IDS产品技术白皮书
I D S产品技术白皮书-标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
UnisIDS技术白皮书
1UnisIDS 简介
1.1入侵检测系统概述
1.1.1入侵检测系统分类
不同于防止只针对具备一定条件入侵者进入的防火墙,入侵检测系统(IDS ,Intrusion Detection System)可以在系统内部定义各种hacking手段,进行实时监控的功能。如果说防火墙是验证出入者身份的“大门”,那么 IDS相当于进行“无人自动监控”的闭路电视设备。入侵检测大致可分为基于网络的入侵检测和基于主机的入侵检测两种类型。
基于网络的入侵检测系统具有如下特点:
通过分析网络上的数据包进行入侵检测
入侵者难以消除入侵痕迹–监视资料将保存这些信息
可以较早检测到通过网络的入侵
可以检测到多种类型的入侵
扫描–利用各种协议的脆弱点
拒绝服务攻击–利用各种协议的脆弱点
hacking代码规则匹配–识别各种服务命令
可灵活运用为其他用途
检测/防止错误网络活动
分析、监控网络流量
防止机密资料的流失
图 1网络入侵检测模型
而基于主机的入侵检测系统则具有以下的特点
具有系统日志或者系统呼叫的功能
可识别入侵成功与否
可以跟踪、监视系统内部行为
检测系统缓冲区溢出
基于主机的入侵检测可以区分为
基于单机的入侵检测系统(收集单一系统的监视资料并判断入侵与否)
基于多机的入侵检测系统(从多个主机收集监视资料并判断入侵与否)
而清华紫光推出的UnisIDS入侵检测系统,实现了基于主机检测功能和基于网络检测功能的无缝集成,UnisIDS通过对系统事件和网络上传输的数据进
行实时监视和分析,一旦发现可疑的入侵行为和异常数据包,立即报警并做出相应的响应,使用户的系统在受到破坏之前及时截取和终止非法的入侵或内部网络的误用,从而最大程度的降低系统安全风险,有效的保护系统的资源和数据。
1.1.2入侵检测系统技术组成因素
如图 2所示入侵检测系统的处理过程分为数据采集阶段,数据处理及过滤阶段,入侵分析及检测阶段,报告以及响应阶段等 4 阶段。
图 2入侵检测的技术组成因素
数据采集阶段是数据审核阶段。入侵检测系统收集目标系统中引擎(Agent)提供的主机通讯数据包和系统使用等情况。
数据处理及过滤阶段是把采集到的数据转换为可以识别是否发生入侵的阶段。
分析及检测入侵阶段通过分析上一阶段提供的数据来判断是否发生入侵。这一阶段是整个入侵检测系统的核心阶段,根据系统是以检测异常使用为目的还是以检测利用系统的脆弱点来或应用程序的BUG来进行入侵为目的,可以区分为异常行为和错误使用检测。
报告及响应阶段针对上一个阶段中进行的判断作出响应。如果被判断为发生入侵,系统将对其采取相应地响应措施,或者通知管理人员发生入侵以便于
采取措施。最近人们对入侵检测以及响应的要求日益增加,特别是对其跟踪功能的要求越来越强烈。
1.1.3入侵检测/响应流程图
图 3入侵检测/响应流程图
如上图,网络入侵系统对网络活动进行检测、过滤、监控、判断入侵与否并根据管理者的安全策略进行相应地响应,响应的形式可以是多种多样的。如果一个会话匹配Network Agent的规则,则作出相应的入侵响应。
1.2UnisIDS的特点
1.2.1U nisIDS的特点
UnisIDS针对INTERNET或者INTRANET的安全威胁因素,提供各种详尽的检测及响应机制,从而提高整个网络资源的安全性能。在不影响网络性能的情况下,通过简单的设置来有效地增强系统的安全性。
UnisIDS主要包括管理中心Admin、基于网络的入侵检测引擎Network Agent和基于主机的入侵检测引擎Host Agent(即将推出)三个模块,用户可根据需要选用相应的模块。
Admin(管理中心)是UnisIDS的管理中心,提供友好的用户界面,通过对配置和策略的管理集中控制引擎的工作,对网络和服务器的状态进行实时监视,并可以生成各种统计报表。
IDS产品技术白皮书
I D S产品技术白皮书-标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
UnisIDS技术白皮书
1UnisIDS 简介 1.1入侵检测系统概述 1.1.1入侵检测系统分类 不同于防止只针对具备一定条件入侵者进入的防火墙,入侵检测系统(IDS ,Intrusion Detection System)可以在系统内部定义各种hacking手段,进行实时监控的功能。如果说防火墙是验证出入者身份的“大门”,那么 IDS相当于进行“无人自动监控”的闭路电视设备。入侵检测大致可分为基于网络的入侵检测和基于主机的入侵检测两种类型。 基于网络的入侵检测系统具有如下特点: 通过分析网络上的数据包进行入侵检测 入侵者难以消除入侵痕迹–监视资料将保存这些信息 可以较早检测到通过网络的入侵 可以检测到多种类型的入侵 扫描–利用各种协议的脆弱点 拒绝服务攻击–利用各种协议的脆弱点 hacking代码规则匹配–识别各种服务命令 可灵活运用为其他用途 检测/防止错误网络活动 分析、监控网络流量 防止机密资料的流失
图 1网络入侵检测模型 而基于主机的入侵检测系统则具有以下的特点 具有系统日志或者系统呼叫的功能 可识别入侵成功与否 可以跟踪、监视系统内部行为 检测系统缓冲区溢出 基于主机的入侵检测可以区分为 基于单机的入侵检测系统(收集单一系统的监视资料并判断入侵与否) 基于多机的入侵检测系统(从多个主机收集监视资料并判断入侵与否) 而清华紫光推出的UnisIDS入侵检测系统,实现了基于主机检测功能和基于网络检测功能的无缝集成,UnisIDS通过对系统事件和网络上传输的数据进
网神SecIPS 3600入侵防御系统产品白皮书
●版权声明 Copyright ? 2006-2011 网神信息技术(北京)股份有限公司(“网神”)版权所有,侵权必究。 未经网神书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。 ●文档信息 ●版本变更记录
