启明星辰企业网络安全解决方案.docx

启明星辰企业网络安全解决方案.docx

《启明星辰企业网络安全解决方案.docx》由会员分享，可在线阅读，更多相关《启明星辰企业网络安全解决方案.docx（23页珍藏版）》请在冰豆网上搜索。

启明星辰企业网络安全解决方案

启明星辰网络安全解决方案

   启明星辰公司自1996年成立以来，已经开发了黑客防范与反攻击产品线、采用国际著名厂商芬兰F-Secure公司杀毒技术形成的网络病毒防杀产品线、以网站安全扫描与个人主机保护为代表的网络安全管理产品线，以及几大产品线之间互动的网络资源管理平台，成为具有自主知识产权、覆盖防病毒和反黑客两大领域的高科技含量的网络安全产品研发与生产基地。

启明星辰公司产品均获得了《计算机信息系统安全专用产品销售许可证》，《国家信息安全产品测评认证证书》和《军用信息安全产品认证证书》，在政府、银行、证券、电信和军队等领域得到了广泛的使用。

网络安全产品链

相关方案包括：

   天阗（tian）黑客入侵检测系统   

   天镜网络漏洞扫描系统   

   天蘅（heng）安防网络防病毒系统   

   Webkeeper网站监测与修复系统   

   安星主机保护系统   

   天燕智能网络信息分析实录仪   

   C-SAS客户化安全保障服务

天阗（tian）黑客入侵检测系   

   （阗：

在中国古代有"和田美玉"之意，坚固圆润，异彩流光，可以补天。

）   

   一般认为，计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击3个方面。

目前，人们也开始重视来自网络内部的安全威胁。

   黑客攻击早在主机终端时代就已经出现，而随着Internet的发展。

现代黑客则从以系统为主的攻击转变到以网络为主的攻击，新的手法包括：

通过网络监听获取网上用户的帐号和密码；监听密钥分配过程、攻击密钥管理服务器，得到密钥或认证码，从而取得合法资格；利用Unix操作系统提供的守护进程的缺省帐户进行攻击，如TelnetDaemon，FTPDaemon,RPCDaemon等；利用Finger等命令收集信息，提高自己的攻击能力；利用Sendmail，采用debug,wizard,pipe等进行攻击；利用FTP，采用匿名用户访问进行攻击；利用NFS进行攻击；通过隐蔽通道进行非法活动；突破防火墙等等。

目前，已知的黑客攻击手段已多达500余种。

入侵检测系统

防火墙与IDS 

   谈到网络安全，人们第一个想到的是防火墙。

但随着技术的发展，网络日趋复杂，传统防火墙所暴露出来的不足和弱点引出了人们对入侵检测系统（IDS）技术的研究和开发。

首先，传统的防火墙在工作时，就像深宅大院虽有高大的院墙，却不能挡住小老鼠甚至是家贼的偷袭一样，因为入侵者可以找到防火墙背后可能敞开的后门。

其次，防火墙完全不能阻止来自内部的袭击，而通过调查发现，70%的攻击都将来自于内部，对于企业内部心怀不满的员工来说，防火墙形同虚设。

再者，由于性能的限制，防火墙通常不能提供实时的入侵检测能力，而这一点，对于现在层出不穷的攻击技术来说是至关重要的。

第四，防火墙对于病毒也束手无策。

因此，以为在Internet入口处部署防火墙系统就足够安全的想法是不切实际的。

入侵检测系统（IDS）可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，如及时记录证据用于跟踪、切断网络连接，执行用户的安全策略等。

IDS概念解析

   入侵检测系统全称为IntrusionDetectionSystem，它从计算机网络系统中的关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。

