2007年3月刊 总第59期
 


 

neteye.neusoft.com

  neteye.neusoft.com

  查阅过往期刊

  订 阅

  退 订

本期目录
[刊 首 语]

变的力量

[NetEye技术]

东软NetEye NTARS应用运营商网络

[NetEye规划]

承前启后寻求创新突破——东软调配安全营销研发力量

[NetEye安全]

3月安全公告汇编

[NetEye渠道]

东软渠道安全从快速扩张走向精细运做

[NetEye动态]

东软网络安全优质服务再获肯定——江西某省行特发表扬信

东软网络安全品牌及防火墙产品双获第一




  刊 首 语
 
文:路娜 

  春天恼人眠不得,万物复苏,天地无时不移,欧阳修曾曰“物无不变,变无不通,此天理之自然也”。变是自然界的规律,在人生旅途中,变同样重要。在我们的生活中,完全不知道前面是什么,和完全知道前面是什么,都是相同的不幸。我想企业发展也是如此,在市场的竞赛中,不断求变的创新思想,不断满足用户应用需求的解决方案,是支配谁能赢的砝码。我们在变中不断挑战自己,不断积累自己.正所谓“天下之势,以渐而成,天下之事,以积而固”。
  在本期的文章中,我们能感受到2007年是东软安全“变故兴细微”的一年。从产品研发到市场开拓,从中小企业到高端行业用户。NetEye开始了精耕细做的阶段。我们期待今日春来,明朝花开。

  << 返回 
 
  NetEye 技术
 
东软NetEye NTARS应用运营商网络
文:侯小东 

  概述
  随着网络规模的持续扩大和业务系统的不断拓展,运营商的网络面临越来越严重的安全威胁。近几年来蠕虫病毒的爆发日趋频繁, 大规模的分布式拒绝服务攻击事件也时有发生,垃圾邮件和P2P等异常流量日益泛滥,这些对于网络的可用性都提出了严峻的考验。
  对于运营商网络而言,其核心的部分是承载了众多业务系统的IP网络。IP网络一般下辖IP骨干网、地市城域网、各业务网络、直属单位网络,规模庞大、业务支撑系统众多。服务器、存储设备、采集机、数据库、应用软件、业务终端等构成了非常复杂的业务应用。因此整个网络的安全可靠运行成为对多用户和复杂应用提供高质量网络服务的保障基础和前提条件。

  运营商面临的难题
  对于众多的非法流量,长期以来一直没有一种很好的技术手段能够从根源上解决这些问题,因此运营商的管理员们有时不得不面临窘境,如:
   缺乏对异常流量的检测:当IP网络产生了较大数据流量时,包括IP网络内部产生较大数据流量和IP网络出口位置产生较大数据流量,这些严重影响了网络带宽和服务质量的异常流量,难以被及时检测;
   无法对异常流量进行溯源:当检测到异常流量时,不能准确溯源到产生异常流量主机的源IP地址和MAC地址,尤其不能定位到交换设备的物理端口;
   无力对异常流量进行分析:当检测到异常流量时,不能及时地对发生的异常流量进行概要分析,不能准确识别出异常流量的攻击方向;
   缺乏对异常流量的处理:对常见的异常流量,没有自动的有效处理措施,如:自动发送指令控制交换机和路由器做出一些防护措施,如速率限制或者直接关闭端口等;
   缺乏对异常流量的告警:当检测到异常流量时,不能及时通过mail或短信的形式进行告警;

