【正文】 ，進(jìn)行口令加密控制，使的用戶不能隨意改變防病毒軟件的設(shè)置。 2．配置和集中管理 從管理臺(tái)上可以集中對(duì)病毒軟件庫(kù)中的防病毒軟件組件進(jìn)行配置，通過(guò)配置可以簡(jiǎn)化客戶端的管理和提高運(yùn)行效率，并使全網(wǎng)的防病毒策略保持一致。 對(duì)于由 ePO管理的域成員機(jī)器 ，首先在 ePO 的軟件庫(kù)里安裝更新的 .DAT 文件和升級(jí)文件，然后由 ePO 采用拉方式自動(dòng)地將 .DAT 文件和升級(jí)文件送到病毒域里的各個(gè) 機(jī)器。中國(guó)銀行總行及其分行、中國(guó)建設(shè)銀行總行及其分行系統(tǒng)就采取了 NAI 的 AVD 的反病毒解決方案。報(bào)警管理也構(gòu)成層次管理，下一級(jí)的病毒事件報(bào)警可以集中到上一級(jí)的報(bào)警管理器。CyberCop 的安裝示意圖如下表示： 泉州電信公司網(wǎng)絡(luò)安全解決方案 23 注意：因?yàn)檫@兩種防黑客產(chǎn)品的安裝和具體的網(wǎng)絡(luò)結(jié)構(gòu)沒(méi)有必然的聯(lián)系， CyberCop Scanner 通過(guò)在內(nèi)部網(wǎng)絡(luò)中的一臺(tái) 服務(wù)器或工作站上安裝，就可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)所需進(jìn)行弱點(diǎn)評(píng)估的機(jī)器實(shí)現(xiàn)弱點(diǎn)掃描，做到防患與未然； CyberCop Sting 同樣不會(huì)改變網(wǎng)絡(luò)的結(jié)構(gòu)，通過(guò)一臺(tái) 服務(wù)器虛擬一個(gè)或多個(gè)內(nèi)部網(wǎng)絡(luò)。 由此可見(jiàn)，系統(tǒng)配備了 CyberCop Scanner 掃描器后，不但 可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)的安全漏洞，完善網(wǎng)絡(luò)安全策略，同時(shí)也可以完善企業(yè)管理，提高生產(chǎn)效率。 CyberCop Scanner 掃描器完成每次掃描工作后都會(huì)生成三維的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，準(zhǔn)確標(biāo)識(shí)掃描過(guò)的網(wǎng)絡(luò)上的主機(jī)和網(wǎng)絡(luò)設(shè)備。 總的來(lái)說(shuō)， CyberCop Scanner 掃描器具有以下優(yōu)點(diǎn)： ? 安全策略實(shí)施 通過(guò)掃描網(wǎng)絡(luò)，精確確定網(wǎng)路中的情況和安全狀態(tài)，判斷是否滿足安全策略； ? 集中的日 志管理 ? 允許集中審計(jì)整個(gè)網(wǎng)絡(luò)； ? 參照比較 初始網(wǎng)絡(luò)掃描完成后，日志用來(lái)與進(jìn)一步的掃描參照比較； ? 最小資源開(kāi)銷(xiāo) 自動(dòng)安全掃描時(shí)企業(yè)為經(jīng)常性審計(jì)只需花一次費(fèi)用。安全掃描 CyberCop Scanner 是一套用于 網(wǎng)絡(luò)安全掃描的軟件工具，由富有實(shí)際經(jīng)驗(yàn)的安全專(zhuān)家開(kāi)發(fā)和維護(hù)。 安全掃描工具源于黑客在入侵網(wǎng)絡(luò)系統(tǒng)時(shí)采用的工具，商品化的安全掃描工具為網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn)提供了強(qiáng)大的支持。 三． PGP 安裝平臺(tái)要求 PGP Keyserver 支持 Sun Solaris (SPARC) 及其更高版本，或 Microsoft Windows NT(Intel)，建議采用高性能的 Intel X86 平臺(tái)來(lái)安裝： PIII850 以上 CPU, 256Mb 以上內(nèi)存，9G 硬盤(pán)，一塊 10/100M 網(wǎng)卡， VGA 顯卡 (800*600)分辨率 (4M 以上 )。 