阿里云物联网平台 - 物模型

物模型是云平台为物联网产品定义的数据模型，用于描述产品的功能。将产品抽象成数据的集合，方便云端进行控制。

物模型从 属性 、 服务 和 事件 三个维度，分别描述了该实体是什么、能做什么、可以对外提供哪些信息。定义了物模型的这三个维度，即完成了产品功能的定义。

TSL 格式是一个 JSON 格式的文件，完整的 TSL 格式可以参考： 阿里云物模型 。

嵌入式端开发固件往往只需要关注少数几个参数，可以在产品的 功能定义 页面，单击 物模型TSL ， 精简物模型 里面查看。

需要关注的有 "properties"，"events"，"services"，在 JSON 格式里，这三者都是数组，分别存储了该物模型的数据，事件和服务，在 C-SDK 里也就分别是 IOT_Linkkit_Report() 上报属性， IOT_Linkkit_TriggerEvent() 触发事件和注册为 ITE_SERVICE_REQUEST 的回调函数。

在上报属性时，只需要关注 "identifier" 名称对应的值（字符串），此时表示该属性在产品下的唯一标识。例如一个精简物模型属性为：

则上报的数据只需要为 {"count":10} 即可，需满足 JSON 字符串的格式，字符串内有一个名称/值对，名称为 "count"（物模型里 "identifier" 的值），值对为 10（满足物模型里数据类型为 int 的要求）。

触发事件需要关注 "identifier" 名称对应的值（字符串），表示该事件在产品下的唯一标识；还需要关注 "outputData"，表示上报事件的输出值。一个精简物模型例子如下：

"outputData" 数组的使用与属性上报一致，这里就不介绍了。

服务调用需要同时关注 "identifier"，"inputData" 和 "outputData" 这三个名称，分别表示该服务在产品下的唯一标识，服务的输入参数，服务的输出参数。与函数调用有输入值和输出值类似，服务调用也有这些特征。

物模型数据校验方式目前有两种， 弱校验 和 免校验 。

也就是说，弱校验针对产品设备的上报数据，只要 idetifier 是一致的，且 dataType 字段满足要求，就接收该数据，并且在其他云端产品流转。

为什么云端可以设置和获取接入设备的属性呢？为什么接入设备可以上报事件给云端呢？又为什么云端可以调用接入设备提供的服务呢？这就是这一小节解释的内容。

物模型基于 MQTT 协议，MQTT 协议的介绍不在此处展开。

云端定义了一系列的 Topic，在设备接入云端时，C-SDK 向 MQTT broker 订阅了一些的 Topic，而云端需要与设备交互时，就向 MQTT broker 发布相应的 Topic，这样就完成了交互过程。同理，云端也会订阅一些 Topic，设备可以向这些 Topic 发布消息。

接入设备端订阅发布的 Topic 列表如下：

其中 ${productKey} 会替换为实际的产品名，${deviceName} 会替换为实际的设备名，${tsleventidentifier} 是事件的标识符，${tslserviceidentifier} 是服务的标识符，最大限度地保证了 Topic 的唯一性。

这些 Topic 的作用在后面用时序来描述。

层级架构与六域模型的比较物联网层级架构的提出,实际上是受互联网开放 系统互连参考模型(Open System Interconnect,OSI) 的影响。联合制定的开放系统互连参考模型，为开放式互连信息系统提供了一种功能结构的框架。它从低到高分别是：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。

1“端”——终端层安全防护能力差异化较大 终端设备在物联网中主要负责感知外界信息,包括采集、捕获数据或识别物体等。其种类繁多,包括RFID芯片、读写扫描器、温度压力传感器、网络摄像头、智能可穿戴设备、无人机
2“管”——网络层结构复杂通信协议安全性差 物联网网络采用多种异构网络,通信传输模型相比互联网更为复杂,算法破解、协议破解、中间人
3“云”——平台层安全风险危及整个网络生态 物联网应用通常是将智能设备通过网络连接到云端

