【正文】 在網(wǎng)絡(luò)發(fā)現(xiàn)安全脆弱性時， Active Security 執(zhí)行自定義的自動響應(yīng)。 產(chǎn)品特征： ? 全面的掃描工具可以發(fā)現(xiàn)系統(tǒng)和網(wǎng)絡(luò)脆弱性，并且提供執(zhí)行總結(jié)與挖掘報告選項； ? 易于使用的圖形界面創(chuàng)建自定義掃描配置文件 ； ? 獨特的跟蹤器信息包防火墻測試提供詳細的防火墻 /路由器審計； ? AutoUpdate 功能保持掃描引擎、掃描檢測和脆弱性數(shù)據(jù)庫處于當前狀態(tài)； ? 脆弱性數(shù)據(jù)庫編輯器允許自定義設(shè)置和用于每次掃描測試的解決方案建議； ? 3D 網(wǎng)絡(luò)圖用于確定網(wǎng)絡(luò)設(shè)備和連接； ? 為任何 IP 設(shè)備或協(xié)議創(chuàng)建自定義掃描測試的 CASL（自定義審計腳本語言）腳本工具； ? 入侵檢測監(jiān)控測試系統(tǒng)和網(wǎng)絡(luò)動態(tài)檢測器的校驗功能； ? 集成到 Active Security 結(jié)構(gòu)上提供事件編排和先進安全性策略管理。 其系統(tǒng)構(gòu)成如下圖所示： 31 CyberCop Scanner 利用 AutoUpdate 技術(shù)，保持引擎、解決方案與脆弱性數(shù)據(jù)庫為最新狀態(tài)。通過監(jiān)視來自網(wǎng)絡(luò)的攻擊、非法的闖入、異常進程， CyberCop Monitor能夠?qū)崟r精確 地判斷入侵事件，包括應(yīng)用層的入侵事件，并作出切斷服務(wù) /重啟服務(wù)器進程 /發(fā)出警報 /記錄入侵過程等相應(yīng)的動作，從而有效地保護主機設(shè)備不受侵犯。 InfoWorld最近的一次測試表明，幾乎所有的基于網(wǎng)絡(luò)的 Intrusion Detect System (IDS) 均不能對某些攻擊手段作出正確的判斷。 自動響應(yīng) 自動響應(yīng)入侵行為，如：重啟服務(wù)器、終止違規(guī)進程、終止違規(guī)等錄連接、禁止或避免違規(guī)帳號等。通過監(jiān) 視 可疑的連接、系統(tǒng)日志、 來自網(wǎng)絡(luò)的攻擊、非法的侵入、異常進程， CyberCop Monitor 系統(tǒng)能夠立即做出響應(yīng)，做出切斷服務(wù) /重啟服務(wù)器進程/發(fā)出報警 /記錄入侵過程等動作。 其系統(tǒng)構(gòu)成如下圖所示： Firewalll ChinaNet CyberCop Monitor Console Report DBMS CyberCop Monitor CyberCop Monitor CyberCop Monitor CyberCop Monitor CyberCop Monitor CyberCop Monitor 26 圖中表明，在安全子系統(tǒng)的監(jiān)控主機上安裝一套 CyberCop Monitor Console，在所有需保護的監(jiān)控點安裝 CyberCop Monitor，構(gòu)成安全子系統(tǒng)的監(jiān)控功能。 Eppliance 防火墻采用 NAI 公司經(jīng)過認證的知名軟件， Gautlet Firewall 、 VPN和 WebShield 來構(gòu)建， Eppliance 是 NAI 公司世界一流安全產(chǎn)品與 SUN 公司的硬件 Server 合一的產(chǎn) 品，可安裝在標準 19 英寸機柜中，使硬件防火墻的安全等級提高到一個新的高度。 (7)多平臺支持 可運行在 SUN、 HP、 IRIX 上的 UNIX 系統(tǒng) , NT 平臺上的 。 以下是在第三方測試環(huán)境中， NAI Gauntlet 防火墻同其它防火墻的綜合性能對比圖： 23 Gauntet 防火墻有如下功能及特點 : (1)友好的管理界面 基于 Java 或ＮＴ環(huán)境 ,可以在Ｗ eb 瀏覽器中 , 支持遠程管理和配置 , 可從網(wǎng)絡(luò)管理平臺上監(jiān)控和配置 , 如 NT Server 和 HP Open View、 Gauntlet 還支持通過服務(wù)器 ,企業(yè)內(nèi)部網(wǎng)、 Inter 來存取和管理 SNMP 設(shè)備。