企業(yè)網(wǎng)絡(luò)安全案例分析演示文稿

企業(yè)網(wǎng)絡(luò)安全案例分析演示文稿目前一頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)2企業(yè)網(wǎng)絡(luò)安全案例分析目前二頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)內(nèi)容案例介紹安全評(píng)估安全方案設(shè)計(jì)目前三頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)公司規(guī)模A公司是一家從事太陽(yáng)能，電力，石油，化工，相關(guān)銷售等項(xiàng)目等的公司。公司總部設(shè)在上海，有200名員工，并在北京擁有1家分公司，員工約100人。目前四頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)公司的組織結(jié)構(gòu)上?？偛?200人)行政部人力資源部管理部公共關(guān)系部固定資產(chǎn)部采購(gòu)部IT總部市場(chǎng)部銷售部北京分公司（100人）行政部財(cái)務(wù)部人力資源部管理部銷售市場(chǎng)部IT管理部太陽(yáng)能部質(zhì)量控制部法律事務(wù)部目前五頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)公司的發(fā)展?fàn)顩rA公司從1985年成立，90年代起收購(gòu)了多家公司，而且與政府及大型能源企業(yè)有合作。在國(guó)內(nèi)的主要大城市有分公司和代表處。公司的急速擴(kuò)張?jiān)斐闪斯綢T管理部門的巨大工作壓力，原有的IT管理構(gòu)架早已不堪重負(fù)。于是決定對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行了一次重大升級(jí)，包括增加網(wǎng)絡(luò)帶寬，更換核心設(shè)備，并將整個(gè)系統(tǒng)從WindowsNT4平臺(tái)全部遷移到了Windows2000平臺(tái)，提高整個(gè)網(wǎng)絡(luò)系統(tǒng)的可用性和可管理性。目前六頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)A公司的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)目前七頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)風(fēng)險(xiǎn)由于太多的日常維護(hù)工作而忽略了系統(tǒng)策略及安全政策的制訂及執(zhí)行不力，管理員的日常維護(hù)工作又沒有標(biāo)準(zhǔn)可循，系統(tǒng)及數(shù)據(jù)備份也是沒有考慮到災(zāi)難恢復(fù)，經(jīng)常會(huì)有一些系統(tǒng)安全問題暴露出來。目前八頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)危機(jī)該公司網(wǎng)站使用Windows2000上的IIS作為對(duì)外的WEB服務(wù)器，該網(wǎng)站W(wǎng)EB服務(wù)器負(fù)責(zé)公司的信息提供和電子商務(wù)。在外網(wǎng)上部署了硬件防火墻，只允許到服務(wù)器TCP80端口的訪問。但是在X月X日上午，一個(gè)客戶發(fā)郵件通知公司網(wǎng)站管理員，說該公司網(wǎng)站的首頁(yè)被人修改，同時(shí)被發(fā)布到國(guó)內(nèi)的某黑客論壇，介紹入侵的時(shí)間和內(nèi)容。管理員立刻查看網(wǎng)站服務(wù)器，除了網(wǎng)站首頁(yè)被更改，而且發(fā)現(xiàn)任務(wù)列表中存在未知可疑進(jìn)程，并且不能殺死。同時(shí)發(fā)現(xiàn)網(wǎng)站數(shù)據(jù)庫(kù)服務(wù)器有人正在拷貝數(shù)據(jù).管理員及時(shí)斷開數(shù)據(jù)服務(wù)器，利用備份程序及時(shí)恢復(fù)網(wǎng)站服務(wù)器內(nèi)容，但是沒有過了半小時(shí)，又出現(xiàn)類似情況，于是緊急通知系統(tǒng)管理人員，告知該情況，并向某安全公司求助。目前九頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)問題經(jīng)過初步安全檢查，發(fā)現(xiàn)以下問題：郵件服務(wù)器沒有防病毒掃描模塊；客戶端有W32/Mydoom@MM郵件病毒問題路由器密碼缺省沒有修改過，非常容易被人攻擊；網(wǎng)站服務(wù)器系統(tǒng)沒有安裝最新微軟補(bǔ)丁沒有移除不需要的功能組件；用戶訪問沒有設(shè)置復(fù)雜密碼驗(yàn)證，利用字典攻擊，非常容易猜出用戶名和密碼，同時(shí)分廠員工對(duì)于網(wǎng)站訪問只使用了簡(jiǎn)單密碼驗(yàn)證，容易被人嗅聽到密碼。