目录 1产品概述 (4) 2产品特点 (4) 3产品功能 (12) 4产品资质............................................................................. 错误!未定义书签。
1产品概述 网神SecIPS 3600入侵防御系统(简称:“网神IPS”)将深度内容检测、安全防护、上网行为管理等技术完美地结合在一起。配合实时更新的入侵攻击特征库,可检测防护3000种以上的网络攻击行为,包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁,并具有丰富的上网行为管理,可对P2P、聊天、在线游戏、虚拟通道等内网访问实现细粒度管理控制。从而,很好地提供了动态、主动、深度的安全防御。 2产品特点 网神IPS的完善体系结构包括两大部分:强化安全的专用操作系统和模块化硬件系统。以下分别介绍这两大部分。 高效的体系结构 在平台优化的核心技术方面,主要有以下三个方面。 1)零拷贝技术 数据包以Scatter-and-Gather方式主动通过千兆网卡DMA进入内存后就不再拷贝,有效地减少内存存取次数。 2)核心层优化 所有报文的解析与比对都由核心层(Kernel)进行,完全不用通过核心层与应用层之多余的转换,因此不用进行内存拷贝,从而有效地减少内存存取次数。
数据库审计系统_技术白皮书V1.0
此处是Logo 数据库审计系统 技术白皮书 地址: 电话: 传真: 邮编:
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属北京所有,受到有关产权及版权法保护。任何个人、机构未经北京的书面授权许可,不得以任何方式复制或引用本文的任何内容。 ■适用性声明 文档用于撰写XX公司产品介绍、项目方案、解决方案、商业计划书等。
目录 一.产品概述 (1) 二.应用背景 (1) 2.1现状与问题 (1) 2.1.1现状 (1) 2.1.2问题 (1) 2.2需求分析 (3) 2.2.1政策需求 (3) 2.2.1.1《信息系统安全等级保护基本要求》 (3) 2.2.1.2《商业银行信息科技风险管理指引》 (3) 2.2.2技术需求 (4) 2.2.3管理需求 (4) 2.2.4性能需求 (4) 2.2.5环境与兼容性需求 (5) 2.2.6需求汇总 (5) 三.产品介绍 (5) 3.1目标 (5) 3.2产品功能 (6) 3.2.1数据库访问行为记录 (6) 3.2.2违规操作告警响应 (6) 3.2.3集中存储访问记录 (6) 3.2.4访问记录查询 (7) 3.2.5数据库安全审计报表 (7) 3.3产品部署 (7) 3.3.1旁路部署 (7) 3.3.2分布式部署 (8) 3.4产品特性 (9) 3.4.1安全便捷的部署方式 (9) 3.4.2日志检索能力 (9) 3.4.3灵活的日志查询条件 (10) 3.4.4灵活的数据库审计配置策略 (10) 3.4.5数据库入侵检测能力 (10) 3.4.6符合审计需求设计 (11) 四.用户收益 (11) 4.1对企业带来的价值 (11) 4.2全生命周期日志管理 (12) 4.3日常安全运维工作的有力工具 (12)
天融信网络安全卫生NGIDS 技术白皮书
网络卫士入侵检测系统 TopSentry 产品说明 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119 https://www.360docs.net/doc/029791374.html,
版权声明本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有, 未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形 式的担保、立场倾向或其他暗示。 若因本手册或其所提到的任何信息引起的直接或间接的资料流失、 利益损失, 天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考, 有关内容可能会随时更新,天融信恕不承担另行通知之义务。 版权所有 不得翻印? 1995-2009天融信公司 商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的 注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。 TopSEC?天融信 信息反馈 https://www.360docs.net/doc/029791374.html,
目 录 1 产品概述 (1) 2 产品特点 (1) 3 产品功能 (5) 4 运行环境与标准 (6) 5 典型应用 (8) 5.1 基本的典型应用 (8) 5.2 多级管理部署方式 (8)
1 产品概述 网络卫士入侵检测系统是由北京天融信公司自主研发的基于网络的入侵检测系统。 北 京天融信公司基于多年来积累的安全产品研发和实施经验, 集中强大的研发队伍推出具有 完善功能和出色性能的入侵检测产品。 网络卫士入侵检测系统部署于网络中的关键点,实时监控各种数据报文及网络行为, 提供及时的报警及响应机制。其动态的安全响应体系与防火墙、路由器等静态的安全体系 形成强大的协防体系,大大增强了用户的整体安全防护强度。 2 产品特点 增强的多重入侵检测技术 ?网络卫士 IDS 综合使用误用检测、异常检测、智能协议分析、会话状态分析、实 时关联检测等多种入侵检测技术,大大提高了准确度,减少了漏报、误报现象。 ?采用基于协议分析的误用检测技术,实时跟踪各种系统、软件漏洞,并及时更新 事件库,可以及时、准确地检测到各种已知攻击。 ?网络卫士 IDS 建立了完备的异常统计分析模型, 用户还可以根据实际网络环境适 当调整相关参数,更加准确地检测到行为异常攻击。并且,基于内置的强大协议 解码器,网络卫士 IDS 能够检测到各种违背 RFC协议规范的协议异常攻击。 ?内置了遵循 RFC 规范, 并基于对协议在实践中的具体执行过程的充分理解而建立 的协议解码器。通过详尽、细粒度的应用协议分析技术,提高了检测的准确性。 ?有些网络攻击行为仅靠检测单一的连接请求或响应是检测不到的, 因为攻击行为 包含在多个请求中。加入状态特性分析,即不仅仅检测单一的连接请求或响应, 而是将一个会话的所有流量作为一个整体来考虑。 网络卫士 IDS能够维护完整的 会话列表,并实时跟踪会话状态。通过重组网络数据包、监控并分析会话状态, 在有效地防止 IDS 规避攻击的同时,不仅可以减少误报和漏报,而且可以大大提 高检测性能。
