安全防護(hù)技術(shù)

信息安全防護(hù)技術(shù)曹鵬網(wǎng)絡(luò)安全產(chǎn)品營(yíng)銷中心解決方案部部長(zhǎng)CISP北京caopeng@沈陽東軟軟件股份有限公司技術(shù)支撐平臺(tái)的搭建控制與審計(jì)是當(dāng)前信息安全技術(shù)支撐平臺(tái)的兩大主流技術(shù)防火墻：不同網(wǎng)絡(luò)區(qū)域之間進(jìn)行訪問控制（服務(wù)器區(qū)域、互聯(lián)網(wǎng)絡(luò)出口、地市與省中心之間）全面的信息安全審計(jì)（網(wǎng)絡(luò)通訊行為審計(jì)、網(wǎng)絡(luò)應(yīng)用信息的審計(jì)、服務(wù)器主機(jī)操作信息、異常流量訪問行為、網(wǎng)絡(luò)攻擊行為）漏洞掃描防病毒數(shù)據(jù)應(yīng)用的存儲(chǔ)備份全國(guó)廣域骨干網(wǎng)千兆NP防火墻核心交換機(jī)高端路由設(shè)備流量分析千兆NP防火墻核心交換機(jī)骨干層面的安全關(guān)注是網(wǎng)絡(luò)可用質(zhì)量全國(guó)/省骨干網(wǎng)路由器核心交換機(jī)重要業(yè)務(wù)服務(wù)器群網(wǎng)管服務(wù)器群總部辦公區(qū)域樓層交換機(jī)入侵檢測(cè)與審計(jì)系統(tǒng)安全審計(jì)系統(tǒng)VPN防火墻安全運(yùn)維平臺(tái)移動(dòng)VPN用戶各地分支機(jī)構(gòu)網(wǎng)絡(luò)流量分析系統(tǒng)信息匯聚層需要全面完善的技術(shù)方案信息匯聚層路由器交換機(jī)分支機(jī)構(gòu)網(wǎng)絡(luò)VPN功能防火墻小型分支機(jī)構(gòu)的特點(diǎn)與安全應(yīng)對(duì)分支機(jī)構(gòu)中一般不存放重要的應(yīng)用服務(wù)與數(shù)據(jù)信息，大部分以終端操作為主。安全投入相對(duì)較低，卻最容易出現(xiàn)安全問題，根據(jù)特點(diǎn)我們認(rèn)為分支機(jī)構(gòu)需要一種高效整合的防護(hù)理念。利用NetEyeVPN防火墻進(jìn)行安全防護(hù)，首先利用VPN功能來加密保護(hù)通過INTERNET到總部信息匯聚層的業(yè)務(wù)信息訪問操作，同時(shí)利用防火墻的功能對(duì)于網(wǎng)絡(luò)進(jìn)出的各種數(shù)據(jù)包進(jìn)行基本的安全控制。信息匯聚層路由器交換機(jī)分支機(jī)構(gòu)網(wǎng)絡(luò)VPN功能防火墻NetEyeIDS2050/2100小型分支機(jī)構(gòu)的特點(diǎn)與安全應(yīng)對(duì)在網(wǎng)絡(luò)內(nèi)部核心交換設(shè)備上添加一臺(tái)NETEYE入侵檢測(cè)設(shè)備，利用入侵檢測(cè)設(shè)備實(shí)現(xiàn)針對(duì)分支機(jī)構(gòu)網(wǎng)絡(luò)內(nèi)部中的關(guān)鍵應(yīng)用服務(wù)的保護(hù)。信息匯聚層路由器交換機(jī)分支機(jī)構(gòu)網(wǎng)絡(luò)入侵防御系統(tǒng)小型分支機(jī)構(gòu)的特點(diǎn)與安全應(yīng)對(duì)部署NETEYEIPS整合性安全防護(hù)產(chǎn)品，整合性的安全防護(hù)設(shè)備可以針對(duì)當(dāng)前網(wǎng)絡(luò)種的各種常見攻擊行為、病毒、惡意訪問等進(jìn)行有效發(fā)覺。同時(shí)還可以利用自身的防火墻模塊功能實(shí)現(xiàn)傳統(tǒng)防火墻的訪問控制功能。當(dāng)網(wǎng)絡(luò)整體訪問數(shù)據(jù)流量不大的時(shí)候這種產(chǎn)品對(duì)于中小型分支機(jī)構(gòu)來說是一種性價(jià)比不錯(cuò)的解決方案。防火墻的技術(shù)知識(shí)

