《方案建议书-第二分册-网络安全》由会员分享,可在线阅读,更多相关《方案建议书-第二分册-网络安全(32页珍藏版)》请在金锄头文库上搜索。
1、北京国网讯通数据网络技术有限公司山东省Internet数据中心工程技术建议书 第二分册网络安全实施建议北京国网讯通数据网络技术有限公司二零零零年十二月目录第一章 概述1第二章 安全技术介绍22.1防火墙技术22.2防火墙基本工作原理22.3 防火墙的实现方式42.4 网络安全扫描技术52.5网络实时监控技术6第三章 网络安全建议73.1山东IDC网络安全需求分析73.2 网络安全方案建议83.2.1防火墙系统93.2.2安全扫描系统103.2.2.1 Internet Scanner(互联网扫描器)113.2.2.2 System Scanner(系统扫描器)133.2.2.3 Databas
2、e Scanner(数据库扫描器)143.2.2.4 RealSecure(实时监控)153.2.2.6 安全评估和实时监控软件互为补充183.3 安全节点选择及软件应用183.3.1 RealSecure(实时监控)软件的具体应用183.3.2 INTERNET SCANNER在网络中的具体应用223.3.3 System Scanner 在网络中的应用243.3.4 Database Scanner 在网络中的具体应用26附录 产品配置图:30第一章 概述 当今,随着计算机技术的飞速发展,计算机系统和计算机网络已经成为信息化社会发展的重要通信保证,计算机网络及信息系统涉及到国家的政府、军事
3、、文教等诸多领域。山东省internet数据中心一方面作为山东省数据通信的骨干平台,另一方面向社会提供网络信息服务,其网络和系统安全十分重要。因此要建立一个安全可靠的网络系统,就必须设计一套完善的安全策略,采用不同的防范措施,并制定相应的安全管理规章制度等。 网络信息系统包含了从信息产生和获取、信息处理、信息传送到信息利用的全过程。信息网络的全球性、开放性、共事性和发展的动态性,使得其应用范围快速拓展,从传统的文件传输、电子邮件、远程登录等应用发展到“万维网(World Wide Web)”信息服务、电子商务、电子图书馆、远程医疗、远程教育、计算机协同工作、虚拟实验室、移动计算等等。信息系统已
4、经深入应用到政治、经济、军事、科学、文件等领域中,并继续影响着政府机构、企业的运转和人们的生活。 由于计算机信息有共享和易于扩散等特性,它在处理、存储、传输和使用上有着严重的脆弱性,很容易被干扰、滥用、遗漏和丢失,甚至被泄露、窃取、篡改、冒充和破坏,还有可能受到计算机病毒的感染。 网络信息系统在安全方面的脆弱性,使得攻击信息系统事件不断发生,并屡屡获得成功。信息系统安全的缺乏和脆弱,威胁信息系统的信息安全,阻碍着信息系统的发展。在国外,无论是政府还是企业都纷纷投巨资研究和提高信息系统的安全技术,在安全总体政策、风险评估、商业需求、安全机制等方面都取得了长足的进展。九十年代初,信息战的出现更把信
5、息安全提高到战略高度。而近来电子商务也正在成为信息系统的另一热点,这更使得信息系统安全变得举足轻重。信息系统安全与否直接影响着社会信息化的进程,影响着人们的生活和社会的进步。 网络安全包括诸多方面,例如安全策略、风险评估、安全管理、安全机制、安全服务等等。针对山东省internet数据中心的特点,网络系统安全的目的在于提高全网的安全防护能力,加强抵御黑客入侵能力,保证山东省公众多媒体通信网核心业务系统的保密性、完整性和可用性。第二章 安全技术介绍2.1防火墙技术 防火墙在两个网络之间实施相应的访问控制策略。所有从内部通向外部或从外部通向内部的通信业务都必须经过它,只有经过授权的通信业务才允许通
6、过它,系统自身对入侵是免疫的。防火墙通常被用于保护一个可信网络,以防止来自一个不可信网络的攻击。 防火墙型安全保障技术假设被保护网络具有明确定义的边界和服务并且网络安全的威胁仅来自外部网络,它通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部网络屏蔽有关被保护网络的信息、结构,实现对网络的安全保护,因而比较适合于相对独立,与外部网络互联途径有限并且网络服务种类相对集中单一的网络系统。 通过防火墙系统可实现地址转换、数据包过滤、访问控制、应用代理、信息完整性校验、信息加密、跟踪审计、可信计算机策略等网络安全策略。2.2防火墙基本工作原理 防火墙控制网路传输的技术是整个防火墙的技术核心,也是防
7、火墙能否达成其功效的关键,一般常见的技术如下:(1)包过滤(Packet Filter) 包过滤是最早被用来当作防火墙的技术,许多路由器(Router)本身就具有可以限制包是否可以通过的机制。使用包封过滤来控制网路传输,管理者必须预设一些包封通行的规则,当此设备接收到一个包封时就会依照此通行规则来判断是否要允许此包封通过。包过滤技术是目前用来控制网络通信最有效率的一种技术,大部分防火墙的设备都以包封过滤作为其主要实现手段。 包过滤技术与应用无关,具有良好的性能和可伸缩性;但是,由于包过滤技术对应用不敏感,无法理解特定通讯的含义,因此无可避免地会造成在控制上不完整性。(2)链路级网关(Circu
8、it-Level Gateway) 链路级网关本身是一种一般用途的代理(Proxy)进程,当有连接(Connection)要求经过此代理程式时,代理进程会自动接管此连接,根据客户端(Client)要求的目的IP地址及服务类型(Service)自行建立另一个连接,再将所有Client端及Server端互相传输的资料转发给对方。由于代理进程具有自行建立连接的特性,因此使用Proxy可以自然地将内外通信隔离,并进行IP地址的转换。 它和包封过滤最大的区别在于包封过滤所监控的是独立的包封,而Proxy监控的是一个一个的连接,因此,Proxy能够完整的控制每一个连接的动作,在控制功能上比包封过滤完整、安
