主要安全代理产品白皮书

1、网络及信息息安全代代理产品品技术白皮书书 北京北大青青鸟环宇宇科技股股份有限限公司一、引言随着计算机机技术和和通讯技技术的飞飞速发展展，网络络正逐步步改变着着人们的的工作方方式和生生活方式式，成为为当今社社会发展展的一个个主题。网网络的开开放性，互互连性，共共享性程程度的扩扩大，特特别是IInteerneet的出出现，使使网络的的重要性性和对社社会的影影响也越越来越大大。随着着网络上上电子商商务，电电子现金金，数字字货币，网网络银行行，网上上证券等等新兴业业务的兴兴起，网网络安全全问题变变得越来来越重要要。北大青鸟环环宇科技技股份有有限公司司成立与与20000年33月，由由北大青青鸟软件件系统

2、有有限公司司、北大大宇环微微电子系系统工程程公司、北北大青鸟鸟天桥有有限公司司等9家家企业和和投资基基金共同同发起设设立的一一家高科科技公司司，注册册资本996400万元。并并于20000年年7月227日在在香港创创业版上上市，是是境内第第一家在在香港创创业版上上市的高高科技企企业。公公司作为为中国首首屈一指指的嵌入入系统开开发商和和供应商商，依托托北京大大学信息息安全研研究室、北北京大学学软件工工程研究究所和北北京大学学微电子子学研究究所的科科研、人人才优势势，以嵌嵌入式系系统产品品为主要要发展方方向，主主要从事事网络安安全产品品、专用用集成电电路（AASICC）、IIC卡应应用系统统、GP

3、PS应用用系统和和无线火火灾报警警系统等等。公司依托强强有力的的技术后后盾，在在充分发发挥自身身技术优优势的基基础上，率率先投身身网络和和信息安安全领域域，在国国信办、国国密办、国国家保密密局、公公安部、总总参588所、556所等等部门的的指导和和支持下下，承担担了一系系列关于于网络信信息安全全的研究究课题和和项目，并并已开发发一系列列网络及及信息安安全产品品，形成成了产、学学、研一一体化的的格局。目目前开展展的研究究涉及网网络与信信息安全全方面的的理论、技技术、产产品研发发各环节节，尤其其在Inntraanett/Innterrnett、VPPN、区区域金融融网安全全体系、加加密及密密钥管理

4、理体制、密密押及数数字签名名体制、双双向身份份认证、访访问控制制、安全全电子传传输协议议（SEET）、信信息存储储安全、系系统日志志、支付付密码器器、数据据加密卡卡、链路路加密机机、公用用对象代代理系统统、安全全通信平平台等方方面取得得了很好好的研究究成果。公公司作为为一家专专业从事事网络信信息安全全技术应应用和推推广的高高科技实实体。一一直致力力于金融融、证券券、银行行、政府府上网工工程、公公共网/Inttrannet网网络信息息安全等等领域的的自主安安全产品品开发和和以客户户应用为为核心的的系统集集成项目目的整体体方案设设计和工工程实施施，并成成果显著著。目前，赛门门铁克 (Syymann

5、tecc) 公公司是全全球第一一位的互互联网络络安全解解决方案案供应商商，也是是唯一能能够提供供最全面面的互联联网络安安全解决决方案供供应商。成成立于119822年，现现在全球球范围设设立的分分支机构构已超过过33个个国家。于于19889年在在美国上上市，全全球用户户超过六六千万，包包括Foortuune Topp50家家企业的的45家家。拥有有全球雇雇员及专专家37700多多人。公公司20000财财政年度度防病毒毒与工具具类软件件销售额额销售额额7.445亿美美元，净净利润11.7亿亿美元。风风险评估估与入侵侵检测等等安全类类软件销销售额11.133亿美元元。赛门门铁克公公司为个个人和企企业

6、用户户提供了了一系列列网络安安全解决决方案。包包括病毒毒防护、风风险管理理、入侵侵检测、互互联网安安全、电电子邮件件过滤和和移动代代码侦测测等技术术。公司司的目标标是为用用户提供供端到端端的互联联网安全全整体解解决方案案、快捷捷灵活的的超值授授权方案案，使用用户以最最小的投投入而获获得最大大利益。北大青鸟环环宇公司司与赛门门铁克公公司结成成战略合合作伙伴伴关系, 作为为赛门铁铁克在中中国的全全线产品品分销商商。成功功实现的的强强联联手旨在在共同提提高中国国网络安安全技术术水平、丰丰富国内内的安全全手段和和产品，以以便为用用户提供供更为全全面的网网络及信信息安全全解决方方案。二、产品应应用思路路

7、北大青鸟环环宇公司司的一体体化的网网络安全全解决方方案能够够帮助用用户根据据网络的的实际情情况和应应用需求求提出合合理可行行的安全全需求；确定要要保护的的对象（网网络设备备、企业业内部服服务器、应应用系统统等要素素）、所所采用的的安全技技术和产产品；进进而设计计并建立立适合自自己的安安全机制制、安全全管理制制度，取取得安全全风险、成成本、安安全性三三者之间间取得最最佳平衡衡点。公司代理了了Symmanttec的的所有安安全产品品，防火火墙、入入侵检测测、漏洞洞扫描、防防病毒等等。内容容如下：1.风险评评估与漏漏洞扫描描Enterrpriise Seccuriity Mannageer（基基于主

