【正文】 Sniffer Report， Sniffer 檢測。 用戶通過 Sniffer 規(guī)程分析儀主要進(jìn)行以下的監(jiān)控管理： 1).面向網(wǎng)絡(luò)設(shè)備運(yùn)行情況的監(jiān)測： 各種網(wǎng)絡(luò)設(shè)備的運(yùn)行情況； 各種網(wǎng)絡(luò)鏈路的運(yùn) 行情況； 各種網(wǎng)絡(luò)鏈路的流量及阻塞情況； 網(wǎng)上各種協(xié)議的使用情況； 網(wǎng)絡(luò)自動發(fā)現(xiàn)； 網(wǎng)絡(luò)故障監(jiān)測； 2).面向網(wǎng)上應(yīng)用情況的監(jiān)測： 任意網(wǎng)段應(yīng)用流量、流向； 泉州電信公司網(wǎng)絡(luò)安全解決方案 32 任意服務(wù)器應(yīng)用流量、流向； 任意工作站應(yīng)用流量、流向； 典型應(yīng)用程序響應(yīng)時間； 不同網(wǎng)絡(luò)協(xié)議占帶寬； 不同應(yīng)用流量、流向的分布情況及拓?fù)浣Y(jié)構(gòu)； 3）強(qiáng)大的協(xié)議解碼能力，用于對網(wǎng)絡(luò)流量的深入解析 4).網(wǎng)絡(luò)管理、故障報警及恢復(fù)。而且隨著網(wǎng)絡(luò)結(jié)構(gòu)的逐步擴(kuò)容改造，網(wǎng)絡(luò)應(yīng)用的進(jìn)一步增長，如何保障整個網(wǎng)絡(luò)穩(wěn)定高效的運(yùn)行，將顯得尤為重要。 監(jiān)控和安全維護(hù)工具是在已運(yùn)行的網(wǎng)絡(luò)系統(tǒng)上疊加部分計(jì)算機(jī)網(wǎng)絡(luò)資源，在不影響系統(tǒng)正常運(yùn)行和不改變系統(tǒng)內(nèi)核的情況下，完成系統(tǒng)運(yùn)行情況數(shù)據(jù)的采集、系統(tǒng)故障預(yù)警和告警、部分調(diào)整工作的實(shí)施并提供分析數(shù)據(jù)和部分參考解決方案等項(xiàng)功能。一個運(yùn)行良好的網(wǎng)絡(luò)系統(tǒng)，所產(chǎn)生的經(jīng)濟(jì)效益和節(jié)約的運(yùn)行費(fèi)用是非常可觀的，而一個運(yùn)行不好的網(wǎng)絡(luò)系統(tǒng)，可能帶來的損失是難以估量的。如何提高網(wǎng)絡(luò)的生產(chǎn)效率，在有限的資源條件下發(fā)揮網(wǎng)絡(luò)系統(tǒng)的最高性能；如何提高網(wǎng)絡(luò)系統(tǒng)的可用性，最大限度地減少網(wǎng)絡(luò)系統(tǒng)的意外行為；如何提高網(wǎng)絡(luò)系統(tǒng)的可靠性，最大限度地減少網(wǎng)絡(luò)系統(tǒng)停機(jī)、重要數(shù)據(jù)丟失等現(xiàn)象；如何保證網(wǎng)絡(luò)系統(tǒng)的安全性，保護(hù)泉州電信公司的信息資源；如何有效、簡便地進(jìn)行維護(hù)和管理，提高系統(tǒng)的可監(jiān)控性、可控制性。 任務(wù)調(diào)度管理控制臺，負(fù)責(zé)任務(wù)的建立、跟蹤和啟動。 對于掃描范圍的確定，可以是很靈活的，可根據(jù)上次的掃描狀態(tài)來進(jìn)行下次的掃描工作。 對于客戶端的調(diào)度，可以是指定時間進(jìn)行升級和更新請求、或者是對指定文件或目錄的泉州電信公司網(wǎng)絡(luò)安全解決方案 30 病毒掃描、或者是對整個系統(tǒng)的掃描。 3. 