美國網(wǎng)絡(luò)聯(lián)盟公司擁有 35 個以上的辦事處， 3000 多名雇員，在全球六大洲運作， 1998 年的營業(yè)額達 億美元。 √ 個人證書：個人證書用于 SSL 的服務(wù)器訪問及 Secure Mail。 √ 加密 信任的通訊雙方各自使用對方的 Public Key 加密通訊報文，接收方使用自己的Private Key 還原報文。 √ 證書簽發(fā)者的簽名和簽名算法。 Inter/Intra上流行的 SSL/SMIME 均使用 及 PKI 完成認證和加密通訊。 操作系統(tǒng)安全 市場上幾乎所有的操作系統(tǒng)均已發(fā)現(xiàn)有安全漏洞，并且越流行的操作系統(tǒng)發(fā)現(xiàn)的問題越多。 (7) 小心設(shè)置 Web 服務(wù)器的訪 問控制表。 但 Web 服務(wù)器越來越復(fù)雜，其被發(fā)現(xiàn)的安全漏洞越 來越多。 (2) 檢查和清除病毒。由于網(wǎng)絡(luò)的廣泛互聯(lián)，病毒的傳播途徑和速度大大加快。 但是，域名服務(wù)通常為 hacker 提供了入侵網(wǎng)絡(luò)的有用信息，如服務(wù)器的 IP、操作系統(tǒng)信息、推導(dǎo)出可能的網(wǎng)絡(luò)結(jié)構(gòu)等。 ISAKMP/Oakley 使用 數(shù)字證書，因此，使 VPN 能夠容易地擴大到企業(yè)級。該標準為每個 IP 包增加了新的包頭格式， Authentication Header(AH)及 encapsualting security payload(ESP)。偽造數(shù)字簽名從計算能力上是不可行的。企業(yè)網(wǎng)絡(luò)接入到 CNFN，暴露出兩個主要危險： (1) 來自 CNFN 的未經(jīng)授權(quán)的對企業(yè)內(nèi)部網(wǎng)的存取。 基于 PKI 的認證 使用公開密鑰體系進行認證和加密。 (7) 電子郵件通訊雙方的認證。 14 認證和數(shù)宇簽名技術(shù) 認證技術(shù)主要解決網(wǎng)絡(luò)通訊過程中通訊雙方的身份認可，數(shù)字簽名作為身份認證技術(shù)中的一種具體技術(shù)，同時數(shù)字簽名還可用于通信過程中的不可抵賴要求的實現(xiàn)。 (3) 能夠發(fā)現(xiàn)的漏洞數(shù)量。 基于服務(wù)器的掃描器主要掃描服務(wù)器相關(guān)的安全漏洞，如 password 文件，目錄和文件權(quán)限，共享文件系統(tǒng)，敏感服務(wù)，軟件，系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法建議。 (3) 自身安全的完備性。 (3) 監(jiān)視粒度更細致。 (4) Storage 保存分析結(jié)果及相關(guān)數(shù)據(jù)。 (2) 入侵者可能就在防火墻內(nèi)。 √ Firewall 可支持對撥號接入的集中管理和過濾。 √ Firewall 必須是靈活的，以適應(yīng)新的服務(wù)和機構(gòu)智能改變帶來的安全策略的改變。 撥入 /撥出策略 √ 撥入 /撥出能力必須在設(shè)計 Firewall 時進行考慮和集成。 √ 提供以上服務(wù)和訪問的風險。 √ 有時需要對客戶軟件進行修改。應(yīng)用網(wǎng)關(guān)和包過濾器混合使用能提供比單獨使用應(yīng)用網(wǎng)關(guān)和包過洗器更 9 高的安全性和更大的靈活性。例如，定義規(guī)則禁止所有到達 (Inbound)的端口 23 連接 (tel)，如果某些系統(tǒng)需要直接Tel 連接，此時必須為內(nèi)部網(wǎng)的每個系統(tǒng)分別定義一條規(guī)則。 增強的認證機制包含智能卡，認證令 牌，生理特征 (指紋 )以及基于軟件 (RSA)等技術(shù)，來克服傳統(tǒng)口令的弱點。 服務(wù)訪問策略必須是可行的和合理的。