)

工作温度：-15～+45℃：存储温度：-40～+65℃ 工作湿度：40%～90%；存储湿度：30%～98% ≥2400小时 ≤30分钟 2.10 安全运营中心 1、产品概述：

安全运营中心（SOC，Security Operation Center）的建设是目前很多行业用户关注的建设方向，尤其是在电信行业对基于集中安全管理平台来建设SOC的方式，已经越来越被人所关注。

在实际网络应用环境中，来源于防火墙、入侵检测、漏洞扫描、防病毒等等安全设备的事件随着互联网攻击行为和蠕虫的泛滥，在一个中等规模的网络上就可以形成海量安全事件。这些事件中又存在非常多的误报和重复现象，在进行事件分析时，由于只考虑事件本身的严重程度，没有和实际的业务和资产情况结合，使得一些潜在的威胁往往被忽略。

SOC作为一种应用软件产品，安装在用户网管中心的主机里，通过信息网络，把防病毒、防火墙、IDS及其他的安全设备统统纳入自己的管控范围，监看信息系统的威胁、脆弱与资产价值，在应用层上发挥监控、管理、响应、协调作用。

2、产品功能：

“安码SOC系统”是由北京安码科技有限公司自主研发而成的，具有完全自主知识产权的安全运营中心产品。。

?2006-2009 安码科技 - 26 - 密级：商业机密

产品和解决方案简介

产品的主要功能包括：

（1）海量安全事件关联分析：产品通过采集各种安全设备的信息，结合网络结点安全检测获得的脆弱性数据，对海量数据进行关联分析，从中找到真正对网络构成威胁的安全事件。此功能可以把大量原始告警信息进行自动筛选和分级，屏蔽大部分误报，使真正的安全事件得以体现。

（2）网络安全风险动态评估：产品通过大量数据统计分析，对网络当前安全状况作出动态评估，以各种图形、报表等形式呈现给管理人员。此功能有助于网络管理人员实时掌握网络的安全状况，作出及时准确的安全决策。

（3）安全集中管理和实时监控：产品帮助用户从分散式的安全产品分布走向集中式管理，由SOC担负全网统一安全管理和实时监控的任务，应对严峻的安全挑战，是一个一体化安全建设运维的灵魂与核心。

（4）安全自动告警和应急响应：产品把网络脆弱性的信息与威胁信息聚合在一起作实时分析，快速进行匹配，作出自动告警。在攻击面前，没有犹豫时间，必须有应急响应的能力和速度，急需SOC这样的综合关联分析平台发挥作用，以最短的时间帮用户搜集所需的数据，并且加以筛选匹配，支持应急响应。

根据产品功能，SOC系统被细分为如下业务组件：

事件监控中心：监控各个网络设备、操作系统等日志信息，以及安全产品的安全事件报警信息等，以便及时发现正在和已经发生的安全事件，例如网络蠕虫攻击事件、非授权漏洞扫描事件、远程口令暴力破解事件等，及时协调和组织各级安全管理机构进行处理，及时采取积极主动措施，保证网络和业务系统的安全、可靠运行。

漏洞评估中心：通过漏洞评估中心可以掌握全网各个系统中存在的安全漏洞情况，结合当前安全的安全动态和预警信息，有助于各级安全管理机构及时调整安全策略，开展有针对性的安全工作，并且可以借助弱点评估中心的技术手段和安全考核机制可以有效督促各级安全管理机构将安全工作落实。

综合分析决策支持与预警中心：综合分析决策支持与预警中心是综合安全运行管理平台的核心模块，其接收来自安全事件监控中心、性能监控中心和故障监控中心的事件与性能故障信息，依据资产与脆弱性管理平台进行综合的事件与性能故障协同关联分析，并基于资产（CIA属性+价值）和网络拓扑进行风险评估关联分析，按照风险优先级针对各个业务区域和具体事件产生预警，参考网络安全运行知识管理平台的信息，并依据安全策略配置管理平台的策略驱动响应管理中心进行响应处理。

应急管理中心：仅仅及时检测到安全事件是不够的，必须做出即时的、正确的响应才能保证网络的安全。应急管理中心作为SOC的重要组成部分之一为应急响应服务实现工具化、程序化、规范化提供了管理平台。

3、典型应用：

?2006-2009 安码科技 - 27 - 密级：商业机密

产品和解决方案简介

无线移动运营商SOC

在无线移动网络环境下建设综合信息安全管理平台，对整体无线移动网络的各种安全事件进行集中统一管理，建设核心的信息安全管理支撑体系。

图1 系统模块示意图

图2 系统运作示意图

?2006-2009 安码科技 - 28 - 密级：商业机密

产品和解决方案简介

图3 系统界面示例

图4 系统界面示例

4、产品规格:

（1）接收、存储、处理、管理海量信息的能力日志采集：平均1.5万条/秒、峰值3.9万条/秒在线存储：2TB以上

?2006-2009 安码科技 - 29 - 密级：商业机密

产品和解决方案简介

安全分析：平均1.5万条/秒、峰值3.6万条/秒中央数据库：12TB以上还可以多台设备并行工作（2）快速反应和准确报警的能力

平均延迟时间低于10秒，漏报率为1%，误报率低于3% （3）良好的升级替换能力（4）并行计算的扩展性（5）与其它系统对接的兼容性

2.11 VPN产品产品概述

随着我国经济的高度发展，经济领域的竞争日趋激烈，建立跨地区、跨行业、能沟通供应链上下游环节的企业级战略性信息系统已成为企业在市场中获取竞争优势的重要手段。日前，国内企业内部的信息化程度越来越高，很多企业都建有自己的局域网、财务系统等等，但是建设和维护一个远程基础通讯设施所需要的昂贵费用却使绝大多数企业望而却步，他们只能通过远程拨号访问、简单的FTP传输等手段来维系不同地域信息系统之间数据交换的最低要求，严重制约了信息系统整体效能的发挥。在这种前提下，企业迫切需要一种低成本的网络互联解决方案，以实现异地分支机构、合作伙伴或者移动用户与企业总部之间的畅通，安全的交换或者共享业务数据。本品作为一个专业化的网络产品研制、生产销售和服务提供商，对VPN的技术内涵和国外企业的需求特点有着深刻的理解，并具有丰富的VPN产品经验，能满足各种不同类型企业的购网要求，保证企业通信的安全快捷。

产品功能

无需安装客户端，使用简单

采用标准的SSL协议标准，因此用户在客户端只需要使用标准的web浏览器连接internet网，通过网页即可以访问SSL VPN内网的保护资源。相对于使用IPSEC VPN的用户来说，使用SSL VPN之后，管理员省去安装和维护大量客户端的麻烦，网络的管理成本和运营成本也随之降低。

无论用户采用固定地址或动态拨号、有线或无线的方式接入网络，都可以正常使用本产品。用户打开浏览器之后，可以通过地址、域名的方式来登陆SSL VPN，而不需再输入任何端口。

使用IP Tunnel技术支持所有应用和网络访问

?2006-2009 安码科技 - 30 - 密级：商业机密

产品和解决方案简介

除了可以支持传统的WEB Agent技术，而且还可以采用IP Tunnel技术能够支持各种C/S应用，支持所有的基于IP层以上的静态或动态接口端口应用的完全支持，包括：网上邻居、文件共享、FTP、OUTLOOK、SQL、Lotus NOTES、SYBASE、ORACLE等各种应用。本产品还支持终端用户对内网单台机器或保护子网的访问。

终端用户在使用本产品的时候，不需要安装客户端，只需要通过标准浏览器打开SSL VPN的登陆界面之后，安装一个ActiveX控件，在客户端的机器上会自动生成一块专门用于SSL VPN通信的虚拟网卡，从而保证本产品的用户能够使用所有基于IP网络层的应用。详尽的细粒度访问控制

SSL VPN相对于IPSEC VPN而言的一个优势就是客户的细粒度访问控制，本产品对用户的访问控制细粒度已经非常精确。根据组织架构，用户可以分组管理；根据在组织结构中的不同角色，用户可以分角色管理，为每个用户或用户组指定一个或多个角色；根据角色的不同安全级别，用户可以分时间和空间管理，为不同角色或用户划分允许访问的时间段和允许访问的物理地址。

本产品还可以通过内部集成的防火墙，对VPN数据进行访问控制；同时能够对每个用户的访问行为进行日志记录，便于管理员审查。高效的压缩算法，硬卡加密提高访问速度

一般的SSL数据传送是不压缩的，这样会导致客户在访问保护资源的时候速度低下。本产品采用高效的LZO高效流压缩算法，对所有VPN数据先压缩再传输，大大提高了终端用户在使用web资源、C/S应用以及网络访问的效率，能够显著减少下载时间和提高访问速度。特别是终端客户使用无线方式（CDMA、GPRS等）上网的时候，效果会更加明显。

本产品还支持高速硬件加密卡，对所有VPN数据都可以通过硬卡进行加密和解密，分流了CPU的处理数据，从而提高了用户访问资源的处理速度。自主定制用户登陆界面

本产品可以定制登陆界面，管理员根据自己的需求制订用户的登陆界面；同时用户还可以根据个人喜好或工作需要，定制浏览器的页面风格。

典型应用

可以作为公司总部的出口设备，对公司总部的内网进行安全保护；远程终端用户也可以通过VPN安全访问内部的服务器资源。

?2006-2009 安码科技 - 31 - 密级：商业机密

产品和解决方案简介

固定用户公司总部邮件服务器FTP服务器IPSEC/SSL VPN 互联网移动用户OA服务器Web服务器PDA用户【达到的效果】

移动用户可以任何方式接入internet网，通过SSL VPN，移动用户可以安全访问内网的资源。

采用多种认证方式确认用户的身份，确保通信的实体是可信赖的，本产品支持本地数据库、Radius认证、LDAP/AD认证、证书认证和短信校验等方式。用户可以根据企业内网的实际情况进行选择。

