【正文】 除您的密碼短語，確保使用虛擬內(nèi)存時(shí)您的么人訪問代碼無法訪問。 內(nèi)存離子遷移保護(hù)措施 PGPdisk 保護(hù)您減小內(nèi)存受損、老化的系數(shù)，防止 RAM 將內(nèi)存中遺留的密鑰痕跡長(zhǎng)時(shí)間保留。 高性能 高性能 訪問 PGP disk 明顯快于其他安全軟件包 — 任何方面都要快 2 到 15 倍。這是因?yàn)?PGP disk 在卷級(jí)操作，對(duì)于給定數(shù)量的文件，執(zhí)行的操作比傳統(tǒng)的基于文件的系統(tǒng)少得多。 另外，通過 PGP Netcrypto，可以自動(dòng)加密所有網(wǎng)絡(luò)交通；避免數(shù)據(jù)傳輸過程中被竊??；純軟件產(chǎn)品，無須購(gòu)置特殊硬件；運(yùn)行在 ；加密所有 TCP/IP 傳輸數(shù)據(jù)流；傳統(tǒng)的用戶界面，易學(xué)易用；便于管理、安全簡(jiǎn)便并無須重新配置系統(tǒng)。 三． PGP 安裝平臺(tái)要求 PGP Keyserver 支持 Sun Solaris (SPARC) 及其更高版本，或 Microsoft Windows NT(Intel)，建議采用高性能的 Intel X86 平臺(tái)來安裝： PIII850 以上 CPU, 256Mb 以上內(nèi)存，9G 硬盤，一塊 10/100M 網(wǎng)卡， VGA 顯卡 (800*600)分辨率 (4M 以上 )。 PGP Desktop Suite 支持 Win95/NT/2020， Macintosh 平臺(tái)。系統(tǒng)最低要求： P200 以上CPU， 32Mb 以上內(nèi)存 ,50M 硬盤空間，一塊網(wǎng)卡， VGA 顯卡 (800*600)分辨率 (2M 以上 )。 PGP 具體配置如下圖所示： 泉州電信公司網(wǎng)絡(luò)安全解決方案 17 PGP 個(gè)人電腦安全套件部署示意圖 泉州電信公司網(wǎng)絡(luò)安全解決方案 18 第五章 系統(tǒng)與網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估及漏洞掃描解決方案 網(wǎng)絡(luò)安全技術(shù)中，另一類重要技術(shù)為風(fēng)險(xiǎn)評(píng)估與安全掃描技術(shù)。風(fēng)險(xiǎn)評(píng)估技術(shù)與防火墻、入侵監(jiān)測(cè)系統(tǒng)互相配合，能夠提供很高安全性的網(wǎng)絡(luò)。 通過對(duì)網(wǎng)絡(luò)的掃描，網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)的安全配置和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)安全漏洞，客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)。網(wǎng)絡(luò)管理員可以根據(jù)掃描的結(jié)果更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯(cuò)誤配置，在黑客攻擊前進(jìn)行防范。如果說 防火墻和主機(jī)監(jiān)控系統(tǒng)是被動(dòng)的防御手段，那么安全掃描就是一種主動(dòng)的防范措施，可以有效避免黑客攻擊的發(fā)生，做到防患于未然。 安全掃描工具源于黑客在入侵網(wǎng)絡(luò)系統(tǒng)時(shí)采用的工具，商品化的安全掃描工具為網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn)提供了強(qiáng)大的支持。 安全掃描工具的分類 安全掃描工具通常分為基于服務(wù)器和基于網(wǎng)絡(luò)的掃描器。 （ 1）基于服務(wù)器的掃描器 基于服務(wù)器的掃描器主要掃描與服務(wù)器相關(guān)的安全漏洞，如 password 文件，目錄和文件權(quán)限，共享文件系統(tǒng)，敏感服務(wù)，軟件，系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法建議。通常與相應(yīng)的服務(wù)器操作 系統(tǒng)緊密相關(guān)。 （ 2）基于網(wǎng)絡(luò)的掃描器 基于網(wǎng)絡(luò)的安全掃描主要掃描特定網(wǎng)絡(luò)內(nèi)的路由器、網(wǎng)橋、變換機(jī)、訪問服務(wù)器、防火墻等設(shè)備的安全漏洞，并可設(shè)定模擬攻擊，以測(cè)試系統(tǒng)的防御能力。通常該類掃描器限制使用范圍 (IP 地址或路由器跳數(shù) )。 網(wǎng)絡(luò)安全掃描的主要性能 (1) 速度，在網(wǎng)絡(luò)內(nèi)進(jìn)行安全掃描非常耗時(shí)； (2) 網(wǎng)絡(luò)拓?fù)?，通過 GUI 的圖形界面，可選擇某些區(qū)域的設(shè)備； (3) 能夠發(fā)現(xiàn)的漏洞數(shù)量； (4) 是否支持可定制的攻擊方法，通常提供強(qiáng)大的工具構(gòu)造特定的攻擊方法，因?yàn)榫W(wǎng)絡(luò)內(nèi)服務(wù)器及其它設(shè)備對(duì)相同協(xié)議的實(shí) 現(xiàn)存在差別，所以預(yù)制的掃描方法肯定不能滿足客戶的需求； (5) 報(bào)告，掃描器應(yīng)該能夠給出清楚的安全漏洞報(bào)告； (6) 更新周期，提供該項(xiàng)產(chǎn)品的廠商應(yīng)盡快給出新發(fā)現(xiàn)的安生漏洞掃描特性升級(jí)，并給泉州電信公司網(wǎng)絡(luò)安全解決方案 19 出相應(yīng)的改進(jìn)建議； 安全掃描器不能實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)上的入侵，但是能夠測(cè)試和評(píng)價(jià)系統(tǒng)的安全性，并及時(shí)發(fā)現(xiàn)安全漏洞。 網(wǎng)絡(luò)安全掃描系統(tǒng)具體部署方案 鑒于以上考慮，我們選擇 NAI 公司的 CyberCop Scanner 作為網(wǎng)絡(luò)漏洞掃描產(chǎn)品，安裝在泉州電信公司中心網(wǎng)管工作站上。安全掃描 CyberCop Scanner 是一套用于 網(wǎng)絡(luò)安全掃描的軟件工具，由富有實(shí)際經(jīng)驗(yàn)的安全專家開發(fā)和維護(hù)。 CyberCop Scanner 掃描器提供綜合的審計(jì)工具，發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中的安全漏洞，保證網(wǎng)絡(luò)安全的完整性。它可以評(píng)估企業(yè)內(nèi)部網(wǎng)絡(luò)、服務(wù)器、防火墻、路由器，掃描和測(cè)試確定存在的可被黑客利用的網(wǎng)絡(luò)薄弱環(huán)節(jié)。 CyberCop Scanner 掃描器產(chǎn)生豐富的報(bào)表： HTML、 ASCII、 RTF、 Comma Delimited。 CyberCop Scanner 掃描器可以發(fā)現(xiàn)大眾化的安全漏洞和非大眾化的漏洞。 CyberCop Scanner 掃描器不但可以利 用系統(tǒng)預(yù)制的上千種方案進(jìn)行網(wǎng)絡(luò)探測(cè)，而且還允許用戶用自己定制的數(shù)據(jù)包檢測(cè)網(wǎng)絡(luò)，使用非常靈活。 CyberCop Scanner 掃描器可以確定防火墻的每一條防護(hù)規(guī)則是否起作用，用獨(dú)特的定制審計(jì)包引擎（ CAPE）技術(shù)完成協(xié)議級(jí) Spoofing 和攻擊模擬。 CyberCop Scanner 掃描器可以驗(yàn)證存取路由器、過濾防火墻的完整性，也可以用來檢查各種混合配置。 總的來說， CyberCop Scanner 掃描器具有以下優(yōu)點(diǎn)： ? 