IDC網(wǎng)絡(luò)系統(tǒng)安全實(shí)施方案

IDC網(wǎng)絡(luò)系統(tǒng)平安實(shí)施方案1吉通上海IDC網(wǎng)絡(luò)平安功能需求1.1吉通上海公司對(duì)于網(wǎng)絡(luò)平安和系統(tǒng)可靠性的總體設(shè)想〔1〕網(wǎng)絡(luò)要求有充分的平安措施，以保障網(wǎng)絡(luò)效勞的可用性和網(wǎng)絡(luò)信息的完整性。要把網(wǎng)絡(luò)平安層，信息效勞器平安層，數(shù)據(jù)庫平安層，信息傳輸平安層作為一個(gè)系統(tǒng)工程來考慮。網(wǎng)絡(luò)系統(tǒng)可靠性：為減少單點(diǎn)失效，要分析交換機(jī)和路由器應(yīng)采用負(fù)荷或流量分擔(dān)方式，對(duì)效勞器、計(jì)費(fèi)效勞器和DB效勞器，WWW效勞器，分別采用的策略。說明對(duì)效勞器硬件、操作系統(tǒng)及應(yīng)用軟件的平安運(yùn)行保障、故障自動(dòng)檢測(cè)/報(bào)警/排除的措施。對(duì)業(yè)務(wù)系統(tǒng)可靠性，要求滿足實(shí)現(xiàn)對(duì)硬件的冗余設(shè)計(jì)和對(duì)軟件可靠性的分析。網(wǎng)絡(luò)平安應(yīng)包含：數(shù)據(jù)平安；預(yù)防病毒；網(wǎng)絡(luò)平安層；操作系統(tǒng)平安；平安系統(tǒng)等；〔2〕要求賣方提出完善的系統(tǒng)平安政策及其實(shí)施方案，其中至少覆蓋以下幾個(gè)方面：對(duì)路由器、效勞器等的配置要求充分考慮平安因素制定妥善的平安管理政策，例如口令管理、用戶帳號(hào)管理等。在系統(tǒng)中安裝、設(shè)置平安工具。要求賣方詳細(xì)列出所提供的平安工具清單及說明。制定對(duì)黑客入侵的防范策略。對(duì)不同的業(yè)務(wù)設(shè)立不同的平安級(jí)別。〔3〕賣方可提出自己建議的網(wǎng)絡(luò)平安方案。1.2整體需求平安解決方案應(yīng)具有防火墻,入侵檢測(cè),平安掃描三項(xiàng)根本功能。針對(duì)IDC網(wǎng)絡(luò)管理局部和IDC效勞局部應(yīng)提出不同的平安級(jí)別解決方案。所有的IDC平安產(chǎn)品要求廠家穩(wěn)定的效勞保障和技術(shù)支持隊(duì)伍。效勞包括產(chǎn)品的定時(shí)升級(jí)，培訓(xùn)，入侵檢測(cè),平安掃描系統(tǒng)報(bào)告分析以及對(duì)平安事故的快速響應(yīng)。平安產(chǎn)品應(yīng)能與集成商方案的網(wǎng)管產(chǎn)品，路由，交換等網(wǎng)絡(luò)設(shè)備功能兼容并有效整合。所有的平安產(chǎn)品應(yīng)具有公安部的銷售許可和國家信息化辦公室的平安認(rèn)證。所有平安產(chǎn)品要求界面友好，易于安裝，配置和管理，并有詳盡的技術(shù)文檔。所有平安產(chǎn)品要求自身高度平安性和穩(wěn)定性。平安產(chǎn)品要求功能模塊配置靈活，并具有良好的可擴(kuò)展性。1.3防火墻局部的功能需求網(wǎng)絡(luò)特性：防火墻所能保護(hù)的網(wǎng)絡(luò)類型應(yīng)包括以太網(wǎng)、快速以太網(wǎng)、(千兆以太網(wǎng)、ATM、令牌環(huán)及FDDI可選)。支持的最大LAN接口數(shù)：軟、硬件防火墻應(yīng)能提供至少4個(gè)端口。效勞器平臺(tái)：軟件防火墻所運(yùn)行的操作系統(tǒng)平臺(tái)應(yīng)包括、Linux、WinNT4.0(HP-UX、IBM-AIX、Win2000可選)。加密特性：應(yīng)提供加密功能，最好為基于硬件的加密。認(rèn)證類型：應(yīng)具有一個(gè)或多個(gè)認(rèn)證方案，如RADIUS、Kerberos、TACACS/TACACS＋、口令方式、數(shù)字證書等。訪問控制：包過濾防火墻應(yīng)支持基于協(xié)議、端口、日期、源/目的IP和MAC地址過濾；過濾規(guī)那么應(yīng)易于理解，易于編輯修改；同時(shí)應(yīng)具備一致性檢測(cè)機(jī)制，防止沖突；在傳輸層、應(yīng)用層(、FTP、TELNET、SNMP、STMP、POP)提供代理支持；支持網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)。防御功能：支持病毒掃描，提供內(nèi)容過濾，能防御PingofDeath,TCPSYNFloods及其它類型DoS攻擊。平安特性：支持轉(zhuǎn)發(fā)和跟蹤ICMP協(xié)議〔ICMP代理〕；提供入侵實(shí)時(shí)警告；提供實(shí)時(shí)入侵防范；識(shí)別/記錄/防止企圖進(jìn)行IP地址欺騙。管理功能：支持本地管理、遠(yuǎn)程管理和集中管理；支持SNMP監(jiān)視和配置；負(fù)載均衡特性；支持容錯(cuò)技術(shù)，如雙機(jī)熱備份、故障恢復(fù)，雙電源備份等。記錄和報(bào)表功能：防火墻應(yīng)該提供日志信息管理和存儲(chǔ)方法；防火墻應(yīng)具有日志的自動(dòng)分析和掃描功能；防火墻應(yīng)提供告警機(jī)制，在檢測(cè)到入侵網(wǎng)絡(luò)以及設(shè)備運(yùn)轉(zhuǎn)異常情況時(shí)，通過告警來通知管理員采取必要的措施，包括E－mail、呼機(jī)、等；提供簡(jiǎn)要報(bào)表〔按照用戶ID或IP地址提供報(bào)表分類打印〕；提供實(shí)時(shí)統(tǒng)計(jì)。2惠普公司在吉通上海IDC中的網(wǎng)絡(luò)平安管理的設(shè)計(jì)思想2.1網(wǎng)絡(luò)信息平安設(shè)計(jì)宗旨惠普公司在為客戶IDC工程的信息平安提供建設(shè)和效勞的宗旨可以表述為：依據(jù)最新、最先進(jìn)的國際信息平安標(biāo)準(zhǔn)采用國際上最先進(jìn)的平安技術(shù)和平安產(chǎn)品參照國際標(biāo)準(zhǔn)ISO9000系列質(zhì)量保證體系來標(biāo)準(zhǔn)惠普公司提供的信息平安產(chǎn)品和效勞嚴(yán)格遵守中華人民共和國相關(guān)的法律和法規(guī)2.2網(wǎng)絡(luò)信息平安的目標(biāo)網(wǎng)絡(luò)平安的最終目標(biāo)是保護(hù)網(wǎng)絡(luò)上信息資源的平安，信息平安具有以下特征：保密性：確保只有經(jīng)過授權(quán)的人才能訪問信息；完整性：保護(hù)信息和信息的處理方法準(zhǔn)確而完整；可用性：確保經(jīng)過授權(quán)的用戶在需要時(shí)可以訪問信息并使用相關(guān)信息資產(chǎn)。信息平安是通過實(shí)施一整套適當(dāng)?shù)目刂拼胧?shí)現(xiàn)的?？刂拼胧┌ú呗?、實(shí)踐、步驟、組織結(jié)構(gòu)和軟件功能。必須建立起一整套的控制措施，確保滿足組織特定的平安目標(biāo)。2.3網(wǎng)絡(luò)信息平安要素惠普公司的信息平安理念突出地表現(xiàn)在三個(gè)方面--平安策略、管理和技術(shù)。平安策略--包括各種策略、法律法規(guī)、規(guī)章制度、技術(shù)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)等，是信息平安的最核心問題，是整個(gè)信息平安建設(shè)的依據(jù)；平安管理--主要是人員、組織和流程的管理，是實(shí)現(xiàn)信息平安的落實(shí)手段；平安技術(shù)--包含工具、產(chǎn)品和效勞等，是實(shí)現(xiàn)信息平安的有力保證。根據(jù)上述三個(gè)方面，惠普公司可以為客戶提供的信息平安完全解決方案不僅僅包含各種平安產(chǎn)品和技術(shù)，更重要的就是要建立一個(gè)一致的信息平安體系，也就是建立平安策略體系、平安管理體系和平安技術(shù)體系。2.4網(wǎng)絡(luò)信息平安標(biāo)準(zhǔn)與標(biāo)準(zhǔn)在平安方案設(shè)計(jì)過程和方案的實(shí)施中，惠普公司將遵循和參照最新的、最權(quán)威的、最具有代表性的信息平安標(biāo)準(zhǔn)。這些平安標(biāo)準(zhǔn)包括：ISO/IEC17799Informationtechnology–CodeofpracticeforinformationsecuritymanagementISO/IEC13335Informationtechnology–GuidelinesforTheManagementofITSecurityISO/IEC15408Informationtechnology–Securitytechniques–EvaluationcriteriaforITsecurity我國的國家標(biāo)準(zhǔn)GB、國家軍用標(biāo)準(zhǔn)GJB、公共平安行業(yè)標(biāo)準(zhǔn)GA、行業(yè)標(biāo)準(zhǔn)SJ等標(biāo)準(zhǔn)作為本工程的參考標(biāo)準(zhǔn)。2.5網(wǎng)絡(luò)信息平安周期任何網(wǎng)絡(luò)的平安過程都是一個(gè)不斷重復(fù)改良的循環(huán)過程，它主要包含風(fēng)險(xiǎn)管理、平安策略、方案設(shè)計(jì)、平安要素實(shí)施。這也是惠普公司倡導(dǎo)的網(wǎng)絡(luò)信息平安周期。風(fēng)險(xiǎn)評(píng)估管理：對(duì)企業(yè)網(wǎng)絡(luò)中的資產(chǎn)、威脅、漏洞等內(nèi)容進(jìn)行評(píng)估，獲取平安風(fēng)險(xiǎn)的客觀數(shù)據(jù)；平安策略：指導(dǎo)企業(yè)進(jìn)行平安行為的標(biāo)準(zhǔn)，明確信息平安的尺度；方案設(shè)計(jì)：參照風(fēng)險(xiǎn)評(píng)估結(jié)果，依據(jù)平安策略及網(wǎng)絡(luò)實(shí)際的業(yè)務(wù)狀況，進(jìn)行平安方案設(shè)計(jì)；平安要素實(shí)施：包括方案設(shè)計(jì)中的平安產(chǎn)品及平安效勞各項(xiàng)要素的有效執(zhí)行。平安管理與維護(hù)：按照平安策略以及平安方案進(jìn)行日常的平安管理與維護(hù)，包括變更管理、事件管理、風(fēng)險(xiǎn)管理和配置管理。平安意識(shí)培養(yǎng)：幫助企業(yè)培訓(xùn)員工樹立必要的平安觀念。3吉通上海IDC信息系統(tǒng)平安產(chǎn)品解決方案3.1層次性平安需求分析和設(shè)計(jì)網(wǎng)絡(luò)平安方案必須架構(gòu)在科學(xué)的平安體系和平安框架之上。平安框架是平安方案設(shè)計(jì)和分析的根底。為了系統(tǒng)地描述和分析平安問題，本節(jié)將從系統(tǒng)層次結(jié)構(gòu)的角度展開，分析吉通IDC各個(gè)層次可能存在的平安漏洞和平安風(fēng)險(xiǎn)，并提出解決方案。3.2層次模型描述針對(duì)吉通IDC的情況，結(jié)合《吉通上海IDC技術(shù)需求書》的要求，惠普公司把吉通上海IDC的信息系統(tǒng)平安劃分為六個(gè)層次，環(huán)境和硬件、網(wǎng)絡(luò)層、操作系統(tǒng)、數(shù)據(jù)庫層、應(yīng)用層及操作層。環(huán)境和硬件為保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施〔含網(wǎng)絡(luò)〕以及其它媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其它環(huán)境事故〔如電磁污染等〕破壞，應(yīng)采取適當(dāng)?shù)谋Ｗo(hù)措施、過程。