IT博客-两极人生，八度空间-随笔分类-Network Security

汇总的一些安全站点

Jerome — Tue, 20 Apr 2010 07:47:00 GMT

http://linsec.ca/
http://securiteam.com
http://securityfocus.com
http://www.secureroot.com	Computer Security Resource
http://www.77169.com/	华盟网
http://www.netpower.com.cn/	京中科网威信息技术有限公司
http://www.nsfocus.com	中联绿盟公司主页
http://www.rising.com.cn/	北京瑞星科技股份有限公司
http://www.is-one.net/	安氏中国
http://www.chinaunix.net/
http://www.hacker.com.cn	黑客防线
http://www.cnhacker.com	中国黑客联盟
http://www.hackart.org	黑客技术老友记
http://www.chinawill.com	鹰眼安全文化网
http://www.chinahacker.com	中国黑客联盟
http://www.cncisa.com/index.php	国际信息安全学习联盟
http://www.infosecurity.org.cn/forum/index.php	中国信息安全组织论坛
http://bbs.cisps.org/index.php	华安信达信息安全专业论坛

以上汇总了一些可以正常访问的安全站点。等以后有新的发现比较好的安全站点了再更新。以前很多安全站点都关闭了。不能正常访问了。以上列表中的站点都是经过测试的。打算好好学学安全方面的东西。

Jerome 2010-04-20 15:47 发表评论

Cisco ASA Firewall backup or IOS upgrade

Jerome — Mon, 29 Jun 2009 03:26:00 GMT

Sometimes, it is required to backup the configuration or IOS of firewalls to a dedicated machine in
case of malfunction with firewall. The farmiliar way is setting a tftp server on a workstation. Connect
you latitude to firewall’s console part with attached console cable, if you have a terminal program
such as SecureCRT or windows Hypertrm, you would enter into CLI of firewalls. Just use the
command like as below to backup the file necessary. If you don’t know which command to take, just
enter”?” to find context help.
FWL# copy flash to tftp
    if you want to know some instances of firewall flash, you can use the command:
FWL#show flash

-#- --length-- -----date/time------ path
    6 8515584        Sep 11 2008 14:14:30 asa724-k8.bin
    7 4181246        Sep 11 2008 14:15:30 securedesktop-asa-3.2.1.103-k9.pkg
    8 398305          Sep 11 2008 14:15:48 sslclient-win-1.1.0.154.pkg
    9 6514852        Sep 11 2008 14:17:36 asdm-524.bin
12 0                    Sep 11 2008 14:21:38 crypto_archive
We can see from above information shown by the command “show flash”, which not hard to know
the model of firewall, the name of IOS file and the version of ASDM.

If you plan to upgrade you ASA devices IOS, you have to enter the rommon mode. When firewall
reboot press ESC key to enter rommon mode. Perhaps you need make some configuration under
this mode so as to build communication with tftp server.

rommon #1> set
ROMMON Variable Settings:
    ADDRESS=192.168.0.1(firewall’s address
    SERVER=192.168.0.2 (TFTP server IP
    GATEWAY=192.168.0.2 (also set as TFTP IP)
    PORT=Ethernet0/0 (the port connects to tftp of firewall’s)
    VLAN=untagged
    IMAGE=asa724-k8.bin (case sensitive)
    CONFIG=
    LINKTIMEOUT=20
    PKTTIMEOUT=4
    RETRY=3      (as possible as short)
After finish these setting, then you have to save these new configuration into NVRAM.
Rommon#1>sync
At the last step, that is, excute tftp download. Download the new version IOS from tftp to your
firewall.
Rommon#1>tftpdnld
Wait for a minute until it finished all process, then the firewall has booted to user exec mode, such
as :
Firewall>
Enter enable and go into privilege mode, go ahead, because the preceding you finished procedure
just boot your firewall from the IOS exisiting in tftp, you must copy tftp to your firewall’s flash.
Firewall# copy tftp: flash:
According to prompt until success
Finally, excute “firewall#copy running-config startup-config”and end the process of upgrading IOS.

Jerome 2009-06-29 11:26 发表评论

PEMU综合实验

Jerome — Tue, 03 Feb 2009 15:04:00 GMT

在进行试验前，我们需要对需要的设备及拓扑的搭建及IP地址的规划，都要做个完整的规划。那么我们才能在接下来的配置中，做到心中有数。
实验用的设备，请参考拓扑如下。

至于拓扑图的桥接，请参看我前面的关于桥接的文章，里面有此拓扑的桥接逻辑示意图。
IP地址的规划：
本机管理PC---192.168.0.1 /24其网关192.168.0.254/24
DMZ中VPC---192.168.5.4/24，其网关192.168.5.254/24
ISP地址(Loopback0 172.16.2.0/24 loopback1 172.16.3.0/24 S0/1 172.16.1.1/30)
ROUTER地址（S1/1 172.16.1.2/30 F0/0 10.1.10.1/24)
防火墙PIX接口地址（E0 192.168.0.254/24 E1 192.168.1.254/24 E2 10.110.254 E3 192.168.5.254/24)
L3SW接口地址 F1/0 192.168.1.1/24 网关192.168.1.254/24
PC1,PC2,PC3及其所属VLAN的地址分配
PC1---192.168.11.1---F0/0---VLAN11--->L3SW F1/1
PC2---192.168.12.1---F0/0---VLAN12--->L3SW F1/2
PC3---192.168.13.1---F0/0---VLAN13--->L3SW F1/3

实验目的：
1、在Router上通过TFTP可以将其配置文件保存到DMZ中的VPC上
2，PC1,PC2,PC3可以分别访问VPC的TELNET,HTTP(80),RDP(3389)服务
3，PC1,PC2,PC3可以访问ISP，包括可以PING和TELNET ISP（JUST FOR LAB PURPOSE)

实验过程中用到的知识点：
1.默认路由的设置
2.在路由器上NAT的配置
3.三层交换机口的配置
4.防火墙的基本配置
5.VMWARE的虚拟机的使用及虚拟网卡的桥接

好了。到此我们的准备过程完成，接下来启动模拟器，进行一些必要的配置。

首先，我们看看L3SW上做任何配置：
L3SW#conf t
Enter configuration commands, one per line. End with CNTL/Z.
L3SW(config)#no ip domain-lookup
L3SW(config)#enable secret cisco
L3SW(config)#exit
L3SW#vlan
*Mar 1 00:01:52.355: %SYS-5-CONFIG_I: Configured from console by console
% Incomplete command.

L3SW#vlan database
L3SW(vlan)#vlan 11
VLAN 11 added:
    Name: VLAN0011
L3SW(vlan)#vlan 12
VLAN 12 added:
    Name: VLAN0012
L3SW(vlan)#vlan 13
VLAN 13 added:
    Name: VLAN0013
L3SW(vlan)#exit
APPLY completed.
Exiting....
L3SW#conf t
Enter configuration commands, one per line. End with CNTL/Z.
L3SW(config)#int f1/0
L3SW(config-if)#no switchport
L3SW(config-if)#ip add 192.168.1.1 255.255.255.0
L3SW(config-if)#duplex full
L3SW(config-if)#speed 100
L3SW(config-if)#no shut
L3SW(config-if)#int f1/1
L3SW(config-if)#duplex full
L3SW(config-if)#speed 100
L3SW(config-if)#switchport acc vlan 11
L3SW(config-if)#int f1/2
L3SW(config-if)#duplex full
L3SW(config-if)#speed 100
L3SW(config-if)#switchport acc vlan 12
L3SW(config-if)#int f1/3
L3SW(config-if)#duplex full
L3SW(config-if)#speed 100
L3SW(config-if)#switchport acc vlan 13

L3SW(config-if)#exit
L3SW(config)#int vlan 11
L3SW(config-if)#ip add 192.168.11.254 255.255.255.0
L3SW(config-if)#no shut
L3SW(config-if)#int vlan 12
L3SW(config-if)#ip add 192.168.12.254 255.255.255.0
L3SW(config-if)#no shut
L3SW(config-if)#int vlan 13
L3SW(config-if)#ip add 192.168.13.254 255.255.255.0
L3SW(config-if)#no shut
L3SW(config-if)#exit
L3SW(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.254
L3SW(config)#end
L3SW#wr
Building configuration...

