【正文】 需求； (5) 報告，掃描器應該能夠給出清楚的安全漏洞報告； (6) 更新周期，提供該項產(chǎn)品的廠商應盡快給出新發(fā)現(xiàn)的安生漏洞掃描特性升級，并給泉州電信公司網(wǎng)絡安全解決方案 19 出相應的改進建議； 安全掃描器不能實時監(jiān)視網(wǎng)絡上的入侵，但是能夠測試和評價系統(tǒng)的安全性，并及時發(fā)現(xiàn)安全漏洞。 （ 2）基于網(wǎng)絡的掃描器 基于網(wǎng)絡的安全掃描主要掃描特定網(wǎng)絡內的路由器、網(wǎng)橋、變換機、訪問服務器、防火墻等設備的安全漏洞，并可設定模擬攻擊，以測試系統(tǒng)的防御能力。 （ 1）基于服務器的掃描器 基于服務器的掃描器主要掃描與服務器相關的安全漏洞，如 password 文件，目錄和文件權限，共享文件系統(tǒng)，敏感服務，軟件，系統(tǒng)漏洞等，并給出相應的解決辦法建議。 安全掃描工具源于黑客在入侵網(wǎng)絡系統(tǒng)時采用的工具，商品化的安全掃描工具為網(wǎng)絡安全漏洞的發(fā)現(xiàn)提供了強大的支持。網(wǎng)絡管理員可以根據(jù)掃描的結果更正網(wǎng)絡安全漏洞和系統(tǒng)中的錯誤配置，在黑客攻擊前進行防范。風險評估技術與防火墻、入侵監(jiān)測系統(tǒng)互相配合，能夠提供很高安全性的網(wǎng)絡。系統(tǒng)最低要求： P200 以上CPU， 32Mb 以上內存 ,50M 硬盤空間，一塊網(wǎng)卡， VGA 顯卡 (800*600)分辨率 (2M 以上 )。 三． PGP 安裝平臺要求 PGP Keyserver 支持 Sun Solaris (SPARC) 及其更高版本，或 Microsoft Windows NT(Intel)，建議采用高性能的 Intel X86 平臺來安裝： PIII850 以上 CPU, 256Mb 以上內存，9G 硬盤，一塊 10/100M 網(wǎng)卡， VGA 顯卡 (800*600)分辨率 (4M 以上 )。這是因為 PGP disk 在卷級操作，對于給定數(shù)量的文件，執(zhí)行的操作比傳統(tǒng)的基于文件的系統(tǒng)少得多。 內存離子遷移保護措施 PGPdisk 保護您減小內存受損、老化的系數(shù)，防止 RAM 將內存中遺留的密鑰痕跡長時間保留。 自動休眠和拆卸 當您的計算機處于休眠方式或在事先指定的一段時間內空閑時，PGPdisk 自動卸下磁盤。 超級安全卷 (黑箱 技術 )PGPdisk 基于卷的結構創(chuàng)建一個虛擬黑箱，隱藏文件全部信息的存在，包括姓名、主題信息和所有權標識?；诰淼慕Y構和基于文件的系統(tǒng)不同，它在加密和解密數(shù)據(jù)時具有更強的安全性、更高的性能和更好的可用性。 PGPdisk 易于安裝和操作，是保護數(shù)據(jù)安全、可靠和避免被他人竊取的明智選擇。PGPdisk 通過提供可用的最高級磁盤保護安全措施，保護您的文件免受不法之徒的入侵，從而排除保密數(shù)據(jù)被公開的危險。在泉州電信公司個人用戶 網(wǎng)絡中建立一臺 PGP Keyserver 來管理所有 PGP Desktop 用戶的公鑰。 PGP 桌面及郵件加密采用了公鑰體制，即用戶利用公鑰加密，用私鑰解密，公鑰公開，用戶保留私鑰。 PGP 幾乎支持現(xiàn)有的所有常用的電子郵件和任何文檔文件。它通過對電子信函、聯(lián)機事務以有數(shù)據(jù)文件進行加密，使得只有指定的收件人才能對共內容進行解密，從而使用戶的數(shù)據(jù)信息得到保護。 PGP 僅用鼠標就可完成全部的加密、解密、簽名與身份驗證全過程；支持任何形式的文件，包括文本、電子表格、圖形及音視頻文件；支持流行的軟件包，如 Claris Emailer MS Exchange MS outlook, Netscape Communicater 和 QUALCOMM Eodora 等，并與之集成。 