IDC网络系统安全实施方案
1 吉通上海 IDC网络安全功能需求
1.1 吉通上海公司对于网络安全和系统可靠性的总体设想
(1)网络要求有充分的安全措施,以保障网络服务的可用性和网络信息的完整性。要把网络安全层,信息服务器安全层,数据库安全层,信息传输安全层作为一个系统工程来考虑。
网络系统可靠性:为减少单点失效,要分析交换机和路由器应采用负荷或流量分担方式,对服务器、计费服务器和DB服务器,WWW服务器,分别采用的策略。说明对服务器硬件、操作系统及应用软件的安全运行保障、故障自动检测/报警/排除的措施。
对业务系统可靠性,要求满足实现对硬件的冗余设计和对软件可靠性的分析。
网络安全应包含:数据安全;
预防病毒;
网络安全层;
操作系统安全;
安全系统等;
(2)要求卖方提出完善的系统安全政策及其实施方案,其中至少覆盖以下几个方面:
l 对路由器、服务器等的配置要求充分考虑安全因素
l 制定妥善的安全管理政策,例如口令管理、用户帐号管理等。
l 在系统中安装、设置安全工具。要求卖方详细列出所提供的安全工具清单及说明。
l 制定对******的防范策略。
l 对不同的业务设立不同的安全级别。
(3)卖方可提出自己建议的网络安全方案。
1.2 整体需求
l 安全解决方案应具有防火墙,***检测,安全扫描三项基本功能。
l 针对IDC网络管理部分和IDC服务部分应提出不同的安全级别解决方案。
l 所有的IDC安全产品要求厂家稳定的服务保障和技术支持队伍。服务包括产品的定时升级,培训,***检测,安全扫描系统报告分析以及对安全事故的快速响应。
l 安全产品应能与集成商方案的网管产品,路由,交换等网络设备功能兼容并有效整合。
l 所有的安全产品应具有公安部的销售许可和国家信息化办公室的安全认证。
l 所有安全产品要求界面友好,易于安装,配置和管理,并有详尽的技术文档。
l 所有安全产品要求自身高度安全性和稳定性。
l 安全产品要求功能模块配置灵活,并具有良好的可扩展性。
1.3 防火墙部分的功能需求
l 网络特性:防火墙所能保护的网络类型应包括以太网、快速以太网、(千兆以太 网、ATM、令牌环及FDDI可选)。支持的最大LAN接口数:软、硬件防火墙应能提供至少4个端口。
l 服务器平台:软件防火墙所运行的操作系统平台应包括Solaris2.5/2.6、Linux、Win NT4.0(HP-UX、IBM-AIX、Win 2000可选)。
l 加密特性:应提供加密功能,最好为基于硬件的加密。
l 认证类型:应具有一个或多个认证方案,如RADIUS、Kerberos、TACACS/TACACS+、 口令方式、数字证书等。
l 访问控制:包过滤防火墙应支持基于协议、端口、日期、源/目的IP和MAC地址过滤;过滤规则应易于理解,易于编辑修改;同时应具备一致性检测机制,防止冲突;在传输层、应用层(HTTP、FTP、TELNET、SNMP、STMP、POP)提供代理支持;支持网络地址转换(NAT)。
l 防御功能:支持病毒扫描,提供内容过滤,能防御Ping of Death,TCP SYN Floods及其它类型DoS***。
l 安全特性:支持转发和跟踪ICMP协议(ICMP 代理);提供***实时警告;提供实时***防范;识别/记录/防止企图进行IP地址欺骗。
l 管理功能:支持本地管理、远程管理和集中管理;支持SNMP监视和配置;负载均衡特性;支持容错技术,如双机热备份、故障恢复,双电源备份等。
l 记录和报表功能:防火墙应该提供日志信息管理和存储方法;防火墙应具有日志的自动分析和扫描功能;防火墙应提供告警机制,在检测到***网络以及设备运转异常情况时,通过告警来通知管理员采取必要的措施,包括E-mail、呼机、手机等;提供简要报表(按照用户ID或IP 地址提供报表分类打印); 提供实时统计。
2 惠普公司在吉通上海IDC中的网络安全管理的设计思想
2.1 网络信息安全设计宗旨
惠普公司在为客户IDC项目的信息安全提供建设和服务的宗旨可以表述为:
l 依据最新、最先进的国际信息安全标准
l 采用国际上最先进的安全技术和安全产品
l 参照国际标准ISO9000系列质量保证体系来规范惠普公司提供的信息安全产品和服务
l 严格遵守×××相关的法律和法规
2.2 网络信息安全的目标
网络安全的最终目标是保护网络上信息资源的安全,信息安全具有以下特征:
l 保密性:确保只有经过授权的人才能访问信息;
l 完整性:保护信息和信息的处理方法准确而完整;
l 可用性:确保经过授权的用户在需要时可以访问信息并使用相关信息资产。
信息安全是通过实施一整套适当的控制措施实现的。控制措施包括策略、实践、步骤、组织结构和软件功能。必须建立起一整套的控制措施,确保满足组织特定的安全目标。
2.3 网络信息安全要素
惠普公司的信息安全理念突出地表现在三个方面--安全策略、管理和技术。
l 安全策略--包括各种策略、法律法规、规章制度、技术标准、管理标准等,是信 息安全的最核心问题,是整个信息安全建设的依据;
l 安全管理--主要是人员、组织和流程的管理,是实现信息安全的落实手段;
l 安全技术--包含工具、产品和服务等,是实现信息安全的有力保证。
根据上述三个方面,惠普公司可以为客户提供的信息安全完全解决方案不仅仅包含各种安全产品和技术,更重要的就是要建立一个一致的信息安全体系,也就是建立安全策略体系、安全管理体系和安全技术体系。
2.4 网络信息安全标准与规范
在安全方案设计过程和方案的实施中,惠普公司将遵循和参照最新的、最权威的、最具有代表性的信息安全标准。这些安全标准包括:
l ISO/IEC 17799 Information technology–Code of practice for information security management
l ISO/IEC 13335 Information technology– Guidelines for The Management of IT Security
l ISO/IEC 15408 Information technology– Security techniques – Evaluation criteria for IT security
l 我国的国家标准GB、国家军用标准GJB、公共安全行业标准GA、行业标准SJ等标准作为本项目的参考标准。
2.5 网络信息安全周期
任何网络的安全过程都是一个不断重复改进的循环过程,它主要包含风险管理、安全策略、方案设计、安全要素实施。这也是惠普公司倡导的网络信息安全周期。
l 风险评估管理:对企业网络中的资产、威胁、漏洞等内容进行评估,获取安全风险的客观数据;
l 安全策略:指导企业进行安全行为的规范,明确信息安全的尺度;
l 方案设计:参照风险评估结果,依据安全策略及网络实际的业务状况,进行安全方案设计;
l 安全要素实施:包括方案设计中的安全产品及安全服务各项要素的有效执行。
l 安全管理与维护:按照安全策略以及安全方案进行日常的安全管理与维护,包括变更管理、事件管理、风险管理和配置管理。
l 安全意识培养:帮助企业培训员工树立必要的安全观念。
3 吉通上海IDC信息系统安全产品解决方案
3.1 层次性安全需求分析和设计
网络安全方案必须架构在科学的安全体系和安全框架之上。安全框架是安全方案设计和分析的基础。为了系统地描述和分析安全问题,本节将从系统层次结构的角度展开,分析吉通IDC各个层次可能存在的安全漏洞和安全风险,并提出解决方案。
3.2 层次模型描述
针对吉通IDC的情况,结合《吉通上海IDC技术需求书》的要求,惠普公司把吉通上海IDC的信息系统安全划分为六个层次,环境和硬件、网络层、操作系统、数据库层、应用层及操作层。
3.2.1 环境和硬件
为保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏,应采取适当的保护措施、过程。详细内容请参照机房建设部分的建议书。
3.2.2 网络层安全
3.2.2.1安全的网络拓扑结构
网络层是网络***者进攻信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面。由于大型网络系统内运行的TPC/IP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。网络***者一般采用预***探测、窃听等搜集信息,然后利用 IP欺骗、重放或重演、拒绝服务***(SYN FLOOD,PING FLOOD等)、分布式拒绝服务***、篡改、堆栈溢出等手段进行***。
保证网络安全的首要问题就是要合理划分网段,利用网络中间设备的安全机制控制各网络间的访问。在对吉通IDC网络设计时,惠普公司已经考虑了网段的划分的安全性问题。其中网络具体的拓扑结构好要根据吉通IDC所提供的服务和客户的具体要求做出最终设计。
3.2.2.2 网络扫描技术
解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能寻找网络安全漏洞、评估并提出修改建议的网络安全扫描工具。
解决方案:ISS网络扫描器Internet Scanner
