【正文】 對(duì)SNMP通訊串配置進(jìn)行檢測(cè)，并試探性讀取各種信息，包括TCP連接列表、網(wǎng)絡(luò)接口表、IP地址表、ARP轉(zhuǎn)換信息表、路由表、LANMAN上的各種信息表等。（17）Windows服務(wù)SERVER 服務(wù)是服務(wù)器操作系統(tǒng)系統(tǒng)為完成或執(zhí)行特定的功能啟動(dòng)的應(yīng)用程序，此項(xiàng)檢測(cè)除報(bào)告操作系統(tǒng)的默認(rèn)服務(wù)外，還將報(bào)告后來(lái)加裝的一些服務(wù)，這些服務(wù)不一定都表現(xiàn)為漏洞，需由管理員視情況而定。（18）用戶組/網(wǎng)絡(luò)配置此類檢測(cè)主要是檢測(cè)操作系統(tǒng)上的各種用戶組中的帳號(hào)成員情況，網(wǎng)絡(luò)設(shè)置中將對(duì)服務(wù)器類型、多協(xié)議配置等情況進(jìn)行檢測(cè)。（19）網(wǎng)絡(luò)共享/DCOMNetBIOS共享檢測(cè)主要是檢測(cè)主機(jī)中是否存在共享，以及這些共享是否設(shè)置了正確的訪問(wèn)控制，例如是否設(shè)置了口令，是否口令太短，以及共享內(nèi)容里是否有系統(tǒng)敏感信息等。DCOM檢測(cè)主要是檢查DCOM設(shè)置的安全性，主要是通過(guò)注冊(cè)表檢測(cè)DCOM對(duì)象的訪問(wèn)控制權(quán)限的正確性。（20）安全配置與審計(jì)由于管理員的水平和其它一些操作系統(tǒng)配置上的原因，WINDOWS2003往往達(dá)不到C2級(jí)的安全要求。該項(xiàng)檢測(cè)就是幫助用戶發(fā)現(xiàn)配置不當(dāng)?shù)牡胤?，并提示用戶如何改進(jìn)。2003系統(tǒng)審計(jì)主要檢測(cè)有關(guān)審計(jì)的各項(xiàng)配置，包括：引導(dǎo)、注冊(cè)、創(chuàng)建、帳號(hào)管理、策略改變等成功與失敗的審計(jì)配置等安全問(wèn)題，將對(duì)一些不知名的程序進(jìn)行檢測(cè)。（21）Windows安全區(qū)域主要檢測(cè)瀏覽器安全區(qū)域的設(shè)置，對(duì)四個(gè)區(qū)域，本地市政府網(wǎng)區(qū)域、Internet區(qū)域、可信站點(diǎn)區(qū)域、受限站點(diǎn)區(qū)域的設(shè)置是否符合安全需要，包括安全區(qū)域下載，安全腳本，ActiveX控件等內(nèi)容。（22）文件傳輸協(xié)議FTP（文件傳輸協(xié)議）是Internet上最早應(yīng)用于不同系統(tǒng)之間交換數(shù)據(jù)的協(xié)議之一。此類掃描主要針對(duì)FTP協(xié)議有可能產(chǎn)生的弱點(diǎn)和漏洞進(jìn)行檢測(cè)，這些弱點(diǎn)和漏洞有可能造成入侵者很容易訪問(wèn)到計(jì)算機(jī)，如通過(guò)匿名、空口令訪問(wèn)等，從而對(duì)用戶的計(jì)算機(jī)造成潛在的危害。其中Ftp site Exec、空口令、CD Root等漏洞都將導(dǎo)致風(fēng)險(xiǎn)級(jí)別為高級(jí)的安全問(wèn)題。（23）網(wǎng)絡(luò)端口掃描了解自己的服務(wù)器開(kāi)放了哪些端口，對(duì)外提供了哪些服務(wù)是管理員應(yīng)該了解和掌握的，因?yàn)橛行┓?wù)，將會(huì)被網(wǎng)絡(luò)入侵者利用，引起不必要的安全問(wèn)題，所以通過(guò)掃描端口，可幫助管理員及時(shí)了解當(dāng)前開(kāi)放了哪些服務(wù)，提示管理員應(yīng)及時(shí)關(guān)閉不必要的服務(wù)。