【正文】 eTrust Firewall 正是采用這種狀態(tài)包過濾技術，對流經(jīng)防火墻的數(shù)據(jù)進行分析與過濾操作。這樣可以防止黑客通過截取分析數(shù)據(jù)包來獲得內(nèi)部網(wǎng)絡地址信息，進而分析出拓樸結構。22 / 109 產(chǎn)品的功能特性eTrust Firewall 的操作對用戶是完全透明的，在安裝了 CA 公司的防火墻之后，用戶 不會注意到操作系 統(tǒng)有任何變化。由于 eTrust Firewall 的規(guī)則只需要評估一個連接的初始數(shù)據(jù)包狀態(tài)信息，因此這種狀態(tài)分析方式也可以獲得更為有效的過濾功能。這就使得 eTrust Firewall 可以實現(xiàn)根據(jù)狀態(tài)方式來進行過濾檢查。 IP 數(shù)據(jù)包包含了 IP 的報頭，取決于正在傳輸?shù)纳蠈訁f(xié)議的類型，這個包還可以包括 TCP 的報頭、 TCP 的數(shù)據(jù)以及UDP 的數(shù)據(jù)等；根據(jù)使用這些協(xié)議的應用的具體情況，IP 包內(nèi)也有可能包含應用級別的報頭和數(shù)據(jù)。這種類型的防火墻提供了一個較理想的性能與安全的平衡。Proxy 防火墻的缺點主要在于性能比較低，每一個包都需要經(jīng)過代理應用和網(wǎng)絡協(xié)議堆棧兩處，會影響數(shù)據(jù)包的通過效率；并不是所有的應用可以被代理型防火墻支持；另外，由于每一個應用都必須提供給防火墻唯一的代碼，各應用都要支持代理的服務，因此會存在運行沖突和安全方面的限制。Proxy 防火墻—由一系列代理服務進程組成。另外 eTrust Firewall 還有兩個模塊用于用戶身份認證：eTrust Firewall User Client 和 eTrust Firewall Login Agent eTrust Firewall 的工作原理典型的防火墻包括路由式防火墻、Proxy 防火墻和狀態(tài)包過濾式防火墻。在企業(yè)版 Firewall 中，可以支持多個 Admin Client 的安裝，管理員可以在多個控制臺上遠程管理防火墻的設置。在企 業(yè)版中，一個 admin server 可以管理多個運行在不同平臺上的防火墻引擎（firewall engine）。CA 公司的 eTrust Firewall 非常易于實施，管理員可以通過簡單的導向（Wizard）就可以完成安裝與 設置工作。eTrust Firewall 具有高性能、可管理性、可升級性等特點，并且能夠提供對網(wǎng)絡系 統(tǒng)的全面保護—針對Inter 或 Intra。作為內(nèi)部網(wǎng)絡與外部公共網(wǎng)絡之間的第一道屏障，防火墻是最先受到人們重視的網(wǎng)絡安全產(chǎn)品之一。 eTrustCOMPUTER ASSOCIATES 的安全方案直接針對上述模型中所有關鍵的安全領域，而且是目前業(yè)界一種最為全面有效的解決方案。身份驗證用來確保用戶的登錄身份與其真實身份相符，并對其提供單點注冊， 以解決多個口令的 問題。 風險評估被用來檢查系統(tǒng)安全配置的缺陷，發(fā)現(xiàn)安全漏洞。COMPUTER ASSOCIATES 的解決方案是提供一個企業(yè)級安全管理方案，以解決 IT 基礎設施內(nèi)各個領域的問題， COMPUTER ASSOCIATES 明確了以下的 這些安全領域:1. 網(wǎng)絡2. 服務器3. 用戶4. 應用程序與服務5. 數(shù)據(jù)由于各項安全技術所涉及的底層技術各不相同， 用來保護每一安全領域機制也有所不同，COMPUTER ASSOCIATES 確定了如下的機制:領 域 安全機制網(wǎng)絡安全 ? 訪問控制? 入侵探測? 安全通信服務器和工作站安全 ? 防病毒? 訪問控制? 政策審查? 風險評估? 入侵探測用戶安全 ? 身份驗證? 單點注冊? 帳戶管理16 / 109應用程序和服務安全 ? 授權? 口令控制數(shù)據(jù)安全 ? 保密性? 完整性 網(wǎng)絡安全網(wǎng)絡安全關系到什么人和什么內(nèi)容具有訪問權，查明任何非法訪問或偶然訪問的入侵者，保證只有授權許可的通信才可以在客戶機和服務器之間建立連接，而且正在傳輸當中的數(shù)據(jù)不能被讀取和改變。做類似工作的所有用戶可能需要類似的安全權限，安全管理應該提供角色的概念，可以將不同平臺上有類似安全權限需求的用戶規(guī)劃成組，將用戶帳號歸為角色的概念之下，用戶可以對同一角色的用戶進行相同的管理，不管這些用戶是屬于那個平臺、從事何種功能，使得管理員可迅速地在企業(yè)內(nèi)不同操作系統(tǒng)下迅速地創(chuàng)建所需的用戶帳號。在通常的管理模式中，每種系統(tǒng)都有自己的系統(tǒng)管理員，如 UNIX 的超級用戶為 root、Windows NT 的管理員為 administrator、Sybase 和 MS SQL Server 的系 統(tǒng)管理員為 sa 等等。