网络安全设计方案一

网络平安设计方案2009-03-2723:02:39标签：IDC网络系统平安实施方案

1吉通上海IDC网络平安功能需求

1.1吉通上海公司对于网络平安和系统牢靠性的总体设想

（1）网络要求有充分的平安措施，以保障网络服务的可用性和网络信息的完整性。要把网络平安层，信息服务器平安层，数据库平安层，信息传输平安层作为一个系统工程来考虑。网络系统牢靠性：为削减单点失效，要分析交换机和路由器应采纳负荷或流量分担方式，对服务器、计费服务器和DB服务器，WWW服务器，分别采纳的策略。说明对服务器硬件、操作系统及应用软件的平安运行保障、故障自动检测/报警/解除的措施。对业务系统牢靠性，要求满意实现对硬件的冗余设计和对软件牢靠性的分析。网络平安应包含：数据平安；

预防病毒；

网络平安层；

操作系统平安；

平安系统等；

（2）要求卖方提出完善的系统平安政策及其实施方案，其中至少覆盖以下几个方面：l

对路由器、服务器等的配置要求充分考虑平安因素l

制定妥当的平安管理政策，例如口令管理、用户帐号管理等。l

在系统中安装、设置平安工具。要求卖方具体列出所供应的平安工具清单及说明。l

制定对黑客入侵的防范策略。l

对不同的业务设立不同的平安级别。（3）卖方可提出自己建议的网络平安方案。1.2整体需求

l

平安解决方案应具有防火墙,入侵检测,平安扫描三项基本功能。l

针对IDC网络管理部分和IDC服务部分应提出不同的平安级别解决方案。l

全部的IDC平安产品要求厂家稳定的服务保障和技术支持队伍。服务包括产品的定时升级，培训，入侵检测,平安扫描系统报告分析以及对平安事故的快速响应。l

平安产品应能与集成商方案的网管产品，路由，交换等网络设备功能兼容并有效整合。l

全部的平安产品应具有公安部的销售许可和国家信息化办公室的平安认证。l

全部平安产品要求界面友好，易于安装，配置和管理，并有详尽的技术文档。l

全部平安产品要求自身高度平安性和稳定性。l

平安产品要求功能模块配置敏捷，并具有良好的可扩展性。

1.3防火墙部分的功能需求

l

网络特性：防火墙所能爱护的网络类型应包括以太网、快速以太网、(千兆以太网、ATM、令牌环及FDDI可选)。支持的最大LAN接口数：软、硬件防火墙应能供应至少4个端口。l

服务器平台：软件防火墙所运行的操作系统平台应包括Solaris2.5/2.6、Linux、WinNT4.0(HP-UX、IBM-AIX、Win2000可选)。l

加密特性：应供应加密功能，最好为基于硬件的加密。l

认证类型：应具有一个或多个认证方案，如RADIUS、Kerberos、TACACS/TACACS＋、口令方式、数字证书等。l

访问限制：包过滤防火墙应支持基于协议、端口、日期、源/目的IP和MAC地址过滤；过滤规则应易于理解，易于编辑修改；同时应具备一样性检测机制，防止冲突；在传输层、应用层(、FTP、TELNET、SNMP、STMP、POP)供应代理支持；支持网络地址转换(NAT)。l

防卫功能：支持病毒扫描，供应内容过滤，能防卫PingofDeath,TCPSYNFloods及其它类型DoS攻击。l

平安特性：支持转发和跟踪ICMP协议（ICMP代理）；供应入侵实时警告；供应实时入侵防范；识别/记录/防止企图进行IP地址欺瞒。l

管理功能：支持本地管理、远程管理和集中管理；支持SNMP监视和配置；负载均衡特性；支持容错技术，如双机热备份、故障复原，双电源备份等。l

记录和报表功能：防火墙应当供应日志信息管理和存储方法；防火墙应具有日志的自动分析和扫描功能；防火墙应供应告警机制，在检测到入侵网络以及设备运转异样状况时，通过告警来通知管理员实行必要的措施，包括E－mail、呼机、手机等；供应简要报表（依据用户ID或IP地址供应报表分类打印）；供应实时统计。

2惠普公司在吉通上海IDC中的网络平安管理的设计思想

2.1网络信息平安设计宗旨

惠普公司在为客户IDC项目的信息平安供应建设和服务的宗旨可以表述为：l

依据最新、最先进的国际信息平安标准l

采纳国际上最先进的平安技术和平安产品l

参照国际标准ISO9000系列质量保证体系来规范惠普公司供应的信息平安产品和服务l

严格遵守中华人民共和国相关的法律和法规2.2网络信息平安的目标

网络平安的最终目标是爱护网络上信息资源的平安，信息平安具有以下特征：l

保密性：确保只有经过授权的人才能访问信息；l

完整性：爱护信息和信息的处理方法精确而完整；l

可用性：确保经过授权的用户在须要时可以访问信息并运用相关信息资产。信息平安是通过实施一整套适当的限制措施实现的。限制措施包括策略、实践、步骤、组织结构和软件功能。必需建立起一整套的限制措施，确保满意组织特定的平安目标。2.3网络信息平安要素

惠普公司的信息平安理念突出地表现在三个方面--平安策略、管理和技术。l

平安策略--包括各种策略、法律法规、规章制度、技术标准、管理标准等，是信息平安的最核心问题，是整个信息平安建设的依据；l

平安管理--主要是人员、组织和流程的管理，是实现信息平安的落实手段；l

平安技术--包含工具、产品和服务等，是实现信息平安的有力保证。依据上述三个方面，惠普公司可以为客户供应的信息平安完全解决方案不仅仅包含各种平安产品和技术，更重要的就是要建立一个一样的信息平安体系，也就是建立平安策略体系、平安管理体系和平安技术体系。2.4网络信息平安标准与规范

在平安方案设计过程和方案的实施中，惠普公司将遵循和参照最新的、最权威的、最具有代表性的信息平安标准。这些平安标准包括：l

ISO/IEC17799Informationtechnology–Codeofpracticeforinformationsecuritymanagementl

ISO/IEC13335Informationtechnology–GuidelinesforTheManagementofITSecurityl

ISO/IEC15408Informationtechnology–Securitytechniques–EvaluationcriteriaforITsecurityl

我国的国家标准GB、国家军用标准GJB、公共平安行业标准GA、行业标准SJ等标准作为本项目的参考标准。2.5网络信息平安周期

任何网络的平安过程都是一个不断重复改进的循环过程，它主要包含风险管理、平安策略、方案设计、平安要素实施。这也是惠普公司提倡的网络信息平安周期。l

风险评估管理：对企业网络中的资产、威逼、漏洞等内容进行评估，获得平安风险的客观数据；l

平安策略：指导企业进行平安行为的规范，明确信息平安的尺度；l

方案设计：参照风险评估结果，依据平安策略及网络实际的业务状况，进行平安方案设计；l

平安要素实施：包括方案设计中的平安产品及平安服务各项要素的有效执行。l

平安管理与维护：依据平安策略以及平安方案进行日常的平安管理与维护，包括变更管理、事务管理、风险管理和配置管理。l

平安意识培育：帮助企业培训员工树立必要的平安观念。

3吉通上海IDC信息系统平安产品解决方案

3.1层次性平安需求分析和设计

网络平安方案必需架构在科学的平安体系和平安框架之上。平安框架是平安方案设计和分析的基础。为了系统地描述和分析平安问题，本节将从系统层次结构的角度绽开，分析吉通IDC各个层次可能存在的平安漏洞和平安风险，并提出解决方案。3.2层次模型描述

