启明星辰网络安全解决方案

多个局部预警网络可以相互联系 按照一定的规则构建成一个多层次 分级管理的大规模的预警网络
solutions
www.it168.com
网络探测器是预警系统中检测部分的核心 通过对网络进行实时监听 收集网络上的信息 并对这些 信息进行实时的分析 看是否对被保护的网络构成威胁 然后按照预先定义的策略自动报警 阻断和记录 日志等
solutions
www.it168.com
变到以网络为主的攻击 新的手法包括 通过网络监听获取网上用户的帐号和密码 监听密钥分配过程 攻击密钥管理服务器 得到密钥或认证码 从而取得合法资格 利用 Unix 操作系统提供的守护进程的缺省 帐户进行攻击 如 Telnet Daemon FTP Daemon,RPC Daemon 等 利用 Finger 等命令收集信息 提高自己 的攻击能力 利用 Sendmail 采用 debug,wizard,pipe 等进行攻击 利用 FTP 采用匿名用户访问进行攻 击 利用 NFS 进行攻击 通过隐蔽通道进行非法活动 突破防火墙等等 目前 已知的黑客攻击手段已多 达 500 余种
2 产品优点
全自动 大规模的扫描任务 每次最大可扫描多达 255 台主机 扫描任务一经启动 无需人工干预
多线程扫描
保证了扫描任务的高效性和稳定性
定时扫描机制
保证充分利用网络空闲间隙进行网络安全状况评估
丰富的漏洞检查列表
共计 25 大类 600 多种漏洞检测 并跟进最新的漏洞 将其加入到漏洞库中 大大减少用户系统中的 隐患 方便灵活的用户自定义策略
IDS 概念解析
入侵检测系统全称为 Intrusion Detection System 它从计算机网络系统中的关键点收集信息 并分 析这些信息 检查网络中是否有违反安全策略的行为和遭到袭击的迹象 入侵检测被认为是防火墙之后的 第二道安全闸门 IDS 主要执行如下任务
1 监视 分析用户及系统活动 2 系统构造变化和弱点的审计 3 识别反映已知进攻的活动模式并向相关人士报警 4 异常行为模式的统计分析 5 评估重要系统和数据文件的完整性 6 操作系统的审计跟踪管理 并识别用户违反安全策略的行为 一个成功的入侵检测系统 不仅可使系统管理员时刻了解网络系统 还能给网络安全策略的制订提供 依据 它应该管理配置简单 使非专业人员非常容易地获得网络安全 入侵检测的规模还应根据网络规模 系统构造和安全需求的改变而改变 入侵检测系统在发现入侵后 会及时作出响应 包括切断网络连接 记录事件和报警等 IDS 分类入侵检测通过对入侵行为的过程与特征进行研究 使安全系统对入侵事件和 入侵过程作出实时响应
入侵检测系统按其输入数据的来源来看 可以分为以下两种
1.基于主机的入侵检测系统 其输入数据来源于系统的审计日志 一般只能检测该主机上发生的入侵 2.基于网络的入侵检测系统 其输入数据来源于网络的信息流 能够检测该网段上发生的网络入侵
solutions
www.it168.com
IDS 功能结构 总体来讲 入侵检测系统的功能有
网络版天阗
网络版天阗是基于网络的入侵检测系统 以下称为天阗网络入侵检测系统 天阗网络入侵检测系统是通过监视网络中的数据包来发现黑客的入侵企图 它可以运行在一台单独的 计算机上监视整个网络的信息 天阗网络入侵检测系统是一种分布式的网络入侵检测系统 可以适用于任何规模的网络 无论是小型 局域网还是跨地区的城际网络 都可以自由 灵活的来部署天阗
银行 证券 电信和军队等领域得到了广泛的使用
网络安全产品链 相关方案包括
天阗(tian)黑客入侵检测系统 天镜网络漏洞扫描系统 天蘅(heng)安防网络防病毒系统 Webkeeper 网站监测与修复系统 安星主机保护系统 天燕智能网络信息分析实录仪 C-SAS 客户化安全保障服务
天阗(tian)黑客入侵检测系
solutions
www.it168.com
控制中心负责 制定入侵监测的策略 种方式对入侵事件作出快速响应
收集来自多台主机的上报事件 综合进行事件分析 以多
