电信企业是以提供网络和数据服务为主要的经营业务的企业。通过在电信企业实施全面、有效、合理的安全措施将达到以下目标:
1、保护电信企业电信运营网的业务不间断的正常运作。包括构成电信网络的所有设施、系统、以及系统所处理的数据(信息)。
2、电信企业中的重要信息在可控的范围内传播,即有效的控制信息传播的范围,防止重要信息泄露给电信企业外部的组织或人员,如当前的或潜在的竞争对手。
3、以有限的代价,提高电信企业为其客户提供优于竞争对手的服务的能力,以获得竞争优势。
综上所述,我们对烟台电信网络安全主要是分成两个大部分来分别进行的:1、网络防护安全2、网络病毒防护下面我们就分别对两个方面进行详细阐述。
烟台市通信安全问题
在网络中没有安全防护系统不能及时的发现安全隐患,不能够对网络入侵及时响应,没有防病毒软件不能保护系统不受病毒的侵害。
操作系统的安全问题
烟台市通信的服务器和客户端使用的是UNIX和Winodws操作系统,众所周知,
UNIX操作系统以开放性著称,在安全性方面存在许多缺陷:
在用户认证和授权管理方面,UNIX操作系统对用户登录的管理是靠用户名和口令实现的,一个用户可以没有口令(使用空的口令),也可以使用非常简单易猜的词如用户名、用户姓名、生日、单位名称等作为口令;一个人只要拥有了合法的用户名和口令,就可以在任意时间、从任意地点进入系统,同时登录的进程数也没有限制,这些都是安全上的隐患。
在对资源的访问控制管理方面,UNIX只有读、写和执行三种权限,无法对文件进行更为细致的控制。
UNIX还缺乏完善有效的跟踪审计能力。如一个用户企图多次访问某敏感资源时,系统无法采取强有力的措施处置,管理员也很难发现。
UNIX中的root用户为特权用户。一旦拥有了root的权限,就可以为所欲为,查看任何文件,进行任何操作。
另外,不同的UNIX及UNIX的不同版本在实现的过程中都会有这样那样的BUG,其中许多BUG是与安全有关的。厂商在发现并修正BUG后会把PATCH放在其公司站点上供用户下载和安装,但许多用户没有技术能力和精力理解、跟踪这些PATCH并及时安装。有的UNIX操作系统虽然能够达到较高的安全级别,但在缺省安装和配置中一般采用较低的安全控制,需要进行许多配置过程才能达到较高的安全级别。由于水平和精力所限,一般用户环境中很难完成这样精确的安全配置,经常存在错误的配置,导致安全问题。更为严重的是,一台UNIX服务器上经常要安装很多商业应用软件,这些软件大多以root用户运行。而这些软件往往存在一些安全漏洞或错误的安全配置,从而导致root权限被人窃取。
同样的,微软公司的操作系统也存在各种安全漏洞问题。Windows NT/2000等并没有因为源代码的不公开就避免了安全漏洞的产生。2001年9月份连续发作的红色代码、蓝色代码、Nimda病毒等统统都采用了微软公司操作系统的安全漏洞进行系统安全性的破坏,导致了极其严重的后果。所以,我们需要一种安全策略审核工具,定期检查系统中与安全有关的软件、资源、PATCH的情况,如果发现服务器的配置同安全策略有违背就能够发现问题及时报告并给出解决建议,这样才能使系统处于安全的状态。
应用系统的安全问题
在烟台市通信中存在着多种应用,包括运行在DNS系统、WWW系统、邮件系统和OA系统等等,这些系统本身都存在一些安全问题。
DNS是网络正常运作的基本元素,它们是由运行专门的或操作系统提供的服务的Unix或NT主机构成。这些系统很容易成为攻击的目标或跳板。对DNS的攻击通常是对其他远程主机进行攻击做准备,如篡改域名解析记录以欺骗被攻击的系统,或通过获取DNS的区域文件而得到进一步入侵的重要信息。著名的域名服务系统BIND就存在众多的可以被入侵者利用的漏洞。
利用HTTP服务器的一些漏洞,特别是在大量使用服务器脚本的系统上,利用这些可执行的脚本程序,入侵者可以很容易的获得系统的控制权。
