安全产品白皮书(1).docx
《安全产品白皮书(1).docx》由会员分享,可在线阅读,更多相关《安全产品白皮书(1).docx(111页珍藏版)》请在文库网上搜索。
1、CA安全产品白皮书目录1.计算机系统安全隐患61.1从计算机系统的发展看安全问题71.2从计算机系统的特点看安全问题82.信息系统安全管理需求分析112.1网络层安全防护122.2系统级安全防护142.3应用级安全保护163.COMPUTER ASSOCIATES安全解决方案203.1安全之道203.1.1网络安全213.1.2服务器安全213.1.3用户安全223.1.4应用程序和服务安全223.1.5数据安全223.2eTrust224.ETRUST 网络防护244.1eTrust FireWall244.1.1概述244.1.2结构与工作原理254.1.2.1产品的结构254.1.2.2
2、eTrust Firewall的工作原理264.1.3产品的功能特性294.2eTrust Content Inspection334.2.1基本概念与设计334.2.2工作原理364.2.3功能384.2.3.1网际安全保护394.2.3.2直接在网络网关口保护资讯安全394.2.3.3网关应用404.2.3.4集中管理与报告414.3eTrust Intrusion Detection424.3.1概述424.3.2结构与原理434.3.2.1产品结构434.3.2.2产品原理444.3.3功能特性464.3.3.1入侵检测功能464.3.3.2会话记录、拦截功能474.3.3.3防止网络
3、滥用494.3.3.4活动代码和病毒防护504.3.3.5与其它安全产品集成与配合504.3.3.6集中管理504.3.3.7特性524.4eTrust Anti-Virus564.4.1产品概述564.4.2结构及工作原理574.4.3产品功能特性604.5eTrust VPN664.5.1基本概念664.5.2部署方式694.5.2.1Intranet模式694.5.2.2远程访问模式704.5.2.3使用网关服务器的远程访问模式714.5.2.4外部网模式724.5.3功能和特点734.5.3.1安全策略定义744.5.3.2隧道模式744.5.3.3路由、网关选项754.5.3.4对网
4、络服务端口的保护764.5.3.5用户认证765.ETRUST 系统安全795.1eTrust Access Control795.1.1操作系统的安全性795.1.2功能描述835.1.2.1用户认证835.1.2.2口令质量控制855.1.2.3访问控制875.1.2.4保护目录和文件905.1.2.5保护特权程序915.1.2.6保护进程935.1.2.7保护SURROGATE935.1.2.8保护网络连接945.1.2.9取消“超级用户”945.1.2.10让普通用户具有超级用户的某些能力965.1.2.11审计975.1.2.12对Windows NT的保护985.1.3特点和优势1
5、005.1.3.1防止堆栈溢出型攻击1005.1.3.2强大的功能1025.1.3.3易管理性1025.1.3.4自我保护能力1035.2eTrust Audit1045.2.1企业信息安全对审计的需要1045.2.2eTrust Audit1055.2.3结构1065.2.3.1良好的设计思路与结构1065.2.3.2利用eTrust Audit 建立有效的审计体系1075.2.4功能与特点1085.2.4.1跨平台事件管理1095.2.4.2基于主机的侵袭检测1095.2.4.3及时多样的报警1106.ETRUST 用户与应用安全1116.1eTrust Single Sign On111
6、6.1.1概念和原理1116.1.1.1为什么需要单点登录1116.1.1.2单点登录产品的工作原理1126.1.2功能结构1136.1.3特点和优势1166.2eTrust Admin1196.2.1基本概念1196.2.1.1安全集中管理1196.2.1.2eTrust Admin1206.2.2工作原理1216.2.2.1现有策略的自动发现1226.2.2.2策略的制定1226.2.2.3策略的传播1236.2.3功能与特点1246.2.3.1主要特性1246.2.3.2功能优势1267.COMPUTER ASSOCIATES信息安全服务1297.1风险评估1297.2政策、规程和方法1
