【正文】 disk)(., close connection)Countermeasure(C) Box(.,detection of“phf”stringin session)PatternMatchingSignatureAnalysisStorage (D) Box (, TCP Stream reconstruction)PassiveProtocolAnalysis《萬(wàn)源倉(cāng)商務(wù)網(wǎng)》獨(dú)家提供本篇文章，謹(jǐn)防假冒 網(wǎng)絡(luò)安全整體解決方案《萬(wàn)源倉(cāng)商務(wù)網(wǎng)》 １８ (3) countermeasure 執(zhí)行規(guī)定的動(dòng)作。 基于主機(jī)的安全監(jiān)控系統(tǒng)具備如下特點(diǎn)： (1) 精確，可以精確地判斷入侵事件。 (3) 對(duì)入侵時(shí)間立即進(jìn)行反應(yīng)?！　　　　　　　? (5) 占用主機(jī)寶貴資源。 (2) 實(shí)時(shí)網(wǎng)絡(luò)監(jiān)視。 (4) 精確度較差。 (6) 交換網(wǎng)絡(luò)環(huán)境難于配置。 (2) 在需要監(jiān)視的網(wǎng)絡(luò)路徑上，放置監(jiān)視模塊(sensor),分別向管理服務(wù)器報(bào)告及上傳證據(jù)，提供跨網(wǎng)絡(luò)的入侵監(jiān)視解決方案。 (2) 解碼效率(速度)。 (4) 精確度及完整度，防欺騙能力。 網(wǎng)絡(luò)安全整體解決方案《萬(wàn)源倉(cāng)商務(wù)網(wǎng)》 １９五. 安全掃描技術(shù) 網(wǎng)絡(luò)安全技術(shù)中，另一類重要技術(shù)為安全掃描技術(shù)。 安全掃描工具源于 Hacker 在入侵網(wǎng)絡(luò)系統(tǒng)時(shí)采用的工具。 安全掃描工具通常也分為基于服務(wù)器和基于網(wǎng)絡(luò)的掃描器。通常與相應(yīng)的服務(wù)器操作系統(tǒng)緊密相關(guān)。通常該類掃描器限制使用范圍(IP 地址或路由器跳數(shù))。在網(wǎng)絡(luò)內(nèi)進(jìn)行安全掃描非常耗時(shí)。通過(guò) GUI 的圖形界面，可迭擇一步或某些區(qū)域的設(shè)備。 (4) 是否支持可定制的攻擊方法。因?yàn)榫W(wǎng)絡(luò)內(nèi)服務(wù)器及其它設(shè)備對(duì)相同協(xié)議的實(shí)現(xiàn)存在差別，所以預(yù)制的掃描方法肯定不能滿足客戶的需求。 (6) 更新周期。 安全掃描器不能實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)上的入侵，但是能夠測(cè)試和評(píng)價(jià)系統(tǒng)的安全性，并及時(shí)發(fā)現(xiàn)安全漏洞。 認(rèn)證技術(shù)將應(yīng)用到企業(yè)網(wǎng)絡(luò)中的以下方面： (1) 路由器認(rèn)證，路由器和交換機(jī)之間的認(rèn)證。操作系統(tǒng)對(duì)用戶的認(rèn)證。 (4) VPN 網(wǎng)關(guān)設(shè)備之間的認(rèn)證。 (6) 應(yīng)用服務(wù)器(如 Web Server)與客戶的認(rèn)證。 數(shù)字簽名技術(shù)主要用于： (1) 基于 PKI 認(rèn)證體系的認(rèn)證過(guò)程。 認(rèn)證過(guò)程通常涉及到加密和密鑰交換。 UserName/Password 認(rèn)證 該種認(rèn)證方式是最常用的一種認(rèn)證方式，用于操作系統(tǒng)登錄、tel、rlogin 等，但由于此種認(rèn)證方式過(guò)程不加密，即 password 容易被監(jiān)聽(tīng)和解密。市場(chǎng)上主要采用的摘要算法有 MD5和 SHA1。該種方法安全程度較高，綜合采用了摘要算法、不對(duì)稱加密、對(duì)稱加密、數(shù)字簽名等技術(shù)，很好地將安全性和高效 網(wǎng)絡(luò)安全整體解決方案《萬(wàn)源倉(cāng)商務(wù)網(wǎng)》 ２１率結(jié)合起來(lái)。