安全因组合而简单-新统一安全防护系统 (各种安全因素交织)

1、安全的新形势：终端成为新的边界

传统的网络安全模型中，将网络划分为内网，外网，DMZ等多个安全域，通过在网边界部署防火墙，来隔离内外网。防火墙的作用类似一道城堡，通过执行访问控制策略，将外部威胁隔离在城堡之外，保护内部网络的安全。

随着信息网络技术的发展，网络安全的势态发现了变化。一个明显的特征是：终端成为新的网络边界。

首先，随着网络接入技术的发展，终端接入网络的方式已经不再局限于局域网接口，包括双网卡，WiFi，CDMA/GPRS上网卡，Modem拨号，红外，蓝牙…，这些接口已经成为企业内部网络的另一道边界。不能管理内部PC通过这些接口上网，就类似在防火墙的城堡下，存在很多没有安全警卫的后门、小道，内部网络的安全性无法保障。

其次，传统的企业网络中，终端具有固定的办公位置，内部网络相对是静态的。然而随着移动终端的普及（便携机销售超过台式机），产生了移动办公方式，内部网络上接入的终端变得动态化。一方面，员工的终端可能在多个位置动态接入内部网络；另一方面，各种非公终端也可能接入内网（包括员工个人PC，以及合作伙伴，客户的PC）。随着用户PC的不断接入，内部网络的边界在不断扩充。内部网络的动态化，需要我们从另外一个视角来看边界安全问题。在内网边界动态变化的过程中，我们必须在新加入的PC这一新的边界上，进行必要的安全检察，配置必要的安全防护，才能满足网络安全的需要。

终端成为内部网络的另一道边界，网络安全必须同时管理网关+终端双重边界，是安全产品必须面对的问题。

2、安全的新挑战：黑客攻击技术的集成化

随着信息安全的概念逐渐普及，大部分企业都部署了防火墙和防病毒软件。对安全威胁进行了有针对性的防御。

与此同时，黑客的攻击手段也在和安全产品的“控制与反控制”斗争中不断发展。

针对企业防火墙的部署，黑客工具被设计为反弹连接方式，绕开防火墙的安全策略。黑客在内部网络的PC上植入木马后，反弹木马从内部主机上主动发起连接。网关防火墙对这类攻击难以识别。

针对终端防病毒软件的部署，黑客工具加强了与防病毒软件对终端系统控制权的争夺，很多木马病毒被设计成首先上来终结防病毒软件进程。

黑客把这些技术结合在一起，形成集成化的新一代攻击工具。单一的安全产品，在抵御这些集成化的攻击工具时，都存在一些脆弱点。

3、安全的新思维：网关+终端跨界组合

面对安全的新形势和新挑战，将网关安全产品和终端安全产品组合在一起，形成更加有效的纵深防御体系，这种安全的新思维逐渐成为趋势。

通过组合，首先可以统一管理网络边界，同时在网关和终端同时进行安全控制，对整个网络边界执行统一的访问控制策略，统一配置，统一监控，确保网络安全无盲点，将企业IT管理的范围从网络边界的网关设备推进到终端PC，保证整体的网络安全性，更好的实现业务的可用性和连续性。

在此基础上，实现针对新安全威胁的纵深防御体系。面对集成化的黑客攻击方式，传统的单一安全产品都存在一定程度的脆弱性，将网关+终端通过互相保护，协同配合，形成纵深防御体系，更好的抵御新的安全威胁。防火墙上通过检查用户安全状态，确保防病毒软件进程的激活。解决防病毒软件被木马病毒强制关闭的后顾之忧。终端安全软件通过主机安全防护，阻止非法软件通过80等合法端口穿透防火墙访问外部网络，解决防火墙不能防范“反弹木马”的难题。

就如同剪刀一样，通过两个不同方向的刀刃组合，发挥了独特的作用。

4、UTM2安全因组合而简单：启明星辰的技术实践

作为信息安全领航企业，启明星辰首先感知到“终端成为新的网络边界”这一安全形势的变化。即将推出的UTM2统一安全套件，是网络UTM与终端UTM的跨界组合，她是由〔天清汉马 统一安全网关〕与〔天珣 统一安全端点〕产品构成。她遵循“统一部署，统一配置，统一监控”的思路将网络威胁、终端安全的一体化管理变为现实，让网络准入控制、统一威胁管理变得更简单、易部署。