PGP Desktop 套件包含有郵件加密、文件加密、磁盤加密、 VPN 客戶端、個人防火墻、入侵監(jiān)測等功能。接受方接受數(shù)據(jù)是通過一定的解密算法，對已加密的數(shù)據(jù)進行解密，進而獲得明文。同時，在 Inter 技術發(fā)展迅速的今天，黑客技術隨之迅速發(fā)展，甚至有道高一尺，魔高一丈的味道，個人電腦只要連上 Inter，就不可避免地遇到遭黑客及不法分子襲擊的風險。當然如果認為省局是信任網(wǎng)絡也可以不安裝 NAI Gauntlet 防火墻。在 97 主機群和資費主機群前的 Gauntlet 配置為開通內部網(wǎng)用戶對該服務器所必須的服務，關閉與業(yè)務無關的服務，如有必要，內部網(wǎng)絡用戶或經(jīng)授權的外部用戶訪問該服務器時需要經(jīng)過認證。如果泉州電信有需要對外部互連網(wǎng)提供服務的機器的話，將提供對外服務的機器安裝在防火墻的?；饏^(qū)，僅允許外部互連網(wǎng)網(wǎng)對?；饏^(qū)的機器做 HTTP、 SMTP、 POP DNS等必須的服務 ,禁止其它多余的服務，當然內部員工對?；饏^(qū)也具有這些功能；對違反泉州電信公司網(wǎng)絡安全解決方案 13 泉州電信公司網(wǎng)絡安全解決方案 14 訪問策略的請求和對內部網(wǎng)絡和?；饏^(qū)網(wǎng)絡的攻擊，在防火墻上設置 Email 報警和日志記載；對專用網(wǎng)接入處和內部網(wǎng)相連的 防火墻配置為允許對專用網(wǎng)另一端的訪問，同時開通所必須的通訊端口號，比如和銀行相連的地方可能是電話代收費項目，開通雙方所需的通訊端口號，禁止其它無關的服務；去省局的 WAN 以及去市話網(wǎng)同樣開通雙方所必須的通訊端口，禁止其它一切與業(yè)務無關的通訊端口號 （ Gauntlet防火墻的工作方式為除非被允許，否則被禁止），特別需要注意的是僅開通專用網(wǎng)另一端對電信的中心網(wǎng)絡所必須的服務，無關的服務一律禁止； 同時對從專用網(wǎng)來的用戶訪問內部網(wǎng)時如有必要，須經(jīng)過授權認證?？梢詣討B(tài)隱藏上網(wǎng)用戶的 IP 地址，隱藏泉州電信內部網(wǎng)絡結構，共享有限的公網(wǎng)地址，做到所有內部員工均可以利用互連網(wǎng)來增進交流，拓展知識和業(yè)務的開展，對從內部網(wǎng)到 Inter 開通允許的 HTTP、 POP SMTP、 FTP、 TELNET、 DNS、 OICQ、 IRC、 REALPLAY等 有用或與業(yè)務相關的服務，否則不讓通過多余的服務。 因泉州電信整個網(wǎng)絡架構在高速網(wǎng)絡上，普通防火墻不能提供接口，我們建議在高速網(wǎng)絡處使用 NAI 公司針對千兆網(wǎng)絡而設計的千兆級防火墻 PGP 1000 eppliance ： – 4 440 MHz Sun Sparc processors – 4 GB RAM – 1 VPN Cryptographic accelerator – 2 Gigabit Ether Adapters – 1 4 port 10/100 Ether Adapter – 1 built in Ether port – 3 N+1 Redundant Power Supplies 四、 GauntLet 防火墻的部署 根據(jù)泉州電信公司網(wǎng)絡撲圖的結構圖可知，用戶可以在 5000 50002 交換機與通過ADSL 與外部相連的地方部署 NAI Gauntlet 防火墻；可以在 AS5300與 50002 交換機相連的地方部署 NAI Gauntlet 防火墻；可以在 5000 50002 交換機與 CISCO7507 CISCO75072之間部署 PGP EPpliance 1000 硬件防火墻；可以在 5000 交換機與 CISCO 2511 之間部署 NAI Gauntlet 防火墻；可以在 97 主機群和資費主機群關鍵服務器之前部署 NAI Gauntlet 防火墻。 