产品说明&技术白皮书-天融信入侵防御系统产品说明
天融信网络入侵防御TopIDP系列 产品说明 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:(86)10-82776666 传真:(86)10-82776677 服务热线:400-610-5119 800-810-5119 Http: //https://www.360docs.net/doc/029791374.html,
1前言 (2) 2网络入侵防御系概况 (2) 2.1入侵防御系统与防火墙 (3) 2.2入侵防御系统与IDS (3) 3天融信网络入侵防御系统TOPIDP (3) 3.1产品概述 (3) 3.2T OP IDP体系架构 (4) 3.3T OP IDP主要功能 (5) 3.4天融信网络入侵防御系统T OP IDP特点 (6) 3.4.1领先的多核SmartAMP并行处理架构 (6) 3.4.2强大的攻击检测能力 (6) 3.4.3精准的应用协议识别能力 (7) 3.4.4实用的网络病毒检测功能 (8) 3.4.5智能的上网行为监控和管理 (8) 3.4.6立体的Web安全防护 (8) 3.4.7先进的无线攻击防御能力 (9) 3.4.8精确的QOS流量控制能力 (9) 3.4.9灵活的自定义规则能力 (9) 3.4.10丰富的网络部署方式 (9) 3.4.11高可靠的业务保障能力 (10) 3.4.12可视化的实时报表功能 (10) 4天融信网络入侵防御系统TOPIDP部署方案 (11) 4.1.1典型部署 (11) 4.1.2内网部署 (12) 4.1.3IDP.VS.IDS混合部署 (13) 4.1.4WIPS旁路部署 (14) 5结论 (15)
1前言 随着计算机网络与信息化技术的高速发展,越来越多的企业、政府构建了自己的互联网络信息化系统,互联网络已成为人们生活中必不可缺的工具,在网络带来高效和快捷的同时,网络安全形势也从早期的随意性攻击,逐步走向了以政治或经济利益为主的攻击; 攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击;攻击的层面也从网络层,传输层转换到高级别的网络应用层面;而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行为上,其攻击行为有明显的政治或经济诉求目的,给政府、企业的网络信息业务系统安全造成极大隐患。 同时,大量的网络资源滥用充斥在整个网络通路上,各种基于P2P协议的资源下载工具、网络视频、网络游戏、IM视频通讯工具等造成企业网络带宽过度消耗,影响企业正常业务系统运行。 能否主动发现并防御这些网络攻击,规范终端的网络行为,保护企业的信息化资产,保障企业业务系统的正常运行,是企业要面临的重要问题。 2网络入侵防御系概况 网络入侵防御系统,简称IDP(Intrusion Detection and Prevention System ),是串联在计算机网络中可对网络数据流量进行深度检测、实时分析,并对网络中的攻击行为进行主动防御的安全设备;入侵防御系统主要是对应用层的数据流进行深度分析,动态地保护来自内部和外部网络攻击行为的网关设备。必须同时具备以下功能 ●深层检测(deep packet inspection) ●串连模式(in-line mode) ●即时侦测(real-time detection) ●主动防御(proactive prevention) ●线速运行(wire-line speed)
绿盟威胁分析系统产品白皮书
■版权声明绿盟威胁分析系统产品白皮书 【绿盟科技】 ■文档编号NSF-PROD-TAC-产品白皮书-V1.0 ■密级完全公开 ■版本编号V1.0 ■日期2013-10-10 ■撰写人唐伽佳■批准人段小华 ?2016绿盟科技
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。 ■版本变更记录 时间版本说明修改人 2013-10-10 V1.0 新建唐伽佳
目录 一. 前言 (1) 二. 攻防的新特点 (2) 三. 攻防技术发展特点 (3) 四. 绿盟威胁分析系统 (4) 4.1体系结构 (6) 4.2主要功能 (6) 4.3部署方案 (10) 五. 结论 (10)
插图索引 图 4.1 绿盟威胁分析系统体系架构 (6) 图 4.2 NSFOCUS TAC 虚拟执行过程图 (8) 图 4.3 NSFOCUS TAC SPAN和TAP部署方案 (10) 图 4.4 NSFOCUS NIPS(N系列)多链路防护解决方案......................................... 错误!未定义书签。