天清汉马USG在即将发布的新版本中，除了继承以往的防病毒、防入侵、科学等统一网络威胁管理功能以外，将新增内置终端安全管理策略 服务器 和天珣终端安全客户端程序。而内置于天清汉马USG 新版本中“自助准入”的天珣客户端安装过程，就像首次登录“网上银行”自动下载安装插件一样轻松、简便。终端部署问题得到解决，终端策略的管理与同步全部在天清汉马USG上统一配置完成。其中，包括终端病毒软件版本检查、系统补丁检查、安全进程要求、非法软件进程、系统服务、非法外联控制等多项终端管理特性；还提供基于身份认证、域认证等机制的联合终端安全策略的准入控制。这些功能依据可信网络连接架构，具备了完整的控制检查点、控制点及管理特性，使内网和网关管理具备了真正的强制可执行性，确保管理无盲点。

USG V3.0 内网终端管理架构图

启明星辰的UTM2统一安全套件具有以下技术优点：

1. 同时面向“网关”和“终端”两个企业网络边界，有机融合“安全网关”和“终端安全”产品技术，实现协同配合，形成“统一安全防护系统”。在保持原有安全网关全部功能的前提下，将企业IT管理的范围推进至终端PC。

2. 遵循“安全从简单开始”这一原则，实现“安全网关”和“终端安全”产品的统一部署，统一配置，统一监控。充分考虑用户的“易用性”需求。

【编辑推荐】

什么是IE秘狐漏洞？

北京时间5月2日凌晨，微软官网发布紧急安全补丁，用于修复上周曝出的IE“秘狐”高危漏洞。 这是微软今年首次打破每月第二周定期打补丁的惯例，甚至为已停止服务支持的XP系统也提供了补丁。

IE“秘狐”漏洞是XP停服后曝出的首个重大漏洞，影响IE6-IE11全线版本。 利用此漏洞在网页挂马，黑客可以远程植入木马病毒，控制IE用户电脑作为“肉鸡”，任意盗取或删除数据。 NetMarketShare数据显示，IE全球市场份额高达55%，超过半数网民受此漏洞影响。

按照微软惯例，每月第二个星期的星期二是其补丁发布的日期。 但由于“秘狐”漏洞高度危险，漏洞攻击代码又已在网上公开，木马产业链很可能闻风而动，大规模在互联网上挂马“抓鸡”。 为此微软破例提前推出补丁，包括已经停服的XP也支持修复此高危漏洞。

