【正文】 能力；? 能夠防范來自 Inter 的包括：? 利用 Http 應(yīng)用，通過 Java Applet、ActiveX 以及 Java Script 形式；? 利用 Ftp 應(yīng)用，通過文件傳輸形式；提供您高質(zhì)量的系統(tǒng)集成類方案與資料系統(tǒng)集成方案大全? 利用 SMTP 應(yīng)用，通過對郵件分析及利用附件所造成的信息泄漏和有害信息對于 XXX 責(zé)任有限公司網(wǎng)絡(luò)的侵害；? 對網(wǎng)絡(luò)安全事件的審計；? 對于網(wǎng)絡(luò)安全狀態(tài)的量化評估；? 對網(wǎng)絡(luò)安全狀態(tài)的實時監(jiān)控；? 防范來自 Inter 的網(wǎng)絡(luò)入侵和攻擊行為的發(fā)生，并能夠做到：? 對網(wǎng)絡(luò)入侵和攻擊的實時鑒別；? 對網(wǎng)絡(luò)入侵和攻擊的預(yù)警；? 對網(wǎng)絡(luò)入侵和攻擊的阻斷與記錄；其次，對于 XXX 責(zé)任有限公司網(wǎng)絡(luò)內(nèi)部同樣存在網(wǎng)絡(luò)層的安全需求，包括：? XXX 責(zé)任有限公司網(wǎng)絡(luò)與下級分支機構(gòu)網(wǎng)絡(luò)之間建立連接控制手段，對集團網(wǎng)絡(luò)網(wǎng)提供高于網(wǎng)絡(luò)邊界更高的安全保護。依據(jù)網(wǎng)絡(luò)安全分層理論，根據(jù) ISO 七層網(wǎng)絡(luò)協(xié)議，在不同層次上，相應(yīng)的安全需求和安全目標的實現(xiàn)手段各不相同，主要是針對在不同層次上安全技術(shù)實現(xiàn)而定。(2) 基于系統(tǒng)的安全監(jiān)控系統(tǒng)。 操作系統(tǒng)安全 市場上幾乎所有的操作系統(tǒng)均已發(fā)現(xiàn)有安全漏洞，并且越流行的操作系統(tǒng)提供您高質(zhì)量的系統(tǒng)集成類方案與資料系統(tǒng)集成方案大全發(fā)現(xiàn)的問題越多。 (3) 該郵件服務(wù)器作為專門的應(yīng)用服務(wù)器，不運行任何其它業(yè)務(wù)(切斷與內(nèi)部網(wǎng)的通訊)。所有出入的電子郵件均通過該中轉(zhuǎn)站中轉(zhuǎn)。由于電子郵件系統(tǒng)的復(fù)雜性，其被發(fā)現(xiàn)的安全漏洞非常多，并且危害很大。 (7) 小心設(shè)置 Web 服務(wù)器的訪問控制表。如新的 CGI 應(yīng)用。 (4) 經(jīng)常審查 Web 服務(wù)器配置情況及運行日志。 (2) 在 Web 服務(wù)器上安裝實時安全監(jiān)控軟件。 但 Web 服務(wù)器越來越復(fù)雜，其被發(fā)現(xiàn)的安全漏洞越來越多。由于其重要性，成為Hacker 攻擊的首選目標之一。 (3) 對付 DenialofService 攻擊，應(yīng)設(shè)計備份域名服務(wù)器。主要的措施有： (1) 內(nèi)部網(wǎng)和外部網(wǎng)使用不同的域名服務(wù)器，隱藏內(nèi)部網(wǎng)絡(luò)信息。如由于 DNS 查詢使用無連接的 UDP 協(xié)議，利用可預(yù)測的查詢 ID 可欺騙域名服務(wù)器給出錯誤的主機名IP 對應(yīng)關(guān)系。 但是，域名服務(wù)通常為 hacker 提供了入侵網(wǎng)絡(luò)的有用信息，如服務(wù)器的IP、操作系統(tǒng)信息、推導(dǎo)出可能的網(wǎng)絡(luò)結(jié)構(gòu)等。域名服務(wù) Inter 域名服務(wù)為 Inter/Intra 應(yīng)用提供了極大的靈活性。八. 應(yīng)用系統(tǒng)的安全技術(shù) 由于應(yīng)用系統(tǒng)的復(fù)雜性，有關(guān)應(yīng)用平臺的安全問題是整個安全體系中最復(fù)雜的部分。 在為遠程撥號服務(wù)的 Client 端，也能夠?qū)崿F(xiàn) Ipsec 的客戶端，為撥號用戶提供加密網(wǎng)絡(luò)通訊。 