網(wǎng)絡(luò)入侵檢測(cè)解決方案

1、NetpowerXXXX入侵檢測(cè)系統(tǒng)解決方案北京中科網(wǎng)威信息技術(shù)有限公司200X年X月目錄前言 . 21.1. 設(shè)計(jì)目標(biāo) 31.2. 安全宗旨 31.3. 項(xiàng)目集成原則 3網(wǎng)絡(luò)安全性分析 4物理層安全體系 63.1. 電磁泄露 63.2. 惡意的物理破壞 73.3. 電力終端 73.4. 安全拓?fù)浣Y(jié)構(gòu) 73.5. 安全旁路問(wèn)題 83.6. 解決措施 8四. 網(wǎng)絡(luò)層安全體系 94.1. 外網(wǎng)攻擊 104.2. 內(nèi)網(wǎng)攻擊與監(jiān)控 124.3. 網(wǎng)絡(luò)設(shè)備的安全 1344VLAN安全保密 144.5.入侵取證問(wèn)題 15五. 應(yīng)用層安全體系 165.1. 操作系統(tǒng)安全 165.1.1. 服務(wù)器系統(tǒng)安全解決

2、措施（主要針對(duì) Linux ） . 165.1.2. 服務(wù)器系統(tǒng)安全解決措施（主要針對(duì) Windows）. 175.1.3. 主機(jī)安全的解決方案 18六. 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) 196.1. 單一防火墻功能的不足 19206.2. 入侵檢測(cè)系統(tǒng)的功能和優(yōu)點(diǎn)6.3. 入侵檢測(cè)系統(tǒng)選型 206.4. 入侵檢測(cè)系統(tǒng)部署 236.5. 中科網(wǎng)威”網(wǎng)威”網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)產(chǎn)品介紹 25七. XXXX調(diào)通中心安全系統(tǒng)網(wǎng)絡(luò)安全拓?fù)湫Ч麍D 錯(cuò)誤!未定義書簽。、八 、前言此文檔就XXX）調(diào)通中心網(wǎng)絡(luò)安全方面做全面的規(guī)劃和設(shè)計(jì)，從而確定軟件、硬件體系的組成及各部分的作用， 和應(yīng)用程序的連接等， 從而對(duì)整個(gè)網(wǎng)絡(luò)的安全部分

3、規(guī)劃、采購(gòu)起指導(dǎo)性作用此文檔將從物理層、網(wǎng)絡(luò)層、應(yīng)用層、管理層等幾個(gè)方面就XXXX調(diào)通中心網(wǎng)絡(luò)安全進(jìn)行具體描述。1.1. 設(shè)計(jì)目標(biāo)最大可能的保護(hù)其所轄的網(wǎng)絡(luò)和系統(tǒng)可以得到充分的信任， 可以獲得良好的 管理?？傮w目標(biāo)是在不影響中心網(wǎng)絡(luò)正常工作的前提下， 實(shí)現(xiàn)對(duì)中心網(wǎng)絡(luò)的全面 安全及加固。根據(jù)XXXX調(diào)通中心網(wǎng)的要求及國(guó)家涉密計(jì)算機(jī)系統(tǒng)安全要求，提供包括整 體安全策略、評(píng)估、規(guī)劃、設(shè)計(jì)、部署、管理、緊急響應(yīng)以及配套服務(wù)組成的網(wǎng) 絡(luò)安全整體解決方案。1.2. 安全宗旨建設(shè)和服務(wù)應(yīng)遵循如下原則：設(shè)計(jì)中將以國(guó)家涉密計(jì)算機(jī)系統(tǒng)安全要求為根本 采用國(guó)內(nèi)最先進(jìn)，符合涉密系統(tǒng)安全要求的安全設(shè)備和產(chǎn)品 嚴(yán)格遵守中

4、華人民共和國(guó)保密局、公安部相關(guān)法律和法規(guī) 嚴(yán)格遵守國(guó)家涉密計(jì)算機(jī)系統(tǒng)安全保密規(guī)范我國(guó)各級(jí)安全主管部門還頒布了一系列條例和規(guī)定。本項(xiàng)目遵守國(guó)內(nèi)的 這些安全條例和規(guī)定。1.3. 項(xiàng)目集成原則策略性建立中心的安全體系，需要先制定完整的、一致性的信息安全策略體系，并 將且將安全策略體系和其他企業(yè)策略相協(xié)調(diào)。綜合性和整體性從系統(tǒng)綜合的整體角度充分考慮此次中心網(wǎng)絡(luò)安全招標(biāo)項(xiàng)目，制定有效、可行的安全措施，建立完整的安全防范體系。盡量降低對(duì)原有網(wǎng)絡(luò)、系統(tǒng)性能的影響由于安全設(shè)置的增加，必將影響網(wǎng)絡(luò)和系統(tǒng)的性能，包括對(duì)網(wǎng)絡(luò)傳輸速率的 影響，對(duì)系統(tǒng)本身資源的消耗等。因此需要平衡雙方的利弊，提出最為適當(dāng)?shù)陌?全解決建

5、議。避免復(fù)雜性安全解決方案不會(huì)使原網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜程度增加，并使操作與維護(hù)簡(jiǎn)單化。 安全體系的建立也不會(huì)對(duì)中心的結(jié)構(gòu)做出根本性的修改。擴(kuò)展性、適應(yīng)性安全解決方案能夠隨著中心網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適 應(yīng)、容易修改。兼容性安全管理工具應(yīng)能夠和其它系統(tǒng)管理工具有效兼容。保障安全系統(tǒng)自身的安全安全產(chǎn)品和系統(tǒng)都有能力在合理范圍內(nèi)保障系統(tǒng)自身的安全。穩(wěn)定性總體設(shè)計(jì)方案需保證運(yùn)行過(guò)程中的穩(wěn)定、順暢，不對(duì)應(yīng)用系統(tǒng)造成危害。二.網(wǎng)絡(luò)安全性分析當(dāng)前，全球性的信息化、網(wǎng)絡(luò)化進(jìn)程正在飛速發(fā)展，網(wǎng)絡(luò)技術(shù)正逐步改變著 各行各業(yè)傳統(tǒng)的生產(chǎn)和管理方式，網(wǎng)絡(luò)應(yīng)用日新月異。網(wǎng)絡(luò)在提高生產(chǎn)和管理效 率的同時(shí)，也給各類

6、涉密信息網(wǎng)絡(luò)的安全保密系統(tǒng)建設(shè)、 應(yīng)用和管理提出了新的 要求。作為XXXX調(diào)通中心安全系統(tǒng)的網(wǎng)上形象和網(wǎng)上辦公系統(tǒng)，保證網(wǎng)上信息的 安全性、可靠性，保證網(wǎng)絡(luò)的正常運(yùn)行，不被不法分子破壞、竄改是整個(gè)紀(jì)檢監(jiān) 察計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中非常重要的一個(gè)組成部分。XXXX調(diào)通中心安全系統(tǒng)常涉及的，無(wú)論是門戶系統(tǒng)，數(shù)據(jù)流、數(shù)據(jù)中心和 公共服務(wù)，這些都需要網(wǎng)絡(luò)安全的支持，從用戶的登陸認(rèn)證，非法行為的監(jiān)控， 門戶網(wǎng)站的抗攻擊性， 數(shù)據(jù)中心的操作安全性等多個(gè)方面都離不開(kāi)網(wǎng)絡(luò)安全系統(tǒng) 的支持。網(wǎng)絡(luò)安全整體建設(shè)中的某個(gè)被忽略的部位弱勢(shì)， 勢(shì)必影響系統(tǒng)整體的安全水 平，為了對(duì)抗各種攻擊破壞， 避免因?yàn)榘踩[患而引發(fā)的安全事故

7、， 通過(guò)深入分 析全國(guó)XXXX調(diào)通中心安全系統(tǒng)的安全需求，建議目前的網(wǎng)絡(luò)安全系統(tǒng)管理應(yīng)從 下列方面入手著重解決。提供針對(duì)網(wǎng)絡(luò)安全問(wèn)題的保障，著重對(duì)于目前網(wǎng)絡(luò)上流行的攻擊形式， 攻擊手段進(jìn)行防護(hù)，同時(shí)考慮系統(tǒng)冗余。對(duì)XXXX調(diào)通中心可能出現(xiàn)的攻擊行為進(jìn)行監(jiān)控、取證，適當(dāng)情況下可 以根據(jù)監(jiān)控的內(nèi)容對(duì)攻擊者進(jìn)行跟蹤， 必要時(shí)可根據(jù)此結(jié)果進(jìn)行法律起 訴。對(duì)內(nèi)部可信任網(wǎng)段內(nèi)主機(jī)進(jìn)行嚴(yán)格限制，及時(shí)發(fā)現(xiàn)并阻斷非法外聯(lián)行 為。對(duì)于網(wǎng)絡(luò)安全設(shè)備的統(tǒng)一管理問(wèn)題。包括統(tǒng)一管理、配置，收集不同系 統(tǒng)上的日志資料，進(jìn)行時(shí)間分析。對(duì)于整個(gè)XXXX調(diào)通中心安全系統(tǒng)的接入問(wèn)題進(jìn)行管理，確保涉密網(wǎng)絡(luò) 與非涉密網(wǎng)絡(luò)的物理隔離問(wèn)題

