【文章內(nèi)容簡介】 UI ） 。ESM 的管理器 /代理結(jié)構(gòu)有以下優(yōu)點： 深度的更精確的掃描， , 可擴展性和權(quán)限分離。因為 ESM 代理擁有全部的系統(tǒng)運行權(quán)限，所以可以精確評估安全配置和應用的所有方面。另一方面，基于網(wǎng)絡(luò)的掃描器沒有訪問系統(tǒng)的權(quán)限，因而不能象 ESM 那樣執(zhí)行深度評估，獲得精確的結(jié)果。同時 ESM 通過安全管理員定義任務(wù)，執(zhí)行任務(wù)需要的登錄 ID 號，口令和被賦予的權(quán)限，實現(xiàn)權(quán)限分離。ESM 的結(jié)構(gòu)分為內(nèi)核和模塊。這種結(jié)構(gòu)可以獨立于內(nèi)核為操作系統(tǒng)開發(fā)和發(fā)布新的安全檢查。安全升級就是下載包含新的和增強的安全檢查的模塊。 ESM 基本功能? 用于管理敏感數(shù)據(jù)和加強整個客戶端/服務(wù)器平臺的安全策略。包括 Windows 2022/NT，UNIX ，Novell NetWare，OpenVMS。同時 ESM 也可以保證信息和資源的機密性、完整性和可用性。? 管理安全策略。? 監(jiān)測安全設(shè)置和文件的變化。? 評估并報告系統(tǒng)是否符合安全策略，如未經(jīng)許可的特權(quán)，錯誤的文件訪問和錯誤的12 / 25系統(tǒng)配置等。? 為實現(xiàn)企業(yè)安全策略提供一種機制和方法。? 管理并確保企業(yè)內(nèi)部服從規(guī)定的安全策略。? 對數(shù)據(jù)和數(shù)據(jù)訪問提供完整的檢查。檢測安全設(shè)置和文件的改變。 ESM 體系結(jié)構(gòu)ESM 采用三層體系結(jié)構(gòu)，由 Agent、Console 和 Manager 三部分組成,同時 ESM 也帶有命令行接口(CLI)以提供運行安全功能的另一種方式。ESM Agent:安裝在企業(yè)重要服務(wù)器上，可以是 UNIX、Windows、Netware 等。它由一個模塊服務(wù)器和一個負責與服務(wù)器通訊的組件組成。當 ESM Manager 發(fā)出策略運行請求時，Agent 將立即做出響應并負責收集和解釋屬于系統(tǒng)安全方面的數(shù)據(jù)。Agent 在策略中的安全模塊分析 Agent 所運行的工作站、服務(wù)器、或機器節(jié)點中或者 Agent 作為 Proxy 的系統(tǒng)的配置，Agent 服務(wù)器收集所有這些數(shù)據(jù)結(jié)果并把它們返回到初始化請求的 Manager 中去。ESM Manager：可運行在 UNIX、Windows 、Netware。ESM Manager 主要有兩個部分組成—CIF Server 和 Net Server，其主要作用是控制并存儲策略數(shù)據(jù)，同時在需要的時候把這些數(shù)據(jù)傳送給 ESM Agent 和 ESM Console，以及負責從 ESM Agent 中收集和存儲安全數(shù)據(jù)，并把這些數(shù)據(jù)傳送到 ESM Console 中。ESM Console 運行在 WIN95/NT/2022 上，負責接受輸入數(shù)據(jù)并向其他 ESM 組件發(fā)送請求，當數(shù)據(jù)結(jié)果返回時，ESM Console 對這些信息進行格式化輸出、創(chuàng)建電子數(shù)據(jù)表格、餅圖、柱狀圖和其他的可視對象。它可以跨平臺和網(wǎng)絡(luò)中的 Manager 進行通訊，ESM Console 通過 CSP(Client Server Protocol)和其他組件進行通訊。 ESM 產(chǎn)品特點? 能夠智能地跨平臺評估安全 (UNIX, NT, NetWare)并產(chǎn)生完整的報告。? 利用獨一無二的三層結(jié)構(gòu)，可以并行檢查多個被評估的系統(tǒng)。由于所有的安全評估只發(fā)生在安裝了代理的系統(tǒng)上，只有評估報告通過網(wǎng)絡(luò)傳送，占用網(wǎng)絡(luò)帶寬非常小。? 運行安全評估報告的用戶不需要具有運行代理的系統(tǒng)的管理員權(quán)限。 ? 支持數(shù)據(jù)庫 (Oracle), Web Servers (Microsoft 和 Netscape)和附加的平臺 (AS/400)。