A. 氢核交换概念
问答2022-05-06 03:19:21630 ℃
什么是数字安全
数字安全是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。
数字安全是指保护计算机的 Internet 帐户和文件免受外部用户入侵的各种方法。数字安全的定义是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
由此计算机网络的安全可以理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等
计算机和互联网
互联网安全涉及保护计算机的互联网帐户和文件免受外部用户的入侵。今天的互联网用户熟悉赛门铁克( Norton Anti-Virus ) 和 McAfee 等公司,它们为他们提供互联网安全产品以防范计算机病毒,并提供安全防火墙和间谍软件防护。互联网安全中心(CIS)等组织为企业提供衡量信息安全状况和做出合理安全投资决策的资源。
安全智能卡技术使用的一个示例是 Microsoft .NET 卡框架。这是一个可用于多个 Microsoft Windows 操作系统的软件框架。它包括一个编码解决方案库以防止常见的编程问题,以及一个管理专门为框架编写的程序的执行的虚拟机。
电信
也许最广为人知的埋悉数字安全电信设备是 SIM(用户身份模块)卡,这是一种在获得任何服务之前就嵌入在世界上大多数蜂窝设备中的设备。SIM 卡只是这个数字安全环境的开始。
智能卡 Web 服务器草案标准 (SCWS) 定义了智能卡中 HTTP 服务器的接口。正在进行测试以保护手机之间的 OTA(“无线”)支付和信用卡信息。正在通过智能视频卡技术开发组合 SIM/DVD 设备,该技术将符合 DVD 标准的光盘嵌入到普通 SIM 卡的卡体中。
其他涉及数字安全的电信发展包括移动签名,它使用嵌入式 SIM 卡生成具有法律约束力的电子签名。
金融交易和零售
加州大学洛杉矶分校互联网报告:调查数字未来(2000 年)发现,个人数据的隐私对在线销售造成障碍,超过十分之九的互联网用户(曾经)有点或非常担心信用卡安全。
用于提高浏览器和网站之间安全性的最常见的 Web 技术被命名为 SSL(安全套接字层),其继任者 TLS(传输层安全性)、身份管理和身份验证服务以及域名服务允许公司和消费者进行安全通信和商业。目前,多个版本的 SSL 和 TLS 普遍用于 Web 浏览、电子邮件、互联网传真、即时消息和 VoIP(IP 语音)等应用程序中。这些技术有多种可互操作的实现,包括至少一种 开源实现. 开源允许任何人查看应用程序的源代码,并查找和报告漏洞。
信用卡公司 Visa 和 MasterCard 合作开发了嵌入信用卡的安全 EMV 芯片。进一步的发展包括芯片认证计划,银行为客户提供手持式读卡器以执行在线安全交易。
该领域的其他发展包括即时发行等技术的发展,该技术使代表银行的 购物中心售货亭能够在现场向感兴趣的客户发行信用卡。
旅行斗仿和交通
许多现代护照现在是生物特征护照,包含一个嵌入式微芯片,存储数字化照片和个人信息,如姓名、性别和出生日期。此外,更多的国家正在引入面部识别技术以减少与身份相关的欺诈。电子护照的引入帮助了边境官员验证护照持有人的身份,从而可以快速处理旅客。美国、英国和澳大利亚正在计划推出配备 Retina 和指纹识别技术。
此外,正在使用相同的技术开发电子驾驶执照。例如,墨西哥的许可机构 (ICV) 使用智能卡平台向新莱昂州的蒙特雷市发放了第一张电子驾驶执照。
航空业正在从使用传统的纸质机票转向使用电子机票(e-tickets)。这些都是通过与航空公司合作推进在线信用卡交易而实现的。长途巴士公司今天也正在转弯销乎向电子票务交易。
航运公司已采用 RFID(射频识别)技术作为一种高效、数字安全的跟踪设备。与条码不同,RFID 可以在 20 英尺外读取。FedEx 和 UPS 使用 RFID 。
医疗保健
今天,所有医疗保健提供者和健康保险公司都使用互联网来提供增强的产品和服务,并降低成本。
医疗保健公司 Humana 与 WebMD、甲骨文公司、EDS 和微软合作,使其成员能够访问他们的医疗保健记录,并提供医疗保健计划的概述。患者记录越来越多地放置在安全的内部网络上,从而减少了对额外存储空间的需求。
安全访问
FBI、CIA 和五角大楼都在其任何建筑物中使用安全受控访问技术。然而,这种技术形式的使用正在蔓延到创业界。越来越多的公司正在利用数字安全受控访问技术的发展。例如,GE 的 ACUVision 提供了一个用于访问控制、警报监控和数字记录的单面板平台。
新方法将网络 DVR 功能与智能访问控制和警报监控面板功能结合到单个图像处理应用程序中。一些系统现在将数字视频监控/录制/播放、访问控制和入侵检测功能结合在一个面板解决方案中。通过这些集成的数字视频记录和访问控制平台,安全人员可以显示与警报条件和持卡人活动相关的实时和存储视频。
数字安全数据安全网络安全计算机安全
0个人收藏
收藏
本文作者
小嘿
嘿是嘿嘿的嘿,小就是小咯。。。
加关注
相关文章
管理服务是什么
QA | 09月12日
数字文明是什么
问答 | 05月11日
数字鸿沟是什么
问答 | 2020年11月
网络安全是什么
问答 | 2020年06月
什么是网络安全
QA | 2020年05月
提升网络安全性的一些重要技巧
TIPS | 2018年10月
评论交流
登录后参与评论
加载中..
