《安全产品白皮书(1).docx》由会员分享,可在线阅读,更多相关《安全产品白皮书(1).docx(109页珍藏版)》请在三一办公上搜索。
1、CA安全产品白皮书目录1.计算机系统安全隐患61.1从计算机系统的发展看安全问题71.2从计算机系统的特点看安全问题82.信息系统安全管理需求分析112.1网络层安全防护122.2系统级安全防护142.3应用级安全保护163.COMPUTER ASSOCIATES安全解决方案203.1安全之道203.1.1网络安全213.1.2服务器安全213.1.3用户安全223.1.4应用程序和服务安全223.1.5数据安全223.2eTrust224.ETRUST 网络防护244.1eTrust FireWall244.1.1概述244.1.2结构与工作原理254.1.2.1产品的结构254.1.2.2
2、eTrust Firewall的工作原理264.1.3产品的功能特性294.2eTrust Content Inspection334.2.1基本概念与设计334.2.2工作原理364.2.3功能384.2.3.1网际安全保护394.2.3.2直接在网络网关口保护资讯安全394.2.3.3网关应用404.2.3.4集中管理与报告414.3eTrust Intrusion Detection424.3.1概述424.3.2结构与原理434.3.2.1产品结构434.3.2.2产品原理444.3.3功能特性464.3.3.1入侵检测功能464.3.3.2会话记录、拦截功能474.3.3.3防止网络
3、滥用494.3.3.4活动代码和病毒防护504.3.3.5与其它安全产品集成与配合504.3.3.6集中管理504.3.3.7特性524.4eTrust Anti-Virus564.4.1产品概述564.4.2结构及工作原理574.4.3产品功能特性604.5eTrust VPN664.5.1基本概念664.5.2部署方式694.5.2.1Intranet模式694.5.2.2远程访问模式704.5.2.3使用网关服务器的远程访问模式714.5.2.4外部网模式724.5.3功能和特点734.5.3.1安全策略定义744.5.3.2隧道模式744.5.3.3路由、网关选项754.5.3.4对网
4、络服务端口的保护764.5.3.5用户认证765.ETRUST 系统安全795.1eTrust Access Control795.1.1操作系统的安全性795.1.2功能描述835.1.2.1用户认证835.1.2.2口令质量控制855.1.2.3访问控制875.1.2.4保护目录和文件905.1.2.5保护特权程序915.1.2.6保护进程935.1.2.7保护SURROGATE935.1.2.8保护网络连接945.1.2.9取消“超级用户”945.1.2.10让普通用户具有超级用户的某些能力965.1.2.11审计975.1.2.12对Windows NT的保护985.1.3特点和优势1
5、005.1.3.1防止堆栈溢出型攻击1005.1.3.2强大的功能1025.1.3.3易管理性1025.1.3.4自我保护能力1035.2eTrust Audit1045.2.1企业信息安全对审计的需要1045.2.2eTrust Audit1055.2.3结构1065.2.3.1良好的设计思路与结构1065.2.3.2利用eTrust Audit 建立有效的审计体系1075.2.4功能与特点1085.2.4.1跨平台事件管理1095.2.4.2基于主机的侵袭检测1095.2.4.3及时多样的报警1106.ETRUST 用户与应用安全1116.1eTrust Single Sign On111
6、6.1.1概念和原理1116.1.1.1为什么需要单点登录1116.1.1.2单点登录产品的工作原理1126.1.2功能结构1136.1.3特点和优势1166.2eTrust Admin1196.2.1基本概念1196.2.1.1安全集中管理1196.2.1.2eTrust Admin1206.2.2工作原理1216.2.2.1现有策略的自动发现1226.2.2.2策略的制定1226.2.2.3策略的传播1236.2.3功能与特点1246.2.3.1主要特性1246.2.3.2功能优势1267.COMPUTER ASSOCIATES信息安全服务1297.1风险评估1297.2政策、规程和方法1