  东软NetEye NTARS解决方案
  东软NetEye NTARS,即NetEye异常流量分析与响应系统,采用独创的ICA技术为运营商的网络提供了全方位、立体化的流量监控、分析与响应体系,为整个网络的安全稳定运行提供了坚实的基础。
  通过接收各种网络设备的Flow数据、SNMP信息、原始数据包、BGP路由等不同层面的网络流量数据,对系统网通信状况进行实时监控,利用特征知识库,采用流量分析、攻击检测、协议分析、行为分析、内容分析等技术,检测网络异常和网络攻击,并把相应统计分析数据汇总到数据中心,备份存储,面向管理员,提供流量趋势、网络状况、事件报告等的网络信息审计。如果发现攻击和网络异常,启动响应组件。响应组件根据相应策略,对DoS/DDoS攻击、蠕虫与病毒攻击、垃圾邮件、非法访问等进行阻断和防御。
  NetEye NTARS包括管理控制中心和分析引擎,结合响应系统,构成完整的针对网络异常流量的解决方案。管理控制中心可以集中管理和控制在全网中多个节点分布式部署的NetEye分析引擎,不需要单独安装管理控制客户端,便可以在网络中的任意节点上使用浏览器进行操作。

  NetEye NTARS实际应用
  根据对某运营商的IP网络系统了解与分析东软部署了NTARS方案,如图所示:


  网络中核心层采用两台防火墙部署在网络出口位置,汇聚层通过核心交换机接入到防火墙。其中NetEye NTARS的监控对象为IP网络的边界路由器、核心层交换机和汇聚层交换机设备,这样的设置不仅可以监控外部网络和IP网络之间的流量,同时也可以监控IP网络内部的网络流量状况。
  通过配置边界路由设备接口的FLOW功能,对进出IP网络的流量采用标准的Flow协议进行数据采集并加以分析;通过配置两台核心交换机的FLOW功能,对IP网络的内部流量采用标准的FLOW协议进行数据采集并加以分析;通过将NetEye NTARS连接到两台核心交换机的SPAN接口上,使NetEye NTARS系统对IP网络的全部流量进行原始数据包分析;通过配置所有网络设备的SNMP功能,对所有网络设备的物理接口进行管理和监控。上述配置的完美搭配,帮助用户实现:
  NetEye NTARS通过对边界路由设备和核心交换设备采用标准的FLOW协议完成数据采集,通过对网络流量中异常行为的鉴别,实时检测因大量数据包的泛滥式攻击造成的网络流量异常,包括网络中的DoS/DDoS攻击、蠕虫病毒、大量的垃圾邮件等异常流量。
  NetEye NTARS通过采用标准的SNMP协议完成核心交换设备信息的收集,关联异常流量行为特征的分析结果,迅速将异常流量源头准确定位到核心交换设备的物理端口级别上,管理员可通过采用限制端口速率、设置ACL或者直接关闭端口等措施实施防护响应。
  NetEye NTARS自动发送指令启动核心交换机指定端口的SPAN功能,完整采集原始数据源,采用数据流智能重组、特征检测、协议分析相结合的检测方法,根据强大的攻击特征库准确检测IP网络内部的攻击行为,并提供攻击报告和解决方案。针对特殊的应用协议,进行内容检测、协议解码分析,可检测隐藏在正常应用协议中的非法网络流量,如:P2P流量等。
  NetEye NTARS对于检测到的攻击入侵、蠕虫病毒、DoS/DDoS攻击、垃圾邮件以及其他网络异常事件,将通过声音、Syslog、Email、SNMP Trap等方式进行报警,并可进行深度防御和响应,如调整ACL、配置黑洞路由,与防火墙、防垃圾邮件系统等安全设备互动。

  总结
  目前众多的监控审计系统采用了根据已知的攻击特征行为来确定安全问题的方法,虽然这些系统对于已知攻击行为的检测率较高,但是也暴露了这类安全产品的弱点:无法对未知攻击方式或者异常访问行为进行识别和检测。
  而NetEye NTARS基于FLOW技术的网络异常流量检测和分析机制,完美地填补了这块空白。尤其综合采用FLOW、SNMP、SPAN技术的网络异常流量检测和分析机制,在面对已知的攻击入侵、变异的蠕虫病毒、新型的DoS/DDoS攻击时,都表现得游刃有余。
  东软NetEye NTARS正是这类产品的典型代表。

