系統(tǒng)程序漏洞掃描安全評(píng)估方案

1、-PAGE . z. / / v .目錄 TOC o 1-3 h z u HYPERLINK l _Toc339489278一、工程概述 PAGEREF _Toc339489278 h 0HYPERLINK l _Toc3394892791.1 評(píng)估*圍 PAGEREF _Toc339489279 h 0HYPERLINK l _Toc3394892801.2 評(píng)估層次 PAGEREF _Toc339489280 h 0HYPERLINK l _Toc3394892811.3 評(píng)估方法 PAGEREF _Toc339489281 h 0HYPERLINK l _Toc3394892821.4

2、評(píng)估結(jié)果 PAGEREF _Toc339489282 h 0HYPERLINK l _Toc3394892831.5 風(fēng)險(xiǎn)評(píng)估手段 PAGEREF _Toc339489283 h 1HYPERLINK l _Toc3394892841.5.1 基于知識(shí)的分析方法 PAGEREF _Toc339489284 h 1HYPERLINK l _Toc3394892851.5.2 基于模型的分析方法 PAGEREF _Toc339489285 h 1HYPERLINK l _Toc3394892861.5.3 定量分析 PAGEREF _Toc339489286 h 2HYPERLINK l _Toc

3、3394892871.5.4 定性分析 PAGEREF _Toc339489287 h 3HYPERLINK l _Toc3394892881.6評(píng)估標(biāo)準(zhǔn) PAGEREF _Toc339489288 h 3HYPERLINK l _Toc339489289二、網(wǎng)拓?fù)湓u(píng)估 PAGEREF _Toc339489289 h 3HYPERLINK l _Toc3394892902.1 拓?fù)浜侠硇苑治?PAGEREF _Toc339489290 h 3HYPERLINK l _Toc3394892912.2 可擴(kuò)展性分析 PAGEREF _Toc339489291 h 3HYPERLINK l _Toc

4、339489292三、網(wǎng)絡(luò)平安管理機(jī)制評(píng)估 PAGEREF _Toc339489292 h 4HYPERLINK l _Toc3394892933.1 調(diào)研訪談及數(shù)據(jù)采集 PAGEREF _Toc339489293 h 4HYPERLINK l _Toc3394892943.2 網(wǎng)絡(luò)平安管理機(jī)制健全性檢查 PAGEREF _Toc339489294 h 5HYPERLINK l _Toc3394892953.3 網(wǎng)絡(luò)平安管理機(jī)制合理性檢查 PAGEREF _Toc339489295 h 5HYPERLINK l _Toc3394892963.4 網(wǎng)絡(luò)管理協(xié)議分析 PAGEREF _Toc339

5、489296 h 6HYPERLINK l _Toc339489297四、脆弱性嚴(yán)重程度評(píng)估 PAGEREF _Toc339489297 h 6HYPERLINK l _Toc3394892984.1 平安漏洞掃描 PAGEREF _Toc339489298 h 6HYPERLINK l _Toc3394892994.2 人工平安檢查 PAGEREF _Toc339489299 h 8HYPERLINK l _Toc3394893004.3 平安策略評(píng)估 PAGEREF _Toc339489300 h 9HYPERLINK l _Toc3394893014.4 脆弱性識(shí)別 PAGEREF _T

6、oc339489301 h 10HYPERLINK l _Toc339489302五、網(wǎng)絡(luò)威脅響應(yīng)機(jī)制評(píng)估 PAGEREF _Toc339489302 h 10HYPERLINK l _Toc3394893035.1遠(yuǎn)程滲透測(cè)試 PAGEREF _Toc339489303 h 11HYPERLINK l _Toc339489304六、網(wǎng)絡(luò)平安配置均衡性風(fēng)險(xiǎn)評(píng)估 PAGEREF _Toc339489304 h 12HYPERLINK l _Toc3394893056.1 設(shè)備配置收集 PAGEREF _Toc339489305 h 12HYPERLINK l _Toc3394893066.2 檢

7、查各項(xiàng)HA配置 PAGEREF _Toc339489306 h 14HYPERLINK l _Toc3394893076.3 設(shè)備日志分析 PAGEREF _Toc339489307 h 15HYPERLINK l _Toc339489308七、風(fēng)險(xiǎn)級(jí)別認(rèn)定 PAGEREF _Toc339489308 h 16HYPERLINK l _Toc339489309八、工程實(shí)施規(guī)劃 PAGEREF _Toc339489309 h 16HYPERLINK l _Toc339489310九、工程階段 PAGEREF _Toc339489310 h 17HYPERLINK l _Toc339489311十

8、、交付的文檔及報(bào)告 PAGEREF _Toc339489311 h 18HYPERLINK l _Toc33948931210.1 中間評(píng)估文檔 PAGEREF _Toc339489312 h 19HYPERLINK l _Toc33948931310.2 最終報(bào)告 PAGEREF _Toc339489313 h 19HYPERLINK l _Toc339489314十一、平安評(píng)估具體實(shí)施內(nèi)容 PAGEREF _Toc339489314 h 20HYPERLINK l _Toc33948931511.1 網(wǎng)絡(luò)架構(gòu)平安狀況評(píng)估 PAGEREF _Toc339489315 h 20HYPERLIN

9、K l _Toc33948931611.1.1 內(nèi)容描述 PAGEREF _Toc339489316 h 20HYPERLINK l _Toc33948931711.1.2 過程任務(wù) PAGEREF _Toc339489317 h 21HYPERLINK l _Toc33948931811.1.3 輸入指導(dǎo) PAGEREF _Toc339489318 h 21HYPERLINK l _Toc33948931911.1.4 輸出成果 PAGEREF _Toc339489319 h 21HYPERLINK l _Toc33948932012.2 系統(tǒng)平安狀態(tài)評(píng)估 PAGEREF _Toc33948

10、9320 h 21HYPERLINK l _Toc33948932111.2.1 內(nèi)容描述 PAGEREF _Toc339489321 h 21HYPERLINK l _Toc33948932211.2.2 過程任務(wù) PAGEREF _Toc339489322 h 24HYPERLINK l _Toc33948932311.2.3 輸入指導(dǎo) PAGEREF _Toc339489323 h 26HYPERLINK l _Toc33948932411.2.4 輸出成果 PAGEREF _Toc339489324 h 26HYPERLINK l _Toc33948932511.3 策略文件平安評(píng)估

11、PAGEREF _Toc339489325 h 26HYPERLINK l _Toc33948932611.3.1 內(nèi)容描述 PAGEREF _Toc339489326 h 26HYPERLINK l _Toc33948932711.3.2 過程任務(wù) PAGEREF _Toc339489327 h 27HYPERLINK l _Toc33948932812.3.3 輸入指導(dǎo) PAGEREF _Toc339489328 h 28HYPERLINK l _Toc33948932912.3.4 輸出成果 PAGEREF _Toc339489329 h 28HYPERLINK l _Toc339489

12、33011.4 最終評(píng)估結(jié)果 PAGEREF _Toc339489330 h 28一、工程概述1.1 評(píng)估*圍針對(duì)網(wǎng)絡(luò)、應(yīng)用、效勞器系統(tǒng)進(jìn)展全面的風(fēng)險(xiǎn)評(píng)估。1.2 評(píng)估層次評(píng)估層次包括網(wǎng)絡(luò)系統(tǒng)、主機(jī)系統(tǒng)、終端系統(tǒng)相關(guān)的平安措施，網(wǎng)絡(luò)業(yè)務(wù)路由分配平安，管理策略與制度。其中網(wǎng)絡(luò)系統(tǒng)包含路由器、交換機(jī)、防火墻、接入效勞器、網(wǎng)絡(luò)出口設(shè)備及相關(guān)網(wǎng)絡(luò)配置信息和技術(shù)文件；主機(jī)系統(tǒng)包括各類UNI*、Windows等應(yīng)用效勞器；終端系統(tǒng)設(shè)備。1.3 評(píng)估方法平安評(píng)估工作內(nèi)容：管理體系審核；平安策略評(píng)估；參謀訪談；平安掃描；人工檢查；遠(yuǎn)程滲透測(cè)試；遵循性分析；1.4 評(píng)估結(jié)果通過對(duì)管理制度、網(wǎng)絡(luò)與通訊、主機(jī)和桌面

