什么是中网S3主机安全系统
“中网S3主机安全系统”是一套基于“主动防御”思想的主机安全解决方案,它可以在安全威胁发生前为装有Windows2000、WindowsXP和Windows2003的计算机提供综合、完备的保护措施。通过对中网S3主机安全系统进行合理配置,用户可以防御最新的恶意攻击而不依赖于时间滞后的“特征库”技术。通过中网S3主机安全系统的多种管理工具,用户还可以对计算机的安全状态进行全方位的监视和控制,包括对启动项的控制、对进程状态及网络状态的控制等。中网公司同时以S3主机安全系统为核心,构造了一个基于互联网的主动防御网络,用户可以通过该网络共享信息安全经验,对安全规则进行交互且在第一时间对全网安全事件进行响应。通过使用“中网S3主机安全系统”,您可以: [list][*]使计算机免受病毒、木马等恶意软件的攻击[*]使计算机免受流氓软件的攻击,防止流氓软件修改注册表、系统文件等关键资源,防止流氓软件加载驱动[*]使计算机免受由于系统漏洞所造成的各种安全事件,特别是零日漏洞(0-day)[*]避免由各种恶意软件造成的信息泄漏[*]避免广告软件等具有潜在安全威胁的程序在计算机上执行[*]对计算机安全状态进行全方位监视和检查,对可疑启动项、可疑进程和可疑网络连接进行清理[*]对IE等具有潜在安全威胁的程序进行特别增强保护[*]使计算机在网络中“隐身”,进而免受端口扫描、DDOS攻击、ARP欺骗等网络威胁[*]通过网络进行经验共享,将专家和高级用户的安全经验为我所用[/list]
中网S3主机安全系统首先可以对应用程序的运行、网络行为、文件访问、注册表访问、加载驱动等9项可能关系到系统安全的行为进行控制,并提供了一个基于状态检测的双向包过滤防火墙,结合系统管理工具,可以对操作系统达到类似于强制访问控制的安全强度,并且非常容易使用,我们称之为“基于行为的访问控制(BBAC)”。
“中网S3主机安全系统”是如何工作的“中网S3主机安全系统”的系统架构中网S3主机安全系统具有完备的安全框架,其所提供的控制手段和工具贯穿操作系统的各个层面,如下图所示:
[align=center][attach]100188[/attach]
[b]图1: 中网S3主机安全系统的安全框架[/b]
[/align][list][*]在设备层提供了基于状态检测的IP包过滤工具,可以有效防止数据旁路跳过检查,而内置的抗DOS/DDOS攻击算法则保证了系统免受拒绝服务攻击的干扰;[*]在内核层实现了对进程特征的检查,特征检查不仅仅包括文件名和路径,还包括文件签名信息和关键标志。同时系统可以截获进程对各种系统资源,如网络、文件、注册表的访问,并作出放行、询问、禁止等细颗粒度的动作。对进程行为进行监控,对可疑系统调用及时阻止或询问,防止进程注入,对合法进程提供保护;[*]在应用层提供了丰富的系统监视工具,包括对插件、驱动程序、自动运行程序等信息的监视,采用了端机自主配置和网络集中配置的策略配置工具,方便了单机用户和企业用户的使用,在端机自主配置上还同时支持傻瓜和专家模式,做到既简单易用又功能强大[*]系统还支持完备的自动升级和日志审计模块。[/list]
“中网S3主机安全系统”的设计架构中网S3主机安全系统同样采用了先进的设计架构,如下图所示:
[align=center][attach]100189[/attach]
[b]图2: 中网S3主机安全系统的设计架构[/b]
[/align][list][*]直接在最底层设备驱动上植入支持状态检测的网络包过滤内核,并对DOS/DDOS攻击进行免疫性处理,这种结构可以确保最基本的网络访问控制不被旁路,即使恶意程序在本机加载了非标准IP传输驱动也要经过网络包过滤检查,增强底层规则的有效性。内核可以对进出本机的所有Inbound和Outbound流量进行过滤,过滤规则由源端口、目的端口、目的地址、状态、行为等元素组成。[*]直接在文件系统驱动上挂接文件系统及注册表访问控制功能,对读写关键文件和注册表进行阻止、询问、放行等控制。[*]在TCP/IP协议栈上挂接应用网络访问控制功能,对应用程序访问网络的行为进行阻止、询问、放行等控制。[*]在文件执行时增加进程过滤功能,可以通过文件名、路径、数字签名、文件特征等综合条件判断文件属性,并对其执行及加载驱动进行允许、询问、拒绝等控制。[*]上述四个访问控制模块通过统一的配置规则进行设置并提供完备的日志。[*]同时提供本机管理和集中管理两种方式,个人和企业可以选择合适的部署方式。[*]提供丰富的系统监视工具,包括对插件、驱动程序、自动运行程序等信息的监视,是用户对整个操作系统的运行拥有完整知情权。[/list]