*Mar 1 00:05:33.811: %SYS-5-CONFIG_I: Configured from console by console[OK]
L3SW#

PC1上的必要配置：
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname PC1
PC1(config)#no ip domain-lookup
PC1(config)#enable secret cisco
PC1(config)#line vty 0 4
PC1(config-line)#password cisco
PC1(config-line)#login
PC1(config-line)#exit
PC1(config)#service password-encryption
PC1(config)#ip default
PC1(config)#ip route 0.0.0.0 0.0.0.0 192.168.11.254
PC1(config)#int f0/0
PC1(config-if)#duplex full
PC1(config-if)#speed 100
PC1(config-if)#ip add 192.168.11.1 255.255.255.0
PC1(config-if)#no shut
PC1(config-if)#end
PC1#wr
Building configuration...

00:05:10: %SYS-5-CONFIG_I: Configured from console by console
00:05:11: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
00:05:12: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up[OK]

PC1#ping 192.168.11.254

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.11.254, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/29/36 ms
PC1#wr
Building configuration...

00:07:10: %SYS-5-CONFIG_I: Configured from console by console[OK]

PC2上需要做的配置：
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname PC2
PC2(config)#enable secret cisco
PC2(config)#no ip domain-lookup
PC2(config)#service password-encryption
PC2(config)#line vty 0 4
PC2(config-line)#password cisoc
PC2(config-line)#password cisco
PC2(config-line)#login
PC2(config-line)#exit
PC2(config)#int f0/0
PC2(config-if)#duplex full
PC2(config-if)#speed 100
PC2(config-if)#ip add 192.168.12.1 255.255.255.0
PC2(config-if)#no shut
PC2(config-if)#exit
PC2(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.254
PC2(config)#end
PC2#wr
Building configuration...

00:02:48: %SYS-5-CONFIG_I: Configured from console by console[OK]
PC2#ping 192.168.12.254

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.254, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
PC2#ping 192.168.12.254

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.254, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 16/25/36 ms
PC2#ping 192.168.11.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.11.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/47/80 ms
PC2#wr
Building configuration...
[OK]
PC2#

PC3上需要做的配置：
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname PC3
PC3(config)#enable secret cisco
PC3(config)#enable p
PC3(config)#enable password encry
PC3(config)#passwo
PC3(config)#passwor
PC3(config)#service pass
PC3(config)#service password-encryption
PC3(config)#line vty 0 4
PC3(config-line)#password cisco
PC3(config-line)#login
PC3(config-line)#exit
PC3(config)#int f0/0
PC3(config-if)#duplex full
PC3(config-if)#speed 100
PC3(config-if)#ip add 192.168.13.1 255.255.255.0
PC3(config-if)#no shut
PC3(config-if)#exit
PC3(config)#ip route 0.0.0.0 0.0.0.0 192.168.13.254
PC3(config)#end
PC3#wr
Building configuration...

00:12:02: %SYS-5-CONFIG_I: Configured from console by console[OK]
PC3#ping 192.168.13.254

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.13.254, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 4/14/28 ms
PC3#ping 192.168.12.254

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.254, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/28/44 ms
PC3#ping 192.168.11.254

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.11.254, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/17/28 ms
PC3#

在OUTSIDE ROUTER上需要做的配置：
R3620#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R3620(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.1
R3620(config)#ip route 192.168.0.0 255.255.0.0 10.1.10.254
R3620(config)#int f0/0
R3620(config-if)#ip nat inside
R3620(config-if)#int s1/1
R3620(config-if)#ip add 172.16.1.2 255.255.255.252
R3620(config-if)#encapsulation ppp
R3620(config-if)#ip nat outside
R3620(config-if)#exit
R3620(config)#exit
R3620#
00:19:02: %SYS-5-CONFIG_I: Configured from console by console
R3620(config)#access-list 1 permit 192.168.0.0 0.0.255.255
R3620(config)#ip nat inside source list 1 interface s1/1 overload
R3620(config)#end
R3620#wr
Building configuration...

00:21:56: %SYS-5-CONFIG_I: Configured from console by console[OK]

模拟的ISP Router上需要做的配置:
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname ISP
ISP(config)#enable secret cisco
ISP(config)#no ip domain-loo
ISP(config)#no ip domain-lookup
ISP(config)#service passw
ISP(config)#service password-encryption
ISP(config)#line vty 0 4
ISP(config-line)#password cisco
ISP(config-line)#login
ISP(config-line)#exit
ISP(config)#int s1/0
ISP(config-if)#ip add 172.16.1.1 255.255.255.252
ISP(config-if)#encapsulation ppp
ISP(config-if)#no shut
ISP(config-if)#
00:14:11: %LINK-3-UPDOWN: Interface Serial1/0, changed state to up
ISP(config-if)#int loopback 0
ISP(config-if)#ip add 172.16.2.1 255.255.255.0
ISP(config-if)#int loopback 1
ISP(config-if)#ip add 172.16.3.1 255.255.255.0
ISP(config-if)#no shut
ISP(config-if)#end
ISP#wr
Building configuration...

00:15:22: %SYS-5-CONFIG_I: Configured from console by console
00:15:25: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback1, changed state to up[OK]
ISP#

DMZ中的VPC我采用的是用VMware虚拟的一台windows 2003 server standard english. 上面安装TFTP server（listen port 69),为了实验，我在服务中启用telnet service(port 23).vpc的网卡桥接到了tap3，如图所示.

至于在windows 2003 server上如何去安装TFTP或者配置TFTP，还是如果去启用默认停用的telnet服务，请参考相关资料。因为后面要用到http服务,所以，此vpc上还需要安装IIS（具体安装请参考相关讯息）。VPC网卡设置如下

最后我们需要做的，就是如何配置防火墙，以达到我们的实验目的。我们采用已经安装的ASDM去配置PIX。
如何安装ASDM，这里不做介绍，请参看我前面的文章。启动ASDM，登入PIX，并配置接口参数如图所示：

为了能够在全局方便的表示各设备，我讲各设备接口的IP地址与设备名称建立对应关系。如下

要实现本实验的目的，需要在防火墙上做哪些策略？如图所示：

在防火墙上需要指定的静态路由：

到现在为止，我们已经完成了所有的配置。可以验证一下是否达到我们的实验目的。
1.在router 上用copy run tftp 将配置文件上传到vpc上
2.PC1可以telnet ISP,PC1可以ping router
3.PC1上传文件到vpc上
4.PC2可以打开vpc的3389端口。需启用远程桌面，在命令提示符下用telnet 192.168.5.4 3389，看结果能否成功open
5.PC3可以打开vpc的80端口，即需要使用http服务，前提是需要在vpc上安装iis。同样用telnet 192.168.5.4 80 来测试