數(shù)據(jù)庫(kù)系統(tǒng)SQL2000SA用戶缺省沒有設(shè)置密碼；數(shù)據(jù)庫(kù)系統(tǒng)SQL2000沒有安裝任何補(bǔ)丁程序目前十頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)用戶的目標(biāo)“我們做了盡可能多的工作，努力提我們的響應(yīng)速度，縮短解決問題的時(shí)間，但是很多情況下我們總是在問題出現(xiàn)了之后才開始解決，在這種情況下我們很難及時(shí)解決問題，每次都會(huì)有一天到兩天大部份系統(tǒng)不能使用，而且也無法對(duì)可能發(fā)生的問題做有效的估計(jì)”------IT服務(wù)中心的觀點(diǎn)。“我們?cè)诤芏喾矫娴墓ぷ鞫己艹晒?，但是就是由于這些網(wǎng)絡(luò)上令人討厭的病毒，造成了我們還是經(jīng)常收到來自個(gè)方面的投訴，顯然這不是我們想看到的。我們需要嚴(yán)密的系統(tǒng)和嚴(yán)格的策略來保證我們業(yè)務(wù)系統(tǒng)的穩(wěn)定性和可用性”------首席信息官（CIO）的觀點(diǎn)?！拔覀冃枰粋€(gè)可靠、穩(wěn)定、安全，易于管理和維護(hù)的IT解決方案，以及基于此方案的優(yōu)秀IT服務(wù)部門，用以支撐我們公司的運(yùn)營(yíng)，以及未來的發(fā)展?！?------公司總裁(CEO)的觀點(diǎn)。目前十一頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)風(fēng)險(xiǎn)評(píng)估目前十二頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)風(fēng)險(xiǎn)評(píng)估的一般過程只有經(jīng)過全面的風(fēng)險(xiǎn)評(píng)估過程，才能夠有針對(duì)性地制定安全實(shí)施放案，選擇合適的安全技術(shù)和產(chǎn)品。在風(fēng)險(xiǎn)評(píng)估過程，需要：收集一切和網(wǎng)絡(luò)安全相關(guān)的信息；使用安全評(píng)測(cè)工具進(jìn)行脆弱點(diǎn)檢查；分析收集到的信息，定義威脅級(jí)別。安全不是最終結(jié)果，而是一種過程或者一種狀態(tài)。安全評(píng)估必須按照一定的周期不斷進(jìn)行，才能保證持續(xù)的安全。目前十三頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)需要搜集的基本信息企業(yè)信息：企業(yè)名稱業(yè)務(wù)范圍地理分布員工數(shù)量組織結(jié)構(gòu)管理模式預(yù)期的增長(zhǎng)或重組網(wǎng)絡(luò)：物理拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)設(shè)備邏輯網(wǎng)絡(luò)劃分（活動(dòng)目錄結(jié)構(gòu)）局域網(wǎng)結(jié)構(gòu)廣域網(wǎng)結(jié)構(gòu)遠(yuǎn)程訪問互聯(lián)網(wǎng)接入網(wǎng)絡(luò)協(xié)議類型主要網(wǎng)絡(luò)流量防火墻和入侵檢測(cè)系統(tǒng)主機(jī)：服務(wù)器數(shù)量，名稱，用途，分布服務(wù)器操作系統(tǒng)及版本用戶身份驗(yàn)證方式工作站數(shù)量，用途和分布工作站操作系統(tǒng)及版本操作系統(tǒng)補(bǔ)丁部署防病毒部署主機(jī)防火墻計(jì)算機(jī)安全管理安全管理：企業(yè)安全策略和聲明物理安全管理員工安全培訓(xùn)安全響應(yīng)機(jī)制安全需求和滿足程度目前十四頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)使用安全評(píng)測(cè)工具安全評(píng)測(cè)工具通過內(nèi)置的已知漏洞和風(fēng)險(xiǎn)庫(kù)，對(duì)指定的系統(tǒng)進(jìn)行全面的掃描安全評(píng)測(cè)工具可以快速定位漏洞和風(fēng)險(xiǎn)例：MBSA（MicrosoftBaselineSecurityAnalyzer，基準(zhǔn)安全分析器）是微軟提供的系統(tǒng)安全分析及解決工具。MBSA可以對(duì)本機(jī)或者網(wǎng)絡(luò)上的WindowsNT/2000/XP的系統(tǒng)進(jìn)行安全性檢測(cè)，還可以檢測(cè)其它的一些微軟產(chǎn)品，諸如SQL7.0/2000、5.01以上版本的InternetExplorer、IIS4.0/5.0/5.1和Office2000/XP，并給出相應(yīng)的解決方法。目前十五頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)評(píng)價(jià)風(fēng)險(xiǎn)問題嚴(yán)重程度定義建議5嚴(yán)重安全問題嚴(yán)重的安全漏洞，如果被利用會(huì)對(duì)業(yè)務(wù)產(chǎn)生嚴(yán)重的破壞記錄，評(píng)估，立即更改4高風(fēng)險(xiǎn)安全問題嚴(yán)重的安全漏洞，如果被利用將/可能會(huì)對(duì)業(yè)務(wù)產(chǎn)生嚴(yán)重的影響記錄，評(píng)估，在15至30天內(nèi)更改3中度風(fēng)險(xiǎn)的安全問題中度風(fēng)險(xiǎn)的安全問題，可能會(huì)影響業(yè)務(wù)的進(jìn)行或紀(jì)錄，評