如在 Firewall 可以定義不同的認證方法，而不需在每臺機器上分別安裝特定的認證軟件。 IP 協(xié)議族各廠家實現(xiàn)的不完善，因此，在網(wǎng)絡(luò)層發(fā)現(xiàn)的安全漏洞相對更多，如 IP sweep, teardrop, syncflood, IP spoofing 攻擊等。 但是，虛擬網(wǎng)技術(shù)也帶來了新的安全問題： (1) 執(zhí)行虛擬網(wǎng)交換的設(shè)備越來越復(fù)雜，從而成為被攻擊的對象。 6 第三章 安全體系的實現(xiàn)技術(shù) 基于以上的分析，企業(yè)網(wǎng)絡(luò)系統(tǒng)涉及到各方面的網(wǎng)絡(luò)安全問題，我們認為整個企業(yè)的安全體系必須集成多種安全技術(shù)實現(xiàn)。 網(wǎng)絡(luò)安全 針對網(wǎng)絡(luò)設(shè)備和鏈路的保護。 4) 使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。 20xx 年是金橋網(wǎng)建設(shè)大發(fā)展的一年，骨干網(wǎng)帶寬及國際出口帶寬將 進一步擴寬以滿足用戶的需要；網(wǎng)絡(luò)節(jié)點將大規(guī)模增加以增加網(wǎng)絡(luò)的覆蓋；在已經(jīng)建設(shè)的網(wǎng)管中心、維護中心的基礎(chǔ)上，還將建設(shè)計費與結(jié)算中心、客服中心、認證中心、數(shù)據(jù)中心，使網(wǎng)絡(luò)的規(guī)模、業(yè)務(wù)與服務(wù)的水平都上到一個新的臺階。 (6) 備份和恢復(fù)。 (2) 檢查安全漏洞。 (3) 使用人員的安全意識薄弱。 構(gòu)建平臺安全系統(tǒng)，一方面由于要進行認證、加密、監(jiān)聽，分析、記錄等工作，由此影響網(wǎng)絡(luò)效率，并且降低客戶應(yīng)用的靈活性；另一方面也增加了管理費用。如通過電子郵件、 FTP 引入病毒、危險的 Java 或 ActiveX 應(yīng)用等。 業(yè)務(wù)系統(tǒng)的安全需求 與普通網(wǎng)絡(luò)應(yīng)用不同的是，業(yè)務(wù)系統(tǒng)是應(yīng)用的核心。 (3) 來自內(nèi)部網(wǎng)用戶的安全威脅。 吉通公司金橋網(wǎng)全網(wǎng)安全 項 目 建 議 書 1 第一章 安全體系的認識 安全威脅 自信息系統(tǒng)開始運行以來就存在信息系統(tǒng)安全問題，通過網(wǎng)絡(luò)遠程訪問而構(gòu)成的安全威脅成為日益受到嚴重關(guān)注的問題。 (4) 缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)系統(tǒng)的安全性。對于業(yè)務(wù)系統(tǒng)應(yīng)該具有最高的網(wǎng)絡(luò)安全措施。因此，需要在網(wǎng)絡(luò)內(nèi)對上述情況提供集成的網(wǎng)絡(luò)病毒檢測、消除等操作。 但是，來自網(wǎng)絡(luò)的安全威脅是實際存在的，特別是在網(wǎng)絡(luò)上運行關(guān)鍵業(yè)務(wù)時，網(wǎng)絡(luò)安全是首先要解決的問題。 (4) 管理制度的薄弱。通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標，也可使絕大多數(shù)攻擊無效。良好的備份和恢復(fù)機制，可在攻擊造成損失時，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。 隨著用戶數(shù)量的不斷擴大，應(yīng)用水平的不斷提高，一個不容忽視的問題 ——網(wǎng)絡(luò)安全越來越受到人們的關(guān)注， 對網(wǎng)絡(luò)安全體系的建立和全面解決方案的需求迫在眉睫。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)。