安全策略實(shí)施 通過掃描網(wǎng)絡(luò)，精確確定網(wǎng)路中的情況和安全狀態(tài)，判斷是否滿足安全策略； ? 集中的日 志管理 ? 允許集中審計(jì)整個(gè)網(wǎng)絡(luò)； ? 參照比較 初始網(wǎng)絡(luò)掃描完成后，日志用來與進(jìn)一步的掃描參照比較； ? 最小資源開銷 自動(dòng)安全掃描時(shí)企業(yè)為經(jīng)常性審計(jì)只需花一次費(fèi)用。我們以泉州電信公司網(wǎng)絡(luò)結(jié)構(gòu)示意圖為例進(jìn)行說明， CyberCop Scanner 掃描器具體的部署如下圖所示。 泉州電信公司網(wǎng)絡(luò)安全解決方案 20 CyberCop Scanner 掃描器是一套可跨路由的網(wǎng)絡(luò)掃描工具，在建設(shè)網(wǎng)絡(luò)安全體系的初期，我們建議只在泉州電信公司中心保留該工具，定期對(duì)網(wǎng)絡(luò)進(jìn)行掃描，這樣設(shè)置主要出于對(duì)以下因素的 考慮： （ 1） CyberCop Scanner 掃描器可以跨越路由對(duì)網(wǎng)絡(luò)進(jìn)行掃描，既可以通過廣域網(wǎng)對(duì)指定的 IP 地址掃描，也可以將裝有 CyberCop Scanner 掃描器的主機(jī)掛在要掃描的網(wǎng)段上工作，使用方法靈活多樣； （ 2） 泉州電信公司中心作為網(wǎng)絡(luò)管理的核心，在建設(shè)網(wǎng)絡(luò)安全體系時(shí)應(yīng)該利用CyberCop Scanner掃描器了解網(wǎng)絡(luò)的基本情況，因此應(yīng)該在泉州電信公司中心配置 CyberCop 泉州電信公司網(wǎng)絡(luò)安全解決方案 21 Scanner 掃描器； （ 3） CyberCop Scanner 掃描器可以發(fā)現(xiàn)網(wǎng)絡(luò)漏洞，如果管理不善，該工具很可能被別有用心的人利用，對(duì)網(wǎng) 絡(luò)安全形成威脅，因此在網(wǎng)絡(luò)安全體系建設(shè)初期，該工具不應(yīng)讓過多的人接觸，分支機(jī)構(gòu)及其以下的單位暫不配備 CyberCop Scanner 掃描器； （ 4） CyberCop Scanner 掃描器的使用應(yīng)該由電信中心統(tǒng)一管理，必要時(shí)將該工具配備給下級(jí)單位使用； （ 5） 當(dāng)網(wǎng)絡(luò)安全管理體系相對(duì)成熟后，可以考慮適當(dāng)擴(kuò)大 CyberCop Scanner 掃描器配置的范圍。 CyberCop Scanner 掃描器作為一套性能優(yōu)異網(wǎng)絡(luò)掃描工具，必須借助于完善的管理才能發(fā)揮它應(yīng)有的作用，否則就會(huì)適得其反。 配備了 CyberCop Scanner 掃描器后，泉州電信公司中心的內(nèi)部網(wǎng)絡(luò)安全與管理可以得到明顯的改善，具體而言包括以下幾個(gè)方面： （ 1） 發(fā)現(xiàn)網(wǎng)絡(luò)漏洞，進(jìn)行安全評(píng)估 CyberCop Scanner 掃描器通過對(duì)網(wǎng)絡(luò)上的主機(jī)和網(wǎng)絡(luò)連接設(shè)備的掃描，可以發(fā)現(xiàn)不合理的配置；通過模擬黑客攻擊行為，可以發(fā)現(xiàn)網(wǎng)絡(luò)的薄弱環(huán)節(jié)。掃描結(jié)束后， CyberCop Scanner 掃描器會(huì)生成詳細(xì)的掃描結(jié)果報(bào)告，分析網(wǎng)絡(luò)的現(xiàn)狀，同時(shí)提出改善建議。