配置方法:在上海IDC中使用一台高配置的笔记本电脑安装Internet Scanner,定期对本IDC进行全面的网络安全评估, 包括所有重要的服务器、防火墙、路由设备等。扫描的时间间隔请参照安全策略的要求。
ISS网络扫描器Internet Scanner是全球网络安全市场的顶尖产品。它通过对网络安全弱 点全面和自主地检测与分析,能够迅速找到并修复安全漏洞。网络扫描仪对所有附属在网络中的设备进行扫描,检查它们的弱点,将风险分为高,中,低三个等级并且生成大范围的有意义的报表。从以企业管理者角度来分析的报告到为消除风险而给出的详尽的逐步指导方案均可以体现在报表中。
该产品的时间策略是定时操作,扫描对象是整个网络。它可在一台单机上对已知的网络安全漏洞进行扫描。截止Internet Scanner6.01版本,Internet Scanner已能对900 种以上 的来自通讯、服务、防火墙、WEB应用等的漏洞进行扫描。它采用模拟***的手段去检测网络上每一个IP隐藏的漏洞,其扫描对网络不会做任何修改和造成任何危害。
Internet Scanner每次扫描的结果可生成详细报告,报告对扫描到的漏洞按高、中、低三 个风险级别分类,每个漏洞的危害及补救办法都有详细说明。用户可根据报告提出的建议修改网络配置,填补漏洞。
可检测漏洞分类表:
Brute Force Password-Guessing
为经常改变的帐号、口令和服务测试其安全性
Daemons
检测UNIX进程(Windows服务)
Network
检测SNMP和路由器及交换设备漏洞
Denial of Service
检测中断操作系统和程序的漏洞,一些检测将暂停相应的服务
NFS/X Windows
检测网络网络文件系统和X-Windows的漏洞
RPC
检测特定的远程过程调用
SMTP/FTP
检测SMTP和FTP的漏洞
Web Server Scan and CGI-Bin
检测Web服务器的文件和程序(如IIS,CGI脚本和HTTP)
NT Users, Groups, and Passwords
检测NT用户,包括用户、口令策略、解锁策略
Browser Policy
检测IE和Netscape浏览器漏洞
Security Zones
检测用于访问互联网安全区域的权限漏洞
Port Scans
检测标准的网络端口和服务
Firewalls
检测防火墙设备,确定安全和协议漏洞
Proxy/DNS
检测代理服务或域名系统的漏洞
IP Spoofing
检测是否计算机接收到可疑信息
Critical NT Issues
包含NT操作系统强壮性安全测试和与其相关的活动
NT Groups/Networking
检测用户组成员资格和NT网络安全漏洞
NetBIOS Misc
检测操作系统版本和补丁包、确认日志存取,列举、显示NetBIOS提供的信息
Shares/DCOM
检测NetBIOS共享和DCOM对象。使用DCOM可以测试注册码、权限和缺省安全级别
NT Registry
包括检测主机注册信息的安全性,保护SNMP子网的密匙
NT Services
包括检测NT正在运行的服务和与之相关安全漏洞
2.2.2.3 防火墙技术
防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。具体地说,设置防火墙的目的是隔离内部网和外部网,保护内部网络不受***,实现以下基本功能:
· 禁止外部用户进入内部网络,访问内部机器;
· 保证外部用户可以且只能访问到某些指定的公开信息;
· 限制内部用户只能访问到某些特定的Internet资源,如WWW服务、FTP服务、 TELNET服务等;
解决方案:CheckPoint Firewall-1防火墙和Cisco PIX防火墙
防火墙除了部署在IDC的私有网(即网管网段等由IDC负责日常维护的网络部分)以外,还可以根据不同的用户的需求进行防火墙的部署,我们建议对于独享主机和共享主机都进行防火墙的配置,而对于托管的主机可以根据用户的实际情况提供防火墙服务。
无论是虚拟主机还是托管主机,IDC都需要为这些用户提供不同程度的远程维护手段,因此我们也可以采用×××的技术手段来保证远程维护的安全性,×××同时也可以满足IDC为某些企业提供远程移动用户和合作企业之间的安全访问的需求。
根据吉通上海IDC的安全要求以及安全产品的配置原则,我们建议使用的产品包括Cisco PIX和CheckPoint Firewall-1在内的两种防火墙,其中:
l Cisco PIX防火墙配置在对网络访问速度要求较高但安全要求相对较低的网站托管区和主机托管区;
l CheckPoint防火墙配置在对网络速度较低但安全要求相对较高的IDC维护网段。
这两种防火墙分别是硬件防火墙和软件防火墙的典型代表产品,并在今年4月刚刚结束的安全产品的年度评比中,并列最佳防火墙产品的首位。这里只对CheckPoint的Firewall-1进行说明。
Checkpoint公司是一家专门从事网络安全产品开发的公司,是软件防火墙领域的佼佼者,其旗舰产品CheckPoint Firewall-1在全球软件防火墙产品中位居第一(52%),在亚太 地区甚至高达百分之七十以上,远远领先同类产品。在中国电信、银行等行业都有了广泛的应用。
CheckPoint Firewall-1 是一个综合的、模块化的安全套件,它是一个基于策略的解决方 案,提供集中管理、访问控制、授权、加密、网络地址传输、内容显示服务和服务器负载平衡等功能。主要用在保护内部网络资源、保护内部进程资源和内部网络访问者验证等领域。CheckPoint Firewall-1 套件提供单一的、集中的分布式安全的策略,跨越Unix、 NT、路由器、交换机和其他外围设备,提供大量的API,有150多个解决方案和OEM厂商的 支持。CP Firewall-1 由3个交互操作的组件构成:控制组件、加强组件和可选组件。这些 组件即可以运行在单机上,也可以部署在跨平台系统上。其中,控制组件包括Firewall-1 管理服务器和图形化的客户端;加强组件包含Firewall-1 检测模块和Firewall-1 防火墙 模块;可选组件包括Firewall-1 Encryption Module(主要用于保护×××)、Firewall-1 Connect Control Module(执行服务器负载平衡)Router Security Module (管理路由器 访问控制列表)。
Checkpoint Firewall-1 防火墙的操作在操作系统的核心层进行,而不是在应用程序层, 这样可以使系统达到最高性能的扩展和升级。此外Checkpoint Firewall-1 支持基于Web 的多媒体和基于UDP的应用程序,并采用多重验证模板和方法,使网络管理员容易验证客户端、会话和用户对网络的访问。
CHECKPOINT防火墙功能要求:
1) 支持透明接入和透明连接,不影响原有网络设计和配置:
Check Point FireWall-1是一款软件防火墙,是安装在现有的网关或服务器计算机上,对接入和连接都是透明的,不会影响原有网络设计和配置。
2) 带有DMZ的连接方式:
Check Point FireWall-1可以支持多个网络接口,所以客户可以很容易的按照需要设置DMZ分区。
3) 支持本地和远程管理两种管理方式:
Check Point FireWall-1中的Enterprise Management Console模块功能十分强 大,支持本地和远程两种管理方式,减轻了网络管理员对网络的管理负担。
4) 支持命令行和GUI方式的管理与配置:
Check Point FireWall-1中的管理控制台支持命令行和GUI方式的管理与配置; 可以在Windows 95/98/NT上安装Windows GUI界面,在Unix操作系统下可以安装 Motif GUI图形用户界面进行管理与配置。
5) 对分布式的防火墙支持集中统一状态管理:
Check Point FireWall-1中的管理控制台支持对分布式防火墙的集中统一状态 管理。它可以同时管理多个防火墙模块。
6) 规则测试功能,支持规则一致性测试:
Check Point FireWall-1中的策略编辑器中有一命令,可以对已经配置好的规则 进行测试,可以检测其一致性。
7) 透明代理功能:
Check Point FireWall-1支持代理功能,而且功能强大,可以支持本身自带的预 定义 的超过150多种的常用协议。
8) 地址转换功能,支持静态地址转换、动态地址转换以及IP地址与TCP/UDP端口的转换:
Check Point FireWall-1支持NAT地址转换功能,支持Static Mode(静态转换)和 Hide Mode(动态转换) 两种方式;目前不支持IP地址与TCP/UDP端口的转换。
9) 访问控制,包括对HTTP、FTP、SMTP、TELNET、NNTP等服务类型的访问控制;
Check Point FireWall-1可以通过制定策略来进行访问控制,可以支持超过150 多种的常用协议,并可以自定义各种不常用的协议。
10) 用户级权限控制:
Check Point FireWall-1可以指定用户对象,在其属性中有各种认证方式可供选 择,加强了用户级的权限控制。
11) 防止IP地址欺骗功能:
Check Point FireWall-1提供了防止IP地址欺骗的功能,可以在设定防火墙网关 的网卡属性时激活该功能。
12) 包过滤,支持IP层以上的所有数据包的过滤:
Check Point FireWall-1中的对象以IP地址或TCP/UDP端口号来识别,所以可以 对IP层以上的所有数据包进行过滤。
13) 信息过滤,包括HTTP、FTP、SMTP、NNTP等协议的信息过滤:
Check Point FireWall-1可以通过OPSEC接口,与第三方厂商的软件或硬件产品无 缝结合起来对HTTP、FTP、SMTP等协议进行信息过滤。
14) 地址绑定功能,实现MAC地址与固定IP地址的绑定,防止IP地址盗用:
Check Point FireWall-1目前为止不能实现MAC地址与固定IP地址的绑定。但是 可以利用各节点处的路由器来进行MAC地址与固定IP地址的绑定。
15) 抗***性要求,包括对防火墙本身和受保护网段的***抵抗:
防火墙本身的抗***能力与其所运行的操作系统的安全级别有关。操作系统的安全级别越高,防火墙本身的抗***的能力也越高。
16) 审计日志功能,支持对日志的统计分析功能:
Check Point FireWall-1中自带有日志功能,可以对符合预定规则的网络流量事先规定的方式进行记录;在Check Point FireWall-1 4.1产品中带有Reporting Module,可以对日志进行分析统计。
17) 实时告警功能,对防火墙本身或受保护网段的非法***支持多种告警方式(声光告警、EMAIL告警、日志告警等)以及多种级别的告警:
Check Point FireWall-1的策略中有报警功能,其中包括了E-mail告警,日志告警等多种告警方式。
CheckPoint防火墙技术性能指标:
1) 时延:在每个包大小平均为512字节的情况下,在3DES加密方式下Unix的时延是 1.8msec,NT是1.2msec;在DES加密下Unix的时延是1.3msec,NT是1msec。
2) 吞吐量:在没有数据加密情况下,不同的操作系统可以分别达到152M~246Mbps;在数据加密情况下,可以达到约55Mbps。
3) 最小规则数:
在防火墙概念中无此提法。按照我们的理解,此概念如果是指策略中的规则数的话,则无限制。
4) 包转发率:10~15Mbps。
5) 最大位转发率:在防火墙概念中无此提法。按照我们的理解,此概念类似吞吐量。
6) 并发连接数:理论上没有限制。
Firewall-1防火墙是一种应用级防火墙,它的监测模块能监测和分析网络通信所有七层协议的内容。
实际上路由器本身就可以实现包过滤防火墙的功能,对吉通上海IDC的各个路由器的配置进行检查和调整。保证整个网络中各个路由器的配置相互一致,并承担包过滤检查的功能。
因为防火墙在核心网上起着安全管理的“警察”的重要作用,它的可靠性往往代表着整个网络的可靠性。如果一台防火墙发生故障,那么所有经过它的网络连接都中断了,防火墙就成为一个“单点故障”,这在一个及其关键的网络环境中是不允许的。
建议方案:
Checkpoint FireWall-1 防火墙产品可以通过两台防火墙之间建立主备份 关系而大大增加防火墙的可靠性。Checkpoint FireWall-1是基于先进的“状态检测”(Stateful Inspection)技术的防火墙,它从经过它的网络连接的各个层次抽取信息,以得到每个连接的状态。这些状态存放在一个动态的状态表中,并随着数据的传输而刷新。要在两台防火墙之间切换,必须在这两台防火墙之间共享这些状态信息,以保证切换时最大可能地保留已建立的连接。
利用Qualix Group的QualixHA+ Module for FireWall-1软件可以很好地做到这一点。 两台相同配置的FireWall-1防火墙,一台为主防火墙,一台为热 备份防火墙。在热备份防火墙上安装QualixHA+,它能自动地监测主防火墙的状态,并在一旦主防火墙故障时迅速地把主防火墙切换到热备份防火墙上,而不需要人工干预。由于QualixHA+能把热备份防火墙的配置设置成与主防火墙一致,所以切换后不会损失任何防火墙功能。而QualixHA+所在的热备份防火墙可以与主备份防火墙共有同一个IP地址,所以切换后也无需修改路由器的设置。
2.2.2.4 网络实时***检测技术
防火墙虽然能抵御网络外部安全威胁,但对网络内部发起的***无能为力。动态地监测网络内部活动并做出及时的响应,就要依靠基于网络的实时***监测技术。监控网络上的数据流,从中检测出***的行为并给与响应和处理。实时***监测技术还能检测到绕过防火墙的***。
解决方案: ISS网络***检测 RealSecure Network Sensor
配置方法:参见“监控和防御”。
ISS实时网络传感器 (RealSecure Network Sensor) 对计算机网络进行自主地,实时地攻 击检测与响应。这种领先产品对网络安全轮回监控,使用户可以在系统被破坏之前自主地中断并响应安全漏洞和误操作。实时监控在网络中分析可疑的数据而不会影响数据在网络上的传输。它对安全威胁的自主响应为企业提供了最大限度的安全保障。
ISS 网络***检测RealSecure Network Sensor在检测到网络***后,除了可以及时切断攻 击行为之外,还可以动态地调整防火墙的防护策略,使得防火墙成为一个动态的智能的的防护体系。
3.2.3 操作系统层安全
操作系统安全也称主机安全,由于现代操作系统的代码庞大,从而不同程度上都存在一些安全漏洞。一些广泛应用的操作系统,如Unix,Window NT,其安全漏洞更是广为流传。另 一方面,系统管理员或使用人员对复杂的操作系统和其自身的安全机制了解不够,配置不当也会造成的安全隐患。
3.2.3.1 系统扫描技术
对操作系统这一层次需要功能全面、智能化的检测,以帮助网络管理员高效地完成定期检测和修复操作系统安全漏洞的工作。系统管理员要不断跟踪有关操作系统漏洞的发布,及时下载补丁来进行防范,同时要经常对关键数据和文件进行备份和妥善保存,随时留意系统文件的变化。
解决方案: ISS系统扫描器(System Scanner)
配置方法: System Scanner Console可以与Internet Scanner 安装在同一台笔记本上,也可以单独安装在一台NT工作站上。在IDC中各重要服务器(网管工作站、数据采集工作站、计费服务器、网站托管服务器等)内安装System Scanner Agent。Console管理各个Agent。定期(时间间隔参照安全策略的要求)对重要服务器进行全面的操作系统安全评估。
ISS系统扫描器(System Scanner) 是基于主机的一种领先的安全评估系统。系统扫描器 通过对内部网络安全弱点的全面分析,协助企业进行安全风险管理。区别于静态的安全策略,系统扫描工具对主机进行预防潜在安全风险的设置。其中包括易猜出的密码,用户权限,文件系统访问权,服务器设置以及其它含有***隐患的可疑点。
该产品的时间策略是定时操作,扫描对象是操作系统。System Scanner包括引擎和控制台 两个部分。引擎必须分别装在被扫描的服务器内部,在一台集中的服务器上安装控制台。控制台集中对各引擎管理,引擎负责对各操作系统的文件、口令、帐户、组等的配置进行检查,并对操作系统中是否有***特征进行检测。其扫描结果同样可生成报告。并对不安全的文件属性生成可执行的修改脚本。
3.2.3.2 系统实时***探测技术
为了加强主机的安全,还应采用基于操作系统的***探测技术。系统***探测技术监控主机的系统事件,从中检测出***的可疑特征,并给与响应和处理。
解决方案:ISS网络***检测 RealSecure OS Sensor以及Server Sensor
配置方法:参见“监控和防御”。
ISS实时系统传感器 (RealSecure OS Sensor) 对计算机主机操作系统进行自 主地,实时 地***检测与响应。一旦发现对主机的***,RealSecure可以马上可以切断系统用户进程通信,和做出各种安全反应。
ISS实时系统传感器 (RealSecure OS Sensor)还具有伪装功能,可以将服务器不开放 的端口进行伪装,进一步迷惑可能的***者,提高系统的防护时间。
3.2.4 数据库层安全
许多关键的业务系统运行在数据库平台上,如果数据库安全无法保证,其上的应用系统也会被非法访问或破坏。数据库安全隐患集中在:
· 系统认证:口令强度不够,过期帐号,登录***等。
· 系统授权:帐号权限,登录时间超时等。
· 系统完整性:Y2K兼容,特洛伊***,审核配置,补丁和修正程序等。
解决方案:ISS 数据库扫描器(DataBase Scanner)
配置方法:Database Scanner可以与Internet Scanner 安装在同一台笔记本上,也可以单独安装在一台NT工作站上。定期对IDC内的数据库服务器软件进行漏洞评估,并将软件生成的漏洞报告分发给数据库管理员,对数据库系统中的安全问题及时修复。扫描的时间间隔请参照安全策略的要求。
该产品可保护存储在数据库管理系统中的数据的安全。用户可通过该产品自动生成数据库服务器的安全策略,这是全面的企业安全管理的一个新的重要的领域。
