新汶矿业集团安全决方案.doc

山东新汶集团网络整体安全解决方案第一章 前 言4第二章 XX软科集团简介52.1 XX软科集团背景52.2 XX软科集团优势6第三章新汶矿业集团计算机网络安全状况概述73.1 网络风险分析概述73.2新汶矿业集团网络风险分析9第四章安全需求分析104.1 针对系统内部数据库服务器和邮件服务器安全机制104.2 针对移动用户和各个单位应用服务器的安全机制104.3 针对防范内部攻击的安全机制104.4 针对社保、医疗的数据安全机制114.5 安全管理机制11第五章新汶矿业集团网络信息安全解决方案135.1 数据库服务器和邮件服务器安全解决方案135.2 移动用户和各个应用服务器安全解决方案195.3 内部系统安全解决方案325.4 数据库安全解决方案405.5 安全管理机制解决方案43第六章 支持、服务和培训46第一章 前 言随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势。但由于计算机网络具有连接形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络容易遭受黑客、恶意软件和其它不轨行为的攻击，所以网上信息的安全和保密是一个至关重要的问题。随着我国计算机网络的迅速发展，网络对于提高我们的工作效率和国民生产力起着越来越大的作用。单位OA等系统也逐步建立起专用的跨地域、跨部门、跨系统的网络。对于新汶矿业集团计算机网络系统而言，该系统中连接十五个村矿数据信息的传输，其信息的安全和保密尤为重要。因此，该部分的网络系统必须采取足够强的安全措施。由于无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的脆弱性和潜在威胁。因此，网络的安全措施应是针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。第二章 XX软科集团简介2.1 XX软科集团背景XX软科集团是专业从事网络信息安全产品开发、销售、系统集成与技术咨询、技术服务的高新技术企业。公司以维护国家信息系统安全为己任，不断跟踪信息安全理论的最新发展，结合我国国情，经来自总参、清华、北大等几十位国内一流的网络安全技术专家的长期潜心开发，推出了一系列具有鲜明民族特色的网络安全产品。如：网络安全检查系统(HBNSS)、网络监管系统(HBNetEye)、XX网络防火墙(HBNetWall).以上产品均已获得由公安部颁发的计算机信息系统安全专用产品销售许可证，并先后通过了中国国家信息安全评测认证中心的严格认证和国家保密局组织的国家级权威技术鉴定。XX软科集团的宗旨是以人才为根本、以技术为核心、以产品为依托、立足市场、面向行业、服务用户、开拓进取。公司坚持客户满意、员工满意、股东满意的经营目标。集团的发展战略是专业化、民族化、规范化：即以网络安全产品与服务提供商为集团发展明确定位，经营专业化；以维护国家、民族的信息安全利益为己任，品牌民族化；学习、采用、建立现代企业制度，运作规范化；学习、吸收、建立世界上先进的企业领导管理模式，管理现代化。我集团力争用2年至3年的时间，成为国内一流、国际领先的网络安全产品、服务、网络安全整体解决方案提供商。2.2 XX软科集团优势2.2.1 具有丰富的Internet/Intranet及Web技术经验XX软科集团注重将研究工作与项目实施相结合，将理论研究成果运用于项目实施中并从项目实施中发现新的研究课题与方向，使两者相互促进、相互发展。在进行理论研究与产品开发的同时，我们也实施了一系列Intranet工程项目，如广州药业、郑州电力、辽河油田等大型项目都是对我们XX软科集团在Internet/Intranet技术与WEB技术水平上的检验。2.2.2 具有丰富的软件开发技术经验作为民族软件产业的一员，XX软科集团始终把国家的安全和利益放在首位，利用自己的研究和技术优势，立足于自主研制、自主开发国内的网络安全产品，目前已取得一定成果，其代表性产品有HBNSS、HBNetWall及HBNetEye都已通过国家鉴定并获得好评。目前，在国内从事网络安全的专业公司中，XX软科集团属于拥有自主知识产权最多的几个企业之一。第三章 新汶矿业集团计算机网络安全状况概述3.1 网络风险分析概述通常讲计算机网络系统所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。新汶矿业集团网络系统安全分析的目的是明确通信资源所遭受的安全威胁、系统的安全威胁。人为的恶意攻击网络系统资源，这是该系统所面临的最大威胁，非法用户的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息、网络拓扑结构信息等；另一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性，以及非法访问网络设备和主机系统甚至进一步控制网络和主机。这两种攻击均可对新汶矿业集团的网络系统造成极大的危害，危害网络的正常运行，并导致敏感数据的泄漏。