入侵检测被认为是防火墙之后的第二道安全闸门。

IDS主要执行如下任务：

   1．监视、分析用户及系统活动。

   2．系统构造变化和弱点的审计。

   3．识别反映已知进攻的活动模式并向相关人士报警。

   4．异常行为模式的统计分析。

   5．评估重要系统和数据文件的完整性。

   6．操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

   一个成功的入侵检测系统，不仅可使系统管理员时刻了解网络系统，还能给网络安全策略的制订提供    依据。

它应该管理配置简单，使非专业人员非常容易地获得网络安全。

入侵检测的规模还应根据网络规模、系统构造和安全需求的改变而改变。

入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。

IDS分类入侵检测通过对入侵行为的过程与特征进行研究，使安全系统对入侵事件和入侵过程作出实时响应。

 入侵检测系统按其输入数据的来源来看，可以分为以下两种：

   1.基于主机的入侵检测系统：

其输入数据来源于系统的审计日志，一般只能检测该主机上发生的入侵。

   2.基于网络的入侵检测系统：

其输入数据来源于网络的信息流，能够检测该网段上发生的网络入侵。

IDS功能结构 

总体来讲，入侵检测系统的功能有：

   1．监视用户和系统的运行状况，查找非法用户和合法用户的越权操作。

   2．检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞。

   3．对用户的非正常活动进行统计分析，发现入侵行为的规律。

   4．检查系统程序和数据的一致性与正确性。

如计算和比较文件系统的校验和能够实时对检测到的入侵行为进行反应。

天阗概述 

   天阗正是适应入侵检测这一实际需求的产物。

简而言之，天阗能够收集并分析计算机系统和网络中的关键信息，检查系统和网络中是否有违反安全策略的行为和遭到袭击的迹象。

它是启明星辰公司开拓国内的网络安全市场，并具有自主知识产权的战略性产品。

启明星辰公司已为此投入了相当大的资源，并取得了显著的成果，启明星辰还将继续努力，保持在该领域技术上的领先优势。

   天阗分主机版和网络版。

主机版天阗是基于主机的入侵检测系统，它监视系统的运行状况，监视系统上用户的操作，对用户的活动进行审计和分析，对系统程序和数据的一致性和正确性进行检查；网络版天阗是基于网络的入侵检测系统，监视网络的运行状况，分析网络上的可疑行为，对正常及非正常的活动进行审计和分析，向网络控制台实时报警，并且能根据预先配置的策略自动对攻击作出反应。