(píng)估，在90天內(nèi)改進(jìn)2輕微風(fēng)險(xiǎn)的安全問題輕微風(fēng)險(xiǎn)的安全問題，不會(huì)對(duì)業(yè)務(wù)帶來直接的影響紀(jì)錄，評(píng)估，在120天內(nèi)改進(jìn)1安全建議不屬于安全問題，但改進(jìn)后可進(jìn)一步提高安全記錄，評(píng)估，在可行的情況下采用目前十六頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)整理結(jié)果:服務(wù)器端嚴(yán)重級(jí)別安全問題5沒有安裝sp2之后最新的Hotfix3沒有限制匿名用戶對(duì)本地安全子系統(tǒng)的訪問4沒有制定密碼策略4沒有定義賬號(hào)鎖定策略3沒有改變administrator賬號(hào)以及配置該賬號(hào)4沒有設(shè)置“允許從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)“3刪除不需要的協(xié)議，并且禁用NetBIOSoverTCP/IP4沒有將所有日志的保存方法設(shè)為“按需要改寫日志”2事件日志文件使用缺省大小3沒有針對(duì)重要文件進(jìn)行審核3“允許從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”的權(quán)限中有everyone組3沒有設(shè)置專職的信息安全管理人員3缺少有效的備份計(jì)劃和定期檢查策略4沒有法律顧問4沒有應(yīng)對(duì)緊急事件的機(jī)制4沒有系統(tǒng)容錯(cuò)機(jī)制3沒有詳細(xì)的安全管理文檔4沒有針對(duì)登錄事件進(jìn)行審核3沒有針對(duì)DNS服務(wù)器的傳輸進(jìn)行安全有效驗(yàn)證3IIS服務(wù)器安裝了太多的不需要組件，也沒有安裝相關(guān)補(bǔ)丁程序4沒有特權(quán)使用和策略更改的記錄2沒有監(jiān)視相關(guān)服務(wù)器端口的機(jī)制3防火墻沒有開啟入侵檢測(cè)4沒有利用組策略的安全模板進(jìn)行配置4任何人能夠進(jìn)入電腦機(jī)房4沒有安全管理的流程3網(wǎng)站安全驗(yàn)證的功能太弱3Sql安全配置不足4存在網(wǎng)絡(luò)病毒現(xiàn)象4數(shù)據(jù)庫(kù)權(quán)限沒有嚴(yán)格限定條件4文件服務(wù)器的分區(qū)格式采用FAT分區(qū)格式5企業(yè)郵件服務(wù)器沒有安裝郵件掃描插件目前十七頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)整理結(jié)果：工作站端嚴(yán)重級(jí)別安全問題5沒有安裝操作系統(tǒng)補(bǔ)丁3有的計(jì)算機(jī)沒有加入域4沒有離開計(jì)算機(jī)，鎖定屏幕習(xí)慣4沒有定義賬號(hào)鎖定策略3沒有復(fù)雜密碼習(xí)慣4安裝不需要的網(wǎng)絡(luò)協(xié)議3隨意打開未知內(nèi)容的郵件4自行下載網(wǎng)絡(luò)軟件，并進(jìn)行安裝2上非法網(wǎng)站導(dǎo)致IE被修改3不及時(shí)更新防病毒軟件病毒庫(kù)3很多員工會(huì)把密碼寫到及時(shí)貼，放在電腦上4隨意將公司一些信息告知外來人員4財(cái)務(wù)經(jīng)理的筆記本電腦丟失，導(dǎo)致公司機(jī)密數(shù)據(jù)丟失。3公司電腦機(jī)箱被隨意打開5存在“W32/Nimda@MM”的蠕蟲病毒目前十八頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)書寫安全評(píng)估報(bào)告安全評(píng)估報(bào)告應(yīng)該包含的部分：文檔版本，完成時(shí)間，撰寫和審核者；安全評(píng)估說明：安全審核的目的，客戶，安全顧問提供者；審核目標(biāo)：審核范圍和審核對(duì)象；審核過程：審核工作開始和結(jié)束時(shí)間，審核使用的工具和手段，參與者；審核結(jié)果——客戶基本信息；審核結(jié)果——客戶網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；審核結(jié)果——客戶服務(wù)器信息；審核結(jié)果——客戶工作站信息；審核結(jié)果——按照嚴(yán)重級(jí)別排列的威脅；安全現(xiàn)狀綜合評(píng)價(jià)安全建議術(shù)語(yǔ)目前十九頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)安全方案設(shè)計(jì)目前二十頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)定義企業(yè)安全策略企業(yè)安全策略定義企業(yè)網(wǎng)絡(luò)安全的目標(biāo)和范圍，即安全策略所要求保護(hù)的信息資產(chǎn)的組成和安全策略所適用的范圍。企業(yè)安全策略作為行為標(biāo)準(zhǔn)，定義信息系統(tǒng)中用戶的行為和動(dòng)作是否可以接受。每一條具體的策略都由政策、目的、范圍、定義遵守和違背政策、違背策略的懲罰和結(jié)果等有關(guān)的部分組成。這些策略會(huì)被作為整個(gè)企業(yè)的政策分發(fā)到企業(yè)的所有組織，并且企業(yè)內(nèi)所有員工被強(qiáng)制要求必須內(nèi)遵守。