8、机机的漏洞洞检测）NetReeconn（基于于网络的的漏洞检检测）2. 网络络防护Intruuderr Allertt(基于于主机防防黑客入入侵侦测测)NetPrrowller(基于网网络防黑黑客入侵侵侦测)Raptoor FFireewalll（防防火墙）3.身份认认证、加加密Defennderr 、WeebDeefennderrVPN SSoluutioons(RapptorrMobbilee 、PowwerVVPN )PassGGoInnSvnnc、PasssGoo SSSO4.管理 Enteerprrisee Reesouurcee Maanagger Resoourcce MMana

9、agerr foor UUNIXX Privvileege Mannageer ffor UNIIX5.内容安安全I-Geaar（网网站和网网页内容容过滤）Mail-Geaar（邮邮件内容容过滤、防防邮件泄泄密）网络防病毒毒解决方方案（NNAVEES）6.桌面防防火墙系系统（DDeskktopp Fiirewwalll ）Deskttop Firrewaall 2.007.系统支支持与维维护（eeSuppporrt） Symanntecc Ghhostt 6.5pcANYYWHEERE 9.22安全产品实实现的主主要功能能和应用用层次如如下：自身安全自身安全授权安全管理 (ERM, PassG

10、o Insync, PassGo SSO)增强的用戶認證 (Defender, Web Defender)入侵检测 (Intruder Alert, Net Prowler)评估 (ESM , NetRecon)安全管理 (UPM , ERM)加密 (Power VPN)访问控制 (Desktop Firewall, Security Briefcase)安全顾问防火墻 (Raptor Firewall)内容过滤（I-Gear, Mail-Gear,NAVES）防病毒防病毒三、NettProowleer3.1 NNetPProwwlerr产品概概述NetPrrowller是是基于网网络的入入侵

11、检测测工具，通通过监视视服务器器、工作作站和其其他网络络设备间间的网络络通讯，能能够检测测出类似似IP Spooofss 和 SYYN FFlooods 这样的的网络攻攻击。它它能够将将许多严严重的攻攻击在危危及网络络安全之之前检查查出来，对对内部破破坏者和和外部黑黑客非法法访问计计算机系系统能够够立即做做出响应应，记录录日志和和终止非非法访问问。NetPrrowller在在专门的的NT工工作站上上部署一一个数据据包监视视方案来来检查网网络攻击击，NTT工作站站的网卡卡接口模模式设置置为混杂杂模式，NetProwler检查所有经过网卡端口的数据包，对检测出的安全攻击进行响应。NetPrrowl

12、ler采采用具有有专利技技术的SSDSII（Sttateefull Dyynammic Siggnatturee Innspeectiion状状态化的的动态特特征检测测）入侵侵检测技技术,而而不是将将信号同同数据库库中预定定义的攻攻击信号号进行简简单的比比较。每每个攻击击特征都都是一组组指令集集，这些些指令是是由SDDSI虚虚处理器器通过使使用一个个高速缓缓存入口口来描述述目前用用户状态态和当前前从网络络上收到到数据包包的办法法执行。每每一个被被监测的的网络服服务器都都有一个个小的相相关攻击击特征集集，这些些攻击特特征集都都是基于于服务器器的操作作和服务务器所支支持的应应用而建建立的。一旦Ne

13、tProwler被安装，它将扫描所在网段，进而发现危及主机和应用系统安全的攻击。在NetProwler进行网络扫描、提交报告后，系统管理员对每个系统的配置进行修改，对攻击进行响应。3.2 NNetPProwwlerr的体系系结构NetPrrowller具具有多层层体系结结构，由由Ageent、Connsolle和Mannageer三部部分组成成。Agentt负责监监视所在在网段的的网络数数据包。将将检测到到的攻击击及其所所有相关关数据发发送给管管理器。安安装时应应与企业业的网络络结构和和安全策策略相结结合。NNetPProwwlerr需要在在每个网网段中部部署一个个或一个个以上AAgennt，

14、根根据不同同的网络络结构，Agent有多种不同的连接形式。Consoole负负责从代代理处收收集信息息，显示示所受攻攻击信息息，使你你能够配配置和管管理隶属属于某个个管理器器的代理理。Managger对对配置和和攻击警警告信息息响应，执执行控制制台发布布的命令令，将代代理发出出的攻击击警告传传递给控控制台。当NetPProwwlerr发现攻攻击时，可可采取的的响应措措施包括括：把事事件记入入日志、中中断连接接、加强强防火墙墙、创建建一个报报告、通通过文件件或EMMAILL通知系系统管理理员、启启动另一一个程序序、记录录连接、将将事件通通知主机机入侵检检测管理理器和控控制台。3.4 NNetPP

15、rowwlerr产品特特点运用了SDDSI技技术，能能够动态态装载新新的更新新，同时时赛门铁铁克的信信息安全全小组SSWATT随时研研究新的的入侵技技术和安安全威胁胁，并且且在实验验室中对对它们进进行测试试，以便便用户能能够以最最快的速速度实施施新的入入侵检测测方案。采用了黑客客反跟踪踪技术，可可以对TTCP/IP欺欺骗信号号进行核核查。通通常状态态下，攻攻击者使使用假IIP地址址有可能能会被注注意到，因因为在建建立连接接时往往往要检验验IP地地址以判判断通讯讯双方是是否有信信任关系系。黑客客的做法法是截获获一个已已经获得得信任的的连接，盗盗用合法法IP，同同通信另另一方取取得联系系。Neet

