网络安全评估网络入侵检测 解决方案

北京立新圆计算机技术有限公司 ISS安全评估和入侵检测产品综述网络安全评估 网络入侵检测 解决方案目 录一 安全评估31 Internet Scanner31.1 简介31.2 Internet Scanner扫描特征61.3 扫描过程72 System Scanner92.1 简介92.2 系统扫描器结构92.3 System Scanner 产品特点102.4 产品扫描特征112.5 System Scanner扫描过程123 Database Scanner123.1 简介123.2 Database Scanner特点133.3 扫描过程154 ISS 安全评估产品软硬件要求155 ISS 安全评估产品支持的平台：165.1 Internet Scanner165.2 Database Scanner175.3 System Scanner176 ISS安全评估产品对系统的影响187 漏洞特征和扫描引擎的定期更新服务198 ISS 安全评估产品的报表209 安全评估产品的部署219.1 Internet Scanner和Database Scanner的部署219.2 System Scanner的部署24二 入侵检测261 RealSecure261.1 RealSecure 产品简介261.2 RealSecure通过以下部件支持开放的网络环境271.3 基于主机和基于网络相结合的入侵检测271.4 所有Network Engine和System Agent都支持用户定义的基于明文字符串匹配的客户签名。281.5 RealSecure的组成281.6 RealSecure 产品特点:291.7 RealSecure可识别的攻击特征：301.8 RealSecure攻击防御过程311.9 实时监控系统 RealSecure对系统的影响331.10 RealSecure软硬件要求331.11 RealSecure的部署34后记一 安全评估安全评估产品主要是静态对网络中的各种系统、设备和数据库进行漏洞扫描，找出整个网络系统中最容易受到攻击的地方，对网络进行有效的评估，最后提出建设性的解决方案。目前ISS公司主要提供Database Scanner、Internet Scanner和System Scanner三种扫描器安全评估产品，分别可对数据库、网络和系统进行安全评估。ISS的安全评估工具Internet Scanner、System Scanner和Database Scanner拥有目前业界最为丰富和完整的安全漏洞特征数据库。目前，Internet Scanner版本为6.0.1,可检测34类共543种安全漏洞；System Scanner版本为4.0，可以检测759种Windows NT安全漏洞和558种UNIX安全漏洞；Database Scanner版本为3.0，可以检测Sybase Adaptive Server、Microsoft SQL Server和Oracle Database三种数据库的认证、授权、系统完整性三类共168种安全漏洞。下面分别对其一一做简要介绍。1 Internet Scanner1.1 简介ISS的Internet Scanner 是网络安全工业首选的策略产品，它对网络漏洞进行分析和提供决策支持。 Internet Scanner 主要致力于某一非常重要的组织网络风险管理方面-识别和描述技术漏洞。 Internet Scanner 有计划和可选择性地对您的网络通信服务(WEB，E-mail，DNS)、操作系统、主要的应用系统以及路由器和防火墙进行探测扫描， 查找最容易被用来攻击的漏洞，探测、调查和模拟攻击您的网络。最后，Internet Scanner 对您的漏洞情况进行分析，同时提供一系列正确的所应采取的措施，提供趋势分析并可根据您的需要产生报告和数据。Internet Scanner包括三个完整的模块:Scanning intranets (扫描内部网络)， Scanning firewalls (评估防火墙)， Scanning web servers (扫描Web服务器)。Internet Scanner已被公安部三所用来评测防火墙，确定某种防火墙是否能取得销售许可认证的依据。Internet Scanner产品特点1、Internet Scanner的优点： 可快速便捷地更新 互联网扫描的新X-press更新特点可以让用户自动接收新对策，来防范最新的漏洞和威胁，以保护他们的网络 。 用户可自定义轻松的安全策略用户能轻松的升级自己的“Flex Checks”或根据自己的独特环境自定义检测方法。 广泛的综合性互联网扫描仍然是漏洞检测市场上最具合性解决方案的产品。6.0版本包括新近内建的漏洞检测， 以检查最近的安全风险包括超过24遍检测后门程序，例如BackOrifice 2000。 