启明星辰网络安全解决方案启明星辰公司自1996年成立以来，已经开发了黑客防范与反攻击产品线、采用国际著名厂商芬兰F-Secure公司杀毒技术形成的网络病毒防杀产品线、以网站安全扫描与个人主机保护为代表的网络安全管理产品线，以及几大产品线之间互动的网络资源管理平台，成为具有自主知识产权、覆盖防病毒和反黑客两大领域的高科技含量的网络安全产品研发与生产基地。

启明星辰公司产品均获得了《计算机信息系统安全专用产品销售许可证》，《国家信息安全产品测评认证证书》和《军用信息安全产品认证证书》，在政府、银行、证券、电信和军队等领域得到了广泛的使用。

网络安全产品链相关方案包括：天阗(tian)黑客入侵检测系统天镜网络漏洞扫描系统天蘅(heng)安防网络防病毒系统Webkeeper网站监测与修复系统安星主机保护系统天燕智能网络信息分析实录仪C-SAS客户化安全保障服务天阗(tian)黑客入侵检测系(阗：在中国古代有"和田美玉"之意，坚固圆润，异彩流光，可以补天。

)一般认为，计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击3个方面。

目前，人们也开始重视来自网络内部的安全威胁。

黑客攻击早在主机终端时代就已经出现，而随着Internet的发展。

现代黑客则从以系统为主的攻击转变到以网络为主的攻击，新的手法包括：通过网络监听获取网上用户的帐号和密码；监听密钥分配过程、攻击密钥管理服务器，得到密钥或认证码，从而取得合法资格；利用Unix操作系统提供的守护进程的缺省帐户进行攻击，如Telnet Daemon，FTP Daemon,RPC Daemon等；利用Finger等命令收集信息，提高自己的攻击能力；利用Sendmail，采用debug,wizard,pipe等进行攻击；利用FTP，采用匿名用户访问进行攻击；利用NFS进行攻击；通过隐蔽通道进行非法活动；突破防火墙等等。

目前，已知的黑客攻击手段已多达500余种。

入侵检测系统防火墙与IDS谈到网络安全，人们第一个想到的是防火墙。

但随着技术的发展，网络日趋复杂，传统防火墙所暴露出来的不足和弱点引出了人们对入侵检测系统(IDS)技术的研究和开发。

首先，传统的防火墙在工作时，就像深宅大院虽有高大的院墙，却不能挡住小老鼠甚至是家贼的偷袭一样，因为入侵者可以找到防火墙背后可能敞开的后门。

其次，防火墙完全不能阻止来自内部的袭击，而通过调查发现，70%的攻击都将来自于内部，对于企业内部心怀不满的员工来说，防火墙形同虚设。

再者，由于性能的限制，防火墙通常不能提供实时的入侵检测能力，而这一点，对于现在层出不穷的攻击技术来说是至关重要的。

第四，防火墙对于病毒也束手无策。

因此，以为在Internet入口处部署防火墙系统就足够安全的想法是不切实际的。

入侵检测系统(IDS)可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，如及时记录证据用于跟踪、切断网络连接，执行用户的安全策略等。

IDS概念解析入侵检测系统全称为Intrusion Detection System，它从计算机网络系统中的关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。