针对吉通IDC的状况，结合《吉通上海IDC技术需求书》的要求，惠普公司把吉通上海IDC的信息系统平安划分为六个层次，环境和硬件、网络层、操作系统、数据库层、应用层及操作层。

环境和硬件

为爱护计算机设备、设施（含网络）以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故（如电磁污染等）破坏，应实行适当的爱护措施、过程。具体内容请参照机房建设部分的建议书。网络层平安

平安的网络拓扑结构

网络层是网络入侵者进攻信息系统的渠道和通路。很多平安问题都集中体现在网络的平安方面。由于大型网络系统内运行的TPC/IP协议并非专为平安通讯而设计，所以网络系统存在大量平安隐患和威逼。网络入侵者一般采纳预攻击探测、窃听等搜集信息，然后利用IP欺瞒、重放或重演、拒绝服务攻击（SYNFLOOD，PINGFLOOD等）、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。保证网络平安的首要问题就是要合理划分网段，利用网络中间设备的平安机制限制各网络间的访问。在对吉通IDC网络设计时，惠普公司已经考虑了网段的划分的平安性问题。其中网络具体的拓扑结构好要依据吉通IDC所供应的服务和客户的具体要求做出最终设计。.2网络扫描技术

解决网络层平安问题，首先要清晰网络中存在哪些平安隐患、脆弱点。面对大型网络的困难性和不断变更的状况，依靠网络管理员的技术和阅历找寻平安漏洞、做出风险评估，明显是不现实的。解决的方案是，找寻一种能找寻网络平安漏洞、评估并提出修改建议的网络平安扫描工具。解决方案：ISS网络扫描器InternetScanner配置方法：在上海IDC中运用一台高配置的笔记本电脑安装InternetScanner，定期对本IDC进行全面的网络平安评估，包括全部重要的服务器、防火墙、路由设备等。扫描的时间间隔请参照平安策略的要求。ISS网络扫描器InternetScanner是全球网络平安市场的顶尖产品。它通过对网络平安弱点全面和自主地检测与分析，能够快速找到并修复平安漏洞。网络扫描仪对全部附属在网络中的设备进行扫描，检查它们的弱点，将风险分为高，中，低三个等级并且生成大范围的有意义的报表。从以企业管理者角度来分析的报告到为消退风险而给出的详尽的逐步指导方案均可以体现在报表中。该产品的时间策略是定时操作，扫描对象是整个网络。它可在一台单机上对已知的网络平安漏洞进行扫描。截止InternetScanner6.01版本，InternetScanner已能对900种以上的来自通讯、服务、防火墙、WEB应用等的漏洞进行扫描。它采纳模拟攻击的手段去检测网络上每一个IP隐藏的漏洞，其扫描对网络不会做任何修改和造成任何危害。InternetScanner每次扫描的结果可生成具体报告，报告对扫描到的漏洞按高、中、低三个风险级别分类，每个漏洞的危害及补救方法都有具体说明。用户可依据报告提出的建议修改网络配置，填补漏洞。可检测漏洞分类表：BruteForcePassword-Guessing

为常常变更的帐号、口令和服务测试其平安性

Daemons

检测UNIX进程（Windows服务）

Network

检测SNMP和路由器及交换设备漏洞

DenialofService

检测中断操作系统和程序的漏洞，一些检测将暂停相应的服务

NFS/XWindows

检测网络网络文件系统和X-Windows的漏洞

RPC

检测特定的远程过程调用

SMTP/FTP

检测SMTP和FTP的漏洞

WebServerScanandCGI-Bin

检测Web服务器的文件和程序（如IIS,CGI脚本和）

NTUsers,Groups,andPasswords

检测NT用户，包括用户、口令策略、解锁策略

BrowserPolicy

检测IE和Netscape阅读器漏洞

SecurityZones

检测用于访问互联网平安区域的权限漏洞

PortScans

检测标准的网络端口和服务

Firewalls

检测防火墙设备，确定平安和协议漏洞

Proxy/DNS

检测代理服务或域名系统的漏洞

IPSpoofing

检测是否计算机接收到可疑信息

CriticalNTIssues

包含NT操作系统强壮性平安测试和与其相关的活动

NTGroups/Networking

检测用户组成员资格和NT网络平安漏洞

NetBIOSMisc

检测操作系统版本和补丁包、确认日志存取，列举、显示NetBIOS供应的信息

Shares/DCOM

检测NetBIOS共享和DCOM对象。运用DCOM可以测试注册码、权限和缺省平安级别

NTRegistry

包括检测主机注册信息的平安性，爱护SNMP子网的密匙

NTServices

包括检测NT正在运行的服务和与之相关平安漏洞

.3防火墙技术

防火墙的目的是要在内部、外部两个网络之间建立一个平安限制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和限制。具体地说，设置防火墙的目的是隔离内部网和外部网，爱护内部网络不受攻击，实现以下基本功能：·

禁止外部用户进入内部网络，访问内部机器；·

保证外部用户可以且只能访问到某些指定的公开信息；·

限制内部用户只能访问到某些特定的Internet资源，如WWW服务、FTP服务、TELNET服务等；解决方案：CheckPointFirewall-1防火墙和CiscoPIX防火墙防火墙除了部署在IDC的私有网（即网管网段等由IDC负责日常维护的网络部分）以外，还可以依据不同的用户的需求进行防火墙的部署，我们建议对于独享主机和共享主机都进行防火墙的配置，而对于托管的主机可以依据用户的实际状况供应防火墙服务。无论是虚拟主机还是托管主机，IDC都须要为这些用户供应不同程度的远程维护手段，因此我们也可以采纳VPN的技术手段来保证远程维护的平安性，VPN同时也可以满意IDC为某些企业供应远程移动用户和合作企业之间的平安访问的需求。依据吉通上海IDC的平安要求以及平安产品的配置原则，我们建议运用的产品包括CiscoPIX和CheckPointFirewall－1在内的两种防火墙，其中：l

CiscoPIX防火墙配置在对网络访问速度要求较高但平安要求相对较低的网站托管区和主机托管区；l

CheckPoint防火墙配置在对网络速度较低但平安要求相对较高的IDC维护网段。这两种防火墙分别是硬件防火墙和软件防火墙的典型代表产品，并在今年4月刚刚结束的平安产品的年度评比中，并列最佳防火墙产品的首位。这里只对CheckPoint的Firewall－1进行说明。Checkpoint公司是一家特地从事网络平安产品开发的公司，是软件防火墙领域的佼佼者，其旗舰产品CheckPointFirewall-1在全球软件防火墙产品中位居第一（52％），在亚太地区甚至高达百分之七十以上，远远领先同类产品。在中国电信、银行等行业都有了广泛的应用。CheckPointFirewall-1是一个综合的、模块化的平安套件，它是一个基于策略的解决方案，供应集中管理、访问限制、授权、加密、网络地址传输、内容显示服务和服务器负载平衡等功能。主要用在爱护内部网络资源、爱护内部进程资源和内部网络访问者验证等领域。CheckPointFirewall-1套件供应单一的、集中的分布式平安的策略，跨越Unix、NT、路由器、交换机和其他外围设备，供应大量的API，有150多个解决方案和OEM厂商的支持。CPFirewall-1由3个交互操作的组件构成：限制组件、加强组件和可选组件。这些组件即可以运行在单机上，也可以部署在跨平台系统上。其中，限制组件包括Firewall-1管理服务器和图形化的客户端；加强组件包含Firewall-1检测模块和Firewall-1防火墙模块；可选组件包括Firewall-1EncryptionModule（主要用于爱护VPN）、Firewall-1ConnectControlModule(执行服务器负载平衡)RouterSecurityModule（管理路由器访问限制列表）。CheckpointFirewall-1防火墙的操作在操作系统的核心层进行，而不是在应用程序层，这样可以使系统达到最高性能的扩展和升级。此外CheckpointFirewall-1支持基于Web的多媒体和基于UDP的应用程序，并采纳多重验证模板和方法，使网络管理员简洁验证客户端、会话和用户对网络的访问。CHECKPOINT防火墙功能要求：1)