VPN技術(shù)知識(shí)

終端用戶安全防護(hù)體系PDCEFR的應(yīng)急響應(yīng)方法文件刪除與反刪除議題整體介紹對(duì)系統(tǒng)影響程度產(chǎn)生信息量的多少系統(tǒng)更新頻度人員介入要求Firewall對(duì)系統(tǒng)影響程度產(chǎn)生信息量的多少系統(tǒng)更新頻度人員介入要求Anti-Virus對(duì)系統(tǒng)影響程度產(chǎn)生信息量的多少系統(tǒng)更新頻度人員介入要求IDS對(duì)系統(tǒng)影響程度產(chǎn)生信息量的多少系統(tǒng)更新頻度人員介入要求VPN什么是防火墻?FirewallInternetDMZInternalNetwork防火墻是在不同安全區(qū)域之間進(jìn)行訪問控制的一種措施。防火墻的體系結(jié)構(gòu)包過濾技術(shù)應(yīng)用代理技術(shù)狀態(tài)檢測(cè)包過濾技術(shù)復(fù)合型防火墻的典型拓?fù)銲nternet內(nèi)部網(wǎng)絡(luò)DMZ目前市場(chǎng)上主流產(chǎn)品的形態(tài)集成了狀態(tài)檢測(cè)包過濾和應(yīng)用代理的混合型產(chǎn)品基于INTER/NP/ASIC不同的硬件平臺(tái)架構(gòu)胖防火墻和瘦防火墻的討論企業(yè)級(jí)別、電信級(jí)別與SOHU用戶級(jí)別的不同需求HostCHostD數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對(duì)應(yīng)的控制策略拆開數(shù)據(jù)包進(jìn)行分析根據(jù)策略決定如何處理該數(shù)據(jù)包數(shù)據(jù)包控制策略

基于源IP地址基于目的IP地址基于源端口基于目的端口基于時(shí)間基于用戶基于流量基于訪問內(nèi)容可以靈活的制定的控制策略靈活的包過濾規(guī)則HostCHostD在防火墻上制定基于時(shí)間的訪問控制策略上班時(shí)間不允許訪問Internet下班時(shí)間可以自由訪問公司的網(wǎng)絡(luò)Internet基于時(shí)間對(duì)象的訪問控制HostCHostDHostBHostA受保護(hù)網(wǎng)絡(luò)Internet···············