超級(jí)安全卷 (黑箱 技術(shù) )PGPdisk 基于卷的結(jié)構(gòu)創(chuàng)建一個(gè)虛擬黑箱，隱藏文件全部信息的存在，包括姓名、主題信息和所有權(quán)標(biāo)識(shí)。在泉州電信公司個(gè)人用戶 網(wǎng)絡(luò)中建立一臺(tái) PGP Keyserver 來(lái)管理所有 PGP Desktop 用戶的公鑰。 PGP 僅用鼠標(biāo)就可完成全部的加密、解密、簽名與身份驗(yàn)證全過(guò)程；支持任何形式的文件，包括文本、電子表格、圖形及音視頻文件；支持流行的軟件包，如 Claris Emailer MS Exchange MS outlook, Netscape Communicater 和 QUALCOMM Eodora 等，并與之集成。當(dāng)然如果認(rèn)為省局是信任網(wǎng)絡(luò)也可以不安裝 NAI Gauntlet 防火墻。 因泉州電信整個(gè)網(wǎng)絡(luò)架構(gòu)在高速網(wǎng)絡(luò)上，普通防火墻不能提供接口，我們建議在高速網(wǎng)絡(luò)處使用 NAI 公司針對(duì)千兆網(wǎng)絡(luò)而設(shè)計(jì)的千兆級(jí)防火墻 PGP 1000 eppliance ： – 4 440 MHz Sun Sparc processors – 4 GB RAM – 1 VPN Cryptographic accelerator – 2 Gigabit Ether Adapters – 1 4 port 10/100 Ether Adapter – 1 built in Ether port – 3 N+1 Redundant Power Supplies 四、 GauntLet 防火墻的部署 根據(jù)泉州電信公司網(wǎng)絡(luò)撲圖的結(jié)構(gòu)圖可知，用戶可以在 5000 50002 交換機(jī)與通過(guò)ADSL 與外部相連的地方部署 NAI Gauntlet 防火墻；可以在 AS5300與 50002 交換機(jī)相連的地方部署 NAI Gauntlet 防火墻；可以在 5000 50002 交換機(jī)與 CISCO7507 CISCO75072之間部署 PGP EPpliance 1000 硬件防火墻；可以在 5000 交換機(jī)與 CISCO 2511 之間部署 NAI Gauntlet 防火墻；可以在 97 主機(jī)群和資費(fèi)主機(jī)群關(guān)鍵服務(wù)器之前部署 NAI Gauntlet 防火墻。不能阻斷外部互聯(lián)網(wǎng)用戶的泉州電信公司網(wǎng)絡(luò)安全解決方案 11 惡意訪問(wèn)和攻擊，同時(shí)暴露泉州電信公司內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)，不能阻斷內(nèi)部網(wǎng)絡(luò)用戶中有黑客傾向的員工對(duì)內(nèi)部網(wǎng)絡(luò)內(nèi)的關(guān)鍵服務(wù)器 97server 與資費(fèi)主機(jī)系統(tǒng)與資費(fèi)主機(jī)系統(tǒng)的惡意訪問(wèn)或越權(quán)訪問(wèn)以及對(duì)該關(guān)鍵服務(wù)器的攻 擊；公司只有有限的公網(wǎng) IP 地址，不能使公司員工同時(shí)上網(wǎng)，不能隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，不能拒絕非授權(quán)的訪問(wèn)，如果有單獨(dú)的對(duì)外公布的機(jī)器，同樣不能得到有效的保護(hù)，不能對(duì)外僅公布 HTTP、 SMTP、 POP DNS 等服務(wù)，同時(shí)不能對(duì)FTP 等其它額外的服務(wù)做出禁止，不能對(duì) HTTP 服務(wù)本身做出進(jìn)一步限制。 ? 節(jié)省費(fèi)用，第三方的認(rèn)證設(shè)備 (軟件或硬件 )只需安裝在應(yīng)用網(wǎng)關(guān)上。 ? 采用自適應(yīng)代理技術(shù)，可提供包過(guò)濾防火墻的高速度。 C． 預(yù)防問(wèn)題 通過(guò)在廣域網(wǎng)上對(duì)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)流量的實(shí)施監(jiān)控和分析，預(yù)防問(wèn)題的發(fā)生 ，在系統(tǒng)出現(xiàn)性能抖動(dòng)時(shí)，就能及時(shí)發(fā)現(xiàn)，并建議系統(tǒng)管理員采用及時(shí)的處理。 其具體的功能有： Netshield： 全球領(lǐng)先的服務(wù)器防病毒解決方案。所謂多層病毒防衛(wèi)體系，是指在每個(gè)臺(tái)式機(jī)上要安裝臺(tái)式機(jī)的反病毒軟 件，在服務(wù)器上要安裝基于服務(wù)器的反病毒軟件，在網(wǎng)關(guān)上要安裝基于網(wǎng)關(guān)的反病毒軟件，因?yàn)榉乐共《镜墓羰敲總€(gè)員工的責(zé)任，人人都要做到自己使用的臺(tái)式機(jī)上不受病毒的感染，從而保證整個(gè)企業(yè)網(wǎng)不受病毒的感染。 ? 防止來(lái)自網(wǎng)絡(luò)內(nèi)部的其它破壞或誤操作造成的安全隱患。 （ 6）多重保護(hù)原則 任何安全保護(hù)措施都不是絕對(duì)安全的，都可能被攻破。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果 。加之泉州電信公司網(wǎng)絡(luò)連接點(diǎn)多面廣，客觀上為黑客的入侵提供了較多的切入點(diǎn)。 5）管理上引起的安全性 再好的安全產(chǎn)品，再好的安全策略，若無(wú)嚴(yán)格的管理制度，則一切形同虛設(shè)。 完整性：保證非授權(quán)操作不能修改數(shù)據(jù)。 2）來(lái)自網(wǎng)絡(luò)病毒的安全威脅 由于 Inter 的迅快 發(fā)展，將文件附加在電子郵件中的能力不斷提高以及世界對(duì)計(jì)算機(jī)的依賴(lài)程度不斷提高，使得病毒的擴(kuò)散速度也急驟提高，受感染的范圍越來(lái)越廣，據(jù) NCSA調(diào)查，在 1994 年中，只有約 20%的企業(yè)受到過(guò)病毒的攻擊，但是在 1997 年中，就有約 %的企業(yè)受到病毒的攻擊，也就是說(shuō)幾乎沒(méi)有那一家企業(yè)可以逃脫病毒的攻擊。通過(guò)網(wǎng)絡(luò)掃描，可以了解網(wǎng)絡(luò)的安全配置和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)安全漏洞，客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)，更正網(wǎng)絡(luò)系統(tǒng)中的錯(cuò)誤配置。采用入侵檢測(cè)系統(tǒng)，可提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如記錄入侵證據(jù)、斷開(kāi)網(wǎng)絡(luò)連接等。 （ 3）一致性原則 這主要是指網(wǎng)絡(luò)安全問(wèn)題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期（或生命周期）同時(shí)存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。 信息的完整性是與網(wǎng)絡(luò)系統(tǒng)的完整性相關(guān)，信息的有效性保障則要運(yùn)用綜合的安全手段。如何尋找到網(wǎng)絡(luò)脆弱性數(shù)據(jù)，怎樣測(cè)量你的安全性預(yù)算并決定用于安全環(huán)境的工作量，網(wǎng)絡(luò)漏洞掃描產(chǎn)品可以解決這些問(wèn)題。 VirusScan ：為全球領(lǐng)先的桌面防病毒產(chǎn)品，可運(yùn)行在 DOS、 Windows 、 Windows 95/98/2020 PRO、 Windows NT 、 Mac 和 OS/2 等平臺(tái)上。 