泪雪网 · 走进科技生活方式!
泪雪旗下站点 | 蜀ICP备2022025769号-1
B. 深信服eds有什么致命缺陷
深信服EDS的致命缺陷主要体现在以下几个方面:
1. 安全性问题:虽然深信服EDS声称其具有高度的安全性,但是实际上在过去的几年中,深信服曾多次爆发漏洞事件,而且深信服的一些安全方案也被证明是无效的,这给用户的数据安全谈唯带来了很大的风险。
2. 可靠性问题:深信服EDS的可靠性也是很差的,它的系统经常会出现故障和崩溃,导致用户的业务中断,这给用户带来了很大的损失。
3. 性能问题:深信服EDS的性能也不尽如人意,它的处理速度较慢,导致用户的业务处理效率低下,这对企业的生产力产生了很大的影响。
4. 昂贵的成本:深信服EDS的价格较高,对于一些小型企培腊业来说,购买和使用成本非常高,这给企业的财务造成了很大含中培的压力。
综上所述,深信服EDS的致命缺陷主要集中在安全性、可靠性、性能和价格方面,这些问题都会对用户的业务产生重大的影响和威胁。因此,在选择企业级软件时,用户需要仔细权衡各方面的因素,选择适合自己企业的软件产品。
C. 如何解读EDS文件
2015-05-31 14:22:45
我们知道,使用ODVA组织的CIP协议时,需要对支持CIP网络的设备编写该设备的描述文件,以便CIP网络中的其他设备能够识别该设备,这个描述文件被称为EDS(Electronic Data Sheet:电子数据文件)。
本文就和读者谈谈如何理解和编制EDS文件。
为什么 EDS 文件非常重要?
一个设计完美的EDS 文件会使设备的集成非常容易;一个设计槽糕的EDS文件会产生很多误判或者在某些场合下根本无法实现设备的集成。这里为编写一个设计良好的EDS文件提出了一些忠告。EDS的不同部分将按出现的顺序进行介绍(按照在EDS ASCII文件的出现次序,按中括号[]顺序进行) ,描述他们的功能和他们包含他们的信息。
[File] 文件段。这个段用于EDS文件的管理。
如果提供的关键字不足以提供确定的管理细节,那么要通过使用注释增加额外的信息。比如包括:设备名称、创建日期、创建时间、修改日期、修改时间、版本号、URL地址念激等内容。强烈推荐使用URL (Uniform Resource Locator:统一资源定位)关键字,使用户能够查找到该EDS文件的最新版本。
举例:下面是万可公司的一款产品的[File]段:
[File]
$+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
DescText = "EDS File for WAGO I/O-System with EtherNet/IP coupler";
CreateDate = 04-22-2004;
CreateTime = 12:00:00;
ModDate = 04-22-2004;
ModTime = 12:00:00;
Revision = 1.1;
$ HomeURL = "http://www.wago.com/wagoweb/germany/ger/support/downloads/data/750341_1.eds";
[Device] 设备段。 在这个段包含的ID(Identification:身份)信息用来匹配在网络上已经发现设备带有的EDS文件。
这个段含有的是EDS文件中最重要的元素。身份识别是通过读取ID对象的前5个属性,并且与EDS文件中相对应的信息进行比较。他们是:供应商编码、供应商名称、产品类型、产品类型名称和产品编码。
通过他们运行时选项区分的任何设备必须用不同的EDS文件来隐藏,作为结果,他们必须有不同的ID对象属性。
在按装EDS时,设备段会指定一个图标文件为该设备自动分配一个图标。 强烈反对不使用图标的做法,因为图标是在网络中,区分设备类型/家绝拆族的最好的图形表示方法。对于用户而言,这也是最容易区别身份的办法。
举例:下面是万可公司的一款产品的[Device]段:
[Device]
$+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
VendCode = 40; $ Vendor Code
VendName = "Wago Corporation"; $ Vendor Name
ProdType = 12; $ Proct Type - Communication Adapter
ProdTypeStr = "Communications Adapter"; $ Proct Type String
ProdCode = 341; $ Proct Code
MajRev = 1; $ Major Rev
MinRev = 1; 仔宏袜 $ Minor Rev
ProdName = "WAGO Ethernet(10/100MBit)- STD";
Catalog = "750-341";
$ Icon = "750341_1.ico";
[Device Classification] 设备分类段。这个段对用于EtherNet/IP的EDS/设备进行了分类。
这是对用于EtherNet/IP 所有设备的提出要求。他必须包含至少一个连接 EtherNet/IP 的网络入口。
举例:下面是万可公司的一款产品的[Device Classification]段
[Device Classification]
$++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Class1 = EtherNetIP;