7、307.3安全框架设计1317.4安全解决方案的实施1327.5培训1337.6内部审计助理1347.7独立的安全审计1358.COMPUTER ASSOCIATES 为企业网络计算环境提供全面的安全解决方案1371. 计算机系统安全隐患每年我们都要在计算机系统上花费上百万美元建立与管理信息,这些信息用于商业决策、客户服务和保持竞争力。但是你知不知道这些信息是否安全?简单地用一张软盘就可拷贝下你占有商业先机的信息,并且你可能从不会察觉信息已被偷走,直到竞争对手把你的商业计划作为他们自己的来宣布。你如何得知怎么样才是足够安全?不同的公司以它们自己不同的安全观点建立了大型计算机网络,并且经常连接到
8、网络上工作。这样不同的信息安全需求,导致确保一个真正安全的、可审计的系统非常困难。因特网上电子商业的导入,提高了企业加紧保护他们数字资源信息安全的需求。目前,计算机系统和信息安全问题是IT业最为关心和关注的焦点之一。据ICSA统计,有11的安全问题导致网络数据被破坏,14导致数据失密,15的攻击来自系统外部,来自系统内部的安全威胁高达60。由于受到内部心怀不满的职工安放的程序炸弹侵害,Omega Engineering公司蒙受了价值900万美元的销售收入和合同损失,由于受到来自网络的侵袭,Citibank银行被窃了1000万美元,后来他们虽然追回了750万美元损失,但却因此失去了7的重要客户,
9、其声誉受到了沉重打击。这只是人们知道的两个因安全问题造成巨大损失的例子,实际上,更多的安全入侵事件没有报告。据美国联邦调查局估计,仅有7的入侵事件被报告了,而澳大利亚联邦警察局则认为这个数字只有5。因为许多入侵根本没有被检测到,还有一些受到侵袭的企业由于害怕失去客户的信任而没有报告。那么,为什么当今信息系统中存在如此之多的安全隐患,安全问题如此突出呢?这是与计算机系统的发展、当今流行系统的设计思路、当前IT系统的使用状况紧密相关的。下面,我们从以下几个方面简要论述。1.1 从计算机系统的发展看安全问题安全问题如此突出和严重是与IT技术和环境的发展分不开的。早期的业务系统是局限于大型主机上的集中
10、式应用,与外界联系较少,能够接触和使用系统的人员也很少,系统安全隐患尚不明显。现在业务系统大多是基于客户/服务器模式和Internet/Intranet网络计算模式的分布式应用,用户、程序和数据可能分布在世界的各个角落,给系统的安全管理造成了很大困难。早期的网络大多限于企业内部,与外界的物理连接很少,对于外部入侵的防范较为容易,现在,网络已发展到全球一体化的Internet,每个企业的Intranet都会有许多与外部连接的链路,如通过专线连入Internet,提供远程接入服务供业务伙伴和出差员工访问等等。在这样一个分布式应用的环境中,企业的数据库服务器、电子邮件服务器、WWW服务器、文件服务器
11、、应用服务器等等每一个都是一个供人出入的“门户”,只要有一个“门户”没有完全保护好忘了上锁或不很牢固,“黑客”就会通过这道门进入系统,窃取或破坏所有系统资源。随着系统和网络的不断开放,供黑客攻击系统的简单易用的“黑客工具”和“黑客程序(BO程序)”不断出现,一个人不必掌握很高深的计算机技术就可以成为黑客,黑客的平均年龄越来越小,现在是1416岁。1.2 从计算机系统的特点看安全问题在现代典型的计算机系统中,大都采用TCP/IP作为主要的网络通讯协议,主要服务器为UNIX或Windows NT操作系统。众所周知,TCP/IP和UNIX都是以开放性著称的。系统之间易于互联和共享信息的设计思路贯穿与
12、系统的方方面面,对访问控制、用户验证授权、实时和事后审计等安全内容考虑较少,只实现了基本安全控制功能,实现时还存在一些这样那样的漏洞。TCP/IP的结构与基于专用主机(如IBM ES/9000、AS/400)和网络(如SNA网络)的体系结构相比,灵活性、易用性、开发性都很好,但是,在安全性方面却存在很多隐患。TCP/IP的网络结构没有集中的控制,每个节点的地址由自己配置,节点之间的路由可任意改变。服务器很难验证某客户机的真实性。IP协议是一种无连接的通讯协议,无安全控制机制,存在各种各样的攻击手段。实际上,从TCP/IP的网络层,人们很难区分合法信息流和入侵数据,DoS(Denial of S