······PermitPasswordUsername預(yù)先可在防火墻上設(shè)定用戶root123root123Yesadmin883No不管那臺(tái)電腦都可以用相同的用戶名來登陸防火墻只需在防火墻設(shè)置該用戶的規(guī)則即可用戶級(jí)權(quán)限控制客戶機(jī)A客戶機(jī)BInternet->MAC(A)->MAC(B)內(nèi)部網(wǎng)絡(luò)IP地址和MAC地址綁定防止IP地址盜用MAC與IP綁定規(guī)則的技術(shù)挑戰(zhàn)雙向NATFxp0的端口：8080正向NAT反向NAT（端口映射）InternetINTERNAL端口：80端口：21/24客戶機(jī)http://fxp0的IP地址:8080INTERNALFxp0的端口：2121External視頻H.323協(xié)議動(dòng)態(tài)開放通訊端口防火墻正常工作狀態(tài)只開放端口1718或1719(發(fā)向網(wǎng)守的RAS消息所用端口)、1720(呼叫信令消息所用端口)。媒體流需要通過RTP協(xié)議來傳輸，而傳輸所需要的源端口和目的端口是動(dòng)態(tài)確定的，這些端口可能是大于1024的任意端口，因此要使H.323數(shù)據(jù)流通過防火墻，需要在防火墻規(guī)則中打開所有大于1024的端口，這顯然是非常不安全的。防火墻需要全程跟蹤H.323協(xié)議過程，可以動(dòng)態(tài)開放特定端口保證安全與應(yīng)用相統(tǒng)一。用戶C用戶D用戶B用戶A受保護(hù)網(wǎng)絡(luò)用戶A的流量已達(dá)到10M用戶A的流量已達(dá)到極限值30M阻斷用戶A的連接基于帳號(hào)的流量限制InternetInternetRADIUS服務(wù)器認(rèn)證服務(wù)器admin12354876防火墻將認(rèn)證信息傳給真正的RADIUS服務(wù)器進(jìn)行認(rèn)證將認(rèn)證結(jié)果傳給防火墻根據(jù)認(rèn)證結(jié)果決定用戶對(duì)資源的訪問權(quán)限支持第三方認(rèn)證服務(wù)器HostAHostBHostCHostDInternet安全網(wǎng)域HostGHostH···TCP8：302005-07-07···TCP9：102005-07-07寫入日志寫入日志一旦出現(xiàn)安全事故可以查詢此日志訪問控制日志審計(jì)帶寬優(yōu)先級(jí)別管理Web服務(wù)器視頻應(yīng)用服務(wù)器客戶機(jī)客戶機(jī)客戶機(jī)瀏覽下載一級(jí)二級(jí)三級(jí)視頻Ftp服務(wù)器帶寬管理規(guī)則庫內(nèi)網(wǎng)外網(wǎng)外網(wǎng)內(nèi)網(wǎng)防火墻雙機(jī)熱備份保證網(wǎng)絡(luò)高可用性客戶機(jī)客戶機(jī)客戶機(jī)服務(wù)器服務(wù)器服務(wù)器請(qǐng)求請(qǐng)求請(qǐng)求請(qǐng)求安全網(wǎng)域HostCHostDInternet管理員黑客如何實(shí)現(xiàn)安全管理呢采用一次性口令認(rèn)證來實(shí)現(xiàn)安全管理用戶名，口令用戶名，口令安全遠(yuǎn)程管理OTPC一次性口令認(rèn)證SNMPV3最新版本支持報(bào)警事件的統(tǒng)一監(jiān)控InternetDMZEmailFtpHTTP財(cái)務(wù)部市場(chǎng)部研發(fā)部RouterExe/doc/zip第三方殺毒軟件網(wǎng)絡(luò)防病毒聯(lián)動(dòng)工作方式InternetDMZEmailFtpHTTP財(cái)務(wù)部市場(chǎng)部研發(fā)部Router來自內(nèi)部的攻擊來自外部的攻擊告警!攻擊次數(shù)比率(%)源地址目的地址攻擊方法2013.0702Portscan入侵特征庫內(nèi)置入侵檢測(cè)系統(tǒng)針對(duì)各種常見拒絕服務(wù)攻擊的防護(hù)IP/MAC地址綁定＋反向地址查找SYNCookie＋SYNProxy連接限速限制連接總數(shù)和入侵檢測(cè)產(chǎn)品聯(lián)動(dòng)的工作方式DMZ

E-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場(chǎng)部人事部路由Internet中繼外部攻擊商務(wù)伙伴警告!記錄進(jìn)攻,發(fā)送消息,終止連接外部攻擊中止連接重新配置防火墻以便阻斷攻擊者郵件等多種方式通知管理員VPN設(shè)備容易被攻擊

例如：denialofservice

（DOS）需要在防火墻上開通VPN流量的通道VPN流量的安全性得不到保證VPNInternetFirewallInternetVPNFirewallInternetVPNFirewallInternet不同種類的VPN/Firewall結(jié)構(gòu)VPN設(shè)備容易被攻擊