[Connection Manager] 连接管理段。这个段指定了设备的CIP 连接。
在 [File]文件段后,[Device]设备段和[Device Classification]设备分类段,这是一个EtherNet/IP 设备最重要的段,有了它才能成为CIP连接的目标。只有在这个段指定的连接才能被基于EDS的配置工具所使用。而所有的触发和传送类型要通过连接N入口来实现。比如:连接1为类别1,仅用于输入;连接2为类别1,仅用于侦听。在EDS文件中(类别0用于安全连接,类别1用于其他连接)指定连接类别0和1是通常做法。今天还没有使用其他的传送类别,也没有任何基于EDS的工具能够翻译其他类别。
如果有多个连接,不同的选项能够为设备建立不同功能的连接,每个连接需要分别标记一个连接N入口。只有在少数情况下,多个连接的连接N入口能够被“复用”,比如,使用一个参数用于连接点的信息。
使用传送类型和选择连接参数必须生成一个有意义的结合,以配合目标设备的功能。如果某些选择是相互排斥但设备又能够支持,那么要选择一系列独自的连接N入口去涵盖他们。象 EZ-EDS这样的工具能够帮助用户防止一些非法的组合,但不是全部。这种工具还能帮助用户对32-位加密的触发/传送值和连接参数进行解码。为每个独自连接N入口选择一个有意义的名字能帮助用户在使用中少犯错误。
所有的连接N入口都需要一个路径;否则,目标设备就不会连接到任何数据。我们强烈推荐支持所有的三种应用路径(配置,消费,生产),因为这也是ODVA组织的推荐之一,即:用于EtherNet/IP设备的推荐功能。在配置路径时,通常不需要对连接使用符号(标签)。
从源到目的(O->T)和从目的到源(T->O)属性(请求数据间隔,尺寸和格式)可以使用一些非常有意义的信息。当没有指定RPI(Request Packet Interval:请求数据间隔)值时,配置工具可能按给定的总线(网络)选择能够支持的任何值,而这个值可能超出了设备的能力。
使用一个固定的RPI值,也不需要太多的考虑,因为这是一个只能选择的值。在大多数情况下,在EDS文件中最好使用参数N入口,为RPI定义最小/最大/缺省值。对于尺寸(size)和格式(format),两个区域至少填入一个值。如果两个区域都填写了,尺寸区域将优先;当仅使用格式区域时,就用数字定义它,空着尺寸区域;如果不使用格式时,就可以空着。强烈推荐定义格式。
在配置属性部分,允许输入两个配置格式和两个配置尺寸。这个特性能够很好地处理模块化的设备。在Forward_Open请求中产生的第一部分数据,用于适配器的消费;数据的第二部分转发到各自的模块,满足模块的要求。对于非模块化设备,一个部分就足够了。
举例:下面是万可公司的一款产品的[Connection Manager]段
[Connection Manager]
$++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Connection1 = 0x84070002, $ trigger & transport
$ class1,
$ cyclic, change of state, application,
$ exclusive owner,
$ server
0x33750405, $ connection parameter
$ O->T, T->O fixed size supported
$ O->T 32-bit run/idle header
$ O->T Null,PtP, T->O Null,PtP,Multicast
$ O->T,T->O Low,High Priority
, 5, , $ O->T RPI,size,format
, 6, , $ T->O RPI,size,format
, , $ config part 1 (not used)
, , $ config part 2 (not used)
"class1 - exclusive owner", $ connection name
"", $ help string
"20 04 2C 01 2C 04"; $ referencing the target object
Connection2 = 0x82070002, $ trigger & transport
$ class1,
$ cyclic, change of state, application,
$ input only,
$ server
0x33750405, $ connection parameter
$ O->T, T->O fixed size supported
$ O->T 32-bit run/idle header
$ O->T Null,PtP, T->O Null,PtP,Multicast
$ O->T,T->O Low,High Priority
, 0, , $ O->T RPI,size,format
, 6, , $ T->O RPI,size,format
, , $ config part 1 (not used)
, , $ config part 2 (not used)
"class1 - input only", $ connection name
"", $ help string
"20 04 2C FE 2C 04"; $ referencing the target object
