【正文】 VigilEnt Password Manager for Oracle使安全管理員得以方便地實(shí)施、維護(hù)和管理企業(yè)口令策略，從而增強(qiáng)。通過對(duì)數(shù)據(jù)庫(kù)的安全保護(hù)，以防范所有對(duì) 關(guān)鍵數(shù)據(jù)的威脅，有效的增強(qiáng)了數(shù)據(jù)庫(kù)在身份驗(yàn)證、訪問控制、安全審計(jì)和安全管理方面的能力。 所以在網(wǎng)絡(luò)系統(tǒng)中，數(shù)據(jù)庫(kù)的安全我們應(yīng)需要重點(diǎn)保護(hù)，防止非法侵入和訪問、篡改。 在數(shù)據(jù)庫(kù)系統(tǒng)中，由于數(shù)據(jù)大量集中存放，且為眾多用戶直接共享，安全性問題更為突出。 1）目標(biāo)： 實(shí)現(xiàn)關(guān)鍵子網(wǎng)間的數(shù)據(jù)傳輸安全 實(shí)現(xiàn)外網(wǎng)撥號(hào)用戶和關(guān)鍵主機(jī)之間的數(shù)據(jù)傳輸安全 電力廣域網(wǎng)安全建議書 第 30 頁(yè) 共 75 頁(yè) 2）產(chǎn)品性能指標(biāo)參數(shù)（祥見附件三中相關(guān)產(chǎn)品資料） 3）產(chǎn)品配置：（參見附件二產(chǎn)品配置圖） （ 1） 在網(wǎng)絡(luò)的邊界安裝 PowerVPN SERVER，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)和其他系統(tǒng)內(nèi)網(wǎng)之間的加密傳輸（具體參見附件）。建議采用 Symantec 的 PowerVPN SERVER 產(chǎn)品來實(shí)現(xiàn)。 加密 考慮到對(duì)系統(tǒng)效率的影響，數(shù)據(jù)加密應(yīng)只針對(duì)關(guān)鍵數(shù)據(jù)和網(wǎng)段進(jìn)行。另外，網(wǎng)絡(luò)入侵報(bào)警和主機(jī)入侵報(bào)警的綜合分析，也有利于提高非法入侵的準(zhǔn)確識(shí)別率。 NetProwler 網(wǎng)絡(luò)入侵檢測(cè)的響應(yīng)能力： 8 種（事件日志，中斷連接，加強(qiáng)防火墻，創(chuàng)建報(bào)告，通過文件 或 EMAIL 通知系統(tǒng)管理員，啟動(dòng)指定程序，記錄連接，將事件通知主機(jī)入侵檢測(cè)管理器和控制臺(tái)）。集中監(jiān)控全網(wǎng)的網(wǎng)絡(luò)入侵檢測(cè)事件。另須安裝 ESM 代理定期執(zhí)行主機(jī)安全檢查。 NetProwler 管理器的配置：在網(wǎng)管子網(wǎng)（安全子網(wǎng)）內(nèi)新增一臺(tái) NT 主機(jī)，作為 NetProwler管理器。這種配置由于在目標(biāo)網(wǎng)段里 NetProwler無 IP 地址，所以大大提高了 NetProwler 的安全性。其中，建議所有運(yùn)行 NetProwler 代理軟件的主機(jī)均采用 NetProwler 的最新功能 雙網(wǎng)卡配置。 NetProwler 代理軟件采用混合網(wǎng)絡(luò)通訊模式，截取并分析所有的網(wǎng)絡(luò)流量。 ITA 控制臺(tái)的配置：建議在安全管理員的客戶機(jī)上安裝控制臺(tái)，集中監(jiān)控全網(wǎng)的主機(jī)入侵檢測(cè)系統(tǒng)。若存在遠(yuǎn)程網(wǎng)段的 ITA 代理，建議在遠(yuǎn)程網(wǎng)段配置 ITA 管理器（但仍由中央管理控制）。 ITA 管理器必須放置在防火墻后面的內(nèi)網(wǎng)。