13、系統(tǒng)、業(yè)務(wù)系統(tǒng)等方面的全面平安評(píng)估，形成平安評(píng)估報(bào)告，其中應(yīng)包含評(píng)估*圍*息系統(tǒng)環(huán)境的平安現(xiàn)狀、存在平安問題、潛在威脅和改良措施。協(xié)助對(duì)列出的平安問題進(jìn)展改良或調(diào)整，提供指導(dǎo)性的建立方案：平安現(xiàn)狀分析報(bào)告平安解決方案1.5 風(fēng)險(xiǎn)評(píng)估手段在風(fēng)險(xiǎn)評(píng)估過程中，可以采用多種操作方法，包括基于知識(shí)Knowledge-based的分析方法、基于模型Model-based的分析方法、定性Qualitative分析和定量Quantitative分析，無論何種方法，共同的目標(biāo)都是找出組織信息資產(chǎn)面臨的風(fēng)險(xiǎn)及其影響，以及目前平安水平與組織平安需求之間的差距。1.5.1 基于知識(shí)的分析方法在基線風(fēng)險(xiǎn)評(píng)估時(shí)，組織可以

14、采用基于知識(shí)的分析方法來找出目前的平安狀況和基線平安標(biāo)準(zhǔn)之間的差距?；谥R(shí)的分析方法又稱作經(jīng)歷方法，它牽涉到對(duì)來自類似組織包括規(guī)模、商務(wù)目標(biāo)和市場(chǎng)等的最正確慣例的重用，適合一般性的信息平安社團(tuán)。采用基于知識(shí)的分析方法，組織不需要付出很多精力、時(shí)間和資源，只要通過多種途徑采集相關(guān)信息，識(shí)別組織的風(fēng)險(xiǎn)所在和當(dāng)前的平安措施，與特定的標(biāo)準(zhǔn)或最正確慣例進(jìn)展比擬，從中找出不符合的地方，并按照標(biāo)準(zhǔn)或最正確慣例的推薦選擇平安措施，最終到達(dá)消減和控制風(fēng)險(xiǎn)的目的。基于知識(shí)的分析方法，最重要的還在于評(píng)估信息的采集，信息源包括：會(huì)議討論；對(duì)當(dāng)前的信息平安策略和相關(guān)文檔進(jìn)展復(fù)查；制作問卷，進(jìn)展調(diào)查；對(duì)相關(guān)人員進(jìn)展訪談

15、；進(jìn)展實(shí)地考察；為了簡(jiǎn)化評(píng)估工作，組織可以采用一些輔助性的自動(dòng)化工具，這些工具可以幫助組織擬訂符合特定標(biāo)準(zhǔn)要求的問卷，然后對(duì)解答結(jié)果進(jìn)展綜合分析，在與特定標(biāo)準(zhǔn)比擬之后給出最終的推薦報(bào)告。1.5.2 基于模型的分析方法2001 年1 月，由希臘、德國(guó)、英國(guó)、挪威等國(guó)的多家商業(yè)公司和研究機(jī)構(gòu)共同組織開發(fā)了一個(gè)名為CORAS 的工程，即Platform for Risk Analysis of Security Critical Systems。該工程的目的是開發(fā)一個(gè)基于面向?qū)ο蠼Ｌ貏e是UML 技術(shù)的風(fēng)險(xiǎn)評(píng)估框架，它的評(píng)估對(duì)象是對(duì)平安要求很高的一般性的系統(tǒng)，特別是IT 系統(tǒng)的平安。CORAS 考慮

16、到技術(shù)、人員以及所有與組織平安相關(guān)的方面，通過CORAS 風(fēng)險(xiǎn)評(píng)估，組織可以定義、獲取并維護(hù)IT 系統(tǒng)的*性、完整性、可用性、抗抵賴性、可追溯性、真實(shí)性和可靠性。與傳統(tǒng)的定性和定量分析類似，CORAS 風(fēng)險(xiǎn)評(píng)估沿用了識(shí)別風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)、評(píng)價(jià)并處理風(fēng)險(xiǎn)這樣的過程，但其度量風(fēng)險(xiǎn)的方法則完全不同，所有的分析過程都是基于面向?qū)ο蟮哪Ｐ蛠磉M(jìn)展的。CORAS 的優(yōu)點(diǎn)在于：提高了對(duì)平安相關(guān)特性描述的準(zhǔn)確性，改善了分析結(jié)果的質(zhì)量；圖形化的建模機(jī)制便于溝通，減少了理解上的偏差；加強(qiáng)了不同評(píng)估方法互操作的效率；等等。1.5.3 定量分析進(jìn)展詳細(xì)風(fēng)險(xiǎn)分析時(shí)，除了可以使用基于知識(shí)的評(píng)估方法外，最傳統(tǒng)的還是定量和定性分

17、析的方法。定量分析方法的思想很明確：對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失的水平賦予數(shù)值或貨幣金額，當(dāng)度量風(fēng)險(xiǎn)的所有要素資產(chǎn)價(jià)值、威脅頻率、弱點(diǎn)利用程度、平安措施的效率和本錢等都被賦值，風(fēng)險(xiǎn)評(píng)估的整個(gè)過程和結(jié)果就都可以被量化了。簡(jiǎn)單說，定量分析就是試圖從數(shù)字上對(duì)平安風(fēng)險(xiǎn)進(jìn)展分析評(píng)估的一種方法。定量風(fēng)險(xiǎn)分析中有幾個(gè)重要的概念：暴露因子E*posure Factor，EF 特定威脅對(duì)特定資產(chǎn)造成損失的百分比，或者說損失的程度。單一損失期望Single Loss E*pectancy，SLE 或者稱作SOCSingle OccuranceCosts，即特定威脅可能造成的潛在損失總量。年度發(fā)生率Annuali

18、zed Rate of Occurrence，ARO 即威脅在一年內(nèi)估計(jì)會(huì)發(fā)生的頻率。年度損失期望Annualized Loss E*pectancy，ALE 或者稱作EACEstimatedAnnual Cost，表示特定資產(chǎn)在一年內(nèi)遭受損失的預(yù)期值?？疾於糠治龅倪^程，從中就能看到這幾個(gè)概念之間的關(guān)系：1 首先，識(shí)別資產(chǎn)并為資產(chǎn)賦值；2 通過威脅和弱點(diǎn)評(píng)估，評(píng)價(jià)特定威脅作用于特定資產(chǎn)所造成的影響，即EF取值在0100%之間；3 計(jì)算特定威脅發(fā)生的頻率，即ARO；4 計(jì)算資產(chǎn)的SLE：SLE = Asset Value EF5 計(jì)算資產(chǎn)的ALE：ALE = SLE ARO1.5.4 定性分析

19、定性分析方法是目前采用最為廣泛的一種方法，它帶有很強(qiáng)的主觀性，往往需要憑借分析者的經(jīng)歷和直覺，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險(xiǎn)管理諸要素資產(chǎn)價(jià)值，威脅的可能性，弱點(diǎn)被利用的容易度，現(xiàn)有控制措施的效力等的大小或上下程度定性分級(jí)，例如高、中、低三級(jí)。定性分析的操作方法可以多種多樣，包括小組討論例如Delphi 方法、檢查列表Checklist、問卷Questionnaire、人員訪談Interview、調(diào)查Survey等。定性分析操作起來相對(duì)容易，但也可能因?yàn)椴僮髡呓?jīng)歷和直覺的偏差而使分析結(jié)果失準(zhǔn)。與定量分析相比擬，定性分析的準(zhǔn)確性稍好但準(zhǔn)確性不夠，定量分析則相反；定性分析沒有定量分析那樣繁多的計(jì)算負(fù)

20、擔(dān)，但卻要求分析者具備一定的經(jīng)歷和能力；定量分析依賴大量的統(tǒng)計(jì)數(shù)據(jù)，而定性分析沒有這方面的要求；定性分析較為主觀，定量分析基于客觀；此外，定量分析的結(jié)果很直觀，容易理解，而定性分析的結(jié)果則很難有統(tǒng)一的解釋。組織可以根據(jù)具體的情況來選擇定性或定量的分析方法。1.6評(píng)估標(biāo)準(zhǔn)1、計(jì)算機(jī)網(wǎng)絡(luò)平安管理2、ISO15408 信息平安技術(shù)評(píng)估通用準(zhǔn)則3、GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分準(zhǔn)則4、相關(guān)各方達(dá)成的協(xié)議二、網(wǎng)拓?fù)湓u(píng)估2.1 拓?fù)浜侠硇苑治瞿壳熬W(wǎng)絡(luò)都根本采取傳統(tǒng)的三層架構(gòu)，核心、會(huì)聚與接入，其他設(shè)備都圍繞著這三層進(jìn)展擴(kuò)展，各設(shè)備之間的線路根本采用千兆光纖接入方式，實(shí)現(xiàn)高速數(shù)據(jù)

