吉通上海公司网络与系统安全方案建议书模板.doc

1、 网络和系统安全实施方案1 吉通上海 IDC网络安全功效需求1.1 吉通上海企业对于网络安全和系统可靠性总体设想（1）网络要求有充足安全方法，以保障网络服务可用性和网络信息完整性。要把网络安全层，信息服务器安全层，数据库安全层，信息传输安全层作为一个系统工程来考虑。网络系统可靠性：为降低单点失效，要分析交换机和路由器应采取负荷或流量分担方法，对服务器、计费服务器和DB服务器，WWW服务器，分别采取策略。说明对服务器硬件、操作系统及应用软件安全运行保障、故障自动检测/报警/排除方法。对业务系统可靠性，要求满足实现对硬件冗余设计和对软件可靠性分析。网络安全应包含：数据安全； 预防病毒； 网络安全层

2、； 操作系统安全； 安全系统等；（2）要求卖方提出完善系统安全政策及其实施方案，其中最少覆盖以下多个方面：l 对路由器、服务器等配置要求充足考虑安全原因l 制订妥善安全管理政策，比如口令管理、用户帐号管理等。l 在系统中安装、设置安全工具。要求卖方具体列出所提供安全工具清单及说明。l 制订对黑客入侵防范策略。l 对不一样业务设置不一样安全等级。（3）卖方可提出自己提议网络安全方案。1.2 整体需求l 安全处理方案应含有防火墙,入侵检测,安全扫描三项基础功效。l 针对IDC网络管理部分和IDC服务部分应提出不一样安全等级处理方案。l 全部IDC安全产品要求厂家稳定服务保障和技术支持队伍。服务包含

3、产品定时升级，培训，入侵检测,安全扫描系统汇报分析和对安全事故快速响应。l 安全产品应能和集成商方案网管产品，路由，交换等网络设备功效兼容并有效整合。l 全部安全产品应含有公安部销售许可和国家信息化办公室安全认证。l 全部安全产品要求界面友好，易于安装，配置和管理，并有详尽技术文档。l 全部安全产品要求本身高度安全性和稳定性。l 安全产品要求功效模块配置灵活，并含有良好可扩展性。1.3 防火墙部分功效需求l 网络特征：防火墙所能保护网络类型应包含以太网、快速以太网、(千兆以太 网、ATM、令牌环及FDDI可选)。支持最大LAN接口数：软、硬件防火墙应能提供最少4个端口。l 服务器平台：软件防火

4、墙所运行操作系统平台应包含Solaris2.5/2.6、Linux、Win NT4.0(HP-UX、IBM-AIX、Win 可选)。l 加密特征：应提供加密功效，最好为基于硬件加密。l 认证类型：应含有一个或多个认证方案，如RADIUS、Kerberos、TACACS/TACACS、 口令方法、数字证书等。l 访问控制：包过滤防火墙应支持基于协议、端口、日期、源/目标IP和MAC地址过滤；过滤规则应易于了解，易于编辑修改；同时应含有一致性检测机制，预防冲突；在传输层、应用层(HTTP、FTP、TELNET、SNMP、STMP、POP)提供代理支持；支持网络地址转换(NAT)。l 防御功效：支持

5、病毒扫描，提供内容过滤，能防御Ping of Death,TCP SYN Floods及其它类型DoS攻击。l 安全特征：支持转发和跟踪ICMP协议（ICMP 代理）；提供入侵实时警告；提供实时入侵防范；识别/统计/预防企图进行IP地址欺骗。l 管理功效：支持当地管理、远程管理和集中管理；支持SNMP监视和配置；负载均衡特征；支持容错技术，如双机热备份、故障恢复，双电源备份等。l 统计和报表功效：防火墙应该提供日志信息管理和存放方法；防火墙应含有日志自动分析和扫描功效；防火墙应提供告警机制，在检测到入侵网络和设备运转异常情况时，经过告警来通知管理员采取必需方法，包含Email、呼机、手机等；提

