IDC网络系统安全实施方案

IDC网络系统平安实施方案1吉通上海IDC网络平安功能需求1.1吉通上海公司对于网络平安和系统可靠性的总体设想〔1〕网络要求有充分的平安措施，以保障网络效劳的可用性和网络信息的完整性。要把网络平安层，信息效劳器平安层，数据库平安层，信息传输平安层作为一个系统工程来考虑。网络系统可靠性：为减少单点失效，要分析交换机和路由器应采用负荷或流量分担方式，对效劳器、计费效劳器和DB效劳器，WWW效劳器，分别采用的策略。说明对效劳器硬件、操作系统及应用软件的平安运行保障、故障自动检测/报警/排除的措施。对业务系统可靠性，要求满足实现对硬件的冗余设计和对软件可靠性的分析。网络平安应包含：数据平安；预防病毒；网络平安层；操作系统平安；平安系统等；〔2〕要求卖方提出完善的系统平安政策及其实施方案，其中至少覆盖以下几个方面：对路由器、效劳器等的配置要求充分考虑平安因素制定妥善的平安管理政策，例如口令管理、用户帐号管理等。在系统中安装、设置平安工具。要求卖方详细列出所提供的平安工具清单及说明。制定对黑客入侵的防范策略。对不同的业务设立不同的平安级别。〔3〕卖方可提出自己建议的网络平安方案。1.2整体需求平安解决方案应具有防火墙,入侵检测,平安扫描三项根本功能。针对IDC网络管理局部和IDC效劳局部应提出不同的平安级别解决方案。所有的IDC平安产品要求厂家稳定的效劳保障和技术支持队伍。效劳包括产品的定时升级，培训，入侵检测,平安扫描系统报告分析以及对平安事故的快速响应。平安产品应能与集成商方案的网管产品，路由，交换等网络设备功能兼容并有效整合。所有的平安产品应具有公安部的销售许可和国家信息化办公室的平安认证。所有平安产品要求界面友好，易于安装，配置和管理，并有详尽的技术文档。所有平安产品要求自身高度平安性和稳定性。平安产品要求功能模块配置灵活，并具有良好的可扩展性。1.3防火墙局部的功能需求网络特性：防火墙所能保护的网络类型应包括以太网、快速以太网、(千兆以太网、ATM、令牌环及FDDI可选)。支持的最大LAN接口数：软、硬件防火墙应能提供至少4个端口。效劳器平台：软件防火墙所运行的操作系统平台应包括、Linux、WinNT4.0(HP-UX、IBM-AIX、Win2000可选)。加密特性：应提供加密功能，最好为基于硬件的加密。认证类型：应具有一个或多个认证方案，如RADIUS、Kerberos、TACACS/TACACS＋、口令方式、数字证书等。访问控制：包过滤防火墙应支持基于协议、端口、日期、源/目的IP和MAC地址过滤；过滤规那么应易于理解，易于编辑修改；同时应具备一致性检测机制，防止冲突；在传输层、应用层(、FTP、TELNET、SNMP、STMP、POP)提供代理支持；支持网络地址转换(NAT)。防御功能：支持病毒扫描，提供内容过滤，能防御PingofDeath,TCPSYNFloods及其它类型DoS攻击。平安特性：支持转发和跟踪ICMP协议〔ICMP代理〕；提供入侵实时警告；提供实时入侵防范；识别/记录/防止企图进行IP地址欺骗。管理功能：支持本地管理、远程管理和集中管理；支持SNMP监视和配置；负载均衡特性；支持容错技术，如双机热备份、故障恢复，双电源备份等。记录和报表功能：防火墙应该提供日志信息管理和存储方法；防火墙应具有日志的自动分析和扫描功能；防火墙应提供告警机制，在检测到入侵网络以及设备运转异常情况时，通过告警来通知管理员采取必要的措施，包括E－mail、呼机、等；提供简要报表〔按照用户ID或IP地址提供报表分类打印〕；提供实时统计。2惠普公司在吉通上海IDC中的网络平安管理的设计思想2.1网络信息平安设计宗旨惠普公司在为客户IDC工程的信息平安提供建设和效劳的宗旨可以表述为：依据最新、最先进的国际信息平安标准采用国际上最先进的平安技术和平安产品参照国际标准ISO9000系列质量保证体系来标准惠普公司提供的信息平安产品和效劳严格遵守中华人民共和国相关的法律和法规2.2网络信息平安的目标网络平安的最终目标是保护网络上信息资源的平安，信息平安具有以下特征：保密性：确保只有经过授权的人才能访问信息；完整性：保护信息和信息的处理方法准确而完整；可用性：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。信息平安是通过实施一整套适当的控制措施实现的。控制措施包括策略、实践、步骤、组织结构和软件功能。必须建立起一整套的控制措施，确保满足组织特定的平安目标。2.3网络信息平安要素惠普公司的信息平安理念突出地表现在三个方面--平安策略、管理和技术。平安策略--包括各种策略、法律法规、规章制度、技术标准、管理标准等，是信息平安的最核心问题，是整个信息平安建设的依据；平安管理--主要是人员、组织和流程的管理，是实现信息平安的落实手段；平安技术--包含工具、产品和效劳等，是实现信息平安的有力保证。根据上述三个方面，惠普公司可以为客户提供的信息平安完全解决方案不仅仅包含各种平安产品和技术，更重要的就是要建立一个一致的信息平安体系，也就是建立平安策略体系、平安管理体系和平安技术体系。2.4网络信息平安标准与标准在平安方案设计过程和方案的实施中，惠普公司将遵循和参照最新的、最权威的、最具有代表性的信息平安标准。这些平安标准包括：ISO/IEC17799Informationtechnology–CodeofpracticeforinformationsecuritymanagementISO/IEC13335Informationtechnology–GuidelinesforTheManagementofITSecurityISO/IEC15408Informationtechnology–Securitytechniques–EvaluationcriteriaforITsecurity我国的国家标准GB、国家军用标准GJB、公共平安行业标准GA、行业标准SJ等标准作为本工程的参考标准。2.5网络信息平安周期任何网络的平安过程都是一个不断重复改良的循环过程，它主要包含风险管理、平安策略、方案设计、平安要素实施。这也是惠普公司倡导的网络信息平安周期。风险评估管理：对企业网络中的资产、威胁、漏洞等内容进行评估，获取平安风险的客观数据；平安策略：指导企业进行平安行为的标准，明确信息平安的尺度；方案设计：参照风险评估结果，依据平安策略及网络实际的业务状况，进行平安方案设计；平安要素实施：包括方案设计中的平安产品及平安效劳各项要素的有效执行。平安管理与维护：按照平安策略以及平安方案进行日常的平安管理与维护，包括变更管理、事件管理、风险管理和配置管理。平安意识培养：帮助企业培训员工树立必要的平安观念。3吉通上海IDC信息系统平安产品解决方案3.1层次性平安需求分析和设计网络平安方案必须架构在科学的平安体系和平安框架之上。平安框架是平安方案设计和分析的根底。为了系统地描述和分析平安问题，本节将从系统层次结构的角度展开，分析吉通IDC各个层次可能存在的平安漏洞和平安风险，并提出解决方案。3.2层次模型描述针对吉通IDC的情况，结合《吉通上海IDC技术需求书》的要求，惠普公司把吉通上海IDC的信息系统平安划分为六个层次，环境和硬件、网络层、操作系统、数据库层、应用层及操作层。环境和硬件为保护计算机设备、设施〔含网络〕以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故〔如电磁污染等〕破坏，应采取适当的保护措施、过程。详细内容请参照机房建设局部的建议书。网络层平安.1平安的网络拓扑结构网络层是网络入侵者进攻信息系统的渠道和通路。许多平安问题都集中表达在网络的平安方面。由于大型网络系统内运行的TPC/IP协议并非专为平安通讯而设计，所以网络系统存在大量平安隐患和威胁。