21、傳輸，降低延時(shí)，減少干擾，設(shè)備間存在冗余，從而保證各數(shù)據(jù)間傳輸?shù)目煽啃裕鳂I(yè)務(wù)之間的穩(wěn)定性。2.2 可擴(kuò)展性分析核心設(shè)備、會(huì)聚設(shè)備是否都存在局部空模板、空接口，可以滿足未來幾年內(nèi)的擴(kuò)展核心設(shè)備的背板帶寬在頂峰期間業(yè)務(wù)流量能正常通過，從中可看出目前核心設(shè)備的帶寬完全能承載當(dāng)前的流量；背板帶寬越大，各端口所分配到的可用帶寬越大，性能越高，處理能力越快。三、網(wǎng)絡(luò)平安管理機(jī)制評(píng)估3.1 調(diào)研訪談及數(shù)據(jù)采集1、整網(wǎng)對(duì)于核心層設(shè)備、會(huì)聚層設(shè)備以及接入樓層設(shè)備，進(jìn)展遠(yuǎn)程登錄方式、本地登錄模式、特權(quán)模式的用戶名與密碼配置，密碼都是以數(shù)字、大小寫字母和字符一體化，防止非法用戶的暴力破解，即便通過其它方式獲取到配

22、置清單，也無法知道這臺(tái)設(shè)備的密碼，密碼都是以密文的形式顯示在配置清單里，這樣，無論是合法用戶還是惡意用戶，只要沒有設(shè)備的用戶名和密碼都不能登錄到該設(shè)備，自然也無法對(duì)設(shè)備的內(nèi)容等相關(guān)配置信息進(jìn)展修改，相當(dāng)于給設(shè)備安裝了一層保護(hù)墻，從而保護(hù)了設(shè)備的最根本的平安性。2、整個(gè)網(wǎng)絡(luò)采用一種統(tǒng)一的平安制度對(duì)網(wǎng)絡(luò)設(shè)備、效勞器集進(jìn)展有效的檢查，管理，實(shí)時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中是否存在的一些問題，如果發(fā)現(xiàn)問題的存在，都會(huì)采取制定的流程及時(shí)給予解決，使得網(wǎng)絡(luò)設(shè)備能一直正常運(yùn)行，可用性得到提高，業(yè)務(wù)流量保持穩(wěn)定性狀態(tài)，以下是平安制度管理的局部選項(xiàng)。1定期掃描漏洞：定期對(duì)整網(wǎng)效勞器進(jìn)展掃描，檢查是否有漏洞的存在，數(shù)據(jù)的來源，事件

23、的分析，主機(jī)效勞信息，是否存在高危險(xiǎn)性事件，主機(jī)流量分析等，以確保網(wǎng)絡(luò)的平安性。2檢查版本升級(jí)：定期對(duì)整網(wǎng)效勞器進(jìn)展檢查，各主機(jī)的系統(tǒng)版本是否最新，各主機(jī)的軟件，特別是殺毒軟件、防火墻、輔助軟件有沒及時(shí)的更新，特征庫(kù)當(dāng)前是否為最新。3策略：定期對(duì)整網(wǎng)效勞器的密碼進(jìn)展檢查，查看是否開啟密碼策略、*鎖定策略、本地審核策略，并作了相應(yīng)的設(shè)置。4關(guān)閉用戶：定期對(duì)整網(wǎng)效勞器進(jìn)展周密的檢查，是否對(duì)GUEST用戶、長(zhǎng)期未登錄用戶進(jìn)展關(guān)閉。5關(guān)閉效勞：定期對(duì)整網(wǎng)效勞器進(jìn)展松緊，是否對(duì)一些特殊的效勞，如Remote register、不需要遠(yuǎn)程登陸的主機(jī)Terminal services進(jìn)展關(guān)閉。3.2 網(wǎng)絡(luò)平

24、安管理機(jī)制健全性檢查1、以目前的網(wǎng)絡(luò)設(shè)備完全能承載整網(wǎng)的業(yè)務(wù)流量，可以說目前的設(shè)備性能較強(qiáng)，未來，隨著網(wǎng)絡(luò)規(guī)模越來越大，業(yè)務(wù)流量越來越集中，對(duì)設(shè)備性能的要求也更加嚴(yán)格，但以目前的設(shè)備的處理能力，足以勝任未來幾年內(nèi)的擴(kuò)展，并且具有一定的平安性；2、整網(wǎng)有統(tǒng)一的管理員，對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)展相關(guān)的管理，每個(gè)管理員所管轄的*圍不同；每個(gè)管理員負(fù)責(zé)每一局部，效勞器有應(yīng)用、數(shù)據(jù)庫(kù)、測(cè)試、視頻等 3、機(jī)房有門禁系統(tǒng)，機(jī)房有它制定的管理方式，進(jìn)機(jī)房首先得找具有申請(qǐng)進(jìn)機(jī)房資格的工作人員，接著，機(jī)房中心工作人員對(duì)這條申請(qǐng)的信息進(jìn)展審核，審核通過后，需要拿*去機(jī)房門口進(jìn)展登記，這樣，才能進(jìn)入機(jī)房查看設(shè)備、或?qū)υO(shè)備進(jìn)展相關(guān)

25、的操作，這是進(jìn)機(jī)房的根本流程。4、機(jī)房里有特定的系統(tǒng)專門對(duì)當(dāng)前設(shè)備的溫度進(jìn)展測(cè)量，不管是白天還是晚上，每天24小時(shí)都會(huì)有保安和相關(guān)的工作人員對(duì)機(jī)房設(shè)備進(jìn)展定期檢查，如發(fā)生問題會(huì)及時(shí)通知相關(guān)的負(fù)責(zé)人，負(fù)責(zé)人收到消息后會(huì)及時(shí)對(duì)問題進(jìn)展查看、分析、解決，最終保證整網(wǎng)上業(yè)務(wù)能正常運(yùn)行。5、采用Host Monitor系統(tǒng)自動(dòng)對(duì)所有設(shè)備、效勞器以及主機(jī)進(jìn)展檢測(cè)，以PING的方式進(jìn)展測(cè)試它的連通性，如果發(fā)現(xiàn)*臺(tái)設(shè)備PING測(cè)試不通，它會(huì)及時(shí)產(chǎn)生報(bào)警，通過主機(jī)把相關(guān)設(shè)備的信息映射到大屏幕液晶顯示器上，以列表的模式顯示，相關(guān)人員收到報(bào)警信息后，一般會(huì)采取三個(gè)步驟來解決：1通過打給效勞廳，看看是否出現(xiàn)斷電的情況

26、；2通知代維工作人員，檢查是否為線路問題。3如果都不是以上的問題，根本可以把問題鎖在網(wǎng)絡(luò)設(shè)備的本身或者配置上的問題，通知相關(guān)人員去檢查。3.3 網(wǎng)絡(luò)平安管理機(jī)制合理性檢查機(jī)房的整體架構(gòu)，各個(gè)核心層設(shè)備、會(huì)聚層設(shè)備以及其他設(shè)備所擺放的物理位置，從消防、防潮、防雷、排氣等平安措施都布置到位，布線整齊、合理、具有相當(dāng)?shù)膶I(yè)水平，網(wǎng)線以不同的顏色來區(qū)分所在設(shè)備的重要性，比方在交換機(jī)與交換機(jī)的級(jí)連一般用藍(lán)色來表示，交換機(jī)的端口與PC網(wǎng)卡相連接時(shí)用灰色，交換機(jī)與其他設(shè)備相連除了有時(shí)用光纖外，一般用黃色來或綠色來表示，而且，對(duì)每個(gè)機(jī)架機(jī)架、設(shè)備以及連接的網(wǎng)線都打上標(biāo)簽，當(dāng)*時(shí)候網(wǎng)絡(luò)物理出現(xiàn)問題時(shí)，比方線松了

27、，或是線掉了，線插反了等等，因?yàn)橹皩?duì)相關(guān)的設(shè)備、網(wǎng)線都貼上標(biāo)簽，這樣可以很方便的查找到故障點(diǎn)，并進(jìn)展定位，容易排除故障；每一排機(jī)架集按大寫英語字母來標(biāo)記所在的行號(hào)，每一排機(jī)架集包括10來個(gè)機(jī)架，分別用所在的行號(hào)+數(shù)字來標(biāo)記，比方我所要找的機(jī)架在第二行第5個(gè)位置，標(biāo)記為B5，直接找到B5就可以了；室內(nèi)溫度調(diào)整適當(dāng)，當(dāng)設(shè)備溫度過大時(shí)，會(huì)自動(dòng)出現(xiàn)告警； 3.4 網(wǎng)絡(luò)管理協(xié)議分析1、統(tǒng)一對(duì)整個(gè)網(wǎng)絡(luò)所有設(shè)備進(jìn)展監(jiān)控、收集信息以及管理，其他的網(wǎng)絡(luò)設(shè)備作為代理者，通過自定的Trap類型向管理者發(fā)送最新的信息狀況，以保持整網(wǎng)設(shè)備能正常運(yùn)行。2、經(jīng)過對(duì)SNMP配置進(jìn)展分析，了解到目前SNMP在整網(wǎng)中的作用，以