通過軟件開發(fā)工具包(SDK)可以使其它平臺和應用與 ESM 的中央報告器集成在一個界面 13 / 25? 與其它系統(tǒng)管理架構(gòu)如 Tivoli, BMC, and HP Openview 集成，可以在這些管理控制臺上執(zhí)行策略，運行和顯示數(shù)據(jù)。企業(yè)可以在單一的界面下管理網(wǎng)絡(luò)和安全。? 支持遠程安裝，在一個地理分散的企業(yè)里可以在總部完成 ESM 安裝。? 支持遠程升級和調(diào)整軟件包，允許管理員在企業(yè)里迅速分發(fā)新的版本或調(diào)整軟件包。? ESM 提供安全狀態(tài)餅圖，可以幫助用戶快速評估現(xiàn)有的安全狀態(tài)和最終確定問題所在。? 全面的、基于策略的安全評估：ESM 的評估基于安全標準。安全管理員可以通過一個或多個 ESM 策略在線應用這些標準。在評估關(guān)鍵服務(wù)器、工作站和應用的安全程度時，ESM 利用策略作為基準，它告知 ESM 是如何設(shè)置，認證和給予權(quán)限。ESM 策略包括一系列評價計算機安全特定領(lǐng)域的安全模塊。Symantec 為不同版本的操作系統(tǒng)或應用單獨制訂安全模塊。安全模塊依次包含安全檢查，日常評估，這些評估表明了系統(tǒng)配置的情況。? 強大的全企業(yè)范圍內(nèi)的安全管理：通過 ESM，企業(yè)安全管理員可以： 在線創(chuàng)建和管理安全策略、創(chuàng)建和管理用戶自定義的安全域、7 x24 自動調(diào)度管理器可以非常容易地執(zhí)行日常安全評估、通過強大的交互式報告快速識別違規(guī)的系統(tǒng)、通過用戶自定義安全任務(wù)準許在全面的審核下安全管理各個任務(wù)的授權(quán)、軟件分發(fā)和管理工具使安全管理員可以在企業(yè)全面部署 ESM，從而快速精確地評估整個企業(yè)信息資產(chǎn)的安全性。 。? 可擴展的結(jié)構(gòu)：ESM 支持主要的商用 UNIX 版本, Windows NT, NetWare and VMS. ESM 也支持 Web Servers 和 Oracle Database Servers。? ESM 提供大范圍跨多平臺執(zhí)行并報告重要安全信息。六、NetRecon NetRecon 產(chǎn)品概述NetRecon 是一個漏洞和風險評估工具,用于發(fā)現(xiàn)、發(fā)掘和報告網(wǎng)絡(luò)安全漏洞。與其他漏洞掃描工具不同是，NetRecon 不僅僅能夠檢測和報告漏洞而且還可以證明漏洞發(fā)生在什么地方以及發(fā)生的原因。它就詢問網(wǎng)絡(luò)和系統(tǒng)；在系統(tǒng)間分享信息并繼續(xù)探測各種漏洞直到發(fā)現(xiàn)所有的安全漏洞。NetRecon 還可以通過發(fā)掘漏洞以提供更高的可信度以確保被檢測出的漏洞是真正的漏洞。這就使得風險分析更加精確并確保管理員可以把風險程度最高的14 / 25漏洞放在優(yōu)先考慮的位置。另外，NetRecon 獨有的路徑分析技術(shù)可以幫助發(fā)現(xiàn)漏洞的根本原因。NetRecon 可以一步一步證明用于獲取信息或評估系統(tǒng)的各種技術(shù)。通過分析漏洞的根本原因，任何重復的漏洞、模式或異常的現(xiàn)象很容易被確定到是否是重要問題或被確定到網(wǎng)絡(luò)中的系統(tǒng)并且迅速被排除。NetRecon 在對網(wǎng)絡(luò)和系統(tǒng)進行掃描時，采用了具有專利 UltraScan 技術(shù)，當一個對象獲取相關(guān)的數(shù)據(jù)后，數(shù)據(jù)會作為輸入提供給其他的一個或多個工作對象，多個對象同時探測多個目標，并連續(xù)地工作。相反，其他的掃描器在某一時刻只能掃描一個目標的漏洞，NetRecon 使用在給定時間點找到的數(shù)據(jù)來查找其他系統(tǒng)上的相關(guān)漏洞。并且檢測的同時動態(tài)地圖形化地顯示探測結(jié)果，明確指出修復漏洞的特定方法，建議彌補方案。不同與普通的網(wǎng)絡(luò)探測技術(shù)，NetRecon 不僅僅基于 IP 協(xié)議，他可以利用多種協(xié)議和技術(shù)來探測各種敏感的網(wǎng)絡(luò)資源，如 NOVELL 系統(tǒng)。 NetRecon 基本功能? 發(fā)現(xiàn)資源—發(fā)現(xiàn)那些黑客看不到，但能利用的資源。