詳細(xì)內(nèi)容請(qǐng)參照機(jī)房建設(shè)局部的建議書。網(wǎng)絡(luò)層平安.1平安的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)層是網(wǎng)絡(luò)入侵者進(jìn)攻信息系統(tǒng)的渠道和通路。許多平安問題都集中表達(dá)在網(wǎng)絡(luò)的平安方面。由于大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運(yùn)行的TPC/IP協(xié)議并非專為平安通訊而設(shè)計(jì)，所以網(wǎng)絡(luò)系統(tǒng)存在大量平安隱患和威脅。網(wǎng)絡(luò)入侵者一般采用預(yù)攻擊探測(cè)、竊聽等搜集信息，然后利用IP欺騙、重放或重演、拒絕效勞攻擊〔SYNFLOOD，PINGFLOOD等〕、分布式拒絕效勞攻擊、篡改、堆棧溢出等手段進(jìn)行攻擊。保證網(wǎng)絡(luò)平安的首要問題就是要合理劃分網(wǎng)段，利用網(wǎng)絡(luò)中間設(shè)備的平安機(jī)制控制各網(wǎng)絡(luò)間的訪問。在對(duì)吉通IDC網(wǎng)絡(luò)設(shè)計(jì)時(shí)，惠普公司已經(jīng)考慮了網(wǎng)段的劃分的平安性問題。其中網(wǎng)絡(luò)具體的拓?fù)浣Y(jié)構(gòu)好要根據(jù)吉通IDC所提供的效勞和客戶的具體要求做出最終設(shè)計(jì)。.2網(wǎng)絡(luò)掃描技術(shù)解決網(wǎng)絡(luò)層平安問題，首先要清楚網(wǎng)絡(luò)中存在哪些平安隱患、脆弱點(diǎn)。面對(duì)大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找平安漏洞、做出風(fēng)險(xiǎn)評(píng)估，顯然是不現(xiàn)實(shí)的。解決的方案是，尋找一種能尋找網(wǎng)絡(luò)平安漏洞、評(píng)估并提出修改建議的網(wǎng)絡(luò)平安掃描工具。解決方案：ISS網(wǎng)絡(luò)掃描器InternetScanner配置方法：在上海IDC中使用一臺(tái)高配置的筆記本電腦安裝InternetScanner，定期對(duì)本IDC進(jìn)行全面的網(wǎng)絡(luò)平安評(píng)估，包括所有重要的效勞器、防火墻、路由設(shè)備等。掃描的時(shí)間間隔請(qǐng)參照平安策略的要求。ISS網(wǎng)絡(luò)掃描器InternetScanner是全球網(wǎng)絡(luò)平安市場(chǎng)的頂尖產(chǎn)品。它通過對(duì)網(wǎng)絡(luò)平安弱點(diǎn)全面和自主地檢測(cè)與分析，能夠迅速找到并修復(fù)平安漏洞。網(wǎng)絡(luò)掃描儀對(duì)所有附屬在網(wǎng)絡(luò)中的設(shè)備進(jìn)行掃描，檢查它們的弱點(diǎn)，將風(fēng)險(xiǎn)分為高，中，低三個(gè)等級(jí)并且生成大范圍的有意義的報(bào)表。從以企業(yè)管理者角度來分析的報(bào)告到為消除風(fēng)險(xiǎn)而給出的詳盡的逐步指導(dǎo)方案均可以表達(dá)在報(bào)表中。該產(chǎn)品的時(shí)間策略是定時(shí)操作，掃描對(duì)象是整個(gè)網(wǎng)絡(luò)。它可在一臺(tái)單機(jī)上對(duì)的網(wǎng)絡(luò)平安漏洞進(jìn)行掃描。截止版本，InternetScanner已能對(duì)900種以上的來自通訊、效勞、防火墻、WEB應(yīng)用等的漏洞進(jìn)行掃描。它采用模擬攻擊的手段去檢測(cè)網(wǎng)絡(luò)上每一個(gè)IP隱藏的漏洞，其掃描對(duì)網(wǎng)絡(luò)不會(huì)做任何修改和造成任何危害。InternetScanner每次掃描的結(jié)果可生成詳細(xì)報(bào)告，報(bào)告對(duì)掃描到的漏洞按高、中、低三個(gè)風(fēng)險(xiǎn)級(jí)別分類，每個(gè)漏洞的危害及補(bǔ)救方法都有詳細(xì)說明。用戶可根據(jù)報(bào)告提出的建議修改網(wǎng)絡(luò)配置，填補(bǔ)漏洞?？蓹z測(cè)漏洞分類表：BruteForcePassword-Guessing為經(jīng)常改變的帳號(hào)、口令和效勞測(cè)試其平安性Daemons檢測(cè)UNIX進(jìn)程〔Windows效勞〕Network檢測(cè)SNMP和路由器及交換設(shè)備漏洞DenialofService檢測(cè)中斷操作系統(tǒng)和程序的漏洞，一些檢測(cè)將暫停相應(yīng)的效勞NFS/XWindows檢測(cè)網(wǎng)絡(luò)網(wǎng)絡(luò)文件系統(tǒng)和X-Windows的漏洞RPC檢測(cè)特定的遠(yuǎn)程過程調(diào)用SMTP/FTP檢測(cè)SMTP和FTP的漏洞WebServerScanandCGI-Bin檢測(cè)Web效勞器的文件和程序〔如IIS,CGI腳本和〕NTUsers,Groups,andPasswords檢測(cè)NT用戶，包括用戶、口令策略、解鎖策略BrowserPolicy檢測(cè)IE和Netscape瀏覽器漏洞SecurityZones檢測(cè)用于訪問互聯(lián)網(wǎng)平安區(qū)域的權(quán)限漏洞PortScans檢測(cè)標(biāo)準(zhǔn)的網(wǎng)絡(luò)端口和效勞Firewalls檢測(cè)防火墻設(shè)備，確定平安和協(xié)議漏洞Proxy/DNS檢測(cè)代理效勞或域名系統(tǒng)的漏洞IPSpoofing檢測(cè)是否計(jì)算機(jī)接收到可疑信息CriticalNTIssues包含NT操作系統(tǒng)強(qiáng)壯性平安測(cè)試和與其相關(guān)的活動(dòng)NTGroups/Networking檢測(cè)用戶組成員資格和NT網(wǎng)絡(luò)平安漏洞NetBIOSMisc檢測(cè)操作系統(tǒng)版本和補(bǔ)丁包、確認(rèn)日志存取，列舉、顯示NetBIOS提供的信息Shares/DCOM檢測(cè)NetBIOS共享和DCOM對(duì)象。使用DCOM可以測(cè)試注冊(cè)碼、權(quán)限和缺省平安級(jí)別NTRegistry包括檢測(cè)主機(jī)注冊(cè)信息的平安性，保護(hù)SNMP子網(wǎng)的密匙NTServices包括檢測(cè)NT正在運(yùn)行的效勞和與之相關(guān)平安漏洞.3防火墻技術(shù)防火墻的目的是要在內(nèi)部、外部?jī)蓚€(gè)網(wǎng)絡(luò)之間建立一個(gè)平安控制點(diǎn)，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的效勞和訪問的審計(jì)和控制。具體地說，設(shè)置防火墻的目的是隔離內(nèi)部網(wǎng)和外部網(wǎng)，保護(hù)內(nèi)部網(wǎng)絡(luò)不受攻擊，實(shí)現(xiàn)以下根本功能：禁止外部用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部機(jī)器；保證外部用戶可以且只能訪問到某些指定的公開信息；限制內(nèi)部用戶只能訪問到某些特定的Internet資源，如WWW效勞、FTP效勞、TELNET效勞等；解決方案：CheckPointFirewall-1防火墻和CiscoPIX防火墻防火墻除了部署在IDC的私有網(wǎng)〔即網(wǎng)管網(wǎng)段等由IDC負(fù)責(zé)日常維護(hù)的網(wǎng)絡(luò)局部〕以外，還可以根據(jù)不同的用戶的需求進(jìn)行防火墻的部署，我們建議對(duì)于獨(dú)享主機(jī)和共享主機(jī)都進(jìn)行防火墻的配置，而對(duì)于托管的主機(jī)可以根據(jù)用戶的實(shí)際情況提供防火墻效勞。無論是虛擬主機(jī)還是托管主機(jī)，IDC都需要為這些用戶提供不同程度的遠(yuǎn)程維護(hù)手段，因此我們也可以采用VPN的技術(shù)手段來保證遠(yuǎn)程維護(hù)的平安性，VPN同時(shí)也可以滿足IDC為某些企業(yè)提供遠(yuǎn)程移動(dòng)用戶和合作企業(yè)之間的平安訪問的需求。根據(jù)吉通上海IDC的平安要求以及平安產(chǎn)品的配置原那么，我們建議使用的產(chǎn)品包括CiscoPIX和CheckPointFirewall－1在內(nèi)的兩種防火墻，其中：CiscoPIX防火墻配置在對(duì)網(wǎng)絡(luò)訪問速度要求較高但平安要求相對(duì)較低的網(wǎng)站托管區(qū)和主機(jī)托管區(qū)；CheckPoint防火墻配置在對(duì)網(wǎng)絡(luò)速度較低但平安要求相對(duì)較高的IDC維護(hù)網(wǎng)段。這兩種防火墻分別是硬件防火墻和軟件防火墻的典型代表產(chǎn)品，并在今年4月剛剛結(jié)束的平安產(chǎn)品的年度評(píng)比中，并列最正確防火墻產(chǎn)品的首位。這里只對(duì)CheckPoint的Firewall－1進(jìn)行說明。Checkpoint公司是一家專門從事網(wǎng)絡(luò)平安產(chǎn)品開發(fā)的公司，是軟件防火墻領(lǐng)域的佼佼者，其旗艦產(chǎn)品CheckPointFirewall-1在全球軟件防火墻產(chǎn)品中位居第一〔52％〕，在亞太地區(qū)甚至高達(dá)百分之七十以上，遠(yuǎn)遠(yuǎn)領(lǐng)先同類產(chǎn)品。在中國電信、銀行等行業(yè)都有了廣泛的應(yīng)用。CheckPointFirewall-1是一個(gè)綜合的、模塊化的平安套件，它是一個(gè)基于策略的解決方案，提供集中管理、訪問控制、授權(quán)、加密、網(wǎng)絡(luò)地址傳輸、內(nèi)容顯示效勞和效勞器負(fù)載平衡等功能。主要用在保護(hù)內(nèi)部網(wǎng)絡(luò)資源、保護(hù)內(nèi)部進(jìn)程資源和內(nèi)部網(wǎng)絡(luò)訪問者驗(yàn)證等領(lǐng)域。CheckPointFirewall-1套件提供單一的、集中的分布式平安的策略，跨越Unix、NT、路由器、交換機(jī)和其他外圍設(shè)備，提供大量的API，有150多個(gè)解決方案和OEM廠商的支持。CPFirewall-1由3個(gè)交互操作的組件構(gòu)成：控制組件、加強(qiáng)組件和可選組件。這些組件即可以運(yùn)行在單機(jī)上，也可以部署在跨平臺(tái)系統(tǒng)上。其中，控制組件包括Firewall-1管理效勞器和圖形化的客戶端；加強(qiáng)組件包含F(xiàn)irewall-1檢測(cè)模塊和Firewall-1防火墻模塊；可選組件包括Firewall-1EncryptionModule〔主要用于保護(hù)VPN〕、Firewall-1ConnectControlModule(執(zhí)行效勞器負(fù)載平衡)RouterSecurityModule〔管理路由器訪問控制列表〕。CheckpointFirewall-1防火墻的操作在操作系統(tǒng)的核心層進(jìn)行，而不是在應(yīng)用程序?qū)樱@樣可以使系統(tǒng)到達(dá)最高性能的擴(kuò)展和升級(jí)。