28、及SNMP在各種重要設(shè)備里都進(jìn)展過哪些配置，在SNMP配置的共同體里，只限制*臺(tái)主機(jī)對(duì)該設(shè)備進(jìn)展讀取MIB數(shù)據(jù)庫(kù)的信息，除此之外，其他的網(wǎng)段是否都可以對(duì)該設(shè)備的MIB進(jìn)展讀取與修改MIB里的信息，如果可以這樣將造成根本上在所有的網(wǎng)段里，每個(gè)網(wǎng)段的所有主機(jī)都可以對(duì)設(shè)備的MIB信息進(jìn)展訪問，甚至對(duì)該信息進(jìn)展修改。四、脆弱性嚴(yán)重程度評(píng)估脆弱性評(píng)估，從技術(shù)脆弱性、管理脆弱性去評(píng)估途徑實(shí)施：1人員訪談2現(xiàn)有文件調(diào)閱3現(xiàn)場(chǎng)檢查4平安漏洞掃描5人工平安檢查4.1 平安漏洞掃描在網(wǎng)絡(luò)平安體系的建立中，平安掃描工具花費(fèi)代、效果好、見效快，與網(wǎng)絡(luò)的運(yùn)行相對(duì)獨(dú)立，安裝運(yùn)行簡(jiǎn)單，要以大規(guī)模減少平安管理的手工勞動(dòng)，有利

29、于保持全網(wǎng)平安政策的統(tǒng)一和穩(wěn)定，是進(jìn)展風(fēng)險(xiǎn)分析的有力工具。在工程中，平安掃描主要是通過評(píng)估工具以本地掃描的方式對(duì)評(píng)估*圍內(nèi)的系統(tǒng)和網(wǎng)絡(luò)進(jìn)展平安掃描，從內(nèi)網(wǎng)和外網(wǎng)兩個(gè)角度來查找網(wǎng)絡(luò)構(gòu)造、網(wǎng)絡(luò)設(shè)備、效勞器主機(jī)、數(shù)據(jù)和用戶*/口令等平安對(duì)像目標(biāo)存在的平安風(fēng)險(xiǎn)、漏洞和威脅。平安掃描工程包括如下內(nèi)容:信息探測(cè)類網(wǎng)絡(luò)設(shè)備與防火墻RPC效勞Web效勞CGI問題文件效勞域名效勞Mail效勞Windows遠(yuǎn)程訪問數(shù)據(jù)庫(kù)問題后門程序其他效勞網(wǎng)絡(luò)拒絕效勞DOS其它問題從網(wǎng)絡(luò)層次的角度來看，掃描工程涉及了如下三個(gè)層面的平安問題。一系統(tǒng)層平安該層的平安問題來自網(wǎng)絡(luò)運(yùn)行的操作系統(tǒng)：UNI*系列、Linu*系列、Windo

30、ws系列以及專用操作系統(tǒng)等。平安性問題表現(xiàn)在兩方面：一是操作系統(tǒng)本身的不平安因素，主要包括身份認(rèn)證、訪問控制、系統(tǒng)漏洞等；二是操作系統(tǒng)的平安配置存在問題。身份認(rèn)證：通過Telnet進(jìn)展口令猜想等。訪問控制：注冊(cè)表普通用戶可寫，遠(yuǎn)程主機(jī)允許匿名FTP登錄，F(xiàn)TP效勞器存在匿名可寫目錄等。系統(tǒng)漏洞：Windows緩沖出溢出漏洞。平安配置問題：局部SMB用戶存在弱口令，管理員*不需要密碼等。二網(wǎng)絡(luò)層平安該層的平安問題主要指網(wǎng)絡(luò)信息的平安性，包括網(wǎng)絡(luò)層身份認(rèn)證、網(wǎng)絡(luò)資源的訪問控制、數(shù)據(jù)傳輸?shù)?與完整性、遠(yuǎn)程接入、路由系統(tǒng)的平安、入侵檢查的手段等。 網(wǎng)絡(luò)資源的訪問控制：檢測(cè)到無線訪問點(diǎn)。域名系統(tǒng)：ISC

31、 BIND SIG資源記錄無效過期時(shí)間拒絕效勞攻擊漏洞，Windows DNS拒絕效勞攻擊。路由器：cisco IOS Web配置接口平安認(rèn)證可繞過，路由器交換機(jī)采用默認(rèn)密碼或弱密碼等。三應(yīng)用層平安該層的平安考慮網(wǎng)絡(luò)對(duì)用戶提供效勞器所采用的應(yīng)用軟件和數(shù)據(jù)的平安性，包括：數(shù)據(jù)庫(kù)軟件、WEB效勞、電子、域名系統(tǒng)、應(yīng)用系統(tǒng)、業(yè)務(wù)應(yīng)用軟件以及其它網(wǎng)絡(luò)效勞系統(tǒng)等。數(shù)據(jù)庫(kù)軟件：Oracle Tnslsnr沒有配置口令，MSSQL 2000 sa*沒有設(shè)置密碼。WEB效勞：SQL注入攻擊、跨站腳本攻擊、基于WEB的DOS攻擊。電子系統(tǒng)：Sendmail頭處理遠(yuǎn)程溢出漏洞，Microsoft Windows

32、2000 SMTP效勞認(rèn)證錯(cuò)誤漏洞。為了確保掃描的可靠性和平安性，首先制定掃描方案。方案主要包括掃描開場(chǎng)時(shí)間、掃描對(duì)象、預(yù)計(jì)完畢時(shí)間、掃描工程、預(yù)期影響、需要對(duì)方提供的支持等等。在實(shí)際開場(chǎng)評(píng)估掃描時(shí)，評(píng)估方會(huì)正式通知工程組成員。奧怡軒按照預(yù)定方案，在規(guī)定時(shí)間內(nèi)進(jìn)展并完成評(píng)估工作。如遇到特殊情況如設(shè)備問題、停電、網(wǎng)絡(luò)中斷等不可預(yù)知的狀況不能按時(shí)完成掃描方案或致使掃描無法正常進(jìn)展時(shí)，由雙方召開臨時(shí)協(xié)調(diào)會(huì)協(xié)商予以解決。4.2 人工平安檢查平安掃描是使用風(fēng)險(xiǎn)評(píng)估工具對(duì)絕大多數(shù)評(píng)估*圍內(nèi)主機(jī)、網(wǎng)絡(luò)設(shè)備等系統(tǒng)環(huán)境進(jìn)展的漏洞掃描。但是，評(píng)估*圍內(nèi)的網(wǎng)絡(luò)設(shè)備平安策略的弱點(diǎn)和局部主機(jī)的平安配置錯(cuò)誤等并不能被掃描

33、器全面發(fā)現(xiàn)，因此有必要對(duì)評(píng)估工具掃描*圍之外的系統(tǒng)和設(shè)備進(jìn)展手工檢查。路由器的平安檢查主要考慮以下幾個(gè)方面：*口令網(wǎng)絡(luò)與效勞訪問控制策略日志審核策略空閑端口控制交換機(jī)的平安檢查主要考慮以下幾個(gè)方面：*口令網(wǎng)絡(luò)與效勞VLAN的劃分主機(jī)的平安檢查主要考慮以下幾個(gè)方面：補(bǔ)丁安裝情況、口令策略網(wǎng)絡(luò)與效勞檢查文件系統(tǒng)檢查日志審核檢查平安性檢查平安掃描此階段通過技術(shù)手段評(píng)估系統(tǒng)中的漏洞。對(duì)撐握整個(gè)被評(píng)估系統(tǒng)的平安狀態(tài)提供重要數(shù)據(jù)。被掃描的系統(tǒng)有：Windows系統(tǒng)Linu*系統(tǒng)Uni*客服熱線系統(tǒng)在平安掃描階段使用的主要工具有：Internet ScannerNESSUSAcuneti* Web Vuln