支持透亮接入和透亮连接，不影响原有网络设计和配置：CheckPointFireWall-1是一款软件防火墙，是安装在现有的网关或服务器计算机上，对接入和连接都是透亮的，不会影响原有网络设计和配置。2)

带有DMZ的连接方式：CheckPointFireWall-1可以支持多个网络接口，所以客户可以很简洁的依据须要设置DMZ分区。3)

支持本地和远程管理两种管理方式：CheckPointFireWall-1中的EnterpriseManagementConsole模块功能特别强大，支持本地和远程两种管理方式，减轻了网络管理员对网络的管理负担。4)

支持吩咐行和GUI方式的管理与配置：CheckPointFireWall-1中的管理限制台支持吩咐行和GUI方式的管理与配置；可以在Windows95/98/NT上安装WindowsGUI界面，在Unix操作系统下可以安装MotifGUI图形用户界面进行管理与配置。5)

对分布式的防火墙支持集中统一状态管理：CheckPointFireWall-1中的管理限制台支持对分布式防火墙的集中统一状态管理。它可以同时管理多个防火墙模块。6)

规则测试功能，支持规则一样性测试：CheckPointFireWall-1中的策略编辑器中有一吩咐，可以对已经配置好的规则进行测试，可以检测其一样性。7)

透亮代理功能：CheckPointFireWall-1支持代理功能，而且功能强大，可以支持本身自带的预定义的超过150多种的常用协议。8)

地址转换功能，支持静态地址转换、动态地址转换以及IP地址与TCP/UDP端口的转换：CheckPointFireWall-1支持NAT地址转换功能，支持StaticMode(静态转换)和HideMode(动态转换)两种方式；目前不支持IP地址与TCP/UDP端口的转换。9)

访问限制，包括对、FTP、SMTP、TELNET、NNTP等服务类型的访问限制；CheckPointFireWall-1可以通过制定策略来进行访问限制，可以支持超过150多种的常用协议，并可以自定义各种不常用的协议。10)

用户级权限限制：CheckPointFireWall-1可以指定用户对象，在其属性中有各种认证方式可供选择，加强了用户级的权限限制。11)

防止IP地址欺瞒功能：CheckPointFireWall-1供应了防止IP地址欺瞒的功能，可以在设定防火墙网关的网卡属性时激活该功能。12)

包过滤，支持IP层以上的全部数据包的过滤：CheckPointFireWall-1中的对象以IP地址或TCP/UDP端口号来识别，所以可以对IP层以上的全部数据包进行过滤。13)

信息过滤，包括、FTP、SMTP、NNTP等协议的信息过滤：CheckPointFireWall-1可以通过OPSEC接口，与第三方厂商的软件或硬件产品无缝结合起来对、FTP、SMTP等协议进行信息过滤。14)

地址绑定功能，实现MAC地址与固定IP地址的绑定，防止IP地址盗用：CheckPointFireWall-1目前为止不能实现MAC地址与固定IP地址的绑定。但是可以利用各节点处的路由器来进行MAC地址与固定IP地址的绑定。15)

抗攻击性要求，包括对防火墙本身和受爱护网段的攻击反抗：防火墙本身的抗攻击实力与其所运行的操作系统的平安级别有关。操作系统的平安级别越高，防火墙本身的抗攻击的实力也越高。16)

审计日志功能，支持对日志的统计分析功能：CheckPointFireWall-1中自带有日志功能，可以对符合预定规则的网络流量事先规定的方式进行记录；在CheckPointFireWall-14.1产品中带有ReportingModule，可以对日志进行分析统计。17)

实时告警功能，对防火墙本身或受爱护网段的非法攻击支持多种告警方式（声光告警、EMAIL告警、日志告警等）以及多种级别的告警：CheckPointFireWall-1的策略中有报警功能，其中包括了E-mail告警，日志告警等多种告警方式。

CheckPoint防火墙技术性能指标：1)

时延：在每个包大小平均为512字节的状况下，在3DES加密方式下Unix的时延是1.8msec，NT是1.2msec；在DES加密下Unix的时延是1.3msec，NT是1msec。2)

吞吐量：在没有数据加密状况下，不同的操作系统可以分别达到152M~246Mbps；在数据加密状况下，可以达到约55Mbps。3)

最小规则数：在防火墙概念中无此提法。依据我们的理解，此概念假如是指策略中的规则数的话，则无限制。4)

包转发率：10~15Mbps。5)

最大位转发率：在防火墙概念中无此提法。依据我们的理解，此概念类似吞吐量。6)

并发连接数：理论上没有限制。

Firewall-1防火墙是一种应用级防火墙，它的监测模块能监测和分析网络通信全部七层协议的内容。事实上路由器本身就可以实现包过滤防火墙的功能，对吉通上海IDC的各个路由器的配置进行检查和调整。保证整个网络中各个路由器的配置相互一样，并担当包过滤检查的功能。因为防火墙在核心网上起着平安管理的“警察”的重要作用,它的牢靠性往往代表着整个网络的牢靠性。假如一台防火墙发生故障，那么全部经过它的网络连接都中断了，防火墙就成为一个“单点故障”，这在一个及其关键的网络环境中是不允许的。建议方案:CheckpointFireWall-1防火墙产品可以通过两台防火墙之间建立主备份关系而大大增加防火墙的牢靠性。CheckpointFireWall-1是基于先进的“状态检测”（StatefulInspection)技术的防火墙,它从经过它的网络连接的各个层次抽取信息，以得到每个连接的状态。这些状态存放在一个动态的状态表中，并随着数据的传输而刷新。要在两台防火墙之间切换，必需在这两台防火墙之间共享这些状态信息，以保证切换时最大可能地保留已建立的连接。利用QualixGroup的QualixHA+ModuleforFireWall-1软件可以很好地做到这一点。两台相同配置的FireWall-1防火墙，一台为主防火墙，一台为热备份防火墙。在热备份防火墙上安装QualixHA+，它能自动地监测主防火墙的状态，并在一旦主防火墙故障时快速地把主防火墙切换到热备份防火墙上，而不须要人工干预。由于QualixHA+能把热备份防火墙的配置设置成与主防火墙一样，所以切换后不会损失任何防火墙功能。而QualixHA+所在的热备份防火墙可以与主备份防火墙共有同一个IP地址，所以切换后也无需修改路由器的设置。.4网络实时入侵检测技术