网络入侵者一般采用预攻击探测、窃听等搜集信息，然后利用IP欺骗、重放或重演、拒绝效劳攻击〔SYNFLOOD，PINGFLOOD等〕、分布式拒绝效劳攻击、篡改、堆栈溢出等手段进行攻击。保证网络平安的首要问题就是要合理划分网段，利用网络中间设备的平安机制控制各网络间的访问。在对吉通IDC网络设计时，惠普公司已经考虑了网段的划分的平安性问题。其中网络具体的拓扑结构好要根据吉通IDC所提供的效劳和客户的具体要求做出最终设计。.2网络扫描技术解决网络层平安问题，首先要清楚网络中存在哪些平安隐患、脆弱点。面对大型网络的复杂性和不断变化的情况，依靠网络管理员的技术和经验寻找平安漏洞、做出风险评估，显然是不现实的。解决的方案是，寻找一种能寻找网络平安漏洞、评估并提出修改建议的网络平安扫描工具。解决方案：ISS网络扫描器InternetScanner配置方法：在上海IDC中使用一台高配置的笔记本电脑安装InternetScanner，定期对本IDC进行全面的网络平安评估，包括所有重要的效劳器、防火墙、路由设备等。扫描的时间间隔请参照平安策略的要求。ISS网络扫描器InternetScanner是全球网络平安市场的顶尖产品。它通过对网络平安弱点全面和自主地检测与分析，能够迅速找到并修复平安漏洞。网络扫描仪对所有附属在网络中的设备进行扫描，检查它们的弱点，将风险分为高，中，低三个等级并且生成大范围的有意义的报表。从以企业管理者角度来分析的报告到为消除风险而给出的详尽的逐步指导方案均可以表达在报表中。该产品的时间策略是定时操作，扫描对象是整个网络。它可在一台单机上对的网络平安漏洞进行扫描。截止版本，InternetScanner已能对900种以上的来自通讯、效劳、防火墙、WEB应用等的漏洞进行扫描。它采用模拟攻击的手段去检测网络上每一个IP隐藏的漏洞，其扫描对网络不会做任何修改和造成任何危害。InternetScanner每次扫描的结果可生成详细报告，报告对扫描到的漏洞按高、中、低三个风险级别分类，每个漏洞的危害及补救方法都有详细说明。用户可根据报告提出的建议修改网络配置，填补漏洞。可检测漏洞分类表：BruteForcePassword-Guessing为经常改变的帐号、口令和效劳测试其平安性Daemons检测UNIX进程〔Windows效劳〕Network检测SNMP和路由器及交换设备漏洞DenialofService检测中断操作系统和程序的漏洞，一些检测将暂停相应的效劳NFS/XWindows检测网络网络文件系统和X-Windows的漏洞RPC检测特定的远程过程调用SMTP/FTP检测SMTP和FTP的漏洞WebServerScanandCGI-Bin检测Web效劳器的文件和程序〔如IIS,CGI脚本和〕NTUsers,Groups,andPasswords检测NT用户，包括用户、口令策略、解锁策略BrowserPolicy检测IE和Netscape浏览器漏洞SecurityZones检测用于访问互联网平安区域的权限漏洞PortScans检测标准的网络端口和效劳Firewalls检测防火墙设备，确定平安和协议漏洞Proxy/DNS检测代理效劳或域名系统的漏洞IPSpoofing检测是否计算机接收到可疑信息CriticalNTIssues包含NT操作系统强壮性平安测试和与其相关的活动NTGroups/Networking检测用户组成员资格和NT网络平安漏洞NetBIOSMisc检测操作系统版本和补丁包、确认日志存取，列举、显示NetBIOS提供的信息Shares/DCOM检测NetBIOS共享和DCOM对象。使用DCOM可以测试注册码、权限和缺省平安级别NTRegistry包括检测主机注册信息的平安性，保护SNMP子网的密匙NTServices包括检测NT正在运行的效劳和与之相关平安漏洞.3防火墙技术防火墙的目的是要在内部、外部两个网络之间建立一个平安控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的效劳和访问的审计和控制。具体地说，设置防火墙的目的是隔离内部网和外部网，保护内部网络不受攻击，实现以下根本功能：禁止外部用户进入内部网络，访问内部机器；保证外部用户可以且只能访问到某些指定的公开信息；限制内部用户只能访问到某些特定的Internet资源，如WWW效劳、FTP效劳、TELNET效劳等；解决方案：CheckPointFirewall-1防火墙和CiscoPIX防火墙防火墙除了部署在IDC的私有网〔即网管网段等由IDC负责日常维护的网络局部〕以外，还可以根据不同的用户的需求进行防火墙的部署，我们建议对于独享主机和共享主机都进行防火墙的配置，而对于托管的主机可以根据用户的实际情况提供防火墙效劳。无论是虚拟主机还是托管主机，IDC都需要为这些用户提供不同程度的远程维护手段，因此我们也可以采用VPN的技术手段来保证远程维护的平安性，VPN同时也可以满足IDC为某些企业提供远程移动用户和合作企业之间的平安访问的需求。根据吉通上海IDC的平安要求以及平安产品的配置原那么，我们建议使用的产品包括CiscoPIX和CheckPointFirewall－1在内的两种防火墙，其中：CiscoPIX防火墙配置在对网络访问速度要求较高但平安要求相对较低的网站托管区和主机托管区；CheckPoint防火墙配置在对网络速度较低但平安要求相对较高的IDC维护网段。这两种防火墙分别是硬件防火墙和软件防火墙的典型代表产品，并在今年4月刚刚结束的平安产品的年度评比中，并列最正确防火墙产品的首位。这里只对CheckPoint的Firewall－1进行说明。Checkpoint公司是一家专门从事网络平安产品开发的公司，是软件防火墙领域的佼佼者，其旗舰产品CheckPointFirewall-1在全球软件防火墙产品中位居第一〔52％〕，在亚太地区甚至高达百分之七十以上，远远领先同类产品。在中国电信、银行等行业都有了广泛的应用。CheckPointFirewall-1是一个综合的、模块化的平安套件，它是一个基于策略的解决方案，提供集中管理、访问控制、授权、加密、网络地址传输、内容显示效劳和效劳器负载平衡等功能。主要用在保护内部网络资源、保护内部进程资源和内部网络访问者验证等领域。CheckPointFirewall-1套件提供单一的、集中的分布式平安的策略，跨越Unix、NT、路由器、交换机和其他外围设备，提供大量的API，有150多个解决方案和OEM厂商的支持。CPFirewall-1由3个交互操作的组件构成：控制组件、加强组件和可选组件。这些组件即可以运行在单机上，也可以部署在跨平台系统上。其中，控制组件包括Firewall-1管理效劳器和图形化的客户端；加强组件包含Firewall-1检测模块和Firewall-1防火墙模块；可选组件包括Firewall-1EncryptionModule〔主要用于保护VPN〕、Firewall-1ConnectControlModule(执行效劳器负载平衡)RouterSecurityModule〔管理路由器访问控制列表〕。CheckpointFirewall-1防火墙的操作在操作系统的核心层进行，而不是在应用程序层，这样可以使系统到达最高性能的扩展和升级。此外CheckpointFirewall-1支持基于Web的多媒体和基于UDP的应用程序，并采用多重验证模板和方法，使网络管理员容易验证客户端、会话和用户对网络的访问。CHECKPOINT防火墙功能要求：1)支持透明接入和透明连接，不影响原有网络设计和配置：CheckPointFireWall-1是一款软件防火墙，是安装在现有的网关或效劳器计算机上，对接入和连接都是透明的，不会影响原有网络设计和配置。2)带有DMZ的连接方式：CheckPointFireWall-1可以支持多个网络接口，所以客户可以很容易的按照需要设置DMZ分区。