如果是 Gauntlet For Solaris ,可以采用 Sun Sparc10 以上工作站 ,SPARC 或 UltraSPARC 系統(tǒng)， 128Mb 或 256Mb 以上內存， 2GB 硬盤（如流量大的話，需加大硬盤）。 我們下面看一下泉州電信安裝防火墻之前的拓撲圖。不能限制外部用戶對內部的非法訪問。不能阻斷外部互聯(lián)網(wǎng)用戶的泉州電信公司網(wǎng)絡安全解決方案 11 惡意訪問和攻擊，同時暴露泉州電信公司內部的網(wǎng)絡結構，不能阻斷內部網(wǎng)絡用戶中有黑客傾向的員工對內部網(wǎng)絡內的關鍵服務器 97server 與資費主機系統(tǒng)與資費主機系統(tǒng)的惡意訪問或越權訪問以及對該關鍵服務器的攻 擊；公司只有有限的公網(wǎng) IP 地址，不能使公司員工同時上網(wǎng)，不能隱藏內部網(wǎng)絡結構，不能拒絕非授權的訪問，如果有單獨的對外公布的機器，同樣不能得到有效的保護，不能對外僅公布 HTTP、 SMTP、 POP DNS 等服務，同時不能對FTP 等其它額外的服務做出禁止，不能對 HTTP 服務本身做出進一步限制。 二、未安裝防火墻之前的泉州電信公司的網(wǎng)絡情況。防火墻能夠記錄所有的網(wǎng)絡連接和連接企圖，日志能夠顯示出源地址、目的地址、時間和所用的協(xié)議，而且防火墻能夠預先設定一個緊急情況的觸發(fā)條件，條件發(fā)生時，防火墻會發(fā)出一個警報給安全維護人員或網(wǎng)絡管理系統(tǒng)。 ? 內容安全性可保護系統(tǒng)數(shù)據(jù)免受 Inter 病毒 、惡意 Java和 ActiveX 代碼的威脅。 ? 節(jié)省費用，第三方的認證設備 (軟件或硬件 )只需安裝在應用網(wǎng)關上。 ? 支持一個地點管理多臺防火墻，各防火墻可相互配合，具有主動防御的能力。 ? 信息隱藏，應用網(wǎng)關為外部連接提供代理。 ? 支持多處理器技術。 ? 采用自適應代理技術，可提供包過濾防火墻的高速度。 泉州電信公司網(wǎng)絡安全解決方案 10 第三章 防火墻的部署解決方案 一、重點保護泉州電信關鍵網(wǎng)段和關鍵主機 鑒于泉州電信系統(tǒng)的內部網(wǎng)絡易于受到外部用戶的非法入侵和攻擊，內部的關鍵服務器97server 與資費主機系統(tǒng)以及資費主機易于遭受內部用戶和未安裝外部防火墻時的外部用戶的 非法入侵和攻擊 (注：以下公司即為泉州電信公司 )，因此建議采用美國 NAI 公司Gauntlet 防火墻 屏蔽關鍵網(wǎng)段和關鍵主機，不允許外部用戶直接訪問公司的內部網(wǎng)絡和內部用戶直接訪問關鍵服務器 97server 與資費主機系統(tǒng)與資費主機，保證訪問的合法性與網(wǎng)絡服務的安全性。 4．輔助手段， NAI Cybercop Sting 的部署 在用戶服務子網(wǎng)內的一臺單獨 NT server 上加裝，可以虛擬一個局域網(wǎng)絡，當中可以虛擬出 NT server， Solaris， CISCO 路 由器，當黑客無論來自內部或外部使用掃描器探測網(wǎng)絡時，就會發(fā)現(xiàn)這些設備，就會攻擊這些系統(tǒng)，而這些設備是虛擬的，因而不會被攻破，黑客的行為就會被記錄在案，作為法律的依據(jù)。 E． 提供整體網(wǎng)絡運行的健康以及趨勢分析。 C． 預防問題 通過在廣域網(wǎng)上對網(wǎng)絡設備和網(wǎng)絡流量的實施監(jiān)控和分析，預防問題的發(fā)生 ，在系統(tǒng)出現(xiàn)性能抖動時，就能及時發(fā)現(xiàn)，并建議系統(tǒng)管理員采用及時的處理。 