一、关于天阗
天阗入侵检测与管理系统是启明星辰信息技术有限公司自行研制开发的入侵检测类网络安全产品。
天阗入侵检测与管理系统是在以新一代入侵检测技术为核心的基础上,引入全面流量监测发现异常,结合地理信息显示入侵事件的定位状况,应用入侵和漏洞之间具有对应的关联关系,给出入侵威胁和资产脆弱性之间的关联风险分析结果,从而有效地管理安全事件并进行及时处理和响应。
启明星辰坚信,不了解黑客技术的最新发展,就谈不上对黑客入侵的有效防范。为了了解黑客活动的前沿状况,把握黑客技术的动态发展,深化对黑客行为的本质分析,预防黑客的突然袭击并以最快速度判断黑客的最新攻击手段,启明星辰专门建立了积极防御实验室(V-AD-LAB),通过持续不断地研究、实践和积累,逐渐建立起一系列数据、信息和知识库作为公司产品、解决方案和专业服务的技术支撑,如攻击特征库、系统漏洞库、系统补丁库和IP定位数据库等。
启明星辰在入侵检测技术领域的成就受到了国家权威部门的肯定和认可,成为国家计算机网络应急技术处理协调中心(CNCERT)和CNCVE的承建单位.
启明星辰对国内外最新的网络系统安全漏洞与应用软件漏洞一直进行着最及时和最紧密的跟踪,对重大安全问题成立专项研究小组进行技术攻关,并将发现的漏洞及时呈报给国际CVE(Common Vulnerabilities and Exposures)组织。目前已有多个漏洞的命名被国际CVE组织采用,获得了该组织机构唯一的标识号。 同时,启明星辰公司的天阗入侵检测与管理系统和天镜脆弱性扫描与管理系统都通过了CVE严格的标准评审,获得最高级别的CVE兼容性认证(CVE Compatible),从而成为国内IDnVA市场中唯一两项都获得CVE认证的厂商,这标志着启明星辰公司无论在入侵检测,还是在漏洞扫描的技术实力方面均已与国际接轨,并且其研发成果已得到了国际权威组织的充分认可。
天阗系统强大的功能、简单的操作、友好的用户界面、全面的技术支持解除了您的后顾之忧,是您值得信赖的网络安全产品。
天阗入侵检测与管理系统和传统的入侵检测产品相比,具有如下几个显著的优点:
◆将不同的安全产品在统一的管理控制中心采用拓扑化方式进行集中管理和配置,完成安全策略的制定和分发,综合显示多样化的检测信息,引导入侵管理向平台化方向发展;
◆引入的集中监管、分级部署的多级管理体系全面符合中国国情的行政业务的管理模式,真正实现分布式产品的结构统一协调管理,建立安全信息的全局预警机制;
◆利用基于攻击特征或漏洞机理的分析,提取出网络流量中不同类型的恶意流量大小和比例,建立全局的异常流量监测体系,和网络入侵检测紧密配合,从宏观和微观两个层面来了解网络安全状况和威胁态势。
◆利用IP定位和图形化的表现方式,使得条目式网络入侵事件以形象的可视化方式显现出来,提高对入侵事件的定位能力和响应速度。
◆深入挖掘不同安全产品的内在相关性,采用协同关联技术,加强安全产品之间的优势互补,提高安全产品协同作战能力;
◆采用规范化的通讯结构,可以实现管理体系的全面升级和扩容,并支持SOC更高层次的安全管理。
二、功能特性
1.高强度的自身安全性
IDS作为用以监测网络的信息安全产品,其自身的安全的重要毋庸置疑,如何确保安全性,是安全厂商们需要重点关注的问题。
籍此,中国信息安全产品测评认证中心开展了EAL1-7级别的信息安全技术认证,EAL认证是参照国标GB/T18336也就是国际标准CC(ISO/IEC 15408)进行的一种分安全等级测评。这种测评是按照安全目标,配置管理,交付与运行、开发、文档、生命周期支持、测试和脆弱性分析、不同层次的设计审核等等几个方面对安全产品进行测评。其级别划分为EAL1到EAL7七个级别。ISO/IEC 15408准则的TOE评估定义了七个安全认证级别类别,不同的安全级别有不同功能要求和保障要求。其中EAL3为系统的测试和检查级(methodically tested and checked),目前,国内网络级的安全设备能认证的最高级别就是EAL3级认证。
天阗入侵检测与管理系统作为国内首批通过EAL3认证的入侵检测产品,能够满足具有适当安全需求的政府、特定商业用户及军用的需求,比EAL2通过结构测试满足一般商用的级别实现了阶段性的增长。
无超级用户权限
在天阗入侵检测与管理系统中,不存在一个拥有全部权限的超级用户,避免了因为某一用户/口令的泄漏而导致系统被人控制。