Snort不是很难使用，但是也存在着很多的命令行选项需要掌握，并且它们中许多很多时候并不能一起使用。这个文件的目的就是使新人能够更简单的使用snort。
在我们进行下一步之前，有一些关于snort的基本概念需要了解。snort能够配置成三种模式运行:嗅探器(sniffer)，包记录器(packet logger)和网络入侵检测系统(NIDS)。嗅探模式（sniffer mode）简单的读取网络中的数据包，并以连续的数据流显示在控制台上。包记录模式（packet logger mode）把捕获的数据包记录在磁盘上。网络入侵检测模式(NIDS mode)是最复杂的、有机的配置，在这个模式下，snort分析网络中的数据，并通过使用用户自定义的规则集进行模式匹配，并根据匹配的结果执行多种 *** 作。
20 嗅探模式（sniffer mode）
首先，让我们从基础开始。如果你只是想要在屏幕上打印出TCP/IP的包头信息（嗅探模式），使用下面的命令：
/snort –v
使用这个命令运行snort，将只显示IP和TCP/UDP/ICMP头信息，而不显示任何其它信息。如果你想要查看传输的有效负载信息，可以使用如下命令：
/snort –vd
这条命令在打印协议头信息的同时也打印相应的包数据。如果你想要一个更详细的现实，可以使用下面的命令来打印出数据链路层头信息：
/snort –vde
（注：这些选项参数能够分开或者拆散成任和结合的方式。比如上一个命令也可以写做这种方式：
/snort -d -v –e
来达到同样的效果）
30 包记录模式（PACKET LOGGER MODE）
好的，上面的命令运行的都相当的好。但是如果你想要记录包到磁盘上，你需要指定一个记录目录，然后snort将自动的进入包记录模式：
/snort -dev -l /log
当然，这里假设你在当前目录下有一个叫做“log”的目录。如果没有这个目录，snort将退出并返回错误信息。当snort以这种模式运行，它收集所有捕获的数据包，并根据数据包中一个主机的IP地址放入对应的目录中。
如果你只是简单的指定“-l”选项，你可能会发现snort有时使用远程计算机的地址作为存放数据包的目录，有时使用本地主机的地址。为了比较本地的网络，你需要告诉snort本地网络的信息：
/snort -dev -l /log -h 19216810/24
这条指令让snort能够记录数据链路信息和TCP/IP头和应用数据到目录/log，并且记录和19216810段C类网络相关的包信息。所有进来的包将记录到记录文件夹中对应的子文件夹中，子文件夹以远程主机（非1921681主机）的地址命名。注意，如果两个主机都是在本地网络内，然后他们将根据两个中高的端口号来记录，在端口号相等的情况下，将使用源地址来记录。
如果你在一个高速网络中，又或你想要使用一个更紧凑的格式来记录数据包为以后的分析所用，你可以考虑使用“二进制模式”来记录。二进制模式采用“tcpdump 格式”来记录数据包到指定目录下的单一二进制文件中。
/snort -l /log –b
注意这里命令行的改变。我们不再需要指定一个本地网络，因为二进制模式记录所有的数据到一个单一的文件中，而不再需要定义输出的目录结构。另外，你不再需要使用详细（verbose）模式和指定-d/-e开关参数，因为在二进制模式下所有的包都会被记录而不是其中的某些部分。进入二进制包记录模式只需要做两点，一是在命令行中使用-l开关来指定一个日志目录，二是使用-b开关选择二进制模式代替ASCII文档模式记录包数据。
如果数据包以二进制文件的形式记录，你可以使用任何支持tcpdump二进制格式的嗅探器从文件中读取数据包信息，比如使用tcpdump或ethereal。snort也可以通过使用-r开关进入回放模式来读取记录的数据包信息。snort在任何运行模式下都能够接受tcpdump格式的文件并进行处理。比如，如果你想要以嗅探器模式来分析处理一个二进制文件并把数据包信息打印在屏幕，你可以使用类似下面的命令：
/snort -dv -r packetlog
你还可以以多种方式 *** 作二进制文件中的数据，比如包记录模式和入侵检测模式，你也同样可以在命令行中使用BPF接口。比如，如果你只是想查看记录文件中的ICMP数据包信息，可以在命令行中简单的指定一个BPF过滤器：
/snort -dvr packetlog icmp
更多的BPF使用信息请参阅相应的man信息。
40 网络入侵检测模式（NETWORK INTRUSION DETECTION MODE）
可以使用如下命令来启用snort的网络入侵检测模式（这个模式下，你不用记录所有的数据包）：
/snort -dev -l /log -h 19216810/24 -c snortconf
在这里snortconf是你的规则文件名。这将对每一个数据包使用snortconf文件中定义的规则集进行检测，并根据文件中定义的行为进行处理。如果你没有为程序指定输出目录，将使用默认的目录“/var/log/snort”。
有一点需要注意的是，使用上一命令行形式进入NIDS模式运行速度稍慢，可以去掉“-v”开关来提高效率。往屏幕输出数据速度很慢，在数据显示的过程中可能会造成数据包的丢失。
同样，对于大多数的应用而言，都不比要记录数据链路层包头信息，因此“-e”开关也是可以去掉的。最后命令如下：
/snort -d -h 19216810/24 -l /log -c snortconf