ISAKMP/Oakley 使用 數(shù)字證書，因此，使 VPN 能夠容易地擴大到企業(yè)級。 Ipsec transport：對 IP 包內(nèi)的數(shù)據(jù)進行加密，使用原來的源地址和目的地址。 Ipsec 提供了兩種加密通訊手段： Ipsec Tunnel：整個 IP 封裝在 Ipsec 報文。 Ipsec 包含兩個部分： (1) IP security Protocol proper，定義 Ipsec 報文格式。該標準為每個 IP 包增加了新的包頭格式，Authentication Header(AH)及 encapsualting security payload(ESP)。IPSEC IPSec 作為在 IP v4 及 IP v6 上的加密通訊框架，已為大多數(shù)廠商所支持，預(yù)計在 1998 年將確定為 IETF 標準，是 VPN 實現(xiàn)的 Inter 標準。提供您高質(zhì)量的系統(tǒng)集成類方案與資料系統(tǒng)集成方案大全 類 型 技 術(shù) 用 途基本會話密鑰 DES 加密通訊加密密鑰 DeffHellman 生成會話密鑰認證密鑰 RSA 驗證加密密鑰表 1 加密模式使用的密鑰技術(shù) 基于此種加密模式，需要管理的密鑰數(shù)目與通訊者的數(shù)量為線性關(guān)系。 通訊雙方通過 DiffieHellman 密鑰系統(tǒng)安全地獲取共享的保密密鑰，并使用該密鑰對消息加密。偽造數(shù)字簽名從計算能力上是不可行的。公共密鑰系統(tǒng)(如 RSA)基于私有/公共密鑰對，作為驗證發(fā)送者身份和消息完整性的根據(jù)。通訊主體真實性確認網(wǎng)絡(luò)上的計算機不被假冒。 完整的集成化的企業(yè)范圍的 VPN 安全解決方案，提供在 INTERNET 上安全的雙向通訊，以及透明的加密方案以保證數(shù)據(jù)的完整性和保密性。企業(yè)網(wǎng)絡(luò)接入到 inter，暴露出兩個主要危險：來自 inter 的未經(jīng)授權(quán)的對企業(yè)內(nèi)部網(wǎng)的存取。我們將利用公共網(wǎng)絡(luò)實現(xiàn)的私用網(wǎng)絡(luò)稱為虛擬私用網(wǎng)(VPN)。 該種認證方法安全程度很高，但是涉及到比較繁重的證書管理任務(wù)。后面描述了基于 PKI 認證的基本原理。 基于 PKI 的認證 使用公開密鑰體系進行認證和加密。 使用摘要算法的認證 Radius(撥號認證協(xié)議)、路由協(xié)議(OSPF)、SNMP Security Protocol 等均使用共享的 Security Key，加上摘要算法(MD5)進行認證，由于摘要算法是一個不可逆的過程，因此，在認證過程中，由摘要信息不能計算出共享的security key，敏感信息不在網(wǎng)絡(luò)上傳輸。通常，加密可使用對稱加密、不對稱加密及兩種加密方法的混合。 (2) 基于 PKI 的電子郵件及交易(通過 Web 進行的交易)的不可抵賴記錄。 (7) 電子郵件通訊雙方的認證。 (5) 撥號訪問服務(wù)器與客戶間的認證。 (3) 網(wǎng)管系統(tǒng)對網(wǎng)管設(shè)備之間的認證。 (2) 操作系統(tǒng)認證。六. 認證和數(shù)宇簽名技術(shù) 認證技術(shù)主要解決網(wǎng)絡(luò)通訊過程中通訊雙方的身份認可，數(shù)字簽名作為身提供您高質(zhì)量的系統(tǒng)集成類方案與資料系統(tǒng)集成方案大全份認證技術(shù)中的一種具體技術(shù)，同時數(shù)字簽名還可用于通信過程中的不可抵賴要求的實現(xiàn)。提供該項產(chǎn)品的廠商應(yīng)盡快給出新發(fā)現(xiàn)的安生漏洞掃描特性升級，并給出相應(yīng)的改進建議。 (5) 報告，掃描器應(yīng)該能夠給出清楚的安全漏洞報告。通常提供強大的工具構(gòu)造特定的攻擊方法。 (3) 能夠發(fā)現(xiàn)的漏洞數(shù)量。 (2) 網(wǎng)絡(luò)拓撲。網(wǎng)絡(luò)安全掃描的主要性能應(yīng)該考慮以下方面： (1) 速度。 