Jerome 2009-02-03 23:04 发表评论

访问列表学习总结

Jerome — Thu, 16 Oct 2008 03:24:00 GMT

在日常工作中，在安全控制中，应用一些必要的访问策略来限制非授权的访问时十分必要的。使用方便的访问列表也许是最佳选择之一。要熟练的用应用访问列表。那么则需要掌握各种访问列表。下面主要从两类访问列表来总结：
1.标准访问列表
2.扩展访问列表
首先讨论标准访问列表的一些基本知识，它的应用范围及应该注意的事项。
1.标准访问列表。
如何创建？
Access-list list number deny/permit source address wildcard mask log
list number的范围在标准访问列表中是1-99，这个范围的列表号表明它于IP协议有关。标准访问列表主要基于目标地址的数据包的过滤。source address就是要控制的目标地址，wildcard mask是通配符掩码，就是是子网掩码的补充，它的计算方法可以根据子网掩码计算，比如子网掩码是255.255.255.192，那么此4个十进制点隔的地址依次减去255，即可得0.0.0.64，所谓的通配符掩码。0表示必许匹配条件。
针对目标网络或者目标主机要创建一条标准列表，该如何实施呢？首先要清楚，在访问列表的最低端默认隐藏着deny any的策略。
如：access-list 1 permit 10.2.11.0 0.0.0.255 log 就是允许来自网络10.2.11.0的数据包通过，并在缓存中记录日志。
    access-list 2 deny host 10.2.11.50    拒绝来自主机10.2.11.50上的数据包，其中host关键字等价于通配符码为0.0.0.0
    access-list 2 permit any
2.扩展访问列表
扩展访问列表可以基于源地址，目标地址，源端口，目标端口，使用的网络协议(tcp,udp,icmp,ftp,http)来实现数据包的过滤和访问限制。
格式：access-list list number permit/deny [protocol]prototol-keyword[source address wildcard mask][source-port] [destination- address wildcard mask][destination-port][log option]
扩展访问列表的列表号范围100-199.在交换机或者路由器上维护访问列表，要删掉其中的访问列表，要特别注意，如果你的列表是标准访问列表，当你使用no access-list命令时，会将所有的访问列表清除。而扩展访问列表不存在这种不方便。你尽可使用no access-list list-number进行删除。
如何创建？access-list 101 permit protocol tcp any 10.1.1.0 0.0.0.255
          access-list 102 permit protocol tcp any 198.61.12.50 0.0.0.0 eq smtp 允许任何主机的tcp报文到达特定主机198.61.12.50的smtp端口
          access-list 102 permit protocol tcp any 198.61.12.8 0.0.0.0 eq www 允许任何主机的tcp报文到达特定主机198.61.12.8的http服务端口（80）端口。
3.创建了两类列表如何将之应用呢？
必须清楚要将列表应用到那些接口。如interface vlan 2
                                  ip access-group 101 in
或者 interface serial 1
     ip access-group 102 in

Jerome 2008-10-16 11:24 发表评论

xp用户如何关闭135和139这两个危险端口

Jerome — Fri, 07 Mar 2008 03:30:00 GMT

上篇介绍了135、137、138、138端口的作用及危害，这篇将主要简介如何关闭135、139这两个端口。

——如何关闭135端口

　　运行dcomcnfg，展开“组件服务”→“计算机”，在“我的电脑”上点右键选“属性”，切换到“默认属性”，取消“启用分布式COM”；然后切换到“默认协议”，删除“面向连接的TCP/IP”。

　　重启之后， 135端口就没有了。

——如何关闭139端口

　　139端口是NetBIOS　Session端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。以前流光2000用来判断对方主机类型不太准确，估计就是139端口开放既认为是NT机，现在好了。

　　关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。

　　对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了。

Jerome 2008-03-07 11:30 发表评论

135 137 138 139 445 端口简介

Jerome — Fri, 07 Mar 2008 03:27:00 GMT

摘要: 可能很多人对135-139之间的端口不怎么熟悉，当开启远程桌面RDP服务的时候，总是能在后台看到启用的这几个端口。这些端口有什么用呢？这里有些简单的介绍，看了就会明白阅读全文

Jerome 2008-03-07 11:27 发表评论

Cisco ASA 5500 系列自适应安全设备【新产品】

Jerome — Fri, 03 Aug 2007 01:05:00 GMT

Cisco ASA 5500 系列充分利用了思科在开发业界领先、屡获大奖的安全和VPN解决方案过程中积累的丰富经验，并集成了Cisco PIX 500系列安全设备、Cisco IPS 4200系列入侵防范系统和Cisco VPN 3000系列集中器中采用的最新技术。将这些技术结合在一起之后，Cisco ASA 5500系列不但能提供无与伦比的最佳解决方案，阻挡最广泛的网络威胁，还能为企业提供多种灵活、安全的连接方式。作为思科自适应威胁防御和统一安全访问战略的关键组件，Cisco ASA 5500系列能够将安全广度与VPN技术结合在一起，提供丰富的应用安全性、Anti-X防御、网络遏制和控制以及“清洁VPN”连接。是用户统一威胁防御（UTM）解决方案的理想选择。

Jerome 2007-08-03 09:05 发表评论

基于lan模式的故障切换实验

Jerome — Mon, 09 Jul 2007 03:18:00 GMT

摘要: 这是最基本的LAN-Based Active-Standby Failover。非常适合入门者学习。其实，如果仅仅是为了作LAN-Based Failover，两个pix中用于作failover的接口同时连接到一个网卡上就可以了，这样，就可以省去用dy模拟了交换机了，省内存，效率也较高。
实验步骤以及方法:
阅读全文

Jerome 2007-07-09 11:18 发表评论

Performing password recovery for ASA5500 series adaptive security appliance

Jerome — Thu, 28 Jun 2007 08:13:00 GMT

摘要: Sometimes, when we encoutered the probleb with losing password for pix firewall, you can imagin how you are upset, just only don't know how to do it.I believe if you know the method ,you will calm enough to solve it well. Now let's know about how to begin it.To recover from the loss of passwords, perform the following steps:
阅读全文

Jerome 2007-06-28 16:13 发表评论

Security Appliance(ASA5500 series) interface configuration

Jerome — Thu, 28 Jun 2007 07:59:00 GMT

摘要: So far as now, it still remeber that i take part in FAT in Suzhou YHQ,just at that time, i touch the Cisco ASA5540's configuration. Unfortunately, the appliance was protected by a password,which maybe set by other colleague. However we must carry on configuring for it.There is no choice for us but to reset the password just only we can login monitor mode.Next we look over related reference statistics, at last,we overcome the trouble successfully.Here,i will emphasis on how to configure ASA5540's 阅读全文

Jerome 2007-06-28 15:59 发表评论

RADIUS概念及相关知识

Jerome — Mon, 19 Mar 2007 05:22:00 GMT

摘要: RAIDIUS是什么？可能大家不很陌生，可你知道它的作用和用途吗,以及应用它有什么优点？阅读全文

Jerome 2007-03-19 13:22 发表评论

安全控管的協定－TACACS+

Jerome — Mon, 19 Mar 2007 02:43:00 GMT

摘要: 在建置遠端存取網路（Remote Access Network）時，通常為了安全性的考量，企業會使用遠端存取伺服器（Remote Access Server，RAS；或者稱之為Network Access Server，NAS）來提供更嚴密的防護：在遠端的使用者要藉由網路使用公司內部的資源時，必須先登入至RAS，經過RAS使用者帳號的檢查，確認無誤後才可存取公司的網路。一般而言，這是最起碼的防護，可是並不夠安全，一旦使用者的帳號被有心人士竊取，公司網路上所有的資料與機密就曝光了。阅读全文

Jerome 2007-03-19 10:43 发表评论

MD常识

Jerome — Fri, 16 Mar 2007 07:43:00 GMT

1. 什么是 MD5?

