長(zhǎng)沙網(wǎng)絡(luò)安全需求

21/211網(wǎng)絡(luò)安全背景隨著計(jì)算機(jī)技術(shù)、信息技術(shù)的進(jìn)展，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)已成為電信企業(yè)各項(xiàng)業(yè)務(wù)的關(guān)鍵承載平臺(tái)。另一方面，隨著國(guó)際互聯(lián)網(wǎng)的迅猛進(jìn)展、計(jì)算機(jī)技術(shù)開(kāi)放性的不斷提高、人們對(duì)計(jì)算機(jī)知識(shí)認(rèn)識(shí)的進(jìn)一步加深、企業(yè)信息平臺(tái)的向縱深擴(kuò)展，計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題已廣泛引起社會(huì)的注意，日益成為不可忽視的問(wèn)題；而一個(gè)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全休系的建立、健全也勢(shì)在必行。

長(zhǎng)沙電信網(wǎng)絡(luò)安全系統(tǒng)的建立，必將為長(zhǎng)沙電信的業(yè)務(wù)信息系統(tǒng)、繳費(fèi)系統(tǒng)、97工程等重要業(yè)務(wù)信息治理系統(tǒng)提供一個(gè)安全的環(huán)境和完整平臺(tái)。通過(guò)以下軟、硬件安全技術(shù)、加強(qiáng)企業(yè)治理方案綜合建立起的網(wǎng)絡(luò)安全系統(tǒng)，能夠極大地解決來(lái)自網(wǎng)絡(luò)外部及內(nèi)部對(duì)企業(yè)生產(chǎn)網(wǎng)絡(luò)安全造成的各種威脅，從而形成一個(gè)更加安全、健康的業(yè)務(wù)系統(tǒng)和辦公環(huán)境。網(wǎng)絡(luò)安全整體解決方案提供整體防病毒、防火墻、防黑客、數(shù)據(jù)加密、身份驗(yàn)證等于一身的功能，有效地保證秘密、機(jī)密文件的安全傳輸，嚴(yán)格地防止經(jīng)濟(jì)損失、泄密現(xiàn)象發(fā)生，幸免重大經(jīng)濟(jì)損失。2長(zhǎng)沙電信網(wǎng)絡(luò)現(xiàn)狀和計(jì)算機(jī)安全隱患2.1網(wǎng)絡(luò)、安全現(xiàn)狀長(zhǎng)沙電信的網(wǎng)絡(luò)結(jié)構(gòu)較復(fù)雜?，F(xiàn)我局計(jì)算機(jī)網(wǎng)絡(luò)為九六年建成，通過(guò)尋呼、移動(dòng)分家時(shí)沒(méi)有進(jìn)行任何改造；目前電信公司共有PC機(jī)二千多臺(tái)，服務(wù)器70多臺(tái)；營(yíng)業(yè)網(wǎng)點(diǎn)數(shù)量多，地理位置較分散，覆蓋面廣（含長(zhǎng)沙市、長(zhǎng)沙縣、望城縣、瀏陽(yáng)縣、寧鄉(xiāng)縣）連接方式多樣；內(nèi)部網(wǎng)絡(luò)連接Internet出口、方式較多且難以操縱；內(nèi)部網(wǎng)絡(luò)上承載電信公司內(nèi)部所的重要應(yīng)用系統(tǒng)：包括計(jì)費(fèi)系統(tǒng)，網(wǎng)管監(jiān)控系統(tǒng)，大97系統(tǒng)，企業(yè)網(wǎng)，繳費(fèi)系統(tǒng)，資源治理系統(tǒng)等等；寬敞職員的注意力集中在如何充分使用、利用它，而安全意識(shí)方面則較淡薄，相應(yīng)的治理規(guī)則、規(guī)范嚴(yán)峻匱乏，急待完善。2.2網(wǎng)絡(luò)全貌圖12.5客戶端現(xiàn)狀1、機(jī)器品種繁多，公司職員對(duì)計(jì)算機(jī)的認(rèn)識(shí)日益深化，存在職員在工作用機(jī)上隨意重裝自己喜愛(ài)的操作系統(tǒng)，造成操作系統(tǒng)混亂。