【正文】 .........................................105 結(jié)構(gòu) ................................................................................................................................106 良好的設(shè)計思路與結(jié)構(gòu) .....................................................................................................106 利用 eTrust Audit 建立有效的審計體系 .........................................................................107 功能與特點(diǎn) ....................................................................................................................108 跨平臺事件管理 .................................................................................................................109 基于主機(jī)的侵襲檢測 .........................................................................................................109 及時多樣的報警 .................................................................................................................1106. ETRUST 用戶與應(yīng)用安全 ........................................................................................................111 ETRUST SINGLE SIGN ON .........................................................................................................111 概念和原理 ....................................................................................................................111 為什么需要單點(diǎn)登錄 .........................................................................................................111 單點(diǎn)登錄產(chǎn)品的工作原理 .................................................................................................112 功能結(jié)構(gòu) ........................................................................................................................113 特點(diǎn)和優(yōu)勢 ....................................................................................................................116 ETRUST ADMIN ........................................................................................................................119 基本概念 ........................................................................................................................119 安全集中管理 .....................................................................................................................119 eTrust Admin............................................................................................................................120 工作原理 ........................................................................................................................121 現(xiàn)有策略的自動發(fā)現(xiàn) .........................................................................................................122 策略的制定 .........................................................................................................................122 策略的傳播 .........................................................................................................................123 功能與特點(diǎn) ....................................................................................................................124 主 要 特 性 .........................................................................................................................124 功 能 優(yōu) 勢 .........................................................................................................................1267. COMPUTER ASSOCIATES 信息安全服務(wù) ...........................................................................129 