被动攻击一般在信息系统的外部进行，即来自公共网或搭线发起的攻击，它们对信息网络本身一般不造成损坏，系统仍可正常运行，但有用的信息可能被盗窃并被用于非法目的。被动攻击主要包括信息窃取、密码分析和信息流量和流向分析。信息窃取：内外攻击者从传输信道、存储介质等处窃取信息。如无线传输信号侦收、搭线窃听、窃收数据文件等。密码分析：对截获的已加密信息进行密码破译，从中获取有价值的信息。信息流量和流向分析：对网络中的信息流量和信息流向进行分析，然后得出有价值的情报。对新汶矿业集团网络系统来说，安全系统的最大隐患来自于来自系统内部的攻击，这些攻击可能造成无法预料的损失，因为在系统内部根本就没有防范措施，可能的主动攻击手段主要包括：入侵：通过系统或网络的漏洞、搭线、远程访问、盗取口令、借系统管理之便等方法进入系统，非法查阅文件资料、更改数据、拷贝数据、甚至破坏系统、使系统瘫痪等。如系统管理员、内部操作员都较容易进入系统进行攻击，熟悉计算机系统的“黑客”也能轻易进入网络发起攻击。假冒：假冒合法用户身份、执行与合法用户同样的操作。篡改：篡改机要数据、文件、资料（增加、删除、修改）。插入：在正常的数据流中插入伪造的信息或数据。重放：录制合法、正常的交互信息，然后在适当时机重放。阻塞：使用投放巨量垃圾电子邮件、无休止访问资源或数据库等手段造成网络的阻塞，影响正常运行。抵赖：实施某种行为后进行抵赖,如否认发送过或接受过文件。3.2新汶矿业集团网络风险分析从新汶矿业集团计算机网络总体结构图和局中心网络拓扑图可以了解到，整个新汶矿业集团网络通过DDN的方式和Internet相联接，后面紧接的是CISCO的PIX防火墙，防止了来自Internet的不安全因素；另外还有一些远程辅助单位采用ISDN的方式连接到CISCO 3640 认证路由器，保证了各个辅助单位远程传递数据信息的安全可靠性；但是从整体的网络状况来看，还存在着以下几点安全隐患：a. 连接在中心交换机上的数据库服务器和邮件服务器，存在着安全隐患，虽然可以防止来自Internet的攻击，对于来自内部的攻击没有进行防范，据有关部门统计，80%的攻击来自于系统的内部。b. 移动用户和各个村矿的应用服务器，本身的安全机制没有达到一定的安全标准。c. 假如系统内部对内部有意或者无意的攻击，整个系统没有一点安全防范。d. 社保和医疗两个系统的数据库应该没有采取相应的安全保护。e. 安全管理也是存在的风险隐患之一，安全管理是网络安全的灵魂，没有健全的安全管理机制，即使在安全的网络环境那只是一个傀儡。第四章 安全需求分析根据以上对新汶网络系统安全风险分析，我们提出该系统现阶段安全需求分析：4.1 针对系统内部数据库服务器和邮件服务器安全机制在数据库服务器和邮件服务器和中心交换机(BAY ACCELAR 1200)之间加上一道防火墙，通过对防火墙的规则进行合理的设置可以保证两个服务器的安全，还可以按照自己的需求那一部分人访问，不需要那一部分人访问，从而提高了数据库服务器和邮件服务器的安全性。4.2 针对移动用户和各个单位应用服务器的安全机制因为新汶集团下属的村矿比较多，相应的各种应用服务器和移动用户也比较多，如果在每一个村矿都安装一台防火墙，不仅成本很高，而且对系统的维护提高了很大的难度，所以我们应该从自己自身下手，提高各个应用服务器和移动用户系统的安全性，防范于未然，采用我们的网络安全检查系统，每隔一段时间对系统进行一次风险评估，从而提高系统的稳定性和安全性。4.3 针对防范内部攻击的安全机制因为80%以上的网络攻击来自与系统内部，所以对系统内部的防范更为重要，内部员工可能利用自己的工作职责等方便因素，进行一些非法的活动。采用我们的网络安全监管系统可以有效的防止这些，通过把我们的网络传感器安装在交换机上，不管是来自那个系统，还是移动用户或者是系统外部的攻击我们都可以察觉到。我们还可以限制移动用户的拨号，从而提高了这个系统的安全性。4.4 针对社保、医疗的数据安全机制一直以来，硬盘是最常被使用的储存装置。不过在整个计算机系统架构中，跟微处理器与内存相比，硬盘的速度却是属于最弱的一环。因此，为了消化计算机整体的资料流，增加储存系统的吞吐量，并且改进硬盘的安全性，磁盘阵列的概念便应运而生。因为贵单位的医疗、社保都是两个比较重要的系统，设计到很多的方面，所以数据库对安全的要求也由为重要，为此我们为贵公司的数据库安全采用磁盘阵列，这样可以保证数据的安全和备份，从而很大程度地降低了安全的隐患。4.5 安全管理机制安全管理是新汶矿业集团网络系统安全的灵魂。网络信息系统安全管理体系由相应的法律法规、制度管理和培训管理三部分组成。建议新汶矿业集团在国家有关安全部门的指导下成立相应安全管理组织。该组织的职责为遵照国家相关法律法规，制定相应的安全管理制度，对工作人员进行安全教育和管理，指导、监督、考查安全制度的执行。系统的安全保障不仅靠安全的硬件和软件设计，还要靠完善而严谨的安全制度。因此，在网络安全中，除了采用上述技术措施来确保新汶矿业集团网络数据信息的安全，加强网络的安全管理，制定有关规章制度，对于确保网络的传输安全、可靠地运行，将起到十分有效的作用。