網(wǎng)絡(luò)安全產(chǎn)品可行性分析報告

網(wǎng)絡(luò)安全產(chǎn)品可行性分析報告海豚工作室的幾種產(chǎn)品的國內(nèi)現(xiàn)狀UTMUTM最早是由美國Fortinet公司提出的，在2004年9月，IDC給出了UTM的定義：由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備，它主要提供一項或多項安全功能，它將多種安全特性集成于一個硬設(shè)備里,構(gòu)成一個標(biāo)準(zhǔn)的統(tǒng)一管理平臺。相比傳統(tǒng)網(wǎng)關(guān)安全設(shè)備，UTM設(shè)備融合多種安全能力，具有投入少、防御能力強(qiáng)、管理方便的優(yōu)勢。近年來，隨著安全技術(shù)的發(fā)展和安全意識的提升，能夠綜合防范多種網(wǎng)絡(luò)威脅的UTM產(chǎn)品正逐漸得到廣大用戶的青睞。國內(nèi)外大小廠商也都乘勢殺入了這個市場。X-Firewall、云火墻、XTM、UTM2，多少概念欲迷人眼;多核架構(gòu)、硬件加速、千兆、萬兆，無數(shù)性能試比高低。目前國內(nèi)典型的有幾家著名的網(wǎng)絡(luò)安全公司都開發(fā)了,天融信,啟明星辰,LINKTRUST.這幾家公司的產(chǎn)品都比較成型.還有一些小公司也在開發(fā),但是沒有形成勢力.國外的UTM做的最好的公司是Fortinet.防火墻、入侵防御和防病毒幾大功能基本是UTM的核心.現(xiàn)在市場上的UTM的技術(shù)瓶頸主要是性能問題.當(dāng)防火墻、入侵防御和防病毒同時打開時，性能下降幅度普遍超過50%，甚至達(dá)到80%或者90%之多.WAF防止網(wǎng)頁被篡改是被動的，能阻斷入侵行為才是主動型的，前邊提到的IPS/UTM等產(chǎn)品是安全通用的網(wǎng)關(guān)，也有專門針對Web的硬件安全網(wǎng)關(guān)，國內(nèi)的如：綠盟的Web防火墻，啟明的WIPS(webIPS)，國外的有imperva的WAF(WebApplicationFirewall)等。Web防火墻，主要是對Web特有入侵方式的加強(qiáng)防護(hù)，如DDOS防護(hù)、SQL注入、XML注入、XSS等。由于是應(yīng)用層而非網(wǎng)絡(luò)層的入侵，從技術(shù)角度都應(yīng)該稱為WebIPS，而不是Web防火墻。這里之所以叫做Web防火墻，是因為大家比較好理解，業(yè)界流行的稱呼而已。由于重點是防SQL注入，也有人稱為SQL防火墻?！舸矸?wù)：代理方式本身就是一種安全網(wǎng)關(guān)，基于會話的雙向代理，中斷了用戶與服務(wù)器的直接連接，適用于各種加密協(xié)議，這也是Web的Cache應(yīng)用中最常用的技術(shù)。代理方式防止了入侵者的直接進(jìn)入，對DDOS攻擊可以抑制，對非預(yù)料的“特別”行為也有所抑制。Netcontinuum(梭子魚)公司的WAF就是這種技術(shù)的代表?！籼卣髯R別：識別出入侵者是防護(hù)他的前提。特征就是攻擊者的“指紋”，如緩沖區(qū)溢出時的Shellcode，SQL注入中常見的“真表達(dá)(1=1)”…應(yīng)用信息沒有“標(biāo)準(zhǔn)”，但每個軟件、行為都有自己的特有屬性，病毒與蠕蟲的識別就采用此方式，麻煩的就是每種攻擊都自己的特征，數(shù)量比較龐大，多了也容易相象，誤報的可能性也大。雖然目前惡意代碼的特征指數(shù)型地增長，安全界聲言要淘汰此項技術(shù)，但目前應(yīng)用層的識別還沒有特別好的方式。