【正文】 原理 證書實(shí)際上是通訊主體的身份標(biāo)識，通訊雙方通過證書互相認(rèn)證，并利用證書中的信息完成電子簽名和加密協(xié)商。 證書是基于 RSA 公開密鑰體系 的電子證書，由于 RSA PKCS 在加密通訊過程中只需傳送公開密鑰，而且如果沒有 Private Key，很難從加密結(jié)果中恢復(fù)原文。通常，由于 RSA 加密算法的效率不高， RSA 加密僅用于通訊雙方協(xié)商加密算法及密鑰，實(shí)際通訊時(shí)仍然使用對稱加密。 √ 程序證書：用于給 Java 程序或 Cobra 對象發(fā)放證書。 NAI 的產(chǎn)品在世界范圍得到廣泛的應(yīng)用和好評。 (2)支持流行的多媒體實(shí)時(shí)服務(wù) 如 Real Audil/Video,Microsoft Netshow,VDOlive. (3)支持主要的防火墻防病毒軟件 用戶可根據(jù)需求選擇最好的防病毒解決方案 , 配置防火墻檢查進(jìn)入網(wǎng)絡(luò)的文件 , 消息和 Web 內(nèi)容 。 支持以太和令牌環(huán)網(wǎng)。 安全監(jiān)控產(chǎn)品 CyberCop Monitor 設(shè)置性能優(yōu)良的網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)是目前提高網(wǎng)絡(luò)安全防護(hù)能力最有效的手段。 實(shí)現(xiàn)機(jī)理 : 在難以預(yù)料的 Inter 環(huán)境中，防火墻是保護(hù)系統(tǒng)的第一步。例如在 Web Server 上安裝入侵監(jiān)控系統(tǒng)后，當(dāng)有人篡改某個(gè)應(yīng)用主頁時(shí)，監(jiān)控系統(tǒng)會立即作出反應(yīng)，自動將主頁返回到原來的狀態(tài)。 審計(jì)和報(bào)告 研究安全突破口、可疑用戶活動、策略沖突；提供詳細(xì)的用戶活動記錄。 為了在最大程度上保護(hù)企業(yè)信息網(wǎng)內(nèi)部關(guān)鍵應(yīng)用的服務(wù)器，加強(qiáng)安全可靠性，我們建議在所有提供關(guān)鍵服務(wù)的主機(jī)設(shè)備上安裝實(shí)時(shí)安全監(jiān)控系統(tǒng)，用來實(shí)時(shí)監(jiān)視可疑的連接、檢查系統(tǒng)日志，檢測非法訪問的闖入等，并對典型應(yīng)用進(jìn)行實(shí)時(shí)的監(jiān)控，同時(shí)采用基于主機(jī)的安全掃描服務(wù)器定期對與主機(jī)設(shè)備相關(guān)的安全漏洞進(jìn)行細(xì)致周密的掃描，如 passwd文件，目錄和文件權(quán)限，共享文件系統(tǒng)，敏感服務(wù)，操作系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法和建議，從而補(bǔ)充了“網(wǎng)絡(luò) 入侵檢測系統(tǒng)（ IDS）”的不足和缺陷，使整個(gè)網(wǎng)絡(luò)安全系統(tǒng)更加強(qiáng)健。 如下圖所示： 一方面，通過定期使用 CyberCop Scanner 掃描服務(wù)器對企業(yè)信息網(wǎng)內(nèi)部各主機(jī)設(shè)備相關(guān)的安全漏洞進(jìn)行細(xì)致周密的掃描，對掃描出的安全漏洞提出相應(yīng)的解決辦法和建議，據(jù)此，通過不斷地對主機(jī)設(shè)備進(jìn)行相應(yīng)的安全配置、安裝操作系統(tǒng)廠商提供的安全升級補(bǔ)充軟件或安裝第三方軟件的方式，使主機(jī)設(shè)備的安全級別由 C2 級 提升到 B 級，從主機(jī)設(shè)備內(nèi)核進(jìn)一步加強(qiáng)其堅(jiān)固性，做到防患于未然；另一方面，通過 CyberCop Monitor 的集中分布式的實(shí)時(shí)監(jiān)控功能，實(shí)時(shí)精確地檢Firewall Inter CyberCop Monitor Console Report DBMS CyberCop Monitor CyberCop Monitor CyberCop Monitor CyberCop Monitor CyberCop Monitor CyberCop Monitor CyberCop Scanner 30 測和判斷入侵事件，包括應(yīng)用層的入侵事件，并作出相應(yīng)的動作，從主機(jī)設(shè)備外圍進(jìn)一步加強(qiáng)其堅(jiān)固性，有效地保護(hù)主機(jī)設(shè)備。 