由于XP在国内拥有超过2亿用户，微软表态联合一些安全厂商，为XP系统持续提供过渡期安全防护服务。

TN-C系统TN-S系统TN-C-S系统TT系统的原理和区别？

建筑工程供电使用的基本供电系统有三相三线制三相四线制等，但这些名词术语内涵不是十分严格。 国际电工委员会（ IEC ）对此作了统一规定，称为 TT 系统、 TN 系统、 IT 系统。 其中 TN 系统又分为 TN-C 、 TN-S 、 TN-C-S 系统。 下面内容就是对各种供电系统做一个扼要的介绍。 TT 系统 TN-C供电系统→ TN 系统→ TN-SIT 系统 TN-C-S（一）工程供电的基本方式根据 IEC 规定的各种保护方式、术语概念，低压配电系统按接地方式的不同分为三类，即 TT 、 TN 和 IT 系统，分述如下。 （ 1 ） TT 方式供电系统 TT 方式是指将电气设备的金属外壳直接接地的保护系统，称为保护接地系统，也称 TT 系统。 第一个符号 T 表示电力系统中性点直接接地；第二个符号 T 表示负载设备外露不与带电体相接的金属导电部分与大地直接联接，而与系统如何接地无关。 在 TT 系统中负载的所有接地均称为保护接地，如图 1-1 所示。 这种供电系统的特点如下。 1 ）当电气设备的金属外壳带电（相线碰壳或设备绝缘损坏而漏电）时，由于有接地保护，可以大大减少触电的危险性。 但是，低压断路器（自动开关）不一定能跳闸，造成漏电设备的外壳对地电压高于安全电压，属于危险电压。 2 ）当漏电电流比较小时，即使有熔断器也不一定能熔断，所以还需要漏电保护器作保护，困此 TT 系统难以推广。 3 ） TT 系统接地装置耗用钢材多，而且难以回收、费工时、费料。 现在有的建筑单位是采用 TT 系统，施工单位借用其电源作临时用电时，应用一条专用保护线，以减少需接地装置钢材用量。 把新增加的专用保护线 PE 线和工作零线 N 分开，其特点是：①共用接地线与工作零线没有电的联系；②正常运行时，工作零线可以有电流，而专用保护线没有电流；③ TT 系统适用于接地保护占很分散的地方。 （ 2 ） TN 方式供电系统 这种供电系统是将电气设备的金属外壳与工作零线相接的保护系统，称作接零保护系统，用 TN 表示。 它的特点如下。 1 ）一旦设备出现外壳带电，接零保护系统能将漏电电流上升为短路电流，这个电流很大，是 TT 系统的 5.3 倍，实际上就是单相对地短路故障，熔断器的熔丝会熔断，低压断路器的脱扣器会立即动作而跳闸，使故障设备断电，比较安全。 2 ） TN 系统节省材料、工时，在我国和其他许多国家广泛得到应用，可见比 TT 系统优点多。 TN 方式供电系统中，根据其保护零线是否与工作零线分开而划分为 TN-C 和 TN-S 等两种。 （ 3 ） TN-C 方式供电系统 它是用工作零线兼作接零保护线，可以称作保护中性线，可用 NPE 表示（ 4 ） TN-S 方式供电系统 它是把工作零线 N 和专用保护线 PE 严格分开的供电系统，称作 TN-S 供电系统， TN-S 供电系统的特点如下。 1 ）系统正常运行时，专用保护线上不有电流，只是工作零线上有不平衡电流。 PE 线对地没有电压，所以电气设备金属外壳接零保护是接在专用的保护线 PE 上，安全可靠。 2 ）工作零线只用作单相照明负载回路。 3 ）专用保护线 PE 不许断线，也不许进入漏电开关。 4 ）干线上使用漏电保护器，工作零线不得有重复接地，而 PE 线有重复接地，但是不经过漏电保护器，所以 TN-S 系统供电干线上也可以安装漏电保护器。 5 ） TN-S 方式供电系统安全可靠，适用于工业与民用建筑等低压供电系统。 在建筑工程工工前的“三通一平”（电通、水通、路通和地平——必须采用 TN-S 方式供电系统。 （ 5 ） TN-C-S 方式供电系统 在建筑施工临时供电中，如果前部分是 TN-C 方式供电，而施工规范规定施工现场必须采用 TN-S 方式供电系统，则可以在系统后部分现场总配电箱分出 PE 线， TN-C-S 系统的特点如下。 1 ）工作零线 N 与专用保护线 PE 相联通，如图 1-5ND 这段线路不平衡电流比较大时，电气设备的接零保护受到零线电位的影响。 D 点至后面 PE 线上没有电流，即该段导线上没有电压降，因此， TN-C-S 系统可以降低电动机外壳对地的电压，然而又不能完全消除这个电压，这个电压的大小取决于 ND 线的负载不平衡的情况及 ND 这段线路的长度。 负载越不平衡， ND 线又很长时，设备外壳对地电压偏移就越大。 所以要求负载不平衡电流不能太大，而且在 PE 线上应作重复接地。 2 ） PE 线在任何情况下都不能进入漏电保护器，因为线路末端的漏电保护器动作会使前级漏电保护器跳闸造成大范围停电。 3 ）对 PE 线除了在总箱处必须和 N 线相接以外，其他各分箱处均不得把 N 线和 PE 线相联， PE 线上不许安装开关和熔断器，也不得用大顾兼作 PE 线。 通过上述分析， TN-C-S 供电系统是在 TN-C 系统上临时变通的作法。 当三相电力变压器工作接地情况良好、三相负载比较平衡时， TN-C-S 系统在施工用电实践中效果还是可行的。 但是，在三相负载不平衡、建筑施工工地有专用的电力变压器时，必须采用 TN-S 方式供电系统。 （ 6 ） IT 方式供电系统 I 表示电源侧没有工作接地，或经过高阻抗接地。 每二个字母 T 表示负载侧电气设备进行接地保护。 TT 方式供电系统在供电距离不是很长时，供电的可靠性高、安全性好。 一般用于不允许停电的场所，或者是要求严格地连续供电的地方，例如电力炼钢、大医院的手术室、地下矿井等处。 地下矿井内供电条件比较差，电缆易受潮。 运用 IT 方式供电系统，即使电源中性点不接地，一旦设备漏电，单相对地漏电流仍小，不会破坏电源电压的平衡，所以比电源中性点接地的系统还安全。 但是，如果用在供电距离很长时，供电线路对大地的分布电容就不能忽视了。 在负载发生短路故障或漏电使设备外壳带电时，漏电电流经大地形成架路，保护设备不一定动作，这是危险的。 只有在供电距离不太长时才比较安全。 这种供电方式在工地上很少见。 （二）供电线路符号小结1 ）国际电工委员会（ IEC ）规定的供电方式符号中，第一个字母表示电力（电源）系统对地关系。 如 T 表示是中性点直接接地； I 表示所有带电部分绝缘。 2 ）第二个字母表示用电装置外露的可导电部分对地的关系。 如 T 表示设备外壳接地，它与系统中的其他任何接地点无直接关系； N 表示负载采用接零保护。 3 ）第三个字母表示工作零线与保护线的组合关系。 如 C 表示工作零线与保护线是合一的，如 TN-C ； S 表示工作零线与保护线是严格分开的，所以 PE 线称为专用保护线，如 TN-S 。

