需求分析
随着网络技术的的迅速发展,越来越多的组织和个人将组织业务与个人事务通过网络开展。由此而来的信息化技术革命使得人与人之间、组织与组织、国家与国家之间的联系变得更加紧密:信息共享变得更加便捷、信息传递变得更加迅速。毫无疑问,无论是国家、组织还是个人,对网络的依赖程度都在不断增大,Internet已经成为各个国家经济发展的重要支柱,也成为组织开展业务与个人生活不可或缺的重要工具。在网络技术快速发展的同时,也产生了许多安全问题和威胁,如备受关注的大规模蠕虫爆发引起的网络瘫痪、银行账号被窃取导致的经济损失、感染病毒导致的数据丢失、非法外连导致的机密泄露、由于大规模僵尸网络DDoS攻击导致的业务无法正常运行、P2P的过度使用导致网络带宽的耗尽,工作期间的聊天、视频、炒股、游戏导致工作效率降低等,这些问题的存在对于组织的业务运行与个人的网络使用都构成了无法忽视的威胁。那么哪些地方存在威胁?存在什么威胁?如何进行入侵检测(IDS)?如何消除威胁规避风险?成了摆在我们面前的现实任务。
产品简介
产品简介
天阗入侵检测与管理系统(IDS)是启明星辰自主原创并拥有完全自主知识产权的威胁检测、分析与管理产品,该产品对于病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、WEBshell请求、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为(如P2P上传/下载、网络游戏、视频/音频、网络炒股)等威胁具有高精度的检测能力,同时,该产品中的流量模块对于网络流量的异常情况具有非常准确、有效的发现能力。
支持常见的HTTP、HTTPS、FTP、TFTP、SMTP、SNMP、TLS、SSH、IMAP、SMB、Dcerpc、DNS、IKEV2、NFS、Krb5、DHCP、SIP、RFB、RDP、Modbus、S7等应用层协议。
该产品在精确检测的基础上强调对威胁的可管理性(如:威胁分析、威胁处理),尤其是对可能产生的大量事件进行了智能过滤,仅向使用者展示真正需要关注的威胁,按照15天、7天、24小时展示安全态势,包括整体概况、DDoS事件、僵木蠕事件、扫描事件、弱口令爆破事件等,在减轻使用者工作量的同时,保障威胁处理的及时性。
技术优势
根据用户的安全态势及发生频率识别垃圾事件,并进行策略优化处理。
采用去技术化的向导对威胁进行分析和处理,降低了使用者的维护工作量。
能够对上报的事件进行关联分析,识别出重要报警,提醒用户关注。
对常见的网络威胁、异常流量等攻击行为能够准确高效的检测。
典型应用
在不同的环境下,使用新一代天阗入侵检测与管理系统(IDS)可以实现多种解决方案。根据检测的需要,可以快速、灵活部署在网络核心、网络边界、分支机构等不同的位置。并且,根据企业的不同规模,可以采用不同的部署与管理方案。
小型网络扁平化管理方案
对于小型网络,由于规模比较小,结构相对扁平,从简化管理的角度来讲,适合采用简单的扁平化部署与管理方案。这种环境下,往往只需部署一台检测引擎,采用单级管理的模式,根据管理策略的需要,可以选择采用“虚拟引擎”的划分,对网络采用分对象的虚拟化管理(在实际环境中,虚拟化管理非常少见),一般来说,在小型网络环境中,采用“单机引擎 + 单级管理 + 单一策略”是最常见的情况。
中型网络对象化管理方案
对于中型网络,其特点是组织规模相对较大,网络环境相对复杂,主机数量相对较多,在这种网络环境下,不宜直接采取扁平化简单管理的方法。为了便于网络的威胁管理,通常“分区监控 + 监测对象划分 + 多点部署”的方案进行切割威胁管理:
分区监控:对于不同区域网络采用不同的设备进行监控。
监测对象化分:将同一区域内的不同主机/网段,采用虚拟化(虚拟引擎)的方式进行逻辑对象划分,比如:将办公网按照网段划分成不同的部门,将生产网根据不同的服务器地址划分成不同的业务等,这样划分之后,被监控对象(服务器、网段)便被映射成了资产,这种映射更利于中型网络环境下的威胁管理。
多点部署:因为采用了分区监控的方式,因此在部署上就需要在多个流量汇聚节点部署多台设备,采用集中管理的方式进行威胁管理。
大型网络层级化管理方案
具体来说就是:“节点内部根据网络规模采取简单扁平化或分区监控 + 节点之间采用数据流自底向上,控制流自底向下的集中管理”,同时,根据各个分治节点内部的情况,可以选择采用虚拟化(虚拟引擎)的方式将监控区域进一步映射成资产。
层级分治:将不同的分支节点映射成不同层级上的独立管理节点
集中管理:将不同分治节点的威胁数据按照层级关系逐层上报,并在总控(根节点)进行威胁的集中管理。同时总控也可以根据需要对下级的分治节点进行策略下发、添加组件、系统升级等维护工作。
Copyright © 启明星辰 版权所有 京ICP备05032414号 京公网安备11010802024551号