【正文】 的網(wǎng)絡(luò)主機(jī)均可納入保護(hù)范圍之內(nèi)。? ESM 管理器：主機(jī)風(fēng)險(xiǎn)評(píng)估系統(tǒng)的中央管理器和信息存貯庫(kù)。定義安全策略和企業(yè)策略評(píng)估計(jì)劃；管理所有 ESM 代理并與之通訊；安全信息的集中存儲(chǔ)；報(bào)表生成并輸出。? ESM 控制臺(tái)：主機(jī)風(fēng)險(xiǎn)評(píng)估安全管理員的管理界面。單一界面對(duì)企業(yè)范圍內(nèi)的風(fēng)險(xiǎn)評(píng)電力廣域網(wǎng)安全建議書 第 26 頁(yè) 共 75 頁(yè)估實(shí)現(xiàn)所有管理任務(wù)（配置管理、策略定義、在線安全修正和報(bào)表生成） 。NetRecon 網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估軟件：NetRecon 是一個(gè)漏洞和風(fēng)險(xiǎn)評(píng)估工具,用于發(fā)現(xiàn)、發(fā)掘和報(bào)告網(wǎng)絡(luò)安全漏洞。象一個(gè)老虎隊(duì)一樣質(zhì)詢網(wǎng)絡(luò)和系統(tǒng)；在系統(tǒng)間分享信息并繼續(xù)探測(cè)各種漏洞直到發(fā)現(xiàn)所有的安全漏洞。NetRecon 獨(dú)有的路徑分析技術(shù)可以幫助發(fā)現(xiàn)漏洞的根本原因。NetRecon 不僅支持 IP 網(wǎng)絡(luò)掃描，還支持 IPX 網(wǎng)絡(luò)掃描。NetRecon 在對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行掃描時(shí)，采用了具有專利 UltraScan 技術(shù)，當(dāng)一個(gè)對(duì)象獲取相關(guān)的數(shù)據(jù)后，數(shù)據(jù)會(huì)作為輸入提供給其他的一個(gè)或多個(gè)工作對(duì)象，多個(gè)對(duì)象同時(shí)探測(cè)多個(gè)目標(biāo)，并連續(xù)地工作。3) 產(chǎn)品配置：（產(chǎn)品配置圖示請(qǐng)參見(jiàn)附件）主機(jī)風(fēng)險(xiǎn)評(píng)估系統(tǒng)的配置：在所有關(guān)鍵主機(jī)（包括安全管理主機(jī)）上配置 ESM 代理軟件；并通過(guò)與放置在網(wǎng)管子網(wǎng)（必須在防火墻之后的內(nèi)網(wǎng)）的 ESM 管理器通訊，下傳評(píng)估策略、執(zhí)行策略和上傳評(píng)估報(bào)告。若存在遠(yuǎn)程網(wǎng)段的 ESM 代理，建議在遠(yuǎn)程網(wǎng)段配置 ESM 管理器（但仍由中央管理控制） ，減少因遠(yuǎn)程通訊帶來(lái)的安全事件報(bào)警的時(shí)延。ESM 管理器負(fù)責(zé)存儲(chǔ)所有安全策略和安全報(bào)告。由安裝在安全管理員桌面的 ESM 控制臺(tái)對(duì)整個(gè)主機(jī)風(fēng)險(xiǎn)評(píng)估系統(tǒng)實(shí)施統(tǒng)一管理。全范圍分布執(zhí)行，集中管理，統(tǒng)一報(bào)表是這個(gè)系統(tǒng)的三大特征。網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估系統(tǒng)的配置：在防火墻內(nèi)網(wǎng)/外網(wǎng)各配置一個(gè) NetRecon 網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估系統(tǒng)。區(qū)別企業(yè)外網(wǎng)和內(nèi)網(wǎng)的不同網(wǎng)絡(luò)應(yīng)用特點(diǎn)，分別輸出企業(yè)外網(wǎng)和內(nèi)網(wǎng)安全報(bào)告。這種內(nèi)外分開(kāi)的配置可以減少打開(kāi)防火墻安全策略的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估系統(tǒng)的統(tǒng)一配置：在 NetRecon 系統(tǒng)平臺(tái)上配置 ESM 代理，并在 ESM 控制臺(tái)上增加 NetRecon 的管理策略。