16、Prrowller不不是进行行简单的的域名检检查，而而是将攻攻击信号号同保留留的IPP和MAAC地址址对进行行比较，并并且可以以对攻击击者在进进行序列列号猜测测过程中中发生的的极其微微小的错错误也能能检测到到。这项项功能是是一般的的网络入入侵检测测系统不不具备的的。NetPrrowller具具有优秀秀的报表表输出功功能，有有三种不不同的输输出方式式：快速速报表、自自定义格格式报表表和使用用Cryystaal 报报表设计计工具生生成报表表。生成成的报表表存储在在NettProowleer管理理器中，可可以从控控制台系系统的浏浏览器中中观看生生成的报报表。NetPrrowller允允许将攻攻击特征

17、征作为一一组指令令集来实实现，所所以还为为用户提提供过滤滤器编程程语言，使使入侵检检测系统统在必要要的时候候可以编编译过滤滤器。自动报告丢丢包情况况：当网网络流量量非常繁繁重致使使一个NNetPProwwlerr Aggentt不能处处理时，AAgennt可以以详细的的记录下下相关信信息，并并生成报报表。遵循OPSSEC协协议，具具有良好好的互操操作性。很很多企业业为了便便于管理理，均使使用一个个网管软软件对网网络中的的所有设设备和应应用系统统进行管管理，例例如TIIVOLLI、HHP-OOPENNVIEEW等等等。NeetPrrowller在在产品整整合过程程中，对对外提供供标准插插件，使使

18、网管软软件对其其实施管管理。加固防火墙墙的安全全性：将将入侵检检测产品品和其他他网络安安全产品品（如防防火墙、网络防防病毒产产品等）配配合使用用，能够够使网络络更加坚坚固、安安全，使使各种安安全产品品充分发发挥自身身的特性性。NeetPrrowller在在响应攻攻击事件件时，可可以修改改Rapptorr Fiirewwalll、 CChecckpoointt Fiirewwalll等的安安全策略略和访问问控制规规则。被动网络监监测：NNetPProwwlerr可以把把在本系系统中安安装的网网卡置于于混杂模模式(PPrommisccuouus)实实时检测测各种攻攻击。由由于它采采用数据据缓冲技技

19、术而不不是采用用存储/转发技技术，因因此不会会影响网网络或应应用的性性能。用户自定义义攻击定定义（特特征）：攻击特特征可以以检测并并防止黑黑客通过过命令尝尝试来探探测或挖挖掘已知知系统和和应用的的漏洞。同同时管理理员可以以根据企企业的资资源和应应用情况况制定相相应的攻攻击特征征。因此此可以保保护企业业特定的的资源和和应用。动态装载新新的攻击击特征：IDSS系统只只有能够够及时更更新攻击击特征库库才能够够最强的的监测和和防护能能力，其其他的IIDS系系统在更更新攻击击特征库库是需要要停止IIDS服服务，NNetPProwwlerr由于采采用了SSDSII专利技技术，他他把会话话处理和和分析功功能

20、从攻攻击特征征库中分分离开来来，NeetPrrowller可可以在无无需停止止任何服服务的情情况下装装载最新新的攻击击特征。网络Proofiller：NettProowleer通过过自动发发现网络络主机、应应用以及及自动实实施攻击击特征，提提供无缝缝的安装装和配置置功能。同同时他允允许在监监测不同同网段的的数据包包时只采采用跟本本网段安安全有关关的的攻攻击特征征。从而而大大提提高了监监测效率和优化了了性能。全企业范围围内可扩扩展的管管理结构构：可以以为多个个NettProowleer AAgennt提供供一个直直观、方方便的集集中的管管理、配配置和监监测平台台。为管管理员提提供一个个基于目目标

21、驱动动的一步步一步的的安装、配配置、监监测和维维护，同同时NeetPrrowller的的三级结结构（CConssolee, MManaagerr, AAgennt）具具有极好好的可扩扩展性。因因此在分分布式网网络中极极易管理理。基于WEBB的特征征更新和和和自动动下载：NettProowleer对大大多数攻攻击响应应的配置置都非常常容易。系系统不需需要离线线就可以以直接从从WEBB站点下下载升级级程序和和用户定定义的攻攻击信号号，并进进行配置置。NeetPrrowller还还带有攻攻击信号号定义工工具，系系统管理理员可以以针对公公司的特特殊应用用程序和和策略创创建自定定义攻击击信号。攻击字典：

22、提供详详细的有有关攻击击描述包包括CVVE（CCommmon Vullnerrabiilitty），同同时有相相应的联联接直接接连接到到SWAAT网站站。支持SMPP和双网网卡：NNetPProwwlerr Aggentt通过多多个硬件件来提高高性能，同同时支持持双网卡卡在DMMZ区运运行于秘秘密的模模式。从从而大大大提高了了性能和和安全性性。攻击特征定定义向导导：NeetPrrowller直直观的攻攻击特征征定义用用户接口口和向导导帮助用用户方便便快速地地定制用用户自定定义攻击击特征。可以和Inntruuderr Allertt 相集集成，提提供一个个完整的的防黑客客安全解解决方案案。实时的