13、ervices,拒绝服务)就是其中明显的例子。UNIX操作系统更是以开放性著称的,在安全性方面存在许多缺限。我们知道,在用户认证和授权管理方面,UNIX操作系统对用户登录的管理是靠用户名和口令实现的,一个用户可以没有口令(使用空的口令),也可以使用非常简单易猜的词如用户名、用户姓名、生日、单位名称等作为口令(实际上,大多数人都是这么用的);一个人只要拥有了合法的用户名和口令,就可以在任意时间、从任意地点进入系统,同时登录的进程数也没有限制,这些都是安全上的隐患。虽然有的系统对上述内容有一定程度的限制措施,但也需要复杂的配置过程,不同系统上配置方法也很不一致,实际上无法全面有效地实施。在对资源的
14、访问控制管理方面,UNIX只有读、写和执行三种权限,无法对文件进行更为细致的控制。用户可以写某个文件,就能删除它。而在许多应用的环境下,我们是希望某些用户只能Update文件,不能删除它的。如果对文件的控制权限扩展到读、写、增加、删除、创建、执行等多种,就可以防止恶意或无意的破坏发生。UNIX还缺乏完善有效的跟踪审计能力。如一个用户企图多次访问某敏感资源时,系统无法采取强有力的措施处置,管理员也很难发现。这种情况下,如果能及时迅速地通知安全管理员,能把该用户赶出(logout)操作系统,甚至封死该帐户,使其无法继续登录,无疑会大大加强系统的安全性。另外,不同的UNIX及UNIX的不同版本在实现
15、的过程中都会有这样那样的BUG,其中许多BUG是与安全有关的。80年代中期,Internet上流行的著名“蠕虫”病毒事件就是由UNIX系统的安全BUG造成的。厂商在发现并修正BUG后会把PATCH放在其公司站点上供用户下载和安装,但许多用户没有技术能力和精力理解、跟踪这些PATCH并及时安装。有的UNIX操作系统虽然能够达到较高的安全级别,但在缺省安装和配置中一般采用较低的安全控制,需要进行许多配置过程才能达到较高的安全级别。由于水平和精力所限,一般用户环境中很难完成这样精确的安全配置,经常存在错误的配置,导致安全问题。更为严重的是,一台UNIX服务器上经常要安装很多商业应用软件,这些软件大多
16、以root用户运行。而这些软件往往存在一些安全漏洞或错误的安全配置,从而导致root权限被人窃取。所以,我们需要一种系统扫描工具,定期检查系统中与安全有关的软件、资源、PATCH的情况,发现问题及时报告并给出解决建议。才能使系统经常处于安全的状态。2. 信息系统安全管理需求分析从以上的论述可以看出,现代计算机网络系统的安全隐患隐藏在系统的各个角落,系统的总体安全级别就象装在木筒中的水,木筒装水的多少决定于最矮的木板,系统安全级别的高低取决于系统安全管理最薄弱的环节。要加强系统的总体安全级别,不是安装一个产品或几个功能单一的工具就能实现的,必须从网络、计算机操作系统、应用业务系统甚至系统安全管理
17、规范,使用人员安全意识等各个层面统筹考虑。信息系统采用开发系统如UNIX、Windows等计算机和TCP/IP网络协议,与外界又有各种各样的网络连接,所以需要对系统进行更为严格的保护,防止非法的入侵。另外,来自内部的攻击也不容忽视。现代社会是一个充满诱惑的社会,仅通过规章制度或思想教育等工作防止内部人员作案是不够的。内部工作人员的违规行为的案例也不是没有的。所以,必须采取一些技术手段,加强对计算机系统的用户、资源的安全保护,防止无关人员访问敏感数据。同时,IT环境与行政建制相交叉,因此需要进行各个部门与其IT系统的使用,维护,管理等环节的审核与规范;规范人员分类:操作、更改业务、维护业务、管理