第五章 新汶矿业集团网络信息安全解决方案5.1 数据库服务器和邮件服务器安全解决方案防火墙是指设置在不同网络（如可信任的内部网和不可信任的外部网）或网络安全域之间的一系列部件组合。它是不同网络或网络安全域之间信息的唯一出口，能根据企业的安全政策，通过对IP地址、TCP/UDP端口、ICMP类型域等各个级别的详细配置控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙是在内部网与外部网之间实施安全防范的系统，可被认为是一种访问控制机制，用于确定哪些内部服务允许外部访问。它由网络管理人员为保护自己的网络免遭外界非授权访问但又允许与Internet连接而发展起来的。从网际角度讲，防火墙是在两个网络之间执行控制策略的系统，目的是保护网络不被可疑人侵扰。本质上，它遵从的是一种允许或阻止业务往来的网络通信安全机制，提供可控的过滤网络通信。 防火墙作为局域网络安全的屏障，其主要目标是保护局域网络资源，强化网络安全策略；防止内部信息泄露和外部入侵；提供对网络资源的访问控制；提供对网络活动的审计、监督等功能。所以在新汶矿业集团网络系统安全方案中，我们建议使用XX软科集团的HBNetWall防火墙III型（三网卡）,将数据库服务器和邮件服务器放在防火墙的后面，并通过防火墙的配置策略对他们提供特别保护。一般的情况下，这些服务器的地址是不能被隐藏的，而XX软科集团的防火墙具有虚拟主机的功能，就可以隐藏这些服务器的地址，并可获得负载均衡的功能。A主要功能多端口结构防火墙产品具有三个或三个以上独立的网络接口，将受控网络从物理上分开，提高了安全保护，同时方便网络互连。透明连接方式防火墙利用了透明防火墙技术，添加防火墙后，用户网络配置修改，对用户来说是透明的。有状态检测过滤技术包过滤功能依据过滤规则是对指定IP包进行包过滤，并且依据用户策略对过滤的包进行统计和日志记录支持。为保证系统的安全性和提高防护能力，增强控制的灵活性，防火墙采用了多级过滤措施，提供基于TCP、UDP和ICMP端口、网络地址鉴别与控制方式。网络地址转换技术防火墙利用NAT技术能透明地对内部地址作转换，使外部网络无法了解内部网络结构，提高受控网络安全性，同时解决用户保留地址的互联网接入问题。非军事区的访问控制为适应越来越多的用户向Internet上提供服务时对服务器保护的需要，防火墙采用特别的策略对用户的公开服务器实施保护，它利用独立网络接口连接非军事区公开服务器网络。它既实现了对非军事区公开服务器自身的安全保护，同时也避免了非军事区公开服务器对内部网的安全威胁。用户鉴别为了降低防火墙产品在Web管理的安全风险，采用面对用户的客户端。 一次性口令技术。入侵检测防火墙能够对主机进行跟踪，通过实时截获网络数据流，进行智能识别，发现网络违规模式和未授权的网络访问尝试，当触发敏感策略，能够进行记录，并向报警主机报警。透明代理防火墙提供对常用高层应用服务（HTTP、FTP、SMTP、POP3等）的透明代理。这些代理对用户时透明的，用户设置了此项后就不需要设置代理服务器地址。传输加密为了防止管理员与防火墙之间的通信被窃听，将传输的数据进行加密，进一步增强了防火墙的安全性。日志与审计防火墙产品的日志与审计功能十分健全，有对应管理体系的分类日志（管理日志，通信事件日志，错误日志）、有时间对应的当日日志。日志内容包括事件时间、事件摘要以及错误原因等。并可以对日志进行方便的管理。 防火墙有自己的日志客户端，防火墙将记录的日志实时的发送到日志客户端，保证了日志的完整性和可靠性。日志服务单独开一个端口，传送数据。用户定制服务防火墙使用模块化设计，可依据用户的特定安全需求定制。防火墙的抗攻击能力作为一种安全防护设备，防火墙在网络中自然是众多攻击者的目标，故抗攻击能力也是防火墙的必备功能。防火墙系统采取了多种安全措施，可以防范Internet环境中针对防火墙的攻击，如：抗IP假冒攻击、抗特洛伊木马攻击、抗TCP SYN Flooding攻击、抗IP协议栈攻击、拒绝服务攻击等。安全管理防火墙的管理支持对防火墙的本地和远程的管理，系统配置只能通过本地管理进行，远程管理必须要通过认证才能进行，保证了产品的安全性。 防止IP地址欺骗防火墙可以确定收包的网络接口，防止受控网段间的IP地址欺骗，阻止对网络资源的非授权访问。 支持串口配置、升级可通过串口进行防火墙系统配置，而且可以通过串口对防火墙进行升级。 流量统计功能管理员可查看内网用户的数据流量，也可设定某个组，查看整个组的数据流量，该项可根据用户需要定制模块化服务，如流量控制、流量计费等功能。 用户分级管理网络管理者可根据实际需求定制安全方案，实施不同等级的管理。 MAC地址绑定功能 用户可根据内网主机IP地址查询并绑定其MAC地址，实行绑定之后可根据安全策略的设置，设置部分主机的网络连接规则。用户不可随意更改自身的IP地址，即使更改后，也不可进行非法连接。 IP分组管理通过此项的设置，大大方便内网用户和DMZ（停火区）主机进行分组管理。 