《ISS安全评估和入侵检测产品综述》由会员分享,可在线阅读,更多相关《ISS安全评估和入侵检测产品综述(44页珍藏版)》请在金锄头文库上搜索。
1、网络安全评估网络入侵检测解决方案编纂:北京立新圆计算机技术有限公司 地址:北京海淀区蓟门里北甲四楼 邮编:100088电话:8610-62367832传真:8610-62367835目录安全评估3 1 Internet Scanner3 1.1简介3 1.2 In ternetSca nn er扫描特征1.3扫描过程2 System Scanner82.1简介82系统扫描器结构 8 2.3 System Scanner产品特点92.产品扫描特102.5 System Scanne 扫描过程.11143 Database Scanner113.1简介11 3.2Database Scanne 特
2、点123.3扫描过程144 ISS安全评估产品软硬件要求.5 ISS安全评估产品支持的平台:15 5.1Internet Scanner15 5.2 DatabaseScanner165.3 System Scann er .166 ISS安全评估产品对系统的影响.177漏洞特征和扫描引擎的定期更新服务188 ISS安全评估产品的报表.199安全评估产品的部署209.1 In ternet Scanne 和 Database Scanne 的部署20 9.2System Scanne的部署.测2二入侵检25 1RealSecure25 1.1RealSecure产品简介25 1.2 RealS
3、ecure通过以下部件支持开放的网络环境26 1.3基于主机和基于网络相结合的入侵检测26 1.4 有 Network En gi ne 和 SystemAge nt都支持用户定义的基于明文字 符串匹配的客户签名。271.5 RealSecur的组成271.6 RealSecu产品特点:281.7 RealSecu可识别的攻击特征:291.8 RealSecu攻击防御过程30 1.实时监控系统 RealSecure对系统的影响 321.10 RealSecu软硬件要求32 1.11 RealSecu的部安全评估安全评估产品主要是静态对网络中的各种系统、设备和数据库进行漏洞扫描,找出整个网络系统
4、中最容易受到攻击的地方,对网络进行有效的评估,最后提出建 设性的解决方案。 目前ISS公司主要提供 Database Sca nner In ternet Scanne和 System Scanne三种扫描器安全评估产品,分别可对数据库、网络和系统进行安全 评估。ISS 的安全评估工具 In ternet Scanne、System Sca nne 和 Database Scanner 拥有目前业界最为丰富和完整的安全漏洞特征数据库。目前,In ternet Sca nne版本为6.0.1,可检测34类共543种安全漏洞;System Scanne版本为4.0可以检测759种 Windows
5、NT安全漏洞 和558种UNIX安全漏洞;Database Scanne版本为3.0可以 检测 Sybase Adaptive Serve、Microsoft SQL Server 和 Oracle Database三种数据库 的认证、授权、系统完整性三类共 168种安全漏洞。下面 分别对其一一做简要介 绍。1 Internet Scanner1.1简介ISS的In ternet Sea nner是网络安全工业首选的策略产品,它对网络漏洞进行分析和提供决策支持。In ternet Scanne主要致力于某一非常重要的组织网络风险管理方面-识别和描述技术漏洞。In ternet Sea nne有
6、计划和可选择性地对您的网络通 信服务(WEB, E-mail , DNS、 操作系统、主要的应用系统以及路由器和防火墙进行探测扫描,查找最容易被用来 攻击的漏洞 探 测、调查和模拟攻击您的网络。最后,In ternet Sea nner对您的 漏洞 情况进行分析,同时提供一系列正确的所应采取的措施,提供趋势分析并可根据您的 需要产生报告和数据。In ternet Scann er包括三个完整的模块:Scanning intranets扫描内部网络,Scanning firewalls 评估防火墙,Scanning web servers 扫描 Web 服务器。In ternet Scanne已
7、被公安部三所用来评测防火墙,确定某种防火墙是否能取得 销售许可认证的依据。Internet Scanne产品特点1、Internet Scanne的优点:可快速便捷地更新一互联网扫描的新X-press更新特点可以让用户自动接收 新对策,来防范最新的漏洞和威胁,以保护他 们的网络用户可自定义轻松的安全策略 一用户能轻松的升级自己的“Flex Checks或根据自己的独特环境自定义检测方法。广泛的综合性一互联网扫描仍然是漏洞检测市场上最具合性解决方案的产品。6.0版本包括新近内建的漏洞检测,以检查最近的安全风险包括超过 24遍检测后门程序,例如BackOffice 2000集成性一一ISS提供了业
8、界第一个评估操作集成功能,通过将数据库扫描和互 联网扫描的功能结合起来,让用户更有效的管理数据库与互联网相结合的安全风险业界最完整的漏洞检查列表 一一大大减少了忽略一个重要 漏洞的风险高度自动化,操作快速、简单一一提供优先任务以减少风 险的暴露。此种任务 包括为快速管理或消除安全隐患的详细描述,并让您在短时间内扫描多个系统。结构化扫描一一帮助管理员根据特定的需要提供相应层次的风险评估。按照 特定的时间、广度和细致的需求配置多个扫描。 技术细节给安全专家,高层次的趋 势分析概要给行政主管。快速易于管理的图形报告系统通过加速审核过程节省时间和金钱规模化一一系统扫描能够随着组织的增长而扩大,从小的网