由于金橋網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜性，不可能對全網(wǎng)做到集中式的安全管理，可采取分布式，針對各地分公司（節(jié)點）的不同網(wǎng)段（如網(wǎng)管網(wǎng)段、辦公網(wǎng)段、用戶接入網(wǎng)段）或根據(jù)提供的不同業(yè)務(wù)類別，實施不同級別的安全管理措施。如虛擬網(wǎng)技術(shù)、防火墻技術(shù)，入侵監(jiān)控技術(shù)、安全漏洞掃描技術(shù)、加密技術(shù)、認證和數(shù)字簽名技術(shù)等。 (2) 基于網(wǎng)絡(luò)廣播原理的入侵監(jiān)控技術(shù)在高速交換網(wǎng)絡(luò)內(nèi)需要特殊的設(shè)置。 防火墻枝術(shù) 防 火墻是近年發(fā)展起來的重要安全技術(shù)，其主要作用是在網(wǎng)絡(luò)入口點檢查網(wǎng)絡(luò)通訊，根據(jù)客戶設(shè)定的安全規(guī)則，在保護內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通訊。外部用戶也只需要經(jīng)過 — 次認證即可訪問內(nèi)部網(wǎng)。可行的策略必須在阻止己知的網(wǎng)絡(luò)風險和提供用戶服務(wù)之間獲得平衡。 雖然存在多種認證技術(shù)，它們均使用增強的認證機制產(chǎn)生難于被攻擊者重用的口令和密鑰。 √ 某些包過濾路由器不支持 TCP/UDP 源端口過濾，可能使過濾規(guī)則集更加復(fù) 雜，并在過濾模式中打開了安全漏洞。 應(yīng)用網(wǎng)關(guān)的優(yōu)點是： √ 比包過濾路由器更高的安全件。 √ 可能會降低網(wǎng)絡(luò)性能。 √ 提供網(wǎng)絡(luò)安全控制的同時，對系統(tǒng)應(yīng)用服務(wù)犧牲的代價。 √ 外部撥入用戶必須通過 Firewall 的認證。 √ Firewall 必須支持增強的認證機制。 √ Firewall 應(yīng)支持對交通、可疑活動的日志記錄。 (3) 由于性能的限制，防火焰通常不能提供實時的入侵檢測能力。 基于主機的安全監(jiān)控系統(tǒng)具備如下特點： (1) 精確，可以精確地判斷入侵事件。 (4) 精確度較差。 (4) 精確度及完整度，防欺騙能力。通常與相應(yīng)的服務(wù)器操作系統(tǒng)緊密相關(guān)。 (4) 是否支持可定制的攻杰方法。 認證技術(shù)將應(yīng)用到企業(yè)網(wǎng)絡(luò)中的以下方面： (1) 路由器認證，路由器和交換機之間的認證。 數(shù)字簽名技術(shù)主要用于： (1) 基于 PKI 認證體系的認證過程。該種方法安全程度較高，綜合采用了摘要算法、不對稱加密、對稱加密、數(shù)字簽名等技術(shù)，很好地將安全性和高效率結(jié)合起來。 (2) 當企業(yè)通過 CNFN 進行通訊時，信息可能受到竊聽和非法修改。 并且，如果消息隨數(shù)字簽名一同發(fā)送，對消息的任何修改在驗證數(shù)字簽名時都將會被發(fā)現(xiàn)。 IPsec使用 ISAKMP/Oakley 及 SKIP 進行密鑰交換、管理及加密通訊協(xié)商 (Security Association)。 (易于管理 )。 同時，新發(fā)現(xiàn)的針對 BINDNDS 實現(xiàn)的安全漏洞也開始發(fā)現(xiàn)，而 絕大多數(shù)的域名系統(tǒng)均存在類似的問題。 我們將病毒的途徑分為： (1 ) 通過 ftp，電子郵件傳播。 使用防病毒軟件檢查和清除病毒。為了防止 Web 服務(wù)器成為攻擊的犧牲品或成為進入內(nèi)部網(wǎng)絡(luò)的跳板，我們需要給予更多的關(guān)心： (1) Web 服務(wù)器置于防火墻保護之下。 電子郵件系統(tǒng)安全 電子郵件系統(tǒng)也是網(wǎng)絡(luò)與外部必須開放的服務(wù)系統(tǒng)。對操作系統(tǒng)的安全，除了不斷地增加安全補丁外，還需要： 18 (1) 檢查系統(tǒng)設(shè)置 (敏感數(shù)據(jù)的存放方式，訪問控制，口令選擇 /更新 )。 PKI 認證和通訊