基于網(wǎng)絡(luò)的安全掃描主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的服務(wù)器、路由器、網(wǎng)橋、變換機、訪問服務(wù)器、防火墻等設(shè)備的安全漏洞，并可設(shè)定模擬攻擊，以測試系統(tǒng)的防御能力。 基于服務(wù)器的掃描器主要掃描服務(wù)器相關(guān)的安全漏洞，如 password 文件，目錄和文件權(quán)限，共享文件系統(tǒng)，敏感服務(wù)，軟件，系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法建議。商品化的安全掃描工具為網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn)提供了強大的支持。安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)互相配合能夠提供很高安全性的網(wǎng)絡(luò)。 (5) 模式更新速度。 (3) 自身安全的完備性。 選擇入侵監(jiān)視系統(tǒng)的要點是： (1) 協(xié)議分析及檢測能力。 基于主機及網(wǎng)絡(luò)的入侵監(jiān)控系統(tǒng)通常均可配置為分布式模式： (1) 在需要監(jiān)視的服務(wù)器上安裝監(jiān)視模塊(agent)，分別向管理服務(wù)器報告及上傳證據(jù)，提供跨平臺的入侵監(jiān)視解決方案。 (5) 防入侵欺騙的能力較差。 (3) 監(jiān)視粒度更細致。 基于網(wǎng)絡(luò)的安全監(jiān)控系統(tǒng)具備如下特點： (1) 能夠監(jiān)視經(jīng)過本網(wǎng)段的任何活動。 (4) 針對不同操作系統(tǒng)特點。 (2) 高級，可以判斷應(yīng)用層的入侵事件。 (4) Storage 保存分析結(jié)果及相關(guān)數(shù)據(jù)。 (2) PatternMatching Signature Analysis 根據(jù)協(xié)議分析器的結(jié)果匹配 Ether(., store contentsof connectiondisk)(., close connection)Countermeasure(C) Box(.,detection of“phf”stringin session)PatternMatchingSignatureAnalysisStorage (D) Box (, TCP Stream reconstruction)PassiveProtocolAnalysis提供您高質(zhì)量的系統(tǒng)集成類方案與資料系統(tǒng)集成方案大全入侵特征，結(jié)果傳送給 Countermeasure 部分。 入侵檢測系統(tǒng)可分為兩類：提供您高質(zhì)量的系統(tǒng)集成類方案與資料系統(tǒng)集成方案大全√ 基于主機 √ 基于網(wǎng)絡(luò) 基于主機的入侵檢測系統(tǒng)用于保護關(guān)鍵應(yīng)用的服務(wù)器，實時監(jiān)視可疑的連接、系統(tǒng)日志檢查，非法訪問的闖入等，并且提供對典型應(yīng)用的監(jiān)視如 Web 服務(wù)器應(yīng)用。 入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是提供實時的入侵檢測及采取相應(yīng)的防護手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。 (2) 入侵者可能就在防火墻內(nèi)。四. 入侵檢測技術(shù) 利用防火墻技術(shù)，經(jīng)過仔細的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護，降低了網(wǎng)絡(luò)安全風(fēng)險。 病毒數(shù)據(jù)庫應(yīng)不斷更新，并下發(fā)到桌面系統(tǒng)。 使用防病毒軟件檢查和清除病毒。在桌面 PC 安裝病毒監(jiān)控軟件。 病毒防護的主要技術(shù)如下： (1) 阻止病毒的傳播。 (3) 通過 Web 游覽傳播，主要是惡意的 Java 控件網(wǎng)站。 