7、307.3安全框架设计1317.4安全解决方案的实施1327.5培训1337.6内部审计助理1347.7独立的安全审计1358.COMPUTER ASSOCIATES 为企业网络计算环境提供全面的安全解决方案137编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第110页 共111页1. 计算机系统安全隐患每年我们都要在计算机系统上花费上百万美元建立与管理信息,这些信息用于商业决策、客户服务和保持竞争力。但是你知不知道这些信息是否安全?简单地用一张软盘就可拷贝下你占有商业先机的信息,并且你可能从不会察觉信息已被偷走,直到竞争对手把你的商业计划作为他们自己的来宣布。你如何得知怎
8、么样才是足够安全?不同的公司以它们自己不同的安全观点建立了大型计算机网络,并且经常连接到网络上工作。这样不同的信息安全需求,导致确保一个真正安全的、可审计的系统非常困难。因特网上电子商业的导入,提高了企业加紧保护他们数字资源信息安全的需求。目前,计算机系统和信息安全问题是IT业最为关心和关注的焦点之一。据ICSA统计,有11的安全问题导致网络数据被破坏,14导致数据失密,15的攻击来自系统外部,来自系统内部的安全威胁高达60。由于受到内部心怀不满的职工安放的程序炸弹侵害,Omega Engineering公司蒙受了价值900万美元的销售收入和合同损失,由于受到来自网络的侵袭,Citibank银
9、行被窃了1000万美元,后来他们虽然追回了750万美元损失,但却因此失去了7的重要客户,其声誉受到了沉重打击。这只是人们知道的两个因安全问题造成巨大损失的例子,实际上,更多的安全入侵事件没有报告。据美国联邦调查局估计,仅有7的入侵事件被报告了,而澳大利亚联邦警察局则认为这个数字只有5。因为许多入侵根本没有被检测到,还有一些受到侵袭的企业由于害怕失去客户的信任而没有报告。那么,为什么当今信息系统中存在如此之多的安全隐患,安全问题如此突出呢?这是与计算机系统的发展、当今流行系统的设计思路、当前IT系统的使用状况紧密相关的。下面,我们从以下几个方面简要论述。1.1 从计算机系统的发展看安全问题安全问
10、题如此突出和严重是与IT技术和环境的发展分不开的。早期的业务系统是局限于大型主机上的集中式应用,与外界联系较少,能够接触和使用系统的人员也很少,系统安全隐患尚不明显。现在业务系统大多是基于客户/服务器模式和Internet/Intranet网络计算模式的分布式应用,用户、程序和数据可能分布在世界的各个角落,给系统的安全管理造成了很大困难。早期的网络大多限于企业内部,与外界的物理连接很少,对于外部入侵的防范较为容易,现在,网络已发展到全球一体化的Internet,每个企业的Intranet都会有许多与外部连接的链路,如通过专线连入Internet,提供远程接入服务供业务伙伴和出差员工访问等等。在
11、这样一个分布式应用的环境中,企业的数据库服务器、电子邮件服务器、WWW服务器、文件服务器、应用服务器等等每一个都是一个供人出入的“门户”,只要有一个“门户”没有完全保护好忘了上锁或不很牢固,“黑客”就会通过这道门进入系统,窃取或破坏所有系统资源。随着系统和网络的不断开放,供黑客攻击系统的简单易用的“黑客工具”和“黑客程序(BO程序)”不断出现,一个人不必掌握很高深的计算机技术就可以成为黑客,黑客的平均年龄越来越小,现在是1416岁。1.2 从计算机系统的特点看安全问题在现代典型的计算机系统中,大都采用TCP/IP作为主要的网络通讯协议,主要服务器为UNIX或Windows NT操作系统。众所周