IP伪装IP伪装是对用户访问其他网段，对外出的IP地址进行伪装，是外部网络看不到内部网络的情况。l 黑客陷阱功能当发现有黑客攻击的时候，可以把攻击引导到陷进机上，防止黑客对网络的破坏。通过对防火墙进行合理的设置之后，就可以保证数据库服务器和邮件服务器的安全。5.2 移动用户和各个应用服务器安全解决方案网络安全检查系统又称作安全扫描工具，它源于黑客在入侵网络系统时采用的工具，其原理是根据已知的安全漏洞知识库，对目标可能存在的安全隐患进行逐项检查，然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告作为后者进行风险评估（Vulnerability Assessment）、提高网络安全整体水平产生重要依据。安全扫描工具基本上分为基于主机和基于网络两种。基于主机的检测技术：现代操作系统代码数量巨大，很难避免产生安全漏洞；而且，随着操作系统的功能不断强大，其配置越来越复杂。面对横跨多种平台、不同版本、不同种类的操作系统，系统管理员显得力不从心，经常会造成配置上失误，产生安全问题。系统安全漏洞涉及口令设置、文件权限、账户管理、组管理、系统配置等。基于主机的检测技术，主要检查操作系统本身固有的安全漏洞和系统文件的不安全配置。并指示用户如何修补漏洞以使操作系统安全风险降到最小，增加了整个网络系统的安全性。基于网络的检测技术：由于网络采用的通信协议并不是为安全通信而设计的，这些协议和网络设备存在一些固有的安全隐患，入侵者可利用这些漏洞，通过网络实施攻击。基于网络的检测技术，主要是模拟黑客攻击的方法，检测网络协议、网络服务、网络设备等方面的漏洞，其中的网络设备包括特定网络内的路由器、网桥、变换机、访问服务器、防火墙等设备。通常该类扫描工具限制使用范围(IP地址或路由器跳数)。5.2.1 系统设计新汶矿业集团网络系统的安全性取决于网络系统中最薄弱的环节。如何及时发现网络系统中最薄弱的环节？如何最大限度地保证网络系统的安全？最有效的方法是定期对网络系统进行安全性分析，及时发现并修正存在的弱点和漏洞。网络扫描系统正是一套实现网络系统安全、解决后顾之忧的有效的安全检测工具。通过网络扫描，网络管理员可以了解网络的安全配置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置，在黑客攻击前进行防范。如果说防火墙和主机监控系统是被动的防御手段，那么安全扫描就是一种主动的防范措施，可以有效避免黑客攻击，做到防患于未然。新汶矿业集团网络系统对检测系统的实际需求主要表现在：一些重要服务器的保护，这些服务器都代表不同的重要业务。其中一些服务器的安全会影响整个网络的正常运行。移动用户系统的安全性各个村矿应用服务器的安全性骨干网络设备的可用性保护重要通路/边界的保护拨号接入服务器的安全考虑到新汶矿业集团网络系统覆盖面广、主机及操作系统多样，扫描系统应该具有如下特点或考虑如下因素：安全策略实施：通过扫描网络，精确确定网路中的情况和安全状态，判断是否满足安全策略；集中的日志管理允许集中审计整个网络；最小资源开销能够发现的漏洞数量；是否支持可定制的攻击方法，通常提供强大的工具构造特定的攻击方法，因为网络内服务器及其它设备对相同协议的实现存在差别，所以预制的扫描方法肯定不能满足客户的需求；报告，扫描器应该能够给出清楚的安全漏洞报告；设计方案根据需求分析的结果，建议选用的扫描系统应综合基于主机的和基于网络的安全检测技术：能寻找网络安全漏洞、评估并提出修改建议，模拟黑客攻击的方法，检测网络协议、网络服务、网络设备等方面的漏洞；能够检查操作系统本身固有的安全漏洞和系统文件的不安全配置，并指示用户如何修补漏洞以使操作系统安全风险降到最小；通过上述两种扫描工具的综合运用，可以检查包括WEB、FTP、邮件系统、DNS等网络基本服务以及业务系统、办公自动化系统、电子商务系统等应用程序自身的安全漏洞和由于配置不当造成的安全漏洞，保证用户在网络上的应用系统的安全。本方案所选择的扫描系统具有如下技术特点：具有强大的扫描分析能力。网络安全扫描系统针对网络系统中存在的主要弱点和漏洞，能全方位，多侧面地对网络安全隐患进行扫描分析，基本上覆盖了目前网络系统存在的主要弱点和漏洞，具有强大的扫描分析能力。 具有安全策略的自定义能力。网络安全扫描系统提供安全策略配置功能，用户可根据不同的安全需求，选取或自定义不同的扫描策略，对相应的网络设施进行扫描分析。面向多操作系统，多种网络设备，具有较强的适用性。网络安全扫描系统检测对象覆盖在用的主流操作系统：Sun Solaris，IBM Aix，Digital UNIX，SGI IRIX，Linux，Windows NT等系统。它适用于TCP/IP网络和Internet/Intranet环境；适用于WWW服务器、防火墙、网络主机和其它TCP/IP相关设备。 具有远程和本地两种工作模式。网络安全扫描系统能够对基于TCP/IP的网络主机实施扫描分析，具有跨网关操作的能力，可通过专线或拨号方式接入任何基于TCP/IP的网络系统，支持本地或远程两种工作模式。 准确全面报告网络存在的弱点和漏洞。