安裝 ITA 代理的關(guān)鍵主機(jī)有：網(wǎng)絡(luò)系統(tǒng)各種關(guān)鍵應(yīng)用主機(jī)；網(wǎng)絡(luò)服務(wù)主機(jī)；防火墻；所有安全系統(tǒng)的管理主機(jī)（比如： ESM 管理器， NetProwler 管理器， AntiVirus 管理器， Defender 管理器）。 3) 產(chǎn)品配置：（產(chǎn)品配置圖示請(qǐng)參見附件） 主機(jī)入侵檢測(cè)系統(tǒng)配置： ITA 代理的配置：在網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵主機(jī)（ Web 服務(wù)器， Email 服務(wù)器，其它應(yīng)用服務(wù)器）上分別安裝 ITA 代理軟件。 ? NetProwler 代理：運(yùn)行在目標(biāo)網(wǎng)絡(luò) 上的獨(dú)享 NT 主機(jī)上，通過實(shí)時(shí)分析網(wǎng)絡(luò)流量，識(shí)別網(wǎng)絡(luò)入侵特征行為并報(bào)警。獨(dú)有的 SDSI 專利技術(shù)保證動(dòng)態(tài)的網(wǎng)絡(luò)入侵策略定義和更新。單一界面對(duì)企業(yè)范圍內(nèi)的主機(jī)入侵檢測(cè)實(shí)現(xiàn)所有管理任務(wù)（配置管理、策略定義、實(shí)時(shí)監(jiān)控和報(bào)表生成）。定義安全策略和入侵 響應(yīng)策略；管理所有 ITA 代理并與之通訊；安全信息的集中存儲(chǔ)；報(bào)表生成并輸出。網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)主機(jī)均可納入保護(hù)范圍之內(nèi)。 ? ITA 代理：安裝在被保護(hù)主機(jī)上的后臺(tái)監(jiān)控程序，通過實(shí)時(shí)分析系統(tǒng)操作和用戶行為，發(fā)現(xiàn)主機(jī)入侵和違規(guī)操作。 出色的圖形界面，靈活的策略定制、域管理以及報(bào)告輸出功能。 1) 安全目標(biāo)： 在關(guān)鍵節(jié)點(diǎn)實(shí)現(xiàn)主機(jī)的實(shí)時(shí)入侵檢測(cè)；在關(guān)鍵網(wǎng)段實(shí)現(xiàn)網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)。 電力廣域網(wǎng)安全建議書 第 27 頁(yè) 共 75 頁(yè) ProwlerIDS 由兩個(gè)產(chǎn)品組成： Intruder Alert 軟件（簡(jiǎn)稱： ITA）主要是 為主機(jī)提供實(shí)時(shí)入侵檢測(cè)功能 ,并依據(jù)安全策略對(duì)主機(jī)入侵作出適當(dāng)反應(yīng)； NetProwler 軟件主要是為目標(biāo)網(wǎng)絡(luò)提供實(shí)時(shí)網(wǎng)絡(luò)分析，發(fā)現(xiàn)網(wǎng)絡(luò)攻擊并預(yù)警相關(guān)安全產(chǎn)品作出網(wǎng)絡(luò)增強(qiáng)的響應(yīng)。 （ IDS） 一個(gè)完整的入侵檢測(cè)系統(tǒng)必須從網(wǎng)絡(luò)和主機(jī)兩個(gè)方面實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)，只有這樣才能充分保證全面的安全防御能力。 風(fēng)險(xiǎn)評(píng)估系統(tǒng)的統(tǒng)一配置： 在 NetRecon 系統(tǒng)平臺(tái)上配置 ESM 代理，并在 ESM 控制臺(tái)上增加 NetRecon 的管理策略。