（24）操作系統(tǒng)信息搜集信息搜集是網(wǎng)絡(luò)入侵者在實(shí)施攻擊前要做的一項(xiàng)必不可少的工作，如帳號(hào)、目錄信息等，這一類工作就是利用WINDOWS 操作系統(tǒng)上的漏洞搜集系統(tǒng)信息，包括帳號(hào)信息、組信息、存在共享目錄、會(huì)話信息、注冊(cè)表信息等。這些信息往往會(huì)被利用，對(duì)系統(tǒng)造成安全威脅，因此，領(lǐng)先黑客發(fā)現(xiàn)并阻止系統(tǒng)信息的泄露是十分重要的。（25）系統(tǒng)信息搜集網(wǎng)絡(luò)入侵者在實(shí)施攻擊前要做的一項(xiàng)必不可少的工作就是搜集系統(tǒng)信息。而系統(tǒng)的安全性，也在一定程度上與暴露的信息量有關(guān)。此類檢測(cè)將通過(guò)各種手段對(duì)目標(biāo)獲取信息，如獲取操作系統(tǒng)信息（包括類型、版本等）、帳號(hào)、應(yīng)用軟件、敏感文件、系統(tǒng)資源、路由、子網(wǎng)掩碼、在線系統(tǒng)信息等。安全評(píng)估技術(shù)將通過(guò)一些安全建議和解決方案幫助用戶提高系統(tǒng)的安全性。（26）特洛伊和后門程序檢測(cè)特洛伊程序往往是在用戶不知道的情況下被引入到系統(tǒng)中的。它可隱蔽的藏于用戶的執(zhí)行進(jìn)程中，不容易被發(fā)覺(jué)，可為遠(yuǎn)程入侵者提供本地有用信息，嚴(yán)重的還可被遠(yuǎn)程控制，其危害性極大。 此項(xiàng)檢測(cè)的特洛伊程序有：Rootkit，Hidesource，HidePak，Netbus ，NetSpy，BO 和 BO 2000。安全評(píng)估技術(shù)掃描軟件能夠快速適應(yīng)新的安全策略的需要。從技術(shù)上監(jiān)察、保證市政府安全策略。安全評(píng)估技術(shù)具備安全策略自定義的能力，能夠保證用戶能按照自己的意愿工作，用戶可根據(jù)不同的需求，選取或自定義不同的策略，對(duì)相應(yīng)的網(wǎng)絡(luò)設(shè)施進(jìn)行掃描分析工作。安全評(píng)估技術(shù)嚴(yán)格遵守國(guó)際慣例，對(duì)掃描強(qiáng)度和系統(tǒng)風(fēng)險(xiǎn)級(jí)別實(shí)行分級(jí)制。掃描強(qiáng)度分為重度掃描，中度掃描，輕度掃描，以及按操作系統(tǒng)的不同又定義了 Windows 系列操作系統(tǒng)掃描策略，能滿足不同用戶對(duì)不同網(wǎng)絡(luò)安全的要求。良好的安全策略的自定義能力，可更有效的配合市政府整體安全策略工作。支持定時(shí)檢測(cè)，可以讓用戶設(shè)定檢測(cè)時(shí)間，在網(wǎng)絡(luò)不繁忙時(shí)自動(dòng)啟動(dòng)檢測(cè)，這樣可以減小用戶的工作量，增加工作效率。安全評(píng)估技術(shù)為方便用戶的使用，在掃描分析目的網(wǎng)絡(luò)后，給用戶提供一份完整的安全性分析報(bào)告。報(bào)告提供了標(biāo)準(zhǔn)TXT、HTML等多種輸出方式，并提供報(bào)告格式轉(zhuǎn)換功能，為系統(tǒng)數(shù)據(jù)共享提供了很好的接口。報(bào)告系統(tǒng)地對(duì)目的網(wǎng)絡(luò)系統(tǒng)的安全性進(jìn)行詳細(xì)描述，為用戶確保網(wǎng)絡(luò)安全提供依據(jù)。