風(fēng)險評估 ............................................................................................................................129 政策、規(guī)程和方法 ..............................................................................................................130 安全框架設(shè)計 ....................................................................................................................131 安全解決方案的實(shí)施 ........................................................................................................132 培訓(xùn) ....................................................................................................................................133 內(nèi)部審計助理 ....................................................................................................................134 獨(dú)立的安全審計 ................................................................................................................1358. COMPUTER ASSOCIATES 為企業(yè)網(wǎng)絡(luò)計算環(huán)境提供全面的安全解決方案 ..................1374 / 1091. 計算機(jī)系統(tǒng)安全隱患每年我們都要在計算機(jī)系統(tǒng)上花費(fèi)上百萬美元建立與管理信息，這些信息用于商業(yè)決策、客戶服務(wù)和保持競爭力。但是你知不知道這些信息是否安全？簡單地用一張軟盤就可拷貝下你占有商業(yè)先機(jī)的信息，并且你可能從不會察覺信息已被偷走，直到競 爭對手把你的商業(yè)計劃作為他們自己的來宣布。這樣不同的信息安全需求，導(dǎo)致確保一個真正安全的、可 審計的系統(tǒng)非常困難。目前，計算機(jī)系統(tǒng)和信息安全問題是 IT 業(yè)最為關(guān)心和關(guān)注的焦點(diǎn)之一。由于受到內(nèi)部心懷不滿的職工安放的程序炸彈侵害，Omega Engineering 公司蒙受了價值 900 萬美元的銷售收入和合同損失，由于受到來自網(wǎng)絡(luò)的侵襲，Citibank 銀行被竊了 1000 萬美元，后來他們雖然追回了 750 萬美元損失，但卻因此失去了 7％的重要客戶，其聲譽(yù)受到了沉重打擊。據(jù)美國聯(lián)邦調(diào)查局估計，僅有 7％的入侵事件被報告了，而澳大利 亞聯(lián)邦警察局則認(rèn)為這個數(shù)字只有 5％。那么，為什么當(dāng)今信息系統(tǒng)中存在如此之多的安全隱患，安全問題如此突出呢？這是與計算機(jī)系統(tǒng)的發(fā)展、當(dāng)今流行系統(tǒng)的設(shè)計思路、當(dāng)前 IT 系統(tǒng)的使用5 / 109狀況緊密相關(guān)的。 從計算機(jī)系統(tǒng)的發(fā)展看安全問題安全問題如此突出和嚴(yán)重是與 IT 技術(shù)和環(huán)境的發(fā)展分不開的。 現(xiàn)在業(yè)務(wù)系 統(tǒng)大多是基于客戶/服務(wù)器模式和 Inter/Intra 網(wǎng)絡(luò)計算模式的分布式應(yīng)用，用 戶、程序和數(shù)據(jù)可能分布在世界的各個角落，給系統(tǒng)的安全管理造成了很大困難。在這樣一個分布式應(yīng)用的環(huán)境中，企業(yè)的數(shù)據(jù)庫服務(wù)器、電子郵件服務(wù)器、WWW 服務(wù)器、文件服務(wù)器、 應(yīng)用服務(wù)器等等每一個都是一個供人出入的“ 門戶”，只要有一個“ 門戶” 沒有完全保 護(hù)好－忘了上鎖或不很牢固，“黑客” 就會通過這道門進(jìn)入系統(tǒng)，竊取或破壞所有系統(tǒng)資源。 從計算機(jī)系統(tǒng)的特點(diǎn)看安全問題在現(xiàn)代典型的計算機(jī)系統(tǒng)中，大都采用 TCP/IP 作為 主要的網(wǎng)絡(luò)通訊協(xié)議，主要服務(wù)器為 UNIX 或 Windows NT 操作系統(tǒng)。系統(tǒng)之間 易于互聯(lián)和共享信息的設(shè)計思路貫穿與系統(tǒng)的方方面面，對訪問控制、用戶驗(yàn)證授權(quán)、實(shí)時和事后審計 等安全內(nèi)容考慮較少，只實(shí)現(xiàn)了基本安全控制功能，實(shí)現(xiàn)時還存在一些這樣那樣的漏洞。TCP/IP 的網(wǎng)絡(luò)結(jié)構(gòu)沒有集中的控制，每個節(jié)點(diǎn)的地址由自己配置，節(jié)點(diǎn)之間的路由可任意改變。IP 協(xié)議是一種無連接的通訊協(xié)議，無安全控制機(jī)制，存在各種各樣的攻擊手段。UNIX 操作系統(tǒng)更是以開放性著稱的，在安全性方面存在許多缺限。 雖然有的系統(tǒng)對上述內(nèi)容有一定程度的限制措施，但也需要復(fù)雜的配置過程，不同系統(tǒng)上配置方法也很不一致，實(shí)際 上無法全面有效地實(shí)施。用 戶可以寫某個文件，就能刪除它。如果對文件的控制權(quán)限擴(kuò)展到讀、寫、增加、 刪除、創(chuàng)建、執(zhí)行等多種，就可以防止惡意或無意的破壞發(fā)生。如一個用戶企圖多次訪問某敏感資源時，系 統(tǒng)無法采取強(qiáng)有力的措施處置，管理 員也很 難發(fā)現(xiàn)。另外，不同的 UNIX 及 UNIX 的不同版本在實(shí)現(xiàn)的過程中都會有這樣那樣的 BUG，其中許多 BUG 是與安全有關(guān)的。廠商在發(fā)現(xiàn)并修正 BUG后會把 PATCH 放在其公司站點(diǎn)上供用戶下載和安裝，但許多用戶沒有技術(shù)能力和精力理解、跟蹤這些 PATCH 并及時安裝。由于水平和精力所限，一般用戶環(huán)境中很難完成這樣精確的安全配置，經(jīng)常存在錯誤的配置，導(dǎo)致安全問題。而這些軟件往往存在一些安全漏洞或錯誤的安全配置，從而導(dǎo)致 root 權(quán)限被人竊取。才能使系統(tǒng)經(jīng)常處于安全的狀態(tài)。要加強(qiáng)系統(tǒng)的總體安全級別，不是安裝一個 產(chǎn)品或幾個功能單一的工具就能實(shí)現(xiàn)的，必須從網(wǎng)絡(luò)、計算機(jī)操作系統(tǒng)、應(yīng)用業(yè)務(wù)系統(tǒng)甚至系統(tǒng)安全管理 規(guī)范，使用人 員安全意識等各個層面統(tǒng)籌考慮。另外，來自內(nèi)部的攻擊