9、全,管理上也比包封过滤容易,其效率会比包封过滤机制略慢。(3)应用层网关(Application-Level Gateway) 应用层网关也是Proxy 的一种,它与链路级网关的最大差别在于,链路级网关是一般用途的代理进程,而不管透过此Proxy通过的是何种服务,而应用层网关则是针对某一特定应用所设计的代理进程,针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,因此应用层网关可以针对连接作更详细的检查动作以确保更高的安全性。但是相对的,因为其检查的内容多,也降低了它的效率。(4)状态监控包封过滤(Stateful Inspection Pac
10、ket Filter) 状态监控包封过滤采用状态监控技术,同时又能够保持客户/服务器的体系结构,即对用户的访问是透明的。状态监控技术在网络层截获数据包后提交给监控引擎进行分析,监控引擎从中提取源于应用层状态的安全决策信息,动态调整包封过滤的规则,藉此提供动态的防护功能。 状态监测包封过滤通过动态控制,自动调整安全过滤策略,提高了系统的安全性;其监控过滤仍基于独立的数据包而不是数据连接,因此在安全控制上较应用网关弱;状态监测包封过滤的效率界于包封过滤和应用网关之间。 显然,安全性越高的控制技术往往其效率也相对的较差,因此,随着防火墙的技术渐渐成熟,多数的防火墙已不会单独使用其中一种技术,而在适当
11、的地方使用适当的技术,提供多方位的全面防护。2.3 防火墙的实现方式 由于整个网络的安全防护政策、防护措施及防目的不同,防火墙的配置和实现方式也千差万别。这里分析几种常见的防火墙实现方式。(1)包过滤路由器 包过滤路由器(Screening Router)是众多防火墙中最基本、最简单的一种,它可以是带有数据包过滤功能的商用路由器,也可以是基于主机的路由器。 许多网络的防火墙就是在被保护网络和Internet网络之间安置分组过滤路由器。它允许被保护网络的多台主机与Internet网络的多台主机进行直接通信,其危险性分布在被保护网络的全部主机以及允许访问的各种服务类型上。随着服务的增多,网络的危险
12、性将急剧增加。当网络被击破时,这种防火墙几乎无法保留攻击者的踪迹,甚至难以发现已发生的网络攻击。(2)双穴防范网关 双穴防范网关(Dual Homed Gateway)不使用分组过滤规则,而是在被保护网络和Internet网络之间设置一个系统网关,用来隔断TCP/IP的直接传输。被保护网络中的主机与该网关可以通信,Internet中的主机也能与该网关通信,但是两个网络中的主机不能直接通信。这种方式防火墙的安全性取决于管理者允许提供的网络服务类型。(3)屏蔽主机网关 屏蔽主机网关(Screened Host Gateway)防火墙配置时需要一个带分组过滤功能的路由器和一台设防主机。一般情况下,设
13、防主机设置在被保护网络,路由器设置在设防主机和Internet网络之间,这样设防主机是被保护网络唯一可到达Internet网络的系统,通常情况下路由器封锁了设防主机特定的端口,而只允许一定数量的通信服务。 一般而言,屏蔽主机网关防火墙是比较安全的,因为从Internet网络只能访问到设防主机,而不允许访问被保护网络的其他资源,设防主机居于被保护网络,局域网中的用户与设防主机的可达性相当好,不涉及外部路由配置问题。然而,一旦攻击者登录到设防主机,危害性就变得相当大,整个被保护网络都可能是攻击的目标。(4)屏蔽子网防火墙 考虑屏蔽主机网关防火墙的安全性,在配置防火墙时有必要在被保护网络和Inter
14、net网络之间设置一个孤立的子网,这就是屏蔽子网(Screened Subnet)防火墙。一般情况下,采用分组过滤路由器防火墙来孤立这个子网。这样被保护网络和Internet网络虽都可以访问子网主机,但跨过子网的直接访问是被严格禁止的。通常,孤立子网需要设置一台设防主机,即用来提供交互式的终端会晤,同时也兼当应用级网关。 屏蔽子网防火墙这种配置的危害区域是很小的,只集中在设防主机和分组过滤路由器上。这种方法使经过防火墙的所有服务都必须经过应用网关,同时涉及到网络间路由的重新选择,能够隐藏被保护网络可能被遗留的痕迹,许多节点似乎能与Internet网络连接,都被现有网络的重新编址和子网的重新划分
15、变得不可能。对于网间路由的屏蔽子网防火墙,当一个新的子网连入时,必须改变配置,以适应新的子网划分和新的网址分配,否则不能正确地使用防火墙,因此增加了网络的安全性能。 攻击者必须连续重新设置三个网络的路由而不间断,才能侵入设防主机,进而进入被保护网络,最后再返回到分组过滤路由器,而且所有这些都不能被锁住,也不被发现,这在理论上虽有可能,但无疑是相当困难的。 此外,还有应用级网关、代理网关以及混合型网关等多种实现方式。2.4 网络安全扫描技术 由于入侵手段的日益复杂和常用系统出现的安全缺陷,分析网络系统对破坏的抵抗能力有助于保障安全。安全扫描分析系统当前的设置和防御,指出潜在的安全漏洞,以改进系统
16、对入侵的防御能力。安全扫描主要分为两种方式:1.直接配置检查 这种技术的代表是COPS (Computer Oracle Password and Security system)Far91。COPS从系统内部检查常见的Unix安全配置错误与漏洞,如关键文件权限设置,ftp权限与路径设置,root路径设置,密码等等,指出存在的失误,减少系统可能被入侵者,包括内部用户,利用的漏洞。2.模拟入侵 这种技术模拟入侵者可能的攻击行为,从系统外部进行攻击扫描,以探测是否存在可以被入侵者利用的系统安全薄弱之处。它的代表有ISS(Internet Security Scanner )Cla91,SATAN(
