【正文】 唯一一個被權(quán)威機(jī)構(gòu)評測為B+級的實(shí)時監(jiān)控網(wǎng)絡(luò)安全入侵軟件。RealSecure提供實(shí)時的網(wǎng)絡(luò)監(jiān)視，并允許用戶在系統(tǒng)受到危害之前截取和響應(yīng)安全漏洞和內(nèi)部網(wǎng)絡(luò)誤用。RealSecure無妨礙地監(jiān)控網(wǎng)絡(luò)傳輸并自動檢測和響應(yīng)可疑的行為，從而最大程度的為企業(yè)提供安全。RealSecure有三個組件。RealSecure引擎（RealSecure Engine）運(yùn)行在一個專門的主機(jī)上監(jiān)視所有網(wǎng)絡(luò)上流過的數(shù)據(jù)包，發(fā)現(xiàn)能夠正確識別攻擊在進(jìn)行的攻擊特征。攻擊的識別是實(shí)時的，用戶可定義報警和一旦攻擊被檢測到的響應(yīng)。 RealSecure代理 (RealSecure Agent)是一個基于主機(jī)的對RealSecure引擎的補(bǔ)充。RealSecure代理分析主機(jī)日志來識別攻擊，決定攻擊是否成功并提供其它實(shí)時環(huán)境中無法得到的證據(jù)?；谒l(fā)現(xiàn)的信息，RealSecure代理會作出反應(yīng)，通過中斷用戶進(jìn)程和掛起用戶帳戶來阻止進(jìn)一步的侵入。它還會發(fā)出警報、記錄事件、發(fā)陷阱和郵件、執(zhí)行用戶自定義動作。所有Realsecure引擎和Realsecure代理向Realsecure控制臺報告并由管理器進(jìn)行配置。這個控制臺應(yīng)用監(jiān)控任何一個RealSecure引擎和代理的組合的狀態(tài)，不管它們運(yùn)行在UNIX上或Windows NT上。這樣的結(jié)果是企業(yè)得到廣泛的入侵檢測和響應(yīng)，易于配置并可從一個站點(diǎn)進(jìn)行管理。Realsecure管理器還可作為許多網(wǎng)絡(luò)和系統(tǒng)管理環(huán)境的嵌入模塊。RealSecure的優(yōu)點(diǎn) 對網(wǎng)絡(luò)攻擊實(shí)時響應(yīng)，包括切斷連接和重新配置防火墻最小化網(wǎng)絡(luò)攻擊漏洞，在危險發(fā)生之前阻止攻擊 記錄攻擊事件以便于回放能夠被用來收集起訴的證據(jù)業(yè)界最廣泛的攻擊模式識別管理員不需要是安全專家 內(nèi)置的報告生成管理員會快速收到有結(jié)構(gòu)的網(wǎng)絡(luò)事件的歸納總結(jié)很大范圍的網(wǎng)絡(luò)拓?fù)湟蕴W(wǎng)、快速以太網(wǎng)、令牌環(huán)網(wǎng)和FDDI 事件響應(yīng)的在線幫助數(shù)據(jù)庫允許RealSecure被缺少經(jīng)驗(yàn)的操作者使用，減少所有權(quán)和培訓(xùn)的費(fèi)用 運(yùn)行在Windows NT和UNIX平臺使用RealSecure無須購買特殊的硬件。它可運(yùn)行在已有的Windows NT和UNIX主機(jī)上，并具有從一個主控臺監(jiān)控UNIX和Windows NT引擎的能力。 監(jiān)控Windows的網(wǎng)絡(luò)和TCP/IP傳輸微軟的Windows網(wǎng)絡(luò)的環(huán)境支持允許RealSecure監(jiān)視內(nèi)部安全策略的違反，包括訪問合作者機(jī)器上的口令文件或未授權(quán)讀取被保護(hù)的共享資源。 對網(wǎng)絡(luò)傳輸流無影響RealSecure是完全沒有妨礙的。它對網(wǎng)絡(luò)傳輸不增加任何延遲。這允許企業(yè)增強(qiáng)安全覆蓋而不會降低網(wǎng)絡(luò)速度。