6、供简明报表（根据用户ID或IP 地址提供报表分类打印）； 提供实时统计。2 惠普企业在吉通上海IDC中网络安全管理设计思想2.1 网络信息安全设计宗旨惠普企业在为用户IDC项目标信息安全提供建设和服务宗旨能够表述为：l 依据最新、最优异国际信息安全标准l 采取国际上最优异安全技术和安全产品l 参考国际标准ISO9000系列质量确保体系来规范惠普企业提供信息安全产品和服务l 严格遵守中国相关法律和法规2.2 网络信息安全目标网络安全最终目标是保护网络上信息资源安全，信息安全含有以下特征：l 保密性：确保只有经过授权人才能访问信息；l 完整性：保护信息和信息处理方法正确而完整；l 可用性：确保经过

7、授权用户在需要时能够访问信息并使用相关信息资产。信息安全是经过实施一整套合适控制方法实现。控制方法包含策略、实践、步骤、组织结构和软件功效。必需建立起一整套控制方法，确保满足组织特定安全目标。2.3 网络信息安全要素惠普企业信息安全理念突出地表现在三个方面-安全策略、管理和技术。l 安全策略-包含多种策略、法律法规、规章制度、技术标准、管理标准等，是信 息安全最关键问题，是整个信息安全建设依据；l 安全管理-关键是人员、组织和步骤管理，是实现信息安全落实手段；l 安全技术-包含工具、产品和服务等，是实现信息安全有力确保。依据上述三个方面，惠普企业能够为用户提供信息安全完全处理方案不仅仅包含多种

8、安全产品和技术，更关键就是要建立一个一致信息安全体系，也就是建立安全策略体系、安全管理体系和安全技术体系。2.4 网络信息安全标准和规范在安全方案设计过程和方案实施中，惠普企业将遵照和参考最新、最权威、最含有代表性信息安全标准。这些安全标准包含：l ISO/IEC 17799 Information technologyCode of practice for information security managementl ISO/IEC 13335 Information technology Guidelines for The Management of IT Security l I

9、SO/IEC 15408 Information technology Security techniques Evaluation criteria for IT securityl 中国国家标准GB、国家军用标准GJB、公共安全行业标准GA、行业标准SJ等标准作为本项目标参考标准。2.5 网络信息安全周期任何网络安全过程全部是一个不停反复改善循环过程，它关键包含风险管理、安全策略、方案设计、安全要素实施。这也是惠普企业提倡网络信息安全周期。l 风险评定管理：对企业网络中资产、威胁、漏洞等内容进行评定，获取安全风险客观数据；l 安全策略：指导企业进行安全行为规范，明确信息安全尺度；l 方案设

10、计：参考风险评定结果，依据安全策略及网络实际业务情况，进行安全方案设计；l 安全要素实施：包含方案设计中安全产品及安全服务各项要素有效实施。l 安全管理和维护：根据安全策略和安全方案进行日常安全管理和维护，包含变更管理、事件管理、风险管理和配置管理。l 安全意识培养：帮助企业培训职员树立必需安全观念。3 吉通上海IDC信息系统安全产品处理方案3.1 层次性安全需求分析和设计网络安全方案必需架构在科学安全体系和安全框架之上。安全框架是安全方案设计和分析基础。为了系统地描述和分析安全问题，本节将从系统层次结构角度展开，分析吉通IDC各个层次可能存在安全漏洞和安全风险，并提出处理方案。3.2 层次模

11、型描述针对吉通IDC情况，结合吉通上海IDC技术需求书要求，惠普企业把吉通上海IDC信息系统安全划分为六个层次，环境和硬件、网络层、操作系统、数据库层、应用层及操作层。3.2.1 环境和硬件为保护计算机设备、设施（含网络）和其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故（如电磁污染等）破坏，应采取合适保护方法、过程。具体内容请参考机房建设部分提议书。3.2.2 网络层安全3.2.2.1安全网络拓扑结构网络层是网络入侵者进攻信息系统渠道和通路。很多安全问题全部集中表现在网络安全方面。因为大型网络系统内运行TPC/IP协议并非专为安全通讯而设计，所以网络系统存在大量安全隐患和威胁。网络入侵者

12、通常采取预攻击探测、窃听等搜集信息，然后利用 IP欺骗、重放或重演、拒绝服务攻击（SYN FLOOD，PING FLOOD等）、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。确保网络安全首要问题就是要合理划分网段，利用网络中间设备安全机制控制各网络间访问。在对吉通IDC网络设计时，惠普企业已经考虑了网段划分安全性问题。其中网络具体拓扑结构好要依据吉通IDC所提供服务和用户具体要求做出最终设计。3.2.2.2 网络扫描技术处理网络层安全问题，首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络复杂性和不停改变情况，依靠网络管理员技术和经验寻求安全漏洞、做出风险评定，显然是不现实。处理方案是

