【正文】 管理環(huán)節(jié)的風(fēng)險(xiǎn)。同時(shí)運(yùn)用賽門(mén)鐵克控制中心 Symantec System Center (SSC)，作為企業(yè)內(nèi)防毒之安裝、維護(hù)、及有效更新及報(bào)表管理。同時(shí)，嵌入 Microsoft Management Console (MMC)，提供用戶熟悉的標(biāo)準(zhǔn)介面（Windows 資源管理器）給使用者。 Deliver)自動(dòng)防毒解毒機(jī)制，通過(guò) Symantec SARC 病毒防治中心 (Symantec AntiVirus Research Center)，于最短時(shí)間內(nèi)將文件解毒傳回貴公司，過(guò)程中無(wú)需通過(guò)人的聯(lián)系，所有機(jī)制都內(nèi)建于 Norton 電力廣域網(wǎng)安全建議書(shū) 第 21 頁(yè) 共 75 頁(yè)AntiVirus 軟件自動(dòng)機(jī)制中，同時(shí)，同時(shí) SARC 傳送追蹤編號(hào)給用戶，讓用戶收到解決方案 ，SARC 也會(huì)利用在過(guò)程中輸入的信息與用戶聯(lián)絡(luò)，若貴公司需要廣州 Symantec 工程師也可協(xié)助用戶追蹤查詢文件的狀況，直接通過(guò)上述 Symantec 提供給貴公司之專(zhuān)門(mén)的電話聯(lián)絡(luò)即可.目前 SARC 平均之解毒時(shí)間約 6 小時(shí)，SARC 平均解毒，下表是 SRAC 近三個(gè)月來(lái)，通過(guò) SCAN amp。Deliver 之自動(dòng)機(jī)制收到之病毒樣本數(shù)SARC（賽門(mén)鐵克病毒防治研究中心）平均解毒時(shí)間Sep，1999 5203 hrsOct，1999 6517 Nov. 1999 (11/18 止) 3113 通過(guò) SARC 的自動(dòng)防護(hù)機(jī)制，賽門(mén)鐵克給的承諾是從客戶送文件到收到解決方案，4 個(gè)小時(shí)之內(nèi)需要完成! 統(tǒng)一的用戶管理與雙因子增強(qiáng)認(rèn)證系統(tǒng)網(wǎng)絡(luò)系統(tǒng)涉及多種應(yīng)用和不同的主機(jī)系統(tǒng)，分散的用戶管理，頻繁的登錄操作，多套帳號(hào)/密碼的記憶，不僅給用戶和系統(tǒng)管理員帶來(lái)煩惱，而且增強(qiáng)了網(wǎng)絡(luò)的風(fēng)險(xiǎn)。從長(zhǎng)遠(yuǎn)來(lái)看，建立這樣一個(gè)平臺(tái)，對(duì)于日后不斷增長(zhǎng)的網(wǎng)絡(luò)規(guī)模和應(yīng)用也是一勞永逸的事情。1) 安全目標(biāo)：實(shí)現(xiàn)對(duì)不同主機(jī)和應(yīng)用系統(tǒng)中用戶帳號(hào)的統(tǒng)一管理及密碼同步；實(shí)現(xiàn)增強(qiáng)而又靈活方便的身份認(rèn)證機(jī)制，減少對(duì)主機(jī)的假冒和非授權(quán)訪問(wèn)；2) 產(chǎn)品結(jié)構(gòu)：PassGo SSO 單點(diǎn)登錄系統(tǒng)：由“PassGo 服務(wù)器/PassGo 代理/PassGo 客戶端軟件/”3部分組成，同時(shí)可以提供可選的“集中用戶管理”模塊。? PassGo 服務(wù)器：負(fù)責(zé)帳號(hào)管理、安全規(guī)則制定和安全認(rèn)證，并接收和協(xié)調(diào)各代理的帳號(hào)/密碼同步請(qǐng)求與執(zhí)行相關(guān)操作。? PassGo 代理：包括 “PassGo 訪問(wèn)控制代理”和“PassGo 同步代理”兩種，前者負(fù)責(zé)捕獲 PassGo 用戶的帳號(hào)/ 密碼改動(dòng)和接收登錄認(rèn)證請(qǐng)求，并傳給 PassGo 服務(wù)器處理，PassGo 服務(wù)器在收到帳號(hào)/ 密碼的改變信息后，會(huì)將這種改變同步到多個(gè)“PassGo 同步代理”服務(wù)器上。