8、。定制全網(wǎng)統(tǒng)一的病病毒策略，實(shí)現(xiàn)全網(wǎng)范圍內(nèi)的病毒防御。 基于數(shù)字證書的服務(wù)。包括證書的統(tǒng)一管理，可信服務(wù)，用戶分級(jí)，與 應(yīng)用系統(tǒng)無(wú)間結(jié)合等多個(gè)方面。對(duì)于網(wǎng)絡(luò)安全事件的緊急響應(yīng)，包括 7X 24小時(shí)的緊急響應(yīng)。 提供對(duì)于網(wǎng)絡(luò)正常運(yùn)行的安全服務(wù)、培訓(xùn)、安全管理規(guī)定等。建立一個(gè)安全網(wǎng)絡(luò)需要從軟件、硬件，產(chǎn)品、服務(wù)等多個(gè)方面協(xié)同協(xié)作，搭 建起一個(gè)完整的安全保障系統(tǒng)。 從用戶登陸系統(tǒng)的開(kāi)始就做到身份認(rèn)證、 行為監(jiān) 控、日志記錄等工作； 對(duì)邊界網(wǎng)絡(luò)實(shí)行嚴(yán)格的訪問(wèn)控制策略； 在敏感信息節(jié)點(diǎn)對(duì) 數(shù)據(jù)的監(jiān)聽(tīng)、分析， 對(duì)違反安全策略的行為進(jìn)行響應(yīng)； 并定期主動(dòng)對(duì)系統(tǒng)網(wǎng)絡(luò)中 服務(wù)器進(jìn)行安全評(píng)估，消除安全隱患，防范于

9、未然，為上層的門戶系統(tǒng)、網(wǎng)上政 務(wù)系統(tǒng)的正常運(yùn)行提供徹底的保護(hù)， 對(duì)于可能給系統(tǒng)造成損害的每一個(gè)地方做全 滿考慮，為XXXX調(diào)通中心安全系統(tǒng)的正常運(yùn)行保駕護(hù)航。三.物理層安全體系這里說(shuō)的物理層指的是物理連接方面的安全，尤其指的是不同密級(jí)之間網(wǎng)絡(luò) 的連接規(guī)范，保證從物理結(jié)構(gòu)上的安全。分支內(nèi)容主要包含以下幾個(gè)方面：電磁泄漏惡意的物理破壞電力中斷安全拓?fù)浣Y(jié)構(gòu)安全旁路問(wèn)題3.1. 電磁泄露電磁泄漏主要發(fā)生在由雙絞線連接的物理設(shè)備之間，由于雙絞線傳輸數(shù)據(jù)時(shí)周圍產(chǎn)生的磁場(chǎng)可被還原，故如果出現(xiàn)刻意的針對(duì)電磁泄漏而進(jìn)行的監(jiān)聽(tīng)行為， 則可能防不勝防。由于此種入侵的方式非常隱蔽，可以不用進(jìn)入辦公區(qū)域、不用進(jìn)行數(shù)據(jù)

10、傳輸、不用發(fā)生人員方面的接觸而獲取數(shù)據(jù)的特點(diǎn)， 所以是國(guó)家保密局 等安全部分非常重視的一種基本防護(hù)。對(duì)于這種攻擊的防護(hù)手段已經(jīng)非常成熟，分別對(duì)應(yīng)不同的實(shí)際環(huán)境予以選擇:現(xiàn)狀解決方法沒(méi)有屏蔽室建立屏敝室光纖網(wǎng)絡(luò)（條件所限無(wú)法建立屏蔽室）不用做電磁防護(hù)措施Utp雙絞線網(wǎng)絡(luò)（條件所限無(wú)法建立屏蔽 室）需要針對(duì)線路做加密，保密局有相關(guān) 產(chǎn)品表格i安全環(huán)境選擇表上面提到的問(wèn)題還只是電磁泄漏防護(hù)的一種解決方案，由于XXXX調(diào)通中心網(wǎng)絡(luò)是涉密網(wǎng)，不需要面向廣大市民服務(wù)，所以對(duì)于電磁防護(hù)的問(wèn)題還需針對(duì)現(xiàn) 狀進(jìn)行分析，原則是對(duì)于重要的、涉密的設(shè)備進(jìn)行防護(hù)。3.2. 惡意的物理破壞所有交換機(jī)設(shè)備均封閉在單獨(dú)的房間

11、內(nèi)， 這些房間主要由網(wǎng)絡(luò)技術(shù)部系統(tǒng)管 理人員負(fù)責(zé)維護(hù)管理， 在物理上實(shí)現(xiàn)了安全保護(hù)。 中心局域網(wǎng)主要的 5 類雙絞線 都布設(shè)在地下封閉的金屬槽或天花板上封閉的 PVC槽內(nèi)，遭人為破壞的可能性較 小。對(duì)于網(wǎng)絡(luò)線路，主要通過(guò)專用測(cè)試儀和網(wǎng)絡(luò)管理軟件如 Cisco works 2000 等來(lái)進(jìn)行監(jiān)測(cè)，管理人員能夠及時(shí)發(fā)現(xiàn)線路阻斷等異常故障。3.3. 電力終端網(wǎng)絡(luò)中心應(yīng)重點(diǎn)考慮電力中斷的問(wèn)題，由于數(shù)據(jù)中心存放了非常多的設(shè)備， 包括小型機(jī)、網(wǎng)絡(luò)設(shè)備、PC服務(wù)器等，所以電力問(wèn)題要非常重視，最好能準(zhǔn)備 兩路不同源的電路， 因?yàn)橹匾姆?wù)器等設(shè)備均有雙電源冗余的設(shè)計(jì)， 雙電源是 網(wǎng)絡(luò)正常運(yùn)行的有力保障。重要設(shè)

12、備應(yīng)具有在線式UPS控制了全部重要計(jì)算機(jī)系統(tǒng)的電源管理；并且 安裝了針對(duì)UNIX和WinNT服務(wù)器的自動(dòng)關(guān)機(jī)程序，一旦斷電時(shí)間接近 UPS所能 承受的延時(shí)服務(wù)時(shí)間的 70%，則發(fā)出指令自動(dòng)關(guān)閉主要的服務(wù)器。3.4. 安全拓?fù)浣Y(jié)構(gòu)安全拓?fù)浣Y(jié)果應(yīng)該說(shuō)是安全體系的一個(gè)很重要的組成部分。針對(duì)XXXX調(diào)通中心網(wǎng)絡(luò)的環(huán)境分析：由于此系統(tǒng)涉及涉密網(wǎng)絡(luò)與非涉密網(wǎng) 絡(luò)之間的連接，也有外網(wǎng)與非涉密網(wǎng)的連接， 故拓?fù)浣Y(jié)果非常復(fù)雜， 需要集成商 方面針對(duì)不同的接入形式做具體分析， 并將接入方式去分為物理隔離、 邏輯隔離、 基于物理隔離的數(shù)據(jù)交換等幾種不同形式， 原則上所有內(nèi)部單位與數(shù)據(jù)中心的連 接均應(yīng)用防火墻進(jìn)行邏輯

13、隔離，保證可信的數(shù)據(jù)傳輸及對(duì)非法訪問(wèn)的拒絕。物理隔離：完全網(wǎng)絡(luò)上的隔離，對(duì)于涉密網(wǎng)與非涉密網(wǎng)之間的連接，無(wú) 設(shè)備 邏輯隔離：使用防火墻進(jìn)行數(shù)據(jù)交換方面的審查，通行可信數(shù)據(jù)，拒絕 非法請(qǐng)求。針對(duì)XXXX調(diào)通中心外網(wǎng)與內(nèi)網(wǎng)之間的連接。給予物理隔離的數(shù)據(jù)交換： 使用基于物理隔離的數(shù)據(jù)交換進(jìn)行數(shù)據(jù)交換 方面的審查，通行可信數(shù)據(jù)，拒絕非法請(qǐng)求。此項(xiàng)方式是防火墻模式的 進(jìn)一步提高，此處對(duì)涉密外網(wǎng)有比較高的要求時(shí)選用的設(shè)備，但是由于 原理限制，大大降低網(wǎng)絡(luò)速度。3.5. 安全旁路問(wèn)題安全旁路問(wèn)題是涉密網(wǎng)建設(shè)的非常重要的組成部分， 針對(duì)不同的單位有相應(yīng) 的解決手段。在政府等辦公部門主要針對(duì)的是物理隔離的內(nèi)部網(wǎng)

14、絡(luò)的員工撥號(hào)行 為，針對(duì)研究所等機(jī)構(gòu)主要是軟盤，USB設(shè)備對(duì)于數(shù)據(jù)的Copy問(wèn)題，由于目前 XXXX調(diào)通中心網(wǎng)絡(luò)是公眾外網(wǎng)，所以對(duì)此部分只是做簡(jiǎn)單提及，解決方式為內(nèi) 部解決。對(duì)于上述內(nèi)容的管理除了技術(shù)上的投入以外還需要進(jìn)行專門的管理制度上 的制定，具體細(xì)則請(qǐng)參見(jiàn)管理制度篇。3.6. 解決措施物理層安全應(yīng)面臨的風(fēng)險(xiǎn)主要是環(huán)境安全和設(shè)備、設(shè)施安全問(wèn)題。 為保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其它媒體免遭地震、水災(zāi)、火災(zāi)、 有害氣體和其它環(huán)境事故（如電磁污染等）破壞，應(yīng)采取適當(dāng)?shù)谋Ｗo(hù)措施。在環(huán)境安全上， 主要考慮受災(zāi)防護(hù)和機(jī)房區(qū)域安全。為此在中心機(jī)房?jī)?nèi)，要 施行嚴(yán)格的保安制度，配備好安防和消防等設(shè)備。