例如：denialofservice

（DOS）需要在防火墻上開通VPN流量的通道VPN流量的安全性得不到保證VPNInternetFirewallInternetVPNFirewallInternetVPNFirewallInternet不同種類的VPN/Firewall結(jié)構(gòu)只有VPN/firewall集成的解決方案才能實(shí)現(xiàn)完全的訪問控制和全局一致的安全策略安全=最少服務(wù)最小權(quán)限公理：所有的程序都有缺陷（摩菲定理）大程序定律：大程序的缺陷甚至比它包含的內(nèi)容還多推理：一個(gè)安全相關(guān)程序有安全性缺陷定理：只要不運(yùn)行這個(gè)程序，那么這個(gè)程序有缺陷，也無關(guān)緊要推理：只要不運(yùn)行這個(gè)程序，那么這個(gè)程序有安全性漏洞，也無關(guān)緊要定理：對(duì)外暴露的計(jì)算機(jī)，應(yīng)盡可能少地運(yùn)行程序，且運(yùn)行的程序也盡可能地小推論：防火墻基本法則：防火墻必須配置得盡可能地小，才能降低風(fēng)險(xiǎn)。防火墻的網(wǎng)絡(luò)應(yīng)用防火墻應(yīng)用失敗案例辨析

未制定完整的企業(yè)安全策略沒有及時(shí)升級(jí)系統(tǒng)和安全漏洞庫安全策略更新緩慢合作伙伴選擇失敗缺少有效的管理手段防火墻的技術(shù)知識(shí)

VPN技術(shù)知識(shí)

終端用戶安全防護(hù)體系議題整體介紹VPN的基本技術(shù)Internet開放互聯(lián)網(wǎng)絡(luò)的帶來的安全風(fēng)險(xiǎn)路由器內(nèi)部網(wǎng)Web、Mail服務(wù)器等因特網(wǎng)入侵者攻擊路由器進(jìn)行竊聽分支機(jī)構(gòu)正常的通信流為什么我工資比他少500他們的標(biāo)書拿到了又攻破了一個(gè)站點(diǎn)內(nèi)部人員使用監(jiān)聽工具竊聽PSTNEDI移動(dòng)用戶分支機(jī)構(gòu)網(wǎng)站合作伙伴傳統(tǒng)訪問方式過于復(fù)雜難以管理私有公共RAS私有VANFrameRelayVPN最大優(yōu)勢(shì)----投資回報(bào)大幅度減少電信服務(wù)費(fèi)用，尤其針對(duì)地域上分散的公司和企業(yè)針對(duì)遠(yuǎn)程撥號(hào)上網(wǎng)訪問的用戶，省去了每個(gè)月的電信費(fèi)用采用VPN,公司/企業(yè)中當(dāng)前使用的ModemPool將永遠(yuǎn)退休2002年，按企業(yè)/組織規(guī)模大小，實(shí)施VPN比例達(dá)到：57%----大型企業(yè)55%----中心企業(yè)51%----小型企業(yè)

來源:InfoneticsResearch安全的，統(tǒng)一的通信移動(dòng)用戶分支機(jī)構(gòu)網(wǎng)站合作伙伴VPNVPN(VirtualPrivateNetwork)它指的是以公用開放的網(wǎng)絡(luò)(如Internet)作為基本傳輸媒體，通過加密和驗(yàn)證網(wǎng)絡(luò)流量來保護(hù)在公共網(wǎng)絡(luò)上傳輸?shù)乃接行畔⒉粫?huì)被竊取和篡改，從而向最終用戶提供類似于私有網(wǎng)絡(luò)(PrivateNetwork)性能的網(wǎng)絡(luò)服務(wù)技術(shù)。遠(yuǎn)程訪問Internet內(nèi)部網(wǎng)分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)合作伙伴VPN作用數(shù)據(jù)機(jī)密性保護(hù)數(shù)據(jù)完整性保護(hù)數(shù)據(jù)源身份認(rèn)證撥號(hào)服務(wù)器PSTN