這種認(rèn)證方法目前應(yīng)用在電子郵件、應(yīng)用服務(wù)器訪問(wèn)、客戶認(rèn)證、防火墻驗(yàn)證等領(lǐng)域。七. VPN 技術(shù) 企業(yè)對(duì) VPN 技術(shù)的需求 企業(yè)總部和各分支機(jī)構(gòu)之間采用 inter 網(wǎng)絡(luò)進(jìn)行連接，由于 inter是公用網(wǎng)絡(luò)，因此，必須保證其安全性。 因?yàn)?VPN 利用了公共網(wǎng)絡(luò)，所以其最大的弱點(diǎn)在于缺乏足夠的安全性。當(dāng)企業(yè)通過(guò) INTERNET 進(jìn)行通訊時(shí)，信息可能受到竊聽(tīng)和非法修改。 企業(yè)網(wǎng)絡(luò)的全面安全要求保證：保密通訊過(guò)程不被竊聽(tīng)。數(shù)字簽名 數(shù)字簽名作為驗(yàn)證發(fā)送者身份和消息完整性的根據(jù)。CA 使用私有密鑰計(jì)算其數(shù)字簽名，利用 CA 提供的公共密鑰，任何人均可驗(yàn)證簽名的真實(shí)性。 并且，如果消息隨數(shù)字簽名一同發(fā)送，對(duì)消息的任何修改在驗(yàn)證數(shù)字簽名時(shí)都將會(huì)被發(fā)現(xiàn)。DiffieHellman 密鑰由 CA 進(jìn)行驗(yàn)證。而其它的加密模式需要管理的密鑰數(shù)目與通訊者數(shù)目的平方成正比。 IPSec 主要提供 IP 網(wǎng)絡(luò)層上的加密通訊能力。IPsec 使用 ISAKMP/Oakley 及 SKIP 進(jìn)行密鑰交換、管理及加密通訊協(xié)商(Security Association)。 (2) ISAKMP/Oakley，負(fù)責(zé)加密通訊協(xié)商。提供 Ipsecgateway 之間的通訊。 Ipsec Tunnel 不要求修改已配備好的設(shè)備和應(yīng)用，網(wǎng)絡(luò)黑客戶不能看到實(shí) 網(wǎng)絡(luò)安全整體解決方案《萬(wàn)源倉(cāng)商務(wù)網(wǎng)》 ２３際的的通訊源地址和目的地址，并且能夠提供專用網(wǎng)絡(luò)通過(guò) Inter 加密傳輸?shù)耐ǖ?，因此，絕大多數(shù)均使用該模式。(易于管理)。 由于 Ipsec 即將成為 Inter 標(biāo)準(zhǔn)，因此不同廠家提供的防火墻(VPN)產(chǎn)品可以實(shí)現(xiàn)互通。下面的幾個(gè)部分列出了在 Inter/Intra 中主要的應(yīng)用平臺(tái)服務(wù)的安全問(wèn)題及相關(guān)技術(shù)。幾乎所有的網(wǎng)絡(luò)應(yīng)用均利用域名服務(wù)。同時(shí)，新發(fā)現(xiàn)的針對(duì) BINDNDS 實(shí)現(xiàn)的安全漏洞也開(kāi)始發(fā)現(xiàn)，而絕大多數(shù)的域名系統(tǒng)均存在類似的問(wèn)題。 因此，在利用域名服務(wù)時(shí)，應(yīng)該注意到以上的安全問(wèn)題。 (2) 域名服務(wù)器及域名查找應(yīng)用安裝相應(yīng)的安全補(bǔ)丁。Web Server 應(yīng)用安全 Web Server 是企業(yè)對(duì)外宣傳、開(kāi)展業(yè)務(wù)的重要基地。 Web Server 經(jīng)常成為 Inter 用戶訪問(wèn)公司內(nèi)部資源的通道之一，如 Web server 通過(guò)中間件訪問(wèn)主機(jī)系統(tǒng)，通過(guò)數(shù)據(jù)庫(kù)連接部件訪問(wèn)數(shù)據(jù)庫(kù)，利用 CGI訪問(wèn)本地文件系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中其它資源。為了防止 Web服務(wù)器成為攻擊的犧牲品或成為進(jìn)入內(nèi)部網(wǎng)絡(luò)的跳板，我們需要給予更多的關(guān)心： (1) Web 服務(wù)器置于防火墻保護(hù)之下。 (3) 在通往 Web 服務(wù)器的網(wǎng)絡(luò)路徑上安裝基于網(wǎng)絡(luò)的實(shí)時(shí)入侵監(jiān)控系統(tǒng)。 (5) 運(yùn)行新的應(yīng)用前，先進(jìn)行安全測(cè)試。 (6) 認(rèn)證過(guò)程采用加密通訊或使用 證書(shū)模式。 電子郵件系統(tǒng)安全 電子郵件系統(tǒng)也是網(wǎng)絡(luò)與外部必須開(kāi)放的服務(wù)系統(tǒng)。 加強(qiáng)電子郵件系統(tǒng)的安全性，通常有如下辦法： (1) 設(shè)置一臺(tái)位于?；饏^(qū)的電子郵件服務(wù)器作為內(nèi)外電子郵件通訊的中轉(zhuǎn)站(或利用防火墻的電子郵件中轉(zhuǎn)功能)。 (2) 同樣為該服務(wù)器安裝實(shí)施監(jiān)控系統(tǒng)。 (4) 升級(jí)到最新的安全版本。對(duì)操作系統(tǒng)的安全，除了不斷地增加安全補(bǔ)丁外，還需要： 網(wǎng)絡(luò)安全整體解決方案《萬(wàn)源倉(cāng)商務(wù)網(wǎng)》 ２５ (1) 檢查系統(tǒng)設(shè)置(敏感數(shù)據(jù)的存放方式，訪問(wèn)控制，口令選擇/更新)。 網(wǎng)絡(luò)安全整體解決方案《萬(wàn)源倉(cāng)商務(wù)網(wǎng)》 ２６第二部分 大連新船重工責(zé)任有限公司安全方案第一章 網(wǎng)絡(luò)安全需求分析一． 當(dāng)前網(wǎng)絡(luò)狀況服務(wù)器工作站 工作站……服務(wù)器工作站 工作站…I N T E R N E TS w i t c hF i r e w a l l網(wǎng) 管 計(jì) 算 機(jī)路由器《萬(wàn)源倉(cāng)商務(wù)網(wǎng)》獨(dú)家提供本篇文章，謹(jǐn)防假冒 網(wǎng)絡(luò)安全整體解決方案《萬(wàn)源倉(cāng)商務(wù)網(wǎng)》 ２７二、安全需求分析網(wǎng)絡(luò)安全總體安全需求是建立在，對(duì)網(wǎng)絡(luò)安全層次分析基礎(chǔ)上確定的。對(duì)于以 TCP / IP 為主的大連新船重工責(zé)任有限公司網(wǎng)來(lái)說(shuō)，安全層次是與TCP/IP 網(wǎng)絡(luò)層次相對(duì)應(yīng)的，針對(duì)大連新船重工責(zé)任有限公司網(wǎng)的實(shí)際情況，我們將安全需求層次歸納為網(wǎng)絡(luò)層和應(yīng)用層安全兩個(gè)技術(shù)層次，同時(shí)將在每層涉及的安全管理部分單獨(dú)作為分析內(nèi)容，具體描述如下：網(wǎng)絡(luò)層需求分析網(wǎng)絡(luò)層安全需求是保護(hù)網(wǎng)絡(luò)不受攻擊，確保網(wǎng)絡(luò)服務(wù)的可用性。應(yīng)用層需求分析建設(shè)大連新船重工責(zé)任有限公司網(wǎng)的目的是實(shí)現(xiàn)信息共享、資源共享。應(yīng)用層安全主要與企業(yè)的管理機(jī)制和業(yè)務(wù)系統(tǒng)的應(yīng)用模式相關(guān)。因此，在這里主要針對(duì)各局域網(wǎng)內(nèi)的應(yīng)用的安全進(jìn)行討論，并就建設(shè)全網(wǎng)范圍內(nèi)的應(yīng)用系統(tǒng)提出我們的一些建議。要解決的安全問(wèn)題主要包括：? 非法用戶利用應(yīng)用系統(tǒng)的后門(mén)或漏洞，強(qiáng)行進(jìn)入系統(tǒng)。? 非授權(quán)訪問(wèn)：非法用戶或者合法用戶訪問(wèn)在其權(quán)限之外的系統(tǒng)資源。 網(wǎng)絡(luò)安全整體解決方案《萬(wàn)源倉(cāng)商務(wù)網(wǎng)》 ２９? 數(shù)據(jù)篡改：攻擊者篡改網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包。? 抵賴：信息發(fā)送方或接收方抵賴曾經(jīng)發(fā)送過(guò)或接收到了信息。其主要優(yōu)點(diǎn)是與系統(tǒng)結(jié)合緊密，但也存在很明顯的缺點(diǎn)：? 