一. 前言 如今,政府和企业同时面临着一个不断演变的网络威胁环境。最初的黑客攻击是为了获得影响力及自我满足去攻击媒体网站,或者使用DoS方式来中断网站的服务;而现在已演变成为了经济、政治等目的的攻击。攻击者能够通过窃取知识产权来直接获取利益,也可以入侵、窃取客户的个人金融信息,更有甚者破坏对方的服务以至国家的基础设施。动机的变化,同时也带来了攻击方式的变化。 从过去广泛、漫无目的的攻击威胁,在数年内迅速的转化为针对受害者组织将造成严重后果的高级可持续威胁(Advanced Persistent Threat)。高级可持续威胁(APT)是由美国空军的信息安全分析师与2006年创造的术语,一般来说,高级可持续威胁具备以下三个特点: 高级:攻击者为黑客入侵技术方面的专家,能够自主的开发攻击工具,或者挖掘漏洞,并通过结合多种攻击方法和工具,以达到预定攻击目标。 持续性渗透:攻击者会针对确定的攻击目标,进行长期的渗透。在不被发现的情况下,持续攻击以获得最大的效果。 威胁:这是一个由组织者进行协调和指挥的人为攻击。入侵团队会有一个具体的目标,这个团队训练有素、有组织性、有充足的资金,同时有充分的政治或经济动机。 此类APT威胁往往可以绕过防火墙、IPS、AV以及网闸等传统的安全机制,悄无声息的从企业或政府机构获取高级机密资料。在2012年Verizon信息外泄调查报告中可以看到,2011年发生的重大信息数据外泄的受访组织中,有59%是在相关执法机构告知后才知道信息外泄的情况。 Gartner在2012年的报告中说道:“越来越多的人同意APT攻击是可以避开我们传统的基于特征的安全检测机制,并且存在与系统内的时间越来越长,无法被侦测出来。威胁真的发生了,你已经被入侵,只是你不知道而已”。 高级可持续威胁(APT)已经成为当今公认最具威胁的网络攻击类型。
东软入侵检测系统
NetEye IDS 东软入侵检测系统 NetEye IDS 技术白皮书
Neteye IDS 目录 1概述 (2) 1.1网络面临的主要威胁 (2) 1.2入侵检测系统IDS,消除网络威胁 (2) 1.3NetEye IDS 2.2, 给您提供全面的安全 (2) 2系统结构 (2) 2.1检测引擎 (2) 2.2NetEye IDS 管理主机 (2) 3功能模块简介 (2) 3.1网络攻击与入侵检测功能 (2) 3.2多种通信协议内容恢复功能 (2) 3.3应用审计和网络审计功能 (2) 3.4图表显示网络信息功能 (2) 3.5报表功能 (2) 3.6实时网络监控功能 (2) 3.7网络扫描器。 (2) 3.8数据备份恢复功能 (2) 3.9其它辅助管理,配置工具。 (2) 4技术特点 (2) 5典型应用示例 (2) 5.1简单区域网应用示例 (2) 5.2分布式监测应用示例 (2) 2
Neteye IDS 1概述 由于互联网络的发展,整个世界经济正在迅速地融为一体,而整个国家犹如一部巨大的网络机器。计算机网络已经成为国家的经济基础和命脉。计 算机网络在经济和生活的各个领域正在迅速普及,一句话,整个社会对网络 的依赖程度越来越大。众多的企业、各种组织、政府部门与机构都在组建和 发展自己的网络,并连接到Internet上,以充分利用网络的信息和资源。网 络已经成为社会和经济发展强大动力,其地位越来越重要。伴随着网络的发 展,带来了很多的问题,其中安全问题尤为突出。了解网络面临的各种威胁, 防范和消除这些威胁,实现真正的网络安全已经成了网络发展中最重要的事 情。 网络面临的主要威胁 日益严重的网络信息安全问题,不仅使上网企业、机构及用户蒙受巨大的经济损失,而且使国家的安全与主权面临严重威胁。要避免网络信息安全 问题,首先必须搞清楚触发这一问题的原因。总结起来,主要有以下几个方 面原因: (1)黑客的攻击:黑客对于大家来说,不再是一个高深莫测的人物,黑客技术逐渐被越来越多的人掌握和发展。目前,世界上有20多万个黑客网 站,这些站点介绍一些攻击方法和攻击软件的使用以及系统存在的一些漏 洞,因而系统、站点遭受攻击的可能性就变大了。尤其是现在还缺乏针对网 络犯罪卓有成效的反击和跟踪手段,使得黑客攻击的隐蔽性好,“杀伤力” 强,是网络安全的主要威胁。 (2)管理的欠缺: 3
安全审计系统产品白皮书
绿盟安全审计系统产品白皮书 ? 2011 绿盟科技
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,并受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。 ■商标信息 绿盟科技、NSFOCUS、绿盟是绿盟科技的商标。
目录 一. 前言 (1) 二. 为什么需要安全审计系统 (1) 2.1安全审计的必要性 (2) 2.2安全审计系统特点 (3) 三. 如何评价安全审计系统 (3) 四. 绿盟科技安全审计系统 (4) 4.1产品功能 (4) 4.2体系架构 (5) 4.3产品特点 (7) 4.3.1 网络事件“零遗漏”审计 (7) 4.3.2 高智能深度协议分析 (7) 4.3.3 全面精细的敏感信息审计 (7) 4.3.4 多维度网络行为审计 (7) 4.3.5 全程数据库操作审计 (8) 4.3.6 业界首创“网站内容安全”主动审计 (9) 4.3.7 强劲的病毒检测能力 (9) 4.3.8 基于协议的流量分析 (10) 4.3.9 基于对象的虚拟审计系统 (10) 4.3.10 强大丰富的管理能力 (10) 4.3.11 审计信息“零管理” (12) 4.3.12 方便灵活的可扩展性 (13) 4.3.13 高可靠的自身安全性 (13) 4.4解决方案 (13) 4.4.1 小型网络之精细审计方案 (13) 4.4.2 中型网络之集中审计方案 (14) 4.4.3 大型网络之分级审计方案 (15) 五. 结论 (16)
天融信网络卫士入侵防御IDP系列产品白皮书
天融信产品白皮书网络卫士入侵防御系统 TopIDP系列
网络卫士入侵防御系统 TopIDP 天融信公司为了满足市场上用户对入侵防御产品的需求,推出了“网络卫士入侵防御系统TopIDP”。它是基于新一代并行处理技术开发的网络入侵防御系统,通过设置检测与阻断策略对流经TopIDP的网络流量进行分析过滤,并对异常及可疑流量进行积极阻断,同时向管理员通报攻击信息,从而提供对网络系统内部IT资源的安全保护。 TopIDP采用天融信自主研发的TOS操作系统和多核处理器的硬件平台,保证了TopIDP 产品更高性能地对网络入侵进行防护。TopIDP能够阻断各种非法攻击行为,比如利用薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等。入侵防御策略库随时防护目前业内最流行的入侵攻击行为。与现在市场上的入侵防御系统相比,TopIDP系列入侵防御系统具有更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持,代表了最新的网络安全设备和解决方案发展方向,堪称网络入侵检测和防御系统的典范。 强大的高性能多核并行处理架构 TopIDP产品采用了先进的多核处理器硬件平台,将并行处理技术成功地融入到天融信自主知识产权操作系统TOS(Topsec Operating System)系统,集成多项发明专利,形成了先进的多核并发运算的架构技术体系。在此基础上的TopIDP产品具有高速的数据并行检测处理和转发能力,能够胜任高速网络的安全防护要求。