针对烟台市通信现有的信息系统和应用需求,我们设计了一套功能完善、技术先进信息安全管理防护系统,包括网关防病毒、网络防病毒、入侵检测、核心服务器和主机防护(访问控制)、漏洞扫描和防火墙等。
网络安全设计思想及原则
网络安全说到底是要保护用户业务的安全。离开用户的业务谈安全无疑是没有意义的。现实中,每个用户的业务都是各有不同的,这导致他们对安全的需求也是各不相同的,比如金融行业强调业务的保密性和可靠性;媒体网站则强调抗拒绝服务攻击能力等。因此,安全解决方案和安全管理都不可能有一个固定不变的模式。
其次,从前面章节可以看到,各个安全工具都具体针对安全的各个不同环节和方面,安全定位和角色完全不同,因此都有其安全作用上的局限性,要彻底解决用户业务的安全问题,不可能单靠某个安全产品,必须是针对具体用户业务的实际安全环境和需求,采用全面、整体的网络安全解决方案。
基于此,我们为烟台市通信提供网络安全方案的设计思想是“面向业务,全面安全”。
在“面向业务,全面安全”的设计思想指导下,我们在实际设计过程中坚持以下原则:
a)安全第一:尽量减少安全风险,提高安全程度。
b)不假定安全:在一个不加防范的网络中,任何环节和环境都可能存在危险。
c)可发展性:能适应安全环境变化满足升级要求。
d)可管理性:保证安全策略和特征库的集中管理和自动派发。
e)可追踪性:对所有的安全行为可以进行审计。
网络系统安全设计方案
我们在进行方案设计时, 根据烟台市通信网络系统的特点,除对其网络系统进行防病毒安全体系的设计考虑外,也力图对系统安全有一个整体性的设计考虑,比如对总控中心、各分控中心之间的安全隔离。
由于网络信息安全是一个系统工程,任何一个环节的安全漏洞都可能带来全系统的不安全。因此为保证系统的全面安全,仅仅采用一种安全产品是远远不能满足要求的,我们在系统中从系统多个层面入手,采用了多种有效的安全工具。
系统网络结构模型
为简化网络结构复杂度,方便问题的分析,我们将用户网络结构图简化为网络结构模块框架图。简化后的系统网络结构模块框架图如下:
在上图中,我们将用户网络分为几个模块:应用服务器群、用户工作站、内网设备、边界路由器等,其中内网设备包括内部各种网络交换机、路由器等。在实际子系统中,可能不止一个边界路由器,但我们认为它们的安全考虑是类似的。
在安全设计过程中,我们会基于系统中各个模块,分析系统的安全风险并提出安全设计建议。
应用服务器群模块
应用服务器在攻击中最有可能成为目标,从安全角度来讲,也是最难保护的。首先,因为应用服务器对外提供应用服务,它们在网络中是高度可见的。因为这种可见性的缘故,应用服务器是网络入侵企图中最常被攻击的设备;其次,因为用户的业务信息是以应用服务器为载体的,并通过应用服务器的操作系统对这些信息和服务进行管理,因此应用服务器最为贴近用户业务的信息和服务。这些服务器可能遭到的安全攻击有:
非法越权越级访问
对应用服务(如ORACLE数据库服务器、DNS服务器、邮件服务器、Web服务器等)的攻击
地址欺骗
信息窃听
缓冲区溢出攻击
口令攻击
要消除和减轻对系统应用服务器的安全攻击或危险有以下措施:
加强基于服务器/主机核心的安全防护保护服务器信息和运行其上的业务
采用信息加密、网络隔离等手段防止信息窃听和破坏
利用网络入侵检测系统监视、发现网络中对服务器的网络攻击行为
利用防火墙(包括边界和主机防火墙)制止非法网络访问和地址欺骗
下面我们从几个层次来详细考虑其安全性:
主机硬件级
操作系统级
应用服务级
数据级
网络级
强身份认证级
主机硬件级安全
硬件级安全要求从以下几个环节保证:环境安全;设备本身的使用寿命;设备及设备关键部件的冗余。
操作系统级
我们建议为系统核心服务器采用冠群金辰公司的主机核心防护产品eAC(eTrust Access Control),加强核心服务器的自我保护。采用主机核心防护的eAC可以提升系统的核心服务器上的安全级,达到TCSEC标准的B1级。在eAC环境下,对除通常的用户访问控制外,还提供如下安全措施:
安全级别划分:对信息和用户都定义安全级别,用户只可能访问同等安全级或低安全级的资源(包括文件、设备等)
限制访问:用户只能在安全策略规定的设备上和时间内才能访问主机资源
访问权限细化:除了对资源的读、写、执行三种权限外,定义了更为细化的访问权限,如:更改属性、删除、重命名、创建等等。
超级用户的权限控制:采用权限分离的安全策略,限制超级用户的权利,降低系统的安全风险。
进程和服务的保护:主动保护系统进程和系统关键进程不被恶意中断
防缓冲区溢出攻击:采用STOP技术随机化内存缓存位置使攻击者无法知道代码会加载到内存中位置,阻止UNIX系统上常见的缓冲区溢出攻击。
保护NT系统注册表:很多计算机病毒都是通过修改系统注册表而获得系统的控制权,从而往系统中注入病毒程序或特洛伊木马程序。
防止UNIX系统中隐形身份非法访问:避免UNIX中由于SETUID/SETGID带来的隐形身份问题,采用真实身份访问控制和真实身份审计。
内置主机防火墙
加强的系统口令管理机制
有效的主机访问审计
在这里我们特别强调eAC的防缓冲区溢出攻击能力,因为目前有很多攻击,包括病毒都会通过这种方式攻击系统,导致系统瘫痪,甚至透过这种攻击获取系统特权,给系统造成直接或各种潜在的破坏。eAC采用STOP技术能有效地阻止这类恶性攻击。
数据级
数据级的安全可以通过两个措施来实现:操作系统保护和数据加密。
操作系统保护我们在前面章节有所描述。在主机/服务器上安装eAC 提升操作系统安全级别,再通过定义安全访问策略来保护数据安全。eAC保护数据的策略有:
a>有条件的数据访问控制。通过策略可以规定特定用户访问系统的时间和地点,如果在非指定的时间和非指定的设备上试图访问系统就会被拒绝,这对于防范冒充身份的非法访问尤为有效,如果某业务管理员只在其固定的终端设备上和其正常的上班时间才进行业务操作,那么一旦他/她的身份(用户名和口令字)被窃取或丢失,黑客也难以用他/她的身份进入系统,因为黑客很难在正常的上班时间用业务管理员本人的终端设备进行非法访问。在系统中,我们建议根据需要,严格制定管理措施,并将这些措施反应到安全策略中,从而有效地提高系统安全性。
b>强制性的数据访问控制。通过策略可以为数据和业务管理员分配不同的安全级别,比如绝密级、秘密级、普通级等。业务管理员只可能访问比自己安全级别低或等同安全级的数据:有绝密级权限的业务管理员可以访问秘密级数据和绝密级数据;普通业务管理员不能访问秘密级信息和绝密级信息。在eAC 中,这种密级可以至多定义255种。
c>单用户级数据访问控制。UNIX系统中,对数据文件的访问只有三种主体定义:文件主、同组用户和其它。同组用户对某一数据的访问权限是完全一样的,这种访问主体的粒度显然太大。eAC中,访问主体可以完全定义成单用户级。即便是同组用户也可以定义不同的操作权限。
d>更细化的访问权限。UNIX系统中,用户对访问对象只有三种操作权限:读、写、执行。在eAC 中,用户的访问权利被分得更细,比如:修改属性、重命名、删除、创建、修改访问列表,更改文件属主等等。这种更细化的权限划分进一步保护了数据的安全。比如对一个重要的业务/系统文件禁止一般用户创建权限,可以防止黑客通过假冒文件来窃取信息。
e>eAC通过保护NT系统的系统注册表,防止病毒或特洛伊木马程序的非法进入。
要进一步保护数据,还可以通过数据加密手段。通过适当的加密算法,可以实现数据的保密和数据的完整性:黑客即使窃取到数据信息,也理解不了数据的含义;数据信息即使被破坏,也是可以被恢复的。
鉴于密钥管理的重要性,建议烟台市通信网络在采用加密算法后,一定要制定严格的安全管理制度,确保密钥的安全。
网络级