CyberCop Scanner 是一種網(wǎng)絡(luò)安全性風(fēng)險(xiǎn)評估工具，檢驗(yàn)運(yùn)行于網(wǎng)絡(luò)環(huán)境中的操作系統(tǒng)與應(yīng)用方面計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)設(shè)備的脆弱性。 CyberCop Scanner 有 Windows NT 與 Linux 版本，并提供基于 Windows NT 及UNIX 工作站與服務(wù)器、防火墻、集線器、路由器、交換機(jī)和運(yùn)行本地 TCP/IP 設(shè)備的脆弱性評估。這些響應(yīng)包括創(chuàng)建幫助桌面標(biāo)簽并將其路由到機(jī)構(gòu)中合適的人選、向管理員發(fā)送 SMTP信息或?qū)ず艟瘓?bào)、關(guān)閉 Gauntlet Firewall 上特定 的端口，以此阻止惡意用戶利用這些脆弱性。這些產(chǎn)品代表企業(yè)安全性的下一進(jìn)展步伐，即主動及自動實(shí)施網(wǎng)絡(luò)安全性策略。 全面的掃描工具可以發(fā)現(xiàn)系統(tǒng)和網(wǎng)絡(luò)的脆弱環(huán)節(jié)，并且提供了可執(zhí)行的總結(jié)報(bào)告與挖掘報(bào)告選項(xiàng)；易于使用的圖形界面可用于創(chuàng)建自定義掃描輪廓；獨(dú)特的跟蹤器信息包防火墻測試提供詳細(xì)的防火墻 /路由器審計(jì)；自動升級功能保持 掃描引擎、掃描檢測和脆弱性數(shù)據(jù)庫處于當(dāng)前最新狀態(tài)；脆弱性數(shù)據(jù)庫編輯器允許自定義設(shè)置并提供針對每次掃描測試結(jié)果的解決方案建議； 3D 網(wǎng)絡(luò)圖用于確定網(wǎng)絡(luò)設(shè)備和連接數(shù)；為 IP 設(shè)備或協(xié)議創(chuàng)建自定義掃描測試的 CASL（自定義審計(jì)腳本Firewall lnter Cybercop Scanner 32 語言）腳本工具；提供入侵檢測監(jiān)控測試校驗(yàn)系統(tǒng)和網(wǎng)絡(luò)動態(tài)檢測器的功能；集成到 Active Security（動態(tài)安全）結(jié)構(gòu)中可提供事件 編排和先進(jìn)的安全性策略管理。報(bào)告選項(xiàng)包括執(zhí)行總結(jié)、挖掘細(xì)節(jié)報(bào)告和現(xiàn)場解決建議。 CyberCop Monitor可自動識別 300多種攻擊類型，并具備自動學(xué)習(xí)功能。 CyberCop 支持以下 WEB 服務(wù)器： Netscape Enterprice Server Netscape Fasttrace Server I I S and CERN NCSA Apache Website Pro 對各主機(jī)設(shè)備的安全加固 由于各硬件設(shè)備廠家 (網(wǎng)絡(luò)設(shè)備、服務(wù)器、計(jì)算機(jī) )對協(xié)議的處理方法均不相同，而基于網(wǎng)絡(luò)的 Intrusion Detect System （ IDS）通常并不清楚具體設(shè)備上的具體配置，攻擊者可利用該種缺陷誘導(dǎo) IDS發(fā)出錯(cuò)誤警報(bào)或使 IDS不能識別，出現(xiàn)誤報(bào)、漏報(bào)等情況。 自動通知 自動通知入侵行為，如本地報(bào)告日志、向 Webmaster 發(fā)送郵件、向控制臺發(fā)送 SNMP 中斷、尋呼管理人員、寫入系統(tǒng)日志等。 CyberCop Monitor 是一個(gè)基于主機(jī)的入侵監(jiān)控系統(tǒng)，可為關(guān)鍵服務(wù)器提供實(shí)時(shí)保護(hù)。在所有需要進(jìn)行安全監(jiān)控的網(wǎng)絡(luò)服務(wù)器上安裝 CyberCop Monitor軟件，進(jìn)行攻擊識別及動作執(zhí)行，監(jiān)視所在主機(jī)的安全運(yùn)行情況，同時(shí)集中向管理服務(wù)器報(bào)告及上傳證據(jù)，而網(wǎng)管中心監(jiān)控管理器 Monitor Console則完成相應(yīng)的管理和記錄工作。 Gauntlet Global Virtual Private Network 4. 1 內(nèi)置了基于 PKI 的證書管理服務(wù)器。 (6)支持多達(dá)幾十種的服務(wù) 如終端服務(wù) (Tel,Tlogin), 文件傳送 (FTP)、電子郵件 (SMTP,POP3)、 WWW (HTTP、 SHTTP、 SSL、 Gopher)、遠(yuǎn)程運(yùn)行 (RSH)、簡單網(wǎng)絡(luò)管理協(xié)議 (SNMP)等。 