《吉通上海公司网络与系统安全方案建议书.docx》由会员分享,可在线阅读,更多相关《吉通上海公司网络与系统安全方案建议书.docx(36页珍藏版)》请在三一办公上搜索。
1、 网络与系统安全实施方案1 吉通上海 IDC网络安全功能需求1.1 吉通上海公司对于网络安全和系统可靠性的总体设想(1)网络要求有充分的安全措施,以保障网络服务的可用性和网络信息的完整性。要把网络安全层,信息服务器安全层,数据库安全层,信息传输安全层作为一个系统工程来考虑。网络系统可靠性:为减少单点失效,要分析交换机和路由器应采用负荷或流量分担方式,对服务器、计费服务器和DB服务器,WWW服务器,分别采用的策略。说明对服务器硬件、操作系统及应用软件的安全运行保障、故障自动检测/报警/排除的措施。对业务系统可靠性,要求满足实现对硬件的冗余设计和对软件可靠性的分析。网络安全应包含:数据安全; 预防
2、病毒; 网络安全层; 操作系统安全; 安全系统等;(2)要求卖方提出完善的系统安全政策及其实施方案,其中至少覆盖以下几个方面:l 对路由器、服务器等的配置要求充分考虑安全因素l 制定妥善的安全管理政策,例如口令管理、用户帐号管理等。l 在系统中安装、设置安全工具。要求卖方详细列出所提供的安全工具清单及说明。l 制定对黑客入侵的防范策略。l 对不同的业务设立不同的安全级别。(3)卖方可提出自己建议的网络安全方案。1.2 整体需求l 安全解决方案应具有防火墙,入侵检测,安全扫描三项基本功能。l 针对IDC网络管理部分和IDC服务部分应提出不同的安全级别解决方案。l 所有的IDC安全产品要求厂家稳定
3、的服务保障和技术支持队伍。服务包括产品的定时升级,培训,入侵检测,安全扫描系统报告分析以及对安全事故的快速响应。l 安全产品应能与集成商方案的网管产品,路由,交换等网络设备功能兼容并有效整合。l 所有的安全产品应具有公安部的销售许可和国家信息化办公室的安全认证。l 所有安全产品要求界面友好,易于安装,配置和管理,并有详尽的技术文档。l 所有安全产品要求自身高度安全性和稳定性。l 安全产品要求功能模块配置灵活,并具有良好的可扩展性。1.3 防火墙部分的功能需求l 网络特性:防火墙所能保护的网络类型应包括以太网、快速以太网、(千兆以太 网、ATM、令牌环及FDDI可选)。支持的最大LAN接口数:软
4、、硬件防火墙应能提供至少4个端口。l 服务器平台:软件防火墙所运行的操作系统平台应包括Solaris2.5/2.6、Linux、Win NT4.0(HP-UX、IBM-AIX、Win 2000可选)。l 加密特性:应提供加密功能,最好为基于硬件的加密。l 认证类型:应具有一个或多个认证方案,如RADIUS、Kerberos、TACACS/TACACS、 口令方式、数字证书等。l 访问控制:包过滤防火墙应支持基于协议、端口、日期、源/目的IP和MAC地址过滤;过滤规则应易于理解,易于编辑修改;同时应具备一致性检测机制,防止冲突;在传输层、应用层(HTTP、FTP、TELNET、SNMP、STMP
5、、POP)提供代理支持;支持网络地址转换(NAT)。l 防御功能:支持病毒扫描,提供内容过滤,能防御Ping of Death,TCP SYN Floods及其它类型DoS攻击。l 安全特性:支持转发和跟踪ICMP协议(ICMP 代理);提供入侵实时警告;提供实时入侵防范;识别/记录/防止企图进行IP地址欺骗。l 管理功能:支持本地管理、远程管理和集中管理;支持SNMP监视和配置;负载均衡特性;支持容错技术,如双机热备份、故障恢复,双电源备份等。l 记录和报表功能:防火墙应该提供日志信息管理和存储方法;防火墙应具有日志的自动分析和扫描功能;防火墙应提供告警机制,在检测到入侵网络以及设备运转异常
6、情况时,通过告警来通知管理员采取必要的措施,包括Email、呼机、手机等;提供简要报表(按照用户ID或IP 地址提供报表分类打印); 提供实时统计。2 惠普公司在吉通上海IDC中的网络安全管理的设计思想2.1 网络信息安全设计宗旨惠普公司在为客户IDC项目的信息安全提供建设和服务的宗旨可以表述为:l 依据最新、最先进的国际信息安全标准l 采用国际上最先进的安全技术和安全产品l 参照国际标准ISO9000系列质量保证体系来规范惠普公司提供的信息安全产品和服务l 严格遵守中华人民共和国相关的法律和法规2.2 网络信息安全的目标网络安全的最终目标是保护网络上信息资源的安全,信息安全具有以下特征:l