ISS 数据库扫描器(DataBase Scanner)是世界上第一个也是目前唯一的一个针对数 据库管理系统风险评估的检测工具。
该产品可保护存储在数据库管理系统中的数据的安全。目前ISS是唯一提供数据库安全管理解决方案的厂商。用户可通过该产品自动生成数据库服务器的安全策略,这是全面的企业安全管理的一个新的重要的领域。
Database Scanner具有灵活的体系结构,允许客户定制数据库安全策略并强制实施,控制数 据库的安全。用户在统一网络环境可为不同数据库服务器制定相应的安全策略。一旦制定出安全策略,Database Scanner将全面考察数据库,对安全漏洞级别加以度量的控制,并持 续改善数据库的安全状况。
Database Scanner能通过网络快速、方便地扫描数据库,去检查数据库特有的安全漏洞,全 面评估所有的安全漏洞和认证、授权、完整性方面的问题。
Database Scanner漏洞检测的主要范围包括:
· 2000年问题--据环境并报告数据和过程中存在的2000年问题。
· 口令,登录和用户--口令长度,检查有登录权限的过去用户,检查用户名的信任度。
· 配置--否具有潜在破坏力的功能被允许,并建议是否需要修改配置,如回信,发信,直接修改,登录认证,一些系统启动时存储的过程,报警和预安排的任务, WEB任务,跟踪标识和不同的网络协议。
· 安装检查--要客户打补丁及补丁的热链接。
· 权限控制--些用户有权限得到存储的过程及何时用户能未授权存取Windows NT文件和数据资源。它还能检查“特洛伊***”程序的存在。
3.2.5安全管理层(人,组织)
层次系统安全架构的最顶层就是对吉通上海IDC进行操作、维护和使用的内部人员。人员有各种层次,对人员的管理和安全制度的制订是否有效,影响由这一层次所引发的安全问题。
除按业务划分的组织结构以外,必须成立专门安全组织结构。这个安全组织应当由各级行政负责人、安全技术负责人、业务负责人及负责具体实施的安全技术人员组成。有关具体的安全管理请参照第4节的信息安全策略解决方案。
3.3 监控和防御
3.3.1 ***检测技术
大多数传统***检测系统(IDS)采取基于网络或基于主机的办法来辩认并躲避***。在任何一种情况下,该产品都要寻找“***标志”,即一种代表恶意或可疑意图***的模 式。当IDS在网络中寻找这些模式时,它是基于网络的。而当IDS在记录文件中寻找***标志时,它是基于主机的。每种方法都有其优势和劣势,两种方法互为补充。一种真正有效的***检测系统应将二者结合。本节讨论了基于主机和基于网络***检测技术的不同之 处,以说明如何将这二种方式融合在一起,以提供更加有效的***检测和保护措施。
3.3.1.1 基于网络的***检测:
基于网络的***检测系统使用原始网络包作为数据源。基于网络的IDS通常利用一个运行在随机模式下网络的适配器来实时监视并分析通过网络的所有通信业务。它的***辩识模块通常使用四种常用技术来识别***标志:
· 模式、表达式或字节匹配
· 频率或穿越阀值
· 低级事件的相关性
· 规统学意义上的非常规现象检测
一旦检测到了***行为,IDS的响应模块就提供多种选项以通知、报警并对***采取相应的反应。反应因产品而异,但通常都包括通知管理员、中断连接并且/或为法庭分析和证据收集而做的会话记录。
3.3.1.2 基于主机的***检测:
基于主机的***检测出现在80年代初期,那时网络还没有今天这样普遍、复杂,且网络之间也没有完全连通。在这一较为简单的环境里,检查可疑行为的检验记录是很常见的操 作。由于***在当时是相当少见的,在对***的事后分析就可以防止今后的***。
现在的基于主机的***检测系统保留了一种有力的工具,以理解以前的***形式,并选择合适的方法去抵御未来的***。基于主机的IDS仍使用验证记录,但自动化程度大大提 高,并发展了精密的可迅速做出响应的检测技术。通常,基于主机的IDS可监探系统、事件和Window NT下的安全记录以及UNIX环境下的系统记录。当有文件发生变化时,IDS将新的记录条目与***标记相比较,看它们是否匹配。如果匹配,系统就会向管理员报警并向别的目标报告,以采取措施。
基于主机的IDS在发展过程中融入了其它技术。对关键系统文件和可执行文件的***检测的一个常用方法,是通过定期检查校验和来进行的,以便发现意外的变化。反应的快慢与轮询间隔的频率有直接的关系。最后,许多产品都是监听端口的活动,并在特定端口被访问时向管理员报警。这类检测方法将基于网络的***检测的基本方法融入到基于主机的检测环境中。
3.3.1.3 将基于网络和基于主机的***检测结合起来:
基于网络和基于主机的IDS方案都有各自特有的优点,并且互为补充。因此,下一代的IDS必须包括集成的主机和网络组件。将这两项技术结合,必将大幅度提高网络对***和错误使用的抵抗力,使安全策略的实施更加有效,并使设置选项更加灵活。
有些事件只能用网络方法检测到,另外一些只能用主机方式检测到,有一些则需要二者共同发挥作用,才能检测到。
3.3.2 推荐的安全产品—ISS的***检测产品RealSecure
ISS实时网络传感器 (RealSecure Network Sensor) 对计算机网络进行自主地,实时地***检测 与响应。这种领先产品对网络安全轮回监控,使用户可以在系统被破坏之前自主地中断并响应安全漏洞和误操作。实时监控在网络中分析可疑的数据而不会影响数据在网络上的传输。它对安全威胁的自主响应为企业提供了最大限度的安全保障。
ISS 网络***检测(RealSecure Network Sensor)在检测到网络***后,除了可以及时切断攻 击行为之外,还可以动态地调整防火墙的防护策略,使得防火墙成为一个动态的智能的的防护体系。
ISS实时系统传感器 (RealSecure OS Sensor) 对计算机主机操作系统进行自主地,实时地 ***检测与响应。一旦发现对主机的***,RealSecure可以马上切断的用户进程,和做出各种安全反应。
ISS实时服务器传感器 (RealSecure Server Sensor)包括了所有的OS Sensor功能,也具备部分Network Sensor的功能,为灵活的安全配置提供了必要的手段。
RealSecure Workgroup Manager是RealSecure系统的控制台。可以对多台RealSecure 网络引 擎和系统传感器进行管理。对被管理监控器进行远程的配置和控制,各个监控器发现的安全事件都实时地报告控制台。
ISS RealSecure是一个完整的,一致的实时***监控体系。
ISS Realsecure对来自内部和外部的非法***行为做到及时响应、告警和记录日志,并可采 取一定的防御和反***措施。它能完全满足《吉通上海IDC技术需求 书》所提要求:
支持统一的管理平台,可实现集中式的安全监控管理:
①
④
③
②
⑤
RealSecure Workgroup Manager是RealSecure系统的控制台。可以对多台RealSecure 网络 Sensor和系统Sensor进行管理。对被管理监控器进行远程的配置和控制,各个监控器发现的安全事件都实时地报告控制台。在吉通IDC项目中可以利用这一特点,实现对各结点的集中监控管理。例如,从上海IDC的RealSecure Workgroup Manager,对其下其它城市的 IDC 进行统一的Sensor监控策略配置,Sensor所发现的安全事件将实时地报告给Manager;对各个Sensor安全特征库的升级也可以从Manager统一分发完成。
图RS-1 RealSecure Workgroup Manager的工作界面
①主菜单和工具栏
②监控安全事件的综合窗口
③按安全级别分成高、中、低三个事件窗口
④列出所有被管理的网络Sensor和系统Sensor
⑤对被管理的网络传感器和系统传感器进行配置的弹出窗口
自动识别类型广泛的***:
网络Sensor能够识别以下种类的***和误用行为:
类型
说明
拒绝服务***
通过消耗系统资源使目标主机的部分或全部服务功能丧失。例如,SYN FLOOD***,PING FLOOD***,WINNUK***等。
分布式拒绝服务***
检查分布拒绝服务***的主控程序和代理之间的通讯和通讯企图。例如,TFN、Trinoo和Stacheldraht等。
未授权访问***
***者企图读取、写或执行被保护的资源。如FTP ROOT***,EMAIL WIZ***等。
预***探测
***者试图从网络中获取用户名、口令等敏感信息。如SATAN扫描、端口扫描、IP HALF扫描等。
可疑行为
非 “正常”的网络访问,很可能是需要注意的不安全事件。如IP地址复用,无法识别IP协议的事件。
协议解码
对协议进行解析,帮助管理员发现可能的危险事件。如FTP口令解析,EMAIL主题解析等。
普通网络事件
识别各种网络协议包的源、目的IP地址,源、目的端口号,协议类型等。
系统Sensor能够监控并识别的***类型有:
类型
说明
安全事件
监控NT或Unix系统事件login成功/失败,logout,管理员行为异常,系统重启动等;
监控特殊的系统事件,包括对重要文件的读写、删除行为,系统资源情况异常现象等;