13、，寻求一个能寻求网络安全漏洞、评定并提出修改提议网络安全扫描工具。处理方案：ISS网络扫描器Internet Scanner配置方法：在上海IDC中使用一台高配置笔记本电脑安装Internet Scanner，定时对本IDC进行全方面网络安全评定， 包含全部关键服务器、防火墙、路由设备等。扫描时间间隔请参考安全策略要求。ISS网络扫描器Internet Scanner是全球网络安全市场顶尖产品。它经过对网络安全弱 点全方面和自主地检测和分析，能够快速找到并修复安全漏洞。网络扫描仪对全部隶属在网络中设备进行扫描，检验它们弱点，将风险分为高，中，低三个等级而且生成大范围有意义报表。从以企业管理者角

14、度来分析汇报到为消除风险而给出详尽逐步指导方案均能够表现在报表中。该产品时间策略是定时操作，扫描对象是整个网络。它可在一台单机上对已知网络安全漏洞进行扫描。截止Internet Scanner6.01版本，Internet Scanner已能对900 种以上 来自通讯、服务、防火墙、WEB应用等漏洞进行扫描。它采取模拟攻击手段去检测网络上每一个IP隐藏漏洞，其扫描对网络不会做任何修改和造成任何危害。Internet Scanner每次扫描结果可生成具体汇报，汇报对扫描到漏洞按高、中、低三 个风险等级分类，每个漏洞危害及补救措施全部有具体说明。用户可依据汇报提出提议修改网络配置，填补漏洞。可检测

15、漏洞分类表：Brute Force Password-Guessing为常常改变帐号、口令和服务测试其安全性Daemons检测UNIX进程（Windows服务）Network检测SNMP和路由器及交换设备漏洞Denial of Service检测中止操作系统和程序漏洞，部分检测将暂停对应服务NFS/X Windows检测网络网络文件系统和X-Windows漏洞RPC检测特定远程过程调用SMTP/FTP检测SMTP和FTP漏洞Web Server Scan and CGI-Bin检测Web服务器文件和程序（如IIS,CGI脚本和HTTP）NT Users, Groups, and Passwor

16、ds检测NT用户，包含用户、口令策略、解锁策略Browser Policy检测IE和Netscape浏览器漏洞Security Zones检测用于访问互联网安全区域权限漏洞Port Scans检测标准网络端口和服务Firewalls检测防火墙设备，确定安全和协议漏洞Proxy/DNS检测代理服务或域名系统漏洞IP Spoofing检测是否计算机接收到可疑信息Critical NT Issues包含NT操作系统强壮性安全测试和和其相关活动NT Groups/Networking检测用户组组员资格和NT网络安全漏洞NetBIOS Misc检测操作系统版本和补丁包、确定日志存取，列举、显示NetBI

17、OS提供信息Shares/DCOM检测NetBIOS共享和DCOM对象。使用DCOM能够测试注册码、权限和缺省安全等级NT Registry包含检测主机注册信息安全性，保护SNMP子网密匙NT Services包含检测NT正在运行服务和和之相关安全漏洞2.2.2.3 防火墙技术防火墙目标是要在内部、外部两个网络之间建立一个安全控制点，经过许可、拒绝或重新定向经过防火墙数据流，实现对进、出内部网络服务和访问审计和控制。具体地说，设置防火墙目标是隔离内部网和外部网，保护内部网络不受攻击，实现以下基础功效： 严禁外部用户进入内部网络，访问内部机器； 确保外部用户能够且只能访问到一些指定公开信息； 限

18、制内部用户只能访问到一些特定Internet资源，如WWW服务、FTP服务、 TELNET服务等；处理方案：CheckPoint Firewall-1防火墙和Cisco PIX防火墙防火墙除了布署在IDC私有网（即网管网段等由IDC负责日常维护网络部分）以外，还能够依据不一样用户需求进行防火墙布署，我们提议对于独享主机和共享主机全部进行防火墙配置，而对于托管主机能够依据用户实际情况提供防火墙服务。不管是虚拟主机还是托管主机，IDC全部需要为这些用户提供不一样程度远程维护手段，所以我们也能够采取VPN技术手段来确保远程维护安全性，VPN同时也能够满足IDC为一些企业提供远程移动用户和合作企业之间