有了這樣的工具，網(wǎng)絡(luò)管理員可以輕而易舉的制定網(wǎng)絡(luò)安全策略，不斷提高網(wǎng)絡(luò)的安全性； （ 2） 生成網(wǎng)絡(luò)拓?fù)鋱D，了解網(wǎng)絡(luò)結(jié)構(gòu)變化 泉州電信公司中心網(wǎng) 絡(luò)結(jié)構(gòu)復(fù)雜，網(wǎng)絡(luò)設(shè)備眾多，又因?yàn)榫W(wǎng)絡(luò)改建工作通常由各部門獨(dú)立完成，所以實(shí)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的集中管理非常困難，網(wǎng)絡(luò)結(jié)構(gòu)的變化處于失控的狀態(tài)。 所幸的是 CyberCop Scanner 掃描器可以幫助系統(tǒng)管理員解決這一困難。 CyberCop Scanner 掃描器完成每次掃描工作后都會(huì)生成三維的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，準(zhǔn)確標(biāo)識(shí)掃描過的網(wǎng)絡(luò)上的主機(jī)和網(wǎng)絡(luò)設(shè)備。于是，系統(tǒng)管理員可以輕而易舉的了解網(wǎng)絡(luò)上發(fā)生的變化，采取響應(yīng)的措施，修改安全策略。此項(xiàng)功能可以極大的減輕網(wǎng)管人員的工作量和工作壓力，使其可以專注于安全策略的制定和完善。 （ 3） 發(fā)現(xiàn) 應(yīng)用服務(wù)，了解系統(tǒng)運(yùn)行狀況 泉州電信公司網(wǎng)絡(luò)是一個(gè)多應(yīng)用的系統(tǒng)平臺(tái)，其上運(yùn)行有多種應(yīng)用系統(tǒng)。其中一些是業(yè)務(wù)所必須的，而另外一些則是不必要的，甚至?xí)?dǎo)致安全漏洞。 CyberCop Scanner 掃描器在對(duì)網(wǎng)絡(luò)進(jìn)行掃描時(shí)，可以發(fā)現(xiàn)網(wǎng)絡(luò)上運(yùn)行的所有應(yīng)用服務(wù)，并對(duì)其進(jìn)行分析和評(píng)估。系統(tǒng)管理員可以根據(jù)這些信息決定關(guān)閉那些無用的服務(wù)，完善系統(tǒng)泉州電信公司網(wǎng)絡(luò)安全解決方案 22 安全策略。同時(shí)中心和分支機(jī)構(gòu)的管理員還可以借此了解下級(jí)單位的系統(tǒng)運(yùn)行情況，及時(shí)發(fā)現(xiàn)問題，實(shí)現(xiàn)有效的集中式管理。 由此可見，系統(tǒng)配備了 CyberCop Scanner 掃描器后，不但 可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)的安全漏洞，完善網(wǎng)絡(luò)安全策略，同時(shí)也可以完善企業(yè)管理，提高生產(chǎn)效率。 4． 4 輔助措施――誘捕網(wǎng)絡(luò)的建設(shè) 在反黑客攻擊系統(tǒng)中，有一種新的技術(shù)手段――誘捕網(wǎng)絡(luò)技術(shù)。 NAI 公司的 CyberCop Sting 是最早采用該技術(shù)的產(chǎn)品之一，它提供一種附加的信息收集設(shè)備，可以在泉州電信公司中心和各分支機(jī)構(gòu)中構(gòu)建誘捕網(wǎng)絡(luò)?？煽箵艟W(wǎng)絡(luò)窺探。采取仿形技術(shù)在您的網(wǎng)絡(luò)上設(shè)立攻擊工具并運(yùn)行， CyberCop Sting 就可以發(fā)現(xiàn)一個(gè)誘發(fā)的普通用戶在某些方面可能忽略的窺探目標(biāo)。無論攻擊來自網(wǎng)絡(luò)的內(nèi)部還是外部， CyberCop Sting 均可使用先進(jìn)的分析工具記錄入侵行為，收集可能用于法律程序中犯罪報(bào)告的證據(jù)。 