系统特点
内置多种预定义策略 并允许用户添加修改策略 具有自动/手动两种启动模式 除去由控制中心集中管理之外 还提供基于命令行的管理工具 具备多种安全的自我保护功能 防止探测引擎被恶意破坏
系统运行环境
天阗主机版 探测引擎 Solaris 7 (SPARC) 控制中心 Windows 2000 天阗网络版 探测引擎 RedHat Linux 6.1
solutions
www.it168.com
控制中心 windows 2000
天镜网络漏洞扫描系统
(镜 古有 明镜高悬 一说 即可以照人 又可以耀物 真实反映客观现状 拾缺补漏 ) 漏洞检测和安全风险评估技术 因其可预知主体受攻击的可能性和具体的指证将要发生的行为和产生的 后果 而受到网络安全业界的重视 这一技术的应用可帮助识别检测对象的系统资源 分析这一资源被攻 击的可能指数 了解支撑系统本身的脆弱性 评估所有存在的安全风险
主机版天阗
主机版天阗是基于主机的入侵检测系统 以下称为天阗主机入侵检测系统 天阗主机入侵检测系统目前支持 Solaris 7 SPARC 系统 他能自动 实时的入侵检测和响应系统 它能够实时监控系统 自动检测可疑行为 分析来自主机内部的入侵信号 在系统受到危害前发出警告 实时对攻击作出反应 并提供补救措施 最大程度地为主机系统提供安全保障 天阗主机入侵检测系统分为两个部分 控制中心和探测引擎 探测引擎端负责将审计数据和日志记录 作简单的处理后 形成安全相关事件后 上报控制中心 见下图
控制中心是预警系统的管理和配置工具 同时 它也接收来自网络探测器的实时报警信息 控制中心 还提供了将实时报警信息转发至邮件信箱的功能
控制中心可以编辑 修改和分发下属网络探测器和下属分控制中心的策略定义 给下属网络探测器升 级事件库
系统特点
内置了多种预定义策略 并允许用户添加修改策略 防火墙进行联合行动 阻断任何非法连接 实时显示分析结果 开放式事件特征库 任何人都可以自行定义和添加特征事件 包含一个报表分析软件 事后可对日志进行二次分析 网络流量分析 可以帮助分析网络故障 提供固化版本的网络探测器 即插即用 方便安装
Web 服务 FTP 服务 守护进程 电子邮件服务 CGI-BIN
solutions
www.it168.com
浏览器设置 RPC 攻击 特定的强力攻击选项 拒绝服务攻击检测 安全区检测 NT 用户策略 NetBIOS NT 注册表 NT 服务 SNMP 缓冲溢出检测 NFS 检测 IP 欺骗 特洛伊后门程序检测 共享/DCOM 类 NT 服务类
合理的结构化设计 模块的继承性 使得系统具有很大的可扩展空间
应用结构
solutions
Leabharlann Baidu
www.it168.com
镜漏洞扫描系统
网络版天镜可扫描任何基于 TCP/IP 的网络主机 无论网络核心是采用 FDDI ATM 还是千兆以太网 只 要目标主机支持 TCP/IP 协议 就可对其进行扫描
1 系统扫描内容 报表应用界面
天镜网络漏洞扫描系统就是这一技术的实现 她包括了网络模拟攻击 漏洞检测 报告服务进程 提 取对象信息 以及评测风险 提供安全建议和改进措施等功能 帮助用户控制可能发生的安全事件 最大 可能的消除安全隐患 该系统具有强大的漏洞检测能力和检测效率 贴切用户需求的功能定义 灵活多样 的检测方式 详尽的漏洞修补方案和友好的报表系统 以及方便的在线升级
系统内置 强 中 弱 三种扫描策略 用户也可以根据需要自定义扫描策略并进行储存 就用 户所关心的项目进行重点检测
提供修补漏洞的解决办法
在报告漏洞的同时 提供相关的技术站点和修补办法 方便管理员进行管理 实用的模拟攻击工具 可直观反映系统的脆弱性
人性化的扫描报表
系统对于被检测主机的漏洞危险级别利用红 黄 绿分别对高 中 低风险进行标示 同时对于被选 中的主机检测信息进行突出显示 方便管理员的查询管理
入侵检测系统
防火墙与 IDS