17、Security Analysis Tool for Auditing Network ) FaV93。ISS不仅包括对主机系统的安全分析工具,还包括对防火墙的安全扫描工具等。同时,ISS还提供了对数据库系统的认证、授权及完整性进行检查。2.5网络实时监控技术 入侵发现技术起源于80年代初期,由J.P.Anderson首先提出Sun96。入侵发现技术存在的原因之一在于其他技术不能有效地将入侵挡在系统之外,之二是即使入侵成功后,亦需要根据审计数据检查破坏程度,追踪入侵者,并采取相应措施防止再次入侵。入侵发现技术于以往的安全技术的不同,它是对入侵事件本身的直接反应,是管理人员对入侵活动采取进一步行
18、动的基础。入侵发现技术是对入侵活动采取进一步行动的基础,弥补了保障安全重要的一环,它能够很好地、实时地识别对计算机系统的未授权使用、误用或滥用。 对入侵发现系统的划分,有许多不同的方法CrS95Pri97。按照技术、数据来源、体系与作用范围的不同,可以采用如下的划分方法:w 按照采用的分析、发现技术的不同,可以分为:异常发现(Anomaly Detection)与误用发现(Misuse Detection)。w 按照采用的数据来源不同,可分为基于网络(Network Based),基于主机(Host Based)和基于机群(Hosts Based)的入侵发现系统。w 按照入侵发现系统所采用的体
19、系不同,可分为分布式与集中式。按照作用范围不同,可分为网络入侵发现与内部入侵发现。第三章 网络安全建议3.1山东IDC网络安全需求分析山东IDC网络主要包括:邮件系统、业务系统、网管系统、虚拟主机系统。在这些系统中有着众多的服务器。这些服务器提供重要的增值服务和网管业务,保存全网最重要的数据,如果这些主机一旦被攻击,带来的损失不可估量。根据山东IDC网络结构,可以把网络安全问题具体定位在以下三个层次上: 层次一:通讯和服务该层次的安全问题主要体现在网络协议本身存在的一些漏洞。如Ping炸弹可使一台主机宕机、无需口令通过Rlogin以root身份登录到一台主机等,都是利用了TCP/IP协议本身的
20、漏洞。层次二:操作系统这一层次的安全问题来自内部网采用的各种操作系统,如运行各种UNIX的操作系统。包括操作系统本身的配置不安全和可能驻留在操作系统内部的黑客程序等带来的威胁。层次三:应用程序该层次的安全威胁来自防火墙的配置、Web站点、E_mail服务及对数据库的保护。 我们需要综合以上三个层次的情况,配合检测、监控、响应等环节,提供完整的可适应安全管理体系。 按照山东IDC网络实际使用需求,本方案中应提供以下功能:u 对网络的每个网络设备的漏洞检测功能,全面了解网络的耐攻击程度和漏洞分布情况,并帮助安全管理员在黑客攻击网络之前发现隐患、修补漏洞。检测范围包括所有的网络系统设备:WEB服务器
21、、邮件服务器、DNS服务器、数据库服务器、网管服务器、防火墙、交换机、路由器等网络中所有设备及主机。u 对重要主机的操作系统安全检测功能。服务器的操作系统的配置直接影响系统的安全,定期检查其配置情况,可保证操作系统的坚固程度。检测对象主要是WEB服务器、邮件服务器、DNS服务器、数据库服务器、认证服务器、网管服务器等。u 除了定期检测漏洞以外,还应对网络中的重要服务器所在的关键网段的数据流进行实时监控功能。当有非法入侵时,能识别黑客的攻击特征并实时切断连接及报警。u 对服务器进行基于主机的实时监控,当有黑客入侵或有误操作发生时,实时保护重要的系统数据。比如有效地防止黑客篡改重要文件等非法入侵行
22、为,服务器的实时监控主要在WEB服务器、邮件服务器、DNS服务器、数据库服务器、网管服务器上实施。产生报告分析和评估企业安全策略,帮助决策如何持续提高网络的安全。3.2 网络安全方案建议考虑到山东IDC业务对当前和今后安全的需要及建设资金,我们提出以下网络方案建议:3.2.1防火墙系统本工程在省中心,青岛,济南节点均配置防火墙系统。我们建议采用CISCO公司的PIX防火墙。PIX系列防火墙是集成化硬件防火墙,它提供安全、实时、高性能的网络安全保护。它采用专用的实时嵌入式操作系统,支持每秒6,500个连接建立和最高250,000并发连接,吞吐能力达170Mbps。(1) 适用范围 Cisco S
23、ecure PIX防火墙是Cisco防火墙家族中的专用防火墙设施。Cisco Secure PIX防火墙提供强大的安全,而不影响网络性能。产品线可以扩展满足广泛的客户需求和3个容量许可级别。Cisco Secure PIX防火墙是其防火墙市场中的领先产品。Cisco Secure PIX防火墙提供全面的防火墙保护,对外部世界完全隐藏了内部网体系结构。通过Cisco Secure PIX防火墙可以建立使用IPSec标准的虚拟专网(VPN)连接。Cisco Secure PIX防火墙加强了内部网、外部网链路和 Internet之间的安全访问。 (2) 产品特性 实时嵌入式操作系统位于 Intran
