【正文】 探測引擎被惡意破壞。探測引擎端負責(zé)將審計數(shù)據(jù)和日志記錄作簡單的處理后，形成安全相關(guān)事件后，上報控制中心（見下圖）。在系統(tǒng)受到危害前發(fā)出警告，實時對攻擊作出反應(yīng)，并提供補救措施，最大程度地為主機系統(tǒng)提供安全保障。他能自動、實時的入侵檢測和響應(yīng)系統(tǒng)。 主機版天闐 主機版天闐是基于主機的入侵檢測系統(tǒng)，以下稱為天闐主機入侵檢測系統(tǒng)。 天闐分主機版和網(wǎng)絡(luò)版。它是啟明星辰公司開拓國內(nèi)的網(wǎng)絡(luò)安全市場，并具有自主知識產(chǎn)權(quán)的戰(zhàn)略性產(chǎn)品。 天闐概述 天闐正是適應(yīng)入侵檢測這一實際需求的產(chǎn)物。 4．檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正確性。 2．檢測系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補漏洞。 ：其輸入數(shù)據(jù)來源于網(wǎng)絡(luò)的信息流，能夠檢測該網(wǎng)段上發(fā)生的網(wǎng)絡(luò)入侵。 IDS分類入侵檢測通過對入侵行為的過程與特征進行研究，使安全系統(tǒng)對入侵事件和入侵過程作出實時響應(yīng)。入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)規(guī)模、系統(tǒng)構(gòu)造和安全需求的改變而改變。 一個成功的入侵檢測系統(tǒng)，不僅 可使系統(tǒng)管理員時刻了解網(wǎng)絡(luò)系統(tǒng)，還能給網(wǎng)絡(luò)安全策略的制訂提供 依據(jù)。 5．評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。 3．識別反映已知進攻的活動模式并向相關(guān)人士報警。 IDS主要執(zhí)行如下任務(wù)： 1．監(jiān)視、分析用戶及系統(tǒng)活動。 IDS概念解析 入侵檢測系統(tǒng)全稱為 Intrusion Detection System，它從計算機網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵點收集信息，并分析這些信 息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。因此，以為在 Inter入口處部署防火墻系統(tǒng)就足夠安全的想法是不切實際的。再者，由于性能的限制，防火墻通常不 能提供實時的入侵檢測能力，而這一點，對于現(xiàn)在層出不窮的攻擊技術(shù)來說是至關(guān)重要的。首先，傳統(tǒng)的防火墻在工作時，就像深宅大院雖有高大的院墻，卻不能擋住小老鼠甚至是家賊的偷襲一樣，因為入侵者可以找到防火墻背后可能敞開的后門。 入侵檢 測系統(tǒng) 防火墻與 IDS 談到網(wǎng)絡(luò)安全，人們第一個想到的是防火墻?，F(xiàn)代黑客則從以系統(tǒng)為主的攻擊轉(zhuǎn)變到以網(wǎng)絡(luò)為主的攻擊，新的手法包括：通過網(wǎng)絡(luò)監(jiān)聽獲 取網(wǎng)上用戶的帳號和密碼；監(jiān)聽密鑰分配過程、攻擊密鑰管理服務(wù)器，得到密鑰或認證碼，從而取得合法資格；利用 Unix操作系統(tǒng)提供的守護進程的缺省帳戶進行攻擊，如 Tel Daemon， FTP Daemon,RPC Daemon等；利用 Finger等命令收集信息，提高自己的攻擊能力；利用 Sendmail，采用debug,wizard,pipe等進行攻擊；利用 FTP，采用匿名用戶訪問進行攻擊；利用 NFS進行攻擊；通過隱蔽通道進行非法活動；突破防火墻等等。目前，人們也開始重視來自網(wǎng)絡(luò)內(nèi)部的安全威脅。 