18、系统、维护系统等;制度系统操作与访问规则。CA公司认为,要保证信息系统的安全,提升整体安全级别,需要从网络、服务器操作系统、用户、各种应用系统、业务数据以及应用模式等各个方面统筹考虑。信息系统的安全防护需要与实际应用环境,工作业务流程以及机构组织形式与机构进行密切结合,从而在信息系统中建立一个完善的安全体系。2.1 网络层安全防护对网络进行安全保护是防治外部黑客入侵和内部网络滥用和误用的第一道屏障,而一次不经意内部拨号上网就可以绕过原有的防火墙或代理服务器,并且有可能成为系统入侵的突破口。我们应该通过定义网络安全规范,明确各级部门和人员对网络使用的范围与权力,控制网络与外界的联接,监测和防御网
19、络入侵攻击,制止非法信息传输,保护WEB系统,保证只有授权许可的通信才可以在客户机和服务器之间建立连接,而且正在传输当中的数据不能被读取和改变。从网络层进行安全防护主要应针对如下几个方面:1) 网络访问控制在网络与外界连接处进行网络访问控制,正确区分外部网络用户的身份,区分其是进行查询,修改还是管理维护,提供基于用户的访问规则,针对不同的用户和用户的不同存取要求授予其不同权限,禁止非法用户进入系统。网络访问控制系统应该具有如下要求:- 不仅能够按照来访者的IP地址区分用户,还应该对来访者的身份进行验证- 不仅支持面向连接的通讯,还要支持UDP等非连接的通讯- 不仅可以控制用户可访问哪些网络资源
20、,还应该能控制允许访问的日期和时间- 对一些复杂的应用协议,如FTP、UDP、TFTP、Real Audio、RPC和port mapper、Encapsulated TCP/IP等,采用特定的逻辑来监视和过滤数据包。- 对于现有的各种网络进攻手段,提供有效的安全保障。2) 网络地址翻译 使用网络地址翻译技术,可以让IP数据包的源地址和目的地址以及TCP或UDP的端口号在进出内部网时发生改变,这样可以屏蔽网络内部细节,防止外部黑客利用IP探测技术发现内部网络结构和服务器真实地址,进行攻击。系统安全管理应该在网络与外界接口处实现数据包的网络地址翻译。3) 可疑网络活动的检测我们知道,带有Acti
21、veX、 Java、JavaScript、VBScript的WEB页面、电子邮件的附件、带宏的Office文档等经常带有一些可以执行的程序,这些程序中很可能带有计算机病毒以及特络伊木马、BO等黑客工具,具有潜在的危险性。网络安全管理应该能够对这些可疑目标(包括通过SSL协议或者加密传输的可疑目标)进行检测,隔离未知应用,建立安全资源区域。- 网络入侵防御在内部的网络上,也可能存在来自内部的一些恶意攻击和网络误用情况,甚至可能存在来自外部的恶意入侵。安全防护体系应该能够监视内部关键的网段,扫描网络上的所有数据,检测服务拒绝型袭击、可疑活动、怀恶意的applets、病毒等各种网络进攻手段,及时报告
22、管理人员并防止这些攻击手段到达目标主机。2.2 系统级安全防护如前所述,UNIX/Windows操作系统本身存在许多安全漏洞和隐患,必须加强这一级别的安全防护,才能保护敏感的信息资源。1) 使用系统弱点扫描能够定期扫描操作系统以及数据库系统的安全漏洞以及错误配置。提示管理员进行正确配置。2) 加强操作系统用户认证授权管理- 限制用户口令规则和长度,禁止用户使用简单口令;强制用户定期修改口令。- 按照登录时间、地点和登录方式限制用户的登录请求3) 增强访问控制管理 安全管理应该从如下方面加强UNIX的访问控制机制:- 对文件的访问控制除提供读(Read),写(Write),执行(Execute)
23、权限外,还应该有建立(Create),搜索(Search),删除(Delete),更改(Update),控制(Control)等权限以满足复杂安全环境的需求- 应该能够限制资产被访问的时间和日期。(例如:某些文件只能在上班时间被改写,而下班时间不能)- 即使超级用户也不应透过安全屏障去访问未经授权的文件- 对计算机进程提供安全保护,防止非法用户启动或停止关键进程- 控制对网络访问和端口的访问控制4) 计算机病毒防护随着企业IT系统和网络规模的扩展,信息技术在企业网络中的运用越来越广泛深入,信息安全问题也显得越来越紧迫。自从80年代计算机病毒出现以来,已经有数万种病毒及其变种出现,给计算机安全和