为实时监控网络中可能的对系统核心服务器的攻击行为,我们建议在网络中采用冠群金辰公司的入侵检测产品eID (etrust Intrusion Detection)。
eID通过自动实时地检测网络数据流中潜在的入侵、攻击和滥用行为,提供了先进的网络保护功能。对于发现的非法网络行为,eID还可以与防火墙和路由器等设备和工具进行联动限制网络访问,或者实时阻断网络访问。
因为eID是基于网络冲突域的网络嗅探和侦听技术,因此要将eID放置在网络中应用服务器所在网段或通过交换机端口镜像技术监控应用服务器所在网段流量。
eID提供网络行为回放功能,可以真实、全面地再现用户的访问行为过程,为安全管理员更为全面地了解、分析黑客的攻击手段和攻击目的提供帮助。比如,黑客非法登入系统调度自动化服务器,其活动可以通过eID再现,并实时阻断。
eID也可以用来定义哪些用户可以访问系统中的特定资源,保证只有授权用户才可以访问。
通过eID,可以防止系统重要信息的外泄:eID支持字匹配扫描,管理员可以定义表明违反策略的字方式,防止未经授权的敏感信息外漏。
为防止病毒在系统中传播,eID可以检测和阻止含病毒的网络数据流。比如,防止用户下载被病毒感染的文件。还可以通过eID来检测、定位病毒源、进而有效地防止病毒扩散。在国内红色代码2代或尼姆达等病毒的首次发现和杀除过程中,eID就起到了重要的病毒发现、定位作用。
由于eID并不安装在服务器中,所以它没有主机相关性,即不影响主机的性能、也不存在主机系统、应用的兼容隐患。
eID 可以提供强大的网络行为审计能力,让网络安全管理员跟踪用户(包括黑客)、应用程序等对网络的使用情况,帮助他们改进网络规划。
我们建议在内网系统和其它系统接口处设置冠群金辰公司的eFW(eTrust Firewall)防火墙,它可以:a.安全隔离系统网络和其他系统网络;b.防止源地址欺骗。
另外,为防止信息窃听,我们建议:如果可能,对网络信息加密;建设全交换网,隔离网络流量
加强身份认证
身份认证机制是安全方案的一个重要门户。对于烟台市通信网络信息网络,我们建议两种加强身份认证的方案:提升主机/服务器的口令验证机制的安全级和采用第三方的身份认证机制。
eAC可以有效地提升主机/服务器的身份认证机制安全级。eAC改进了原操作系统中安全比较薄弱的口令验证系统:比如在口令复杂度要求、最大失败登录次数、口令使用期限、口令修改历史等方面都比原系统有了更严格的要求和限制。
其次,如果主机/服务器支持PAM机制,那么可以将原系统的基于主机的身份认证机制转变为第三方认证,比如:Kerberos、SecureID、PKI等等。
结论:在实施完上述的安全操作后,结合开始的DNS安全部署以及在其他章节中通用的服务器,网络一般性安全,可以有效保护烟台市通信网络的DNS服务器的安全。
内网网络设备模块
内网网络设备包括系统内部交换机和第三层交换设备。它们是网络访问和网络服务的桥梁,修改或破坏网络设备或配置都会带来用户业务的安全损失。网络设备可能遭遇的网络攻击有:
非法登入
地址欺骗
服务攻击,如DoS攻击
窃听
要消除和减轻对系统内网网络设备的安全攻击或危险有以下措施:
◆ 加强安全认证:要求网络硬件厂商提升产品登录的安全检查机制或者采用专业的第三方的认证机制。
◆ 利用网络入侵检测系统监视、发现对网络设备的攻击行为,如DoS攻击。
◆ 利用防火墙(包括边界和主机防火墙)制止非法网络访问和地址欺骗。
◆ 采用信息加密、网络隔离等手段防止信息窃听和破坏
◆ 防计算机病毒系统
某些计算机病毒会造成网络,包括交换机、路由器等设备瘫痪,比如红色代码2代、尼姆达等病毒。这类病毒采用DOS攻击方式导致网络节点、网络设备不能正常工作、网络带宽被耗尽。