區(qū)別企業(yè)外網(wǎng)和內(nèi)網(wǎng)的不同網(wǎng)絡(luò)應(yīng)用特點(diǎn)，分別輸出企業(yè)外網(wǎng)和內(nèi)網(wǎng)安全報(bào)告。全范圍分布執(zhí)行，集中管理，統(tǒng)一報(bào)表是這個(gè)系統(tǒng)的三大特征。 ESM 管理器負(fù)責(zé)存儲(chǔ)所有安全策略和安全報(bào)告。 電力廣域網(wǎng)安全建議書 第 26 頁(yè) 共 75 頁(yè) 3) 產(chǎn)品配置：（產(chǎn)品配置圖示請(qǐng)參見附件） 主機(jī)風(fēng)險(xiǎn)評(píng)估系統(tǒng)的配置 ： 在所有關(guān)鍵主機(jī)（包括安全管理主機(jī)）上配置 ESM 代理軟件；并通過與放置在網(wǎng)管子網(wǎng)（必須在防火墻之后的內(nèi)網(wǎng)）的 ESM 管理器通訊，下傳評(píng)估策略、執(zhí)行策略和上傳評(píng)估報(bào)告。 NetRecon 不僅支持 IP 網(wǎng)絡(luò)掃描，還支持 IPX 網(wǎng)絡(luò)掃描。象一個(gè)老虎隊(duì)一樣質(zhì)詢網(wǎng)絡(luò)和系統(tǒng)；在系統(tǒng)間分享信息并繼續(xù)探測(cè)各種漏洞直到發(fā)現(xiàn)所有的安全漏洞。單一界面對(duì)企業(yè)范圍內(nèi)的風(fēng)險(xiǎn)評(píng)估實(shí)現(xiàn)所有管理任務(wù)（配置管理、策 略定義、在線安全修正和報(bào)表生成）。定義安全策略和企業(yè)策略評(píng)估計(jì)劃；管理所有 ESM 代理并與之通訊；安全信息的集中存儲(chǔ)；報(bào)表生成并輸出。網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)主機(jī)均可納入保護(hù)范圍之內(nèi)。 ? ESM 代理：安裝在被評(píng)估主機(jī)上的后臺(tái)掃描程序，通過分析系統(tǒng)配置和系統(tǒng)版本，發(fā)現(xiàn)系統(tǒng)漏洞和配置漏洞 。 出色的圖形界面，靈活的策略定制、域管理以及報(bào)告輸出功能。 1) 安全目標(biāo)： 在關(guān)鍵節(jié)點(diǎn)實(shí)現(xiàn)主機(jī)的漏洞掃描及報(bào)告；對(duì)全網(wǎng)的網(wǎng)絡(luò)安全漏洞掃描及報(bào)告。全面的風(fēng)險(xiǎn)評(píng)估報(bào)告是建立企業(yè)安全基準(zhǔn)的重要參考。所以，評(píng)估分析能力是風(fēng)險(xiǎn)評(píng)估系統(tǒng)的重要指標(biāo)之一。風(fēng)險(xiǎn)評(píng)估與漏洞掃描有兩大不同之處： 安全風(fēng)險(xiǎn)是站在企業(yè)的角度審視所面臨的安全威脅，這些安全威脅包括安全漏洞，配置不當(dāng)，用戶風(fēng)險(xiǎn)等等。 風(fēng)險(xiǎn)評(píng)估（漏洞掃描）系統(tǒng) 對(duì)于企業(yè)安全狀況審查，僅僅有漏洞掃描是不能滿足要求的。 Defender 雙因子身份認(rèn)證系統(tǒng)配置： Defender 驗(yàn)證系統(tǒng)：為了與 PassGo SSO 集成，可以在上述 PassGo 服務(wù)器上安裝Defender 安全服務(wù)器作為驗(yàn)證服務(wù)器， Defender 用戶數(shù)據(jù)庫(kù)和其他 Defender 組件（ SQL 以上）可以安裝在同一臺(tái)機(jī)或另一臺(tái) NT 服務(wù)器上。 