◆算法識別：特征識別有缺點，人們在尋求新的方式。對攻擊類型進(jìn)行歸類，相同類的特征進(jìn)行模式化，不再是單個特征的比較，算法識別有些類似模式識別，但對攻擊方式依賴性很強(qiáng)，如SQL注入、DDOS、XSS等都開發(fā)了相應(yīng)的識別算法。算法識別是進(jìn)行語義理解，而不是靠“長相”識別?！裟Ｊ狡ヅ洌菏荌DS中“古老”的技術(shù)，把攻擊行為歸納成一定模式，匹配后能確定是入侵行為，當(dāng)然模式的定義有很深的學(xué)問，各廠家都隱秘為“專利”。協(xié)議模式是其中簡單的，是按標(biāo)準(zhǔn)協(xié)議的規(guī)程來定義模式;行為模式就復(fù)雜一些，Web防火墻最大的挑戰(zhàn)是識別率，這并不是一個容易測量的指標(biāo)，因為漏網(wǎng)進(jìn)去的入侵者，并非都大肆張揚(yáng)，比如給網(wǎng)頁掛馬，你很難察覺進(jìn)來的是那一個，不知道當(dāng)然也無法統(tǒng)計。對于已知的攻擊方式，可以談識別率;對未知的攻擊方式，你也只好等他自己“跳”出來才知道。IPS實時、主動攔截各類黑客攻擊和惡意行為，保護(hù)用戶信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)。IDS系統(tǒng)的另一個主要缺陷是它們僅監(jiān)視主要的通信。如果檢測到一種攻擊，它將提醒管理員采取行動。人們認(rèn)為IDS系統(tǒng)采取的這種方法是很好的。總之，由于IDS系統(tǒng)會產(chǎn)生很多的錯誤報告，你真的愿意讓IDS系統(tǒng)對合法的網(wǎng)絡(luò)通信采取行動嗎?這就是入侵防御系統(tǒng)(IPS)的任務(wù)了。IPS與IDS類似，但是，IPS在設(shè)計上解決了IDS的一些缺陷。對于初始者來說，IPS位于你的防火墻和網(wǎng)絡(luò)的設(shè)備之間。這樣，如果檢測到攻擊，IPS會在這種攻擊擴(kuò)散到網(wǎng)絡(luò)的其它地方之前阻止這個惡意的通信。相比之下，IDS只是存在于你的網(wǎng)絡(luò)之外起到報警的作用，而不是在你的網(wǎng)絡(luò)前面起到防御的作用。IPS檢測攻擊的方法也與IDS不同。目前有很多種IPS系統(tǒng)，它們使用的技術(shù)都不相同。但是，一般來說，IPS系統(tǒng)都依靠對數(shù)據(jù)包的檢測。IPS將檢查入網(wǎng)的數(shù)據(jù)包，確定這種數(shù)據(jù)包的真正用途，然后決定是否允許這種數(shù)據(jù)包進(jìn)入你的網(wǎng)絡(luò)。目前有幾家好的開源的IPS系統(tǒng),做的很好,Snortinline和NFR.國內(nèi)的許多IPS的開發(fā)早期都是參照這兩款開源開發(fā)的.現(xiàn)在的綠盟,啟明都有自己的IPS,各個廠家還在IPS內(nèi)容過濾設(shè)備上投入力量,主要焦點在P2P和網(wǎng)絡(luò)游戲,還有惡意軟件的過濾上.殺毒軟件國內(nèi)也稱殺毒軟件，簡稱殺軟（“殺毒軟件”是由國產(chǎn)的老一輩反病毒軟件廠商，如金山毒霸、江民、瑞星、360殺毒等起的名字，后來由于和世界反病毒業(yè)接軌統(tǒng)稱為“反病毒軟件(Anti-virusSoftware)”或“安全防護(hù)軟件(Safe-defendSoftware)”，近年來陸續(xù)出現(xiàn)了集成防火墻的“互聯(lián)網(wǎng)安全套裝”、“全功能安全套裝”等名詞，都屬一類），是用于消除電腦病毒、特洛伊木馬和惡意軟件的一類軟件。