这个命令能够配置snort以最基础的NIDS模式运行。它将以ASCII格式记录规则指定的包信息到对应的目录结构中（和包记录模式中目录结构一致）。
41 NIDS MODE输出选项
在snort的NIDS模式中有几种输出方式可以配置。默认的记录和报警以ASCII形式记录，并使用“完全”报警。完全报警方式（full alert mechanism）输出所有的包头信息并在其后附上对应的报警信息。当然，在命令行中可以设置多种报警输出模式和两种日志记录格式。包信息可以以默认的ASCII格式记录，也可以通过使用命令行开关“-b”来用二进制文件记录。如果你想要完全禁用包记录信息，可以使用命令行开关“-N”。
报警模式相对要复杂一些。在命令行中可以设置多种报警模式：full、fast、socket、syslog、console、cmg、和none模式。这六种模式可以使用命令行开关“-A”来设置。详细如下：
u -A fast 快速报警模式，以一种简单的格式记录报警信息（时间、报警信息、源和目的主机的IP和端口）
u -A full 这是默认的报警模式，如果没有指定报警模式，将自动使用这种报警模式
u -A unsock 发送报警信息到一个其它程序监听UNIX套接口
u -A none 关闭报警
u -A console 打印快速报警信息到控制台（屏幕）
u -A cmg 触发“cmg样式”报警
还可以使用“-s”开关来设置syslog报警。默认的两种syslog报警级别是LOG_AUTHPRIV和LOG_ALERT。如果你想要配置其它syslog日志级别的话，可以在规则文件中使用输出插件来设置（详细信息参见snortconf文件）。
下面是几个输出配置实例：
1、使用默认格式（ASCII）向syslog发送报警信息：
snort -c snortconf -l /log -s -h 19216810/24
2、使用默认格式和默认目录（/var/log/snort）来向syslog发送报警信息：
snort -c snortconf -s -h 19216810/24
3、使用二进制文件格式、快速报警模式、目录/var/snort来记录信息：
snort -c snortconf -b -A fast -l /var/snort
42 性能配置
如果你想要提高snort运行效率（比如保持100Mbps网络环境下快速运行），可以使用“-b”和“-A fast”或者“-s”（syslog）选项。它将以tcpdump格式来记录包，并产生较少的报警信息。比如：
/snort -b -A fast -c snort-lib
在这个配置下，snort能够在100Mbps局域网内在80Mbps正常流量下检测同时进行的多重扫描和工具在这个配置下，记录将以二进制格式写入tcpdump格式文件snortlog中。然后可以重新使用“-r”选项和其它常用的选项运行snort，来从数据文件中解析为正常的snort格式的数据信息。比如：
/snort -d -c snort-lib -l /log -h 19216810/24 -r snortlog
一旦这条指令执行，所有的数据将以正常的格式记录在日志文件夹中。很酷，不是吗？
43 其它信息
有很多人不喜欢snort默认的对包应用规则方式。在snort默认应用方式中，先使用报警（alert）规则，然后使用通过（pass）规则，最后使用记录（log）规则。这个顺序是违反直觉的，但是相对于允许用户定义了很多报警规则却因为使用了一条错误的通过规则而全部被禁止要简单有效。对于一些用户的需要，这里提供了“-o”开关来改变默认的规则应用顺序为：先使用pass规则，然后是alert规则，最后是log规则。命令如下：
/snort -d -h 19216810/24 -l /log -c snortconf -o
50 杂项信息
如果你想要以守护进程（daemon）模式运行snort，可以和其它选项一起加上“-D”开关设置。请注意，如果你想要向守护进程发送信号SIGHUP来重启snort的话，你需要在命令行中使用snort二进制文件的完全路径，比如你可以使用如下命令：
/usr/local/bin/snort -d -h 19216810/24 -l /var/log/snortlogs -c /usr/local/etc/snort-lib -s –D
由于安全关系，这里不提供对相对路径的支持。
如果你想要发送包记录信息到公共邮件列表，需要使用“-O”开关。这个开关将对包中输出的IP信息进行混淆处理。这使得你能够很容易的避免邮件列表中的用户获知相关的IP信息。你也可以把“-O”开关和“-h”开关联合使用，这样将只混淆本地网络中的主机地址。如果你不在意让人看见攻击主机的IP地址，这样设置是很有效的。命令如下：
/snort -d -v -r snortlog -O -h 19216810/24
这将从记录文件中读取数据包信息，并在屏幕上显示出来，在显示的过程中仅仅混淆了C类网络19216810/24中的地址信息。
如果你想要在不停止进程去查看snort包统计信息，可以向snort进程ID发送SIGUSR1信号，然后snort将在屏幕上显示统计信息，如果snort以守护进程模式运行，统计信息将发送到syslog中。你可以查看到snort检测的协议信息、报警数目、记录的包数、接收和丢弃的包数。这使得你能够很方便的提高snort的性能。