23、会话话监测：NettProowleer的“tallkerr”特点为为常见的的应用提提供扩展展的会话话监测，如如HTTTP、FFTP、TTELNNET、EEmaiil、cchatt、rsshelll、rrloggin等等。使管管理员实实时记录录、中断断恶意的的会话，同同时记录录下来的的数据也也可以为为用户自自定义攻攻击特征征提供参参考。可以通过NNetPProwwlerr Coonsoole 实时地地、定时时地、自自动地把把最新的的攻击特特征分发发到远程程的Aggentt上。四、Inttrudder Aleert4.1 IIntrrudeer AAlerrt产品品概述Intruuderr All

24、ertt是基于于主机的的入侵检检测工具具，通过过监视企企业重要要服务器器和各种种应用以以避免企企业资源源被攻击击、滥用用和误用用，如果果这些系系统遭到到攻击或或威胁，Intruder Alert可以立即通知管理员或采取预先设置好的响应措施以避免信息的丢失或破坏。Intruuderr Allertt代理被被安装在在服务器器或工作作站中。这这些代理理可以监监视该系系统中的的所有行行为包括和和操作系系统的交交互通信信以及特特定的应应用，从从而可以以主动保保护企业业资源和和业务免免受非法法使用和和破坏。Intruuderr Allertt可以：1）不不停地监监视用户户（usser）对对操作系系统和应应

25、用所做做的任何何行为。22）不断断地对系系统、应应用、数数据的完完整性进进行评估估和主动动地进行行维护。33）创建建新的安安全监视视策略并并实时的的进行更更新。44）检测测未经授授权的行行为，同同时发出出相应的的警报也也可以执执行预设设的响应应措施。22）收集集并保护护所有日日志以便便日后分分析。44）与NNetPProwwlerr无缝集集合。4.2 IIntrrudeer AAlerrt体系系结构Intruuderr Allerttr采用用三层体体系结构构，具体体包括：Inttrudder Aleert Admminiistrratoor、Inttrudder Aleert Eveent V

26、ieewerr、Inttrudder Aleert Mannageer、Inttrudder Aleert Ageent。Intruuderr Allertt Addminnisttrattor：是一个个NT 和UNNIX平平台下的的图形化化的用户户接口（GGUI），主主要起管管理维护护工作，包包括：建建立和断断开和MManaagerr的连接接、组织织和配置置代理（Agent）、创建和管理域、创建和管理各种类型策略、管理Intruder Alert 用户和用户优先级、在需要的时候更新Manager的许可证优先级。Intruuderr Allertt Eveent Vieewerr：是一一个独立

27、立的NTT和UNNIX平平台下的的图形化化的用户户接口，用用于查看看从Aggentt中获取取的各种种事件数数据，从从而可以以查看选选定的刚刚刚发生生的或已已经发生生的各种种事件，还还可以给给代理（Agent）发送各种ITA指令,以及生成并查看各种在线或历史报告。Intruuderr Allertt Mannageer：是是一个运运行在后后台的应应用软件件，Maanagger没没有图形形化界面面，其主主要功能能是：维维护与所所有注册册代理（Agent）的安全通讯，维护域的主列表和把相应的策略分发到每一个代理（Agent），把有关域和策略的变化通知给相应的代理（Agent），接收和存储来自于代理的

28、事件数据，作为Intruder Alert Administrator，Intruder Alert Event Viewer，和Agent之间通讯的桥梁，维护策略列表和所属域。Intruuderr Allertt Ageent：主要起起如下作作用：监监视时间间收集器器，在发发现攻击击时，执执行相应应的行为为（如：通知用用户、发发送E-maiil、通通知管理理员、终终止会话话、关闭闭机器等等），从从Mannageer中接接受安全全升级（Security Update），建立与Manager的安全连接，同时加密数据以便数据可以在网络中安全传送。4.3 IIntrrudeer AAlerrt产品品

29、特点基于策略的的入侵检检测：管管理员可可以非常常方便地地把基于于策略的的IDSS防护实实施到系系统中。通通过基于于策略的的监测，管管理员可可以完全全控制如如何监测测系统，定定义要监监测什么么系统、监监测系统统中何种种行为，同同时在发发现攻击击时采取取什么行行为。动态地、实实时地更更新安全全策略：可以动动态地、实实时地更更新入侵侵检测策策略。IIntrrudeer AAlerrt提供供一套完完整的工工具来创创建新的的入侵检检测策略略，同时时实时地地应用到到系统中中。Intruuderr Allertt Aggentt 支持持50多多种操作作系统平平台，几几乎包含含了所有有的商用用操作系系统平台台

30、。如；Winndowws NNT(AAlphha iin SSpriing 988) 、NettWarre 、UNIIX: 、AIXX 3.2.55 & 4.11 onn RSS/60000 、AT&T GGIS (NCCR) 2.33 onn x886 、Diggitaal UUNIXX/OSSF1 3.00 orr laaterr onn DEEC AAlphha-AAXP、Diggitaal UUNIXX 3.2 oon AAlphha 、Diggitaal/UULTRRIX 4.33 orr laaterr onn MIIPS 、DYNNIX/ptxx 4.1.33 orr laate

