【正文】 。 其掃描結(jié)果同樣可生成報(bào)告。引擎必須分別裝在被掃描的服務(wù)器內(nèi)部，在一臺(tái)集中的服務(wù)器上安裝控制臺(tái)。 主機(jī)安全掃描器 主機(jī)安全掃描器的時(shí)間策略可以是定時(shí)操作，掃描對(duì)象是操作系統(tǒng)。目前，網(wǎng)絡(luò)掃描器的商業(yè)版本，如 Inter 版本，已能對(duì) 1000 種以上的來(lái)自通訊、服務(wù)、防火墻、 WEB 應(yīng)用等的漏洞進(jìn)行掃描。 優(yōu)勢(shì) 網(wǎng)絡(luò)安全掃描器 網(wǎng)絡(luò)安全掃描器時(shí)間策略可以是定時(shí)操作，掃描對(duì)象是整個(gè)網(wǎng)絡(luò)。掃描器對(duì)于網(wǎng)絡(luò)的安全性之所以重要，是因?yàn)樗鼈兡馨l(fā)現(xiàn)網(wǎng)絡(luò)的弱點(diǎn)。掃描器能發(fā)現(xiàn)目標(biāo)主機(jī)的某些內(nèi)在的弱點(diǎn)，這些弱點(diǎn)可能是破壞主機(jī)安全性的關(guān)鍵因素。 在 Inter 安全領(lǐng)域，掃描器 是自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序。 技術(shù)可行性 風(fēng)險(xiǎn)評(píng)估的手段多種多樣，例如掃描、白客（滲透）測(cè)試、審計(jì)等。 系統(tǒng)授權(quán)：帳號(hào)權(quán)限，登錄時(shí)間超時(shí)等。 數(shù)據(jù)庫(kù)安全 許多關(guān)鍵的業(yè)務(wù)系統(tǒng)運(yùn)行在數(shù)據(jù)庫(kù)平臺(tái)上，如果數(shù)據(jù)庫(kù)安全無(wú)法保證，其上的應(yīng)用系統(tǒng)也會(huì)被非法訪問(wèn)或破壞。操作系統(tǒng)自身的脆弱性 對(duì)操作系統(tǒng)這一層次需要功能全面、智能化的檢測(cè)，以幫助網(wǎng)絡(luò)管理員高效地完成定期檢測(cè)和修復(fù)操作系統(tǒng)安全漏洞的工作。一些廣泛應(yīng)用的操作系統(tǒng)，如 Unix， Window NT，其安全漏洞更是廣為流傳。網(wǎng)絡(luò)入侵者一般采用預(yù)攻擊探測(cè)、竊聽等搜集信息，然后利用 IP 欺騙、重放或重演、拒絕服務(wù)攻擊（ SYN FLOOD， PING FLOOD 等）、分布式拒絕服務(wù)攻擊、篡改、堆棧溢出 等手段進(jìn)行攻擊。許多安全問(wèn)題都集中 Xxxx 銀行 信息系統(tǒng)安全解決方案建議書 27 體現(xiàn)在網(wǎng)絡(luò)的安全方面。在這些特性上面，都與安全管理平臺(tái)的特性相吻合。其中，風(fēng)險(xiǎn)評(píng)估是技術(shù)最為成熟的一環(huán)。 可行性分析 風(fēng)險(xiǎn)管理是當(dāng)前企業(yè)網(wǎng)絡(luò)運(yùn)行的最重要的挑戰(zhàn)之一。 同時(shí)，結(jié)合信息庫(kù)，定期對(duì)掃描評(píng)估的結(jié)果錄入到信息庫(kù)中，完善整個(gè)信息資產(chǎn)的安全管理，不斷提高和改進(jìn)信息系統(tǒng)的安全狀況。 網(wǎng)絡(luò)掃描器對(duì)整個(gè)信息系統(tǒng)，包括省行中心、各個(gè)地市分行和營(yíng)業(yè)網(wǎng)點(diǎn)的路由器、交換機(jī)、防火墻、主機(jī)等系統(tǒng)進(jìn)行定期評(píng)估，發(fā)現(xiàn)最新的漏洞，輸出安全報(bào)告， 并及時(shí)進(jìn)行修補(bǔ)，同時(shí)，對(duì)于地市的設(shè)備，如果有漏洞產(chǎn)生，省行中心派發(fā)報(bào)告，通知相應(yīng)的管理員進(jìn)行針對(duì)性修補(bǔ)。