图1 多核CPU内部运算示意图 ●精确的基于目标系统的流重组检测引擎 传统的基于单个数据包检测的入侵防御产品无法有效抵御TCP流分段重叠的攻击,任何一个攻击行为通过简单的TCP流分段组合即可轻松穿透这种引擎,在受保护的目标服务器主机上形成真正的攻击。TopIDP产品采用了先进的基于目标系统的流重组检测引擎,首先对到达的TCP数据包按照其目标服务器主机的操作系统类型进行流重组,然后对重组后的完整数据进行攻击检测,从而从根源上彻底阻断了TCP流分段重叠攻击行为。 ●准确与完善的检测能力 TopIDP产品的智能检测引擎可分析网络攻击的组合行为特征来准确识别各种攻击,准确性更高;可以智能地识别出多种攻击隐藏手段及变种攻击,带来更高安全性;通过智能化检测引擎,能够识别出多种高危网络行为,并可以将此类行为以告警方式通知管理员,达到防患于未然的目的,带来更高网络安全性;同时新版TopIDP具有强大的木马检测与识别能力;完善的应用攻击检测与防护能力;丰富的网络应用控制能力和及时的应急响应能力。
天融信安全管理平台TopAnalyzer产品白皮书
天融信产品白皮书网络卫士安全管理平台TopAnalyzer系列
安全运维管理中心TopAnalyzer 随着信息安全建设的不断发展,信息网络和应用业务系统的安全涉及越来越多的方面,既涉及到防火墙、防病毒、入侵检测等系统安全方面的措施,同时也涉及到如何在全网的用户、网络资源之间进行合理授权及访问控制等一系列应用安全问题。一个综合的、复杂的信息网络系统,它的运行情况、应用系统的服务器和数据库资源是否存在安全漏洞,安全策略的适用性等很多方面,都需要强大的支持系统为运行维护和管理者提供辅助支持和帮助。同时,由于安全相关的数据量越来越大,有些关键的安全信息和告警事件常常被低价值或无价值的告警信息所淹没,一些全局性的、影响重大的问题很难被分析和提炼出来。 因此,想要使这些信息网络安全设施能最大限度地发挥其安全保障功能,就必须要有一个良好的综合安全管理平台、有效的安全审计和评估系统,从全局的角度进行安全策略的管理,实时的事件监控及响应,为管理者提供及时的运行情况报告、问题报告、事件报告、安全审计报告和风险分析报告,从而使决策者能及时调整安全防护策略,恰当地进行网络优化,及时地部署安全措施,消除网络和系统中的问题和安全隐患。只有这样,信息网络和业务应用系统才能真正地实现安全运行。 统一的网络与安全管理平台 网络管理与安全管理无缝集成,为用户提供统一管理平台,有效降低客户总体拥有成本(TCO)。系统支持全面的拓扑管理,包括自动的拓扑发现,网元状态监控,网元维护,集成的风险与事件展现界面。同时支持多级管理,可对大规模的分层系统进行统一的管理。 集成的威胁与风险识别 综合运用事件归一化与归并技术,关联分析,专家决策系统等不同层面的技术方案,为用户提供了 一个集成化的威胁与风险识别的平台。事 件归一化与归并技术可将用户的海量数据 大幅缩减,为进一步的数据挖掘做准备; 基于状态机的实时关联检测技术通过使用 状态机来抽象和描述攻击的过程与场景, 状态机间的状态转换的条件由不同安全事 件触发,可有效地帮助用户准确、实时的 进行高精度威胁识别,并透过专家决策系 统选择优化的解决方案。 360度健康信息监控(Dashboard) 为满足用户多元化的监控需求,天融信推 出360度健康信息监控引擎。可提供基于 事件、性能、状态、安全等方面对设备、
绿盟网络入侵防护系统产品白皮书
绿盟网络入侵防护系统 产品白皮书 ? 2011 绿盟科技
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录 一. 前言 (2) 二. 为什么需要入侵防护系统 (2) 2.1防火墙的局限 (3) 2.2入侵检测系统的不足 (3) 2.3入侵防护系统的特点 (3) 三. 如何评价入侵防护系统 (4) 四. 绿盟网络入侵防护系统 (4) 4.1体系结构 (5) 4.2主要功能 (5) 4.3产品特点 (6) 4.3.1 多种技术融合的入侵检测机制 (6) 4.3.2 2~7层深度入侵防护能力 (8) 4.3.3 强大的防火墙功能 (9) 4.3.4 先进的Web威胁抵御能力 (9) 4.3.5 灵活高效的病毒防御能力 (10) 4.3.6 基于对象的虚拟系统 (10) 4.3.7 基于应用的流量管理 (11) 4.3.8 实用的上网行为管理 (11) 4.3.9 灵活的组网方式 (11) 4.3.10 强大的管理能力 (12) 4.3.11 完善的报表系统 (13) 4.3.12 完备的高可用性 (13) 4.3.13 丰富的响应方式 (14) 4.3.14 高可靠的自身安全性 (14) 4.4解决方案 (15) 4.4.1 多链路防护解决方案 (15) 4.4.2 交换防护解决方案 (16) 4.4.3 路由防护解决方案 (16) 4.4.4 混合防护解决方案 (17) 五. 结论 (18)
鹰眼网络入侵检测系统技术白皮书
3OSAN 鹰眼网络入侵检测系统 技术白皮书
