ccidnet????

出版日期:2002-05-13 总期号:1116 本年期号:33

本期导读
要闻综合
中国信息化
网络与通信
软件与服务
产品与应用
渠道与市场
电子政务专刊
华东专刊
华南专刊
西北专刊
东北专刊
 内部网安全策略要务实

何大为、卢普明

  随着互联网技术的发展,互联网信息系统的应用日益广泛,网络安全也越来越成为人们关注的焦点,网络安全的重要性也越来越为人们所重视。从现在的统计分析资料可以得知,网络受到的攻击和损失更多是来自内部。


  内部网络易受攻击的九条原因
  为什么内部网络更容易受到攻击呢?主要原因如下:

  1. 信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展。网络已经是许多企业不可缺少的重要的组成部分,基于WEB的应用在内部网正日益普及,典型的应用如财务系统、PDM系统、ERP系统、SCM系统等,这些大规模系统应用密切依赖于内部网络的畅通。

  2. 黑客工具在Internet上很容易获得,这些工具对Internet及内部网络往往具有很大的危害性。这是内部人员(包括对计算机技术不熟悉的人)能够对内部网络造成巨大损害的原因之一。

  3. 内部网络更脆弱。由于网速快,百兆甚至千兆的速度,能让黑客工具大显身手。

  4. 在对Internet严防死守和物理隔离的措施下,对网络的破坏,大多数来自网络内部的安全空隙。另外也因为目前针对内部网络安全的重视程度不够,系统的安装有大量的漏洞没有去打上补丁。也由于内部拥有更多的应用和不同的系统平台,自然有更多的系统漏洞。

  5. 为了简单和易用,在内网传输的数据往往是不加密的,这为别有用心者提供了窃取机密数据的可能性。

  6. 内网的用户往往直接面对数据库、直接对服务器进行操作,利用内网的速度快,对关键数据进行窃取或者破坏。

  7. 众多的使用者所有不同的权限,管理更困难,系统更容易遭到口令和越权操作的攻击。服务器对使用者的管理也不是很严格,对于那些如记录键盘敲击的黑客工具比较容易得逞。

  8. 涉密信息不仅仅限于服务器,同时也分布于各个工作计算机中,目前对个人硬盘上的涉密信息缺乏有效的控制和监督管理办法。

  9. 由于人们对口令的不重视,弱口令很容易产生,很多人用诸如生日、姓名等作为口令,在内网中,黑客的口令破解程序更易奏效。

  为了有效地实现对内部网络的保护,仅仅利用防火墙、入侵检测、防病毒软件、身份认证的工具是不够的。必须要在基于分布式管理的基础上,为内部网络提供全方位的安全解决方案。


  中智ZZMonitor全方位保网络安全
  对此,中智公司提出了基于分布式管理的网络安全系统(ZZMonitor),把入侵检测、漏洞扫描、反监控网络窃听、个人防火墙、内网网管、文件加密等功能集于一体。从每一台计算机,每一个网段着手,对内部网络进行全方位的监控和保护。


  ZZMonitor网络分布结构示意图

  ZZMonitort系统分为三个部分,控制台软件、客户端软件和监测入侵软件。控制台软件运行在局域网内的管理服务器上,负责管理整个局域网内的计算机和处理入侵事件,它包含了强大的系统及数据库漏洞扫描分析功能;客户端软件运行在局域网内的每台客户机上,开机后程序即在后台运行,实时监测本机的工作状态,防止黑客软件(尤其是木马程序)的攻击,可以对本机的重要数据进行大强度的加密,保证重要数据的安全性;监测入侵软件运行在局域网内需要重点保护的网段的监视服务器上,对本网段的数据进行检测,对网络的异常现象和黑客入侵行为产生报警并采取相应的安全防范措施。

  ZZMonitor可以监测到多种入侵攻击,当有入侵行为对网络进行攻击和入侵网络时(无论是外部还是内部),网络管理人员马上就能得到通知,并且可以锁定入侵者的IP,断开攻击路线,保护您的网络和核心机密数据不受侵犯。

  ZZMonitor系统包含以下功能:

  1. 检测内部网终端是否有拨号上网;

  2. 检测内部网终端是否提供拨号服务;

  3. 提供工作组安全保护措施:如果某计算机在未授权情况下使用密码猜测工具访问另一部门的数据,客户端程序将向服务器端程序报警并提供双方的IP地址;

  4. 客户端为用户提供文件加密功能,保护数据的安全;

  5. 有扫描软件扫描我方计算机端口时报警;

  6. 当计算机运行嗅探程序时报警;

  7. 检测该终端是否正在被黑客侵入;

  8. 及时阻断正在进行的黑客攻击;

  9. 记录入侵黑客使用的用户名、密码及联接时IP地址;

  10. 可以监测到目前为止的大多数的攻击和扫描(总计1230多项),主要有:

  a) 拒绝服务攻击;

  b) 分布式拒绝服务攻击;

  c) 缓冲区溢出攻击;

  d) RPC分片攻击;

  e) 碎数据包攻击;

  f) CGI攻击;

  g) IP 欺骗;

  h) ARP欺骗;

  i) 端口扫描;

  j) 端口隐蔽扫描;

  k) SMB探测;

  l) 操作系统识别探测;

  m) Web URL扫描;

  n) FTP、TELNET的登陆尝试;


  ZZMonitor系统应用示意图

  11. 有效防止各种木马的攻击;

  12. 自动运行:客户端程序在开机后即在后台自动运行,可以显示本台计算机的网络联接情况;

  13. 操作系统及数据库漏洞扫描分析(700多项);

  14. 控制台可以查看客户机的屏幕内容;

  15. 控制台可以关闭客户机或是注销网络用户;

  16. 控制台可以查看客户机的网络连接情况;

  17. 控制台可以切断客户机的网络连接;

  18. 控制台和客户机可以相互呼叫并即时通信;

  19. 控制台的数据及报警记录的管理、分析功能;

  20. 控制台可以将报警记录发放到指定的E_mail信箱;

  21. 加密所有的通讯数据;

  22. 系统具有远程升级功能;

  23. 客户端程序不允许本机操作人员干涉其运行,在接到服务器端程序发来的卸载指令后,将自动卸载;

  24. 在某些紧急的情况下,根据服务器发送的关机命令,客户机将自动关机。

  网络巡警ZZMonitor具有友好的操作界面、管理界面和交互处理功能,能有效的管理内部网内多达数千台终端,同时不会影响网络端口的数据交换速度。