數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)評(píng)估技術(shù)主要針對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的授權(quán)、認(rèn)證和完整性方面進(jìn)行安全漏洞檢測(cè)。并指示用戶如何修補(bǔ)漏洞以使操作系統(tǒng)安全風(fēng)險(xiǎn)降到最小，也就增加了整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性。系統(tǒng)安全漏洞涉及口令設(shè)置、文件權(quán)限、賬戶管理、組管理、系統(tǒng)配置等。隨著及計(jì)算機(jī)技術(shù)的發(fā)展，操作系統(tǒng)的功能越來(lái)越強(qiáng)大，但配置越來(lái)越復(fù)雜?；诰W(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估技術(shù)，主要是模擬黑客攻擊的方法，檢測(cè)網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備等方面的漏洞。風(fēng)險(xiǎn)評(píng)估技術(shù)基本上也可分為基于主機(jī)的和基于網(wǎng)絡(luò)的兩種，前者主要關(guān)注軟件所在主機(jī)上面的風(fēng)險(xiǎn)漏洞，而后者則是通過(guò)網(wǎng)絡(luò)遠(yuǎn)程探測(cè)其它主機(jī)的安全風(fēng)險(xiǎn)漏洞。然后根據(jù)掃描結(jié) 果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。 安全評(píng)估系統(tǒng) 方案設(shè)計(jì) 掃描是網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù)，其原理是根據(jù)已知的安全漏洞知識(shí)庫(kù)，對(duì)目標(biāo)可能存在的安全隱患進(jìn)行逐項(xiàng)檢查。 Xxxx 銀行 信息系統(tǒng)安全解決方案建議書 25 推薦意見 采用 NIDS 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)監(jiān)控方案，只需要在相應(yīng)的監(jiān)控端口上設(shè)置PORT MIRROR 進(jìn)行流量鏡像即可， 不需要對(duì)系統(tǒng)的網(wǎng)絡(luò)架構(gòu)和服務(wù)器集群以及業(yè)務(wù)產(chǎn)生影響。 不足 NIDS 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)投資較大，會(huì)在網(wǎng)絡(luò)設(shè)備上做一些配合措施。 目前典型的 IDS 響應(yīng)機(jī)制主要是： NIDS 和防火墻的響應(yīng)。比如， Baltimore 的 SelectAccess。 WEB 應(yīng)用的入侵檢測(cè) 對(duì)于像 Web 應(yīng)用這樣的比較通用的應(yīng)用形式，可以總結(jié)出比較通用的入侵檢測(cè)模式。 如果 可以將應(yīng)用系統(tǒng)的訪問(wèn)行為在網(wǎng)絡(luò)層和系統(tǒng)層加以描述，就可以將該應(yīng)用系統(tǒng)的正常行為和異常行為描述給 NIDS 或者 HIDS。給模塊包括日志和監(jiān)控方面的功能。 Xxxx 銀行 信息系統(tǒng)安全解決方案建議書 24 包括，訪問(wèn)控制、日志審計(jì)、加密等等。因此在基于應(yīng)用的入侵檢測(cè)主要有兩個(gè)方面： 一個(gè)方面就是針對(duì)不同的應(yīng)用專門開發(fā)對(duì)應(yīng)的入侵檢測(cè)模塊，可以和該應(yīng)用系統(tǒng)的日志系統(tǒng)結(jié)合起來(lái)；另外一個(gè)方面就是開發(fā)比較通用的應(yīng)用的入侵檢測(cè)，比如 Web 應(yīng)用的入侵檢測(cè)。