反病毒軟件通常集成監(jiān)控識別、病毒掃描和清除和自動升級等功能，有的反病毒軟件還帶有數(shù)據(jù)恢復(fù)等功能。后兩者同時具有黑客入侵，網(wǎng)絡(luò)流量控制等功能。一種可以對病毒、木馬等一切已知的對計算機(jī)有危害的程序代碼進(jìn)行清除的程序工具。反病毒軟件的任務(wù)是實時監(jiān)控和掃描磁盤。部分反病毒軟件通過在系統(tǒng)添加驅(qū)動程序的方式，進(jìn)駐系統(tǒng)，并且隨操作系統(tǒng)啟動。大部分的殺毒軟件還具有防火墻功能。反病毒軟件的實時監(jiān)控方式因軟件而異。有的反病毒軟件，是通過在內(nèi)存里劃分一部分空間，將電腦里流過內(nèi)存的數(shù)據(jù)與反病毒軟件自身所帶的病毒庫（包含病毒定義）的特征碼相比較，以判斷是否為病毒。另一些反病毒軟件則在所劃分到的內(nèi)存空間里面，虛擬執(zhí)行系統(tǒng)或用戶提交的程序，根據(jù)其行為或結(jié)果作出判斷。而掃描磁盤的方式，則和上面提到的實時監(jiān)控的第一種工作方式一樣，只是在這里，反病毒軟件將會將磁盤上所有的文件（或者用戶自定義的掃描范圍內(nèi)的文件）做一次檢查。國內(nèi)自己開發(fā)全功能比較成功的是360和瑞星,江民,還有一些中小企業(yè)開發(fā)適合自己行業(yè)使用的殺毒軟件,商業(yè)操作好的軟件還有國外的幾個NORTON,KAV,MCAFEE,BITDEFENDER等.密碼安全控件在游戲登陸保護(hù),網(wǎng)銀登陸保護(hù)方面有作用,類似支付寶密碼安全控件.密碼安全控件主要由以下兩個模塊組成：鍵盤輸入安全保護(hù)模塊屏幕顯示安全保護(hù)模塊密碼安全控件采用了最新的驅(qū)動技術(shù)和中斷技術(shù)，優(yōu)先于其它的鍵盤Hook程序和屏顯Hook程序處理用戶的鍵盤輸入和屏幕顯示，因而能夠防范各種類型的Hook程序。PasswordGuard的兩個模塊分別位于操作系統(tǒng)的最底層，其它各類Hook程序都位于PasswordGuard之上，因而防范效果好，安全可靠性高.多方位的遠(yuǎn)程控制系統(tǒng)系統(tǒng)兼容性：支持Win9X，Win2000，WindowsXP，Windows2003等主流操作系統(tǒng)。穿墻：具有極好的透墻功能，能夠做到被控制端只要能夠上網(wǎng)就能控制。穩(wěn)定性：獨有的特殊啟動方式，使客戶端更加穩(wěn)定。驅(qū)動隱藏和保護(hù)：隱藏文件、進(jìn)程，當(dāng)自身服務(wù)被刪除或者禁止時，被控制端會自行恢復(fù)，在正常模式下無法清除服務(wù)端。分組管理：當(dāng)被控制端的機(jī)器比較多時，可設(shè)置分組，被控制端上線后會自動歸類到指定的分組，方便管理。屏幕監(jiān)控:傳輸速度一流，真正做到了實時監(jiān)控。自帶shell：在被控制端禁止cmd.exe，或者禁止系統(tǒng)重定向的情況下，也能正常操作。穩(wěn)定的上線方式：該軟件采用域名上線方式，無需知道對方IP地址，也不論對方IP地址怎么變化，只要對方的電腦一上網(wǎng)我們的控制端軟件上立刻就能看到對方電腦上線，此時便能對其進(jìn)行監(jiān)控。國內(nèi)網(wǎng)絡(luò)安全產(chǎn)品公司開發(fā)模式國內(nèi)的安全公司基本以技術(shù)開發(fā)為主,幾大安全公司經(jīng)過10年的開發(fā),產(chǎn)品都比較成熟,基本在行內(nèi)奠定了品牌基礎(chǔ),10年開發(fā)經(jīng)歷的安全公司,啟明,綠盟,天融信等都已經(jīng)上市.