34、erability Scanner掃描過程中可能會(huì)導(dǎo)致*些效勞中斷，雙方應(yīng)該事先做好協(xié)調(diào)工作，并做好應(yīng)急處理方案，在發(fā)現(xiàn)問題后及時(shí)上報(bào)，并及時(shí)恢復(fù)系統(tǒng)的運(yùn)行。4.3 平安策略評(píng)估平安策略是對(duì)整個(gè)網(wǎng)絡(luò)在平安控制、平安管理、平安使用等方面最全面、最詳細(xì)的策略性描述，它是整個(gè)網(wǎng)絡(luò)平安的依據(jù)。不同的網(wǎng)絡(luò)需要不同的策略，它必須能答復(fù)整個(gè)網(wǎng)絡(luò)中與平安相關(guān)的所有問題，例如，如何在網(wǎng)絡(luò)層實(shí)現(xiàn)平安性、如何控制遠(yuǎn)程用戶訪問的平安性、在廣域網(wǎng)上的數(shù)據(jù)傳輸如何實(shí)現(xiàn)平安加密傳輸和用戶的認(rèn)證等。對(duì)這些問題幫出詳細(xì)答復(fù)，并確定相應(yīng)的防護(hù)手段和實(shí)施方法，就是針對(duì)整個(gè)網(wǎng)絡(luò)的一份完整的平安策略。策略一旦制度，應(yīng)做為整個(gè)網(wǎng)絡(luò)行為的

35、準(zhǔn)則。這一步工作，就是從整體網(wǎng)絡(luò)平安的角度對(duì)現(xiàn)有的網(wǎng)絡(luò)平安策略進(jìn)展全局的評(píng)估，它也包含了技術(shù)和管理方面的內(nèi)容，具體包括：1平安策略是否全面覆蓋了整體網(wǎng)絡(luò)在各方面的平安性描述；2在平安策略中描述的所有平安控制、管理和使用措施是否正確和有效；3平安策略中的每一項(xiàng)內(nèi)容是否都得到確認(rèn)和具體落實(shí)。4.4 脆弱性識(shí)別類型識(shí)別對(duì)象識(shí)別內(nèi)容技術(shù)脆弱性物理環(huán)境從機(jī)房場(chǎng)地、防火、供配電、防靜電、接地與防雷、電磁防護(hù)、通信線路的保護(hù)、區(qū)域防護(hù)、設(shè)備管理等方面進(jìn)展識(shí)別網(wǎng)絡(luò)構(gòu)造從網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備平安配置等方面進(jìn)展識(shí)別系統(tǒng)軟件從補(bǔ)丁安裝、物理保護(hù)、用戶*、口令策略、資源

36、共享、事件審計(jì)、訪問控制、新系統(tǒng)配置、注冊(cè)表加固、網(wǎng)絡(luò)平安、系統(tǒng)管理等方面進(jìn)展識(shí)別應(yīng)用中間件從協(xié)議平安、交易完整性、數(shù)據(jù)完整性等方面進(jìn)展識(shí)別應(yīng)用系統(tǒng)從審計(jì)機(jī)制、審計(jì)存儲(chǔ)、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)展識(shí)別管理脆弱性技術(shù)管理從物理和環(huán)境平安、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性等方面進(jìn)展識(shí)別組織管理從平安策略、組織平安、資產(chǎn)分類與控制、人員平安、符合性等方面進(jìn)展識(shí)別脆弱性賦值賦值標(biāo)識(shí)定義5很高如果被威脅利用，將對(duì)資產(chǎn)造成完全損害4高如果被威脅利用，將對(duì)資產(chǎn)造成重大損害3中等如果被威脅利用，將對(duì)資產(chǎn)造成一般損害2低如果被威脅利用，將對(duì)資產(chǎn)造成較小損害1很低如果被威脅

37、利用，將對(duì)資產(chǎn)造成的損害可以忽略五、網(wǎng)絡(luò)威脅響應(yīng)機(jī)制評(píng)估防火墻稱得上是平安防護(hù)的防線，防火墻對(duì)于企業(yè)網(wǎng)絡(luò)的平安，已經(jīng)無法實(shí)施100%的控制，對(duì)于合法內(nèi)容中混入的可疑流量、DoS攻擊、蠕蟲病毒、間諜軟件等威脅，幾乎沒有有效的還擊措施，入侵檢測(cè)與防御系統(tǒng)進(jìn)展檢測(cè)網(wǎng)絡(luò)攻擊，與防火墻進(jìn)展聯(lián)動(dòng)。利用現(xiàn)有的入侵檢測(cè)防御系統(tǒng)對(duì)網(wǎng)絡(luò)攻擊進(jìn)展測(cè)試，來檢驗(yàn)針對(duì)網(wǎng)絡(luò)威脅的能力。5.1遠(yuǎn)程滲透測(cè)試滲透測(cè)試是指在獲取用戶授權(quán)后，通過真實(shí)模擬黑客使用的工具、分析方法來進(jìn)展實(shí)際的漏洞發(fā)現(xiàn)和利用的平安測(cè)試方法。這種測(cè)試方法可以非常有效地發(fā)現(xiàn)最嚴(yán)重的平安漏洞，尤其是與全面的代碼審計(jì)相比，其使用的時(shí)間更短，也更有效率。在測(cè)試過程

38、中，用戶可以選擇滲透測(cè)試的強(qiáng)度，例如不允許測(cè)試人員對(duì)*些效勞器或者應(yīng)用進(jìn)展測(cè)試或影響其正常運(yùn)行。通過對(duì)*些重點(diǎn)效勞器進(jìn)展準(zhǔn)確、全面的測(cè)試，可以發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)，以便對(duì)危害性嚴(yán)重的漏洞及時(shí)修補(bǔ)，以免后患。奧怡軒評(píng)估小組人員進(jìn)展?jié)B透測(cè)試都是在業(yè)務(wù)應(yīng)用空閑的時(shí)候，或者在搭建的系統(tǒng)測(cè)試環(huán)境下進(jìn)展。另外，評(píng)估方采用的測(cè)試工具和攻擊手段都在可控*圍內(nèi)，并同時(shí)充分準(zhǔn)備完善的系統(tǒng)恢復(fù)方案。網(wǎng)絡(luò)攻擊利用工具或技術(shù)通過網(wǎng)絡(luò)對(duì)信息系統(tǒng)進(jìn)展攻擊和入侵網(wǎng)絡(luò)探測(cè)和信息采集、漏洞探測(cè)、嗅探、用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞，系統(tǒng)運(yùn)行的控制和破壞等物理攻擊通過物理的接觸造成對(duì)軟件、硬件和數(shù)據(jù)的破壞等物理接觸

39、、物力破壞、盜竊等泄密信息泄露給不應(yīng)該了解的他人內(nèi)部信息泄露、外部信息泄露等篡改非法修改信息，破壞信息的完整性使系統(tǒng)的平安性降低或信息不可用篡改網(wǎng)絡(luò)、系統(tǒng)、平安配置信息，篡改用戶身份信息和業(yè)務(wù)數(shù)據(jù)信息等抵賴不成認(rèn)收到的信息和所作的操作、交易原發(fā)抵賴、承受抵賴、第三方抵賴等威脅賦值賦值標(biāo)識(shí)定義5很高出現(xiàn)的頻率很高或不少于1次/周，或在大多數(shù)情況下幾乎不可防止，或可以證實(shí)經(jīng)常發(fā)生過4高出現(xiàn)的頻率較高或不少于1次/月，或在大多數(shù)情況下很有可能會(huì)發(fā)生，或可以證實(shí)屢次發(fā)生過3中等出現(xiàn)的頻率中等或大于1次/半年，或在*種情況下可能會(huì)發(fā)生，或被證實(shí)曾經(jīng)發(fā)生過2低出現(xiàn)的頻率較小，或一般不太可能發(fā)生，或沒有被證

40、實(shí)發(fā)生過1很低威脅幾乎不可能發(fā)生，或僅可能在非常罕見或例外的情況下發(fā)生六、網(wǎng)絡(luò)平安配置均衡性風(fēng)險(xiǎn)評(píng)估6.1 設(shè)備配置收集1、核心層交換機(jī)目前的網(wǎng)絡(luò)狀態(tài)正常，在配置上也針對(duì)*些平安方面的問題進(jìn)展布置，具體情況都做了詳細(xì)的說明，以下是核心層交換機(jī)配置上的一些平安防護(hù)措施：1核心交換機(jī)進(jìn)入特權(quán)模式需要密碼，對(duì)它進(jìn)展了密文的設(shè)置。2對(duì)核心交換機(jī)的虛擬線路進(jìn)展密碼的設(shè)置，遠(yuǎn)程登錄需要輸入密碼。3使用UDLD對(duì)*些端口進(jìn)展鏈路的檢測(cè)，以減少丟包的概率。4在核心交換機(jī)上全局下關(guān)閉禁用Http Server，防止非法入侵5全局下開啟Bpdu-Guard，因?yàn)楹诵慕粨Q機(jī)在全局下開啟Portfast特性.2、核心