報(bào)告中包含：基本信息中包含當(dāng)前的生成報(bào)告時(shí)間、工程名稱、掃描的時(shí)間、主機(jī)信息、用戶信息、端口服務(wù)信息、路由信息等。漏洞分布以圖形的方式，分析統(tǒng)計(jì)了當(dāng)前工程某臺(tái)掃描主機(jī)的漏洞風(fēng)險(xiǎn)級(jí)別分布，以及各漏洞的風(fēng)險(xiǎn)級(jí)別數(shù)目，以及對(duì)當(dāng)前工程某臺(tái)主機(jī)檢測(cè)到的弱點(diǎn)和漏洞的描述以及解決方案、專家建議，還有其他相關(guān)補(bǔ)充信息等。、誤報(bào)率及網(wǎng)絡(luò)影響安全評(píng)估技術(shù)系統(tǒng)采用多線程技術(shù)，實(shí)現(xiàn)了多目標(biāo)多模塊并行檢測(cè)，大大縮短了檢測(cè)時(shí)間，提高了檢測(cè)效率。掃描速度在同等功能的同類產(chǎn)品中速度最快。安全評(píng)估技術(shù)網(wǎng)絡(luò)掃描系統(tǒng)具有較低的誤報(bào)率；在UDP數(shù)據(jù)報(bào)方面存在誤報(bào)情況，這是所有漏洞掃描產(chǎn)品都存在的問(wèn)題，ISE的誤報(bào)率已經(jīng)是最少的了。安全評(píng)估技術(shù)對(duì)網(wǎng)絡(luò)進(jìn)行全面掃描檢測(cè)時(shí)對(duì)網(wǎng)絡(luò)的數(shù)據(jù)包傳輸不會(huì)造成明顯延遲，不會(huì)對(duì)網(wǎng)絡(luò)造成不良影響。在選擇高強(qiáng)度策略進(jìn)行安全檢測(cè)時(shí)，會(huì)在網(wǎng)絡(luò)中產(chǎn)生大量帶有特征信息的數(shù)據(jù)包，應(yīng)避免在網(wǎng)絡(luò)流量高峰期進(jìn)行高強(qiáng)度安全檢測(cè)。對(duì)網(wǎng)絡(luò)流量影響平均低于5%，符合國(guó)際工業(yè)標(biāo)準(zhǔn)。 防火墻防火墻訪問(wèn)控制策略應(yīng)用見(jiàn)下圖：一般防火墻基本功能：l 提供靈活的訪問(wèn)控制功能（基于地址、協(xié)議、端口、用戶、流量的訪問(wèn)控制），支持各種應(yīng)用和各類協(xié)議；l 基于時(shí)間的訪問(wèn)控制；l 應(yīng)用安全控制：URL阻斷及HTTP、FTP的協(xié)議命令過(guò)濾；l IP地址翻譯(NAT)功能，特有的在透明工作模式下地址翻譯功能；l IP及端口映射功能，即反向NAT功能,可以IP級(jí)映射，端口級(jí)映射；l IP與MAC地址綁定；l 防止控制區(qū)域間的IP欺騙；l 支持對(duì)公開(kāi)服務(wù)器的安全保護(hù)；l 一次性口令認(rèn)證機(jī)制；l 用戶級(jí)權(quán)限控制；l 用戶與IP列表綁定；l 集成入侵檢測(cè)；l 抗DoS/DDos攻擊；l 提供流量統(tǒng)計(jì)與控制功能；l 支持QoS；l 防火墻日志、審計(jì)；l 提供對(duì)防火墻配置規(guī)則的測(cè)試功能；l 支持多種工作模式，可以透明接入與透明連接，不影響原有網(wǎng)絡(luò)設(shè)計(jì)和配置；也可以路由模式接入，提供路由功能；還有獨(dú)創(chuàng)的混合工作模式，使透明模式和路由模式同時(shí)工作，極大提高網(wǎng)絡(luò)應(yīng)用的靈活性；l 支持本地和遠(yuǎn)程管理方式；l 遠(yuǎn)程管理提供多種安全措施；l 支持命令行和GUI方式的管理與配置；l 