此外CheckpointFirewall-1支持基于Web的多媒體和基于UDP的應(yīng)用程序，并采用多重驗(yàn)證模板和方法，使網(wǎng)絡(luò)管理員容易驗(yàn)證客戶端、會(huì)話和用戶對(duì)網(wǎng)絡(luò)的訪問。CHECKPOINT防火墻功能要求：1)支持透明接入和透明連接，不影響原有網(wǎng)絡(luò)設(shè)計(jì)和配置：CheckPointFireWall-1是一款軟件防火墻，是安裝在現(xiàn)有的網(wǎng)關(guān)或效勞器計(jì)算機(jī)上，對(duì)接入和連接都是透明的，不會(huì)影響原有網(wǎng)絡(luò)設(shè)計(jì)和配置。2)帶有DMZ的連接方式：CheckPointFireWall-1可以支持多個(gè)網(wǎng)絡(luò)接口，所以客戶可以很容易的按照需要設(shè)置DMZ分區(qū)。3)支持本地和遠(yuǎn)程管理兩種管理方式：CheckPointFireWall-1中的EnterpriseManagementConsole模塊功能十分強(qiáng)大，支持本地和遠(yuǎn)程兩種管理方式，減輕了網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)的管理負(fù)擔(dān)。4)支持命令行和GUI方式的管理與配置：CheckPointFireWall-1中的管理控制臺(tái)支持命令行和GUI方式的管理與配置；可以在Windows95/98/NT上安裝WindowsGUI界面，在Unix操作系統(tǒng)下可以安裝MotifGUI圖形用戶界面進(jìn)行管理與配置。5)對(duì)分布式的防火墻支持集中統(tǒng)一狀態(tài)管理：CheckPointFireWall-1中的管理控制臺(tái)支持對(duì)分布式防火墻的集中統(tǒng)一狀態(tài)管理。它可以同時(shí)管理多個(gè)防火墻模塊。6)規(guī)那么測(cè)試功能，支持規(guī)那么一致性測(cè)試：CheckPointFireWall-1中的策略編輯器中有一命令，可以對(duì)已經(jīng)配置好的規(guī)那么進(jìn)行測(cè)試，可以檢測(cè)其一致性。7)透明代理功能：CheckPointFireWall-1支持代理功能，而且功能強(qiáng)大，可以支持本身自帶的預(yù)定義的超過150多種的常用協(xié)議。8)地址轉(zhuǎn)換功能，支持靜態(tài)地址轉(zhuǎn)換、動(dòng)態(tài)地址轉(zhuǎn)換以及IP地址與TCP/UDP端口的轉(zhuǎn)換：CheckPointFireWall-1支持NAT地址轉(zhuǎn)換功能，支持StaticMode(靜態(tài)轉(zhuǎn)換)和HideMode(動(dòng)態(tài)轉(zhuǎn)換)兩種方式；目前不支持IP地址與TCP/UDP端口的轉(zhuǎn)換。9)訪問控制，包括對(duì)、FTP、SMTP、TELNET、NNTP等效勞類型的訪問控制；CheckPointFireWall-1可以通過制定策略來進(jìn)行訪問控制，可以支持超過150多種的常用協(xié)議，并可以自定義各種不常用的協(xié)議。10)用戶級(jí)權(quán)限控制：CheckPointFireWall-1可以指定用戶對(duì)象，在其屬性中有各種認(rèn)證方式可供選擇，加強(qiáng)了用戶級(jí)的權(quán)限控制。11)防止IP地址欺騙功能：CheckPointFireWall-1提供了防止IP地址欺騙的功能，可以在設(shè)定防火墻網(wǎng)關(guān)的網(wǎng)卡屬性時(shí)激活該功能。12)包過濾，支持IP層以上的所有數(shù)據(jù)包的過濾：CheckPointFireWall-1中的對(duì)象以IP地址或TCP/UDP端口號(hào)來識(shí)別，所以可以對(duì)IP層以上的所有數(shù)據(jù)包進(jìn)行過濾。13)信息過濾，包括、FTP、SMTP、NNTP等協(xié)議的信息過濾：CheckPointFireWall-1可以通過OPSEC接口，與第三方廠商的軟件或硬件產(chǎn)品無縫結(jié)合起來對(duì)、FTP、SMTP等協(xié)議進(jìn)行信息過濾。14)地址綁定功能，實(shí)現(xiàn)MAC地址與固定IP地址的綁定，防止IP地址盜用：CheckPointFireWall-1目前為止不能實(shí)現(xiàn)MAC地址與固定IP地址的綁定。但是可以利用各節(jié)點(diǎn)處的路由器來進(jìn)行MAC地址與固定IP地址的綁定。15)抗攻擊性要求，包括對(duì)防火墻本身和受保護(hù)網(wǎng)段的攻擊抵抗：防火墻本身的抗攻擊能力與其所運(yùn)行的操作系統(tǒng)的平安級(jí)別有關(guān)。操作系統(tǒng)的平安級(jí)別越高，防火墻本身的抗攻擊的能力也越高。16)審計(jì)日志功能，支持對(duì)日志的統(tǒng)計(jì)分析功能：CheckPointFireWall-1中自帶有日志功能，可以對(duì)符合預(yù)定規(guī)那么的網(wǎng)絡(luò)流量事先規(guī)定的方式進(jìn)行記錄；在產(chǎn)品中帶有ReportingModule，可以對(duì)日志進(jìn)行分析統(tǒng)計(jì)。17)實(shí)時(shí)告警功能，對(duì)防火墻本身或受保護(hù)網(wǎng)段的非法攻擊支持多種告警方式〔聲光告警、EMAIL告警、日志告警等〕以及多種級(jí)別的告警：CheckPointFireWall-1的策略中有報(bào)警功能，其中包括了E-mail告警，日志告警等多種告警方式。CheckPoint防火墻技術(shù)性能指標(biāo)：1)時(shí)延：在每個(gè)包大小平均為512字節(jié)的情況下，在3DES加密方式下Unix的時(shí)延是，NT是；在DES加密下Unix的時(shí)延是，NT是1msec。2)吞吐量：在沒有數(shù)據(jù)加密情況下，不同的操作系統(tǒng)可以分別到達(dá)152M~246Mbps；在數(shù)據(jù)加密情況下，可以到達(dá)約55Mbps。3)最小規(guī)那么數(shù)：在防火墻概念中無此提法。按照我們的理解，此概念如果是指策略中的規(guī)那么數(shù)的話，那么無限制。4)包轉(zhuǎn)發(fā)率：10~15Mbps。5)最大位轉(zhuǎn)發(fā)率：在防火墻概念中無此提法。按照我們的理解，此概念類似吞吐量。6)并發(fā)連接數(shù)：理論上沒有限制。Firewall-1防火墻是一種應(yīng)用級(jí)防火墻，它的監(jiān)測(cè)模塊能監(jiān)測(cè)和分析網(wǎng)絡(luò)通信所有七層協(xié)議的內(nèi)容。實(shí)際上路由器本身就可以實(shí)現(xiàn)包過濾防火墻的功能，對(duì)吉通上海IDC的各個(gè)路由器的配置進(jìn)行檢查和調(diào)整。保證整個(gè)網(wǎng)絡(luò)中各個(gè)路由器的配置相互一致，并承當(dāng)包過濾檢查的功能。因?yàn)榉阑饓υ诤诵木W(wǎng)上起著平安管理的“警察〞的重要作用,它的可靠性往往代表著整個(gè)網(wǎng)絡(luò)的可靠性。如果一臺(tái)防火墻發(fā)生故障，那么所有經(jīng)過它的網(wǎng)絡(luò)連接都中斷了，防火墻就成為一個(gè)“單點(diǎn)故障〞，這在一個(gè)及其關(guān)鍵的網(wǎng)絡(luò)環(huán)境中是不允許的。建議方案:CheckpointFireWall-1防火墻產(chǎn)品可以通過兩臺(tái)防火墻之間建立主備份關(guān)系而大大增加防火墻的可靠性。CheckpointFireWall-1是基于先進(jìn)的“狀態(tài)檢測(cè)〞〔StatefulInspection)技術(shù)的防火墻,它從經(jīng)過它的網(wǎng)絡(luò)連接的各個(gè)層次抽取信息，以得到每個(gè)連接的狀態(tài)。這些狀態(tài)存放在一個(gè)動(dòng)態(tài)的狀態(tài)表中，并隨著數(shù)據(jù)的傳輸而刷新。要在兩臺(tái)防火墻之間切換，必須在這兩臺(tái)防火墻之間共享這些狀態(tài)信息，以保證切換時(shí)最大可能地保存已建立的連接。利用QualixGroup的QualixHA+ModuleforFireWall-1軟件可以很好地做到這一點(diǎn)。兩臺(tái)相同配置的FireWall-1防火墻，一臺(tái)為主防火墻，一臺(tái)為熱備份防火墻。在熱備份防火墻上安裝QualixHA+，它能自動(dòng)地監(jiān)測(cè)主防火墻的狀態(tài)，并在一旦主防火墻故障時(shí)迅速地把主防火墻切換到熱備份防火墻上，而不需要人工干預(yù)。由于QualixHA+能把熱備份防火墻的配置設(shè)置成與主防火墻一致，所以切換后不會(huì)損失任何防火墻功能。而QualixHA+所在的熱備份防火墻可以與主備份防火墻共有同一個(gè)IP地址，所以切換后也無需修改路由器的設(shè)置。.4網(wǎng)絡(luò)實(shí)時(shí)入侵檢測(cè)技術(shù)防火墻雖然能抵御網(wǎng)絡(luò)外部平安威脅，但對(duì)網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊無能為力。動(dòng)態(tài)地監(jiān)測(cè)網(wǎng)絡(luò)內(nèi)部活動(dòng)并做出及時(shí)的響應(yīng)，就要依靠基于網(wǎng)絡(luò)的實(shí)時(shí)入侵監(jiān)測(cè)技術(shù)。監(jiān)控網(wǎng)絡(luò)上的數(shù)據(jù)流，從中檢測(cè)出攻擊的行為并給與響應(yīng)和處理。實(shí)時(shí)入侵監(jiān)測(cè)技術(shù)還能檢測(cè)到繞過防火墻的攻擊。解決方案：ISS網(wǎng)絡(luò)入侵檢測(cè)RealSecureNetworkSensor配置方法：參見“監(jiān)控和防御〞。ISS實(shí)時(shí)網(wǎng)絡(luò)傳感器(RealSecureNetworkSensor)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行自主地，實(shí)時(shí)地攻擊檢測(cè)與響應(yīng)。這種領(lǐng)先產(chǎn)品對(duì)網(wǎng)絡(luò)平安輪回監(jiān)控，使用戶可以在系統(tǒng)被破壞之前自主地中斷并響應(yīng)平安漏洞和誤操作。實(shí)時(shí)監(jiān)控在網(wǎng)絡(luò)中分析可疑的數(shù)據(jù)而不會(huì)影響數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸。它對(duì)平安威脅的自主響應(yīng)為企業(yè)提供了最大限度的平安保障。ISS網(wǎng)絡(luò)入侵檢測(cè)RealSecureNetworkSensor在檢測(cè)到網(wǎng)絡(luò)入侵后，除了可以及時(shí)切斷攻擊行為之外，還可以動(dòng)態(tài)地調(diào)整防火墻的防護(hù)策略，使得防火墻成為一個(gè)動(dòng)態(tài)的智能的的防護(hù)體系。操作系統(tǒng)層平安操作系統(tǒng)平安也稱主機(jī)平安，由于現(xiàn)代操作系統(tǒng)的代碼龐大，從而不同程度上都存在一些平安漏洞。一些廣泛應(yīng)用的操作系統(tǒng)，如Unix，WindowNT，其平安漏洞更是廣為流傳。