Gauntlet 作為基于應(yīng)用層網(wǎng)關(guān)的防火墻 , 具有用戶透明、集成管理、可控能力強(qiáng)、內(nèi)容安全和高吞吐量等特點(diǎn)，很好地解決了安全、性能、靈活性等方面的需求的協(xié)調(diào)的特性，廣泛 應(yīng)用于 Inter、企業(yè)內(nèi)部網(wǎng)和遠(yuǎn)程訪問，是目前在網(wǎng)絡(luò)安全領(lǐng)域影響較大的防火墻產(chǎn)品，多次被評為最安全的防火墻。Network Associates,Inc.(網(wǎng)絡(luò)聯(lián)盟公司 )是世界上十大獨(dú)立軟件廠商之一，也是全球最大的致力于提供網(wǎng)絡(luò)信息安全和管理的專業(yè)廠商。 √ 服務(wù)器證書：服務(wù)器證書用 于服務(wù)器與客戶通訊時(shí)的認(rèn)證和加密。如果這兩步都正確，通訊雙方即可建立信任關(guān)系。 √ 持有者的 public key。 應(yīng)用系統(tǒng)通常有兩種應(yīng)用模式： Client/Server 及點(diǎn)到點(diǎn)通訊。 (4) 升級到最新的安全版本。 (6) 認(rèn)證過程采用加密通訊或使用 X 509 證書模式。 Web Server 經(jīng)常成為 Inter 用戶訪問公司內(nèi)部資源的通道之一，如 Web server通過中間件訪問主機(jī)系統(tǒng)，通過數(shù)據(jù)庫連接部件訪問數(shù)據(jù)庫，利用 CGI 訪問本地文件系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中其它資源。在桌面 PC 安裝病毒監(jiān)控軟件。 病毒防護(hù) 病毒歷來是信息系統(tǒng)安全的主要問題之一。幾乎所有的網(wǎng)絡(luò)應(yīng)用均利用域名服務(wù)。 Ipsec Tunnel 不要求修改已配備好的設(shè)備和應(yīng)用，網(wǎng)絡(luò)黑客戶不能看到實(shí)際的的通訊源地址和目的地址，并且能夠提供專用網(wǎng)絡(luò)通過 Inter 加密傳輸?shù)耐ǖ?，因此，絕大多數(shù)均使用該模式。 IPSec 主要提供 IP 網(wǎng)絡(luò)層上的加密通訊能力。 CA使用私有密鑰計(jì)算其數(shù)字簽名，利用 CA 提供的公共密鑰，任何人均可驗(yàn)證簽名的真實(shí)性。 15 因?yàn)?VPN 利用了公共網(wǎng)絡(luò)，所以其最大的弱點(diǎn)在于缺乏足夠的安全性。市場上主要采用的摘要算法有 MD5 和 SHA1。 (6) 應(yīng)用服務(wù)器 (如 Web Server)與客戶的認(rèn)證。 安全掃描器不能實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)上的入侵，但是能夠測試和評價(jià)系統(tǒng)的安全性，并及時(shí)發(fā)現(xiàn)安全漏洞。通過 GUI 的圖形界面，可迭擇一步或某些區(qū)域的設(shè)備。 安全掃描工具通常也分為基于服務(wù)器和基于網(wǎng)絡(luò)的掃描器。 (2) 解碼效率 (速度 )。 (2) 實(shí)時(shí)網(wǎng)絡(luò)監(jiān)視。 (3) countermeasure 執(zhí)行規(guī)定的動作。但是，僅僅使用防火墻、網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠： (1) 入侵者可尋找防火墻背后可能敞開的后門。 √ Firewall 應(yīng)該支持對公共 Information server 的訪問，支持對公共 Information server 的保護(hù)，并且將 Information server 同內(nèi)部網(wǎng)隔離。 √ Firewall 必須支持實(shí)際的安全政策，而非改變安全策略適應(yīng) Firewall。 √ 對遠(yuǎn)程用戶進(jìn)行認(rèn)證 方法培訓(xùn)。 √ 增加的需要，如加密或拔號接入支持。 應(yīng)用網(wǎng)關(guān)的缺點(diǎn)在于： √ 新的服務(wù)需要安裝新的代理服務(wù)器。這樣的應(yīng)用稱為代理服務(wù)，運(yùn)行代理服務(wù)的主機(jī)被稱為應(yīng)用網(wǎng)關(guān)。但是，規(guī)則例外使包過濾規(guī)則過于復(fù)雜而難以管理。多年來，用戶被告知使用難于猜測和破譯的口令，雖然如此，攻擊者仍然在 Inter 監(jiān)視偉輸?shù)目诹蠲魑?，使傳統(tǒng)的口令機(jī)制形同虛設(shè)。 ? 