安全方案面面观

来源：每周电脑报作者：出处：巧巧读书 2006-08-08 进入讨论组

　　编者按：近年来，网络的发展使人们的工作、生活发生了质的飞跃，与此同时，全社会网络与信息的安全受到了严重的威胁，一方面是由于Internet的开放性以及安全性不足，另一方面众多的攻击手段，

诸如病毒、陷门、隐通道、拒绝服务、侦听、欺骗、口令攻击、路由攻击、中继攻击、会话窃取攻击等等难以防护。为了保证信息系统的安全，需要具有保护功能、检测手段、攻击的反应以及事故恢复能力的完整的安全保障体系。本期方案擂台将向读者介绍六个典型的系统安全解决方案，希望读者从中能够得到借鉴与启发。
　　
　　方正打造安全“避风港”
　　
　　检察院网络系统的安全保障至关重要，病毒及黑客的入侵、信息泄漏等安全隐患时刻威胁着网络安全，破坏力量无法估算，如何避开病毒黑客攻击、防止信息泄漏、保障网络安全，成为检察院信息化建设中的核心问题。针对以上问题，安阳检察院采用了方正科技电脑公司最新推出的“方正政府信息避风港” 解决方案，“方正政府信息避风港”帮助用户在物理隔离网络环境中实现对Internet资源的安全访问与控制，其核心技术部分——方正Internet转播站，目前已被公安部认证为计算机信息系统安全专用产品（XKC30108）。
　　
　　系统快速构建，成本有效节约
　　
　　方正政府信息避风港方案的应用实施过程非常简单，经过方正技术人员简单的调试，该方案很快成功投入运行。
　　
　　方案应用简单，网络安全无忧
　　
　　方正政府信息避风港解决方案拥有四大主要功能，在实现物理隔离的安全要求同时，也满足了Internet浏览的应用需求。
　　
　　物理隔离防止黑客攻击物理隔离是方正政府信息避风港解决方案的安全基础，在这样的环境下，任何黑客攻击手段都会失效。
　　
　　智能下载过滤信息垃圾智能下载能够对Internet上的网站资源进行有选择、有控制地下载。通过智能下载得到的网站资源内容准确、完整、有效地过滤信息垃圾。
　　
　　单向同步杜绝信息泄漏单向同步是指数据从交换主机单向流动到发布主机，而没有反向流动的数据，这样的单向同步设计保证了内网的信息不会在同步的时候泄漏。
　　
　　网站发布再现网络生活网站资源到达发布主机后，发布主机就会把各个网站的资源归类、整理，建立起一个新的网站结构，并给浏览者提供网站资源的索引，方便内网用户安全浏览。
　　
　　防止入侵——金诺网安KIDS
　　
　　某集团公司的总部在上海，并在香港和其它地区设有分支机构，属于制造型企业。总部的计算机网络中心拥有公司最重要的设备和信息数据，其中最主要的应用为整个集团的ERP系统。各分支机构与集团总部采用租用专线来连接，形成企业自己的专网，网络中心同时还通过128K的DDN专线与Internet相连，内部员工可以对外进行浏览访问和使用自己的Mail系统，外界的人员也随时能访问该集团的Web网站，网络中基本采用了windows系统。
　　
　　需求分析
　　
　　该集团公司的防火墙配置比较简单，内部或外部的人员可以轻易的进行恶意攻击（如基于IPC的远程控制、IP地址盗用或基于Web的Unicode攻击和.printer攻击等）。为了保证网络的正常运行，公司选用了金诺网安入侵KIDS系统检测。KIDS是综合的入侵检测系统，它将主机入侵检测和网络入侵检测相结合，分别从计算机和网络的各个关键点收集违反安全策略的行为或被攻击的迹象，并且可以根据用户的需要实时报警和响应；可以防止来自外网的黑客入侵，也可以制止来自内网的恶意行为、误操作或资源滥用。
　　
　　系统设计
　　
　　金诺网安入侵检测系统是由网络传感器（NIDS）、主机传感器（HIDS）和管理控制台(Console)组成的分布式系统。网络传感器从网络数据包发现入侵的痕迹，主机传感器对主机系统的系统活动事件、日志信息进行分析，发现可疑行为。管理控制台对所有的传感器进行统一的集中式管理和监控。系统管理员可以通过一台管理控制台实施对全网的安全监控和管理。按照客户的实际应用情况，于是做了相应配置，如图所示。以防火墙为界线内部网形成2个主要的网段，分别在防火墙后面安装1台基于网络的网络传感器（NIDS），以能监控2个网段上的网络数据流，及时地发现网络上的危险行为。
　　
　　从应用的重要性来看，WWW 服务器、Mail 服务器、DNS服务器、数据库服务器及文件服务器Server-C是最需要被特别保护的，所以分别安装基于主机的主机传感器（HIDS），随时监视本地系统上的系统活动事件。
　　
　　一旦网络上或主机上的传感器探测到危险的事件发生，传感器将立即发出报警，报警信息可以通过发送文字、传真、电子邮件、手机短消息、寻呼等手段通知系统管理员，KIDS将所有的报警信息记到日志中，以备核查。同时传感器还能够针对恶意攻击进行实时响应，响应的手段有：中断TCP会话、伪造ICMP应答、根据黑名单断开、阻塞HTTP请求、模拟SYN/ACK等。另外，在网管中心也为用户配备了扫描器，对于一个完整的安全解决方案，漏洞检测与评估系统也是一个重要的组成部分。
　　
　　eTrust-端到端的防护
　　
