因为内网和外网在网络环境、网络行为和安全策略上存在着重大差异,所以单纯地使用用于防范外网攻击的入侵检测系统不能满足客户的需要。
从技术手段上,为了防范内网的安全必须对内部网络各类异常行为的进行监控、分析、记录、预测、响应。方正科技集团软件产品业务群研制的方通Sniper就具备上述内网安全防护的手段。
方通Sniper网络入侵检测系统具备如下功能:
能够从网络层到应用层进行多层次特征检测、协议分析和内容分析
首先,方通Sniper可以进行全方位安全监控和审计;其次,方通Sniper可以结合用户业务的具体特点,进行智能化的分析,辅助用户做出正确地决策。例如,方通Sniper提供HTTP协议分析,可以对基于Web的应用进行监控与审计,也可以检查网页中携带的恶意程序;系统提供邮件监控功能,可以监控发件人、收件人、邮件正文和邮件附件,防止内部人员利用邮件泄密,防止外部人员利用邮件传播病毒和恶意程序。系统甚至可以对Web Mail进行监控。
具备丰富的安全控制与管理手段
方通Sniper能够快速自动的检测、会话拦截和入侵报警。具有强大的IP地址与URL追踪功能,能够通过电子邮件关键词搜寻、拦截和日志来监视和阻断内部信息流出。监视和拦截未经授权的网络站点访问(有害信息、股票、黄色网站等等)。生成强大的监视、检测、拦截日志报告。
方通Sniper还具有网络流量的统计功能,例如网络流量与流量分布;可以根据主机(IP)地址统计,根据服务(HTTP,邮件,FTP等)统计,目的是防止内部资源滥用。
方通Sniper可以对进出的邮件进行有效的信息管理(发送者和接受者),检测e-mail(信息体和附件)并可以通过关键字的匹配进行阻断(保证保密或机密信息不泄漏)。记录Telnet,Ftp和远程登录的详细信息。管理访问未授权的网页(包括色情、娱乐和股票信息等)的信息。控制和管理硬盘共享功能(对于PC机)。可以控制特定的服务器、客户端和服务(协议),如果需要可以定义拦截规则阻断非法连接,根据每台服务器情况和每个服务(端口)情况设置拦截端口。
方通Sniper可以根据字符串匹配检索日志记录。可以根据IP地址管理数据流是否合法。
方通Sniper可以阻止不合法的信息访问进程。可以通过IP地址、域和检测关键字设置来控制对于不合法站点的访问。可以基于使用网络的合法时间的设置。
能够对实时网络连接和服务情况进行监测
方通Sniper实时检测当前网络连接的服务器和客户端IP地址、这些连接的传输数据、连接起始和结束时间、DNS、Whois、操作系统信息等等。
方通Sniper可以进行计算机、用户和服务详细信息检索。察看本地服务器、远程服务器、本地客户端、远程客户端信息。察看服务器、用户、使用数量、使用时间、用户信息和网页浏览信息。
同时监控8个网段
对于一个企业来说,具有多个网段或者部署多个交换机是很正常的事。一般来说,一个网络入侵检测传感器只能够接一个交换机,并且监控一个网段。如果要对内网进行完备的安全管理,势必要对每个员工的行为都能够进行监控,从技术上说,就要在每个交换机上接入一个入侵检测传感器,如果采用单网段监控的入侵检测系统,用户的投入成本就会很高。如果一个入侵检测系统能够监测多个网段,那么用户的整体拥有成本就会降到很低。方通Sniper能够同时监控8个网段,给用户带来了最高的性价比。
具备强大的数据分析和统计功能
作为安全风险控制和管理系统,方通Sniper要能够多线索、多角度地对安全状态进行分析和统计是非常重要的。数据的分析必须将特征检测与异常检测相结合,将实时分析与事后分析相结合。安全状态的分析和统计的结果可以以书面报告、图形显示和决策方案等形式提供给用户,方便了用户的安全管理。
与其它安全产品的密切配合,构筑全方位的安全风险控制体系
各种安全产品各有所长,既不能头痛医头、脚痛医脚,更不能片面地强调某一种产品的作用。讲求各种安全产品的配合,才能将安全风险控制到最低。方通Sniper支持重新配置其它产品,如防火墙、防毒墙和其他支持Opsec, IAP的安全产品,也可以生成全面的配置策略(直接生成策略或者是策略的建议),辅助管理员优化配置、完善安全风险控制系统。
方通Sniper具备网络安全专家一样的入侵分析与判断能力,扩展了系统管理员的安全管理能力。方通Sniper为系统管理员提供了各种直观图形化工具和实时检测报警功能,极大地方便了系统管理员的安全管理。