Connection3 = 0x81070002, $ trigger & transport
$ class1,
$ cyclic, change of state, application,
$ listen only,
$ server
0x33750405, $ connection parameter
$ O->T, T->O fixed size supported
$ O->T 32-bit run/idle header
$ O->T Null,PtP, T->O Null,PtP,Multicast
$ O->T,T->O Low,High Priority
, 0, , $ O->T RPI,size,format
, 6, , $ T->O RPI,size,format
, , $ config part 1 (not used)
, , $ config part 2 (not used)
"class1 - listen only", $ connection name
"", $ help string
"20 04 2C FF 2C 04"; $ referencing the target object
[Assembly]装配,[Params]参数和[ParamClass]参数类别段。
这些段应该在EDS文件中按其他部分的要求适当地进行填写,比如,连接N入口。
如果参数值没有限制在一个子区域的范围之内,如在参数N入口的区域定义一个在最小/最大值,那么列举时会有一个好的数据。为EtherNet/IP 的设备配置参数时,希望能把它打入配置装配。各自参数可以在EDS内部定义,但有些市售工具不允许访问设备内部的个别参数,只能使用显式信息 (Get/Set_Attribute_Single或者Get/Set_Attribute_All)才能工作。
举例:下面是万可公司的一款产品的[ParamClass]段
[ParamClass]
$++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
MaxInst =10; $ total number of configuration parameters
Descriptor =0x0A; $ all full attributes are supported and stored in non-volatile storage
CfgAssembly =0;
[Capacity] 容量段。
这个段描述设备本身具有的通信能力(因此对公司非常有用)。应该描述连接的数量和连接的速度(每秒多少帧)。
[Port] 端口段。
这个段提供端口信息,这仅对需要执行CIP路由设备才有用。虽然允许,这个段对于支持单一CIP端口的设备来说是不必要的。当设备中内置交换机时,如设备带有多个以太网端口,这个段仍然不需要(或者仅限于一个入口)除非设备执行一个端口到另一个端口的CIP路由。
举例:下面是万可公司的一款产品的[Port]段
[Port]
$++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Port1 = TCP, "EtherNet/IP port", "20 F5 24 01", 1;
$+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
D. 各怀绝技主流入侵检测产品大比较
1.Cisco公司的NetRanger
1996年3月,WheelGroup基于多年的业界经验推出了NetRanger。产品分为两部分:监测网络包和发告警的传感器(9000美元),以及接收并分析告警和启动对策的控制器(1万美元)。
另外,至少还需要一台奔腾PC来跑传感器程序以及一台Sun SparcStation通过OpenView或NetView来跑控制器程洞冲租序。两者都运行Sun的Solaris。在软硬件平台中,传感器上可能要花费1.3万美元,控制器上要花费2.5万美元。
NetRanger以其高性能而闻名,而且它还非常易于裁剪。控制器程序可以综合多站点的信息并监视散布在整个企业网上的攻击。NetRanger的名声在于其是针对企业而设计的。这种名声的标志之一是其分销渠道,EDS、Perot Systems、IBM Global Services都是其分销商。
NetRanger在全球广域网上运行很成功。例如,它有一个路径备份(Path-doubling)功能。如果一条路径断掉了,信息可以从备份路径上传过来。它甚至能做到从一个点上监测或把监测权转给第三方。
NetRanger的另一个强项是其在检测问题时不仅观察单个包的内容,而且还看上下文,即从多个包中得到线索。这是很重要的一点,因为入侵者可能以字符模式存取一个端口,然后在每个包中只放一个字符。如果一个监测器只观察单个包,它就永远不会发现完整的信息。
按照GartnerGroup公司的研究专纳兆家Jude O'Reilley的说法,NetRanger是目前市场上基于网络的入侵检测软件中经受实判迹践考验最多的产品之一。
但是,对于某些用户来讲,NetRanger的强项也可能正好是其不足。它被设计为集成在OpenView或NetView下,在网络运行中心(NOC)使用,其配置需要对Unix有详细的了解。NetRanger相对较昂贵,这对于一般的局域网来讲未必很适合。
2.Network Associates公司的CyberCop