服務(wù)訪問策略 服務(wù)訪問策略集中在 Inter 訪問服務(wù)以及外部網(wǎng)絡(luò)訪問（如撥入策略、SLIP/PPP 連接等）。 ? 集中的安全管理 Firewall 對企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理，在 Firewall 定義的安全規(guī)則可以運(yùn)用于整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無須在內(nèi)部網(wǎng)每臺機(jī)器上分別設(shè)立安全策略。 網(wǎng)絡(luò)層通訊可以跨越路由器，因此攻擊可以從遠(yuǎn)方發(fā)起。 (2) 通過虛擬網(wǎng)設(shè)置的訪問控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)不能直接訪問虛擬網(wǎng)內(nèi)節(jié)點(diǎn)。主要面向 MAIL、 FTP 服務(wù)器，以及 辦公網(wǎng)段的PC 服務(wù)器和 PC 機(jī)等。 根據(jù) 管理原則，管理對象，賣方應(yīng)協(xié)助買方修改、制定切實(shí)可行的安全管理制度或規(guī)范，同時(shí)結(jié)合安全策略的實(shí)施，建立完善的安全管理體系。 3) 通過入侵檢測等方式實(shí)現(xiàn)實(shí)時(shí)安全監(jiān)控，提供快速響應(yīng)故障的手段，同時(shí)具備很好的安全取證措施。經(jīng)過幾年的努力，金橋網(wǎng)已經(jīng)建設(shè)了具有一定規(guī)模的、融合了各種數(shù)據(jù)通信技術(shù)的、衛(wèi)星與地面通信線路互為備份的網(wǎng)絡(luò)，骨干網(wǎng)絡(luò)的帶寬已達(dá) 155M，國際出口達(dá)到了 67M，網(wǎng)絡(luò)節(jié)點(diǎn)超過 50個(gè)大中城市；可以向各種用戶提供衛(wèi)星 VSAT、幀中繼 Frame Relay、 Inter 接入、 Inter 信息服務(wù)、 IP 電話、 IP/VPN、電子商務(wù)等服務(wù)。良好的認(rèn)證體系可防止攻擊者假冒合法用戶。通過對特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。 (2) 系統(tǒng)安全體系的缺陷。但是，企業(yè)接入國際互連網(wǎng)絡(luò)，提供網(wǎng)上業(yè)務(wù)和電子商務(wù)等服務(wù)，等于將一個(gè)內(nèi)部封閉的網(wǎng)絡(luò)建成了一個(gè)開放的網(wǎng)絡(luò)環(huán)境，各種安全包括系統(tǒng)級的安全問題也隨之產(chǎn)生。 網(wǎng)絡(luò)內(nèi)客戶對 Inter 的訪問，有可能帶來某些類型的網(wǎng)絡(luò)安全隱患。 對于各科各樣的網(wǎng)絡(luò)攻擊，如何在提供靈活且高效的網(wǎng)絡(luò)通訊及信息服務(wù)的同時(shí)，抵御和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，并且提供跟蹤攻擊的手段，是本項(xiàng)目需要解決的問題。防火墻產(chǎn)品自身是否安全，是否設(shè)置錯(cuò)誤，需要經(jīng)過檢驗(yàn)。根據(jù)美國 FBI 的調(diào)查，美國每年因?yàn)榫W(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過 170 億美元。 (5) 采用的 TCP/IP 協(xié)議族軟件，本身缺乏安全性。 企業(yè)網(wǎng)絡(luò)應(yīng)保障： (1) 訪問控調(diào)，確保業(yè)務(wù)系統(tǒng)不被非法訪問。 Inter 對網(wǎng)內(nèi)服務(wù)的訪問，還會帶來更加嚴(yán)重的網(wǎng)絡(luò)安全隱患。 選擇適當(dāng)?shù)募夹g(shù)和產(chǎn)品，制訂靈活的網(wǎng)絡(luò)安全策略，在保證網(wǎng)絡(luò)安全的情況下，提供靈活的網(wǎng)絡(luò)服務(wù)通道。 良好的平臺管理有助于增強(qiáng)系統(tǒng)的安全性： (1) 及時(shí)發(fā) 現(xiàn)系統(tǒng)安全的漏洞。 (3) 攻擊監(jiān)控。 (7) 多層防御，攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)。 于是，吉通通信有限責(zé)任公司作為金橋工程的業(yè)主提出招標(biāo)，為金橋網(wǎng)提供一整套的安全解決方案。最大限度地減少損失。