XXXXX公司 網絡安全建設建議方案(四)

2014-12-17 18:13:00
dxt001
原創
2324
摘要:多年以來,點線通一直秉承的是顧問式銷售模式,從不采用抄襲方案,所有方案均由公司資深售前工程師或網絡架構師與用戶溝通后進行設計和編寫。歡迎來電咨詢,獲取專業建議和為您定制的方案。

接 :XXXXX公司 網絡安全建設建議方案(三)



6.2.3.WWW入侵檢測系統的優勢

 

增強的入侵檢測技術

  ● 基于協議分析的智能模式匹配結合狀態分析技術、異常行為檢測技術,大大提高了準確度,減少了漏報、誤報現象。

  ● 通過優化的、專用的、高效的模式匹配算法,大大提高了檢測效率。

  ● 通過詳盡、細粒度的應用協議分析技術,大大提高了應用層攻擊檢測能力。

  ●  基于優化的TCP/IP協議棧及可疑網絡活動(SNA)處理器,增強了DoS、掃描等攻擊事件檢測能力。

  ● 內置2800種以上入侵規則,提供DoS、掃描、代碼攻擊、病毒、后門等各種檢測能力。

  ● 采用增強直接用戶空間訪問技術(EDUA)來提供數據包捕獲性能

  ● 通過重寫網卡驅動程序,使得網卡驅動程序與上層系統共享一塊內存區域,網卡從網絡中捕獲到的數據包直接傳遞給如情檢測系統,增強了網絡的驅動能力。

  ● 為了最大限度的提高的ip分片重組效率,采用了多線程分散式ip分片重組機制,從而大大提高了因ip分片重組造成的性能瓶頸。


 

6.3.漏洞掃描子系統設計

6.3.1.漏洞掃描部署方案

推薦****公司網絡采用手持式漏洞掃描設備,來實現對整體網絡平臺內網絡設備、服務器、終端和安全設備的掃描,發現網絡中存在的安全隱患,并根據安全隱患給出解決方案,方便網絡管理人員進行補救,將安全隱患修補在被攻擊者利用之前。具體的部署方式如下圖所示:


漏洞掃描部署示意圖


在****公司網絡安全建設中,我們推薦采用手持式網絡隱患掃描系統。選擇網絡隱患掃描系統,通過該設備的引入,要發揮出以下的作用:

6.3.2.漏洞掃描的作用

隱患掃描

漏洞隱患掃描是做好安全防護的第一步,其作用是在黑客攻擊之前,找出網絡中存在的漏洞,防患于未然。漏洞掃描器作為自動化的網絡安全風險評估工具,側重發生安全事故前這一階段。通過模擬黑客的進攻方法,對被檢系統進行攻擊性的安全漏洞和隱患掃描,提交風險評估報告,并提供相應的整改措施。先于黑客發現并彌補漏洞,防患于未然。預防性的安全檢查最大限度地暴露了現存網絡系統中存在的安全隱患,配合行之有效的整改措施,可以將網絡系統的運行風險降至最低。

針對國際互聯網上網絡系統中存在的主要弱點和漏洞,網絡隱患掃描系統集成了十幾大類實踐性方法,能全方位,多側面的對網絡安全隱患進行掃描分析,基本上覆蓋了目前網絡和操作系統存在的主要弱點和漏洞,具有強大的掃描分析能力。在網絡漏洞檢測中,榕基網絡隱患掃描系統將漏洞主要分為下列類別:

1.CGI攻擊測試

2.Finger攻擊測試

3.FTP測試

4.NIS測試

5.RPC測試

6.SMTP問題測試

7.Windows測試

8.端口掃描

9.防火墻測試

10.信息泄漏

11.后門測試

12.拒絕服務

13.網絡設備測試

14.遠程獲取shell

15.遠程獲取根權限

16.遠程文件訪問

17.雜項測試

18.SNMP測試

安全管理

網絡隱患掃描系統將所發現的隱患和漏洞依照風險等級進行分類,向用戶發出不同的警告提示,提交風險評估報告,并給出詳細的解決辦法。系統對可掃描IP地址進行了嚴格地限定,能有效地防止系統被濫用和盜用。