目前二十一頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)Internet訪問策略該策略用來明確每位員工在Internet訪問活動(dòng)中應(yīng)該擔(dān)負(fù)的責(zé)任，并不對(duì)企業(yè)造成危害。所有被允許能夠進(jìn)行Internet訪問的員工必須在該文檔上簽名，然后才能給予訪問權(quán)限。組成部分：1、定義什么是Internet訪問行為2、定義責(zé)任3、定義用戶可以做什么，不可以做什么4、如果用戶違反該策略，相關(guān)部門會(huì)采取的行動(dòng)目前二十二頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)安全管理在制定安全策略的基礎(chǔ)上，企業(yè)內(nèi)部應(yīng)該成立安全管理小組，包含相關(guān)人員，全面負(fù)責(zé)安全管理，主要職責(zé)包括：安全策略制定和推廣進(jìn)行定期的安全審核安全事件響應(yīng)安全技術(shù)選擇和產(chǎn)品選購(gòu)員工安全培訓(xùn)取得行政和資金上的支持內(nèi)部和外部信息交流目前二十三頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)安全風(fēng)險(xiǎn)分析根據(jù)安全評(píng)估階段提供的安全問題列表，按照嚴(yán)重級(jí)別進(jìn)行排序，然后進(jìn)行分析，步驟包括：分析安全問題面臨的風(fēng)險(xiǎn)；查找安全問題之間的關(guān)聯(lián)性；尋求解決方案。目前二十四頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)服務(wù)器安全問題（1）等級(jí)安全問題風(fēng)險(xiǎn)5系統(tǒng)中沒有安裝sp2之后最新的Hotfix系統(tǒng)存在嚴(yán)重的安全漏洞5企業(yè)郵件服務(wù)器沒有安裝郵件掃描插件病毒郵件的擴(kuò)散，內(nèi)部員工通過郵件向外發(fā)送企業(yè)機(jī)密數(shù)據(jù)4沒有制定密碼策略弱口令4沒有定義賬號(hào)鎖定策略字典或暴力攻擊3沒有改變administrator賬號(hào)以及配置該賬號(hào)口令猜測(cè)4“允許從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”的權(quán)限中有everyone組從網(wǎng)絡(luò)發(fā)起入侵4沒有將所有日志的保存方法設(shè)為“按需要改寫日志”日志不完整或日志偽造2事件日志文件使用缺省大小不完整記錄或者日志偽造4沒有法律顧問觸犯法律或者不能及時(shí)得到法律支持目前二十五頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)服務(wù)器安全問題（2）4沒有系統(tǒng)容錯(cuò)機(jī)制系統(tǒng)容錯(cuò)能力脆弱4沒有針對(duì)登錄事件進(jìn)行審核非法登錄4沒有策略更改的記錄非法修改策略4沒有利用組策略的安全模板進(jìn)行配置分散的安全管理4任何人能夠進(jìn)入電腦機(jī)房物理安全威脅4沒有安全管理的流程安全管理混亂，容易導(dǎo)致信息泄漏4沒有應(yīng)對(duì)緊急事件的機(jī)制延誤時(shí)機(jī)，使安全破壞更為嚴(yán)重3沒有設(shè)置專職的信息安全管理人員安全管理混亂3沒有詳細(xì)的安全管理文檔安全管理混亂4存在網(wǎng)絡(luò)病毒現(xiàn)象病毒擴(kuò)散并難以清除4數(shù)據(jù)庫(kù)權(quán)限沒有嚴(yán)格限定條件非法防問4文件服務(wù)器的分區(qū)格式采用FAT分區(qū)格式?jīng)]有本地安全性3沒有限制匿名用戶訪問空會(huì)話威脅目前二十六頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)服務(wù)器安全問題（3）3沒有刪除不需要的協(xié)議，并且禁用NetBIOSoverTCP/IP存在潛在的協(xié)議漏洞3沒有針對(duì)重要文件進(jìn)行審核非法訪問和修改3缺少有效的備份計(jì)劃和定期檢查策略災(zāi)難發(fā)生時(shí)無法從備份中恢復(fù)數(shù)據(jù)3沒有針對(duì)DNS服務(wù)器的傳輸進(jìn)行安全有效驗(yàn)證非法的區(qū)域傳輸3用戶登錄驗(yàn)證是明文傳輸網(wǎng)絡(luò)竊聽3IIS服務(wù)器安裝了太多的不需要組件，也沒有安裝相關(guān)補(bǔ)丁程序存在嚴(yán)重漏洞，容易被黑客攻擊3沒有特權(quán)使用的記錄非法特權(quán)使用3防火墻沒有開啟入侵檢測(cè)漏洞掃描3Sql安全配置不足存在可以被入侵者利用的漏洞2沒有監(jiān)視相關(guān)服務(wù)器端口的機(jī)制服務(wù)器可能被種植木馬2SMTP服務(wù)器開啟了relay設(shè)置成為垃圾郵件中轉(zhuǎn)站目前二十七頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)工作站安全問題級(jí)別安全問題風(fēng)險(xiǎn)5沒有安裝操作系統(tǒng)補(bǔ)丁存在嚴(yán)重漏洞4沒有離開計(jì)算機(jī)，鎖定屏幕習(xí)慣被非法訪問4沒有定義賬號(hào)鎖定策略口令猜測(cè)4財(cái)務(wù)經(jīng)理的筆記本電腦丟失，導(dǎo)致公司機(jī)密數(shù)據(jù)丟失。