【導(dǎo)讀】的安全威脅成為日益受到嚴(yán)重關(guān)注的問(wèn)題。根據(jù)美國(guó)FBI的調(diào)查，美國(guó)每年因?yàn)?。網(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過(guò)170億美元。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如。UNIX服務(wù)器，NT服務(wù)器及Windows桌面PC。防火墻產(chǎn)品自身是否安全，是否設(shè)置錯(cuò)誤，需要經(jīng)過(guò)檢。缺乏有效的手段監(jiān)視、評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全性。采用的TCP/IP協(xié)議族軟件，本身缺乏安全性。Java/ActiveX控件進(jìn)行有效控制。力的安全保障，是建設(shè)企業(yè)網(wǎng)絡(luò)系統(tǒng)安全的重要原則。提供非法攻擊的犯罪證據(jù)。網(wǎng)絡(luò)內(nèi)客戶對(duì)Inter的訪問(wèn)，有可能帶來(lái)某些類型的網(wǎng)絡(luò)安全隱患。電子郵件、FTP引入病毒、危險(xiǎn)的Java或ActiveX應(yīng)用等。對(duì)上述情況提供集成的網(wǎng)絡(luò)病毒檢測(cè)、消除等操作。因此，需要在網(wǎng)關(guān)處，設(shè)立嚴(yán)格的監(jiān)控手段，確保合法用戶。登錄到合法主機(jī)，執(zhí)行合法應(yīng)用程序。影響并降低管理費(fèi)用。通過(guò)對(duì)安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無(wú)效。橋網(wǎng)當(dāng)前業(yè)務(wù)的前提下，實(shí)現(xiàn)對(duì)金橋網(wǎng)的全面安全管理。

　　

【正文】 p Monitor CyberCop Monitor CyberCop Monitor 26 圖中表明，在安全子系統(tǒng)的監(jiān)控主機(jī)上安裝一套 CyberCop Monitor Console，在所有需保護(hù)的監(jiān)控點(diǎn)安裝 CyberCop Monitor，構(gòu)成安全子系統(tǒng)的監(jiān)控功能。 實(shí)現(xiàn)機(jī)理 : 在難以預(yù)料的 Inter 環(huán)境中，防火墻是保護(hù)系統(tǒng)的第一步。利用傳統(tǒng)的防火墻技術(shù)，經(jīng)過(guò)仔細(xì)的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。但是，僅僅使用防火墻網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠： (1) 入侵者可尋找防火墻背后可能敞開的后門； (2) 入侵者可能就在防火墻內(nèi)； (3) 由于性 能的限制，防火墻通常不能提供實(shí)時(shí)的入侵監(jiān)控能力。 作為防火墻保護(hù)的補(bǔ)充，網(wǎng)絡(luò)入侵監(jiān)控系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是提供實(shí)時(shí)的系統(tǒng)入侵監(jiān)視，并能及時(shí)采取相應(yīng)的防護(hù)措施，如記錄證據(jù)以便于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。實(shí)踐證明，這種阻止、檢測(cè)和響應(yīng)結(jié)合在一起的多維安全技術(shù)是最有效的 Inter 安全管理解決方案。本建議書推薦的 NAI CyberCop Monitor 正是典型的新一代網(wǎng)絡(luò)入侵監(jiān)控系統(tǒng)。 CyberCop Monitor 是一個(gè)基于主機(jī)的入侵監(jiān)控系統(tǒng)，可為關(guān)鍵服務(wù)器提供實(shí)時(shí)保護(hù)。