根据其采用的技术可以分为异常检测和特征检测。
（1）异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。通过检测系统的行为或使用情况的变化来完成
（2）特征检测：特征检测假设入侵者活动可以用一种模式来表示，然后将观察对象与之进行比较，判别是否符合这些模式。
（3）协议分析：利用网络协议的高度规则性快速探测攻击的存在。
根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统。
（1）基于主机的入侵检测系统：通过监视与分析主机的审计记录检测入侵。能否及时采集到审计是这些系统的弱点之一，入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。
（2）基于网络的入侵检测系统：基于网络的入侵检测系统通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。
（3）分布式入侵检测系统：目前这种技术在ISS的RealSecure等产品中已经有了应用。它检测的数据也是来源于网络中的数据包，不同的是，它采用分布式检测、集中管理的方法。即在每个网段安装一个黑匣子，该黑匣子相当于基于网络的入侵检测系统，只是没有用户 *** 作界面。黑匣子用来监测其所在网段上的数据流，它根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据，同时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的界面。它的特点是对数据保护的范围比较大，但对网络流量有一定的影响。
根据工作方式分为离线检测系统与在线检测系统。
（1）离线检测系统：离线检测系统是非实时工作的系统，它在事后分析审计事件，从中检查入侵活动。事后入侵检测由网络管理人员进行，他们具有网络安全的专业知识，根据计算机系统对用户 *** 作所做的历史审计记录判断是否存在入侵行为，如果有就断开连接，并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期或不定期进行的，不具有实时性。
（2）在线检测系统：在线检测系统是实时联机的检测系统，它包含对实时网络数据包分析，实时主机审计分析。其工作过程是实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的 *** 作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。