防火墙虽然能抵挡网络外部平安威逼，但对网络内部发起的攻击无能为力。动态地监测网络内部活动并做出刚好的响应，就要依靠基于网络的实时入侵监测技术。监控网络上的数据流，从中检测出攻击的行为并给与响应和处理。实时入侵监测技术还能检测到绕过防火墙的攻击。解决方案：ISS网络入侵检测RealSecureNetworkSensor配置方法：参见“监控和防卫”。ISS实时网络传感器(RealSecureNetworkSensor)对计算机网络进行自主地，实时地攻击检测与响应。这种领先产品对网络平安轮回监控，运用户可以在系统被破坏之前自主地中断并响应平安漏洞和误操作。实时监控在网络中分析可疑的数据而不会影响数据在网络上的传输。它对平安威逼的自主响应为企业供应了最大限度的平安保障。ISS网络入侵检测RealSecureNetworkSensor在检测到网络入侵后，除了可以刚好切断攻击行为之外，还可以动态地调整防火墙的防护策略，使得防火墙成为一个动态的智能的的防护体系。

操作系统层平安

操作系统平安也称主机平安，由于现代操作系统的代码浩大，从而不同程度上都存在一些平安漏洞。一些广泛应用的操作系统，如Unix，WindowNT，其平安漏洞更是广为流传。另一方面，系统管理员或运用人员对困难的操作系统和其自身的平安机制了解不够，配置不当也会造成的平安隐患。.1系统扫描技术

对操作系统这一层次须要功能全面、智能化的检测，以帮助网络管理员高效地完成定期检测和修复操作系统平安漏洞的工作。系统管理员要不断跟踪有关操作系统漏洞的发布，刚好下载补丁来进行防范，同时要常常对关键数据和文件进行备份和妥当保存，随时留意系统文件的变更。解决方案：ISS系统扫描器(SystemScanner)配置方法：System

ScannerConsole可以与InternetScanner安装在同一台笔记本上，也可以单独安装在一台NT工作站上。在IDC中各重要服务器（网管工作站、数据采集工作站、计费服务器、网站托管服务器等）内安装System

ScannerAgent。Console管理各个Agent。定期（时间间隔参照平安策略的要求）对重要服务器进行全面的操作系统平安评估。ISS系统扫描器(SystemScanner)是基于主机的一种领先的平安评估系统。系统扫描器通过对内部网络平安弱点的全面分析，帮助企业进行平安风险管理。区分于静态的平安策略，系统扫描工具对主机进行预防潜在平安风险的设置。其中包括易猜出的密码，用户权限，文件系统访问权，服务器设置以及其它含有攻击隐患的可疑点。该产品的时间策略是定时操作，扫描对象是操作系统。SystemScanner包括引擎和限制台两个部分。引擎必需分别装在被扫描的服务器内部，在一台集中的服务器上安装限制台。限制台集中对各引擎管理，引擎负责对各操作系统的文件、口令、帐户、组等的配置进行检查，并对操作系统中是否有黑客特征进行检测。其扫描结果同样可生成报告。并对担心全的文件属性生成可执行的修改脚本。.2系统实时入侵探测技术

为了加强主机的平安，还应采纳基于操作系统的入侵探测技术。系统入侵探测技术监控主机的系统事务，从中检测出攻击的可疑特征，并给与响应和处理。解决方案：ISS网络入侵检测RealSecureOSSensor以及ServerSensor配置方法：参见“监控和防卫”。ISS实时系统传感器(RealSecureOSSensor)对计算机主机操作系统进行自主地，实时地攻击检测与响应。一旦发觉对主机的入侵，RealSecure可以立刻可以切断系统用户进程通信，和做出各种平安反应。ISS实时系统传感器(RealSecureOSSensor)还具有伪装功能，可以将服务器不开放的端口进行伪装，进一步迷惑可能的入侵者，提高系统的防护时间。数据库层平安

很多关键的业务系统运行在数据库平台上，假如数据库平安无法保证，其上的应用系统也会被非法访问或破坏。数据库平安隐患集中在：·

系统认证：口令强度不够，过期帐号，登录攻击等。·

系统授权：帐号权限，登录时间超时等。·

系统完整性：Y2K兼容，特洛伊木马，审核配置，补丁和修正程序等。解决方案：ISS数据库扫描器（DataBaseScanner）配置方法：DatabaseScanner可以与InternetScanner安装在同一台笔记本上，也可以单独安装在一台NT工作站上。定期对IDC内的数据库服务器软件进行漏洞评估，并将软件生成的漏洞报告分发给数据库管理员，对数据库系统中的平安问题刚好修复。扫描的时间间隔请参照平安策略的要求。该产品可爱护存储在数据库管理系统中的数据的平安。用户可通过该产品自动生成数据库服务器的平安策略，这是全面的企业平安管理的一个新的重要的领域。ISS数据库扫描器（DataBaseScanner）是世界上第一个也是目前唯一的一个针对数据库管理系统风险评估的检测工具。该产品可爱护存储在数据库管理系统中的数据的平安。目前ISS是唯一供应数据库平安管理解决方案的厂商。用户可通过该产品自动生成数据库服务器的平安策略，这是全面的企业平安管理的一个新的重要的领域。DatabaseScanner具有敏捷的体系结构，允许客户定制数据库平安策略并强制实施，限制数据库的平安。用户在统一网络环境可为不同数据库服务器制定相应的平安策略。一旦制定出平安策略，DatabaseScanner将全面考察数据库，对平安漏洞级别加以度量的限制，并持续改善数据库的平安状况。DatabaseScanner能通过网络快速、便利地扫描数据库，去检查数据库特有的平安漏洞，全面评估全部的平安漏洞和认证、授权、完整性方面的问题。DatabaseScanner漏洞检测的主要范围包括：·

2000年问题--据环境并报告数据和过程中存在的2000年问题。·

口令，登录和用户--口令长度，检查有登录权限的过去用户，检查用户名的信任度。·

配置--否具有潜在破坏力的功能被允许，并建议是否须要修改配置，如回信，发信，干脆修改，登录认证，一些系统启动时存储的过程，报警和预支配的任务，WEB任务，跟踪标识和不同的网络协议。·

安装检查--要客户打补丁及补丁的热链接。·

权限限制--些用户有权限得到存储的过程及何时用户能未授权存取WindowsNT文件和数据资源。它还能检查“特洛伊木马”程序的存在。平安管理层（人，组织）

层次系统平安架构的最顶层就是对吉通上海IDC进行操作、维护和运用的内部人员。人员有各种层次，对人员的管理和平安制度的制订是否有效，影响由这一层次所引发的平安问题。除按业务划分的组织结构以外，必需成立特地平安组织结构。这个平安组织应当由各级行政负责人、平安技术负责人、业务负责人及负责具体实施的平安技术人员组成。有关具体的平安管理请参照第4节的信息平安策略解决方案。3.3监控和防卫