什么是模拟视频监控系统?

视频监控系统是安全防范系统的组成部分，它是一种防范能力较强的综合系统。 视频监控以其直观、方便、信息内容丰富而广泛应用于许多场合。 近年来，随着计算机、网络以及图像处理、传输技术的飞速发展，视频监控制技术也有长足的发展。 一、 视频监控系统的现状在国内外市场上，主要推出的是数字控制的模拟视频监控和数字视频监控两类产品。 前者技术发展已经非常成熟、性能稳定，并在实际工程应用中得到广泛应用，特别是在大、中型视频监控工程中的应用尤为广泛；后者是新近崛起的以计算机技术及图像视频压缩为核心的新型视频监控系统，该系统解决了模拟系统部分弊端而迅速崛起，但仍需进一步完善和发展。 目前，视频监控系统正处在数控模拟系统与数字系统混合应用并将逐渐向数字系统过渡的阶段。 1、数字信号控制的模拟视频监控系统数字信号控制的模拟视频监控系统分为基于微处理器的视频切换控制加PC机的多媒体管理和基于PC机实现对矩阵主机的切换控制及对系统的多媒体管理两种类型。 1-1、基于微处理器的视频切换控制加PC机的多媒体管理类型80年代是微处理器的年代，视频监控系统利用微处理器固件发展的矩阵切换器，将原来分散的全硬件视频监控系统微型集中化，如将视频切换、对前端的控制等功能集合一起，一机处理，是技术上的一个突破。 自备微处理器的矩阵主机可通过PC机的图形管理软件实现以下功能：①对单一工作站之中的视频监控、出入口控制、内部通讯、报警等进行综合全面控制（注：只能提供一个简单的、可增强系统控制功能的用户界面，但不能代替矩阵主机的安防配置和编程能力）；②任意一台工作站可通过网络，控制其它工作站所连接的矩阵主机、报警设备，完成视频切换、云台、镜头控制及报警联动等；③可通过软件实现对众多矩阵主机和报警接口软件模块的控制。 1-2、基于PC机实现对矩阵主机的切换、控制和对系统的多媒体管理基于PC机的视频监控系统采用软件设计，实现摄像机到监视器的视频矩阵切换，云台和镜头的控制，通过串口连接报警设备的报警信息，并通过程序编程自动完成视频切换、云台控制、报警联动、报警录像等各项控制功能。 系统能充分利用PC机的资源，使视频监控系统随电脑技术的发展而不断进步，同时其开放性的结构特性更可使之与其它多种系统如与消防报警系统、出入口管理系统、楼宇自控系统等实现互动集成。 1- 3、数控模拟视频监控系统的优缺点随着微处理器、微机的功能、性能的增强和提高，多媒体技术的应用，系统在功能、性能、可靠性、结构方式等方面都发生了很大的变化，视频监控系统的构成更加方便灵活、与其它技术系统的接口趋于规范，人机交互界面更为友好。 但由于视频监控系统中信息流的形态没有变，仍为模拟的视频信号，系统的网络结构主要是一种单功能、单向、集总方式的信息采集网络，介质专用的特点，因此系统尽管已发展到很高的水平，已无太多潜力可挖，其局限性依然存在，要满足更高的要求，数字化是必由之路。 模拟监控系统的主要缺点有：① 通常只适合于小范围的区域监控 模拟视频信号的传输工具主要是同轴电缆，而同轴电缆传输模拟视频信号的距离不大于1Km，双绞线的距离更短，这就决定了模拟监控只适合于单个大楼、小的居民区以及其它小范围的场所；② 系统的扩展能力差 对于已经建好的系统，如要增加新的监控点，往往是牵一发而动全身，新的设备也很难添加到原有的系统之中；③无法形成有效的报警联动 在模拟监控系统中，由于各部分独立运作，相互之间的控制协议很难互通，联动只能在有限的范围内进行。