中国石油广域网经过第二次扩充与提升，已经成为全国最大的企业网之一，它遍布全国，又直通国外下属企业。在这种形势下，安全威胁更加严峻。 计算机信息系统安全是一个动态过程。美国国际互联网安全系统公司（ISS）对此提出P2DR模型，其关键是Policy（策略）、Protection（防护）、Detection（检测）和Response（响应）四方面。按照P2DR的观点，完整的动态安全体系需要防护措施（如网络或单机防火墙、文件加密、身份认证、 *** 作系统访问控制、数据库系统访问控制等）、动态检测机制（入侵检测、漏洞扫描等）、先进的资源管理系统（及时发现问题并做出响应）。
中国石油按照信息安全P2DR模型制定的信息安全系统体系结构包括安全运行中心、网络边界管理系统、网络准入控制、网络管理系统、病毒监控与升级管理系统、系统加固与监控管理系统、CA认证中心、密钥管理与分发系统、数据库防护系统、容灾系统、内容访问监控系统和电子邮件监控系统。

中国石油广域网安全基础设施

●防火墙系统
中国石油广域网十分庞大，下属单位很多，遍布全国，连通世界上很多国家的分支企业。因此需要在网络各个相连处部署强力防火墙，确保网络的安全性。另外，在区域网络中心的服务器群前，加两台防火墙，以负载均衡方式，用千兆光纤连接到区域网络中心路由器上。在两台防火墙都正常工作情况下，可以提供约两倍于单台设备的性能，即约4Gbps的防火墙吞吐量，当一台防火墙出现故障时，另一台防火墙保证网络不间断运行，保障服务器群的高可用性。
利用防火墙技术，能在内外网之间提供安全保护; 但有如下局限性: 入侵者可寻找防火墙可能敞开的后门进行袭击; 网络结构改变有时会造成防火墙安全策略失效，攻击者可以绕防火墙实施攻击; 入侵者可能来自防火墙内部; 防火墙可能不能提供实时入侵检测。
●入侵检测系统
入侵检测系统分为基于网络和基于主机两种类型。基于网络的入侵检测系统对所在网段的IP数据包进行分析监测，实时发现和跟踪有威胁或隐患的网络行为。基于主机的入侵检测系统安装在需要保护的主机上，为关键服务提供实时保护。通过监视来自网络的攻击、非法闯入和异常进程，能实时检测出攻击，并做出切断服务、重启服务器进程、发出警报、记录入侵过程等动作。
入侵检测在网络中设置关键点，收集信息，并加以分析，查找违反安全策略的行为和遭到袭击的迹象。它是第二道安全闸门，对内外攻击和误 *** 作提供实时保护，又不影响网络性能。其具体功能如下: 监视、分析用户及系统活动; 系统构造和弱点审计; 识别已知进攻的活动模式并向相关人员报警; 异常行为模式的统计分析; 评估重要系统和数据文件的完整性; *** 作系统的审计跟踪管理，并识别用户违反安全策略的行为。
中国石油12个区域网络中心，均配备入侵检测系统，监控内外网入侵行为。
●漏洞扫描系统
漏洞扫描是自动检测远端或本地主机安全脆弱点的技术。它查询TCP/IP端口，并记录目标的响应，收集关于某些特定项目的有用信息，例如正在进行的服务、拥有这些服务的用户是否支持不记名登录、是否有某些网络服务需要鉴别等。
漏洞扫描系统可安装在便携机中，在网络比较空闲时检测。检测方式可本地可远程; 可临时检测某网段，也可固定检测某网段，但是检测范围不可跨越防火墙。
●查杀病毒系统
中国石油网络上各个局域网普遍设立查杀病毒软件服务器，不断更新杀毒软件，及时向用户机下推最新版本杀毒软件。大大减轻了病毒泛滥和造成的损失。

网络安全策略管理

中国石油全网提供统一安全策略，各级分别部署，从而提高全网整体安全。
企业网络安全策略分为四个方面:检测评估、体系结构、管理措施和网络标准，并构成动态循环系统（图1）。安全检测与评估随着安全标准的提高而改进，评估结果是网络体系结构的完善的依据，安全策略管理必须随之改进与增强; 技术的进步和网络安全要求的提高，促使网络标准的完善与改进。
网络安全检测与评估涉及网络设备、网络 *** 作系统、应用软件、专业软件、数据库、电子商务、Web网站、电子邮件等。安全体系结构涉及物理、场地、环境、访问控制、数据传输与保存、路由控制。安全管理措施涉及网络设备、软件、密钥。
路由器和交换机策略管理是上述安全管理措施中的重要方面。它们的策略维护通过访问控制列表（ACL）实现。这种工作容易出错，因而应采用专用工具软件集中管理。所采用的管理软件有管理设备ACL的WEB接口，通过这个接口对IP过滤列表进行编辑及下载，简化了管理工作量，实现了大型网络路由器和交换机上策略参数的集中管理。