3)支持本地和远程管理两种管理方式：CheckPointFireWall-1中的EnterpriseManagementConsole模块功能十分强大，支持本地和远程两种管理方式，减轻了网络管理员对网络的管理负担。4)支持命令行和GUI方式的管理与配置：CheckPointFireWall-1中的管理控制台支持命令行和GUI方式的管理与配置；可以在Windows95/98/NT上安装WindowsGUI界面，在Unix操作系统下可以安装MotifGUI图形用户界面进行管理与配置。5)对分布式的防火墙支持集中统一状态管理：CheckPointFireWall-1中的管理控制台支持对分布式防火墙的集中统一状态管理。它可以同时管理多个防火墙模块。6)规那么测试功能，支持规那么一致性测试：CheckPointFireWall-1中的策略编辑器中有一命令，可以对已经配置好的规那么进行测试，可以检测其一致性。7)透明代理功能：CheckPointFireWall-1支持代理功能，而且功能强大，可以支持本身自带的预定义的超过150多种的常用协议。8)地址转换功能，支持静态地址转换、动态地址转换以及IP地址与TCP/UDP端口的转换：CheckPointFireWall-1支持NAT地址转换功能，支持StaticMode(静态转换)和HideMode(动态转换)两种方式；目前不支持IP地址与TCP/UDP端口的转换。9)访问控制，包括对、FTP、SMTP、TELNET、NNTP等效劳类型的访问控制；CheckPointFireWall-1可以通过制定策略来进行访问控制，可以支持超过150多种的常用协议，并可以自定义各种不常用的协议。10)用户级权限控制：CheckPointFireWall-1可以指定用户对象，在其属性中有各种认证方式可供选择，加强了用户级的权限控制。11)防止IP地址欺骗功能：CheckPointFireWall-1提供了防止IP地址欺骗的功能，可以在设定防火墙网关的网卡属性时激活该功能。12)包过滤，支持IP层以上的所有数据包的过滤：CheckPointFireWall-1中的对象以IP地址或TCP/UDP端口号来识别，所以可以对IP层以上的所有数据包进行过滤。13)信息过滤，包括、FTP、SMTP、NNTP等协议的信息过滤：CheckPointFireWall-1可以通过OPSEC接口，与第三方厂商的软件或硬件产品无缝结合起来对、FTP、SMTP等协议进行信息过滤。14)地址绑定功能，实现MAC地址与固定IP地址的绑定，防止IP地址盗用：CheckPointFireWall-1目前为止不能实现MAC地址与固定IP地址的绑定。但是可以利用各节点处的路由器来进行MAC地址与固定IP地址的绑定。15)抗攻击性要求，包括对防火墙本身和受保护网段的攻击抵抗：防火墙本身的抗攻击能力与其所运行的操作系统的平安级别有关。操作系统的平安级别越高，防火墙本身的抗攻击的能力也越高。16)审计日志功能，支持对日志的统计分析功能：CheckPointFireWall-1中自带有日志功能，可以对符合预定规那么的网络流量事先规定的方式进行记录；在产品中带有ReportingModule，可以对日志进行分析统计。17)实时告警功能，对防火墙本身或受保护网段的非法攻击支持多种告警方式〔声光告警、EMAIL告警、日志告警等〕以及多种级别的告警：CheckPointFireWall-1的策略中有报警功能，其中包括了E-mail告警，日志告警等多种告警方式。CheckPoint防火墙技术性能指标：1)时延：在每个包大小平均为512字节的情况下，在3DES加密方式下Unix的时延是，NT是；在DES加密下Unix的时延是，NT是1msec。2)吞吐量：在没有数据加密情况下，不同的操作系统可以分别到达152M~246Mbps；在数据加密情况下，可以到达约55Mbps。3)最小规那么数：在防火墙概念中无此提法。按照我们的理解，此概念如果是指策略中的规那么数的话，那么无限制。4)包转发率：10~15Mbps。5)最大位转发率：在防火墙概念中无此提法。按照我们的理解，此概念类似吞吐量。6)并发连接数：理论上没有限制。Firewall-1防火墙是一种应用级防火墙，它的监测模块能监测和分析网络通信所有七层协议的内容。实际上路由器本身就可以实现包过滤防火墙的功能，对吉通上海IDC的各个路由器的配置进行检查和调整。保证整个网络中各个路由器的配置相互一致，并承当包过滤检查的功能。因为防火墙在核心网上起着平安管理的“警察〞的重要作用,它的可靠性往往代表着整个网络的可靠性。如果一台防火墙发生故障，那么所有经过它的网络连接都中断了，防火墙就成为一个“单点故障〞，这在一个及其关键的网络环境中是不允许的。建议方案:CheckpointFireWall-1防火墙产品可以通过两台防火墙之间建立主备份关系而大大增加防火墙的可靠性。CheckpointFireWall-1是基于先进的“状态检测〞〔StatefulInspection)技术的防火墙,它从经过它的网络连接的各个层次抽取信息，以得到每个连接的状态。这些状态存放在一个动态的状态表中，并随着数据的传输而刷新。要在两台防火墙之间切换，必须在这两台防火墙之间共享这些状态信息，以保证切换时最大可能地保存已建立的连接。利用QualixGroup的QualixHA+ModuleforFireWall-1软件可以很好地做到这一点。两台相同配置的FireWall-1防火墙，一台为主防火墙，一台为热备份防火墙。在热备份防火墙上安装QualixHA+，它能自动地监测主防火墙的状态，并在一旦主防火墙故障时迅速地把主防火墙切换到热备份防火墙上，而不需要人工干预。由于QualixHA+能把热备份防火墙的配置设置成与主防火墙一致，所以切换后不会损失任何防火墙功能。而QualixHA+所在的热备份防火墙可以与主备份防火墙共有同一个IP地址，所以切换后也无需修改路由器的设置。.4网络实时入侵检测技术防火墙虽然能抵御网络外部平安威胁，但对网络内部发起的攻击无能为力。动态地监测网络内部活动并做出及时的响应，就要依靠基于网络的实时入侵监测技术。监控网络上的数据流，从中检测出攻击的行为并给与响应和处理。实时入侵监测技术还能检测到绕过防火墙的攻击。解决方案：ISS网络入侵检测RealSecureNetworkSensor配置方法：参见“监控和防御〞。ISS实时网络传感器(RealSecureNetworkSensor)对计算机网络进行自主地，实时地攻击检测与响应。这种领先产品对网络平安轮回监控，使用户可以在系统被破坏之前自主地中断并响应平安漏洞和误操作。实时监控在网络中分析可疑的数据而不会影响数据在网络上的传输。它对平安威胁的自主响应为企业提供了最大限度的平安保障。ISS网络入侵检测RealSecureNetworkSensor在检测到网络入侵后，除了可以及时切断攻击行为之外，还可以动态地调整防火墙的防护策略，使得防火墙成为一个动态的智能的的防护体系。操作系统层平安操作系统平安也称主机平安，由于现代操作系统的代码庞大，从而不同程度上都存在一些平安漏洞。一些广泛应用的操作系统，如Unix，WindowNT，其平安漏洞更是广为流传。另一方面，系统管理员或使用人员对复杂的操作系统和其自身的平安机制了解不够，配置不当也会造成的平安隐患。.1系统扫描技术对操作系统这一层次需要功能全面、智能化的检测，以帮助网络管理员高效地完成定期检测和修复操作系统平安漏洞的工作。系统管理员要不断跟踪有关操作系统漏洞的发布，及时下载补丁来进行防范，同时要经常对关键数据和文件进行备份和妥善保存，随时留意系统文件的变化。解决方案：ISS系统扫描器(SystemScanner)配置方法：SystemScannerConsole可以与InternetScanner安装在同一台笔记本上，也可以单独安装在一台NT工作站上。