15、（1）環(huán)境安全保密解決措施： 在安置服務(wù)器的機(jī)房出入口設(shè)立門禁系統(tǒng)，分配權(quán)限和密碼，僅持有權(quán) 限和密碼的人才可以進(jìn)入機(jī)房； 管理上要求能夠進(jìn)出機(jī)房的人員政治和 技術(shù)可靠。配備防火器材，合理的布置在機(jī)房的四周，做到防范于未然，一旦出現(xiàn) 明火現(xiàn)象，可在機(jī)房?jī)?nèi)將其撲滅。在機(jī)房?jī)?nèi)設(shè)立攝像監(jiān)控系統(tǒng)， 24小時(shí)監(jiān)控錄像機(jī)房?jī)?nèi)的人員行為， 記錄 影像并標(biāo)記時(shí)間，為可能存在的人為破壞提供比對(duì)的證據(jù)。重要服務(wù)器機(jī)房?jī)?nèi)應(yīng)充分利用現(xiàn)有的工業(yè)空調(diào)系統(tǒng)，將機(jī)房?jī)?nèi)溫度保持 在服務(wù)器硬件的平均工作溫度下。所有通信線路應(yīng)盡量安置在防火的 PVC曹內(nèi)，安置在天花板等人不能直 接接觸的地方。(2) 設(shè)備安全保密解決措施： 建議中

16、心在機(jī)房?jī)?nèi)安置電磁干擾發(fā)射儀。 中心骨干網(wǎng)絡(luò)為千兆，骨干為光纖結(jié)構(gòu)，不存在電磁泄漏的問(wèn)題。中心的桌面應(yīng)用目前仍是百兆，使用 UTP連接，存在線路泄漏問(wèn)題。為 此，使用UTP線路電磁泄漏干擾儀連接在線路的兩端進(jìn)行電磁發(fā)射干擾。(3) 介質(zhì)安全保密解決措施： 介質(zhì)安全主要體現(xiàn)在存儲(chǔ)介質(zhì)上面如磁帶機(jī)、光盤和硬盤存儲(chǔ)器，機(jī)密 成果數(shù)據(jù)的存儲(chǔ)介質(zhì)需要異地保存； 在中心設(shè)立專門的介質(zhì)存放室(至少與機(jī)房不在一個(gè)房間內(nèi)或一個(gè)樓 層)，介質(zhì)存放室也應(yīng)做好門禁系統(tǒng)，配備防火器材和空調(diào)恒溫系統(tǒng)； 介質(zhì)存放室的進(jìn)出人員應(yīng)接受嚴(yán)格登記和審核，并在管理上要求政治和 技術(shù)可靠； 對(duì)存放在紙上的重要機(jī)密信息應(yīng)嚴(yán)格保存，可以和

17、介質(zhì)一起放在介質(zhì)室 內(nèi)，對(duì)作廢的文件應(yīng)使用碎紙機(jī)或送往紙漿廠監(jiān)控處理。四 . 網(wǎng)絡(luò)層安全體系這里說(shuō)的網(wǎng)絡(luò)層指的是網(wǎng)絡(luò)設(shè)備上的安全， 以及專門執(zhí)行網(wǎng)絡(luò)安全功能的相 應(yīng)設(shè)備，尤其指的是數(shù)據(jù)傳輸時(shí)的安全問(wèn)題。 物理層網(wǎng)絡(luò)安全體系是現(xiàn)代網(wǎng)絡(luò)安 全體系種非常重要的組成部分， 可以說(shuō)是網(wǎng)絡(luò)安全的核心， 眾多的黑客攻擊的手 段和方法都是針對(duì)網(wǎng)絡(luò)層而開(kāi)展的， 因此網(wǎng)絡(luò)層安全體系的建設(shè)是網(wǎng)絡(luò)安全建設(shè) 的重要組成部分。目前的網(wǎng)絡(luò)安全體系不僅僅是一種安全設(shè)備，一種安全手段就可以實(shí)現(xiàn)的， 隨著黑客技術(shù)的不斷成熟安全體系已經(jīng)發(fā)展成為了多產(chǎn)品，多手段相結(jié)合的方 式，也只有多重手段的綜合運(yùn)用才能從整體上實(shí)現(xiàn)安全的防護(hù)， 在

18、安全領(lǐng)域是適 用木桶原則的， 如果有哪個(gè)領(lǐng)域是我們沒(méi)有考慮到的， 則那個(gè)部分則最有可能成 為被入侵的環(huán)節(jié)。鑒于目前網(wǎng)絡(luò)安全技術(shù)在國(guó)內(nèi)已經(jīng)十分成熟， 技術(shù)上不存在壁壘， 故推薦使 用國(guó)內(nèi)的安全產(chǎn)品， 以防止政府部門由于使用國(guó)外產(chǎn)品導(dǎo)致的敏感時(shí)期安全設(shè)備 可能被國(guó)外黑客利用，造成不必要的損失情況出現(xiàn)。由于網(wǎng)絡(luò)層安全體系涉及的內(nèi)容非常豐富， 本章將針對(duì)下面列表中的內(nèi)容做 逐一的分析，并給出解決措施。外網(wǎng)攻擊內(nèi)網(wǎng)攻擊 加密傳輸 安全旁路問(wèn)題4.1. 外網(wǎng)攻擊從外網(wǎng)進(jìn)行的攻擊行為可以說(shuō)是不勝枚舉， 近年來(lái)國(guó)內(nèi)外出現(xiàn)的大量的網(wǎng)絡(luò) 安全事件 （經(jīng)媒體報(bào)道過(guò)的） 可以說(shuō)應(yīng)用了目前所有的攻擊形式， 有各種形式的

19、 Flood 攻擊，Pi ng of death 、Syn flood、DOS DDOS等，此類攻擊尤其針對(duì)網(wǎng) 站，破壞性是不容置疑的，發(fā)生在 2001 年的五一中美黑客大戰(zhàn)就是運(yùn)用上面攻 擊形式的結(jié)果， 致使美國(guó)白宮網(wǎng)站不能訪問(wèn)達(dá) 4 小時(shí)之久。除此之外還有數(shù)不清 的木馬攻擊，操作系統(tǒng)漏洞， 對(duì)于應(yīng)用服務(wù)的授權(quán)的和未授權(quán)的訪問(wèn)等， 所有這 些問(wèn)題如果用頭疼醫(yī)頭、 腳疼醫(yī)腳的方式就會(huì)變得捉襟見(jiàn)肘， 最好的解決方案是 在內(nèi)網(wǎng)和外網(wǎng)的交匯處設(shè)置防火墻， 保證內(nèi)網(wǎng)、外網(wǎng)的之間訪問(wèn)的安全性及抵抗 攻擊。面用一個(gè)簡(jiǎn)單圖示來(lái)描繪防火墻的應(yīng)用外網(wǎng)InternetDMZ區(qū)www,d ns,mail 服務(wù)器1圖

20、表1防火墻的應(yīng)用簡(jiǎn)圖上圖中的DMZ區(qū)我們可以假想為門戶網(wǎng)站的防治區(qū)域， 而內(nèi)網(wǎng)則放置我們的 數(shù)據(jù)庫(kù)服務(wù)器等更加重要的服務(wù)器，同時(shí)與其它局、委、辦的連接也在內(nèi)網(wǎng)進(jìn)行, 同時(shí)我們還應(yīng)對(duì)防火墻的訪問(wèn)策略做簡(jiǎn)單配置：外網(wǎng)DMZ區(qū)DMZ區(qū)內(nèi)網(wǎng)內(nèi)網(wǎng)DMZ區(qū)DMZx外網(wǎng)一些其它各個(gè)部分之間的訪問(wèn)完全禁止這樣數(shù)據(jù)的傳輸達(dá)成了一個(gè)安全通道，即數(shù)據(jù)訪問(wèn)時(shí)：外網(wǎng)DMZ內(nèi)網(wǎng);回應(yīng)數(shù)據(jù)時(shí)：內(nèi)網(wǎng) DMZ外網(wǎng)，內(nèi)外網(wǎng)之間完全禁止訪問(wèn)，這樣即使出現(xiàn)什么 安全問(wèn)題也不會(huì)直接將內(nèi)網(wǎng)中的數(shù)據(jù)泄漏給外網(wǎng)。下面給出就XXXX調(diào)通中心網(wǎng)絡(luò)建設(shè)中防火墻部分應(yīng)具有的相關(guān)功能：支持百兆網(wǎng)絡(luò)可以實(shí)現(xiàn)雙機(jī)備份雙電源冗余至少500, 000的并發(fā)連