數(shù)據(jù)失竊4安裝不需要的網(wǎng)絡(luò)協(xié)議潛在的網(wǎng)絡(luò)協(xié)議漏洞4自行下載網(wǎng)絡(luò)軟件，并進(jìn)行安裝感染病毒，木馬，并導(dǎo)致系統(tǒng)不穩(wěn)定3隨意打開未知內(nèi)容的郵件感染郵件病毒或木馬4隨意將公司一些信息告知外來人員泄露信息機(jī)密3很多員工會(huì)把密碼寫到及時(shí)貼，放在電腦上泄露信息機(jī)密3不及時(shí)更新防病毒軟件病毒庫(kù)感染病毒3公司電腦機(jī)箱被隨意打開物理威脅3沒有復(fù)雜密碼習(xí)慣口令猜測(cè)攻擊3有的計(jì)算機(jī)沒有加入域無法進(jìn)行集中管理，無法實(shí)現(xiàn)集中身份驗(yàn)證2部門管理人員放在我的文件夾中的數(shù)據(jù)不會(huì)自己備份數(shù)據(jù)丟失影響影響用戶不能正常工作3Snmp的配置可以使用缺省用戶探詢信息導(dǎo)致公司相關(guān)設(shè)備信息丟失和一些配置信息被修改目前二十八頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)安全設(shè)計(jì)目前二十九頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)物理安全物理安全是整體安全策略的基石。保護(hù)企業(yè)服務(wù)器所在地點(diǎn)的物理安全是首要任務(wù)。保護(hù)范圍包括在辦公樓內(nèi)的服務(wù)器機(jī)房或整個(gè)數(shù)據(jù)中心。還應(yīng)該注意進(jìn)入辦公樓的入口。如果有人隨便可以進(jìn)入辦公樓內(nèi)，那么他們即使無法登錄到網(wǎng)絡(luò)，也會(huì)有許多機(jī)會(huì)發(fā)起攻擊。攻擊包括：拒絕服務(wù)（例如，將一臺(tái)膝上型電腦插入網(wǎng)絡(luò)作為一個(gè)DHCP服務(wù)器，或者切斷服務(wù)器電源）數(shù)據(jù)竊取（例如，偷竊膝上型電腦或嗅探內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包）運(yùn)行惡意代碼（例如在內(nèi)部啟動(dòng)蠕蟲程序，散播病毒）竊取關(guān)鍵的安全信息（例如備份磁帶、操作手冊(cè)和網(wǎng)絡(luò)圖，員工通信錄）目前三十頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)防止信息泄露攻擊者總是要挖空心思找到有關(guān)企業(yè)網(wǎng)絡(luò)環(huán)境的信息。信息本身有時(shí)非常有用，但有的時(shí)候，它也是獲取進(jìn)一步信息和資源的一種手段。防范信息收集的關(guān)鍵是限制外界對(duì)您的資源進(jìn)行未經(jīng)授權(quán)的訪問。確保這種防范效果的方法包括（但是不限于）：確保網(wǎng)絡(luò)上只有那些已標(biāo)識(shí)的特定設(shè)備能夠建立遠(yuǎn)程訪問連接。在通過外部防火墻直接連接Internet的計(jì)算機(jī)上關(guān)閉TCP/IP上的NetBIOS，包括端口135、137、139和445。對(duì)于Web服務(wù)器，在防火墻或者服務(wù)器上僅啟用端口80和443。審查企業(yè)對(duì)外網(wǎng)站上的信息以確保：該站點(diǎn)上使用的電子郵件地址不是管理員帳戶。沒有透露網(wǎng)絡(luò)技術(shù)審查員工向新聞組和論壇張貼的內(nèi)容，避免暴露企業(yè)內(nèi)部信息，包括管理員在技術(shù)論壇上求助技術(shù)問題。審查為一般公眾提供的信息有沒有您的IP地址和域名注冊(cè)信息。確保攻擊者無法通過對(duì)DNS服務(wù)器執(zhí)行區(qū)域傳輸。通過轉(zhuǎn)儲(chǔ)DNS中的所有記錄，攻擊者可以清楚地發(fā)現(xiàn)最易于攻擊的計(jì)算機(jī)。減少服務(wù)器暴露的技術(shù)細(xì)節(jié)。目前三十一頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)規(guī)劃網(wǎng)絡(luò)安全將企業(yè)網(wǎng)絡(luò)劃分和定義為以下幾部分：內(nèi)部網(wǎng)絡(luò)需要被外部訪問的企業(yè)網(wǎng)絡(luò)（?；饏^(qū)，DMZ）商業(yè)伙伴的網(wǎng)絡(luò)遠(yuǎn)程訪問（遠(yuǎn)程機(jī)構(gòu)或者用戶）Internet在防火墻，路由器上進(jìn)行訪問控制和隔離使用基于網(wǎng)絡(luò)和基于主機(jī)的入侵監(jiān)測(cè)系統(tǒng)，提供預(yù)警機(jī)制，最好能夠和防火墻聯(lián)動(dòng)。目前三十二頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)防火墻近乎線性的吞吐速度，在HTTP吞吐量測(cè)試方 面，ISAServer的吞吐量保持為每秒1.59GB應(yīng)用層性能較好的防火墻