這樣可以實(shí)現(xiàn)將 ESM 主機(jī)評(píng)估報(bào)告和 NetRecon 網(wǎng)絡(luò)評(píng)估報(bào)告集中上傳到 ESM 管理電力廣域網(wǎng)安全建議書 第 27 頁(yè) 共 75 頁(yè)器，企業(yè)用戶可以在 ESM 控制臺(tái)內(nèi)看到整個(gè)企業(yè)的全面安全報(bào)告。（IDS）一個(gè)完整的入侵檢測(cè)系統(tǒng)必須從網(wǎng)絡(luò)和主機(jī)兩個(gè)方面實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)，只有這樣才能充分保證全面的安全防御能力。我們建議在網(wǎng)絡(luò)系統(tǒng)配置 Symantec 公司 ProwlerIDS 入侵檢測(cè)系統(tǒng)。ProwlerIDS 由兩個(gè)產(chǎn)品組成：Intruder Alert 軟件（簡(jiǎn)稱：ITA ）主要是為主機(jī)提供實(shí)時(shí)入侵檢測(cè)功能,并依據(jù)安全策略對(duì)主機(jī)入侵作出適當(dāng)反應(yīng)；NetProwler 軟件主要是為目標(biāo)網(wǎng)絡(luò)提供實(shí)時(shí)網(wǎng)絡(luò)分析，發(fā)現(xiàn)網(wǎng)絡(luò)攻擊并預(yù)警相關(guān)安全產(chǎn)品作出網(wǎng)絡(luò)增強(qiáng)的響應(yīng)。ProwlerIDS 系統(tǒng)為企業(yè)提供了“主機(jī)+網(wǎng)絡(luò)”統(tǒng)一的入侵檢測(cè)控制平臺(tái)。1) 安全目標(biāo)：在關(guān)鍵節(jié)點(diǎn)實(shí)現(xiàn)主機(jī)的實(shí)時(shí)入侵檢測(cè)；在關(guān)鍵網(wǎng)段實(shí)現(xiàn)網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)。2) 產(chǎn)品結(jié)構(gòu)：（詳細(xì)的產(chǎn)品介紹請(qǐng)參見(jiàn)附件中的產(chǎn)品資料）Intruder Alert 主機(jī)入侵檢測(cè)軟件：由“ITA 管理器/ITA 代理/ITA 控制臺(tái)”3 層模塊組成的分布式主機(jī)入侵檢測(cè)系統(tǒng)。出色的圖形界面，靈活的策略定制、域管理以及報(bào)告輸出功能。所有模塊之間的通訊均為加密通訊。電力廣域網(wǎng)安全建議書 第 28 頁(yè) 共 75 頁(yè)? ITA 代理：安裝在被保護(hù)主機(jī)上的后臺(tái)監(jiān)控程序，通過(guò)實(shí)時(shí)分析系統(tǒng)操作和用戶行為，發(fā)現(xiàn)主機(jī)入侵和違規(guī)操作。可保護(hù) 20 多種操作平臺(tái)（NT/Win2022, TruUnix, Soralis, AIX, HPUX, NCR, IRIX, Redhat, VMS 等等） ，能夠支持企業(yè)用戶跨平臺(tái)的安全管理要求。網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)主機(jī)均可納入保護(hù)范圍之內(nèi)。? ITA 管理器：主機(jī)入侵檢測(cè)系統(tǒng)的中央管理器和信息存貯庫(kù)。定義安全策略和入侵響應(yīng)策略；管理所有 ITA 代理并與之通訊；安全信息的集中存儲(chǔ)；報(bào)表生成并輸出。? ITA 控制臺(tái)：入侵檢測(cè)安全管理員的管理界面。單一界面對(duì)企業(yè)范圍內(nèi)的主機(jī)入侵檢測(cè)實(shí)現(xiàn)所有管理任務(wù)（配置管理、策略定義、實(shí)時(shí)監(jiān)控和報(bào)表生成） 。NetProwler 網(wǎng)絡(luò)入侵檢測(cè)軟件：由“NetProwler 代理/NetProwler 管理器/NetProwler 控制臺(tái)”3 層模塊組成的分布式的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。獨(dú)有的 SDSI 專利技術(shù)保證動(dòng)態(tài)的網(wǎng)絡(luò)入侵策略定義和更新。