Network Associates 公司是1977年由以做Sniffer类探测器闻名的Network General公司与以做反病毒产品为专业的 McAfee Associates公司合并而成的。NetWork Associates从Cisco那里取得授权,将NetRanger的引擎和攻击模式数据库用在CyberCop中。
CyberCop基本上可以认为是NetRanger的局域网管理员版。这些局域网管理员正是NetWork Associates的主要客户群。其软件价格比NetRanger还贵:传感器为9000美元,服务器上的控制器为15000美元。但其平台却可以是运行Solaris 2.5.1的Dell PC(通常CyberCop是预装在里面的)。跑传感器的平台一般要3000美元,控制器的平台要5000美元。
另外,CyberCop被设计成一个网络应用程序,一般在20分钟内就可以安装完毕。它预设了6种通常的配置模式:Windows NT和Unix的混合子网、Unix子网、NT子网、远程访问、前沿网(如Internet的接入系统)和骨干网。它没有Netware的配置。
前端设计成浏览器方式主要是考虑易于使用,发挥Network General在提炼包数据上的经验,用户使用时也易于查看和理解。像在Sniffer中一样,它在帮助文档里结合了专家知识。CyberCop还能生成可以被 Sniffer识别的踪迹文件。与NetRanger相比,CyberCop缺乏一些企业应用的特征,如路径备份功能等。
按照CyberCop产品经理Katherine Stolz的说法,Network Associates公司在安全领域将有一系列的举措和合作。"我们定位在大规模的安全上,我们将成为整体解决方案的提供者。"
3.Internet Security System公司的RealSecure
按照GartnerGroup的O'Reilley的说法,RealSecure的优势在于其简洁性和低价格。与NetRanger和CyberCop类似,RealSecure在结构上也是两部分。引擎部分负责监测信息包并生成告警,控制台接收报警并作为配置及产生数据库报告的中心点。两部分都可以在NT、Solaris、SunOS和Linux上运行,并可以在混合的操作系统或匹配的操作系统环境下使用。它们都能在商用微机上运行。
对于一个小型的系统,将引擎和控制台放在同一台机器上运行是可以的,但这对于NetRanger或CyberCop却不行。RealSecure的引擎价值1万美元,控制台是免费的。一个引擎可以向多个控制台报告,一个控制台也可以管理多个引擎。
RealSecure可以对CheckPoint Software的FireWall-1重新进行配置。根据入侵检测技术经理Mark Wood的说法,ISS还计划使其能对Cisco的路由器进行重新配置,同时也正开发OpenView下的应用。
4.Intrusion Detection公司的Kane Security Monitor
基于主机的Kane Security Monitor(KSM) for NT是1997年9月推出的。它在结构上由三部分组成,即一个审计器、一个控制台和代理。代理用来浏览NT的日志并将统计结果送往审计器。系统安全员用控制台的GUI界面来接收告警、查看历史记录以及系统的实时行为。KSM对每个被保护的服务器报价1495美元(包括审计器和控制台),在此基础上每个工作站代理报价295美元。
按照位于加州Playa Del Rey以安全技术见长的Miora Systems Consulting公司的资深咨询专家David Brussin的看法,KSM在TCP/IP监测方面特别强。但他也提到,Intrusion Detection的产品不是为较快的广域网设计的。
公司的奠基人兼总裁Robert Kane说,Intrusion Detection在本季度将推出在OpenView下的应用,随后在年底将推出与Tivoli Management Environment(TME)的集成。将来,Intrusion Detection还计划支持Unix、微软的BackOffice和Novell的Netware。
5.Axent Technologies公司的OmniGuard/Intruder Alert
与KSM的审计器、控制台、代理所对应的OmniGuard/Intruder Alert(ITA)在结构上的三个组成部分为一个管理器(1995美元)、控制台(免费)和代理(每个服务器为995美元,每个工作站为95美元)。
ITA比Intrusion Detection的KSM提供了更广泛的平台支持。它的管理器和代理能在Windows NT、95、3.1和Netware 3.x、4.x上运行,所有的部分在多种Unix下都能运行,如Solaris、SunOS、IBM AIX、HP-UX以及DEC的Unix。
可以根据一些解决方案来剪裁ITA,这些解决方案可来自主流的操作系统、防火墙厂商、Web服务器厂商、数据库应用以及路由器制造商。Axent在2月份兼并了防火墙厂商Raptor,并将增强ITA,使其能对Raptor的防火墙进行重配置。
6.Computer Associates公司的SessionWall-3/eTrust Intrusion Detection
