公司及NIMS产品介绍.ppt

网络一体化监控记录系统 NIMS北京国都兴业科技发展有限公司国都兴业公司介绍北京国都兴业科技发展有限公司国都兴业公司介绍北京国都兴业科技发展有限公司成立于1998年， 2001年根据IT市场发展的需要，特别是为适应信息安全 市场的发展需求，公司进行了业务重组，一批在国内信 息安全技术研究机构和军队长期从事网络攻防技术研究 的高技术人才加盟到公司 公司重组后成为一家专门 从事IP网络监控产品研制生产的专业公司公司技术方 向以IP网络监控技术为核心，研究、开发和整合网络监 测、系统监测、安全入侵检测、 网络信息内容监测、 关键业务流监测等技术， 采用基于WBEM的安全网管平 台，支持XML技术接口，研制一体化、多功能的IP网络 监控记录系统国都兴业公司介绍n公司技术骨干队伍组成：n原公司从事电信网络增值服务开发、网络防病毒 应用、视频监控等技术的研发及工程人员n在国家信息安全测评认证中心系统工程实验室从 事过信息安全技术与产品研发工作的人员n在总参三部（北方计算中心）从事过网络攻防技 术研究、网络入侵监控及信息监测技术研发与应 用的人员 国都兴业市场背景利用网络和信息技术手段盗取国家信息资 源、窃取国家政治、经济、军事信息情报， 攻击破坏国家信息基础设施的安全事件时有 发生。

全球网络化的开放性带来的安全性问 题变得越来越严重信息安全事关重大，它 危及国家政治、经济、军事、社会等各个方 面，已对国家安全构成威胁，因此建立我国 网络信息空间与国家政治、军事和经济命脉 的信息网络系统的安全监控基础设施迫在眉 睫市场背景国外IP监控市场现状：在美国有 80% 以上的企业网络使 用IP网络监控设备，其主要原因是为了 网络的安全，规范人员上网行为，保护 商业秘密不被泄露，优化管理网络的使 用效率，增强整个企业的生产力和竞争 力，使企业轻松面对日益激烈的挑战 市场背景国外监控市场现状：联邦入侵侦测网FIDNET美国服务管理总局、关键基础设施确保办 公室、国家安全局和联邦调查局(由其下属的 “国家基础设施防护中心”参加)等正在联合 开发称作“ 联邦入侵侦测网 ” (FIDNET) 的技术，该网技术将要为联邦政府所有的计 算机／通信系统提供安全监控服务并对入侵 定位(还具有入侵隔离和系统恢复功能)市场背景国外监控市场现状：随着诸如VoIP等基于包的数据传输技术在移 动通信网领域的广泛应用，美国联邦调查局要求 电信运营商能够设法进行技术改造，为联邦执法 部门对这类新型网络的监控提供便利,实现同一 通讯线路的多路监听及对网络流量的实时监控。

市场背景国外IP监控产品现状： 以色列ECTEL公司产品：IPMRS（IP Monitor and Recording System ） 法国GN Nettest公司产品：Fastnet 美国CA公司产品：Etrust市场背景国内IP监控市场现状： 安全监控技术的发展：1999年以后 技术研究与应用： • 网络级入侵检测十几家，通过国家测评认证机构认证的6-7家•主机级监测的很少 •应用级监测的只有个别职能管理部门使用（互联网内容监测） • 关键业务（银行、证券、电子政务、电力电信、航空、铁路等等）业务流与过程监测几乎 空白市场背景国内IP监控产品现状：•单一监测类型产品：功能单一 •低性能的网络数据流采集：漏包率高 •IDS行为监测细粒度低：误报率高 •二级系统结构：限定了监测的网络规模 •无XML插件接口：无法实现设备之间联动，不能统一管理 •监控对象缺乏可视化：不能方便快速地事件定位市场背景国内信息安全应用现状：用户为构筑一个安全系统去购买各种安全产品或 系统，诸如防火墙、防病毒、加密机、入侵检测、 漏洞扫描、身份认证等，面对这一个个的产品，经 常由于各有一个控制台，界面风格、操作方式各异 ，用户要一一掌握，对用户的技术素质要求较高， 影响应用效果。