另一方面，系統(tǒng)管理員或使用人員對(duì)復(fù)雜的操作系統(tǒng)和其自身的平安機(jī)制了解不夠，配置不當(dāng)也會(huì)造成的平安隱患。.1系統(tǒng)掃描技術(shù)對(duì)操作系統(tǒng)這一層次需要功能全面、智能化的檢測(cè)，以幫助網(wǎng)絡(luò)管理員高效地完成定期檢測(cè)和修復(fù)操作系統(tǒng)平安漏洞的工作。系統(tǒng)管理員要不斷跟蹤有關(guān)操作系統(tǒng)漏洞的發(fā)布，及時(shí)下載補(bǔ)丁來進(jìn)行防范，同時(shí)要經(jīng)常對(duì)關(guān)鍵數(shù)據(jù)和文件進(jìn)行備份和妥善保存，隨時(shí)留意系統(tǒng)文件的變化。解決方案：ISS系統(tǒng)掃描器(SystemScanner)配置方法：SystemScannerConsole可以與InternetScanner安裝在同一臺(tái)筆記本上，也可以單獨(dú)安裝在一臺(tái)NT工作站上。在IDC中各重要效勞器〔網(wǎng)管工作站、數(shù)據(jù)采集工作站、計(jì)費(fèi)效勞器、網(wǎng)站托管效勞器等〕內(nèi)安裝SystemScannerAgent。Console管理各個(gè)Agent。定期〔時(shí)間間隔參照平安策略的要求〕對(duì)重要效勞器進(jìn)行全面的操作系統(tǒng)平安評(píng)估。ISS系統(tǒng)掃描器(SystemScanner)是基于主機(jī)的一種領(lǐng)先的平安評(píng)估系統(tǒng)。系統(tǒng)掃描器通過對(duì)內(nèi)部網(wǎng)絡(luò)平安弱點(diǎn)的全面分析，協(xié)助企業(yè)進(jìn)行平安風(fēng)險(xiǎn)管理。區(qū)別于靜態(tài)的平安策略，系統(tǒng)掃描工具對(duì)主機(jī)進(jìn)行預(yù)防潛在平安風(fēng)險(xiǎn)的設(shè)置。其中包括易猜出的密碼，用戶權(quán)限，文件系統(tǒng)訪問權(quán)，效勞器設(shè)置以及其它含有攻擊隱患的可疑點(diǎn)。該產(chǎn)品的時(shí)間策略是定時(shí)操作，掃描對(duì)象是操作系統(tǒng)。SystemScanner包括引擎和控制臺(tái)兩個(gè)局部。引擎必須分別裝在被掃描的效勞器內(nèi)部，在一臺(tái)集中的效勞器上安裝控制臺(tái)。控制臺(tái)集中對(duì)各引擎管理，引擎負(fù)責(zé)對(duì)各操作系統(tǒng)的文件、口令、帳戶、組等的配置進(jìn)行檢查，并對(duì)操作系統(tǒng)中是否有黑客特征進(jìn)行檢測(cè)。其掃描結(jié)果同樣可生成報(bào)告。并對(duì)不平安的文件屬性生成可執(zhí)行的修改腳本。.2系統(tǒng)實(shí)時(shí)入侵探測(cè)技術(shù)為了加強(qiáng)主機(jī)的平安，還應(yīng)采用基于操作系統(tǒng)的入侵探測(cè)技術(shù)。系統(tǒng)入侵探測(cè)技術(shù)監(jiān)控主機(jī)的系統(tǒng)事件，從中檢測(cè)出攻擊的可疑特征，并給與響應(yīng)和處理。解決方案：ISS網(wǎng)絡(luò)入侵檢測(cè)RealSecureOSSensor以及ServerSensor配置方法：參見“監(jiān)控和防御〞。ISS實(shí)時(shí)系統(tǒng)傳感器(RealSecureOSSensor)對(duì)計(jì)算機(jī)主機(jī)操作系統(tǒng)進(jìn)行自主地，實(shí)時(shí)地攻擊檢測(cè)與響應(yīng)。一旦發(fā)現(xiàn)對(duì)主機(jī)的入侵，RealSecure可以馬上可以切斷系統(tǒng)用戶進(jìn)程通信，和做出各種平安反響。ISS實(shí)時(shí)系統(tǒng)傳感器(RealSecureOSSensor)還具有偽裝功能，可以將效勞器不開放的端口進(jìn)行偽裝，進(jìn)一步迷惑可能的入侵者，提高系統(tǒng)的防護(hù)時(shí)間。數(shù)據(jù)庫層平安許多關(guān)鍵的業(yè)務(wù)系統(tǒng)運(yùn)行在數(shù)據(jù)庫平臺(tái)上，如果數(shù)據(jù)庫平安無法保證，其上的應(yīng)用系統(tǒng)也會(huì)被非法訪問或破壞。數(shù)據(jù)庫平安隱患集中在：系統(tǒng)認(rèn)證：口令強(qiáng)度不夠，過期帳號(hào)，登錄攻擊等。系統(tǒng)授權(quán)：帳號(hào)權(quán)限，登錄時(shí)間超時(shí)等。系統(tǒng)完整性：Y2K兼容，特洛伊木馬，審核配置，補(bǔ)丁和修正程序等。解決方案：ISS數(shù)據(jù)庫掃描器〔DataBaseScanner〕配置方法：DatabaseScanner可以與InternetScanner安裝在同一臺(tái)筆記本上，也可以單獨(dú)安裝在一臺(tái)NT工作站上。定期對(duì)IDC內(nèi)的數(shù)據(jù)庫效勞器軟件進(jìn)行漏洞評(píng)估，并將軟件生成的漏洞報(bào)告分發(fā)給數(shù)據(jù)庫管理員，對(duì)數(shù)據(jù)庫系統(tǒng)中的平安問題及時(shí)修復(fù)。掃描的時(shí)間間隔請(qǐng)參照平安策略的要求。該產(chǎn)品可保護(hù)存儲(chǔ)在數(shù)據(jù)庫管理系統(tǒng)中的數(shù)據(jù)的平安。用戶可通過該產(chǎn)品自動(dòng)生成數(shù)據(jù)庫效勞器的平安策略，這是全面的企業(yè)平安管理的一個(gè)新的重要的領(lǐng)域。ISS數(shù)據(jù)庫掃描器〔DataBaseScanner〕是世界上第一個(gè)也是目前唯一的一個(gè)針對(duì)數(shù)據(jù)庫管理系統(tǒng)風(fēng)險(xiǎn)評(píng)估的檢測(cè)工具。該產(chǎn)品可保護(hù)存儲(chǔ)在數(shù)據(jù)庫管理系統(tǒng)中的數(shù)據(jù)的平安。目前ISS是唯一提供數(shù)據(jù)庫平安管理解決方案的廠商。用戶可通過該產(chǎn)品自動(dòng)生成數(shù)據(jù)庫效勞器的平安策略，這是全面的企業(yè)平安管理的一個(gè)新的重要的領(lǐng)域。DatabaseScanner具有靈活的體系結(jié)構(gòu)，允許客戶定制數(shù)據(jù)庫平安策略并強(qiáng)制實(shí)施，控制數(shù)據(jù)庫的平安。用戶在統(tǒng)一網(wǎng)絡(luò)環(huán)境可為不同數(shù)據(jù)庫效勞器制定相應(yīng)的平安策略。一旦制定出平安策略，DatabaseScanner將全面考察數(shù)據(jù)庫，對(duì)平安漏洞級(jí)別加以度量的控制，并持續(xù)改善數(shù)據(jù)庫的平安狀況。DatabaseScanner能通過網(wǎng)絡(luò)快速、方便地掃描數(shù)據(jù)庫，去檢查數(shù)據(jù)庫特有的平安漏洞，全面評(píng)估所有的平安漏洞和認(rèn)證、授權(quán)、完整性方面的問題。DatabaseScanner漏洞檢測(cè)的主要范圍包括：2000年問題--據(jù)環(huán)境并報(bào)告數(shù)據(jù)和過程中存在的2000年問題。口令，登錄和用戶--口令長(zhǎng)度，檢查有登錄權(quán)限的過去用戶，檢查用戶名的信任度。配置--否具有潛在破壞力的功能被允許，并建議是否需要修改配置，如回信，發(fā)信，直接修改，登錄認(rèn)證，一些系統(tǒng)啟動(dòng)時(shí)存儲(chǔ)的過程，報(bào)警和預(yù)安排的任務(wù)，WEB任務(wù)，跟蹤標(biāo)識(shí)和不同的網(wǎng)絡(luò)協(xié)議。安裝檢查--要客戶打補(bǔ)丁及補(bǔ)丁的熱鏈接。權(quán)限控制--些用戶有權(quán)限得到存儲(chǔ)的過程及何時(shí)用戶能未授權(quán)存取WindowsNT文件和數(shù)據(jù)資源。它還能檢查“特洛伊木馬〞程序的存在。平安管理層〔人，組織〕層次系統(tǒng)平安架構(gòu)的最頂層就是對(duì)吉通上海IDC進(jìn)行操作、維護(hù)和使用的內(nèi)部人員。人員有各種層次，對(duì)人員的管理和平安制度的制訂是否有效，影響由這一層次所引發(fā)的平安問題。除按業(yè)務(wù)劃分的組織結(jié)構(gòu)以外，必須成立專門平安組織結(jié)構(gòu)。這個(gè)平安組織應(yīng)當(dāng)由各級(jí)行政負(fù)責(zé)人、平安技術(shù)負(fù)責(zé)人、業(yè)務(wù)負(fù)責(zé)人及負(fù)責(zé)具體實(shí)施的平安技術(shù)人員組成。有關(guān)具體的平安管理請(qǐng)參照第4節(jié)的信息平安策略解決方案。3.3監(jiān)控和防御入侵檢測(cè)技術(shù)大多數(shù)傳統(tǒng)入侵檢測(cè)系統(tǒng)〔IDS〕采取基于網(wǎng)絡(luò)或基于主機(jī)的方法來辯認(rèn)并躲避攻擊。在任何一種情況下，該產(chǎn)品都要尋找“攻擊標(biāo)志〞，即一種代表惡意或可疑意圖攻擊的模式。當(dāng)IDS在網(wǎng)絡(luò)中尋找這些模式時(shí)，它是基于網(wǎng)絡(luò)的。而當(dāng)IDS在記錄文件中尋找攻擊標(biāo)志時(shí)，它是基于主機(jī)的。每種方法都有其優(yōu)勢(shì)和劣勢(shì)，兩種方法互為補(bǔ)充。一種真正有效的入侵檢測(cè)系統(tǒng)應(yīng)將二者結(jié)合。本節(jié)討論了基于主機(jī)和基于網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的不同之處，以說明如何將這二種方式融合在一起，以提供更加有效的入侵檢測(cè)和保護(hù)措施。.1基于網(wǎng)絡(luò)的入侵檢測(cè)：基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源?；诰W(wǎng)絡(luò)的IDS通常利用一個(gè)運(yùn)行在隨機(jī)模式下網(wǎng)絡(luò)的適配器來實(shí)時(shí)監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)。它的攻擊辯識(shí)模塊通常使用四種常用技術(shù)來識(shí)別攻擊標(biāo)志：模式、表達(dá)式或字節(jié)匹配頻率或穿越閥值低級(jí)事件的相關(guān)性規(guī)統(tǒng)學(xué)意義上的非常規(guī)現(xiàn)象檢測(cè)一旦檢測(cè)到了攻擊行為，IDS的響應(yīng)模塊就提供多種選項(xiàng)以通知、報(bào)警并對(duì)攻擊采取相應(yīng)的反響。反響因產(chǎn)品而異，但通常都包括通知管理員、中斷連接并且/或?yàn)榉ㄍシ治龊妥C據(jù)收集而做的會(huì)話記錄。.2基于主機(jī)的入侵檢測(cè)：基于主機(jī)的入侵檢測(cè)出現(xiàn)在80年代初期，那時(shí)網(wǎng)絡(luò)還沒有今天這樣普遍、復(fù)雜，且網(wǎng)絡(luò)之間也沒有完全連通。在這一較為簡(jiǎn)單的環(huán)境里，檢查可疑行為的檢驗(yàn)記錄是很常見的操作。由于入侵在當(dāng)時(shí)是相當(dāng)少見的，在對(duì)攻擊的事后分析就可以防止今后的攻擊?，F(xiàn)在的基于主機(jī)的入侵檢測(cè)系統(tǒng)保存了一種有力的工具，以理解以前的攻擊形式，并選擇適宜的方法去抵御未來的攻擊?；谥鳈C(jī)的IDS仍使用驗(yàn)證記錄，但自動(dòng)化程度大大提高，并開展了精密的可迅速做出響應(yīng)的檢測(cè)技術(shù)。