21、接數(shù)支持廣泛協(xié)議，能夠滿足視頻會(huì)議的需求 支持單級(jí)、多級(jí)，統(tǒng)一、分散的管理方式 靈活的定義訪問(wèn)策略 支持路由、透明、混合模式的應(yīng)用 對(duì) DOS、DDO、S Ping of death 、Syn flood 、 land 等攻擊的專門防護(hù) 能夠?qū)崿F(xiàn)在線升級(jí) 用戶分級(jí)管理 數(shù)據(jù)包內(nèi)容過(guò)濾 詳細(xì)的日志由于目前對(duì)于防火墻設(shè)備的采購(gòu)和網(wǎng)絡(luò)拓?fù)溥€不清楚， 故目前只提供一些技 術(shù)參數(shù)，僅供參考。4.2. 內(nèi)網(wǎng)攻擊與監(jiān)控?cái)?shù)據(jù)中心涉密網(wǎng)絡(luò)內(nèi)部應(yīng)用系統(tǒng)平臺(tái)多且復(fù)雜， 從技術(shù)和管理角度分析， 安 全隱患也是存在的。內(nèi)部網(wǎng)絡(luò)的監(jiān)管需要技術(shù)和管理上并進(jìn)才可保證安全。來(lái)自系統(tǒng)內(nèi)部人員的攻擊是很難防范的， 內(nèi)部工作人員本身

22、在重要應(yīng)用系統(tǒng) 上都有一定的使用權(quán)限， 并且對(duì)系統(tǒng)應(yīng)用非常清楚， 一次試探性的攻擊演練都可 能會(huì)對(duì)應(yīng)用造成系統(tǒng)癱瘓的影響， 這種行為單單依靠工具的檢測(cè)是很難徹底避免 的，主要依靠建立完善的管理制度和處罰措施來(lái)解決。在中心的內(nèi)部局域網(wǎng)內(nèi)，可能存在的攻擊者可以將自己的 ip 地址改為他人 的地址發(fā)起攻擊， 這種做法往往會(huì)讓管理人員轉(zhuǎn)移調(diào)查目標(biāo)， 難以發(fā)現(xiàn)真正發(fā)起 攻擊的人。攻擊者也可將自己的網(wǎng)卡換掉，修改 mac 地址和 ip 地址向服務(wù)器發(fā) 起攻擊，攻擊完后再回到以前的設(shè)置，這些問(wèn)題是目前XXXX調(diào)通中心的安全手段所解決不了的。在局域網(wǎng)上，用戶安全意識(shí)不強(qiáng)，口令設(shè)置缺乏科學(xué)性，易猜測(cè)，且更換頻

23、率低，個(gè)別人甚至半年以上才更換一次。 這為非法用戶盜取數(shù)據(jù)庫(kù)資源提供了可 能。部分UNIX或WindowsNT/2000的命令可以實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)包的傳輸情況， 對(duì)于 telnet ,rlogin 這些不加密的網(wǎng)絡(luò)應(yīng)用，用戶登錄口令很容易被發(fā)現(xiàn)和竊 取。主機(jī)操作系統(tǒng)漏洞和錯(cuò)誤的系統(tǒng)設(shè)置也能導(dǎo)致非法訪問(wèn)的出現(xiàn)。 入侵檢測(cè)是對(duì)入侵行為的監(jiān)測(cè)和控制，它通過(guò)監(jiān)視計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)的運(yùn) 行，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象， 一旦發(fā) 現(xiàn)攻擊能夠發(fā)出警報(bào)并采取相應(yīng)的措施，如阻斷，跟蹤等。同時(shí)，記錄受到攻擊 的過(guò)程，為網(wǎng)絡(luò)或系統(tǒng)的恢復(fù)和追查攻擊的來(lái)源提供基本數(shù)據(jù)。此外，網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)

24、品不能完全滿足要求， 一些發(fā)生在服務(wù)器或入侵行為 和異?，F(xiàn)象也會(huì)帶來(lái)不可估量的損失， 我們同樣建議在服務(wù)器 Linux 上安裝能夠 監(jiān)測(cè)系統(tǒng)資源(文件，內(nèi)存)和入侵行為的主機(jī)入侵檢測(cè)系統(tǒng)。(1) 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)安全解決措施：在骨干交換機(jī)上設(shè)置一個(gè)監(jiān)聽(tīng)端口 span,在交換機(jī)上指定該span端口 可以監(jiān)聽(tīng)服務(wù)器所在的端口號(hào)或 vlan ，然后將網(wǎng)絡(luò)入侵檢測(cè)的引擎探頭 (硬件引擎)分別接在兩個(gè) span 端口上。 將引擎的管理端安裝在網(wǎng)管工作站上, 并將引擎的管理端口接在交換機(jī) 上即可。(2) 對(duì)入侵檢測(cè)系統(tǒng)的技術(shù)需求比較簡(jiǎn)單,簡(jiǎn)述如下：無(wú) IP 偵測(cè)引擎 支持百兆環(huán)境 多樣的接入方式 多樣的相

25、應(yīng)方式,郵件、聲音、互動(dòng)等 和防火墻實(shí)現(xiàn)聯(lián)動(dòng),能處理復(fù)雜問(wèn)題 支持單級(jí)、多級(jí)的系統(tǒng)管理 提供對(duì)大型數(shù)據(jù)庫(kù)的支持 策略庫(kù)支持在線升級(jí) 支持 IP 碎片重組數(shù)大于 50,000支持TCP流還原連接數(shù)大于800,000有效工作的流量范圍大于 70M4.3. 網(wǎng)絡(luò)設(shè)備的安全中心的網(wǎng)絡(luò)結(jié)構(gòu)中采用了大量的交換機(jī), 作為骨干交換設(shè)備的交換機(jī)往往也 是攻擊者發(fā)起攻擊的對(duì)象，一旦交換機(jī)被攻擊 （dos）,整個(gè)網(wǎng)絡(luò)可能存在癱瘓的 嚴(yán)重后果。交換機(jī)內(nèi)依賴的是固有的網(wǎng)絡(luò)操作系統(tǒng) ios （網(wǎng)絡(luò)設(shè)備操作系統(tǒng)） ， 解決交換機(jī)的安全性問(wèn)題也應(yīng)依靠口令和自身漏洞修補(bǔ)等多方面來(lái)考慮。中心互連設(shè)備中使用了大量的路由、交換設(shè)備。

26、他們都支持SNMP!單網(wǎng)管協(xié)議，并且目前我們的監(jiān)控體系是符合 SNM助、議來(lái)實(shí)現(xiàn)監(jiān)控功能的，這些設(shè)備 都維護(hù)著一個(gè)含有設(shè)備運(yùn)行狀態(tài)、 接口信息等資料的MIBS庫(kù)，運(yùn)行著SNMP勺主 機(jī)或設(shè)備可以稱為SNMPAGENT SNMP管理端和代理端的通信驗(yàn)證問(wèn)題僅僅取決 于兩個(gè) Community 值，一個(gè)是 Read Only （RO 值，另一個(gè)是 Read /Write （RW） 值，擁有 RO 值的管理端可以查看設(shè)備的一些信息包括名稱、接口、 ip 地址等； 擁有RW值的管理端則可以完全管理該設(shè)備。 令人擔(dān)憂的是，大多支持snmp的互 連設(shè)備都是處于運(yùn)行模式，至少有一個(gè) RO勺默認(rèn)值為PUBLI

27、C這樣會(huì)泄漏很多 重要信息。另外，擁有RW默認(rèn)值的設(shè)備在互聯(lián)網(wǎng)上也是很多。 加之SNMPV版本 本身的安全驗(yàn)證能力很低， 所以極易收到攻擊， 從而導(dǎo)致互連設(shè)備的癱瘓和流量 不正常，如果沒(méi)有冗余設(shè)備，那樣整個(gè)內(nèi)部網(wǎng)絡(luò)就會(huì)癱瘓?；ミB設(shè)備的弱管理口令，IOS版本太低也會(huì)使交換設(shè)備受到入侵和拒絕服務(wù) 攻擊，導(dǎo)致不能正常工作。網(wǎng)絡(luò)設(shè)備的安全性主要從管理終端口令、IOS系統(tǒng)漏洞和SNMP勺COMMUNITY 值問(wèn)題入手。（1） 內(nèi)網(wǎng)網(wǎng)絡(luò)設(shè)備安全保密解決措施：從官方站點(diǎn)下載交換機(jī)的最新 ios 版本，要做到及時(shí)升級(jí)；加強(qiáng)vty和con sole的管理口令強(qiáng)度，并且口令要求使用 md5加密存儲(chǔ)； 加強(qiáng) ena

28、ble 和 secret 密碼的強(qiáng)度，要求超過(guò) 8 個(gè)字符（字母和數(shù)字） 的長(zhǎng)度，并且和一般的 vty 和 console 口令不能相同； 加強(qiáng)snmp網(wǎng)管的private 和public 的community值的強(qiáng)度； 對(duì)vty終端和snmp的連接進(jìn)行安全訪問(wèn)控制，制定訪問(wèn)控制列表，僅 允許網(wǎng)管主機(jī)的連接訪問(wèn)。44VLA N安全保密在中心內(nèi)網(wǎng)的骨干三層交換機(jī)上進(jìn)行 VLAN劃分，配置三層路由，并配置路 由訪問(wèn)控制( Access List )列表，這樣做的優(yōu)點(diǎn)有：廣播流量限制：允許三層路由的單 VLAN中的通信廣播(尋址)不會(huì)散 布到其他VLAN中，極大的提高了網(wǎng)絡(luò)帶寬的利用率和工作效率；