具有完整的協(xié)議兼容性；安全隔離技術(shù)在兩個(gè)不同網(wǎng)絡(luò)區(qū)域之間，建立徹底隔離網(wǎng)絡(luò)交易本體的安全通道，同時(shí)對(duì)網(wǎng)間信息交易的客體、內(nèi)容、過(guò)程實(shí)施嚴(yán)格的用戶認(rèn)證、解碼分析、信息重構(gòu)等一系列安全防護(hù)機(jī)制，以確保由交易源發(fā)起的交易信息本體永遠(yuǎn)不能直接或間接地被傳送到交易目標(biāo)，最終被傳遞到交易目標(biāo)的信息只是經(jīng)過(guò)重新構(gòu)造的交易要求，即交易源發(fā)起的信息本體在流轉(zhuǎn)過(guò)程中被終止了，但是交易要求經(jīng)過(guò)重構(gòu)后實(shí)現(xiàn)了。通過(guò)隔離技術(shù)的采用，實(shí)現(xiàn)信息安全交易的管理要求，并提高對(duì)不同安全區(qū)域間風(fēng)險(xiǎn)傳播的防范能力。網(wǎng)絡(luò)隔離技術(shù)的實(shí)現(xiàn)本質(zhì)是：由交易源發(fā)起的交易信息本體永遠(yuǎn)不能直接或間接地被傳送到交易目標(biāo)，最終被傳遞到交易目標(biāo)的信息只是經(jīng)過(guò)重新構(gòu)造的基本信息元集，即交易源發(fā)起的信息本體在流轉(zhuǎn)過(guò)程中被終止了，但是交易的要求經(jīng)過(guò)重構(gòu)后被實(shí)現(xiàn)了。因此，隔離的真正要素是信息交易本體的隔離，并非簡(jiǎn)單的開(kāi)關(guān)通斷。采用一套真正值得推敲的技術(shù)實(shí)現(xiàn)過(guò)程才是隔離的要件。本方案推薦華御全隔離系統(tǒng)的技術(shù)實(shí)現(xiàn)核心是交易信息重構(gòu)技術(shù)，該技術(shù)是我國(guó)自主研發(fā)并掌握核心技術(shù)的，在安全思想及實(shí)現(xiàn)范圍上與國(guó)外的主流技術(shù)是完全不同的。l 交易信息A包括：協(xié)議層次、交易數(shù)據(jù)l 交易信息B包括：交易請(qǐng)求、數(shù)據(jù)l 交易信息C包括：內(nèi)部格式及數(shù)據(jù)l 交易信息D包括：新建的協(xié)議層次及數(shù)據(jù)隔離系統(tǒng)原理示意圖說(shuō)明通過(guò)一系列安全防護(hù)、實(shí)現(xiàn)流程，交易源所發(fā)起的交易信息A的流轉(zhuǎn)過(guò)程被強(qiáng)制中止了，傳遞到交易目標(biāo)的信息只是經(jīng)過(guò)重構(gòu)的交易信息D。交易信息A=交易信息B；（交易信息A在交易要素抽取后被丟棄了）交易信息B=交易信息C；交易信息C=交易信息D；交易信息D=交易信息A；隔離系統(tǒng)對(duì)網(wǎng)絡(luò)間的數(shù)據(jù)進(jìn)行詳細(xì)的解碼分析，隔離系統(tǒng)對(duì)TCP/IP協(xié)議的TCP/UDP/ICMP協(xié)議做完整解碼；對(duì)HTTP、FTP、SMTP、POP、DNS等應(yīng)用層協(xié)議，從協(xié)議能否被正常解釋的角度，進(jìn)行解碼分析，支持協(xié)議內(nèi)部全部可解釋的命令字與傳遞參數(shù)，在分析過(guò)程中屏蔽協(xié)議中不可解釋部分（即在標(biāo)準(zhǔn)TCP/IP協(xié)議中無(wú)明確定義）。分析完成后記錄關(guān)鍵信息用于向隔離系統(tǒng)的另一端傳輸，同時(shí)丟棄原有的數(shù)據(jù)包。交易重構(gòu)過(guò)程示意圖：隔離系統(tǒng)根據(jù)交易分析后傳遞的關(guān)鍵信息進(jìn)行交易重構(gòu)，該重構(gòu)過(guò)程是根據(jù)RFC標(biāo)準(zhǔn)完成的。