电力业：NBAD内网安全管理方案

　主要功能：

　　流量分析

　　·用户分析 – 通过一个列表，管理人员可了解网内每个用户流量的大小和在网络中的流量排名，从而找到具有潜在威胁的用户；

　　·协议分析 – 管理人员对流量排行榜上的某个用户进行协议分析，以了解该用户可能正在使用哪些应用，从而确认是否存在风险；

　　·实时分析 - 管理人员可以对网内流量进行实时的分析，了解流量传输的最新情况。

　　异常分析

　　·侦测网络流量异常，并通过邮件通知管理人员；

　　·能够侦测已知常见蠕虫病毒，并自动对问题用户进行封锁；

　　·对于用户进行超流分析，超过规定流量执行封锁并能根据封锁时间设定进行自动解锁。

　　3）内网威胁管理

　　内网威胁管理系统是一个网络安全设备管理器，不仅仅用于NBAD内网安全管理系统中功能组件的统一管理和维护，还可以与各种品牌的网络设备互动，进行联合防御。它通过一个单一的网页页面，对分散部署的NBAD安全设备进行管理。在威胁发生时，管理人员只需要查看其提供的威胁报告就能了解网络中发生了哪些问题，而不用忙于在多个设备的管理界面之间不断切换。并且，系统还支持根据事先定义的安全策略并联合其他网络设备自动对威胁采取措施，做到第一时间响应，降低了风险扩大的可能性，同时提高了效率。

　　主要功能：

　　集中管理

　　·集中管理部署在网络中的威胁检测器(Sensor)，威胁分析器(Analyzer)；

　　·通过一个单一界面查看、分析、管理网络威胁事件；

　　智能管理

　　·发现网络威胁事件后通过预定策略进行自动处理；

　　·问题解决后，自动恢复封锁主机的网络连接。

　　联合防御

　　·攻击源定位，通过查看交换机的CAM表，对攻击源进行定位；

　　·与其他网络设备进行交互，可实施端口关闭、限速等联合防御措施。

　　新颖性、先进性和实用性分析

　　NBAD局域网资源暨威胁管理系统是针对于内网资源及信息安全管理的一整套解决方案，是目前国内唯一通过ASIC硬件架构实现的内网信息安全管理体系架构，秉承ISO27001/27002的基本精神，基于用户现有的网络结构，融和用户先前分散部署的安全设备，帮助用户构建一个主动式的完善的内网信息安全防控体系。其主要特性如下：

　　·现有安全产品全部采用特征码识别技术，有赖于经常升级特征库，在应对未知（新型）威胁和无特征威胁时（如ARP攻击），起不到任何作用。这些威胁特别是无特征威胁恰恰是内网信息安全最大的安全隐患。现有安全产品在应对这类威胁时力不从心。NBAD解决方案基于全新的异常行为识别模式，在内网构建一个完善的类似于疾病防控体系一般的内网威胁防御体系，特别适合于应对未知的和无特征的威胁。确保网络健康高效运行。

　　·通过全网IP地址和mac地址的集中身份管理、统一策略，大幅度提升了用户的整体安全管理水平，并解决以往由交换机端口实现的分散身份管理带来的管理混乱的问题，提高了灵活性，大幅提升信息化管理水平。准确的身份管理是信息安全的第一步，也是最重要的一步。

　　·防御措施全部在网络底层或网络边缘由硬件实现，不需要安装任何客户端软件，不影响现有主机和业务系统的性能。·

　　·全部产品采用旁接设计，既不会改变用户现有网络结构，也不会对现有的网络设备和应用系统的正常使用造成任何不必要的危害，即便在最极端的设备死机或掉电的情况下，也不会影响用户的网络稳定和其他任何业务的正常使用。

