【導(dǎo)讀】的安全威脅成為日益受到嚴重關(guān)注的問題。根據(jù)美國FBI的調(diào)查，美國每年因為。網(wǎng)絡(luò)安全造成的經(jīng)濟損失超過170億美元。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如。UNIX服務(wù)器，NT服務(wù)器及Windows桌面PC。防火墻產(chǎn)品自身是否安全，是否設(shè)置錯誤，需要經(jīng)過檢。缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)系統(tǒng)的安全性。采用的TCP/IP協(xié)議族軟件，本身缺乏安全性。Java/ActiveX控件進行有效控制。力的安全保障，是建設(shè)企業(yè)網(wǎng)絡(luò)系統(tǒng)安全的重要原則。提供非法攻擊的犯罪證據(jù)。網(wǎng)絡(luò)內(nèi)客戶對Inter的訪問，有可能帶來某些類型的網(wǎng)絡(luò)安全隱患。電子郵件、FTP引入病毒、危險的Java或ActiveX應(yīng)用等。對上述情況提供集成的網(wǎng)絡(luò)病毒檢測、消除等操作。因此，需要在網(wǎng)關(guān)處，設(shè)立嚴格的監(jiān)控手段，確保合法用戶。登錄到合法主機，執(zhí)行合法應(yīng)用程序。影響并降低管理費用。通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標，也可使絕大多數(shù)攻擊無效。橋網(wǎng)當前業(yè)務(wù)的前提下，實現(xiàn)對金橋網(wǎng)的全面安全管理。

　　

【正文】 erCop Monitor CyberCop Monitor CyberCop Monitor CyberCop Monitor 26 圖中表明，在安全子系統(tǒng)的監(jiān)控主機上安裝一套 CyberCop Monitor Console，在所有需保護的監(jiān)控點安裝 CyberCop Monitor，構(gòu)成安全子系統(tǒng)的監(jiān)控功能。 實現(xiàn)機理 : 在難以預(yù)料的 Inter 環(huán)境中，防火墻是保護系統(tǒng)的第一步。利用傳統(tǒng)的防火墻技術(shù)，經(jīng)過仔細的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護，降低網(wǎng)絡(luò)安全風(fēng)險。但是，僅僅使用防火墻網(wǎng)絡(luò)安全還遠遠不夠： (1) 入侵者可尋找防火墻背后可能敞開的后門； (2) 入侵者可能就在防火墻內(nèi)； (3) 由于性能的限制，防火墻通常不能提供實時的入侵監(jiān)控能力。 作 為防火墻保護的補充，網(wǎng)絡(luò)入侵監(jiān)控系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是提供實時的系統(tǒng)入侵監(jiān)視，并能及時采取相應(yīng)的防護措施，如記錄證據(jù)以便于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。實踐證明，這種阻止、檢測和響應(yīng)結(jié)合在一起的多維安全技術(shù)是最有效的 Inter 安全管理解決方案。本建議書推薦的 NAI CyberCop Monitor 正是典型的新一代網(wǎng)絡(luò)入侵監(jiān)控系統(tǒng)。 CyberCop Monitor 是一個基于主機的入侵監(jiān)控系統(tǒng)，可為關(guān)鍵服務(wù)器提供實時保護。通過監(jiān)視 可疑的連接、系統(tǒng)日志、 來自網(wǎng)絡(luò)的攻擊、非法的侵入、異常進程 ， CyberCop Monitor 系統(tǒng)能夠立即做出響應(yīng)，做出切斷服務(wù) /重啟服務(wù)器進程/發(fā)出報警 /記錄入侵過程等動作。例如在 Web Server 上安裝入侵監(jiān)控系統(tǒng)后，當有人篡改某個應(yīng)用主頁時，監(jiān)控系統(tǒng)會立即作出反應(yīng)，自動將主頁返回到原來的狀態(tài)。另外，當偵測到攻擊時， CyberCop Monitor 還會立即通知系統(tǒng)管理人員，通過人為干預(yù)，修改配置或其它相應(yīng)辦法來制止攻擊行為。 