31、rr onn Seequeent Sinnglee & Mulltipproccesssor x866 、HP-UX 9.005 & 100.011 orr laaterr (111.00 beeingg veeriffiedd)onn HPP 90000/7xxx & 8xxx 、IRIIX 55.3 & 66.2 on SGII (IIndyy) 、NCRR SVVR4 2.33 & 3.00 orr laaterr onn Inntell 、Sollariis 22.4 & 22.5 or latter on Sunn SPPARCC 、SunnOS 4.11.3_U1 & 44.1.4

32、 oor llateer oon SSun SPAARC 、SVRR4 、Mottoroola 880000等等。Intruuderr Allertt Admminiistrratoor：支支持Wiindoows NT, HPP-UXX, SSun Sollariis。Intruuderr Allertt Mannageer：支支持AIIX, Diggitaal UUNIXX, HHP-UUX, IRIIX, NCRR, SSolaariss, SSunOOS, Winndowws NNT, NettWarre。Intruuderr Allertt还可以以根据企企业的具具体情况况配置成成监测企

33、企业的各各种应用用，如：Webb应用、数数据库应应用以及及其他的的运行在在服务器器中的重重要应用用。精简审计日日志：通通过Inntruuderr Allertt Evventt Viieweer可以以对繁杂杂的审计计日志进进行分类类、集中中管理、同同时也为为管理员员提供一一个更加加有效的的、容易易的安全全的日志志查看和和分析方方法和手手段。企业范围内内的管理理：Inntruuderr Allertt可以和和各种主主要的企企业管理理工具集集成使用用，从而而为用户户提供一一个强大大的管理理控制平平台，它它支持：、用户户自定义义的安全全目的。、提供管理向导，使得日常维护工作更加容易。、当发现安全冲突

34、事件时，可以实时监测和显示安全事件。、可以远程静默安装和调整，从而易于软件的实施和维护。、提供和Tivoli、BMC Patrol、HP OpenView的集成模块。可以完全和和NettProowleer事件件集成：可以和和Inttrudder Aleert相相结合，巩巩固安全全事件报报告。NNetPProwwlerr监测网网络数据据包，并并提前警警告来自自Intternnet的的攻击，为为整个企企业的网网络和重重要的商商业服务务器和应应用提供供一个集集成的IIDS安安全点，同同时在NNetPProwwlerr发现攻攻击时，可可以和IIntrrudeer AAlerrt连动动。强大的报告告和事

35、件件响应指指南：可可以有效效地管理理安全风风险。IIntrrudeer AAlerrt 可可以为管管理员提提供独特特的报告告，帮助助管理员员了解安安全趋势势和经常常出现的的安全问问题。可可以根据据系统、用用户、时时间等九九项指标标分类提提供报告告。可以收集并并提供多多个系统统中发生生的相关关的攻击击报告。提供实时的的监测功功能：可可以根据据当前情情况实时时提供图图表、图图形报告告并可以以对历史史事件查查询和分分析。提供UNIIX平台台下的图图形化用用户接口口（GUUI）。用户自定义义攻击定定义（特特征）：攻击特特征可以以检测并并防止黑黑客通过过命令尝尝试来探探测或挖挖掘已知知系统和和应用的的漏

36、洞。管管理员可可以根据据企业的的资源和和应用的的具体情情况制定定相应的的攻击特特征。因因此可以以保护企企业特定定的资源源和应用用。同时可以有有多个安安全策略略起作用用。五、Entterpprisse SSecuuritty MManaagerr5.1 EESM产产品概述述ESM（EEnteerprrisee Seecurrityy Maanagger）是是一种基基于主机机的安全全漏洞扫扫描和风风险评估估工具,主要用用于评估估多种操操作系统统平台的的系统安安全性和和应用安安全，包包括不同同种类的的UNIIX平台台，Wiindoows平平台，NNetwwaree和OpeenVMMS。在在这些环环境

37、中，ESM对数据安全提供有效的管理、检查和保证。ESM 5.1在55个以上的平台上共执行超过1500种安全检查，根据IDC 99报告，ESM占有68% 的市场份额，50 top Fortune的40家使用ESM。 使用ESMM评估速速度更快快，网络络影响更更小。由由于ESSM代理理被安装装在每一一个需要要评估的的主机上上，每个个系统独独立与其其它系统统（并行行）工作作，因此此执行一一个系统统范围内内的评估估非常快快。当每每个代理理完成自自己的评评估，只只把违反反安全策策略的信信息作为为报告安安全地传传送到EESM管管理器。ESM包括括三个主主要组成成部分：ESMM管理器器，ESSM代理理和ES

38、SM企业业控制台台（GUUI）。ESM的管理器/代理结构有以下优点： 深度的更精确的扫描，, 可扩展性和权限分离。因为ESM代理拥有全部的系统运行权限，所以可以精确评估安全配置和应用的所有方面。另一方面，基于网络的扫描器没有访问系统的权限，因而不能象ESM那样执行深度评估，获得精确的结果。同时ESM通过安全管理员定义任务，执行任务需要的登录ID号，口令和被赋予的权限，实现权限分离。ESM的结结构分为为内核和和模块。这这种结构构可以独独立于内内核为操操作系统统开发和和发布新新的安全全检查。安安全升级级就是下下载包含含新的和和增强的的安全检检查的模模块。5.2 EESM基基本功能能用于管理敏敏感数