由于一些特征會(huì)涉及多個(gè)日志記錄項(xiàng)，因此 HIDS 會(huì)同時(shí)維護(hù)和監(jiān)控一些用戶活動(dòng)流的狀態(tài)。每當(dāng)操作系統(tǒng)產(chǎn)生一個(gè)新的日志記錄項(xiàng)，操作系統(tǒng)會(huì)向 HIDS發(fā)出中斷。這種集成工作需要與交換機(jī)廠商合作。將 NIDS、HIDS 結(jié)合使用，會(huì)達(dá)到很好的防護(hù)效果。 使用 HIDS 由于 HIDS 是基于主機(jī)的工作方式，因此完全不會(huì)受到交換方式的影響。如果交換機(jī)連接多臺(tái)重要內(nèi)聯(lián)網(wǎng)服務(wù)器，則可以鏡像連接服務(wù)器的這幾個(gè)端口。可以將 NIDS 配置在這樣的管理端口上，通過(guò)鏡像的方式獲得多個(gè)端口的數(shù)據(jù)流。另外，還可以使用交換機(jī)的管理端口甚至一個(gè) VLAN。比如，如果一個(gè)交換機(jī)的端口與連接 Inter 的路由器相連，那么就應(yīng)當(dāng)在交換機(jī)和路由器之間連接一個(gè)小 HUB，將 NIDS連接在這個(gè)點(diǎn)上。因此，當(dāng)一個(gè)“感興趣事件”被檢測(cè)到時(shí)， NIDS會(huì)采取合適的動(dòng)作。當(dāng)一個(gè)包符合了當(dāng)前有效的過(guò)濾規(guī)則時(shí)，會(huì)被解碼并進(jìn)行攻擊特征識(shí)別分析。 部署類型 基于網(wǎng)絡(luò)的入侵檢測(cè) 安裝基于網(wǎng)絡(luò)入侵檢測(cè)（ NIDS）的主機(jī)的網(wǎng)絡(luò)適配卡連接到被監(jiān)控的網(wǎng)段上。該方法對(duì)于網(wǎng)絡(luò)中的數(shù)據(jù)包將首先進(jìn)行協(xié)議分析，當(dāng)分析到應(yīng)用層的協(xié)議后，在將協(xié)議的數(shù)據(jù)內(nèi)容 和模式匹配庫(kù)中的代碼進(jìn)行比較。簡(jiǎn)單的模式匹配已經(jīng)不能滿足性能的要求。 協(xié)議分析和模式匹配相結(jié)合的檢測(cè) 目前，主流的入侵檢測(cè)方法是基于模式匹配的檢測(cè)方法。網(wǎng)絡(luò)管理員可根據(jù)網(wǎng)絡(luò)的情況調(diào)整合適的閥值。 IDS 對(duì)指定時(shí)間內(nèi)，所指定機(jī)器設(shè)置外部連 接次數(shù)的閥值。目標(biāo)系統(tǒng)確認(rèn)這個(gè)連接并分配內(nèi)存存放連接信息。 SYN flood 是一種拒絕服務(wù)攻擊。 SYN flood 的檢測(cè)就是一個(gè)例子。模式發(fā)現(xiàn)優(yōu)點(diǎn)是誤報(bào)少，局限是它只能發(fā)現(xiàn)已 知的攻擊，對(duì)未知的攻擊無(wú)能為力。 模式發(fā)現(xiàn)技術(shù) —— 假定所有入侵行為和手段（及其變種）都能夠表達(dá)為一種模式或特征，那么所有已知的入侵方法都可以用匹配的方法發(fā)現(xiàn)。比如，通過(guò)流量統(tǒng)計(jì)分析將異常時(shí)間的異常網(wǎng)絡(luò)流量視為可疑。如果建立系統(tǒng)正常行為的軌跡，那么理論上可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。通過(guò)協(xié)議分析可以進(jìn)一步證實(shí)入侵發(fā)現(xiàn)的準(zhǔn)確性。此方法目前不是一個(gè)主流的檢測(cè)方法，但是該方法是一個(gè)比較直接的、簡(jiǎn)單的方式。特別是對(duì)通過(guò)統(tǒng)計(jì)數(shù)據(jù)上可以被發(fā)現(xiàn)的可疑行為。