(2) 系统的完整性
虽然有防火墙作为第一道保护屏障,但是它并不能阻止所有外部入侵,也不能防病毒, 如果有经验的非法入侵者攻击内部网络,防火墙也不能提供完全的网络安全保护。因此, 数据局163/169网还配置了防病毒和防黑客系统。
我们充分考虑到病毒对数据局163/169网络信息系统可能造成的威胁和破坏,采用多层防病毒体系,从网关、 服务器和桌面三个层次设置了防病毒关卡。
●在接入处安装基于Internet网关的防病毒软件。具体可安装到Mail Server、Web Server、DNS Server 等代理服务器上,可防止来自Internet的病毒和恶意Java程序的破坏。
●在信息系统内的主要服务器上安装基于主机的防病毒软件。可安装到主要的服务器上,防止内部用户通过服务器扩散病毒。
●在终端上安装基于PC的防病毒软件。
此外,单纯的防火墙和防病毒系统对保证系统完整性来说还是远远不够的, 因为入侵者可寻找防火墙背后可能敞开的后门或者入侵者已通过防火墙的防护进入网络内部。所以, 我们在数据局163/169网中采用了实时入侵检测系统,提供实时的入侵检测。
我们采用了基于主机的入侵检测系统 CyberCop Monitor,它可以保护关键应用的服务器。在业务系统、 OA系统的主机上安装入侵检测系统,可以精确地判断入侵事件,包括应用层的入侵事件,并对入侵作出快速反映。 而Web Server上安装的入侵检测系统能在有人篡改主页时自动作出反应,把主页返回到原来的状态。 CyberCop Monitor 可进行实时的攻击检测,当侦测到攻击时,立即报告给自动响应模块并及时通知管理员, 管理员可立即登录到正在被攻击的主机上,修改配 或采取相应的措施来制止攻 击行为。 CyberCop Monitor可自动识别300多种攻击类型,并有自动学习功能。通过入侵检测系统, 网络管理员对任何网段的任何活动进行实时监视,全方位地保护整个网络。
另外,还可以在网络系统的任意一点安装安全扫描器,通过它测试和评价系统的安全性,并及时发现安全漏洞。
2、方案应用产品及介绍
我们采用NAI公司的防病毒全敌品TVD(Total Virus Defense)套件作为反病毒方案的基础, 包括桌面保护套件VSS(Virusscan Security Suite)、 服务器保护套件NSS(Netshield Security Suite)和网关保护套件ISS(Internet Security Suite)。
采用全面保护信息系统安全的产品TNS(Total Network Security)套件作为保证系统整体安全的手段,各部分功能如下:
(1) 防火墙产品
● 东方卫士主动式智能化防火墙
该产品是东方卫士信息安全技术有限公司与美国网络联盟公司(NAI)合作开发的产品。它使用完全的代理服务方式提供广泛的协议支持和高速吞吐能力(70Mbps),很好地解决了安全、性能及灵活性之间的协调问题。
由于完全使用应用层代理服务,东方卫士主动式智能化防火墙对访问的控制更加细致。 通过对IPSEC/ISAKMP/Oakly 的支持,提供了强大的VPN管理能力。特别是对X.509 V3支持,使大型VPN 的管理和认证易于实现。
该产品的VPN加密模块支持56bit DES及168bit Triple DES。如果选择Recovery Key, 美国以外的用户也可购买168 bit Triple DES 模块。该模块的4.1版本内置了基于PKI的证书管理服务器。
● SLM SecurIT防火墙
这是与操作系统底层紧密结合的防火墙产品,独特的技术使它更适合于Sun的操作平台。 它可充当 Internet与内部网之间的安全网关,为用户提供双向透明性, 全面监控所有64000个TCP和UDP 端口,并且全面支持所有服务的用户认证。
(2) 安全监控产品
● CyberCop Monitor
CyberCop Monitor 为关键服务器提供了实时保护。通过监视来自网络的攻击、非法闯入和异常进程, CyberCop Monitor 能够实时地检测出攻击,并作出切断服务/重启服务器进程/发出警报/ 记录入侵过程等动作。
CyberCop Monitor也可配置为分布式方式,由安装在每台服务器上的agent进行攻击识别及动作执行,Server 则完成管理和记录工作。
目 前,CyberCop Monitor 可安装在NT 4.0、Solaris2.5/2.6、AIX 4.1.5 操作系统上。