谈到网络安全 人们第一个想到的是防火墙 但随着技术的发展 网络日趋复杂 传统防火墙所暴露 出来的不足和弱点引出了人们对入侵检测系统(IDS)技术的研究和开发 首先 传统的防火墙在工作时 就 像深宅大院虽有高大的院墙 却不能挡住小老鼠甚至是家贼的偷袭一样 因为入侵者可以找到防火墙背后 可能敞开的后门 其次 防火墙完全不能阻止来自内部的袭击 而通过调查发现 70%的攻击都将来自于内 部 对于企业内部心怀不满的员工来说 防火墙形同虚设 再者 由于性能的限制 防火墙通常不能提供 实时的入侵检测能力 而这一点 对于现在层出不穷的攻击技术来说是至关重要的 第四 防火墙对于病 毒也束手无策 因此 以为在 Internet 入口处部署防火墙系统就足够安全的想法是不切实际的 入侵检测 系统(IDS)可以弥补防火墙的不足 为网络安全提供实时的入侵检测及采取相应的防护手段 如及时记录证 据用于跟踪 切断网络连接 执行用户的安全策略等
灵活的策略配置
可按照特定的需求配置多种扫描策略和扫描参数 实现不同内容 不同级别 不同程度 不同层次的 扫描
多种形式的报表
全面详细的分析报告能力 可根据用户的不同需求提供不同层次的报告 并提供安全补丁供应商的热 连接 快速及时的修补漏洞
实用的模拟攻击工具
系统提供用于测试的模拟攻击工具 较好反映了黑客实际攻击的必经之路 同时对被测试系统的测试 力度可控 不会为系统带来危害
www.it168.com
启明星辰网络安全解决方案
启明星辰公司自 1996 年成立以来 已经开发了黑客防范与反攻击产品线 采用国际著名厂商芬兰 F-Secure 公司杀毒技术形成的网络病毒防杀产品线 以网站安全扫描与个人主机保护为代表的网络安全管 理产品线 以及几大产品线之间互动的网络资源管理平台 成为具有自主知识产权 覆盖防病毒和反黑客 两大领域的高科技含量的网络安全产品研发与生产基地 启明星辰公司产品均获得了 计算机信息系统安 全专用产品销售许可证 国家信息安全产品测评认证证书 和 军用信息安全产品认证证书 在政府
1 监视用户和系统的运行状况 查找非法用户和合法用户的越权操作 2 检测系统配置的正确性和安全漏洞 并提示管理员修补漏洞 3 对用户的非正常活动进行统计分析 发现入侵行为的规律 4 检查系统程序和数据的一致性与正确性 如计算和比较文件系统的校验和能够实时对检测到的入侵 行为进行反应
天阗概述
天阗正是适应入侵检测这一实际需求的产物 简而言之 天阗能够收集并分析计算机系统和网络中的 关键信息 检查系统和网络中是否有违反安全策略的行为和遭到袭击的迹象 它是启明星辰公司开拓国内 的网络安全市场 并具有自主知识产权的战略性产品 启明星辰公司已为此投入了相当大的资源 并取得 了显著的成果 启明星辰还将继续努力 保持在该领域技术上的领先优势
网络可能存在漏洞
系统设置配置不当使得普通用户权限过高 员由于操作不当使得系统被安装了后门程序 系统本身或应用程序存在可被利用的漏洞 对于网络安全来说 安全性取决于所有安全措施中最薄弱的环节 而上面我们所讨论的问题 就是网 络的薄弱之处 也是最容易被黑客利用来侵入系统 给我们造成损失的环节
总体特点
可以动态地分析目标系统的安全脆弱性 根据不同的对象类型 自动寻找匹配的扫描策略进行下一步的分析扫描 远程在线升级 远程下载升级模块 自动完成升级过程
天阗分主机版和网络版 主机版天阗是基于主机的入侵检测系统 它监视系统的运行状况 监视系统 上用户的操作 对用户的活动进行审计和分析 对系统程序和数据的一致性和正确性进行检查 网络版天 阗是基于网络的入侵检测系统 监视网络的运行状况 分析网络上的可疑行为 对正常及非正常的活动进 行审计和分析 向网络控制台实时报警 并且能根据预先配置的策略自动对攻击作出反应
(阗 在中国古代有 和田美玉 之意 坚固圆润 异彩流光 可以补天 ) 一般认为 计算机网络系统的安全威胁主要来自黑客攻击 计算机病毒和拒绝服务攻击 3 个方面 目 前 人们也开始重视来自网络内部的安全威胁 黑客攻击早在主机终端时代就已经出现 而随着 Internet 的发展 现代黑客则从以系统为主的攻击转