【正文】 安全解決方案 3 二、 PGP 加密與公用密鑰設(shè)備管理套件 ...................................................................... 35 三． CYBERCOP SCANNER 安全漏洞掃描器 .................................................................... 39 四、 CYBERCOP MONITOR 網(wǎng)絡(luò)入侵監(jiān)測(cè)工具 .............................................................. 40 五、 MCAFEE ACTIVE VIRUS DEFENSE 防病毒套件 .......................................................... 40 系統(tǒng)升級(jí)安全保障 ................................................................................................... 41 動(dòng)態(tài)的防病毒系統(tǒng) ................................................................................................... 41 多平臺(tái)支持 ............................................................................................................. 41 防病毒軟件的部署 ................................................................................................... 41 六、管理控制臺(tái) EPO(EPOLICY ORCHESTRATOR)............................................................. 42 七、分布式 SNIFFER 系統(tǒng) ............................................................................................ 43 分布式 SNIFFER 系統(tǒng)的用途： ..................................................................................... 44 便攜式 SNIFFER（ PORTABLE SNIFFER） ......................................................................... 45 使用 SNIFFER 網(wǎng)絡(luò)分析儀的好處 .................................................................................. 45 NAI 公司簡(jiǎn)介 ............................................................................................................... 33 泉州電信公司網(wǎng)絡(luò)安全解決方案 4 第一章 網(wǎng)絡(luò)信息安全體系概述 一．網(wǎng)絡(luò)安全的總體目標(biāo) 保密性：保證非授權(quán)操作不能獲取保護(hù)信息或計(jì)算機(jī)資源。 有效性：保證數(shù)據(jù)不受非授權(quán)操作的破壞。 2）來(lái)自網(wǎng)絡(luò)病毒的安全威脅 由于 Inter 的迅快 發(fā)展，將文件附加在電子郵件中的能力不斷提高以及世界對(duì)計(jì)算機(jī)的依賴程度不斷提高，使得病毒的擴(kuò)散速度也急驟提高，受感染的范圍越來(lái)越廣，據(jù) NCSA調(diào)查，在 1994 年中，只有約 20%的企業(yè)受到過(guò)病毒的攻擊，但是在 1997 年中，就有約 %的企業(yè)受到病毒的攻擊，也就是說(shuō)幾乎沒(méi)有那一家企業(yè)可以逃脫病毒的攻擊。同樣據(jù) NCSA 調(diào)查，在 1996年只有 21%的病毒是通過(guò)電子郵件，服務(wù)器或 Inter 下載來(lái)感染的，但到 1997 年，這一比例就達(dá)到 52%。 