MD5 的全称是 Message-Digest Algorithm 5 ，在 90 年代初由 MIT 的计算机科学实验室和 RSA Data Security Inc 发明，由 MD2/MD3/MD4 发展而来的。 MD5 的实际应用是对一段 Message( 字节串 ) 产生 fingerprint( 指纹 ) ，可以防止被 “ 篡改 ” 。举个例子，天天安全网提供下载的 MD5 校验值软件 WinMD5.zip ，其 MD5 值是 1e07ab3591d25583eff5129293dc98d2 ，但你下载该软件后计算 MD5 发现其值却是 81395f50b94bb4891a4ce4ffb6ccf64b ，那说明该 ZIP 已经被他人修改过，那还用不用该软件那你可自己琢磨着看啦。
MD5 广泛用于加密和解密技术上，在很多操作系统中，用户的密码是以 MD5 值（或类似的其它算法）的方式保存的，用户 Login 的时候，系统是把用户输入的密码计算成 MD5 值，然后再去和系统中保存的 MD5 值进行比较，来验证该用户的合法性。
2.MD5 应用于何处 ?
MD5 到底有什么用，我们常常下载文件，但如果想知道下载的这个文件和网站的原始文件是否一模一样，就可以给自己下载的文件做个 MD5 校验。如果得到的 MD5 值和网站公布的相同，可确认所下载的文件是完整的。如有不同，说明你下载的文件是不完整的：要么就是在网络下载的过程中出现错误，要么就是此文件已被别人修改。为防止他人更改该文件时放入病毒，最好不要使用。

当我们用 E-mail 给好友发送文件时，可以将要发送文件的 MD5 值告诉对方，这样好友收到该文件以后即可对其进行校验，来确定文件是否安全。
常见的 , 在刚安装好系统后可以给系统文件做个 MD5 校验，过了一段时间后如果你怀疑某些文件被人换掉，那么就可以给那些被怀疑的文件做个 MD5 校验，若和从前得到的 MD5 校验码不一样，那么就可以肯定是有问题的。

Jerome 2007-03-16 15:43 发表评论

网络安全防范体系及设计原则

Jerome — Sat, 10 Feb 2007 09:47:00 GMT

作者：武骏程秀权于晓芸路博华陈京京来源：中国电信网

摘要本文分析了网络安全攻击、安全机制和安全服务之间的相互关系，从框架结构、体系层次、设计原则三个方面讨论了网络安全防范体系问题。

一、引言

随着信息化进程的深入和互联网的快速发展，网络化已经成为企业信息化的发展大趋势，信息资源也得到最大程度的共享。但是，紧随信息化发展而来的网络安全问题日渐凸出，网络安全问题已成为信息时代人类共同面临的挑战，网络信息安全问题成为当务之急，如果不很好地解决这个问题，必将阻碍信息化发展的进程。

二、安全攻击、安全机制和安全服务

ITU-T X.800标准将我们常说的“网络安全（networksecurity）”进行逻辑上的分别定义，即安全攻击

(security attack)是指损害机构所拥有信息的安全的任何行为；安全机制（security mechanism）是指设计用于检测、预防安全攻击或者恢复系统的机制；安全服务（security service）是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。三者之间的关系如表1所示。

三、网络安全防范体系框架结构

为了能够有效了解用户的安全需求，选择各种安全产品和策略，有必要建立一些系统的方法来进行网络安全防范。网络安全防范体系的科学性、可行性是其可顺利实施的保障。图1给出了基于DISSP扩展的一个三维安全防范技术体系框架结构。第一维是安全服务，给出了八种安全属性（ITU-T REC-X.800-199103-I）。第二维是系统单元，给出了信息网络系统的组成。第三维是结构层次，给出并扩展了国际标准化组织ISO的开放系统互联（OSI）模型。

框架结构中的每一个系统单元都对应于某一个协议层次，需要采取若干种安全服务才能保证该系统单元的安全。网络平台需要有网络节点之间的认证、访问控制，应用平台需要有针对用户的认证、访问控制，需要保证数据传输的完整性、保密性，需要有抗抵赖和审计的功能，需要保证应用系统的可用性和可靠性。针对一个信息网络系统，如果在各个系统单元都有相应的安全措施来满足其安全需求，则我们认为该信息网络是安全的。

四、网络安全防范体系层次

作为全方位的、整体的网络安全防范体系也是分层次的，不同层次反映了不同的安全问题，根据网络的应用现状情况和网络的结构，我们将安全防范体系的层次（见图2）划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。

1．物理环境的安全性（物理层安全）

该层次的安全包括通信线路的安全，物理设备的安全，机房的安全等。物理层的安全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质），软硬件设备安全性（替换设备、拆卸设备、增加设备），设备的备份，防灾害能力、防干扰能力，设备的运行环境（温度、湿度、烟尘），不间断电源保障，等等。

2．操作系统的安全性（系统层安全）

该层次的安全问题来自网络内使用的操作系统的安全，如Windows NT，Windows 2000等。主要表现在三方面，一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等。二是对操作系统的安全配置问题。三是病毒对操作系统的威胁。

3．网络的安全性（网络层安全）

该层次的安全问题主要体现在网络方面的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性，远程接入的安全，域名系统的安全，路由系统的安全，入侵检测的手段，网络设施防病毒等。

4．应用的安全性（应用层安全）

该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生，包括Web服务、电子邮件系统、DNS等。此外，还包括病毒对系统的威胁。

5．管理的安全性（管理层安全）

安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个网络的安全，严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。

五、网络安全防范体系设计准则

根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素，参照SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理标准)等国际标准，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面，网络安全防范体系在整体设计过程中应遵循以下9项原则：

1．网络信息安全的木桶原则

网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”，必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析，评估和检测（包括模拟攻击）是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段，根本目的是提高整个系统的"安全最低点"的安全性能。

2．网络信息安全的整体性原则

要求在网络发生被攻击、破坏事件的情况下，必须尽可能地快速恢复网络信息中心的服务，减少损失。因此，信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施，避免非法攻击的进行。安全检测机制是检测系统的运行情况，及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少供给的破坏程度。

3．安全性评价与平衡原则

对任何网络，绝对安全难以达到，也不一定是必要的，所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系，做到安全性与可用性相容，做到组织上可执行。评价信息是否安全，没有绝对的评判标准和衡量指标，只能决定于系统的用户需求和具体的应用环境，具体取决于系统的规模和范围，系统的性质和信息的重要程度。

4．标准化与一致性原则

系统是一个庞大的系统工程，其安全体系的设计必须遵循一系列的标准，这样才能确保各个分系统的一致性，使整个系统安全地互联互通、信息共享。

5．技术与管理相结合原则

安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。

6．统筹规划，分步实施原则

由于政策规定、服务需求的不明朗，环境、条件、时间的变化，攻击手段的进步，安全防护不可能一步到位，可在一个比较全面的安全规划下，根据网络的实际需要，先建立基本的安全体系，保证基本的、必须的安全性。随着今后随着网络规模的扩大及应用的增加，网络应用和复杂程度的变化，网络脆弱性也会不断增加，调整或增强安全防护力度，保证整个网络最根本的安全需求。

7．等级性原则

等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的，包括对信息保密程度分级，对用户操作权限分级，对网络安全程度分级（安全子网和安全区域），对系统实现结构的分级（应用层、网络层、链路层等），从而针对不同级别的安全对象，提供全面、可选的安全算法和安全体制，以满足网络中不同层次的各种实际需求。

8．动态发展原则

要根据网络安全的变化不断调整安全措施，适应新的网络环境，满足新的网络安全需求。

9．易操作性原则

首先，安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。

六、结束语

由于互联网络的开放性和通信协议的安全缺陷，以及在网络环境中数据信息存储和对其访问与处理的分布性特点，网上传输的数据信息很容易泄露和被破坏，网络受到的安全攻击非常严重，因此建立有效的网络安全防范体系就更为迫切。实际上，保障网络安全不但需要参考网络安全的各项标准以形成合理的评估准则，更重要的是必须明确网络安全的框架体系、安全防范的层次结构和系统设计的基本原则，分析网络系统的各个不安全环节，找到安全漏洞，做到有的放矢。