网络安全性分析系统能够准确详细地报告网络系统当前存在的弱点和漏洞。弱点和漏洞可能是系统的不完善或BUG，也可能是由于系统配置的不当而带来的。报告扫描对象相关信息和对外提供的服务。网络安全扫描系统能详细报告扫描对象的系统信息，如操作系统的版本信息等。网络安全性分析系统还能报告当前扫描对象对外提供的服务信息，这有利于管理人员及时准确地了解自己的系统对外提供的端口服务，并及时关闭对外提供的不必要的端口服务。 能够建议补救措施和安全策略。网络安全扫描系统不仅能发现系统中存在的弱点和漏洞，而且能向用户提供修补这些弱点和漏洞的建议和可选择的措施、能就用户系统安全策略的制定提供建议，最大限度地帮助用户实现信息系统的安全。 具有生成分析报告的能力。网络安全扫描系统在扫描分析目的网络后，能够给用户提供一份完整的安全性分析报告。报告将系统地对目的网络系统的安全性进行详细描述，为用户确保网络安全提供依据。 具有较强的自我防护能力。 配置方案生产厂家：XX软科集团产品名称：网络安全检查系统HBNSS 2.0XX软科的网络安全检查系统HBNSS2.0作为一种全自动安全风险评估工具，侧重于“事前阶段”。它模拟黑客进攻的手段和技术，对被检系统进行黑客攻击式的安全漏洞和安全隐患扫描，并提交风险评估报告，其中提供了相应的整改措施。预防性的安全检查最大限度地暴露了现存网络系统中存在的安全隐患，配合行之有效的整改措施，可以将网络系统的运行风险降至最低。 HBNSS 2.0的功能介绍a.强大的扫描分析功能XX网络安全检查系统HBNSS的工作原理基于TCP/IP协议簇，因此系统可以完全检测基于TCP/IP的所有网络软硬件系统。只要目标系统/主机/设备/应用/服务是基于TCP/IP工作的，而且在XX网络安全检查系统HBNSS 2.0的检测能力之内，系统就可以对其检测分析，进行风险评估。可以检测的目标包括各类目前常用的网络操作系统，网络应用服务，以及各种网络通信设备。XX网络安全检查系统HBNSS 2.0能按照用户指定的安全扫描策略对目标系统进行扫描，扫描对象可以是基于TCP/IP协议的网络防火墙、路由器、应用服务器、Web站点、网络操作系统等等。举例来说，XX网络安全检查系统HBNSS 2.0几乎能够扫描分析Internet上所有常用的网络操作系统：IBM AIX, HP/UX , DEC OSF/1, SunOS, Solaris , BSD, Linux , Windows NT, Windows 95/98/2000等。XX网络安全检查系统HBNSS2.0是在XX软科集团的技术工程师对目前国内外网络安全业界存在的主要系统/主机/设备/应用/服务中存在的漏洞进行详尽搜集、分析、仔细研究以及对国内特别是国外同类安全产品/工具进行横纵比较的基础上开发研制成功的。经过国内权威信息安全部门的检测，XX网络安全检查系统HBNSS2.0完全可以对目前存在于常用操作系统/设备/应用/服务中的主要漏洞和弱点进行检测和分析。XX网络安全检查系统HBNSS2.0特别针对WINNT系统特有的NetBIOS协议以及NetBIOS服务进行了检测。系统能够深入分析/检测应用越来越广泛的Windows NT/Windows 2000系统中存在的系统漏洞/弱点和它们中存在的安全隐患。而且由于这样的特殊性以及微软产品的连续性，我们的产品平台已经平稳的过渡到Windows 2000，并继续保持我们对Windows 操作系统漏洞、弱点、安全隐患的检测的深度和广度。总的说来， XX网络安全检查系统HBNSS2.0具有强大的漏洞扫描能力，可对受检系统进行多视角、多层面的黑客攻击式扫描。国家公安部安全产品评测中心测评确认该产品可对包括当时最新黑客攻击技术在内的900余种攻击手段进行模拟攻击。并且系统采用了多线程技术，对漏洞的检查速度很快。b.提供漏洞补救措施和系统安全策略XX网络安全检查系统HBNSS2.0将细致入微地报告系统/网络中存在的弱点漏洞。扫描结果包括目标系统的操作系统类型、受检系统存在的漏洞列表、系统开放端口号/服务类型、系统中存在的用户等受检对象的相关信息。XX网络安全检查系统HBNSS 2.0还具有完善的扫描报告生成能力。扫描结束后可以由系统自动生成目标系统安全分析评估报告，在其中包括了详尽的漏洞说明、漏洞的风险级别说明，漏洞的补救措施，专家的修改建议以及与漏洞相关的资源联结。报告的具体格式是：1)报告系统/网络存在的漏洞和弱点XX网络安全检查系统HBNSS 2.0能够准确详细的报告网络系统当前存在的漏洞和弱点。漏洞和弱点可能是由于网络系统不完善或系统管理员对网络系统配置不当而带来的。XX网络安全检查系统HBNSS 2.0能够全面地报告被扫描系统中存在的能由XX网络安全检查HBNSS 2.0所识别和支持扫描检查的漏洞和弱点。2)报告系统/网络相关的信息和服务XX网络安全检查系统HBNSS 2.0能够详细报告网络系统的系统信息，如域名名称、操作系统的名称和版本信息等。 XX网络安全检查系统HBNSS 2.0还能报告网络系统对外提供的服务信息，有利于安全管理人员及时准确了解自己的系统对外提供的服务，及时关闭对外提供的不必要的服务。