7、保密性:确保只有经过授权的人才能访问信息;l 完整性:保护信息和信息的处理方法准确而完整;l 可用性:确保经过授权的用户在需要时可以访问信息并使用相关信息资产。信息安全是通过实施一整套适当的控制措施实现的。控制措施包括策略、实践、步骤、组织结构和软件功能。必须建立起一整套的控制措施,确保满足组织特定的安全目标。2.3 网络信息安全要素惠普公司的信息安全理念突出地表现在三个方面-安全策略、管理和技术。l 安全策略-包括各种策略、法律法规、规章制度、技术标准、管理标准等,是信 息安全的最核心问题,是整个信息安全建设的依据;l 安全管理-主要是人员、组织和流程的管理,是实现信息安全的落实手段;l 安
8、全技术-包含工具、产品和服务等,是实现信息安全的有力保证。根据上述三个方面,惠普公司可以为客户提供的信息安全完全解决方案不仅仅包含各种安全产品和技术,更重要的就是要建立一个一致的信息安全体系,也就是建立安全策略体系、安全管理体系和安全技术体系。2.4 网络信息安全标准与规范在安全方案设计过程和方案的实施中,惠普公司将遵循和参照最新的、最权威的、最具有代表性的信息安全标准。这些安全标准包括:l ISO/IEC 17799 Information technologyCode of practice for information security managementl ISO/IEC 1333
9、5 Information technology Guidelines for The Management of IT Security l ISO/IEC 15408 Information technology Security techniques Evaluation criteria for IT securityl 我国的国家标准GB、国家军用标准GJB、公共安全行业标准GA、行业标准SJ等标准作为本项目的参考标准。2.5 网络信息安全周期任何网络的安全过程都是一个不断重复改进的循环过程,它主要包含风险管理、安全策略、方案设计、安全要素实施。这也是惠普公司倡导的网络信息安全周期。
10、l 风险评估管理:对企业网络中的资产、威胁、漏洞等内容进行评估,获取安全风险的客观数据;l 安全策略:指导企业进行安全行为的规范,明确信息安全的尺度;l 方案设计:参照风险评估结果,依据安全策略及网络实际的业务状况,进行安全方案设计;l 安全要素实施:包括方案设计中的安全产品及安全服务各项要素的有效执行。l 安全管理与维护:按照安全策略以及安全方案进行日常的安全管理与维护,包括变更管理、事件管理、风险管理和配置管理。l 安全意识培养:帮助企业培训员工树立必要的安全观念。3 吉通上海IDC信息系统安全产品解决方案3.1 层次性安全需求分析和设计网络安全方案必须架构在科学的安全体系和安全框架之上。
11、安全框架是安全方案设计和分析的基础。为了系统地描述和分析安全问题,本节将从系统层次结构的角度展开,分析吉通IDC各个层次可能存在的安全漏洞和安全风险,并提出解决方案。3.2 层次模型描述针对吉通IDC的情况,结合吉通上海IDC技术需求书的要求,惠普公司把吉通上海IDC的信息系统安全划分为六个层次,环境和硬件、网络层、操作系统、数据库层、应用层及操作层。3.2.1 环境和硬件为保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏,应采取适当的保护措施、过程。详细内容请参照机房建设部分的建议书。3.2.2 网络层安全3.2.2.1安全的网络拓扑
12、结构网络层是网络入侵者进攻信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面。由于大型网络系统内运行的TPC/IP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。网络入侵者一般采用预攻击探测、窃听等搜集信息,然后利用 IP欺骗、重放或重演、拒绝服务攻击(SYN FLOOD,PING FLOOD等)、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。保证网络安全的首要问题就是要合理划分网段,利用网络中间设备的安全机制控制各网络间的访问。在对吉通IDC网络设计时,惠普公司已经考虑了网段的划分的安全性问题。其中网络具体的拓扑结构好要根据吉通IDC所提供的服务和客户的具体要求
