深层防御保障国税安全

SQL病毒猖獗

就在全国国税系统积极进行网络安全建设时，一种新的SQL 蠕虫病毒似乎为了对我们的系统进行考验，侵入了我们国税系统的网络。该SQL蠕虫病毒名为SQLSlammer。

此蠕虫病毒是一个新的Internet蠕虫，此病毒利用了微软MS SQL2000的缓冲区溢出漏洞，主要攻击各种版本的Windows操作系统中运行的SQL Server 2000 Server和Microsoft Desktop Engine 2000。SQL的UDP的1434端口主要用于客户端查询可用的连接方式，但由于程序上的漏洞，当客户端发送超长数据包时，将导致缓冲区溢出，恶意黑客便利用此漏洞在远程机器上执行自己准备好的恶意代码，将病毒放逐到Internet上。感染病毒的机器将不断向外发送这种UDP数据报造成网络堵塞。

SQL病毒的克星

作为全面的网络安全整体解决方案与服务供应商，冠群金辰针对国税部门网络特点推出的网络安全解决方案成为了帮助广东国税部门克制SQL病毒的有效手段。在该方案中，冠群金辰的干将/莫邪入侵检测软件(eID)扮演着举足轻重的作用，它具备完全捕捉SQL蠕虫病毒的特点，能迅速查到病毒源，并采取果断措施将其隔离，通知已感染蠕虫的相关系统管理员对该服务器进行处理，从而在最短的时间内阻止了蠕虫的传播和对网络的影响。冠群金辰的干将/莫邪入侵检测软件(eID)解决方案通过自动检测在网络数据流中潜在入侵、攻击和滥用方式，提供了主动防御的网络保护功能。

方案主要功能特点

集中监视

网络管理员可以在本地或远程集中监控运行网络入侵检测软件一台或者多台工作站。通过在不同网段上安装由中央工作站控制的网络入侵检测。

远程管理

远程用户可以通过TCP/IP或调制解调器连接访问运行网络入侵检测软件工作站。一旦连接成功，用户就可以按照网络入侵检测软件管理员定义的许可内容，查看和监视网络入侵检测数据，修改规则和生成报告。

入侵日志及分析

网络入侵检测软件提供了一个综合系统来捕捉信息并进行分析。软件安装完毕并指定一个存档位置后，用户定义一个可以在档案文件中记录任务数据的原则。用户可以使用浏览器过滤、排序和查看归档信息并创建详细报表。

网络访问控制

网络入侵检测软件以规则为基础，定义哪些用户可以访问网络上的特定资源，保证只有授权用户才可以访问网络资源。

高级防病毒引擎

病毒扫描引擎可以检测和阻止包含了计算机病毒的网络数据流。它可以防止用户下载被病毒感染的文件。

全面的攻击方式库

网络入侵检测软件可以检测到网络中数据流中的攻击方式，即使在进行之中的攻击也能检测

信息包嗅探技术

网络入侵检测以秘密的方式运行，使得攻击者无法感知到。客常常在没有察觉的情况下被抓获。

URL限制

字匹配扫描

网络适用日志

成功应用

在针对SQL蠕虫的快速反应战中，该解决方案已成功应用在广东国税。期间，干将/莫邪入侵检测软件(eID)充分发挥了自身在检测网络数据流中潜在入侵，攻击和滥用方式方面的优势，通过利用网络使用日志、高级防病毒引擎对网络使用状况进行跟踪扫描，使用全面的攻击方式库对在网络中进行攻击的数据流进行检测，SQL蠕虫很快便无处遁行。从而在短时间内有效控制SQL蠕虫在国税网络系统中的蔓延。

当今的信息安全已经不能仅仅简单地靠一种产品或技术（比如杀毒软件）来保障，必须要做到风险管理、主动防御，采用一种层次化、多样性的深层安全防御体系来实现信息系统的整体安全。目前，随着国税系统的信息化建设和发展，如何保障我们国税信息系统的正常安全运行也越来越重要，特别是在目前病毒和黑客入侵越来越多的环境下，如何有效地利用技术和管理手段进行网络安全建设，最大限度的减轻甚至消除来自网络的安全威胁，将是国税系统的一项长期的任务。