同時(shí)，具備一定權(quán)限的用戶還可以通過(guò)瀏覽器遠(yuǎn)程管理 PassGo 服務(wù)器。Defender 使用標(biāo)準(zhǔn)的比較條件/回復(fù)技術(shù)來(lái)創(chuàng)建一個(gè)一次性的密碼，這遠(yuǎn)比使用靜態(tài)密碼安全。對(duì)于高風(fēng)險(xiǎn)用戶的口令安全，Defender 是一個(gè)很好的解決方案。比較條件/回復(fù)身份驗(yàn)證系統(tǒng)與用戶的唯一令牌一起執(zhí)行，確保只有被許可的用戶方可獲得訪問(wèn)權(quán)。所有的令牌要求一個(gè)用戶唯一的 PIN入口來(lái)激活和產(chǎn)生唯一的一次性的密碼。手持令牌提供系統(tǒng)的可移植性和工作站的獨(dú)立性，以及電池更換功能，它使得進(jìn)行身份驗(yàn)證的代價(jià)比必需更新令牌來(lái)進(jìn)行驗(yàn)證所花費(fèi)的要小得多。軟令牌是用電子學(xué)方法（不需要物理媒介的傳遞）或通過(guò)軟盤(pán)安裝在筆記本電腦和臺(tái)式電腦上的。DMC 也報(bào)告使用和稽查信息。向?qū)峁┝怂械臉?biāo)準(zhǔn)任務(wù)。電力廣域網(wǎng)安全建議書(shū) 第 24 頁(yè) 共 75 頁(yè)? Defender 的 RADIUS 服務(wù)器：允許支持 RADIUS 的通信服務(wù)器和防火墻使用 Defender安全服務(wù)器作為雙因子身份驗(yàn)證系統(tǒng)。它的管理、報(bào)告軟件使得生成用戶及與安全相關(guān)信息的報(bào)告更為容易3) 產(chǎn)品配置：PassGo SSO 產(chǎn)品配置：PassGo 服務(wù)器：在網(wǎng)管子網(wǎng)或服務(wù)器子網(wǎng)選擇一臺(tái) NT（SP4 以上）或 Win2022 服務(wù)器，同時(shí)安裝 IIS 或 Netscape Web Server，處于安全考慮，一定要放在防火墻保護(hù)的網(wǎng)段；PassGo 訪問(wèn)控制代理：在有以下需求之一的 NT 服務(wù)器上安裝：一是其用戶的登錄認(rèn)證需要交給 PassGo 服務(wù)器處理；二是當(dāng)其管理的用戶帳號(hào)被禁用/激活，或密碼改變時(shí)，需要同步其他的服務(wù)器（而不僅僅是獲得同步） ；PassGo 同步代理：凡是需要獲得帳號(hào)/ 密碼同步效果的 NT 服務(wù)器均應(yīng)安裝。用戶管理：可把所有內(nèi)部用戶都納入 PassGo 管理，并按組織部門(mén)或安全級(jí)別分組；同時(shí)對(duì)應(yīng)用也可以按性質(zhì)分組，通過(guò)規(guī)則和腳本建立起用戶/ 用戶組對(duì)應(yīng)用/ 應(yīng)用組的訪問(wèn)和認(rèn)證關(guān)系。Defender 驗(yàn)證代理：所有支持 Defender 驗(yàn)證的通訊服務(wù)器、VPN 和防火墻。漏洞掃描只能告訴用戶系統(tǒng)或網(wǎng)絡(luò)存在的安全漏洞在哪里，并做出簡(jiǎn)單的漏洞修正的建議。所以，風(fēng)險(xiǎn)評(píng)估的評(píng)估范圍比漏洞掃描要廣；僅僅有掃描報(bào)告對(duì)企業(yè)用戶來(lái)說(shuō)是不夠的，只有在風(fēng)險(xiǎn)掃描的基礎(chǔ)上對(duì)風(fēng)險(xiǎn)進(jìn)行發(fā)生可能性和危害性進(jìn)行分析（比如：風(fēng)險(xiǎn)分級(jí)和評(píng)分） ，才能給用戶一個(gè)有管理價(jià)值的安全風(fēng)險(xiǎn)報(bào)告。安全問(wèn)題是動(dòng)態(tài)變化的，只有采用定期的風(fēng)險(xiǎn)評(píng)估，才能及時(shí)發(fā)現(xiàn)企業(yè)范圍內(nèi)的安全風(fēng)險(xiǎn)。所以，全面評(píng)估能力和定期執(zhí)行能力也是風(fēng)險(xiǎn)評(píng)估系統(tǒng)的重要指標(biāo)。2) 產(chǎn)品結(jié)構(gòu)：ESM 主機(jī)風(fēng)險(xiǎn)評(píng)估軟件：由 “ESM 管理器/ESM 代理/ESM 控制臺(tái)”3 層模塊組成的分布式主機(jī)風(fēng)險(xiǎn)評(píng)估系統(tǒng)。