集成性ISS提供了业界第一个评估操作集成功能，通过将数据库扫描和互联网扫描的功能结合起来，让用户更有效的管理数据库与互联网相结合的安全风险 业界最完整的漏洞检查列表大大减少了忽略一个重要漏洞的风险。 高度自动化，操作快速、简单提供优先任务以减少风险的暴露。此种任务包括为快速管理或消除安全隐患的详细描述，并让您在短时间内扫描多个系统。 结构化扫描帮助管理员根据特定的需要提供相应层次的风险评估。按照特定的时间、广度和细致的需求配置多个扫描。技术细节给安全专家，高层次的趋势分析概要给行政主管。 快速易于管理的图形报告系统通过加速审核过程节省时间和金钱。 规模化系统扫描能够随着组织的增长而扩大，从小的网络到企业级的安装，轻松的执行企业网的安全扫描。 并行扫描能够很容易地对大的网络同时执行多个扫描，检查并且报告企业网中设备如防火墙、路由器的一般性漏洞。 与Database Scanne紧密集成与ISS Database Scanner协同工作，在网络环境中鉴别新的数据源，并在Internet Scanner环境中运行数据库风险评估扫描。 从一个工具检测TCP/IP、UNIX和Windows NT最大化安全覆盖，控制消耗，简化培训和配置。 简化了大量网络安全问题是网络安全投资的回报最大。 到提供补丁的供应商的链接可加速和促进网络安全的改善。 安全策略依据详细的帮助数据库帮助没有经验的管理员实现网络的安全，并且制定实际的、可强制执行的网络安全策略。 可升级性Internet Scanner可以和您的网络一起成长，从小的网络到企业级网络。多层扫描允许管理员随意配置，在特定的时间、广度和细度。自动安装的X-Press可升级Internet Scanner的漏洞数据库和程序代码以保证网络所需的最新安全信息。灵活的检测能力允许用户为自己的应用服务提供升级。1.2 Internet Scanner扫描特征Brute Force Password-Guessing为经常改变的帐号、口令和服务测试其安全性Daemons检测UNIX进程（Windows服务）Network检测SNMP和路由器及交换设备漏洞Denial of Service检测中断操作系统和程序的漏洞，一些检测将暂停相应的服务NFS/X Windows检测网络网络文件系统和X-Windows的漏洞RPC检测特定的远程过程调用SMTP/FTP检测SMTP和FTP的漏洞Web Server Scan and CGI-Bin检测Web服务器的文件和程序（如IIS，CGI脚本和HTTP）NT Users， Groups， and Passwords检测NT用户，包括用户、口令策略、解锁策略Browser Policy检测IE和Netscape浏览器漏洞Security Zones检测用于访问互联网安全区域的权限漏洞Port Scans检测标准的网络端口和服务Firewalls检测防火墙设备，确定安全和协议漏洞Proxy/DNS检测代理服务或域名系统的漏洞IP Spoofing检测是否计算机接收到可疑信息Critical NT Issues包含NT操作系统强壮性安全测试和与其相关的活动NT Groups/Networking检测用户组成员资格和NT网络安全漏洞NetBIOS Misc检测操作系统版本和补丁包、确认日志存取，列举、显示NetBIOS提供的信息Shares/DCOM检测NetBIOS共享和DCOM对象。使用DCOM可以测试注册码、权限和缺省安全级别NT Registry包括检测主机注册信息的安全性，保护SNMP子网的密匙NT Services包括检测NT正在运行的服务和与之相关安全漏洞1.3 扫描过程如图所示，Internet Scanner 有计划和可选择性地对您的网络通信服务(WEB，E-mail，DNS)、操作系统、主要的应用系统以及路由器和防火墙进行探测扫描， 查找最容易被用来攻击的漏洞，探测、调查和模拟攻击您的网络。最后，Internet Scanner 对您的漏洞情况进行分析，同时提供一系列正确的所应采取的措施，提供趋势分析并可根据您的需要产生报告和数据。带箭头线路代表Internet Scanner的扫描过程。System Scanner1.4 简介System Scanner系统扫描器是一个基于主机的安全评估系统。它和网络扫描器有所区别，它提供基于主机的安全评估，分析安全弱点。网络扫描器是在网络层扫描各种设备来发现安全漏洞，系统扫描器是在系统层上通过依附于网络设备上的扫描器代理侦测主机内部的漏洞。这些扫描器代理策略可以通过企业的某个控制台进行集中管理和配置。系统扫描器在相当严格的基础上对安全风险级别进行划分。在UNIX系统上，它对大量的安全问题能自动产生修补程序脚本。一旦系统被确认处于安全的状态后，系统扫描器会用一种数字指纹锁定系统配置，以便更容易发现非法访问。1.5 系统扫描器结构1、系统扫描器结构系统扫描器采用Client/Server结构，由代理程序（客户端）和控制台（服务端）组成。