3)建议补救措施和安全策略XX网络安全检查系统HBNSS 2.0不仅能发现系统存在的漏洞和弱点，同时还能相对具体的漏洞和弱点提出有效的整改建议和措施。从而达到保证网络系统安全、最大限度的保护用户安全和利益的目的。4)生成扫描结果分析报告XX网络安全检查系统HBNSS 2.0在扫描分析目的网络地址后，给用户生成一份完整的报告。报告详细的记录目的网络系统的存在的漏洞和弱点并提供相应的整改建议和措施。公司从用户出发，可以应要求为用户提供系统的服务，包括系统风险评估，安全策略的制订以及实施，以及定期进行技术服务/支持。c.扫描的多层次和自动化XX网络安全检查系统HBNSS 2.0能根据用户指定的扫描策略对目标系统/网络的安全性进行扫描。XX网络安全检查系统HBNSS 2.0内置的安全扫描策略对系统的扫描强度和每一个漏洞风险级别实行分级制。扫描强度分为重度扫描，中度扫描，轻度扫描和自定义强度扫描。我们认为这样能满足普通用户对不同网络安全检测目标的要求。漏洞和弱点的风险级别分为高风险，中风险和低风险三级，并标志有明显图标，用户对漏洞和弱点的严重性一目了然。d.性能说明以及操作易用性XX网络安全检查系统HBNSS 2.0对目标系统/网络的检测是完全独立进行的，不需要在目标系统/网络中安装任何软件/代理程序。XX网络安全检查系统HBNSS 2.0采用了多线程和数据库技术、智能扫描技术，检查速度比较快。良好的线程调度机制使得对运行网络安全检查系统主机的资源耗费比较少；由于XX网络安全检查系统HBNSS 2.0采用了TCP/IP的工作方式，而且XX网络安全检查系统HBNSS在载入后对网络驱动层有良好的控制能力，对方被检测的机器几乎觉察不出来系统正在被进行检测。XX网络安全检查系统HBNSS 2.0运行在Windows NT平台，全中文菜单，具有良好图形界面，并且具有符合IE标准的大工具条，这些对众多Windows用户而言，操作是十分熟悉的。此外还具有完善的在线帮助系统。检测流程简单明了，即使在最复杂的系统安全扫描策略设置时采用的也是鼠标点击方式，对每一项可检测漏洞均有详细说明，一般用户学习、使用和测试十分的方便。d.XX网络安全检查系统HBNSS功能的详细介绍按照检测的模块，目前XX网络安全检查系统HBNSS 2.0的安全检查功能由以下几个部分组成：主机安全漏洞检查模块，其中包括：（一）Windows NT （包括对Windows 9x） 系统关键注册表键以及特洛伊木马键安全检查； 系统常用服务和不知名服务安全检查； 系统中网络属性设置安全检查； 系统中NetBIOS共享安全检查； 系统安全配置检查； 系统用户帐号设置以及其属性安全常规检查； 系统用户口令策略安全检查； 系统审计功能安全检查； 系统关键文件安全检查; 系统中使用的浏览器以及系统的安全区域设置安全检查； 分布式组建对象模型（DCOM）的安全检查；（二）Unix/Linux 网络文件系统安全检查； 守护进程（DAEMONS）安全检查； 远过程调用安全检查； 按照检测类别，目前XX网络安全检查系统HBNSS可以检测的类别有： Windows NT NetBIOS共享检测类； Windows NT 用户帐号检测类； Windows NT 用户组检测类； Windows NT 注册表安全检查类； Windows NT 口令安全类； Windows NT服务检查类； Windows NT 网络属性设置类； Windows NT 共享资源权限设置检查类； Windows NT 系统审计功能检测类； Windows NT 系统关键问题检测类； Windows NT 安全区域设置检查类； Windows NT 系统安全配置检查类； Windows NT 分布式组建对象模型检查类； 简单网络管理协议（SNMP）安全检测类； 邮件传输（SMTP）服务漏洞检查类； 文件传输（FTP）服务漏洞检查类； 强力攻击（BRUET-FORCE）类； 守护进程（DAEMONS）漏洞检测类； 远过程调用（RPC）安全检测类； 网络文件系统（NFS）安全检测类； 拒绝服务（DINIAL OF SERVICE）攻击扫描类； 代理服务（PROXY）系统扫描类； 域名服务系统（DNS）安全检测类， WEB服务安全漏洞扫描类； 木马扫描类； WEB服务器安全检查模块，其中包括对WWW服务器类型检测，CGI程序漏洞检测，IIS漏洞的检测，其他的一些常用WEB服务器的安全检测；局域网（INTRANET）安全漏洞检测模块，其中除了对常用服务的检测外，还增加了涉密信息检测，例如网用户信息检测，物理隔离检测，特洛伊木马程序检测，等等。常用网络设备的安全性检测模块，其中包括对防火墙的弱点检测，对路由器的弱点检测，对浏览器安全设置的检测，对代理（PROXY）服务器的检测，对域名服务系统（DNS）的检测，以及对强力攻击（BRUTE-FORCE）手段的模拟检测。INTERNET安全漏洞检测模块，其中除了对常用服务的检测外，还增加了对IP欺骗（SPOOFING）的模拟检测以及对拒绝服务攻击的模拟检测。