具體設(shè)計：在每臺需要保護(hù)的主機(jī)（如交易前置主機(jī)）上我們都安裝Realsecure的主機(jī)監(jiān)控模塊，system realscure可以實(shí)時監(jiān)視各種對主機(jī)的訪問請求，并及時將信息反饋給控制臺，這樣全網(wǎng)任何一臺主機(jī)受到攻擊時，系統(tǒng)都可以及時發(fā)現(xiàn)，并可將反饋信息及時傳送給控制臺進(jìn)行處理，并能自動對入侵事件做出反應(yīng)。在需要保護(hù)的重點(diǎn)的網(wǎng)段，我們也將安裝Realsecure 的網(wǎng)絡(luò)監(jiān)控模塊，對這一網(wǎng)段的非正常的訪問進(jìn)行監(jiān)視，對速度的要求及其它原因的綜合考慮，我們建議只在極少數(shù)十分重要的網(wǎng)段安裝 。由于反饋信息可以跨越路由，同時又考慮到管理的方便性和可行性，建議在網(wǎng)絡(luò)上設(shè)置一臺網(wǎng)管工作站作為網(wǎng)絡(luò)檢測的控制臺。如圖： 漏洞掃描安全評估技術(shù)網(wǎng)絡(luò)建成后，應(yīng)該制定完善的網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理策略，但實(shí)際情況是，再有經(jīng)驗(yàn)的網(wǎng)絡(luò)管理者也不可能完全依靠自身的能力建立十分完善的安全系統(tǒng)。漏洞掃描安全評估技術(shù)可以幫助網(wǎng)絡(luò)管理者對網(wǎng)絡(luò)的安全現(xiàn)狀，發(fā)現(xiàn)漏洞后提出具體的解決辦法。網(wǎng)絡(luò)安全漏洞掃描系統(tǒng)通常安裝在一臺與網(wǎng)絡(luò)有連接的主機(jī)上。系統(tǒng)中配有一個信息庫，其中存放著大量有關(guān)系統(tǒng)安全漏洞和可能的黑客攻擊行為的數(shù)據(jù)。掃描系統(tǒng)根據(jù)這些信息向網(wǎng)路上的主機(jī)和網(wǎng)絡(luò)設(shè)備發(fā)送數(shù)據(jù)包，觀察被掃描的設(shè)備是否存在與信息庫中記錄的內(nèi)容相匹配的安全漏洞。掃描的內(nèi)容包括主機(jī)操作系統(tǒng)本身、操作系統(tǒng)的配置、防火墻配置、網(wǎng)絡(luò)設(shè)備配置以及應(yīng)用系統(tǒng)等。通過網(wǎng)絡(luò)掃描，系統(tǒng)管理著可以及時發(fā)現(xiàn)網(wǎng)路中存在的安全隱患，并加以必要的修補(bǔ)，從而減小網(wǎng)絡(luò)被攻擊的可能。安全掃描主要分為兩種方式：直接配置檢查：這種技術(shù)的代表是COPS（Computer Oracle Password and Security system）。COPS從系統(tǒng)內(nèi)部 常見的Unix安全配置錯誤與漏洞，如關(guān)鍵文件權(quán)限設(shè)置，ftp權(quán)限與路徑設(shè)置，root路徑設(shè)置，密碼等等，指出存在的失誤，減少系統(tǒng)可能被入侵者（包括內(nèi)部用戶）利用的漏洞。模擬入侵 ：這種技術(shù)模擬入侵者可能的攻擊行為，從系統(tǒng)外部進(jìn)行掃描，以探測是否存在可以被入侵者利用的系統(tǒng)安全薄弱之處。它的代表有ISS（Internet Security Scanner）、SATAN（Security Analysis Tool for Auditing Network）。安全掃描工具通常也分為基于服務(wù)器和基于網(wǎng)絡(luò)的掃描器：基于服務(wù)器的掃描器主要掃描服務(wù)器相關(guān)的安全漏洞，如password文件、目錄和文件權(quán)限、共享文件系統(tǒng)、敏感服務(wù)、軟件、系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法建議。通常與相應(yīng)的服務(wù)器操作系統(tǒng)緊密相關(guān)。基于網(wǎng)絡(luò)的安全掃描主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的服務(wù)器、路由器、網(wǎng)橋、交換機(jī)、訪問服務(wù)器、防火墻等設(shè)備的安全漏洞，并可設(shè)定模擬攻擊，以測試系統(tǒng)的防御能力。