4）應(yīng)用程序的安全性 許多應(yīng)用服務(wù)系統(tǒng)在訪問(wèn)控制及安全通訊方面考慮較少，并且，如果系統(tǒng)設(shè)置錯(cuò)誤，很泉州電信公司網(wǎng)絡(luò)安全解決方案 5 容易造成損失；同時(shí)對(duì)付惡意攻擊方面也顯得束手無(wú)策。 6）網(wǎng)絡(luò)安全產(chǎn)品自身的安全性 防病毒產(chǎn)品是否能實(shí)時(shí)、有效地阻止現(xiàn)有各種病毒，病毒特征碼庫(kù)是否能及時(shí)地更新 ，有無(wú)網(wǎng)關(guān)防病毒產(chǎn)品；防火墻產(chǎn)品的實(shí)現(xiàn)本身是否存在安全漏洞，防火墻的安全策略配置是否有問(wèn)題等都成為網(wǎng)絡(luò)安全要考慮的范疇。通過(guò)網(wǎng)絡(luò)掃描，可以了解網(wǎng)絡(luò)的安全配置和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)安全漏洞，客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)，更正網(wǎng)絡(luò)系統(tǒng)中的錯(cuò)誤配置。從 PC 桌面機(jī)、服務(wù)器、到各類網(wǎng)關(guān)，都有可能成為病毒的入口，因此有必要采用多層病毒防護(hù)體系來(lái)防止網(wǎng)絡(luò)上病毒的入侵。 (4) 對(duì)付來(lái)自外部惡意攻擊 TCP/IP 的靈活設(shè)計(jì)和 INTERNET 的普遍應(yīng)用為網(wǎng)絡(luò)黑客技術(shù)的發(fā)展提供了基礎(chǔ)， 黑客技術(shù)很容易被別有用心或喜歡炫耀的人們掌握，由此黑客數(shù)量劇增。本著經(jīng)濟(jì)、高效的原則，有必要將關(guān)鍵主機(jī)和關(guān)鍵網(wǎng)段用防火墻隔離，以實(shí)現(xiàn)對(duì)系統(tǒng)的訪問(wèn)控制和安全的集中管理。采用入侵檢測(cè)系統(tǒng)，可提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如記錄入侵證據(jù)、斷開(kāi)網(wǎng)絡(luò)連接等。對(duì)一個(gè)網(wǎng)絡(luò)要進(jìn)行實(shí)際分析，對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。 （ 2） 綜合性、整體性原則 運(yùn)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全問(wèn)題，并制定具體措施。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等環(huán)節(jié)。 （ 3）一致性原則 這主要是指網(wǎng)絡(luò)安全問(wèn)題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期（或生命周期）同時(shí)存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。 物 理 實(shí) 體 安 全 企業(yè)安全策略 用戶責(zé)任 病毒 防治 保密 教育 信息 安全 信息 服務(wù) 操作 系統(tǒng) 計(jì)算機(jī)網(wǎng)絡(luò)安全 泉州電信公司網(wǎng)絡(luò)安全解決方案 7 （ 4）易操作性原則 安全措施要由人來(lái)完成，如果措施過(guò)于復(fù)雜，對(duì)人的要求過(guò)高，本身就降低了安全性。 （ 5）適應(yīng)性、靈活性原則 安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。 信息的完整性是與網(wǎng)絡(luò)系統(tǒng)的完整性相關(guān)，信息的有效性保障則要運(yùn)用綜合的安全手段。這樣可達(dá)到如下的目標(biāo)： ? 訪問(wèn)控制，確保服務(wù)器不被非法訪問(wèn)。 ? 入侵檢測(cè)，對(duì)于試圖破壞業(yè)務(wù)系統(tǒng)的惡意行為進(jìn)行實(shí)時(shí)檢測(cè)、跟蹤、記錄和阻止。 四．解決方案 1．即 時(shí)提供網(wǎng)絡(luò)系統(tǒng)的安全評(píng)估 隨著用不斷追加新系統(tǒng)和服務(wù)項(xiàng)目的方法來(lái)滿足拓展業(yè)務(wù)的需求，網(wǎng)絡(luò)正以驚人的速度發(fā)展。