通常，基于主機(jī)的IDS可監(jiān)探系統(tǒng)、事件和WindowNT下的平安記錄以及UNIX環(huán)境下的系統(tǒng)記錄。當(dāng)有文件發(fā)生變化時(shí)，IDS將新的記錄條目與攻擊標(biāo)記相比較，看它們是否匹配。如果匹配，系統(tǒng)就會(huì)向管理員報(bào)警并向別的目標(biāo)報(bào)告，以采取措施?；谥鳈C(jī)的IDS在開展過程中融入了其它技術(shù)。對(duì)關(guān)鍵系統(tǒng)文件和可執(zhí)行文件的入侵檢測(cè)的一個(gè)常用方法，是通過定期檢查校驗(yàn)和來進(jìn)行的，以便發(fā)現(xiàn)意外的變化。反響的快慢與輪詢間隔的頻率有直接的關(guān)系。最后，許多產(chǎn)品都是監(jiān)聽端口的活動(dòng)，并在特定端口被訪問時(shí)向管理員報(bào)警。這類檢測(cè)方法將基于網(wǎng)絡(luò)的入侵檢測(cè)的根本方法融入到基于主機(jī)的檢測(cè)環(huán)境中。.3將基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)結(jié)合起來：基于網(wǎng)絡(luò)和基于主機(jī)的IDS方案都有各自特有的優(yōu)點(diǎn)，并且互為補(bǔ)充。因此，下一代的IDS必須包括集成的主機(jī)和網(wǎng)絡(luò)組件。將這兩項(xiàng)技術(shù)結(jié)合，必將大幅度提高網(wǎng)絡(luò)對(duì)攻擊和錯(cuò)誤使用的抵抗力，使平安策略的實(shí)施更加有效，并使設(shè)置選項(xiàng)更加靈活。有些事件只能用網(wǎng)絡(luò)方法檢測(cè)到，另外一些只能用主機(jī)方式檢測(cè)到，有一些那么需要二者共同發(fā)揮作用，才能檢測(cè)到。推薦的平安產(chǎn)品—ISS的入侵檢測(cè)產(chǎn)品RealSecureISS實(shí)時(shí)網(wǎng)絡(luò)傳感器(RealSecureNetworkSensor)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行自主地，實(shí)時(shí)地攻擊檢測(cè)與響應(yīng)。這種領(lǐng)先產(chǎn)品對(duì)網(wǎng)絡(luò)平安輪回監(jiān)控，使用戶可以在系統(tǒng)被破壞之前自主地中斷并響應(yīng)平安漏洞和誤操作。實(shí)時(shí)監(jiān)控在網(wǎng)絡(luò)中分析可疑的數(shù)據(jù)而不會(huì)影響數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸。它對(duì)平安威脅的自主響應(yīng)為企業(yè)提供了最大限度的平安保障。ISS網(wǎng)絡(luò)入侵檢測(cè)(RealSecureNetworkSensor)在檢測(cè)到網(wǎng)絡(luò)入侵后，除了可以及時(shí)切斷攻擊行為之外，還可以動(dòng)態(tài)地調(diào)整防火墻的防護(hù)策略，使得防火墻成為一個(gè)動(dòng)態(tài)的智能的的防護(hù)體系。ISS實(shí)時(shí)系統(tǒng)傳感器(RealSecureOSSensor)對(duì)計(jì)算機(jī)主機(jī)操作系統(tǒng)進(jìn)行自主地，實(shí)時(shí)地攻擊檢測(cè)與響應(yīng)。一旦發(fā)現(xiàn)對(duì)主機(jī)的入侵，RealSecure可以馬上切斷的用戶進(jìn)程，和做出各種平安反響。ISS實(shí)時(shí)效勞器傳感器(RealSecureServerSensor)包括了所有的OSSensor功能，也具備局部NetworkSensor的功能，為靈活的平安配置提供了必要的手段。RealSecureWorkgroupManager是RealSecure系統(tǒng)的控制臺(tái)?？梢詫?duì)多臺(tái)RealSecure網(wǎng)絡(luò)引擎和系統(tǒng)傳感器進(jìn)行管理。對(duì)被管理監(jiān)控器進(jìn)行遠(yuǎn)程的配置和控制，各個(gè)監(jiān)控器發(fā)現(xiàn)的平安事件都實(shí)時(shí)地報(bào)告控制臺(tái)。ISSRealSecure是一個(gè)完整的，一致的實(shí)時(shí)入侵監(jiān)控體系。ISSRealsecure對(duì)來自內(nèi)部和外部的非法入侵行為做到及時(shí)響應(yīng)、告警和記錄日志，并可采取一定的防御和反入侵措施。它能完全滿足《吉通上海IDC技術(shù)需求書》所提要求：支持統(tǒng)一的管理平臺(tái)，可實(shí)現(xiàn)集中式的平安監(jiān)控管理:①④③②⑤RealSecureWorkgroupManager是RealSecure系統(tǒng)的控制臺(tái)?？梢詫?duì)多臺(tái)RealSecure網(wǎng)絡(luò)Sensor和系統(tǒng)Sensor進(jìn)行管理。對(duì)被管理監(jiān)控器進(jìn)行遠(yuǎn)程的配置和控制，各個(gè)監(jiān)控器發(fā)現(xiàn)的平安事件都實(shí)時(shí)地報(bào)告控制臺(tái)。在吉通IDC工程中可以利用這一特點(diǎn)，實(shí)現(xiàn)對(duì)各結(jié)點(diǎn)的集中監(jiān)控管理。例如，從上海IDC的RealSecureWorkgroupManager，對(duì)其下其它城市的IDC進(jìn)行統(tǒng)一的Sensor監(jiān)控策略配置，Sensor所發(fā)現(xiàn)的平安事件將實(shí)時(shí)地報(bào)告給Manager；對(duì)各個(gè)Sensor平安特征庫的升級(jí)也可以從Manager統(tǒng)一分發(fā)完成。圖RS-1RealSecureWorkgroupManager的工作界面①主菜單和工具欄②監(jiān)控平安事件的綜合窗口③按平安級(jí)別分成高、中、低三個(gè)事件窗口④列出所有被管理的網(wǎng)絡(luò)Sensor和系統(tǒng)Sensor⑤對(duì)被管理的網(wǎng)絡(luò)傳感器和系統(tǒng)傳感器進(jìn)行配置的彈出窗口自動(dòng)識(shí)別類型廣泛的攻擊:網(wǎng)絡(luò)Sensor能夠識(shí)別以下種類的攻擊和誤用行為：類型說明拒絕效勞攻擊通過消耗系統(tǒng)資源使目標(biāo)主機(jī)的局部或全部效勞功能喪失。例如，SYNFLOOD攻擊，PINGFLOOD攻擊，WINNUK攻擊等。分布式拒絕效勞攻擊檢查分布拒絕效勞攻擊的主控程序和代理之間的通訊和通訊企圖。例如，TFN、Trinoo和Stacheldraht等。未授權(quán)訪問攻擊攻擊者企圖讀取、寫或執(zhí)行被保護(hù)的資源。如FTPROOT攻擊，EMAILWIZ攻擊等。預(yù)攻擊探測(cè)攻擊者試圖從網(wǎng)絡(luò)中獲取用戶名、口令等敏感信息。如SATAN掃描、端口掃描、IPHALF掃描等?？梢尚袨榉恰罢（暤木W(wǎng)絡(luò)訪問，很可能是需要注意的不平安事件。如IP地址復(fù)用，無法識(shí)別IP協(xié)議的事件。協(xié)議解碼對(duì)協(xié)議進(jìn)行解析，幫助管理員發(fā)現(xiàn)可能的危險(xiǎn)事件。如FTP口令解析，EMAIL主題解析等。普通網(wǎng)絡(luò)事件識(shí)別各種網(wǎng)絡(luò)協(xié)議包的源、目的IP地址，源、目的端口號(hào)，協(xié)議類型等。系統(tǒng)Sensor能夠監(jiān)控并識(shí)別的攻擊類型有：類型說明平安事件監(jiān)控NT或Unix系統(tǒng)事件login成功/失敗，logout，管理員行為異常，系統(tǒng)重啟動(dòng)等；監(jiān)控特殊的系統(tǒng)事件，包括對(duì)重要文件的讀寫、刪除行為，系統(tǒng)資源情況異常現(xiàn)象等；監(jiān)控Windows環(huán)境下的未授權(quán)事件，如企圖訪問未授權(quán)文件，訪問特權(quán)效勞，企圖改變登錄權(quán)限等。對(duì)未用端口監(jiān)控監(jiān)控對(duì)未提供效勞端口的連接企圖，這種連接企圖應(yīng)視為可疑行為。例如，對(duì)未提供FTP效勞的主機(jī)嘗試FTP連接被認(rèn)為是可疑的。遠(yuǎn)程UNIXSyslog事件對(duì)遠(yuǎn)程的UNIX主機(jī)進(jìn)行監(jiān)控。監(jiān)控用戶的login成功/失敗，logout，管理員行為異常等；監(jiān)控的效勞包括IMAP2bis，IPOP3，Qpopper，Sendmail和SSH等。自定義事件用戶自定義的基于系統(tǒng)審計(jì)事件的監(jiān)控支持按行為特征的入侵檢測(cè):圖RS-2RealSecureSensor工作過程示意圖如下圖，Realsecure的入侵檢測(cè)主要是依據(jù)用戶事先定義的監(jiān)控策略，將發(fā)生的入侵事件與已有的平安事件特征庫進(jìn)行特征匹配，匹配成功，那么認(rèn)為是有威脅事件發(fā)生，采取適當(dāng)?shù)捻憫?yīng)動(dòng)作。具體分析過程的輸入包括：用戶或者平安管理人員定義的配置規(guī)那么；以及作為事件檢測(cè)的原始數(shù)據(jù)。對(duì)于NetworkSensor來講原始數(shù)據(jù)是原始網(wǎng)絡(luò)包；對(duì)于OSSensor來講原始數(shù)據(jù)是操作系統(tǒng)日志項(xiàng)。具體分析過程的輸出包括：系統(tǒng)發(fā)起的對(duì)平安事件的響應(yīng)過程；監(jiān)控器在收到數(shù)據(jù)后，將數(shù)據(jù)和特征庫進(jìn)行比照，如果匹配會(huì)發(fā)出對(duì)應(yīng)的響應(yīng)。特征數(shù)據(jù)庫主要來源于ISS的Xforce研究開發(fā)小組，而且是目前業(yè)界最全面的攻擊特征數(shù)據(jù)庫。另外，NetworkSensor和SystemSensor都支持用戶自定義特征。NetworkSensor檢測(cè)過程--安裝RealsecureNetworkSensor主機(jī)的網(wǎng)絡(luò)適配卡連接到被監(jiān)控的網(wǎng)段上。Realsecure將網(wǎng)絡(luò)適配卡設(shè)成promiscuous模式，可收到本地網(wǎng)段上的所有數(shù)據(jù)流。當(dāng)一個(gè)包符合了當(dāng)前有效的過濾規(guī)那么時(shí)，會(huì)被解碼并進(jìn)行攻擊特征識(shí)別分析。每個(gè)活動(dòng)的過程都被保持和跟蹤，這樣跨越了許多包的攻擊特征就可以被檢測(cè)出來。因此，當(dāng)一個(gè)“感興趣事件〞被檢測(cè)到時(shí)，Realsecure會(huì)采取適宜的動(dòng)作。OSSensor檢測(cè)過程--RealSecureOSSensor在被保護(hù)效勞器上運(yùn)行一個(gè)進(jìn)程。每當(dāng)操作系統(tǒng)產(chǎn)生一個(gè)新的日志記錄項(xiàng)，操作系統(tǒng)會(huì)向OSSensor發(fā)出中斷。OSSensor讀取新的日志記錄項(xiàng)，與監(jiān)控特征進(jìn)行比照，如果匹配會(huì)發(fā)起適當(dāng)?shù)捻憫?yīng)。由一些特征會(huì)涉及多個(gè)日志記錄項(xiàng)，因此OSSensor會(huì)同時(shí)維護(hù)和監(jiān)控一些用戶活動(dòng)流的狀態(tài)。