McAfee AVD 套件中 Inter Security Suite 在網(wǎng)關(guān)上可以提供全面的病毒防衛(wèi)系統(tǒng)，封鎖病毒所有可能的進(jìn)入點(diǎn)。 對(duì)網(wǎng)絡(luò)系統(tǒng)整體的運(yùn)行情況作出長(zhǎng)期的健康和趨勢(shì)報(bào)告，分析系統(tǒng)的使用情況，對(duì)新系統(tǒng)的規(guī)劃提供科學(xué)的參考依據(jù)。 ? 提供對(duì)協(xié)議的過(guò)濾，如可以禁止 FTP 連接的 Put 命令、 cd 命令、 rm 命令等。 ? 健壯的認(rèn)證和日志。同時(shí)我們根據(jù)對(duì)泉州電信的拓?fù)鋱D分析所知，同樣在未安裝防火墻之前 對(duì)專(zhuān)用網(wǎng)的用戶 (DDN 用戶、 E1 用戶、省局WAN 用戶、市話網(wǎng)用戶、 ATM 用戶 )不能作到防患，不能禁止專(zhuān)用網(wǎng)另一端用戶的非授權(quán)訪問(wèn)和攻擊。同時(shí)不對(duì) Inter 外部網(wǎng)開(kāi)通對(duì)內(nèi)部網(wǎng)訪問(wèn)權(quán)限。為了保護(hù)個(gè)人電腦的安全，必須為個(gè)人用戶安裝個(gè)人防火墻，另外，為了確保公開(kāi)信道上的數(shù)據(jù)安全，必須在通道上 采用加密數(shù)據(jù)方式的方式，當(dāng)發(fā)送方線路終端發(fā)送數(shù)據(jù)時(shí)，通過(guò)一定的加密算法和密鑰協(xié)商方案，將需要發(fā)送的數(shù)據(jù)進(jìn)行加密，然后在公開(kāi)的信道上進(jìn)行傳輸。 PGP 還添加了其 它安全性，它結(jié)合了檢查原作者以及文檔完整性的強(qiáng)大數(shù)字簽名能力。 PGPdisk 利用其強(qiáng)大的加密能力阻止入侵者突擊探您的文件。 虛擬內(nèi)存保護(hù)措施 PGPdisk 總是從內(nèi)存中清除您的密碼短語(yǔ)，確保使用虛擬內(nèi)存時(shí)您的么人訪問(wèn)代碼無(wú)法訪問(wèn)。 PGP 具體配置如下圖所示： 泉州電信公司網(wǎng)絡(luò)安全解決方案 17 PGP 個(gè)人電腦安全套件部署示意圖 泉州電信公司網(wǎng)絡(luò)安全解決方案 18 第五章 系統(tǒng)與網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估及漏洞掃描解決方案 網(wǎng)絡(luò)安全技術(shù)中，另一類(lèi)重要技術(shù)為風(fēng)險(xiǎn)評(píng)估與安全掃描技術(shù)。通常與相應(yīng)的服務(wù)器操作 系統(tǒng)緊密相關(guān)。 CyberCop Scanner 掃描器產(chǎn)生豐富的報(bào)表： HTML、 ASCII、 RTF、 Comma Delimited。 CyberCop Scanner 掃描器作為一套性能優(yōu)異網(wǎng)絡(luò)掃描工具，必須借助于完善的管理才能發(fā)揮它應(yīng)有的作用，否則就會(huì)適得其反。 （ 3） 發(fā)現(xiàn) 應(yīng)用服務(wù)，了解系統(tǒng)運(yùn)行狀況 泉州電信公司網(wǎng)絡(luò)是一個(gè)多應(yīng)用的系統(tǒng)平臺(tái)，其上運(yùn)行有多種應(yīng)用系統(tǒng)?？煽箵艟W(wǎng)絡(luò)窺探。結(jié)合泉州電信公司網(wǎng)絡(luò)的防病毒需求、網(wǎng)絡(luò)結(jié)構(gòu)和 NAI AVD 防病毒套件的特征，我們構(gòu)建一個(gè)多層次、多入口的立體病毒防護(hù)體系。 兩地局域網(wǎng)，各自負(fù)責(zé)自己所轄域的防病毒軟件的分發(fā)、管理、配置、安裝和升級(jí)數(shù)據(jù)的提供，集中收集所轄域的病毒報(bào)警事件，匯總病毒掃描報(bào)告和狀態(tài)，維護(hù)所轄域防病毒軟件的一致性和動(dòng)態(tài)防御能 力。