如何尋找到網(wǎng)絡(luò)脆弱性數(shù)據(jù)，怎樣測(cè)量你的安全性預(yù)算并決定用于安全環(huán)境的工作量，網(wǎng)絡(luò)漏洞掃描產(chǎn)品可以解決這些問(wèn)題。 我們選擇 NAI 公司的 CyberCop Scanner 作為網(wǎng)絡(luò)漏洞掃描產(chǎn)品，安裝在關(guān)鍵網(wǎng)段上一臺(tái) NT 服務(wù)器上，發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中的安全漏洞，保證網(wǎng)絡(luò)安全的完整性；它掃描和測(cè)試確定存在的可被黑客利用的網(wǎng)絡(luò)薄弱環(huán)節(jié)，評(píng)估企業(yè)內(nèi)部網(wǎng)絡(luò)、服務(wù)器、防火墻和路由器，提供綜合的審計(jì)。 泉州電信公司網(wǎng)絡(luò)安全解決方案 8 2．綜合建立多層的病毒防護(hù)體系 系統(tǒng)為了免受來(lái)自于多方面的病毒威脅，建議采用多層的病毒防衛(wèi)體系。 我們選擇 NAI 公司的 McAfee Active Virus Defense 防病毒套件作為整個(gè)網(wǎng)絡(luò)的防病毒工具。 VirusScan ：為全球領(lǐng)先的桌面防病毒產(chǎn)品，可運(yùn)行在 DOS、 Windows 、 Windows 95/98/2020 PRO、 Windows NT 、 Mac 和 OS/2 等平臺(tái)上。因此，基于服務(wù)器的病毒保護(hù)已成為當(dāng)務(wù)之急。系統(tǒng)管理員可以從單獨(dú)的直觀控制臺(tái)上遠(yuǎn)程管理這些服務(wù)器平臺(tái)。（ Netware， Windows NT/2020 服務(wù)器和高級(jí)服務(wù)器版 ， UNIX）； GroupShield：群件服務(wù)器的防病毒方案（ Microsoft Exchange、 Lotus Notes/Domino(含 和 AIX 平臺(tái)）； SecureCast:：自動(dòng)將病毒更新的信息發(fā)布到 Inter 上； Net Tools Console：提供集中的管理、分發(fā)和警告功能。 McAfee AVD 套件中 Inter Security Suite 在網(wǎng)關(guān)上可以提供全面的病毒防衛(wèi)系統(tǒng)，封鎖病毒所有可能的進(jìn)入點(diǎn)。 泉州電信公司網(wǎng)絡(luò)安全解決方案 9 它可以作到： WebShield SMTP：可以掃描全部收發(fā)的電子郵件； WebShield Proxy：可以掃描代理服務(wù)器和網(wǎng)絡(luò)協(xié)議，如 HTTP， SMTP， FTP 等； SecureCast：自動(dòng)將病毒更新的信息發(fā)布到 Inter 上； Net Tools Console：提供集中的管理、分發(fā)和警告功能。 B． 故障定位及排除 目前網(wǎng)絡(luò)應(yīng)用（如數(shù)據(jù)庫(kù)查詢）的響應(yīng)時(shí)間過(guò)長(zhǎng)，而本網(wǎng)絡(luò)系統(tǒng)涉及到系統(tǒng)、設(shè)備、應(yīng)用等多個(gè)層面，因此如何將性能或故障等方面的問(wèn)題準(zhǔn)確定位在涉及到（線路、設(shè)備、服務(wù)器、操作系統(tǒng)、電子郵件）的具體位置，是本系統(tǒng)提供的基本功能。 D． 優(yōu)化性能 通過(guò)對(duì)線路和其他系統(tǒng)進(jìn)行可視化管理，利用管理系統(tǒng)提供的專家系統(tǒng)對(duì)系統(tǒng)的性能進(jìn)行優(yōu)化。 對(duì)網(wǎng)絡(luò)系統(tǒng)整體的運(yùn)行情況作出長(zhǎng)期的健康和趨勢(shì)報(bào)告，分析系統(tǒng)的使用情況，對(duì)新系統(tǒng)的規(guī)劃提供科學(xué)的參考依據(jù)。是一個(gè)很好的追查黑客來(lái)源的工具，同時(shí)分散黑客攻擊目標(biāo)，給黑客攻擊網(wǎng)絡(luò)系統(tǒng)添加難度。 Gauntlet 防火墻的主要功能和優(yōu)點(diǎn)有： ? 基于應(yīng)用層網(wǎng)關(guān)，沒(méi)有內(nèi)外網(wǎng)絡(luò)的直接連接，具備比包過(guò)濾防火墻更高的安全性。 ? 采用集中式策略管理，在整個(gè)事件管理系統(tǒng)中的事件可相互通風(fēng)。 ? 提供對(duì)協(xié)議的過(guò)濾，如可以禁止 FTP 連接的 Put 命令、 cd 命令、 rm 命令等。 ? 簡(jiǎn)化靈活的過(guò)濾規(guī)則，路由器只需通過(guò)到達(dá)應(yīng)用網(wǎng)關(guān)的包并拒絕其余的包通過(guò)。 ? 多個(gè)防火墻之間可形成 GVPN，為將來(lái)開(kāi)發(fā)的 Intra 建立可信賴的連接。 ? 支持各種主流數(shù)據(jù)庫(kù)，如 Oracel,Sybase,SQL 等。 ? 健壯的認(rèn)證和日志。 可以看出， Gauntlet 防火墻的安全特性遠(yuǎn)比其他類型的防火墻高，能有效地防止外來(lái)的入侵，控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包，提供使用和流量的日志和審計(jì)，隱藏內(nèi)部 IP 地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)，提供 VPN 功能等，但是也有防火墻自身的局限性：不能提供完全的網(wǎng)絡(luò)安 全性，如不能停止所有外部入侵，不能終止有經(jīng)驗(yàn)的黑客， 因此，系統(tǒng)還應(yīng)該具備防病毒和防黑客的功能。 在未安裝防火墻之前，公司的內(nèi)部網(wǎng)絡(luò)和關(guān)鍵主機(jī) 97server 與資費(fèi)主機(jī)系統(tǒng)與資費(fèi)主機(jī)系統(tǒng)直接暴露在黑客和病毒的攻擊之下，具有相當(dāng)?shù)奈ｋU(xiǎn)性。在公司內(nèi)部網(wǎng)絡(luò)和關(guān)鍵主機(jī) 97server 與資費(fèi)主機(jī)系統(tǒng)或?qū)ν夤荚L問(wèn)的機(jī)器在受到攻擊時(shí)不能提供受攻擊時(shí)的報(bào)警或比較詳細(xì)的日志。同時(shí)我們根據(jù)對(duì)泉州電信的拓?fù)鋱D分析所知，同樣在未安裝防火墻之前 對(duì)專用網(wǎng)的用戶 (DDN 用戶、 E1 用戶、省局WAN 用戶、市話網(wǎng)用戶、 ATM 用戶 )不能作到防患，不能禁止專用網(wǎng)另一端用戶的非授權(quán)訪問(wèn)和攻擊。（大致原理圖） 泉州電信公司網(wǎng)絡(luò)安全解決方案 12 三、防火墻的安裝平臺(tái)要求 如果是 For NT,可以采用高性能 Intel X86 服務(wù)器，每臺(tái) Guantlet 防火墻的硬件平臺(tái)的基本配置如下： PIII500 以上 CPU,128Mb或 256Mb 內(nèi)存， 2 到 3 塊網(wǎng)卡，最好每塊網(wǎng)卡不同類型 ，便于區(qū)分不同的網(wǎng)段， 2G 左右硬盤（如流量大的話，需加大硬盤）， VGA 顯卡 (800*600)分辨率 (4M以上 )。 如果采用 NAI 公司的硬件防火墻 EPpliancer 的話，可以采用 EPpliance320，其配置如下： Sun Netra1， SPARC360M CPU， 320M 內(nèi)存， 9G scsi 硬盤， 6 接口網(wǎng)卡?？梢赃_(dá)到對(duì)泉州電信網(wǎng)絡(luò)內(nèi)部的各個(gè)子網(wǎng)的安全防護(hù)和對(duì)九七主機(jī)群和資費(fèi)主機(jī)群等關(guān)鍵服務(wù)器的安全防護(hù)。同時(shí)不對(duì) Inter 外部網(wǎng)開(kāi)通對(duì)內(nèi)部網(wǎng)訪問(wèn)權(quán)限。同樣去數(shù)據(jù)局的 Guantlet 防火墻配置為雙方所必須的服務(wù)或通 訊端口號(hào)，禁止與業(yè)務(wù)無(wú)關(guān)的服務(wù)。在和省局相連的縱向網(wǎng) WAN 即 CISCO 7507 之后部署 NAI Gauntlet 防火墻，防止來(lái)自省局員工或其它地市分局的電信職工通過(guò)九七縱向網(wǎng)絡(luò)入侵和攻擊 97 主機(jī)群。 泉州電信公司網(wǎng)絡(luò)安全解決方案 15 第四章 個(gè)人電腦安全與數(shù)據(jù)加密部署方案 一、方案描述 在商 業(yè)秘密領(lǐng)域，每個(gè)重要機(jī)構(gòu)都將擁有自己的計(jì)算機(jī)網(wǎng)絡(luò)，他們不希望自己在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)被一些黑客進(jìn)行非法的篡改，由于信道的開(kāi)放性，一個(gè)成功地對(duì)信道進(jìn)行竊聽(tīng)的入侵者將能再不被覺(jué)察的情況下，對(duì)電子郵件的信息進(jìn)行