12、知,TCP/IP和UNIX都是以开放性著称的。系统之间易于互联和共享信息的设计思路贯穿与系统的方方面面,对访问控制、用户验证授权、实时和事后审计等安全内容考虑较少,只实现了基本安全控制功能,实现时还存在一些这样那样的漏洞。TCP/IP的结构与基于专用主机(如IBM ES/9000、AS/400)和网络(如SNA网络)的体系结构相比,灵活性、易用性、开发性都很好,但是,在安全性方面却存在很多隐患。TCP/IP的网络结构没有集中的控制,每个节点的地址由自己配置,节点之间的路由可任意改变。服务器很难验证某客户机的真实性。IP协议是一种无连接的通讯协议,无安全控制机制,存在各种各样的攻击手段。实际上,
13、从TCP/IP的网络层,人们很难区分合法信息流和入侵数据,DoS(Denial of Services,拒绝服务)就是其中明显的例子。UNIX操作系统更是以开放性著称的,在安全性方面存在许多缺限。我们知道,在用户认证和授权管理方面,UNIX操作系统对用户登录的管理是靠用户名和口令实现的,一个用户可以没有口令(使用空的口令),也可以使用非常简单易猜的词如用户名、用户姓名、生日、单位名称等作为口令(实际上,大多数人都是这么用的);一个人只要拥有了合法的用户名和口令,就可以在任意时间、从任意地点进入系统,同时登录的进程数也没有限制,这些都是安全上的隐患。虽然有的系统对上述内容有一定程度的限制措施,但
14、也需要复杂的配置过程,不同系统上配置方法也很不一致,实际上无法全面有效地实施。在对资源的访问控制管理方面,UNIX只有读、写和执行三种权限,无法对文件进行更为细致的控制。用户可以写某个文件,就能删除它。而在许多应用的环境下,我们是希望某些用户只能Update文件,不能删除它的。如果对文件的控制权限扩展到读、写、增加、删除、创建、执行等多种,就可以防止恶意或无意的破坏发生。UNIX还缺乏完善有效的跟踪审计能力。如一个用户企图多次访问某敏感资源时,系统无法采取强有力的措施处置,管理员也很难发现。这种情况下,如果能及时迅速地通知安全管理员,能把该用户赶出(logout)操作系统,甚至封死该帐户,使其
15、无法继续登录,无疑会大大加强系统的安全性。另外,不同的UNIX及UNIX的不同版本在实现的过程中都会有这样那样的BUG,其中许多BUG是与安全有关的。80年代中期,Internet上流行的著名“蠕虫”病毒事件就是由UNIX系统的安全BUG造成的。厂商在发现并修正BUG后会把PATCH放在其公司站点上供用户下载和安装,但许多用户没有技术能力和精力理解、跟踪这些PATCH并及时安装。有的UNIX操作系统虽然能够达到较高的安全级别,但在缺省安装和配置中一般采用较低的安全控制,需要进行许多配置过程才能达到较高的安全级别。由于水平和精力所限,一般用户环境中很难完成这样精确的安全配置,经常存在错误的配置,
16、导致安全问题。更为严重的是,一台UNIX服务器上经常要安装很多商业应用软件,这些软件大多以root用户运行。而这些软件往往存在一些安全漏洞或错误的安全配置,从而导致root权限被人窃取。所以,我们需要一种系统扫描工具,定期检查系统中与安全有关的软件、资源、PATCH的情况,发现问题及时报告并给出解决建议。才能使系统经常处于安全的状态。2. 信息系统安全管理需求分析从以上的论述可以看出,现代计算机网络系统的安全隐患隐藏在系统的各个角落,系统的总体安全级别就象装在木筒中的水,木筒装水的多少决定于最矮的木板,系统安全级别的高低取决于系统安全管理最薄弱的环节。要加强系统的总体安全级别,不是安装一个产品
17、或几个功能单一的工具就能实现的,必须从网络、计算机操作系统、应用业务系统甚至系统安全管理规范,使用人员安全意识等各个层面统筹考虑。信息系统采用开发系统如UNIX、Windows等计算机和TCP/IP网络协议,与外界又有各种各样的网络连接,所以需要对系统进行更为严格的保护,防止非法的入侵。另外,来自内部的攻击也不容忽视。现代社会是一个充满诱惑的社会,仅通过规章制度或思想教育等工作防止内部人员作案是不够的。内部工作人员的违规行为的案例也不是没有的。所以,必须采取一些技术手段,加强对计算机系统的用户、资源的安全保护,防止无关人员访问敏感数据。同时,IT环境与行政建制相交叉,因此需要进行各个部门与其I
