《启明星辰网络安全解决方案》由会员分享,可在线阅读,更多相关《启明星辰网络安全解决方案(23页珍藏版)》请在金锄头文库上搜索。
1、启明星辰网络安全解决方案 启明星辰公司自 1996 年成立以来已经开发了黑客防范与反攻击产品线采用国际著名厂商芬兰F-Secure 公司杀毒技术形成的网络病毒防杀产品线以网站安全扫描与个人主机保护为代表的网络安全管理产品线以及几大产品线之间互动的网络资源管理平台成为具有自主知识产权覆盖防病毒和反黑客两大领域的高科技含量的网络安全产品研发与生产基地启明星辰公司产品均获得了计算机信息系统安全专用产品销售许可证国家信息安全产品测评认证证书和军用信息安全产品认证证书在政府银行证券电信和军队等领域得到了广泛的使用 网络安全产品链 相关方案包括相关方案包括 天阗(tian)黑客入侵检测系统 天镜网络漏洞扫
2、描系统 天蘅(heng)安防网络防病毒系统 Webkeeper 网站监测与修复系统 安星主机保护系统 天燕智能网络信息分析实录仪 C-SAS 客户化安全保障服务 天阗(tian)黑客入侵检测系 (阗在中国古代有和田美玉之意坚固圆润异彩流光可以补天) 一般认为计算机网络系统的安全威胁主要来自黑客攻击计算机病毒和拒绝服务攻击 3 个方面目前人们也开始重视来自网络内部的安全威胁 黑客攻击早在主机终端时代就已经出现而随着 Internet 的发展现代黑客则从以系统为主的攻击转solutions变到以网络为主的攻击新的手法包括通过网络监听获取网上用户的帐号和密码监听密钥分配过程攻击密钥管理服务器得到密钥
3、或认证码从而取得合法资格利用 Unix 操作系统提供的守护进程的缺省帐户进行攻击如 Telnet DaemonFTP Daemon,RPC Daemon 等利用 Finger 等命令收集信息提高自己的攻击能力利用 Sendmail采用 debug,wizard,pipe 等进行攻击利用 FTP采用匿名用户访问进行攻击利用 NFS 进行攻击通过隐蔽通道进行非法活动突破防火墙等等目前已知的黑客攻击手段已多达 500 余种 入侵检测系统 防火墙与 IDS 谈到网络安全人们第一个想到的是防火墙但随着技术的发展网络日趋复杂传统防火墙所暴露出来的不足和弱点引出了人们对入侵检测系统(IDS)技术的研究和开发
4、首先传统的防火墙在工作时就像深宅大院虽有高大的院墙却不能挡住小老鼠甚至是家贼的偷袭一样因为入侵者可以找到防火墙背后可能敞开的后门其次防火墙完全不能阻止来自内部的袭击而通过调查发现70%的攻击都将来自于内部对于企业内部心怀不满的员工来说防火墙形同虚设再者由于性能的限制防火墙通常不能提供实时的入侵检测能力而这一点对于现在层出不穷的攻击技术来说是至关重要的第四防火墙对于病毒也束手无策因此以为在 Internet 入口处部署防火墙系统就足够安全的想法是不切实际的入侵检测系统(IDS)可以弥补防火墙的不足为网络安全提供实时的入侵检测及采取相应的防护手段如及时记录证据用于跟踪切断网络连接执行用户的安全策略
5、等 IDS 概念解析 入侵检测系统全称为 Intrusion Detection System它从计算机网络系统中的关键点收集信息并分析这些信息检查网络中是否有违反安全策略的行为和遭到袭击的迹象入侵检测被认为是防火墙之后的第二道安全闸门IDS 主要执行如下任务 1监视分析用户及系统活动 2系统构造变化和弱点的审计 3识别反映已知进攻的活动模式并向相关人士报警 4异常行为模式的统计分析 5评估重要系统和数据文件的完整性 6操作系统的审计跟踪管理并识别用户违反安全策略的行为 一个成功的入侵检测系统不仅可使系统管理员时刻了解网络系统还能给网络安全策略的制订提供 依据它应该管理配置简单使非专业人员非常