2) 實施統(tǒng)一的用戶和目錄管理機制隨著企業(yè)分布式計算環(huán)境的發(fā)展，需要管理的資源越來越多，如用戶、用戶組、 計算機之間的信任關系、不同操作系統(tǒng)、不同通訊協(xié)議、不同的數(shù)據(jù)庫系統(tǒng)、不同的服務器和桌面機等等。因此，好的系統(tǒng)安全管理架構不但應該針對網(wǎng)絡、 計算機、 應用等 IT環(huán)境加強安全管理，而且應該 能夠盡量減少這種人為因素造成的安全損失。當系統(tǒng)要求用戶改變口令時，人們往往按照一定規(guī)律改變，如數(shù)字加一、字母后移一個等，這樣“黑客”很容易根據(jù)老口令猜到新口令。各種系統(tǒng) 用戶的口令應該互不相關，口令比較長而且沒有規(guī)律，在使用一段時間后要改變?yōu)樾碌闹担?這樣才能保證統(tǒng)的安全。結合指紋識別器、智能卡、令牌卡等物理設備，構成網(wǎng)絡安全通訊、鑒定、審計、集中化的安全策略。而且集中的，一致的管理，可以使人力資源有限的實際問題得到一定程度的緩解。因此對于 IT 系統(tǒng)的安全管理，不應該僅僅是對于 IT 設備的安全保護， 還要對人員進行安全規(guī)范化管理。這些政策包括了解其網(wǎng)絡利用情況、檢測入侵和可疑網(wǎng)絡活動時需要的規(guī)則。5) WEB 服務器的專門保護 我們應該針對重要的、最常受到攻擊的應用系統(tǒng)實施特別的保護。據(jù) NCSA 統(tǒng)計，1995 年到1996 年，計算機病毒的數(shù)量增加了 10 倍，其 傳播途徑也從主要靠軟盤拷貝變?yōu)橥ㄟ^光盤、網(wǎng)絡、 電子郵件、文件下 載等多種方式，傳播速度越來越快。? 按照登錄時間、地點和登錄方式限制用戶的登錄請求3) 增強訪問控制管理 安全管理應該從如下方面加 強 UNIX 的訪問控制機制：? 對文件的訪問控制除提供讀(Read)，寫 (Write)，執(zhí)行(Execute)權限外，還應該有建立(Create)，搜索 (Search)，刪除(Delete)，更改（Update),控制(Control)等權限以滿足復雜安全環(huán)境的需求? 應該能夠限制資產(chǎn)被訪問的時間和日期。 系統(tǒng)級安全防護如前所述，UNIX/Windows 操作系統(tǒng)本身存在許多安全漏洞和隱患，必須加強這一級別的安全防護，才能保護敏感的信息資源。3) 可疑網(wǎng)絡活動的檢測 我們知道，帶有 ActiveX、 Java、JavaScript、VBScript 的 WEB 頁面、電子郵件的附件、 帶宏的10 / 109Office 文檔等 經(jīng)常帶有一些可以 執(zhí)行的程序， 這些程序中很可能帶有計算機病毒以及特絡伊木馬、BO 等黑客工具，具有潛在的危險性。網(wǎng)絡訪問控制系統(tǒng)應該具有如下要求：? 不僅能夠按照來訪者的 IP 地址區(qū)分用戶， 還應該對來訪者的身份進行驗證? 不僅支持面向連接的通訊，還要支持 UDP 等非連接的通訊? 不僅可以控制用戶可訪問哪些網(wǎng)絡資源，還應該能控制允許訪問的日期和時間? 對一些復雜的應用協(xié)議，如 FTP、UDP、TFTP、Real Audio、RPC 和port mapper、Encapsulated TCP/IP 等，采用特定的 邏輯來監(jiān)視和過濾數(shù)據(jù)包。信息系統(tǒng)的安全防護需要與實際應用環(huán)境，工作業(yè)務流程以及機構組織形式與機構進行密切結合，從而在信息系統(tǒng)中建立一個完善的安全體系。內(nèi)部工作人員的違規(guī)行為的案例也不是沒有的。要加強系統(tǒng)的總體安全級別，不是安裝一個 產(chǎn)品或幾個功能單一的工具就能實現(xiàn)的，必須從網(wǎng)絡、計算機操作系統(tǒng)、應用業(yè)務系統(tǒng)甚至系統(tǒng)安全管理 規(guī)范，使用人 員安全意識等各個層面統(tǒng)籌考慮。而這些軟件往往存在一些安全漏洞或錯誤的安全配置，從而導致 root 權限被人竊取。廠商在發(fā)現(xiàn)并修正 BUG后會把 PATCH 放在其公司站點上供用戶下載和安裝，但許多用戶沒有技術能力和精力理解、跟蹤這些 PATCH 并及時安裝。如一個用戶企圖多次訪問某敏感資源時，系 統(tǒng)無法采取強有力的措施處置，管理 員也很 難發(fā)現(xiàn)。用 戶可以寫某個文件，就能刪除它。UNIX 操作系統(tǒng)更是以開放性著稱的，在安全性方面存在許多缺限。TCP/IP 的網(wǎng)絡結構沒有集中的控制，每個節(jié)點的地址由自己配置，節(jié)點之間的路由可任意改變。 從計算機系統(tǒng)的特點看安全問題在現(xiàn)代典型的計算機系統(tǒng)中，大都采用 TCP/IP 作為 主要的網(wǎng)絡通訊協(xié)議，主要服務器為 UNIX 或 Windows NT 操作系統(tǒng)。 