29、初級(jí)訪問(wèn)控制：劃分 VLA N的網(wǎng)絡(luò)中，如果沒(méi)有三層路由訪問(wèn)控制的許 可，將不能訪問(wèn)其他VLAN中的系統(tǒng)。(1)內(nèi)網(wǎng)安全VLAN劃分解決措施：在中心骨干交換機(jī)上按不同應(yīng)用劃分 VLA N并配置三層路由，按照應(yīng)用 和職責(zé)配置訪問(wèn)控制列表 access-list ，重點(diǎn)保護(hù)內(nèi)網(wǎng)中重要的部門 vlan，在其它交換機(jī)上配置trunkon，使其識(shí)別骨干交換機(jī)的vlan劃 分和安全策略配置；將網(wǎng)絡(luò)設(shè)備的管理IP設(shè)置在受保護(hù)的Vlan中，并修改ACL使得其它網(wǎng) 段的主機(jī)無(wú)法遠(yuǎn)程登陸到交換機(jī)系統(tǒng)； 登陸交換機(jī)后對(duì)鏈路實(shí)施加密傳輸，保證信息不被竊取4.5. 入侵取證問(wèn)題安全這個(gè)概念永遠(yuǎn)沒(méi)有絕對(duì)， 攻擊和防范是一

30、個(gè)有先后次序的概念， 總是先 有新發(fā)現(xiàn)的攻擊手法，然后才會(huì)有針對(duì)該技術(shù)的防范，入侵檢測(cè)就是這個(gè)原理， 總是定義已有的攻擊特征進(jìn)行攻擊判斷， IDS 的學(xué)習(xí)功能也都是針對(duì)現(xiàn)有攻擊的 變種手法進(jìn)行學(xué)習(xí)和發(fā)現(xiàn)。 人們很難保證現(xiàn)有的安全措施能夠應(yīng)付新的攻擊， 信 息安全和現(xiàn)實(shí)世界的安全都是如此。攻擊取證就顯得尤為重要， 在可能出現(xiàn)的攻擊事件發(fā)生后， 找出攻擊者的身 份及其攻擊所采用的手段是非常重要的事， 其一可以幫助找出系統(tǒng)和現(xiàn)行的安全 體制中的弱點(diǎn)，其二是找出攻擊者后追究責(zé)任。(1) 攻擊取證解決措施：在重要服務(wù)其所在交換機(jī)上同樣設(shè)立一個(gè) span 端口，監(jiān)聽(tīng)整個(gè)交換機(jī) 的數(shù)據(jù)流量(和 nids 的

31、實(shí)施一樣)，將攻擊取證系統(tǒng)(黑匣子)接在 span 端口上，將管理控制端裝在網(wǎng)管機(jī)器上就可； 一旦新的攻擊發(fā)生，系統(tǒng)遭到入侵，管理員可以通過(guò)管理端察看取證系 統(tǒng)地分析結(jié)果，最終判斷攻擊步驟，手法和攻擊者的地址。(2) 取證系統(tǒng)的是網(wǎng)絡(luò)入侵檢測(cè)、系統(tǒng)日志和相關(guān)軟件聯(lián)合作用的結(jié)果五 . 應(yīng)用層安全體系本措施是為了保證信息的保密性、完整性、可控性、可用性和抗抵賴性，涉 密系統(tǒng)需要采用多種安全保密技術(shù)，如身份鑒別、信息加密、信息完整性校驗(yàn)、 抗抵賴、安全審計(jì)、入侵監(jiān)控、數(shù)據(jù)庫(kù)安全、網(wǎng)絡(luò)防病毒等。5.1. 操作系統(tǒng)安全中心服務(wù)器操作系統(tǒng)中以 Linux 和 windows 2000 Advanced S

32、erver 為主， 故系統(tǒng)的安全主要以此兩種操作系統(tǒng)的加固為主。Windows 9x 系統(tǒng)僅具有 D1 級(jí)的安全性，文件一旦在局域網(wǎng)上共享，根 據(jù)系統(tǒng)管理員日?？疾欤胀ㄓ脩粼O(shè)置訪問(wèn)口令的情形不多，并常常是 面向所有用戶共享。盡管中心設(shè)置了 VLAN但對(duì)于水平稍高的內(nèi)部黑客， 還是難以防護(hù)。目前已經(jīng)不再使用 Windows 9X 系統(tǒng)。Windows2000 系統(tǒng)和 Linux 系統(tǒng)。由于廣泛的應(yīng)用，發(fā)現(xiàn)的安全性問(wèn)題 比較多，幾乎每隔一段時(shí)間就有關(guān)于 windows 2000 和 Linux 的漏洞信 息發(fā)布在互聯(lián)網(wǎng)上。在系統(tǒng)用戶安全上面， 可以考慮使用系統(tǒng)平臺(tái)自身的安全特性， 如限制超級(jí) 用

33、戶的數(shù)目、增強(qiáng)密碼強(qiáng)度、定期察看LOG日志文件、對(duì)登錄情況進(jìn)行審計(jì)的手 段可以做到。 我們也將根據(jù)經(jīng)驗(yàn)， 針對(duì)一些常見(jiàn)的漏洞和錯(cuò)誤配置對(duì)服務(wù)器平臺(tái) 進(jìn)行安全加固， 這些主要是通過(guò)打補(bǔ)丁、 健壯配置和使用第三方安全監(jiān)控工具來(lái) 實(shí)現(xiàn)。5.1.1. 服務(wù)器系統(tǒng)安全解決措施(主要針對(duì) Linux )針對(duì) Linux 系統(tǒng)，先打上官方提供的所有補(bǔ)丁包；調(diào)整TCP/IP的內(nèi)核參數(shù)，提高系統(tǒng)抗攻擊性；使用漏洞掃描和評(píng)估系統(tǒng)掃描這些 Linux 系統(tǒng)，對(duì)出現(xiàn)的不安全配置進(jìn)行糾正，對(duì)發(fā)現(xiàn)存在安全漏洞的系統(tǒng)服務(wù)應(yīng)及時(shí)進(jìn)行升級(jí)；加強(qiáng) Linux 系統(tǒng)的安全配置問(wèn)題基本上可從以下幾個(gè)方面考慮，其一是考慮本地eepro

34、m的安全，將eeprom的安全級(jí)別至少提升至 comman（級(jí)別， 這樣在服務(wù)器的啟動(dòng)階段可以阻止匿名進(jìn)入光盤啟動(dòng)單用戶模式，做法可以 通過(guò)在 console 下鍵入 eeprom security-mode=command 來(lái)實(shí)現(xiàn)；其二是在CDE環(huán)境下使用 Admintool或修改/etc/inetd.conf或修改/etc/rc*d 下的服務(wù)啟動(dòng)文件來(lái)關(guān)閉一些與應(yīng)用無(wú)關(guān)的服務(wù)；其三是使用 /usr/sbin/ndd -set來(lái)改變一些tcp的內(nèi)核運(yùn)行參數(shù)，可以在不啟動(dòng)系統(tǒng)的情況下更改內(nèi) 核的安全配置；在 Linux 上使用 tripwire 對(duì)系統(tǒng)的主要配置程序文件如 login 等進(jìn)行保

35、護(hù)，我們使用 tripwire 默認(rèn)的保護(hù)文件列表，制定相應(yīng)的保護(hù)策略，對(duì) 系統(tǒng)進(jìn)行保護(hù)；利用中心現(xiàn)有的備份設(shè)備對(duì) Linux 系統(tǒng)進(jìn)行定期完全或增量備份，這樣 做的好處是可以在萬(wàn)一被破壞后能進(jìn)行完全恢復(fù)；激活嘗試登陸失敗記錄有效；審查 root 屬主的 setgid 和 setuid 程序；調(diào)整 TCP/IP 的序列號(hào)產(chǎn)生法；禁止R00用戶遠(yuǎn)程登陸；必要時(shí)采用主機(jī)入侵檢測(cè)系統(tǒng)。5.1.2. 服務(wù)器系統(tǒng)安全解決措施（主要針對(duì) Windows）所有的 windows 2000 客戶機(jī)應(yīng)至少打上 service pack3 ，并打上一些 新發(fā)現(xiàn)的漏洞補(bǔ)??；使用漏洞掃描和評(píng)估系統(tǒng)評(píng)估， 對(duì)發(fā)現(xiàn)的安全

36、配置和漏洞進(jìn)行及時(shí)修補(bǔ)， 使用網(wǎng)絡(luò)漏洞掃描和評(píng)估系統(tǒng)加強(qiáng) windows2000 系統(tǒng) 的 口令管 理力度，可 能的 情況下不要使 用 administrator 作為管理員用戶名，可以嘗試改名，最好擁有兩個(gè)管理員賬 號(hào)，然后建立針對(duì)管理員賬號(hào)的鎖定策略，禁用一些安全性較低的賬號(hào)如guest 的本地登錄能力；在 nfs 客戶機(jī)上設(shè)立普通用戶帳號(hào)，由中心的網(wǎng)絡(luò)管理員控制 nfs 客戶 機(jī)上的系統(tǒng)管理員帳號(hào)，一般人員使用普通賬號(hào)登錄；使用漏洞掃描和評(píng)估系統(tǒng)；對(duì)在 Windows2000Server 上運(yùn)行的程序進(jìn)行檢查， 防止出現(xiàn)應(yīng)用系統(tǒng)的 帳戶權(quán)限與操作系統(tǒng)相重合的現(xiàn)象出現(xiàn)；關(guān)閉不必要的服務(wù)，在