6、容易地获得网络安全入侵检测的规模还应根据网络规模系统构造和安全需求的改变而改变入侵检测系统在发现入侵后会及时作出响应包括切断网络连接记录事件和报警等IDS 分类入侵检测通过对入侵行为的过程与特征进行研究使安全系统对入侵事件和入侵过程作出实时响应 入侵检测系统按其输入数据的来源来看入侵检测系统按其输入数据的来源来看可以分为以下两种可以分为以下两种 1.基于主机的入侵检测系统其输入数据来源于系统的审计日志一般只能检测该主机上发生的入侵 2.基于网络的入侵检测系统其输入数据来源于网络的信息流能够检测该网段上发生的网络入侵 solutionsIDS 功能结构 总体来讲总体来讲入侵检测系统的功能有入侵检
7、测系统的功能有 1监视用户和系统的运行状况查找非法用户和合法用户的越权操作 2检测系统配置的正确性和安全漏洞并提示管理员修补漏洞 3对用户的非正常活动进行统计分析发现入侵行为的规律 4检查系统程序和数据的一致性与正确性如计算和比较文件系统的校验和能够实时对检测到的入侵行为进行反应 天阗概述 天阗正是适应入侵检测这一实际需求的产物简而言之天阗能够收集并分析计算机系统和网络中的关键信息检查系统和网络中是否有违反安全策略的行为和遭到袭击的迹象它是启明星辰公司开拓国内的网络安全市场并具有自主知识产权的战略性产品启明星辰公司已为此投入了相当大的资源并取得了显著的成果启明星辰还将继续努力保持在该领域技术上
8、的领先优势 天阗分主机版和网络版主机版天阗是基于主机的入侵检测系统它监视系统的运行状况监视系统上用户的操作对用户的活动进行审计和分析对系统程序和数据的一致性和正确性进行检查网络版天阗是基于网络的入侵检测系统监视网络的运行状况分析网络上的可疑行为对正常及非正常的活动进行审计和分析向网络控制台实时报警并且能根据预先配置的策略自动对攻击作出反应 主机版天阗 主机版天阗是基于主机的入侵检测系统以下称为天阗主机入侵检测系统 天阗主机入侵检测系统目前支持 Solaris 7SPARC系统他能自动实时的入侵检测和响应系统它能够实时监控系统自动检测可疑行为分析来自主机内部的入侵信号在系统受到危害前发出警告实时
9、对攻击作出反应并提供补救措施最大程度地为主机系统提供安全保障 天阗主机入侵检测系统分为两个部分控制中心和探测引擎探测引擎端负责将审计数据和日志记录作简单的处理后形成安全相关事件后上报控制中心见下图 solutions控制中心负责制定入侵监测的策略收集来自多台主机的上报事件综合进行事件分析以多种方式对入侵事件作出快速响应 系统特点 内置多种预定义策略并允许用户添加修改策略 具有自动/手动两种启动模式 除去由控制中心集中管理之外还提供基于命令行的管理工具 具备多种安全的自我保护功能防止探测引擎被恶意破坏 网络版天阗 网络版天阗是基于网络的入侵检测系统以下称为天阗网络入侵检测系统 天阗网络入侵检测系
10、统是通过监视网络中的数据包来发现黑客的入侵企图它可以运行在一台单独的计算机上监视整个网络的信息 天阗网络入侵检测系统是一种分布式的网络入侵检测系统可以适用于任何规模的网络无论是小型局域网还是跨地区的城际网络都可以自由灵活的来部署天阗 多个局部预警网络可以相互联系按照一定的规则构建成一个多层次分级管理的大规模的预警网络 solutions网络探测器是预警系统中检测部分的核心通过对网络进行实时监听收集网络上的信息并对这些信息进行实时的分析看是否对被保护的网络构成威胁然后按照预先定义的策略自动报警阻断和记录日志等 控制中心是预警系统的管理和配置工具同时它也接收来自网络探测器的实时报警信息控制中心还提