分系统设计
除了上述基础设施外，还必须有属于“上层建筑”安全措施。这便是分系统设计。
●安全运行中心
中国石油信息系统地域分散、规模庞大，与多个业务系统耦合性很强，如何将现有安全系统纳入统一管理平台，实现安全事件全局分析和动态监控，是中国石油广域网面临的主要问题。
建立安全运行中心，实现对全网安全状况的集中监测、安全策略的统一配置管理、统计分析各类安全事件，并处理各种安全突发事件。安全运行中心不仅可以将不同类型安全产品实现统一管理，还可以将网络中不同位置、不同系统中单一安全事件进行收集、过滤、关联分析，得出网络全局风险事件集，提供安全趋势报告，并通过远程状态监控、远程分发、实现快速响应，有效控制风险事件。
安全运行中心功能模块包括安全配置模块、网络监控模块、内容监管模块、安全事件与预警模块以及应急响应模块，具体功能模块如图2所示。下边介绍几种主要功能。
（1）安全配置管理
包括防火墙、入侵检测、***等安全系统的安全规则、选项和配置，各种 *** 作系统、数据库、应用等系统配置的安全设置、加固和优化措施。可实现策略创建、更新、发布、学习和查询。
（2）网络监控
模块可提供对网络设备、网络安全设备、网络拓扑、服务器、应用系统运行情况的可视化监控，确定某个安全事件是否会发生，事件类型、影响程度和范围。预警: 对网络设备、安全设备、主机系统、服务器、数据库系统日志信息的收集、集中存储、分析、管理，及时发现安全事件，并做出相应预警。
（3）内容监管
内容发布监控、内容访问监控以及内容传播监控。
中国石油信息安全系统安全运行中心由总部、区域中心、地区公司三级结构组成。
总部级: 制定统一安全配置，收集所有汇总上来的数据，并对其进行统一分析、管理。通过这种逐级逐层多级化模式管理，达到对信息安全全方位防御的目的。
区域中心级: 执行对管辖范围内所有地区公司安全运行中心的监控，也可监控区域内的网络安全、主机安全、数据库安全、应用系统安全等，并向总部安全运行中心上报相关数据。
地区公司级: 部署总部的统一安全配置，监控地区公司内部网络、主机、数据库、应用系统安全等，收集分析安全事件并做出及时响应，生成分析报告，定期向区域中心汇总。
●网络边界管理系统
中国石油网络按照其应用性质的不同和安全要求的不同，划分为不同的安全域。整个网络安全符合木桶原则: 最低木板决定木桶装水量; 网络安全最薄弱环节决定整个网络的安全性。
由于网络中不可控制的接入点比较多，导致全网受攻击点明显增多。通过网络边界管理系统可以最大限度保护内部业务数据的安全，其中重点保护与Internet直接连接的区域。
按照业务不同的安全程度要求，中国石油各个企业网络划分若干安全区域:
（1）业务区域: 企业重要信息集中在此，这里有核心数据库，可与相关单位交换信息。
（2）生产区域: 主要指各炼化企业的生产网络，实现生产在线监控和管理信息的传递。
（3）办公区域: 各单位的办公网，用户访问企业业务系统与互联网、收发电子邮件等。
（4）对外服务区: 通过因特网对外发布信息和进行电子商务的区域，该区域日趋重要。
（5）因特网接入区: 因特网浏览信息、对外交流的窗口，最易受攻击，要重点保护。
通过边界管理系统在中国石油各局域网边界实施边界管理，在内部部署入侵检测系统实施全面安全保护，并在对外连接处和必要的部位部署防火墙进行隔离。
通过入侵检测系统和防火墙联动，可以对攻击行为实时阻断，提高安全防护的有效性。
●网络准入控制系统

中国石油网络准入控制系统分四部分: 策略服务器、客户端平台、联动设备和第三方服务器（图3）。
（1）安全策略服务器: 它是网络准入控制系统的管理与控制中心，实现用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。
（2）安全客户端平台: 它是安装在用户终端系统上的软件，可集成各种安全产品插件，对用户终端进行身份认证、安全状态评估以及实施网络安全策略。
（3）安全联动设备: 它是企业网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。安全管理系统管理平台作为安全策略服务器，提供标准协议接口，支持同交换机、路由器等各类网络设备的安全联动。
（4）第三方服务器: 为病毒服务器、补丁服务器等第三方网络安全产品，通过安全策略的设置实施，实现安全产品功能的整合。
链接
中国石油广域网安全设计原则
在中石油广域网络安全系统的设计中应遵循以下设计原则:
●高度安全与良好性能兼顾: 安全与性能相互矛盾，安全程度越高，性能越受影响。任何事物没有绝对安全，也不总是越安全越好。安全以投资、性能、效率的付出为代价。在安全系统设计中，对不同安全程度要求，采用不同安全措施，从而保证系统既有高度安全保障，又有良好系统性能。所谓高度安全，指实现的安全措施达到信息安全级别的要求，对关键信息可以再高一个级别。
●全方位、均衡性和层次性: 全方位、均衡性安全设计保证消除网络中的漏洞、后门或薄弱环节; 层次性设计保证当网络中某个安全屏障（如防火墙）被突破后，网络仍受到其他安全措施（如第二道防火墙）的保护。
●主动和被动相结合: 主动对系统中安全漏洞进行检测，及时消除安全隐患; 被动实施安全策略，如防火墙措施、ACL措施等等。两者完美结合，有效实现安全。
●切合实际: 有的放矢、行之有效，避免措施过度导致性能不应有的下降。
●易于实施、管理与维护。
●可伸缩性: 系统必须留有多余接口，以适应拓展需要。
●对产品和技术选择系统六原则: 先进性、标准性、简易性、实用性、集成性和扩展性。

---