所有模塊之間的通訊均為加密通訊。? NetProwler 代理：運(yùn)行在目標(biāo)網(wǎng)絡(luò)上的獨(dú)享 NT 主機(jī)上，通過(guò)實(shí)時(shí)分析網(wǎng)絡(luò)流量，識(shí)別網(wǎng)絡(luò)入侵特征行為并報(bào)警。? NetProwler 管理器：配置網(wǎng)絡(luò)入侵檢測(cè)策略；負(fù)責(zé)與分布的 NetProwler 代理通訊；統(tǒng)一的配置平臺(tái)和安全信息存儲(chǔ)平臺(tái)；? NetProwler 控制臺(tái)：網(wǎng)絡(luò)入侵檢測(cè)安全管理員的控制平臺(tái)，對(duì) NetProwler 管理器實(shí)施全面管理。3) 產(chǎn)品配置：（產(chǎn)品配置圖示請(qǐng)參見(jiàn)附件）主機(jī)入侵檢測(cè)系統(tǒng)配置：ITA 代理的配置：在網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵主機(jī)（Web 服務(wù)器，Email 服務(wù)器，其它應(yīng)用服務(wù)器）上分別安裝 ITA 代理軟件。ITA 代理軟件依據(jù)用戶自定義的安全策略檢測(cè)被保護(hù)主機(jī)上的安全違規(guī)事件和主機(jī)入侵。安裝 ITA 代理的關(guān)鍵主機(jī)有：網(wǎng)絡(luò)系統(tǒng)各種關(guān)鍵應(yīng)用主機(jī)；網(wǎng)絡(luò)服務(wù)主機(jī)；防火墻；所有安全系統(tǒng)的管理主機(jī)（比如：ESM 管理器，NetProwler管理器，AntiVirus 管理器，Defender 管理器） 。ITA 管理器的配置：在網(wǎng)絡(luò)系統(tǒng)上新增一臺(tái) NT 服務(wù)器作 ITA 管理器，負(fù)責(zé)全網(wǎng)的ITA 代理的通訊。 ITA 管理器必須放置在防火墻后面的內(nèi)網(wǎng)。建議放置在網(wǎng)管子網(wǎng)或服務(wù)器子網(wǎng)上。若存在遠(yuǎn)程網(wǎng)段的 ITA 代理，建議在遠(yuǎn)程網(wǎng)段配置 ITA 管理器（但仍由中央管理控制） 。減少因遠(yuǎn)程通訊帶來(lái)的安全事件報(bào)警的時(shí)延。ITA 控制臺(tái)的配置：建議在安全管理員的客戶機(jī)上安裝控制臺(tái)，集中監(jiān)控全網(wǎng)的主機(jī)入侵檢測(cè)系統(tǒng)。電力廣域網(wǎng)安全建議書 第 29 頁(yè) 共 75 頁(yè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的配置：NetProwler 代理的配置：在網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵子網(wǎng)上新增獨(dú)享 NT 主機(jī)，運(yùn)行NetProwler 代理軟件。NetProwler 代理軟件采用混合網(wǎng)絡(luò)通訊模式，截取并分析所有的網(wǎng)絡(luò)流量。通過(guò)網(wǎng)絡(luò)攻擊特征的分析識(shí)別，提早發(fā)現(xiàn)網(wǎng)絡(luò)攻擊并報(bào)警。其中，建議所有運(yùn)行NetProwler 代理軟件的主機(jī)均采用 NetProwler 的最新功能雙網(wǎng)卡配置。其中一塊網(wǎng)卡沒(méi)有 IP 地址，設(shè)置為混合通訊模式，專門用于監(jiān)聽(tīng)目標(biāo)網(wǎng)段的流量；另外一塊網(wǎng)卡設(shè)有 IP 地址，連入安全的管理子網(wǎng)，直接與 NetProwler 管理器通訊。這種配置由于在目標(biāo)網(wǎng)段里 NetProwler 無(wú) IP 地址，所以大大提高了 NetProwler 的安全性。而且，NetProwler 的管理信息不再通過(guò)危險(xiǎn)網(wǎng)段通訊，也大大減少了 NetProwler 通訊對(duì)網(wǎng)絡(luò)結(jié)構(gòu)安全的影響。NetProwler 管理器的配置：在網(wǎng)管子網(wǎng)（安全子網(wǎng)）內(nèi)新增一臺(tái) NT 主機(jī)，作為NetProwler 管理器。此臺(tái)主機(jī)必須安裝 ITA 代理，用于 NetProwler 與 ITA 的協(xié)同響應(yīng)功能和此臺(tái)主機(jī)自身的入侵檢測(cè)功能。另須安裝 ESM 代理定期執(zhí)行主機(jī)安全檢查。NetProwler 控制臺(tái)的配置：在網(wǎng)絡(luò)入侵檢測(cè)安全管理員的客戶機(jī)上安裝 NetProwler 控制臺(tái)軟件。