Jerome 2007-02-10 17:47 发表评论

IDC 安全解决方案－Netscreen防火墙

Jerome — Thu, 01 Feb 2007 03:41:00 GMT

Netscreen-1000防火墙是一种高性能的硬件防火墙，其目标用户是IDC和大型电子商务网站。所谓硬件防火墙是指策略的执行和加解密由ASIC芯片执行，因此比其它防火墙速度要快得多。从软件特性上看Netscreen防火墙是状态检测与应用代理混合的防火墙，对于大部份的应用Netscreen防火墙是监测整个通讯状态，如果发现通讯状态不正常便拒绝进入受保护的内部网络，对于FTP或H232等通讯状态不好跟踪的服务Netscreen防火墙通过应用代理来确保服务安全。

　　在Netscreen 防火墙系列中Netscren-500和Netscren-1000是两款高端产品，Netscreen-500带宽为700兆，Netscreen-1000带宽最低可达到600 兆，可升级到1000兆。适合应用在大型企业和IDC，它是业界唯一千兆级的防火墙。

　　Netscreen-1000为可升级的体系结构，可根据网络环境来确定配置。网络接口有两个，分别是Trust口和Untrust接口，Trust口接内部需要保护的网络；Untrust接口连接外部不安全的网络。其它端口有管理端口和HA端口等。

　　注：HA（High Availiablity）口是Netscreen-1000作热备份时同步口。

一．Netscreen-500和Netscreen-1000适合IDC的突出特性有：

　　１、高带宽（600兆－1000兆）高带宽的Netscreen-500和Netscreen-1000防火墙专为IDC或特大型企业网络而设计。随着主机托管市场的快速成长，IDC的出口带宽不断增加，软件防火墙无疑会成为带宽瓶颈。Netscreen防火墙以其独一无二的高吞吐数据量完全能满足IDC的宽带需求。
　　２、高可靠性或热备份（HA）　　IDC不仅为用户提供高带宽的数据通道，而且还要能确保网络的可靠运行。由于防火墙所处的特殊位置，如果出现故障不仅对用户造成损失，而且还会对IDC的信誉造成负面影响。因此防火墙的高可靠性是应用在IDC的一个重要指标。
　　３、支持多个虚拟系统（虚拟防火墙）　　传统的IDC中用户的安全措施是分布式的，必需在每个用户的服务器网段安装单独的防火墙，这样作的缺点是不便于管理，占用大量机架空间。一个Netscreen-1000或Netscreen-500防火墙能为IDC用户提供多达100个虚拟的防火墙，可以给每个用户分配一个虚拟系统，并由用户管理自己的虚拟防火墙系统。
　　４、支持VLAN（802.1q）在Netscreen防火墙连接内部网的Trust接口支持绑定多个子接口和802.1q协议，因此可在IDC网络中将不同用户的网段分配给相应的接口，然后将子接口及相对应的网段分配给虚拟系统。再将虚拟系统分配给用户，因此对用户而言他们得到的是一个独立的防火墙。

二．Netscreen防火墙在IDC的典型应用 Netscreen防火墙在IDC 中的应用可分为三种情况：

    ■ 单个防火墙
    ■ 热备份防火墙（HA），从Internet入口到后端服务器每个节点完全备份
    ■ 带有负载均衡设备的多防火墙
　　
    １．单个防火墙安全方案

如上图所示，Netscreen防火墙实现的功能：
　　１）千兆级防火墙在为网络提供安全保护的同时，最大会话数每秒50万，保证在防火墙出口处不会形成网络流量瓶颈。
　　２）通过Netscreen给不同的用户分配虚拟防火墙系统，IDC能为用户提供可管理的安全服务。
　　３）入侵检测。Netscreen独有的ScreenOS结合快速的ASIC 芯片能阻挡已知所有的＂黑客＂攻击方法，它的抗攻击能力是其它防火墙的8-10倍。
　　４）用户登录到自己的虚拟防火墙系统后可以：
　　● 将内部地址映射为外部地址，从而隐藏内部网络结构。
　　● 设置VPN。在用户和防火墙之间建立自己的VPN通道，保证用户和自己托管在IDC的主机及防火墙之间的通讯在公网传输是安全的。
　　● 设置访问控制规则。允许Internet用户访问对外开放的服务，其它的服务则禁止，这样能减少网络流量及安全风险。
　　● 设置用户访问防火墙或网络的用户名及密码。

    ２．热备份防火墙（HA），从入口到后端的服务器每一个节点完全备份
    如上图所示，该方案与方案一的区别是：Netscreen防火墙除了能实现单个防火墙的所有功能外，还能确保整个数据链路的高可靠性。
    Netscreen防火墙的热备份实现方法：
    ● Netscree-1000有一个专门的100M热备份接口（HA），通过无屏蔽双绞线连接两台防火墙。两台防火墙必需是完全一样的配置，通过HA口之间的通讯保持两台设备完全同步。
    ● 两台设备中主设备工作另一台不工作但处于运行状态，当主设备出现故障时另一台防火墙在6-10秒内接管原来主设备的工作，所有原来的通讯不会丢失。对用户而言切换过程是透明的，仅仅是感到速度有所降低。

３．带负载均衡设备的的多防火墙

如上图所示，该方案除了能实现方案一的所有功能外，它的特点是总带宽超过1000兆。对于带宽1-3Ｇ的特殊网络，如果用一个防火墙不能满足带宽要求，可使用多个防火墙并在各防火墙之间作负载均衡来实现总带宽大于1000兆的流量。

Jerome 2007-02-01 11:41 发表评论

选择网络防病毒方案的建议

Jerome — Tue, 30 Jan 2007 11:16:00 GMT

http://www.sina.com.cn 2001/07/16 14:27 赛迪网-中国计算机报

　　企业级防病毒解决方案针对一个特定的网络环境，涉及不同的软硬件设备。与此同时，病毒的来源也远比单机环境复杂得多。因此，所选择的企业杀毒软件不仅要能保护文件服务，同时也要对所有计算机设备保护。而且，它必须能从邮件、FTP文件、网页、软盘、光盘等所有可能带来病毒的信息源进行监控和病毒拦截。

　　具体来说，企业管理者对网络防毒方面应该重点考虑以下几个方面，这也是网络防病

毒软件应该具有的功能：

　　1.病毒查杀能力

　　可查杀病毒的种数固然是多多益善，但也要关注它对实际流行病毒的查杀能力。

　　2.对新病毒的反应能力

　　这一点主要从三个方面衡量：软件供应商的病毒信息搜集网络、病毒代码的更新周期和供应商对用户发现的新病毒的反应周期。

　　3.病毒实时监测能力

　　按照统计，目前的病毒中最常见的是通过邮件系统来传输，另外还有一些病毒通过网页传播。这些传播途径都有一定的实时性，用户无法人为地了解可能感染的时间。因此，防病毒软件的实时监测能力显得相当重要。

　　4.快速、方便地升级

　　企业级防病毒软件对更新的及时性需求尤其突出。多数反病毒软件采用了Internet进行病毒代码和病毒查杀引擎的更新，并可以通过一定的设置自动进行，尽可能地减少人力的介入。

　　5.智能安装、远程识别。

　　由于局域网中，服务器、客户端承担的任务不同，在防病毒方面的要求也不大一样。因此在安装时如果能够自动区分服务器与客户端，并安装相应的软件，这对管理员来说将是一件十分方便的事。

　　6.管理方便，易于操作。

　　系统的可管理性是系统管理员尤其需要注意的。管理者需要随时随地了解各台计算机病毒感染的情况，并借此制定或调整防病毒策略。

　　7.对现有资源的占用情况

　　防病毒程序进行实时监控都或多或少地要占用部分系统资源，这就不可避免地要带来系统性能的降低。

　　另一个是升级信息的交换，下载和分发升级信息都将或多或少地占用网络带宽。

　　8.系统兼容性

　　系统兼容性并不是仅仅选购防病毒软件时需要考虑的事，而是买绝大多数软件时都必须考虑的因素。不同的是，防病毒软件的一部分常驻程序如果跟其它软件不兼容，将会带来更大的问题。