在IDC中各重要效劳器〔网管工作站、数据采集工作站、计费效劳器、网站托管效劳器等〕内安装SystemScannerAgent。Console管理各个Agent。定期〔时间间隔参照平安策略的要求〕对重要效劳器进行全面的操作系统平安评估。ISS系统扫描器(SystemScanner)是基于主机的一种领先的平安评估系统。系统扫描器通过对内部网络平安弱点的全面分析，协助企业进行平安风险管理。区别于静态的平安策略，系统扫描工具对主机进行预防潜在平安风险的设置。其中包括易猜出的密码，用户权限，文件系统访问权，效劳器设置以及其它含有攻击隐患的可疑点。该产品的时间策略是定时操作，扫描对象是操作系统。SystemScanner包括引擎和控制台两个局部。引擎必须分别装在被扫描的效劳器内部，在一台集中的效劳器上安装控制台。控制台集中对各引擎管理，引擎负责对各操作系统的文件、口令、帐户、组等的配置进行检查，并对操作系统中是否有黑客特征进行检测。其扫描结果同样可生成报告。并对不平安的文件属性生成可执行的修改脚本。.2系统实时入侵探测技术为了加强主机的平安，还应采用基于操作系统的入侵探测技术。系统入侵探测技术监控主机的系统事件，从中检测出攻击的可疑特征，并给与响应和处理。解决方案：ISS网络入侵检测RealSecureOSSensor以及ServerSensor配置方法：参见“监控和防御〞。ISS实时系统传感器(RealSecureOSSensor)对计算机主机操作系统进行自主地，实时地攻击检测与响应。一旦发现对主机的入侵，RealSecure可以马上可以切断系统用户进程通信，和做出各种平安反响。ISS实时系统传感器(RealSecureOSSensor)还具有伪装功能，可以将效劳器不开放的端口进行伪装，进一步迷惑可能的入侵者，提高系统的防护时间。数据库层平安许多关键的业务系统运行在数据库平台上，如果数据库平安无法保证，其上的应用系统也会被非法访问或破坏。数据库平安隐患集中在：系统认证：口令强度不够，过期帐号，登录攻击等。系统授权：帐号权限，登录时间超时等。系统完整性：Y2K兼容，特洛伊木马，审核配置，补丁和修正程序等。解决方案：ISS数据库扫描器〔DataBaseScanner〕配置方法：DatabaseScanner可以与InternetScanner安装在同一台笔记本上，也可以单独安装在一台NT工作站上。定期对IDC内的数据库效劳器软件进行漏洞评估，并将软件生成的漏洞报告分发给数据库管理员，对数据库系统中的平安问题及时修复。扫描的时间间隔请参照平安策略的要求。该产品可保护存储在数据库管理系统中的数据的平安。用户可通过该产品自动生成数据库效劳器的平安策略，这是全面的企业平安管理的一个新的重要的领域。ISS数据库扫描器〔DataBaseScanner〕是世界上第一个也是目前唯一的一个针对数据库管理系统风险评估的检测工具。该产品可保护存储在数据库管理系统中的数据的平安。目前ISS是唯一提供数据库平安管理解决方案的厂商。用户可通过该产品自动生成数据库效劳器的平安策略，这是全面的企业平安管理的一个新的重要的领域。DatabaseScanner具有灵活的体系结构，允许客户定制数据库平安策略并强制实施，控制数据库的平安。用户在统一网络环境可为不同数据库效劳器制定相应的平安策略。一旦制定出平安策略，DatabaseScanner将全面考察数据库，对平安漏洞级别加以度量的控制，并持续改善数据库的平安状况。DatabaseScanner能通过网络快速、方便地扫描数据库，去检查数据库特有的平安漏洞，全面评估所有的平安漏洞和认证、授权、完整性方面的问题。DatabaseScanner漏洞检测的主要范围包括：2000年问题--据环境并报告数据和过程中存在的2000年问题。口令，登录和用户--口令长度，检查有登录权限的过去用户，检查用户名的信任度。配置--否具有潜在破坏力的功能被允许，并建议是否需要修改配置，如回信，发信，直接修改，登录认证，一些系统启动时存储的过程，报警和预安排的任务，WEB任务，跟踪标识和不同的网络协议。安装检查--要客户打补丁及补丁的热链接。权限控制--些用户有权限得到存储的过程及何时用户能未授权存取WindowsNT文件和数据资源。它还能检查“特洛伊木马〞程序的存在。平安管理层〔人，组织〕层次系统平安架构的最顶层就是对吉通上海IDC进行操作、维护和使用的内部人员。人员有各种层次，对人员的管理和平安制度的制订是否有效，影响由这一层次所引发的平安问题。除按业务划分的组织结构以外，必须成立专门平安组织结构。这个平安组织应当由各级行政负责人、平安技术负责人、业务负责人及负责具体实施的平安技术人员组成。有关具体的平安管理请参照第4节的信息平安策略解决方案。3.3监控和防御入侵检测技术大多数传统入侵检测系统〔IDS〕采取基于网络或基于主机的方法来辩认并躲避攻击。在任何一种情况下，该产品都要寻找“攻击标志〞，即一种代表恶意或可疑意图攻击的模式。当IDS在网络中寻找这些模式时，它是基于网络的。而当IDS在记录文件中寻找攻击标志时，它是基于主机的。每种方法都有其优势和劣势，两种方法互为补充。一种真正有效的入侵检测系统应将二者结合。本节讨论了基于主机和基于网络入侵检测技术的不同之处，以说明如何将这二种方式融合在一起，以提供更加有效的入侵检测和保护措施。.1基于网络的入侵检测：基于网络的入侵检测系统使用原始网络包作为数据源。基于网络的IDS通常利用一个运行在随机模式下网络的适配器来实时监视并分析通过网络的所有通信业务。它的攻击辩识模块通常使用四种常用技术来识别攻击标志：模式、表达式或字节匹配频率或穿越阀值低级事件的相关性规统学意义上的非常规现象检测一旦检测到了攻击行为，IDS的响应模块就提供多种选项以通知、报警并对攻击采取相应的反响。反响因产品而异，但通常都包括通知管理员、中断连接并且/或为法庭分析和证据收集而做的会话记录。.2基于主机的入侵检测：基于主机的入侵检测出现在80年代初期，那时网络还没有今天这样普遍、复杂，且网络之间也没有完全连通。在这一较为简单的环境里，检查可疑行为的检验记录是很常见的操作。由于入侵在当时是相当少见的，在对攻击的事后分析就可以防止今后的攻击。现在的基于主机的入侵检测系统保存了一种有力的工具，以理解以前的攻击形式，并选择适宜的方法去抵御未来的攻击。基于主机的IDS仍使用验证记录，但自动化程度大大提高，并开展了精密的可迅速做出响应的检测技术。通常，基于主机的IDS可监探系统、事件和WindowNT下的平安记录以及UNIX环境下的系统记录。当有文件发生变化时，IDS将新的记录条目与攻击标记相比较，看它们是否匹配。如果匹配，系统就会向管理员报警并向别的目标报告，以采取措施。基于主机的IDS在开展过程中融入了其它技术。对关键系统文件和可执行文件的入侵检测的一个常用方法，是通过定期检查校验和来进行的，以便发现意外的变化。反响的快慢与轮询间隔的频率有直接的关系。最后，许多产品都是监听端口的活动，并在特定端口被访问时向管理员报警。这类检测方法将基于网络的入侵检测的根本方法融入到基于主机的检测环境中。.3将基于网络和基于主机的入侵检测结合起来：基于网络和基于主机的IDS方案都有各自特有的优点，并且互为补充。因此，下一代的IDS必须包括集成的主机和网络组件。将这两项技术结合，必将大幅度提高网络对攻击和错误使用的抵抗力，使平安策略的实施更加有效，并使设置选项更加灵活。有些事件只能用网络方法检测到，另外一些只能用主机方式检测到，有一些那么需要二者共同发挥作用，才能检测到。推荐的平安产品—ISS的入侵检测产品RealSecureISS实时网络传感器(RealSecureNetworkSensor)对计算机网络进行自主地，实时地攻击检测与响应。这种领先产品对网络平安轮回监控，使用户可以在系统被破坏之前自主地中断并响应平安漏洞和误操作。实时监控在网络中分析可疑的数据而不会影响数据在网络上的传输。