策略管理

榕基網絡隱患掃描系統針對不同用戶的需求,對掃描項進行合理的組合,更快、更有效地幫助不同用戶構建自己專用的安全策略。系統中預裝了多種常見的策略,您可以根據不同的安全需求,選取或自定義不同的掃描策略,對相應的設備進行掃描分析。

統計分析

網絡隱患掃描系統采用報表和圖形的形式對掃描結果進行分析,可以方便直觀地對用戶進行安全性能評估和檢查。榕基網絡隱患掃描系統不僅能發現系統存在的弱點和漏洞,還能給用戶提出修補這些弱點和漏洞的建議和措施,能給用戶建議保證系統安全的安全策略,最大限度地保證用戶信息系統的安全。

  掃描報告手持設備示意圖


掃描結果Word截圖示意圖


6.3.3.安拓榕基漏洞掃描產品特點

在本次網絡安全建設中,我們建議采用安拓榕基的機架式漏洞掃描系統。安拓榕基網絡隱患掃描系統除了能夠完全滿足****公司網絡對漏洞掃描系統的需求外,還具有以下的功能特點:


強大的漏洞庫

擁有豐富的檢測漏洞庫,目前漏洞數量達到1335條(2004年1月18號版本),同時保證每周五通過網絡或者本地數據包進行及時的升級。對于每條漏洞都有詳細的漏洞描述、CVE編號和可操作性強的漏洞解決方案,保證網管人員的方便使用。


自身高度安全性

l 可靠安全的操作系統平臺

嵌入式Linux操作系統和掃描程序主要模塊通過Cramfs(Compressed ROM File System)文件系統固化在flash中,需要升級的模塊通過Jffs(日式閃存Flash)文件系統寫入系統。經過優化的基于strongARM指令集的嵌入式LINUX操作系統屏蔽了所有不必要的端口和服務,為RJ-iTop奠定了可靠的安全操作基礎。

l 軟件設計采用了最先進的層次化軟件體系結構,框架清晰、運行穩定;

軟件各模塊的升級不會影響到程序的穩定,從而使先進性和可靠性得到了完美的統一。

l 多級的安全權限

系統有完備的安全設計,防止超越權限操作現象發生;系統分級分層授權,以保證信息的安全和保密;充分考慮在網絡、操作系統、數據庫、應用等方面的安全性

 

支持CVE國際標準

l 軟件遵循有關標準

RJ-iTop網絡隱患掃描系統遵循國家和軍隊網絡安全的相關標準,遵循現行行政法規。

l 漏洞庫基于國際CVE標準

完全基于國際CVE標準建立的安全漏洞庫,并通過網絡升級可以與國際最新標準同步。

 

6.4.防病毒子系統設計


6.4.1.防病毒的重要性

自從1983年世界上第一個計算機病毒出現以來,在不到20年的時間里,計算機病毒已到了無孔不入的地步,有些甚至給我們造成了巨大的破壞。因此病毒歷來是信息系統安全的主要問題之一。由于網絡的廣泛互連,病毒的傳播途徑和速度大大加快,造成的危害也不斷增加。

計算機病毒可按照其破壞的目標分為下列幾種類型:

l 程序型病毒:通常以文件擴展名為.COM/.EXE/.SYS/.DLL/.OVL或.SCR的程序文件作為其感染目標。由于程序文件的使用范圍極為廣泛,而且格式簡單,容易被病毒附身,因此成為病毒作者最愛下手的目標。

l 引導型病毒:以硬盤和軟盤的非文件區域(系統區域)為感染對象。這些區域通常是病毒從一臺計算機傳播到另一臺計算機最有效的傳播途徑。引導型病毒感染和傳播的成功率很高,往往比程序型病毒高出好幾倍。

l 宏病毒:以具有宏功能的數據文件為感染對象。Microsoft Word或Excel文檔和模板文件極容易遭受攻擊。由于被感染文件通常會通過網絡共享,或者放到Internet站點供大家下載,因此宏病毒的傳播速度相當驚人。

l 特洛伊木馬型的程序:由于它們并不會自我復制,常常不被歸類成病毒。但它們表面上看起來好象有某種用途或可以提供娛樂效果的程序。這種外表會鼓舞人們去執行它,實事上和古代戰役中的特洛伊木馬相似,其真正目的很可能恰好與外表相反,會對文件造成破壞,或在計算機中植入病毒。現在,BOBO病毒及其變形就是一種特洛伊木馬型的惡意程序,其最大壞處就是潛入計算機,竊取用戶的合法帳戶名和口令,使網絡入侵者侵入用戶網絡。

l 惡意網站。通過惡意代碼和IE漏洞侵害用戶,偷偷下載和運行帶有木馬的程序。

 