通常該類掃描器限制使用范圍（IP地址或路由器跳數(shù)）。網(wǎng)絡(luò)安全掃描的主要性能應(yīng)該考慮以下方面：速度：因?yàn)樵诰W(wǎng)絡(luò)內(nèi)進(jìn)行安全掃描非常耗時。網(wǎng)絡(luò)拓?fù)洌和ㄟ^GUI的圖形界面，可選擇一個或某些區(qū)域的設(shè)備。能夠發(fā)現(xiàn)的漏洞數(shù)量是否支持可制定的攻擊方法：通常提供強(qiáng)大的工具構(gòu)造特定的攻擊方法。因?yàn)榫W(wǎng)絡(luò)內(nèi)服務(wù)器及其它設(shè)備對相同協(xié)議的實(shí)現(xiàn)存在差別，所以預(yù)制的掃描方法肯定不能滿足客戶的需求。報告：掃描器應(yīng)該能夠給出清楚的安全漏洞報告。更新周期：提供該項(xiàng)產(chǎn)品的廠商應(yīng)盡快給出新發(fā)現(xiàn)的安全漏洞掃描特征升級，并給出相應(yīng)的改進(jìn)建議。在本方案中，我們建議采用美國ISS公司生產(chǎn)的Internet Scaner系統(tǒng)針對網(wǎng)絡(luò)設(shè)備的安全漏洞進(jìn)行檢測和分析，包括網(wǎng)絡(luò)通信服務(wù)、路由器、防火墻、郵件、WEB服務(wù)器等，從而識別能被入侵者利用非法進(jìn)入的網(wǎng)絡(luò)漏洞。網(wǎng)絡(luò)掃描系統(tǒng)對檢測到的漏洞信息形成詳細(xì)報告，包括位置、詳細(xì)描述和建議的改進(jìn)方案，使本證券中心網(wǎng)管系統(tǒng)能檢測和管理安全風(fēng)險信息。ISS通過對網(wǎng)絡(luò)安全弱點(diǎn)全面和自主地檢測與分析，能夠迅速找到并修復(fù)安全漏洞?；ヂ?lián)網(wǎng)掃描對所有附屬在網(wǎng)絡(luò)中的設(shè)備進(jìn)行掃描，檢查它們的弱點(diǎn)，將風(fēng)險分為高、中、低三個等級并且生成大范圍的有意義的報表。從以企業(yè)管理者角度來分析的報告到為消除風(fēng)險而給出的詳盡的逐步指導(dǎo)方案均可以體現(xiàn)在報表中。Internet Scanner包括Web Security ScannerTM（用于掃描WEB服務(wù)器）、Firewall ScannerTM（用于掃描防火墻）、Intranet ScannerTM（用于掃描企業(yè)內(nèi)部網(wǎng)）。Web Security ScannerTM通過檢測您WEB服務(wù)器下的操作系統(tǒng)、WEB服務(wù)器的應(yīng)用程序本身及WEB應(yīng)用程序的CGI腳本，幫助您保護(hù)網(wǎng)站內(nèi)部、外部的安全。它測試WEB服務(wù)器的配置，評估基礎(chǔ)文件系統(tǒng)的安全性，搜索CGI腳本中的知名漏洞并設(shè)法利用用戶CGI腳本。Firewall ScannerTM通過檢測防火墻下操作系統(tǒng)的安全性、防火墻應(yīng)用程序和能透過防火墻的服務(wù)來測試防火墻的安全性。Intranet ScannerTM最全面地掃描安全漏洞，提供可靠的方法評估您的TCP/IP連接系統(tǒng)的安全配置。它能熟悉您的網(wǎng)絡(luò)，系統(tǒng)地檢測每個網(wǎng)絡(luò)設(shè)備的安全漏洞并自動推薦合適的校正措施。網(wǎng)絡(luò)設(shè)備包括UNIX主機(jī)、Windows NT或Windows 95系統(tǒng)、一個路由器、甚至一個X終端。A、互聯(lián)網(wǎng)掃描的掃描種類網(wǎng)絡(luò)服務(wù)Web服務(wù)器防火墻和路由器防火墻特定的強(qiáng)烈攻擊選項(xiàng)防火墻拒絕服務(wù)攻擊檢測Windows NT配置UNIX配置B、系統(tǒng)要求支持Windows NT的互聯(lián)網(wǎng)掃描支持UNIX的互聯(lián)網(wǎng)掃描IBM AIX Sun Solaris Sun Solaris x86 SunOS Linux （含內(nèi)核補(bǔ)?。