24、数据安全造成了极大的破坏。近期出现的恶性病毒如CIH等甚至能够破坏计算机硬件,使整个计算机瘫痪。据NCSA统计,1995年到1996年,计算机病毒的数量增加了10倍,其传播途径也从主要靠软盘拷贝变为通过光盘、网络、电子邮件、文件下载等多种方式,传播速度越来越快。据统计,99.3%的美国公司都受到过病毒的侵袭,修复每次事故要平均花费8300美元。如何保证企业内部网络抵御网络外部的病毒入侵, 从而保障系统的安全运行是目前企业系统管理员最为关心的问题。所以,系统安全管理应该包括强大的计算机病毒防护功能。5) WEB服务器的专门保护我们应该针对重要的、最常受到攻击的应用系统实施特别的保护。Web 服务
25、器是一个单位直接面对外界的大门, 通常也是最先在网络伤害行 为中受到威胁的环节,同时主页是一个单位的形象。对于WEB的安全维护管理,特别是主页的维护,修改主页是一种典型的网络伤害行为,所以主页的保护,及时恢复是对此行为的有效打击。同时,需要对于Web访问、监控/阻塞/报警、入侵探测、攻击探测、恶意applets、恶意Email等在内的安全政策进行明确规划。这些政策包括了解其网络利用情况、检测入侵和可疑网络活动时需要的规则。这些规则可以非常方便地加以激活、关闭或加以剪裁以满足系统在一般需要之外的其它具体要求。这些规则包括了监控/阻塞具体用户组、地址、域访问特定的Web站点、URL或内部服务器的功
26、能。2.3 应用级安全保护安全管理是个广泛的理念,IT环境中出现的不安全问题并不是全部由于单纯的IT设备本身造成的,相反更多的问题是由于其它非IT技术因素引起的,只是最终通过计算机的载体实现而已。因此对于IT系统的安全管理,不应该仅仅是对于IT设备的安全保护,还要对人员进行安全规范化管理。这是弥补安全漏洞的一个重要途径。其中的一个关键环节是对于行政机制中人员的级别与权限,如何能够有效、准确、及时的体现在其日常所接触到的IT系统中。由于企业信息系统本身具有十分充分的安全理念和制度,所以实现其于电子化之中的过程非常关键,同时能够跟随业务机构调整而进行相关变化的及时响应是确保整体信息系统规范化要素。
27、而且集中的,一致的管理,可以使人力资源有限的实际问题得到一定程度的缓解。企业级的用户管理,用于构筑集中化的网络用户登录管理、集中化的安全策略管理的解决方案。通过该方案,可以实现“一人一个帐号、一个口令”登录管理模式。用户只需一次登录即可访问网络中各种资源(如操作系统、电子邮件,数据库系统,应用等),而不用分别手工登录这些资源。结合指纹识别器、智能卡、令牌卡等物理设备,构成网络安全通讯、鉴定、审计、集中化的安全策略。1) 实施单一登录机制在一个现实的大型计算机系统的运作过程中,一个IT管理人员需要管理多个系统、维护多套用户名和口令。例如,一个系统管理员可能要管理5台UNIX主机、20台Windo
28、ws NT服务器、维护上面的多个数据库、维护电子邮件系统、还要管理多台网络设备等,他需要记忆各个操作系统、数据库系统、应用系统、网络设备的用户名和口令。其它的管理人员和工作人员也是如此。各种系统用户的口令应该互不相关,口令比较长而且没有规律,在使用一段时间后要改变为新的值,这样才能保证统的安全。但是,要让一个人记忆许多长而难记又经常变化的口令是很困难的。人们往往对他所维护的所有系统都使用相同或相似的口令,口令常常使用自己或亲朋好友的姓名、生日、纪念日等。“黑客”会比较容易地猜出其口令,猜出一个口令,就能更加容易地猜到其它口令。当系统要求用户改变口令时,人们往往按照一定规律改变,如数字加一、字母
29、后移一个等,这样“黑客”很容易根据老口令猜到新口令。还有用户喜欢把口令记在笔记本上,这就更容易失密了。以上这些都对系统安全性带来了极大的威胁。从规章制度上限制用户上述行为是不现实的,只有从技术上采取一定措施,帮助用户解决记忆长而无规律、易变口令的问题,才能真正保证系统的安全。因此,好的系统安全管理架构不但应该针对网络、计算机、应用等IT环境加强安全管理,而且应该能够尽量减少这种人为因素造成的安全损失。应该实现“一人一个帐号、一个口令”登录管理模式,用户只需一次登录即可访问网络中操作系统、电子邮件,数据库系统,应用系统等各种资源。用户应该可以通过用户名/口令、指纹识别器、智能卡、令牌卡等多种方式