入侵检测技术

大多数传统入侵检测系统（IDS）实行基于网络或基于主机的方法来辩认并躲避攻击。在任何一种状况下，该产品都要找寻“攻击标记”，即一种代表恶意或可疑意图攻击的模式。当IDS在网络中找寻这些模式时，它是基于网络的。而当IDS在记录文件中找寻攻击标记时，它是基于主机的。每种方法都有其优势和劣势，两种方法互为补充。一种真正有效的入侵检测系统应将二者结合。本节探讨了基于主机和基于网络入侵检测技术的不同之处，以说明如何将这二种方式融合在一起，以供应更加有效的入侵检测和爱护措施。

.1基于网络的入侵检测：

基于网络的入侵检测系统运用原始网络包作为数据源。基于网络的IDS通常利用一个运行在随机模式下网络的适配器来实时监视并分析通过网络的全部通信业务。它的攻击辩识模块通常运用四种常用技术来识别攻击标记：·

模式、表达式或字节匹配·

频率或穿越阀值·

低级事务的相关性·

规统学意义上的特别规现象检测一旦检测到了攻击行为，IDS的响应模块就供应多种选项以通知、报警并对攻击实行相应的反应。反应因产品而异，但通常都包括通知管理员、中断连接并且/或为法庭分析和证据收集而做的会话记录。.2基于主机的入侵检测：

基于主机的入侵检测出现在80年头初期，那时网络还没有今日这样普遍、困难，且网络之间也没有完全连通。在这一较为简洁的环境里，检查可疑行为的检验记录是很常见的操作。由于入侵在当时是相当少见的，在对攻击的事后分析就可以防止今后的攻击。现在的基于主机的入侵检测系统保留了一种有力的工具，以理解以前的攻击形式，并选择合适的方法去抵挡将来的攻击。基于主机的IDS仍运用验证记录，但自动化程度大大提高，并发展了精密的可快速做出响应的检测技术。通常，基于主机的IDS可监探系统、事务和WindowNT下的平安记录以及UNIX环境下的系统记录。当有文件发生变更时，IDS将新的记录条目与攻击标记相比较，看它们是否匹配。假如匹配，系统就会向管理员报警并向别的目标报告，以实行措施。基于主机的IDS在发展过程中融入了其它技术。对关键系统文件和可执行文件的入侵检测的一个常用方法，是通过定期检查校验和来进行的，以便发觉意外的变更。反应的快慢与轮询间隔的频率有干脆的关系。最终，很多产品都是监听端口的活动，并在特定端口被访问时向管理员报警。这类检测方法将基于网络的入侵检测的基本方法融入到基于主机的检测环境中。.3将基于网络和基于主机的入侵检测结合起来：

基于网络和基于主机的IDS方案都有各自特有的优点，并且互为补充。因此，下一代的IDS必需包括集成的主机和网络组件。将这两项技术结合，必将大幅度提高网络对攻击和错误运用的反抗力，使平安策略的实施更加有效，并使设置选项更加敏捷。有些事务只能用网络方法检测到，另外一些只能用主机方式检测到，有一些则须要二者共同发挥作用，才能检测到。举荐的平安产品—ISS的入侵检测产品RealSecure

ISS实时网络传感器(RealSecureNetworkSensor)对计算机网络进行自主地，实时地攻击检测与响应。这种领先产品对网络平安轮回监控，运用户可以在系统被破坏之前自主地中断并响应平安漏洞和误操作。实时监控在网络中分析可疑的数据而不会影响数据在网络上的传输。它对平安威逼的自主响应为企业供应了最大限度的平安保障。ISS网络入侵检测(RealSecureNetworkSensor)在检测到网络入侵后，除了可以刚好切断攻击行为之外，还可以动态地调整防火墙的防护策略，使得防火墙成为一个动态的智能的的防护体系。ISS实时系统传感器(RealSecureOSSensor)对计算机主机操作系统进行自主地，实时地攻击检测与响应。一旦发觉对主机的入侵，RealSecure可以立刻切断的用户进程，和做出各种平安反应。ISS实时服务器传感器(RealSecureServerSensor)包括了全部的OSSensor功能，也具备部分NetworkSensor的功能，为敏捷的平安配置供应了必要的手段。RealSecureWorkgroupManager是RealSecure系统的限制台。可以对多台RealSecure网络引擎和系统传感器进行管理。对被管理监控器进行远程的配置和限制，各个监控器发觉的平安事务都实时地报告限制台。ISSRealSecure是一个完整的，一样的实时入侵监控体系。ISSRealsecure对来自内部和外部的非法入侵行为做到刚好响应、告警和记录日志，并可采取肯定的防卫和反入侵措施。它能完全满意《吉通上海IDC技术需求书》所提要求：支持统一的管理平台，可实现集中式的平安监控管理:

①

④

③

②

⑤

RealSecureWorkgroupManager是RealSecure系统的限制台。可以对多台RealSecure网络Sensor和系统Sensor进行管理。对被管理监控器进行远程的配置和限制，各个监控器发觉的平安事务都实时地报告限制台。在吉通IDC项目中可以利用这一特点，实现对各结点的集中监控管理。例如，从上海IDC的RealSecureWorkgroupManager，对其下其它城市的IDC进行统一的Sensor监控策略配置，Sensor所发觉的平安事务将实时地报告给Manager；对各个Sensor平安特征库的升级也可以从Manager统一分发完成。

图RS-1RealSecureWorkgroupManager的工作界面①主菜单和工具栏②监控平安事务的综合窗口③按平安级别分成高、中、低三个事务窗口④列出全部被管理的网络Sensor和系统Sensor⑤对被管理的网络传感器和系统传感器进行配置的弹出窗口自动识别类型广泛的攻击:网络Sensor能够识别以下种类的攻击和误用行为：类型

说明

拒绝服务攻击

通过消耗系统资源使目标主机的部分或全部服务功能丢失。例如，SYNFLOOD攻击，PINGFLOOD攻击，WINNUK攻击等。

分布式拒绝服务攻击

检查分布拒绝服务攻击的主控程序和代理之间的通讯和通讯企图。例如，TFN、Trinoo和Stacheldraht等。

未授权访问攻击

攻击者企图读取、写或执行被爱护的资源。如FTPROOT攻击，EMAILWIZ攻击等。

预攻击探测

攻击者试图从网络中获得用户名、口令等敏感信息。如SATAN扫描、端口扫描、IPHALF扫描等。

可疑行为

非“正常”的网络访问，很可能是须要留意的担心全事务。如IP地址复用，无法识别IP协议的事务。

协议解码

对协议进行解析，帮助管理员发觉可能的危急事务。如FTP口令解析，EMAIL主题解析等。

一般网络事务

识别各种网络协议包的源、目的IP地址，源、目的端口号，协议类型等。

系统Sensor能够监控并识别的攻击类型有：类型

说明

平安事务

监控NT或Unix系统事务login胜利/失败，logout，管理员行为异样，系统重启动等；监控特殊的系统事务，包括对重要文件的读写、删除行为，系统资源状况异样现象等；监控Windows环境下的未授权事务，如企图访问未授权文件，访问特权服务，企图变更登录权限等。

对未用端口监控

监控对未供应服务端口的连接企图，这种连接企图应视为可疑行为。例如，对未供应FTP服务的主机尝试FTP连接被认为是可疑的。

远程UNIXSyslog事务

对远程的UNIX主机进行监控。监控用户的login胜利/失败，logout，管理员行为异样等；监控的服务包括IMAP2bis，IPOP3，Qpopper，Sendmail和SSH等。