它对平安威胁的自主响应为企业提供了最大限度的平安保障。ISS网络入侵检测(RealSecureNetworkSensor)在检测到网络入侵后，除了可以及时切断攻击行为之外，还可以动态地调整防火墙的防护策略，使得防火墙成为一个动态的智能的的防护体系。ISS实时系统传感器(RealSecureOSSensor)对计算机主机操作系统进行自主地，实时地攻击检测与响应。一旦发现对主机的入侵，RealSecure可以马上切断的用户进程，和做出各种平安反响。ISS实时效劳器传感器(RealSecureServerSensor)包括了所有的OSSensor功能，也具备局部NetworkSensor的功能，为灵活的平安配置提供了必要的手段。RealSecureWorkgroupManager是RealSecure系统的控制台。可以对多台RealSecure网络引擎和系统传感器进行管理。对被管理监控器进行远程的配置和控制，各个监控器发现的平安事件都实时地报告控制台。ISSRealSecure是一个完整的，一致的实时入侵监控体系。ISSRealsecure对来自内部和外部的非法入侵行为做到及时响应、告警和记录日志，并可采取一定的防御和反入侵措施。它能完全满足《吉通上海IDC技术需求书》所提要求：支持统一的管理平台，可实现集中式的平安监控管理:①④③②⑤RealSecureWorkgroupManager是RealSecure系统的控制台。可以对多台RealSecure网络Sensor和系统Sensor进行管理。对被管理监控器进行远程的配置和控制，各个监控器发现的平安事件都实时地报告控制台。在吉通IDC工程中可以利用这一特点，实现对各结点的集中监控管理。例如，从上海IDC的RealSecureWorkgroupManager，对其下其它城市的IDC进行统一的Sensor监控策略配置，Sensor所发现的平安事件将实时地报告给Manager；对各个Sensor平安特征库的升级也可以从Manager统一分发完成。图RS-1RealSecureWorkgroupManager的工作界面①主菜单和工具栏②监控平安事件的综合窗口③按平安级别分成高、中、低三个事件窗口④列出所有被管理的网络Sensor和系统Sensor⑤对被管理的网络传感器和系统传感器进行配置的弹出窗口自动识别类型广泛的攻击:网络Sensor能够识别以下种类的攻击和误用行为：类型说明拒绝效劳攻击通过消耗系统资源使目标主机的局部或全部效劳功能丧失。例如，SYNFLOOD攻击，PINGFLOOD攻击，WINNUK攻击等。分布式拒绝效劳攻击检查分布拒绝效劳攻击的主控程序和代理之间的通讯和通讯企图。例如，TFN、Trinoo和Stacheldraht等。未授权访问攻击攻击者企图读取、写或执行被保护的资源。如FTPROOT攻击，EMAILWIZ攻击等。预攻击探测攻击者试图从网络中获取用户名、口令等敏感信息。如SATAN扫描、端口扫描、IPHALF扫描等。可疑行为非“正常〞的网络访问，很可能是需要注意的不平安事件。如IP地址复用，无法识别IP协议的事件。协议解码对协议进行解析，帮助管理员发现可能的危险事件。如FTP口令解析，EMAIL主题解析等。普通网络事件识别各种网络协议包的源、目的IP地址，源、目的端口号，协议类型等。系统Sensor能够监控并识别的攻击类型有：类型说明平安事件监控NT或Unix系统事件login成功/失败，logout，管理员行为异常，系统重启动等；监控特殊的系统事件，包括对重要文件的读写、删除行为，系统资源情况异常现象等；监控Windows环境下的未授权事件，如企图访问未授权文件，访问特权效劳，企图改变登录权限等。对未用端口监控监控对未提供效劳端口的连接企图，这种连接企图应视为可疑行为。例如，对未提供FTP效劳的主机尝试FTP连接被认为是可疑的。远程UNIXSyslog事件对远程的UNIX主机进行监控。监控用户的login成功/失败，logout，管理员行为异常等；监控的效劳包括IMAP2bis，IPOP3，Qpopper，Sendmail和SSH等。自定义事件用户自定义的基于系统审计事件的监控支持按行为特征的入侵检测:图RS-2RealSecureSensor工作过程示意图如下图，Realsecure的入侵检测主要是依据用户事先定义的监控策略，将发生的入侵事件与已有的平安事件特征库进行特征匹配，匹配成功，那么认为是有威胁事件发生，采取适当的响应动作。具体分析过程的输入包括：用户或者平安管理人员定义的配置规那么；以及作为事件检测的原始数据。对于NetworkSensor来讲原始数据是原始网络包；对于OSSensor来讲原始数据是操作系统日志项。具体分析过程的输出包括：系统发起的对平安事件的响应过程；监控器在收到数据后，将数据和特征库进行比照，如果匹配会发出对应的响应。特征数据库主要来源于ISS的Xforce研究开发小组，而且是目前业界最全面的攻击特征数据库。另外，NetworkSensor和SystemSensor都支持用户自定义特征。NetworkSensor检测过程--安装RealsecureNetworkSensor主机的网络适配卡连接到被监控的网段上。Realsecure将网络适配卡设成promiscuous模式，可收到本地网段上的所有数据流。当一个包符合了当前有效的过滤规那么时，会被解码并进行攻击特征识别分析。每个活动的过程都被保持和跟踪，这样跨越了许多包的攻击特征就可以被检测出来。因此，当一个“感兴趣事件〞被检测到时，Realsecure会采取适宜的动作。OSSensor检测过程--RealSecureOSSensor在被保护效劳器上运行一个进程。每当操作系统产生一个新的日志记录项，操作系统会向OSSensor发出中断。OSSensor读取新的日志记录项，与监控特征进行比照，如果匹配会发起适当的响应。由一些特征会涉及多个日志记录项，因此OSSensor会同时维护和监控一些用户活动流的状态。提供对特定网段的实时保护，支持高速交换网络的监控:对重要网段的保护，如公共效劳器群，为了防止来自网络其它边界的入侵，需要在该子网的入口处安装RealsecureNetworkSensor，并在各个效劳器内配置RealsecureOSSensor，由集中的RealsecureWorkgroupManager统一管理。能够在检测到入侵事件时，自动执行预定义的动作，包括切断效劳、重起效劳进程，记录入侵过程信息等：1.当一个攻击或事件被检测到，RealSecure可以做出以下几种响应：自动终止攻击终止用户连接禁止用户账号重新配置CheckPoint™Firewall-1®防火墙阻塞攻击的源地址向管理控制台发出警告指出事件的发生向网络管理平台〔off-the-shelf〕发出SNMPtrap记录事件的日志，包括日期、时间、源地址、目的地址、描述以及事件相关的原始数据。实时观看事件中的原始记录〔或者记录下来过后再回放〕向平安管理人员发出提示性的电子邮件执行一个用户自定义程序2.可以为RealSecureOSSensor自定义一些特征。OSSensor允许用户指定一个关键字或正那么表达式，在发现操作系统日志文件项对应特征时，会做出相应的响应。3.用户可以为RealSecureNetworkSensor自定义连接事件。一个连接事件可以定义为基于IP的连接，可以对下面信息进行匹配：协议源IP地址目的IP地址源端口目的端口4.一些RealSecure预定以攻击特征可以根据网络的具体情况进行参数调整。比方，有些网络中PointCast下载会引发SYNFlood特征，此时可以通过调整SYNFlood的阀值来减少误报。5.用户可以定义RealSecureNetworkSensor过滤规那么来忽略某些类型的数据流。可以通过指定协议、源IP地址、目的IP地址、源端口、目的端口定义忽略的数据流。