  << 返回 
 
  NetEye 规划
 
承前启后寻求创新突破——东软调配安全营销研发力量
文:崔光耀 

  3月16日,从东软网络安全2007年策略沟通会上获悉,今年东软网络安全将持续加强安全解决方案及安全产品的推广力度,实现安全业务的加速发展。
  东软网络安全的十年,特别是近五、六年的稳健发展,表现出两个显著的特点:建立在公司强大的实力支撑之下,建立在高层坚定的认识统一之中。据CCID最新发布的 《2006年第四季度中国网络安全产品市场分析报告》显示,东软NetEye以6.2%的市场占有率,继续排名在品牌榜首;东软NetEye防火墙以11.7%的市场占有率排名第一;另外,东软入侵检测系统以5.2%的市场占有率处于领先位置。至目前为止,东软已连续五年在网络安全产品和解决方案市场中名列前茅。
  在这样的情况下,东软网络安全面临的新的任务,就是如何在原有的基础上寻求更大的突破。这也是国内安全产业面临的时代课题。基于这样的战略考虑,东软近期积极调整营销和研发力量,并确定2007年的发展策略。

  市场营销强化渠道与融合  
  新履任的东软网络安全产品营销中心总经理贾彦生在市场策划、渠道建设、产品销售方面有着丰富经验。他表示,东软将总结营销团队做项目中存在的经验与教训,根据市场变化,理清营销思路,制定营销战术,从而进一步完善东软网络安全的营销构架和销售平台。同时加大与金融、电信、电力、政府、企业等行业用户业务的融合。
  贾彦生透露,2007年东软安全依然秉承务实的渠道发展策略,围绕着质量和密度两个纬度来展开。首先在现有的基础上进一步加大渠道的覆盖面。突出的变化是东软将与省级经销商一同进入三、四级市场,重点区域将集中在华东、华南和华北。其次,东软将对现有的合作伙伴进行筛选,对代理商的销售额进一步做出要求。另外随着渠道发展工作的不断扩大和推进,东软将进一步丰富分销产品线的产品,适合渠道销售的特定产品型号也将越来越多。
  东软渠道发展的根基在国内市场,在发展初期阶段的目标也是锁定在华北、华南、华东三大经济圈。但同时也在积极部署国际渠道发展计划,尝试与国际品牌进行技术方面的深度合作,在国际市场中积极寻求渠道代
理合作伙伴。2006年东软安全产品已经开始在亚太市场有了实际的销售项目, 未来东软安全将会不拘泥于传统合作方式,大胆启动一些新的商业模式,力求快速熟悉国际市场,并进一步扩大市场份额。2007年东软网络安全在继续深化与国际客户合作的同时,会不断完善产品线,不断适应高端客户对产品更高性能、更高性价比、更稳定、更高可用性的要求及加强对全局网络安全的把握能力。
  在构筑国内品牌的同时,将东软NetEye打造成国际化的品牌是东软未来重要的工作之一。通过跟国外一些大厂商的合作,以服务的形式向一些大型客户推进,这方面的国际化可能会越来越多。东软已与诺基亚等国际厂商在安全领域进行了良好的合作,产品已经开始扩展到东南亚市场。随着合作的深入,这种国际化合作的影响面也越来越大。