41、層交換機(jī)的穩(wěn)定性直接關(guān)系到整個(gè)網(wǎng)絡(luò)數(shù)據(jù)流量能否正常通過，核心層交換機(jī)的平安性問題自然會(huì)影響到能否一直保持穩(wěn)定的狀態(tài)，起到至關(guān)的作用，保護(hù)好核心交換機(jī)的平安問題很大原因其實(shí)是在保護(hù)核心交換機(jī)的穩(wěn)定性，做好平安防護(hù)工作，保護(hù)好核心交換機(jī)的穩(wěn)定性成為我們規(guī)則的焦點(diǎn)，下面是對(duì)本核心層交換機(jī)的平安防護(hù)問題進(jìn)展完善，從而提高核心層交換機(jī)的平安性。3、使用SSH來作為遠(yuǎn)程的登錄，使用TELNET進(jìn)展遠(yuǎn)程登錄， Telnet會(huì)話中輸入的每個(gè)字符都將會(huì)被明文發(fā)送，這將被像Sniffer這樣的抓包軟件獲取它的用戶名、密碼等敏感信息。因此，使用平安性更高的SSH加密無疑比使用Telnet更加平安。4、在虛擬線路中對(duì)

42、遠(yuǎn)程登錄的最*接數(shù)進(jìn)展限制，默認(rèn)，一般情況下網(wǎng)絡(luò)設(shè)備會(huì)開放5-15個(gè)虛擬的連接線路，不過，不同廠商，不同型號(hào)，所開放的虛擬線路連接數(shù)也都不一樣，可以通過登錄到此設(shè)備，可以用遠(yuǎn)程登陸或本地登陸，在該設(shè)備上對(duì)配置進(jìn)展查看，再根據(jù)實(shí)際情況進(jìn)展修改；一般情況下，很多人都沒有對(duì)遠(yuǎn)程登陸*圍進(jìn)展限制，這樣使得每個(gè)人都有時(shí)機(jī)去TELNET，這多少給了惡意用戶提供攻擊的時(shí)機(jī)，比方可以使用SYN Flood攻擊；它偽造一個(gè)SYN報(bào)文，偽造一個(gè)源地址或者不存在的地址，通過向效勞器發(fā)起連接，效勞器在收到報(bào)文后用SYN-ACK應(yīng)答，而此應(yīng)答發(fā)出去后，效勞器就等待源發(fā)個(gè)ACK確實(shí)認(rèn)包過來后以完成三次握手，建立起連接，但

43、是，攻擊者使用的源是一個(gè)不存在或是偽造的地址，效勞器將永遠(yuǎn)不會(huì)收到攻擊者發(fā)送過來的ACK報(bào)文，這樣將造成一個(gè)半連接。如果攻擊者發(fā)送大量這樣的報(bào)文，會(huì)在被攻擊主機(jī)上出現(xiàn)大量的半連接，消耗所有的資源，使得正常的用戶無法對(duì)其訪問。直到半連接超時(shí)，才會(huì)慢慢釋放所有的資源，簡(jiǎn)單一點(diǎn)的說，SYN Flood利用TCP的三次握手來讓效勞器保持N個(gè)半個(gè)連接數(shù)，以消耗掉效勞器系統(tǒng)的內(nèi)存等資源；對(duì)遠(yuǎn)程登錄的*圍用訪問列表進(jìn)展控制，起到一定的平安性。5、為了防*交換機(jī)上一些惡意攻擊行為，禁用所有未用的端口，以免因?yàn)橐恍o知行為或誤操作，導(dǎo)致一切都無法預(yù)料的后果；比方將交換機(jī)兩個(gè)端口用網(wǎng)線直接連接，這樣將導(dǎo)致整個(gè)交換

44、機(jī)的配置數(shù)據(jù)被去除，交換機(jī)的配置一瞬間全清空，這樣將導(dǎo)致業(yè)務(wù)中斷，如果之前有對(duì)交換機(jī)的相關(guān)配置信息進(jìn)展備份，還可以在短時(shí)間內(nèi)復(fù)原，要是沒有，只能使得網(wǎng)絡(luò)中斷的時(shí)間加長(zhǎng)，而且，關(guān)閉端口也能在一定程度上防*惡意用戶連接此端口并協(xié)商中繼模式，當(dāng)惡意用戶連接端口，冒充成另外一臺(tái)交換機(jī)發(fā)送虛假的DTP協(xié)商消息，真實(shí)的交換機(jī)收到這個(gè)DTP消息后，比擬下參數(shù)，一旦協(xié)商成中斷模式后，惡意用戶通過探測(cè)信息流，當(dāng)有流量經(jīng)過時(shí)，所有通過此交換機(jī)上所有VLAN信息都會(huì)被發(fā)送到惡意用戶的電腦里。6、為提高平安，最好把暫時(shí)不需要用到的效勞都關(guān)閉掉，因?yàn)樗鼈兌己苡锌赡艹蔀槠桨猜┒?，惡意用戶利用這些平安漏洞進(jìn)整個(gè)網(wǎng)絡(luò)實(shí)行攻擊

45、等非法行為，以到達(dá)一定的目的；核心交換機(jī)的配置中已經(jīng)對(duì)Http Server這個(gè)效勞進(jìn)展禁用，下面是一些經(jīng)常被攻擊者利用的效勞，以對(duì)其進(jìn)展攻擊。建議把下面的效勞也都一一禁用掉：禁用IP源路由no ip source route禁用小的UDP效勞no service udp-small-s禁用小的TCP效勞no service tcp-small-s7、核心交換機(jī)的作用至關(guān)重要，因?yàn)樗绊懙秸麄€(gè)網(wǎng)絡(luò)的正常運(yùn)行，這里有兩種情況：第一種情況當(dāng)一臺(tái)新的交換機(jī)接入到這個(gè)網(wǎng)絡(luò)，因?qū)W(wǎng)絡(luò)拓?fù)洳皇煜ぃ渲缅e(cuò)誤，使得新交換機(jī)成為根網(wǎng)橋，新交換通過宣告VLAN信息讓整個(gè)域的其他交換機(jī)都能學(xué)習(xí)到，這將使得整網(wǎng)流量全

46、導(dǎo)向新交換機(jī)。第二種情況：交換機(jī)默認(rèn)都是SERVER模式，在這里以域中只有一臺(tái)SERVER模式，新交換機(jī)模式為CLIENT，當(dāng)新的交換機(jī)參加網(wǎng)絡(luò)中，因?yàn)樗男抻啺姹咎?hào)比擬高，這里的修訂版本號(hào)用來標(biāo)識(shí)交換機(jī)的更新信息，修改版本號(hào)越高，它的VLAN信息流越新，與交換機(jī)的模式無關(guān)，修訂版本號(hào)可以通過增加/刪除/修改VLAN信息等等來增加它的數(shù)值，交換機(jī)之間通過發(fā)送BPDU，比擬它們的參數(shù)，包括修訂版本號(hào)，通過比擬得出修訂版本號(hào)高的交換機(jī)，作為整個(gè)域中VLAN信息的標(biāo)配，當(dāng)新交換機(jī)的修訂版本號(hào)高于處在根網(wǎng)橋的交換機(jī)時(shí)，它不會(huì)去學(xué)習(xí)根網(wǎng)橋宣告過來的VLAN信息，當(dāng)SERVER通過BPDU包的交換后得知新

47、交換機(jī)的修訂版本號(hào)比擬高，它通過BPDU包學(xué)習(xí)到新交換機(jī)的VLAN信息，并在整個(gè)域中把此VLAN信息進(jìn)展宣告出去，整網(wǎng)中所有交換機(jī)的原來VLAN信息全被刪除，都學(xué)習(xí)到SERVER交換機(jī)發(fā)送過來的最新VLAN信息流。這兩種方式都直接導(dǎo)致網(wǎng)絡(luò)流量的導(dǎo)向，使得網(wǎng)絡(luò)中交換機(jī)所學(xué)到的VLAN信息不全，網(wǎng)絡(luò)資源的浪費(fèi)，網(wǎng)絡(luò)局部業(yè)務(wù)的中斷，甚至網(wǎng)絡(luò)的環(huán)路，為了防*以上的問題，需要布置根防護(hù)，當(dāng)根網(wǎng)橋在啟用根防護(hù)的端口上接收到其他交換機(jī)發(fā)送過來的BPDU，不管修訂版本號(hào)是多高，根網(wǎng)橋不對(duì)此包作處理，直接端將口進(jìn)入不一致的STP狀態(tài) ，并且交換機(jī)不會(huì)從這個(gè)端口轉(zhuǎn)發(fā)流量；這種方法能夠有效地穩(wěn)固根網(wǎng)橋的位置，還能夠