e.HBNSS的技术特点 综合了国外著名安全产品的优点和思路，起点高； 技术先进，检测范围广，可覆盖INTERNET/INTRANET的所有主流部件； 采用开放式体系结构，可动态更新核心检查模板库，易于升级； 运行在WINDOWS NT平台，中文界面，配置简洁操作方便； 针对保密系统领域的特殊要求，增加了安全隔离检查，涉密信息检查等特定功能模块； 该产品由XX软科集团独立研制开发，具有自主版权； 拥有强大的开发升级能力，可根据具体用户特点及要求增补或删除相应功能。f.运行环境硬件配置基本配置处理器-Intel Pentium II 366或同类处理器内 存-64M硬盘空间-100M以上建议配置处理器- Intel Pentium III 550或同类处理器内 存-128M软件平台Microsoft Windows NT 4.0 + SP6或Windows 2000Internet Explorer 4.05.3 内部系统安全解决方案目前网络安全问题大多数出现在内部网，通过外部攻击获得内部信息的只占入侵总数的20%左右。而当前内部网的安全防护较弱，因此保证内部网的网络安全和信息安全尤为重要。对新汶矿业集团内部网络的安全保护主要应有以下几个方面：对公共资源机操作的监视控制；了解计算机的局域网内部单台计算机网络的连接情况；计算机局域网内网络数据的采集、分析、存储备案；对计算机局域网内的攻击报警、防止；基于主机的访问控制集中管理。5.3.1 设计原则对网络中传输的信息和主机系统中处理、保存的数据，以及数据库中的关键数据进行加密后，可保证数据的完整性，信息的安全存储、安全传输，并且，数据及时泄漏，也因对数据高强度的加密而使不法分子无利可图。但是，对主机操作系统、数据库系统、网络设备的保护，包括保证系统的正常、高效运行，还需要用更为严密的访问控制体系进行防护。在对防止黑客、其它不法分子和内部用户通过各种手段进入网络或在网络中进行非法活动的各种措施中，实时的入侵检查系统和实时的对内部用户的监控是必不可少而又最为普遍和有效的措施。5.3.2 设计方案根据新汶矿业集团网络系统的具体情况，我们选用XX软科的产品HBNetEye 1.8，HBNetEye 1.8系统是针对目前网络发展现状及存在的安全问题，面向企事业的网络管理人员而设计的一套网络安全产品，是一个分布式在内部网范围内基于主机和网络两种手段的网络安全监视监测、控制系统。5.3.3网络监管系统HBNetEye介绍：系统具有如下特点：1)分布控制机制：监管网络的拓扑结构可以是多样化的，可以覆盖局域网和远程网络，控制范围大。2)基于主机和基于网络相结合的控制机制：基于主机可以监视监控特定的主机，控制力度细；基于网络可以实时监控整个局域网的入侵或非法登录，控制力度广。3)实时的保护措施。对整个局域网段进行实时的监控，发现有破坏性的入侵，立刻切断连接，保护整个局域网段的安全。4)系统既可以防外,也可以防内，更侧重于防内。由软件和硬件相结合，克服单一软件或硬件的弊端，以达到理想的卓越性能。5)系统设计思想先进。主机传感器、网络传感器以及监控中心独立运行，一旦系统安全管理人员制定好安全策略并发布成功，各模块之间独立运行工作，相关依赖性几乎没有，整个系统运行效率非常高。6)系统透明工作，各模块间通信方式设计非常先进。混合了TCP和UDP通讯方式，充分考虑到了用户可能的网络配置，在提供跨路由器、跨网关能力适应复杂网络的基础之上，兼顾了系统的效率以及操作、配置的灵活性。7)监控中心启动后，智能搜索并加入可以监控的工作站或网络传感器，并提供了手动加入可监控计算机的功能，方便用户的使用。8)采用最新的系统内核集成技术，一些常用模块在系统内核级运行，提高了运行效率，同时保证了与系统的无缝连接。HBNeteye 1.8的主要功能HBNetEye主要有七类功能：屏幕监视、键盘监视、网络监控、拨号监控、MAC地址绑定、入侵检测和重要文件访问报警。具体功能分类说明如下：A屏幕监视实时监视特定计算机的屏幕，可以指定多长时间截取一次屏幕，时间以秒为单位，最短为三秒。同一时刻实时监视一台机器。设置时间段，自动进行监视计算机的屏幕监视，同时也可设定仅对指定的用户登录时才监视屏幕。时间段以开始时间和结束时间来设定，可以以月、周或日为周期，循环监视。屏幕时段监视可以设定为对所有监控计算机启用，也可为特定的计算机单独设定时段屏幕策略。可以随时查看获得的时段屏幕监视内容。B.键盘监视实时监视特定计算机的键盘。同一时刻能实时监视一台机器。可以监视到特定计算机当前用户、在哪个进程和所有输入的按键。设置时间段，自动进行监视计算机的键盘监视，同时也可设定仅对指定的用户登录时才监视键盘。时间段以开始时间和结束时间来设定，可以以月、周或日为周期，循环监视。键盘时段监视可以设定为对所有监控计算机启用，也可为特定的计算机单独设定时段键盘策略。可以随时查看获得的时段键盘监视内容。C.网络监控实时监控特定计算机的网络连接情况，同一时刻只能实时监控一台机器。网络的连接信息包括：用户名、进程名、本机的端口、远程的IP和端口信息、连接时间等。对于规则中禁止的非法连接以特殊的图标标识。