　　9.软件的价格

　　就价格来说，企业级防病毒软件大多是按照网络规模来确定初次购买和后继的升级费用的。初次购买后，软件商一般会提供一定时期的免费升级，而此后的升级及服务如何收费也需做到心中有数。

　　10.软件商的企业实力

　　软件商的实力，一方面指它对现有产品的技术支持和服务能力，另一方面是指它的后续发展能力。因为企业级防毒软件实际是用户企业与防病毒厂商的长期合作，企业实力将会影响这种合作的持续性，从而影响到用户企业在此方面的投入成本。

Jerome 2007-01-30 19:16 发表评论

中软网络系统安全方案

Jerome — Fri, 19 Jan 2007 06:10:00 GMT

信息安全需求分析

随着政府上网和企业信息化的推进，信息安全建设的重要性日益突出。根据我们多年来的研究和与众多网络用户的接触和了解，我们认为各单位信息安全需求主要表现在以下几个方面：

首先，从国家政策法规、单位性质和规章制度，以及考虑安全生产的要求，提出系统总体的安全要求与安全级别。

其次，根据各单位信息与网络系统资产的确认情况，提出不同资产的安全级别需求。

第三，根据信息与网络系统的层次化，分级别提出安全需求，保证信息安全的实施层次化、风险层次化。

安全需求的提出要充分考虑项目单位的经济承受能力，也要充分考虑网络系统的发展可能带来的需求问题。

信息安全方案

总体设计

信息系统安全管理的目标是：保证信息系统在有充分保护的安全环境中运行，由可靠的操作人员按规范使用计算机系统、网络系统、数据库系统和应用系统，系统符合安全标准。

中国软件公司提出了一套性能价格比很高的保护-检测-响应-恢复的安全解决方案，这一方案是以项目单位统一的安全策略为核心的，是基于“安全不是技术，而是策略、技术与管理的综合”这一安全理念，在充分分析安全过程及安全风险层次缓释的科学方法论基础上提出的。

本方案覆盖从系统级安全到桌面系统安全；从静态访问控制到动态入侵检测主要层面，覆盖网络安全的事前弱点漏洞分析修正、事中入侵行为监控响应、事后信息监控取证全过程。根据不同的安全要素，我们从以下的十四个安全实施领域来进行方案的说明。

详细说明

访问控制与安全边界

我们提供具有地址转换、应用代理和过滤功能的防火墙系统（中软华泰防火墙 CSS-SEC-Firewall），能有效地实现网络系统访问控制、代理服务、身份认证，建立信息网络的安全边界，访问控制。我们可以将防火墙布控在Interent出口，拨号接入入口，关键服务器的前端和与合作伙伴的连接出口，实现项目单位网络系统与外界的安全隔离，保护关键信息资产和网络组件，不影响网络系统的工作效率。

弱点漏洞分析和风险审计

我们提供安全扫描产品（中软网络安全巡警系统 CSS-SEC-ISRanger）定期检测分析、修补弱点漏洞，定期检查、纠正网络系统的不当配置，保证系统配置与安全策略的一致，减少攻击者可以用来进行攻击的“机会”。与防火墙、入侵检测系统（安全监控系统）互相配合能够提供很高安全性的网络。

入侵检测与防御

我们提供的入侵检测系统（中软分布式入侵监测预警与响应系统 CSS-SEC-DIDSystem）通过实时截获网络数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时，网络信息安全检测预警系统能根据系统安全策略做出响应，通过与防火墙的联动，可以主动地发现并防御入侵行为。

信息监控与取证

通过我们提供的信息监控与取证工具（中软网络信息监控分析与取证系统 CSS-SEC-NetMonitor），可以对网络信息流进行实时监控，对访问的路由信息进行记录与反跟踪。根据用户定义的监控和分析策略对网络数据流根据不同的协议、不同的原地址和目标地址，或者根据用户定义的文字内容进行分析，将信息还原，归类。

通信链路安全

我们提供的VPN产品（中软VPN安全网关 CSS-SEC-VPN）能够保护信息的机密性、提供完整性检测、身份验证能力等安全保护，防止信息被窃取、篡改和假冒。还能满足远程移动用户（通过拨号、专线、Internet等方式）安全访问网络系统的需求。

系统安全

我们自主研制开发的操作系统（中软COSIX64和中软Linux B1 操作系统），使得在系统级解决安全问题成为可能。同时，在系统安全方面，中国软件公司还提供其他操作系统平台的安全增强软件（Windows操作系统中文版安全组件就是由我公司开发的），保证这些操作系统平台的安全。

数据与数据库安全

对数据库系统来说，由于它是由专业的厂家提供（Microsoft, Oracle, Informix等），购买高安全级别的数据库系统是非常重要。同时，在使用的过程中，要定期使用安全扫描产品（中软网络安全巡警系统 CSS-SEC-ISRanger）对数据库系统的配置情况、弱点漏洞进行分析，及时发现存在的安全隐患，获取安全补丁程序，纠正不当的配置。对日常工作敏感文件来说，合理的存放、文件访问权限的定义、目录及文件的加密是最有效的解决办法。

应用系统安全

对于通用的应用程序，如Web Server程序等，可以中软网络安全巡警系统 CSS-SEC-ISRanger检查这些应用程序自身的安全漏洞和由于配置不当造成的安全漏洞，同时使用中软智能网页自动监控与恢复系统 CSS-SEC-WebWatcher对应用系统进行实时、自动的防护。

对于项目单位专用系统，可以利用我们的CA系统（中软CA系统 CSS-SEC-CA）实现对专用系统用户的统一认证和授权管理。

个人桌面安全

我们提供了桌面系统安全审计产品（中软桌面系统安全审计系统 CSS-SEC-WinAAA）,对个人使用的基于Windows系统的PC机，进行实时的信息、行为的分析，对违规行为实施基于策略的响应，保证了个人桌面系统的安全。

身份认证与授权

身份认证技术是实现资源访问控制的重要手段，是落实项目单位网络安全策略的保证。对网络设备结合使用RADIUS、S/KEY（或SecureID）、对主机设备使用本地认证技术可以在“实用有效”的原则下，建立起一套简捷明了、行之有效的身份认证体系。

我们提供了内部安全管理产品（中软高性能防水墙系统 CSS-SEC-WaterWall），对内部信息的处理过程实施保护，使之不被非法访问、外传、破坏、拷贝。

灾难恢复与备份

我们提供了灾难恢复与备份的整体解决方案（中软灾备方案 CSS-SEC-RAB），通过利用国际、国内先进可靠的技术和产品，为用户实现信息系统的灾难备份与恢复。

（1）建立网络系统备份机制，尤其是数据服务器的备份、关键业务应用的备份或线路的备份。

（2）建立灾难风险预测机制，及时检测发现灾难征兆与告警。

（3）建立灾备中心。

病毒防治

本建议方案为项目单位的整个网络信息系统提供全面的计算机病毒防御，其组成和特点如下：

（1） Internet网关级病毒防护：主要针对Internet出口，对电子邮件病毒的实时扫描和清除，以及对邮件的附件进行病毒过滤。

（2）服务器和群件病毒防护：对NT服务器、UNIX服务器进行病毒扫描和清除，集中报警。

（3）桌面病毒防护：针对各种桌面操作系统，进行病毒扫描和清除。

（4）防病毒管理系统：建立高效的防病毒管理系统，对所有客户端防病毒软件进行统一管理，提供集中分发、升级、配置、管理、统计等功能，实现对防病毒主要工作的“集中监控”。

集中安全管理

基于我们推出的全线安全产品，我们提供了集中的安全管理产品（中软集中安全管理系统 CSS-SEC-GSM），通过对不同安全要素的安全实现方法与手段的集成与规范，逐步实现全部安全方法与手段的策略管理、过程监控与审计。

