2008年1月刊 总第69期
 

 

neteye.neusoft.com


  neteye.neusoft.com

  查阅过往期刊

  订 阅

  退 订

 
本期目录

[刊 首 语]

祝福

[NetEye技术]

大块头的细心计——记NTARS系统灵巧多样的辅助功能

[NetEye安全]

2008年1月安全漏洞汇编

[NetEye动态]

东软-诺基亚 高端千兆防火墙荣获计算机世界实验室权威推荐产品奖
东软NetEye安全服务 以技术赢得用户
东软公司出席2008信息安全产业分会常务理事会议
东软公司出席中国互联网协会年度工作会议

 


祝福

             文:路娜 

沈阳软件园的寒松又长高了,
大连软件园的城堡又竣工了,
成都软件园的翠柳又发芽了,
南海软件园的鲜花又绽放了。

就这样我们东软安全月刊又走过了四季,
一路上因为有了读者的陪伴,我们少了
许多寂寞,多了些许温暖。

莺啼燕语报新年,
在新春佳节之际,
让我们一起等待那欢乐的喜庆之夜,
让我们一起期盼那古老的除夕钟声,
让我们一起怀揣感恩的心共同祝福那些
帮助过我们的人们。

祝福大家在新的一年里,身体健康,
万事如意!

 
  << 返回 
 
  NetEye 技术
 
大块头的细心计——记NTARS系统灵巧多样的辅助功能

文:姚伟栋 

  作为面向骨干网络海量带宽流量分析与响应而设计的NTARS系统,能够通过单一系统提供对运营级网络省级区域的整体检测服务,实时甄别、发现网络中DoS/DDoS攻击、P2P通信、Worm、Spam等网络滥用事件的发生,并进而驱动响应系统进行阻断防御。由此可见,NTARS系统实现了其他常规安全设备难以企及的工作幅面,是安全运维产品阵营中的巨量级设备。

  但是,即便坐拥如此显赫的高端地位并担负如此之重的工作强度,NTARS系统并未因此居功自傲而放弃对客户需求的持续跟进。相反,NTARS系统充分契合客户运维工作中的实际需要,在提供业内领先的流量分析与响应主导功能之外,还另辟蹊径,通过内置的辅助工具包为大幅面的流量检测提供细致、便捷的技术支撑服务,从而提高运维人员自上而下、由粗至细的流程效率和分析效果。

  这些独具特色的辅助功能包括:

  • 链路帧捕捉及解码:NTARS系统可对链路帧进行逐字节的解码诠释,为管理员提供深入分析特定流量内部特征的途径,便于深度挖掘目标流量的细微之处;
  • IP地址全球物理定位:在NTARS发出异常流量报警之后,管理员可通过此功能对相关源IP、目的IP进行全球范围内的物理定位,从而完成IP地址空间与地理位置的直接映射;
  • IP地址归属快速查询:NTARS系统还可对特定IP地址直接给出其所有者名称及必要的联络方式,便于管理员与异常流量的来源、去向区域网络负责人进行快捷的通告、协调;
  • 主机端口服务探测:对于异常流量报警所指向的特定IP,或者管理员特别关注的敏感IP资源,NTARS系统能够对此提供方便的端口进程探测,给出该主机上所开放的主要应用服务,使管理员能够及时了解该IP主机的大致用途;
  • 主机漏洞扫描评估:而且,更进一步的是,对于关键的IP节点,NTARS系统还可对其进行远程扫描评估,不仅可使管理员了解该节点的安全漏洞弥留情况,还可帮助管理员分析相关异常事件的成因分析及后果评判;
  • 设备系统状态监控:NTARS系统还提供了自身系统资源占用的监控功能,管理员可通过该界面快速掌握NTARS系统在当前网络环境中的性能匹配情况,并对系统扩容、改造提供必要的参考数据。

  以上功能,并未对NTARS稳健的体系架构造成明显的改动,也未对系统整体运行性能构成可察觉的降低,但是,这些功能却能够给管理员的日常运维工作带来极大的便利性。管理员在通过NTARS系统面向数百G骨干流量进行全局监控、处理的同时,依然可通过一站式服务获得在报文、主机级别上的快速分析能力,可对全局流量分析作业提供大有裨益的参考辅助作用,有效避免管理员在多种技术、多种界面之间频繁切换的额外负担。这,也正是NTARS系统从用户实际需求出发而提供实用、便捷服务所表现出来的缜密考虑。

