从SQL蠕虫谈信息安全的风险预防体系(三)

　　冠群金辰公司如何帮助客户建立风险预防体系 　　冠群金辰公司按照最新的风险管理思想，采用先进的技术、产品和专业服务为客户建立一整套行之有效的风险预防体系。 　　　　实践证明，入侵预防技术很成熟、防范有效的地点是在主机和应用程序的层次。冠群金辰公司提供的龙渊服务器核心防护(eTrust Access Control)是一种业界领先的主机入侵预防(Host Intrusion Prevention，简称HIP)产品；而赤霄KILL邮件过滤网关以及即将推出的eTrust Web Access Control则是高效率的应用系统入侵（感染）预防（Application Intrusion Prevention，简称AIP）产品。 　　　　通过在关键服务器上部署龙渊服务器核心防护，安全管理员能够严格限定所有用户在该服务器上的任何操作，从时间、地点、访问方式等多个方面进行极细粒度的访问控制；并且其动态安全扩展（DSX）技术使得服务器能够高强度抵御未知的攻击类型，尤其是缓冲区溢出类型的攻击。这样即使管理员尚未安装SQL的补丁程序，只要安装了龙渊服务器核心防护，并且启动了DSX功能就可以免受SQLSlammer病毒的感染，从而避免了损失，为安全管理员赢得了宝贵的时间。这种防范措施对于Windows平台和UNIX平台都适用，并且不依赖特征库的升级即可完成防范功能。另外，通过该系统在本机上限定该计算机允许的网络通信类型，即使该计算机感染了SQLSlammer病毒，也无法对外发出大量的UDP数据包，避免了可能导致的病毒传播和网络拥塞现象，降低了攻击后的影响。在最坏的情况下，即使入侵者已经获得了被攻击服务器的管理员账户和密码，龙渊服务器核心防护仍然能够保证该入侵者仅仅具有一个该系统上普通用户的权限，不能为所欲为，造成更大的损失和影响。这是传统的由防病毒、防火墙和入侵检测系统构成的安全防御体系所不能够实现的重要特点。 　　　　尽管SQLSlammer病毒不会通过电子邮件传播，但是电子邮件依然是病毒传播的重要途径。通过在网络中部署赤霄KILL邮件过滤网关，用户可以大大降低病毒传播的风险。用户收发的任何邮件都会经过赤霄KILL邮件过滤网关的病毒检测，并且清除病毒，发出告警信息。赤霄KILL邮件过滤网关独有的SMTP认证功能支持多种SMTP认证方式，避免了垃圾邮件的传播。eTrust Web Access Control 则通过在Web服务器上进行细粒度的Web页面和组件的保护，结合PKI体系和多种认证方式，达到Web应用的强大的入侵预防功能。 　　　　风险预防的重要一环就是风险的评估。冠群金辰公司的安全服务部门可以同时对存在的威胁（Threat）和系统存在的弱点进行评估，同时提供一种有效的弱点评估工具--承影网络漏洞扫描器。用户采用该分析工具可以自行扫描各个计算机，及时发现存在的安全漏洞，并且事先做出预防措施，如打补丁等。如果用户没有足够的时间和精力进行日常的安全漏洞跟踪工作，冠群金辰提供的专业安全服务能够帮助用户进行服务器的安全管理。 　　　　冠群金辰提供的干将/莫邪系列入侵检测系统能够在从百兆到千兆的网络中提供实时的入侵检测和病毒传播监控。事实上，早在半年前，干将/莫邪系列入侵监测系统已经能够检测到SQLSlammer病毒利用的漏洞入侵行为。这样当SQLSlammer病毒传播发生时，用户能够很快定位网络和系统故障原因，减少故障时间，降低损失。在一个大的网络中，利用干将/莫邪系列入侵检测系统提供的监控功能，管理员可以迅速定位被感染的服务器，控制传染源。 　　　　采用上述的风险预防技术，有机地配合冠群金辰公司提供的其它安全产品如轩辕防火墙、KILL网络防病毒系统以及纯均VPN系统，用户可以从技术上显著降低安全风险，达到风险有效管理的目的。当然，一个好的风险预防体系不仅仅是产品和技术能够完全实现的，更重要的是一个合理的管理体系的建立。冠群金辰公司作为一个专业的安全服务提供商，具有丰富的安全服务经验。从安全策略的建立评估到业务持续性计划和灾难恢复计划的制定，再到风险评估服务和紧急响应，冠群金辰都能够为客户提供系统、专业、标准、全面的服务，让客户面对层出不穷的安全威胁化被动为主动，摆脱不安全困境。