系统扫描器代理安装在被检查和监控的机器上，控制台安装在控制中心，可以和代理安装在同一台机器上或其它网络能与代理机器连接的主机上。2、被管理和管理系统运行代理程序的系统称之为被管理系统，运行控制台的系统称之为管理系统。一旦代理程序和控制程序安装完毕，你就可以交互式地操作系统扫描器的代理程序进行系统安全漏洞扫描，包括系统错误配置或普通配置信息。用户通过扫描结果对系统漏洞进行修补，直到扫描报告中不再出现任何警告，同时可以制定一个系统基线。以后可以计划一个规则，让系统扫描器在没有任何监管情况下自动运行，一旦发现漏洞立即报警。系统扫描器所实行的所有规则定义在每个代理的知识库里，它允许我们自己定义一个适合相应平台的规则。它还允许我们对进行特殊定义，当网络不通时代理也可以进行工作。1.6 System Scanner 产品特点 宽阔的支持平台系统扫描现在可以支持24种以上的平台，包括Unix平台的很多类型，例如Linux和Windows NT， Netware等。 用户可自定义轻松的安全策略用户能轻松的升级自己的“Flex Checks”或根据自己的独特环境自定义检测方法。 网上通讯加密系统扫描器代理和控制台之间采用SSL（Secure Socket Layer）加密方法在网上进行信息交流，不会受到窃听的威胁。 丰富全面的安全规则系统扫描器涵盖超过900 Unix和NT系统的安全规则1.7 产品扫描特征规则类别 漏洞内容UNIXWindws NT系统文件属组及权限，系统访问、主要系统配置和日志文件合法标题的显示，Admin和Guest用户，系统配置，入侵检测，管理用户用户和组组名和成员，用户详细情况(用户名、用户ID、密码、路径和登录shells)，/etc/group和/etc/passwd格式，管理和超级用户登录地点、时间和期限，最后一次登录回顾，本地登录能力，禁止/睡眠用户帐号密码易猜的密码、密码影象，用户共享密码，uid 0用户宿主路径，缺省登录环境强制性密码更改，密码重新使用设置，最短密码期限和最长密码期限，密码要求和密码强度文件所有文件的不同规则，包括权限，所有者，硬/软连接，奇怪的名字或字符串，suid/sgid文件N/A正常/冻结文件在冻结文件数据库中内容、所有者、文件连结的更改。在冻结文件数据库中内容、所有者、文件连结的更改。审记文件系统扫描器审计文件的报告审计策略，包括登录、退出、文件和对象、帐号管理、策略改变、启动和关机，进程跟踪cron和at任务所有者、配置文件、设备权限、lost+found目录内容N/AComs网络和后台进程的配置文件、NIS、所有者和TCP/IP配置文件N/A设备可移动设备文件的文件权限，NFS配置和共享文件系统，nuucp登录shellN/A日志文件报告记录在系统日志文件中有意义的事件，检查对UUCP配置的访问和UUCP数据文件日志文件，系统，安全和应用的日志文件大小，事件日志。权限N/A检查具有特定权限的用户，用户权限，驱动盘映射，网络访问，备份与恢复权限，系统时间设置，令牌对象和永久共享对象的创建，程序的调试，安全审计的产生，进程优先级，下载和上传设备驱动，内存中页的锁定，服务登录，审记和安全日志管理，软硬件的修改，系统性能配置，进程级别标记的更改，系统关闭，所有者，软盘和CD-ROM分配。其他N/A检查UPS服务启动、关闭命令，电源警告延时，电源警告信息重复，OS/2子系统，自动登录，敏感的系统服务。1.8 System Scanner扫描过程如图所示，网络扫描器是在网络层扫描各种设备来发现安全漏洞，系统扫描器是在系统层上通过依附于网络设备上的扫描器代理侦测主机内部的漏洞。这些扫描器代理策略可以通过企业的某个控制台进行集中管理和配置。系统扫描器在相当严格的基础上对安全风险级别进行划分。在UNIX系统上，它对大量的安全问题能自动产生修补程序脚本。一旦系统被确认处于安全的状态后，系统扫描器会用一种数字指纹锁定系统配置，以便更容易发现非法访问。带箭头线路代表System Scanner的扫描过程。2 Database Scanner 2.1 简介数据库扫描器（Database Scanner）是世界上第一个针对数据库管理系统风险评估检测工具，提供广泛、强大的数据库扫描。任何人都能利用它来建立数据库的安全规则，通过运行审核程序来提供有关安全风险和位置的简明报 告。Database Scanner 是第一个数据库漏洞和风险评估的一种产品，它通过指定相应的安全策略保护数据库。数据库扫描器自动识别数据库系统中潜在的安全漏洞，从密码的强度到2000年问题，特落伊木马，它利用内置已有的知识库，直接产生清晰的报告，对数据库系统中的漏洞或配置提出建设性的建议。目前database Scanner可扫描的数据库有Oracle Database，Sybase Database，SQL SERVER。可针对其认证、授权和系统完整性三类安全漏洞做扫描。