入侵检测被认为是防火墙之后的第二道安全闸门。

IDS主要执行如下任务：1．监视、分析用户及系统活动。

2．系统构造变化和弱点的审计。

3．识别反映已知进攻的活动模式并向相关人士报警。

4．异常行为模式的统计分析。

5．评估重要系统和数据文件的完整性。

6．操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

一个成功的入侵检测系统，不仅可使系统管理员时刻了解网络系统，还能给网络安全策略的制订提供依据。

它应该管理配置简单，使非专业人员非常容易地获得网络安全。

入侵检测的规模还应根据网络规模、系统构造和安全需求的改变而改变。

入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。

IDS分类入侵检测通过对入侵行为的过程与特征进行研究，使安全系统对入侵事件和入侵过程作出实时响应。

入侵检测系统按其输入数据的来源来看，可以分为以下两种：1.基于主机的入侵检测系统：其输入数据来源于系统的审计日志，一般只能检测该主机上发生的入侵。

2.基于网络的入侵检测系统：其输入数据来源于网络的信息流，能够检测该网段上发生的网络入侵。

IDS功能结构总体来讲，入侵检测系统的功能有：1．监视用户和系统的运行状况，查找非法用户和合法用户的越权操作。

2．检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞。

3．对用户的非正常活动进行统计分析，发现入侵行为的规律。

4．检查系统程序和数据的一致性与正确性。

如计算和比较文件系统的校验和能够实时对检测到的入侵行为进行反应。

天阗概述天阗正是适应入侵检测这一实际需求的产物。

简而言之，天阗能够收集并分析计算机系统和网络中的关键信息，检查系统和网络中是否有违反安全策略的行为和遭到袭击的迹象。

它是启明星辰公司开拓国内的网络安全市场，并具有自主知识产权的战略性产品。

启明星辰公司已为此投入了相当大的资源，并取得了显著的成果，启明星辰还将继续努力，保持在该领域技术上的领先优势。

天阗分主机版和网络版。

主机版天阗是基于主机的入侵检测系统，它监视系统的运行状况，监视系统上用户的操作，对用户的活动进行审计和分析，对系统程序和数据的一致性和正确性进行检查；网络版天阗是基于网络的入侵检测系统，监视网络的运行状况，分析网络上的可疑行为，对正常及非正常的活动进行审计和分析，向网络控制台实时报警，并且能根据预先配置的策略自动对攻击作出反应。

主机版天阗主机版天阗是基于主机的入侵检测系统，以下称为天阗主机入侵检测系统。

天阗主机入侵检测系统目前支持Solaris 7（SPARC）系统。

他能自动、实时的入侵检测和响应系统。

它能够实时监控系统，自动检测可疑行为，分析来自主机内部的入侵信号。

在系统受到危害前发出警告，实时对攻击作出反应，并提供补救措施，最大程度地为主机系统提供安全保障。

天阗主机入侵检测系统分为两个部分：控制中心和探测引擎。

探测引擎端负责将审计数据和日志记录作简单的处理后，形成安全相关事件后，上报控制中心（见下图）。

控制中心负责，①制定入侵监测的策略；②收集来自多台主机的上报事件，综合进行事件分析，以多种方式对入侵事件作出快速响应。

系统特点内置多种预定义策略，并允许用户添加修改策略；具有自动/手动两种启动模式；除去由控制中心集中管理之外，还提供基于命令行的管理工具；具备多种安全的自我保护功能，防止探测引擎被恶意破坏。

网络版天阗网络版天阗是基于网络的入侵检测系统，以下称为天阗网络入侵检测系统。

天阗网络入侵检测系统是通过监视网络中的数据包来发现黑客的入侵企图，它可以运行在一台单独的计算机上监视整个网络的信息。

天阗网络入侵检测系统是一种分布式的网络入侵检测系统，可以适用于任何规模的网络。

无论是小型局域网还是跨地区的城际网络，都可以自由，灵活的来部署天阗。

多个局部预警网络可以相互联系，按照一定的规则构建成一个多层次，分级管理的大规模的预警网络。

网络探测器是预警系统中检测部分的核心。

通过对网络进行实时监听，收集网络上的信息，并对这些信息进行实时的分析，看是否对被保护的网络构成威胁，然后按照预先定义的策略自动报警，阻断和记录日志等。

控制中心是预警系统的管理和配置工具，同时，它也接收来自网络探测器的实时报警信息，控制中心还提供了将实时报警信息转发至邮件信箱的功能。

控制中心可以编辑，修改和分发下属网络探测器和下属分控制中心的策略定义，给下属网络探测器升级事件库。

系统特点内置了多种预定义策略，并允许用户添加修改策略；防火墙进行联合行动，阻断任何非法连接；实时显示分析结果；开放式事件特征库，任何人都可以自行定义和添加特征事件；包含一个报表分析软件，事后可对日志进行二次分析；网络流量分析，可以帮助分析网络故障；提供固化版本的网络探测器，即插即用，方便安装；系统运行环境天阗主机版探测引擎：Solaris 7 (SPARC)控制中心：Windows 2000天阗网络版探测引擎：RedHat Linux 6.1控制中心：windows 2000天镜网络漏洞扫描系统(镜：古有"明镜高悬"一说，即可以照人，又可以耀物，真实反映客观现状，拾缺补漏。