  << 返回 
 
  NetEye 安全
 
2008年1月安全漏洞汇编

发布日期:2008年1月 东软NetEye攻防小组 整理

摘要

2008年1月9日,微软发布1月份安全公告,包括2个漏洞公告,描述并修复了3个安全问题,其中3个属于“紧急”风险级别,攻击者利用这些漏洞可能远程入侵并完全控制服务器或者客户端系统。

同时攻防小组对其他的一些高危漏洞公告进行了汇编。建议用户检查自己的系统是否受这些漏洞的影响,并安装补丁予以解决。

紧急 (4)

公告标识符

Microsoft 安全公告 MS08-001 - 严重

公告标题

Windows TCP/IP 中的漏洞可能允许远程执行代码 (941644)

摘要

Windows 内核 TCP/IP/IGMPv3 和 MLDv2 漏洞 - CVE-2007-0069

由于 Windows 内核处理存储 IGMPv3 和 MLDv2 查询状态的 TCP/IP 结构的方式,Windows 内核中存储一个远程执行代码漏洞。 Microsoft Windows XP、Windows Server 2003、和 Windows Vista 的受支持版本均支持 IGMPv3。除 IGMPv3 之外,Windows Vista 支持 MDLv2,它可为 IPv6 网络增加多播支持。 匿名攻击者可以通过在网络上将特制的 IGMPv3 和 MLDv2 数据包发送到计算机来利用此漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

Windows 内核 TCP/IP/ICMP 漏洞 - CVE-2007-0066

由于 Windows 内核处理零碎的路由器播发 ICMP 查询的方式,TCP/IP 中存在一个拒绝服务漏洞。 默认情况下不启用 ICMP 路由器发现协议 (RDP),利用此漏洞需要该协议。 但是,在 Windows 2003 Server 和 Windows XP 上,可以通过 DHCP 或注册表中的某个设置启用 RDP;在 Windows 2000 上,可以通过注册表中的一个设置启用 RDP。匿名攻击者可以通过在网络上将特制的 ICMP 数据包发送到计算机来利用此漏洞。 利用此漏洞的攻击者可能会导致计算机停止响应和自动重新启动。

http://www.microsoft.com/china/technet/Security/bulletin/ms08-001.mspx

严重等级 紧急
漏洞的影响 远程执行代码
受影响的软件

Microsoft Windows XP SP2
Microsoft Windows Server 2003 SP2
Microsoft Windows Server 2003 SP1
Microsoft Windows 2000SP4

通报标识符 Microsoft 安全公告 MS08-002 – 重要
通报标题

LSASS 中的漏洞可能允许本地特权提升 (943485)

摘要

LSASS 绕过漏洞 - CVE-2007-5352

由于本地过程调用 (LPC) 请求的处理不正确,Microsoft Windows 本地安全机构子系统服务 (LSASS) 中存在一个特权提升漏洞。 该漏洞能够允许攻击者使用提升的特权运行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

http://www.microsoft.com/china/technet/security/bulletin/ms08-002.mspx

严重等级

紧急

漏洞的影响 权限提升
受影响的软件 Microsoft Windows XP SP2
Microsoft Windows Server 2003 SP2
Microsoft Windows Server 2003 SP1
Microsoft Windows 2000SP4

   …详细内容请访问NetEye网站:2008年1月安全漏洞汇编

  << 返回 
 
  NetEye 动态
 
东软-诺基亚 高端千兆防火墙FW5200-IP561荣获计算机世界实验室权威推荐产品奖

文:闫洁 

  近日,国内最具有影响力的第三方测试机构“计算机世界实验室”公布了2007年度国内千兆防火墙产品横向评测结果。本次测评原则为,凡是确认参加测评后的产品不得在中途退出测试,同时测试结果进行公开。

  2007年底只有包括东软在内的四家国内网络安全企业勇于接受挑战,作为国内网络安全市场领先地位的厂商东软软件股份有限公司重点推荐了东软、诺基亚联合高端电信级防火墙产品FW5200-IP561,该产品首次参与媒体权威公开测评,凭借各方面良好表现博得计算机世界实验室最高评价,在众多同类测评产品中,FW5200-IP561的系统架构、技术指标、管理特性和功能模块等方面表现突出,经过客观、全面、公开的测试,最终荣获计算机世界实验室2007年度权威网络安全千兆防火墙“推荐产品奖”大奖。