重構(gòu)過(guò)程中屏蔽系統(tǒng)不可解釋部分（即在標(biāo)準(zhǔn)TCP/IP協(xié)議中無(wú)明確定義）。如通訊中使用了TCP/IP協(xié)議保留字段，則隔離器進(jìn)行數(shù)據(jù)重組時(shí)將該字段設(shè)置為空。隔離網(wǎng)閘系統(tǒng)兩端之間通過(guò)自定義的硬件驅(qū)動(dòng)在物理介質(zhì)上使用特定密鑰控制的規(guī)約通訊，不使用TCP/IP協(xié)議，確保內(nèi)、外網(wǎng)之間在TCP/IP協(xié)議上是徹底隔離的。安全隔離技術(shù)的實(shí)現(xiàn)本質(zhì)是：由交易源發(fā)起的交易信息本體永遠(yuǎn)不能直接或間接地被傳送到交易目標(biāo)，最終被傳遞到交易目標(biāo)的信息只是經(jīng)過(guò)重新構(gòu)造的基本信息元集，即交易源發(fā)起的信息本體在流轉(zhuǎn)過(guò)程中被終止了，但是交易的要求經(jīng)過(guò)重構(gòu)后被實(shí)現(xiàn)了。因此，隔離的真正要素是信息交易本體的隔離，并非簡(jiǎn)單的開(kāi)關(guān)通斷。通過(guò)交易分析、交易重構(gòu)以及協(xié)議轉(zhuǎn)換這一過(guò)程，隔離系統(tǒng)屏蔽了所有基于TCP/IP協(xié)議本身的隱患的安全風(fēng)險(xiǎn)，并且使對(duì)未知風(fēng)險(xiǎn)的防范成為可能。安全隔離技術(shù)在實(shí)現(xiàn)上可以提供對(duì)規(guī)則管理的擴(kuò)展，用戶可根據(jù)自身應(yīng)用的業(yè)務(wù)流程管理（包括組織機(jī)構(gòu)、業(yè)務(wù)動(dòng)作、人員權(quán)限、管理規(guī)定等項(xiàng)目的對(duì)應(yīng)與控制），形成多種形式的規(guī)則模版。（1）服務(wù)器的防病毒系統(tǒng)網(wǎng)絡(luò)系統(tǒng)的服務(wù)器為Windows系列服務(wù)器平臺(tái)。 由于服務(wù)器若被感染，其感染文件將成為病毒感染的源頭，它們會(huì)迅速?gòu)淖烂娓腥景l(fā)展到整個(gè)網(wǎng)絡(luò)的病毒爆發(fā)。因此，基于服務(wù)器的病毒保護(hù)已成為當(dāng)務(wù)之急。網(wǎng)絡(luò)版防病毒提供了全面的基于服務(wù)器的病毒保護(hù)?？梢詮膯为?dú)的直觀控制臺(tái)上遠(yuǎn)程管理這些服務(wù)器平臺(tái)。它包括以下技術(shù)解決方案服務(wù)器防病毒解決方案（Windows 2003）群件服務(wù)器的防病毒方案（Microsoft Exchange，Lotus Notes/Domino）在線更新: 自動(dòng)將病毒更新的信息發(fā)布到Internet上。Net Tools Console：提供集中的管理、分發(fā)和警告功能。（2）客戶端的防病毒系統(tǒng)由于50%以上的病毒是通過(guò)軟盤(pán)進(jìn)入市政府的網(wǎng)絡(luò)系統(tǒng)，因此對(duì)桌面系統(tǒng)的病毒應(yīng)采用嚴(yán)加防范，網(wǎng)絡(luò)系統(tǒng)采用Windows 95/98/2000/XP操作系統(tǒng)。