具體設(shè)計(jì)思想： *鎖定網(wǎng)絡(luò)服務(wù)器結(jié)構(gòu)仿真 NT 與 Solaris 服務(wù)器以及 Cisco 路由器； * 帶有一組無聲警報(bào)的所有服務(wù)器活動(dòng)的全面日志； * 重定向功能將攻擊者送入形象的監(jiān)獄服務(wù)器作為完整的證據(jù)收集； * 獨(dú)立服務(wù)器設(shè)計(jì)用于外部的、內(nèi)部和公眾服務(wù)區(qū)的網(wǎng)絡(luò)布局； 可以通過在泉州電信公司中心網(wǎng)絡(luò)內(nèi)部安裝兩臺(tái) Winnt 服務(wù)器版軟件，在其上安裝NAI 的 CyberCop ，分別安放在 97Server 主機(jī)群和資費(fèi)系統(tǒng)主機(jī)群中，這樣就可以在主機(jī)群中實(shí)現(xiàn)虛擬出一個(gè)或多個(gè)網(wǎng)絡(luò)，其中有 Sun Solaris 系統(tǒng)， 服務(wù)器， CISCO路由器設(shè)備。當(dāng)外部黑客使用窺探工具掃描泉州電信公司的中心網(wǎng)絡(luò)時(shí)，就會(huì)發(fā)現(xiàn)這些設(shè)備，而黑客由于來自于外部網(wǎng)，不知到泉州電信公司的內(nèi)部網(wǎng)絡(luò)狀況，勢(shì)必會(huì)將這些虛擬設(shè)備當(dāng)成實(shí)在的設(shè)備，就會(huì)采取攻擊手段，試圖從這些虛擬設(shè)備中得到他們想要的東西，而這些設(shè)備本來是不存在的，因而黑客永遠(yuǎn)不會(huì)成功，這樣一來就會(huì)分散黑客的注意力，二來就會(huì)將黑客的攻擊行為記錄在案，作為事后采取 法律手段的依據(jù)，起到打擊黑客，震懾罪犯的作用。CyberCop 的安裝示意圖如下表示： 泉州電信公司網(wǎng)絡(luò)安全解決方案 23 注意：因?yàn)檫@兩種防黑客產(chǎn)品的安裝和具體的網(wǎng)絡(luò)結(jié)構(gòu)沒有必然的聯(lián)系， CyberCop Scanner 通過在內(nèi)部網(wǎng)絡(luò)中的一臺(tái) 服務(wù)器或工作站上安裝，就可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)所需進(jìn)行弱點(diǎn)評(píng)估的機(jī)器實(shí)現(xiàn)弱點(diǎn)掃描，做到防患與未然； CyberCop Sting 同樣不會(huì)改變網(wǎng)絡(luò)的結(jié)構(gòu)，通過一臺(tái) 服務(wù)器虛擬一個(gè)或多個(gè)內(nèi)部網(wǎng)絡(luò)。所以在這兩個(gè)產(chǎn)品 的部署圖中均使用示意圖表示。 泉州電信公司網(wǎng)絡(luò)安全解決方案 24 第六章 整體防病毒部署與管理解決方案 一、防病毒軟件的部署 根據(jù)泉州電信公司網(wǎng)絡(luò)的實(shí)際情況， NAI 的 AVD 防病毒套件能夠很好的解決泉州電信公司網(wǎng)絡(luò)的防病毒需求。結(jié)合泉州電信公司網(wǎng)絡(luò)的防病毒需求、網(wǎng)絡(luò)結(jié)構(gòu)和 NAI AVD 防病毒套件的特征，我們構(gòu)建一個(gè)多層次、多入口的立體病毒防護(hù)體系。如 圖 1 所示 多點(diǎn)入口需要多層防護(hù) I n t e r n e t 網(wǎng)關(guān) 服務(wù)器 桌面 ? ? ? I n t e r n e t E m ail /H t t p /F T P Uni x /NT /Nove l l L ot u s /E x c h ange W i n 3x/ 95/ 2020 專業(yè)版 / D O S Ac t iveX /Java WebShield for SMTP WebShield for Proxy WebSca nX N e t S h i e l d f or NT N e t S h i e l d f or N e t w ar e G r ou p S h i e l d L ot u s Not e s G r ou p S h i e l d E x c h an ge V i r u s S c an W e b S c an X 圖 1 立體病毒防范示意圖 現(xiàn)