24、et 和 Internet 访问路由器之间,并包括以太网、快速以太网、令牌环网或FDDI LAN 连接选项保护方案基于自适应安全算法(ASA),可以确保最高的安全性最多支持 250,000个同时连接URL 过滤直接代理,提高处理速度HP OpenView 集成图形用户界面简化了配置和管理通过电子邮件和寻呼机提供报警和告警通知通过专用链路加密卡提供 VPN 支持符合委托技术评估计划(TTAP),经过了美国安全事务处(NSA)的认证,同时通过中国公安部安全检测中心的认证 工程中各节点的防火墙配置情况如下:防火墙产品数量用途备注省中心PIX-515-R-BUN2用于网管系统和安全级别要求较高的虚拟主
25、机接入internet济南、青岛PIX-515-R-BUN2用于网管系统和安全级别要求较高的托管服务器接入internet3.2.2安全扫描系统工程在省中心和济南、青岛节点配置安全扫描系统,我们建议采用ISS公司的安全扫描产品。美国ISS公司是当今全球顶级致力于防止互联网黑客攻击的软件公司,也是当今世界上知名的成长速度最快的上市公司之一。目前,ISS是全球可适应性网络安全检测、监控、响应软件的主要提供商。ISS公司的网络安全产品SAFEsuite分别针对网络层、操作系统层、应用层三个层次提供相应检测产品:Internet Scanner(检测层次一、三的漏洞)、System Security
26、Scanner(检测层次二的漏洞);Database Scanner(检测层次三的漏洞);SAFEsuite还提供实时监控产品RealSecure。四类产品共同完成可适应安全管理模型中的检测、监控和响应的功能。用户可根据需要加以选择。3.2.2.1 Internet Scanner(互联网扫描器)该产品的时间策略是定时操作,扫描对象是整个网络。Internet Scanner目前能对800多种的来自通讯、服务、防火墙、WEB应用等的漏洞进行扫描,它采用模拟攻击的手段去检测网络上每一个IP隐藏的漏洞,其扫描对网络不会做任何修改和造成任何危害。 Internet Scanner主要针对通讯和服务、
27、Web站点以及防火墙的漏洞进行扫描, Internet Scanner每次扫描的结果可生成详细报告,报告对扫描到的漏洞按高、中、低三个风险级别分类,每个漏洞的危害及补救办法都有详细说明。用户可根据报告提出的建议修改网络配置,填补漏洞。针对目前的设备、系统和应用的设计,Internet Scanner能检测的内容如下:Q Service检测:检测系统中采用的每个路由器设备、UNIX服务器、NT所提供的活动的Service及端口号。Q 强力攻击检测对系统中采用的Solaris、Linux的口令,通过telnet、Ftp、rsh、rexec、pop3等服务进行强力猜试,检测各系统的口令设置是否安全。
28、Q Daemons检测对系统中采用的Solaris、Linux及Windows系统中的各种Daemons进行检测,发现其固有的安全漏洞和泄露敏感信息所造成的安全隐患。检测的Daemons包括:finger、HTTP、IMAPD、NNTP、RIP、Rlogin、Rsh、SSHd、Rwho、telnet、TFTP、UUCP、Routed等。并检测Windows2000、Windows NT和Windows 95/98系统中Back Oriffice、Netbus、Portd等黑客程序。Q Network检测Q SNMP协议检测:检测SNMP的认证口令设置是否安全。攻击者可通过不安全的Communi
29、ty Name获得系统或网络设备的重要信息。Q 路由/交换设备的检测:检测系统中采用的路由器、交换机等网络设备的安全隐患。Q 拒绝服务攻击检测:检测系统中采用各种操作系统的拒绝服务攻击漏洞。如:Q Ping Bomb:可能存在于Solaris、Linux和其它各种UNIX、Windows操作系统。Q UDP Bomb:存在于SunOS。Q Finger Bomb:存在于UNIX。Q Out of Band Crash:Windows NT, Windows 95。Q Chargen Running:存在于各种UNIX、Windows。Q Echo Running:存在于各种UNIX、Windo
30、ws。Q DNS Version Vulnerable to Denial of Service:存在于Windows NT。Q SMTP DoS for Microsoft Exchange:存在于Windows NT。Q SYN Storm:存在于各种UNIX、Windows NT。Q Data Flood:存在于各种UNIX、Windows。Q Open/Close Connection Flood:存在于各种UNIX、Windows。Q Syslog Flood:存在于UNIX。ICMP Redirect Downed Host:存在于旧的UNIX系统。3.2.2.2 System S
31、canner(系统扫描器)该产品的时间策略是定时操作,扫描对象是操作系统。System Security Scanner分为引擎和控制台两个部分。引擎必须分别装在被扫描的服务器内部,在一台集中的服务器上安装控制台。控制台集中对各引擎管理,引擎负责对各操作系统的文件、口令、帐户、组等的配置进行检查,并对操作系统中是否有黑客特征进行检测。 其扫描结果同样可生成报告。并对不安全的文件属性生成可执行的修改脚本。System Security Scanner控制台主要运行在NT Server/Workstation平台上。 System Security Scanner 代理包括下面几种: System