19、安全访问需求。依据吉通上海IDC安全要求和安全产品配置标准，我们提议使用产品包含Cisco PIX和CheckPoint Firewall1在内两种防火墙，其中：l Cisco PIX防火墙配置在对网络访问速度要求较高但安全要求相对较低网站托管区和主机托管区；l CheckPoint防火墙配置在对网络速度较低但安全要求相对较高IDC维护网段。这两种防火墙分别是硬件防火墙和软件防火墙经典代表产品，并在今年4月刚刚结束安全产品年度评选中，并列最好防火墙产品首位。这里只对CheckPointFirewall1进行说明。Checkpoint企业是一家专门从事网络安全产品开发企业，是软件防火墙领域佼佼者

20、，其旗舰产品CheckPoint Firewall-1在全球软件防火墙产品中位居第一（52），在亚太 地域甚至高达百分之七十以上，远远领先同类产品。在中国电信、银行等行业全部有了广泛应用。CheckPoint Firewall-1 是一个综合、模块化安全套件，它是一个基于策略处理方 案，提供集中管理、访问控制、授权、加密、网络地址传输、内容显示服务和服务器负载平衡等功效。关键用在保护内部网络资源、保护内部进程资源和内部网络访问者验证等领域。CheckPoint Firewall-1 套件提供单一、集中分布式安全策略，跨越Unix、 NT、路由器、交换机和其它外围设备，提供大量API，有150多

21、个处理方案和OEM厂商 支持。CP Firewall-1 由3个交互操作组件组成：控制组件、加强组件和可选组件。这些 组件即能够运行在单机上，也能够布署在跨平台系统上。其中，控制组件包含Firewall-1 管理服务器和图形化用户端；加强组件包含Firewall-1 检测模块和Firewall-1 防火墙 模块；可选组件包含Firewall-1 Encryption Module（关键用于保护VPN）、Firewall-1 Connect Control Module(实施服务器负载平衡)Router Security Module （管理路由器 访问控制列表）。Checkpoint Fire

22、wall-1 防火墙操作在操作系统关键层进行，而不是在应用程序层， 这么能够使系统达成最高性能扩展和升级。另外Checkpoint Firewall-1 支持基于Web 多媒体和基于UDP应用程序，并采取多重验证模板和方法，使网络管理员轻易验证用户端、会话和用户对网络访问。CHECKPOINT防火墙功效要求：1) 支持透明接入和透明连接，不影响原有网络设计和配置：Check Point FireWall-1是一款软件防火墙，是安装在现有网关或服务器计算机上，对接入和连接全部是透明，不会影响原有网络设计和配置。2) 带有DMZ连接方法：Check Point FireWall-1能够支持多个网络

23、接口，所以用户能够很轻易根据需要设置DMZ分区。3) 支持当地和远程管理两种管理方法：Check Point FireWall-1中Enterprise Management Console模块功效十分强 大，支持当地和远程两种管理方法，减轻了网络管理员对网络管理负担。4) 支持命令行和GUI方法管理和配置：Check Point FireWall-1中管理控制台支持命令行和GUI方法管理和配置； 能够在Windows 95/98/NT上安装Windows GUI界面，在Unix操作系统下能够安装 Motif GUI图形用户界面进行管理和配置。5) 对分布式防火墙支持集中统一状态管理：Chec

24、k Point FireWall-1中管理控制台支持对分布式防火墙集中统一状态 管理。它能够同时管理多个防火墙模块。6) 规则测试功效，支持规则一致性测试：Check Point FireWall-1中策略编辑器中有一命令，能够对已经配置好规则 进行测试，能够检测其一致性。7) 透明代理功效：Check Point FireWall-1支持代理功效，而且功效强大，能够支持本身自带预 定义 超出150多个常见协议。8) 地址转换功效，支持静态地址转换、动态地址转换和IP地址和TCP/UDP端口转换：Check Point FireWall-1支持NAT地址转换功效，支持Static Mode(静