实行分布式管理的公司更加得益于数据库扫描器的强大功能。位于Buffalo Grove。IL ，AZ Database公司总裁Andrew Zavevsky曾这样评价数据库扫描器：“应用数据库扫描器，现在，公司可以用工业界最先进的安全检测技术，经济有效地保护他们的服务器。通过运行数据库扫描器的检测报告程序，用户可以很容易地修补安全漏洞，因为该报告不仅产生对漏洞的描述，同时提供对漏洞的具体解决办法。”2.2 Database Scanner特点1、用于制定、开发、实现和强制实施数据库安全策略，主要是：可用ISS安全知识向导（SKW）和经过实践检验的工业标准来开发、实现和保持适合的安全策略。 可检查数据库系统的公认的操作标准，包括策略违反、弱口令及任何恶意行为的迹象。 可协调帐户的创建、存取控制、帐户的终止和恢复。 可检查和监控重要的过程和设置。 可安装并应用所有最新的版本升级、补丁。 可检查数据库系统如Sybase Adaptive Server的内部应用的安全。2、深入分析理解所发现的问题 了解安全风险有关的认证、授权和系统完整性问题，以及其如何构成影响企业的风险。 准备一些报告并让所有人阅读，了解他们的数据库管理系统的环境。 向各级管理层和各部门提供直观易懂的报告，报告中有详细的图表分析及对所有发现的安全漏洞的建议补救方法。 协助企业数据灾难恢复计划的开发、实现和修改。3、正确、高效、省时的工具 完全自动地对数据库管理系统进行信息收集、分析，使你能集中注意力于其它重要问题。 可在安全保护程序的开发中使用数据库系统的专业技术。 内嵌的知识库提供了数据库系统安全专家的能力。 定期扫描数据库管理系统服务器，发现新的安全问题和其它影响性能的问题。 自动调用当前设置，并记录设置改变的历史。2.3 扫描过程说明：如图所示，这是一个非常典型的网络结构，Database Scanner通过安全规则对网络上关键的数据库服务器进行漏洞扫描，找出数据库中的潜在的安全漏洞和数据库中错误的配置，最后产生详细直观报告，提出建设性的建议及修补漏洞的措施。通过SAFESuite构架，还可以把信息传送给更高层次的网络和系统管理系统象OPENVIEW、Net Manager、Tivoli 和 CA Unicenter，通知他们目前的网络状态和应采取的对策。3 ISS 安全评估产品软硬件要求ISS 安全评估产品安装和运行的软硬件要求如下表所示：Internet Scanner6.0System Scanner 4.0Database Scanner 3.0控制台代理CPU至少200 MHz Pentium Pro (扫描主机数很大时建议用300 MHz Pentium II)350 mhz Pentium II 以上Pentium处理器内存80 MB内存(扫描主机数很大时建议用128 MB内存)至少64MB 内存64MB 内存16 MB每增加一个同步扫描要加15 MB内存硬盘空间从压缩文件安装时需180MB；从光盘安装时需60MB；55MB用于程序运行，建议每增加100台被扫描主机要留出2.5MB。100MB剩余磁盘空间35MB 剩余磁盘空间至少60 MB磁盘空间网络以太网或令牌环网卡TCP/IP显示器至少800600像素，256色分辨率1024x768 图形分辨率OSWindows NT 4.0 Workstation (with ServicePack 4)。Windows NT4 Workstation or Server Service Pack 4 or 5Windows NT4 Workstation， Server or Server Enterprise Service Pack 4 or 5Windows 95 with Internet Explorer 4.01 SP1 (以上)Windows 98Windows NT 4.0 Service Pack 3 or greater， and Internet Explorer 3.02 (以上)浏览器Internet Explorer version 4 (用于浏览帮助文件)文件系统NTFSNTFS备注MDAC 2.0.x4 ISS 安全评估产品支持的平台：4.1 Internet ScannerISS的Internet Scanner 是网络安全工业首选的策略产品，它对网络漏洞进行分析和提供决策支持。Internet Scanner可以扫描网络中任何拥有IP地址的设备，而不管其是路有器、打印机、个人计算机、防火墙还是工作站、服务器，更湟论其上运行哪种操作系统了。所以可以说Internet Scanner几乎支持所有的操作系统扫描。4.2 Database ScannerISS数据库扫描器（Database Scanner）是世界上第一个针对数据库管理系统风险评估检测工具。可以利用它来建立数据库的安全规则，通过运行审核程序来提供有关安全风险和位置的简明报告。