主机版天阗   

   主机版天阗是基于主机的入侵检测系统，以下称为天阗主机入侵检测系统。

   天阗主机入侵检测系统目前支持Solaris7（SPARC）系统。

他能自动、实时的入侵检测和响应系统。

它能够实时监控系统，自动检测可疑行为，分析来自主机内部的入侵信号。

在系统受到危害前发出警告，实时对攻击作出反应，并提供补救措施，最大程度地为主机系统提供安全保障。

   天阗主机入侵检测系统分为两个部分：

控制中心和探测引擎。

探测引擎端负责将审计数据和日志记录作简单的处理后，形成安全相关事件后，上报控制中心（见下图）。

   控制中心负责，①制定入侵监测的策略；②收集来自多台主机的上报事件，综合进行事件分析，以多种方式对入侵事件作出快速响应。

系统特点

    内置多种预定义策略，并允许用户添加修改策略；   

    具有自动/手动两种启动模式；   

    除去由控制中心集中管理之外，还提供基于命令行的管理工具；   

    具备多种安全的自我保护功能，防止探测引擎被恶意破坏。

网络版天阗   

   网络版天阗是基于网络的入侵检测系统，以下称为天阗网络入侵检测系统。

   天阗网络入侵检测系统是通过监视网络中的数据包来发现黑客的入侵企图，它可以运行在一台单独的计算机上监视整个网络的信息。

   天阗网络入侵检测系统是一种分布式的网络入侵检测系统，可以适用于任何规模的网络。

无论是小型局域网还是跨地区的城际网络，都可以自由，灵活的来部署天阗。

   多个局部预警网络可以相互联系，按照一定的规则构建成一个多层次，分级管理的大规模的预警网络。

   网络探测器是预警系统中检测部分的核心。

通过对网络进行实时监听，收集网络上的信息，并对这些信息进行实时的分析，看是否对被保护的网络构成威胁，然后按照预先定义的策略自动报警，阻断和记录日志等。

   控制中心是预警系统的管理和配置工具，同时，它也接收来自网络探测器的实时报警信息，控制中心还提供了将实时报警信息转发至邮件信箱的功能。

   控制中心可以编辑，修改和分发下属网络探测器和下属分控制中心的策略定义，给下属网络探测器升级事件库。

系统特点   

   内置了多种预定义策略，并允许用户添加修改策略；   

   防火墙进行联合行动，阻断任何非法连接；   

   实时显示分析结果；   

   开放式事件特征库，任何人都可以自行定义和添加特征事件；   

   包含一个报表分析软件，事后可对日志进行二次分析；   

   网络流量分析，可以帮助分析网络故障；   

   提供固化版本的网络探测器，即插即用，方便安装；

系统运行环境   

   天阗主机版   

   探测引擎：

Solaris7（SPARC）   

   控制中心：

Windows2000   

  天阗网络版   

   探测引擎：

RedHatLinux6.1  

   控制中心：

windows2000

天镜网络漏洞扫描系统   

   （镜：

古有"明镜高悬"一说，即可以照人，又可以耀物，真实反映客观现状，拾缺补漏。

）   

   漏洞检测和安全风险评估技术，因其可预知主体受攻击的可能性和具体的指证将要发生的行为和产生的后果，而受到网络安全业界的重视。

这一技术的应用可帮助识别检测对象的系统资源，分析这一资源被攻击的可能指数，了解支撑系统本身的脆弱性，评估所有存在的安全风险。

   天镜网络漏洞扫描系统就是这一技术的实现，她包括了网络模拟攻击，漏洞检测，报告服务进程，提取对象信息，以及评测风险，提供安全建议和改进措施等功能，帮助用户控制可能发生的安全事件，最大可能的消除安全隐患。