所有模塊之間的通訊均為加密通訊?？稍u(píng)估 38 多種操作平臺(tái)（NT/Win2022, TruUnix, Soralis, AIX, HPUX, NCR, IRIX, Redhat, VMS 等等） ，能夠支持企業(yè)用戶跨平臺(tái)的安全策略管理要求。? ESM 管理器：主機(jī)風(fēng)險(xiǎn)評(píng)估系統(tǒng)的中央管理器和信息存貯庫(kù)。? ESM 控制臺(tái)：主機(jī)風(fēng)險(xiǎn)評(píng)估安全管理員的管理界面。NetRecon 網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估軟件：NetRecon 是一個(gè)漏洞和風(fēng)險(xiǎn)評(píng)估工具,用于發(fā)現(xiàn)、發(fā)掘和報(bào)告網(wǎng)絡(luò)安全漏洞。NetRecon 獨(dú)有的路徑分析技術(shù)可以幫助發(fā)現(xiàn)漏洞的根本原因。NetRecon 在對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行掃描時(shí)，采用了具有專(zhuān)利 UltraScan 技術(shù)，當(dāng)一個(gè)對(duì)象獲取相關(guān)的數(shù)據(jù)后，數(shù)據(jù)會(huì)作為輸入提供給其他的一個(gè)或多個(gè)工作對(duì)象，多個(gè)對(duì)象同時(shí)探測(cè)多個(gè)目標(biāo)，并連續(xù)地工作。若存在遠(yuǎn)程網(wǎng)段的 ESM 代理，建議在遠(yuǎn)程網(wǎng)段配置 ESM 管理器（但仍由中央管理控制） ，減少因遠(yuǎn)程通訊帶來(lái)的安全事件報(bào)警的時(shí)延。由安裝在安全管理員桌面的 ESM 控制臺(tái)對(duì)整個(gè)主機(jī)風(fēng)險(xiǎn)評(píng)估系統(tǒng)實(shí)施統(tǒng)一管理。網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估系統(tǒng)的配置：在防火墻內(nèi)網(wǎng)/外網(wǎng)各配置一個(gè) NetRecon 網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估系統(tǒng)。這種內(nèi)外分開(kāi)的配置可以減少打開(kāi)防火墻安全策略的風(fēng)險(xiǎn)。這樣可以實(shí)現(xiàn)將 ESM 主機(jī)評(píng)估報(bào)告和 NetRecon 網(wǎng)絡(luò)評(píng)估報(bào)告集中上傳到 ESM 管理電力廣域網(wǎng)安全建議書(shū) 第 27 頁(yè) 共 75 頁(yè)器，企業(yè)用戶可以在 ESM 控制臺(tái)內(nèi)看到整個(gè)企業(yè)的全面安全報(bào)告。我們建議在網(wǎng)絡(luò)系統(tǒng)配置 Symantec 公司 ProwlerIDS 入侵檢測(cè)系統(tǒng)。ProwlerIDS 系統(tǒng)為企業(yè)提供了“主機(jī)+網(wǎng)絡(luò)”統(tǒng)一的入侵檢測(cè)控制平臺(tái)。2) 產(chǎn)品結(jié)構(gòu)：（詳細(xì)的產(chǎn)品介紹請(qǐng)參見(jiàn)附件中的產(chǎn)品資料）Intruder Alert 主機(jī)入侵檢測(cè)軟件：由“ITA 管理器/ITA 代理/ITA 控制臺(tái)”3 層模塊組成的分布式主機(jī)入侵檢測(cè)系統(tǒng)。所有模塊之間的通訊均為加密通訊。可保護(hù) 20 多種操作平臺(tái)（NT/Win2022, TruUnix, Soralis, AIX, HPUX, NCR, IRIX, Redhat, VMS 等等） ，能夠支持企業(yè)用戶跨平臺(tái)的安全管理要求。? ITA 管理器：主機(jī)入侵檢測(cè)系統(tǒng)的中央管理器和信息存貯庫(kù)。? ITA 控制臺(tái)：入侵檢測(cè)安全管理員的管理界面。