PassGo 客戶端：安裝在所有需要獲得 SingleSignOn 的工作站上，該工作站最好安裝IE 或 Netscape 瀏覽器。 Defender 的主要功能 ? 確保只有被許可的用戶方能遠(yuǎn)程訪問網(wǎng)絡(luò)； ? 使系統(tǒng)安全、易操作的電子注冊(cè)和軟令牌的交付成為可能； ? 用 MMC（ Microsoft Management Console）統(tǒng)一用戶圖形界面，實(shí)時(shí)地對(duì)用戶、令牌、安全服務(wù)、安全策略和審計(jì)日志進(jìn)行全面的高級(jí)管理和常規(guī)管理； ? 包含一個(gè)自動(dòng)轉(zhuǎn)換備份服務(wù)器許可，為 Defender 安全服務(wù)器提供高度的實(shí)效性； ? Defender 是基于業(yè)界認(rèn)可的安全標(biāo)準(zhǔn)的、可靠的 安全解決方案； ? 提供多種硬令牌和軟令牌； ? 雙因子的身份驗(yàn)證機(jī)制； 電力廣域網(wǎng)安全建議書 第 24 頁(yè) 共 75 頁(yè) 全面的管理和報(bào)告軟件： Defender 允許對(duì)所有用戶、服務(wù)器和稽查審計(jì)信息進(jìn)行集中管理。報(bào)告提供了用戶以及與安全有關(guān)的信息。 DMC 是一個(gè)提供實(shí)時(shí)管理的統(tǒng)一 MMC（微軟管理控制臺(tái)）界面。 ? Defender 管理平臺(tái)（ DMC）：管理用戶 ID、令牌、多重 Defender 安全服務(wù)器（本地的和遠(yuǎn)程的）、安全策略、管理器、 RADIUS 概況、用戶組和模板。智能令牌卡在卡上的智能芯片上存儲(chǔ)了用戶資料 和比較條件 /回復(fù)算法，這種形式確保了高度的安全性并且利用了智能卡的方便性。令牌機(jī)制包括兩種手持的硬令牌，一個(gè)智能卡，或一個(gè)軟令牌（電子自動(dòng)發(fā)布或通過一張軟盤）。 ? Defender 令牌： Defender 提供硬令牌和軟令牌。 ? Defender 安全服務(wù) 器（ DSS）：雙重因數(shù)身份驗(yàn)證服務(wù)器。在進(jìn)行口令比較時(shí)， Defender 安全服務(wù)器通過易于使用的令牌來計(jì)算這個(gè)一次性密碼，潛在的入侵者無法破解這個(gè)一次性的密碼。 PassGo 客 戶端工作站NativeNetworkProtocolTCP/IPTCP/IPP a s s G o 訪問控制代理P a s s G o 服務(wù)器P a s s G o 同步代理 PassGo 產(chǎn)品結(jié)構(gòu)圖 電力廣域網(wǎng)安全建議書 第 23 頁(yè) 共 75 頁(yè) Defender 雙因子身份認(rèn)證系統(tǒng) ： 是一個(gè)標(biāo)準(zhǔn)的、具有強(qiáng)有力的雙重因數(shù)認(rèn)證策略的安全解決方案。 ? PassGo 客戶端：通過在工作站安裝這一軟件，用戶可以獲得 SingleSignOn 的好處。 PassGo 服務(wù)器還定義每個(gè)用戶的“應(yīng)用視圖”，這樣當(dāng)用戶執(zhí)行完系統(tǒng)登 錄后，就不用在進(jìn)入不同應(yīng)用再作一次身份認(rèn)證，而是通過視圖，點(diǎn)擊鼠標(biāo)就可完成對(duì)授權(quán)應(yīng)用的訪問。管理基于 Web 方式，客戶端和 PassGo服務(wù)器間可采用普通 HTTP 或 SHTTP 加密連接，其余模塊之間的通訊均為加密通訊。 電力廣域網(wǎng)安全建議書 第 22 頁(yè) 共 75 頁(yè) 通過和 Symantec 公司 Defender 雙因子身份認(rèn)證產(chǎn)品的無逢結(jié)合，可在統(tǒng)一用戶管理和SingleSignOn 的基礎(chǔ)上獲得增強(qiáng)的身份認(rèn)證。