國內(nèi)的一些中小安全公司基本是產(chǎn)品線很窄的那種,只有1-2個產(chǎn)品,方向比較專,基本屬于某個產(chǎn)品的專業(yè)公司.在硬件產(chǎn)品開發(fā)上,大的安全公司基本維護(hù)和開發(fā)自己公司的專有硬件和OS平臺,小公司基本用開源的通用平臺,以X86為主.國內(nèi)網(wǎng)絡(luò)安全產(chǎn)品公司面臨的問題產(chǎn)品性能問題,是網(wǎng)絡(luò)安全產(chǎn)品公司有待解決的重大問題,現(xiàn)在的中小公司,基本產(chǎn)品開發(fā)基本完成,沒有太多的新概念產(chǎn)品出來,基本的網(wǎng)絡(luò)安全產(chǎn)品都有公司開發(fā)過,用戶選擇主要是在產(chǎn)品性能上.現(xiàn)在網(wǎng)絡(luò)安全產(chǎn)品基本要向其他行業(yè)里轉(zhuǎn)移,其他行業(yè)的需求各異,要把自己的網(wǎng)絡(luò)安全產(chǎn)品在某個行業(yè)內(nèi)推廣,還需要深入分析行業(yè)內(nèi)的特殊需求,改良自己公司的產(chǎn)品,這個屬于行業(yè)內(nèi)需求挖掘安全公司的機(jī)遇與挑戰(zhàn)目前安全市場向普通行業(yè)轉(zhuǎn)移,許多中小安全公司的人員流失嚴(yán)重,都到一些非安全企業(yè)去做安全方面的開發(fā)和研究,比如道路交通,房地產(chǎn),石油行業(yè),采礦行業(yè),銀行產(chǎn)業(yè),游戲產(chǎn)業(yè)等,他們需要大量的安全人員做本行業(yè)安全方面的服務(wù)和研究.有大量的產(chǎn)品需求市場,可以說是安全行業(yè)發(fā)展的一大機(jī)遇,也是重要的挑戰(zhàn).傳統(tǒng)安全行業(yè)存在產(chǎn)品通用化的問題,安全產(chǎn)品是萬金油,可以說是真正適合行業(yè)內(nèi)的安全產(chǎn)品是一個都沒有.傳統(tǒng)安全公司人員流失嚴(yán)重,而且一些行業(yè)的安全人員比較分散,這些非安全行業(yè)很難組織起來開發(fā)比較成熟的行業(yè)安全產(chǎn)品.所以說目前組建一個和非安全行業(yè)結(jié)合的網(wǎng)絡(luò)安全公司,深入開發(fā)某個行業(yè)的安全平臺是很大的機(jī)遇,海豚工作室有10年從事安全軟件開發(fā)的經(jīng)驗和產(chǎn)品代碼的積累,如果能組建正規(guī)的工作室或者公司,從事某個行業(yè)的安全,一定能有大的前景.項目策劃市場調(diào)研UTM,目前國內(nèi)啟明和綠盟都有,有些小公司在開發(fā)當(dāng)中,成型的不是太多,目前開源的項目有UNTANGLE,但是UNTANGLE產(chǎn)品性能不搞,由于使用了大量的JAVA底層庫WAF,目前啟明和綠盟有,市場非常好,目前屬于比較流行的一款硬件防御設(shè)備,國內(nèi)許多家廠商大多沒有自主開發(fā),基本都OEM美國的梭子魚產(chǎn)品.IPS,目前面市的市場不大,用戶不是太認(rèn)可這種設(shè)備,現(xiàn)在的基本開發(fā)思路是IPS+內(nèi)容過濾,市場在培育當(dāng)中.殺毒軟件,基本是安全的核心概念的產(chǎn)品,比較成熟的廠家比較多,許多游戲廠家在開發(fā)針對自己網(wǎng)游的反病毒產(chǎn)品,今后還會有一些行業(yè)需求自己行業(yè)的殺毒產(chǎn)品.安全密碼控件,國內(nèi)的網(wǎng)銀和游戲安全登陸基本都要保護(hù)密碼不被木馬和后門截取,將來有這個趨勢在好多行業(yè)內(nèi)都要使用密碼安全相關(guān)控件.