　　CA公司的eTrust是一套全面管理电子商务环境安全的解决方案套件，它提供了能够保护从浏览器到大型主机的所有资源，并管理企业已有的安全架构,能解决网络访问、数据保护、用户身份识别以及架构管理等问题。eTrust系列产品分为三组解决方案：eTrust Defense、eTrust Access和eTrust Management，所有产品可由eTrust Portal进行集成管理。
　　
　　安全防御：eTrust Defense可以监测、分析、警告、防止和消除任何攻击，不管它们是恶意的移动代码、蠕虫、病毒、还是企图破环企业电子商务的黑客。eTrust Defense解决方案套件包括：
　　
　　
　　eTrust Content Inspection，可过滤邮件和浏览过程中所带有的恶意的JavaScript和ActiveX代码；
　　eTrust FireWall，可保证不同级别系统或与外系统互联的安全性；
　　eTrust Antivirus，可实施有效的网络防病毒；
　　eTrust Intrusion Detection，可及时发现黑客的攻击行为和可疑的网络活动，并且有效的阻止网络的滥用。
　　安全访问：eTrust Access提供基于策略的控制，通过在网络访问控制、PKI加密、数字化认证管理和VPN环境之间提供无缝的互操作性，为员工、客户、供应商和合作伙伴建立可靠的访问渠道。eTrust Access解决方案套件包括：
　　
　　
　　eTrust Directory，提供一个高度可扩展的目录管理解决方案，适于业务关键型大规模目录服务应用程序；
　　eTrust PKI，为电子化交易提供身份认证，身份认证引擎允许使用智能卡、密码令牌、生物技术的鉴别设备（指纹）及密码；
　　eTrust OCSPro，提供一个可扩展的分布式在线证书状态协议响应器。它提供面向应用程序的策略处理、分布式和负载的吞吐量管理以及与目录和PKI的强大集成；
　　eTrust Web Access Control，利用一系列广泛的身份认证方法实现对Web应用程序基于浏览器的安全访问；
　　eTrust VPN，自动保护虚拟专用网络（VPN）所有应用程序的流量，集中管理所有服务器，并通过深入挖掘查询和报告为综合分析提供详细审计日志。
　　安全管理：eTrust Management，提高管理安全功能的效率，使企业能够从一个中心对整个环境进行管理。它由许多已经被验证的eTrust软件解决方案组成，包括：
　　
　　
　　eTrust Access Control，提供主机安全访问控制功能，使用各种方法禁止越权访问，从根本上提升服务器的安全性；
　　eTrust Admin，跨企业系统和目录提供用户和资源的集中供给，降低安全管理的复杂度；
　　eTrust Policy Compliance，进行安全评估，将主机的安全风险降至最低。
　　eTrust Single Sign-On，通过单一登录，使基于浏览器的应用程序和基于客户机/服务器的应用程序的安全访问自动化；
　　eTrust CA-Top Secret Security和eTrust CA-ACF2 Security，能够确保关键信息资产的安全和完善性，实现大型主机上的数据和资源的有控制的共享；
　　eTrust Audit，使用一个可扩展的多层收集体系结构收集企业范围的安全和审计信息；
　　总之，eTrust安全管理解决方案涵盖了认证管理、风险评估、攻击检测及损失预防等解决方案，使系统管理员能够有效地防御和管理各种访问，确保复杂电子商务环境的安全。
　　玛赛构架OA防护体系
　　
　　重庆网通信息港宽带网络有限公司（以下简称重庆网通）OA系统作为内部员工的办公平台，不仅提供内部网络互连，还集中承担着内部办公系统及整个信息流的正常运转。但是原有的系统网络设计较为简单：Internet出口直接与路由器连接，OA系统应用服务器、应用数据库、办公PC均通过二层设备交换机连接在路由器的以太网端口。虽然全网已安装单机版防病毒软件，但缺乏必要、完整、可靠的安全措施，存在一定的安全隐患。针对重庆网通OA系统的现状，玛赛制定出一套涵盖网络安全防护系统、主机安全防护系统、应用软件系统、安全管理系统等方面的整体安全解决方案，为重庆网通OA系统建立起统一的安全防护体系，最大限度的保障内部资源的安全和整个系统的稳定运行。
　　
　　网络系统改造
　　
　　
　　防火墙实施与增强：针对重庆网通OA系统的要求，在Internet入口处、路由器后部署一台NetScreen 100F防火墙，以实现办公、业务、应用等各网络的隔离过滤。此款防火墙产品集成Websense过滤解决方案，可被配为DHCP服务器，支持多种工作方式，可以有效阻止不恰当的内容并拒绝非工作时间的内容，增强内部IP地址分配的可管理性，同时还具有监测多种D.o.S（拒绝服务攻击）攻击的能力。
　　
　　主机系统结构调整：将普通人员的工作用机与核心应用服务器用机进行隔离，并对服务器网段进行保护，即将重庆网通OA系统的核心应用服务器划分专门的网段，并从内网移出，至防火墙的DMZ区，这样既保证