(數(shù)據(jù)來源：

)單臺(tái)服務(wù)器可以處理48,000個(gè)并發(fā)連接緩存改善了帶寬的利用效率和Web內(nèi)容的響應(yīng)時(shí)間應(yīng)用層的精細(xì)控制上網(wǎng)行為和豐富的拓展允許管理員控制上網(wǎng)行為和為緊急任務(wù)分配較高的帶寬優(yōu)先級(jí)ISAServer：Windows平臺(tái)上的最佳防火墻目前三十三頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)FirewallInternet應(yīng)用案例

-小型網(wǎng)絡(luò)或分公司的配置企業(yè)內(nèi)部網(wǎng)絡(luò)AccessPolicyrules-IP包,應(yīng)用程序,用戶,組等的訪問策略Bandwidthrules

-不同Internetrequest所分配不同帶寬的規(guī)則Publishingrules-將Internet服務(wù)(如web,ftp,mail)透過防火墻

的保護(hù)發(fā)布給外網(wǎng)用戶IntrusionDetection-防火墻入侵監(jiān)測(cè)MonitorandLogging–進(jìn)出流量分析與報(bào)表目前三十四頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)實(shí)施案例

——北京市環(huán)保局InternetISAServer100臺(tái)工作站ISAServer2000TrendMicroInterScan目前三十五頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)DMZ方式1:一個(gè)防火墻連接3個(gè)網(wǎng)絡(luò)(3-homed)Internet內(nèi)部網(wǎng)絡(luò)DMZ區(qū)ISA服務(wù)器目前三十六頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)實(shí)施案例

----新晨集團(tuán)

()ISAServer2000InternetInternalNetworkPerimeterNetworkMailServer&DNSWebServer目前三十七頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)應(yīng)用范例

–

廣域網(wǎng)絡(luò)的配置總部分支機(jī)構(gòu)ISA加速分支機(jī)構(gòu)的訪問速度實(shí)現(xiàn)內(nèi)部的安全控制（不同部門和網(wǎng)絡(luò)之間部署防火墻)統(tǒng)一的策略管理目前三十八頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)DMZ方式2:“背靠背”模式Internet內(nèi)部網(wǎng)DMZ區(qū)Web服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器ISA服務(wù)器ISA服務(wù)器目前三十九頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)InternetISAServer陣列FireWall(硬件)DMZ內(nèi)部網(wǎng)(2000+工作站)實(shí)施案例

——

中國(guó)農(nóng)業(yè)部信息中心目前四十頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)復(fù)雜網(wǎng)絡(luò)中ISA的配置多個(gè)VLAN,基于第三層交換ISAServer作為交換機(jī)的默認(rèn)網(wǎng)關(guān)設(shè)置靜態(tài)路由目前四十一頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)實(shí)施案例

----北京許繼電氣目前四十二頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)ISA和VPN在遠(yuǎn)程網(wǎng)絡(luò)的部署Internet遠(yuǎn)程客戶端VPN服務(wù)器遠(yuǎn)程網(wǎng)絡(luò)ISA服務(wù)器Web服務(wù)器可以選擇讓VPN服務(wù)器和ISA安裝在同一臺(tái)機(jī)器上或分開目前四十三頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)實(shí)施案例

----北京市某旅游部門IDC機(jī)房/固定IPVPNVPNOffice-1Office-2Office-3撥號(hào)線路InternetInternetInternet目前四十四頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)規(guī)劃系統(tǒng)安全操作系統(tǒng)加固去除非必要服務(wù)和組件去除非必要網(wǎng)絡(luò)協(xié)議應(yīng)用預(yù)定義安全模板軟硬件供應(yīng)商對(duì)于自己的產(chǎn)品，一般都提供了安全配置文檔。微軟提供了產(chǎn)品安全配置指南，管理員只需遵照?qǐng)?zhí)行，即能提供高應(yīng)用系統(tǒng)的安全性。

目前四十五頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)用戶帳號(hào)策略幾乎所有的企業(yè)都通過用戶帳戶名稱和賬戶口令的方法來提供身份驗(yàn)證和訪問限制。因此帳戶安全性是企業(yè)安全的基礎(chǔ)。一定要設(shè)定口令最低長(zhǎng)度，復(fù)雜性要求，口令定期修改，帳號(hào)鎖定策略。管理員帳戶和口令策略：不要為避免自己的帳戶被鎖定，而額外創(chuàng)建高權(quán)限帳戶來作為后門不要在IT人員之間共享密碼，如果允許多個(gè)用戶使用管理員帳戶，那么一旦發(fā)生涉及該帳戶的安全事件，審計(jì)和責(zé)任區(qū)分就變得非常困難不要在外部網(wǎng)站上使用單位內(nèi)部的密碼。比如注冊(cè)Internet上的論壇和網(wǎng)上商店的會(huì)員時(shí)。因?yàn)橛脩裘艽a往往會(huì)與其電子郵件地址存儲(chǔ)在一起。只要利用這種存儲(chǔ)組合，攻擊者就可以確定用戶所在的工作單位、使用的用戶名（特別是如果用戶名是SMTP地址的前綴）及密碼。