25、态转换)和 Hide Mode(动态转换) 两种方法；现在不支持IP地址和TCP/UDP端口转换。9) 访问控制，包含对HTTP、FTP、SMTP、TELNET、NNTP等服务类型访问控制；Check Point FireWall-1能够经过制订策略来进行访问控制，能够支持超出150 多个常见协议，并能够自定义多种不常见协议。10) 用户级权限控制：Check Point FireWall-1能够指定用户对象，在其属性中有多种认证方法可供选 择，加强了用户级权限控制。11) 预防IP地址欺骗功效：Check Point FireWall-1提供了预防IP地址欺骗功效，能够在设定防火墙网关 网卡

26、属性时激活该功效。12) 包过滤，支持IP层以上全部数据包过滤：Check Point FireWall-1中对象以IP地址或TCP/UDP端口号来识别，所以能够 对IP层以上全部数据包进行过滤。13) 信息过滤，包含HTTP、FTP、SMTP、NNTP等协议信息过滤：Check Point FireWall-1能够经过OPSEC接口，和第三方厂商软件或硬件产品无 缝结合起来对HTTP、FTP、SMTP等协议进行信息过滤。14) 地址绑定功效，实现MAC地址和固定IP地址绑定，预防IP地址盗用：Check Point FireWall-1现在为止不能实现MAC地址和固定IP地址绑定。不过 能够

27、利用各节点处路由器来进行MAC地址和固定IP地址绑定。15) 抗攻击性要求，包含对防火墙本身和受保护网段攻击抵御：防火墙本身抗攻击能力和其所运行操作系统安全等级相关。操作系统安全等级越高，防火墙本身抗攻击能力也越高。16) 审计日志功效，支持对日志统计分析功效：Check Point FireWall-1中自带有日志功效，能够对符合预定规则网络流量事先要求方法进行统计；在Check Point FireWall-1 4.1产品中带有Reporting Module，能够对日志进行分析统计。17) 实时告警功效，对防火墙本身或受保护网段非法攻击支持多个告警方法（声光告警、EMAIL告警、日志告警

28、等）和多个等级告警：Check Point FireWall-1策略中有报警功效，其中包含了E-mail告警，日志告警等多个告警方法。CheckPoint防火墙技术性能指标：1) 时延：在每个包大小平均为512字节情况下，在3DES加密方法下Unix时延是 1.8msec，NT是1.2msec；在DES加密下Unix时延是1.3msec，NT是1msec。2) 吞吐量：在没有数据加密情况下，不一样操作系统能够分别达成152M246Mbps；在数据加密情况下，能够达成约55Mbps。3) 最小规则数：在防火墙概念中无此提法。根据我们了解，此概念假如是指策略中规则数话，则无限制。4) 包转发率：1

29、015Mbps。5) 最大位转发率：在防火墙概念中无此提法。根据我们了解，此概念类似吞吐量。6) 并发连接数：理论上没有限制。Firewall-1防火墙是一个应用级防火墙，它监测模块能监测和分析网络通信全部七层协议内容。实际上路由器本身就能够实现包过滤防火墙功效，对吉通上海IDC各个路由器配置进行检验和调整。确保整个网络中各个路由器配置相互一致，并负担包过滤检验功效。因为防火墙在关键网上起着安全管理“警察”关键作用,它可靠性往往代表着整个网络可靠性。假如一台防火墙发生故障，那么全部经过它网络连接全部中止了，防火墙就成为一个“单点故障”，这在一个及其关键网络环境中是不许可。提议方案:Checkp

30、oint FireWall-1 防火墙产品能够经过两台防火墙之间建立主备份 关系而大大增加防火墙可靠性。Checkpoint FireWall-1是基于优异“状态检测”（Stateful Inspection)技术防火墙,它从经过它网络连接各个层次抽取信息，以得到每个连接状态。这些状态存放在一个动态状态表中，并伴随数据传输而刷新。要在两台防火墙之间切换，必需在这两台防火墙之间共享这些状态信息，以确保切换时最大可能地保留已建立连接。利用Qualix GroupQualixHA+ Module for FireWall-1软件能够很好地做到这一点。 两台相同配置FireWall-1防火墙，一台为主