目前ISS生产的数据库扫描包括Database Scanner for Microsoft SQL Server(DBQL)、Database Scanner for Sybase Adaptive Server(DBSY)和Database Scanner for Oracle Database(DBOR)。所以目前Database Scanner可扫描的数据库有Oracle Database，Sybase Database，SQL SERVER。4.3 System ScannerISS的System Scanner提供基于主机的安全评估，分析安全弱点。网络扫描器是在网络层扫描各种设备来发现安全漏洞，System Scanner系统扫描器是在系统层上通过依附于网络设备上的扫描器代理侦测主机内部的漏洞。这些扫描器代理策略可以通过System Scanner控制台进行集中管理和配置。System Scanner控制台完全是一台单独的机器,而由系统扫描器代理决定可支持的操作系统。目前系统扫描器代理支持和即将支持的操作系统如下表所示：系统扫描器代理支持的操作系统System Scanner 4.0 AgentsWindows NT (Intel)NT 4.0 SP4, SP5System Scanner3.X AgentsDigital UNIX (Tru64 UNIX)V3.2C,Digital UNIX (Tru64 UNIX)V4.0DHPUX9.x,HPUX10.10, 10.20IBM AIX 33.2.5,IBM AIX 44.1, 4.2NCR (SVR4 on Intel)SVR 4.0Sequent PTX/2.x,Sequent PTX/4.0,Sequent PTX/4.2, 4.2X (Large files)Windows NT (Intel)3.51SCO Openserver5.0SCO Unixware2.0, 2.1SIEMENS SINIX5.43Sun Solaris 11.xICL DRS/NX 6 (or /NX 7)NX 6, NX7, 7M+系统扫描器代理即将支持的操作系统System Scanner 4.0 Agents planned forHP/UX11.0IBM AIX4.3Compaq Tru64 Unix (Digital UNIX)5.0SCO UnixWare on Intel7.0SCO OpenServer5.xSiemens SINIX5.44SUN Solaris7Linux (Red Hat)6.0Novell Netware5.0Windows NT (Alpha)NT 4.0Windows 2000Release 15 ISS安全评估产品对系统的影响Internet Scanner ， System Scanner，Database Scanner扫描器产品在进行扫描时不会明显增加网络的负担在一个10BaseT的网络环境中一般占用3%左右的资源，还可以安装网络性能监控程序来监控网络状态。6 漏洞特征和扫描引擎的定期更新服务ISS对于新出现的安全漏洞和黑客攻击手段，ISS经常对产品对进行升级，及时保护您的网络安全。如果想详细了解最新安全信息、威胁、漏洞以及它们的严重性,可访问X-Force Knowledge Base(X-Force 知识库).Internet Scanner 6.0版本和System Scanner 4.0版本可以直接通过产品提供的X-press Update 程序从Internet 上自动升级。X-Press基本上每两个月即可升级Internet Scanner的漏洞数据库和程序代码以保证网络所需的最新安全信息。ISS的产品的升级主要分为版本升级和特征库升级两种。ISS特征库升级采用X-Press Update方式，可以保证在最短时间内获得最新的特征库。X-Press Update可以自动查找被升级主机上没有的特征代码并自动安装，还可以自动安装或下载已发布的特征代码。如图所示，通过X-Press Update所发现的当前所有已发布的特征代码。7 ISS 安全评估产品的报表ISS的安全评估工具快速易于管理的图形报告系统都由强大的报表生成能力。ISS每一个产品都可产生非常直观的报表。ISS Internet Scanner和System Scanner可以提供管理、资产统计和技术分析三个不同级别的报告，甚至可以根据用户定制来生成报告。Database Scanner则可以针对数据库的安全漏洞分别生成多达20种报告。可以说ISS的报表功能在业界完全具有领先优势，而且ISS为了保持这种领先优势，不断地改进其产品的报表生成能力，在每次的产品新版本发布时都回加入新的报表生成功能。