9、络到企业级的安装 轻松的执行企业网的安全扫描。并行扫描一一能够很容易地对大的网络同时执行多个扫描,检查并且报告企业网中设备如防火墙、路由器的一般性漏洞。与Database Seann紧密集成与ISS Database Seanne协同工作,在网络环境中鉴别新的数据源,并在In ternet Sea nne环境中运行数据库风险评估扫描。从一个工具检测TCP/IP、UNIX和Windows NT 最大化安全覆盖,控制消 耗,简化培训和配置。简化了大量网络安全问题 一一是网络安全投资的回报最 大。到提供补丁的供应商的链接 可加速和促进网络安全的 改善。安全策略依据一一详细的帮助数据库帮助没有经验的管
10、理员实现网络的安全 并且制定实际的、可强制执行的网络安全策略。可升级性 In ternet Scann er可以和您的网络一起成 长,从小的网络到企业级 网络。多层扫描允许管理员随意配置,在特定的时间、广度和细度。自动安装的 X-Press可升级In ternet Scanner的漏洞数据库和程序代码以保证网络所需的最新安Brine Force Password-Guessing为经常改变的帐号.口令和服等测试其女余性Daemons检测UNIX进程(Wind。矶 服务Network检测SNMP和路由器及交换设备漏洞Denial of Service检测中断操作系统和程序的漏洞* 些检测将暂停相
11、屁 的服务NFS/X Windows检测网络网络SC件系统和X-Windows的漏洞RPC检测特定的远程过程训川SMTP/FTP检测SMTP fll FTP的漏洞Web Server Scan and CGI-Bin检测 Mb服务器的文件和程序(如ns. CGI脚本和 HTTP)NT Users Groups* and Passwords检测NT J1户,包括用户、口令策略、解锁饿略Bn他曲 Policy检测IE和Netscape浏览舞潟洞Security Zones检测用于访问臣联网安全区域的权限漏洞全信息。灵活的检测能力允许用户为自己的应用服务提供升级。Sea nn er扫描特征1.2 I
12、n ternetJ .二 DMZInternet Scanner “ 一 z-hkil1.3扫描过程In ternet Scanne网络结构图Internet Scanner-o-Rcuter如图所示,Internet Seanne有计划和可选择性地对您的网络通信服务(WEB, Email , DNS、操作系统、主要的应用系统以及路由器和防火墙进行探测扫描,查找最容易被用来攻击的 漏洞,探测、调查和模拟攻击您的网络。最后,In ternet Scanner 对您的漏洞情况进行分析,同时提供一系列正确的所应采取的措施,提供趋势分析并 可根据您的需要产生报告和数据。带箭头线路代表In ternet
13、 Scanner的扫描过程。System Scanner1.4简介System Sca nne系统扫描器是一个基于主机的安全评估系统。它和网络扫描器有所区别,它提供基于主机的安全评估,分析安全弱点。网络扫描器是在网络层扫描 各种设备来发现安全漏洞,系统扫描器是在系统层上通过依附于网络设备上的扫描器代理侦 测主机内部的漏洞。这些扫描器代理策略可以通过企业的某个控制台进行集中管理和配置。系统扫描器在相当严格的基础上对安全风险级别进行划分。在UNIX系统上,它对大量的安全问题能自 动产生修补程序脚本。一旦系统被确认 处于安全的状态后,系统扫描器会用一种数字指纹锁定系统配置,以便更容易发现非 法访问。
14、1.5系统扫描器结构1、系统扫描器结构系统扫描器采用Client/Server结构,由代理程序(客户端和控制台(服务端组成。 系统扫描器代理安装在被检查和监控的机器上,控制台安装在控制中心,可以和代理 安装在同一台机器上或其它网络能与代理机器连接的主机上。2、被管理和管理系统运行代理程序的系统称之为被管理系统,运行控制台的系统称之为管理系统。一旦代理程序和控制程序安装完毕,你就可以交互式地操作系统扫描器的代理 程序进行系统安全漏洞扫描,包括系统错误配置或普通配置信息。用户通过扫描结 果对系统漏洞进行修补,直到扫描报告中不再出现任何警告,同时可以制定一个系统 基线。以后可以计划一个规则,让系统扫
15、描器在没有任何监管情况下自动运行,一旦 发现漏洞立即报警。系统扫描器所实行的所有规则定义在每个代理的知识库里 ,它允许我们自己定 义一个适合相应平台的规则。它还允许我们对 进行特殊定义,当网络不通时代理也 可以进行工作。1.6 System Scanne 产品特点宽阔的支持平台 系统扫描现在可以支持24种以上的平台,包括Unix平台 的很多类型例如Linux和 Windows NT, Netware等。用户可自定义轻松的安全策略 一一用户能轻松的升级自己 的“Flex Checks或 根据自己的独特环境自定义检测方法。网上通讯加密系统扫描器代理和控制台之间采用 SSL (Secure Socket Layer加密方法在网上进行信息交流,不会受到窃听的威胁。丰富全面的安全规则一一系统扫描器涵盖超过900 Unix和NT系统的安全规