30、获得安全管理服务器的系统认证,然后只需在计算机的图形用户界面上双击代表某一应用的图标,就可以直接访问该应用。在此过程中所涉及的安全机制应该包括口令PIN密钥管理、数据加密和数字签名等技术,以最大限度的保证用户、口令等信息的安全。2) 实施统一的用户和目录管理机制随着企业分布式计算环境的发展,需要管理的资源越来越多,如用户、用户组、计算机之间的信任关系、不同操作系统、不同通讯协议、不同的数据库系统、不同的服务器和桌面机等等。随着这些资源的增加,要想安全有效地管理他们就越来越困难了。单独地维护多种目录体系既费时费力,又容易出错,还难以保证系统的总体安全性和一致性。管理企业内部的用户资源也变得越来越
31、重要和困难。在通常的管理模式中,每种系统都有自己的系统管理员,如UNIX的超级用户为root、Windows NT的管理员为administrator、Sybase和MS SQL Server的系统管理员为sa等等。IT管理人员每天都要和这些繁杂的系统打交道,不同的系统管理员在管理这些用户时,就有可能采用不同的用户名,不同的管理策略,以适应各类系统的需要。好的安全管理模式应该帮助用户解决上述问题,允许用户在单一的界面中管理不同系统的用户和目录结构,可以同时在多个不同的操作系统平台上创建、修改和删除用户,提供跨平台的用户策略一致性管理。可以实施基于策略的管理以确保系统安全,可以减少IT管理人员管
32、理目录和用户的时间和精力,可以隐藏不同操作系统的差异。做类似工作的所有用户可能需要类似的安全权限,安全管理应该提供角色的概念,可以将不同平台上有类似安全权限需求的用户规划成组,将用户帐号归为角色的概念之下,用户可以对同一角色的用户进行相同的管理,不管这些用户是属于那个平台、从事何种功能,使得管理员可迅速地在企业内不同操作系统下迅速地创建所需的用户帐号。3. Computer Associates安全解决方案3.1 安全之道COMPUTER ASSOCIATES 致力于为整个IT系统提供风险管理的全面安全方案以帮助客户保护其珍贵的信息财富。该方案的战略主导是以企业整体为核心,同时使用公共的服务和
33、标准并可与其他供应商的解决方案相集成。COMPUTER ASSOCIATES 安全方案的名称就是eTrust。COMPUTER ASSOCIATES 的解决方案是提供一个企业级安全管理方案,以解决IT基础设施内各个领域的问题,COMPUTER ASSOCIATES明确了以下的这些安全领域:1. 网络2. 服务器3. 用户4. 应用程序与服务5. 数据由于各项安全技术所涉及的底层技术各不相同, 用来保护每一安全领域机制也有所不同,COMPUTER ASSOCIATES确定了如下的机制:领 域安全机制网络安全 访问控制 入侵探测 安全通信服务器和工作站安全 防病毒 访问控制 政策审查 风险评估 入
34、侵探测用户安全 身份验证 单点注册 帐户管理应用程序和服务安全 授权 口令控制数据安全 保密性 完整性3.1.1 网络安全网络安全关系到什么人和什么内容具有访问权,查明任何非法访问或偶然访问的入侵者,保证只有授权许可的通信才可以在客户机和服务器之间建立连接,而且正在传输当中的数据不能被读取和改变。3.1.2 服务器安全保护服务器-主机,分布式系统的服务器和用户工作站需要控制谁能访问它们或访问者可以干些什么; 防止病毒和特洛伊木马的侵入; 检测有意或偶然闯入系统的不速之客; 风险评估被用来检查系统安全配置的缺陷,发现安全漏洞; 政策审查则用来监视系统是否严格执行了规定的安全政策。3.1.3 用户
35、安全用户账户是通向系统内所有资源的访问关口。管理这些帐户,在用户获得访问特权时设置用户功能,或在他们的访问特权不再有效时限制用户帐户是安全的关键。身份验证用来确保用户的登录身份与其真实身份相符,并对其提供单点注册, 以解决多个口令的问题。3.1.4 应用程序和服务安全大多数应用程序和服务都是靠口令保护的,加强口令变化是安全方案中必不可少的手段, 而授权则是用来规定用户或资源对系统的访问权限。3.1.5 数据安全数据保密性可以保证非法或好奇者无法阅读它,不论是在储存状态还是在传递当中。数据完整性是指防止非法或偶然的数据改动。3.2 eTrustCOMPUTER ASSOCIATES的安全方案直接