13、做出最终设计。3.2.2.2 网络扫描技术解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能寻找网络安全漏洞、评估并提出修改建议的网络安全扫描工具。解决方案:ISS网络扫描器Internet Scanner配置方法:在上海IDC中使用一台高配置的笔记本电脑安装Internet Scanner,定期对本IDC进行全面的网络安全评估, 包括所有重要的服务器、防火墙、路由设备等。扫描的时间间隔请参照安全策略的要求。ISS网络扫描器Internet Scann
14、er是全球网络安全市场的顶尖产品。它通过对网络安全弱 点全面和自主地检测与分析,能够迅速找到并修复安全漏洞。网络扫描仪对所有附属在网络中的设备进行扫描,检查它们的弱点,将风险分为高,中,低三个等级并且生成大范围的有意义的报表。从以企业管理者角度来分析的报告到为消除风险而给出的详尽的逐步指导方案均可以体现在报表中。该产品的时间策略是定时操作,扫描对象是整个网络。它可在一台单机上对已知的网络安全漏洞进行扫描。截止Internet Scanner6.01版本,Internet Scanner已能对900 种以上 的来自通讯、服务、防火墙、WEB应用等的漏洞进行扫描。它采用模拟攻击的手段去检测网络上每
15、一个IP隐藏的漏洞,其扫描对网络不会做任何修改和造成任何危害。Internet Scanner每次扫描的结果可生成详细报告,报告对扫描到的漏洞按高、中、低三 个风险级别分类,每个漏洞的危害及补救办法都有详细说明。用户可根据报告提出的建议修改网络配置,填补漏洞。可检测漏洞分类表:Brute Force Password-Guessing为经常改变的帐号、口令和服务测试其安全性Daemons检测UNIX进程(Windows服务)Network检测SNMP和路由器及交换设备漏洞Denial of Service检测中断操作系统和程序的漏洞,一些检测将暂停相应的服务NFS/X Windows检测网络网
16、络文件系统和X-Windows的漏洞RPC检测特定的远程过程调用SMTP/FTP检测SMTP和FTP的漏洞Web Server Scan and CGI-Bin检测Web服务器的文件和程序(如IIS,CGI脚本和HTTP)NT Users, Groups, and Passwords检测NT用户,包括用户、口令策略、解锁策略Browser Policy检测IE和Netscape浏览器漏洞Security Zones检测用于访问互联网安全区域的权限漏洞Port Scans检测标准的网络端口和服务Firewalls检测防火墙设备,确定安全和协议漏洞Proxy/DNS检测代理服务或域名系统的漏洞IP
17、 Spoofing检测是否计算机接收到可疑信息Critical NT Issues包含NT操作系统强壮性安全测试和与其相关的活动NT Groups/Networking检测用户组成员资格和NT网络安全漏洞NetBIOS Misc检测操作系统版本和补丁包、确认日志存取,列举、显示NetBIOS提供的信息Shares/DCOM检测NetBIOS共享和DCOM对象。使用DCOM可以测试注册码、权限和缺省安全级别NT Registry包括检测主机注册信息的安全性,保护SNMP子网的密匙NT Services包括检测NT正在运行的服务和与之相关安全漏洞2.2.2.3 防火墙技术防火墙的目的是要在内部、外
18、部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。具体地说,设置防火墙的目的是隔离内部网和外部网,保护内部网络不受攻击,实现以下基本功能: 禁止外部用户进入内部网络,访问内部机器; 保证外部用户可以且只能访问到某些指定的公开信息; 限制内部用户只能访问到某些特定的Internet资源,如WWW服务、FTP服务、 TELNET服务等;解决方案:CheckPoint Firewall-1防火墙和Cisco PIX防火墙防火墙除了部署在IDC的私有网(即网管网段等由IDC负责日常维护的网络部分)以外,还可以根据不同的用户的需求