┗蚋週inux （含內(nèi)核補(bǔ)?。㎜inux （不需補(bǔ)?。〤、硬盤空間和內(nèi)存要求支持Windows NT的互聯(lián)網(wǎng)掃描硬盤空間——安裝需要90MB，內(nèi)存——64MB，每1000個主機(jī)需要增加8MB支持UNIX的互聯(lián)網(wǎng)掃描硬盤空間——至少10MB內(nèi)存——32MB設(shè)計：針對ＸＸ證券中心網(wǎng)絡(luò)現(xiàn)狀，我們建議采用安全管理中心進(jìn)行掃描的方式來進(jìn)行日常安全檢測和掃描任務(wù)。建議購買ISS SCANER由證券中心對主要結(jié)點(diǎn)的重要ip進(jìn)行日常掃描， 同時定期匯報掃描情況。對發(fā)現(xiàn)的安全問題提出解決方案并協(xié)助證券中心網(wǎng)管解決問題。同時由安全管理小組負(fù)責(zé)掃描軟件版本升級，錯誤修改，輔助模塊開發(fā)的工作，保證外部掃描的及時性和準(zhǔn)確性。一份格式漂亮的結(jié)果報告是任何掃描軟件能夠生成的，但是實(shí)際的風(fēng)險和解決，將有我公司的專業(yè)人員幫助識別和解決。如圖示。 防病毒技術(shù)病毒的防范早已不是什么新鮮話題，但是我們所熟悉的多數(shù)是基于桌面的防病毒技術(shù)。除此之外，還有一種更安全的基于網(wǎng)絡(luò)的防病毒技術(shù)?；诰W(wǎng)絡(luò)的防病毒技術(shù)可以在網(wǎng)絡(luò)的各個環(huán)節(jié)上實(shí)現(xiàn)對計算機(jī)病毒的防范，其中包括基于網(wǎng)關(guān)的防病毒系統(tǒng)、基于服務(wù)器的防病毒系統(tǒng)和基于桌面的防病毒系統(tǒng)。ＸＸ證券總部建議采用了基于網(wǎng)絡(luò)的NORTON企業(yè)版防病毒軟件.1訪問控制列表（Access Control List ，ACL）CISCO路由器操作系統(tǒng)IOS通過訪問控制列表（ACL）技術(shù)支持包過濾防火墻技術(shù)，根據(jù)事先確定的安全策略建立相應(yīng)的訪問列表，可以對數(shù)據(jù)包、路由信息包進(jìn)行攔截與控制，可以根據(jù)源/目的地址、協(xié)議類型、TCP端口號進(jìn)行控制。這樣，我們就可以在Extranet上建立第一道安全防護(hù)墻，屏蔽對內(nèi)部網(wǎng)Intranet的非法訪問。例如，我們可以通過ACL限制可以進(jìn)入內(nèi)部網(wǎng)絡(luò)的外部網(wǎng)絡(luò)甚至是某一臺或幾臺主機(jī)；限制可以被訪問的內(nèi)部主機(jī)的地址；為保證主機(jī)的安全，可以限制外部用戶對主機(jī)的TELNET方式登陸等。如下圖：2地址轉(zhuǎn)換（Network Address Translation，NAT）CISCO路由器操作系統(tǒng)IOS的防火墻功能還包括IP地址轉(zhuǎn)換的功能。進(jìn)行IP地址轉(zhuǎn)換有兩個好處：其一是隱藏內(nèi)部網(wǎng)絡(luò)真正的IP地址，這可以使黑客（hacker）無法直接攻擊內(nèi)部網(wǎng)絡(luò)，因?yàn)樗恢纼?nèi)部網(wǎng)絡(luò)的IP地址及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；另一個好處是可以讓內(nèi)部網(wǎng)絡(luò)使用自己定義的網(wǎng)絡(luò)地址方案，而不必考慮與外界地址沖突的情況。3路由認(rèn)證技術(shù)為了保證發(fā)出和進(jìn)入的路由更新不被竊取和攻擊，CISCO路由器操作系統(tǒng)IOS提供對動態(tài)路由協(xié)議進(jìn)行加密和認(rèn)證的技術(shù)，只有在經(jīng)過認(rèn)證的路由器才能互相學(xué)習(xí)路由信息，同時路由信息的傳輸完全是以加密的形勢進(jìn)行的。