在一定时间段内设定非法的网络连接列表，主要是指定远程IP地址或端口。对于设定的非法连接，如果被监控主机尝试连接，将自动切断，并记录连接信息，发往监控中心。同样，时间段和规则的设置既可以是对所有的被监控主机，也可以是某台特定的计算机。网络规则可以指定登录用户和进程名，这样只有指定的用户登录或指定的进程访问网络，这条规则才起作用。D.拨号监控实时监控特定计算机的拨号情况，同一时刻只能实时监控一台机器。显示被监控计算机的拨号号码、拨号时间等信息。拨号规则设定可以设定合法的拨号号码和拨号时间段，不在拨号时间段内或非法的号码将自动切断，并记录信息。所有的合法或非法拨号信息将自动记录，并传到监控中心，可以随时查看。E.MAC地址绑定安装完成后，自动搜索出网络中机器的IP地址和相对应的MAC地址，有管理员进行合理的说明和设定，所有的这些信息将存入数据库，如果有用户自己私自改变IP地址或者有其它的机器盗用内部合法的IP连接局域网，在监管中心里面都会出现报警信息，从而提高了网络整体系统的安全性。F.入侵检测实时监控整个局域网内的网络流动情况，发现有入侵包即可进行报警或切断，并将信息传到监控中心。目前可检测到的入侵有18类： 后门类：可以检测到包括BO2000，Netbus，BIND shell，SubSeven，Girl等在内的数十种后门程序的入侵企图。 FTP类：可以检测到包括ftp .forward，ftp-nopassword，ftp .rhosts，ftp-site-exec，Aix FTP Buffer Overflow，Tftp可写等数十种入侵企图。 DDos类：可以检测到包括mstream，trinoo，TFN，TFN2k，Stacheldraht等在内的多种入侵企图。 Finger类：可以检测到包括Finger redirection，FINGER-Bomb，FINGER-Probe等在内的数十种入侵企图。 Netbios类：可以检测到包括NETBIOS-SNMP-NT-UserList，RFParalyze Attempt、NETBIOS-SMB-ADMIN$access，NETBIOS-Samba-clientaccess， NETBIOS-SMB-IPC$access等在内的10数种入侵企图。 缓冲溢出类：可以检测到包括ttdbserv Solaris Overflow，Sniffit overflow，x86-linux-ntalkd overflow，x86-windows-CSMMail，x86-linux-imapd5，x86-windows-MailMax，POP3-x86bsd等在内的近百种remote和local的入侵企图。 RPC类：可以检测到包括amountd，cmsd，mountd，pcnfsd，rstatd，admind，sadmind，ttdbserv等在内的数十种入侵企图。 扫描类：可以检测到包括Nmap tcp ping，NMAP Fingerprint远程操作系统识别，Queso远程操作系统识别，隐蔽扫描，空扫描，碎片扫描等在内的数十种扫描手段。 SMTP类：可以检测到包括SMTP-expn-decode，SMTP Chameleon Overflow，SMTP-expn-root，SMTP-vrfy-decode，SMTP Relaying Denied等在内的数十种入侵手段。 CGI类：可以检测到包括phf ，Perlshop，Rguest，rwwwshell等在内的数十种入侵手段。 ICMP类：含ping类,可以检测到包括Nmap ping，Icmp源路由，Icmp时间戳，Icmp掩码请求等在内的数十种入侵手段。 TELNET类：可以检测到包括非授权的su，ld_preload等在内的多种入侵手段。 FrontPage扩展类：检测FrontPage扩展服务器的漏洞，可以检测到包括register.txt，admin.pl等在内的数十种入侵手段。 IIS类：可以检测到包括showcode，newdsn，SAM Attempt等在内的数十种入侵手段。 ColdFusion类：检库管理的漏洞。 Web的杂项类：检测一些Web相关的不好归类的漏洞，如Lotus Domino的漏洞，Netscape Enterprise Server的漏洞，Piranha等数十种漏洞。 Misc类：检测snmp类，源路由，traceroute等数十种漏洞。 其它类：其它的不在上述范围,且是黑客能使用的入侵攻击方法。G.重要文件访问报警对网络内公共资源中，重要文件进行监视，对重要文件的访问，可以报警。 运行环境运行TCP/IP协议的10M以太网/100M快速以太网。监管中心 ：基于x86的PC机、Microsoft Windows NT 4.0+SP6主机传感器：基于x86的PC机、Win95/98/NT/2000网络传感器：黑匣子5.4 数据库安全解决方案磁盘阵列是一种把若干硬磁盘驱动器按照一定要求组成一个整体，整个磁盘阵列由阵列控制器管理的系统。 磁盘阵列的工作原理与特征 RAID的基本结构特征就是组合(Striping)，捆绑2个或多个物