监控Windows环境下的未授权事件,如企图访问未授权文件,访问特权服务,企图改变登录权限等。
对未用端口监控
监控对未提供服务端口的连接企图,这种连接企图应视为可疑行为。例如,对未提供FTP服务的主机尝试FTP连接被认为是可疑的。
远程UNIX Syslog事件
对远程的UNIX主机进行监控。监控用户的login成功/失败,logout,管理员行为异常等;监控的服务包括IMAP2bis,IPOP3,Qpopper,Sendmail和SSH等。
自定义事件
用户自定义的基于系统审计事件的监控
支持按行为特征的***检测:
图RS-2 RealSecure Sensor工作过程示意图
如图所示,Realsecure的***检测主要是依据用户事先定义的监控策略,将发生的***事件与已有的安全事件特征库进行特征匹配,匹配成功,则认为是有威胁事件发生,采取适当的响应动作。
具体分析过程的输入包括:
· 用户或者安全管理人员定义的配置规则;
· 以及作为事件检测的原始数据。对于Network Sensor来讲原始数据是原始网络包; 对于OS Sensor来讲原始数据是操作系统日志项。
具体分析过程的输出包括:
· 系统发起的对安全事件的响应过程;
· 监控器在收到数据后,将数据和特征库进行对比,如果匹配会发出对应的响应。特征数据库主要来源于ISS的Xforce研究开发小组,而且是目前业界最全面的***特征数据库。另外,Network Sensor和System Sensor都支持用户自定义特征。
· Network Sensor检测过程--安装Realsecure Network Sensor主机的网络适配卡连接 到被监控的网段上。Realsecure将网络适配卡设成promiscuous模式,可收到本地网段上的所有数据流。当一个包符合了当前有效的过滤规则时,会被解码并进行***特征识别分析。每个活动的过程都被保持和跟踪,这样跨越了许多包的***特征就可以被检测出来。因此,当一个“感兴趣事件”被检测到时,Realsecure会采取合适的动作。
· OS Sensor检测过程--RealSecure OS Sensor在被保护服务器上运行一个进程。每当 操作系统产生一个新的日志记录项,操作系统会向OS Sensor发出中断。OS Sensor读取新的日志记录项,与监控特征进行对比,如果匹配会发起适当的响应。由一些特征会涉及多个日志记录项,因此OS Sensor会同时维护和监控 一些用 户活动流的状态。
提供对特定网段的实时保护,支持高速交换网络的监控:
对重要网段的保护,如公共服务器群,为了避免来自网络其它边界的***,需要在该子网的入口处安装Realsecure Network Sensor,并在各个服务器内配置Realsecure OS Sensor, 由集中的Realsecure Workgroup Manager统一管理。
能够在检测到***事件时,自动执行预定义的动作,包括切断服务、重起服务进程,记录***过程信息等:
1. 当一个***或事件被检测到,RealSecure可以做出以下几种响应:
· 自动终止***
· 终止用户连接
· 禁止用户账号
· 重新配置Check Point™ Firewall-1®防火墙阻塞***的源地址
· 向管理控制台发出警告指出事件的发生
· 向网络管理平台(off-the-shelf)发出SNMP trap
· 记录事件的日志,包括日期、时间、源地址、目的地址、描述以及事件相关的原始数据。
· 实时观看事件中的原始记录(或者记录下来过后再回放)
· 向安全管理人员发出提示性的电子邮件
· 执行一个用户自定义程序
2. 可以为RealSecure OS Sensor自定义一些特征。OS Sensor允许用户指定一个关键字或正 则表达式,在发现操作系统日志文件项对应特征时,会做出相应的响应。
3. 用户可以为RealSecure Network Sensor自定义连接事件。一个连接事件可以定义为基于 IP的连接,可以对下面信息进行匹配:
· 协议
· 源IP地址
· 目的IP地址
· 源端口
· 目的端口
4. 一些RealSecure预定以***特征可以根据网络的具体情况进行参数调整。比如,有些网络中PointCast下载会引发SYN Flood特征,此时可以通过调整SYN Flood的阀值来 减少误报。
5. 用户可以定义RealSecure Network Sensor过滤规则来忽略某些类型的数据流。可以 通过指定协议、源IP地址、目的IP地址、源端口、目的端口定义忽略的数据流。对于规则匹配的数据流不进行预定义或用户定义特征分析。通过这种方式,可以将 RealSecure配置得更适合用户的网络。
6. 最后,用户可以建立自己的响应选项。任何可以从命令行发起的动作(如:可执行程序、批处理文件、Shell Script等),都可以作为RealSecure Network Sensor或者OS Sensor对***的响应。
支持集中的***特征和***取证数据库管理:
Realsecure真正实现集中管理,也体现在对***特征和***事件的数据库管理。
· Realsecure Workgroup Manager运行在MS NT或Win2000平台上,在默认情况下, 其管理数据库格式为MS Access文件格式。Realsecure的数据库接口支持标准的 ODBC,因此可以灵活选择其后台管理数据库类型。
· 在Realsecure的管理数据库中,有一组数据库表格式,分别用于记录所有最新版本能够识别的***特征,及从各个远程的Sensor汇总来的***事件的记录。
支持***特征信息的集中式发布和***取证信息的分布式上载:
Realsecure中包含升级组件X-press Updates,利用这一组件,可以从Workgroup Manager集中 分发***特征信息。当分布在网络中的各个Sensor监控到***事件时,依据Sensor的策略定制,Sensor将执行一系列的动作,包括实时在Workgroup Manager的屏幕上显示,并执行切 断连接或重新配置防火墙等动作,为了方便管理员查询并记录犯罪证据,Sensor必须将监控的事件记录到日志中。在Workgroup Manager可以采取手工干预或自动两种方式对Sensor 的日志进行上载和汇总。上传后的日志将统一以数据库形式保存。
提供对监视引擎和检测特征的定期更新服务,更新方式可有多种,包括厂家的直接服务和联网更新操作:
ISS拥有实力雄后的X-Force小组,该小组专门研究和发现新的***手段,是业界独一无二 的安全小组。作为***检测产品,其Sensor和***特征库的升级能力直接反映了产品的功 能,而ISS的系列安全产品包括Realsecure的升级速度都是其它厂商无法比拟的。ISS承诺对 用户的升级服务,详见ISS服务承诺。从产品本身提供的功能看,Realsecure中提供了 X-press Updates,利用这一组件,可以直接从ISS站点下载升级包,并可以从Workgroup Manager集中分发***特征信息至所管理的每个Sensor。
网络访问控制:
Realsecure的主要功能用于对恶意***事件和误用行为的监控报警。可以根据实际需要,对Sensor进行策略配置,用于特殊的网络访问控制。如可以用Network Sensor对办公环境员工 上网浏览Web页面进行限制;可以对某个重要的服务器进行特殊保护,限制某个地址或某个范围的地址段对该服务器指定端口的访问;通过对E-mail主题或内容的特殊 字符串的监 控,限制某些E-mail的非法传送等等。
可疑网络活动的检测,对带有ActiveX、 Java、JavaScript、VBScript的WEB页面、电子邮 件的附件、带宏的Office文档中的一些可以执行的程序(包括通过SSL协议或者加密传输的可疑目标)进行检测,隔离未知应用,建立安全资源区域:
Realsecure Network Sensor除了对恶意的***行为进行识别以外,还能够对可疑的不安全事 件报警和阻止,包括对带有ActiveX、Java、JavaScript、VBScript的WEB页面,可疑的Arp事件,IP地址复用事件等报警。
支持与防火墙的配合监控:
Realsecure与防火墙功能互补:适当配置的防火墙可以将非预期的信息屏蔽在外。然而防火墙为提供一些级别的获取权的通道可能被伪装的***者利用。防火墙不能制止这种类型的***,RealSecure却能够制止。RealSecure对防火墙后面的网络的信息流监控,能够检测到并终止获取权限的企图。
另外防火墙的错误配置也有可能发生。尽管防火墙的错误配置能够迅速更正,网络内有了RealSecure则能捕获许多溜进来的未预料的信息。即便不选择切断这些连接,RealSecure所发出的警告的数量仍能迅速表明防火墙没有起到作用。
· Realsecure与CheckPoint协同工作:CheckPoint公司通过它提供的OPSEC(Open Platform For Secure Enterprise Connectivity,安全企业连通性开放平台)向第三方提供API,使得 其它厂商可以使用这些API开发能集成到FW-1防火墙中的产品。由于ISS是CheckPoint 的OEM厂商,所以Realsecure能够对FW-1进行安全操作。