39、据据和加强强整个客客户端/服务器器平台的的安全策策略。包包括Wiindoows 20000/NNT，UNIIX，Novvelll NeetWaare，OpeenVMMS。同同时ESSM也可可以保证证信息和和资源的的机密性性、完整整性和可可用性。管理安全策策略。监测安全设设置和文文件的变变化。评估并报告告系统是是否符合合安全策策略，如如未经许许可的特特权，错错误的文文件访问问和错误误的系统统配置等等。为实现企业业安全策策略提供供一种机机制和方方法。管理并确保保企业内内部服从从规定的的安全策策略。对数据和数数据访问问提供完完整的检检查。检检测安全全设置和和文件的的改变。5.3 EESM体体系结构构

40、ESM采用用三层体体系结构构，由AAgennt、Connsolle和Mannageer三部部分组成成,同时时ESMM也带有有命令行行接口(CLII)以提提供运行行安全功功能的另另一种方方式。ESM AAgennt:安安装在企企业重要要服务器器上，可可以是UUNIXX、Wiindoows、NNetwwaree等。它它由一个个模块服服务器和和一个负负责与服服务器通通讯的组组件组成成。当EESM Mannageer发出出策略运运行请求求时，AAgennt将立立即做出出响应并并负责收收集和解解释属于于系统安安全方面面的数据据。Aggentt在策略略中的安安全模块块分析AAgennt所运运行的工工作站、

41、服服务器、或或机器节节点中或或者Aggentt作为Prroxyy的系统统的配置置，Aggentt 服务务器收集集所有这这些数据据结果并并把它们们返回到到初始化化请求的的Mannageer 中中去。ESM MManaagerr：可运运行在UUNIXX、Wiindoows、NNetwwaree。ESSM MManaagerr主要有有两个部部分组成成CIFF Seerveer和Nett Seerveer，其其主要作作用是控控制并存存储策略略数据，同同时在需需要的时时候把这这些数据据传送给给ESMM Aggentt和ESMM Coonsoole，以以及负责责从ESSM AAgennt中收收集和存存储安

42、全全数据，并并把这些些数据传传送到EESM Connsolle中。ESM CConssolee 运运行在WWIN995/NNT/220000上，负负责接受受输入数数据并向向其他EESM组组件发送送请求，当当数据结结果返回回时，EESM Connsolle对这这些信息息进行格格式化输输出、创创建电子子数据表表格、饼饼图、柱柱状图和和其他的的可视对对象。它它可以跨跨平台和和网络中中的Maanagger进进行通讯讯，ESSM CConssolee 通过过CSPP(Clliennt SServver Prootoccol)和其他他组件进进行通讯讯。5.4 EESM产产品特点点能够智能地地跨平台台评估安

43、安全 (UNIIX, NT, NeetWaare)并产生生完整的的报告。利用独一无无二的三三层结构构，可以以并行检检查多个个被评估估的系统统。由于于所有的的安全评评估只发发生在安安装了代代理的系系统上，只只有评估估报告通通过网络络传送，占占用网络络带宽非非常小。运行安全评评估报告告的用户户不需要要具有运运行代理理的系统统的管理理员权限限。 支持数据库库 (OOraccle), WWeb Serrverrs (Miccrossoftt 和 Neetsccapee)和附附加的平平台 (AS/4000)。通通过软件件开发工工具包(SDKK)可以以使其它它平台和和应用与与ESMM的中央央报告器器集成在

44、在一个界界面 与其它系统统管理架架构如TTivooli, BMMC, andd HPP Oppenvvieww集成，可可以在这这些管理理控制台台上执行行策略，运运行和显显示数据据。企业业可以在在单一的的界面下下管理网网络和安安全。支持远程安安装，在在一个地地理分散散的企业业里可以以在总部部完成EESM安安装。支持远程升升级和调调整软件件包，允允许管理理员在企企业里迅迅速分发发新的版版本或调调整软件件包。ESM提供供安全状状态饼图图，可以以帮助用用户快速速评估现现有的安安全状态态和最终终确定问问题所在在。全面的、基基于策略略的安全全评估：ESMM的评估估基于安安全标准准。安全全管理员员可以通通过

45、一个个或多个个ESMM策略在在线应用用这些标标准。在在评估关关键服务务器、工工作站和和应用的的安全程程度时，ESM利用策略作为基准，它告知ESM是如何设置，认证和给予权限。ESM策略包括一系列评价计算机安全特定领域的安全模块。Symantec为不同版本的操作系统或应用单独制订安全模块。安全模块依次包含安全检查，日常评估，这些评估表明了系统配置的情况。强大的全企企业范围围内的安安全管理理：通过过ESMM，企业业安全管管理员可可以：在在线创建建和管理理安全策策略、创创建和管管理用户户自定义义的安全全域、77 x224自动动调度管管理器可可以非常常容易地地执行日日常安全全评估、通通过强大大的交互互式

46、报告告快速识识别违规规的系统统、通过过用户自自定义安安全任务务准许在在全面的的审核下下安全管管理各个个任务的的授权、软软件分发发和管理理工具使使安全管管理员可可以在企企业全面面部署EESM，从从而快速速精确地地评估整整个企业业信息资资产的安安全性。可扩展的结结构：EESM支支持主要要的商用用UNIX版本本, WWinddowss NTT, NNetWWaree annd VVMS. ESSM也支支持Weeb SServverss和Oraaclee Daatabbasee Seerveers。ESM提供供大范围围跨多平平台执行行并报告告重要安安全信息息。六、NettReccon6.1 NNetR