8 安全评估产品的部署安全评估产品在企业内部署时，Internet Scanner和Database Scanner的方式较为相近；而System Scanner则采用Client/Server方式，下面分别加以描述：8.1 Internet Scanner和Database Scanner的部署Internet Scanner和Database Scanner的在企业内部署时共同的特点1、 都不受网络环境的限制，放置在任何一点都可以发挥其效用。在局域网环境中，只需要一根网线；在广域网和Internet环境中只需要一根电话线、一个Modem和一个账号，Internet Scanner和Database Scanner即可出色完成任务2、 该产品只收扫描点数或数据库数的许可证费用，而其安装的套数不受任何限制3、 由于其高度敏感性，应防止任何滥用不同点是Database Scanner需要被扫描数据库的管理员权限，而Internet Scanner不需要任何被扫描主机的权限。结合一般金融企业分布式结构，为了方便管理和使用，建议Internet Scanner和Database Scanner的部署采用以下方式：1、 在总行中心的局域网中部署两套Internet Scanner，由安全管理支持中心使用，一套用于中心局域网安全扫描工作；一套用于集中式地扫描下属单位的计算机，检查各单位遵守安全策略的情况。视工作情况可适当增加部署的套数，若实践中扫描的工作量过大或者需要对下属单位的安全情况要有更全面深入的了解，还可为每个一级下属单位各设置一套。当然视具体情况的各种灵活配置也是很好的。2、 在一级和二级下属单位分行和支行的安全管理支持中心各配置一套移动式的Internet Scanner，用于各单位自身及其所属单位的网络安全扫描。每次安全扫描时只需将其要扫描的网段即可。Internet Scanner部署如下图所示：Internet Scanner部署网络结构示意图3、 由于Database Scanner在扫描时需要被扫描数据库的管理员权限，所以不宜做集中式的扫描，建议在每个安装有重要数据库的网段安装一套。如果在实际实施时因这样的网段过多而造成费用的增加、人员的短缺和管理上的混乱，可应采用另一种部署方式：在总行、分行和支行级安全管理支持中心各配置一套移动式Database Scanner，由专人管理，每次安全扫描时只需将其临时性地接入数据库所在网段即可。Internet Scanner部署如下图所示：Database Scanner部署网络结构示意图8.2 System Scanner的部署1、结构特点System Scanner在企业内部署时特点是采用Client/Server结构，由控制台Console来控制代理Agent的扫描活动，非常适合在金融企业的分布式结构上部署。通过这种Client/Server式结构，很容易实现集中分布式的安全管理和监控结构。2、System Scanner的Agent的部署System Scanner的 Agent可以部署在以下地点：系统中Intranet和生产网上的重要的Email、Web、DNS软件防火墙和其他关键应用服务器,连入Internet的Email、Web、DNS、软件防火墙等服务器3、System Scanner Console控制台的部署System Scanner Console控制台，建议采取按总行、分行和支行三级，级内集中的控制方式，各级间的控制台不能越级控制其他级内的代理Agent。这主要是从网络负载的角度考虑，因为如果从总行一级开始对全行集中控制的话，由于系统过于庞大，在扫描式有可能导致带宽拥塞。所以不建议System Scanner采用大集中方式。当然如果能够采用类似Packect Shaper带宽整形技术使得带宽能够保障的话，这种方式也是可取的。2、 网络结构如上所述，System Console控制台采取按总行、分行和支行三级，级内集中的控制方式，其网络结构示意图如下所示：System Scanner分布式部署网络结构示意图如果采用集中方式，则其网络结构如下图：System Scanner集中式部署网络结构示意图目前，我们提出以上部署的方案只是一个初步方案，实际上ISS的安全产品的部署完全可以根据具体情况而作相应的灵活变化。二 入侵检测1 RealSecure1.1 RealSecure 产品简介实时监控RealSecure 是工业第一个完整的基于网络和主机入侵检测和响应的系统。它实时对企业的网络进行监控和监督，允许监控器自动监控网络通信和主机日志，侦测可疑的行为，在系统遭到威胁时，对内部及外部的主机及网络不当的行为进行截取和响应。ISS公司的监视引擎和检测特征的定期更新服务非常迅捷，RealSecure从最初的1.0已发展到现在的3.2版本。而且其更新频率正逐步加快，比如从3.0到3.1用了6个月的时间，而从3.1到3.2只用了4个月的时间，且3.1版自身就还有多个更新版本。RealSecure每个版本中都及时加入新发现的攻击特征信息。