目录 1.公司简介 (1) 2.产品概述 (1) 3.产品体系结构 (2) 4.产品规格 (3) 5.产品功能特征 (3) 6.产品特色 (8) 6.1. 高性能的核心抓包机制 (8) 6.2. 丰富的攻击特征库 (9) 6.3. 良好的协作联动能力 (9) 6.4. 抗IDS攻击的事件合并能力 (9) 6.5. 优化的数据库结构设计 (10) 6.6. 高可用性的界面设计 (10) 6.7. 大规模网络下的入侵检测能力 (10) 6.8. 完备的自身安全性设计 (11) 6.9. 硬件的高可靠性设计 (12) 7.产品典型应用环境 (13) 7.1. 鹰眼网络入侵检测系统 (13) 7.2. 鹰眼分布式网络入侵检测系统 (14) 8.产品技术指标 (15) 8.1. 产品硬件规格 (15) 8.2. 网络支持 (16) 8.3. 检测效率 (17) 8.4. 攻击特征 (17) 8.5. 抗攻击能力 (17) 8.6. 响应方式 (18)
8.7. 系统稳定性 (18)
1.公司简介 三○盛安信息系统有限公司是由中国电子科技集团公司第三十研究所控股的成都三○信息系统工程有限公司(三○信息)与四川三○卫士安全软件(安全软件)有限公司合并组建而成,是专业从事信息安全产品研发、安全信息系统集成、行业应用软件开发及信息安全服务的高科技企业。 创建于1965年的中国电子科技集团公司第三十研究所是由国家认定的,唯一以全所力量从事信息安全和保密通信网络研究及工程建设的专业研究所,建有博士后流动站和国家级的"国防科技保密通信重点实验室"。 三○盛安作为中国电子科技集团公司第三十研究所产业创新的重要承担者,肩负着开拓信息安全新领域的重任。公司竭诚为用户提供构建安全信息系统所需的全面的、动态的解决方案和整体服务,包括安全咨询服务、安全平台软件、网络安全产品、相关行业应用软件以及工程实施和外包服务,并能根据不同用户需求提供各类定制产品和服务。目前公司的业务已覆盖了电子政务、电子商务以及金融、电信、电力、交通、教育、科研院所等领域,客户遍及全国并向海外延伸。公司已在北京、上海、西藏、兰州等地设立了分公司或办事机构,为用户就近提供方便优质的服务。三○盛安是国家首批认定的软件企业和高新技术企业。公司严格按照ISO9001、CMM质量保证体系管理软硬件产品的研发、生产、销售以及工程、服务等。公司不仅先后获得了涉密计算机网络设计及施工定点单位、信息安全服务等方面的资质,而且还是国家计委信息安全专项、科技部国家863信息安全专项承担单位。公司研发的产品均已通过了各领域信息安全产品测评机构的测评认证。 三○盛安高度重视与战略伙伴的合作,先后与HP、IBM、Lucent、Cisco、Oracle、Symantec、TurboLinux、CA等国际知名公司建立了良好的合作伙伴关系。在安全领域我们正与多家著名安全产品厂商结成联盟,就多层次信息系统安全防护体系的建立进行广泛合作,以满足用户日益增长的需求。 三○盛安依靠中国电子科技集团公司第三十研究所雄厚的基础理论研究和技术积淀,凝聚优秀的高科技人才群体,为铸造中华民族的信息长城而不懈努力。 2.产品概述 随着近年来互联网络的迅速普及,网络的安全问题日益严重,各种网络攻击行为给企业、政府带来巨大的经济损失,甚至使国家的安全与主权受到威胁,网络信息安全近年来已受到普遍关注。
入侵防御系统白皮书-360企业安全
360入侵防御系统 白皮书
目录 1.产品概述 (1) 2.产品特色 (1) 2.1.实时主动的安全防御能力 (1) 2.2.优异的产品性能和自身安全性 (4) 2.3.虚拟化、弹性化的管理方式 (5) 2.4.高度容错能力 (5) 2.5.全面的网络安全检测、控制与展示 (5) 3.技术优势 (6) 3.1.控制层面与数据层面相分离的并行计算技术 (6) 3.2.丰富且全面的入侵检测技术 (7) 3.3.高效的检测引擎体系结构 (9) 4.典型应用 (9) 4.1.部署IPS的两个阶段 (9) 4.2.完整的部署带来无处不在的防护能力 (10) 5.客户价值 (11)
1.产品概述 针对日趋复杂的应用安全威胁和混合型网络攻击,360企业安全集团推出完善的安全防护方案。360入侵防御系统(简称360IPS)全线产品采用多核芯片,基于自主研发的、充分利用多核优势的360SecOS软件系统,采用多层次深度检测技术和多扫描引擎负载分担与备份技术,完全满足当前网络带宽和网络攻击泛滥、应用越来越复杂的趋势和需求。 360IPS作为一种在线部署的产品,通过准确监测网络异常流量,自动应对各类攻击流量,及时将安全威胁阻隔在企业网络外部。入侵防御产品弥补了防火墙、入侵检测等产品的不足,提供动态的、深度的、主动的安全防御,为企业提供了一个全新的入侵防护解决方案。 2.产品特色 2.1.实时主动的安全防御能力 360入侵防御系统以在线的方式部署在客户网络的关键路径上,通过对数据流进行2到7层的深度分析,具有能精确、实时地识别和阻断病毒、木马、SQL注入、跨站脚本攻击、DoS/DDoS、扫描等安全威胁,还具有防火墙、文件控制、URL过滤、关键字过滤、P2P、IM等网络滥用流量的识别和限制功能。 360入侵防御系统检测引擎结合了异常检测与攻击特征数据库检测的技术,它同时也包含了深层数据包检查能力,除了检查第四层数据包外,更能深入检查到第七层的数据包内容,以阻挡恶意攻击的穿透,同时不影响正常程序的工作。 360入侵防御系统的检测引擎提供多种检测模式来保证准确度,并且在不影响网络性能的状况下,提供客户最佳的保护;在360入侵防御系统上使用的检测方法包括: 状态模式检测(Stateful Detection) 许多的攻击是试图推翻通讯协议状态。基于多年TCP/IP的研究,360入侵防御系统开发了一个状态检查引擎来分析协议状态,并且防止畸形数据包攻击网络。
天融信网络卫士入侵检测系统IDS产品白皮书
天融信产品白皮书网络卫士入侵检测系统 TopSentry系列