任務(wù)調(diào)度和執(zhí)行 任務(wù)調(diào)度和執(zhí)行分為客戶端的調(diào)度和控制臺的調(diào)度，控制臺的調(diào)度可以設(shè)置指定時間啟動病毒掃描，操作對象可以是一臺機(jī)器、一組機(jī)器或整個域的機(jī)器，在這些機(jī)器上安裝了VirusScan 和 Netshield。 集中管理和配置時，管理員可以設(shè)定某些配置項(xiàng)鎖定，進(jìn)行口令加密控制，使的用戶不能隨意改變防病毒軟件的設(shè)置。 控制臺上可以對某些機(jī)器啟動病毒掃描運(yùn)行，同時，管理員可通過控制臺確認(rèn)各客戶端的病毒掃描狀態(tài)。病毒掃描狀態(tài)表明了是報警、未知、正常或警告等。同時 可對日志文件的各種格式進(jìn)行控制。 2．配置和集中管理 從管理臺上可以集中對病毒軟件庫中的防病毒軟件組件進(jìn)行配置，通過配置可以簡化客戶端的管理和提高運(yùn)行效率，并使全網(wǎng)的防病毒策略保持一致。 泉州電信公司網(wǎng)絡(luò)安全解決方案 29 對于不想用自動方式更新的用戶，可以手工從 FTP 服務(wù)器上得到更新數(shù)據(jù)，然后手工替換相應(yīng)的病毒數(shù)據(jù)文件或者安裝升級文件。在客戶端配置定時任務(wù)，定期地從共享目錄或 FTP 服務(wù)器中查看是否有新的更新；如果有，自動地拷貝或FTP 到本地，然后自動安裝數(shù)據(jù)文件和升級文件。 對于非 ePO管理的機(jī)器 ，采用客戶端主動拉的方式來更新數(shù)據(jù)文件和升級。 對于由 ePO管理的域成員機(jī)器 ，首先在 ePO 的軟件庫里安裝更新的 .DAT 文件和升級文件，然后由 ePO 采用拉方式自動地將 .DAT 文件和升級文件送到病毒域里的各個 機(jī)器。 NAI 提供了企業(yè)用戶的 .DAT 文件的升級方式。 圖 3 防病毒的管理結(jié)構(gòu) 總管理控制臺 服務(wù)器與 PC 終端 病毒管理控制臺和被管理的域機(jī)器的關(guān)系如圖 3 所示。防病毒域是不同于 NT 域的，它由一組機(jī)器組成，通過防病毒管理控制臺對域中機(jī)器進(jìn)行集中的防病毒軟件安裝、配置、掃描調(diào)度、告警報告產(chǎn)生；并維護(hù)一個防病毒軟件庫，防病毒軟件庫中包含了管理控制臺可以分發(fā)、配置、安裝等的防病毒軟件的不同版本、語種和平臺。中國銀行總行及其分行、中國建設(shè)銀行總行及其分行系統(tǒng)就采取了 NAI 的 AVD 的反病毒解決方案。 如果專用網(wǎng)的 WAN 帶寬不是足夠的好，可以采用在兩邊均安裝一個 ePO 管理控制臺和ePO 管理服務(wù)器和反病毒倉庫，各自管理和分發(fā)自己網(wǎng)絡(luò)內(nèi)的機(jī)器發(fā)病毒軟件和其它的情況。 當(dāng)然， NAI 的最新 AVD 自帶 ePO 管理分發(fā)軟件可以實(shí)現(xiàn)跨域和跨網(wǎng)段甚至可以實(shí)現(xiàn)跨廣域網(wǎng)的方式，無須 WINS 或 DNS 服務(wù)器（即不需知道對方的機(jī)器名），可以實(shí)現(xiàn)基于 IP 地址的分發(fā)；當(dāng)然客戶的廣域網(wǎng)帶寬要足夠的寬，可以實(shí)現(xiàn)軟件的分發(fā)而不影響正常的業(yè)務(wù)數(shù)據(jù)傳輸；當(dāng) ePO 管理控制臺和管理服務(wù)器安裝完畢后，系統(tǒng)會自動生成一個客戶端代理程序，當(dāng)客戶端安裝這個客戶端代理后（可以通過使用域用戶的登錄腳本或通過共享目錄下運(yùn)行該客戶端代理程序或通過電子郵件將該代理發(fā)送給客戶端，當(dāng)客戶端收到該代理程序后，手動運(yùn)行該代理程序或 通過 ePO 管理控制臺給設(shè)置過用戶級共享的客戶端分發(fā) [對于廣域網(wǎng)另一端的用戶可以采取其它方式運(yùn)行該代理程序 ]），在一段時間后，管理服務(wù)器端會收到客戶端的機(jī)器的一些情況，比如客戶端的操作系統(tǒng)， CPU 類型，內(nèi)存大小，顯存大小，顯示器的分辨率，硬盤大小，網(wǎng)卡類型，顯卡類型，時區(qū)，日期， windows 等安裝路徑等一些基本的客戶端信息，當(dāng)給客戶端分發(fā)上相應(yīng)的反病毒軟件后，客戶端可以通過代理將客戶端的病毒查殺情況和客戶端反病毒軟件的版本，引擎，特征代碼庫等信息上報給管理服務(wù)器，寫入管理服務(wù)器端的內(nèi)置數(shù)據(jù)庫，可以通過內(nèi)置的 來實(shí)現(xiàn)定制的反病毒信息，反病毒軟件等信息的客戶化查詢，可以生成三維的圖形報表等功能。在管理上，上級部門只需管到下級部門就可以，簡化了防病毒系統(tǒng)的管理復(fù)雜性。報警管理也構(gòu)成層次管理，下一級的病毒事件報警可以集中到上一級的報警管理器。該部分由 Webshield 軟件實(shí)現(xiàn)。如 圖 1 所示 多點(diǎn)入口需要多層防護(hù) I n t e r n e t 網(wǎng)關(guān) 服務(wù)器 桌面 ? ? ? I n t e r n e t E m ail /H t t p /F T P Uni x /NT /Nove l l L ot u s /E x c h ange W i n 3x/ 95/ 2020 專業(yè)版 / D O S Ac t iveX /Java WebShield for SMTP WebShield for Proxy WebSca nX N e t S h i e l d f or NT N e t S h i e l d f or N e t w ar e G r ou p S h i e l d L ot u s Not e s G r ou p S h i e l d E x c h an ge V i r u s S c an W e b S c an X 圖 1 立體病毒防范示意圖 現(xiàn)代化全方位的病毒防護(hù)系統(tǒng)應(yīng)考慮 Inter 網(wǎng)關(guān)郵件病毒過濾、群件服務(wù)器的病毒控制、服務(wù)器病毒防范和傳染控制、各種桌面的病毒防護(hù)、防病毒系統(tǒng)管理和防病毒系統(tǒng)的升級。 泉州電信公司網(wǎng)絡(luò)安全解決方案 24 第六章 整體防病毒部署與管理解決方案 一、防病毒軟件的部署 根據(jù)泉州電信公司網(wǎng)絡(luò)的實(shí)際情況， NAI 的 AVD 防病毒套件能夠很好的解決泉州電信公司網(wǎng)絡(luò)的防病毒需求。CyberCop 的安裝示意圖如下表示： 泉州電信公司網(wǎng)絡(luò)安全解決方案 23 注意：因?yàn)檫@兩種防黑客產(chǎn)品的安裝和具體的網(wǎng)絡(luò)結(jié)構(gòu)沒有必然的聯(lián)系， CyberCop Scanner 通過在內(nèi)部網(wǎng)絡(luò)中的一臺 服務(wù)器或工作站上安裝，就可以實(shí)現(xiàn)對網(wǎng)絡(luò)內(nèi)所需進(jìn)行弱點(diǎn)評估的機(jī)器實(shí)現(xiàn)弱點(diǎn)掃描，做到防患與未然； CyberCop Sting 同樣不會改變網(wǎng)絡(luò)的結(jié)構(gòu)，通過一臺 服務(wù)器虛擬一個或多個內(nèi)部網(wǎng)絡(luò)。 