通過(guò)監(jiān) 視 可疑的連接、系統(tǒng)日志、 來(lái)自網(wǎng)絡(luò)的攻擊、非法的侵入、異常進(jìn)程， CyberCop Monitor 系統(tǒng)能夠立即做出響應(yīng)，做出切斷服務(wù) /重啟服務(wù)器進(jìn)程/發(fā)出報(bào)警 /記錄入侵過(guò)程等動(dòng)作。例如在 Web Server 上安裝入侵監(jiān)控系統(tǒng)后，當(dāng)有人篡改某個(gè)應(yīng)用主頁(yè)時(shí)，監(jiān)控系統(tǒng)會(huì)立即作出反應(yīng)，自動(dòng)將主頁(yè)返回到原來(lái)的狀態(tài)。另外，當(dāng)偵測(cè)到攻擊時(shí)， CyberCop Monitor 還會(huì)立即通知系統(tǒng)管理人員，通過(guò)人為干預(yù)，修改配置或其它相應(yīng)辦法來(lái)制止攻擊行為。 CyberCop Monitor 系統(tǒng)的主要功能包括： 自動(dòng)管理工具 可 以晝夜不停地巡視服務(wù)器，保護(hù)系統(tǒng)完整性； ‘看門狗’技術(shù) 27 檢測(cè)攻擊和搗亂者，如 Web 服務(wù)器的非正常終止、非法用戶變?yōu)槌?jí)用戶、非法 Web站點(diǎn)內(nèi)容替換、非法網(wǎng)絡(luò)搗亂、非法登錄等。 報(bào)警和報(bào)表 快速檢測(cè) SATAN 掃描、超級(jí)用戶嘗試、非法 FTP、非法特權(quán)擴(kuò)大、特洛伊木馬（ TrojanHorse）程序、非法登錄試探以及其他常見(jiàn)系統(tǒng)攻擊等。 分析識(shí)別能力 CyberCop Monitor 可自動(dòng)識(shí)別 300 多種攻擊類型，并有自動(dòng)學(xué)習(xí)功能。通過(guò)入侵監(jiān)控系統(tǒng)，可對(duì)任何網(wǎng)段的任何活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)視，全方面的保護(hù)整個(gè)網(wǎng)絡(luò)。 自動(dòng)通知 自動(dòng)通知入侵行為，如本地報(bào)告日志、向 Webmaster 發(fā)送郵件、向控制臺(tái)發(fā)送 SNMP 中斷、尋呼管理人員、寫入系統(tǒng)日志等。 自動(dòng)響應(yīng) 自動(dòng)響應(yīng)入侵行為，如：重啟服務(wù)器、終止違規(guī)進(jìn)程、終止違規(guī)等錄連接、禁止或避免違規(guī)帳號(hào)等。 審計(jì)和報(bào)告 研究安全突破口、可疑用戶活動(dòng)、策略沖突；提供詳細(xì)的用戶活動(dòng)記錄。 運(yùn)行監(jiān)控系統(tǒng)對(duì)主機(jī)正常業(yè)務(wù)的影響： 監(jiān)控內(nèi)容可自由設(shè)定，一般占用主機(jī)資源的 3%~5%，根據(jù)設(shè)定的監(jiān)控范圍，最大不超過(guò)10%。 監(jiān)控的實(shí)時(shí)性情況及監(jiān)控對(duì)網(wǎng)絡(luò)帶寬的占用情 況 .： CyberCop Monitor 運(yùn)行時(shí)，只有發(fā)生報(bào)警時(shí)才會(huì)產(chǎn)生數(shù)據(jù)的傳輸，因此，正常情況下不占用任何網(wǎng)絡(luò)帶寬；當(dāng)有數(shù)據(jù)傳回 Console 時(shí)，占用網(wǎng)絡(luò)帶寬極小。 監(jiān)控軟件所支持的硬件平臺(tái)和操作系統(tǒng) 。硬件配置情況： 安全監(jiān)控系統(tǒng)軟件配置： Windows NT （監(jiān)控服務(wù)器 OS） CyberCop 監(jiān)測(cè)節(jié)點(diǎn)： CyberCop Monitor， 監(jiān)控服務(wù)器： CyberCop Monitor Console。 28 CyberCop 支持以下操作系統(tǒng)平臺(tái)： Windows NT， Sun Solaris 、 ， HPUX。 