19、进行防火墙的部署,我们建议对于独享主机和共享主机都进行防火墙的配置,而对于托管的主机可以根据用户的实际情况提供防火墙服务。无论是虚拟主机还是托管主机,IDC都需要为这些用户提供不同程度的远程维护手段,因此我们也可以采用VPN的技术手段来保证远程维护的安全性,VPN同时也可以满足IDC为某些企业提供远程移动用户和合作企业之间的安全访问的需求。根据吉通上海IDC的安全要求以及安全产品的配置原则,我们建议使用的产品包括Cisco PIX和CheckPoint Firewall1在内的两种防火墙,其中:l Cisco PIX防火墙配置在对网络访问速度要求较高但安全要求相对较低的网站托管区和主机托管区;
20、l CheckPoint防火墙配置在对网络速度较低但安全要求相对较高的IDC维护网段。这两种防火墙分别是硬件防火墙和软件防火墙的典型代表产品,并在今年4月刚刚结束的安全产品的年度评比中,并列最佳防火墙产品的首位。这里只对CheckPoint的Firewall1进行说明。Checkpoint公司是一家专门从事网络安全产品开发的公司,是软件防火墙领域的佼佼者,其旗舰产品CheckPoint Firewall-1在全球软件防火墙产品中位居第一(52),在亚太 地区甚至高达百分之七十以上,远远领先同类产品。在中国电信、银行等行业都有了广泛的应用。CheckPoint Firewall-1 是一个综合的
21、、模块化的安全套件,它是一个基于策略的解决方 案,提供集中管理、访问控制、授权、加密、网络地址传输、内容显示服务和服务器负载平衡等功能。主要用在保护内部网络资源、保护内部进程资源和内部网络访问者验证等领域。CheckPoint Firewall-1 套件提供单一的、集中的分布式安全的策略,跨越Unix、 NT、路由器、交换机和其他外围设备,提供大量的API,有150多个解决方案和OEM厂商的 支持。CP Firewall-1 由3个交互操作的组件构成:控制组件、加强组件和可选组件。这些 组件即可以运行在单机上,也可以部署在跨平台系统上。其中,控制组件包括Firewall-1 管理服务器和图形化
22、的客户端;加强组件包含Firewall-1 检测模块和Firewall-1 防火墙 模块;可选组件包括Firewall-1 Encryption Module(主要用于保护VPN)、Firewall-1 Connect Control Module(执行服务器负载平衡)Router Security Module (管理路由器 访问控制列表)。Checkpoint Firewall-1 防火墙的操作在操作系统的核心层进行,而不是在应用程序层, 这样可以使系统达到最高性能的扩展和升级。此外Checkpoint Firewall-1 支持基于Web 的多媒体和基于UDP的应用程序,并采用多重验证模
23、板和方法,使网络管理员容易验证客户端、会话和用户对网络的访问。CHECKPOINT防火墙功能要求:1) 支持透明接入和透明连接,不影响原有网络设计和配置:Check Point FireWall-1是一款软件防火墙,是安装在现有的网关或服务器计算机上,对接入和连接都是透明的,不会影响原有网络设计和配置。2) 带有DMZ的连接方式:Check Point FireWall-1可以支持多个网络接口,所以客户可以很容易的按照需要设置DMZ分区。3) 支持本地和远程管理两种管理方式:Check Point FireWall-1中的Enterprise Management Console模块功能十分强
24、 大,支持本地和远程两种管理方式,减轻了网络管理员对网络的管理负担。4) 支持命令行和GUI方式的管理与配置:Check Point FireWall-1中的管理控制台支持命令行和GUI方式的管理与配置; 可以在Windows 95/98/NT上安装Windows GUI界面,在Unix操作系统下可以安装 Motif GUI图形用户界面进行管理与配置。5) 对分布式的防火墙支持集中统一状态管理:Check Point FireWall-1中的管理控制台支持对分布式防火墙的集中统一状态 管理。它可以同时管理多个防火墙模块。6) 规则测试功能,支持规则一致性测试:Check Point FireW