网络卫士入侵检测 TopSentry 天融信网络卫士入侵检测系统TopSentry经过多年的技术积累与创新,已成为天融信既防火墙和VPN之后的又一主力产品线。据权威数据机构统计,网络卫士入侵检测系统国内市场占有率近两年来一直处于领先地位。用户已覆盖能源、金融、烟草、电信等多个行业,并得到良好赞誉。 网络卫士入侵检测系统TopSentry采用多重检测、多层加速等多项天融信专有安全技术,更出色的降低了IDS产品的误报率、漏报率,有效提高了IDS的分析能力,使达到线速包捕获率成为可能。天融信IDS研发团队通过加强对蠕虫攻击以及隐含在加密数据流中攻击的检测能力,极大地突破了目前IDS产品普遍存在的瓶颈问题。 多重检测技术 综合使用误用检测、异常检测、智能协议分析、会话状态分析、实时关联检测等多种入侵检测技术,保证IDS检测准确性,极大地降低了漏报率与误报率。 ◆误用检测(Misuse Detection ):指运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测。因为很大一部分的入侵是利用了系统的脆弱性,通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。 ◆异常检测(Anomaly Detection):指根据使用者的行为或资源使用状况来判断是否入侵,而不依赖于具体行为是否出现来检测。
◆智能协议分析技术:天融信的智能协议分析技术充分利用了网络协议的高度有序性,使用这些知识快速检测某个攻击特征的存在。与非智能化的模式匹配相比,协议分析减少了误报的可能性。与模式匹配系统中传统的穷举分析方法相比,在处理数据包和会话时更迅速、有效。 ◆会话检测技术:按照客户-服务器间的通信内容,把数据包重组为连续的会话流,在此基础上进行检测分析。而基于数据包的入侵检测技术只对每个数据包进行检查。与基于数据包的入侵检测技术相比,准确率高。 ◆实时关联检测技术:通过天融信TSM系统将网络卫士IDS的报警事件同其他事件进行实时关联分析,进一步提高检测准确性。 多层加速技术 ◆专用的高速硬件平台 ◆底层抓包加速引擎 ◆双网卡分流重组技术 ◆增强直接用户空间访问(EDUA)技术 ◆多线程分散式重组引擎 ◆高效的流定位及状态型的协议分析技术 ◆无缝集成的优化智能模式匹配算法
SCS全智能安全中枢系统技术白皮书
全智能安全中枢系统 SCS8300系列 技术白皮书 上海纽盾科技发展公司 2014年4月
目录 一、中央网络安全和信息化领导小组的成立 (2) 二、新网络时代和新的管理挑战 (2) 三、SCS系统透明化网络黑箱,重构IT运维管理工作流程 (3) 四、收集,分析,响应,稽核! (4) 五、SCS系统概要说明 (6) 1、产品设计理念 (6) 2、SCS异常流量检测原理 (7) 3、SCS产品功能及部署方式 (9) 3、SCS实施效益说明 (10) 六、SCS功能菜单列表 (11) 1、网络监视 (11) (1) 网络流量拓朴图 (11) (2) 个人拓朴图(位置追踪) (12) (3) 交换机运行状态监视 (12) (4) 服务器效能监视 (14) (5) 主干流量监视 (14) (6) 组织流量监视 (15) (7) IP即时流量监视 (15) (8) TCP即时流量监视 (16) 2、IP/MAC管理 (18) (1) IP/MAC自动收集与终端管理 (18) (2) 网络准入与IP/MAC绑定管理 (18) (3) IP使用历史 (19) (4) 用户上下线记录 (20) 3、流量分析 (20) (1) IP流量收集 (20) (2) IP流量长期记录 (21) 4、异常行为分析 (21) (1) 异常行为触发条件 (22) (2) 用户隔离手段 (22) (2) 事件通知方式 (23) 5、事件管理 (24) (1)事件通知 (24) (2)通知清除与历史查询 (24)
一、中央网络安全和信息化领导小组的成立 2014年2月27日,中央网络安全和信息化领导小组成立。该领导小组将着眼国家安全和长远发展,统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题,研究制定网络安全和信息化发展战略、宏观规划和重大政策,推动国家网络安全和信息化法治建设,不断增强安全保障能力。 中央网络安全和信息化领导小组的成立,中央网络安全和信息化建设领导小组的成立是以规格高、力度大、立意远来统筹指导中国迈向网络强国的发展战略,在中央层面设立一个更强有力、更有权威性的机构。体现了中国最高层全面深化改革、加强顶层设计的意志,显示出在保障网络安全、维护国家利益、推动信息化发展的决心。这是中共落实十八届三中全会精神的又一重大举措,是中国网络安全和信息化国家战略迈出的重要一步,标志着这个拥有6亿网民的网络大国加速向网络强国挺进。 二、新网络时代和新的管理挑战 在IT信息安全中,专业的防毒系统(anti-Virus)、入侵检测系统(NIDS/IPS)等安全技术已有多年之久。在这些产品技术与安全理念指导下,几乎所有的网络中都广泛部署有防火墙、防毒墙、IPS、漏扫、PC 杀毒软件等防护装置。这些装置就像自然界的病毒疫苗一样,是网络信息安全的必要措施,它可以根据信息文件或是传送的数据封包内特定的特征将这些病毒比对过滤。然而,根据知名全球防毒研发暨技术支持中心分析归纳指出,IT部门目前面临的信息与网络安全管理难题,主要有以下六点: (1) 越来越多基于行为攻击手法的黑客破坏或恶意程序,传统特征比对基础的安全设备,已无法检测对抗这些新型的网络威胁 (2) 因中毒或内部黑客攻击的网络威胁,如ARP欺骗攻击,部署的网关安全设备无法有效侦测阻止 (3) 网络就像黑箱一样,无法在异常发生的时候,确切了解与分析这些数据封包、会话流量和端口位置 (4) 当网络异常发生的时候,网管员无法主动的掌握状况,常是被动的知会,抱怨或网络灾难接踵而至 (5) 没有人能够24小时全年无休工作(除了间谍软件等恶意程序) (6) 商机与信誉,在网络恢复运作之前,只能眼睁睁地流失 许多企业将所有的问题归咎于信息部门人员,不但不公平,同时也无法真正解决问题。信息部门多样而繁杂的工作,以及有限的人力资源,使得信息安全管理工作成为沉重而无法独力承担的责任。有时问题出在
SOC4.0产品白皮书v1
产品白皮书 文档命名:LinkTrust _ PWP_SOC_ 001_CN_100_PM_FENGWX_090830_I 文档编号:2913001100I