我們將病毒的途徑分為：提供您高質(zhì)量的系統(tǒng)集成類方案與資料系統(tǒng)集成方案大全 (1 ) 通過 FTP，電子郵件傳播。 (2) 抗攻擊能力：對典型攻擊的防御能力 (3) 性能：是否能夠提供足夠的網(wǎng)絡(luò)吞吐能力 (4) 自我完備能力：自身的安全性，F(xiàn)ailclose (5) 可管理能力：是否支持 SNMP 網(wǎng)管 (6) VPN 支持 (7) 認證和加密特性(8) 服務(wù)的類型和原理(9)網(wǎng)絡(luò)地址轉(zhuǎn)換能力三. 病毒防護技術(shù) 病毒歷來是信息系統(tǒng)安全的主要問題之一。 √ Firewall 依賴的操作系統(tǒng)應(yīng)及時地升級以彌補安全漏洞。 √ 如果 Firewall 需要通用的操作系統(tǒng)，必須保證使用的操作系統(tǒng)安裝了所有己知的安全漏洞 Patch。 √ Firewall 可支持對撥號接入的集中管理和過濾。 √ Firewall 應(yīng)該支持集中的 SMTP 處理，減少內(nèi)部網(wǎng)和遠程系統(tǒng)的直接連接。 √ Firewall 應(yīng)該為 FTP、TELNET 提供代理服務(wù)，以提供增強和集中的認證管理機制。 √ Firewall 應(yīng)該使用過濾技術(shù)以允許或拒絕對特定主機的訪問。 √ Firewall 必須是靈活的，以適應(yīng)新的服務(wù)和機構(gòu)智能改變帶來的安全策略的改變。 Firewall 系統(tǒng)的基本特征 √ Firewall 必須支持．“禁止任何服務(wù)除非被明確允許”的設(shè)計策略。 √ 為 Information server 定義折中的安全策略允許提供公共服務(wù)。 Information Server 策略 √ 公共信息服務(wù)器的安全必須集成到 Firewall 中?！　苋?撥出策略　　√ 撥入/撥出能力必須在設(shè)計 Firewall 時進行考慮和集成。 √ PPP/SLIP 連接必須通過 Firewall 認證。 √ 機構(gòu)面臨的風(fēng)險并非是靜態(tài)的，機構(gòu)職能轉(zhuǎn)變、網(wǎng)絡(luò)設(shè)置改變都有可能改變風(fēng)險。 策略的靈活性 Inter 相關(guān)的網(wǎng)絡(luò)安全策略總的來說，應(yīng)該保持一定的靈活性，主要有以下原因： √ Inter 自身發(fā)展非?？?，機構(gòu)可能需要不斷使用 Inter 提供的新服務(wù)開展業(yè)務(wù)。 √ 提供以上服務(wù)和訪問的風(fēng)險。 建設(shè) Firewall 的原則 分析安全和服務(wù)需求 以下問題有助于分析安全和服務(wù)需求： √ 計劃使用哪些 Inter 服務(wù)(如 ，ftp，gopher)，從何處使用Inter 服務(wù)(本地網(wǎng)，撥號，遠程辦公室)。Stateful 防火墻 該類防火墻綜合了包過濾防火墻及應(yīng)用網(wǎng)關(guān)的特性?！?應(yīng)用網(wǎng)關(guān)可能被攻擊。 √ 有時需要對客戶軟件進行修改。 √ 簡化和靈活的過濾規(guī)則，路由器只需簡單地通過到達應(yīng)用網(wǎng)關(guān)的包并拒絕其余的包通過。提供您高質(zhì)量的系統(tǒng)集成類方案與資料系統(tǒng)集成方案大全 √ 健壯的認證和日志。 √ 提供對協(xié)議的過濾，如可以禁止 FTP 連接的 Put 命令。應(yīng)用網(wǎng)關(guān)和包過濾器混合使用能提供比單獨使用應(yīng)用網(wǎng)關(guān)和包過濾器更高的安全性和更大的靈活性。應(yīng)用網(wǎng)關(guān) 為了解決包過濾路由器的弱點，F(xiàn)irewall 要求使用軟件應(yīng)用來過濾和傳送服務(wù)連接（如 Tel 和 Ftp)。 √ 對許多 RPC(Remoute Procedure Call 服務(wù)進行包過濾非常困難。如 SMTP 連接源端口是隨機產(chǎn)生的(1023)，此時如果允許雙向的 SMTP 連接，在不支持源端口過濾的路由器