提供對(duì)特定網(wǎng)段的實(shí)時(shí)保護(hù)，支持高速交換網(wǎng)絡(luò)的監(jiān)控:對(duì)重要網(wǎng)段的保護(hù)，如公共效勞器群，為了防止來自網(wǎng)絡(luò)其它邊界的入侵，需要在該子網(wǎng)的入口處安裝RealsecureNetworkSensor，并在各個(gè)效勞器內(nèi)配置RealsecureOSSensor，由集中的RealsecureWorkgroupManager統(tǒng)一管理。能夠在檢測(cè)到入侵事件時(shí)，自動(dòng)執(zhí)行預(yù)定義的動(dòng)作，包括切斷效勞、重起效勞進(jìn)程，記錄入侵過程信息等：1.當(dāng)一個(gè)攻擊或事件被檢測(cè)到，RealSecure可以做出以下幾種響應(yīng)：自動(dòng)終止攻擊終止用戶連接禁止用戶賬號(hào)重新配置CheckPoint?Firewall-1?防火墻阻塞攻擊的源地址向管理控制臺(tái)發(fā)出警告指出事件的發(fā)生向網(wǎng)絡(luò)管理平臺(tái)〔off-the-shelf〕發(fā)出SNMPtrap記錄事件的日志，包括日期、時(shí)間、源地址、目的地址、描述以及事件相關(guān)的原始數(shù)據(jù)。實(shí)時(shí)觀看事件中的原始記錄〔或者記錄下來過后再回放〕向平安管理人員發(fā)出提示性的電子郵件執(zhí)行一個(gè)用戶自定義程序2.可以為RealSecureOSSensor自定義一些特征。OSSensor允許用戶指定一個(gè)關(guān)鍵字或正那么表達(dá)式，在發(fā)現(xiàn)操作系統(tǒng)日志文件項(xiàng)對(duì)應(yīng)特征時(shí)，會(huì)做出相應(yīng)的響應(yīng)。3.用戶可以為RealSecureNetworkSensor自定義連接事件。一個(gè)連接事件可以定義為基于IP的連接，可以對(duì)下面信息進(jìn)行匹配：協(xié)議源IP地址目的IP地址源端口目的端口4.一些RealSecure預(yù)定以攻擊特征可以根據(jù)網(wǎng)絡(luò)的具體情況進(jìn)行參數(shù)調(diào)整。比方，有些網(wǎng)絡(luò)中PointCast下載會(huì)引發(fā)SYNFlood特征，此時(shí)可以通過調(diào)整SYNFlood的閥值來減少誤報(bào)。5.用戶可以定義RealSecureNetworkSensor過濾規(guī)那么來忽略某些類型的數(shù)據(jù)流?？梢酝ㄟ^指定協(xié)議、源IP地址、目的IP地址、源端口、目的端口定義忽略的數(shù)據(jù)流。對(duì)于規(guī)那么匹配的數(shù)據(jù)流不進(jìn)行預(yù)定義或用戶定義特征分析。通過這種方式，可以將RealSecure配置得更適合用戶的網(wǎng)絡(luò)。6.最后，用戶可以建立自己的響應(yīng)選項(xiàng)。任何可以從命令行發(fā)起的動(dòng)作〔如：可執(zhí)行程序、批處理文件、ShellScript等〕，都可以作為RealSecureNetworkSensor或者OSSensor對(duì)攻擊的響應(yīng)。支持集中的攻擊特征和攻擊取證數(shù)據(jù)庫管理：Realsecure真正實(shí)現(xiàn)集中管理，也表達(dá)在對(duì)攻擊特征和攻擊事件的數(shù)據(jù)庫管理。RealsecureWorkgroupManager運(yùn)行在MSNT或Win2000平臺(tái)上，在默認(rèn)情況下，其管理數(shù)據(jù)庫格式為MSAccess文件格式。Realsecure的數(shù)據(jù)庫接口支持標(biāo)準(zhǔn)的ODBC，因此可以靈活選擇其后臺(tái)管理數(shù)據(jù)庫類型。在Realsecure的管理數(shù)據(jù)庫中，有一組數(shù)據(jù)庫表格式，分別用于記錄所有最新版本能夠識(shí)別的攻擊特征，及從各個(gè)遠(yuǎn)程的Sensor匯總來的攻擊事件的記錄。支持攻擊特征信息的集中式發(fā)布和攻擊取證信息的分布式上載：Realsecure中包含升級(jí)組件X-pressUpdates，利用這一組件，可以從WorkgroupManager集中分發(fā)攻擊特征信息。當(dāng)分布在網(wǎng)絡(luò)中的各個(gè)Sensor監(jiān)控到攻擊事件時(shí)，依據(jù)Sensor的策略定制，Sensor將執(zhí)行一系列的動(dòng)作，包括實(shí)時(shí)在WorkgroupManager的屏幕上顯示，并執(zhí)行切斷連接或重新配置防火墻等動(dòng)作，為了方便管理員查詢并記錄犯罪證據(jù)，Sensor必須將監(jiān)控的事件記錄到日志中。在WorkgroupManager可以采取手工干預(yù)或自動(dòng)兩種方式對(duì)Sensor的日志進(jìn)行上載和匯總。上傳后的日志將統(tǒng)一以數(shù)據(jù)庫形式保存。提供對(duì)監(jiān)視引擎和檢測(cè)特征的定期更新效勞，更新方式可有多種，包括廠家的直接效勞和聯(lián)網(wǎng)更新操作：ISS擁有實(shí)力雄后的X-Force小組，該小組專門研究和發(fā)現(xiàn)新的攻擊手段，是業(yè)界獨(dú)一無二的平安小組。作為入侵檢測(cè)產(chǎn)品，其Sensor和攻擊特征庫的升級(jí)能力直接反映了產(chǎn)品的功能，而ISS的系列平安產(chǎn)品包括Realsecure的升級(jí)速度都是其它廠商無法比較的。ISS承諾對(duì)用戶的升級(jí)效勞，詳見ISS效勞承諾。從產(chǎn)品本身提供的功能看，Realsecure中提供了X-pressUpdates，利用這一組件，可以直接從ISS站點(diǎn)下載升級(jí)包，并可以從WorkgroupManager集中分發(fā)攻擊特征信息至所管理的每個(gè)Sensor。網(wǎng)絡(luò)訪問控制：Realsecure的主要功能用于對(duì)惡意入侵事件和誤用行為的監(jiān)控報(bào)警?？梢愿鶕?jù)實(shí)際需要，對(duì)Sensor進(jìn)行策略配置，用于特殊的網(wǎng)絡(luò)訪問控制。如可以用NetworkSensor對(duì)辦公環(huán)境員工上網(wǎng)瀏覽Web頁面進(jìn)行限制；可以對(duì)某個(gè)重要的效勞器進(jìn)行特殊保護(hù)，限制某個(gè)地址或某個(gè)范圍的地址段對(duì)該效勞器指定端口的訪問；通過對(duì)E-mail主題或內(nèi)容的特殊字符串的監(jiān)控，限制某些E-mail的非法傳送等等?？梢删W(wǎng)絡(luò)活動(dòng)的檢測(cè)，對(duì)帶有ActiveX、Java、JavaScript、VBScript的WEB頁面、電子郵件的附件、帶宏的Office文檔中的一些可以執(zhí)行的程序〔包括通過SSL協(xié)議或者加密傳輸?shù)目梢赡繕?biāo)〕進(jìn)行檢測(cè)，隔離未知應(yīng)用，建立平安資源區(qū)域：RealsecureNetworkSensor除了對(duì)惡意的入侵行為進(jìn)行識(shí)別以外，還能夠?qū)梢傻牟黄桨彩录?bào)警和阻止，包括對(duì)帶有ActiveX、Java、JavaScript、VBScript的WEB頁面，可疑的Arp事件，IP地址復(fù)用事件等報(bào)警。支持與防火墻的配合監(jiān)控：Realsecure與防火墻功能互補(bǔ)：適當(dāng)配置的防火墻可以將非預(yù)期的信息屏蔽在外。然而防火墻為提供一些級(jí)別的獲取權(quán)的通道可能被偽裝的攻擊者利用。防火墻不能制止這種類型的攻擊，RealSecure卻能夠制止。RealSecure對(duì)防火墻后面的網(wǎng)絡(luò)的信息流監(jiān)控，能夠檢測(cè)到并終止獲取權(quán)限的企圖。另外防火墻的錯(cuò)誤配置也有可能發(fā)生。盡管防火墻的錯(cuò)誤配置能夠迅速更正，網(wǎng)絡(luò)內(nèi)有了RealSecure那么能捕獲許多溜進(jìn)來的未預(yù)料的信息。即便不選擇切斷這些連接，RealSecure所發(fā)出的警告的數(shù)量仍能迅速說明防火墻沒有起到作用。Realsecure與CheckPoint協(xié)同工作：CheckPoint公司通過它提供的OPSEC〔OpenPlatformForSecureEnterpriseConnectivity，平安企業(yè)連通性開放平臺(tái)〕向第三方提供API，使得其它廠商可以使用這些API開發(fā)能集成到FW-1防火墻中的產(chǎn)品。由于ISS是CheckPoint的OEM廠商，所以Realsecure能夠?qū)W-1進(jìn)行平安操作。Realsecure重新配置FW-1有兩種響應(yīng)方式：凍結(jié)指定的時(shí)間長(zhǎng)度和完全關(guān)閉。每種響應(yīng)方式根據(jù)需要又細(xì)分四種模式：針對(duì)源地址操作，針對(duì)目的地址操作，針對(duì)源和目的同時(shí)操作，針對(duì)效勞操作。RealSecureNetworkSensor可以完全透明：RealSecurenetworkSensor可以配置為完全透明的方式。一個(gè)RealSecureNetworkSensor可以采用Out-of-band方式和管理控制臺(tái)進(jìn)行通訊。這種情況需要配置兩塊網(wǎng)絡(luò)適配卡：一塊網(wǎng)絡(luò)適配卡用來監(jiān)控本地網(wǎng)段，另一塊用來和控制臺(tái)通信。由于這種方式使得RealSecureNetworkSensor采用了專門的通信通道和控制臺(tái)通信，會(huì)大大加強(qiáng)RealSecure的平安性。另外，用來監(jiān)控本地網(wǎng)段的網(wǎng)絡(luò)適配卡并不需要一個(gè)協(xié)議棧。因此，RealSecureNetworkSensor并不需要一個(gè)外部可見的IP地址或者外部可見的IP效勞。這樣RealSecureNetworkSensor可以做到從被監(jiān)控網(wǎng)絡(luò)上不可見。當(dāng)然，RealSecureNetworkSensor需要TCP/IP協(xié)議與管理控制臺(tái)通訊。因此，與管理控制臺(tái)通訊的接口卡需要IP地址。RealsecureOSSensor可疑連接監(jiān)控：一個(gè)攻擊者首先會(huì)刺探主機(jī)提供了什么效勞?！翱梢蛇B接監(jiān)控〞使得一個(gè)沒有效勞的端口看起來是活動(dòng)的，這樣入侵者可能會(huì)誤以為系統(tǒng)開啟了某種效勞，在刺探中浪費(fèi)時(shí)間而一無所獲。這個(gè)功能對(duì)防范一些自動(dòng)攻擊工具十分有效。對(duì)不存在效勞的連接企圖或者是一個(gè)錯(cuò)誤，或者是成心的攻擊。OSSensor將這些連接作為入侵檢測(cè)判斷的數(shù)據(jù)。持續(xù)的對(duì)不存在效勞的連接企圖會(huì)產(chǎn)生高風(fēng)險(xiǎn)報(bào)警。平安管理人員可以對(duì)這種連接企圖設(shè)置響應(yīng)提示?？梢栽O(shè)置為法律警告指出入侵是非法的，或者可以設(shè)置成欺騙性連接提示〔比方，登錄提示〕?？梢蛇B接監(jiān)控的功能能延長(zhǎng)攻擊者發(fā)現(xiàn)可攻擊端口的時(shí)間，為防護(hù)者抓住他爭(zhēng)取更多的時(shí)間。