版本控制 LinkTrust Security Operation Center版本控制 I
目录 第一章安全管理面临的问题 (1) 安全产品的零散性 (1) 海量数据带来的效率低下和可管理性缺失 (1) 缺乏统一的基于资产和风险的视图 (2) 来自公司内部和外部的法规要求 (2) 第二章以SOC为核心的安全框架 (3) 建立以风险为核心的安全管理体系 (3) 建立以ISO17799为核心的安全运维保障体系 (4) 安全管理中心的定义 (5) 第三章领信安全管理中心功能概述 (7) 总体实现概述 (7) 安全门户(P ORTAL)功能 (7) 风险管理系统 (8) 告警监控 (8) 风险管理 (9) 服务管理 (9) 脆弱性管理系统 (10) 漏洞管理 (10) 配置管理 (10) 安全事件管理系统 (11) 事件收集体系 (11) 事件处理和关联分析 (12) 其他功能 (12) 报表管理系统 (12) 报表查看 (12) 报表管理 (13) 第四章SOC解决方案优势概述 (14) 国内最全面安全管理中心建设和服务经验 (14) 专门的SOC研发中心 (14) 以资产为核心的全新安全视角 (14) 灵活的统计告警规则设置 (14) 强大的关联分析能力 (14) 企业级的分布能力 (15) 极高的处理性能 (15) 强大的智能处理引擎 (15) 全面的安全产品支持 (15) 经过实践检验的持续性风险计算模型 (15) 完整的安全管理架构 (15) 内置SCANNER的解决方案 (15) 配置的自动收集和审计 (15) 变更自动检查 (15) 第五章系统运行环境 (16) 硬件平台 (16) 操作系统平台 (16) 数据库平台 (16) 系统软件 (16) LinkTrust Security Operation Center目录 I
天清入侵防御系统产品白皮书
第1章概述 1.1 关于天清 天清入侵防御系统(Intrusion Prevention System)是启明星辰信息技术有限公司自行研制开发的入侵防御类网络安全产品。 天清入侵防御系统围绕深层防御、精确阻断这个核心,通过对网络中深层攻击行为进行准确的分析判断,在判定为攻击行为后立即予以阻断,主动而有效的保护网络的安全。 启明星辰坚信,不了解黑客技术的最新发展,就谈不上对黑客入侵的有效防范。为了了解黑客活动的前沿状况,把握黑客技术的动态发展,深化对黑客行为的本质分析,预防黑客的突然袭击并以最快速度判断黑客的最新攻击手段,启明星辰专门建立了积极防御实验室(V-AD-LAB),通过持续不断地研究、实践和积累,逐渐建立起一系列数据、信息和知识库作为公司产品、解决方案和专业服务的技术支撑,如攻击特征库、系统漏洞库、系统补丁库和IP定位数据库等。 启明星辰在入侵检测技术领域的成就受到了国家权威部门的肯定和认可,成为国家计算机网络应急技术处理协调中心(CNCERT)和CNCVE的承建单位. 启明星辰对国内外最新的网络系统安全漏洞与应用软件漏洞一直进行着最及时和最紧密的跟踪,对重大安全问题成立专项研究小组进行技术攻关,并将发现的漏洞及时呈报给国际CVE(Common Vulnerabilities and Exposures)组织。目前已有多个漏洞的命名被国际CVE 组织采用,获得了该组织机构唯一的标识号。 天清入侵防御系统强大的功能、简单的操作、友好的用户界面、全面的技术支持解除了您的后顾之忧,是您值得信赖的网络安全产品。 1.2 入侵防御 首先我们来探讨一个问题:入侵攻击行为包括哪些?什么样的行为可以称为入侵攻击行为?我们来看对入侵行为的标准定义:入侵是指在非授权的情况下,试图存取信息、处理信息或破坏系统以使系统不可靠,不可用的故意行为。 通常提到对入侵行为的防御,大家都会想到防火墙。防火墙作为企业级安全保障体系的
天融信终端安全管理系统TopDesk产品白皮书
天融信产品白皮书网络卫士终端管理系统TSM-TopDesk系列
网络卫士终端管理系统 TSM 终端安全管理平台 TopDesk 作为网络卫士安全管理系统(TSM)的重要组成部分,TopDesk终端管理系统(简称TopDesk)是一款综合性的终端管理软件产品,能对局域网内部的网络行为进行全面监管,检测和维护桌面系统的安全。 TopDesk通过对行为监管、系统监管和安全状态检测,采用统一策略下发并强制策略执行的机制,实现对局域网内部桌面系统的管理和维护,从而有效地保护用户系统安全和机密数据安全。 集中策略管理 依据自身网络状况,制定并有效地实施全局、局部功能策略,实现真正的全局安全策略统一。对终端接收的策略进行强制执行,如果没有有效策略,则终端不能正常使用网络,有效避免威胁产生。 与TopAnalyzer系统的联动 能够与TopAnalyzer无缝结合。既可以将TopDesk的报警事件统一发送给TopAnalyzer,由TopAnalyzer进行深度的自动关联分析;也可以接收并执行TopAnalyzer发送给TopDesk 的智能联动指令,使终端可以自动响应全局的安全策略。
基于角色的权限管理 支持多用户、多角色管理机制。通过设置不同的系统角色,实现对系统资源的分权限管理,不同的用户角色拥有不同的管理权限。 审记、管理两权平等,互为监督,互不干涉,互不管理。 系统认证具备自我防护和审记能力,能够有效地防止蛮力攻击等。 企业级补丁自动部署方案 通过设置补丁策略,能够实时、方便的实现对企业网络内终端系统的补丁进行自动检测,并能够实现推或拉两种方式的自动部署安装,极大减轻系统管理员的工作强度。 全面的外存设备管理 TopDesk能够限制终端系统上的软驱、光驱、U盘、移动硬盘等外存设备的使用,对使用操作进行详细记录,能有效避免机密外泄。 详细的文件操作监视 TopDesk能够对终端系统上所有机密文件读写、拷贝、删除等操作进行实时监控,详细记录对机密文件的操作,为企业的审计工作提供帮助。 系统的远程升级、卸载 TopDesk支持模块级在线远程升级系统组件程序,不仅可以使系统时刻保持安全防范的最前沿,同时也保证了系统补丁的及时更新。远程升级卸载功能极大减轻部署时的工作量。