31、防火墙，一台为热 备份防火墙。在热备份防火墙上安装QualixHA+，它能自动地监测主防火墙状态，并在一旦主防火墙故障时快速地把主防火墙切换到热备份防火墙上，而不需要人工干预。因为QualixHA+能把热备份防火墙配置设置成和主防火墙一致，所以切换后不会损失任何防火墙功效。而QualixHA+所在热备份防火墙能够和主备份防火墙共有同一个IP地址，所以切换后也无需修改路由器设置。2.2.2.4 网络实时入侵检测技术防火墙即使能抵御网络外部安全威胁，但对网络内部提议攻击无能为力。动态地监测网络内部活动并做出立即响应，就要依靠基于网络实时入侵监测技术。监控网络上数据流，从中检测出攻击行为并给和响应和

32、处理。实时入侵监测技术还能检测到绕过防火墙攻击。处理方案： ISS网络入侵检测 RealSecure Network Sensor配置方法：参见“监控和防御”。ISS实时网络传感器 (RealSecure Network Sensor) 对计算机网络进行自主地，实时地攻 击检测和响应。这种领先产品对网络安全轮回监控，使用户能够在系统被破坏之前自主地中止并响应安全漏洞和误操作。实时监控在网络中分析可疑数据而不会影响数据在网络上传输。它对安全威胁自主响应为企业提供了最大程度安全保障。ISS 网络入侵检测RealSecure Network Sensor在检测到网络入侵后，除了能够立即切断攻 击行为

33、之外，还能够动态地调整防火墙防护策略，使得防火墙成为一个动态智能防护体系。3.2.3 操作系统层安全操作系统安全也称主机安全，因为现代操作系统代码庞大，从而不一样程度上全部存在部分安全漏洞。部分广泛应用操作系统，如Unix，Window NT，其安全漏洞更是广为流传。另 首先，系统管理员或使用人员对复杂操作系统和其本身安全机制了解不够，配置不妥也会造成安全隐患。3.2.3.1 系统扫描技术对操作系统这一层次需要功效全方面、智能化检测，以帮助网络管理员高效地完成定时检测和修复操作系统安全漏洞工作。系统管理员要不停跟踪相关操作系统漏洞公布，立即下载补丁来进行防范，同时要常常对关键数据和文件进行备份

34、和妥善保留，随时留心系统文件改变。处理方案： ISS系统扫描器(System Scanner)配置方法： System Scanner Console能够和Internet Scanner 安装在同一台笔记本上，也能够单独安装在一台NT工作站上。在IDC中各关键服务器（网管工作站、数据采集工作站、计费服务器、网站托管服务器等）内安装System Scanner Agent。Console管理各个Agent。定时（时间间隔参考安全策略要求）对关键服务器进行全方面操作系统安全评定。ISS系统扫描器(System Scanner) 是基于主机一个领先安全评定系统。系统扫描器 经过对内部网络安全弱点全

35、方面分析，帮助企业进行安全风险管理。区分于静态安全策略，系统扫描工具对主机进行预防潜在安全风险设置。其中包含易猜出密码，用户权限，文件系统访问权，服务器设置和其它含有攻击隐患可疑点。该产品时间策略是定时操作，扫描对象是操作系统。System Scanner包含引擎和控制台 两个部分。引擎必需分别装在被扫描服务器内部，在一台集中服务器上安装控制台。控制台集中对各引擎管理，引擎负责对各操作系统文件、口令、帐户、组等配置进行检验，并对操作系统中是否有黑客特征进行检测。其扫描结果一样可生成汇报。并对不安全文件属性生成可实施修改脚本。3.2.3.2 系统实时入侵探测技术为了加强主机安全，还应采取基于操作

36、系统入侵探测技术。系统入侵探测技术监控主机系统事件，从中检测出攻击可疑特征，并给和响应和处理。处理方案：ISS网络入侵检测 RealSecure OS Sensor和Server Sensor配置方法：参见“监控和防御”。ISS实时系统传感器 (RealSecure OS Sensor) 对计算机主机操作系统进行自 主地，实时 地攻击检测和响应。一旦发觉对主机入侵，RealSecure能够立即能够切断系统用户进程通信，和做出多种安全反应。ISS实时系统传感器 (RealSecure OS Sensor)还含有伪装功效，能够将服务器不开放 端口进行伪装，深入迷惑可能入侵者，提升系统防护时间。3.

