《(2020年)产品管理产品规划主要安全代理产品白皮书》由会员分享,可在线阅读,更多相关《(2020年)产品管理产品规划主要安全代理产品白皮书(25页珍藏版)》请在金锄头文库上搜索。
1、网络及信息安全代理产品技术白皮书 北京北大青鸟环宇科技股份有限公司一、引言随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式,成为当今社会发展的一个主题。网络的开放性,互连性,共享性程度的扩大,特别是Internet的出现,使网络的重要性和对社会的影响也越来越大。随着网络上电子商务,电子现金,数字货币,网络银行,网上证券等新兴业务的兴起,网络安全问题变得越来越重要。北大青鸟环宇科技股份有限公司成立与2000年3月,由北大青鸟软件系统有限公司、北大宇环微电子系统工程公司、北大青鸟天桥有限公司等9家企业和投资基金共同发起设立的一家高科技公司,注册资本9640万元。并于20
2、00年7月27日在香港创业版上市,是境内第一家在香港创业版上市的高科技企业。公司作为中国首屈一指的嵌入系统开发商和供应商,依托北京大学信息安全研究室、北京大学软件工程研究所和北京大学微电子学研究所的科研、人才优势,以嵌入式系统产品为主要发展方向,主要从事网络安全产品、专用集成电路(ASIC)、IC卡应用系统、GPS应用系统和无线火灾报警系统等。公司依托强有力的技术后盾,在充分发挥自身技术优势的基础上,率先投身网络和信息安全领域,在国信办、国密办、国家保密局、公安部、总参58所、56所等部门的指导和支持下,承担了一系列关于网络信息安全的研究课题和项目,并已开发一系列网络及信息安全产品,形成了产、
3、学、研一体化的格局。目前开展的研究涉及网络与信息安全方面的理论、技术、产品研发各环节,尤其在Intranet/Internet、VPN、区域金融网安全体系、加密及密钥管理体制、密押及数字签名体制、双向身份认证、访问控制、安全电子传输协议(SET)、信息存储安全、系统日志、支付密码器、数据加密卡、链路加密机、公用对象代理系统、安全通信平台等方面取得了很好的研究成果。公司作为一家专业从事网络信息安全技术应用和推广的高科技实体。一直致力于金融、证券、银行、政府上网工程、公共网/Intranet网络信息安全等领域的自主安全产品开发和以客户应用为核心的系统集成项目的整体方案设计和工程实施,并成果显著。目
4、前,赛门铁克 (Symantec) 公司是全球第一位的互联网络安全解决方案供应商,也是唯一能够提供最全面的互联网络安全解决方案供应商。成立于1982年,现在全球范围设立的分支机构已超过33个国家。于1989年在美国上市,全球用户超过六千万,包括Fortune Top50家企业的45家。拥有全球雇员及专家3700多人。公司2000财政年度防病毒与工具类软件销售额销售额7.45亿美元,净利润1.7亿美元。风险评估与入侵检测等安全类软件销售额1.13亿美元。赛门铁克公司为个人和企业用户提供了一系列网络安全解决方案。包括病毒防护、风险管理、入侵检测、互联网安全、电子邮件过滤和移动代码侦测等技术。公司的
5、目标是为用户提供端到端的互联网安全整体解决方案、快捷灵活的超值授权方案,使用户以最小的投入而获得最大利益。北大青鸟环宇公司与赛门铁克公司结成战略合作伙伴关系, 作为赛门铁克在中国的全线产品分销商。成功实现的强强联手旨在共同提高中国网络安全技术水平、丰富国内的安全手段和产品,以便为用户提供更为全面的网络及信息安全解决方案。二、产品应用思路北大青鸟环宇公司的一体化的网络安全解决方案能够帮助用户根据网络的实际情况和应用需求提出合理可行的安全需求;确定要保护的对象(网络设备、企业内部服务器、应用系统等要素)、所采用的安全技术和产品;进而设计并建立适合自己的安全机制、安全管理制度,取得安全风险、成本、安
6、全性三者之间取得最佳平衡点。公司代理了Symantec的所有安全产品,防火墙、入侵检测、漏洞扫描、防病毒等。内容如下:1.风险评估与漏洞扫描 Enterprise Security Manager(基于主机的漏洞检测) NetRecon(基于网络的漏洞检测)2. 网络防护 Intruder Alert(基于主机防黑客入侵侦测) NetProwler(基于网络防黑客入侵侦测) Raptor Firewall(防火墙)3.身份认证、加密 Defender 、WebDefender VPN Solutions(RaptorMobile 、PowerVPN ) PassGoInSvnc、PassGo
7、SSO4.管理 Enterprise Resource Manager Resource Manager for UNIX Privilege Manager for UNIX5.内容安全 I-Gear(网站和网页内容过滤) Mail-Gear(邮件内容过滤、防邮件泄密) 网络防病毒解决方案(NAVES)6.桌面防火墙系统(Desktop Firewall ) Desktop Firewall 2.07.系统支持与维护(eSupport) Symantec Ghost 6.5 pcANYWHERE 9.2安全产品实现的主要功能和应用层次如下:自身安全授权安全管理 (ERM, PassGo In
8、sync, PassGo SSO)增强的用戶認證 (Defender, Web Defender)入侵检测 (Intruder Alert, Net Prowler)评估 (ESM , NetRecon)安全管理 (UPM , ERM)加密 (Power VPN)访问控制 (Desktop Firewall, Security Briefcase)安全顾问防火墻 (Raptor Firewall)内容过滤(I-Gear, Mail-Gear,NAVES)防病毒三、NetProwler3.1 NetProwler产品概述NetProwler是基于网络的入侵检测工具,通过监视服务器、工作站和其他网
9、络设备间的网络通讯,能够检测出类似IP Spoofs 和 SYN Floods 这样的网络攻击。它能够将许多严重的攻击在危及网络安全之前检查出来,对内部破坏者和外部黑客非法访问计算机系统能够立即做出响应,记录日志和终止非法访问。NetProwler在专门的NT工作站上部署一个数据包监视方案来检查网络攻击,NT工作站的网卡接口模式设置为混杂模式,NetProwler检查所有经过网卡端口的数据包,对检测出的安全攻击进行响应。NetProwler采用具有专利技术的SDSI(Stateful Dynamic Signature Inspection状态化的动态特征检测)入侵检测技术,而不是将信号同数据
10、库中预定义的攻击信号进行简单的比较。每个攻击特征都是一组指令集,这些指令是由SDSI虚处理器通过使用一个高速缓存入口来描述目前用户状态和当前从网络上收到数据包的办法执行。每一个被监测的网络服务器都有一个小的相关攻击特征集,这些攻击特征集都是基于服务器的操作和服务器所支持的应用而建立的。一旦NetProwler被安装,它将扫描所在网段,进而发现危及主机和应用系统安全的攻击。在NetProwler进行网络扫描、提交报告后,系统管理员对每个系统的配置进行修改,对攻击进行响应。3.2 NetProwler的体系结构NetProwler具有多层体系结构,由Agent、Console和Manager三部分
11、组成。Agent负责监视所在网段的网络数据包。将检测到的攻击及其所有相关数据发送给管理器。安装时应与企业的网络结构和安全策略相结合。NetProwler需要在每个网段中部署一个或一个以上Agent,根据不同的网络结构,Agent有多种不同的连接形式。Console负责从代理处收集信息,显示所受攻击信息,使你能够配置和管理隶属于某个管理器的代理。Manager对配置和攻击警告信息响应,执行控制台发布的命令,将代理发出的攻击警告传递给控制台。当NetProwler发现攻击时,可采取的响应措施包括:把事件记入日志、中断连接、加强防火墙、创建一个报告、通过文件或EMAIL通知系统管理员、启动另一个程序
12、、记录连接、将事件通知主机入侵检测管理器和控制台。3.4 NetProwler产品特点l 运用了SDSI技术,能够动态装载新的更新,同时赛门铁克的信息安全小组SWAT随时研究新的入侵技术和安全威胁,并且在实验室中对它们进行测试,以便用户能够以最快的速度实施新的入侵检测方案。l 采用了黑客反跟踪技术,可以对TCP/IP欺骗信号进行核查。通常状态下,攻击者使用假IP地址有可能会被注意到,因为在建立连接时往往要检验IP地址以判断通讯双方是否有信任关系。黑客的做法是截获一个已经获得信任的连接,盗用合法IP,同通信另一方取得联系。NetProwler不是进行简单的域名检查,而是将攻击信号同保留的IP和M
13、AC地址对进行比较,并且可以对攻击者在进行序列号猜测过程中发生的极其微小的错误也能检测到。这项功能是一般的网络入侵检测系统不具备的。l NetProwler具有优秀的报表输出功能,有三种不同的输出方式:快速报表、自定义格式报表和使用Crystal 报表设计工具生成报表。生成的报表存储在NetProwler管理器中,可以从控制台系统的浏览器中观看生成的报表。l NetProwler允许将攻击特征作为一组指令集来实现,所以还为用户提供过滤器编程语言,使入侵检测系统在必要的时候可以编译过滤器。l 自动报告丢包情况:当网络流量非常繁重致使一个NetProwler Agent不能处理时,Agent可以详
14、细的记录下相关信息,并生成报表。l 遵循OPSEC协议,具有良好的互操作性。很多企业为了便于管理,均使用一个网管软件对网络中的所有设备和应用系统进行管理,例如TIVOLI、HP-OPENVIEW等等。NetProwler在产品整合过程中,对外提供标准插件,使网管软件对其实施管理。l 加固防火墙的安全性:将入侵检测产品和其他网络安全产品(如防火墙、网络防病毒产品等)配合使用,能够使网络更加坚固、安全,使各种安全产品充分发挥自身的特性。NetProwler在响应攻击事件时,可以修改Raptor Firewall、 Checkpoint Firewall等的安全策略和访问控制规则。l 被动网络监测:
15、NetProwler可以把在本系统中安装的网卡置于混杂模式(Promiscuous)实时检测各种攻击。由于它采用数据缓冲技术而不是采用存储/转发技术,因此不会影响网络或应用的性能。l 用户自定义攻击定义(特征):攻击特征可以检测并防止黑客通过命令尝试来探测或挖掘已知系统和应用的漏洞。同时管理员可以根据企业的资源和应用情况制定相应的攻击特征。因此可以保护企业特定的资源和应用。l 动态装载新的攻击特征:IDS系统只有能够及时更新攻击特征库才能够最强的监测和防护能力,其他的IDS系统在更新攻击特征库是需要停止IDS服务,NetProwler由于采用了SDSI专利技术,他把会话处理和分析功能从攻击特征库中分离开来,NetProwler可以在无需停止任何服务的情况下装载最新的攻击特征。l 网络Profiler:NetProwler通过自动发现网络主机、应用以及自动实施攻击特征,提供无缝的安装和配置功能。同时他允许在监测不同网段的数据包时只采用跟本网段安全有关的的攻击特征。从而大大提高了监测效l 率和优化了性能。l 全企业范围内可扩展的管理结构:可以为多个NetProwler Agent提供一个直观、方便的集中的管理、配置和监测平台。为管理员提供一个基于目标驱动的一步一步的安装、配置、监测和维护,同时Ne