对于规那么匹配的数据流不进行预定义或用户定义特征分析。通过这种方式，可以将RealSecure配置得更适合用户的网络。6.最后，用户可以建立自己的响应选项。任何可以从命令行发起的动作〔如：可执行程序、批处理文件、ShellScript等〕，都可以作为RealSecureNetworkSensor或者OSSensor对攻击的响应。支持集中的攻击特征和攻击取证数据库管理：Realsecure真正实现集中管理，也表达在对攻击特征和攻击事件的数据库管理。RealsecureWorkgroupManager运行在MSNT或Win2000平台上，在默认情况下，其管理数据库格式为MSAccess文件格式。Realsecure的数据库接口支持标准的ODBC，因此可以灵活选择其后台管理数据库类型。在Realsecure的管理数据库中，有一组数据库表格式，分别用于记录所有最新版本能够识别的攻击特征，及从各个远程的Sensor汇总来的攻击事件的记录。支持攻击特征信息的集中式发布和攻击取证信息的分布式上载：Realsecure中包含升级组件X-pressUpdates，利用这一组件，可以从WorkgroupManager集中分发攻击特征信息。当分布在网络中的各个Sensor监控到攻击事件时，依据Sensor的策略定制，Sensor将执行一系列的动作，包括实时在WorkgroupManager的屏幕上显示，并执行切断连接或重新配置防火墙等动作，为了方便管理员查询并记录犯罪证据，Sensor必须将监控的事件记录到日志中。在WorkgroupManager可以采取手工干预或自动两种方式对Sensor的日志进行上载和汇总。上传后的日志将统一以数据库形式保存。提供对监视引擎和检测特征的定期更新效劳，更新方式可有多种，包括厂家的直接效劳和联网更新操作：ISS拥有实力雄后的X-Force小组，该小组专门研究和发现新的攻击手段，是业界独一无二的平安小组。作为入侵检测产品，其Sensor和攻击特征库的升级能力直接反映了产品的功能，而ISS的系列平安产品包括Realsecure的升级速度都是其它厂商无法比较的。ISS承诺对用户的升级效劳，详见ISS效劳承诺。从产品本身提供的功能看，Realsecure中提供了X-pressUpdates，利用这一组件，可以直接从ISS站点下载升级包，并可以从WorkgroupManager集中分发攻击特征信息至所管理的每个Sensor。网络访问控制：Realsecure的主要功能用于对恶意入侵事件和误用行为的监控报警。可以根据实际需要，对Sensor进行策略配置，用于特殊的网络访问控制。如可以用NetworkSensor对办公环境员工上网浏览Web页面进行限制；可以对某个重要的效劳器进行特殊保护，限制某个地址或某个范围的地址段对该效劳器指定端口的访问；通过对E-mail主题或内容的特殊字符串的监控，限制某些E-mail的非法传送等等。可疑网络活动的检测，对带有ActiveX、Java、JavaScript、VBScript的WEB页面、电子邮件的附件、带宏的Office文档中的一些可以执行的程序〔包括通过SSL协议或者加密传输的可疑目标〕进行检测，隔离未知应用，建立平安资源区域：RealsecureNetworkSensor除了对恶意的入侵行为进行识别以外，还能够对可疑的不平安事件报警和阻止，包括对带有ActiveX、Java、JavaScript、VBScript的WEB页面，可疑的Arp事件，IP地址复用事件等报警。支持与防火墙的配合监控：Realsecure与防火墙功能互补：适当配置的防火墙可以将非预期的信息屏蔽在外。然而防火墙为提供一些级别的获取权的通道可能被伪装的攻击者利用。防火墙不能制止这种类型的攻击，RealSecure却能够制止。RealSecure对防火墙后面的网络的信息流监控，能够检测到并终止获取权限的企图。另外防火墙的错误配置也有可能发生。尽管防火墙的错误配置能够迅速更正，网络内有了RealSecure那么能捕获许多溜进来的未预料的信息。即便不选择切断这些连接，RealSecure所发出的警告的数量仍能迅速说明防火墙没有起到作用。Realsecure与CheckPoint协同工作：CheckPoint公司通过它提供的OPSEC〔OpenPlatformForSecureEnterpriseConnectivity，平安企业连通性开放平台〕向第三方提供API，使得其它厂商可以使用这些API开发能集成到FW-1防火墙中的产品。由于ISS是CheckPoint的OEM厂商，所以Realsecure能够对FW-1进行平安操作。Realsecure重新配置FW-1有两种响应方式：冻结指定的时间长度和完全关闭。每种响应方式根据需要又细分四种模式：针对源地址操作，针对目的地址操作，针对源和目的同时操作，针对效劳操作。RealSecureNetworkSensor可以完全透明：RealSecurenetworkSensor可以配置为完全透明的方式。一个RealSecureNetworkSensor可以采用Out-of-band方式和管理控制台进行通讯。这种情况需要配置两块网络适配卡：一块网络适配卡用来监控本地网段，另一块用来和控制台通信。由于这种方式使得RealSecureNetworkSensor采用了专门的通信通道和控制台通信，会大大加强RealSecure的平安性。另外，用来监控本地网段的网络适配卡并不需要一个协议栈。因此，RealSecureNetworkSensor并不需要一个外部可见的IP地址或者外部可见的IP效劳。这样RealSecureNetworkSensor可以做到从被监控网络上不可见。当然，RealSecureNetworkSensor需要TCP/IP协议与管理控制台通讯。因此，与管理控制台通讯的接口卡需要IP地址。RealsecureOSSensor可疑连接监控：一个攻击者首先会刺探主机提供了什么效劳。“可疑连接监控〞使得一个没有效劳的端口看起来是活动的，这样入侵者可能会误以为系统开启了某种效劳，在刺探中浪费时间而一无所获。这个功能对防范一些自动攻击工具十分有效。对不存在效劳的连接企图或者是一个错误，或者是成心的攻击。OSSensor将这些连接作为入侵检测判断的数据。持续的对不存在效劳的连接企图会产生高风险报警。平安管理人员可以对这种连接企图设置响应提示。可以设置为法律警告指出入侵是非法的，或者可以设置成欺骗性连接提示〔比方，登录提示〕。可疑连接监控的功能能延长攻击者发现可攻击端口的时间，为防护者抓住他争取更多的时间。支持HPOpenView的RealSecure管理器支持HPOpenView的RealSecure管理器为使用HPOpenView网络结点管理器的网络管理员提供实时入侵检测。支持HPOpenView的RealSecure管理器提供完全的RealSecure可适应性网络平安功能，包括：主导市场的入侵检测和响应--支持HPOpenView的RealSecure管理器在OpenView网络管理框架中提供对企业网中可疑行为的实时监控，如企业网络外部和内部的攻击或内部滥用。实时警报管理--网络平安行为的连续显示，完整清晰的知识控制，RealSecure对事件响应的在线帮助，以及对事件的详细信息，包括源和目的、端口、风险级别和其它的信息。统一的数据管理--入侵事件和RealSecure引擎状态被记录在OpenView的事件浏览器中。OpenView地图反映了实时的攻击。颜色编码的符号反映出被攻击结点的攻击名称、级别、每一个攻击进行的次数。集中配置--RealSecure引擎的配置和策略能够通过OpenView的主控台配置和修改。平安的通信--OpenView和RealSecure之间控制信息的传输是完全平安的。控制功能有认证、校验和加密，加密算法使用RSA、CerticomEllipticalCurve、或用户自己选择的算法。