移动用户可以同时访问internet数据和企业内部网络数据；彼此之间不会有任何干扰。

支持客户端通过域名的方式登陆网关，方便用户记忆，即使VPN地址发生变化也不影响终端用户的登陆。集成防火墙模块，能对内部资源提供入侵检测和防御保护。

产品规格

分类电气特性功能输入电压使用环境温度使用环境湿度网络接口串口 USB接口详细指标 220V、50－60Hz 5～40 oC 20％～90％ RH 4个10M/100M/1000M自适应网口 2个 1个 ?2006-2009 安码科技 - 32 - 密级：商业机密

产品和解决方案简介

尺寸是否支持硬件加密设备操作系统类型硬件参数提供网络接口类型冗余部件以太网 ADSL拨号接入方式 DHCP分配多链路捆绑路由方式透明方式部署方式双机热备方式单臂路由方式身份认证方式标准1U机架式机箱是 LINUX 4个10/100/1000 M网口、GE光口无 10M/100M/1000M 支持支持支持支持支持支持支持本地用户数据、LDAP/AD、RADIUS、证书、USBKEY认证校验码认证方式短信校验数字证书认证是否支持现有数据库应用服务可用的浏览器 HTTP压缩登陆地址加密算法支持支持手机通过短信接收认证的校验码支持本地CA和第三方CA 支持LDAP/AD/RADIUS等数据库支持LZO流压缩 IP地址、域名方式支持AES、DES、3DES、MD5、SHA、RC2、RC5、DESX、BF、IDEA、CAST5、MD2、RSA、DSA、RIPEMD等加密算法 IE6、IE7、Netscapenavigator 支持 Html/Dhtml, Jsp, Asp,Java applet, Activx, Cookies等各种Web技术 ?2006-2009 安码科技 - 33 - 密级：商业机密

产品和解决方案简介

SSL VPN 支持FTP、Email的Web访问支持基于IP层以上的各种TCP/IP协议的应用。包括：http，Email，Ftp，网上邻居，Notes，Outlook，Oracle, SQL等各种动态和静态的C/S应用支持单主机和保护子网的访问标准PKI 支持本地CA和第三方CA 支持SECP协议远程注册、更新证书支持LDAP协议远程获取证书支持CRL和CRL的自动更新用户组管理和角色管理用户接入权限和访问权限控制用户组的访问时间支持指定用户可访问的资源限制用户只能在指定的时间段登陆限制用户只能在指定的地址范围登陆黑名单用户不能访问SSL VPN资源控制用户的访问时间、地址、资源等扫描系统安装的补丁和杀毒软件支持支持支持客户端硬件特征码绑定支持支持支持支持 GUI管理器，telnet、consle口等通过GUI管理器远程管理SSL VPN 访问细粒度控制控制允许用户组的登陆地址支持用户黑名单防火墙控制用户访问细粒度客户端安全性扫描客户端缓存清空客户端安全性客户端Cookie清空客户端访问记录清空客户端特征码绑定实时监控用户接入清空实时监控在线中断用户实时监控系统的运行管理方式集中管理管理平台远端管理 ?2006-2009 安码科技 - 34 - 密级：商业机密

产品和解决方案简介

分层管理高可靠性双系统备份日志管理性能参数最大并发用户数加密吞吐量（Mbps）平均转发延迟（毫秒）新建连接速率（个连接/秒）自动恢复双机热备配置恢复多链路捆绑支持管理员和审计员的身份 Watchdog自动恢复支持恢复以前保存的配置多链路备份和均衡，增加出口带宽、增强链路可靠性升级失败后自动恢复到备份系统，不用返厂维修日志记录、日志文件的导出或外部的日志服务器 300/750/ 1450 80/85/256 0.3~0.4 100/250/500

2.12 信息安全试验室系统平台产品概述：

信息安全涉及到很多内容，比如网络攻击、计算机病毒、身份验证、访问控制、信息隐藏、加密通信、安全操作系统、防火墙技术、入侵检测技术、网络扫描、协议分析等，其中的很多试验都无法现有的实验室中完成。本信息安全实验室系统平台分为三个子平台，可全面的而有效的完成信息安全的教学和实验，并可进行真实环境下的网络攻防的实践。

产品功能：

三个子平台：（1）信息安全实验室仿真模拟平台。包括七个子实验系统：密码学实验子系统、路由交换实验子系统、PKI/CA实验系统、网络攻防实验子系统、入侵检测与防御实验子系统、木马病毒实验子系统、安全审计实验子系统和防火墙/VPN 实验子系统。

?2006-2009 安码科技 - 35 - 密级：商业机密

产品和解决方案简介

（2）全真模拟平台。通过VMWare虚拟环境和真实的网络设备内核映像，可以在一台主机上用四个虚拟机搭建起来全真的模拟信息安全平台，网络间的流量和我们真实环境的流量完全没有区别。

?2006-2009 安码科技 - 36 - 密级：商业机密

产品和解决方案简介

（3）完全真实平台：通过配置商用安全产品，搭建一个真实的网络攻防环境，即可对学生进行真实的攻击和防护实验，又可对科研产品进行验证试验。

典型应用：

?2006-2009 安码科技 - 37 - 密级：商业机密

产品和解决方案简介

?2006-2009 安码科技 - 38 - 密级：商业机密