多方位遠(yuǎn)程控制系統(tǒng),現(xiàn)在國內(nèi)安全行業(yè)的遠(yuǎn)程控制系統(tǒng)非常多了,在黑客攻防方面是必備的武器.本系統(tǒng)具備的特點:支持WINDOWS下USER權(quán)限下安全安裝支持完全隱藏功能突破主動防御支持大流量上傳和下載支持桌面搜索功能海豚團(tuán)隊有目前這幾個產(chǎn)品和項目,已經(jīng)具備一個專業(yè)網(wǎng)絡(luò)安全公司的產(chǎn)品底子,完全可以構(gòu)建專業(yè)的安全團(tuán)隊.團(tuán)隊組建OS內(nèi)核團(tuán)隊,負(fù)責(zé)整體的硬件平臺的KERNEL開發(fā).WEB團(tuán)隊,負(fù)責(zé)設(shè)備開發(fā)中的WEB頁面設(shè)計硬件功能開發(fā)團(tuán)隊,負(fù)責(zé)硬件平臺的功能開發(fā)WINDOWS研究團(tuán)隊,負(fù)責(zé)和WINDOWS相關(guān)的軟件開發(fā)逆向和漏洞挖掘團(tuán)隊,負(fù)責(zé)產(chǎn)品的漏洞簽名研究和漏洞挖掘測試團(tuán)隊,負(fù)責(zé)產(chǎn)品測試工作.目標(biāo)設(shè)定開發(fā)并且制作出目前手頭有的產(chǎn)品選擇一個行業(yè)方向,在一年之內(nèi),分析清楚其行業(yè)內(nèi)需求,并且在兩年之內(nèi)做出2款適合這個行業(yè)的產(chǎn)品1-3年做成行業(yè)內(nèi)品牌的安全公司項目預(yù)算該項目初期產(chǎn)品研發(fā)是關(guān)鍵，需要水平比較高的研發(fā)人員，組建一個完整的產(chǎn)品開發(fā)團(tuán)隊，預(yù)計10-20人，總費用按年預(yù)計300W。中期階段需要同時開2-6個項目組，開發(fā)不同類型軟件和硬件，每個項目組預(yù)計10人左右，按5項目一年費用預(yù)計：600W。后期階段,建立行業(yè)內(nèi)安全品牌,形成良好的贏利模式大類名目數(shù)目單價總計備注硬件核心項目團(tuán)隊項目主管1年付OS-KERNEL核心程序3年付功能模塊核心程序2年付WEB管理端2年付測試6年付總計WINDOWS項目團(tuán)隊項目主管1年付核心功能程序3年付界面開發(fā)程序2年付WINDOWS研究人員2年付測試3年付總計5個項目團(tuán)隊其他人員財務(wù)1年付出納1年付行政2年付總計固定支出場地200平年付水電網(wǎng)絡(luò)年付公司日常開銷年付電腦30裝修、辦公設(shè)施總計合計增加30%管理費用（稅、保險、招聘、流失、招待、調(diào)試等）總計預(yù)期收益初期一年之內(nèi)完成六款產(chǎn)品的包裝和發(fā)部,硬件設(shè)備按實際單價走,平均每臺硬件設(shè)備利潤是8-9W,按每個月銷售出5臺硬件計,硬件月贏利40W.硬件開發(fā)在8個月以后形成真正的硬件銷售團(tuán)隊.軟件在1年內(nèi)形成銷售,按項目走,預(yù)計月贏利按每個軟件走,3個主要軟件,3*5W,就是月贏利15W.中期(一年以后)投入某個行業(yè)做行業(yè)內(nèi)安全.分析行業(yè)內(nèi)安全形勢和需求,在公司已有產(chǎn)品上做行業(yè)內(nèi)安全項目的研究和開發(fā),迅速改造原有產(chǎn)品,建立比較優(yōu)質(zhì)的產(chǎn)品線.后期(2年以后)形成行業(yè)內(nèi)安全品牌,建立良好的開發(fā)和運(yùn)營模式.商業(yè)模