3．使用規(guī)程分析儀管理網(wǎng)絡與故障分析 采用網(wǎng)絡管理工具對本公司的骨干（重要）網(wǎng)絡進行監(jiān)控和管理，以確保關鍵業(yè)務的正常運作； A． 系統(tǒng)監(jiān)控 簡便、實用的 設備對網(wǎng)絡環(huán)境進行監(jiān)測和分析，對關鍵的網(wǎng)絡參數(shù)進行監(jiān)控和維護，能動態(tài)發(fā)現(xiàn)網(wǎng)絡拓撲結構，能監(jiān)控網(wǎng)絡流量、負荷、延時、連同性、擁塞情況、路由情況，對網(wǎng)絡中的異常事件能夠統(tǒng)一地分析和處理，并給出詳盡的報告。透過管理控制臺可直接在任何服務器 或工作站上進行遠程管理。 （ 3） Inter的防病毒系統(tǒng) 根據(jù) ICSA 的報告，一般公司的電腦感染病毒的來源有超過 20%是通過網(wǎng)絡下載文檔感染，另外有 26%是經(jīng)電子郵件的附加文檔所感染，連入 Interent，很有可能受到來自 Interent下載文件的病毒侵害及惡意的 Java、 ActiveX 小程序的威脅。 其具體的功能有： Netshield： 全球領先的服務器防病毒解決方案。所以，建議在內部網(wǎng)絡所有關鍵業(yè)務的服務器上采用 McAfee AVD 套件中 NetShield Security Suite ，提供全面的基于服務器的病毒保護。 （ 2）服務器的防病毒系統(tǒng) 如果服務器被感染，其感染文件將成為病毒感染的源頭，它們會迅速從桌面感染發(fā)展到整個網(wǎng)絡的病毒爆發(fā)。 （ 1）客戶端的防病毒系統(tǒng) VirusScan WebScanX：保護系統(tǒng)免受惡意 Java 和 ActiveX 小程序的破壞； SecureCast：自動在 Inter 上發(fā)布接收病毒更新信息； Net Tools Console：提供集中的管理、分發(fā)和警告功能。所謂多層病毒防衛(wèi)體系，是指在每個臺式機上要安裝臺式機的反病毒軟 件，在服務器上要安裝基于服務器的反病毒軟件，在網(wǎng)關上要安裝基于網(wǎng)關的反病毒軟件，因為防止病毒的攻擊是每個員工的責任，人人都要做到自己使用的臺式機上不受病毒的感染，從而保證整個企業(yè)網(wǎng)不受病毒的感染。 在黑客到來之前將系統(tǒng)漏洞彌補，當黑客再次使用這種方法攻擊系統(tǒng)時，就不會生效，從而主動保護系統(tǒng)安全，變被動為主動。網(wǎng)絡漏洞掃描產(chǎn)品可以幫助網(wǎng)絡管理員去評價操作系統(tǒng)的身份識別及存取控制等策略配置的安全性，以提高操作系統(tǒng)的安全運行級別；檢測防火墻的策略規(guī)則配置的合理性及防火墻系統(tǒng)本身的安全性，以進一步發(fā)揮防火墻的隔離作用。方案的實現(xiàn)時間非常短暫，同時復雜的安全性問題經(jīng)常被忽略。 ? 防止來自網(wǎng)絡內部的其它破壞或誤操作造成的安全隱患。 ? 數(shù)據(jù)安全，保證各類服務器系統(tǒng)的整體安全性和可靠性。通過 漏洞掃描能夠發(fā)現(xiàn)網(wǎng)絡系統(tǒng)一些潛在的安全隱患，及時采取相應的措施；通過病毒防護體系可以保護系統(tǒng)免受病毒的攻擊；通過數(shù)據(jù)加密可以保證網(wǎng)絡中傳輸數(shù)據(jù)不被竊取、篡改和破壞；通過設置防火墻系統(tǒng)可以限制對關鍵資源的存取方式；通過網(wǎng)絡監(jiān)測可以發(fā)現(xiàn)、分析并阻塞黑客行為。 三．設計目標 鑒于業(yè)務系統(tǒng)的特殊性，信息的保密性又主要是由應用系統(tǒng)及相應支撐技術去解決，故網(wǎng)絡系統(tǒng)的安全性主要體現(xiàn)在保證信息的完整性和有效性方面。 （ 6）多重保護原則 任何安全保護