32、 Scanner Agent for NT 4.0 Server/WorkstationSystem Scanner Agent for Red Hat Linux 6.1System Scanner Agent for AT& T SVR 4.0 x86System Scanner Agent for Digital Unix 3.2c, 4.0BSystem Scanner Agent for HP-UX 9.05, 10.10, 10.20,11.0System Scanner Agent for AIX 3.2.x, 4.xSystem Scanner Agent for NX 6,
33、7, 7M+System Scanner Agent for SCO Open Server 5.0System Scanner Agent for Sequent PTX 4, 4.2x, 4.2x (large files), 4.4System Scanner Agent for Siemens SINIX-N 5.43 (C1001)System Scanner Agent for Solaris 1.x, 2.5.1, 2.6System Scanner Agent for SCO UnixWare 2.0, 2.1System Scanner Agent for NT 3.51,
34、4.0 x863.2.2.3 Database Scanner(数据库扫描器)该产品的时间策略是定时操作,扫描对象是数据库,如Microsoft SQL Server 6.x,Microsoft SQL Server 7.0,Sybase Adaptive Server 11.x,Oracle 7.3,Oracle 8.0 。该产品可保护存储在数据库管理系统中的数据的安全。Database Scanner增强了ISS在安全领域的市场领先地位,并且目前ISS是唯一提供数据库安全管理解决方案的厂商。用户可通过该产品自动生成数据库服务器的安全策略,这是全面的企业安全管理的一个新的重要的领域。Data
35、base Scanner具有灵活的体系结构,允许客户定制数据库安全策略并强制实施,控制数据库的安全。用户在统一网络环境可为不同数据库服务器制定相应的安全策略。一旦制定出安全策略,Database Scanner将全面考察数据库,对安全漏洞级别加以度量的控制,并持续改善数据库的安全状况。Database Scanner能通过网络快速、方便地扫描数据库,去检查数据库特有的安全漏洞,全面评估所有的安全漏洞和认证、授权、完整性方面的问题。Database Scanner漏洞检测的主要范围包括: 口令,登录和用户 检查口令长度,检查有登录权限的过去用户,检查用户名的信任度。配置 验证是否具有潜在破坏力的
36、功能被允许,并建议是否需要修改配置,如回信,发信,直接修改,登录认证,一些系统启动时存储的过程,报警和预安排的任务,WEB任务,跟踪标识和不同的网络协议。安装检查 提示需要客户打补丁及补丁的热链接。权限控制 检查那些用户有权限得到存储的过程及何时用户能未授权存取Windows NT文件和数据资源。它还能检查“特洛伊木马”程序的存在。Database Scanner运行在网络中的一台单独的机器上即可对网络中的数据库进行扫描,其工作平台为Windows NT 4.0 Server/Workstation。3.2.2.4 RealSecure(实时监控)该产品的时间策略是实时监控,监控对象是一个物理
37、网段或主机系统。Realsecure分为引擎和控制台两个部分,而引擎又分为网络引擎(Network Engine)和系统代理(System Agent)两种。网络引擎必须分别装在各个物理网段上,实时监听网络上流动的数据包。它能够解析IP包建立连接的源、目的地址,源端口、目的端口,协议类型(TCP、UDP、ICMP之一),并能识别具有黑客攻击的IP包。它在检测到入侵行为后可在微秒级内采取“报警、记录、切断、回放”等步骤以及可以对某些防火墙的策略重新配置,它是对“锁”和“监视器”的重要及必要地补充。(“锁”是指那些用来把入侵者拒之于网络之外的机制,如身份验证、授权以及加密等;“监视器”则是指那些盯
38、着开着的“门”或“窗户”的机制,如安全性评估和审计等。它可同时监测到来自内、外部的攻击,这样用户网络整个安全体系将采用“静态、动态、立体、多重”全方位的安全防护策略,会使整个网络安全得到有效的加强。系统代理则是基于主机的监控系统,它可以监视用户及文件访问,需安装在每个需要保护的主机上。它实时分析主机日志来识别攻击,发现攻击它会中断用户进程和挂起用户帐号来阻止进一步入侵,同时它还会发出警报、记录事件等以及执行用户自定义动作。它可以监视系统重要成员,比如NT注册表、DLL、主页等,当这些文件被修改时,System Agent可以报警或执行用户预定义的操作,利用这一特点,可以实现重要文件的自动恢复等
39、功能。控制台用来集中控制分布在不同网段及不同主机上的传感器,通过与远地传感器的通讯,将远地传感器后台数据库中的记录传送到本地数据库中,并可生成报告,供网络安全管理员分析。需要说明的是,RealSecure与防火墙是各具不同功能的。适当配置的防火墙可以将非预期的信息屏蔽在外。然而防火墙为提供一些级别的获取权的通道可能被伪装的攻击者利用,如FTP。一个常见的攻击手段是试图获取FTP的root权限。一旦攻击者获得对网络内部系统的权限,其他系统会变得脆弱。防火墙不能制止这种类型的攻击,RealSecure却能够制止。RealSecure对网络信息流监控,能够检测到并终止获取FTP的root权限的企图。