支持HPOpenView的RealSecure管理器支持HPOpenView的RealSecure管理器為使用HPOpenView網(wǎng)絡(luò)結(jié)點(diǎn)管理器的網(wǎng)絡(luò)管理員提供實(shí)時(shí)入侵檢測(cè)。支持HPOpenView的RealSecure管理器提供完全的RealSecure可適應(yīng)性網(wǎng)絡(luò)平安功能，包括：主導(dǎo)市場(chǎng)的入侵檢測(cè)和響應(yīng)--支持HPOpenView的RealSecure管理器在OpenView網(wǎng)絡(luò)管理框架中提供對(duì)企業(yè)網(wǎng)中可疑行為的實(shí)時(shí)監(jiān)控，如企業(yè)網(wǎng)絡(luò)外部和內(nèi)部的攻擊或內(nèi)部濫用。實(shí)時(shí)警報(bào)管理--網(wǎng)絡(luò)平安行為的連續(xù)顯示，完整清晰的知識(shí)控制，RealSecure對(duì)事件響應(yīng)的在線幫助，以及對(duì)事件的詳細(xì)信息，包括源和目的、端口、風(fēng)險(xiǎn)級(jí)別和其它的信息。統(tǒng)一的數(shù)據(jù)管理--入侵事件和RealSecure引擎狀態(tài)被記錄在OpenView的事件瀏覽器中。OpenView地圖反映了實(shí)時(shí)的攻擊。顏色編碼的符號(hào)反映出被攻擊結(jié)點(diǎn)的攻擊名稱、級(jí)別、每一個(gè)攻擊進(jìn)行的次數(shù)。集中配置--RealSecure引擎的配置和策略能夠通過OpenView的主控臺(tái)配置和修改。平安的通信--OpenView和RealSecure之間控制信息的傳輸是完全平安的?？刂乒δ苡姓J(rèn)證、校驗(yàn)和加密，加密算法使用RSA、CerticomEllipticalCurve、或用戶自己選擇的算法。管理功能引擎控制：?jiǎn)?dòng)、停止、暫停、重新啟動(dòng)、ping連接實(shí)時(shí)警報(bào)管理：接收、延續(xù)、統(tǒng)一、去除對(duì)事件響應(yīng)的詳在線幫助編輯RealSecure引擎的配置發(fā)送和接收配置到遠(yuǎn)程RealSecure引擎上傳和/或去除RealSecure引擎數(shù)據(jù)庫啟動(dòng)ISSRealSecure管理器配置方法Realsecure是一個(gè)真正的集中管理的入侵檢測(cè)系統(tǒng)。它由一個(gè)或多個(gè)〔可選〕管理控制臺(tái)，即WorkgroupManager，統(tǒng)一、集中管理分布在網(wǎng)絡(luò)中的Sensor。建議在吉通上海IDC安裝一套WorkgroupManager，用于對(duì)不同的傳感器。RealSecure運(yùn)行在交換式網(wǎng)絡(luò)中，有以下三個(gè)解決方案：RealSecureNetworkSensor連接在這個(gè)點(diǎn)上。這樣就可以防護(hù)來自Internet的攻擊，而不處理網(wǎng)絡(luò)的其它局部。另外，還可以使用交換機(jī)的管理端口甚至一個(gè)VLAN。一些交換機(jī)〔比方，CiscoCatalyst〕有一個(gè)管理端口〔有時(shí)稱為span端口〕可以鏡像一個(gè)或多個(gè)指定端口的數(shù)據(jù)流。可以將RealSecureNetworkSensor配置在這樣的管理端口上，通過鏡像的方式獲得多個(gè)端口的數(shù)據(jù)流。如果交換機(jī)的一個(gè)端口里連接Internet路由器，那么可以鏡像連接路由器的這個(gè)端口。如果交換機(jī)連接多臺(tái)重要內(nèi)聯(lián)網(wǎng)效勞器，那么可以鏡像連接效勞器的這幾個(gè)端口?，F(xiàn)在，已經(jīng)有很多交換機(jī)支持這種功能。使用RealSecureOSSensor--由于OSSensor是基于主機(jī)的工作方式，因此完全不會(huì)受到交換方式的影響。在連接交換環(huán)境的效勞器上安裝OSSensor，對(duì)每個(gè)效勞器進(jìn)行保護(hù)。OSSensor特別適合于平安需求高的效勞器，與NetworkSensor配合使用，需要配置的效勞器包括網(wǎng)管工作站、數(shù)據(jù)采集工作站、計(jì)費(fèi)效勞器等。使用RealSecureServerSensor--由于ServerSensor是基于主機(jī)的工作方式，因此完全不會(huì)受到交換方式的影響。又由于ServerSensor具備了局部NetworkSensor的功能，因此特別適合于網(wǎng)絡(luò)流量大的相對(duì)獨(dú)立的效勞器上，例如網(wǎng)站托管主機(jī)上。3.5防病毒推薦平安產(chǎn)品--TrendMicro防病毒產(chǎn)品支持對(duì)網(wǎng)絡(luò)、效勞器和工作站的實(shí)時(shí)病毒監(jiān)控:對(duì)于Internet類型的網(wǎng)絡(luò)，包括Extranet和Intranet，趨勢(shì)科技提供基于網(wǎng)關(guān)處的防毒產(chǎn)品：InterScan系列。產(chǎn)品都含有純web方式的管理界面。1.因特網(wǎng)病毒防火墻--InterScanVirusWall：在網(wǎng)關(guān)處實(shí)時(shí)監(jiān)控通過SMTP、和FTP協(xié)議傳輸?shù)男畔?nèi)容，檢查其是否存在病毒或惡意程序，并根據(jù)管理員的設(shè)定采取相關(guān)的處理方式，以保證通過網(wǎng)關(guān)出入企業(yè)的信息的平安性。支持對(duì)16種以上的壓縮類型、壓縮深度最多達(dá)20級(jí)的文件進(jìn)行病毒掃描工作。支持的平臺(tái)：WindowsNT(2000)、Solaris、HP-UX、Linux。2.電子郵件平安管理--InterScaneManager：基于InterScanVirusWallNT版和Solaris版的外加﹝Plug-in﹞的電子郵件管理工具，屬于InterScanVirusWall的因特網(wǎng)平安﹝InternetSecurity﹞系列產(chǎn)品之一。eManager電子郵件平安管理軟件可以過濾垃圾郵件及大量推銷性質(zhì)的電子郵件，并可掃描由內(nèi)部使用者寄出的郵件內(nèi)容，假設(shè)有敏感性內(nèi)容可就進(jìn)行攔阻；此外也能夠自定郵件傳遞時(shí)間，延遲遞送較大的郵件、國際信件或其它自定規(guī)那么范圍內(nèi)的郵件，防止在網(wǎng)絡(luò)帶寬使用頂峰時(shí)段造成郵件阻塞。支持的平臺(tái)：WindowsNT(2000)。3.網(wǎng)站平安管理軟件--InterScanWebManager：集web訪問的管理限定和防病毒與一身。除了對(duì)傳入的web頁面進(jìn)行防毒之外，還可以對(duì)訪問的內(nèi)容及帶寬進(jìn)行管理?？蓮椥栽O(shè)定對(duì)14種不同類型的網(wǎng)站內(nèi)容進(jìn)行過濾。WebManager應(yīng)用CyberPatrol所開發(fā)出全球數(shù)十萬個(gè)網(wǎng)站的數(shù)據(jù)庫，阻止內(nèi)部使用者通過因特網(wǎng)進(jìn)入色情或其它的不良網(wǎng)站。可依據(jù)個(gè)人及部門的特殊需求，過濾不良網(wǎng)站和設(shè)定下載文件的大小限制。管理員可依每日、每周或每月，設(shè)定個(gè)人或部門對(duì)于Web下載文件的最大流量，從而控制網(wǎng)絡(luò)的使用帶寬。支持的平臺(tái)：WindowsNT(2000)。4.大規(guī)模郵件防毒--對(duì)于企業(yè)內(nèi)部的電子郵件和群件系統(tǒng)，如LotusNotes和MicrosoftExchange，由于企業(yè)內(nèi)部用戶間的通訊可能并不通過Internet網(wǎng)關(guān)，因此光靠在網(wǎng)關(guān)處防毒并不能控制病毒在企業(yè)內(nèi)部的傳播。趨勢(shì)科技針對(duì)此類系統(tǒng)提供了相應(yīng)的防毒產(chǎn)品：ScanMail系列。ScanMail系列在對(duì)郵件系統(tǒng)內(nèi)的郵件和公用文件夾內(nèi)的文件進(jìn)行病防護(hù)的同時(shí)，還可以對(duì)含有敏感性內(nèi)容的郵件進(jìn)行隔離等處理，以保護(hù)企業(yè)內(nèi)部信息流的平安。產(chǎn)品都含有純web方式的管理界面。ScanMail支持對(duì)19種壓縮類型、壓縮深度最多達(dá)20級(jí)的文件進(jìn)行病毒掃描工作。ScanMailfroMicrosoftExchange：真正支持微軟建議的AVAPI接口，以獲得更高的工作效率，減少對(duì)系統(tǒng)資源的占用。完全支持Exchange的群集技術(shù)。支持的平臺(tái)：WindowsNT(2000)。ScanMailforHPOpenMail其它許多大規(guī)模的郵件效勞器,例如：的Intermail及AsiaInfo的AIMC和Microsoft的MCIS及Netscape的MessageServer及Sendmail等5.防毒工作中央監(jiān)控系統(tǒng)：TVCS——TrendVirusControlSystem。為了讓企業(yè)能對(duì)所有的防毒產(chǎn)品和工作進(jìn)行集中管理，趨勢(shì)科技提供了產(chǎn)品TVCS。上述的趨勢(shì)科技的防毒軟件產(chǎn)品都可集成TVCS的客戶端組件—TVCSAgent。當(dāng)企業(yè)安裝了TVCS系統(tǒng)后，即可實(shí)現(xiàn)對(duì)上述產(chǎn)品的集中控制和管理。同時(shí)，TVCS也可以顯示出其他一些防毒軟件產(chǎn)品的信息，以便讓管理員統(tǒng)一監(jiān)控。 TVCS采用純web的管理界面，管理員不管在何時(shí)何地，只需有Web瀏覽器即可實(shí)現(xiàn)整個(gè)企業(yè)的防毒管理工作。完善的日志記錄和統(tǒng)計(jì)信息功能。支持彈出窗口、e-mail、尋呼機(jī)等報(bào)警方式。能夠在中心控制臺(tái)上向多個(gè)目標(biāo)系統(tǒng)分發(fā)新版殺毒軟件:防毒工作中央監(jiān)控系統(tǒng)TVCS提供統(tǒng)一而且自動(dòng)的產(chǎn)品組件更新功能，通過它實(shí)現(xiàn)趨勢(shì)科技所有防毒產(chǎn)品的掃描引擎及病毒碼更新功能。能夠在中心控制臺(tái)上對(duì)多個(gè)目標(biāo)系統(tǒng)監(jiān)視病毒防治情況:防毒工作中央監(jiān)控系統(tǒng)TVCS使管理員通過瀏覽器即可實(shí)時(shí)監(jiān)視趨勢(shì)科技所有防毒產(chǎn)品的工作情況，以及病毒防治情況。由于采用了客戶/效勞器的時(shí)間驅(qū)動(dòng)模式進(jìn)行工作，因此有效的防止了對(duì)網(wǎng)絡(luò)帶寬的過多占用。支持多種平臺(tái)的病毒防范:趨勢(shì)科技是一家專注于企業(yè)平安的產(chǎn)品供給商，具有十分完善的產(chǎn)品系列，考慮了企業(yè)內(nèi)從工作站到因特網(wǎng)網(wǎng)關(guān)，幾乎所有需要防病毒的平臺(tái)和網(wǎng)絡(luò)連接點(diǎn)。能夠識(shí)別廣泛的和未知病毒，包括宏病毒:作為作早進(jìn)入計(jì)算機(jī)防毒領(lǐng)域的廠商之一，趨勢(shì)科技在防毒技術(shù)上始終保持著領(lǐng)先的優(yōu)勢(shì)。