| 出版日期:2004-05-31 总期号:1317 本年期号:38 |
|
 |
主机IDS:强化服务器安全的曙光
吴宁川 “我们面临一个未知的时代,不知道会发生什么。今天我们面临震荡波,可能明天还有其他的‘波’。在这个时代里,怎么样保证系统安全,这是严峻的任务。”曙光研发部总经理曾宇在近日曙光GodEye-HIDS主机入侵检测系统发布会上,表达了一个服务器厂商对服务器主机安全的忧虑。“曙光的用户有90%将购买的曙光服务器用于Web服务,因此我们选择推出自己的IDS软件。” 当然,除了对自己的用户负责外,这其中也不排除在安全市场掘金的可能。据曙光系统集成部总经理张东泉介绍,该产品目前的定价在20万元左右一套。实际上,除了在硬件产品领域发展外,曙光今年还在金融软件领域进行了投入,此次推出的入侵检测软件,不妨可看作曙光向软件领域拓展的又一信号。 为什么做主机IDS IDS分为主机IDS(Host-based IDS,HIDS)和网络IDS(Network-based IDS,NIDS)两大类。NIDS主要从网络中直接采集数据包进行检测,目前在该领域活跃着不少厂家。而HIDS则检测引擎安装在主机及服务器上,通过对操作系统日志、系统进程、注册表访问、文件访问等的监控,实现入侵检测,目前在此领域有所建树的厂家较少。 “为什么HIDS领域活跃的厂家比较少?原因是做这类软件需要对服务器技术有深入的了解,曙光恰好具有这方面的优势。”曾宇说。 据曾宇介绍,曙光GodEye-HIDS主机入侵检测系统作为主机型IDS产品,在功能设计和技术实现两方面都具有独到的优势。首先,在功能上除了主机型IDS产品所具备的文件完整性检测和日志分析以外,曙光GodEye-HIDS又实现了服务进程监测、系统资源监测和用户操作监测三大监测功能,提高了主机型IDS的检测能力。同时,曙光GodEye-HIDS采用了从操作系统内核获取信息的技术,进行系统调用截获,从系统调用的情况来进行操作的安全检测,这种技术拓展了主机型IDS的信息来源,增强了检测的实时性和准确性,是主机型IDS的技术发展趋势。概括来说,曙光GodEye-HIDS主机入侵检测系统包括了六大特色:防范内部安全风险、看守重要信息文件、监视核心服务进程、有效防止木马后门、及时发现违规操作、主动采取防护措施等。 筹划下一步 据曾宇介绍,曙光GodEye-HIDS是今年首家通过公安部计算机安全产品质量监督检验中心检测的增强型主机入侵检测产品。作为增强型HIDS产品,曙光GodEye-HIDS完全实现了公安部对增强型产品的一系列附加技术要求,包括系统的分级审计、数据加密能力、关联检测、数据挖掘设计,以及对检测信息的概率统计等等。 而这款产品还仅仅是曙光在网络安全领域的开始。“接下来,我们还计划推出基于ASIC千兆级线性防火墙、千兆网络型IDS、信息通信网络数据接入技术及其专用设备等产品。”曾宇在说此番话时,显得踌躇满志。实际上,曙光一直在考虑下一步发展的问题,这个问题同时也摆在国内诸多服务器厂商面前。而曙光作为单一服务器业务厂商,除了在服务器领域深耕细作外,如何拓展其它业务,也是曙光不得不面对的问题。 因此,此次曙光推出主机IDS产品,一方面是对自己服务器产品个性化体现,一方面也有可能借机进入信息安全市场。像曙光这样围绕自己的核心产品及技术,进入多元化的尝试,有步骤有计划的推进,不失为多元化发展的一种模式。 |
||||||||||||||||||||||||||