共計(jì)如下：windows95、windows98、windowsme、windowsNT4、windowsNT6、windows2000個(gè)人版、windows2000服務(wù)器版、windowsXP甚至lunix等。每一個(gè)版本的操作系統(tǒng)都有自己的漏洞和補(bǔ)丁，如此多的版本在維護(hù)上帶來(lái)了極大的不便，在計(jì)算機(jī)安全上帶來(lái)一定的隱患。2、公司職員存在使用過(guò)程中私自更改機(jī)器名，IP地址，造成機(jī)器名混亂、IP地址沖突的現(xiàn)象時(shí)有發(fā)生。3、存在私自在生產(chǎn)、辦公用機(jī)上安裝軟件，而軟件來(lái)源不明，給網(wǎng)絡(luò)安全帶來(lái)了隱患。4、存在私自改造公司網(wǎng)絡(luò)布線結(jié)構(gòu)，且同時(shí)在辦公用機(jī)上安裝兩塊網(wǎng)卡，既連企業(yè)生產(chǎn)網(wǎng)又連通公網(wǎng)，未通知專(zhuān)業(yè)維護(hù)單位，造成維護(hù)困難。2.6存在安全隱患由于長(zhǎng)沙電信信息網(wǎng)上的網(wǎng)絡(luò)體系越來(lái)越復(fù)雜，應(yīng)用系統(tǒng)越來(lái)越多，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，逐漸由Intranet擴(kuò)展到Internet。內(nèi)部網(wǎng)絡(luò)通ADSL、ISDN、以太網(wǎng)等直接與外部網(wǎng)絡(luò)相連，對(duì)整個(gè)生產(chǎn)網(wǎng)絡(luò)安全構(gòu)成了巨大的威脅。

具體分析，對(duì)長(zhǎng)沙電信網(wǎng)絡(luò)及計(jì)算機(jī)系統(tǒng)安全構(gòu)成威脅的要緊因素有：應(yīng)用及治理、系統(tǒng)平臺(tái)復(fù)雜，治理困難，存在大量的安全隱患。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的連接為直接連接，外部用戶不但能夠訪問(wèn)對(duì)外服務(wù)的服務(wù)器，同時(shí)也容易地訪問(wèn)內(nèi)部的網(wǎng)絡(luò)服務(wù)器，如此，由于內(nèi)部和外部沒(méi)有隔離措施，內(nèi)部系統(tǒng)極為容易遭到攻擊。來(lái)自外部及內(nèi)部網(wǎng)的病毒的破壞，來(lái)自Internet的Web掃瞄可能存在的惡意Java/ActiveX控件。病毒發(fā)作情況難以得到監(jiān)控，存在大范圍系統(tǒng)癱瘓風(fēng)險(xiǎn)。缺乏有效的手段監(jiān)視、評(píng)估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如UNIX服務(wù)器，NT服務(wù)器及Windows桌面PC。治理成本極高，減低了工作效率。缺乏一套完整的治理和安全策略、政策，相當(dāng)多用戶安全意識(shí)匱乏。與競(jìng)爭(zhēng)對(duì)手共享資源（如聯(lián)通），潛在安全風(fēng)險(xiǎn)極高。上網(wǎng)資源治理、客戶端工作用機(jī)使用治理混亂，存在多點(diǎn)高危安全隱患。計(jì)算機(jī)環(huán)境的缺陷可能引發(fā)安全問(wèn)題；公司中心主機(jī)房環(huán)境的消防安全檢測(cè)設(shè)施，長(zhǎng)時(shí)刻未經(jīng)確認(rèn)其可用性，存在一定隱患。各重要計(jì)算機(jī)系統(tǒng)及數(shù)據(jù)的常規(guī)備份恢復(fù)方案，目前都處于人工治理時(shí)期，缺乏必要的自動(dòng)備份支持設(shè)備。目前電信分公司沒(méi)有明確的異地容災(zāi)方案，如出現(xiàn)災(zāi)難性的系統(tǒng)損壞，完全沒(méi)有恢復(fù)的可能性。遠(yuǎn)程拔號(hào)訪問(wèn)缺少必要的安全認(rèn)證機(jī)制，存在安全性問(wèn)題。