为实时监控网络中可能的对系统内网网络设备的攻击行为,我们建议在网络中采用冠群金辰公司的入侵检测产品eID (etrust Intrusion Detection)。eID通过自动检测网络数据流中潜在的入侵、攻击和滥用行为,提供了先进的网络保护功能。对于发现的非法网络行为,eID还可以与防火墙和路由器等设备和工具进行联动限制网络访问,或者实时中断网络访问。
用户工作站
用户工作站是用户访问业务信息、进行业务操作的前台,其特点是量大,安全隐患或安全问题扩散快。典型的用户前端工作站是基于微软Windows平台的PC。
这些用户工作站可能遭到的安全攻击有:
非法访问
信息窃听
病毒
要消除和减轻对系统用户工作站的安全攻击或危险有以下措施:
a>安装防病毒软件,及时发现、杀灭病毒。
b>利用防火墙(包括边界和主机防火墙)制止非法网络访问。
c>采用信息加密、网络隔离等手段防止信息窃听和破坏
有关防病毒软件我们将在下面进行详细的阐述,这里我们主要对安全防护进行阐述。
如前所述,为防止病毒在系统中传播,我们建议在系统中配置eID,eID可以检测和阻止含病毒的网络数据流。比如,防止用户下载被病毒感染的文件。还可以通过eID来检测、定位病毒源、进而有效地防止病毒扩散。在国内红色代码2代或尼姆达等病毒的首次发现和杀除过程中,eID就起到了重要的病毒发现、定位作用。
我们建议在系统和其它系统接口处设置冠群金辰公司的eFW(eTrust Firewall)防火墙,它可以:a.安全隔离系统网络和其他系统网络;b.防止源地址欺骗。这样可以防止来自系统外的攻击或非法访问。
边界路由器模块
边界路由器包括每个子系统和其他系统相连接的路由设备,属第三层网络设备。它们是系统和其他系统连接的桥梁,修改或破坏网络设备或配置会带来用户业务的安全损失。边界路由设备可能遭遇的网络攻击有:
非法登入
地址欺骗
服务攻击,如DoS攻击
网络病毒扩散
要消除和减轻对系统边界路由器的安全攻击或危险有以下措施:
a>加强安全认证:要求网络硬件厂商提升产品登录的安全检查机制或者采用专业的第三方的认证机制。
b>利用网络入侵检测系统监视、发现对网络设备的攻击行为,如DoS攻击。
c>利用防火墙(包括边界和主机防火墙)制止非法网络访问和地址欺骗。
d>有效地计算机防病毒体系。在网关处部署防病毒网关
为实时监控网络中可能的对系统内网网络设备的攻击行为,我们建议在网络中采用冠群金辰公司的入侵检测产品eID (etrust Intrusion Detection)。通过eID自动检测网络数据流中潜在的入侵、攻击和滥用行为,提供了先进的网络保护功能。对于发现的非法网络行为,eID还可以与防火墙和路由器等设备和工具进行联动限制网络访问,或者实时中断网络访问。
整体的系统安全设计建议
在前面我们分析了系统内各组成模块可能遭到的安全风险,并针对各自情况提出了安全建议,本节主要在前面分析和建议的基础上,对各模块的安全建议加以融合、整理,为系统提供一套整体的安全方案建议。
我们提出的系统整体安全方案如下图示:
配置概况如下:
系统应用服务器:eAC;
系统和其它系统接口: eFW,在每个与其他系统的接口配置一套,eTrust Content Inspection,在每个与其他系统的接口配置一套
网络入侵检测:eID,基于网络和流量情况,建议重点网段配置
网络:金辰漏洞扫描
本方案还建议烟台市通信网络购买网络安全评估工具或网络安全评估服务,以对烟台市通信网络信息网络定期进行安全评估,找出安全漏洞,并及时修改网络规划,配置,提高网络安全级别。
冠群金辰公司的金辰扫描器是基于网络的适合于企业的漏洞评估工具和安全扫描工具,目的是检查网络环境下的各种网络系统与设备的安全漏洞,它通过检查网络系统上打开的端口,按顺序诊断这些端口所提供的网络服务的漏洞,并向系统管理员提供详细的漏洞诊断报告,从而协助管理员防漏堵漏。
安全管理模式
eID管理
eID系统由三个主要部分组成:eID 代理(Agent)、eID主控台、eID日志中心组成。