  产品研发持续创新
  东软网络安全产品技术方面的积累是构建东软品牌的重要方面。东软安全事业部总经理曹斌博士及其所带领的安全研发团队有着十年的技术和行业经验积累,这是一支规范、专业、高速发展并为用户提供持续服务的信息安全专家队伍。未来,曹斌将更加专注NetEye系列网络安全产品的策划、研发、生产及服务,这必将使东软的安全产品更新速度更快,质量更好,更具竞争力。
  曹斌博士在接受采访时谈到,东软决策层一向重视网络安全行业线的发展,作为公司的核心业务之一,每年都会投入大量的研发资金。在这一点上,公司继续发展网络安全业务的想法和策略没有变化,而且可以说是更加坚定地向前走。今后,东软网络安全事业部还将适时推出适应市场需要的新产品。
  除了在技术上的领先,东软安全还一直在大力建设服务体系。2006年,东软创造性地提出了安全的“大服务观”。其核心含义是面向软件、面向系统的安全支撑体系的建设和运维平台的服务。东软作为中国领先的解决方案提供商,在电信领域、金融领域、政府领域、电力等行业领域积累了大量经验,随着信息化程度的加深,这样一个潜在的、更大的安全服务市场将呈现在东软面前。
  人们看到,通过调整,东软网络安全的产品研发和市场营销能力将得到加强,力量调配变得更加清晰。它所传递的积极信号是,东软对网络安全投入的决心在加大。在策略沟通会上,两位老总回答记者提问时,均对东软网络安全下一步的发展充满信心,并分别就各自工作的重点进行了阐述。
  迹象表明,东软网络安全业务正在谋求一个跨越式的发展历程,在这一过程中,东软网络安全事业部和产品营销中心双剑并举,互为倚仗,去演义新的精彩,对此业界翘首以待。

  << 返回 
 
  NetEye 安全
 
3月安全公告汇编

发布日期: 2007年3月 东软NetEye攻防小组
摘要
  2007年3月13日,微软发布07年3月份安全公告,此次安全公告没有任何安全更新。
  不过3月28日,为了修复一个最新的IE 0Day漏洞,微软更新了去年7月发布的MS06-042公告。
  3月29日,微软发布一个安全通报,该通报描述了一个尚未修复的关于微软鼠标指针文件.ani的0Day漏洞。
  同时攻防小组对其他的一些高危漏洞公告进行了汇编。建议用户检查自己的系统是否受这些漏洞的影响,并安装补丁予以解决。

紧急 (11)

公告标识符 Microsoft 安全通报(935423)
公告标题

微软鼠标指针.ani文件漏洞(935423)

摘要

3月29日,微软发布此安全通报,通报了最新的关于微软鼠标指针文件.ani的一个安全隐患。

目前,该漏洞的利用代码已经在互联网上传播,由于是0Day漏洞,微软暂未发布此漏洞的补丁,因此危害很大。

当用户访问了嵌入此恶意代码的网页时,恶意代码会自动下载到IE缓存目录并且执行。

http://www.microsoft.com/technet/security/advisory/935423.mspx

严重等级 紧急
漏洞的影响 远程执行代码。
受影响的软件

Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 2
Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 for Itanium-based Systems
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows Vista

公告标识符 Microsoft 安全公告 MS06-042(更新
公告标题

Internet Explorer 的累积性安全更新 (918899)

摘要

微软07年3月28日更新了此漏洞公告用于修复最新的一个0Day漏洞

该累计安全更新修复如下漏洞:

Microsoft IE压缩内容URL堆溢出漏洞
Microsoft IE 6 urlmon.dll长URL缓冲区溢出漏洞
Microsoft IE多个CSS导入内存破坏漏洞
Microsoft IE COM对象实例化内存破坏漏洞
Microsoft IE源元素跨域访问漏洞
Microsoft IE窗口位置跨域信息泄露漏洞
Microsoft IE FTP URI处理任意FTP命令执行漏洞
Microsoft IE Frameset内存破坏漏洞
Microsoft IE HTML布局和定位内存破坏漏洞
Microsoft Internet Explorer OuterHTML重新定向信息泄漏漏洞