SessionWall-3/eTrust Intrusion Detection可以通过降低对网络管理技能和时间的要求,在确保网络的连接性能的前提下,大大提高网络的安全性。SessionWall-3/eTrust Intrusion Detection可以完全自动地识别网络使用模式,特殊网络应用,并能够识别各种基于网络的各种入侵、攻击和滥用活动。另外,SessionWall-3/eTrust Intrusion Detection还可以将网络上发生的各种有关生产应用、网络安全和公司策略方面的众多疑点提取出来。
SessionWall-3/eTrust Intrusion Detection是作为一种独立或补充产品进行设计的,它的特点包括:
·世界水平的攻击监测引擎,可以实现对网络攻击的监测;
·丰富的URL控制表单,可以实现对200,000个以上分类站点的控制;
·世界水平对Java/ActiveX恶意小程序的监测引擎和病毒监测引擎;
·SessionWall-3/eTrust Intrusion Detection远程管理插件,用于没有安装SessionWall-3/eTrust Intrusion Detection的机器的SessionWall-3/eTrust Intrusion Detection记录文件的归档和查阅,以及SessionWall-3/eTrust Intrusion Detection报表的查阅。
SessionWall-3/eTrust Intrusion Detection的网络安全保护
SessionWall-3/eTrust Intrusion Detection屡获殊荣,是面的网络安全管理软件。
SessionWall-3/eTrust Intrusion Detection的特点包括:
·提供从先进的网络统计到特定用户使用情况的统计的全面网络应用报表;
·网络安全功能包括内容扫描、入侵监测、阻塞、报警和记录。
·Web和内部网络使用策略的监视和控制,对Web和公司内部网络访问策略实施监视和强制实施;
·公司保护(Company preservation),或称诉讼保护,即对电子邮件的内容进行监视,记录、查看和存档;
SessionWall-3/eTrust Intrusion Detection还包括用于WEB访问的策略集(用于监视/阻塞/报警)和用于入侵监测的策略集(用于攻击监测、恶意小程序和恶意电子邮件)。这些策略集包含了SessionWall-3/eTrust Intrusion Detection对所有通信进行扫描的策略,这些策略不仅指定了扫描的模式、通信协议、寻址方式、网络域、URL以及扫描内容,还指定了相应的处理动作。一旦安装了SessionWall-3/eTrust Intrusion Detection,它将立即投入对入侵企图和可疑网络活动的监视,并对所有电子邮件、WEB浏览、新闻、Telnet和FTP活动进行记录。
SessionWall-3/eTrust Intrusion Detection还可以很方便地追加新规则,或利用菜单驱动选项对现有规则进行修改。
SessionWall-3/eTrust Intrusion Detection可以满足各种网络保护需求,它的主要应用对象包括审计人员、安全咨询人员、执法监督机构、金融机构、中小型商务机构、大型企业、ISP、教育机构和政府机构等。
SessionWall-3/eTrust Intrusion Detection的功能
SessionWall-3/eTrust Intrusion Detection是一种功能全面且使用方便的网络保护解决方案,它克服了网络保护中的主要业务障碍,其采用的主要手段包括:
·程度地降低用户技能和资源需求;
·提供一种经济的和可扩展的解决方案;
·提供管理报表;
·提供灵活易用的工具。
从操作的角度讲,SessionWall-3/eTrust Intrusion Detection去除了某些网络保护解决方案在安装和操作的麻烦。实际上,SessionWall-3/eTrust Intrusion Detection可以提供许多人们所期望网络内在特性,而这些特性在过去是必需借助多种工具并通过复杂的分析之后才能够得到的。为了达到这一目的,SessionWall-3/eTrust Intrusion Detection采用了如下措施:
·即插即用安装(自动配置);
·易用的图形用户界面;
·登录网络活动的在线查阅;
·实时统计和图形显示;
·全面的"追根溯源(drill down)"报表;
·联机查询和定时报表;
·易于更新的监视、阻塞和报警规则;
·综合的响应和报警集合,包括实时干涉,预定义阻塞规则、第三方应用启动响应接口、以及不同的信息发送方式。
·用于监视和阻塞的全面URL站点分类和控制列表。
·支持WEB自速率系统(RSACi)。
·先进的可疑小程序监测(例如,Java/ActiveX引擎)。
·综合病毒扫描引擎和病毒库。
·完整的格式化内容和附件浏览器。
·电子文字模式内容的扫描和阻塞;
·菜单驱动的自动地址解析。
·特殊的保密特性,可以对控制访问权限提供登录和管理的访问控制。
SessionWall-3/eTrust Intrusion Detection的特点
SessionWall-3/eTrust Intrusion Detection与大多数网络保护产品不同,后者是生硬地安插在网络通信路径中的,而前者则是完全透明的,它不需要对网络和地址做任何的变化,也不会给独立于平台的网络带来任何的传输延迟。
SessionWall-3/eTrust Intrusion Detection可全面满足你的需要!