自定义事务

用户自定义的基于系统审计事务的监控

支持按行为特征的入侵检测:

图RS-2RealSecureSensor工作过程示意图

如图所示，Realsecure的入侵检测主要是依据用户事先定义的监控策略，将发生的入侵事务与已有的平安事务特征库进行特征匹配，匹配胜利，则认为是有威逼事务发生，实行适当的响应动作。具体分析过程的输入包括：·

用户或者平安管理人员定义的配置规则；·

以及作为事务检测的原始数据。对于NetworkSensor来讲原始数据是原始网络包；对于OSSensor来讲原始数据是操作系统日志项。具体分析过程的输出包括：·

系统发起的对平安事务的响应过程；·

监控器在收到数据后，将数据和特征库进行对比，假如匹配会发出对应的响应。特征数据库主要来源于ISS的Xforce探讨开发小组，而且是目前业界最全面的攻击特征数据库。另外，NetworkSensor和SystemSensor都支持用户自定义特征。·

NetworkSensor检测过程--安装RealsecureNetworkSensor主机的网络适配卡连接到被监控的网段上。Realsecure将网络适配卡设成promiscuous模式，可收到本地网段上的全部数据流。当一个包符合了当前有效的过滤规则时，会被解码并进行攻击特征识别分析。每个活动的过程都被保持和跟踪，这样跨越了很多包的攻击特征就可以被检测出来。因此，当一个“感爱好事务”被检测到时，Realsecure会实行合适的动作。·

OSSensor检测过程--RealSecureOSSensor在被爱护服务器上运行一个进程。每当操作系统产生一个新的日志记录项，操作系统会向OSSensor发出中断。OSSensor读取新的日志记录项，与监控特征进行对比，假如匹配会发起适当的响应。由一些特征会涉及多个日志记录项，因此OSSensor会同时维护和监控一些用户活动流的状态。供应对特定网段的实时爱护，支持高速交换网络的监控:对重要网段的爱护，如公共服务器群，为了避开来自网络其它边界的入侵，须要在该子网的入口处安装RealsecureNetworkSensor，并在各个服务器内配置RealsecureOSSensor，由集中的RealsecureWorkgroupManager统一管理。能够在检测到入侵事务时，自动执行预定义的动作，包括切断服务、重起服务进程，记录入侵过程信息等：1.

当一个攻击或事务被检测到，RealSecure可以做出以下几种响应：·

自动终止攻击·

终止用户连接·

禁止用户账号·

重新配置CheckPoint™Firewall-1®防火墙堵塞攻击的源地址·

向管理限制台发出警告指出事务的发生·

向网络管理平台（off-the-shelf）发出SNMPtrap·

记录事务的日志，包括日期、时间、源地址、目的地址、描述以及事务相关的原始数据。·

实时观看事务中的原始记录（或者记录下来过后再回放）·

向平安管理人员发出提示性的电子邮件·

执行一个用户自定义程序

2.

可以为RealSecureOSSensor自定义一些特征。OSSensor允许用户指定一个关键字或正则表达式，在发觉操作系统日志文件项对应特征时，会做出相应的响应。

3.

用户可以为RealSecureNetworkSensor自定义连接事务。一个连接事务可以定义为基于IP的连接，可以对下面信息进行匹配：·

协议·

源IP地址·

目的IP地址·

源端口·

目的端口

4.

一些RealSecure预定以攻击特征可以依据网络的具体状况进行参数调整。比如，有些网络中PointCast下载会引发SYNFlood特征，此时可以通过调整SYNFlood的阀值来削减误报。

5.

用户可以定义RealSecureNetworkSensor过滤规则来忽视某些类型的数据流。可以通过指定协议、源IP地址、目的IP地址、源端口、目的端口定义忽视的数据流。对于规则匹配的数据流不进行预定义或用户定义特征分析。通过这种方式，可以将RealSecure配置得更适合用户的网络。

6.

最终，用户可以建立自己的响应选项。任何可以从吩咐行发起的动作（如：可执行程序、批处理文件、ShellScript等），都可以作为RealSecureNetworkSensor或者OSSensor对攻击的响应。

支持集中的攻击特征和攻击取证数据库管理：Realsecure真正实现集中管理，也体现在对攻击特征和攻击事务的数据库管理。·

RealsecureWorkgroupManager运行在MSNT或Win2000平台上，在默认状况下，其管理数据库格式为MSAccess文件格式。Realsecure的数据库接口支持标准的ODBC，因此可以敏捷选择其后台管理数据库类型。·

在Realsecure的管理数据库中，有一组数据库表格式，分别用于记录全部最新版本能够识别的攻击特征，及从各个远程的Sensor汇总来的攻击事务的记录。

支持攻击特征信息的集中式发布和攻击取证信息的分布式上载：Realsecure中包含升级组件X-pressUpdates，利用这一组件，可以从WorkgroupManager集中分发攻击特征信息。当分布在网络中的各个Sensor监控到攻击事务时，依据Sensor的策略定制，Sensor将执行一系列的动作，包括实时在WorkgroupManager的屏幕上显示，并执行切断连接或重新配置防火墙等动作，为了便利管理员查询并记录犯罪证据，Sensor必需将监控的事务记录到日志中。在WorkgroupManager可以实行手工干预或自动两种方式对Sensor的日志进行上载和汇总。上传后的日志将统一以数据库形式保存。

供应对监视引擎和检测特征的定期更新服务，更新方式可有多种，包括厂家的干脆服务和联网更新操作：ISS拥有实力雄后的X-Force小组，该小组特地探讨和发觉新的攻击手段，是业界独一无二的平安小组。作为入侵检测产品，其Sensor和攻击特征库的升级实力干脆反映了产品的功能，而ISS的系列平安产品包括Realsecure的升级速度都是其它厂商无法比拟的。ISS承诺对用户的升级服务，详见ISS服务承诺。从产品本身供应的功能看，Realsecure中供应了

X-pressUpdates，利用这一组件，可以干脆从ISS站点下载升级包，并可以从WorkgroupManager集中分发攻击特征信息至所管理的每个Sensor。

网络访问限制：Realsecure的主要功能用于对恶意入侵事务和误用行为的监控报警。可以依据实际须要，对Sensor进行策略配置，用于特殊的网络访问限制。如可以用NetworkSensor对办公环境员工上网阅读Web页面进行限制；可以对某个重要的服务器进行特殊爱护，限制某个地址或某个范围的地址段对该服务器指定端口的访问；通过对E-mail主题或内容的特殊字符串的监控，限制某些E-mail的非法传送等等。

可疑网络活动的检测，对带有ActiveX、Java、JavaScript、VBScript的WEB页面、电子邮件的附件、带宏的Office文档中的一些可以执行的程序（包括通过SSL协议或者加密传输的可疑目标）进行检测，隔离未知应用，建立平安资源区域：RealsecureNetworkSensor除了对恶意的入侵行为进行识别以外，还能够对可疑的担心全事件报警和阻挡，包括对带有ActiveX、Java、JavaScript、VBScript的WEB页面，可疑的Arp事务，IP地址复用事务等报警。

支持与防火墙的协作监控：Realsecure与防火墙功能互补：适当配置的防火墙可以将非预期的信息屏蔽在外。然而防火墙为供应一些级别的获得权的通道可能被伪装的攻击者利用。防火墙不能制止这种类型的攻击，RealSecure却能够制止。RealSecure对防火墙后面的网络的信息流监控，能够检测到并终止获得权限的企图。

