組合國際 eTrust Intrusion Detection

組合國際（CA）eTrust Threat Management包含 Antivirus、Content Inspection、 Policy Compliance及Intrusion Detection等四項主要產品，其中eTrust Intrusion Detection是CA併購Session Wall後，將它納入eTrust產品線，除了保留原本Session Wall的特色與功能外，並經過CA的改良，採用最新的入侵匿蹤偵查技術，提升反制駭客的能力與效能。

eTrust Intrusion Detection（eTrust ID）是一套網路型入侵偵測系統（NIDS），採用「偵測、預警、攔截」的程序來防護企業網絡，使用隱形偵察技術將所有經過它的封包都加以紀錄，檢查出潛藏的入侵攻擊與破壞，自動採取警告、通知或防護等動作，而且不需更動系統架構就可以偵查所有通訊活動，提供即時的網路安全防護。

管理者可藉由訂定規則（rule）的方式，讓使用者可以存取網路上特別的資源，或是封鎖（block）不需要的網路服務，確保只有經過授權的使用者可以使用網路資源。即使內部網路是使用DHCP，eTrust ID也會記錄每臺電腦的IP和MAC位址。

eTrust ID可預先設定限制特定使用者、群組及網路區段使用某些網路服務，包括收發電子郵件、網頁瀏覽、FTP檔案傳輸、Telnet遠端登入、網路遊戲及指定的通訊協定（IRC、CU See Me、Point Cast等），如果有違反規則就會自動記錄並通知管理人員。
完整的攻擊模式資料館

eTrust ID與大部分的網路型入侵偵測系統相同，採用攻擊特徵比對模式，所以CA提供完整的攻擊模式資料館（Comprehensively Attack Pattern Library），系統會自動從網站定期更新資料，以偵測出最新的駭客入侵手法。

許多網路內容含有主動程式元件，如Java及ActiveX程式，可能會非法執行某些功能，例如執行某些檔案、讀出檔案或竊聽網路活動，當使用者讀取這些網頁時，就可能不經意的讓企業網路陷入危機當中。eTrust ID會偵測這些主動程式元件，並由管理者決定適當的反制行動，讓你重新掌握主控權。

一般伺服器利用帳號和密碼管制使用者存取，純數字或簡單的密碼都很容易遭到破解，所以當駭客試圖使用錯誤的密碼存取（暴力破解）或變更權限時，eTrust ID會立即記錄及反應，防止駭客利用安全漏洞竄改存取權限，並提供詳細的報表作為追蹤之用。
防制電子郵件洩密事件，主動性病毒偵測

我們大量使用電子郵件傳遞訊息，卻有不少郵件夾帶機密內容，衍生出企業洩密事件。eTrust ID有別於其他入侵偵測系統，管理者可以透過文字模式掃描（Word Pattern Scanning）設定會違反公司政策的關鍵文字，針對指定內容監控電子郵件訊息，如機密、設計或產品等關鍵字，避免敏感資訊沒有經過授權就直接透過電子郵件傳送。

系統預設記錄所有收到及發出的電子郵件內容和附加檔，讓管理者能夠查看訊息與附加檔的實際內容，也可以自訂規則，過濾來自或發出到競爭廠商的郵件訊息，包括含有高度機密資料的訊息。另外，管理者也可用過濾器來搜尋內部使用者透過外部伺服器收到的訊息，及傳送到外部伺服器的訊息。

eTrust ID會為每一個記錄檔編碼及建立數位簽名，保護記錄檔不會遭到非法窺視及竄改，確保檔案的完整性，更可以做為法院審理的證據。授權的管理者可根據時間、通訊協定或用戶，選擇性的刪除不需要的記錄檔內容。

病毒是另一個網路弊病，新的病毒持續翻新、防不勝防，也造成企業巨大的損失，eTrust ID內建病毒防治引擎（Advanced Anti-Virus Engine），可以檢所有收發的郵件內容是否藏有病毒或木馬程式，一旦偵測到就立即送出警告，警告訊息包括此病毒或木馬程式的詳細說明及因應對策，保護使用者不受病毒感染。更新的病毒碼可以從CA網站下載，只是系統無法進行病毒清除工作，仍需搭配防毒系統。
限制線上遊戲和不良網站
先預警，再處置

使用串流媒體及網路電話等通信協定會佔用大量的網路頻寬，過度使用會導致網路速度變慢。網路遊戲也會佔用不少網路頻寬，並且降低生產力，eTrust ID內建可以封鎖Doom及Quake二種網路遊戲。

不少企業員工習慣上網下單看盤或觀看色情網站，漫遊不具生產力的Web網站，eTrust ID支援RSACi所過濾的不良網站名單，也可以利用Smart Filter網址自動過濾，或由管理者也可以指定那些URL是使用者不能去導覽。依據eTrust ID所收集的資料，我們可以產生各種網路連線報告，輕易指出誰使用這些通訊協定，到過那些網站，企業可以依此給序使用者警告，或禁止相關的活動，並依此做為考核標準。

DoS攻擊、WinNuke及SYN攻擊都是想盡辦法要破壞網路運作，當eTrust ID偵測到這些不正常的網路作業活動時，可以直接在系統主機發出警告聲及畫面警示，或者自動發出電子郵件、傳真或傳呼等預警訊息通知指定人員。發出預警之後，除了會在NT Server事件記錄檔（Event log）或指定檔案加以記錄，也能夠發出SNMP網管訊息給指定設備或自動執行預設的狀況處理軟體，合併執行多種處理方案。eTrust ID支援Firewall-1的OPSEC標準，讓管理者能在Firewall-1防火牆軟體定義規則，當發生資安事件時，就會在防火牆執行某些動作，包括從關閉一個動態連線程序到永遠阻絕主機或工作站。

eTrust ID可即時或定時產生違反安全限制的統計報告，並指定使用者、主機、時間、網路狀況或安全事件，統計各種通訊協定（Web、e-mail、FTP……）的使用量和排行榜。網路使用紀錄（Network Usage Logging）方便網管人員追蹤每個使用者、應用程式及網路使用狀況，協助改善網路政策。企業也可以選購Crystal Report客製化所需報表，如HTML、Word、Excel、TXT等，共有約90種的報表格式。

集中式監視，保護整個企業網路

在不同的網段上，企業可安裝由中央工作站控制的eTrust ID代理程式，讓網管人員監視和控制多部本地或遠端執行的eTrust ID 工作站，檢視系統所產生的警示，並將資料合併成更有用的統計報表。

eTrust ID包括集中式的事件資料儲存庫與可分配式的內容檢視器，讓每個分散的eTrust ID工作站能夠充分發揮功能，並且自動化地運作，不須擔心網路是否可用。遠端管理者可以透過TCP/IP或數據機連線存取eTrust ID工作站，檢視系統資料、變更規則及產生報表。

為了解決企業常見的系統整合及管理問題，企業也可以將eTrust ID建置在CA的Unicenter TNG Framework上，透過單一工具整合企業內部的所有電腦資源。購買eTrust ID時包含1年Smart Filter服務，病毒碼可以永久免費更新，但攻擊模式資料館則需另外購買。

eTrust ID支援的作業環境是最常見的Windows 95/98/NT/2000，CA是從管理的角度著手，希望可以降低客戶的教育訓練時間和管理難度，並減少系統設定所花的時間。在中文化方面，CA的經銷商提供中文套件及其他加值套件的服務，在CA網站上有提供eTrust ID試用版，需要的使用者可以下載試用。文⊙陳世煌