  在横向测评中FW5200-IP561产品具有几大突出优势。首先,在硬件平台方面,诺基亚的IP硬件平台使得产品性能、功能与稳定性愈加提升,其中两个硬盘预留位的设计为日志信息的本地存储提供了方便。并提供了高达6Gbps的吞吐量,标配加速卡的形式提供了2Gbps的VPN加速性能。FW5200-IP561的前面板设计了4个PMC接口及多种接口类型,可供用户根据实际需要做出合适的选择。其次,在软件平台方面,采用东软NetEye 防火墙 软件,最为突出的是东软的系统监控功能,除了传统模块监控外,还提供了对多播、硬件等方面的监控。东软、诺基亚 FW5200-IP561系统的高可靠性模块能够以这些信息为依据,在异常发生的初始阶段就可以进行主备切换。同时在应用层性能、抗攻击机制能力方面也有着比较同类产品的强势表现。

  东软、诺基亚联合高端电信级防火墙产品FW5200-IP561,融合了双方的优势,在同类防火墙产品性能、功能与稳定性等方面有着显著的优势。最终在严格的测试中赢得了计算机世界实验室2007年度权威推荐的“千兆防火墙”大奖。

  << 返回 

 


东软NetEye安全服务 以技术赢得用户 成为2008年北京市信息安全服务平台指定运维支持单位

文:闫洁 

  2008年1月25日,北京信息安全测评中心召开了北京市信息安全服务平台2007年度工作情况交流及进行2008年北京市信息安全服务平台运维支持单位授牌仪式。东软公司作为多年来为北京信息安全测评中心支持与服务的安全厂商出席了本次交流会议,并且获得“2008年北京市信息安全服务平台运维支持单位奖牌”。

  东软公司在近几年中对服务平台信息资料的更新中,除在持续不断的保持一定量的信息发布外,在发布信息的质量和及时性方面均有很大的提高,北京信息安全测评中心领导工作总结时对东软公司等三家企业重点表扬,为服务平台及时发布优质信息和服务奠定了良好的基础。在交流讨论环节部分,东软网络安全营销中心市场总监路娜在发言中表示,东软公司与北京信息安全测评中心早在2005年起已经开始合作,并且在近年中继续保持着合作伙伴的关系,在2008年的工作中,东软将积极参与到北京信息安全服务中,积极配合等级保护、奥运信息安全保障、安全服务测评等方面的工作。

  2008年在奥运会前的信息安全保障工作将成为北京信息安全测评中心的重点工作,东软作为制定信息安全技术支撑单位,将进一步提高信息提交量和提交速度,完善信息安全服务支持队伍。扩大合作领域,增加与北京市电子政务用户之间的技术交流,适时组织运维技术沟通活动,将东软积累11年的安全技术更好的服务与政府与企业。

  << 返回 

 


东软公司出席2008信息安全产业分会常务理事会议

文:闫洁 

  1月24日由中国信息产业商会信息安全产业分会牵头召开了2008信息安全产业分会常务理事会议,中国信息产业商会会长张琪、中国信息产业商会信息安全产业分会理事长吴世忠出席并主持了本次会议,东软软件股份有限公司作为信息安全产业分会副理事长单位应邀出席了本次会议。

  在会议中首先总结了信息安全产业分会2007年的工作情况总结,讨论加强和改进分会工作,并制定2008年信息安全产业分会工作发展方向;通报制定2008年产业政策情况;通报关于“强制采购信息安全产品的报告”情况。理事长在讲话中肯定了东软公司在2007年信息安全工作中的突出表现。东软软件股份有限公司副总裁兼网络安全产品营销中心总经理贾彦生在讨论环节中表示,东软公司作为信息安全产业分会副理事长单位将一如继往的支持信息产业分会的工作,在2008年工作中继续为信息安全领域做出应有的成绩。

  << 返回 

 


东软公司出席中国互联网协会年度工作会议

文:闫洁 

  1月22日中国互联网协会在京召开年度工作会议,东软公司作为会员单位出席了本次工作会议。中国互联网协会常务副理事长高新民回顾2007年,在政府主管部门的指导下,在会员单位的支持下,在业界同仁的共同努力下,成功举办了以“和谐网络,品质服务”的2007中国互联网大会,为政府行业监管、业界合作、营造健康稳定的网络环境、消除数字鸿沟、推动整个行业健康发展发挥了重要的作用,取得的成绩得到了业界以及社会各界的充分认可。

  东软公司作为信息安全产业界的领军人物在近几年网络安全瞬息万变的大环境中保持并不断充实着网络安全技术、不断壮大网络安全团队建设为中国的网络安全的建设做出了应有的贡献。

  << 返回 
 

十分感谢您阅读NetEye安全月刊,我们真诚的希望大家通过这个平台交流NetEye使用经验,提出您的宝贵意见,东软资深安全顾问将竭诚为您提供全面服务。欢迎您发表高论:neteye@neusoft.com

沈阳东软软件股份有限公司 网络安全事业部
客户服务热线:4006-556789