另外防火墙的错误配置也有可能发生。尽管防火墙的错误配置能够快速更正，网络内有了RealSecure则能捕获很多溜进来的未预料的信息。即便不选择切断这些连接，RealSecure所发出的警告的数量仍能快速表明防火墙没有起到作用。

·

Realsecure与CheckPoint协同工作：CheckPoint公司通过它供应的OPSEC（OpenPlatformForSecureEnterpriseConnectivity，平安企业连通性开放平台）向第三方供应API，使得其它厂商可以运用这些API开发能集成到FW-1防火墙中的产品。由于ISS是CheckPoint的OEM厂商，所以Realsecure能够对FW-1进行平安操作。·

Realsecure重新配置FW-1有两种响应方式：冻结指定的时间长度和完全关闭。每种响应方式依据须要又细分四种模式：针对源地址操作，针对目的地址操作，针对源和目的同时操作，针对服务操作。

RealSecureNetworkSensor可以完全透亮：RealSecurenetworkSensor可以配置为完全透亮的方式。一个RealSecureNetworkSensor可以采纳Out-of-band方式和管理限制台进行通讯。这种状况须要配置两块网络适配卡：一块网络适配卡用来监控本地网段，另一块用来和限制台通信。由于这种方式使得RealSecureNetworkSensor采纳了特地的通信通道和限制台通信，会大大加强RealSecure的平安性。

另外，用来监控本地网段的网络适配卡并不须要一个协议栈。因此，RealSecureNetworkSensor并不须要一个外部可见的IP地址或者外部可见的IP服务。这样RealSecureNetworkSensor可以做到从被监控网络上不行见。

当然，RealSecureNetworkSensor须要TCP/IP协议与管理限制台通讯。因此，与管理限制台通讯的接口卡须要IP地址。

RealsecureOSSensor可疑连接监控：一个攻击者首先会刺探主机供应了什么服务。“可疑连接监控”使得一个没有服务的端口看起来是活动的，这样入侵者可能会误以为系统开启了某种服务，在刺探中奢侈时间而一无所获。这个功能对防范一些自动攻击工具特别有效。

对不存在服务的连接企图或者是一个错误，或者是有意的攻击。OSSensor将这些连接作为入侵检测推断的数据。持续的对不存在服务的连接企图会产生高风险报警。

平安管理人员可以对这种连接企图设置响应提示。可以设置为法律警告指出入侵是非法的，或者可以设置成欺瞒性连接提示（比如，登录提示）。

可疑连接监控的功能能延长攻击者发觉可攻击端口的时间，为防护者抓住他争取更多的时间。

支持HPOpenView的RealSecure管理器支持HPOpenView的RealSecure管理器为运用HPOpenView网络结点管理器的网络管理员提供实时入侵检测。支持HPOpenView的RealSecure管理器供应完全的RealSecure可适应性网络平安功能，包括：

主导市场的入侵检测和响应--支持HPOpenView的RealSecure管理器在OpenView网络管理框架中供应对企业网中可疑行为的实时监控，如企业网络外部和内部的攻击或内部滥用。

实时警报管理--网络平安行为的连续显示，完整清晰的学问限制，RealSecure对事务响应的在线帮助，以及对事务的具体信息，包括源和目的、端口、风险级别和其它的信息。

统一的数据管理--入侵事务和RealSecure引擎状态被记录在OpenView的事务阅读器中。OpenView地图反映了实时的攻击。颜色编码的符号反映出被攻击结点的攻击名称、级别、每一个攻击进行的次数。

集中配置--RealSecure引擎的配置和策略能够通过OpenView的主控台配置和修改。

平安的通信--OpenView和RealSecure之间限制信息的传输是完全平安的。限制功能有认证、校验和加密，加密算法运用RSA、CerticomEllipticalCurve、或用户自己选择的算法。

管理功能·

引擎限制：启动、停止、暂停、重新启动、ping连接·

实时警报管理：接收、持续、统一、清除·

对事务响应的详在线帮助·

编辑RealSecure引擎的配置·

发送和接收配置到远程RealSecure引擎·

上传和/或清除RealSecure引擎数据库·

启动ISSRealSecure管理器

配置方法

Realsecure是一个真正的集中管理的入侵检测系统。它由一个或多个（可选）管理限制台，即WorkgroupManager，统一、集中管理分布在网络中的Sensor。建议在吉通上海IDC安装一套WorkgroupManager，用于对不同的传感器。RealSecure运行在交换式网络中，有以下三个解决方案：

·

RealSecureNetworkSensor连接在这个点上。这样就可以防护来自Internet的攻击，而不处理网络的其它部分。·

另外，还可以运用交换机的管理端口甚至一个VLAN。一些交换机（比如，CiscoCatalyst）有一个管理端口（有时称为span端口）可以镜像一个或多个指定端口的数据流。可以将RealSecureNetworkSensor配置在这样的管理端口上，通过镜像的方式获得多个端口的数据流。假如交换机的一个端口里连接Internet路由器，则可以镜像连接路由器的这个端口。假如交换机连接多台重要内联网服务器，则可以镜像连接服务器的这几个端口。现在，已经有很多交换机支持这种功能。·

运用RealSecureOSSensor--由于OSSensor是基于主机的工作方式，因此完全不会受到交换方式的影响。在连接交换环境的服务器上安装OSSensor，对每个服务器进行爱护。OSSensor特殊适合于平安需求高的服务器，与NetworkSensor协作运用，须要配置的服务器包括网管工作站、数据采集工作站、计费服务器等。·

运用RealSecureServerSensor--由于ServerSensor是基于主机的工作方式，因此完全不会受到交换方式的影响。又由于ServerSensor具备了部分NetworkSensor的功能，因此特殊适合于网络流量大的相对独立的服务器上，例如网站托管主机上。3.5防病毒

举荐平安产品--TrendMicro防病毒产品

支持对网络、服务器和工作站的实时病毒监控:对于Internet类型的网络，包括Extranet和Intranet，趋势科技供应基于网关处的防毒产品：InterScan系列。产品都含有纯web方式的管理界面。1.

因特网病毒防火墙--InterScanVirusWall：在网关处实时监控通过SMTP、和FTP协议传输的信息内容，检查其是否存在病毒或恶意程序，并依据管理员的设定实行相关的处理方式，以保证通过网关出入企业的信息的平安性。支持对16种以上的压缩类型、压缩深度最多达20级的文件进行病毒扫描工作。支持的平台：WindowsNT(2000)、Solaris、HP-UX、Linux。2.

电子邮件平安管理--InterScaneManager：基于InterScanVirusWallNT版和Solaris版的外加﹝Plug-in﹞的电子邮件管理工具，属于InterScanVirusWall的因特网平安﹝InternetSecurity﹞系列产品之一。eManager电子邮件平安管理软件可以过滤垃圾邮件及大量推销性质的电子邮件，并可扫描由内部运用者寄出的邮件内容，若有敏感性内容可就进行拦阻；此外也能够自定邮件传递时间，延迟递送较大的邮件、国际信件或其它自定规则范围内的邮件，避开在网络带宽运用高峰时段造成邮件堵塞。支持的平台：WindowsNT(2000)。3.