早在1995年趨勢(shì)科技即開發(fā)出了基于人工智能〔Rule-based〕的掃描引擎，采用陷阱方式探測(cè)惡意程序可能出現(xiàn)的破環(huán)動(dòng)作，以及探測(cè)出變形病毒的真面目，從而實(shí)現(xiàn)對(duì)未知病毒的攔截。經(jīng)過不斷地完善，目前的引擎中已設(shè)下了多達(dá)12道以上的陷阱，根據(jù)傳統(tǒng)方式制作的各類新病毒根本逃不過被檢測(cè)出的命運(yùn)。1996年趨勢(shì)科技又率先推出了自己的專利技術(shù)——MacroTrap?，解決了對(duì)或未知的宏病毒的探測(cè)問題。支持對(duì)Internet/Intranet效勞器的病毒防治，能夠阻止惡意的Java或ActiveX小程序的破壞；趨勢(shì)科技的因特網(wǎng)網(wǎng)關(guān)病毒防護(hù)產(chǎn)品--InterScan系列，能夠有效阻止惡意的Java、ActiveX程序以及一些黑客程序通過因特網(wǎng)對(duì)企業(yè)進(jìn)行的入侵。InterScan在網(wǎng)關(guān)處實(shí)時(shí)監(jiān)控通過SMTP、和FTP協(xié)議傳輸?shù)男畔?nèi)容，檢查其是否存在病毒或惡意程序，并根據(jù)管理員的設(shè)定采取相關(guān)的處理方式，以保證通過網(wǎng)關(guān)出入企業(yè)的信息的平安性。支持對(duì)電子郵件附件的病毒防治，包括WORD/EXCEL中的宏病毒:趨勢(shì)科技的產(chǎn)品系列中，InterScan、OfficeScan、ScanMail等都支持對(duì)電子郵件附件的病毒防護(hù)。趨勢(shì)科技的掃描引擎中含有自己的專利技術(shù)—MacroTrap?，由于采用了人工智能的陷阱技術(shù)，還可以檢測(cè)出局部未知的宏病毒。支持對(duì)壓縮文件的病毒檢測(cè):趨勢(shì)科技的產(chǎn)品對(duì)壓縮文件的掃毒支持是同類產(chǎn)品中最為完善的。其中的InterScan和ScanMail更是支持16種以上的壓縮格式和20級(jí)的壓縮深度。支持廣泛的病毒處理選項(xiàng)，如對(duì)染毒文件進(jìn)行實(shí)時(shí)殺毒、移出、刪除、重新命名等:針對(duì)企業(yè)和個(gè)人用戶的需要，趨勢(shì)科技提供了靈活的處理選項(xiàng)。如對(duì)于網(wǎng)絡(luò)防毒，一般提供：帶警告通過〔pass〕、隔離轉(zhuǎn)移〔moveorquarantine〕、刪除〔delete〕、去除病毒〔autoclean〕等選項(xiàng)。其中對(duì)于autoclean方式，由于有些文件本身即是病毒或黑客程序，或者帶有不能隨意刪除的病毒類型，因此中選擇autoclean方式時(shí)，將會(huì)針對(duì)不能去除病毒的文件提供給用戶額外的選項(xiàng)，其中又包括：pass，move，delete方式。支持病毒隔離，當(dāng)客戶機(jī)試圖上載一個(gè)染毒文件時(shí)，效勞器可自動(dòng)關(guān)閉對(duì)該工作站的連接:趨勢(shì)科技的產(chǎn)品都支持文件隔離方式，讓管理員可以對(duì)染毒文件進(jìn)行分析，或是發(fā)往趨勢(shì)科技的支持中心以得到針對(duì)新型病毒的最新解藥?？紤]到應(yīng)盡量簡(jiǎn)化企業(yè)的防毒管理工作，以降低TCO，趨勢(shì)科技不主張采取關(guān)閉客戶連接的做法。如果采用這種方式，企業(yè)將需要有專職的防病毒管理員來處理每次的連接中斷，用戶也會(huì)覺得十分麻煩。提供對(duì)病毒特征信息和檢測(cè)引擎的定期在線更新效勞:趨勢(shì)科技的全線防毒產(chǎn)品都提供此類功能。其中大多數(shù)產(chǎn)品更是能自動(dòng)通過因特網(wǎng)更新其病毒碼、掃描引擎和產(chǎn)品升級(jí)包。通過使用TVCS，所有的防毒產(chǎn)品更新工作都可從中央進(jìn)行集中管理，并只需建立TVCS和趨勢(shì)科技間的Internet連接，而不需要各個(gè)產(chǎn)品各自去連接因特網(wǎng)。支持日志記錄功能:趨勢(shì)科技的全線產(chǎn)品都提供日志記錄功能。通過使用TVCS，所有的防毒產(chǎn)品的日志可以從單點(diǎn)進(jìn)行管理和瀏覽，并可通過TVCS得到企業(yè)所有防毒工作的各類統(tǒng)計(jì)信息和日志。支持多種方式的告警功能〔聲音、圖像、e-mail等〕:趨勢(shì)科技的全線產(chǎn)品都提供告警功能。通過使用TVCS，對(duì)企業(yè)內(nèi)所有的中毒情況都會(huì)有綜合的報(bào)警提示，包括彈出窗口、e-mail和尋呼機(jī)報(bào)警。其中的ServerProtect更是提供了包括：訊息信箱、尋呼機(jī)、打印機(jī)、Internet電子郵件、SNMP通知或?qū)懭氲絎indowsNT事件日志的多種報(bào)警方式。Interscan與FireWall的集成:TrendMicro是OPSEC的成員之一，Interscan透過CVP(ContentVectoringProtocal)的方式與CheckPointFirewall的整合，由CheckPoint在FireWall上的policy上可以設(shè)定,ftp及smtp是否經(jīng)過掃毒，其例子如下：1.LocalNet到任何一個(gè)網(wǎng)站或download或upload檔案，全經(jīng)過Interscan掃毒2.MailServer到任何的SMTPServer的Outgoing的郵件，全經(jīng)過Interscan掃毒3.SMTPServer到任何的MailServer的Outgoing的郵件，全經(jīng)過Interscan掃毒Interscan與HPOpenView的集成:TrendVCS可藉由SNMP的Protocol和HP的OpenView加以結(jié)合，而由HP的OpenView來作防毒的控制臺(tái)。解決方案1)因特網(wǎng)網(wǎng)關(guān)處防毒軟件：TrendInterScanVirusWallforUnix/LinuxorNTi)針對(duì)企業(yè)自身網(wǎng)絡(luò)(a)其中包括的模塊：E-Mailviruswall、Webviruswall、FTPviruswall、TVCS(TrendVirusControlSystem〕agent。(b)作用：對(duì)從Internet上通過SMTP、、FTP標(biāo)準(zhǔn)協(xié)議傳入的各類信息進(jìn)行防毒處理。其中E-Mailviruswall還可對(duì)傳出的信息進(jìn)行防毒；FTPVirusWall還可用來保護(hù)內(nèi)部的FTP效勞器不受外部upload的信息的病毒侵?jǐn)_〔為實(shí)現(xiàn)該功能應(yīng)將其安裝在FTP效勞器上或單獨(dú)安裝〕。(c)安裝建議：原那么上在出現(xiàn)防火墻的網(wǎng)關(guān)處都應(yīng)該部署VirusWall。InterScanVirusWall產(chǎn)品包中內(nèi)含兩個(gè)版本--標(biāo)準(zhǔn)版和CVP版。其中CVP版是專門針對(duì)與采用CVP協(xié)議的防火墻進(jìn)行集成設(shè)置而設(shè)計(jì)的，InterScan完全遵從OPSEC標(biāo)準(zhǔn)〔TREND公司是OPSEC聯(lián)盟的成員之一〕。如果企業(yè)部署的防火墻采用了CVP協(xié)議，建議使用InterScan的CVP版本。這樣部署InterScan會(huì)更簡(jiǎn)便，并且能夠更好地與防火墻協(xié)同工作。(d)購置使用許可證方式：按照子網(wǎng)內(nèi)的客戶工作站臺(tái)數(shù)計(jì)算用戶數(shù)量，按用戶數(shù)計(jì)算總價(jià)格。ii)針對(duì)Internet接入的虛擬主機(jī)效勞(a)如果虛擬主機(jī)放置于單獨(dú)的子網(wǎng)內(nèi)，電信企業(yè)可以考慮是否需要為其提供防毒效勞。如果需要提供該效勞，那么應(yīng)采用同上述類似的方式為該子網(wǎng)安裝獨(dú)立的InterScanVirusWall。iii)針對(duì)Internet接入的主機(jī)托管效勞(a)由于各個(gè)客戶的效勞器單獨(dú)放置，電信企業(yè)可以考慮為需要防毒的客戶提供效勞。原那么上應(yīng)把需要防毒的客戶和不需要防毒的客戶分在兩個(gè)不同的子網(wǎng)內(nèi)，對(duì)需要防毒的客戶子網(wǎng)安裝InterScanVirusWall。電信企業(yè)可以將其做為增值效勞向客戶收費(fèi)或免費(fèi)提供。采用此種方式時(shí)，產(chǎn)品購置方式可與軟件銷售商進(jìn)行商榷而定。iv)如果客戶考慮DedicatedServer的模式，Trend公司可以為客戶與軟件產(chǎn)品一起提供硬件平臺(tái)。軟硬件由Trend公司或集成商進(jìn)行整體維護(hù)。2)企業(yè)內(nèi)部網(wǎng)絡(luò)防毒軟件：TrendServerProtect，TrendOfficeScani)ServerProtectforNTandNetWarea)ServerProtect安裝時(shí)分為三局部：普通效勞器模塊、信息分發(fā)效勞器模塊、管理控制臺(tái)模塊。b)ServerProtect應(yīng)安裝在所有的NT和NetWare效勞器上，其中的一臺(tái)將做為信息分發(fā)效勞器〔InformationServer〕，由它對(duì)所有效勞器上的ServerProtect進(jìn)行管理和控制。c)管理控制臺(tái)模塊可安裝在win95/98/NT上，管理員可以在安裝有控制臺(tái)模塊的機(jī)器上對(duì)整個(gè)ServerProtect系統(tǒng)進(jìn)行中央管理。ii)OfficeScand)OfficeScan是單機(jī)產(chǎn)品的企業(yè)版軟件，整個(gè)軟件只需安裝在一臺(tái)NT效勞器上，客戶機(jī)上的防毒模塊可以自動(dòng)地、透明地分發(fā)到各個(gè)客戶機(jī)上，包括、win95/98、winNT/2000等平臺(tái)的機(jī)器。所有客戶機(jī)的防毒工作由效勞器管理，管理員籍此可以實(shí)現(xiàn)對(duì)所有客戶機(jī)防毒工作的集中管理和配置。3)防毒軟件中央控制系統(tǒng)：TrendVirusControlSystem——TVCSi)趨勢(shì)科技的所有防毒產(chǎn)品都可以選裝TVCS的客戶端代理模塊，一旦企業(yè)安裝了TVCS系統(tǒng)，就可以實(shí)現(xiàn)不管何時(shí)何地都可以從某個(gè)WEB瀏覽器上對(duì)整個(gè)防毒系統(tǒng)進(jìn)行管理和控制，為管理工作提供了極大的便利性。4吉通上海IDC信息平安策略解決方案4.1概述惠普公司提供的平安效勞符合平安體系結(jié)構(gòu)的平安周期理論，平安周期是包含如下4個(gè)環(huán)節(jié)的循環(huán)過程：評(píng)估策略結(jié)構(gòu)實(shí)施通過風(fēng)險(xiǎn)評(píng)估來客觀地確定當(dāng)前狀況的平安狀態(tài)，了解沒有到達(dá)預(yù)期平安狀態(tài)的地方，根據(jù)評(píng)估的結(jié)果以及相應(yīng)的標(biāo)準(zhǔn)制定平安策略，明確平安的指導(dǎo)方針和各種行為的平安準(zhǔn)那么，在此根底上確定平安體系結(jié)構(gòu)，并進(jìn)行實(shí)施。由于網(wǎng)絡(luò)狀態(tài)以及其他平安因素的不斷變化，平安評(píng)估需要定期進(jìn)行，這就又啟動(dòng)了一個(gè)平安過程，上