40、 另外防火墙的错误配置也有可能发生。尽管防火墙的错误配置能够迅速更正,网络内有了RealSecure则能捕获许多溜进来的未预料的信息。即便不选择切断这些连接,RealSecure所发出的警告的数量仍能迅速表明防火墙没有起到作用。RealSecure 控制台主要运行在WindowsNT 4.0 Server/Workstation。RealSecure网络传感器主要有:l RealSecure Network Sensor for NT 4.0 Server/Workstationl RealSecure Network Sensor for Solaris (SPARC) 2.5.1,2.6,
41、2.7l RealSecure Network Sensor for Solaris x86 2.6,2.7RealSecure系统代理主要有:l RealSecure System Sensor for NT 4l RealSecure System Sensor for Solaris SPARC 2.5.1, 2.6, 2.7l RealSecure System Sensor for HP/UX 11.0l RealSecure System Sensor for AIX 4.3.2,4.3.33.2.2.5 SAFEsuite DecisionSAFEsuite Decision将I
42、SS SAFEsuite产品的价值定位于能提供一个完整的可适应性企业网络安全体系,用于实时探测和预保护。SAFEsuite Decision将ISS的互联网扫描器、实时监控和第三方的防火墙产生的重要安全数据综合成一个封闭的自闭合的环。通过安全分析和取证信息帮助识别严重的安全热点。管理员不必再去收集和分析数据,而直接集中精力去实施能改善整个企业安全的措施。SAFEsuite Decision是一个新的起步,它实现了企业安全风险的有效管理,加强了大规模网络和基于互联网的商务应用的安全性。 基于ISS的SAFElink技术, SAFEsuite Decision能够浏览到企业安全风险条件的变化。SA
43、FElink实际上是从网络中的安全产品中收集和存储信息的一组软件,它把这些收集的信息合并到一个数据库中,称为SAFEsuite企业数据库,其中安全产品主要包括ISS的Internet Scanner、RealSecure以及第三方的防火墙比如Checkpoint Firewall-1,根据SAFEsuite企业数据库,SAFESuite Decisions能产生报告分析和评估企业安全策略,这些报告可以帮助用户决策如何持续提高网络的安全。集中的安全信息l 综合从多个网络运行的多个源中得到的重要安全数据,来改善企业的整个安全面貌。l 将ISS X_Force的知识库和多年的可适应性网络安全的经验用
44、于一个企业的应用。l 提供内部和外部的分析并在实际网络中发现风险源和直接响应。管理功能企业安全风险管理报告- SAFEsuite Decision提供基于统一、相互关联、协调的从产品而来的分析信息的有价值的安全报告。报告集中于重要的风险管理范围,如实时风险、攻击条件、安全漏洞和攻击分析。报告的定制执行- SAFEsuite Decision报告的执行和分布是自动的并且是可以预定的。这样保证了重要安全信息的快速有效的传播。企业安全数据的集中管理- SAFEsuite Decision的SAFEsuite企业数据库组件是一个具有一定规模的关系数据库,它成为企业安全数据的一个集中且永久的数据存储。S
45、AFEsuite Decision 依赖于Microsoft SQL Server 或Oracle关系数据库。安全数据采集- SAFEsuite Decision 的SAFElink Loader组件使得来自于安装在世界各地的产品如ISS SAFEsuite 应用和第三方产品的安全信息能够安全转移到SAFEsuite企业数据库中。3.2.2.6 安全评估和实时监控软件互为补充Internet Scanner、System Scanner、Database Scanner是依据不同的评估领域划分出漏洞评估扫描软件,它们以现有的网络技术探测网络中存在的问题,根据它们扫描的结果可对企业内部网络提交风
46、险报告,建议安全管理人员及时填补安全漏洞,提高网络和系统的安全等级,最大限度地降低安全隐患。但网络不可能绝对安全,因此需要Realsecure配合前三种产品,实时地监控所有或重要的物理网段,依据即定的安全策略,确保在攻击发生时阻断连接,并记录犯罪过程,为进一步完善安全策略提供依据。3.3 安全节点选择及软件应用3.3.1 RealSecure(实时监控)软件的具体应用1) 图例参见附图。2)功能说明通过在千兆网络端口用TopLayer“多抄送(CC)组支持网络”系统,将千兆网络数据流分配给RealSecure Network Sensor实时入侵检测系统,需要添加NT Workstation主
47、机用于安装RealSecure 网络传感器,实时监控从外部网络进入/出的数据流,实时解析可疑数据,切断可疑连接,并及时反应给安全管理员,保证数据中心网络不受到来自外部的攻击。对于省中心的网管系统、邮件系统、业务系统、虚拟主机系统和济南青岛的网管系统、业务管理系统、服务器托管系统中的所有重要服务器上安装RealSecure OS Sensor,实时监控访问这些服务器的访问请求,检查系统日志,解析可疑访问请求,及时反应给安全管理员,避免服务器受到来自内部和外部的访问攻击。RealSecure网络传感器和系统传感器的控制台是统一的,所以只需在网络控制中心添加一台NT WorkStation安装Rea