eID代理负责实时监控各网段,eID主控台负责中央配置,而eID日志中心则产生各类入侵检测报表,
如下图:
eID可以监控所在网段的网络流量及各种网络通讯信息,防止来自企业内外网的入侵攻击行为,因此,作为企业级的网络管理者需要为企业制定统一的安全防护策略,使企业内部署的每个eID都具有相同的安全防护策略,可抵御各种潜在的入侵及攻击。
eID控制台采用集中管理模式,可以为每个eID代理设置访问及监控规则,包括对员工上网浏览、下载、收发电子邮件等行为的监控与管理等。通过控制台,企业管理员可以为每个eID代理远程定制安全防护策略,然后由eID代理执行管理员定制的安全策略,如:识别并阻止各种入侵攻击行为,监控并记录各种网络活动,对各种异常的网络活动发出警告或通过多种方式进行报警。
管理员可以根据每个eID代理所在网段的安全防护需求,在企业统一安全策略的基础上,为每个eID代理设置有针对性的安全防护策略,以保证每个eID代理能够最大限度地抵御潜在的安全风险。
eID代理实时监控网络流量,记录各种可疑的网络活动,并可以按照管理员的设置定期生成基于各种主题的日志报告,每个EID代理所记录的网络活动日志可以每天定时上传到eID控制台的日志管理中心,由日志管理中心统一到这些记录和日志进行归档统计,并按照企业网络监控的要求,生成整个企业网的网络应用、流量统计、入侵攻击分析等各种形式的报告。
eID日志管理中心所生成的整个企业的监控日志报告,使得企业的管理员可以随时了解整个企业网络的应用状况、网络流量分布情况,特别是通过网络可疑活动的日志,管理员可以发现企业网的可疑活动高发区、易受攻击区域等,以及时调整防护策略,进行有效的防范。
eAC管理
eAC通过支持基于策略的集中分发式管理,所有安全策略可以在中央服务器上集中配置,然后根据策略逐级分发到其它服务器,如下图:
采用集中管理模式,管理员可以将整个企业eAC管理按管理级别的需要设置为多级控管的系统,在下级控管系统设置多个管理组织单元,并在每个组织单元内设置一台管理服务器配置eAC安全管理策略,包括口令管理策略、文件管理策略、服务端口管理策略等。在eAC管理控制台上为所辖组织设置的安全管理策略,可以自动分发到组织中的所有eAC成员机器上,从而可以实现对网络中所有机器的集中管理。
通过集中分布式管理系统,由中央管理员在eAC管理服务器上统一设置的企业级安全策略,可部署到下一级eAC管理服务器上,然后,再部署到指定的eAC管理引擎上,同样,由二级管理员在本级EAC管理服务器设置的安全策略也可以部署到三级EAC管理服务器和所有二级eAC管理引擎上。这种向下分发的管理模式,便于在企业内构建统一的基本安全防护策略;分级管理系统又使得二、三级管理人员具备了一定在本地区的管理权限,他们可以根据所在地区的实际安全需求,设置本地的安全策略,进行有针对性的安全防护。
方案特点:
全面安全:网络安全决不是一个局部的概念,任何一个环节存在不安全,系统整体就不可能安全。本方案对系统各个组成模块的安全都全面加以考虑,并综合运用各种安全工具组成一个有效的联防安全系统。
整体联防:本方案不是一个简单的各类安全工具的叠加。eID和防火墙以及路由器之间可以实现互动:如果eID发现可能的或已发生的安全攻击行为时,会实时通知路由器和防火墙,修改安全规则,防止进一步的网络安全攻击。同时,冠群金辰也正在开发eID和KILL之间的病毒检测机制联动功能。
管理简便可靠:无论方案中采用的是eID,或者eAC产品,它们都可以采用集中分发式管理:所有的安全策略、病毒特征码、访问控制规则都可以在中央服务器配置,然后通过网络按照制定好的策略逐级分发到各端站,无须管理员逐点安装配置。这样带来的好处是速度快,效率高,人为错误少。具有联机软件重新配置能力,即配置更改即时生效,不需要重新启动或中断应用和服务。