这种立体化的设计结构贯穿了操作系统的内核层和用户层,以进程为目标并将其行为分解成执行、读写关键路径及文件、读写注册表、加载驱动、使用网络、访问进程、注册钩子等几种行为元素。通过对这几种行为元素进行阻止、放行、询问等控制,结合系统系统提供的其他工具,做到了系统级的积极防护。
这种积极防护结构弥补了防病毒和防垃圾邮件产品的不足,做到系统即使被感染运行依然不受影响,个人信息也不会泄漏;对外部发起的蠕虫和DOS攻击也可以做到主动过滤。
“中网S3主机安全系统”如何快速配置中网S3主机安全系统提供了“安全模式”功能,您可以简单通过托拽安全模式页面中的“网络控制工作模式”和“应用控制工作模式”指针来完成系统工作模式的转换,如下图所示:
[align=center][attach]100190[/attach]
[b]图3: 使用“安全模式”进行快速配置[/b]
[/align][b]网络控制模式[/b]支持以下四种选项: [list][*][b]断开模式[/b],在该模式下,所有网络数据包都会被阻止,您的计算机不会受到任何网络威胁,同时也不具备联网功能。在您的计算机不需要联网时可以使用此功能代替切断网线。[*][b]高安全模式[/b],在该模式下,除了您明确放行的数据包以外,所有其他包都会被阻止,这是一种比较严厉的检查模式。[*][b]高可用模式[/b],在该模式下,对于进方向的数据,仅有您明确放行的才允许通过,其他数据都被阻止;对于出方向的数据,除非您明确阻止的会被过滤,其他均会被放行,这是一种适合大多数用户的模式。[*][b]放行模式[/b],在该模式下,不对进出方向的数据包做任何检查。[/list]对于一般用户,推荐使用“高可用模式”。
[b]应用控制模式[/b]支持以下三种选项: [list][*][b]高安全模式[/b],在该模式下,除非您允许的动作会被放行,否则都将阻止,这是一种比较严厉的检查模式,为保证系统正常工作,S3会自动放过一些系统核心进程。[*][b]高可用模式[/b],在该模式下,您可以通过相对简单的方式完成应用程序的配置,对于未知行为S3还会想您进行询问,让您以在尽可能易用的情况下保证系统安全。[*][b]放行模式[/b],在该模式下,不对应用程序的任何行为进行检查。[/list]对于一般用户,推荐使用“高可用模式”。
在网络控制规则配置上,中网S3主机安全系统已经预制了部分常用网络规则,您只需要选中每条规则前的“生效”复选框即可使用,如下图所示:
[align=center][attach]112368[/attach]
[b]图4: 对常用网络规则进行快速配置[/b]
[/align]在应用控制规则配置上,S3为您建立了应用程序<->行为规则对照表,您可以简单通过双击表中某个元素以配置该行为的检查状态,如下图所示:
[align=center][attach]112369[/attach][/align][align=center][b][attach]112370[/attach]
图5: 对应用控制规则进行快速配置[/b]
[/align][align=left]
--====当前最新版本====--[/align]
[align=left]
S3 3.5 RC1内测版
经过不懈的努力,S3 3.5的内测版终于发出了,虽然经过了近一周的跳票,我们还是努力将我们在这一个月时间内能做到的最好的工作呈现给大家,感谢大家对S3的关心、支持和等待。
在一个月前,我们专门对HIPS的市场进行了调研,根据反馈的意见,我们认为目前HIPS类软件难于推广的主要原因在于使用过于复杂,对用户的要求过高,弹框提示信息不足及对弹框的响应过于随意。因此,我们用了一个月的时间在弹框数量、提示信息、用户操作感受上进行了改进,增加了程序风险评估模块,可以对程序的数字签名特征、行为特征和统计特征进行评估,将评估结果提示给用户并通过设置询问对话框按钮焦点的方式引导用户进行正确选择。同时引入了新的应用程序工作模式,根据实际使用情况,在高可用模式下仅对应用程序的主要问题进行控制,减少了80%以上的询问框,并对高级用户可以配置细颗粒度的规则,切换到询问模式对详细的行为进行控制。