利用管理控制臺(tái)，在一個(gè)集中的界面下，對(duì)所轄防病毒域的機(jī)器安裝防病毒域軟件 、卸載防病毒軟件、配置和修改防病毒軟件，這些所有操作簡(jiǎn)化了最終用戶使用防病毒軟件的復(fù)雜性，同時(shí)使管理對(duì)所轄范圍的病毒感染情況和反病毒情況有一個(gè)集中的了解，利用這些數(shù)據(jù)再制定所轄域的防病毒策略。 在泉州電信公司的各個(gè)不同地區(qū) (泉州電信公司總部與各分支機(jī)構(gòu) )的局域網(wǎng)上，分別建立共享的文件目錄或 FTP 服務(wù)器，其中存放有 .DAT 更新文件和升級(jí)文件。在管理服務(wù)器上建立了集中的病毒分發(fā)報(bào)告、各被管機(jī)器的病毒掃描報(bào)告、所安裝軟件的版本等報(bào)告，所有病毒掃描狀態(tài)信息都可由控制臺(tái)得到。同時(shí)可以設(shè)定掃描時(shí)的參數(shù)和范圍，掃描結(jié)果記錄日志文件和管理服務(wù)器的數(shù)據(jù)庫(kù)中。這些方面都是評(píng)價(jià)一個(gè)網(wǎng)絡(luò)系統(tǒng)好壞的重要指標(biāo)。 配置要求： 根據(jù)泉州電信公司的網(wǎng)絡(luò)拓?fù)淝闆r，我們建議配置一臺(tái)便攜 式 Sniffer 來(lái)做為泉州電信公司的網(wǎng)絡(luò)管理及故障檢測(cè)工具，具體配置如下： 軟件： Sniffer Pro Portable Analysis Suite，支持局域網(wǎng)，廣域網(wǎng)，高速網(wǎng)絡(luò)。 從泉州電信公司網(wǎng)絡(luò)結(jié)構(gòu)可以看出：其網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)眾多，對(duì)整個(gè)網(wǎng)絡(luò)的管理維護(hù)需要投入大量的精力，另外與各分支機(jī)構(gòu)之間的通訊及上 Inter,都需要在多個(gè)網(wǎng)絡(luò)之間進(jìn)行較為繁瑣的路由（專(zhuān)用通訊網(wǎng)絡(luò)與公網(wǎng)），在這種情況下，一旦中間環(huán)節(jié)發(fā)生故障，就有可能導(dǎo)致整個(gè)網(wǎng)上應(yīng) 用無(wú)法正常進(jìn)行。 客戶端和控制臺(tái)調(diào)度都包含一個(gè)任務(wù)表，任務(wù)表給出每個(gè)任務(wù)的詳細(xì)定義、對(duì)象和執(zhí)行狀態(tài)。 集中配置和管理可以針對(duì)一臺(tái)機(jī)器、一組機(jī)器或全部機(jī)器來(lái)進(jìn)行。 此外，用戶還可以從自己的桌面定義升級(jí)策略，規(guī)定升級(jí)方式和周期。 對(duì)于企業(yè)用戶，病毒樣本文件的更新分為兩個(gè)階段： ? NAI 將病毒樣本數(shù)據(jù)文件主動(dòng)地從 Inter 上推送到企業(yè)的 SecureCast 主機(jī)； ? 企業(yè)內(nèi)的各種用戶 (包括桌面，服務(wù)器等 )從本地網(wǎng)絡(luò)中得到更新的 .DAT 文件； 在泉州電信公司網(wǎng)絡(luò)內(nèi)部，針對(duì)不同的用戶可采用不同的升級(jí)方式。 泉州電信公司網(wǎng)絡(luò)安全解決方案 27 NAI AVD 中的 ePO 最多可以管理到 10 萬(wàn)個(gè)節(jié)點(diǎn)，足以實(shí)現(xiàn)對(duì)絕大多 數(shù)網(wǎng)絡(luò)內(nèi)的反病毒機(jī)器的反病毒軟件的分發(fā)和管理。 在泉州電信總部、泉州電信各地分支部門(mén)安裝防病毒管理軟件 ePO 構(gòu)建反病毒管理控制臺(tái)、反病毒管理服務(wù)器、報(bào)警管理和反病毒軟件倉(cāng)庫(kù)和基于文件服務(wù)器端（ 服務(wù)器，Netware 服務(wù)器， Win2020 服務(wù)器和高級(jí)服務(wù)器版）的 NAI Netshield 反病毒軟件，基于客戶端（ DOS、 Win3x、 Win98/9 工作站、 Win2020 專(zhuān)業(yè)版）安裝 N