48、lSecure控制台即可对全网所有的RealSecure网络引擎和系统代理进行管理。RealSecure Network Sensor以及OS Sensor的确切数目要根据网络的具体的拓扑图配置。3) 添加设备RealSecure 网络传感器需要安装在一台单独的计算机上。具体的数目根据实际的拓扑图配置而定。 最低系统要求:平台最小系统需求Windows NT300 MHz Pentium II或更高的处理器至少128 MB内存(推荐256MB)150MB磁盘空间,用来存放日志文件和数据库记录10MB用于软件安装安装了Service Pack 6.0a的Windows NT 4.0 Workst
49、ation(从Service Pack3到Service Pack 6.0a都支持)一个PCI网卡(具有混杂模式能力,并能连接到被监控的网段) 以太网 快速以太网 Token Ring FDDI选项:第二块网络接口卡(NIC)。控制台通过第二块网络接口卡与一个安全网络连接,进行额外的通信Solaris SPARCUltraSPARC 2 或更好的处理器至少128 MB内存(推荐256MB)至少150MB磁盘空间Solaris SPARC 2.5.1, 2.6, 2.7Sbus或PCI具有混杂模式能力的适配器(推荐PCI)选项:第二块网络接口卡(NIC)。控制台通过第二块网络接口卡与一个安全网络
50、连接,进行额外的通信RealSecure OS Sensor安装在被保护主机上,无需额外添置设备。平台最小系统需求Windows NT安装了Service Pack 6.0a的Windows NT 4.0(NT 4.0 Workstation和NT 4.0 Server都支持)从Service Pack3到Service Pack 6.0a都支持至少64 MB内存(推荐128MB)25MB磁盘空间用于软件安装50MB磁盘空间用于软件运行Pentium II系列或更高的处理器Solaris SPARCSolaris SPARC 2.5.1, 2.6, 2.7注意:Solaris 2.5.1操作系
51、统探测器不支持在线升级UltraSPARC2至少50MB磁盘空间用于软件运行IBM AIXAIX 4.3.2或者AIX 4.3.3至少50MB磁盘空间用于软件运行HP-UXHP-UX 11.0至少50MB磁盘空间用于软件运行从HP网站http:/下载Patches #PHCO_16127, Patches #PHCO_19666, 和Patches #PHCO_20765RealSecure WorkGroup Manager安装在一台单独的NT 4.0 x86计算机上。添置1台即可。RealSecure控制台还可以作为IBM Tivoli、HP OpenView等网管软件的插件。平台最小系统
52、需求Windows NT300 MHz Pentium II 或更好的处理器至少128 MB内存(推荐256MB)100M磁盘空间用于控制台管理每个探测器注意:数据库使用(和需要的)磁盘空间取决于各种因素,包括网络上通信量的多少、监控事件的种类、写入数据库的内容和同步数据库的频率20M磁盘空间用于软件安装安装了Service Pack 6.0a的Windows NT 4.0(推荐NT 4.0 Workstation)支持从Service Pack3到Service Pack 6.0a安装了Service Pack1 的Microsoft IE 4.01或更高版本用于查看关于攻击和怎样处理攻击的
53、帮助信息从微软站点http:/ RTM系统管理员权限支持最少256色、800x600分辨率的显示器3.3.2 INTERNET SCANNER在网络中的具体应用1)图例参见附图。2)功能说明Internet Scanner扫描的对象是基于 TCP协议的网络设备,包括服务器、路由器、工作站、网络打印机、防火墙等,通过模拟黑客攻击手法,探测网络设备存在的弱点,提醒安全管理员,及时完善安全策略,降低安全风险。只需在网络中一台机器上安装上Internet Scanner即可对全网所有网络设备及服务器等进行扫描。山东IDC网络中所有的网络系统设备都需要使用Internet Scanner。3) 添加设备
54、添加一台单独的NT Workstation x86/SP4+的计算机,用于安装Internet Scanner扫描器。建议使用便携式笔记本安装Internet Scanner,以便于从不同的网络位置对网络设备进行扫描(该笔记本还可以同时安装System Scanner的Console以及Database Scanner)。 系统要求:项目最小系统需求处理器200MHz Pentium Pro(推荐300MHz Pentium)操作系统安装了Service Pack 6的Windows NT 4.0 Workstation(强烈建议使用独立、专用系统进行扫描)注意:互联网扫描器不支持Window
55、s NT 3.51, Windows NT 4.0 Server,Windows 2000 Server, 或Windows 2000 Advanced Server同RealSecure协同工作:推荐Windows 2000 Professional其他软件Microsoft IE 4.X 或更高版本用于运行HTML帮助Adobe Acrobat Reader 4.x 或更高版本用于查看.Scanner6Manuals目录下的PDF文件内存通常扫描:80MB大规模扫描:128MB(推荐256MB)硬盘从文件安装需要180MB,从CD安装需要60MB。运行时:55MB + 2.5MB每100个
