鈺松國際 RealSecure 7.0

鈺松國際推出的RealSecure 是一套入侵偵測即時回應系統，它採分散式的主從架構，能在不影響網路流量的情況分析封包內容，並在偵測到入侵或違規存取時，立即回應與處置。

企業網路的基本架構一般是由伺服器、路由器、資料庫以及用戶端所組成，輔以防火牆做為安全機制，內部則可能是多個網域所建構而成，因此管理上較為複雜，需要妥善監控。

為避免有心人士未經授權存取資料，或以惡意程式、掃描通信埠、木馬程式及阻斷服務的方式破壞企業網路，RealSecure 7.0以分散式架構來管理網域的活動，提供防火牆所無法達到的監控機制，降低資訊安全的風險。

RealSecure 7.0採英文操作介面，支援Windows NT/2000或Unix作業系統，安裝程式包括Key Management Utility、MSDE 2000、OS Sensor、Network Sensor、Server Sensor以及Workgroup Manager。

管理系統主要包括Sensor與Manager兩個部分，分別負責偵測分析以及管理平臺。一個RealSecure的Console大約可同時管理50個Sensor，企業可依據網路規模的大小來部署RealSecure建立管理能力。

Sensor主要分為作業系統端（OS Sensor）以及網路端（Network Sensor）兩種來相互搭配，而雙方並不能安裝在同一臺主機上。OS Sensor可記錄多位使用者的活動行程並加以評估，預防系統檔遭到竄改。至於Network Sensor則會分析封包資料，提供伺服器即時反網路入侵的能力。

RealSecure 7.0整合鈺松國際旗下的 BlackICE Sentry、Network Sensor 6.5以及Network Sensor中所有攻擊特徵模式，目前大約有1200種。系統會自動分析網路上傳輸的封包以及重要主機的系統記錄，並從入侵資料庫中分辨入侵的模式。

除此之外，RealSecure 7.0提供12類網路違規存取規則以及6種伺服器的違規存取模式，系統會監看及錄製使用者的Telnet、未加密的網頁內容、電子郵件的標題與內容。

管理系統的安全機制上，Sensor與控制平臺是採TCP/IP相互通訊及認證，因此原本Network Sensor支援的RSA 1024位元加密金鑰，現在7.0版增加到支援RSA 1536位元的加密金鑰，使得安全性更高，而當有封包遺漏時，Network Sensor會自動發出通知警告管理者。

RealSecure 7.0可監視TCP/IP通訊協定，並攔截可疑的網頁、電子郵件、檔案傳輸以及網路交談等服務，管理員可偵測出通訊埠的來源/目的，以及分析IP位址來源/位置，同時還可提供TCP/IP監視器功能，可偽裝通訊埠的位置，增加預警時間。

無論是Network Sensor或OS Sensor所傳送的資料，控制平臺都會採集中管理的方式整合，並提供報表以及顯示警告訊息，而管理者可自訂偵測事件、回應及報表格式，並修改每一個Sensor的設定。

RealSecure Console也提供模組支援多種網路或系統管理環境，包括Ethernet、Fast Ethernet、Token Ring與FDDI，同時還可與HP Openview網路管理系統相互整合。

基本上，硬體防火牆與RealSecure的工作原理大致相同，只是防火牆採取的是較為被動的防護，主要是依設定的管理規則來阻斷通訊服務。RealSecure可以輔助防火牆，在不影響流量下監視網路的活動，幫助管理者做好資料分析。文⊙蔡明甫