信息平台运行维护

我们提供了运行维护产品（中软信息平台运行维护系统 CSS-SEC-Siteview），定位于对信息系统平台基本运行情况的监测和预警，主要实现以下系统功能：

（1）一级故障报警：采集系统资源的工作状态，当系统出现故障，以多种形式通知相关人员。

（2）二级性能监测：采集系统资源的工作状态并进行记录，提供对系统资源的性能分析和总结，同时可以根据设定的指标进行预警。

（3）统计报告：能够自动组合监测数据，生成针对监测对象实时的或历史的报告和报表，为IT系统管理的长期规划提供数字依据。

CSS-SEC-SiteView的报警形式主要包含：语音电话、手机短信、电子邮件、弹出窗口等，报警内容可以具体到故障设备、故障原因等。

方案特点

本方案是我公司多年来参与各行业信息化建设项目中经验的总结，其主要特点如下：

（1）完整性：本方案涵盖了系统安全的各个方面，由低向高从物理、网络、主机、数据到应用分别进行了有针对性的安全设计和规划。

（2）可靠性：系统安全的建设目标就是保证系统安全、可靠地运行，本方案在这两方面进行了充分的分析和设计，保证系统安全、可靠、稳定地运行。

（3）规范性与开放性：本方案所使用的技术都是遵循国际安全标准规范，选用的产品全部满足国家权威部门的规定和销售许可，所搭建的安全平台具有很强的开放性。

（4）实用性：本方案是在不同规模的信息安全系统实施经验的基础上提出的，可以适用于不同行业、不同类别的信息系统，应用范围广泛。

Jerome 2007-01-19 14:10 发表评论

企业信息安全隐患及解决方案浅析

Jerome — Fri, 19 Jan 2007 06:08:00 GMT

随着信息技术和信息产业的发展，以Internet为代表的全球性信息化浪潮，使得信息网络技术的应用日益普及，应用层次逐渐深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，如党政部门信息系统、金融业务系统、企业商务系统等。越来越多的企业建立了自己的企业网络，并与Internet相联。在网络中存储、传输和处理的信息有许多是重要的政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要信息。这些有的是敏感性信息，有的甚至是国家机密。所以不可避免会受到各种主动或被动的人为攻击，如信息泄漏、信息窃取、数据篡改、数据增删、计算机病毒等。近年来，垃圾邮件日益蔓延，企业网页不时遭到黑客篡改攻击，计算机病毒泛滥成灾，网络信息系统中的各种犯罪活动已经严重危害着社会的发展和企业的安全，给全球的企业造成了巨大的损失。计算机网络犯罪案件急剧上升，已经成为普遍的国际性问题。形形色色的安全问题不仅给企业带来了巨额的经济损失，也严重阻碍了我国的信息化进程。根据国家计算机病毒应急处理中心的调查显示：2003年中国计算机病毒感染率高达85.57%。因此，在企业信息化过程中，加强企业信息安全建设，及时采取相应的防范措施，已成为目前国内企业迫在眉睫的大事。

一、企业信息安全隐患

当前，企业的信息安全隐患来自于两个方面，即外部的攻击和内部泄密。

1、外来的攻击

大部分外来攻击可分为三类：闯入、拒绝服务、信息窃取。

● 闯入

最常见的攻击就是闯入，他们闯进计算机里，就向普通合法用户一样使用你的电脑。闯入的手段是比较多的，常见的类型是，利用社会工程学攻击（如：你打个电话给ISP，说你是某个用户，为了做某些工作，要求立即改变密码）。比如一种最简单的方式是猜测用户名的密码，在有些情况下这是比较容易的，有许多一般用户并不太重视自己的密码，或嫌麻烦怕忘记密码而将密码取的容易猜测到，还有一种方法，是搜索整个系统，发现软件，硬件的漏洞（BUG）或配置错误，以获得系统的进入权。

● 拒绝服务

这是一种将对方机器的功能或服务给以远程摧毁或中断的攻击方式，拒绝服务（Denial of services）攻击的手段也是多种多样的，最早出现的大概是叫“邮包炸弹”，即攻击者用一个程序不断地向被攻击者的邮箱发出大量邮件同时还匿藏自己的地址信息，以至于邮件使用者几乎无法处理。甚至导致邮件服务系统因为大量的服务进程而崩溃。而被袭击者也无法确认谁是攻击者。另一些攻击手段是利用软件本身的设计漏洞进行远程攻击，其中比较著名的是微软的OOB(Out Of Bond)漏洞，只要对着运行95或NT的139口发出一个不合法的包，就会导致操作系统轻则断掉网络连接，重则彻底死机或重启。

● 信息窃取

有一些攻击手段允许攻击者即使不操作被攻击的电脑系统也能得到想要的数据。比较典型的是用网络嗅查器(Sniffer)监听网络中的包信息，从中发现有用的信息，如：用户名，密码，甚至付款信息等。Sniffer的工作有点象现实社会里装电话窃听装置一样。在共享式网络环境里，Sniffer是很可怕的，它可以监听大量的网络信息。

2、来自企业内部的威胁

随着各行各业信息化建设的推进，内部泄密已经成为威胁企业信息安全的最大隐患。FBI和CSI对484家公司的信息安全作了调查，结果发现：

● 有超过85%的安全威胁来自企业内部

● 有16%来自内部未授权的存取

● 有14%专利信息被窃取

● 有12%内部人员的财务欺骗

● 有11%资料或网络的破坏

● 中国国内80％的网站存在安全隐患，20％的网站有严重安全问题

从上述数据中可以看出：面对来自于公司内部的安全威胁，必要的安全措施对企业是如何重要。而这又恰恰是最容易被企业所忽视的“盲区”。伴随着移动存储设备小型化和电子邮件等通信技术的发展，许多企业、事务所、学校、金融机构、高科技研究所等单位的重要资料很容易流失到网络外部。在信息就是生产力的大竞争环境中，给企业造成无法估计的损失。

二、企业信息安全解决方案

1、信息安全解决方案的市场需求

为了解除内外因素对企业造成的信息安全危机，把由其带来的经济损失降到最低，配备一个适合企业自身且行之有效的网络安全方案就显得迫在眉睫了。仅仅是单纯的网络安全产品已经不能满足企业的网络安全防护需求。企业用户的整体需求要求网络安全产品必须向综合方向发展，那么技术也就必须要朝融合的方向发展。用户需要能够系统地完善和保障自己的网络安全。因此，整体安全解决方案近年来逐渐成为用户的首选，这也是网络安全市场发展的大势所趋。网络安全解决方案市场的出现和发展，既是用户需求带动的结果，也是网络安全领域向全方位、纵深化、专业化方向发展的结果。

2、中小型企业网络安全市场潜力巨大

赛迪顾问认为：2005年及未来五年，中国网络安全产品市场用户需求空间很大，市场前景广阔，尤其是中小型企业用户的IT应用已经逐渐完善，他们的网络安全防护意识也已经形成，另外网络安全服务市场也基本尚未开发。赛迪顾问建议，政府应当积极为网络安全产业创造优良的发展环境。用户应当进一步加强网络安全防范意识，并采取有效手段切实提高防范能力。厂商则应当规范竞争秩序，在合作竞争中寻求整个安全产业链的发展出路；厂商还要正确引导用户的需求，通过提高自身技术和服务创新能力来提升竞争力，从而树立良好的品牌形象并获得持续发展。

3、网络信息安全解决方案的业界最新动态

2005年6月，在由《计算机世界》方案评析实验室（CCW Solution Analysis Lab）主办的2005年优秀信息安全应用解决方案评选中，有14家参选者脱颖而出，获得优秀信息安全解决方案奖。它们是：赛门铁克、联想网御、上海安纵、saftnet china、美讯智、中联绿盟、冠群电脑、（中国）冠群金辰、 anay networks、网新易尚、中创软件、东软软件、天融信、华勤通信。