鑒于網(wǎng)絡(luò)主干的開放性，可以利用CISCO路由器的路由認(rèn)證技術(shù)對所有路由器的路由信息進(jìn)行認(rèn)證與加密，以防止路由信息的泄漏，保證網(wǎng)絡(luò)的安全。4路由器自身的安全防護(hù)在保證數(shù)據(jù)信息的安全性的同時，必須考慮到路由器自身的安全性。如果路由器本身失去安全保護(hù)，那么前面所做的一切都是徒勞的。在這方面，CISCO路由器IOS提供了一系列防范措施。首先，進(jìn)行口令保護(hù)，用戶登錄路由器必須經(jīng)過口令的認(rèn)證；其次，利用口令授權(quán)，將不同的權(quán)限等級與不同的口令進(jìn)行關(guān)聯(lián)，對用戶進(jìn)行等級的劃分，通過減少超級用戶來減少不安定因素；再次，對口令進(jìn)行加密，以避免口令在網(wǎng)上以明碼的方式進(jìn)行傳輸，同時避免配置文件以明碼的方式顯示口令；最后，對無人職守的控制臺和端口進(jìn)行超時限制，以提高設(shè)備的安全性。5內(nèi)部網(wǎng)絡(luò)端口的安全性為了進(jìn)一步保證關(guān)鍵網(wǎng)絡(luò)設(shè)備（路由器）的安全可靠性，我們可以在其內(nèi)部網(wǎng)段以太網(wǎng)上通過ARP控制進(jìn)行IP地址與MAC地址的綁定，結(jié)合ACL對登陸到路由器的主機(jī)與用戶進(jìn)行限制，可以更好的保證路由器的安全，防止非法用戶盜用地址對路由器進(jìn)行攻擊。第七章、信息監(jiān)控系統(tǒng)、 IT 環(huán)境簡介廣東券證公司是一家全國性的證券公司，在各地有相應(yīng)的營業(yè)部。公司建有一個信息中心，為公司的交易和網(wǎng)絡(luò)中心，通過路由器與各地營業(yè)部連成廣域網(wǎng)，新建信息中心配置大約如下：交易服務(wù)器 4臺 (Compaq PLT DL系列)其他服務(wù)器 若干路由器 4臺 (Cisco 7500/7200/2600/3600)交換機(jī) 若干臺 (CISCO)工作站 250臺 （其中30臺左右機(jī)器為重要的轉(zhuǎn)換機(jī)，要求進(jìn)行監(jiān)控） 為了有效地對信息中心的網(wǎng)絡(luò)系統(tǒng)進(jìn)行監(jiān)管，隨時掌握網(wǎng)絡(luò)系統(tǒng)情況，需要建立一個網(wǎng)絡(luò)監(jiān)控和管理系統(tǒng)。 系統(tǒng)主要需求：該系統(tǒng)當(dāng)然擬建立基本如下功能，其他功能在系統(tǒng)成熟后再擴(kuò)充。監(jiān)控中心網(wǎng)絡(luò)狀況，對服務(wù)器(Unix、Novell、NT)、數(shù)據(jù)庫(SQLserver、Oracle)的狀態(tài)性能進(jìn)行監(jiān)控，對轉(zhuǎn)換機(jī)、處理機(jī)、路由器、交換機(jī)等進(jìn)行監(jiān)控，出現(xiàn)異常或參數(shù)超過設(shè)定閥值時，有報警功能，當(dāng)將來系統(tǒng)擴(kuò)展時可以直接監(jiān)控各營業(yè)部狀況； 系統(tǒng)其它功能能方便地了解網(wǎng)絡(luò)系統(tǒng)的配置情況，具有資產(chǎn)管理功能并生成報表；能有效地提供資源利用情況和性能趨勢，為系統(tǒng)的升級提供依據(jù)；具有完善和方便的二次開發(fā)功能； 系統(tǒng)的目標(biāo)高效性:采用統(tǒng)一、全面、集成的管理工具，管理復(fù)雜的IT環(huán)境。實(shí)用性:主動預(yù)警報告、靈活策略制定、防患于未然。安全可靠性:一個安全、可靠的管理平臺是“有效管理”的充分保證。可擴(kuò)展性:配置靈活、適應(yīng)未來發(fā)展，保護(hù)以往投資?？煽康募夹g(shù)支持與服務(wù):完善的技術(shù)支持服務(wù)網(wǎng)絡(luò)，保證管理實(shí)施的連續(xù)有效。 具體技術(shù)要求 系統(tǒng)性能管理 (1)支