47、Recoon产品品概述NetReeconn 是一一个漏洞洞和风险险评估工工具,用用于发现现、发掘掘和报告告网络安安全漏洞洞。与其其他漏洞洞扫描工工具不同同是，NNetRRecoon不仅仅仅能够够检测和和报告漏漏洞而且且还可以以证明漏漏洞发生生在什么么地方以以及发生生的原因因。它就就询问网网络和系系统；在在系统间间分享信信息并继继续探测测各种漏漏洞直到到发现所所有的安安全漏洞洞。NeetReeconn还可以以通过发发掘漏洞洞以提供供更高的的可信度度以确保保被检测测出的漏漏洞是真真正的漏漏洞。这这就使得得风险分分析更加加精确并并确保管管理员可可以把风风险程度度最高的的漏洞放放在优先先考虑的的位置。

48、另另外，NNetRRecoon独有有的路径径分析技技术可以以帮助发发现漏洞洞的根本本原因。NetRecon可以一步一步证明用于获取信息或评估系统的各种技术。通过分析漏洞的根本原因，任何重复的漏洞、模式或异常的现象很容易被确定到是否是重要问题或被确定到网络中的系统并且迅速被排除。NetReeconn 在对对网络和和系统进进行扫描描时，采采用了具具有专利利UlttraSScann技术，当当一个对对象获取取相关的的数据后后，数据据会作为为输入提提供给其其他的一一个或多多个工作作对象，多多个对象象同时探探测多个个目标，并并连续地地工作。相相反，其其他的扫扫描器在在某一时时刻只能能扫描一一个目标标的漏洞

49、洞，NeetReeconn使用在在给定时时间点找找到的数数据来查查找其他他系统上上的相关关漏洞。并并且检测测的同时时动态地地图形化化地显示示探测结结果，明明确指出出修复漏漏洞的特特定方法法，建议议弥补方方案。不同与普通通的网络络探测技技术，NNetRRecoon不仅仅仅基于于IP协协议，他他可以利利用多种种协议和和技术来来探测各各种敏感感的网络络资源，如如NOVVELLL系统。6.2 NNetRRecoon基本本功能发现资源-发现现那些黑黑客看不不到，但但能利用用的资源源。NeetReeconn可以帮帮助确认认系统或或设备中中具有的的未列出出的数据据。启动Exeec服务务 - EXEEC服务务

50、（也称称为REEXECC）提供供一个具具有基于于用户名名和密码码授权的的远程命命令执行行工具。黑黑客发现现这个服服务是一一个极具具魅力的的口令猜猜测工具具，因为为它很少少保存使使用日志志。启动SMTTP译码码别名 - 它使利利用EMMAILL发送和和接收二二进制文文件变得得更容易易。不幸幸的是，解解码的EEMAIIL别名名可能被被用来生生成或覆覆盖系统统文件。如如黑客可可能利用用这种程程序用远远程系统统中它们们自己的的代码来来覆盖系系统文件件。获得空的会会话访问问 - 空的的会话连连接允许许远程的的攻击者者搜集系系统中有有关帐号号和资源源的信息息，获得得对WIINDOOWS系系统及其其资源的的

51、访问能能力。获得用户级级的访问问能力 - 如果NeetReeconn能象一一个有效效用户一一样登录录到网络络资源，那那么黑客客也可以以。NeetReeconn获取各各种试图图登录到到Winndowws NNT, UNIIX, NettWarre 和和其它系系统的资资源，并并用它们们来作为为登录名名和密码码。发现系统类类型 - 假假如黑客客能检测测到系统统运行WWINDDOWSS NTT 4。0而有不不带服务务包SPP3，那那么它们们可以利利用大量量众所周周知的系系统漏洞洞。获取NISS加密口口令 - 许许多用户户使用一一个普通通的单词词或名字字作为口口令。NNetRRecoon会象象黑客一一样

52、试图图猜测口口令，决决定网络络的安全全漏洞。使用小/大大的词典典破译口口令 - 如如果黑客客能从系系统中获获得加密密后的密密码，它它们可以以从词典典中找出出单词当当作密码码进行加加密，并并把结果果与从受受侵对象象获得的的口令进进行比较较。猜出出口令即即为所匹匹配的字字典中的的单词。NetWaare通通知口令令跟踪可可能 - 缺缺省情况况下，没没有SPP3的WINNDOWWS NNT 44。0的注册册表中包包含一个个指向活活动端口口的条目目。在特特定系统统中知道道了正在在使用哪哪种服务务有助于于黑客知知道使用用哪种攻攻击有效效，哪些些系统是是脆弱的的。通过SMBB可以Moountt的本地地磁盘

53、- SMMB（服服务器信信息块）是是许多操操作系统统都使用用的用于于文件共共享的标标准格式式。攻击击者可能能利用它它检索文文件。6.3 NNetRRecoon产品品特点灵活可变的的扫描范范围：通通过NeetReeconn，用户户可以限限制扫描描的范围围，如：扫描特特定的IIP范围围、特定定的网络络或其他他网络资资源如：域名或或Winndowws网络络邻居名名称。另另外，如如果不选选择某个个特定的的资源范范围，NNetRRecoon可以以“发现”它们并并且为用用户建立立建立一一个可用用的资源源列表。提供图形化化的用户户接口：可以在在任何时时候从各各方面查查看扫描描的状态态。在NNetRRecoo