目前四十六頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)防病毒系統(tǒng)病毒已經(jīng)成為最大的安全威脅，為此有必要在企業(yè)內(nèi)全面部署防病毒系統(tǒng)。構(gòu)建有效的防病毒機(jī)制，需要遵循以下原則：建立網(wǎng)關(guān)，服務(wù)器，工作站立體防病毒體系；及時(shí)更新防病毒軟件本身和病毒特征碼；格外關(guān)注使用筆記本電腦的用戶的防病毒軟件更新情況；通過在防火墻和路由器上設(shè)置，及時(shí)阻止通過網(wǎng)絡(luò)擴(kuò)散的病毒；安裝專門針對(duì)ExchangeServer的病毒掃描系統(tǒng)，直接從用戶的郵箱里發(fā)現(xiàn)和清除病毒；培訓(xùn)用戶不要為了加快計(jì)算機(jī)運(yùn)行速度而禁用防病毒系統(tǒng)，如果有可能，從防病毒軟件設(shè)置中禁止用戶這么做培訓(xùn)用戶不要隨意打開不明底細(xì)的電子郵件附件，不要隨意下載和安裝應(yīng)用軟件。目前四十七頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)修補(bǔ)程序管理只有及時(shí)修補(bǔ)操作系統(tǒng)和應(yīng)用系統(tǒng)的漏洞，才能從根本上保證安全。修補(bǔ)程序主要有3類：ServicePack即時(shí)修復(fù)程序或QFE，QuickFixEngineering（快速修補(bǔ)工程組，QFE）是Microsoft的一個(gè)小組，專門負(fù)責(zé)編制即時(shí)修復(fù)程序，針對(duì)產(chǎn)品的代碼修補(bǔ)程序。即時(shí)修復(fù)程序經(jīng)過更嚴(yán)格測(cè)試之后被定期添加到ServicePack中，然后提供給所有用戶。安全修補(bǔ)程序：安全修補(bǔ)程序是為消除安全漏洞而設(shè)計(jì)的。部署修補(bǔ)程序的方法主要有：WindowsUpdate和AutomaticUpdateSUS軟件更新服務(wù)（SUS）可以安裝在企業(yè)內(nèi)部的某臺(tái)服務(wù)器上，讓后SUS服務(wù)器從微軟的站點(diǎn)下載最新的修補(bǔ)程序，企業(yè)網(wǎng)絡(luò)的計(jì)算機(jī)將自動(dòng)從SUS下載并自動(dòng)安裝。腳本通過組策略部署計(jì)算機(jī)開機(jī)腳本，使計(jì)算機(jī)在啟動(dòng)時(shí)自動(dòng)運(yùn)行腳本，安裝修補(bǔ)程序目前四十八頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)審核策略通過審核，記錄訪問者的行為，以發(fā)現(xiàn)異常動(dòng)作并作為證據(jù)保留。一般的審核策略包括：對(duì)于重要的文件開啟刪除和修改審核，對(duì)敏感文件開啟讀取審核；在域上開啟賬戶登錄事件審核，記錄用戶登錄域的活動(dòng)；在重要服務(wù)器上開啟登錄事件審核，記錄從網(wǎng)絡(luò)上訪問該服務(wù)器的活動(dòng)；在SQLServer中審計(jì)登錄事件；定期對(duì)審核記錄進(jìn)行檢查。目前四十九頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)日志管理日志系統(tǒng)保存了操作系統(tǒng)和應(yīng)用程序的信息記錄，其中包括與安全相關(guān)的信息。做為檢測(cè)入侵的重要證據(jù)，日志需要進(jìn)行妥善的管理。一般的日志管理策略包括：足夠大的日志存儲(chǔ)空間，以記錄足夠多的日志信息；不應(yīng)啟用日志覆蓋；定期的日志轉(zhuǎn)儲(chǔ)，轉(zhuǎn)儲(chǔ)的日志需要放置在不能被再次修改的存儲(chǔ)介質(zhì)上，如只能寫入一次的光盤，并放置在安全位置，同時(shí)按照企業(yè)安全策略的要求i，保存足夠長(zhǎng)的時(shí)間；除了操作系統(tǒng)日志外，根據(jù)需要開啟應(yīng)用系統(tǒng)的日志，如數(shù)據(jù)庫(kù)服務(wù)器，郵件服務(wù)器等訪問日志；保證在日志中記錄足夠的信息，如用戶帳戶，計(jì)算機(jī)名，IP地址等；保證計(jì)算機(jī)之間的時(shí)間同步，以準(zhǔn)確記錄時(shí)間發(fā)生時(shí)間；從軟件供應(yīng)商處獲取日志代碼含義解讀文檔；使用日志分析工具協(xié)助管理員快速獲取有價(jià)值的信息目前五十頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)容錯(cuò)管理對(duì)故障和災(zāi)難的抵御能力，稱為容錯(cuò)。容錯(cuò)管理的目標(biāo)是盡可能減少各種意外事故造成的企業(yè)信息損害。一般的容錯(cuò)管理策略包括：使用不間斷電源設(shè)備，建立后備供電線路；使用磁盤冗余陣列；使用服務(wù)器群集技術(shù)，避免服務(wù)器失效；對(duì)重要的服務(wù)器建立后備或輔助服務(wù)器，例如建立多臺(tái)域控制器等；選擇多個(gè)ISP，建立外部連接冗余；對(duì)網(wǎng)絡(luò)設(shè)備（交換機(jī)，路由器）和防火墻提供冗余。