具體設(shè)計(jì)思想： *鎖定網(wǎng)絡(luò)服務(wù)器結(jié)構(gòu)仿真 NT 與 Solaris 服務(wù)器以及 Cisco 路由器； * 帶有一組無聲警報的所有服務(wù)器活動的全面日志； * 重定向功能將攻擊者送入形象的監(jiān)獄服務(wù)器作為完整的證據(jù)收集； * 獨(dú)立服務(wù)器設(shè)計(jì)用于外部的、內(nèi)部和公眾服務(wù)區(qū)的網(wǎng)絡(luò)布局； 可以通過在泉州電信公司中心網(wǎng)絡(luò)內(nèi)部安裝兩臺 Winnt 服務(wù)器版軟件，在其上安裝NAI 的 CyberCop ，分別安放在 97Server 主機(jī)群和資費(fèi)系統(tǒng)主機(jī)群中，這樣就可以在主機(jī)群中實(shí)現(xiàn)虛擬出一個或多個網(wǎng)絡(luò)，其中有 Sun Solaris 系統(tǒng)， 服務(wù)器， CISCO路由器設(shè)備。采取仿形技術(shù)在您的網(wǎng)絡(luò)上設(shè)立攻擊工具并運(yùn)行， CyberCop Sting 就可以發(fā)現(xiàn)一個誘發(fā)的普通用戶在某些方面可能忽略的窺探目標(biāo)。 NAI 公司的 CyberCop Sting 是最早采用該技術(shù)的產(chǎn)品之一，它提供一種附加的信息收集設(shè)備，可以在泉州電信公司中心和各分支機(jī)構(gòu)中構(gòu)建誘捕網(wǎng)絡(luò)。 由此可見，系統(tǒng)配備了 CyberCop Scanner 掃描器后，不但 可以及時發(fā)現(xiàn)網(wǎng)絡(luò)的安全漏洞，完善網(wǎng)絡(luò)安全策略，同時也可以完善企業(yè)管理，提高生產(chǎn)效率。系統(tǒng)管理員可以根據(jù)這些信息決定關(guān)閉那些無用的服務(wù)，完善系統(tǒng)泉州電信公司網(wǎng)絡(luò)安全解決方案 22 安全策略。其中一些是業(yè)務(wù)所必須的，而另外一些則是不必要的，甚至?xí)?dǎo)致安全漏洞。此項(xiàng)功能可以極大的減輕網(wǎng)管人員的工作量和工作壓力，使其可以專注于安全策略的制定和完善。 CyberCop Scanner 掃描器完成每次掃描工作后都會生成三維的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，準(zhǔn)確標(biāo)識掃描過的網(wǎng)絡(luò)上的主機(jī)和網(wǎng)絡(luò)設(shè)備。有了這樣的工具，網(wǎng)絡(luò)管理員可以輕而易舉的制定網(wǎng)絡(luò)安全策略，不斷提高網(wǎng)絡(luò)的安全性； （ 2） 生成網(wǎng)絡(luò)拓?fù)鋱D，了解網(wǎng)絡(luò)結(jié)構(gòu)變化 泉州電信公司中心網(wǎng) 絡(luò)結(jié)構(gòu)復(fù)雜，網(wǎng)絡(luò)設(shè)備眾多，又因?yàn)榫W(wǎng)絡(luò)改建工作通常由各部門獨(dú)立完成，所以實(shí)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的集中管理非常困難，網(wǎng)絡(luò)結(jié)構(gòu)的變化處于失控的狀態(tài)。 配備了 CyberCop Scanner 掃描器后，泉州電信公司中心的內(nèi)部網(wǎng)絡(luò)安全與管理可以得到明顯的改善，具體而言包括以下幾個方面： （ 1） 發(fā)現(xiàn)網(wǎng)絡(luò)漏洞，進(jìn)行安全評估 CyberCop Scanner 掃描器通過對網(wǎng)絡(luò)上的主機(jī)和網(wǎng)絡(luò)連接設(shè)備的掃描，可以發(fā)現(xiàn)不合理的配置；通過模擬黑客攻擊行為，可以發(fā)現(xiàn)網(wǎng)絡(luò)的薄弱環(huán)節(jié)。 