【正文】 .........................................105 結構 ................................................................................................................................106 良好的設計思路與結構 .....................................................................................................106 利用 eTrust Audit 建立有效的審計體系 .........................................................................107 功能與特點 ....................................................................................................................108 跨平臺事件管理 .................................................................................................................109 基于主機的侵襲檢測 .........................................................................................................109 及時多樣的報警 .................................................................................................................1106. ETRUST 用戶與應用安全 ........................................................................................................111 ETRUST SINGLE SIGN ON .........................................................................................................111 概念和原理 ....................................................................................................................111 為什么需要單點登錄 .........................................................................................................111 單點登錄產(chǎn)品的工作原理 .................................................................................................112 功能結構 ........................................................................................................................113 特點和優(yōu)勢 ....................................................................................................................116 ETRUST ADMIN ........................................................................................................................119 基本概念 ........................................................................................................................119 安全集中管理 .....................................................................................................................119 eTrust Admin............................................................................................................................120 工作原理 ........................................................................................................................121 現(xiàn)有策略的自動發(fā)現(xiàn) .........................................................................................................122 策略的制定 .........................................................................................................................122 策略的傳播 .........................................................................................................................123 功能與特點 ....................................................................................................................124 主 要 特 性 .........................................................................................................................124 功 能 優(yōu) 勢 .........................................................................................................................1267. COMPUTER ASSOCIATES 信息安全服務 ...........................................................................129 風險評估 ............................................................................................................................129 政策、規(guī)程和方法 ..............................................................................................................130 安全框架設計 ....................................................................................................................131 安全解決方案的實施 ........................................................................................................132 培訓 ....................................................................................................................................133 內部審計助理 ....................................................................................................................134 獨立的安全審計 ................................................................................................................1358. COMPUTER ASSOCIATES 為企業(yè)網(wǎng)絡計算環(huán)境提供全面的安全解決方案 ..................1374 / 1091. 計算機系統(tǒng)安全隱患每年我們都要在計算機系統(tǒng)上花費上百萬美元建立與管理信息，這些信息用于商業(yè)決策、客戶服務和保持競爭力。但是你知不知道這些信息是否安全？簡單地用一張軟盤就可拷貝下你占有商業(yè)先機的信息，并且你可能從不會察覺信息已被偷走，直到競 爭對手把你的商業(yè)計劃作為他們自己的來宣布。這樣不同的信息安全需求，導致確保一個真正安全的、可 審計的系統(tǒng)非常困難。目前，計算機系統(tǒng)和信息安全問題是 IT 業(yè)最為關心和關注的焦點之一。由于受到內部心懷不滿的職工安放的程序炸彈侵害，Omega Engineering 公司蒙受了價值 900 萬美元的銷售收入和合同損失，由于受到來自網(wǎng)絡的侵襲，Citibank 銀行被竊了 1000 萬美元，后來他們雖然追回了 750 萬美元損失，但卻因此失去了 7％的重要客戶，其聲譽受到了沉重打擊。據(jù)美國聯(lián)邦調查局估計，僅有 7％的入侵事件被報告了，而澳大利 亞聯(lián)邦警察局則認為這個數(shù)字只有 5％。那么，為什么當今信息系統(tǒng)中存在如此之多的安全隱患，安全問題如此突出呢？這是與計算機系統(tǒng)的發(fā)展、當今流行系統(tǒng)的設計思路、當前 IT 系統(tǒng)的使用5 / 109狀況緊密相關的。 從計算機系統(tǒng)的發(fā)展看安全問題安全問題如此突出和嚴重是與 IT 技術和環(huán)境的發(fā)展分不開的。 現(xiàn)在業(yè)務系 統(tǒng)大多是基于客戶/服務器模式和 Inter/Intra 網(wǎng)絡計算模式的分布式應用，用 戶、程序和數(shù)據(jù)可能分布在世界的各個角落，給系統(tǒng)的安全管理造成了很大困難。在這樣一個分布式應用的環(huán)境中，企業(yè)的數(shù)據(jù)庫服務器、電子郵件服務器、WWW 服務器、文件服務器、 應用服務器等等每一個都是一個供人出入的“ 門戶”，只要有一個“ 門戶” 沒有完全保 護好－忘了上鎖或不很牢固，“黑客” 就會通過這道門進入系統(tǒng)，竊取或破壞所有系統(tǒng)資源。 從計算機系統(tǒng)的特點看安全問題在現(xiàn)代典型的計算機系統(tǒng)中，大都采用 TCP/IP 作為 主要的網(wǎng)絡通訊協(xié)議，主要服務器為 UNIX 或 Windows NT 操作系統(tǒng)。系統(tǒng)之間 易于互聯(lián)和共享信息的設計思路貫穿與系統(tǒng)的方方面面，對訪問控制、用戶驗證授權、實時和事后審計 等安全內容考慮較少，只實現(xiàn)了基本安全控制功能，實現(xiàn)時還存在一些這樣那樣的漏洞。TCP/IP 的網(wǎng)絡結構沒有集中的控制，每個節(jié)點的地址由自己配置，節(jié)點之間的路由可任意改變。IP 協(xié)議是一種無連接的通訊協(xié)議，無安全控制機制，存在各種各樣的攻擊手段。UNIX 操作系統(tǒng)更是以開放性著稱的，在安全性方面存在許多缺限。 雖然有的系統(tǒng)對上述內容有一定程度的限制措施，但也需要復雜的配置過程，不同系統(tǒng)上配置方法也很不一致，實際 上無法全面有效地實施。用 戶可以寫某個文件，就能刪除它。如果對文件的控制權限擴展到讀、寫、增加、 刪除、創(chuàng)建、執(zhí)行等多種，就可以防止惡意或無意的破壞發(fā)生。如一個用戶企圖多次訪問某敏感資源時，系 統(tǒng)無法采取強有力的措施處置，管理 員也很 難發(fā)現(xiàn)。另外，不同的 UNIX 及 UNIX 的不同版本在實現(xiàn)的過程中都會有這樣那樣的 BUG，其中許多 BUG 是與安全有關的。廠商在發(fā)現(xiàn)并修正 BUG后會把 PATCH 放在其公司站點上供用戶下載和安裝，但許多用戶沒有技術能力和精力理解、跟蹤這些 PATCH 并及時安裝。由于水平和精力所限，一般用戶環(huán)境中很難完成這樣精確的安全配置，經(jīng)常存在錯誤的配置，導致安全問題。而這些軟件往往存在一些安全漏洞或錯誤的安全配置，從而導致 root 權限被人竊取。才能使系統(tǒng)經(jīng)常處于安全的狀態(tài)。要加強系統(tǒng)的總體安全級別，不是安裝一個 產(chǎn)品或幾個功能單一的工具就能實現(xiàn)的，必須從網(wǎng)絡、計算機操作系統(tǒng)、應用業(yè)務系統(tǒng)甚至系統(tǒng)安全管理 規(guī)范，使用人 員安全意識等各個層面統(tǒng)籌考慮。另外，來自內部的攻擊