RealSecure具有以下特点：1.2 RealSecure通过以下部件支持开放的网络环境1、检测和标记主机和网络中的可疑行为，并将这种信息反映给唯一的控制台应用软件。2、将紧急威胁和低级、中级配置错误区分开，从而最大限度发挥管理员的作用。3、适应动态网络需求- RealSecure Engine和Agent能分放在网络总的多个网段。4、可以把入侵检测系统技术扩展到交换的网络环境中。1.3 基于主机和基于网络相结合的入侵检测RealSecure有四种独特的数据资源来保护服务器免受攻击：应用日志文件，操作系统日志文件，关键系统转换文件和对可疑连接的监测。这些数据资源使RealSecure Agent能判断攻击者是否成功，检测用户行为，提供详细的、可供向法院起诉的信息。基于这些发现，RealSecure Agent通过中止用户进程，和挂起用户帐号来阻止更深入的攻击。它还可以送出实时警报，日志文件，发出捕获信息和email ，或执行用户定义的行为。1.4 所有Network Engine和System Agent都支持用户定义的基于明文字符串匹配的客户签名。所有Realsecure引擎和Realsecure代理向Realsecure管理器报告并由管理器进行配置。这个控制台应用监控任何一个RealSecure引擎和代理的组合的状态，不管它们运行在UNIX上或Windows NT上。这样的结果是企业得到广泛的入侵检测和响应，易于配置并可从一个站点进行管理。Realsecure管理器还可作为许多网络和系统管理环境的嵌入模块。1.5 RealSecure的组成RealSecure由下面三部分组成:RealSecure Engine(网络引擎) RealSecure Agent (代理程序） RealSecure Manager（管理器） 1、RealSecure Engine(网络引擎)RealSecure 引擎运行在特定的工作站上提供网络入侵检测和响应。每个网络引擎通过对流动在指定网段上的信息包进行跟踪分析来识别攻击-收集证据来确定是否有非法攻击正在发生。当网络引擎侦测到非法行为，它立即作出响应，切断非法连接，发送电子邮件或者呼机信号，记录事件，重新调整防火墙，或者采取其他用户自定义的行动。另外，网络引擎还可以把警告发送给管理器或第三方管理控制台以便以后进一步的管理和分析。2、RealSecure Agent (代理程序）RealSecure代理是基于主机对RealSecure引擎起补充作用的构件。RealSecure 代理是通过分析主机日志来识别，确认攻击是否成功。每个RealSecure代理安装在一台工作站或主机上， 全面检查系统日志，分析是否有网络和安全破坏事件发生。为了防止遭到进一步的攻击， RealSecure 代理及时终止用户进程和停止用户帐号，它还能发送警报，记录时间，发送陷阱，发送EMAIL或执行用户预定义的行动。3、RealSecure Manager（管理器)所有的RealSecure网络引擎和Realsecuru代理都要把报告发送给RealSecure管理器。并由管理器来对它们进行配置。管理器监控任何来自NT和UNIX网络引擎和代理的报告以及它们的状态。这样管理非常方便，从一个地方就能很容易对它们进行集中的配置和管理。RealSecure管理器随网络引擎和代理一同发布，而且它可作为插件应用于很多不同的网络和系统管理环境。1.6 RealSecure 产品特点:安全的监控系统管理控制台与引擎和代理之间通过密钥进行加密通信和身份识别。引擎在秘密监控方式不会受到攻击威胁，实现自身的安全最小化网络攻击漏洞，在危险发生之前阻止攻击对网络攻击实时响应，包括切断连接和重新配置防火墙。能够被用来收集起诉的证据记录攻击事件以便于回放。业界最广泛的攻击模式识别管理员不需要是安全专家。内置的报告生成管理员会快速收到有结构的网络事件的归纳总结。支持多种网络接口以太网、快速以太网、令牌环网和FDDI。事件响应的在线帮助数据库允许RealSecure被缺少经验的操作者使用，减少所有权和培训的费用。运行在Windows NT和UNIX平台使用RealSecure无须购买特殊的硬件。它可运行在已有的Windows NT和UNIX主机上，并具有从一个主控台监控UNIX和Windows NT引擎的能力。监控Windows的网络和TCP/IP传输微软的Windows网络的环境支持允许RealSecure监视违反内部安全策略的事件，包括访问重要服务器上的口令文件或未授权读取被保护的共享资源。对网络传输流无影响RealSecure是完全没有妨碍的。它对网络传输不增加任何延迟。这允许企业扩大网络安全监控范围而不会降低网络速度。1.7 RealSecure可识别的攻击特征：RealSecure Network Engine可识别的攻击特征类型说明拒绝服务攻击通过消耗系统资源使目标主机的部分或全部服务功能丧失。例如，SYN FLOOD攻击，PING FLOOD攻击，WINNUK攻击等。