經(jīng)過(guò)不斷地檢查基線是否被改變，就可以發(fā)現(xiàn)這些重要的文件、數(shù)據(jù)和參數(shù)有沒(méi)有被篡改。 當(dāng)一個(gè)系統(tǒng)被確認(rèn)正常和安全后，可以將此狀態(tài)的系統(tǒng)各方面的內(nèi)容通過(guò)摘要算法進(jìn)行記錄。很多基于主機(jī)的 IDS 系統(tǒng)就是通過(guò)對(duì)于日志的檢查來(lái)發(fā)現(xiàn)入侵行為的。 同類型的發(fā)現(xiàn)機(jī)制 基于日志的檢測(cè) 對(duì)于日志進(jìn)行審計(jì)和檢查來(lái)發(fā)現(xiàn)可疑行為是入侵檢測(cè)工作的最早期形 式。實(shí)踐表明，入侵檢測(cè)系統(tǒng)已經(jīng)成為快速診斷網(wǎng)絡(luò)故障和進(jìn)行歷史事件審計(jì)的有力工具，對(duì)于 xxx 銀行 信息系統(tǒng)來(lái)說(shuō)，入侵檢測(cè)系統(tǒng)能滿足保障系統(tǒng)的高可用性和對(duì)安全事件的追溯的重要任務(wù)。網(wǎng)絡(luò)入侵檢 測(cè)系統(tǒng)的另一個(gè)特點(diǎn)是由于它采用監(jiān)聽的工作模式，所以它對(duì)現(xiàn)有系統(tǒng)的負(fù)載沒(méi)有任何影響。 圖略 根據(jù) xxx 銀行 的實(shí)際業(yè)務(wù)情況，建議部暑置于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，在 xx機(jī)房和 xx 機(jī)房共 7 臺(tái)核心交換機(jī)上各接入 7 套專用網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（ IDS），考慮到 xx 機(jī)房核心交換機(jī) GD_S010 GD_S0102 的業(yè)務(wù)流量較大，建議配置千兆級(jí)入侵檢測(cè)系 統(tǒng)，其于為百兆級(jí)入侵檢測(cè)系統(tǒng)，另 5 臺(tái)核心交換機(jī) 1 臺(tái) S8016 Xxxx 銀行 信息系統(tǒng)安全解決方案建議書 20 位于 xx 機(jī)房的 OA 辦公網(wǎng)平臺(tái)， 1 臺(tái) GD_S0601 位于 xx 機(jī)房外聯(lián)平臺(tái)，另 3 臺(tái)GD_S110 GD_S110 GD_S1601 分別位于 xx 機(jī)房前交換平臺(tái)和外聯(lián)平臺(tái)，并在內(nèi)網(wǎng)中安裝一臺(tái) IDS 控制臺(tái)，用于所有 IDS 的集中控制。并且 xxx 銀行 信息系統(tǒng)網(wǎng)絡(luò)是一個(gè)直接對(duì)互聯(lián)網(wǎng) 開放的網(wǎng)絡(luò) ，如果沒(méi)有一套系統(tǒng)能夠在關(guān)鍵網(wǎng)段和系統(tǒng)遭到入侵時(shí)能夠進(jìn)行動(dòng)態(tài)的阻斷、報(bào)警、和分析的系統(tǒng)，對(duì)于 xxx 銀行 來(lái)說(shuō)是非常危險(xiǎn)的。但對(duì)利用合法的訪問(wèn)手段或其他的攻擊手段（比如，利用系統(tǒng)的漏洞等）對(duì)省網(wǎng)入侵和內(nèi)部用戶的入侵等都是沒(méi)有辦法控制的。 由于性能的限制，防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力。但是，僅僅使用防火墻、網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠，下面就是防火墻無(wú)法處理的三種情況： 入侵者可尋找防火墻背后可能敞開的后門。 Xxxx 銀行 信息系統(tǒng)安全解決方案建議書 19 不足 透明模式的防火墻會(huì)比路由模式防火墻的功能實(shí)現(xiàn)上無(wú)法實(shí)現(xiàn)部分功能，如NAT 等。 