CyberCop 支持以下 WEB 服務(wù)器： Netscape Enterprice Server Netscape Fasttrace Server I I S and CERN NCSA Apache Website Pro 對(duì)各主機(jī)設(shè)備的安全加固 由于各硬件設(shè)備廠家 (網(wǎng)絡(luò)設(shè)備、服務(wù)器、計(jì)算機(jī) )對(duì)協(xié)議的處理方法均不相同，而基于網(wǎng)絡(luò)的 Intrusion Detect System （ IDS）通常并不清楚具體設(shè)備上的具體配置，攻擊者可利用該種缺陷誘導(dǎo) IDS發(fā)出錯(cuò)誤警報(bào)或使 IDS不能識(shí)別，出現(xiàn)誤報(bào)、漏報(bào)等情況。 InfoWorld最近的一次測(cè)試表明，幾乎所有的基于網(wǎng)絡(luò)的 Intrusion Detect System (IDS) 均不能對(duì)某些攻擊手段作出正確的判斷。 為了在最大程度上保護(hù)企業(yè)信息網(wǎng)內(nèi)部關(guān)鍵應(yīng)用的服務(wù)器，加強(qiáng)安全可靠性，我們建議在所有提供關(guān)鍵服務(wù)的主機(jī)設(shè)備上安裝實(shí)時(shí)安全監(jiān)控系統(tǒng)，用來(lái)實(shí)時(shí)監(jiān)視可疑的連接、檢查系統(tǒng)日志，檢測(cè)非法訪問(wèn)的闖入等，并對(duì)典型應(yīng)用進(jìn)行實(shí)時(shí)的監(jiān)控，同時(shí)采用基于主機(jī)的安全掃描服務(wù)器定期對(duì)與主機(jī)設(shè)備相關(guān)的安全漏洞進(jìn)行細(xì)致周密的掃描，如 passwd文件，目錄和文件權(quán)限，共享文件系統(tǒng)，敏感服務(wù)，操作系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法和建議，從而補(bǔ)充了“網(wǎng)絡(luò) 入侵檢測(cè)系統(tǒng)（ IDS）”的不足和缺陷，使整個(gè)網(wǎng)絡(luò)安全系統(tǒng)更加強(qiáng)健。 基于主機(jī)的安全監(jiān)控系統(tǒng)應(yīng)具備如下特點(diǎn)： (1) 可以精確地判斷操作系統(tǒng)層的入侵事件。 (2) 可以判斷應(yīng)用層的入侵事件。 (3) 對(duì)入侵立即進(jìn)行反應(yīng)。 (4) 針對(duì)不同操作系統(tǒng)特點(diǎn)。 29 (5) 少占用主機(jī)的資源，確保主機(jī)的應(yīng)用效率。 CyberCop Monitor可自動(dòng)識(shí)別 300多種攻擊類型，并具備自動(dòng)學(xué)習(xí)功能。通過(guò)監(jiān)視來(lái)自網(wǎng)絡(luò)的攻擊、非法的闖入、異常進(jìn)程， CyberCop Monitor能夠?qū)崟r(shí)精確 地判斷入侵事件，包括應(yīng)用層的入侵事件，并作出切斷服務(wù) /重啟服務(wù)器進(jìn)程 /發(fā)出警報(bào) /記錄入侵過(guò)程等相應(yīng)的動(dòng)作，從而有效地保護(hù)主機(jī)設(shè)備不受侵犯。 如下圖所示： 一方面，通過(guò)定期使用 CyberCop Scanner 掃描服務(wù)器對(duì)企業(yè)信息網(wǎng)內(nèi)部各主機(jī)設(shè)備相關(guān)的安全漏洞進(jìn)行細(xì)致周密的掃描，對(duì)掃描出的安全漏洞提出相應(yīng)的解決辦法和建議，據(jù)此，通過(guò)不斷地對(duì)主機(jī)設(shè)備進(jìn)行相應(yīng)的安全配置、安裝操作系統(tǒng)廠商提供的安全升級(jí)補(bǔ)充軟件或安裝第三方軟件的方式，使主機(jī)設(shè)備的安全級(jí)別由 C2 級(jí) 提升到 B 級(jí)，從主機(jī)設(shè)備內(nèi)核進(jìn)一步加強(qiáng)其堅(jiān)固性，做到防患于未然；另一方面，通過(guò) CyberCop Monitor 的集中分布式的實(shí)時(shí)監(jiān)控功能，實(shí)時(shí)精確地檢Firewall Inter CyberCop Monitor Console Report DBMS CyberCop Monitor CyberCop Monitor CyberCop Monitor CyberCop Monitor CyberCop Monitor CyberCop Monitor CyberCop Scanner 30 測(cè)和判斷入侵事件，包括應(yīng)用層的入侵事件，并作出相應(yīng)的動(dòng)作，從主機(jī)設(shè)備外圍進(jìn)一步加強(qiáng)其堅(jiān)固性，有效地保護(hù)主機(jī)設(shè)備。 