多身份鉴别强认证
在某些环境中,除了使用用户名/口令的认证方式外,天阗入侵检测与管理系统还提供了硬件认证方式,用户可以使用IC卡、加密狗等硬件存储设备来实现强认证
带外管理部署方式
控制中心与所探测网段可以实现隔离部署,保证控制中心的自身安全管理;
加密的通讯方式
控制中心与探测引擎通信加密,探测器和控制中心互相认证,防止欺骗,防止日志、策略在传输过程中被篡改;
网络接口隐身技术
探测引擎检测网口无IP地址,入侵者无法对消失在网络中的目标进行扫描和攻击,这样在网络中实现自身隐藏及带外管理;管理网口不开放额外连接端口,提高自身的隐藏性;
优化的系统内核
探测引擎操作系统内核重新编译,并经过了特别的优化,不采用通用的TCP/IP堆栈,避免通用TCP/IP堆栈的缺陷导致的安全漏洞。
动态口令管理
使用SSL或超级终端登录探测器时,需要使用动态口令,以避免权限的泄露。
Watchdog监视
探测引擎具有Watchdog功能,确保系统的长期稳定运行。
2.完善的管理控制体系
多层分级管理
天阗可灵活设置成与行政业务管理流程紧密结合的集中监控、多层管理的分级体系。通过策略下发机制,使上级部门能够统一全网的安全防护策略;通过信息上传机制,使上级部门能够及时了解和监控全网的安全状态。
灵活的更新和版本升级
天阗支持手动和自动的特征更新和软件版本升级,也可以在分级管理体系下由主控统一来完成。天阗的探测引擎同时支持通过USB口进行升级。
独立的升级管理中心,对控制台软件、探测器软件的升级都仅需一次点击,极大的简化了网络管理员的工作。
全局预警
在天阗的多层分级管理体系下,可以实现把单点发生的的重要事件自动预警到其它管理区域,使得各级管理员对于可能发生的重要安全事件具有提前的预警提示。
利用全局预警通道,各级管理员也可以发送交互信息,交流对安全事件的处理经验。
严格的权限管理
天阗可以设定多种分类权限供不同的人员使用,支持更为严格的多鉴别身份认证方式。同时在产品部署上支持事件监测、事件分析以及管理配置分布部署,从物理角度保证管理安全。
时钟同步机制
天阗支持NTP服务进行时间同步,保证跨时区的部署条件下也能保持管理时间的一致性。
支持多报警显示台
天阗提供了良好的多点监测机制,允许挂接多个报警显示中心,方便多个管理人员进行有效的报警观测。
数据库维护管理
天阗支持多种数据库:MSSQL、ORACLE等,提供强大的数据库维护管理功能,支持快速入库,可以对历史数据进行自动、手动的备份、删除操作,还可以导入历史的备份数据。
可扩展到入侵管理
天阗可以实现多种安全产品:网络入侵检测、流量监测、漏洞扫描、主机入侵检测的统一管理和协同关联。
3.全面的入侵检测能力
多种技术结合防止漏报
◆天阗采用引擎高速捕包技术保证满负荷的报文捕获;
◆天阗采用的高速树型匹配技术实现了一次匹配多个规则的模式,检测效率得以成倍的量级提高;
◆天阗采用了IP碎片重组、TCP流重组以及特殊应用编码解析等多种方式,应对躲避IDS检测的手法,如:WHISKER、FRAGROUTE等攻击方式;
◆天阗拥有了业界最为全面和更新速度最快特征库,能够对通用的攻击方法和最新的流行攻击手段进行报警;
◆采用预制漏洞机理分析方法定义特征,对未知攻击方式和变种攻击也能及时报警;
◆采用行为关联分析技术,可以发现基于组合行为的复杂攻击;
多种措施降低误报
◆基于状态的协议分析和协议规则树,保证特征匹配的准确性;
◆基于攻击过程的分析方法定义特征,可以识别攻击的状态,提供不同级别的事件报警信息;
◆通过采集和关联攻击发送方和被攻击目标的信息,可以成功或失败的攻击事件给出明确标识。
◆通过支持入侵管理,可以结合漏洞扫描结果来评估威胁的风险级别。
多种机制限制滥报
◆天阗内置了状态检测机制,可以识别和处理类似“STICK”等的反IDS攻击,有效地避免了事件风暴的产生;
◆天阗提供了多种可选的统计合并技术,可以对同一事件采用合并上报,减少报警量。
自定义入侵检测规则
天阗提供了规范化的VT++语言和向导定义模式,帮助用户自定义检测模式,扩充检测范围。
全面兼容CVE和CNCVE标准
天阗通过了CVE严格的兼容性标准评审,并获得最高级别的CVE兼容性认证(CVE Compatible),在入侵检测系统知识库上得到国际权威组织的认可。同时,天阗也具有标准的CNCVE 的对照。
| 共3页: 1 [2] [3] 下一页 | |||||
|