37、提高系統(tǒng)資源的同時(shí)降低可能存在的安全隱患； 檢查系統(tǒng)啟動(dòng)程序，確保無(wú)木馬等危害系統(tǒng)運(yùn)行的程序自動(dòng)運(yùn)行； 使用個(gè)人防火墻及防病毒軟件保護(hù)系統(tǒng)； 如果不是必要，關(guān)閉遠(yuǎn)程系統(tǒng)管理；修改應(yīng)用服務(wù)執(zhí)行者的權(quán)限，最好不要有超級(jí)用戶權(quán)限； 修改注冊(cè)表鍵值，關(guān)閉緩存用戶信息；如果有必要?jiǎng)t使用NTFS文件系統(tǒng)；設(shè)定安全策略；設(shè)定審計(jì)及日志信息；最好禁用 Netbios 服務(wù)；刪除所有不必要的應(yīng)用服務(wù)的示例文件；必要時(shí)采用主機(jī)監(jiān)控系統(tǒng)。5.1.3. 主機(jī)安全的解決方案主機(jī)安全問(wèn)題有其特定的問(wèn)題， 由于操作系統(tǒng)的問(wèn)題是隨著時(shí)間的延續(xù)而逐 漸出現(xiàn)的， 不是在進(jìn)行一次安全加固后就可以解決的， 所以使用安全工具是非常 好

38、的解決方法。對(duì)于工具的選擇是一個(gè)非常重要的，下面列舉出比較重要的幾個(gè)因素：能及時(shí)從網(wǎng)絡(luò)進(jìn)行升級(jí)；能針對(duì) Windows、Unix 兩種的操作系統(tǒng)進(jìn)行評(píng)估；提供定時(shí)掃描功能；能帶帳戶進(jìn)行掃描；能隨問(wèn)題給出解決方案；完善的分類報(bào)表功能；六 .網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)6.1. 單一防火墻功能的不足經(jīng)過(guò)防火墻的部署后， 企業(yè)網(wǎng)絡(luò)的安全水平有了很大的提高， 能夠抵御來(lái)自外 部網(wǎng)絡(luò)的大部分攻擊。 但是防火墻也有其功能上的不足， 一臺(tái)單一的防火墻并不 能形成一套安全的體系。防火墻的不足主要體現(xiàn)在以下幾個(gè)方面：雖然部署了防火墻，對(duì)網(wǎng)絡(luò)起到了很好的保護(hù)作用，但是畢竟有很多服 務(wù)要對(duì)外開(kāi)放，所以很多攻擊手法是防火墻無(wú)法阻

39、擋的。比如對(duì) WebServer的基于異常URL的攻擊，具體體現(xiàn)的例子有 CodeRed Nimda等等很多。如何及早發(fā)現(xiàn)這類攻擊方式并處理，是必須解決的問(wèn)題之一； 防火墻雖然可以擋住大部分攻擊，但是通常無(wú)法留下細(xì)節(jié)的攻擊記錄， 這對(duì)分析攻擊行為以及調(diào)查取證帶來(lái)了很大困難，而入侵檢測(cè)系統(tǒng)剛好 可以解決這一問(wèn)題；防火墻對(duì)其發(fā)現(xiàn)的入侵行為的報(bào)警功能種類不夠豐富，可能會(huì)影響對(duì)入 侵行為的響應(yīng)速度；防火墻不能防止它所保護(hù)的內(nèi)部網(wǎng)絡(luò)中同一網(wǎng)段之內(nèi)的相互攻擊；由于防火墻具有以上一些缺陷， 所以部署了防火墻的網(wǎng)絡(luò)安全體系還有進(jìn)一步 完善的需要。 而網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)正好可以彌補(bǔ)防火墻的這些缺陷， 同防火墻

40、密切的配合，共同保障網(wǎng)絡(luò)的安全。入侵檢測(cè)系統(tǒng)是對(duì)入侵行為的監(jiān)測(cè)和控制， 它通過(guò)監(jiān)視計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)的 運(yùn)行，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象， 一旦 發(fā)現(xiàn)攻擊能夠發(fā)出警報(bào)并采取相應(yīng)的措施，如阻斷，跟蹤等。同時(shí)，記錄受到攻擊的過(guò)程，為網(wǎng)絡(luò)或系統(tǒng)的恢復(fù)和追查攻擊的來(lái)源提供基本數(shù)據(jù)6.2. 入侵檢測(cè)系統(tǒng)的功能和優(yōu)點(diǎn)入侵檢測(cè)的功能和優(yōu)點(diǎn)主要體現(xiàn)在以下幾個(gè)方面： 能在網(wǎng)絡(luò)中基于內(nèi)容的檢測(cè)， 能夠在對(duì)看似合法訪問(wèn)的信息中發(fā)現(xiàn)攻擊 的信息（比如隱藏在URL中的攻擊行為），并做出相應(yīng)的處理； 能夠?qū)W(wǎng)絡(luò)的入侵行為進(jìn)行詳細(xì)完整的記錄，為以后的調(diào)查取證提供了 有力的保障； 對(duì)發(fā)現(xiàn)的入侵行

41、為有多種靈活的處理方式，比如：中斷非法連接、發(fā)出 電子郵件或傳呼警告等等； 不僅可以檢測(cè)來(lái)自外部的攻擊，還可以檢測(cè)來(lái)自內(nèi)部的相互攻擊；6.3. 入侵檢測(cè)系統(tǒng)選型網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是企業(yè)安全防護(hù)體系的重要補(bǔ)充， 那么我們需要什么樣的網(wǎng) 絡(luò)入侵檢測(cè)系統(tǒng) ? 我們根據(jù)客戶對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的要求以及我方自身對(duì)產(chǎn) 品的了解和經(jīng)驗(yàn)， 認(rèn)為一個(gè)優(yōu)秀的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)產(chǎn)品應(yīng)該滿足以下幾個(gè)方面 要求：? 優(yōu)秀的攻擊發(fā)現(xiàn)能力? 分布部署能力? 集中管理能力? 易于安裝使用? 自身安全性好下面我們就網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)產(chǎn)品選型問(wèn)題提出自己的建議。經(jīng)過(guò)對(duì)國(guó)內(nèi)外流行產(chǎn)品的分析， 我們決定推薦使用中科網(wǎng)威”網(wǎng)威”網(wǎng)絡(luò)入侵 檢

42、測(cè)系統(tǒng)?！本W(wǎng)威”網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是一款基于網(wǎng)絡(luò)的實(shí)時(shí)入侵偵測(cè)及響應(yīng)系 統(tǒng)，它監(jiān)控網(wǎng)絡(luò)傳輸并自動(dòng)檢測(cè)和響應(yīng)可疑的行為， 在系統(tǒng)受到危害之前截取和 響應(yīng)安全漏洞和攻擊行為， 從而最大程度地為企業(yè)網(wǎng)絡(luò)提供安全。 中科網(wǎng)威”網(wǎng) 威”網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的開(kāi)發(fā)受益于中國(guó)科學(xué)院的核心技術(shù)， 具有很高的技術(shù)水 平，獲得廣大用戶的好評(píng)。中科網(wǎng)威”網(wǎng)威”網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)有以下特點(diǎn)：功能特點(diǎn)1. ”網(wǎng)威” IDS具有3種工作模式，能夠滿足用戶各種網(wǎng)絡(luò)結(jié)構(gòu)要求：?jiǎn)尉W(wǎng)卡抓包雙網(wǎng)卡抓包網(wǎng)橋模式2”網(wǎng)威” IDS提供多種響應(yīng)方式。根據(jù)用戶定義，IDS警報(bào)事件在經(jīng)過(guò)系統(tǒng) 過(guò)濾后進(jìn)行及時(shí)響應(yīng)， 包括實(shí)時(shí)切斷連接會(huì)話、 重新配置防

43、火墻， 徹底屏蔽攻擊、 給管理員發(fā)送電子郵件、發(fā)送 SNMPTrap 報(bào)警、控制臺(tái)實(shí)時(shí)顯示、數(shù)據(jù)庫(kù)記錄等 等。性能特點(diǎn)1 在協(xié)議分析的基礎(chǔ)上，采用IP數(shù)據(jù)包分片重組、TCP數(shù)據(jù)流還原、應(yīng)用 解碼等技術(shù)分析、檢測(cè)，能夠識(shí)別各種偽裝或變形的，降低漏報(bào)率，同時(shí)去除干 擾，減少誤報(bào)率。2. 將“正則表達(dá)式 ”應(yīng)用在針對(duì)特征值的模式匹配檢測(cè)中， 大大減短檢測(cè)周 期。3. 網(wǎng)絡(luò)引擎軟件由三個(gè)模塊組成，保證了模塊相對(duì)獨(dú)立，引擎穩(wěn)定高效。模 塊間采用緩沖機(jī)制，確保高帶寬下數(shù)據(jù)丟失率低。管理特點(diǎn)1.引擎的集中管理：管理員在中央控制臺(tái)可以直接控制各個(gè)引擎的行為，包 括啟動(dòng)、停止、添加、刪除引擎，也可以按照引擎查看