安全结构清晰:各安全产品在互动的同时,各自有明确的安全角色,这为系统维护、升级都带来了极大的便利和可能。
强大的系统安全审计能力:本方案对各安全环节发生的安全行为都能够进行详尽的审计,帮助网络安全管理员跟踪网络活动,分析安全隐患,规划网络方案。
烟台市通信首期安全产品部署及说明
A)、漏洞扫描系统:
根据目前系统结构特点在两个重点网段部署冠群金辰网络扫描器,由于金辰网络扫描器的安装是与安装该软件机器的MAC地址及被扫描的IP地址范围相关的,所以建议在一台配置较高的笔记本电脑上安装,通过修改机器IP地址的方式将该机加入不同的网段中实现对该网段的扫描。被扫描的设备主要有如下种类:
COMPAQ GS80x2 UNIX5.0
COMPAQ ES40x2 UNIX4.0F
CISCO PIX525和520
GS800X2 ALPHA 4100 X2
CISCO 6509x2
CISCO 7507x2
IBM7500系列服务器x3 WIN2000
对以上设备的扫描包括目前设备的配置、协议及其他安全漏洞并能提出解决的方法。
B)、入侵检测系统
入侵检测系统主要考虑针对目前系统与INTERNET相连部分链路的安全。
整个系统有两条链路与INTERNET相连,在两台机器上分别安装冠群金辰入侵检测系统在Cisco 6509将与INTERNET 相联的端口镜像到安装有冠群金辰入侵检测系统机器的网络端口上。对穿越防火墙的攻击和内部攻击的进行实时的跟踪检测,阻断进一步的入侵,并能及时地给系统管理员可见可闻的报告信息,使系统管理员能在最快的时间内封堵漏洞及查找攻击源、记录攻击过程。
C)、主机防护
建议在每台需要防护的主机上配置冠群金辰的主机防护软件eTrust Access Control。eTrust Access Control主要功能特点如下:
◆ 有效对超级用户的权限进行削弱和再分配
◆ 有效防止内部和相关人员作案
◆ 基于时间、地点、访问手段等多种限制条件形成完整的策略数据库,进行细粒度的访问控制
◆ 对文件、进程、服务、注册表、外设、共享资源等资源的全方位保护
◆ 对关键文件和程序的防篡改保护
◆ 防止通过木马和后门实施的攻击
◆ 防止成为分布式拒绝服务攻击(DDoS)的傀儡
◆ 强大的自我保护机制。可以防止黑客或其他用户(包括超级用户)关闭eTrust Access Control的安全守护进程
◆ 缓存区溢出保护技术(STOP)。STOP能够彻底防止黑客使用所有的缓存区溢出方法对系统进行攻击
◆ 强大的审计和跟踪功能
◆ 通过策略缓冲机制和选择系统调用多种机制大幅度提升运行效率,资源占用率一般低于5%。支持多CPU
◆ 广泛的平台支持。支持SUN Solaris、IBM AIX、HP-UX、Digital UNIX以及SCO、NCR、Sequent等等十余种UNIX平台、几十种操作系统版本,并且能够支持Linux和Windows NT、Windows 2000和Windows XP操作系统
◆ 支持同IBM Mainframe OS/390的安全机制统一管理和口令同步功能
◆ 独一无二的透明提升操作系统到B1安全级别的功能
◆ 图形、命令行和Web三种管理方式
◆ 能够在不同操作系统之间进行安全策略的分发和集中管理
◆ 能够在不同操作系统之间进行账户口令同步
◆ 提供丰富的API接口,能够将其强大的安全机制集成在用户的应用环境中
如上所述即可构架成一个全方位立体的安全防护体系。在网络边缘有防火墙可以防止大多数恶意攻击及屏蔽掉与网络应用无关的协议。在局域网部分有冠群金辰入侵检测系统可以检测穿越防火墙的攻击和来自内部的攻击。在主机方面配置冠群金辰eTrust Access Control可以大大提高主机系统的访问控制能力,实现对系统资源有条件的访问控制。不但可以防止外部黑客的攻击同时也可以防止内部合法用户的越权访问,真正实现了主机系统的安全。