36、针对上述模型中所有关键的安全领域,而且是目前业界一种最为全面有效的解决方案。 COMPUTER ASSOCIATES的安全方案被命名为eTrust.CA的eTrust解决方案是建立在一个开放的、标准的安全基础框架之上,它包括: eTrust Intrusion Detection智能型网络审计监控,入侵探测,通过积极主动的防护 以免造成破坏; eTrust Access Control跨分布式企业,基于策略的授权与访问控制; eTrust Single Sign-on针对应用程序和数据库的跨分布式企业,包括跨万维网的单次签名; eTrust Admin跨异构企业目录与名称的用户与资源管理; e
37、Trust Policy Compliance企业范围安全策略分析,包括通过eTrust Admin和eTrust Access Control的自动更正措施; eTrust OCSPro, eTrust PKI证书与公钥管理,基于政策安全的基础框架; eTrust VPN具有授权与鉴定功能的可靠的虚拟专用网络; eTrust Encryption单一化的端到端安全通讯; eTrust Firewall对网络进行迅速、高效、同时具有可管理性的互联网防护; eTrust Antivirus通过集中策略管理对从互联网网关到本地桌面机实现全面病毒防护; eTrust Content Inspecti
38、on基于策略的智能型互联网防护,在网关和桌面机防止包括Java和ActiveX在内的恶意代码; eTrust Audit跨整个安全套件的集中式审核; eTrust Desktop Security完善的桌面安全防护,防止未知的恶意代码与病毒损害; eTrust Directory符合X.500标准和具有容错性的企业中枢结构目录服务器。 COMPUTER ASSOCIATES 还设立了专业的服务部门来加强技术上的支持与服务, 为用户提供安全咨询, 培训和安装实施。 4. eTrust 网络防护4.1 eTrust FireWall4.1.1 概述防火墙处于网络安全体系中的最底层,属于网络层安全技
39、术范畴。作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。CA公司的eTrust Firewall是一个通过控制网络访问来保护系统资源的解决方案。它支持从小到只保护一个服务器,大到与Unicenter TNG集成管理来保护一个企业网络,从而支持多种规模的网络资源保护。eTrust Firewall具有高性能、可管
40、理性、可升级性等特点,并且能够提供对网络系统的全面保护针对Internet或Intranet。“防火墙”是一个或一组用于过滤“进、出”网络的数据包的系统。CA公司的eTrust Firewall也是同样原理,它基于多种标准对数据包进行过滤,包括特定的应用、网络服务、源/目的地址等,同时使用单一的规则为整体网络提供一致的安全策略。eTrust Firewall借助CA公司在发展企业级应用的实力与经验,提供了真正的企业级的防火墙,能够通过定制或限制对特定资源(如敏感文件或Web浏览等)的访问来帮助企业获得安全保证并在一定程度上降低运行成本。CA公司的eTrust Firewall非常易于实施,管理
41、员可以通过简单的导向(Wizard)就可以完成安装与设置工作。同时它又是十分易于管理的,管理员可以在远程对Firewall进行管理、已设定规则的测试以及相关的更新工作,由于目前eTrust Firewall支持跨平台应用,支持在包括NT、Solaris、HPUX和AIX在内的多种操作系统上进行统一实施与管理,因此使对大型的网络实施有效的管理与监控成为可能。4.1.2 结构与工作原理4.1.2.1 产品的结构eTrust Firewall是由以下几个主要模块(Admin server,admin client,firewall engine)共同工作来提供对网络的安全保护的。eTrust Fir