为授权访问攻击攻击者企图读取、写或执行被保护的资源。如FTP ROOT攻击，EMAIL WIZ攻击等。预攻击探测攻击者试图从网络中获取用户名、口令等敏感信息。如SATAN扫描、端口扫描、IP HALF扫描等。可疑行为非 “正常”的网络访问，很可能是需要注意的不安全事件。如IP地址复用，无法识别IP协议的事件。协议解码对协议进行解析，帮助管理员发现可能的危险事件。如FTP口令解析，EMAIL主题解析等。普通网络事件识别各种网络协议包的源、目的IP地址，源、目的端口号，协议类型等。RealSecure System Agent 监控范围类型说明NT事件监控系统login成功、失败，logout，系统重启动等。对未用端口监控监控对未提供服务端口的连接企图，这种连接企图应视为可疑行为。例如，对未提供FTP服务的主机尝试FTP连接被认为是可疑的。Solaris Syslog事件对远程的UNIX主机进行监控。监控的服务包括IMAP2bis，IPOP3，Qpopper，Sendmail和SSH等。自定义事件1.8 RealSecure攻击防御过程RealSecure 运作示意图如图所示，RealSecure象一个24小时的保安，每个网络引擎通过对流动在指定网段上的信息包进行实时跟踪分析来识别攻击-收集证据来确定是否有非法攻击正在发生。RealSecure 代理是通过分析主机日志来识别，确认攻击是否成功。当侦测到非法行为，网络引擎立即作出响应，切断非法连接，发送电子邮件或者呼机信号，记录事件，重新调整防火墙，或者采取其他用户自定义的行动；而 RealSecure 代理则及时终止用户进程和停止用户帐号，它还能发送警报，记录时间，发送陷阱，发送EMAIL或执行用户预定义的行动。另外，网络引擎和代理还可以把警告发送给管理器或第三方管理控制台以便以后进一步的管理和分析。两条虚线分别代表内部和外部攻击，当RealSecure发现攻击后立即报警并响应。1.9 实时监控系统 RealSecure对系统的影响Console（控制台）：它随时会接收到来自网络引擎和代理的各种信息，把它记录下来并做相应的处理。由于信息量小（根据实际情况会有所变化），处理速度快，所以它对整个系统影响被限制在一个非常有限的范围内，也可以根据网络环境和系统状况进行调整。Agent（代理程序）： RealSecure代理是基于主机对RealSecure引擎起补充作用的构件。RealSecure 代理是通过分析主机日志来识别， 所以其对系统的影响完全取决于系统日志， 我们可以通过调整审记来使它达到最佳的工作状态。 实践证明， 它对系统的影响非常微不足道。一旦发现可疑行为， 它会通过网络把事件报告给Console， 由于发送的信息量小， 占用网络的资源非常小而且占用的时间短。Netowrk Engine（网络引擎）： RealSecure 引擎运行在特定的工作站上提供网络入侵检测和响应。每个网络引擎通过对流动在指定网段上的信息包进行跟踪分析来识别攻击、收集证据来确定是否有非法攻击正在发生。它只接受网络上发送给它的信息包，对信息包不做任何的修改和延时，所以它在工作时对网络不产生任何的负担。一旦发现可疑事件或行为，象代理程序一样，它会通过网络把事件报告给Console，由于发送的信息量小，占用网络的资源非常小而且占用的时间短。1.10 RealSecure软硬件要求RealSecure安装和运行的软硬件要求如下表所示：Engine引擎Agent代理Console控制台Windows NTSolaris SPARCSolaris x86CPU300 MHz Pentium II 以上UltraSPARC 2 以上300 MHz Pentium II以上Pentium II 系列200 MHz Pentium II以上内存至少128 MB内存(建议256 MB)至少64 MB， 建议128 MB至少128 MB内存(建议256 MB)硬盘空间150 MB 日志和数据库用硬盘空间10 MB 软件安装用硬盘空间每个引擎至少150 MB硬盘剩余空间100 MB日志和数据库用硬盘空间10 MB软件安装用硬盘空间25 MB 安装用硬盘空间50 MB软件用硬盘空间其控制的每个引擎或代理序占用100 MB磁盘空间20 MB软件安装用硬盘空间网卡一个PCI网卡用于监控，可以是以太网卡、快速以太网卡、令牌环网卡或FDDI网卡支持乱序状态的SBus or PCI网卡（建议PCI）Solaris X86 2.6 或 2.7选件另一块PCI网卡专用于与控制台通讯显示器至少800600像素，256色分辨率OSWindows NT 4.0 workstation with Service Pack 4 或更高Solaris SPARC 2.5.1， 2.6， 2.7Solaris X86 2.6 或 2.7Windows NT 4.0 workstation or server with Service Pack 4