3長(zhǎng)沙電信網(wǎng)絡(luò)安全需求分析網(wǎng)絡(luò)安全設(shè)計(jì)是一個(gè)綜合的系統(tǒng)工程，其復(fù)雜性絲毫不亞于設(shè)計(jì)一個(gè)龐大的應(yīng)用系統(tǒng)。長(zhǎng)沙電信信息網(wǎng)的安全設(shè)計(jì)，需要考慮涉及到承載的所有軟硬件產(chǎn)品及處理環(huán)節(jié)，而總體安全往往取決于所有環(huán)節(jié)中的最薄弱環(huán)節(jié)，假如有一個(gè)環(huán)節(jié)出了問(wèn)題，總體安全就得不到保障；具體就以下幾個(gè)方面來(lái)分析。物理安全：在設(shè)計(jì)時(shí)需要考慮門(mén)禁、防盜、防火、防塵、防靜電、防磁、電源系統(tǒng)等等。網(wǎng)絡(luò)結(jié)構(gòu)安全：通過(guò)層次設(shè)計(jì)和分段設(shè)計(jì)能夠更好的實(shí)現(xiàn)網(wǎng)絡(luò)之間的訪問(wèn)操縱，結(jié)構(gòu)設(shè)計(jì)需要對(duì)網(wǎng)絡(luò)地址資源分配、路由協(xié)議選擇等方面進(jìn)行合理規(guī)劃。通常應(yīng)該要求網(wǎng)絡(luò)集成商在網(wǎng)絡(luò)設(shè)計(jì)時(shí)對(duì)結(jié)構(gòu)安全加以考慮，并在運(yùn)營(yíng)維護(hù)過(guò)程中不斷改進(jìn)和完善。網(wǎng)絡(luò)安全：對(duì)重要網(wǎng)段加以愛(ài)護(hù)。通過(guò)防火墻做接入點(diǎn)的安全；通過(guò)掃描軟件對(duì)網(wǎng)絡(luò)范圍內(nèi)的所有提供網(wǎng)絡(luò)服務(wù)的設(shè)備進(jìn)行漏洞掃描和修補(bǔ)；通過(guò)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)動(dòng)態(tài)的愛(ài)護(hù)重要網(wǎng)段。系統(tǒng)安全：對(duì)網(wǎng)上運(yùn)行的所有重要服務(wù)器加以愛(ài)護(hù)，并從自身實(shí)施一定的安全措施。通過(guò)操作系統(tǒng)升級(jí)和打安全補(bǔ)丁減少系統(tǒng)漏洞；通過(guò)掃描軟件對(duì)服務(wù)器進(jìn)行漏洞掃描和修補(bǔ)；通過(guò)安裝基于主機(jī)的入侵檢測(cè)系統(tǒng)來(lái)愛(ài)護(hù)重要的服務(wù)器。數(shù)據(jù)庫(kù)安全：通過(guò)專(zhuān)業(yè)的數(shù)據(jù)庫(kù)掃描軟件檢測(cè)數(shù)據(jù)庫(kù)系統(tǒng)存在的安全漏洞并進(jìn)行修補(bǔ)，愛(ài)護(hù)關(guān)鍵應(yīng)用系統(tǒng)存放在數(shù)據(jù)庫(kù)中的數(shù)據(jù)。應(yīng)用系統(tǒng)和數(shù)據(jù)的安全：關(guān)于應(yīng)用系統(tǒng)的安全，一方面能夠借助掃描工具對(duì)軟件安裝的主機(jī)進(jìn)行評(píng)估，另一方面對(duì)應(yīng)用系統(tǒng)所占用的網(wǎng)絡(luò)服務(wù)、用戶權(quán)限和資源使用情況進(jìn)行分析，找出可能存在的安全問(wèn)題。關(guān)于數(shù)據(jù)的安全，通過(guò)使用防病毒產(chǎn)品進(jìn)行全方位的數(shù)據(jù)掃描服務(wù)，保證整個(gè)生產(chǎn)網(wǎng)處于安全無(wú)毒的環(huán)境。網(wǎng)絡(luò)安全是個(gè)長(zhǎng)期的過(guò)程，不僅需要有好的規(guī)劃設(shè)計(jì)，還要有良好的安全策略、及時(shí)的安全評(píng)估和完善的安全治理體系，綜合運(yùn)用各種安全工具，方能保證系統(tǒng)處于最佳安全狀態(tài)。