管理功能引擎控制：启动、停止、暂停、重新启动、ping连接实时警报管理：接收、延续、统一、去除对事件响应的详在线帮助编辑RealSecure引擎的配置发送和接收配置到远程RealSecure引擎上传和/或去除RealSecure引擎数据库启动ISSRealSecure管理器配置方法Realsecure是一个真正的集中管理的入侵检测系统。它由一个或多个〔可选〕管理控制台，即WorkgroupManager，统一、集中管理分布在网络中的Sensor。建议在吉通上海IDC安装一套WorkgroupManager，用于对不同的传感器。RealSecure运行在交换式网络中，有以下三个解决方案：RealSecureNetworkSensor连接在这个点上。这样就可以防护来自Internet的攻击，而不处理网络的其它局部。另外，还可以使用交换机的管理端口甚至一个VLAN。一些交换机〔比方，CiscoCatalyst〕有一个管理端口〔有时称为span端口〕可以镜像一个或多个指定端口的数据流。可以将RealSecureNetworkSensor配置在这样的管理端口上，通过镜像的方式获得多个端口的数据流。如果交换机的一个端口里连接Internet路由器，那么可以镜像连接路由器的这个端口。如果交换机连接多台重要内联网效劳器，那么可以镜像连接效劳器的这几个端口。现在，已经有很多交换机支持这种功能。使用RealSecureOSSensor--由于OSSensor是基于主机的工作方式，因此完全不会受到交换方式的影响。在连接交换环境的效劳器上安装OSSensor，对每个效劳器进行保护。OSSensor特别适合于平安需求高的效劳器，与NetworkSensor配合使用，需要配置的效劳器包括网管工作站、数据采集工作站、计费效劳器等。使用RealSecureServerSensor--由于ServerSensor是基于主机的工作方式，因此完全不会受到交换方式的影响。又由于ServerSensor具备了局部NetworkSensor的功能，因此特别适合于网络流量大的相对独立的效劳器上，例如网站托管主机上。3.5防病毒推荐平安产品--TrendMicro防病毒产品支持对网络、效劳器和工作站的实时病毒监控:对于Internet类型的网络，包括Extranet和Intranet，趋势科技提供基于网关处的防毒产品：InterScan系列。产品都含有纯web方式的管理界面。1.因特网病毒防火墙--InterScanVirusWall：在网关处实时监控通过SMTP、和FTP协议传输的信息内容，检查其是否存在病毒或恶意程序，并根据管理员的设定采取相关的处理方式，以保证通过网关出入企业的信息的平安性。支持对16种以上的压缩类型、压缩深度最多达20级的文件进行病毒扫描工作。支持的平台：WindowsNT(2000)、Solaris、HP-UX、Linux。2.电子邮件平安管理--InterScaneManager：基于InterScanVirusWallNT版和Solaris版的外加﹝Plug-in﹞的电子邮件管理工具，属于InterScanVirusWall的因特网平安﹝InternetSecurity﹞系列产品之一。eManager电子邮件平安管理软件可以过滤垃圾邮件及大量推销性质的电子邮件，并可扫描由内部使用者寄出的邮件内容，假设有敏感性内容可就进行拦阻；此外也能够自定邮件传递时间，延迟递送较大的邮件、国际信件或其它自定规那么范围内的邮件，防止在网络带宽使用顶峰时段造成邮件阻塞。支持的平台：WindowsNT(2000)。3.网站平安管理软件--InterScanWebManager：集web访问的管理限定和防病毒与一身。除了对传入的web页面进行防毒之外，还可以对访问的内容及带宽进行管理。可弹性设定对14种不同类型的网站内容进行过滤。WebManager应用CyberPatrol所开发出全球数十万个网站的数据库，阻止内部使用者通过因特网进入色情或其它的不良网站。可依据个人及部门的特殊需求，过滤不良网站和设定下载文件的大小限制。管理员可依每日、每周或每月，设定个人或部门对于Web下载文件的最大流量，从而控制网络的使用带宽。支持的平台：WindowsNT(2000)。4.大规模邮件防毒--对于企业内部的电子邮件和群件系统，如LotusNotes和MicrosoftExchange，由于企业内部用户间的通讯可能并不通过Internet网关，因此光靠在网关处防毒并不能控制病毒在企业内部的传播。趋势科技针对此类系统提供了相应的防毒产品：ScanMail系列。ScanMail系列在对邮件系统内的邮件和公用文件夹内的文件进行病防护的同时，还可以对含有敏感性内容的邮件进行隔离等处理，以保护企业内部信息流的平安。产品都含有纯web方式的管理界面。ScanMail支持对19种压缩类型、压缩深度最多达20级的文件进行病毒扫描工作。ScanMailfroMicrosoftExchange：真正支持微软建议的AVAPI接口，以获得更高的工作效率，减少对系统资源的占用。完全支持Exchange的群集技术。支持的平台：WindowsNT(2000)。ScanMailforHPOpenMail其它许多大规模的邮件效劳器,例如：的Intermail及AsiaInfo的AIMC和Microsoft的MCIS及Netscape的MessageServer及Sendmail等5.防毒工作中央监控系统：TVCS——TrendVirusControlSystem。为了让企业能对所有的防毒产品和工作进行集中管理，趋势科技提供了产品TVCS。上述的趋势科技的防毒软件产品都可集成TVCS的客户端组件—TVCSAgent。当企业安装了TVCS系统后，即可实现对上述产品的集中控制和管理。同时，TVCS也可以显示出其他一些防毒软件产品的信息，以便让管理员统一监控。 TVCS采用纯web的管理界面，管理员不管在何时何地，只需有Web浏览器即可实现整个企业的防毒管理工作。完善的日志记录和统计信息功能。支持弹出窗口、e-mail、寻呼机等报警方式。能够在中心控制台上向多个目标系统分发新版杀毒软件:防毒工作中央监控系统TVCS提供统一而且自动的产品组件更新功能，通过它实现趋势科技所有防毒产品的扫描引擎及病毒码更新功能。能够在中心控制台上对多个目标系统监视病毒防治情况:防毒工作中央监控系统TVCS使管理员通过浏览器即可实时监视趋势科技所有防毒产品的工作情况，以及病毒防治情况。由于采用了客户/效劳器的时间驱动模式进行工作，因此有效的防止了对网络带宽的过多占用。支持多种平台的病毒防范:趋势科技是一家专注于企业平安的产品供给商，具有十分完善的产品系列，考虑了企业内从工作站到因特网网关，几乎所有需要防病毒的平台和网络连接点。能够识别广泛的和未知病毒，包括宏病毒:作为作早进入计算机防毒领域的厂商之一，趋势科技在防毒技术上始终保持着领先的优势。早在1995年趋势科技即开发出了基于人工智能〔Rule-based〕的扫描引擎，采用陷阱方式探测恶意程序可能出现的破环动作，以及探测出变形病毒的真面目，从而实现对未知病毒的拦截。经过不断地完善，目前的引擎中已设下了多达12道以上的陷阱，根据传统方式制作的各类新病毒根本逃不过被检测出的命运。1996年趋势科技又率先推出了自己的专利技术——MacroTrap™，解决了对或未知的宏病毒的探测问题。支持对Internet/Intranet效劳器的病毒防治，能够阻止恶意的Java或ActiveX小程序的破坏；趋势科技的因特网网关病毒防护产品--InterScan系列，能够有效阻止恶意的Java、ActiveX程序以及一些黑客程序通过因特网对企业进行的入侵。InterScan在网关处实时监控通过SMTP、和FTP协议传输的信息内容，检查其是否存在病毒或恶意程序，并根据管理员的设定采取相关的处理方式，以保证通过网关出入企业的信息的平安性。