25、all-1中的策略编辑器中有一命令,可以对已经配置好的规则 进行测试,可以检测其一致性。7) 透明代理功能:Check Point FireWall-1支持代理功能,而且功能强大,可以支持本身自带的预 定义 的超过150多种的常用协议。8) 地址转换功能,支持静态地址转换、动态地址转换以及IP地址与TCP/UDP端口的转换:Check Point FireWall-1支持NAT地址转换功能,支持Static Mode(静态转换)和 Hide Mode(动态转换) 两种方式;目前不支持IP地址与TCP/UDP端口的转换。9) 访问控制,包括对HTTP、FTP、SMTP、TELNET、NNTP等服
26、务类型的访问控制;Check Point FireWall-1可以通过制定策略来进行访问控制,可以支持超过150 多种的常用协议,并可以自定义各种不常用的协议。10) 用户级权限控制:Check Point FireWall-1可以指定用户对象,在其属性中有各种认证方式可供选 择,加强了用户级的权限控制。11) 防止IP地址欺骗功能:Check Point FireWall-1提供了防止IP地址欺骗的功能,可以在设定防火墙网关 的网卡属性时激活该功能。12) 包过滤,支持IP层以上的所有数据包的过滤:Check Point FireWall-1中的对象以IP地址或TCP/UDP端口号来识别,所
27、以可以 对IP层以上的所有数据包进行过滤。13) 信息过滤,包括HTTP、FTP、SMTP、NNTP等协议的信息过滤:Check Point FireWall-1可以通过OPSEC接口,与第三方厂商的软件或硬件产品无 缝结合起来对HTTP、FTP、SMTP等协议进行信息过滤。14) 地址绑定功能,实现MAC地址与固定IP地址的绑定,防止IP地址盗用:Check Point FireWall-1目前为止不能实现MAC地址与固定IP地址的绑定。但是 可以利用各节点处的路由器来进行MAC地址与固定IP地址的绑定。15) 抗攻击性要求,包括对防火墙本身和受保护网段的攻击抵抗:防火墙本身的抗攻击能力与其
28、所运行的操作系统的安全级别有关。操作系统的安全级别越高,防火墙本身的抗攻击的能力也越高。16) 审计日志功能,支持对日志的统计分析功能:Check Point FireWall-1中自带有日志功能,可以对符合预定规则的网络流量事先规定的方式进行记录;在Check Point FireWall-1 4.1产品中带有Reporting Module,可以对日志进行分析统计。17) 实时告警功能,对防火墙本身或受保护网段的非法攻击支持多种告警方式(声光告警、EMAIL告警、日志告警等)以及多种级别的告警:Check Point FireWall-1的策略中有报警功能,其中包括了E-mail告警,日志
29、告警等多种告警方式。CheckPoint防火墙技术性能指标:1) 时延:在每个包大小平均为512字节的情况下,在3DES加密方式下Unix的时延是 1.8msec,NT是1.2msec;在DES加密下Unix的时延是1.3msec,NT是1msec。2) 吞吐量:在没有数据加密情况下,不同的操作系统可以分别达到152M246Mbps;在数据加密情况下,可以达到约55Mbps。3) 最小规则数:在防火墙概念中无此提法。按照我们的理解,此概念如果是指策略中的规则数的话,则无限制。4) 包转发率:1015Mbps。5) 最大位转发率:在防火墙概念中无此提法。按照我们的理解,此概念类似吞吐量。6) 并
30、发连接数:理论上没有限制。Firewall-1防火墙是一种应用级防火墙,它的监测模块能监测和分析网络通信所有七层协议的内容。实际上路由器本身就可以实现包过滤防火墙的功能,对吉通上海IDC的各个路由器的配置进行检查和调整。保证整个网络中各个路由器的配置相互一致,并承担包过滤检查的功能。因为防火墙在核心网上起着安全管理的“警察”的重要作用,它的可靠性往往代表着整个网络的可靠性。如果一台防火墙发生故障,那么所有经过它的网络连接都中断了,防火墙就成为一个“单点故障”,这在一个及其关键的网络环境中是不允许的。建议方案:Checkpoint FireWall-1 防火墙产品可以通过两台防火墙之间建立主备份