NetRecon 可以幫助確認系統(tǒng)或設(shè)備中具有的未列出的數(shù)據(jù)。? 啟動 Exec 服務(wù) EXEC 服務(wù)（也稱為 REXEC）提供一個具有基于用戶名和密碼授權(quán)的遠程命令執(zhí)行工具。黑客發(fā)現(xiàn)這個服務(wù)是一個極具魅力的口令猜測工具，因為它很少保存使用日志。? 啟動 SMTP 譯碼別名 它使利用 EMAIL 發(fā)送和接收二進制文件變得更容易。不幸的是，解碼的 EMAIL 別名可能被用來生成或覆蓋系統(tǒng)文件。如黑客可能利用這種程序用遠程系統(tǒng)中它們自己的代碼來覆蓋系統(tǒng)文件。? 獲得空的會話訪問 空的會話連接允許遠程的攻擊者搜集系統(tǒng)中有關(guān)帳號和資源的信息，獲得對 WINDOWS 系統(tǒng)及其資源的訪問能力。? 獲得用戶級的訪問能力 如果 NetRecon 能象一個有效用戶一樣登錄到網(wǎng)絡(luò)資源，那么黑客也可以。NetRecon 獲取各種試圖登錄到 Windows NT, UNIX, NetWare 和其它系統(tǒng)的資源，并用它們來作為登錄名和密碼。? 發(fā)現(xiàn)系統(tǒng)類型 假如黑客能檢測到系統(tǒng)運行 WINDOWS NT 4。0 而有不帶服務(wù)包SP3，那么它們可以利用大量眾所周知的系統(tǒng)漏洞。? 獲取 NIS 加密口令 許多用戶使用一個普通的單詞或名字作為口令。NetRecon15 / 25會象黑客一樣試圖猜測口令，決定網(wǎng)絡(luò)的安全漏洞。? 使用小/大的詞典破譯口令 如果黑客能從系統(tǒng)中獲得加密后的密碼，它們可以從詞典中找出單詞當作密碼進行加密，并把結(jié)果與從受侵對象獲得的口令進行比較。猜出口令即為所匹配的字典中的單詞。? NetWare 通知口令跟蹤可能 缺省情況下，沒有 SP3 的 WINDOWS NT 4。0 的注冊表中包含一個指向活動端口的條目。在特定系統(tǒng)中知道了正在使用哪種服務(wù)有助于黑客知道使用哪種攻擊有效，哪些系統(tǒng)是脆弱的。? 通過 SMB 可以 Mount 的本地磁盤 SMB（服務(wù)器信息塊）是許多操作系統(tǒng)都使用的用于文件共享的標準格式。攻擊者可能利用它檢索文件。 NetRecon 產(chǎn)品特點? 靈活可變的掃描范圍：通過 NetRecon，用戶可以限制掃描的范圍，如：掃描特定的 IP范圍、特定的網(wǎng)絡(luò)或其他網(wǎng)絡(luò)資源如：域名或 Windows 網(wǎng)絡(luò)鄰居名稱。另外，如果不選擇某個特定的資源范圍，NetRecon 可以“發(fā)現(xiàn)”它們并且為用戶建立建立一個可用的資源列表。? 提供圖形化的用戶接口：可以在任何時候從各方面查看掃描的狀態(tài)。在 NetRecon 中有對象、數(shù)據(jù)和圖形方格圖形化或文本化顯示產(chǎn)品行為的功能。從而使得判別安全級別一目了然。? 自動地、跨平臺地發(fā)現(xiàn)和評估：NetRecon 可以自動發(fā)現(xiàn)網(wǎng)絡(luò)中的資源，這種功能不僅僅支持分析基于 TCP/IP 的網(wǎng)絡(luò)，同樣支持 IPX 和 NetBEUI。NetRecon 還擁有一個知識庫，用于發(fā)現(xiàn)和發(fā)掘在特定系統(tǒng)中的漏洞如：UNIX, NetWare and (with bindery and NDS), Windows 95 and Windows NT and Workstation and Server。? 漸漸式掃描技術(shù)：這是 Symantec 的專利技術(shù)，在這種技術(shù)中，一個掃描的信息可以用于另一個掃描。它可以收集漏洞和信息用于另一個掃描以發(fā)現(xiàn)更深層次的掃描。? 路徑分析功能：NetRecon 不僅僅報告漏洞，還能證實發(fā)現(xiàn)漏洞的步驟。同時還能發(fā)現(xiàn)產(chǎn)生漏洞的真正原因，并且可以證明黑客突破該漏洞的每一步。NetRecon 可以一步一步證明用于獲取信息或評估系統(tǒng)的步驟。? 通過 Web 更新服務(wù)：NetRecon 采用模塊化解決方案，這使得它可以更加容易擴展漏洞知識庫和評估模塊。這些模塊可以通過 Web 站點來獲得，從而使得當威脅出現(xiàn)時，很16 / 25容易獲得更新，而無需重新安裝整個軟件。七、Raptor Firewall Raptor Firewall