SessionWall-3/eTrust Intrusion Detection代表了最新一代Internet和Intranet网络保护产品,它具备前所未有的访问控制水平、用户的透明度、性能、灵活性、适应性和易用性。SessionWall-3/eTrust Intrusion Detection无需使用昂贵的UNIX主机,也避免了因非路由防火墙所造成的额外开销。另外,SessionWall-3/eTrust Intrusion Detection还包括一个会话视窗,可以用于网络入侵的监视、审计,并可以为电子通信的滥用现象提供充分的证据。
技术规范
·操作系统:Windows 95(OSR 2), Windows 98或Windows NT 4.0(SP3以上)以上版本;
·系统平台:Intel Pentium 100MHz以上;
·内存:64MB RAM
·磁盘空间:200MB可用空间
·网络接口:标准以太网/令牌环网/FDDI
·软件介质:CD-ROM
7.Trusted Information System公司的Stalkers
由Haystack Labs于1993年推出的Stalker是一个基于主机的监测器,它能用于NT以及多种版本的Unix,包括Solaris、AIX、HP-UX和SCO的 UnixWare。2.1版的管理器价格为9995美元,每个代理为695美元。
Haystack Labs在1996年6月推出了WebStalker Pro,其操作系统运行平台和Stalker是一样的,但其使用对象是Web服务器。它在Unix下的报价是4995美元,在NT下的报价是2995美元。Sun的Netra Web服务器在销售时就带有一个WebStalker的专门版。IBM Global Services也销售WebStalker。
开发基于NT防火墙产品Gauntlet的Trusted Information System公司于1997年10月收购了Haystack。于1997年12月宣布了只在NT下运行且为微软的Proxy Server 2.0设计的监测器——ProxyStalker。ProxyStalker计划于第一季度推出,其价格尚未宣布,但估计和Proxy Server应该是同等档次的产品,即少于1000美元。
所有三种Stalker产品都可以对防火墙产品Gauntlet重新配置,三种产品也都可以在发现入侵的同时消灭入侵。例如,WebStalker Pro可以终止一个登录或一个进程,它也可以重启一个Web服务器。Stalker家族也能与TME集成在一起。
8.Network Security Wizards公司的Dragon IDS
Network Security Wizards是一家新进入IDS市场的公司。尽管它的产品Dragon现在还没有多少名气,但它在表现极好。它在检测到较多攻击。Dragon是一个非常原始的工具,建议不熟悉UNIX系统的用户不要使用。但如果用户十分在意入侵检测的健壮性并且对易于使用要求不高的话, Dragon还是一个很不错的选择。
Dragon通过命令行方式来执行,只有非常简单的基于Web 的报告工具。除了NFR外,NSW是一个将真正的代码放在攻击签名中的产品。签名文件是一个简单的文本文件,使用一个非常简单的指令集建立。指令集的简单性也允许 Dragon的用户很方便地定制和产生他们自己的攻击签名。Dragon的攻击行为表示方法没有NFR的n-code灵活,但它同样能够达到目的。通过使用一个基本的参数定义集合,用户可以定义要搜索的端口、协议、样本大小、字符串等。
不幸的是,Dragon在易于使用和事件可管理性方面完全失败。Dragon没有提供中央控制台或任何类型的GUI管理工具,它产生的数据冗长而又复杂,很不容易看懂。Dragon的成熟还需要一个过程。
Dragon能够处理碎片重组。它不仅能够无错地重组碎片,而且即使当网络占用率达70~80%时仍然性能不减。NSW 声称它在Dragon中部署了许多功能盒,这些功能盒能够以130Mbps的速率运行。如果想要一个简单而又强大的入侵检测功能并且要求易于增加或修改攻击签名的话,那么Dragon是很好的选择。
9.Network Ice公司的BlackIce Defender and Enterprise Icepac 1.0
Network Ice公司的BlackIce Defender是将基于主机和基于网络的检测技术结合起来并用于Windows系统的产品。在安装BlackIce时,没有留下特别的印象:管理接口相当麻烦,配置选择也不是很多。然而BalckIce执行起来非常好,能够进行碎片重组。
BlackIce能够检测较多攻击并且当网络负载很饱和时仍然能够胜任。该公司声称提供了200多个攻击签名,BlackIce要比许多其他基于网络的入侵检测产品表现的好。
但BlackIce的报告机制还不太令人满意。基于Web的工具难于使用,通信未加密就通过HTTP在线路上进行传输,而RealSecure和Dragon对所有从传感器到控制台的通信都进行加密。
BlackIce还提供一个被称为Black Track的服务,这对于一些企业是十分有用的,但它对于想隐蔽地进行入侵检测的用户来讲很不适用。Black Trace 通过发起NetBIOS和DNS反向查询来收集敌对主机信息。幸运的是,与NetProwler不一样,BlackIce允许用户自己禁止这些查询。