31、 关系而大大增加防火墙的可靠性。Checkpoint FireWall-1是基于先进的“状态检测”(Stateful Inspection)技术的防火墙,它从经过它的网络连接的各个层次抽取信息,以得到每个连接的状态。这些状态存放在一个动态的状态表中,并随着数据的传输而刷新。要在两台防火墙之间切换,必须在这两台防火墙之间共享这些状态信息,以保证切换时最大可能地保留已建立的连接。利用Qualix Group的QualixHA+ Module for FireWall-1软件可以很好地做到这一点。 两台相同配置的FireWall-1防火墙,一台为主防火墙,一台为热 备份防火墙。在热备份防火墙上安装Q
32、ualixHA+,它能自动地监测主防火墙的状态,并在一旦主防火墙故障时迅速地把主防火墙切换到热备份防火墙上,而不需要人工干预。由于QualixHA+能把热备份防火墙的配置设置成与主防火墙一致,所以切换后不会损失任何防火墙功能。而QualixHA+所在的热备份防火墙可以与主备份防火墙共有同一个IP地址,所以切换后也无需修改路由器的设置。2.2.2.4 网络实时入侵检测技术防火墙虽然能抵御网络外部安全威胁,但对网络内部发起的攻击无能为力。动态地监测网络内部活动并做出及时的响应,就要依靠基于网络的实时入侵监测技术。监控网络上的数据流,从中检测出攻击的行为并给与响应和处理。实时入侵监测技术还能检测到绕
33、过防火墙的攻击。解决方案: ISS网络入侵检测 RealSecure Network Sensor配置方法:参见“监控和防御”。ISS实时网络传感器 (RealSecure Network Sensor) 对计算机网络进行自主地,实时地攻 击检测与响应。这种领先产品对网络安全轮回监控,使用户可以在系统被破坏之前自主地中断并响应安全漏洞和误操作。实时监控在网络中分析可疑的数据而不会影响数据在网络上的传输。它对安全威胁的自主响应为企业提供了最大限度的安全保障。ISS 网络入侵检测RealSecure Network Sensor在检测到网络入侵后,除了可以及时切断攻 击行为之外,还可以动态地调整防
34、火墙的防护策略,使得防火墙成为一个动态的智能的的防护体系。3.2.3 操作系统层安全操作系统安全也称主机安全,由于现代操作系统的代码庞大,从而不同程度上都存在一些安全漏洞。一些广泛应用的操作系统,如Unix,Window NT,其安全漏洞更是广为流传。另 一方面,系统管理员或使用人员对复杂的操作系统和其自身的安全机制了解不够,配置不当也会造成的安全隐患。3.2.3.1 系统扫描技术对操作系统这一层次需要功能全面、智能化的检测,以帮助网络管理员高效地完成定期检测和修复操作系统安全漏洞的工作。系统管理员要不断跟踪有关操作系统漏洞的发布,及时下载补丁来进行防范,同时要经常对关键数据和文件进行备份和妥
35、善保存,随时留意系统文件的变化。解决方案: ISS系统扫描器(System Scanner)配置方法: System Scanner Console可以与Internet Scanner 安装在同一台笔记本上,也可以单独安装在一台NT工作站上。在IDC中各重要服务器(网管工作站、数据采集工作站、计费服务器、网站托管服务器等)内安装System Scanner Agent。Console管理各个Agent。定期(时间间隔参照安全策略的要求)对重要服务器进行全面的操作系统安全评估。ISS系统扫描器(System Scanner) 是基于主机的一种领先的安全评估系统。系统扫描器 通过对内部网络安全弱
36、点的全面分析,协助企业进行安全风险管理。区别于静态的安全策略,系统扫描工具对主机进行预防潜在安全风险的设置。其中包括易猜出的密码,用户权限,文件系统访问权,服务器设置以及其它含有攻击隐患的可疑点。该产品的时间策略是定时操作,扫描对象是操作系统。System Scanner包括引擎和控制台 两个部分。引擎必须分别装在被扫描的服务器内部,在一台集中的服务器上安装控制台。控制台集中对各引擎管理,引擎负责对各操作系统的文件、口令、帐户、组等的配置进行检查,并对操作系统中是否有黑客特征进行检测。其扫描结果同样可生成报告。并对不安全的文件属性生成可执行的修改脚本。3.2.3.2 系统实时入侵探测技术为了加
