青海省IP网优化工程网络安全解决方案

核心提示： 3、网络层方案配置在青海IP网络系统核心网段利用一台专用的安全工作站安装冠群金辰公司的eID(eTrustIntrusionDetection)产品，将工作站直接联接到主干交换机的监控端口(SPANPort)，青海省IP网优化工程网络安全解决方案(4)，用以监控局域网内各网段间的数据包，由

3、网络层方案配置

在青海IP网络系统核心网段利用一台专用的安全工作站安装冠群金辰公司的eID(eTrust　Intrusion　Detection)产品，将工作站直接联接到主干交换机的监控端口(SPAN　Port)，用以监控局域网内各网段间的数据包。

由于eID产品支持在一台工作站上通过安装多块网卡的方式获取多个网段的数据，所以可在关键网段内配置含多个网卡并分别联接到多个子网的入侵检测(eTrust　Intrusion　Detection)工作站进行相应的监测。eID还具有安全事件取证系统，能够对网络中发生的所有事件进行忠实地记录和取证，即使黑客在主机上抹去了入侵的纪录，eID也可以提供详细的入侵过程纪录。

三、主机、操作系统、数据库安全方案

本部分主要解决对主机/操作系统/数据库访问时的身份认证和访问控制，以及对各种系统安全漏洞的检测和病毒的防护。

1、　主机、操作系、数据库安全问题分析及配置方案

青海IP网络系统基于Intranet体系结构，兼呈局域网和广域网的特性，是一个充分利用了Intranet技术、范围覆盖广的分布式计算机网络，它面临的安全性威胁来自于方方面面。其面临的攻击主要是针对网络设备和服务器发起的攻击。因此采用严格有效的访问控制机制实现对人员的授权访问，对防止非授权或越权的操作和访问，防止发生不可预测的、潜在破坏性的侵入能够起到立竿见影的作用。为此，冠群金辰在青海IP网络中的每一个需要保护的关键服务器上都部署eTrust　Access　Control产品进行防范，在中央安全管理平台上部署中央管理控制台，对全部的eTrust　Access　Control进行中央管理。

具体来说，eTrust　Access　Control可以通过如下的途径实现更细粒度的权限管理和访问控制:一是对核心的应用主机、数据库服务器实施安全保护。eTrust　Access　Control在操作系统的安全功能之上提供了一个安全保护层;通过从核心层截取文件访问控制，以加强操作系统安全性。它具有完整的用户认证，访问控制及审计的功能，采用集中式管理，克服了分布式系统在管理上的许多问题。二是可以在不改变系统执行文件，不修改内核的情况下变成操作系统的有效的一部分，可以在不重写Unix和透明的情况下实现安全控制功能，这主要利用专利型技术DSX(Dynamic　Security　Extensions，动态安全扩展)实现该功能。三是跨平台的支持。目前青海IP网大部分采用Solaris平台，但是eTrust　Access　Control是一个跨平台的访问控制软件，它支持AIX、HP-UX、Solaris、NCR　MPRAS、Siemens　SINIX、SGI　IRIX、Digital　UNIX、SCO　Unixware、Olivetti　Unix、Sequent以及RedHat　Linux，同时支持Windows　NT。所以，eTrust　Access　Control完全支持青海IP网的未来的业务扩展。