4網(wǎng)絡(luò)安全的解決方案分析4.1網(wǎng)絡(luò)與服務(wù)器安全設(shè)計(jì)和調(diào)整在進(jìn)行安全規(guī)劃時(shí)，網(wǎng)絡(luò)自身的安全考慮往往容易被忽視，結(jié)果成為被黑客利用的“短木條”。實(shí)際上，專(zhuān)門(mén)多攻擊我們能夠通過(guò)良好的網(wǎng)絡(luò)設(shè)計(jì)和配置加以幸免和消除。網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)和具體配置按照如下的建議做出調(diào)整：盡快與尋呼、移動(dòng)網(wǎng)絡(luò)從物理上完全分離，并禁止私自更改機(jī)器名、IP地址。物理安全的愛(ài)護(hù)要緊網(wǎng)絡(luò)設(shè)備和各種業(yè)務(wù)服務(wù)器的安全（包括確認(rèn)防火、防盜，自動(dòng)煙霧檢測(cè)系統(tǒng)的工作正常）。毀滅性災(zāi)難發(fā)生時(shí)的異地容災(zāi)（從節(jié)約資金的角度，現(xiàn)要緊考慮數(shù)據(jù)磁帶的異地備份）。內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)層次分明，便于網(wǎng)絡(luò)隔離和安全規(guī)劃。網(wǎng)絡(luò)結(jié)構(gòu)具備高可靠性和高可用性（關(guān)鍵設(shè)備的負(fù)載均衡與功能互備）。應(yīng)用系統(tǒng)按其重要性分段，重要系統(tǒng)在條件許可時(shí)盡量集中放置，以便集中實(shí)施安全策略。維護(hù)人員的桌面機(jī)所在網(wǎng)段應(yīng)與重要網(wǎng)段邏輯上隔離。重要數(shù)據(jù)所在服務(wù)器使用防火墻進(jìn)行隔離針對(duì)桌面平臺(tái)現(xiàn)狀，制定規(guī)范化方案。良好的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)和配置，能夠消除網(wǎng)絡(luò)結(jié)構(gòu)不合理帶來(lái)的安全隱患，也能夠使得我們更好地實(shí)施更高層次的安全規(guī)劃。4.2防火墻的愛(ài)護(hù)網(wǎng)絡(luò)層的安全性首先由路由器做初步保障。路由器一般用于分隔網(wǎng)段。分隔網(wǎng)段的特性往往要求路由器處于網(wǎng)絡(luò)的邊界上。通過(guò)配置路由器訪問(wèn)操縱列表（ACL），能夠?qū)⑵溆米饕粋€(gè)“預(yù)過(guò)濾器”，篩分不要的信息流，路由器的ACL只能作為防火墻系統(tǒng)的一個(gè)重要補(bǔ)充，關(guān)于復(fù)雜的安全操縱，只能通過(guò)防火墻系統(tǒng)來(lái)實(shí)現(xiàn)。因目前INTERNET網(wǎng)的進(jìn)展，企業(yè)不訪問(wèn)公網(wǎng)，已屬不可能，且片面的自封閉政策也直接阻礙了電信業(yè)務(wù)在網(wǎng)上的進(jìn)展，大勢(shì)所趨是無(wú)法回避的，重要的是有足夠的安全措施及防范體系。在本次的安全建設(shè)中，我們提出如下的建議：在長(zhǎng)沙節(jié)點(diǎn)接入97骨干，數(shù)據(jù)中心接入網(wǎng)絡(luò)處架設(shè)防火墻，確認(rèn)防火設(shè)備的可用性。防火墻的安全策略能夠基于系統(tǒng)、網(wǎng)絡(luò)、域、服務(wù)、時(shí)刻、用戶、認(rèn)證、數(shù)據(jù)內(nèi)容、地址翻譯、地址欺騙、同步攻擊等等。通過(guò)制定相應(yīng)的安全策略，防火墻同意合法訪問(wèn)，拒絕所有無(wú)關(guān)的服務(wù)和非法入侵。目前主流的防火墻產(chǎn)品均采納狀態(tài)檢測(cè)技術(shù)，與其它技術(shù)相比，基于狀態(tài)檢測(cè)技術(shù)的防火墻在提供更多功能的同時(shí)提供了更好的性能。