37、强主机的安全,还应采用基于操作系统的入侵探测技术。系统入侵探测技术监控主机的系统事件,从中检测出攻击的可疑特征,并给与响应和处理。解决方案:ISS网络入侵检测 RealSecure OS Sensor以及Server Sensor配置方法:参见“监控和防御”。ISS实时系统传感器 (RealSecure OS Sensor) 对计算机主机操作系统进行自 主地,实时 地攻击检测与响应。一旦发现对主机的入侵,RealSecure可以马上可以切断系统用户进程通信,和做出各种安全反应。ISS实时系统传感器 (RealSecure OS Sensor)还具有伪装功能,可以将服务器不开放 的端口进行伪装,
38、进一步迷惑可能的入侵者,提高系统的防护时间。3.2.4 数据库层安全许多关键的业务系统运行在数据库平台上,如果数据库安全无法保证,其上的应用系统也会被非法访问或破坏。数据库安全隐患集中在: 系统认证:口令强度不够,过期帐号,登录攻击等。 系统授权:帐号权限,登录时间超时等。 系统完整性:Y2K兼容,特洛伊木马,审核配置,补丁和修正程序等。解决方案:ISS 数据库扫描器(DataBase Scanner)配置方法:Database Scanner可以与Internet Scanner 安装在同一台笔记本上,也可以单独安装在一台NT工作站上。定期对IDC内的数据库服务器软件进行漏洞评估,并将软件生
39、成的漏洞报告分发给数据库管理员,对数据库系统中的安全问题及时修复。扫描的时间间隔请参照安全策略的要求。该产品可保护存储在数据库管理系统中的数据的安全。用户可通过该产品自动生成数据库服务器的安全策略,这是全面的企业安全管理的一个新的重要的领域。ISS 数据库扫描器(DataBase Scanner)是世界上第一个也是目前唯一的一个针对数 据库管理系统风险评估的检测工具。该产品可保护存储在数据库管理系统中的数据的安全。目前ISS是唯一提供数据库安全管理解决方案的厂商。用户可通过该产品自动生成数据库服务器的安全策略,这是全面的企业安全管理的一个新的重要的领域。Database Scanner具有灵活
40、的体系结构,允许客户定制数据库安全策略并强制实施,控制数 据库的安全。用户在统一网络环境可为不同数据库服务器制定相应的安全策略。一旦制定出安全策略,Database Scanner将全面考察数据库,对安全漏洞级别加以度量的控制,并持 续改善数据库的安全状况。Database Scanner能通过网络快速、方便地扫描数据库,去检查数据库特有的安全漏洞,全 面评估所有的安全漏洞和认证、授权、完整性方面的问题。Database Scanner漏洞检测的主要范围包括: 2000年问题-据环境并报告数据和过程中存在的2000年问题。 口令,登录和用户-口令长度,检查有登录权限的过去用户,检查用户名的信任
41、度。 配置-否具有潜在破坏力的功能被允许,并建议是否需要修改配置,如回信,发信,直接修改,登录认证,一些系统启动时存储的过程,报警和预安排的任务, WEB任务,跟踪标识和不同的网络协议。 安装检查-要客户打补丁及补丁的热链接。 权限控制-些用户有权限得到存储的过程及何时用户能未授权存取Windows NT文件和数据资源。它还能检查“特洛伊木马”程序的存在。3.2.5安全管理层(人,组织)层次系统安全架构的最顶层就是对吉通上海IDC进行操作、维护和使用的内部人员。人员有各种层次,对人员的管理和安全制度的制订是否有效,影响由这一层次所引发的安全问题。除按业务划分的组织结构以外,必须成立专门安全组织
42、结构。这个安全组织应当由各级行政负责人、安全技术负责人、业务负责人及负责具体实施的安全技术人员组成。有关具体的安全管理请参照第4节的信息安全策略解决方案。3.3 监控和防御 3.3.1 入侵检测技术大多数传统入侵检测系统(IDS)采取基于网络或基于主机的办法来辩认并躲避攻击。在任何一种情况下,该产品都要寻找“攻击标志”,即一种代表恶意或可疑意图攻击的模 式。当IDS在网络中寻找这些模式时,它是基于网络的。而当IDS在记录文件中寻找攻击标志时,它是基于主机的。每种方法都有其优势和劣势,两种方法互为补充。一种真正有效的入侵检测系统应将二者结合。本节讨论了基于主机和基于网络入侵检测技术的不同之 处,