最关键的问题是这些产品或系统互 相没有联系，不能形成一个联动体系，难以实现快 速反应机制；由于资源不能共享，重复采集监测信 息，影响了应用系统性能，网络系统效率降低，故 障点增加，可靠性下降 市场背景安全监控技术发展的几个方向：•分布式大规模互动安全监控系统 与安全部件互动接口标准和协议•安全综合监控管理平台与联动反 应机制市场背景市场对安全监控产品的需求： •高速网络数据流的监听与采集设备 •应用级的安全监控技术（信息内容、关 键业务过程） •基于拓扑结构监测的预警功能 •实现统一管理、配置、监控的安全管理 系统市场研究方向和路线公司在跟踪国内外信息监控技术特 别是安全监测与控制技术以及近二年的 技术与市场摸索和积累的基础上，确定 了研究与开发方向的定位技术研究与开发方向和路线以提高政府、军队、金融以及要害 部门的信息网络系统安全、可信、可靠 的工作为研究方向；确定以系统化、体 系化的安全监控技术及应用为研究主攻 目标；采用体系化的（网络、系统、应 用）监控和安全网管的技术方案，研制 出硬件与软件相结合的IP网络一体化监 控管理系统公司核心技术及产品网络一体化监测系统（GD NIMS）是一 套体系化、多层次的安全监测、记录与控制 系统，它将网络系统监测、安全入侵监测、 信息内容监测和应用监测技术进行有机的整 合，在一个管理控制平台上实现管理配置、 监测控制。

统一的界面风格、操作方式，使 用户在一个平台系统上能完成上述多个监测 功能，减少系统资源和管理的开销，提高了 系统的可靠性、可信性，提升业务系统的服 务质量NIMS特点一体化：是将网络系统监测、安全入侵监测 、信息内容监测技术进行了有效的整合，形 成了多层次的监测体系构件化：是将系统分解成多个功能独立的构 件，针对不同的用户需求将这些构件进行组 合配置形成一个能满足用户实际需求的安 全监测系统 统一化：是将不同类型网络事件和安全事件 （包括其它安全产品或系统）进行统一响应 、记录和审计 NIMS特点NIMS的三个关键技术：● 高性能网络数据采集解码技术● 开放式的管理控制平台技术● 一体化的监测技术NIMS关键技术之一高性能网络数据采集解码器n高性能网络数据采集解码设备适用于计 算机网络(LAN/WAN)的数据流采集解码 n研制开发的高性能网络数据采集及多协 议解析设备，包括数据采集、协议解析 、处理、存储、转发和控制等核心软件 高性能网络数据采集解码技术高性能网络数据采集解码 器二种型号： nGD Probe for LAN nGD Probe for WAN 高性能网络数据采集解码技术高性能网络数据采集解码技术高性能网络数据采集解码器（Probe）2001 年9月已通过国家计算机网络与信息安全管理 中心“国家信息关防与网络安全保障持续发展 计划”立项审批高性能网络数据采集解码器的特性:n直接嵌入需要监测的网络n不损失网络性能与效率n能够适应多种网络环境n能够采集多种协议下的数据流信息 n全线速采集数据 100M‹5%,1000M‹35%高性能网络数据采集解码技术NIMS关键技术之二开放式管理控制平台系统开放式管理控制平台系统特点之一： • 基于Web的浏览器技术的安全监控 管理平台结构容易实现复杂的、实时性强的显示控 制和交互操作。