CyberCop Monitor 系統(tǒng)的主要功能包括： 自動管理工具 可以晝夜不停地巡視服務(wù)器，保護系統(tǒng)完整性； ‘看門狗’技術(shù) 27 檢 測攻擊和搗亂者，如 Web 服務(wù)器的非正常終止、非法用戶變?yōu)槌売脩?、非?Web站點內(nèi)容替換、非法網(wǎng)絡(luò)搗亂、非法登錄等。 報警和報表 快速檢測 SATAN 掃描、超級用戶嘗試、非法 FTP、非法特權(quán)擴大、特洛伊木馬（ TrojanHorse）程序、非法登錄試探以及其他常見系統(tǒng)攻擊等。 分析識別能力 CyberCop Monitor 可自動識別 300 多種攻擊類型，并有自動學(xué)習(xí)功能。通過入侵監(jiān)控系統(tǒng)，可對任何網(wǎng)段的任何活動進行實時監(jiān)視，全方面的保護整個網(wǎng)絡(luò)。 自動通知 自動通知入侵行為，如本地報告日志、向 Webmaster 發(fā)送郵件、向控制臺發(fā)送 SNMP 中斷、尋呼管理人員、寫入系統(tǒng)日志等。 自動響應(yīng) 自動響應(yīng)入侵行為，如：重啟服務(wù)器、終止違規(guī)進程、終止違規(guī)等錄連接、禁止或避免違規(guī)帳號等。 審計和報告 研究安全突破口、可疑用戶活動、策略沖突；提供詳細的用戶活動記錄。 運行監(jiān)控系統(tǒng)對主機正常業(yè)務(wù)的影響： 監(jiān)控內(nèi)容可自由設(shè)定，一般占用主機資源的 3%~5%，根據(jù)設(shè)定的監(jiān)控范圍，最大不超過10%。 監(jiān)控的實時性情況及監(jiān)控對網(wǎng)絡(luò)帶寬的占用情況 .： CyberCop Monitor 運行時，只有發(fā)生報警 時才會產(chǎn)生數(shù)據(jù)的傳輸，因此，正常情況下不占用任何網(wǎng)絡(luò)帶寬；當有數(shù)據(jù)傳回 Console 時，占用網(wǎng)絡(luò)帶寬極小。 監(jiān)控軟件所支持的硬件平臺和操作系統(tǒng) 。硬件配置情況： 安全監(jiān)控系統(tǒng)軟件配置： Windows NT （監(jiān)控服務(wù)器 OS） CyberCop 監(jiān)測節(jié)點： CyberCop Monitor， 監(jiān)控服務(wù)器： CyberCop Monitor Console。 28 CyberCop 支持以下操作系統(tǒng)平臺： Windows NT， Sun Solaris 、 ， HPUX。 CyberCop 支持以下 WEB 服務(wù)器： Netscape Enterprice Server Netscape Fasttrace Server I I S and CERN NCSA Apache Website Pro 對各主機設(shè)備的安全加固 由于各硬件設(shè)備廠家 (網(wǎng)絡(luò)設(shè)備、服務(wù)器、計算機 )對協(xié)議的處理方法均不相同，而基于網(wǎng)絡(luò)的 Intrusion Detect System （ IDS）通常并不清楚具體設(shè)備上的具體配置，攻擊者可利用該種缺陷誘導(dǎo) IDS發(fā)出錯誤警報或使 IDS不能識別，出現(xiàn)誤報、漏報等情況。 InfoWorld最近的一次測試表明，幾乎所有的基于網(wǎng)絡(luò)的 Intrusion Detect System (IDS) 均不 能對某些攻擊手段作出正確的判斷。 為了在最大程度上保護企業(yè)信息網(wǎng)內(nèi)部關(guān)鍵應(yīng)用的服務(wù)器，加強安全可靠性，我們建議在所有提供關(guān)鍵服務(wù)的主機設(shè)備上安裝實時安全監(jiān)控系統(tǒng)，用來實時監(jiān)視可疑的連接、檢查系統(tǒng)日志，檢測非法訪問的闖入等，并對典型應(yīng)用進行實時的監(jiān)控，同時采用基于主機的安全掃描服務(wù)器定期對與主機設(shè)備相關(guān)的安全漏洞進行細致周密的掃描，如 passwd文件，目錄和文件權(quán)限，共享文件系統(tǒng)，敏感服務(wù)，操作系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法和建議，從而補充了“網(wǎng)絡(luò)入侵檢測系統(tǒng)（ IDS）”的不足和缺陷，使整個網(wǎng)絡(luò)安全系統(tǒng)更加 強健。 基于主機的安全監(jiān)控系統(tǒng)應(yīng)具備如下特點： (1) 可以精確地判斷操作系統(tǒng)層的入侵事件。 (2) 可以判斷應(yīng)用層的入侵事件。 (3) 對入侵立即進行反應(yīng)。 (4) 針對不同操作系統(tǒng)特點。 29 (5) 少占用主機的資源，確保主機的應(yīng)用效率。 CyberCop Monitor可自動識別 300多種攻擊類型，并具備自動學(xué)習(xí)功能。通過監(jiān)視來自網(wǎng)絡(luò)的攻擊、非法的闖入、異常進程， CyberCop Monitor能夠?qū)崟r精確地判斷入侵事件，包括應(yīng)用層的入侵事件，并作出切斷服務(wù) /重啟服 務(wù)器進程 /發(fā)出警報 /記錄入侵過程等相應(yīng)的動作，從而有效地保護主機設(shè)備不受侵犯。 如下圖所示： 一方面，通過定期使用 CyberCop Scanner 掃描服務(wù)器對企業(yè)信息網(wǎng)內(nèi)部各主機設(shè)備相關(guān)的安全漏洞進行細致周密的掃描，對掃描出的安全漏洞提出相應(yīng)的解決辦法和建議，據(jù)此，通過不斷地對主機設(shè)備進行相應(yīng)的安全配置、安裝操作系統(tǒng)廠商提供的安全升級補充軟件或安裝第三方軟件的方式，使主機設(shè)備的安全級別由 C2 級提升到 B 級，從主機設(shè)備內(nèi)核進一步加強其堅固性，做到防患于未然 ；另一方面，通過 CyberCop Monitor 的集中分布式的實時監(jiān)控功能，實時精確地檢Firewall Inter CyberCop Monitor Console Report DBMS CyberCop Monitor CyberCop Monitor CyberCop Monitor CyberCop Monitor CyberCop Monitor CyberCop Monitor CyberCop Scanner 30 測和判斷入侵事件，包括應(yīng)用層的入侵事件，并作出相應(yīng)的動作，從主機設(shè)備外圍進一步加強其堅固性，有效地保護主機設(shè)備。 這樣通過主動和被動的兩種不同的防御方式，便可以在最大程度上保護主機設(shè)備，提高主機設(shè)備的安全堅固性。 安全掃描器 CyberCop Scanner CyberCop Monitor 的下一條防線就是用 CyberCop Scanner，在你的防火墻配置中，以及在 web 服務(wù)器、文件服務(wù)器和網(wǎng)絡(luò)服務(wù)上定位關(guān) 鍵的脆弱環(huán)節(jié)所在部位。CyberCop Scanner 審計與脆弱性評估提供量化與質(zhì)化安全性風(fēng)險的功能，結(jié)合了下一代入侵監(jiān)控工具和高級假目標服務(wù)器技術(shù)，由此可反擊網(wǎng)絡(luò)上的竊取行為以及提供一種記錄入侵的“替代”方法。 CyberCop Scanner 檢查企業(yè)網(wǎng)絡(luò)環(huán)境下的計算機系統(tǒng)與網(wǎng)絡(luò)設(shè)備的安全脆弱性。它可讓安全專業(yè)人員測試 NT 與 UNIX 工作站、服務(wù)器、集線器、交換機，以及包括可以提供詳細重要的防火墻與路由器審計的Network Associates 獨特的跟蹤程序信息包防火墻測試。報告選項包括執(zhí)行總結(jié)、挖掘細節(jié)報 告和現(xiàn)場解決建議。 其系統(tǒng)構(gòu)成如下圖所示： 31 CyberCop Scanner 利用 AutoUpdate 技術(shù)，保持引擎、解決方案與脆弱性數(shù)據(jù)庫為最新狀態(tài)。 CyberCop Scanner 是一種網(wǎng)絡(luò)安全性風(fēng)險評估工具，檢驗運行于網(wǎng)絡(luò)環(huán)境中的操作系統(tǒng)與應(yīng)用方面計算機系統(tǒng)與網(wǎng)絡(luò)設(shè)備的脆弱性。它還檢驗系統(tǒng)中可能導(dǎo)致網(wǎng)絡(luò)泄露的策略違規(guī)與誤配置情況。隨著用不斷追加新系統(tǒng)和服務(wù)項目的方法來滿足拓展業(yè)務(wù)的需求，網(wǎng)絡(luò)正以驚人的速度發(fā)展。方案的實現(xiàn)時間非常短暫，同時復(fù)雜的安全性問題經(jīng)常被忽略。你知道當攻擊來臨時你的網(wǎng)絡(luò)是安全還 是脆弱的？你怎樣找到網(wǎng)絡(luò)脆弱性數(shù)據(jù)？另外，怎樣測量你的安全性預(yù)算和決定用于安全環(huán)境的工作量？ CyberCop Scanner 幫你回答這些問題。