)漏洞检测和安全风险评估技术，因其可预知主体受攻击的可能性和具体的指证将要发生的行为和产生的后果，而受到网络安全业界的重视。

这一技术的应用可帮助识别检测对象的系统资源，分析这一资源被攻击的可能指数，了解支撑系统本身的脆弱性，评估所有存在的安全风险。

天镜网络漏洞扫描系统就是这一技术的实现，她包括了网络模拟攻击，漏洞检测，报告服务进程，提取对象信息，以及评测风险，提供安全建议和改进措施等功能，帮助用户控制可能发生的安全事件，最大可能的消除安全隐患。

该系统具有强大的漏洞检测能力和检测效率，贴切用户需求的功能定义，灵活多样的检测方式，详尽的漏洞修补方案和友好的报表系统，以及方便的在线升级。

网络可能存在漏洞系统设置配置不当使得普通用户权限过高员由于操作不当使得系统被安装了后门程序系统本身或应用程序存在可被利用的漏洞对于网络安全来说，安全性取决于所有安全措施中最薄弱的环节，而上面我们所讨论的问题，就是网络的薄弱之处，也是最容易被黑客利用来侵入系统，给我们造成损失的环节。

总体特点可以动态地分析目标系统的安全脆弱性根据不同的对象类型，自动寻找匹配的扫描策略进行下一步的分析扫描。

远程在线升级远程下载升级模块，自动完成升级过程灵活的策略配置可按照特定的需求配置多种扫描策略和扫描参数，实现不同内容、不同级别、不同程度、不同层次的扫描。

多种形式的报表全面详细的分析报告能力，可根据用户的不同需求提供不同层次的报告，并提供安全补丁供应商的热连接，快速及时的修补漏洞。

实用的模拟攻击工具系统提供用于测试的模拟攻击工具，较好反映了黑客实际攻击的必经之路，同时对被测试系统的测试力度可控，不会为系统带来危害。

合理的结构化设计、模块的继承性，使得系统具有很大的可扩展空间应用结构镜漏洞扫描系统网络版天镜可扫描任何基于TCP/IP的网络主机，无论网络核心是采用FDDI、ATM还是千兆以太网，只要目标主机支持TCP/IP协议，就可对其进行扫描。

1、系统扫描内容：报表应用界面Web服务FTP服务守护进程电子邮件服务CGI-BIN浏览器设置RPC攻击特定的强力攻击选项拒绝服务攻击检测安全区检测NT用户策略NetBIOSNT注册表NT服务SNMP缓冲溢出检测NFS检测IP欺骗特洛伊后门程序检测共享/DCOM类NT服务类2、产品优点：全自动、大规模的扫描任务每次最大可扫描多达255台主机，扫描任务一经启动，无需人工干预；多线程扫描保证了扫描任务的高效性和稳定性；定时扫描机制保证充分利用网络空闲间隙进行网络安全状况评估；丰富的漏洞检查列表共计25大类600多种漏洞检测，并跟进最新的漏洞，将其加入到漏洞库中，大大减少用户系统中的隐患；方便灵活的用户自定义策略系统内置"强"、"中"、"弱"三种扫描策略，用户也可以根据需要自定义扫描策略并进行储存，就用户所关心的项目进行重点检测；提供修补漏洞的解决办法在报告漏洞的同时，提供相关的技术站点和修补办法，方便管理员进行管理；实用的模拟攻击工具可直观反映系统的脆弱性；人性化的扫描报表系统对于被检测主机的漏洞危险级别利用红、黄、绿分别对高、中、低风险进行标示，同时对于被选中的主机检测信息进行突出显示，方便管理员的查询管理；分级、灵活的预定义报告扫描结果可以生成三种不同类型的报告，供领导、技术主管、技术员等不同级别的人审阅；远程在线升级远程下载升级模块，自动完成升级过程；合理的结构化设计模块的继承性，使得系统具有很大的可扩展空间；详尽的安全解决方案帮助用户在了解网络安全状况的情况下得到详尽可行的的解决措施。