54、n中有有对象、数数据和图图形方格格图形化化或文本本化显示示产品行行为的功功能。从从而使得得判别安安全级别别一目了了然。自动地、跨跨平台地地发现和和评估：NettReccon可可以自动动发现网网络中的的资源，这这种功能能不仅仅仅支持分分析基于于TCPP/IPP的网络络，同样样支持IIPX 和NettBEUUI。NettReccon还还拥有一一个知识识库，用用于发现现和发掘掘在特定定系统中中的漏洞洞如：UUNIXX, NNetWWaree 3.x aand 4.xx (wwithh biindeery andd NDDS), Wiindoows 95 andd Wiindoows NT 3.551

55、 aand 4.00 Woorksstattionn annd SServver。渐渐式扫描描技术：这是SSymaanteec的专专利技术术，在这这种技术术中，一一个扫描描的信息息可以用用于另一一个扫描描。它可可以收集集漏洞和和信息用用于另一一个扫描描以发现现更深层层次的扫扫描。路径分析功功能：NNetRRecoon不仅仅仅报告告漏洞，还还能证实实发现漏漏洞的步步骤。同同时还能能发现产产生漏洞洞的真正正原因，并并且可以以证明黑黑客突破破该漏洞洞的每一一步。NNetRRecoon可以以一步一一步证明明用于获获取信息息或评估估系统的的步骤。通过Webb更新服服务：NNetRRecoon采用用模块化

56、化解决方方案，这这使得它它可以更更加容易易扩展漏漏洞知识识库和评评估模块块。这些些模块可可以通过过Webb站点来来获得，从从而使得得当威胁胁出现时时，很容容易获得得更新，而而无需重重新安装装整个软软件。七、Rapptorr Fiirewwalll7.1 RRapttor Firrewaall产产品概述述 Raptoor防火火墙和VVPN服服务器是是Symmanttec公公司推出出的多次次获奖的的网络安安全产品品， RRapttor防防火墙可可以在不不影响性性能的前前提下，提提供企业业级的最最大边界界安全解解决方案案。适用用于NTT, SSolaariss, HHP-UUX, andd Trru

57、644 Unnix平平台。RRapttor防防火墙通通过在网网络边界界安全体体系中集集成了应应用代理理、网络络链路和和包过滤滤技术，为为企业提提供整体体的网络络保护。它它的数据据检测技技术确保保进出企企业网络络的信息息在协议议栈每一一层都得得到检验验。除了了提供协协议保护护，Raaptoor防火火墙还提提供智能能管理、高高性能和和多线程程支持，为为企业IInteerneet和IIntrraneet安全全提供最最大安全全的、可可管理的的和可扩扩展的安安全解决决方案。目目前，世世界上的的许多组组织都在在使用RRapttor防防火墙产产品，其其独一无无二的体体系结构构和强大大的功能能为网络络提供了了

58、强有力力的边界界保护。Raptoor防火火墙是119966年初期期推出的的，世界界上第一一个基于于Winndowws NNT的防防火墙。是是目前防防火墙市市场上基基于NTT的最稳稳定的、功功能最齐齐全的和和最安全全的防火火墙之一一。Raptoor 防防火墙采采用应用用层安全全代理，实实现对连连入防火火墙的网网络物理理和逻辑辑隔离，提提供多级级保护和和“无懈可可击”的安全全性。物物理隔离离通过使使用Raaptoor防火火墙的不不同网卡卡隔离不不同网络络来实现现；逻辑辑隔离通通过完全全禁止对对网络层层流量的的路由来来实现。使使用双重重隔离和和智能代代理保证证Rapptorr防火墙墙faail-sa

59、ffe 意味味着即使使在操作作系统或或防火墙墙软件中中出现重重大问题题时，也也不会有有非法流流量通过过防火墙墙。而一一般的防防火墙对对数据包包进行路路由（faiil-oopenn），允允许未经经授权流流量通过过。7.2 RRapttor Firrewaall主主要功能能Raptoor防火火墙主要要具有以以下方面面的安全全功能对网络的基基本保护护保护内部网网免受基基本的和和已知的的网络攻攻击是任任何防火火墙系统统的基本本功能。Raptor 防火墙同时提供IP 层和应用层的保护，可以抵制IP分段攻击、源路由攻击、IP地址欺骗、TCP SYN Flood、TCP FIN Scan、泪滴攻击（Tear

60、drop）以及其他类似攻击。 应用代理体系结构可以抵制大多数类似攻击- 象Cheswick 和Bellovin这样的安全专家均推荐使用该体系结构。应用控制基本网络保保护并不不能够充充分满足足安全需需求。多多数具有有较强破破坏力的的复杂攻攻击是针针对应用用数据流流的攻击击，而不不是在IIP层，所所以对应应用数据据和协议议命令的的控制是是非常必必要的。RRapttor防防火墙使使用智能能安全代代理，对对IP应应用（例例如FTTP，SMTTP，SQLL*NEET）进进行独立立控制，保保证只有有合法的的协议命命令和数数据才能能通过。例例如Raaptoor 防防火墙可可以抵制制SMTTP 后后门命令令和