开放式管理控制平台系统特点之二： • 基于拓扑结构的监控方式控制台上的监测拓扑图的设计采用分 层的设计方法，深度最多可达四层，而 每层可以划分多个子层提供了丰富的 图元库，能表示网络中不同类型的监测 对象（诸如：主机、网络设备、防火墙 、IDS等）开放式管理控制平台系统特点之三：平台系统采用了监测引擎/管理器/控 制台三级体系结构，突破传统探针/控 制台的二级工作模式三级结构适应多 种网络环境，既可适应集中式（小型） 网络结构，又可适应分散（大型分布） 的网络结构 NIMS关键技术之三分级的监测技术分级监测技术网络状态\入侵监测系统安全监测信息内容监测NIMS信息网络系统系统级网络级应用级管理器监测引擎配置监测系统 数据库监测 审计控制台网络网络数据采集器网络设备、主机SNMP AgentNIMS系统逻辑结构NIMS的实现方案网络数据采集解码器Probe：实时 采集网络上的数据流进行帧解析，传送 给监测引擎监测引擎的NetIDS模块进 行安全规则的匹配和行为分析；ICME 模块进行应用协议解析和内容过滤NIMS的实现方案网络数据采集解码器Probe技术指标n实时捕获网络中的数据流信息，进行帧解析 和协议解析处理。

n专用网络硬件接口适用于各种类型的网络nProbe for LAN （100M Ethernet）nProbe for WAN （64K─2M、E1\T1）n全线速采集网络中所有数据信息（流量负载 达到95%）n支持线路旁路监听连接方式不占用交换机端 口和不影响网络性能n内置SNMP和RMONNIMS的实现方案监测引擎的NetIDS模块技术指标n管理网络接口与监听网口分离，监听网口无 IP地址绑定；n支持1000多种的攻击行为识别n支持入侵行为分析n采用多种报警方式：支持日志记录，报警显 示、声音报警、发SMS；n提供网络实时阻断和与防火墙互动方式的网 络隔离功能； 监测引擎的ICME模块技术指标n支持多语言文种：中文、英文、日文和韩文 ；n能够识别多种编码格式：Base64、Quoted- Printable、 HZ-GB-2312、iso-2022-cn、 Big5、iso-2022-jp、EUC-jp、iso-2022-kr 、EUC-kr、UTF-7、UTF-8；n支持多种网络应用协议：HTTP, FTP, LOTUS, PPP, SMTP, POP3,NNTP；n能够解析多种压缩文件格式：zip、 arj、 lzh和lha；n自动识别多种文档类型：doc、xls、ppt、 html、txt、eml、jpg、bmp、tiff；NIMS的实现方案SNMP Agent： 采用SNMP网络管 理协议对网络设备/主机状态的监视、 性能分析和流量统计。

目前支持所有Cisco网络设备Trap事件 的解析 NIMS的实现方案NIMS管理器：NIMS管理器是NIMS 系统的核心控制台通过管理器实现对 监测引擎、网络采集器、SNMP Agent 的分布式管理和运行监测 NIMS的实现方案NIMS控制台的配置模块：实现系统各种运 行参数、NetIDS的安全策略、ICME的信 息内容识别规则的设置 NIMS控制台的审计模块：实现系统事件日 志审计和统计分析功能 NIMS数据库：管理存储系统的配置参数、 安全规则库以及日志记录NIMS的日志审计与统计分析界面NIMS采用的先进技术1、高性能网络数据流采集技术：采用单向双 缓冲技术提高了网络数据流采集能力，流量 负载在95%时掉包率为0（100M Ethernet）NIMS采用的先进技术2、NetIDS 入侵监测技术 支持监测对象与检测规则绑定n支持动态规则 n支持统计异常的检测引擎(SPADE: Statistical Packet Anomaly Detection Engine) n支持TCP/IP流重组 n支持XML输出的插件n实现与多家防火墙的联动，增强了网络入侵监测 响应策略和机制NetIDS网络入侵监测界面NIMS采用的先进技术3、信息内容识别技术•以准单词为基础的文本分类技术与关 键词技术相结合，提高了信息内容识别的 准确度。

•支持多语种（中、英、日、韩）信息 内容监测功能ICME的信息内容监测界面NIMS采用的先进技术4、基于监测拓扑图操作的控制台技术 •图元可视化与图元属性相关联，极 大地方便了系统的管理和配置 •开放式安全监控管理平台方便地实 现对其它安全设备或系统联动和管理监 测NIMS的管理控制平台界面 NIMS的应 用NIMS应用之一 ：网络系统状态监控网络状态监测网络设备管理SDH/ATM骨干网网管中心NIMS应用之二 ：安全入侵监控（IDS）SDH/ATMDDN /FRLAN。