網(wǎng)絡(luò)安全產(chǎn)品鏈 相關(guān)方案包括： 天闐 (tian)黑客入侵檢測系統(tǒng) 天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng) 天蘅 (heng)安防網(wǎng)絡(luò)防病毒系統(tǒng) Webkeeper網(wǎng)站監(jiān)測與修復(fù)系統(tǒng) 安星主機保護系統(tǒng) 天燕智能網(wǎng)絡(luò)信息分析實錄儀 CSAS客戶化安全保障服務(wù) 天闐 (tian)黑客入侵檢測系 (闐：在中國古代有 和田美玉 之意，堅固圓潤，異彩流光，可以補天。啟明星辰網(wǎng)絡(luò)安全解決方案 啟明星辰公司自 1996年成立以來，已經(jīng)開發(fā)了黑客防范與反攻擊產(chǎn)品線、采用國際著名廠商芬蘭 FSecure公司殺毒技術(shù)形成的網(wǎng)絡(luò)病毒防殺產(chǎn)品線、以網(wǎng)站安全掃描與個人主機保護為代表的網(wǎng)絡(luò)安全管理產(chǎn)品線，以及幾大產(chǎn)品線之間互動的網(wǎng)絡(luò)資源管理平臺，成為具有自主知識產(chǎn)權(quán)、覆蓋防病毒和反黑客兩大領(lǐng)域的高科技含量的網(wǎng)絡(luò)安全產(chǎn)品研發(fā)與生產(chǎn)基地。啟明星辰公司產(chǎn)品均獲得了《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》，《國家信息安全產(chǎn)品測評認證證書》和《軍用信息安全產(chǎn)品認證證書》，在政府、銀行、證券 、電信和軍隊等領(lǐng)域得到了廣泛的使用。 ) 一般認為，計算機網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自黑客攻擊、計算機病毒和拒絕服務(wù)攻擊 3個方面。 黑客攻擊早在主機終端時代就已經(jīng)出現(xiàn)，而隨著 Inter的發(fā)展。目前，已知的黑客攻擊手段已多達 500余種。但隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)日趨復(fù)雜，傳統(tǒng)防火墻所暴露出來的不足和弱點引出了人們對入侵檢測系統(tǒng) (IDS)技術(shù)的研究和開發(fā)。其次，防火墻完全不能阻止來自內(nèi)部的襲擊，而通過調(diào)查發(fā)現(xiàn)， 70%的攻擊都將來自于內(nèi)部，對于企業(yè)內(nèi)部心懷不滿的員工來說，防火墻形同虛設(shè)。第四，防火墻對于病毒也束手無策。入侵檢測系統(tǒng) (IDS)可以彌補防火墻的不足，為網(wǎng)絡(luò)安全提供實時的入侵檢測及采取相應(yīng)的防護手段，如及時記錄證據(jù)用于跟蹤、切斷網(wǎng)絡(luò)連接，執(zhí)行用戶的安全策略等。入侵檢測被認為是防火墻之后的第二道安全閘門。 2．系統(tǒng)構(gòu)造變化和弱點的審計。 4．異常行為模式的統(tǒng)計分析。 6．操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。它應(yīng)該管理配置簡單，使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，會及時作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。 入侵檢測系統(tǒng)按其輸入數(shù)據(jù)的來源來看，可以分為以下兩種： ：其輸入數(shù)據(jù)來源于系統(tǒng)的審計日志， 一般只能檢測該主機上發(fā)生的入侵。 IDS功能結(jié)構(gòu) 總體來講，入侵檢測系統(tǒng)的功能有： 1．監(jiān)視用戶和系統(tǒng)的運行狀況，查找非法用戶和合法用戶的越權(quán)操作。 3．對用戶的非正?；顒舆M行統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律。如計算和比較文件系統(tǒng)的校驗和 能夠?qū)崟r對檢測到的入侵行為進行反應(yīng)。