网站平安管理软件--InterScanWebManager：集web访问的管理限定和防病毒与一身。除了对传入的web页面进行防毒之外，还可以对访问的内容及带宽进行管理。可弹性设定对14种不同类型的网站内容进行过滤。WebManager应用CyberPatrol所开发出全球数十万个网站的数据库，阻挡内部运用者通过因特网进入色情或其它的不良网站。可依据个人及部门的特殊需求，过滤不良网站和设定下载文件的大小限制。管理员可依每日、每周或每月，设定个人或部门对于Web下载文件的最大流量，从而限制网络的运用带宽。支持的平台：WindowsNT(2000)。4.

大规模邮件防毒--·

对于企业内部的电子邮件和群件系统，如LotusNotes和MicrosoftExchange，由于企业内部用户间的通讯可能并不通过Internet网关，因此光靠在网关处防毒并不能限制病毒在企业内部的传播。趋势科技针对此类系统供应了相应的防毒产品：ScanMail系列。·

ScanMail系列在对邮件系统内的邮件和公用文件夹内的文件进行病防护的同时，还可以对含有敏感性内容的邮件进行隔离等处理，以爱护企业内部信息流的平安。产品都含有纯web方式的管理界面。·

ScanMail支持对19种压缩类型、压缩深度最多达20级的文件进行病毒扫描工作。·

ScanMailfroMicrosoftExchange：真正支持微软建议的AVAPI接口，以获得更高的工作效率，削减对系统资源的占用。完全支持Exchange的群集技术。支持的平台：WindowsNT(2000)。·

ScanMailforHPOpenMail·

其它很多大规模的邮件服务器,例如：Software的Intermail及AsiaInfo的AIMC和Microsoft的MCIS及Netscape的MessageServer及Sendmail等5.

防毒工作中心监控系统：TVCS——TrendVirusControlSystem。为了让企业能对全部的防毒产品和工作进行集中管理，趋势科技供应了产品TVCS。上述的趋势科技的防毒软件产品都可集成TVCS的客户端组件—TVCSAgent。当企业安装了TVCS系统后，即可实现对上述产品的集中限制和管理。同时，TVCS也可以显示出其他一些防毒软件产品的信息，以便让管理员统一监控。

TVCS采纳纯web的管理界面，管理员不论在何时何地，只需有Web阅读器即可实现整个企业的防毒管理工作。完善的日志记录和统计信息功能。支持弹出窗口、e-mail、寻呼机等报警方式。能够在中心限制台上向多个目标系统分发新版杀毒软件:

防毒工作中心监控系统TVCS供应统一而且自动的产品组件更新功能，通过它实现趋势科技全部防毒产品的扫描引擎及病毒码更新功能。

能够在中心限制台上对多个目标系统监视病毒防治状况:

防毒工作中心监控系统TVCS使管理员通过阅读器即可实时监视趋势科技全部防毒产品的工作状况，以及病毒防治状况。由于采纳了客户/服务器的时间驱动模式进行工作，因此有效的避开了对网络带宽的过多占用。支持多种平台的病毒防范:趋势科技是一家专注于企业平安的产品供应商，具有特别完善的产品系列，考虑了企业内从工作站到因特网网关，几乎全部须要防病毒的平台和网络连接点。能够识别广泛的已知和未知病毒，包括宏病毒:作为作早进入计算机防毒领域的厂商之一，趋势科技在防毒技术上始终保持着领先的优势。早在1995年趋势科技即开发出了基于人工智能（Rule-based）的扫描引擎，采纳陷阱方式探测恶意程序可能出现的破环动作，以及探测出变形病毒的真面目，从而实现对未知病毒的拦截。经过不断地完善，目前的引擎中已设下了多达12道以上的陷阱，依据传统方式制作的各类新病毒根本逃不过被检测出的命运。1996年趋势科技又领先推出了自己的专利技术——MacroTrap™，解决了对已知或未知的宏病毒的探测问题。支持对Internet/Intranet服务器的病毒防治，能够阻挡恶意的Java或ActiveX小程序的破坏；趋势科技的因特网网关病毒防护产品--InterScan系列，能够有效阻挡恶意的Java、ActiveX程序以及一些黑客程序通过因特网对企业进行的入侵。InterScan在网关处实时监控通过SMTP、和FTP协议传输的信息内容，检查其是否存在病毒或恶意程序，并依据管理员的设定实行相关的处理方式，以保证通过网关出入企业的信息的平安性。支持对电子邮件附件的病毒防治，包括WORD/EXCEL中的宏病毒:趋势科技的产品系列中，InterScan、OfficeScan、ScanMail等都支持对电子邮件附件的病毒防护。趋势科技的扫描引擎中含有自己的专利技术—MacroTrap™，由于采纳了人工智能的陷阱技术，还可以检测出部分未知的宏病毒。支持对压缩文件的病毒检测:趋势科技的产品对压缩文件的扫毒支持是同类产品中最为完善的。其中的InterScan和ScanMail更是支持16种以上的压缩格式和20级的压缩深度。支持广泛的病毒处理选项，如对染毒文件进行实时杀毒、移出、删除、重新命名等:针对企业和个人用户的须要，趋势科技供应了敏捷的处理选项。如对于网络防毒，一般供应：带警告通过（pass）、隔离转移（moveorquarantine）、删除（delete）、清除病毒（autoclean）等选项。其中对于autoclean方式，由于有些文件本身即是病毒或黑客程序，或者带有不能随意删除的病毒类型，因此当选择autoclean方式时，将会针对不能清除病毒的文件供应应用户额外的选项，其中又包括：pass，move，delete方式。支持病毒隔离，当客户机试图上载一个染毒文件时，服务器可自动关闭对该工作站的连接:趋势科技的产品都支持文件隔离方式，让管理员可以对染毒文件进行分析，或是发往趋势科技的支持中心以得到针对新型病毒的最新解药。考虑到应尽量简化企业的防毒管理工作，以降低TCO，趋势科技不主见实行关闭客户连接的做法。假如采纳这种方式，企业将须要有专职的防病毒管理员来处理每次的连接中断，用户也会觉得特别麻烦。供应对病毒特征信息和检测引擎的定期在线更新服务:趋势科技的全线防毒产品都供应此类功能。其中大多数产品更是能自动通过因特网更新其病毒码、扫描引擎和产品升级包。通过运用TVCS，全部的防毒产品更新工作都可从中心进行集中管理，并只需建立TVCS和趋势科技间的Internet连接，而不须要各个产品各自去连接因特网。支持日志记录功能:趋势科技的全线产品都供应日志记录功能。通过运用TVCS，全部的防毒产品的日志可以从单点进行管理和阅读，并可通过TVCS得到企业全部防毒工作的各类统计信息和日志。支持多种方式的告警功能（声音、图像、e-mail等）:趋势科技的全线产品都供应告警功能。通过运用TVCS，对企业内全部的中毒状况都会有综合的报警提示，包括弹出窗口、e-mail和寻呼机报警。其中的ServerProtect更是供应了包括：讯息信箱、寻呼机、打印机、Internet电子邮件、SNMP通知或写入到WindowsNT事务日志的多种报警方式。Interscan与FireWall的集成:TrendMicro是OPSEC的成员之一，Interscan透过CVP(ContentVectoringProtocal)的方式与Check