· Realsecure重新配置 FW-1有两种响应方式:冻结指定的时间长度 和 完全关闭。每种 响应方式根据需要又细分四种模式:针对源地址操作,针对目的地址操作,针对源和目的同时操作,针对服务操作。
RealSecure Network Sensor可以完全透明:
RealSecure network Sensor可以配置为完全透明的方式。一个RealSecure Network Sensor可以 采用Out-of-band方式和管理控制台进行通讯。这种情况需要配置两块网络适配卡:一块 网络适配卡用来监控本地网段,另一块用来和控制台通信。由于这种方式使得RealSecure Network Sensor采用了专门的通信通道和控制台通信,会大大加强RealSecure的安全性。
另外,用来监控本地网段的网络适配卡并不需要一个协议栈。因此,RealSecure Network Sensor并不需要一个外部可见的IP地址或者外部可见的IP服务。这样RealSecure Network Sensor可以做到从被监控网络上不可见。
当然,RealSecure Network Sensor需要TCP/IP协议与管理控制台通讯。因此,与管理控制台 通讯的接口卡需要IP地址。
Realsecure OS Sensor可疑连接监控:
一个***者首先会刺探主机提供了什么服务。“可疑连接监控”使得一个没有服务的端口看起来是活动的,这样***者可能会误以为系统开启了某种服务,在刺探中浪费时间而一无所获。这个功能对防范一些自动***工具十分有效。
对不存在服务的连接企图或者是一个错误,或者是故意的***。OS Sensor将这些 连接作为***检测判断的数据。持续的对不存在服务的连接企图会产生高风险报警。
安全管理人员可以对这种连接企图设置响应提示。可以设置为法律警告指出***是非法 的,或者可以设置成欺骗性连接提示(比如,登录提示)。
可疑连接监控的功能能延长***者发现可***端口的时间,为防护者抓住他争取更多的时间。
支持HP OpenView的RealSecure管理器
支持HP OpenView的RealSecure管理器为使用HP OpenView网络结点管理器的网络管理员提 供实时***检测。支持HP OpenView的RealSecure管理器提供完全的RealSecure 可适应性网 络安全功能,包括:
主导市场的***检测和响应--支持HP OpenView的RealSecure管理器在OpenView网络管理 框 架中提供对企业网中可疑行为的实时监控,如企业网络外部和内部的***或内部滥用。
实时警报管理--网络安全行为的连续显示,完整清晰的知识控制,RealSecure对事件响 应的在线帮助,以及对事件的详细信息,包括源和目的、端口、风险级别和其它的信息。
统一的数据管理--***事件和RealSecure引擎状态被记录在OpenView 的事件浏览器中。 OpenView地图反映了实时的***。颜色编码的符号反映出被***结点的***名称、级别、每一个***进行的次数。
集中配置--RealSecure引擎的配置和策略能够通过OpenView的主控台配置和修改。
安全的通信--OpenView和RealSecure之间控制信息的传输是完全安全的。控制功能有认 证、校验和加密,加密算法使用RSA、Certicom Elliptical Curve、或用户自己选择的算法。
管理功能
· 引擎控制:启动、停止、暂停、重新启动、ping连接
· 实时警报管理:接收、延续、统一、清除
· 对事件响应的详在线帮助
· 编辑RealSecure引擎的配置
· 发送和接收配置到远程RealSecure引擎
· 上传和/或清除RealSecure引擎数据库
· 启动ISS RealSecure管理器
3.3.3 配置方法
Realsecure是一个真正的集中管理的***检测系统。它由一个或多个(可选)管理控制台,即Workgroup Manager,统一、集中管理分布在网络中的Sensor。建议在吉通上海IDC安装一套Workgroup Manager,用于对不同的传感器。
RealSecure运行在交换式网络中,有以下三个解决方案:
· RealSecure Network Sensor连接在这个点上。这样就可以防护来自Internet的***,而不处理网络的其它部分。
· 另外,还可以使用交换机的管理端口甚至一个VLAN。一些交换机(比如,Cisco Catalyst)有一个管理端口(有时称为span端口)可以镜像一个或多个指定端口的数据流。可以将RealSecure Network Sensor配置在这样的管理端口上,通过镜像 的方式获得多个端口的数据流。如果交换机的一个端口里连接Internet路由器,则可以镜像连接路由器的这个端口。如果交换机连接多台重要内联网服务器,则可以镜像连接服务器的这几个端口。现在,已经有很多交换机支持这种功能。
· 使用RealSecure OS Sensor--由于OS Sensor是基于主机的工作方式,因此完全不会受到交换方式的影响。在连接交换环境的服务器上安装OS Sensor,对每个服务器进行保护。OS Sensor特别适合于安全需求高的服务器,与Network Sensor配合使用,需要配置的服务器包括网管工作站、数据采集工作站、计费服务器等。
· 使用RealSecure Server Sensor--由于Server Sensor是基于主机的工作方式,因此完全不会受到交换方式的影响。又由于Server Sensor具备了部分Network Sensor的功能,因此特别适合于网络流量大的相对独立的服务器上,例如网站托管主机上。
3.5 防病毒
3.5.1 推荐安全产品--Trend Micro防病毒产品
支持对网络、服务器和工作站的实时病毒监控:
对于Internet类型的网络,包括Extranet和Intranet,趋势科技提供基于网关处的防毒产品:InterScan系列。产品都含有纯web方式的管理界面。
1. 因特网病毒防火墙 -- InterScan VirusWall:在网关处实时监控通过SMTP、HTTP和FTP 协议传输的信息内容,检查其是否存在病毒或恶意程序,并根据管理员的设定采取相关的处理方式,以保证通过网关出入企业的信息的安全性。支持对16种以上的压缩类型、压缩深度最多达20级的文件进行病毒扫描工作。支持的平台:Windows NT(2000)、Solaris、HP-UX、Linux。
2. 电子邮件安全管理 -- InterScan eManager:基于InterScan VirusWall NT版和Solaris版的 外加﹝Plug-in﹞的电子邮件管理工具,属于InterScan VirusWall的因特网安全﹝Internet Security﹞系列产品之一。eManager电子邮件安全管理软件可以过滤垃圾邮件及大量推销性质的电子邮件,并可扫描由内部使用者寄出的邮件内容,若有敏感性内容可就进行拦阻;此外也能够自定邮件传递时间,延迟递送较大的邮件、国际信件或其它自定规则范围内的邮件,避免在网络带宽使用高峰时段造成邮件阻塞。支持的平台:Windows NT(2000)。
3. 网站安全管理软件 -- InterScan WebManager:集web访问的管理限定和防病毒与一身。 除了对传入的web页面进行防毒之外,还可以对访问的内容及带宽进行管理。可弹性设定对14种不同类型的网站内容进行过滤。WebManager应用Cyber Patrol所开发出全球数 十万个网站的数据库,阻止内部使用者通过因特网进入×××或其它的不良网站。可依 据个人及部门的特殊需求,过滤不良网站和设定下载文件的大小限制。管理员可依每日、每周或每月,设定个人或部门对于Web下载文件的最大流量,从而控制网络的使用带宽。支持的平台:Windows NT(2000)。
4. 大规模邮件防毒--
· 对于企业内部的电子邮件和群件系统,如Lotus Notes和Microsoft Exchange,由 于企业内部用户间的通讯可能并不通过Internet网关,因此光靠在网关处防毒并不能控制病毒在企业内部的传播。趋势科技针对此类系统提供了相应的防毒产品:ScanMail系列。
· ScanMail系列在对邮件系统内的邮件和公用文件夹内的文件进行病防护的同时,还可以对含有敏感性内容的邮件进行隔离等处理,以保护企业内部信息流的安全。产品都含有纯web方式的管理界面。
· ScanMail支持对19种压缩类型、压缩深度最多达20级的文件进行病毒扫描工作。
· ScanMail fro Microsoft Exchange:真正支持微软建议的AVAPI接口,以获得更高的工作效率,减少对系统资源的占用。完全支持Exchange的群集技术。支持的平台:Windows NT(2000)。
· ScanMail for HP OpenMail
· 其它许多大规模的邮件服务器,例如:Software.com 的 Intermail 及 AsiaInfo 的 AIMC 和 Microsoft 的 MCIS及 Netscape 的 Message Server及 Sendmail 等