4.3安全評(píng)估系統(tǒng)現(xiàn)時(shí)期電信公司網(wǎng)絡(luò)內(nèi)服務(wù)器數(shù)量多，各種操作系統(tǒng)復(fù)雜，利用人工檢查系統(tǒng)的安全漏洞差不多不可能為系統(tǒng)正常運(yùn)行提供足夠的安全保證。我們只能利用各種安全方面的軟件和硬件輔助系統(tǒng)治理員來(lái)了解網(wǎng)絡(luò)和服務(wù)器當(dāng)前的安全狀況，并針對(duì)性的解決存在的安全問(wèn)題，進(jìn)而為企業(yè)的整體安全決策提供可靠依據(jù)。運(yùn)用安全漏洞掃描產(chǎn)品能夠較全面的評(píng)估企業(yè)范圍內(nèi)的所有網(wǎng)絡(luò)服務(wù)、防火墻、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等系統(tǒng)的安全狀況，找出存在的安全漏洞并給出修補(bǔ)建議（如ISS）。網(wǎng)絡(luò)掃描器產(chǎn)品：能夠掃描網(wǎng)絡(luò)范圍內(nèi)的所有支持TCP/IP協(xié)議的設(shè)備，掃描的對(duì)象包括NT/2000工作站/服務(wù)器、各種UNIX工作站/服務(wù)器、防火墻、路由器/交換機(jī)等等，通過(guò)模擬黑客攻擊手法，掃描目標(biāo)對(duì)象存在的安全漏洞，與黑客攻擊不同的是不做任何破壞活動(dòng)。在進(jìn)行掃描時(shí)，能夠從不同的網(wǎng)絡(luò)位置對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行掃描，例如在防火墻的內(nèi)側(cè)和外側(cè)的掃描效果不同，內(nèi)側(cè)掃描的結(jié)果真實(shí)、準(zhǔn)確，外側(cè)掃描能夠用來(lái)檢測(cè)防火墻或網(wǎng)絡(luò)的耐攻擊程度。另外也能夠依照不同的掃描對(duì)象選擇或定制不同的策略，如針對(duì)防火墻、UNIX服務(wù)器、NT服務(wù)器、Internet(WWW、DNS、MAIL)服務(wù)器、路由器交換機(jī)等等，掃描結(jié)束后生成詳細(xì)的安全評(píng)估報(bào)告。（如InternetScanner產(chǎn)品掃描的漏洞類(lèi)型高達(dá)900多種，是業(yè)界較好的網(wǎng)絡(luò)掃描器產(chǎn)品。）系統(tǒng)掃描器產(chǎn)品：利用此類(lèi)產(chǎn)品可對(duì)97工程重要服務(wù)器的操作系統(tǒng)定期進(jìn)行安全漏洞掃描和風(fēng)險(xiǎn)評(píng)估。在系統(tǒng)層上通過(guò)依附于主機(jī)上的掃描器代理偵測(cè)主機(jī)內(nèi)部的漏洞。在重要的服務(wù)器上安裝其的代理軟件（代理軟件支持NT/2000和各種UNIX操作系統(tǒng)），在網(wǎng)管中心的一臺(tái)NT工作站上安裝其操縱臺(tái)。系統(tǒng)掃描比較一個(gè)組織規(guī)定的安全策略和實(shí)際的主機(jī)配置來(lái)發(fā)覺(jué)潛在的安全風(fēng)險(xiǎn)，包括缺少的安全補(bǔ)丁、詞典中可猜中的口令、不適當(dāng)?shù)挠脩魴?quán)限、不正確的系統(tǒng)登錄權(quán)限、操作系統(tǒng)內(nèi)部是否有黑客程序駐留、不安全的服務(wù)配置等等。掃描結(jié)果可生成各級(jí)漏洞報(bào)告，可依照?qǐng)?bào)告中詳述的內(nèi)容修改操作系統(tǒng)中不安全的配置。掃描器代理的安全策略能夠通過(guò)系統(tǒng)掃描器操縱臺(tái)進(jìn)行集中治理和配置。系統(tǒng)掃描帶來(lái)了更強(qiáng)有力的針對(duì)基于主機(jī)的漏洞評(píng)估技術(shù)，它把快速的分析與可靠的建議結(jié)合起來(lái)，從而愛(ài)護(hù)服務(wù)器上的應(yīng)用程序、數(shù)據(jù)免受盜用、破壞或誤操作。