病毒入侵渠道分析:


對于病毒可通過網絡等多種情況進行入侵,需要針對每個可能入侵的途徑進行防護。

l   來自系統外部( Internet 或外網)的病毒入侵: 這是目前病毒進入最多的途徑。因此在與外部連接的網關處進行病毒攔截是效率最高,耗費資源最少的措施。可以使進入內部系統的病毒數量大為減少。但很明顯,它只能阻擋進出網關病毒的入侵。

l   網絡郵件 / 群件系統: 如果網絡內采用了自己的郵件 / 群件系統實施辦公和信息自動化,那么一旦有某個用戶感染了病毒,通過郵件方式該病毒將以幾何級數在網絡內迅速傳播,并且很容易導致郵件系統負荷過大而癱瘓。因此在郵件系統上部署防病毒也顯得尤為重要。

l   文件服務器:文件資源共享是網絡提供的基本功能。文件服務器大大提高了資源的重復利用率,并且能對信息進行長期有效的存儲和保護。但是一旦服務器本身感染了病毒,就會對所有的訪問者構成威脅。因此文件服務器也需要設置防病毒保護。

l   最終用戶:病毒最后的入侵途徑就是最終的桌面用戶。由于網絡共享的便利性,某個感染病毒的桌面機可能隨時會感染其它的機器,或是被種上了黑客程序而向外傳送機密文件(如“ SirCam ”病毒)。因此在網絡內對所有的客戶機進行防毒控制也很有必要。

6.4.2. 防病毒系統部署原則

針對 **** 公司網絡的防病毒需求,為建設一個整體防病毒系統,將貫徹以下 四點整體防毒的基本原則

l   防毒一定要實現 全方位、多層次防毒。需要部署了多層次病毒防線,分別是服務器、客戶端防毒、網關防毒,保證斬斷病毒可以傳播、寄生的每一個節點,實現病毒的全面防范;

l  網關防毒 是整體防毒的首要防線。在本方案中,我們將網關防毒作為最重要的一道防線來部署,全面消除外來病毒的威脅,使得病毒不能再從外網傳播進來,對內部網絡資源和系統資源造成消耗。同時,網關防毒這道防線上還 具備內容過濾功能,全面防范垃圾郵件的侵擾以及內部機密數據的外泄,在整個防毒系統中起到事半功倍的效果。

l   沒有 集中管理的防毒系統是無效的防毒系統。在本方案中,我們構建了跨子網的集中管理系統,保證了整個防毒產品可以從管理系統中及時得到更新,同時又使得管理人員可以在任何

時間、任何地點通過瀏覽器對整個防毒系統進行管理,使整個系統中任何一個節點都可以被管理人員隨時管理,保證整個防毒系統有效、及時地攔截病毒。

l   服務 是整體防毒系統中極為重要的一環。防病毒系統建立起來之后,能不能對病毒進行有效的防范,與病毒廠商能否提供及時、全面的服務有著極為重要的關系。這一方面要求廠商要有全球化的防毒體系為基礎,另一方面也要求廠商能有足夠的本地化技術人員作依托,不管是對系統使用中出現的問題,還是用戶發現的可疑文件,都能進行快速的分析和方案提供。


未完,待續《XXXXX公司 網絡安全建設建議方案(五)》
發表評論
評論通過審核后顯示。
文章分類
聯系我們
聯系人: 牟經理
電話: 028-85666248
傳真: 028-85666248-8008
Email: business@cd-dxt.com
QQ: 489323802
地址: 成都市二環路西一段80號金科雙楠天都2號樓
福彩3d相年富