11、供了将实时报警信息转发至邮件信箱的功能 控制中心可以编辑修改和分发下属网络探测器和下属分控制中心的策略定义给下属网络探测器升级事件库 系统特点 内置了多种预定义策略并允许用户添加修改策略 防火墙进行联合行动阻断任何非法连接 实时显示分析结果 开放式事件特征库任何人都可以自行定义和添加特征事件 包含一个报表分析软件事后可对日志进行二次分析 网络流量分析可以帮助分析网络故障 提供固化版本的网络探测器即插即用方便安装 系统运行环境 天阗主机版 探测引擎Solaris 7 (SPARC) 控制中心Windows 2000 天阗网络版 探测引擎RedHat Linux 6.1 solutions控制中心
12、windows 2000 天镜网络漏洞扫描系统 (镜古有明镜高悬一说即可以照人又可以耀物真实反映客观现状拾缺补漏) 漏洞检测和安全风险评估技术因其可预知主体受攻击的可能性和具体的指证将要发生的行为和产生的后果而受到网络安全业界的重视这一技术的应用可帮助识别检测对象的系统资源分析这一资源被攻击的可能指数了解支撑系统本身的脆弱性评估所有存在的安全风险 天镜网络漏洞扫描系统就是这一技术的实现她包括了网络模拟攻击漏洞检测报告服务进程提取对象信息以及评测风险提供安全建议和改进措施等功能帮助用户控制可能发生的安全事件最大可能的消除安全隐患该系统具有强大的漏洞检测能力和检测效率贴切用户需求的功能定义灵活多样
13、的检测方式详尽的漏洞修补方案和友好的报表系统以及方便的在线升级 网络可能存在漏洞 系统设置配置不当使得普通用户权限过高 员由于操作不当使得系统被安装了后门程序 系统本身或应用程序存在可被利用的漏洞 对于网络安全来说安全性取决于所有安全措施中最薄弱的环节而上面我们所讨论的问题就是网络的薄弱之处也是最容易被黑客利用来侵入系统给我们造成损失的环节 总体特点 可以动态地分析目标系统的安全脆弱性 根据不同的对象类型自动寻找匹配的扫描策略进行下一步的分析扫描 远程在线升级 远程下载升级模块自动完成升级过程 灵活的策略配置 可按照特定的需求配置多种扫描策略和扫描参数实现不同内容不同级别不同程度不同层次的扫描
14、 多种形式的报表 全面详细的分析报告能力可根据用户的不同需求提供不同层次的报告并提供安全补丁供应商的热连接快速及时的修补漏洞 实用的模拟攻击工具 系统提供用于测试的模拟攻击工具较好反映了黑客实际攻击的必经之路同时对被测试系统的测试力度可控不会为系统带来危害 合理的结构化设计模块的继承性使得系统具有很大的可扩展空间 应用结构 solutions镜漏洞扫描系统 网络版天镜可扫描任何基于 TCP/IP 的网络主机无论网络核心是采用 FDDIATM 还是千兆以太网只要目标主机支持 TCP/IP 协议就可对其进行扫描 1 1系统扫描内容系统扫描内容 报表应用界面 Web 服务 FTP 服务 守护进程 电子邮件服务 CGI-BIN solutions浏览器设置 RPC 攻击 特定的强力攻击选项 拒绝服务攻击检测 安全区检测 NT 用户策略 NetBIOS NT 注册表 NT 服务 SNMP 缓冲溢出检测 NFS 检测 IP 欺骗 特洛伊后门程序检测 共享/DCOM 类 NT 服务类 2 2产品优点产品优点 全自动大规模的扫描任务 每次最大可扫描多达 255 台主机扫描任务一经启动无需人工干预 多线程扫描 多线程扫描 保证了扫描任务的高效性和稳定性 定时扫描机制定时扫描机制 保证充分利用网络空闲间隙进行网络安全状况评估 丰富的漏洞检查列表丰富的漏洞检查列表 共计 25 大类 6