　　·通过与现有设备的信息交互，能够整合现有设备，实现全网联合防御。

　　·对网络资源和信息安全进行严格规范的管理，并可生成完善的报表，提供科学的决策依据，进一步提升信息化管理水平。

　　建立信息安全流程和体系架构是信息安全管理的发展趋势，NBAD局域网资源暨威胁管理系统作为一个创新的体系，能够极大的提高原有设备的效能，对异常行为进行主动干预和自动的规范化处理，变被动防御为主动管理，是用户现有安全体系的重要的、有力的补充。

　　识别技术对比分析

　　特征码识别技术的局限性：

　　·依赖于特征码库的逐条逐包比对，运算量巨大，系统响应速度慢，处理能力有限；

　　·依赖于特征库的定期升级，如果升级不及时，就将完全失去防御能力；

　　·适合在网关处部署，不适合在数据量巨大的内网中部署，并且在内网中不易升级病毒库；

　　·只能被动识别特征库中已经存在的病毒和攻击，对于新出现的病毒和未来可能的威胁无法识别，更无法防御；

　　·对于无任何病毒特征的攻击行为（如ARP和NDS钓鱼等），没有防范能力。

　　行为判别技术的特点：

　　·无需逐包检查，只对网络异常行为进行审计和管理，简单高效；

　　·无需升级病毒库，使用简便，无需维护；

　　·强大的数据处理能力，适合全网部署，极大地提高全网安全性；

　　·主动进行全网异常监测和隔离管理，从网络底层入手主动应对现有及未来的各种威胁；

　　·特别适合识别各类没有特征的攻击行为。

　　总结：

　　药品永远滞后于病毒，非典、禽流感和目前的猪流感再三证明了被动式病毒识别的巨大安全漏洞。相反，在这些新型病毒面前，主动侦测、主动防御的疾病防控体系却成为了公共卫生安全最为重要的保障。信息安全同样如此，建设一个主动的威胁防控体系是至关重要的。而在这个体系中，行为识别技术起到了类似于疾病防控体系中温度感应识别相同的作用，为迅速发现威胁并隔离威胁提供预警。

　　用户收益分析

　　网络系统部署方正NBAD内网安全管理解决方案后，可实现的系统功能和用户收益如下：

　　·方正NBAD Sensor作为已有传统的安全设备（如：防火墙，IPS）的有效补充，基于独有的攻击行为识别技术进行判断，彻底杜绝以前不能解决的各种攻击问题，能够主动并及时解除出现重大泄密事故的隐患，保证内网的安全和稳定；

　　·同时可对感染新型病毒及使用新型攻击软件的电脑进行有效的自动隔离，避免其影响全网的运行，通过对IP/MAC资源的维护，加强了对内部用户的管理；

　　·方正NBAD Analyzer对网络的异常流量带宽进行有效的检测和隔离，避免少数人的不当使用造成网络堵塞导致的业务停止事故，对异常行为进行主动干预和自动的规范化处理，能够生成可定制的各种报表供清查问题时的审计工作之用；

　　·方正NBAD Manager单一平台对全网进行有效监控，24小时不间断工作，能够与原来部署的防火墙、IPS等设备配合进行联合防御，实现检测、阻断、恢复操作自动化，网络安全管理变被动为主动，网络安全等于上了双保险。

　　·方正NBAD解决方案全线产品全部基于网络旁接设计，既不会改变用户现有网络结构，也不会对现有的网络设备和应用系统的正常使用造成任何不必要的危害，即便在最极端的设备死机或掉电的情况下，也不会影响用户的网络稳定和其他任何业务的正常使用。

　　结论

　　通过在现有网络安全体系中增加方正 NBAD内网威胁管理系统，能够有效的检测和防御新型威胁，保证网络的健康高效运行，改善和保障了整体网络应用的服务质量，是之前部署的防火墙、IPS等安全设备的有效补充，最终为网络中的用户提供主动式的、智能化的、可视化的局域网安全管理服务，使得网络管理员能够轻松的预防、防御网络中的威胁，保证自己的网络运行效率，为局域网安全管理提供有力的武器，达到预防能力强、防御全面化、响应速度快的内网信息安全管理的总体目标。