该系统具有强大的漏洞检测能力和检测效率，贴切用户需求的功能定义，灵活多样的检测方式，详尽的漏洞修补方案和友好的报表系统，以及方便的在线升级。

网络可能存在漏洞   

   系统设置配置不当使得普通用户权限过高   

   员由于操作不当使得系统被安装了后门程序   

   系统本身或应用程序存在可被利用的漏洞   

   对于网络安全来说，安全性取决于所有安全措施中最薄弱的环节，而上面我们所讨论的问题，就是网络的薄弱之处，也是最容易被黑客利用来侵入系统，给我们造成损失的环节。

总体特点   

   可以动态地分析目标系统的安全脆弱性   

   根据不同的对象类型，自动寻找匹配的扫描策略进行下一步的分析扫描。

   远程在线升级   

   远程下载升级模块，自动完成升级过程 

灵活的策略配置   

   可按照特定的需求配置多种扫描策略和扫描参数，实现不同内容、不同级别、不同程度、不同层次的扫描。

多种形式的报表   

   全面详细的分析报告能力，可根据用户的不同需求提供不同层次的报告，并提供安全补丁供应商的热连接，快速及时的修补漏洞。

实用的模拟攻击工具   

   系统提供用于测试的模拟攻击工具，较好反映了黑客实际攻击的必经之路，同时对被测试系统的测试力度可控，不会为系统带来危害。

   合理的结构化设计、模块的继承性，使得系统具有很大的可扩展空间

应用结构   

镜漏洞扫描系统   

   网络版天镜可扫描任何基于TCP/IP的网络主机，无论网络核心是采用FDDI、ATM还是千兆以太网，只要目标主机支持TCP/IP协议，就可对其进行扫描。

1、系统扫描内容：

 报表应用界面      

   Web服务    

   FTP服务   

   守护进程   

   电子邮件服务   

   CGI-BIN   

   浏览器设置  

   RPC攻击   

   特定的强力攻击选项   

   拒绝服务攻击检测   

   安全区检测   

   NT用户策略   

   NetBIOS   

   NT注册表   

   NT服务   

   SNMP   

   缓冲溢出检测   

   NFS检测   

   IP欺骗   

   特洛伊后门程序检测   

   共享/DCOM类   

   NT服务类

2、产品优点：

全自动、大规模的扫描任务   

   每次最大可扫描多达255台主机，扫描任务一经启动，无需人工干预；  

多线程扫描   

   保证了扫描任务的高效性和稳定性；

定时扫描机制   

   保证充分利用网络空闲间隙进行网络安全状况评估； 

丰富的漏洞检查列表   

    共计25大类600多种漏洞检测，并跟进最新的漏洞，将其加入到漏洞库中，大大减少用户系统中的隐患；方便灵活的用户自定义策略  

   系统内置"强"、"中"、"弱"三种扫描策略，用户也可以根据需要自定义扫描策略并进行储存，就用户所关心的项目进行重点检测； 

提供修补漏洞的解决办法   

   在报告漏洞的同时，提供相关的技术站点和修补办法，方便管理员进行管理； 

实用的模拟攻击工具   

   可直观反映系统的脆弱性；   

人性化的扫描报表   

   系统对于被检测主机的漏洞危险级别利用红、黄、绿分别对高、中、低风险进行标示，同时对于被选中的主机检测信息进行突出显示，方便管理员的查询管理； 

分级、灵活的预定义报告   

   扫描结果可以生成三种不同类型的报告，供领导、技术主管、技术员等不同级别的人审阅；

远程在线升级  

   远程下载升级模块，自动完成升级过程；

合理的结构化设计   

   模块的继承性，使得系统具有很大的可扩展空间；   

   详尽的安全解决方案   

   帮助用户在了解网络安全状况的情况下得到详尽可行的的解决措施。

天蘅（heng）安防网络防病毒系统   

   （蘅（heng）：

草木旺盛、欣欣向荣之意，是一种万物和谐、均衡发展的状态）   

   计算机病毒从1983年被首次发现以来，在将近20年的发展过程中，在数目和危害性上都有着飞速的发展。

近几年计算机病毒问题已经越来越受到计算机用户和计算机反病毒专家的重视，美丽莎、CIH、爱虫、happytime、funlove、Sircam、codered……这些都已经成为大家耳熟能详的计算机病毒名称。

虽然很多用户已经使用了防病毒产品，但是日益增加的病毒事件和企业的分布式趋势使得病毒防护和防病毒产品的管理越来越难；另外，防病毒产品需要不断更新其病毒定义库，很多用户由于忘记更新他们防病毒产品的病毒定义库而使得现有的防病毒系统形同虚设。

   天蘅安防网络防病毒系统是启明星辰公司推出的国产化防病毒产品，它使用了国际著名的杀毒软件厂商F-Secure公司的杀毒技术。

   天蘅安防防病毒系统是世界上最综合的集中式管理的防病毒系统，适用于企业的各类计算系统，包括移动设备、工作站、服务器、防火墙和网关。

对于那些正在迅速迈向分布式的、移动的网络环境的企业，天蘅安防提供了最强大的病毒以及恶意代码防范功能，无论是对固定用户还是移动用户，均实现了最大的系统可用性和数据安全性。

   目前，天蘅安防网络防病毒系统已在金融、证券、电信、大型网站及国家政府部门、企事业单位得到广泛应用，其集中式管理、优秀的病毒查杀能力，以及全自动升级技术得到了用户的广泛好评。

在2000年10月公安部国内外网络防病毒系统测试评比中获得最高级别产品。

主要功能

   实时病毒扫描；   

   手动扫描；    

   报警及病毒事件处理；   

   扫描ZIP、LZH、ARJ、RAR等多种压缩文件，并支持交叉扫描；   

   对最终用户透明；   

   持与SNMP、MicrosoftSMS及IBMTivoliTME10等网管软件结合；   

   CheckPointFirewall容协议防火墙；   

   天更新病毒定义库。

主要特点 

   全方位多层次的病毒防护能力   

   天蘅安防网络防病毒系统在三个层面上制止病毒的肆虐：

一在工作站，这是大多数发生   

   病毒感染的地方；二在服务器，防止病毒扩散；三在防火墙及网关，防止病毒从网络进入企业内部。

   天蘅安防网络防病毒系统支持目前多种操作系统平台，包括Windows2000、WindowsNT、Windows95/98、DOS、Linux、OS/2等。

集中安装和管理   

   全球唯一通过策略管理器（PolicyManager）来进行集中管理和配置的防病毒产品。

策略管理器包括三个关健部件：

管理台（ADMINISTRATOR）

   管理台是基于Java的应用程序，可以跨不同平台上运行，提供集中式的管理控制台，以保障网络中被管理的主机安全。

管理服务器（ManagementServer）

   存储管理员发布的策略、软件的更新和被管理的主机发出的状态信息及警报。

管理代理（ManagementAgent）  

   用来实施管理员在被管理的主机上设置的安全策略，并为最终用户提供用户界面和其它服务。

   其层次关系是管理员工作站、后台服务器和终端用户工作站。

所有在管理员工作站和终端用户工作站之间的通讯都通过这个体系结构来实现。

   天蘅安防的策略管理器可以通过HTTP协议或共享目录进行通讯，因此管理员所下发的策略文件和最新的病毒定义文件可以通过广域网及国际互联网传输，实现真正的对广泛分布用户的集中管理。

世界一流的病毒检测和清除能力   

   天蘅安防网络防病毒系统采用Countersign技术将多个不同的扫描引擎集合在一个产品内，这几个扫    描引擎分别是：

    F-Prot--最好的宏病毒检测和清除引擎，同时拥有一流的文件和引导扇区病毒检测和清除能力。

    AVP---最好的多态文件病毒检测和清除引擎，一流的宏病毒检测和清除能力。

    Orion--世界上第一个也是仅有的提供启发式的和模拟方式的扫描引擎，可探测出基于设备文件的变体WIN32病毒。

   多重引擎扫描技术是唯一可跨平台使用的产品，多个内置扫描引擎可同时应用基于签名的病毒扫描器、启发式分析算法和校验和认证三种扫描技术，使之成为唯一能扫描出加密文件内病毒的防病毒产品

   多重引擎扫描技术可以提供非常高的病毒清除率。

所有的防病毒产品都工作在一个通用的框架  （Framework）之下，并且，因为内置的多个病毒扫描引擎可以应用不同的检测技术，利用每个扫描引擎对    不同种类病毒的扫描优势，使得病毒处于交叉火力之下，从而大大提高了查杀率。

   天蘅安防网络防病毒系统是一个完全模块化的防病毒程序，不同的模块可以被单独维护和升级。

自动更新病毒定义文件

   防病毒客户端以轮询方式自动从管理服务器获得更新，轮询时间间隔可以由管理员设定；

   更新的病毒定义库可以由管理员手动放置到管理服务器上，也可以通过BackWeb服务器端程序自动从Internet接收更新。

BackWeb客户端与BackWeb服务器端以频道订阅式连接，  

   所有更新文件将自动从服务器端Push到客户端，此过程支持断点续传，同时病毒定义库的更新是以字节级增量式进行的，它使用闲置带宽，不抢占宝贵资源。

通过这种方式，用户可以建立一个100%全自动的病毒定义更新系统。

完备的病毒定义数据库   

    病毒定义数据库的内容是衡量防病毒产品检测和清除病毒能力的一个重要指标。

天蘅安防同时拥有世界五大病毒库之一的F-Secure公司的病毒定义库和国内完备的病毒定义数据库，使得天蘅安防的病毒检测和清除能力技高一筹，无论是国际上流行的病毒还是国内流行的病毒，天蘅安防都可以及时准确的将其检测和清除。

独特的邮件服务器扫描技术   

 天蘅安防使用ContentScanner与邮件服务器分开查杀病毒的方式。

 天蘅安防网络防病毒系统服务器版由两部分组成：

AntiVirusAgent和ContentScannerServer。

其中    AntiVirusAgent主要负责在服务器中向ContentScannerServer转发邮件或文件，ContentScannerServer进行文件的病毒检测和清除工作，并向服务器返回结果。

   具体说就是将所有要检测病毒的邮件写入天蘅安防在邮件服务器中建立的数据库，通过FNP（F-Securenetworkprotocol）协议，将数据库内的邮件传到CSS（ContentScannerServers），在此处对邮件进行查杀，检测之后将邮件传到邮件服务器内。

   天蘅安防所建立的数据库可以被设置清理邮件的时间和次数，也可被中止扫描.。

如有通讯中断的情况，所有邮件会被存放在这个数据库中，并按系统设置定期试图建立连接。

一旦接通，继续正常工作。

特别在Lotusnotes下，由于LotusNotesmail.box的'脆弱'性，天蘅安防数据库中的邮件，可以作为lotusnotes的备份。

   这种方式可以减少在邮件查杀过程中给邮件服务器增加的额外负载，避免邮件服务器因过载而崩溃。

   下图是天蘅安防网络防病毒系统框架及实现功能的应用结构图。

Webkeeper网站监测与修复系统

   随着互联网络的迅猛发展，建设网站，通过建立WEB网站宣传形象、开展业务，已经成为政府办公，企业发展的重要手段。

然而人们在享受网络带来的便捷和机遇的同时，也越来越被黑客入侵事件所困扰，确保Web网站的安全是亟需解决的问题。

   启明星辰信息技术有限公司最新研发的网络安全产品WebKeeperv3.0，结合实时触发和比较扫描的双重技术的各自优点，采用贴近操作系统内核方式的控制技术，有效保障网站数据的安全性和真实性，为您的网站提供实时自动的安全监护。

主要功能

实时阻断和自动恢复   

   在对网页文件、ASP页面的控制原理上