在对程序行为的拦截上,我们也从新设计了拦截框架,有些系统API在目前来讲是无害的并不代表今后也是无害的,新的框架可以在需要地时候更容易地拦截新的API。此外,我们再次坚持了不使用SSDT的HOOK技术,对于任何希望通过恢复SSDT表跳过S3检查的攻击均天生免疫,S3的功能即使在使用像RKUNHOOK这样的软件恢复SSDT表后也依然完全有效。
如此,我们呈现出了我们的新作,S3 3.5 RC1版,可能是有史以来最易用、最人性化的HIPS,它可以同时满足一般用户和高级用户的需要,对于迫切需要解决恶意软件、网络攻击等问题的用户来说,
[color=blue][b]真正的HIPS软件从未离他们如此之近,主动防御技术也从未如此易于使用。
[/b][/color]
------------------------------
S3 3.5 RC1 内测版更新:
1、增加了风险评估
风险评估系统可以辅助用户对程序行为作出决策,对大多数可信程序,如记事本等直接放行,对大多数常用程序和常见恶意软件可以进行分析并提示,常用程序的询问对话框中会自动将焦点放到允许,恶意软件的询问对话框中会自动将焦点放到阻止。
2、修改询问对话框,询问对话框中增加了进程分析提示信息,优化了操作过程,可以通过按钮焦点辅助用户进行正确选择,可以记录用户习惯减少询问对话框的操作步骤。
3、调整了应用控制工作模式,调整了高可用模式并增加了询问用户模式
高安全模式:
高安全模式优先考虑系统的安全性。
除非该应用程序位于信任列表或者您明确在规则中指定要“允许”的行为,否则其他行为都将被终止。
询问模式:
询问模式是一种高级的用户交互模式。
该模式是一种细颗粒度的访问控制。系统缺省对应用程序的所有控制进行询问,支持通配规则配置,也支持精细规则配置。
高可用模式:
高可用模式是一种简易的用户交互模式。
该模式是一种粗颗粒度的访问控制。系统缺省仅对应用程序的运行控制进行询问,对其他行为控制按规则处理,否则放行。
放行模式:
放行模式是一种故障排除工作模式。
放行模式下应用程序的所有行为都将被允许。
4、增加了信任/不信任列表
5、应用控制规则按照新的树型配置界面配置
6、增加了“对象保护规则”项,在对象保护规则中配置全局RD/FD规则
7、在允许、阻止外增加了询问操作,可以强制对应用程序行为进行弹框询问
8、撤销了防病毒模块
9、工作模式选择为放行模式后下次启动时不会自动调整到高可用模式
10、优化了组配置,配置方法更加简洁
11、在应用控制规则中增加了查找功能,方便在繁多的规则中快速定位
12、在规则界面的右键菜单上增加了“查看规则配置文件”项,用来查看当前内核配置文件脚本,方便调试
13、在规则界面上增加了“当前加载规则”项,方便用户了解当前系统实际加载的规则
14、日志中可以直接增加规则,不会冲突
15、系统安装后自动增加了RD/FD、IE的预制规则,默认状态下不生效,用户可以根据自己需要复选“有效”复选框使其生效
16、调整IE保护功能,对IE下载的所有PE格式文件(可执行文件)进行判断,防止IE溢出,启用IE保护后无需对IE的文件操作行为再作配置
17、修改发现的BUG
[color=red]
×××××注意×××××
在安装本版本(3.5 RC1)前,需要将旧版本程序卸载后再安装!![/color]
[/align][align=left]
论坛地址:[url=http://bbs.netchina.com.cn/]http://bbs.netchina.com.cn[/url]
下载地址:[url=http://liveupdate.netchina.com.cn/s3v3_5/ncs3_3.5_setup.exe]http://liveupdate.netchina.com.cn/s3v3_5/ncs3_3.5_setup.exe[/url]
[/align][align=left]
欢迎下载使用!
[/align]
[[i] 本帖最后由 中网S3 于 2007-8-11 22:43 编辑 [/i]] 以前没听说过,学习一下[:19:]
回复 #2 kpantivirus 的帖子
欢迎使用~ 进来了解一下! 看起来不错! 有机会适用看看 资源占用大不?[:11:]回复 #7 wu19934718 的帖子
很小,不开界面6M以内 认真看完介绍觉得的确是一款优秀而不俗的HIPS多方面FW[:28:] 是不是终身免费的,是的话可以考虑!我现在在用EQSysSecure [:14:]