42、ewall Admin ServerAdmin Server 存储着所有的防火墙策略,并接收各种报警信息,对其进行处理。在企业版中,一个admin server可以管理多个运行在不同平台上的防火墙引擎(firewall engine)。通过共享的firewall admin,管理员可以在多个防火墙上定义通用的策略规则。Admin Server同样提供对试图访问防火墙或对防火墙进行管理操作的用户身份的认证。eTrust Firewall Admin ClientAdmin Client是Admin Server的用户接口。在企业版Firewall中,可以支持多个Admin Client的安装,管
43、理员可以在多个控制台上远程管理防火墙的设置。eTrust Firewall EngineFirewall Engine负责按照事先定制的安全策略对网络中的数据包进行检测过滤。它由kernel mode模块和user mode模块组成。Kernel mode模块检测并过滤所有的IP数据包,user mode模块则负责控制、监视并支持kernel mode模块的任何操作。另外eTrust Firewall还有两个模块用于用户身份认证:eTrust Firewall User Client和eTrust Firewall Login Agent4.1.2.2 eTrust Firewall的工作原理
44、典型的防火墙包括路由式防火墙、Proxy防火墙和状态包过滤式防火墙。路由式防火墙(Packet Filter Router)-防火墙会在数据处于网络层被路由时检测数据包,通过设定好的规则决定允许其通过或将其锁定。通常情况下,如果在规则中没有明确一个特定的数据包是否能够被通过,则在实际检测中遇到这种类型数据包时会将其抛弃掉。路由式防火墙的缺点在于:对用户不能察觉,过滤的判断仅取决于对数据包内的部分数据,主要是IP报头的数据,对其它相关信息没有能力做出判断;没有针对应用的过滤,过滤器只根据数据报头进行判断,不涉及数据内容;无连接的可见性,在防火墙的过滤规则中没有网络连接的相关概念,不能根据通过网络
45、传输的信息的连贯性来做出判断;没有对Datagram数据包的支持,不能对如UDP、TFTP和RPC等Datagram协议进行过滤控制;缺少可管理的反馈,在绝大多数情况下,此类防火墙没有标准的警告、日志信息。Proxy防火墙由一系列代理服务进程组成。每一个代理服务都是一个运行在网关服务器上的应用,对应一个真实的应用服务器。任何一个想运行应用程序的用户必须首先登录到代理服务器上或这个应用程序必须被设定为支持代理服务的。这样,针对每一个应用的申请,代理服务器都会进行判断与过滤。Proxy防火墙的缺点主要在于性能比较低,每一个包都需要经过代理应用和网络协议堆栈两处,会影响数据包的通过效率;并不是所有的
46、应用可以被代理型防火墙支持;另外,由于每一个应用都必须提供给防火墙唯一的代码,各应用都要支持代理的服务,因此会存在运行冲突和安全方面的限制。状态包过滤(Stateful Packet Filter)-状态包过滤器在网络层对流经的数据进行智能地检测。在一个TCP数据包传输过来时,防火墙首先会根据规则检查包的起始连接(start-of-connection)部分,之后创建一个连接,在其基础之上建立应用级的传输前后顺序关系,之后所有的数据包都会被监视其状态或顺序关系。根据防火墙收集到的数据包顺序关系,只有被验证过的数据包才能通过防火墙。这种类型的防火墙提供了一个较理想的性能与安全的平衡。eTrust
47、 Firewall采用的即是这种过滤技术。eTrust Firewall的核心在于网络传输过滤模块。它可以控制所有基于Internet的协议以及所有基于IP格式包的数据传输。IP数据包包含了IP的报头,取决于正在传输的上层协议的类型,这个包还可以包括TCP的报头、TCP的数据以及UDP的数据等;根据使用这些协议的应用的具体情况,IP包内也有可能包含应用级别的报头和数据。eTrust Firewall会在TCP/IP网络层次中IP层的前端对数据进行检测,在被防火墙检查之前,数据包最多只能到达IP层。eTrust Firewall应用了状态包过滤技术。从根本上讲,它是一个IP包的过滤器,但它同样可以通过检查IP包而获得其上层协