Internet區(qū)域Internet邊界路由器內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專線DMZ區(qū)域WWWMailDNS密文傳輸明文傳輸明文傳輸數(shù)據(jù)機(jī)密性保護(hù)內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專線原始數(shù)據(jù)包對(duì)原始數(shù)據(jù)包進(jìn)行Hash加密后的數(shù)據(jù)包摘要Hash摘要對(duì)原始數(shù)據(jù)包進(jìn)行加密加密后的數(shù)據(jù)包加密加密后的數(shù)據(jù)包摘要加密后的數(shù)據(jù)包摘要摘要解密原始數(shù)據(jù)包Hash原始數(shù)據(jù)包與原摘要進(jìn)行比較，驗(yàn)證數(shù)據(jù)的完整性數(shù)據(jù)完整性保護(hù)內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專線原始數(shù)據(jù)包對(duì)原始數(shù)據(jù)包進(jìn)行HashHash摘要加密摘要摘要取出DSS原始數(shù)據(jù)包Hash原始數(shù)據(jù)包兩摘要相比較私鑰原始數(shù)據(jù)包DSSDSS將數(shù)字簽名附在原始包后面供對(duì)方驗(yàn)證簽名得到數(shù)字簽名原始數(shù)據(jù)包DSS原始數(shù)據(jù)包DSSDSS解密相等嗎？驗(yàn)證通過數(shù)據(jù)源身份認(rèn)證加密算法與技術(shù)指標(biāo)加密算法：國(guó)密辦批準(zhǔn)使用的專用加密算法；認(rèn)證方式：基于1024bitsRSA算法的數(shù)字簽名認(rèn)證方式；認(rèn)證算法：國(guó)密辦批準(zhǔn)使用的專用認(rèn)證算法；密鑰管理協(xié)議：采用標(biāo)準(zhǔn)的IKE協(xié)議；支持的協(xié)議：TCP/IP、IPSec、ESP和AH；采用的國(guó)際標(biāo)準(zhǔn)：IPSec、IKE-XAUTH、RSA、PKCS10/7/12；遠(yuǎn)程訪問VPN提供通過Internet訪問公司網(wǎng)絡(luò)內(nèi)部資源的方法降低了長(zhǎng)途、大型ModemPool和技術(shù)支持的費(fèi)用公司總部站點(diǎn)Internet遠(yuǎn)程或移動(dòng)用戶點(diǎn)到點(diǎn)VPN利用Internet安全連接多個(gè)分支機(jī)構(gòu)減少對(duì)framerelay和租用線路的依靠公司總部站點(diǎn)Internet分支機(jī)構(gòu)站點(diǎn)內(nèi)部網(wǎng)VPN向商業(yè)合作伙伴提供對(duì)內(nèi)部重要數(shù)據(jù)的訪問

(銷售信息、工具軟件等等)減少了事務(wù)處理和操作中的費(fèi)用公司總部站點(diǎn)Internet合作伙伴站點(diǎn)CorporateNetwork企業(yè)級(jí)

VPN的組成PKIorRADIUSBusinessPartnerBranchOfficeRemoteWorkerVPN網(wǎng)關(guān)VPN網(wǎng)關(guān)VPN靈巧網(wǎng)關(guān)VPN客戶端VPN應(yīng)用程序數(shù)據(jù)庫服務(wù)器VPN客戶端IPSec

會(huì)話舉例Bob試圖連接到公司內(nèi)部郵件服務(wù)器InternetCertificateAuthorityIPSec

會(huì)話舉例Bob試圖連接到公司內(nèi)部郵件服務(wù)器VPNgateway和VPNclient（Bob計(jì)算機(jī)）使用IKE:通過數(shù)字證書驗(yàn)證VPNgateway和Bob身份為通信建立安全關(guān)聯(lián)(密鑰和算法）InternetCertificateAuthorityIPSec

會(huì)話舉例Bob試圖連接到公司內(nèi)部郵件服務(wù)器VPNgateway和VPNclient（Bob計(jì)算機(jī)）使用IKE:通過數(shù)字證書驗(yàn)證VPNgateway和Bob身份為通信建立安全聯(lián)盟(密鑰和算法）在Bob和VPNGateway之間建立加密通道InternetCertificateAuthorityIPSec

會(huì)話舉例Bob試圖連接到公司內(nèi)部郵件服務(wù)器VPNgateway和VPNclient（Bob計(jì)算機(jī)）使用IKE:通過數(shù)字證書驗(yàn)證VPNgateway和Bob身份為通信建立安全聯(lián)盟(密鑰和算法）在Bob和VPNGateway之間建立加密通道Bob現(xiàn)在可以接受郵件了InternetCertificateAuthority防火墻的技術(shù)知識(shí)