支持对电子邮件附件的病毒防治，包括WORD/EXCEL中的宏病毒:趋势科技的产品系列中，InterScan、OfficeScan、ScanMail等都支持对电子邮件附件的病毒防护。趋势科技的扫描引擎中含有自己的专利技术—MacroTrap™，由于采用了人工智能的陷阱技术，还可以检测出局部未知的宏病毒。支持对压缩文件的病毒检测:趋势科技的产品对压缩文件的扫毒支持是同类产品中最为完善的。其中的InterScan和ScanMail更是支持16种以上的压缩格式和20级的压缩深度。支持广泛的病毒处理选项，如对染毒文件进行实时杀毒、移出、删除、重新命名等:针对企业和个人用户的需要，趋势科技提供了灵活的处理选项。如对于网络防毒，一般提供：带警告通过〔pass〕、隔离转移〔moveorquarantine〕、删除〔delete〕、去除病毒〔autoclean〕等选项。其中对于autoclean方式，由于有些文件本身即是病毒或黑客程序，或者带有不能随意删除的病毒类型，因此中选择autoclean方式时，将会针对不能去除病毒的文件提供给用户额外的选项，其中又包括：pass，move，delete方式。支持病毒隔离，当客户机试图上载一个染毒文件时，效劳器可自动关闭对该工作站的连接:趋势科技的产品都支持文件隔离方式，让管理员可以对染毒文件进行分析，或是发往趋势科技的支持中心以得到针对新型病毒的最新解药。考虑到应尽量简化企业的防毒管理工作，以降低TCO，趋势科技不主张采取关闭客户连接的做法。如果采用这种方式，企业将需要有专职的防病毒管理员来处理每次的连接中断，用户也会觉得十分麻烦。提供对病毒特征信息和检测引擎的定期在线更新效劳:趋势科技的全线防毒产品都提供此类功能。其中大多数产品更是能自动通过因特网更新其病毒码、扫描引擎和产品升级包。通过使用TVCS，所有的防毒产品更新工作都可从中央进行集中管理，并只需建立TVCS和趋势科技间的Internet连接，而不需要各个产品各自去连接因特网。支持日志记录功能:趋势科技的全线产品都提供日志记录功能。通过使用TVCS，所有的防毒产品的日志可以从单点进行管理和浏览，并可通过TVCS得到企业所有防毒工作的各类统计信息和日志。支持多种方式的告警功能〔声音、图像、e-mail等〕:趋势科技的全线产品都提供告警功能。通过使用TVCS，对企业内所有的中毒情况都会有综合的报警提示，包括弹出窗口、e-mail和寻呼机报警。其中的ServerProtect更是提供了包括：讯息信箱、寻呼机、打印机、Internet电子邮件、SNMP通知或写入到WindowsNT事件日志的多种报警方式。Interscan与FireWall的集成:TrendMicro是OPSEC的成员之一，Interscan透过CVP(ContentVectoringProtocal)的方式与CheckPointFirewall的整合，由CheckPoint在FireWall上的policy上可以设定,ftp及smtp是否经过扫毒，其例子如下：1.LocalNet到任何一个网站或download或upload档案，全经过Interscan扫毒2.MailServer到任何的SMTPServer的Outgoing的邮件，全经过Interscan扫毒3.SMTPServer到任何的MailServer的Outgoing的邮件，全经过Interscan扫毒Interscan与HPOpenView的集成:TrendVCS可藉由SNMP的Protocol和HP的OpenView加以结合，而由HP的OpenView来作防毒的控制台。解决方案1)因特网网关处防毒软件：TrendInterScanVirusWallforUnix/LinuxorNTi)针对企业自身网络(a)其中包括的模块：E-Mailviruswall、Webviruswall、FTPviruswall、TVCS(TrendVirusControlSystem〕agent。(b)作用：对从Internet上通过SMTP、、FTP标准协议传入的各类信息进行防毒处理。其中E-Mailviruswall还可对传出的信息进行防毒；FTPVirusWall还可用来保护内部的FTP效劳器不受外部upload的信息的病毒侵扰〔为实现该功能应将其安装在FTP效劳器上或单独安装〕。(c)安装建议：原那么上在出现防火墙的网关处都应该部署VirusWall。InterScanVirusWall产品包中内含两个版本--标准版和CVP版。其中CVP版是专门针对与采用CVP协议的防火墙进行集成设置而设计的，InterScan完全遵从OPSEC标准〔TREND公司是OPSEC联盟的成员之一〕。如果企业部署的防火墙采用了CVP协议，建议使用InterScan的CVP版本。这样部署InterScan会更简便，并且能够更好地与防火墙协同工作。(d)购置使用许可证方式：按照子网内的客户工作站台数计算用户数量，按用户数计算总价格。ii)针对Internet接入的虚拟主机效劳(a)如果虚拟主机放置于单独的子网内，电信企业可以考虑是否需要为其提供防毒效劳。如果需要提供该效劳，那么应采用同上述类似的方式为该子网安装独立的InterScanVirusWall。iii)针对Internet接入的主机托管效劳(a)由于各个客户的效劳器单独放置，电信企业可以考虑为需要防毒的客户提供效劳。原那么上应把需要防毒的客户和不需要防毒的客户分在两个不同的子网内，对需要防毒的客户子网安装InterScanVirusWall。电信企业可以将其做为增值效劳向客户收费或免费提供。采用此种方式时，产品购置方式可与软件销售商进行商榷而定。iv)如果客户考虑DedicatedServer的模式，Trend公司可以为客户与软件产品一起提供硬件平台。软硬件由Trend公司或集成商进行整体维护。2)企业内部网络防毒软件：TrendServerProtect，TrendOfficeScani)ServerProtectforNTandNetWarea)ServerProtect安装时分为三局部：普通效劳器模块、信息分发效劳器模块、管理控制台模块。b)ServerProtect应安装在所有的NT和NetWare效劳器上，其中的一台将做为信息分发效劳器〔InformationServer〕，由它对所有效劳器上的ServerProtect进行管理和控制。c)管理控制台模块可安装在win95/98/NT上，管理员可以在安装有控制台模块的机器上对整个ServerProtect系统进行中央管理。ii)OfficeScand)OfficeScan是单机产品的企业版软件，整个软件只需安装在一台NT效劳器上，客户机上的防毒模块可以自动地、透明地分发到各个客户机上，包括、win95/98、winNT/2000等平台的机器。所有客户机的防毒工作由效劳器管理，管理员籍此可以实现对所有客户机防毒工作的集中管理和配置。3)防毒软件中央控制系统：TrendVirusControlSystem——TVCSi)趋势科技的所有防毒产品都可以选装TVCS的客户端代理模块，一旦企业安装了TVCS系统，就可以实现不管何时何地都可以从某个WEB浏览器上对整个防毒系统进行管理和控制，为管理工作提供了极大的便利性。4吉通上海IDC信息平安策略解决方案4.1概述惠普公司提供的平安效劳符合平安体系结构的平安周期理论，平安周期是包含如下4个环节的循环过程：评估策略结构实施通过风险评估来客观地确定当前状况的平安状态，了解没有到达预期平安状态的地方，根据评估的结果以及相应的标准制定平安策略，明确平安的指导方针和各种行为的平安准那么，在此根底上确定平安体系结构，并进行实施。由于网络状态以及其他平安因素的不断变化，平安评估需要定期进行，这就又启动了一个平安过程，上