计算机世界方案评析实验室（CCW Solution Analysis Lab）是国内知名解决方案评估实验室，此次安全解决方案评选历经1个月时间的筹备，共收集安全解决方案30多个。经过国家信息中心首席工程师/主任宁家骏、国家信息安全评测认证中心总工程师陈晓桦、国家电力调度通信中心总工程师辛耀中等专家团成员的综合评选下，根据计算机世界方案评析实验室专门为信息安全方案横向评估制定的40多项评估指标体系，对不同厂商的解决方案从需求把握、行业知识、设计思路、产品功能特性等方面进行了全方位的衡量。根据量化评分规则，对整体解决方案进行综合评定。

在这些获奖厂商中不乏为人熟知的网络安全产品品牌，它们旗下新推出的产品和理念就是引领网络安全市场的风向标，以下介绍几个针对企业信息网络安全应用的解决方案。

赛门铁克（Symantec）企业网络防病毒解决方案

赛门铁克成立于1982年，是互联网安全技术的全球领导厂商，为企业、个人用户和服务供应商提供广泛的内容和网络安全软件及硬件的解决方案，旗下的诺顿品牌是个人安全产品全球零售市场的领导者，在行业中屡获奖项。2005年，它推出了一个全方位、多层次的、整体的网络防病毒解决方案。方案中涉及的防病毒产品有：

1．Norton AntiVirus Enterprise Solution 4.0

2．Norton AntiVirus 7.0 Corporate Edition

3．Norton AntiVirus 7.0 Corporate Edition for NetWare

4．Norton AntiVirus 2.5 for Lotus Notes/Domino(on OS/2, Windows NT, IBM AIX)/(Intel/DEC Alpha)

5．Norton AntiVirus 2.5 for Microsoft Exchange(Intel/DEC Alpha)

6.Norton AntiVirus 5.0 for OS/2

7.Norton AntiVirus 6.0 for Machintosh

8.Norton AntiVirus 5.0 for Windows NT(DEC Alpha)

9.Norton AntiVirus 4.0 for NetWare

10.Norton AntiVirus 1.5 for Firewalls

11.Norton AntiVirus 2.5 for Gateways (on Windows NT, Solaris)

12.Norton AntiVirus Plus for Tivoli Enterprise and IT Director

13.Symantec System Center

来源于IT.com.cn

网络结构方面：Symantec从第一层工作站、第二层服务器、第三层电子邮件服务器到第四层防火墙都有相应的防毒软件提供完整的、全面的防病毒保护，尤其是对电子邮件的防病毒，Symantec 具有最全面的解决方案，包括市场上流行的所有邮件系统以及其他的基于Unix平台下的邮件系统。

在系统平台支持方面：Symantec对各种操作系统提供全面的支持，如：IBM AIX，Linux，AS/400，OS/390，SUN Solaris，Dos，Windows/3x，Windows 95/98，Windows NT Workstation/Server，Windows 2000，OS/2，NOVELL Netware，Macintosh等。

在防病毒技术方面：Symantec采用各种先进的反病毒技术，尤其在对付未知病毒和多态病毒方面，采用了各种先进的技术对其进行查杀，如：启发式侦测技术(Bloodhund TM),神经网络技术，打击技术(Striker32)和防宏病毒技术(MVP)等，因此NAV产品不仅能查、杀各种未知病毒，还能修复被病毒感染的文件。

在防病毒软件和防病毒策略管理方面：通过赛门铁克的SSC(Symantec System Center) 赛门铁克网络防病毒解决方案企业网络防病毒提供统一的、集中的、智能的、自动化的、强制执行的有效管理方式。　

在病毒定义码和扫描引擎升级方面：采用模块化(NAVEX)的升级方式，也就是说，用户每次升级都包括最新的病毒定义码和扫描引擎，而且各种NAV产品采用的是同一套病毒定义码和扫描引擎，方便用户病毒定义码和扫描引擎的升级，同时计算机在升级完最新的病毒定义码和扫描引擎后无需重新启动计算机。

在技术支持和服务方面：Symantec有专门的人员和机构对用户出现的问题和新病毒提供快速及时的响应，并能迅速提供相应的解决方案。

如上所述，赛门铁克(Symantec)企业网络防病毒解决方案为企业的网络、系统和应用提供全面的病毒防护。

联想网御的“等级化安全体系”业务策略

联想网御公司是国内领先的信息安全服务与产品提供商。2005年5月11日，联想网御在北京发布了2005财年的业务策略，将以“等级化安全体系”为核心全面展开。这是国内第一家安全厂商在对国家等级保护相关政策（27号文件和66号文件）及客户应用需求做了深入的理论研究和实践探索的基础上，配合国家安全建设的步骤，率先将该理论作为业务的战略思想。充分显示了联想网御在安全理念、方案、产品、技术的前瞻性和实践积累上已遥遥领先国内其他厂商。

长期以来，绝大多数企业并不清楚怎么建设安全系统才是经济合理的，既有在投资时吝惜了一部分钱却造成日后严重信息安全损失的案例，也有“投资千万元保护百万元资产”的事情，而且还不在少数。等级化安全体系对于解决安全建设中的相关问题是一种行之有效的方法，能帮助客户做到心中有数、建设有序、控制有力。”

“等级化安全体系”旨在根据不同用户在不同阶段的需求、业务特性及应用重点，根据“定级>管理要求>建设方案”三步走的原则，利用等级化与体系化相结合的安全体系设计方法，在遵循国家等级保护制度的同时，将等级化安全理念融会到产品、方案及应用中，为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。联想网御还分别针对行业大客户以及中小型客户量身定做了等级化安全体系方案和等级保护方案，并阐述了如何以网御精品构建等级化安全体系，包括联想网御产品研发战略的等级化思路、多NP万兆级防火墙等级化服务平台、SOC安全管理等级化平台等。可谓从方案、产品、技术角度将该方法体系落到了实处。

上海安纵的可变基础平台—XSTF

现在信息安全需要集成这个概念已经普遍为人所认识。然而目前的安全集成还处在初级阶段，往往只是产品的叠加，相互间缺乏标准的通信接口，更为重要的是，还不能与应用紧密地结合起来。因此，用户迫切需要一个完整的、与应用紧密相关的并且是容易部署、管理和应用的安全解决方案。

上海安纵信息科技有限公司研究开发的“XSTF”是一个具有高度标准化、良好扩展性，并与应用紧密结合的可变安全基础平台，将各种“针对特定环境或者特殊用途的安全技术和产品”与“对它们的应用、整合、管理”分离开，从而屏蔽底层安全技术细节，使用户可参与定制与自身业务应用相关的安全系统。同时由于平台的开放性，使系统可以快速整合第三方安全产品，大大提高系统的安全防护能力。用户可以用这个平台对业务应用环境的安全需求建模，选择不同安全组件，统一管理和部署，从而快速有效地定制符合自身应用需求的安全解决方案。整个安全系统是一个“X”模型，而XSTF平台就是其中的汇聚点。向上，它提供针对业务应用的安全系统建模方法和工具，以实现个性化定制的需求。对下，提供安全中间件封装工具和相应技术规范，可以快速将不同类型的安全产品和技术封装成平台可用的安全中间件，从而纳入整个安全系统。

此外，加强企业信息安全防范意识尤为重要。企业信息安全解决方案的出现虽然可以有效的遏制住外网的攻击，但对企业内部因人为因素而造成的信息泄漏则是无能为力的。所以企业不能光装上安全系统就高枕无忧了，还要在部门和员工中培养牢固的信息安全防范意识，制定科学而严格的上网操作规范。这样一来，尽管安全隐患是不可能完全消除的，但是通过各种有力措施，却可以将其减到最小程度。从而有利于企业间的良性竞争，推动国家经济的发展。

Jerome 2007-01-19 14:08 发表评论