VPN技術(shù)知識(shí)

終端用戶安全防護(hù)體系議題整體介紹終端用戶的安全防護(hù)技術(shù)安全“死角”的問題越來越嚴(yán)重補(bǔ)丁管理與個(gè)人用戶的行為監(jiān)控成為了最重要的兩個(gè)問題終端用戶的行為監(jiān)控一些保密單位較為重要，有本地和網(wǎng)絡(luò)兩種監(jiān)控方法。本地監(jiān)控主要有USB等具備存儲(chǔ)能力的物理接口控制，和用戶本地計(jì)算機(jī)界面的行為管理。補(bǔ)丁管理服務(wù)器WSUS個(gè)人終端用戶目前大多為WINXP、WIN2000、WIN2003版本，其中都已經(jīng)安裝配置好了個(gè)人的客戶端組策略編輯器。WSUS是免費(fèi)的補(bǔ)丁服務(wù)更新管理的服務(wù)器，最好安裝在WIN2003的服務(wù)器上。文件的安全刪除與反刪除Windows所謂的刪除實(shí)際上只是把文件名稱的第一個(gè)字母改成一個(gè)特殊字符，然后把該文件占用的簇標(biāo)記為空閑狀態(tài)，但文件包含的數(shù)據(jù)仍在磁盤上，下次將新的文件保存到磁盤時(shí)，這些簇可能被新的文件使用，從而覆蓋原來的數(shù)據(jù)。因此，只要不保存新的文件，被刪除文件的數(shù)據(jù)實(shí)際上仍舊完整無缺地保存在磁盤上。讀/寫磁頭向磁盤寫入數(shù)據(jù)時(shí)，它會(huì)將磁化數(shù)據(jù)位的信號(hào)調(diào)整到某個(gè)適當(dāng)?shù)膹?qiáng)度，但信號(hào)不是越強(qiáng)越好，不應(yīng)超出一定的界限，以免影響相鄰的數(shù)據(jù)位。由于信號(hào)強(qiáng)度不足以使存儲(chǔ)媒介達(dá)到飽和的磁化狀態(tài)，所以實(shí)際記錄在媒介上的信號(hào)受到以前保存在同一位置的信號(hào)的影響，例如，如果原來記錄的數(shù)據(jù)位是0，現(xiàn)在被一個(gè)1覆蓋，那么實(shí)際記錄在磁盤媒介上的信號(hào)強(qiáng)度肯定不如原來數(shù)據(jù)位是1的強(qiáng)度。PDCERF的應(yīng)急響應(yīng)方法學(xué)縱觀網(wǎng)絡(luò)安全發(fā)展過程，大家對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)可以分成三個(gè)階段：第一階段為安全產(chǎn)品階段。如何加強(qiáng)網(wǎng)絡(luò)安全，大家首先想到要上種類繁多的安全產(chǎn)品，這是最初大家對(duì)安全的認(rèn)識(shí)。第二階段為安全產(chǎn)品＋管理階段。隨著對(duì)安全認(rèn)識(shí)的不斷加深，逐步發(fā)現(xiàn)僅僅依賴安全產(chǎn)品的堆積，并沒有把本單位的安全問題解決的很好，還需要從組織、流程上來加強(qiáng)對(duì)安全產(chǎn)品和人的管理。這個(gè)階段，在考慮本單位網(wǎng)絡(luò)安全的時(shí)候，都能夠從技術(shù)（產(chǎn)品）和管理兩方面，來建立網(wǎng)絡(luò)安全防護(hù)體系。目前大部分用戶都處在這個(gè)階段。第三階段為應(yīng)急體系階段。準(zhǔn)備（Preparation）通過對(duì)本單位網(wǎng)絡(luò)的分析，采取必要的措施加強(qiáng)網(wǎng)絡(luò)安全。應(yīng)該包含安全支撐平臺(tái)、日常安全管理和應(yīng)急預(yù)案。安全支撐平臺(tái)至少應(yīng)該含有邊界控制設(shè)備（如防火墻）和預(yù)警設(shè)備（如