44、、刪除、查詢實(shí)時(shí)警報(bào)。2引擎和控制臺(tái)的雙向連接方式：”網(wǎng)威” IDS 支持控制臺(tái)同時(shí)作為客戶端 和服務(wù)器（即同時(shí)從一個(gè)網(wǎng)絡(luò)引擎拉數(shù)據(jù)和向另外一個(gè)引擎推數(shù)據(jù)） ，這使得網(wǎng) 絡(luò)引擎和控制臺(tái)的部署可以滿足復(fù)雜網(wǎng)絡(luò)拓?fù)涞膶?shí)際需求。3可指定重點(diǎn)監(jiān)控對(duì)象4分級(jí)的用戶管理5提供OpenIDS接口：為了提高網(wǎng)絡(luò)安全產(chǎn)品之間協(xié)同工作、動(dòng)態(tài)防護(hù)的互操作性，中科網(wǎng)威提供了入侵偵測(cè)系統(tǒng)與防火墻互動(dòng)的開(kāi)放接口 -OpenIDS 6支持大型數(shù)據(jù)庫(kù)存儲(chǔ)：控制臺(tái)允許用戶將警報(bào)的信息改用大型數(shù)據(jù)庫(kù)來(lái) 存取、管理，如 MS SQL Server 等。易用性特點(diǎn) 1多種預(yù)制的策略模板：系統(tǒng)默認(rèn)提供六種模板，并且支持用戶自定義模 板

45、，允許用戶將自己定義的模板和系統(tǒng)的模板進(jìn)行導(dǎo)入導(dǎo)出的操作。2完善的策略自定義功能3豐富的報(bào)表類型：”網(wǎng)威”網(wǎng)絡(luò)入侵偵測(cè)系統(tǒng)提供了非常簡(jiǎn)便的全中文入 侵警報(bào)統(tǒng)計(jì)和報(bào)表工具。3報(bào)警信息的歸并4全中文界面5在線升級(jí)能力：系統(tǒng)支持在線遠(yuǎn)程升級(jí)策略庫(kù)，使系統(tǒng)的策略庫(kù)時(shí)刻保持防范的最前沿。自身安全性特點(diǎn)1通過(guò)串口管理引擎2網(wǎng)絡(luò)引擎操作系統(tǒng)強(qiáng)化安全：網(wǎng)絡(luò)引擎運(yùn)行于安全操作系統(tǒng)并經(jīng)過(guò)嚴(yán)格 配置。3專門設(shè)計(jì)的抗DoS攻擊能力：具備防御針對(duì)IDS的拒絕服務(wù)攻擊，采用 的重復(fù)事件過(guò)濾技術(shù)和其他監(jiān)控手段，使得針對(duì)IDS的DoS攻擊的沖擊降到最低。4采集網(wǎng)卡無(wú) IP5所有通信都進(jìn)行認(rèn)證和加密全面的產(chǎn)品資質(zhì)認(rèn)證中科網(wǎng)威”

46、網(wǎng)威”網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)具有如下的產(chǎn)品資質(zhì)認(rèn)證， 為用戶 提供滿意的產(chǎn)品：? 公安部銷售許可證? 國(guó)家信息安全測(cè)評(píng)認(rèn)證證書? 國(guó)家保密局技術(shù)鑒定? 軍用信息產(chǎn)品安全資質(zhì)認(rèn)證基于以上原因，我們選擇了中科網(wǎng)威”網(wǎng)威”網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。6.4. 入侵檢測(cè)系統(tǒng)部署企業(yè)網(wǎng)絡(luò)雖然進(jìn)行邊界保護(hù)，但僅是一個(gè)被動(dòng)防御的行為，對(duì)來(lái)自應(yīng)用層 的攻擊缺乏有效的監(jiān)控手段，我們建議在服務(wù)器群部分和重要網(wǎng)段部署中科網(wǎng) 威”網(wǎng)威”網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)， 對(duì)來(lái)自應(yīng)用層或繞過(guò)防火墻、 對(duì)服務(wù)器群的功擊 進(jìn)行監(jiān)控和阻截?！熬W(wǎng)威”入侵檢測(cè)系統(tǒng)分別部署在監(jiān)控網(wǎng)段的交換機(jī)之上， 通過(guò)端口鏡像， 對(duì) 交換機(jī)上的所有數(shù)據(jù)進(jìn)行監(jiān)控和分析。 同時(shí)在網(wǎng)

47、管網(wǎng)段配置一臺(tái)”網(wǎng)威”入侵檢 測(cè)的中央控制臺(tái)，對(duì)網(wǎng)絡(luò)中部署的 “網(wǎng)威”網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)進(jìn)行集中的管理 和監(jiān)控。1) “網(wǎng)威” 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)分為引擎與控制臺(tái)兩個(gè)部分。引擎系統(tǒng) 為一硬件設(shè)備，放在監(jiān)控網(wǎng)段的交換機(jī)上；而控制臺(tái)軟件安裝在內(nèi)部 網(wǎng)管工作站上。2) IDS 工作時(shí)，需要在交換機(jī)上配置 PortMirror 功能，將其他端口流量 映射某一端口上，引擎連接在交換機(jī)上該鏡像端口，由于 IDS 系統(tǒng)采 用數(shù)據(jù)緩沖技術(shù)，而不是存儲(chǔ)/轉(zhuǎn)發(fā)技術(shù)，所以不會(huì)影響網(wǎng)絡(luò)性能；3) 網(wǎng)管網(wǎng)段需要配置一臺(tái)PCServer，安裝NIDS控制臺(tái)，作為入侵檢測(cè) 系統(tǒng)的控制臺(tái)；4) “網(wǎng)威”網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)引擎能對(duì)檢

48、測(cè)到的所有進(jìn)出被保護(hù)網(wǎng)段 的訪問(wèn)行為并及時(shí)通知控制臺(tái)并依據(jù)控制臺(tái)的指令做出相應(yīng)的反應(yīng)(如報(bào)警、阻斷等)，同時(shí)”網(wǎng)威”入侵檢測(cè)系統(tǒng)還能和“長(zhǎng)城”等 防火墻進(jìn)行聯(lián)動(dòng)，即若入侵檢測(cè)系統(tǒng)的引擎檢測(cè)到違規(guī)的訪問(wèn)行為將 通知防火墻，防火墻將根據(jù)收到的信息自動(dòng)生成動(dòng)態(tài)過(guò)慮規(guī)則，將該 違規(guī)訪問(wèn)行為進(jìn)行阻斷，并通知引擎?！熬W(wǎng)威”網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)部署結(jié)構(gòu)，如下圖所示:網(wǎng)管網(wǎng)段1j網(wǎng)段1網(wǎng)段2網(wǎng)段n圖表“網(wǎng)威”入侵檢測(cè)部署圖6.5. 中科網(wǎng)威”網(wǎng)威”網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)產(chǎn)品介紹系統(tǒng)簡(jiǎn)介“網(wǎng)威”網(wǎng)絡(luò)入侵偵測(cè)系統(tǒng)是由北京中科網(wǎng)威信息技術(shù)有限公司積累多年 的安全產(chǎn)品開(kāi)發(fā)經(jīng)驗(yàn)， 在充分調(diào)研國(guó)內(nèi)外相關(guān)產(chǎn)品和精心準(zhǔn)備的基礎(chǔ)上獨(dú)立開(kāi)

49、發(fā) 的一款基于網(wǎng)絡(luò)的實(shí)時(shí)入侵偵測(cè)及響應(yīng)系統(tǒng)?！熬W(wǎng)威”系列產(chǎn)品在產(chǎn)品的檢測(cè)能力、 響應(yīng)能力以及系統(tǒng)自身的保護(hù)能力等 方面都進(jìn)行了精心的設(shè)計(jì)。 該系統(tǒng)作為防火墻的重要補(bǔ)充， 與防火墻組成動(dòng)態(tài)防 御、預(yù)警系統(tǒng)，它能夠監(jiān)視10M/100M/1000M局域以太網(wǎng)上傳輸?shù)乃芯W(wǎng)絡(luò)數(shù)據(jù) 信息，根據(jù)用戶指定的保護(hù)目標(biāo)及檢測(cè)策略對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進(jìn)行深度分析， 當(dāng)可疑行為或攻擊行為發(fā)生時(shí)立即產(chǎn)生警報(bào)， 同時(shí)根據(jù)用戶需要能采取多種響應(yīng) 措施，包括立即切斷連接會(huì)話、重新配置防火墻、發(fā)送 SNMPTrap 消息、發(fā)送電 子郵件等。系統(tǒng)采用引擎 /控制臺(tái)結(jié)構(gòu)，網(wǎng)絡(luò)引擎（以專用硬件形式提供）部署于網(wǎng)絡(luò) 中各個(gè)關(guān)鍵點(diǎn)，通過(guò)