同時(shí)，由于對(duì)于透明模式的防火墻系統(tǒng)來(lái)講，一旦防火墻出現(xiàn)問(wèn)題的時(shí)候，可以直接跳過(guò)，對(duì)于 HA 的需求就不是特別大，所以對(duì)于投資上也是節(jié)省的。 在考慮對(duì)外連接控制時(shí)，提供的防火墻解決方案是采用路由模式，還是透明模式接入，需根據(jù) xxx 銀行 的實(shí)際情況來(lái)定。 ① 需要說(shuō)明的地方： 防火墻部暑網(wǎng)絡(luò)結(jié)構(gòu) 能提供千兆級(jí)解決方案和處理能力，防火墻要求致少有 6 個(gè) 10M/100M 網(wǎng)口， 4 個(gè)千兆光纖網(wǎng)口，以后可擴(kuò)充到最少 8 個(gè)以上（含 8 個(gè)）千兆光纖網(wǎng)口，方便以 后將前交換平臺(tái)營(yíng)業(yè)網(wǎng)線路從現(xiàn)有的百兆升級(jí)為千兆，保護(hù)現(xiàn)有投資，并為以后的擴(kuò)充與升級(jí)帶來(lái)最大方便。 ? xx 機(jī)房中心大樓網(wǎng)絡(luò)連接 OA 系統(tǒng)核心交換機(jī) S8016 處設(shè)置防火墻，控制 xx 中心大樓網(wǎng)絡(luò)對(duì)業(yè)務(wù)網(wǎng)的訪問(wèn)，并實(shí)現(xiàn)辦公網(wǎng)與業(yè)務(wù)網(wǎng)的有效隔離。 ? xx 機(jī)房連接 xx 科技中心大樓網(wǎng)絡(luò)需設(shè)置防火墻，一方面控制 xx 科技中心大樓網(wǎng)絡(luò)進(jìn)入前、后交換平臺(tái)的訪問(wèn)，另一方面控制外聯(lián)平臺(tái)對(duì)科技中心大樓的訪問(wèn)，并實(shí)現(xiàn)辦公網(wǎng)與業(yè)務(wù)網(wǎng)的有效隔離。 Xxxx 銀行 信息系統(tǒng)安全解決方案建議書 16 第五章 系統(tǒng)解決方案 訪問(wèn)控制系統(tǒng) 方案設(shè)計(jì) 圖略 如上圖所示，由于省網(wǎng)的安全防護(hù)重點(diǎn)在于科技中心和省中心的核心系統(tǒng)，因此防火墻的配置以科技中心和省中心網(wǎng)絡(luò)為訪問(wèn)控制邊界進(jìn)行部署： ? xx 機(jī)房?jī)膳_(tái)核心交換機(jī) GD_ S010 GD_ S0102 連接總行營(yíng)業(yè)網(wǎng)、xxx 省 省各二級(jí)分行營(yíng)業(yè)網(wǎng)和廣州地區(qū)各支行營(yíng)業(yè)網(wǎng)之間需設(shè)置防火墻，防火墻性能要求較高。具體來(lái)說(shuō)，在此層面的安全需求主要體現(xiàn)為： 部署有效的安 全管理平臺(tái)，對(duì)安全產(chǎn)品所獲得的數(shù)據(jù)進(jìn)行整合、深度挖掘，為決策層提供有效的安全風(fēng)險(xiǎn)決策支持。為了使各種安全產(chǎn)品能夠協(xié)調(diào)工作，需要統(tǒng)一、標(biāo)準(zhǔn)的安全管理平臺(tái)對(duì)其進(jìn)行綜合控制。包括：①攻擊者利用網(wǎng)絡(luò)竊聽工具竊取經(jīng)由網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，通過(guò)分析 獲得重要的信息；②內(nèi)部用戶通過(guò)網(wǎng)絡(luò)偵聽獲取在網(wǎng)絡(luò)上傳輸?shù)挠脩魩ぬ?hào)，利用此帳號(hào)訪問(wèn)應(yīng)用資源；③攻擊者篡改網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，使信息的接收方接收到不正確的信息，影響正常的工作；④信息發(fā)送方或接收方抵賴曾經(jīng)發(fā)送過(guò)或接收到了信息。其風(fēng)險(xiǎn)來(lái)源于兩點(diǎn)：一是應(yīng)用系統(tǒng)沒(méi)有正確設(shè)置訪問(wèn)