43、以说明如何将这二种方式融合在一起,以提供更加有效的入侵检测和保护措施。 3.3.1.1 基于网络的入侵检测:基于网络的入侵检测系统使用原始网络包作为数据源。基于网络的IDS通常利用一个运行在随机模式下网络的适配器来实时监视并分析通过网络的所有通信业务。它的攻击辩识模块通常使用四种常用技术来识别攻击标志: 模式、表达式或字节匹配 频率或穿越阀值 低级事件的相关性 规统学意义上的非常规现象检测一旦检测到了攻击行为,IDS的响应模块就提供多种选项以通知、报警并对攻击采取相应的反应。反应因产品而异,但通常都包括通知管理员、中断连接并且/或为法庭分析和证据收集而做的会话记录。3.3.1.2 基于主机的入
44、侵检测: 基于主机的入侵检测出现在80年代初期,那时网络还没有今天这样普遍、复杂,且网络之间也没有完全连通。在这一较为简单的环境里,检查可疑行为的检验记录是很常见的操 作。由于入侵在当时是相当少见的,在对攻击的事后分析就可以防止今后的攻击。现在的基于主机的入侵检测系统保留了一种有力的工具,以理解以前的攻击形式,并选择合适的方法去抵御未来的攻击。基于主机的IDS仍使用验证记录,但自动化程度大大提 高,并发展了精密的可迅速做出响应的检测技术。通常,基于主机的IDS可监探系统、事件和Window NT下的安全记录以及UNIX环境下的系统记录。当有文件发生变化时,IDS将新的记录条目与攻击标记相比较,
45、看它们是否匹配。如果匹配,系统就会向管理员报警并向别的目标报告,以采取措施。基于主机的IDS在发展过程中融入了其它技术。对关键系统文件和可执行文件的入侵检测的一个常用方法,是通过定期检查校验和来进行的,以便发现意外的变化。反应的快慢与轮询间隔的频率有直接的关系。最后,许多产品都是监听端口的活动,并在特定端口被访问时向管理员报警。这类检测方法将基于网络的入侵检测的基本方法融入到基于主机的检测环境中。3.3.1.3 将基于网络和基于主机的入侵检测结合起来: 基于网络和基于主机的IDS方案都有各自特有的优点,并且互为补充。因此,下一代的IDS必须包括集成的主机和网络组件。将这两项技术结合,必将大幅度
46、提高网络对攻击和错误使用的抵抗力,使安全策略的实施更加有效,并使设置选项更加灵活。有些事件只能用网络方法检测到,另外一些只能用主机方式检测到,有一些则需要二者共同发挥作用,才能检测到。3.3.2 推荐的安全产品ISS的入侵检测产品RealSecureISS实时网络传感器 (RealSecure Network Sensor) 对计算机网络进行自主地,实时地攻击检测 与响应。这种领先产品对网络安全轮回监控,使用户可以在系统被破坏之前自主地中断并响应安全漏洞和误操作。实时监控在网络中分析可疑的数据而不会影响数据在网络上的传输。它对安全威胁的自主响应为企业提供了最大限度的安全保障。ISS 网络入侵检
47、测(RealSecure Network Sensor)在检测到网络入侵后,除了可以及时切断攻 击行为之外,还可以动态地调整防火墙的防护策略,使得防火墙成为一个动态的智能的的防护体系。ISS实时系统传感器 (RealSecure OS Sensor) 对计算机主机操作系统进行自主地,实时地 攻击检测与响应。一旦发现对主机的入侵,RealSecure可以马上切断的用户进程,和做出各种安全反应。ISS实时服务器传感器 (RealSecure Server Sensor)包括了所有的OS Sensor功能,也具备部分Network Sensor的功能,为灵活的安全配置提供了必要的手段。RealSecure Workgroup Manager是RealSecure系统的控制台。可以对多台RealSecure 网络引 擎和系统传感器进行管理。对被管理监控器进行远程的配置和控制,各个监控器发现的安全事件都实时地报告控制台。ISS RealSecure是一个完整的,一致的实时入侵监控体系。ISS Realsecure对来自内部和外部的非法入侵行为做到及时响应、告警和记录日志,并可采 取一定的防御和反入侵措施。它能完全满足吉通上海IDC技术需求 书所提要求:支持统一的管理平台,可实现集中式的安全监控管理:
