《公司及NIMS产品介绍》由会员分享,可在线阅读,更多相关《公司及NIMS产品介绍(56页珍藏版)》请在金锄头文库上搜索。
1、 网络一体化监控记录系统NIMS北京国都兴业科技发展有限公司国都兴业 公司介绍北京国都兴业科技发展有限公司国都兴业 公司介绍北京国都兴业科技发展有限公司成立于 1998年,2001年根据 IT市场发展的需要,特别是为适应信息安全市场的发展需求,公司进行了业务重组,一批在国内信息安全技术研究机构和军队长期从事网络攻防技术研究的高技术人才加盟到公司。 公司重组后成为一家专门从事 IP网络监控产品研制生产的专业公司。公司技术方向以 IP网络监控技术为核心,研究、开发和整合网络监测、系统监测、安全入侵检测、 网络信息内容监测、关键业务流监测等技术, 采用基于 WBEM的安全网管平台,支持 XML技术接
2、口,研制一体化、多功能的 IP网络监控记录系统。国都兴业 公司介绍n 公司技术骨干队伍组成:n 原公司从事电信网络增值服务开发、网络防病毒应用、视频监控等技术的研发及工程人员。n 在国家信息安全测评认证中心系统工程实验室从事过信息安全技术与产品研发工作的人员。n 在总参三部(北方计算中心)从事过网络攻防技术研究、网络入侵监控及信息监测技术研发与应用的人员。 国都兴业 市场背景利用网络和信息技术手段盗取国家信息资源、窃取国家政治、经济、军事信息情报,攻击破坏国家信息基础设施的安全事件时有发生。全球网络化的开放性带来的安全性问题变得越来越严重。信息安全事关重大,它危及国家政治、经济、军事、社会等各
3、个方面,已对国家安全构成威胁,因此建立我国网络信息空间与国家政治、军事和经济命脉的信息网络系统的安全监控基础设施迫在眉睫。市场背景国外 IP监控市场现状:在美国有 80% 以上的企业网络使用 IP网络监控设备,其主要原因是为了网络的安全,规范人员上网行为,保护商业秘密不被泄露,优化管理网络的使用效率,增强整个企业的生产力和竞争力,使企业轻松面对日益激烈的挑战 。 市场背景国外监控市场现状 :联邦入侵侦测网 FIDNET美国服务管理总局、关键基础设施确保办公室、国家安全局和联邦调查局 (由其下属的“ 国家基础设施防护中心 ” 参加 )等正在联合开发称作 “ 联邦入侵侦测网 ” ( FIDNET)
4、的技术,该网技术将要为联邦政府所有的计算机通信系统提供安全监控服务并对入侵定位 (还具有入侵隔离和系统恢复功能 )。 市场背景国外监控市场现状 :随着诸如 VoIP等基于包的数据传输技术在移动通信网领域的广泛应用,美国联邦调查局要求电信运营商能够设法进行技术改造,为联邦执法部门对这类新型网络的监控提供便利 ,实现同一通讯线路的多路监听及对网络流量的实时监控。 市场背景国外 IP监控产品现状:以色列 ECTEL公司产品: IPMRS( IP Monitor and Recording System )法国 GN Nettest公司产品: Fastnet美国 CA公司产品: Etrust 市场背景
5、国内 IP监控市场现状:安全监控技术的发展: 1999年以后技术研究与应用: 网络级入侵检测十几家,通过国家测评认证机构认证的 6-7家主机级监测的很少应用级监测的只有个别职能管理部门使用(互联网内容监测) 关键业务(银行、证券、电子政务、电力电信、航空、铁路等等)业务 流与过程监测几乎空白。市场背景国内 IP监控产品现状:单一监测类型产品: 功能单一低性能的 网络数据流采集:漏包率高IDS行为监测细粒度低: 误报率高二级系统结构:限定了监测的网络规模无 XML插件接口:无法实现设备之间联动,不能统一管理。监控对象缺乏可视化:不能方便快速地事件定位。 市场背景国内信息安全应用现状:用户为构筑一
6、个安全系统去购买各种安全产品或系统,诸如防火墙、防病毒、加密机、入侵检测、漏洞扫描、身份认证等,面对这一个个的产品,经常由于各有一个控制台,界面风格、操作方式各异,用户要一一掌握,对用户的技术素质要求较高,影响应用效果。最关键的问题是这些产品或系统互相没有联系,不能形成一个联动体系,难以实现快速反应机制;由于资源不能共享,重复采集监测信息,影响了应用系统性能,网络系统效率降低,故障点增加,可靠性下降。 市场背景安全监控技术发展的几个方向:分布式大规模互动安全监控系统与安全部件互动接口标准和协议 。安全综合监控管理平台与联动反应机制 。 市场背景市场对安全监控产品的需求:高速网络数据流的监听与采
7、集设备。应用级 的安全监控技术(信息内容、关键业务过程)基于拓扑结构监测的预警功能 。实现统一管理、配置、监控 的安全管理系统 市场研究方向和路线公司在跟踪国内外信息监控技术特别是安全监测与控制技术以及近二年的技术与市场摸索和积累的基础上,确定了研究与开发方向的定位。技术研究与开发方向和路线以提高政府、军队、金融以及要害部门的信息网络系统安全、可信、可靠的工作为 研究方向 ;确定以系统化、体系化的安全监控技术及应用为研究 主攻目标 ;采用体系化的(网络、系统、应用)监控和安全网管的 技术方案 ,研制出硬件与软件相结合的 IP网络一体化监控管理系统。 公司核心技术及产品网络一体化监测系统( GD
8、 NIMS)是一套体系化、多层次的安全监测、记录与控制系统,它将网络系统监测、安全入侵监测、信息内容监测和应用监测技术进行有机的整合,在一个管理控制平台上实现管理配置、监测控制。统一的界面风格、操作方式,使用户在一个平台系统上能完成上述多个监测功能,减少系统资源和管理的开销,提高了系统的可靠性、可信性,提升业务系统的服务质量。 NIMS特点一体化: 是将网络系统监测、安全入侵监测、信息内容监测技术进行了有效的整合,形成了多层次的监测体系。构件化: 是将系统分解成多个功能独立的构件,针对不同的用户需求将这些构件进行组合配置。形成一个能满足用户实际需求的安全监测系统 。统一化: 是将不同类型网络事
9、件和安全事件(包括其它安全产品或系统)进行统一响应、记录和审计。 NIMS特点NIMS的三个关键技术 : 高性能网络数据采集解码技术 开放式的管理控制平台技术 一体化的监测技术 NIMS关键技术之一高性能网络数据采集解码器n 高性能网络数据采集解码设备 适用于计算机网络 (LAN/WAN) 的数据流采集解码。n 研制开发的高性能网络数据采集及多协议解析设备,包括数据采集、协议解析、处理、存储、转发和控制等核心软件。 高性能网络数据采集解码技术高性能网络数据采集解码器二种型号: n GD Probe for LAN n GD Probe for WAN 高性能网络数据采集解码技术高性能网络数据采
10、集解码技术高性能网络数据采集解码器 ( Probe) 2001年 9月 已通过国家计算机网络与信息安全管理中心 “ 国家 信息关防与网络安全保障持续发展计划 ” 立 项审批高性能网络数据采集解码器 的特性 :n 直接嵌入需要监测的网络n 不损失网络性能与效率n 能够适应多种网络环境n 能够采集多种协议下的数据流信息 n 全线速采集数据 100M5%,1000M35%高性能网络数据采集解码技术 NIMS关键 技术之二开放式管理控制平台系统开放式管理控制平台系统特点之一: 基于 Web的 浏览器技术的安全监控管理平台结构容易实现复杂的、实时性强的显示控制和交互操作。 开放式管理控制平台系统特点之二
11、: 基于 拓扑结构的监控方式控制台上的监测 拓扑图的设计采用分层的设计方法,深度最多可达四层,而每层可以划分多个子层。提供了丰富的图元库,能表示网络中不同类型的监测对象(诸如:主机、网络设备、防火墙、 IDS等)。 开放式管理控制平台系统特点之三:平台系统采用了监测引擎 /管理器 /控制台三级体系结构,突破传统探针 /控制台的二级工作模式。三级结构适应多种网络环境,既可适应集中式(小型)网络结构,又可适应分散(大型分布)的网络结构。 NIMS关键技术之三分级的监测技术 分级监测技术网络状态 入侵监测系统安全监测信息内容监测NIMS信息网络系统系统级网络级应用级 管理器监测引擎配置监测系统数据库
12、监测 审计控制台网络网络数据采集器网络设备、主机SNMP AgentNIMS系统逻辑结构 NIMS的实现方案网络数据采集解码器 Probe:实时采集网络上的数据流进行帧解析,传送给 监测引擎 。监测引擎的 NetIDS模块进行安全规则的匹配和行为分析; ICME模块进行应用协议解析和内容过滤。 NIMS的实现方案网络数据采集解码器 Probe技术指标n 实时捕获网络中的数据流信息,进行帧解析和协议解析处理。n 专用网络硬件接口适用于各种类型的网络n Probe for LAN ( 100M Ethernet)n Probe for WAN ( 64K2M、 E1T1)n 全线速采集网络中所有数
13、据信息(流量负载达到 95% )。n 支持线路旁路监听连接方式不占用交换机端口和不影响网络性能。n 内置 SNMP和 RMON。 NIMS的实现方案监测引擎的 NetIDS模块技术指标n 管理网络接口与监听网口分离,监听网口无IP地址绑定;n 支持 1000多种的攻击行为识别n 支持入侵行为分析n 采用多种报警方式:支持日志记录,报警显示、声音报警、发 SMS;n 提供网络实时阻断和与防火墙互动方式的网络隔离功能; 监测引擎的 ICME模块技术指标n 支持多语言文种:中文、英文、日文和韩文;n 能够识别多种编码格式: Base64、 Quoted-Printable、 HZ-GB-2312、
14、iso-2022-cn、Big5、 iso-2022-jp、 EUC-jp、 iso-2022-kr、 EUC-kr、 UTF-7、 UTF-8;n 支持多种网络应用协议: HTTP, FTP, LOTUS, PPP, SMTP, POP3,NNTP;n 能够解析多种压缩文件格式: zip、 arj、lzh和 lha;n 自动识别多种文档类型: doc、 xls、 ppt、html、 txt、 eml、 jpg、 bmp、 tiff; NIMS的实现方案SNMP Agent: 采用 SNMP网络管理协议对网络设备 /主机状态的监视、性能分析和流量统计。目前支持所有 Cisco网络设备 Trap
15、事件的解析 。 NIMS的实现方案NIMS管理器 : NIMS管理器是 NIMS系统的核心。控制台通过管理器实现对监测引擎、网络采集器、 SNMP Agent的分布式管理和运行监测。 NIMS的实现方案NIMS控制台的配置模块 :实现系统各种运行参数、 NetIDS的安全策略、 ICME的信息内容识别规则的设置。NIMS控制台的审计模块 :实现系统事件日志审计和统计分析功能。NIMS数据库 :管理存储系统的配置参数、安全规则库以及日志记录。NIMS的日志审计与统计分析界面 NIMS采用的先进技术1、高性能网络数据流采集技术:采用单向双缓冲技术提高了网络数据流采集能力,流量负载在 95%时掉包率为 0( 100M Ethernet)。 NIMS采用的先进技术2、 NetIDS 入侵监测技术支持监测对象与检测规则绑定。n 支持动态规则 n 支持统计异常的检测引擎(SPADE: Statistical Packet Anomaly Detection Engine)。 n 支持 TCP/IP流重组。 n 支持 XML输出