37、2.4 数据库层安全很多关键业务系统运行在数据库平台上，假如数据库安全无法确保，其上应用系统也会被非法访问或破坏。数据库安全隐患集中在： 系统认证：口令强度不够，过期帐号，登录攻击等。 系统授权：帐号权限，登录时间超时等。 系统完整性：Y2K兼容，特洛伊木马，审核配置，补丁和修正程序等。处理方案：ISS 数据库扫描器（DataBase Scanner）配置方法：Database Scanner能够和Internet Scanner 安装在同一台笔记本上，也能够单独安装在一台NT工作站上。定时对IDC内数据库服务器软件进行漏洞评定，并将软件生成漏洞汇报分发给数据库管理员，对数据库系统中安全问题立

38、即修复。扫描时间间隔请参考安全策略要求。该产品可保护存放在数据库管理系统中数据安全。用户可经过该产品自动生成数据库服务器安全策略，这是全方面企业安全管理一个新关键领域。ISS 数据库扫描器（DataBase Scanner）是世界上第一个也是现在唯一一个针对数 据库管理系统风险评定检测工具。该产品可保护存放在数据库管理系统中数据安全。现在ISS是唯一提供数据库安全管了处理方案厂商。用户可经过该产品自动生成数据库服务器安全策略，这是全方面企业安全管理一个新关键领域。Database Scanner含有灵活体系结构，许可用户定制数据库安全策略并强制实施，控制数 据库安全。用户在统一网络环境可为不一

39、样数据库服务器制订对应安全策略。一旦制订出安全策略，Database Scanner将全方面考察数据库，对安全漏洞等级加以度量控制，并持 续改善数据库安全情况。Database Scanner能经过网络快速、方便地扫描数据库，去检验数据库特有安全漏洞，全 面评定全部安全漏洞和认证、授权、完整性方面问题。Database Scanner漏洞检测关键范围包含： 问题-据环境并汇报数据和过程中存在问题。 口令，登录和用户-口令长度，检验有登录权限过去用户，检验用户名信任度。 配置-否含有潜在破坏力功效被许可，并提议是否需要修改配置，如回信，发信，直接修改，登录认证，部分系统开启时存放过程，报警和预安

40、排任务， WEB任务，跟踪标识和不一样网络协议。 安装检验-要用户打补丁及补丁热链接。 权限控制-些用户有权限得到存放过程及何时用户能未授权存取Windows NT文件和数据资源。它还能检验“特洛伊木马”程序存在。3.2.5安全管理层（人，组织）层次系统安全架构最顶层就是对吉通上海IDC进行操作、维护和使用内部人员。人员有多种层次，对人员管理和安全制度制订是否有效，影响由这一层次所引发安全问题。除按业务划分组织结构以外，必需成立专门安全组织结构。这个安全组织应该由各级行政责任人、安全技术责任人、业务责任人及负责具体实施安全技术人员组成。相关具体安全管理请参考第4节信息安全策略处理方案。3.3

41、监控和防御 3.3.1 入侵检测技术大多数传统入侵检测系统（IDS）采取基于网络或基于主机措施来辩认并躲避攻击。在任何一个情况下，该产品全部要寻求“攻击标志”，即一个代表恶意或可疑意图攻击模 式。当IDS在网络中寻求这些模式时，它是基于网络。而当IDS在统计文件中寻求攻击标志时，它是基于主机。每种方法全部有其优势和劣势，两种方法互为补充。一个真正有效入侵检测系统应将二者结合。本节讨论了基于主机和基于网络入侵检测技术不一样之 处，以说明怎样将这二种方法融合在一起，以提供愈加有效入侵检测和保护方法。 3.3.1.1 基于网络入侵检测：基于网络入侵检测系统使用原始网络包作为数据源。基于网络IDS通常

42、利用一个运行在随机模式下网络适配器来实时监视并分析经过网络全部通信业务。它攻击辩识模块通常使用四种常见技术来识别攻击标志： 模式、表示式或字节匹配 频率或穿越阀值 低级事件相关性 规统学意义上很规现象检测一旦检测到了攻击行为，IDS响应模块就提供多个选项以通知、报警并对攻击采取对应反应。反应因产品而异，但通常全部包含通知管理员、中止连接而且/或为法庭分析和证据搜集而做会话统计。3.3.1.2 基于主机入侵检测： 基于主机入侵检测出现在80年代早期，那时网络还没有今天这么普遍、复杂，且网络之间也没有完全连通。在这一较为简单环境里，检验可疑行为检验统计是很常见操 作。因为入侵在当初是相当少见，在对