严重等级 紧急
漏洞的影响 远程执行代码。
受影响的软件

Internet Explorer 6.0 SP1
Internet Explorer 6.0

   …详细内容请访问NetEye网站:2007年3月安全公告汇编

  << 返回 
 
  NetEye 渠道
 
东软渠道安全从快速扩张走向精细运做
文:张戈 

  如果说2005年是东软网络安全分销渠道元年,那2006年就是东软渠道快速扩张之年,2007年将是东软加大渠道密度和质量的一年。

  快速扩张
  “东软是一家务实的公司,很少炒做概念。从不将一些‘不成熟’的产品放到分销渠道中销售。”——这一点始终贯彻在东软网络安全营销中心的渠道策略中。
  从2005年开始,东软建立了安全产品分销体系。按照其规划,高端产品由东软直接面向客户销售,面向中小企业市场的中低端产品则由渠道负责销售。2006年,在东软分销渠道中主要销售的是NetEye4016防火墙,这是一款采用NP架构的100M防火墙。东软网络安全营销中心市场总监路娜在谈到这款产品时表示,NetEye4016是东软最核心的百兆产品,也是通过直销证明销售情况最好的产品。
  在另一方面,2006年,东软快速扩张渠道体系,合作伙伴数量近1000家,与6家合作伙伴签署了省级分销协议。在发展省级商时东软首先考虑那些曾经合作过的渠道商。同时,东软还引入了4S服务品牌加盟店概念,4S店可以得到及时的信息反馈(survey)、个性的方案支持(solution),可以进行全线的产品销售(sale)和必需向客户提供规范的售后服务(service)。
  相比于渠道策略和产品策略,2006年,东软在市场上还表现出两个特点:一是稳定、二是行业整合。在国内安全企业出现较大动荡的时候,东软一直坚持稳定、务实的发展策略,新推出的产品都已被市场认可赢得重要用户定单。路娜表示,近两年,东软的管理层和组织结构一直保持相对稳定,渠道体系建设也没有急功近利、拔苗助长而是本着负责任的态度与渠道共同发展,打基础。
  同时,2006年,东软网络安全营销中心加大了与东软电力、电信、金融、教育等事业部的合作。东软各行业事业部与安全营销中心进行产品整合,以整体解决方案的形式向客户销售。

  紧抓渠道密度和质量
  2007年,东软的渠道工作将围绕质量和密度两个纬度展开。首先,东软将在现有的基础上进一步加大分销渠道覆盖面。突出的变化是,东软与省级分销商一起,进驻三、四级市场。重点区域将集中在华南、华东、华北展开。其次,东软将对现有的近1000家合作伙伴进行筛选,对代理商的销售额作出进一步的要求。
  同时,东软在产品策略方面也进行调整。以NetEye4016防火墙为中心,东软将向上和向下各提供一款产品供分销渠道销售。路娜表示,2006年,在分销渠道销售的只有NetEye4016防火墙一款产品,产品种类略显单一。2007年,东软将丰富分销产品线。其中一款是通过直销和行业渠道证明相对较成熟的产品,另一款产品则是专门为分销渠道定制。同时,东软将不再对两款产品进行直销。

  << 返回 
 
  NetEye 动态
 


东软网络安全优质服务再获肯定——江西某省行特发表扬信
  2007年3月23日,东软安全接到了来自中国某银行江西省分行信息技术部的感谢信,这是继06年11月公安部大力表彰东软网络安全的服务质量之后,行业高端用户对东软安全的优质服务、团队成员的丰富经验及高水平专业技能的再次肯定!…详细内容请访问NetEye网站:东软网络安全优质服务再获肯定——江西某省行特发表扬信

东软网络安全品牌及防火墙产品双获第一
   近日,赛迪顾问最新发布的《2006年第四季度中国网络安全产品市场分析报告》显示,东软NetEye以其稳定的性能配置和卓越的安全解决方案技压群雄,再度获得中国网络安全市场及防火墙双项排名第一。…详细内容请访问NetEye网站:东软网络安全品牌及防火墙产品双获第一

  << 返回 
 

十分感谢您阅读NetEye安全月刊,我们真诚的希望大家通过这个平台交流NetEye使用经验,提出您的宝贵意见,东软资深安全顾问将竭诚为您提供全面服务。欢迎您发表高论:neteye@neusoft.com

沈阳东软软件股份有限公司 网络安全事业部
客户服务热线:400-655-6789