5. 防毒工作中央监控系统:TVCS——Trend Virus Control System。为了让企业能对所有 的防毒产品和工作进行集中管理,趋势科技提供了产品TVCS。上述的趋势科技的防毒软件产品都可集成TVCS的客户端组件—TVCS Agent。当企业安装了TVCS系统后,即 可实现对上述产品的集中控制和管理。同时,TVCS也可以显示出其他一些防毒软件产品的信息,以便让管理员统一监控。
TVCS采用纯web的管理界面,管理员不论在何时何地,只需有Web浏览器即可实现整个企业的防毒管理工作。
完善的日志记录和统计信息功能。
支持弹出窗口、e-mail、寻呼机等报警方式。
能够在中心控制台上向多个目标系统分发新版杀毒软件:
防毒工作中央监控系统TVCS提供统一而且自动的产品组件更新功能,通过它实现趋势科技所有防毒产品的扫描引擎及病毒码更新功能。
能够在中心控制台上对多个目标系统监视病毒防治情况:
防毒工作中央监控系统TVCS使管理员通过浏览器即可实时监视趋势科技所有防毒产品的工作情况,以及病毒防治情况。由于采用了客户/服务器的时间驱动模式进行工作,因此有效的避免了对网络带宽的过多占用。
支持多种平台的病毒防范:
趋势科技是一家专注于企业安全的产品供应商,具有十分完善的产品系列,考虑了企业内从工作站到因特网网关,几乎所有需要防病毒的平台和网络连接点。
能够识别广泛的已知和未知病毒,包括宏病毒:
作为作早进入计算机防毒领域的厂商之一,趋势科技在防毒技术上始终保持着领先的优 势。早在1995年趋势科技即开发出了基于人工智能(Rule-based)的扫描引擎,采用陷阱 方式探测恶意程序可能出现的破环动作,以及探测出变形病毒的真面目,从而实现对未知病毒的拦截。经过不断地完善,目前的引擎中已设下了多达12道以上的陷阱,根据传统方式制作的各类新病毒根本逃不过被检测出的命运。1996年趋势科技又率先推出了自己的专利技术——MacroTrap™,解决了对已知或未知的宏病毒的探测问题。
支持对Internet/Intranet服务器的病毒防治,能够阻止恶意的Java 或Active X小程序的破 坏;
趋势科技的因特网网关病毒防护产品--InterScan系列,能够有效阻止恶意的Java、ActiveX 程序以及一些***程序通过因特网对企业进行的***。InterScan在网关处实时监控通过 SMTP、HTTP和FTP协议传输的信息内容,检查其是否存在病毒或恶意程序,并根据管理员的设定采取相关的处理方式,以保证通过网关出入企业的信息的安全性。
支持对电子邮件附件的病毒防治,包括WORD/EXCEL中的宏病毒:
趋势科技的产品系列中,InterScan、OfficeScan、ScanMail等都支持对电子邮件附件的病毒防护。趋势科技的扫描引擎中含有自己的专利技术—MacroTrap™,由于采用了人工智能的 陷阱技术,还可以检测出部分未知的宏病毒。
支持对压缩文件的病毒检测:
趋势科技的产品对压缩文件的扫毒支持是同类产品中最为完善的。其中的InterScan和ScanMail更是支持16种以上的压缩格式和20级的压缩深度。
支持广泛的病毒处理选项,如对染毒文件进行实时杀毒、移出、删除、重新命名等:
针对企业和个人用户的需要,趋势科技提供了灵活的处理选项。如对于网络防毒,一般提供:带警告通过(pass)、隔离转移(move or quarantine)、删除(delete)、清除病毒 (auto clean)等选项。其中对于auto clean方式,由于有些文件本身即是病毒或***程序, 或者带有不能随意删除的病毒类型,因此当选择auto clean方式时,将会针对不能清除 病毒的文件提供给用户额外的选项,其中又包括:pass, move, delete方式。
支持病毒隔离,当客户机试图上载一个染毒文件时,服务器可自动关闭对该工作站的连接:
趋势科技的产品都支持文件隔离方式,让管理员可以对染毒文件进行分析,或是发往趋势科技的支持中心以得到针对新型病毒的最新解药。考虑到应尽量简化企业的防毒管理工作,以降低TCO,趋势科技不主张采取关闭客户连接的做法。如果采用这种方式,企业将需要有专职的防病毒管理员来处理每次的连接中断,用户也会觉得十分麻烦。
提供对病毒特征信息和检测引擎的定期在线更新服务:
趋势科技的全线防毒产品都提供此类功能。其中大多数产品更是能自动通过因特网更新其病毒码、扫描引擎和产品升级包。通过使用TVCS,所有的防毒产品更新工作都可从中央进行集中管理,并只需建立TVCS和趋势科技间的Internet连接,而不需要各个产品各自去连接因特网。
支持日志记录功能:
趋势科技的全线产品都提供日志记录功能。通过使用TVCS,所有的防毒产品的日志可以从单点进行管理和浏览,并可通过TVCS得到企业所有防毒工作的各类统计信息和日志。
支持多种方式的告警功能(声音、图像、e-mail等):
趋势科技的全线产品都提供告警功能。通过使用TVCS,对企业内所有的中毒情况都会有综合的报警提示,包括弹出窗口、e-mail和寻呼机报警。其中的ServerProtect更是提供 了包括:讯息信箱、寻呼机、打印机、Internet电子邮件、SNMP通知或写入到Windows NT事件日志的多种报警方式。
Interscan与FireWall的集成:
Trend Micro是OPSEC的成员之一,Interscan 透过CVP(Content Vectoring Protocal)的方式 与Check Point Firewall的整合,由Check Point在FireWall上的policy上可以设定http, ftp 及smtp是否经过扫毒,其例子如下:
1. LocalNet到任何一个网站或download或upload档案,全经过Interscan扫毒
2. MailServer到任何的SMTP Server的Outgoing的邮件,全经过Interscan扫毒
3. SMTP Server到任何的MailServer的Outgoing的邮件,全经过Interscan扫毒
Interscan与HP OpenView的集成:
Trend VCS可藉由SNMP的Protocol和HP的OpenView加以结合,而由HP的OpenView 来作防毒的控制台。
3.5.2 解决方案
1) 因特网网关处防毒软件:Trend InterScan VirusWall for Unix/Linux or NT
i) 针对企业自身网络
(a) 其中包括的模块:E-Mail viruswall、Web viruswall、FTP viruswall、 TVCS(Trend Virus Control System)agent。
(b) 作用:对从Internet上通过SMTP、HTTP、FTP标准协议传入的各类信息进行防毒处理。其中E-Mail viruswall还可对传出的信息进行防毒;FTP VirusWall还可用来保护内部的FTP服务器不受外部upload的信息的病毒侵扰(为实现该功能应将其安装在FTP服务器上或单独安装)。
(c) 安装建议:原则上在出现防火墙的网关处都应该部署VirusWall。InterScan VirusWall产品包中内含两个版本--标准版和CVP版。其中CVP 版是 专门针对与采用CVP协议的防火墙进行集成设置而设计的,InterScan完全遵从OPSEC规范(TREND公司是OPSEC联盟的成员之一)。如果企业部署的防火墙采用了CVP协议,建议使用InterScan的CVP版本。这样部署InterScan会更简便,并且能够更好地与防火墙协同工作。
(d) 购买使用许可证方式:按照子网内的客户工作站台数计算用户数量,按用户数计算总价格。
ii) 针对Internet接入的虚拟主机服务
(a) 如果虚拟主机放置于单独的子网内,电信企业可以考虑是否需要为其提供防毒服务。如果需要提供该服务,则应采用同上述类似的方式为该子网安装独立的InterScan VirusWall。
iii) 针对Internet接入的主机托管服务
(a) 由于各个客户的服务器单独放置,电信企业可以考虑为需要防毒的客户提供服务。原则上应把需要防毒的客户和不需要防毒的客户分在两个不同的子网内,对需要防毒的客户子网安装InterScan VirusWall。电信企业可以将其做为增值服务向客户收费或免费提供。采用此种方式时,产品购买方式可与软件销售商进行商榷而定。
iv) 如果客户考虑Dedicated Server的模式,Trend公司可以为客户与软件产品一起提 供硬件平台。软硬件由Trend公司或集成商进行整体维护。
2) 企业内部网络防毒软件:Trend ServerProtect,Trend OfficeScan
i) ServerProtect for NT and NetWare
a) ServerProtect安装时分为三部分:普通服务器模块、信息分发服务器模块、管理控制台模块。
b) ServerProtect应安装在所有的NT和NetWare服务器上,其中的一台将做为信息分发服务器(Information Server),由它对所有服务器上的ServerProtect进行管理和控制。