48、有效的防止第2層環(huán)路，它能將接口強(qiáng)制為指定端口，進(jìn)而能夠防止周圍的交換機(jī)成為根交換機(jī)。當(dāng)新交換機(jī)接入網(wǎng)絡(luò)時(shí)，先將交換機(jī)的模式設(shè)置為透明模式，再把它改為客戶模式，從而保證不會(huì)出現(xiàn)以上所說的情況。6.2 檢查各項(xiàng)HA配置1、核心層交換機(jī)上開啟了HSRP協(xié)議，在會(huì)聚層華為設(shè)備上配置了VRRP協(xié)議，因?yàn)镠SRP是思科私有，所以華為只能使用業(yè)界的VRRP，在兩臺(tái)核心交換機(jī)上，對(duì)VLAN的SVI口進(jìn)展配置；HSRP是一種熱備份路由網(wǎng)關(guān)協(xié)議，具有很高的可靠性，它通過雙方預(yù)先設(shè)定好的虛擬IP地址，發(fā)送HELLO數(shù)據(jù)包，經(jīng)過一系列的狀態(tài)比擬，最終協(xié)商出誰是Active誰是Standby，HSRP相當(dāng)于是臺(tái)虛擬的

49、路由器，有自己的虛擬IP地址及MAC地址，終端用戶將這虛擬的IP地址作為網(wǎng)關(guān);默認(rèn)情況下，只有Active路由器在工作，Standby路由器一直處在空閑狀態(tài)之中，雙方每3S會(huì)發(fā)送HELLO去偵測(cè)對(duì)方以確定對(duì)方是否存在，當(dāng)10S過后，還沒收到對(duì)方發(fā)送過來的HELLO包，Standby會(huì)認(rèn)為對(duì)方設(shè)備出現(xiàn)故障或者對(duì)方已經(jīng)不存在，這時(shí)它會(huì)把自己的狀態(tài)從standby變?yōu)閍ctive,這對(duì)于終端的用戶是透明的，保證終端用戶數(shù)據(jù)能得到可靠的傳輸，當(dāng)一臺(tái)設(shè)備鏈路出現(xiàn)問題，HSRP只需要經(jīng)過一個(gè)鄰居狀態(tài)standby-active,能快速的切換到另一臺(tái)設(shè)備，用戶的可用性得到保障；HSRP還可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)展負(fù)

50、載分擔(dān)。VRRP是業(yè)界定義的一種類似于HSRP的網(wǎng)關(guān)冗余協(xié)議，功能與作用根本與HSRP一樣，區(qū)別在于VRRP可以使用物理的IP地址作為虛擬IP地址，VRRP的狀態(tài)機(jī)相比起HSRP減少很多等。2、通過對(duì)核心交換機(jī)HSRP協(xié)議的配置進(jìn)展分析，HSRP全都是在VLAN的SVI接口里進(jìn)展配置，在主核心交換機(jī)中設(shè)定一個(gè)共同的虛擬IP地址，并對(duì)它的優(yōu)先級(jí)進(jìn)展設(shè)定，開啟HSRP的搶占性；在另一臺(tái)核心交換機(jī)也是同樣的配置，只是優(yōu)先級(jí)不同，這樣，當(dāng)它們發(fā)送HEELO包選舉行，先比擬優(yōu)先級(jí)，優(yōu)先級(jí)一樣再比擬IP地址，IP地址較高的為Active，當(dāng)Active設(shè)備出現(xiàn)故障時(shí)，Standby會(huì)馬上切換過來變?yōu)锳ct

51、ive,，原來的核心交換機(jī)恢復(fù)正常時(shí)，會(huì)自動(dòng)把Active的主動(dòng)權(quán)搶占過來；如果核心交換機(jī)的外口出現(xiàn)故障，因?yàn)闆]有對(duì)外邊的接口進(jìn)展跟蹤的配置，這樣會(huì)造成黑洞的產(chǎn)生，數(shù)據(jù)包的喪失；在兩臺(tái)核心交換機(jī)中并沒有起到流量的負(fù)載分擔(dān)，正常情況下，一臺(tái)路由器處在忙碌狀態(tài)，另一臺(tái)路由器一直處在空閑狀態(tài)中，等待著監(jiān)測(cè)著Active路由器的工作狀態(tài)，在會(huì)聚層兩臺(tái)華為設(shè)備的交換機(jī)中，配置VRRP，并沒有配置搶占性，對(duì)外口進(jìn)展追蹤，但發(fā)現(xiàn)故障時(shí)，優(yōu)先級(jí)會(huì)自動(dòng)減少30，因?yàn)闆]有配置搶占性，備份設(shè)備不會(huì)進(jìn)展搶占，使得主設(shè)備對(duì)外追蹤沒有多大的意義，反而又多了丟包率。3、在配置HSRP協(xié)議的兩臺(tái)交換機(jī)上，終端PC通過兩臺(tái)交換

52、機(jī)去訪問內(nèi)部的資源時(shí)，終端PC的網(wǎng)關(guān)指向兩臺(tái)交換機(jī)協(xié)商設(shè)置的虛擬IP地址，在同一時(shí)間，兩臺(tái)交換機(jī)，只有一臺(tái)交換機(jī)處在Active狀態(tài)，另一臺(tái)交換機(jī)一直處在Idle狀態(tài)，當(dāng)數(shù)據(jù)包穿越交換機(jī)去訪問網(wǎng)絡(luò)資源，把交換機(jī)與終端PC相連的接口線拔掉，處于Active的交換機(jī)突然因?yàn)榻涌谒蓜?dòng)而導(dǎo)致中斷，處在Idle狀態(tài)的交換機(jī)快速切換成Active，繼續(xù)讓鏈路保持不中斷的狀態(tài)，對(duì)于終端用戶，完全感覺不到剛剛鏈路已經(jīng)中斷，訪問網(wǎng)絡(luò)的資源沒有任何的影響；再把剛剛拔掉的接口再插回去，因?yàn)镠SRP配置了搶占性，主設(shè)備通過發(fā)送HELLO比擬，立馬Active的主動(dòng)權(quán)搶占回來。6.3 設(shè)備日志分析通過對(duì)防火墻的日志導(dǎo)出

53、，對(duì)日志進(jìn)展檢查，目前防火墻每天產(chǎn)生的日志信息條數(shù)過多，仔細(xì)分析日志的其中一局部，防火墻日志記錄了穿越它的流量信息，幾乎所有的流量都是屬于正常日志信息，正常日志信息占滿了整個(gè)防火墻的日志欄，日志記錄的信息包括本設(shè)備的型號(hào)、IP地址、日期時(shí)間；日志開場(chǎng)的日期與時(shí)間，持續(xù)的時(shí)間段，源IP地址、源端口、目標(biāo)IP地址、目標(biāo)端口、*lated以及發(fā)送與接收的數(shù)據(jù)包狀態(tài)等。正常的日志信息意味著網(wǎng)絡(luò)運(yùn)行的狀態(tài)正常，沒有存在一些惡意的攻擊，下面是防火墻的一些日志信息，都屬于正常的日志：七、風(fēng)險(xiǎn)級(jí)別認(rèn)定網(wǎng)絡(luò)平安管理是一項(xiàng)系統(tǒng)工程，要從根本上去躲避平安風(fēng)險(xiǎn)，則必須對(duì)整個(gè)網(wǎng)絡(luò)平安體系進(jìn)展系統(tǒng)化的分析，從管理和技術(shù)兩

54、大方面入手，雙管齊下，必須變被動(dòng)為主動(dòng)，提早發(fā)現(xiàn)問題，解決問題，盡可能杜絕平安管理上的漏洞。通過將現(xiàn)有制度按體系分層歸類，找出現(xiàn)有制度及運(yùn)作的存在問題，和國(guó)際標(biāo)準(zhǔn)ISO17799進(jìn)展比照，提出修補(bǔ)意見。根據(jù)現(xiàn)有的制度，建立平安管理指導(dǎo)的框架，方便各中心根據(jù)自身實(shí)際形成必要的平安指導(dǎo)制度。技術(shù)性的系統(tǒng)平安掃描報(bào)告技術(shù)性的系統(tǒng)平安加固方案關(guān)鍵系統(tǒng)基線檢查報(bào)告遠(yuǎn)程滲透測(cè)試報(bào)告ISO27001差距分析網(wǎng)絡(luò)平安機(jī)制評(píng)估報(bào)告八、工程實(shí)施規(guī)劃表1 工程實(shí)施規(guī)劃序號(hào)工作名稱詳細(xì)1工程準(zhǔn)備工程啟動(dòng)會(huì)平安評(píng)估前的培訓(xùn)2平安評(píng)估使用掃描工具進(jìn)展平安掃描遠(yuǎn)程滲透測(cè)試對(duì)系統(tǒng)進(jìn)展基線檢查對(duì)系統(tǒng)相關(guān)人員進(jìn)展訪談對(duì)管理制度進(jìn)