同時(shí)能夠制定一個(gè)系統(tǒng)基線，制定打算和規(guī)則，讓系統(tǒng)掃描器在沒(méi)有任何監(jiān)管的情況下自動(dòng)運(yùn)行，一旦發(fā)覺(jué)漏洞立即報(bào)警。系統(tǒng)掃描器所實(shí)行的所有規(guī)則定義在每個(gè)代理的知識(shí)庫(kù)里，它同意用戶自己定義一個(gè)適合相應(yīng)平臺(tái)的規(guī)則，同時(shí)還同意進(jìn)行專(zhuān)門(mén)定義，當(dāng)網(wǎng)絡(luò)不通時(shí)代理也能夠進(jìn)行工作。（如SystemScanner產(chǎn)品）數(shù)據(jù)庫(kù)掃描器產(chǎn)品：可針對(duì)數(shù)據(jù)庫(kù)治理系統(tǒng)的風(fēng)險(xiǎn)評(píng)估檢測(cè)工具，能夠利用它建立數(shù)據(jù)庫(kù)的安全規(guī)則,通過(guò)運(yùn)用審核程序來(lái)提供有關(guān)安全風(fēng)險(xiǎn)和位置的簡(jiǎn)明報(bào)告。利用DatabaseScanner定期地通過(guò)網(wǎng)絡(luò)快速、方便地掃描數(shù)據(jù)庫(kù)，去檢查數(shù)據(jù)庫(kù)特有的安全漏洞，全面評(píng)估數(shù)據(jù)庫(kù)存在的認(rèn)證、授權(quán)、完整性方面的問(wèn)題。應(yīng)支持的企業(yè)現(xiàn)有的數(shù)據(jù)庫(kù)類(lèi)型有：MSSQLServer、Oracle和Sybase。不同的數(shù)據(jù)庫(kù)類(lèi)型有相應(yīng)的數(shù)據(jù)庫(kù)掃描器產(chǎn)品。對(duì)數(shù)據(jù)庫(kù)的掃描同樣生成詳細(xì)的安全評(píng)估報(bào)告。所有掃描器能夠依照掃描的結(jié)果為技術(shù)人員、部門(mén)領(lǐng)導(dǎo)生成不同的安全評(píng)估報(bào)告，為技術(shù)人員的生成報(bào)告列舉了所有的安全漏洞，分高、中、低三個(gè)風(fēng)險(xiǎn)級(jí)不，每個(gè)漏洞給出了詳細(xì)的講明并附修補(bǔ)建議，某些漏洞需要打補(bǔ)丁的還給出了下載網(wǎng)址。為治理人員生成的報(bào)告給出了匯總信息，使治理者了解整體安全狀況，提供決策指導(dǎo)。（如DatabaseScanner產(chǎn)品）網(wǎng)絡(luò)掃描器產(chǎn)品、數(shù)據(jù)庫(kù)掃描器產(chǎn)品在進(jìn)行安全掃描時(shí)，對(duì)網(wǎng)絡(luò)帶寬以及被掃描的機(jī)器的資源占用應(yīng)專(zhuān)門(mén)少，通常在3%以下；系統(tǒng)掃描器產(chǎn)品的代理軟件需安裝在被掃描的機(jī)器上，在掃描時(shí)與系統(tǒng)其它進(jìn)程共享資源，應(yīng)掃描時(shí)刻短，不超過(guò)十分鐘，并在不掃描時(shí)差不多不占用資源。網(wǎng)絡(luò)治理中心要配置一臺(tái)便攜式筆記本電腦安裝網(wǎng)絡(luò)掃描器產(chǎn)品，從不同的網(wǎng)絡(luò)位置掃描所有重要的應(yīng)用服務(wù)器、交換機(jī)路由器、防火墻等設(shè)備，該筆記本電腦還能夠同時(shí)安裝系統(tǒng)掃描器產(chǎn)品的Console以及數(shù)據(jù)庫(kù)掃描器產(chǎn)品。就長(zhǎng)沙電信公司目前規(guī)范來(lái)講，安全評(píng)估產(chǎn)品的具體配置要求如下：網(wǎng)絡(luò)掃描器產(chǎn)品全網(wǎng)需要掃描約100臺(tái)設(shè)備。包括相對(duì)重要的UNIX服務(wù)器工作站、NT服務(wù)器、路由器、交換機(jī)等等。系統(tǒng)掃描器產(chǎn)品約5套。配置在數(shù)據(jù)中心重要服務(wù)器上。數(shù)據(jù)庫(kù)掃描器產(chǎn)品forORACLE1套。