集中監(jiān)控全網(wǎng)的網(wǎng)絡(luò)入侵檢測(cè)事件。入侵響應(yīng)聯(lián)動(dòng)功能的配置：入侵檢測(cè)的響應(yīng)能力：ITA 主機(jī)入侵檢測(cè)的響應(yīng)能力：14 種（通知用戶、發(fā)送 Email、通知管理員、終止會(huì)話、關(guān)閉機(jī)器、運(yùn)行指定程序等等） 。NetProwler 網(wǎng)絡(luò)入侵檢測(cè)的響應(yīng)能力：8 種（事件日志，中斷連接，加強(qiáng)防火墻，創(chuàng)建報(bào)告，通過(guò)文件或 EMAIL 通知系統(tǒng)管理員，啟動(dòng)指定程序，記錄連接，將事件通知主機(jī)入侵檢測(cè)管理器和控制臺(tái)） 。主機(jī)入侵檢測(cè)和網(wǎng)絡(luò)入侵檢測(cè)的響應(yīng)聯(lián)動(dòng)功能：通過(guò)在 NetProwler 管理器上安裝的ITA 代理和 SNMP 模塊，可以實(shí)現(xiàn)自動(dòng)將網(wǎng)絡(luò)入侵報(bào)警提交給主機(jī)入侵檢測(cè)系統(tǒng)，進(jìn)而利用主機(jī)入侵檢測(cè)系統(tǒng)強(qiáng)大的響應(yīng)功能對(duì)入侵作出充分的防御反應(yīng)。另外，網(wǎng)絡(luò)入侵報(bào)警和主機(jī)入侵報(bào)警的綜合分析，也有利于提高非法入侵的準(zhǔn)確識(shí)別率。網(wǎng)絡(luò)入侵檢測(cè)與防火墻的響應(yīng)聯(lián)動(dòng)功能：NetProwler 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)能夠?qū)z測(cè)到的網(wǎng)絡(luò)入侵及時(shí)報(bào)告給防火墻，提醒防火墻采取網(wǎng)絡(luò)加固和策略加強(qiáng)的響應(yīng)動(dòng)作。 加密考慮到對(duì)系統(tǒng)效率的影響，數(shù)據(jù)加密應(yīng)只針對(duì)關(guān)鍵數(shù)據(jù)和網(wǎng)段進(jìn)行。從網(wǎng)絡(luò)脆弱性和數(shù)據(jù)資源重要性分析，目前應(yīng)以解決網(wǎng)絡(luò)系統(tǒng)和其他系統(tǒng)內(nèi)部網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸為重點(diǎn)，電力廣域網(wǎng)安全建議書 第 30 頁(yè) 共 75 頁(yè)同時(shí)考慮內(nèi)網(wǎng)和外網(wǎng)撥號(hào)用戶的連接。建議采用 Symantec 的 PowerVPN SERVER 產(chǎn)品來(lái)實(shí)現(xiàn)。與其它同類產(chǎn)品不同的是，它既可以選擇與 Symantec 的 Enterprise Firewall 結(jié)合，也可以安裝在獨(dú)立于防火墻的一臺(tái)主機(jī)上獨(dú)立運(yùn)行，這不但使防火墻免于負(fù)擔(dān)加密的任務(wù)（因?yàn)榧用苋蝿?wù)會(huì)加重 CPU 的負(fù)擔(dān)和造成瓶頸現(xiàn)象于防火墻運(yùn)行） ，而且可和各種類型的防火墻直接兼容。1）目標(biāo)： 實(shí)現(xiàn)關(guān)鍵子網(wǎng)間的數(shù)據(jù)傳輸安全 實(shí)現(xiàn)外網(wǎng)撥號(hào)用戶和關(guān)鍵主機(jī)之間的數(shù)據(jù)傳輸安全2）產(chǎn)品性能指標(biāo)參數(shù)（祥見(jiàn)附件三中相關(guān)產(chǎn)品資料）3）產(chǎn)品配置：（參見(jiàn)附件二產(chǎn)品配置圖）（1） 在網(wǎng)絡(luò)的邊界安裝 PowerVPN SERVER，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)和其他系統(tǒng)內(nèi)網(wǎng)之間的加密傳輸（具體參見(jiàn)附件） 。（2） 對(duì)于重點(diǎn)保護(hù)的點(diǎn)對(duì)點(diǎn)通信連接，可在相應(yīng)的主機(jī)上單獨(dú)安裝 PowerVPN SERVER，實(shí)現(xiàn)主機(jī)間的通信安全（具體取決于信息中心的安全規(guī)劃） 。在數(shù)據(jù)庫(kù)系統(tǒng)中，由于數(shù)據(jù)大量集中存放，且為眾多用戶直接共享，安全性問(wèn)題更為突出。