50、網(wǎng)絡(luò)和中央控制臺(tái)（運(yùn)行于 Win dows平臺(tái)）交換信息。網(wǎng)絡(luò) 引擎軟件部分運(yùn)行于安全操作系統(tǒng)之上， 負(fù)責(zé)網(wǎng)絡(luò)數(shù)據(jù)的數(shù)據(jù)獲取、 分析、檢測(cè)， 對(duì)警報(bào)進(jìn)行過(guò)濾和實(shí)時(shí)響應(yīng)， 并發(fā)送給控制臺(tái)進(jìn)行顯示和記錄； 控制臺(tái)負(fù)責(zé)警報(bào) 信息的實(shí)時(shí)顯示、記錄、查閱等，并支持用戶定制檢測(cè)、響應(yīng)策略和控制網(wǎng)絡(luò)引 擎。. 主要功能“網(wǎng)威”網(wǎng)絡(luò)入侵偵測(cè)系統(tǒng)具備一般網(wǎng)絡(luò)入侵偵測(cè)系統(tǒng)的主要功能， 同時(shí)針 對(duì)網(wǎng)絡(luò)入侵偵測(cè)系統(tǒng)面臨的威脅和網(wǎng)絡(luò)入侵偵測(cè)系統(tǒng)發(fā)展方向開(kāi)發(fā)出多項(xiàng)具有 針對(duì)性的新功能， 此外該系統(tǒng)對(duì)于國(guó)內(nèi)外流行的防火墻 （包括中科網(wǎng)威“長(zhǎng)城” 防火墻）提供互動(dòng)接口，具有較完備的檢測(cè)、響應(yīng)、互動(dòng)能力，是一款高

51、效實(shí)用 的入侵防范工具，它的具體功能如下：521 引擎集中管理功能管理員在中央控制臺(tái)可以直接控制各個(gè)引擎的行為， 包括啟動(dòng)、停止、添加、 刪除引擎，也可以按照引擎查看、刪除、查詢實(shí)時(shí)警報(bào)。此外，在必要的時(shí)候用 戶還可以通過(guò)串口連接引擎主機(jī)，通過(guò)專用界面對(duì)引擎進(jìn)行控制，包括啟動(dòng)、 停 止、查看 /設(shè)置網(wǎng)絡(luò)接口狀態(tài)、查看引擎運(yùn)行狀態(tài)以及系統(tǒng)維護(hù)等。522 策略管理功能策略管理功能為用戶提供了一個(gè)根據(jù)不同網(wǎng)段的危險(xiǎn)程度， 靈活配置安全策 略的工具。網(wǎng)絡(luò)管理員可以利用策略管理功能， 輕松地針對(duì)特定的引擎定制策略， 以滿足不同的網(wǎng)段對(duì)網(wǎng)絡(luò)安全的要求， 同時(shí)可以自定義規(guī)則。 網(wǎng)絡(luò)管理員還可以 通過(guò)“對(duì)象管

52、理”菜單， 方便地對(duì)已經(jīng)制定的策略進(jìn)行網(wǎng)絡(luò)對(duì)象，服務(wù)對(duì)象，響 應(yīng)方式以及響應(yīng)對(duì)象修改。同時(shí)，策略管理功能還向用戶提供了入侵偵測(cè)規(guī)則的擴(kuò)充能力， 網(wǎng)絡(luò)管理員 可以根據(jù)自己需要定制入侵偵測(cè)規(guī)則， 直接應(yīng)用于網(wǎng)絡(luò)引擎， 很快實(shí)現(xiàn)網(wǎng)絡(luò)管理 員的安全意圖。523 實(shí)時(shí)入侵偵測(cè)功能能實(shí)時(shí)識(shí)別各種基于網(wǎng)絡(luò)的攻擊及其變形，包括 DoS攻擊、CGI攻擊、溢出 攻擊、后門探測(cè)和活動(dòng)等。 檢測(cè)攻擊或者可疑行為是一般入侵偵測(cè)系統(tǒng)的必要功 能，但是大多存在著誤報(bào)率和漏報(bào)率較高的問(wèn)題， ”網(wǎng)威”網(wǎng)絡(luò)入侵偵測(cè)系統(tǒng)部 分的解決了這個(gè)問(wèn)題，通過(guò)深入的應(yīng)用協(xié)議分析去除干擾并還原攻擊本來(lái)面目， 成功的降低了誤報(bào)率和漏報(bào)率， 使得大

53、量使用“安全掃描”類的黑客工具進(jìn)行的 變形攻擊毫無(wú)效果， 同時(shí)去除了干擾， 降低了誤報(bào)率并減輕了檢測(cè)引擎的工作壓 力，有利于提高性能。目前可以檢測(cè) 26大類， 1000 余種攻擊行為及其變形。 524 警報(bào)過(guò)濾功能能根據(jù)定制的條件， 過(guò)濾重復(fù)警報(bào)事件，減輕傳輸與響應(yīng)的壓力，同時(shí)還能 保證警報(bào)信息不被遺漏。它能夠明顯緩解目前針對(duì)網(wǎng)絡(luò)入侵偵測(cè)系統(tǒng)的 DoS攻擊, 使得系統(tǒng)能夠保持不間斷穩(wěn)定工作。525 實(shí)時(shí)響應(yīng)功能根據(jù)用戶定義， 警報(bào)事件在經(jīng)過(guò)系統(tǒng)過(guò)濾后進(jìn)行及時(shí)響應(yīng)， 包括實(shí)時(shí)切斷連 接會(huì)話、重新配置防火墻，徹底屏蔽攻擊、給管理員發(fā)送電子郵件、 發(fā)送 SNMPTrap 報(bào)警、控制臺(tái)實(shí)時(shí)顯示、數(shù)據(jù)庫(kù)

54、記錄等等。526 防火墻互動(dòng)開(kāi)放接口 OpenIDS為了提高網(wǎng)絡(luò)安全產(chǎn)品之間協(xié)同工作、 動(dòng)態(tài)防護(hù)的互操作性， 中科網(wǎng)威提供 了入侵偵測(cè)系統(tǒng)與防火墻互動(dòng)的開(kāi)放接口一 OpenIDS通過(guò)OpenIDS可以根據(jù) 設(shè)定好的阻斷時(shí)間，通知防火墻選擇的進(jìn)行相應(yīng) IP 地址、協(xié)議端口的阻斷。Ope nIDS現(xiàn)提供兩種接口方式：開(kāi)發(fā)包和可運(yùn)行的Age nt （目前支持Lin ux）， 不需要防火墻廠商進(jìn)行二次開(kāi)發(fā)。目前可以和”網(wǎng)威”網(wǎng)絡(luò)入侵偵測(cè)系統(tǒng)實(shí)現(xiàn)互動(dòng)的防火墻有包括： 中科網(wǎng)威 “長(zhǎng)城”防火墻、聯(lián)想“網(wǎng)御”防火墻、 CheckPoint FireWall-1 和天融信防火 墻等。527 報(bào)表統(tǒng)計(jì)和數(shù)據(jù)庫(kù)維

55、護(hù)功能“網(wǎng)威”網(wǎng)絡(luò)入侵偵測(cè)系統(tǒng)提供了非常簡(jiǎn)便的入侵警報(bào)統(tǒng)計(jì)和報(bào)表工具。 用 戶可以根據(jù)各種可選條件，例如：引發(fā)報(bào)警數(shù)據(jù)包的源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、警報(bào)產(chǎn)生的時(shí)間、危險(xiǎn)級(jí)別等等，使用單一條件或者復(fù) 合條件進(jìn)行查詢， 當(dāng)警報(bào)信息數(shù)量大、信息來(lái)源廣泛的時(shí)候，網(wǎng)絡(luò)管理員可以很 輕松的對(duì)警報(bào)信息進(jìn)行分類，從而突出顯示網(wǎng)絡(luò)管理員需要的信息?？刂婆_(tái)程序長(zhǎng)時(shí)間工作后會(huì)產(chǎn)生大量的冗余信息， 通過(guò)壓縮數(shù)據(jù)庫(kù)， 可以使 數(shù)據(jù)庫(kù)變得更精簡(jiǎn)，使程序工作效率更高， 更穩(wěn)定。當(dāng)數(shù)據(jù)庫(kù)達(dá)到一定大小的時(shí) 候，通過(guò)”網(wǎng)威”網(wǎng)絡(luò)入侵偵測(cè)系統(tǒng)的歷史數(shù)據(jù)維護(hù)程序， 網(wǎng)絡(luò)管理員可以根據(jù) 自己的需要導(dǎo)出某一個(gè)確切時(shí)間范圍內(nèi)的數(shù)據(jù)， 進(jìn)行備份， 以保證程序的正常運(yùn) 行和日后的查看。 數(shù)據(jù)導(dǎo)入功能則可以將備份的數(shù)據(jù)導(dǎo)入程序數(shù)據(jù)庫(kù)， 來(lái)查看歷 史警報(bào)信息。528 強(qiáng)大的策略模板管理功能系統(tǒng)默認(rèn)提供六種模板， 并且支持用戶自定義模板， 允許用戶將自己定義的 模板和系統(tǒng)的模板進(jìn)行導(dǎo)入導(dǎo)出的操作。529 提供大型數(shù)據(jù)庫(kù)轉(zhuǎn)換支持MS SQL控制臺(tái)允許用戶將警報(bào)的信息改用大型數(shù)據(jù)庫(kù)來(lái)存取、管理，如Server 等。5210 策略庫(kù)的在線升級(jí)支持系統(tǒng)支持在線遠(yuǎn)程升級(jí)策略庫(kù)，使系統(tǒng)的策略庫(kù)