4.4入侵檢測(cè)系統(tǒng)適當(dāng)配置的防火墻盡管能夠?qū)⒎穷A(yù)期的信息屏蔽在外，但防火墻不能檢查不通過(guò)它的訪問(wèn)請(qǐng)求，比如來(lái)自?xún)?nèi)部的攻擊就不能防范，據(jù)IDC統(tǒng)計(jì)，60%左右的成功的攻擊來(lái)自于內(nèi)部，內(nèi)部假如都使用防火墻就會(huì)使得整個(gè)系統(tǒng)的維護(hù)治理變得異常復(fù)雜；防火墻需要開(kāi)通必須的服務(wù)，內(nèi)部需要收發(fā)郵件、需要訪問(wèn)Internet、需要提供WWW和MAIL服務(wù)，在提供正常業(yè)務(wù)的同時(shí)也給了入侵者可乘之機(jī)，他能夠通過(guò)郵件或WEB掃瞄攻進(jìn)網(wǎng)絡(luò)，也能夠直接攻擊WWW和MAIL服務(wù)器；防火墻的策略配置復(fù)雜，需要考慮各種協(xié)議、Inbound和Outbound、地址欺騙、先后順序、隱藏策略、全局策略、目標(biāo)對(duì)象等眾多因素，稍有不慎就會(huì)出現(xiàn)防護(hù)漏洞；防火墻自身存在漏洞，目前最好的防火墻技術(shù)都不可幸免的存在如此或那樣的問(wèn)題，這在業(yè)界差不多是不爭(zhēng)的事實(shí)。防火墻的愛(ài)護(hù)是必要的，但絕不是僅僅的愛(ài)護(hù)手段，特不是在97網(wǎng)絡(luò)，應(yīng)用系統(tǒng)極其重要，能否正常運(yùn)行直接關(guān)系到電信的業(yè)務(wù)能否正常開(kāi)展。97需要一種動(dòng)態(tài)和主動(dòng)的愛(ài)護(hù)機(jī)制，時(shí)刻檢查和解析所有的訪問(wèn)請(qǐng)求和內(nèi)容，一旦發(fā)覺(jué)可疑的行為，及時(shí)作出適當(dāng)?shù)捻憫?yīng)，以保證將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險(xiǎn)最低”的狀態(tài)。這種動(dòng)態(tài)的愛(ài)護(hù)機(jī)制確實(shí)是入侵檢測(cè)系統(tǒng)?；谥鳈C(jī)的入侵檢測(cè)如安氏實(shí)時(shí)檢測(cè)系統(tǒng)代理產(chǎn)品(RealSecureOSsensor)對(duì)計(jì)算機(jī)主機(jī)操作系統(tǒng)進(jìn)行自主地，實(shí)時(shí)地攻擊檢測(cè)與響應(yīng)。一旦發(fā)覺(jué)對(duì)主機(jī)的入侵，RealSecure能夠立即切斷能夠的用戶進(jìn)程，和各種安全反映?；诰W(wǎng)絡(luò)和基于主機(jī)入侵檢測(cè)的結(jié)合如RealSecureServerSensor產(chǎn)品是一種新型的實(shí)時(shí)傳感器，它是在RealSecureOSSensor的基礎(chǔ)上加入了基于網(wǎng)絡(luò)入侵檢測(cè)的部分功能。ServerSensor比較類(lèi)似于OSSensor，它包含了OSSensor能夠監(jiān)控的所有系統(tǒng)事件，但在此基礎(chǔ)上，ServerSensor也能監(jiān)視網(wǎng)絡(luò)事件，只是，ServerSensor只監(jiān)控進(jìn)出該服務(wù)器的通信，而不是整個(gè)網(wǎng)段的通信。ServerSensor不僅能夠檢測(cè)到入侵，它也能通過(guò)堵塞某些網(wǎng)絡(luò)包來(lái)阻止入侵。RealSecureWorkgroupManager：提供集中統(tǒng)一的治理界面，用來(lái)治理各種探測(cè)器，收集它們發(fā)來(lái)的安全事件。