現(xiàn)在業(yè)務系 統(tǒng)大多是基于客戶/服務器模式和 Inter/Intra 網(wǎng)絡計算模式的分布式應用，用 戶、程序和數(shù)據(jù)可能分布在世界的各個角落，給系統(tǒng)的安全管理造成了很大困難。那么，為什么當今信息系統(tǒng)中存在如此之多的安全隱患，安全問題如此突出呢？這是與計算機系統(tǒng)的發(fā)展、當今流行系統(tǒng)的設計思路、當前 IT 系統(tǒng)的使用5 / 109狀況緊密相關的。由于受到內(nèi)部心懷不滿的職工安放的程序炸彈侵害，Omega Engineering 公司蒙受了價值 900 萬美元的銷售收入和合同損失，由于受到來自網(wǎng)絡的侵襲，Citibank 銀行被竊了 1000 萬美元，后來他們雖然追回了 750 萬美元損失，但卻因此失去了 7％的重要客戶，其聲譽受到了沉重打擊。這樣不同的信息安全需求，導致確保一個真正安全的、可 審計的系統(tǒng)非常困難。1 / 109CA 安全 產(chǎn)品白皮書i / 109目錄1. 計算機系統(tǒng)安全隱患 ......................................................................................................................6 從計算機系統(tǒng)的發(fā)展看安全問題 ........................................................................................7 從計算機系統(tǒng)的特點看安全問題 ........................................................................................82. 信息系統(tǒng)安全管理需求分析 ........................................................................................................11 網(wǎng)絡層安全防護 ..................................................................................................................12 系統(tǒng)級安全防護 ..................................................................................................................14 應用級安全保護 ..................................................................................................................163. COMPUTER ASSOCIATES 安全解決方案 .............................................................................20 安全之道 ..............................................................................................................................20 網(wǎng)絡安全 ..........................................................................................................................21 服務器安全 ......................................................................................................................21 用戶安全 ..........................................................................................................................22 應用程序和服務安全 ......................................................................................................22 數(shù)據(jù)安全 ..........................................................................................................