WebScanX:保護(hù)系統(tǒng)免受惡意Java和ActiveX小程序的破壞；PC Medic：保護(hù)系統(tǒng)和應(yīng)用程序免于崩潰；PGP File：增強(qiáng)機(jī)密信息的安全性；Quick Backup 保護(hù)數(shù)據(jù)免于意外的丟失；SecureCast: 自動(dòng)在Internet上發(fā)布接收病毒更新信息；Net Tools Console : 具有集中的管理、分發(fā)和警告功能。（3）Internet的防病毒系統(tǒng)根據(jù)ICSA的報(bào)告，一般公司的電腦感染病毒的來(lái)源有超過(guò)20%是通過(guò)網(wǎng)絡(luò)下載文檔感染，另外有26%是經(jīng)電子郵件的附加文檔所感染，由于大型網(wǎng)絡(luò)系統(tǒng)已連入Interent，因此，此部分將成為防范的重點(diǎn)。Internet Security Suite在Interent網(wǎng)關(guān)上可以提供全面的病毒防衛(wèi)系統(tǒng)，封鎖病毒所有可能的進(jìn)入點(diǎn)。透過(guò)管理控制臺(tái)可直接在任何服務(wù)器或工作站上進(jìn)行遠(yuǎn)程管理。它包括以下部分：WebShield SMTP: 可以掃描全部收發(fā)的電子郵件；WebShield Proxy: 可以掃描位于代理服務(wù)器和網(wǎng)絡(luò)協(xié)議：HTTP，SMTP，F(xiàn)TP等。SecureCast: 自動(dòng)將病毒更新的信息發(fā)布到Internet上。Net Tools Console：提供集中的管理、分發(fā)和警告功能。（4）電子郵件的防病毒系統(tǒng)現(xiàn)在普遍采用的內(nèi)部電子郵件系統(tǒng)為：Lotus Notes, MS Exchange Server, 或Novell的GroupWise Server。 Internet連接采用SMTP協(xié)議，內(nèi)部電子郵件系統(tǒng)與Internet連接采用SMTP Gateway。系統(tǒng)在Internet網(wǎng)關(guān)處采用Internet Security Suite可以防止從Internet上的病毒感染。內(nèi)部的電子郵件系統(tǒng)可以在服務(wù)器上安裝GroupShield: 群件服務(wù)器的防病毒方案?？梢話呙鐼icrosoft Exchange，Lotus Notes/Domino的病毒。XX市工商局的所有數(shù)據(jù)都存放在數(shù)據(jù)庫(kù)服務(wù)器及文件服務(wù)器中，服務(wù)器的宕機(jī)，會(huì)給工商局帶來(lái)巨大的損失；這就要求生產(chǎn)用服務(wù)器一旦產(chǎn)生任何形式的死機(jī)或服務(wù)失效，網(wǎng)絡(luò)上備用的服務(wù)器能夠立即接管生產(chǎn)用服務(wù)器的而使從整個(gè)系統(tǒng)不至于崩潰，從而保證整個(gè)系統(tǒng)的業(yè)務(wù)連續(xù)運(yùn)作。保證系統(tǒng)高可用性，可以從以下幾方面著手設(shè)計(jì)： （1）數(shù)據(jù)鏡像數(shù)據(jù)鏡像是一種有效、高性能的高可用性解決方案，它不需要昂貴的RAID磁盤(pán)子系統(tǒng)，也無(wú)需考慮SCSI接口對(duì)纜線長(zhǎng)度的限制?？蓴U(kuò)展的磁盤(pán)鏡像運(yùn)行在兩臺(tái)相互獨(dú)立又有備份邏輯的服務(wù)器之間。通過(guò)不斷檢測(cè)主系統(tǒng)磁盤(pán)或文件（源）的狀態(tài)，而實(shí)時(shí)地將改動(dòng)的信息鏡像到目標(biāo)機(jī)器的相應(yīng)磁盤(pán)上或文件中。 為了保證數(shù)據(jù)的完整性，擴(kuò)展鏡像限制