安全性問(wèn)題給我們帶來(lái)的危害無(wú)須多言，世界上多家大型銀行都在不同程度上遭受到非法入侵者的襲擊，但由于商業(yè)原因，這些銀行都不愿意公布損失程度，使安全性問(wèn)題更難以解決。所以在網(wǎng)絡(luò)系統(tǒng)中，數(shù)據(jù)庫(kù)的安全我們應(yīng)需要重點(diǎn)保護(hù)，防止非法侵入和訪問(wèn)、篡改。Pentasafe數(shù)據(jù)庫(kù)安全軟件致力于Client/Sever 和內(nèi)部網(wǎng)環(huán)境下的關(guān)系型數(shù)據(jù)庫(kù)安全解決方案。通過(guò)對(duì)數(shù)據(jù)庫(kù)的安全保護(hù)，以防范所有對(duì)關(guān)鍵數(shù)據(jù)的威脅，有效的增強(qiáng)了數(shù)據(jù)庫(kù)在身份驗(yàn)證、訪問(wèn)控制、安全審計(jì)和安全管理方面的能力。建議采用pentasafe公司的VigilEnt Database Security For Oracle 數(shù)據(jù)庫(kù)安全解決方案有以下幾個(gè)部分組成：數(shù)據(jù)庫(kù)口令管理器，數(shù)據(jù)庫(kù)安全管理器，數(shù)據(jù)庫(kù)審計(jì)管理器，數(shù)據(jù)庫(kù)分析管理器VigilEnt Password Manager for Oraclet提供擴(kuò)展的數(shù)據(jù)庫(kù)口令分析、同步和管理功電力廣域網(wǎng)安全建議書 第 31 頁(yè) 共 75 頁(yè)能，使安全管理員在Oracle client/server和Inter應(yīng)用中的用戶認(rèn)證方面更有信心。VigilEnt Password Manager for Oracle使安全管理員得以方便地實(shí)施、維護(hù)和管理企業(yè)口令策略，從而增強(qiáng)和擴(kuò)展了Oracle這方面的系統(tǒng)功能。通過(guò)VigilEnt Password Manager for Oracle,可以同步數(shù)據(jù)庫(kù)用戶口令、增強(qiáng)口令的長(zhǎng)度標(biāo)準(zhǔn)、強(qiáng)制口令失效和對(duì)非授權(quán)數(shù)據(jù)庫(kù)訪問(wèn)行為的檢測(cè)。它還增強(qiáng)和自動(dòng)執(zhí)行與企業(yè)安全策略的一致性檢查的功能。VigilEnt Database Security Manager for Oracle使得安全管理員能夠在一個(gè)異構(gòu)、多平臺(tái)的安全數(shù)據(jù)庫(kù)應(yīng)用環(huán)境中立刻實(shí)現(xiàn)對(duì)用戶ＩＤ、授權(quán)和安全策略的安全管理、而無(wú)須借助ＤＢＡ。VigilEnt Database Security Manager for Oracle提供了在一個(gè)企業(yè)中將ＤＢＡ權(quán)限細(xì)分和授權(quán)的簡(jiǎn)單辦法，并支持在分布式電子商務(wù)和client/server應(yīng)用環(huán)境下實(shí)現(xiàn)對(duì) Ｄatabase安全的集中管理。通過(guò)它，ＤＢＡ可以專著于數(shù)據(jù)庫(kù)傳統(tǒng)職能的維護(hù)管理，而把安全工作交給安全管理員，而安全管理員也可以在不熟悉數(shù)據(jù)庫(kù)管理的前提下迅速接管這部分工作，從而提供了兩者的效率；同時(shí)這也有利于保持最終用戶行為與數(shù)據(jù)庫(kù)安全策略的一致性。VigilEnt Audit Manager for Oracle是一個(gè)完整的企業(yè)級(jí)關(guān)系數(shù)據(jù)庫(kù)審計(jì)的安全管理工具，通過(guò)它，安全管理員、ＤＢＡ和審計(jì)員能夠在分布式企業(yè)網(wǎng)絡(luò)應(yīng)用環(huán)境下，在一個(gè)中央管理界面實(shí)現(xiàn)對(duì)數(shù)據(jù)審計(jì)的操作、響應(yīng)和報(bào)告。VigilEnt Audit Manager for Oracle 是一個(gè)針對(duì)Oracle數(shù)據(jù)庫(kù)的全面安全審計(jì)工具，它鞏固和提升了Oracle原有的審計(jì)功能，并賦予安全管理員增強(qiáng)的、可定制的安全審計(jì)控