目前五十一頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)備份管理備份是企業(yè)信息安全的最后一道防線一般的備份策略包括：設(shè)計(jì)備份計(jì)劃，在兼顧性能的同時(shí)，盡可能縮短備份周期；定期測(cè)試備份設(shè)備，備份存儲(chǔ)介質(zhì)的可靠性，檢查已備份數(shù)據(jù)的完整性和可用性；劃分需要備份數(shù)據(jù)的優(yōu)先級(jí)；保留同一數(shù)據(jù)的多個(gè)備份；備份磁帶遠(yuǎn)離數(shù)據(jù)原始位置，避免災(zāi)害發(fā)生造成同時(shí)損失；備份磁帶應(yīng)存儲(chǔ)在安全位置，避免非授權(quán)訪問；制定備份恢復(fù)計(jì)劃，并進(jìn)行演練。目前五十二頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)抵御技術(shù)性攻擊攻擊者會(huì)企圖利用企業(yè)網(wǎng)絡(luò)中的技術(shù)漏洞，以獲取對(duì)系統(tǒng)的訪問并設(shè)法提升其權(quán)限。主要的技術(shù)攻擊方法有：會(huì)話監(jiān)聽和劫持URL字符串攻擊攻擊安全帳戶管理器文件緩沖區(qū)溢出拒絕服務(wù)攻擊后門攻擊惡意代碼目前五十三頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)抵御社會(huì)工程攻擊社會(huì)工程攻擊指利用非技術(shù)手段對(duì)企業(yè)信息安全造成破壞，比如：偽裝成快遞公司，物業(yè)管理公司等人員進(jìn)入企業(yè)，獲取企業(yè)內(nèi)部信息，比如貼在墻上的組織結(jié)構(gòu)圖，文印室未被處理的廢棄紙張，貼在員工工作隔板上的內(nèi)部通信錄，貼在顯示器上的寫有用戶帳戶名稱和口令便利帖等等；偽裝企業(yè)IT管理人員打電話給企業(yè)員工，索要帳戶口令。抵御社會(huì)工程攻擊的最好方法是對(duì)企業(yè)員工進(jìn)行安全意識(shí)培訓(xùn)，并進(jìn)行企業(yè)內(nèi)部安全審核。目前五十四頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)A公司安全事件響應(yīng)存在的問題所有的管理員都希望能防患于未然。然而要想防止所有安全事件是不可能的，所以當(dāng)安全事件真的發(fā)生時(shí)，需要確保讓它造成的影響最小。可以采取一些預(yù)先的的措施以使安全事件的數(shù)量和影響減至最小。在該階段，分析案例中A公司目前的事件響應(yīng)機(jī)制存在的問題，比如：顯然缺乏安全響應(yīng)機(jī)制，也沒有時(shí)間響應(yīng)團(tuán)隊(duì)；在未經(jīng)授權(quán)的情況下向外部人員求助；在未經(jīng)授權(quán)的情況下允許外部人員進(jìn)行安全掃描；沒有在第一時(shí)間記錄并通報(bào)安全事件的發(fā)生；沒有進(jìn)行證據(jù)保留等。目前五十五頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)安全事件的相應(yīng)流程初步評(píng)估，發(fā)現(xiàn)安全事件的人員進(jìn)行初步評(píng)估，排除誤報(bào)可能性；內(nèi)部通報(bào)，向整個(gè)事件響應(yīng)小組進(jìn)行通報(bào)，啟動(dòng)處理機(jī)制；控制損失，采取緊急措施，避免進(jìn)一步惡化；確定攻擊類型，以及風(fēng)險(xiǎn)等級(jí)；確定損失，確定此次安全事件影響范圍，評(píng)估對(duì)企業(yè)造成的損失；消除風(fēng)險(xiǎn)，防止該安全事件出現(xiàn)在其他系統(tǒng)或者部門；保存證據(jù)，對(duì)受到破壞的主機(jī)進(jìn)行符合法律要求證據(jù)保存；通知外部機(jī)構(gòu)，如商業(yè)伙伴，政府機(jī)關(guān)；恢復(fù)受攻擊影響系統(tǒng)；事件相關(guān)資料整理和總結(jié)。目前五十六頁(yè)\總數(shù)五十九頁(yè)\編于二十三點(diǎn)A公司的緊急事件響應(yīng)（1）

事件響應(yīng)步驟采取的行動(dòng)初步評(píng)估星期一早上十點(diǎn)鐘，公司的管理員S接到公司銷售部門的員工的電話，說在訪問公司對(duì)外Web網(wǎng)站時(shí)，發(fā)現(xiàn)主頁(yè)被篡改。S是偉達(dá)公司的安全安全事件響應(yīng)小組的成員，公司員工已經(jīng)經(jīng)過培訓(xùn)，被要求一旦懷疑發(fā)現(xiàn)安全事件，立刻向IT部門報(bào)告。S接到電話后，立刻訪問公司主頁(yè)，發(fā)現(xiàn)確實(shí)被人篡改，入侵者留下了惡作劇般的聲明，但并沒有表明身份和目的。這不是誤報(bào)。通報(bào)事件S立刻通過電子郵件通報(bào)了他發(fā)現(xiàn)的問題，并電話通知了所有可以聯(lián)系到的安全小組成員。

控制損失A公