NetProwler 網(wǎng)絡(luò)入侵檢測(cè)軟件：由“NetProwler 代理/NetProwler 管理器/NetProwler 控制臺(tái)”3 層模塊組成的分布式的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。所有模塊之間的通訊均為加密通訊。? NetProwler 管理器：配置網(wǎng)絡(luò)入侵檢測(cè)策略；負(fù)責(zé)與分布的 NetProwler 代理通訊；統(tǒng)一的配置平臺(tái)和安全信息存儲(chǔ)平臺(tái)；? NetProwler 控制臺(tái)：網(wǎng)絡(luò)入侵檢測(cè)安全管理員的控制平臺(tái)，對(duì) NetProwler 管理器實(shí)施全面管理。ITA 代理軟件依據(jù)用戶自定義的安全策略檢測(cè)被保護(hù)主機(jī)上的安全違規(guī)事件和主機(jī)入侵。ITA 管理器的配置：在網(wǎng)絡(luò)系統(tǒng)上新增一臺(tái) NT 服務(wù)器作 ITA 管理器，負(fù)責(zé)全網(wǎng)的ITA 代理的通訊。建議放置在網(wǎng)管子網(wǎng)或服務(wù)器子網(wǎng)上。減少因遠(yuǎn)程通訊帶來(lái)的安全事件報(bào)警的時(shí)延。電力廣域網(wǎng)安全建議書(shū) 第 29 頁(yè) 共 75 頁(yè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的配置：NetProwler 代理的配置：在網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵子網(wǎng)上新增獨(dú)享 NT 主機(jī)，運(yùn)行NetProwler 代理軟件。通過(guò)網(wǎng)絡(luò)攻擊特征的分析識(shí)別，提早發(fā)現(xiàn)網(wǎng)絡(luò)攻擊并報(bào)警。其中一塊網(wǎng)卡沒(méi)有 IP 地址，設(shè)置為混合通訊模式，專(zhuān)門(mén)用于監(jiān)聽(tīng)目標(biāo)網(wǎng)段的流量；另外一塊網(wǎng)卡設(shè)有 IP 地址，連入安全的管理子網(wǎng)，直接與 NetProwler 管理器通訊。而且，NetProwler 的管理信息不再通過(guò)危險(xiǎn)網(wǎng)段通訊，也大大減少了 NetProwler 通訊對(duì)網(wǎng)絡(luò)結(jié)構(gòu)安全的影響。此臺(tái)主機(jī)必須安裝 ITA 代理，用于 NetProwler 與 ITA 的協(xié)同響應(yīng)功能和此臺(tái)主機(jī)自身的入侵檢測(cè)功能。NetProwler 控制臺(tái)的配置：在網(wǎng)絡(luò)入侵檢測(cè)安全管理員的客戶機(jī)上安裝 NetProwler 控制臺(tái)軟件。入侵響應(yīng)聯(lián)動(dòng)功能的配置：入侵檢測(cè)的響應(yīng)能力：ITA 主機(jī)入侵檢測(cè)的響應(yīng)能力：14 種（通知用戶、發(fā)送 Email、通知管理員、終止會(huì)話、關(guān)閉機(jī)器、運(yùn)行指定程序等等） 。主機(jī)入侵檢測(cè)和網(wǎng)絡(luò)入侵檢測(cè)的響應(yīng)聯(lián)動(dòng)功能：通過(guò)在 NetProwler 管理器上安裝的ITA 代理和 SNMP 模塊，可以實(shí)現(xiàn)自動(dòng)將網(wǎng)絡(luò)入侵報(bào)警提交給主機(jī)入侵檢測(cè)系統(tǒng)，進(jìn)而利用主機(jī)入侵檢測(cè)系統(tǒng)強(qiáng)大的響應(yīng)功能對(duì)入侵作出充分的防御反應(yīng)。網(wǎng)絡(luò)入侵檢測(cè)與防火墻的響應(yīng)聯(lián)動(dòng)功能：NetProwler 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)能夠?qū)z測(cè)到的網(wǎng)絡(luò)入侵及時(shí)報(bào)告給防火墻，提醒防火墻采取網(wǎng)絡(luò)加固和策略加強(qiáng)的響應(yīng)動(dòng)作。