泉州電信公司網(wǎng)絡(luò)安全解決方案 20 CyberCop Scanner 掃描器是一套可跨路由的網(wǎng)絡(luò)掃描工具，在建設(shè)網(wǎng)絡(luò)安全體系的初期，我們建議只在泉州電信公司中心保留該工具，定期對網(wǎng)絡(luò)進(jìn)行掃描，這樣設(shè)置主要出于對以下因素的 考慮： （ 1） CyberCop Scanner 掃描器可以跨越路由對網(wǎng)絡(luò)進(jìn)行掃描，既可以通過廣域網(wǎng)對指定的 IP 地址掃描，也可以將裝有 CyberCop Scanner 掃描器的主機(jī)掛在要掃描的網(wǎng)段上工作，使用方法靈活多樣； （ 2） 泉州電信公司中心作為網(wǎng)絡(luò)管理的核心，在建設(shè)網(wǎng)絡(luò)安全體系時應(yīng)該利用CyberCop Scanner掃描器了解網(wǎng)絡(luò)的基本情況，因此應(yīng)該在泉州電信公司中心配置 CyberCop 泉州電信公司網(wǎng)絡(luò)安全解決方案 21 Scanner 掃描器； （ 3） CyberCop Scanner 掃描器可以發(fā)現(xiàn)網(wǎng)絡(luò)漏洞，如果管理不善，該工具很可能被別有用心的人利用，對網(wǎng) 絡(luò)安全形成威脅，因此在網(wǎng)絡(luò)安全體系建設(shè)初期，該工具不應(yīng)讓過多的人接觸，分支機(jī)構(gòu)及其以下的單位暫不配備 CyberCop Scanner 掃描器； （ 4） CyberCop Scanner 掃描器的使用應(yīng)該由電信中心統(tǒng)一管理，必要時將該工具配備給下級單位使用； （ 5） 當(dāng)網(wǎng)絡(luò)安全管理體系相對成熟后，可以考慮適當(dāng)擴(kuò)大 CyberCop Scanner 掃描器配置的范圍。 總的來說， CyberCop Scanner 掃描器具有以下優(yōu)點(diǎn)： ? 安全策略實(shí)施 通過掃描網(wǎng)絡(luò)，精確確定網(wǎng)路中的情況和安全狀態(tài)，判斷是否滿足安全策略； ? 集中的日 志管理 ? 允許集中審計(jì)整個網(wǎng)絡(luò)； ? 參照比較 初始網(wǎng)絡(luò)掃描完成后，日志用來與進(jìn)一步的掃描參照比較； ? 最小資源開銷 自動安全掃描時企業(yè)為經(jīng)常性審計(jì)只需花一次費(fèi)用。 CyberCop Scanner 掃描器可以確定防火墻的每一條防護(hù)規(guī)則是否起作用，用獨(dú)特的定制審計(jì)包引擎（ CAPE）技術(shù)完成協(xié)議級 Spoofing 和攻擊模擬。 CyberCop Scanner 掃描器可以發(fā)現(xiàn)大眾化的安全漏洞和非大眾化的漏洞。它可以評估企業(yè)內(nèi)部網(wǎng)絡(luò)、服務(wù)器、防火墻、路由器，掃描和測試確定存在的可被黑客利用的網(wǎng)絡(luò)薄弱環(huán)節(jié)。安全掃描 CyberCop Scanner 是一套用于 網(wǎng)絡(luò)安全掃描的軟件工具，由富有實(shí)際經(jīng)驗(yàn)的安全專家開發(fā)和維護(hù)。 網(wǎng)絡(luò)安全掃描的主要性能 (1) 速度，在網(wǎng)絡(luò)內(nèi)進(jìn)行安全掃描非常耗時； (2) 網(wǎng)絡(luò)拓?fù)洌ㄟ^ GUI 的圖形界面，可選擇某些區(qū)域的設(shè)備； (3) 能夠發(fā)現(xiàn)的漏洞數(shù)量； (4) 是否支持可定制的攻擊方法，通常提供強(qiáng)大的工具構(gòu)造特定的攻擊方法，因?yàn)榫W(wǎng)絡(luò)內(nèi)服務(wù)器及其它設(shè)備對相同協(xié)議的實(shí) 現(xiàn)存在差別，所以預(yù)制的掃描方法肯定不能滿足客戶的