55、展審查3企業(yè)平安現(xiàn)狀分析技術(shù)上的工具掃描結(jié)果、遠(yuǎn)程滲透測(cè)試、基線檢查結(jié)果分析管理層面的漏洞分析差距分析，與ISO27001做比擬4平安加固在技術(shù)層面上使用技術(shù)手段對(duì)系統(tǒng)進(jìn)展平安加固在管理層面上制定合理的管理制度5評(píng)估完畢后的培訓(xùn)針對(duì)當(dāng)前企業(yè)存在的平安問題做一次有針對(duì)性的培訓(xùn)6工程后期的宣傳工作通過FLASH、海報(bào)等方式加強(qiáng)平安方面的宣傳教育工作。九、工程階段第一階段：前期準(zhǔn)備階段工程方案需求調(diào)研確定工程目標(biāo)和詳細(xì)*圍完成詳細(xì)方案設(shè)計(jì)工程前期溝通與培訓(xùn)第二階段：評(píng)估實(shí)施技術(shù)評(píng)估策略文檔及規(guī)*審查第三階段：評(píng)估報(bào)告和解決方案數(shù)據(jù)整理和綜合分析平安現(xiàn)狀報(bào)告平安解決方案第四階段：支持和維護(hù)系統(tǒng)加固平安

56、培訓(xùn)定期回復(fù)抽樣遠(yuǎn)程二次評(píng)估實(shí)施平安評(píng)估的整個(gè)過程如下列圖所示十、交付的文檔及報(bào)告在實(shí)施階段，會(huì)產(chǎn)生各種報(bào)告工具掃描人工評(píng)估策略評(píng)估平安審計(jì)網(wǎng)絡(luò)架構(gòu)系統(tǒng)評(píng)估網(wǎng)絡(luò)掃描報(bào)告人工評(píng)估報(bào)告策略文檔評(píng)估報(bào)告平安審計(jì)報(bào)告網(wǎng)絡(luò)架構(gòu)報(bào)告系統(tǒng)評(píng)估報(bào)告歸納，整理、分析平安評(píng)估報(bào)告解決方案建議需求分析10.1 中間評(píng)估文檔網(wǎng)絡(luò)架構(gòu)整體平安分析評(píng)估報(bào)告系統(tǒng)漏洞掃描報(bào)告包括效勞器、網(wǎng)絡(luò)設(shè)備、PC機(jī)、平安設(shè)備等技術(shù)性弱點(diǎn)綜合評(píng)估報(bào)告平安策略文檔體系評(píng)估報(bào)告10.2 最終報(bào)告平安評(píng)估整體結(jié)果報(bào)告；平安整體解決方案建議；系統(tǒng)平安加固建議方案。十一、平安評(píng)估具體實(shí)施內(nèi)容11.1 網(wǎng)絡(luò)架構(gòu)平安狀況評(píng)估11.1.1 內(nèi)容描述網(wǎng)絡(luò)架

57、構(gòu)平安評(píng)估主要涉及到以下幾個(gè)方面的內(nèi)容：網(wǎng)絡(luò)拓?fù)浜蛥f(xié)議：拓?fù)錁?gòu)造合理性分析、可擴(kuò)展性分析；對(duì)周邊接入的全面了解，平安域劃分的級(jí)別，信任網(wǎng)絡(luò)或者不信任網(wǎng)絡(luò)之間是否有控制，控制本身帶來的平安程度以及是否有可以繞過控制的途徑；所采用的路由協(xié)議，是否存在配置漏洞，冗余路由配置情況，路由協(xié)議的信任關(guān)系；對(duì)網(wǎng)絡(luò)管理相關(guān)協(xié)議的分析整理；對(duì)業(yè)務(wù)應(yīng)用相關(guān)協(xié)議的分析整理；各網(wǎng)絡(luò)節(jié)點(diǎn)包括接入節(jié)點(diǎn)的平安保障措施。網(wǎng)絡(luò)平安管理機(jī)制：網(wǎng)絡(luò)的平安策略是否存在，以及是否和業(yè)務(wù)系統(tǒng)相互吻合，有無合理的平安制度作為保障；網(wǎng)絡(luò)體系架構(gòu)是如何進(jìn)展管理的，是否有良好的機(jī)制和制度保障網(wǎng)絡(luò)架構(gòu)本身不被改變，沒有非法的不符合平安策略的架構(gòu)改

58、變；網(wǎng)絡(luò)設(shè)備BUG的檢查處理機(jī)制，即系統(tǒng)管理人員接收到或者發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備存在BUG的時(shí)候，是否有一個(gè)流程可以處理；網(wǎng)絡(luò)平安事件緊急響應(yīng)措施；網(wǎng)絡(luò)防黑常用配置的資料整理、分類和準(zhǔn)備；網(wǎng)絡(luò)故障的分析手段的資料整理、分類和準(zhǔn)備；針對(duì)網(wǎng)絡(luò)架構(gòu)、協(xié)議和流量的平安審計(jì)制度和實(shí)施情況調(diào)查。網(wǎng)絡(luò)認(rèn)證與授權(quán)機(jī)制：網(wǎng)絡(luò)效勞本身提供的密碼和身份認(rèn)證手段，系統(tǒng)是否還要其它密碼和身份認(rèn)證體系；在相關(guān)的網(wǎng)絡(luò)隔離點(diǎn)，是否有恰當(dāng)?shù)脑L問控制規(guī)則設(shè)立，是否被有效的執(zhí)行；是否有集中的網(wǎng)絡(luò)設(shè)備認(rèn)證管理機(jī)制，是否被正確的配置和執(zhí)行；網(wǎng)絡(luò)加密與完整性保護(hù)機(jī)制：數(shù)據(jù)加密傳輸；完整性校驗(yàn)的實(shí)現(xiàn)。網(wǎng)絡(luò)對(duì)抗與響應(yīng)機(jī)制：是否有漏洞的定期評(píng)估機(jī)制和入

59、侵檢測(cè)和記錄系統(tǒng)的機(jī)制；網(wǎng)絡(luò)建立中是否良好的考慮了網(wǎng)絡(luò)的高可用性和可靠性問題，是否被正確使用和良好的配置，是否有機(jī)制保障不被修改。網(wǎng)絡(luò)平安配置均衡性分析：平安機(jī)制本身配置是否不合理或者存在脆弱性。11.1.2 過程任務(wù)提交網(wǎng)絡(luò)拓?fù)鋱D，并對(duì)網(wǎng)絡(luò)流量、平安機(jī)制進(jìn)展說明；對(duì)相關(guān)人員進(jìn)展訪談，問題涉及網(wǎng)絡(luò)架構(gòu)與協(xié)議、網(wǎng)絡(luò)平安管理規(guī)定、網(wǎng)絡(luò)平安機(jī)制的使用等；現(xiàn)場(chǎng)參觀和調(diào)查；編寫網(wǎng)絡(luò)架構(gòu)平安評(píng)估報(bào)告。11.1.3 輸入指導(dǎo)目標(biāo)系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D必要的網(wǎng)絡(luò)運(yùn)營(yíng)記錄信息11.1.4 輸出成果網(wǎng)絡(luò)架構(gòu)整體平安分析評(píng)估報(bào)告12.2 系統(tǒng)平安狀態(tài)評(píng)估11.2.1 內(nèi)容描述技術(shù)評(píng)估旨在開掘目標(biāo)系統(tǒng)現(xiàn)有的技術(shù)性漏洞，評(píng)估方

60、法主要有三種：自動(dòng)化漏洞掃描、滲透測(cè)試、本地平安審查。使用專用的掃描工具進(jìn)展漏洞掃描，可掃描的系統(tǒng)和漏洞類別如下：Windows 9*/NT/2000掃描后門BackOrifice, CDK 等掃描Remote Control 程序NetBus 等掃描在 NetBIOS 效勞上的各種漏洞通過獲取用戶目錄的登錄入侵掃描共享文件夾漏洞, 共享權(quán)限等掃描 Remote Registry AutoLogon 等掃描SNMP 漏洞 (munity Name, 讀/寫)掃描FTP 漏洞 (Anonymous, guest)掃描UNI* Orient 效勞 (* Window, TFTP 等)掃描 Echo