c) 管理控制台模块可安装在win95/98/NT上,管理员可以在安装有控制台模块的机器上对整个ServerProtect系统进行中央管理。
ii) OfficeScan
d) OfficeScan是单机产品的企业版软件,整个软件只需安装在一台NT服务器上,客户机上的防毒模块可以自动地、透明地分发到各个客户机上,包括win3.x、win95/98、winNT/2000等平台的机器。所有客户机的防毒工作由服务器管理,管理员籍此可以实现对所有客户机防毒工作的集中管理和配置。
3) 防毒软件中央控制系统:Trend Virus Control System—— TVCS
i) 趋势科技的所有防毒产品都可以选装TVCS的客户端代理模块,一旦企业安装了TVCS系统,就可以实现不论何时何地都可以从某个WEB浏览器上对整个防毒系统进行管理和控制,为管理工作提供了极大的便利性。
4 吉通上海IDC信息安全策略解决方案
4.1 概述
惠普公司提供的安全服务符合安全体系结构的安全周期理论,安全周期是包含如下4个环节的循环过程:
评 估
策略
结构
实施
通过风险评估来客观地确定当前状况的安全状态,了解没有达到预期安全状态的地方,根据评估的结果以及相应的标准制定安全策略,明确安全的指导方针和各种行为的安全准则,在此基础上确定安全体系结构,并进行实施。由于网络状态以及其他安全因素的不断变化,安全评估需要定期进行,这就又启动了一个安全过程,上图所示的循环不断地重复,来保证安全在动态过程中的持续性和稳定性;就上述安全系统周期惠普公司提供了相应的安全服务。
安全服务包括:
l 风险分析服务:用于使企业能够在信息系统安全方面作出正确的投资决定和安全措施,此项服务分析企业当前的信息系统面临的风险,以及由此而带来的经济损失,从而达到作出正确安全措施和合理投资决策的目的。
l 系统与应用的安全加固:协助企业以及企业所属的客户对网络中的重要操作系统、应用程序进行安全配置加固。
l 安全策略配置服务:通过业务需求和相应的法律以及法规,协助企业编写安全策略,定义安全组织结构,以及相应的安全操作流程和人员分工。协助企业将其安全策略下发以保证安全策略在整体组织内具体实现。
l 安全意识规范化咨询服务:协助企业在企业内部实施安全教育,帮助企业员工建立良好的安全意识,推动企业安全策略的贯彻执行。
4.2 风险分析服务
鉴于吉通IDC当前的系统情况,建议首先采取惠普公司提供的风险分析服务,协助客户定位系统中的漏洞及其出现的可能性,从而估计对业务产生的影响。惠普公司的风险分析服务,使用标准的表格和向关键人员提供问卷的方式搜集基础数据,进行评估工作,以用于漏洞和业务影响分级,惠普公司的技术顾问将完成下列工作:
l 分析企业信息系统的资产状况,确定其分类,价值以及问题发生后对业务造成的影响。
l 分析从不同的角度企业信息系统面临的威胁。
l 分析在企业信息系统,安全策略和操作流程中的漏洞。
l 风险分析,确定关键信息系统资产的保护级别。
l 选择安全控制措施以降低风险到可以接受的水平。
4.3系统与应用的安全加固服务
系统与应用的安全是网络运行过程中最基本的安全要素,但往往客户在使用安装系统与应用软件时忽略了这一部分的安全或者没有充分考虑到它们的不安全因素,因此惠普的技术顾问通过专门的评估系统或风险评估工具对重要的操作系统及应用程序进行安全加固配置,把操作系统与应用程序的风险降到安全策略中定义的等级。惠普公司的技术顾问为客户完成以下工作:
l 获得风险评估的结果;
l 根据不同的操作系统及应用程序提出安全漏洞分析报告;
l 与客户相应的管理人员协商,进行系统与应用的漏洞配置及安全配置工作;
l 提供配置后的系统与应用的安全状况分析及相关报告。
4.4安全策略配置
4.4.1 安全策略创建
大多数信息系统在设计时,没有考虑到安全的问题。通过技术手段得到的安全性是有限的,必须得到相应的管理手段和操作程序的支持,才能得到真正的安全。如果对安全需求说明和设计过程进行整体考虑时,信息安全控制是相当经济和有效的。惠普公司的安全技术顾问采用国际通用的标准方法,对应用于用户网络的信息资产进行安全保护。该方法考虑到了客户的商业需求、安全规则、风险评估、法律以及企业特有的安全需求,保证与客户商业目标和法律要求相一致的安全策略。惠普公司的技术顾问为客户完成以下工作:
· 协助企业在高级管理层中确定安全策略项目负责人;
· 协助企业明确现有的信息安全策略及执行状态;
· 根据国际通用的标准和方法制定安全策略的大纲,并通过召开策略设计专题研讨会,确定每个安全项目的职能与责任;
· 创建策略文件并确定最终策略文件;
· 安排和准备组织结构、市场及执行计划专题讨论会;
· 向最高管理层介绍结果及完成的目标。
4.4.2安全策略实施
信息安全策略实施的目的是保证企业所有的行为与制定的安全策略一致。不同的任务会在策略实施过程中定义,该过程存在于所有的企业安全策略中。除策略之外,信息安全的所有要素都必须放置在企业的适当的位置。惠普公司的技术顾问为客户完成以下工作:
l 与企业合作组建安全策略实施小组,定义安全小组及其成员的责任、义务;
l 提供策略实施所需的资源计划;
l 召开安全策略培训专题研讨会;
l 为企业提供基于安全策略的安全调查问卷;
l 为调查结果做出评价,分析企业当前策略执行状态与应达到状态的差距,并形成文件,定义需要实施的内容;
l 信息小组监督安全策略实施内容在各个安全要素的执行情况;
l 与企业合作形成实施文档。
4.4.3 安全策略内容
依照国际通用的安全标准作为制定组织专用的指导原则的起点。通用的安全标准中的指导原则和控制措施并非全部适用。因此,还可能需要包括的其它控制措施,各控制措施之间相互参照很有用,有利于审计人员和业务伙伴检查是否符合安全指导原则。
安全策略的主要内容包括以下几个方面:
l 关于信息安全、风险评估、风险管理、安全策略的定义;
l 建立企业的安全组织,包括安全论坛、安全责任划分、安全专家建议体系、安全组织间的合作以及第三方和外包服务的安全性;
l 进行信息资产分类,明确资产责任;
l 个人行为的安全规范,定义个人的安全行为、人员聘用原则、安全事故和责任处理;
l 物理和环境的安全,包括安全区域的划分、设备的安全性定义、常规的安全性规章;
l 通信与操作管理的安全,包括系统规划与验收、操作的安全流程、事故管理、恶意软件的防范、网络安全控制管理、邮件安全、办公系统安全、软件使用安全;
l 访问控制,包括用户安全等级定义和权限检查、口令使用的安全性、外部用户的身份验证、节点/端口的使用、操作系统的访问控制、应用程序的访问控制、移动用户的访问控制;
l 系统的开发和维护的安全管理;
l 业务连续性的安全管理;
l 安全审计。
4.5安全意识规范化咨询服务
员工对安全策略的认识是成功执行安全策略的关键,如果员工没有确立安全理念或没有得到相应维护安全策略的教育,安全策略的执行就会背离法律和他们的义务。成功执行并维护企业信息安全方案要高度依赖于一个良好的结构的、确定的和易于管理的安全理念计划。惠普公司的技术顾问帮助客户设计、执行、监控并管理信息安全理念计划,使之适合于可以自维护并能够高效运转的客户环境。惠普公司的技术顾问为客户完成以下工作:
l 从企业高级管理层中选出负责人,启动培训活动。
l 明确企业的培训需求,并明确不同级别的培训需求。
4.6 系统***测试服务
惠普公司企业放置在网通IDC的设备提供模拟***的系统***测试服务,其目的是帮助企业发现可能遭受的***是否能穿透提供服务的各种设备。惠普公司的该项服务面向全球,提供模拟***的中心设立在香港。通过系统***测试服务,为客户完成以下工作:
l 得到安全扫描和风险分析的结果;
l 根据客户的网络服务需求制定模拟***的手段与工具;
l 与客户共同配合完成模拟***;
生成***结果报告并根据情况提供相应建议。
通过以上的服务,惠普公司帮助吉通上海IDC制订系列的安全管理制度和普及安全意识教育,包括:
· 用户守则制订,如应包括:未知请求一律禁止通过、只有网络管理员才可进行物理访问、分部不应使用单一标准的Modem、只有网络人员才可进行软件安装工作、访问Internet必须通过代理、所有安全软件必须能保留完整的日志、重要系统应使用难猜测的口令并经常改换口令。
· 机房管理制度的制订
· 分层次的安全培训,对行政、技术的各级人员有针对地进行培训。
· 建立安全信息分发系统,对安全管理的阶段性结果,以可读性好的报告形式分发给各个结点的安全部门。应对具体的分发方式、分发渠道、保密措施做出规定。网络安全方案必须架构在科学的安全体系和安全框架之上。安全框架是安全方案设计和分析的基础。为了系统地描述和分析安全问题,本节将从系统层次结构的角度展 开,分析吉通IDC各个层次可能存在的安全漏洞和安全风险,并提出解决方案。
5 吉通上海IDC安全增值服务建议
由于IDC的用户有很特殊的服务需求,特别是在安全方面,IDC的用户完全可能需要把自己的安全建设委托吉通上海IDC完成,根据不同用户的需要,我们建议吉通可以自己承担和与惠普合作提供如下安全增值服务:
· 安全扫描服务:网络扫描。系统扫描、数据库扫描;
· 防止实时***服务;
· 防火墙服务;
· ×××服务;
· 安全登录服务;
· 安全风险评估服务;
· 安全策略配置服务;
· 系统及应用安全配置服务;
· 安全***测试服务。
摘自蓝色学苑收集整理