簡而言之，天闐能夠收集并分析計算機系統(tǒng)和網(wǎng)絡(luò)中的關(guān)鍵信息，檢查系統(tǒng)和網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。啟明星辰公司已為此投入了相當(dāng)大的資源，并取得了顯著的成果，啟明星辰還將繼續(xù)努力，保持在該領(lǐng)域技術(shù)上的領(lǐng)先優(yōu)勢。主機版天闐是基于主機的入侵檢測系統(tǒng)，它監(jiān)視系統(tǒng)的運行狀況 ，監(jiān)視系統(tǒng)上用戶的操作，對用戶的活動進行審計和分析，對系統(tǒng)程序和數(shù)據(jù)的一致性和正確性進行檢查；網(wǎng)絡(luò)版天闐是基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，監(jiān)視網(wǎng)絡(luò)的運行狀況，分析網(wǎng)絡(luò)上的可疑行為，對正常及非正常的活動進行審計和分析，向網(wǎng)絡(luò)控制臺實時報警，并且能根據(jù)預(yù)先配置的策略自動對攻擊作出反應(yīng)。 天闐主機入侵檢測系統(tǒng)目前支持 Solaris 7（ SPARC）系統(tǒng)。它能夠?qū)崟r 監(jiān)控系統(tǒng)，自動檢測可疑行為，分析來自主機內(nèi)部的入侵信號。 天闐主機入侵檢測系統(tǒng)分為兩個部分：控制中心和探測引擎。 控制中心負責(zé)，①制定入侵監(jiān)測的策略；②收集來自多臺主機的上報事件，綜合進行事件分析，以多種方式對入侵事件作出快速響應(yīng)。 網(wǎng)絡(luò)版天闐 網(wǎng)絡(luò)版天闐是基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，以下稱為天闐網(wǎng) 絡(luò)入侵檢測系統(tǒng)。 天闐網(wǎng)絡(luò)入侵檢測系統(tǒng)是一種分布式的網(wǎng)絡(luò)入侵檢測系統(tǒng)，可以適用于任何規(guī)模的網(wǎng)絡(luò)。 多個局部預(yù)警網(wǎng)絡(luò)可以相互聯(lián)系，按照一定的規(guī)則構(gòu)建成一個多層次，分級管理的大規(guī)模的預(yù)警網(wǎng)絡(luò)。通過對網(wǎng)絡(luò)進行實時監(jiān)聽，收集網(wǎng)絡(luò)上的信息，并對這些信息進行實時的分析，看是否對被保護的網(wǎng)絡(luò)構(gòu)成威脅，然后按照預(yù)先定義的策略自動報警，阻斷和記錄 日志等。 控制中心可以編輯，修改和分發(fā)下屬網(wǎng)絡(luò)探測器和下屬分控制中心的策略定義，給下屬網(wǎng)絡(luò)探測器升級事件庫。 ) 漏洞檢測和安全風(fēng)險評估技術(shù)，因其可預(yù)知主體受攻擊的可能性和具體的指證將要發(fā)生的行為和產(chǎn)生的后果，而受到網(wǎng)絡(luò)安全業(yè)界的重視。 天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng)就是這一技術(shù)的實現(xiàn)，她包括了網(wǎng)絡(luò)模擬攻擊，漏洞檢測，報告服務(wù)進程，提取對象信息，以及評測風(fēng)險 ，提供安全建議和改進措施等功能，幫助用戶控制可能發(fā)生的安全事件，最大可能的消除安全隱患。 網(wǎng)絡(luò)可能存在漏洞 系統(tǒng)設(shè)置配置不當(dāng)使得普通用戶權(quán)限過高 員由于操作不當(dāng)使得系統(tǒng)被安裝了后門程序 系統(tǒng)本身或應(yīng)用程序存在可被利用的漏洞 對于網(wǎng)絡(luò)安全來說，安全性取決于所有安全措施中最薄弱的環(huán)節(jié)，而上面我們所討論 的問題，就是網(wǎng)絡(luò)的薄弱之處，也是最容易被黑客利用來侵入系統(tǒng)，給我們造成損失的環(huán)節(jié)。 遠程在線升級 遠程下載升級模塊，自動完成升級過程 靈活的策略配置 可按照特定的需求