為此，建議采用 Symantec 公司的 PASSGO SSO 產(chǎn)品，實(shí)現(xiàn)從操作系統(tǒng)到應(yīng)用，統(tǒng)一的用戶管理，以及“一次登錄認(rèn)證，就可訪問所有授權(quán)的主機(jī)和應(yīng)用系統(tǒng)（以下稱“ SingleSignOn）”的能力。 Deliver 之自動(dòng)機(jī)制收到之病毒樣本 ， 及平均之解毒時(shí)間 . 月份 通過 SCAN amp。 ? 防毒自動(dòng)化服務(wù)機(jī)制 : 針對(duì)未知病毒的防護(hù) ， Symantec 免費(fèi)提供掃描和傳送 (Scan amp。 ?工作站級(jí) –NORTON AntiVirus for Windows 95/98 中文版 –NORTON AntiVirus for NT/2K Workstations 中文版 –NORTON AntiVirus for Windows –NORTON AntiVirus for Macintosh ?服務(wù)器級(jí) –NORTON AntiVirus for Windows NT Servers 中文版 –NORTON AntiVirus for OS/2 –NORTON AntiVirus for NetWare –NORTON AntiVirus for Lotus Notes 中文版 電力廣域網(wǎng)安全建議書 第 20 頁(yè) 共 75 頁(yè) –NORTON AntiVirus for Microsoft Exchange 中文版 ?網(wǎng)關(guān)級(jí) –NORTON AntiVirus for Inter Email Gateways –NORTON AntiVirus for Firewalls ?管理級(jí) –Symantec System Center 中文版 3) 產(chǎn)品配置 ? 網(wǎng)絡(luò)防毒軟件安裝 針對(duì)內(nèi)部之有網(wǎng)絡(luò)連接的電腦：規(guī)劃成控制中心提供兩種建議模式并用，有效于短時(shí)間內(nèi)安裝 (a)Pull 安裝方式：利用網(wǎng)絡(luò)的 登錄腳本 安裝 Win9x， DOS/ (b)Push 安裝方式： Windows NT， Windows 2020， NetWare ? 中央控制式更新病毒定義碼 防毒軟件裝完，才是防毒工作的開始，有效、即時(shí)、同步是企業(yè)內(nèi)防毒軟件更新時(shí)首要考慮之三大要素，所有 Symantec 產(chǎn)品的最佳后援服務(wù)，提供 LiveUpdate 單鍵產(chǎn)品與病毒定義碼更新 ， 同時(shí)通過規(guī)劃架設(shè)于貴公司架設(shè)中央控制 LiveUpdate 服務(wù)器，自動(dòng)由 Symantec網(wǎng)站下載最新病毒定義碼與產(chǎn)品更新可包含所有 Symantec 的產(chǎn)品，最短時(shí)間內(nèi)解決貴公司全面最新病毒威脅 ! ? 管理病毒警報(bào)及報(bào)表系統(tǒng)： Symantec System Center 集中式管理主控臺(tái) ， 提供單一管理主控臺(tái)，可以容易地安裝與管理企業(yè)中多種混合平臺(tái) ， 自動(dòng)地從中央位置將最新的 Norton AntiVirus 軟件、病毒定義文件，分發(fā)至用 戶端與服務(wù)器系統(tǒng)。 根據(jù)上面確定的系統(tǒng)目標(biāo)，安全機(jī)制和技術(shù)實(shí)現(xiàn)思路，結(jié)合具體的網(wǎng)絡(luò)