43、攻击事后分析就能够预防以后攻击。现在基于主机入侵检测系统保留了一个有力工具，以了解以前攻击形式，并选择适宜方法去抵御未来攻击。基于主机IDS仍使用验证统计，但自动化程度大大提 高，并发展了精密可快速做出响应检测技术。通常，基于主机IDS可监探系统、事件和Window NT下安全统计和UNIX环境下系统统计。当有文件发生改变时，IDS将新统计条目和攻击标识相比较，看它们是否匹配。假如匹配，系统就会向管理员报警并向别目标汇报，以采取方法。基于主机IDS在发展过程中融入了其它技术。对关键系统文件和可实施文件入侵检测一个常见方法，是经过定时检验校验和来进行，方便发觉意外改变。反应快慢和轮询间隔频率有直

44、接关系。最终，很多产品全部是监听端口活动，并在特定端口被访问时向管理员报警。这类检测方法将基于网络入侵检测基础方法融入到基于主机检测环境中。3.3.1.3 将基于网络和基于主机入侵检测结合起来： 基于网络和基于主机IDS方案全部有各自特有优点，而且互为补充。所以，下一代IDS必需包含集成主机和网络组件。将这两项技术结合，必将大幅度提升网络对攻击和错误使用抵御力，使安全策略实施愈加有效，并使设置选项愈加灵活。有些事件只能用网络方法检测到，另外部分只能用主机方法检测到，有部分则需要二者共同发挥作用，才能检测到。3.3.2 推荐安全产品ISS入侵检测产品RealSecureISS实时网络传感器 (R

45、ealSecure Network Sensor) 对计算机网络进行自主地，实时地攻击检测 和响应。这种领先产品对网络安全轮回监控，使用户能够在系统被破坏之前自主地中止并响应安全漏洞和误操作。实时监控在网络中分析可疑数据而不会影响数据在网络上传输。它对安全威胁自主响应为企业提供了最大程度安全保障。ISS 网络入侵检测(RealSecure Network Sensor)在检测到网络入侵后，除了能够立即切断攻 击行为之外，还能够动态地调整防火墙防护策略，使得防火墙成为一个动态智能防护体系。ISS实时系统传感器 (RealSecure OS Sensor) 对计算机主机操作系统进行自主地，实时地

46、攻击检测和响应。一旦发觉对主机入侵，RealSecure能够立即切断用户进程，和做出多种安全反应。ISS实时服务器传感器 (RealSecure Server Sensor)包含了全部OS Sensor功效，也含有部分Network Sensor功效，为灵活安全配置提供了必需手段。RealSecure Workgroup Manager是RealSecure系统控制台。能够对多台RealSecure 网络引 擎和系统传感器进行管理。对被管理监控器进行远程配置和控制，各个监控器发觉安全事件全部实时地汇报控制台。ISS RealSecure是一个完整，一致实时入侵监控体系。ISS Realsecu

47、re对来自内部和外部非法入侵行为做到立即响应、告警和统计日志，并可采 取一定防御和反入侵方法。它能完全满足吉通上海IDC技术需求 书所提要求：支持统一管理平台，可实现集中式安全监控管理:RealSecure Workgroup Manager是RealSecure系统控制台。能够对多台RealSecure 网络 Sensor和系统Sensor进行管理。对被管理监控器进行远程配置和控制，各个监控器发觉安全事件全部实时地汇报控制台。在吉通IDC项目中能够利用这一特点，实现对各结点集中监控管理。比如，从上海IDCRealSecure Workgroup Manager，对其下其它城市 IDC 进行统一Sensor监控策略配置，Sensor所发觉安全事件将实时地汇报给Manager；对各个Sensor安全特征库升级也能够从Manager统一分发完成。 图RS-1 RealSecure Workgroup Manager工作界面主菜单和工具栏监控安全事件综合窗口按安全等级分成高、中、低三个事件窗口列出全部被管理网络Sensor和系统Sensor对被管理