這樣通過(guò)主動(dòng)和被動(dòng)的兩種不同的防御方式，便可以在最大程度上保護(hù)主機(jī)設(shè)備，提高主機(jī)設(shè)備的安全堅(jiān)固性。 安全掃描器 CyberCop Scanner CyberCop Monitor 的下一條防線就是用 CyberCop Scanner，在你的防 火墻配置中，以及在 web 服務(wù)器、文件服務(wù)器和網(wǎng)絡(luò)服務(wù)上定位關(guān)鍵的脆弱環(huán)節(jié)所在部位。CyberCop Scanner 審計(jì)與脆弱性評(píng)估提供量化與質(zhì)化安全性風(fēng)險(xiǎn)的功能，結(jié)合了下一代入侵監(jiān)控工具和高級(jí)假目標(biāo)服務(wù)器技術(shù)，由此可反擊網(wǎng)絡(luò)上的竊取行為以及提供一種記錄入侵的“替代”方法。 CyberCop Scanner 檢查企業(yè)網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)設(shè)備的安全脆弱性。它可讓安全專業(yè)人員測(cè)試 NT 與 UNIX 工作站、服務(wù)器、集線器、交換機(jī)，以及包括可以提供詳細(xì)重要的防火墻與路由器審計(jì)的Network Associates 獨(dú)特 的跟蹤程序信息包防火墻測(cè)試。報(bào)告選項(xiàng)包括執(zhí)行總結(jié)、挖掘細(xì)節(jié)報(bào)告和現(xiàn)場(chǎng)解決建議。 其系統(tǒng)構(gòu)成如下圖所示： 31 CyberCop Scanner 利用 AutoUpdate 技術(shù)，保持引擎、解決方案與脆弱性數(shù)據(jù)庫(kù)為最新?tīng)顟B(tài)。 CyberCop Scanner 是一種網(wǎng)絡(luò)安全性風(fēng)險(xiǎn)評(píng)估工具，檢驗(yàn)運(yùn)行于網(wǎng)絡(luò)環(huán)境中的操作系統(tǒng)與應(yīng)用方面計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)設(shè)備的脆弱性。它還檢驗(yàn)系統(tǒng)中可能導(dǎo)致網(wǎng)絡(luò)泄露的策略違規(guī)與誤配置情況。隨著用不斷追加新系統(tǒng)和服務(wù)項(xiàng)目的方法來(lái)滿足拓展業(yè)務(wù)的需求，網(wǎng)絡(luò)正以驚人的速度發(fā)展。方案的實(shí)現(xiàn)時(shí)間非常短暫，同時(shí)復(fù) 雜的安全性問(wèn)題經(jīng)常被忽略。你知道當(dāng)攻擊來(lái)臨時(shí)你的網(wǎng)絡(luò)是安全還是脆弱的？你怎樣找到網(wǎng)絡(luò)脆弱性數(shù)據(jù)？另外，怎樣測(cè)量你的安全性預(yù)算和決定用于安全環(huán)境的工作量？ CyberCop Scanner 幫你回答這些問(wèn)題。發(fā)現(xiàn)系統(tǒng)與網(wǎng)絡(luò)薄弱環(huán)節(jié)以及策略管理漏洞的全面掃描工具；防火墻審計(jì)和入侵檢測(cè)測(cè)試可以評(píng)估安全系統(tǒng)的敏感性。 全面的掃描工具可以發(fā)現(xiàn)系統(tǒng)和網(wǎng)絡(luò)的脆弱環(huán)節(jié)，并且提供了可執(zhí)行的總結(jié)報(bào)告與挖掘報(bào)告選項(xiàng)；易于使用的圖形界面可用于創(chuàng)建自定義掃描輪廓；獨(dú)特的跟蹤器信息包防火墻測(cè)試提供詳細(xì)的防火墻 /路由器審計(jì)；自動(dòng)升級(jí)功能保持 掃描引擎、掃描檢測(cè)和脆弱性數(shù)據(jù)庫(kù)處于當(dāng)前最新?tīng)顟B(tài)；脆弱性數(shù)據(jù)庫(kù)編輯器允許自定義設(shè)置并提供針對(duì)每次掃描測(cè)試結(jié)果的解決方案建議； 3D 網(wǎng)絡(luò)圖用于確定網(wǎng)絡(luò)設(shè)備和連接數(shù)；為 IP 設(shè)備或協(xié)議創(chuàng)建自定義掃描測(cè)試的 CASL（自定義審計(jì)腳本Firewall lnter Cybercop Scanner 32 語(yǔ)言）腳本工具；提供入侵檢測(cè)監(jiān)控測(cè)試校驗(yàn)系統(tǒng)和網(wǎng)絡(luò)動(dòng)態(tài)檢測(cè)器的功能；集成到 Active Security（動(dòng)態(tài)安全）結(jié)構(gòu)中可提供事件 編排和先進(jìn)的安全性策略管理。 