56、主机推荐NTFS分区用户权限本地或域管理员网络连接到一个活动网络中的Ethernet 或Token Ring协议TCP/IPMDAC2.1或更高版本显示支持最少256色、800x600分辨率的显示器3.3.3 System Scanner 在网络中的应用1)图例 参见附图。2)说明System Scanner通过对企业内部操作系统安全弱点的完全分析帮助组织管理安全风险。系统扫描比较一个组织规定的安全策略和实际的主机配置来发现潜在的安全风险,包括缺少安全补丁、词典中中可猜中的口令,不适当的用户权限、不正确的系统登陆权限、不安全的服务配置和代表攻击的可以行为。在山东IDC网络中对比较重要的服务器的
57、操作系统定期进行安全漏洞扫描。在省中心的网管系统、邮件系统、业务系统、虚拟主机系统和济南青岛的网管系统、业务管理系统、服务器托管系统中比较重要的服务器上安装System Scanner的代理部分,在网管中心的一台NT工作站上安装System Scanner控制台(可以与Internet Scanner安装在同一台机器上);定期对重要服务器的文件、帐户、组、口令的配置检测,指出不符合安全的配置;检测操作系统内部是否有黑客程序驻留。扫描结果可生成各级漏洞报告,可根据报告中详述的内容修改操作系统中不安全的配置。 需要使用System Scanner的确切数目要根据网络的具体的拓扑图配置而定。3)添加
58、设备 System Scanner的代理部分直接安装在需要保护的域名服务器、WEB服务器、网管服务器、记费服务器,无需额外设备。 System Scanner控制台需单独安装在一台NT工作站上,可以与Internet Scanner安装在同一台机器上。System Scanner Console系统需求:平台最小系统需求Windows NT200 MHz Pentium II 处理器(推荐300MHz或更快的处理器)64 MB内存(推荐128MB或更大的内存)安装了Service Pack 4或5的Windows NT 4.0 Workstation或ServerWindows NTFS磁盘分
59、区100M剩余磁盘空间2GB磁盘空间用于存储漏洞扫描结果和报告256色、1024x768图形分辨率Microsoft IE 4.0,Netscape 4.0及以上或相对应的其他浏览器MDAC 2.0.3 或者2.1 SP2注意:系统扫描器控制台4.0不支持MDAC(微软数据库访问组件)2.5安装TCP/IP协议,并且能够直接解析代理和控制台的主机名System Scanner Agent系统需求:平台最小系统需求Windows NT安装了Service Pack 4或5的Windows NT 4.0 Workstation、Server或Enterprise ServerWindows NTF
60、S磁盘分区64 MB内存35M剩余磁盘空间50M磁盘空间用于存储扫描结果安装TCP/IP协议,并且能够直接解析代理和控制台的主机名Windows 2000Windows 2000 Professional、Windows 2000 ServerWindows NTFS磁盘分区64 MB内存35M剩余磁盘空间50M磁盘空间用于存储扫描结果安装TCP/IP协议,并且能够直接解析代理和控制台的主机名UNIX(包含系统扫描器3和4版本的系统需求)32 MB内存/交换内存10M剩余磁盘空间50M磁盘空间用于存储扫描结果安装TCP/IP协议,并且能够直接解析代理和控制台的主机名3.3.4 Database
61、 Scanner 在网络中的具体应用1)说明 数据库扫描器(Database Scanner)是世界上第一个针对数据库管理系统的风险评估检测工具,可以利用它建立数据库的安全规则,通过运用审核程序来提供有关安全风险和位置的简明报告。利用Database Scanner定期地通过网络快速、方便地扫描数据库,去检查数据库特有的安全漏洞,全面评估所有的安全漏洞和认证、授权、完整性方面的问题。故只需在一台NT Workstation上安装上Database Scanner即可通过网络对数据库实施安全漏洞检测。在省中心的虚拟主机系统和济南青岛的服务器托管系统中所有的数据库服务器都用到DataBase Sc
62、anner。2)添加设备 添加一台NT Workstation用于安装数据库扫描器,建议与Internet Scanner、System Scanner Console安装在同一机器上。系统要求:项目最小系统需求操作系统Windows 2000 Professional安装了Service Pack 3 或更高版本的Windows NT 4.0 浏览器安装了Service Pack 1或更高版本的Microsoft IE 4.01处理器Pentium以上处理器内存16MB+15MB同时扫描的系统数硬盘60M剩余磁盘空间数据库网络连接使用一个具有足够访问权限的帐号对每种数据库进行安全扫描检测,每
63、种数据库的需求细节请参照该“数据库访问需求”数据库服务器系统要求:数据库类型版本操作系统需求Microsoft SQL Server 7 或者 6.xWindows NT或者Windows 2000 Sybase Adaptive Server 11.xUnix, Windows NT, or Windows 2000Oracle 8i, 8.0, or 7.3Unix, Windows NT, or Windows 2000附录 产品配置图:InterScan 省中心 济南、青岛节点Tel:85288668 Fax:85288670第29页地址:北京朝阳区建国门外大街永安东里8号华彬大厦16层, 100022