開(kāi)發(fā)量大：據(jù)統(tǒng)計(jì)，傳統(tǒng)的應(yīng)用系統(tǒng)開(kāi)發(fā)中，安全體系的設(shè)計(jì)和開(kāi)發(fā)約占開(kāi)發(fā)量的三分之一。? 安全強(qiáng)度參差不齊：有些應(yīng)用系統(tǒng)的安全機(jī)制很弱，如數(shù)據(jù)庫(kù)系統(tǒng)，只提供根據(jù)用戶名/口令的認(rèn)證，而且用戶名/口令是在網(wǎng)絡(luò)上明文傳輸?shù)?，很容易被竊聽(tīng)到。? 安全沒(méi)有保障：目前很多應(yīng)用系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)人員的第一概念是系統(tǒng)能夠運(yùn)行，而不是系統(tǒng)能夠安全運(yùn)行，因此在系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)時(shí)對(duì)安全考慮很少，甚至為了簡(jiǎn)單或趕進(jìn)度而有意削弱安全機(jī)制。? 用戶使用不方便：用戶使用不同的應(yīng)用系統(tǒng)時(shí)，都必須做相應(yīng)的身份認(rèn)證，且有些系統(tǒng)需要在訪問(wèn)不同資源時(shí)分別做授權(quán)（如 IIS Web Server 是在用戶訪問(wèn)不同的頁(yè)面時(shí)輸入不同的口令，口令正確才允許訪問(wèn)） 。綜上，我們建議在建設(shè)大連新船重工責(zé)任有限公司網(wǎng)應(yīng)用系統(tǒng)時(shí)，采用具有以下功能的商品化的應(yīng)用層安全產(chǎn)品作為安全應(yīng)用平臺(tái)。? 安全應(yīng)用平臺(tái)自身的安全機(jī)制必須是系統(tǒng)的、健壯的，以免因?yàn)楦鞣N應(yīng)用系統(tǒng)安全機(jī)制參差不齊而導(dǎo)致系統(tǒng)不安全的現(xiàn)象出現(xiàn)。? 安全應(yīng)用平臺(tái)可以集中對(duì)各種第三方應(yīng)用系統(tǒng)進(jìn)行安全管理，包括用戶注冊(cè)、用戶身份認(rèn)證、資源目錄管理、訪問(wèn)授權(quán)以及審計(jì)記錄，以減少重復(fù)勞動(dòng)，減輕系統(tǒng)管理人員的工作負(fù)擔(dān)。安全管理需求分析如前所述，能否制定一個(gè)統(tǒng)一的安全策略，在全網(wǎng)范圍內(nèi)實(shí)現(xiàn)統(tǒng)一的安全管理，對(duì)于大連新船重工責(zé)任有限公司網(wǎng)來(lái)說(shuō)就至關(guān)重要了。內(nèi)部安全管理主要采取行政手段和技術(shù)手段相結(jié)合的方法。網(wǎng)絡(luò)層的安全管理可以通過(guò)網(wǎng)管、防火墻、安全檢測(cè)等一些網(wǎng)絡(luò)層的管理工具來(lái)實(shí)現(xiàn)。由于各個(gè)應(yīng)用系統(tǒng)的安全機(jī)制不一樣，因此需要通過(guò)建立統(tǒng)一的應(yīng)用安全平臺(tái)來(lái)管理，包括建立建立統(tǒng)一的用戶庫(kù)、統(tǒng)一維護(hù)資源目錄、統(tǒng)一授權(quán)等。? 在從外面進(jìn)入總公司局域網(wǎng)的防火墻處建立 DMZ 區(qū)，將辦公網(wǎng)內(nèi)的Web、ftp、mail 服務(wù)器放置于此，使這些服務(wù)器能與外界隔離。? 定義用戶對(duì)象，指定用戶的認(rèn)證方式；? 定義用戶認(rèn)證規(guī)則，用戶訪問(wèn)數(shù)據(jù)中心的服務(wù)器時(shí)需要進(jìn)行不同級(jí)別的用戶認(rèn)證，并由此控制用戶的訪問(wèn)權(quán)限；? 定義防止 IP 地址欺騙的規(guī)則，凡是源地址為內(nèi)網(wǎng)區(qū)域的數(shù)據(jù)包都不允許通過(guò)防火墻進(jìn)入；? 定義安全策略，允許外部連接可以到達(dá)指定服務(wù)器的服務(wù)端口；? 定義安全策略，對(duì)從內(nèi)部網(wǎng)絡(luò)通過(guò)防火墻向外發(fā)