從網(wǎng)絡(luò)脆弱性和數(shù)據(jù)資源重要性分析，目前應(yīng)以解決網(wǎng)絡(luò)系統(tǒng)和其他系統(tǒng)內(nèi)部網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸為重點(diǎn)，電力廣域網(wǎng)安全建議書(shū) 第 30 頁(yè) 共 75 頁(yè)同時(shí)考慮內(nèi)網(wǎng)和外網(wǎng)撥號(hào)用戶的連接。與其它同類(lèi)產(chǎn)品不同的是，它既可以選擇與 Symantec 的 Enterprise Firewall 結(jié)合，也可以安裝在獨(dú)立于防火墻的一臺(tái)主機(jī)上獨(dú)立運(yùn)行，這不但使防火墻免于負(fù)擔(dān)加密的任務(wù)（因?yàn)榧用苋蝿?wù)會(huì)加重 CPU 的負(fù)擔(dān)和造成瓶頸現(xiàn)象于防火墻運(yùn)行） ，而且可和各種類(lèi)型的防火墻直接兼容。（2） 對(duì)于重點(diǎn)保護(hù)的點(diǎn)對(duì)點(diǎn)通信連接，可在相應(yīng)的主機(jī)上單獨(dú)安裝 PowerVPN SERVER，實(shí)現(xiàn)主機(jī)間的通信安全（具體取決于信息中心的安全規(guī)劃） 。安全性問(wèn)題給我們帶來(lái)的危害無(wú)須多言，世界上多家大型銀行都在不同程度上遭受到非法入侵者的襲擊，但由于商業(yè)原因，這些銀行都不愿意公布損失程度，使安全性問(wèn)題更難以解決。Pentasafe數(shù)據(jù)庫(kù)安全軟件致力于Client/Sever 和內(nèi)部網(wǎng)環(huán)境下的關(guān)系型數(shù)據(jù)庫(kù)安全解決方案。建議采用pentasafe公司的VigilEnt Database Security For Oracle 數(shù)據(jù)庫(kù)安全解決方案有以下幾個(gè)部分組成：數(shù)據(jù)庫(kù)口令管理器，數(shù)據(jù)庫(kù)安全管理器，數(shù)據(jù)庫(kù)審計(jì)管理器，數(shù)據(jù)庫(kù)分析管理器VigilEnt Password Manager for Oraclet提供擴(kuò)展的數(shù)據(jù)庫(kù)口令分析、同步和管理功電力廣域網(wǎng)安全建議書(shū) 第 31 頁(yè) 共 75 頁(yè)能，使安全管理員在Oracle client/server和Inter應(yīng)用中的用戶認(rèn)證方面更有信心。通過(guò)VigilEnt Password Manager for Oracle,可以同步數(shù)據(jù)庫(kù)用戶口令、增強(qiáng)口令的長(zhǎng)度標(biāo)準(zhǔn)、強(qiáng)制口令失效和對(duì)非授權(quán)數(shù)據(jù)庫(kù)訪問(wèn)行為的檢測(cè)。VigilEnt Database Security Manager for Oracle使得安全管理員能夠在一個(gè)異構(gòu)、多平臺(tái)的安全數(shù)據(jù)庫(kù)應(yīng)用環(huán)境中立刻實(shí)現(xiàn)對(duì)用戶ＩＤ、授權(quán)和安全策略的安全管理、而無(wú)須借助ＤＢＡ。通過(guò)它，ＤＢＡ可以專(zhuān)著于數(shù)據(jù)庫(kù)傳統(tǒng)職能的維護(hù)管理，而把安全工作交給安全管理員，而安全管理員也可以在不熟悉數(shù)據(jù)庫(kù)管理的前提下迅速接管這部分工作，從而提供了兩者的效率；同時(shí)這也有利于保持最終用戶行為與數(shù)據(jù)庫(kù)安全策略的一致性。VigilEnt Audit Manager for Oracle 是一個(gè)針對(duì)Oracle數(shù)據(jù)庫(kù)的全面安全審計(jì)工具，它鞏固和提升了Oracle原有的審計(jì)功能，并賦予安全管理員增強(qiáng)的、可定制的安全審計(jì)