產(chǎn)品特征： ? 全面的掃描工具可以發(fā)現(xiàn)系統(tǒng)和網(wǎng)絡(luò)脆弱性，并且提供執(zhí)行總結(jié)與挖掘報(bào)告選項(xiàng)； ? 易于使用的圖形界面創(chuàng)建自定義掃描配置文件 ； ? 獨(dú)特的跟蹤器信息包防火墻測(cè)試提供詳細(xì)的防火墻 /路由器審計(jì)； ? AutoUpdate 功能保持掃描引擎、掃描檢測(cè)和脆弱性數(shù)據(jù)庫(kù)處于當(dāng)前狀態(tài)； ? 脆弱性數(shù)據(jù)庫(kù)編輯器允許自定義設(shè)置和用于每次掃描測(cè)試的解決方案建議； ? 3D 網(wǎng)絡(luò)圖用于確定網(wǎng)絡(luò)設(shè)備和連接； ? 為任何 IP 設(shè)備或協(xié)議創(chuàng)建自定義掃描測(cè)試的 CASL（自定義審計(jì)腳本語(yǔ)言）腳本工具； ? 入侵檢測(cè)監(jiān)控測(cè)試系統(tǒng)和網(wǎng)絡(luò)動(dòng)態(tài)檢測(cè)器的校驗(yàn)功能； ? 集成到 Active Security 結(jié)構(gòu)上提供事件編排和先進(jìn)安全性策略管理。 CyberCop Scanner 有 Windows NT 與 Linux 版本，并提供基于 Windows NT 及UNIX 工作站與服務(wù)器、防火墻、集線器、路由器、交換機(jī)和運(yùn)行本地 TCP/IP 設(shè)備的脆弱性評(píng)估。 CyberCop Scanner 也可運(yùn)行在 Windows 20xx Beta、 NT。CyberCop Scanner 用于 Linux Red Hat CyberCop Scanner 允許你掃描網(wǎng)絡(luò)，而無(wú)需求助于某些其它產(chǎn)品復(fù)雜的、有約束性且耗時(shí)的 IP 注冊(cè)許可。 Network Associates 意識(shí)到你的環(huán)境是獨(dú)特且為動(dòng)態(tài)形式，在常規(guī)基礎(chǔ)上添加與 重新配置的系統(tǒng)。 CyberCop Scanner 節(jié)約時(shí)間，并允許你將精力集中在值得花費(fèi)的事情上。 CyberCop Scanner 是 Network Associates 的 Active Security 產(chǎn)品集成系列的首要版本。這些產(chǎn)品代表企業(yè)安全性的下一進(jìn)展步伐，即主動(dòng)及自動(dòng)實(shí)施網(wǎng)絡(luò)安全性策略。在網(wǎng)絡(luò)發(fā)現(xiàn)安全脆弱性時(shí)， Active Security 執(zhí)行自定義的自動(dòng)響應(yīng)。這些響應(yīng)包括創(chuàng)建幫助桌面標(biāo)簽并將其路由到機(jī)構(gòu)中合適的人選、向管理員發(fā)送 SMTP信息或?qū)ず艟瘓?bào)、關(guān)閉 Gauntlet Firewall 上特定 的端口，以此阻止惡意用戶利用這些脆弱性。系統(tǒng)要求： 100MHz Pentium 處理器、 64MB 的 RAM、 48MB 的自由磁盤。 CyberCop Scanner 具備強(qiáng)有力的內(nèi)置 Unix/NT 口令 Crack；可以提供功能強(qiáng)大的攻擊測(cè)試手段；提供了其它對(duì)手沒(méi)有的定制攻擊描述語(yǔ)言 (CASL)及 Customer Audit Packet Engine(CAPE)，因此用戶可方便地定制自身的攻擊方法來(lái)測(cè)試系統(tǒng)的安全性；提供了強(qiáng)大的對(duì) SNMP