18、T系统的使用,维护,管理等环节的审核与规范;规范人员分类:操作、更改业务、维护业务、管理系统、维护系统等;制度系统操作与访问规则。CA公司认为,要保证信息系统的安全,提升整体安全级别,需要从网络、服务器操作系统、用户、各种应用系统、业务数据以及应用模式等各个方面统筹考虑。信息系统的安全防护需要与实际应用环境,工作业务流程以及机构组织形式与机构进行密切结合,从而在信息系统中建立一个完善的安全体系。2.1 网络层安全防护对网络进行安全保护是防治外部黑客入侵和内部网络滥用和误用的第一道屏障,而一次不经意内部拨号上网就可以绕过原有的防火墙或代理服务器,并且有可能成为系统入侵的突破口。我们应该通过定义网
19、络安全规范,明确各级部门和人员对网络使用的范围与权力,控制网络与外界的联接,监测和防御网络入侵攻击,制止非法信息传输,保护WEB系统,保证只有授权许可的通信才可以在客户机和服务器之间建立连接,而且正在传输当中的数据不能被读取和改变。从网络层进行安全防护主要应针对如下几个方面:1) 网络访问控制在网络与外界连接处进行网络访问控制,正确区分外部网络用户的身份,区分其是进行查询,修改还是管理维护,提供基于用户的访问规则,针对不同的用户和用户的不同存取要求授予其不同权限,禁止非法用户进入系统。网络访问控制系统应该具有如下要求:- 不仅能够按照来访者的IP地址区分用户,还应该对来访者的身份进行验证- 不
20、仅支持面向连接的通讯,还要支持UDP等非连接的通讯- 不仅可以控制用户可访问哪些网络资源,还应该能控制允许访问的日期和时间- 对一些复杂的应用协议,如FTP、UDP、TFTP、Real Audio、RPC和port mapper、Encapsulated TCP/IP等,采用特定的逻辑来监视和过滤数据包。- 对于现有的各种网络进攻手段,提供有效的安全保障。2) 网络地址翻译 使用网络地址翻译技术,可以让IP数据包的源地址和目的地址以及TCP或UDP的端口号在进出内部网时发生改变,这样可以屏蔽网络内部细节,防止外部黑客利用IP探测技术发现内部网络结构和服务器真实地址,进行攻击。系统安全管理应该在
21、网络与外界接口处实现数据包的网络地址翻译。3) 可疑网络活动的检测我们知道,带有ActiveX、 Java、JavaScript、VBScript的WEB页面、电子邮件的附件、带宏的Office文档等经常带有一些可以执行的程序,这些程序中很可能带有计算机病毒以及特络伊木马、BO等黑客工具,具有潜在的危险性。网络安全管理应该能够对这些可疑目标(包括通过SSL协议或者加密传输的可疑目标)进行检测,隔离未知应用,建立安全资源区域。- 网络入侵防御在内部的网络上,也可能存在来自内部的一些恶意攻击和网络误用情况,甚至可能存在来自外部的恶意入侵。安全防护体系应该能够监视内部关键的网段,扫描网络上的所有数据
22、,检测服务拒绝型袭击、可疑活动、怀恶意的applets、病毒等各种网络进攻手段,及时报告管理人员并防止这些攻击手段到达目标主机。2.2 系统级安全防护如前所述,UNIX/Windows操作系统本身存在许多安全漏洞和隐患,必须加强这一级别的安全防护,才能保护敏感的信息资源。1) 使用系统弱点扫描能够定期扫描操作系统以及数据库系统的安全漏洞以及错误配置。提示管理员进行正确配置。2) 加强操作系统用户认证授权管理- 限制用户口令规则和长度,禁止用户使用简单口令;强制用户定期修改口令。- 按照登录时间、地点和登录方式限制用户的登录请求3) 增强访问控制管理 安全管理应该从如下方面加强UNIX的访问控制
23、机制:- 对文件的访问控制除提供读(Read),写(Write),执行(Execute)权限外,还应该有建立(Create),搜索(Search),删除(Delete),更改(Update),控制(Control)等权限以满足复杂安全环境的需求- 应该能够限制资产被访问的时间和日期。(例如:某些文件只能在上班时间被改写,而下班时间不能)- 即使超级用户也不应透过安全屏障去访问未经授权的文件- 对计算机进程提供安全保护,防止非法用户启动或停止关键进程- 控制对网络访问和端口的访问控制4) 计算机病毒防护随着企业IT系统和网络规模的扩展,信息技术在企业网络中的运用越来越广泛深入,信息安全问题也显得
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全产品 白皮书