在長(zhǎng)沙節(jié)點(diǎn)和97骨干之間、長(zhǎng)沙節(jié)點(diǎn)與四個(gè)縣之間、數(shù)據(jù)中心接入網(wǎng)絡(luò)處、PSTN，DDN接入網(wǎng)絡(luò)處安裝基于網(wǎng)絡(luò)的入侵檢測(cè)，實(shí)時(shí)監(jiān)控流入/流出網(wǎng)絡(luò)的數(shù)據(jù)流，解析存在的可疑數(shù)據(jù)，及時(shí)切斷連接，并反應(yīng)給安全治理員，保證內(nèi)部網(wǎng)絡(luò)不受到來(lái)自外部的攻擊。在重要服務(wù)器上安裝“基于網(wǎng)絡(luò)和基于主機(jī)入侵檢測(cè)”，實(shí)時(shí)監(jiān)控這些服務(wù)器的訪問(wèn)請(qǐng)求，檢查系統(tǒng)日志，解析可疑訪問(wèn)請(qǐng)求，及時(shí)反應(yīng)給安全治理員，幸免服務(wù)器受到來(lái)自?xún)?nèi)部和外部的訪問(wèn)攻擊。而他們的操縱臺(tái)是統(tǒng)一的，因此只需在網(wǎng)絡(luò)操縱中心添加一臺(tái)NTWorkStation安裝“基于主機(jī)的入侵檢測(cè)”操縱臺(tái)即可對(duì)全網(wǎng)所有的探測(cè)器進(jìn)行治理。也能夠在每個(gè)節(jié)點(diǎn)使用治理操縱臺(tái)。就長(zhǎng)沙電信公司目前規(guī)范來(lái)講，入侵檢測(cè)系統(tǒng)的具體配置如下：“基于網(wǎng)絡(luò)和基于主機(jī)入侵檢測(cè)”：長(zhǎng)沙節(jié)點(diǎn)和97骨干之間、長(zhǎng)沙節(jié)點(diǎn)與四個(gè)縣之間、數(shù)據(jù)中心接入網(wǎng)絡(luò)處、PSTN，DDN接入網(wǎng)絡(luò)處，在相應(yīng)的點(diǎn)上配置，一共大概8套?！盎谥鳈C(jī)的入侵檢測(cè)”：數(shù)據(jù)中心大概有5臺(tái)重要的服務(wù)器，如此需要5套，也可依照需要酌情增加。4.5病毒掃描和防范服務(wù)4.5.1群件/郵件服務(wù)器的病毒防護(hù)隨著電子郵件應(yīng)用日益普及，病毒又找到了一條重要的入侵的渠道。依照國(guó)際計(jì)算機(jī)安全協(xié)會(huì)（ICSA）1998年的報(bào)告，因使用電子郵件而中毒的事件已占所有中毒事件的３８％，2000年已達(dá)86%。象包括微軟在內(nèi)的幾家全球聞名企業(yè)，先后遭受到來(lái)自電子郵件的梅莉莎病毒(Melissa)、蠕蟲(chóng)病毒（EXPLOREZIP）、愛(ài)蟲(chóng)病毒（ILOVEYOU）的攻擊，致使企業(yè)郵件服務(wù)器關(guān)閉、企業(yè)內(nèi)重要資料丟失。愛(ài)護(hù)郵件服務(wù)器免受病毒攻擊的重要性應(yīng)放在相當(dāng)高的地位。4.5.2桌面客戶機(jī)的病毒防護(hù)網(wǎng)絡(luò)工作站的防護(hù)位于企業(yè)防毒體系中的最底層，對(duì)企業(yè)計(jì)算機(jī)用戶而言，也是最后一道查、殺、清、防病毒的實(shí)踐層。考慮到網(wǎng)絡(luò)中的工作站數(shù)量少則幾十臺(tái)，多則數(shù)百上千臺(tái)甚至更多。假如需要靠網(wǎng)管人員逐一到每臺(tái)計(jì)算機(jī)上安裝單機(jī)防病毒軟件，費(fèi)時(shí)費(fèi)勁，同時(shí)難以實(shí)施統(tǒng)一的防病毒策略，日后的維護(hù)和更新工作也十分繁瑣。4.5.3網(wǎng)關(guān)處病毒的防護(hù)在網(wǎng)關(guān)處對(duì)病毒進(jìn)行攔截，是效率最高的病毒防范方式，目的在于在病毒入口的源頭進(jìn)行病毒防范，達(dá)到阻止病毒從網(wǎng)關(guān)進(jìn)入內(nèi)部的作用。4.5.4病毒的中央操縱治理一個(gè)企業(yè)級(jí)的病毒系統(tǒng)，最重要的是對(duì)病毒的監(jiān)控可治理，好的病毒防范系統(tǒng)必須具備一個(gè)方便的強(qiáng)大的治理系統(tǒng)。4.6規(guī)范、統(tǒng)一計(jì)算機(jī)治理4.6.1統(tǒng)一