發(fā)現(xiàn)系統(tǒng)與網(wǎng)絡(luò)薄弱環(huán)節(jié)以及策略管理漏洞的全面掃描工具；防火墻審計和入侵檢測測試可以評估安全系統(tǒng)的敏感性。 全面的掃描工具可以發(fā)現(xiàn)系統(tǒng)和網(wǎng)絡(luò)的脆弱環(huán)節(jié)，并且提供了可執(zhí)行的總結(jié)報告與挖掘報告選項；易于使用的圖形界面可用于創(chuàng)建自定義掃描輪廓；獨特的跟蹤器信息包防火墻測試提供詳細的防火墻 /路由器審計；自動升級功能保持掃描引擎、掃描檢測和脆弱性數(shù)據(jù)庫處于當前最新狀態(tài)；脆弱性數(shù)據(jù) 庫編輯器允許自定義設(shè)置并提供針對每次掃描測試結(jié)果的解決方案建議； 3D 網(wǎng)絡(luò)圖用于確定網(wǎng)絡(luò)設(shè)備和連接數(shù)；為 IP 設(shè)備或協(xié)議創(chuàng)建自定義掃描測試的 CASL（自定義審計腳本Firewall lnter Cybercop Scanner 32 語言）腳本工具；提供入侵檢測監(jiān)控測試校驗系統(tǒng)和網(wǎng)絡(luò)動態(tài)檢測器的功能；集成到 Active Security（動態(tài)安全）結(jié)構(gòu)中可提供事件 編排和先進的安全性策略管理。 產(chǎn)品特征： ? 全面的掃描工具可以發(fā)現(xiàn)系統(tǒng)和網(wǎng)絡(luò)脆弱性，并且提供執(zhí)行總結(jié)與挖掘報告選項； ? 易于使用的圖形界面創(chuàng)建自定義掃描配置文件； ? 獨特的跟蹤器信息包防火墻測試提供詳細的防火墻 /路由器審計 ； ? AutoUpdate 功能保持掃描引擎、掃描檢測和脆弱性數(shù)據(jù)庫處于當前狀態(tài)； ? 脆弱性數(shù)據(jù)庫編輯器允許自定義設(shè)置和用于每次掃描測試的解決方案建議； ? 3D 網(wǎng)絡(luò)圖用于確定網(wǎng)絡(luò)設(shè)備和連接； ? 為任何 IP 設(shè)備或協(xié)議創(chuàng)建自定義掃描測試的 CASL（自定義審計腳本語言）腳本工具； ? 入侵檢測監(jiān)控測試系統(tǒng)和網(wǎng)絡(luò)動態(tài)檢測器的校驗功能； ? 集成到 Active Security 結(jié)構(gòu)上提供事件編排和先進安全性策略管理。 CyberCop Scanner 有 Windows NT 與 Linux 版本，并提供基于 Windows NT 及UNIX 工作站 與服務(wù)器、防火墻、集線器、路由器、交換機和運行本地 TCP/IP 設(shè)備的脆弱性評估。 CyberCop Scanner 也可運行在 Windows 2021 Beta、 NT。CyberCop Scanner 用于 Linux Red Hat CyberCop Scanner 允許你掃描網(wǎng)絡(luò)，而無需求助于某些其它產(chǎn)品復(fù)雜的、有約束性且耗時的 IP 注冊許可。 Network Associates 意識到你的環(huán)境是獨特且為動態(tài)形式，在常規(guī)基礎(chǔ)上添加與重新配置的系統(tǒng)。 CyberCop Scanner 節(jié)約時間，并 允許你將精力集中在值得花費的事情上。 CyberCop Scanner 是 Network Associates 的 Active Security 產(chǎn)品集成系列的首要版本。這些產(chǎn)品代表企業(yè)安全性的下一進展步伐，即主動及自動實施網(wǎng)絡(luò)安全性策略。在網(wǎng)絡(luò)發(fā)現(xiàn)安全脆弱性時， Active Security 執(zhí)行自定義的自動響應(yīng)。這些響應(yīng)包括創(chuàng)建幫助桌面標簽并將其路由到機構(gòu)中合適的人選、向管理員發(fā)送 SMTP信息或?qū)ず艟瘓?、關(guān)閉 Gauntlet Firewall 上特定的端口，以此阻止惡意用戶利用這些脆弱性。系統(tǒng)要求： 100MHz Pentium 處理器、 64MB 的 RAM、 48MB 的自由磁盤。 CyberCop Scanner 具備強有力的內(nèi)置 Unix/NT 口令 Crack；可以提供功能強大的攻擊測試手段；提供了其它對手沒有的定制攻擊描述語言 (CASL)及 Customer Audit Packet Engine(CAPE)，因此用戶可方便地定制自身的攻擊