BlackIce的一个有趣特性是它可以作为一个个人IDS和防火墙的组合方案。BlackIce能关闭它检测到产生敌意操作的所有网络。
那些想保证自己的移动用户安全的公司可能对BlackIce 特别感兴趣。它的个人防火墙特性可以允许网络管理员扩展一些更高级别的安全保护。而它的价格只有大约40美元,是相当物有所值的产品。
10.NFR公司的Intrusion Detection Appliance 4.0
NFR是提出开放源代码概念的IDS厂商,这是它能够不断普及的最重要原因。NFR通过NFR“研究版”免费发布它早期版本的源代码,尽管正式版与研究版相比进行了许多修改,但是后者仍然能提供一个完整的IDS方案。
在IDA 4.0中,NFR已经解决了它在管理工具和签名设置方面的种种不足。程序采用一个基于Win32的GUI管理工具来取代原来基于Java的工具,因为基于Java的管理工具由于浏览器的Java实现不连续会经常崩溃。新的管理GUI为管理员提供了一个简单的方法来配置和监视部署的NFR传感器,但事件清除仍然是一件费力的事情。
管理员只能得到单行的攻击描述,对攻击数据进行翻页操作非常麻烦。如果用户对常用攻击方式的表达不是很熟悉的话,就不得不经常需要参考手册的帮助。
另一个问题是NFR一直缺乏一个可靠的签名集。虽然通过使用NFR内置的过滤脚本n-code,用户可以编写自己的签名,然而很少有哪一个公司有时间或资源这样做。为了帮助解决这个问题,NFR已经与L0pht Heavy Instries(www.l0pht.com)合作来产生攻击签名集。L0pht提供了300多个签名,并且还将提供另外数百个签名。不过这次我们只能测试其中的一小部分。这次测试的签名工作得很好,但是RealSecure和NetRanger有大得多的攻击签名集。只有NFR发布了完整的签名集以后,IDA才会成为一个真正强有力的产品。
NFR是一个非常有用的网络监视和报告工具:除了入侵检测外,NFR还允许用户收集通过网络的Telnet、Ftp和Web数据。这个功能看似不起眼,但它对于那些想拥有这类集中化信息(尤其是当跨越多个平台时)的用户来讲却非常有用。
11.CyberSafe公司的Centrax 2.2
同Axent和ISS一样,CyberSafe正向集成化的基于主机和基于网络的入侵检测方向发展。其Centrax提供了三种类型的客户端:一个批处理器、一个实时主机检查器和一个实时网络检查器。一旦用户搞清楚了哪一个组件是完成什么功能的,就会发现这个产品用起来相当容易。
Centrax使用传感器/控制台方法,工作方式与RealSecure 的管理台类似。与Axent的产品不同的是,Centrax能够无缝地集成到主管理控制台中。管理部署的传感器制定一个模板策略,然后将它“推”给适当的传感器。修改和更新所有远程机器上的策略极其容易,只需简单地选择它们并且“应用(apply)”一个预先定义的策略即可。
对Centrax的管理台有两点不满意。第一,用户无法清除报警。第二,对报警进行分类处理很困难。当四五十个报警同时出现时,无法对它们进行分类控制,这会很快使管理员陷入困境。
以基于主机的方式进行检测时,Centrax从NT事件日志中提取绝大部分数据。Centrax相当棒的地方是它能够进行大范围的主机内容检查,包括失败的登录、修改的系统文件和注册设置等。
然而,Centrax基于网络的检测功能要弱得多。Centrax网络传感器预先定义的攻击签名只有约50个。虽然它具有良好的入侵检测结构,但是极弱的签名库影响了它准确检测基于网络的攻击的能力。对于基于NT主机的监视,Centrax 现在表现得不是很令人满意。
12.中科网威的“天眼”入侵检测系统
中科网威信息技术有限公司的“天眼”入侵检测系统、“火眼”网络安全漏洞检测系统是国内少有的几个入侵检测系统之一。它根据国内网络的特殊情况,由中国科学院网络安全关键技术研究组经过多年研究,综合运用了多种检测系统成果制研成功的。它根据系统的安全策略作出反映,实现了对非法入侵的定时报警、记录事件,方便取证,自动阻断通信连接,重置路由器、防火墙,同时及时发现并及时提出解决方案,它可列出可参考的全热链接网络和系统中易被黑客利用和可能被黑客利用的薄弱环节,防范黑客攻击。该系统的总体技术水平达到了“国际先进水平”(1998年的关键技术“中国科学院若干网络安全”项目成果鉴定会结论)。
13.启明星辰的SkyBell(天阗)
启明星辰公司的黑客入侵检测与预警系统,集成了网监听监控、实时协议分析、入侵行为分析及详细日志审计跟踪等功能。对黑客入侵能进行全方位的检测,准确地判断上述黑客攻击方式,及时地进行报警或阻断等其它措施。它可以在Internet和Intranet两种环境中运行,以保护企业整个网络的安全。
该系统主要包括两部分:探测器和控制器。
探测器能监视网络上流过的所有数据包,根据用户定义的条件进行检测,识别出网络中正在进行的攻击。实时检测到入侵信息并向控制器管理控制台发出告警,由控制台给出定位显示,从而将入侵者从网络中清除出去。探测器能够监测所有类型的TCP/IP网络,强大的检测功能,为用户提供了最为全面、有效的入侵检测能力。