系统程序漏洞扫描安全评估方案(共29页).doc

《系统程序漏洞扫描安全评估方案(共29页).doc》由会员分享，可在线阅读，更多相关《系统程序漏洞扫描安全评估方案(共29页).doc（29页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上 目录一、项目概述1.1 评估范围针对网络、应用、服务器系统进行全面的风险评估。1.2 评估层次评估层次包括网络系统、主机系统、终端系统相关的安全措施，网络业务路由分配安全，管理策略与制度。其中网络系统包含路由器、交换机、防火墙、接入服务器、网络出口设备及相关网络配置信息和技术文件；主机系统包括各类UNIX、Windows等应用服务器；终端系统设备。1.3 评估方法安全评估工作内容： 管理体系审核； 安全策略评估； 顾问访谈； 安全扫描； 人工检查； 远程渗透测试； 遵循性分析；1.4 评估结果通过对管理制度、网络与通讯、主机和桌面系统、业务系统等方面的全面安全评估，

2、形成安全评估报告，其中应包含评估范围中信息系统环境的安全现状、存在安全问题、潜在威胁和改进措施。协助对列出的安全问题进行改进或调整，提供指导性的建设方案：安全现状分析报告安全解决方案1.5 风险评估手段在风险评估过程中，可以采用多种操作方法，包括基于知识（Knowledge-based）的分析方法、基于模型（Model-based）的分析方法、定性（Qualitative）分析和定量（Quantitative）分析，无论何种方法，共同的目标都是找出组织信息资产面临的风险及其影响，以及目前安全水平与组织安全需求之间的差距。1.5.1 基于知识的分析方法在基线风险评估时，组织可以采用基于知识的分析

3、方法来找出目前的安全状况和基线安全标准之间的差距。基于知识的分析方法又称作经验方法，它牵涉到对来自类似组织（包括规模、商务目标和市场等）的“最佳惯例”的重用，适合一般性的信息安全社团。采用基于知识的分析方法，组织不需要付出很多精力、时间和资源，只要通过多种途径采集相关信息，识别组织的风险所在和当前的安全措施，与特定的标准或最佳惯例进行比较，从中找出不符合的地方，并按照标准或最佳惯例的推荐选择安全措施，最终达到消减和控制风险的目的。基于知识的分析方法，最重要的还在于评估信息的采集，信息源包括：l 会议讨论；l 对当前的信息安全策略和相关文档进行复查；l 制作问卷，进行调查；l 对相关人员进行访谈

4、；l 进行实地考察；为了简化评估工作，组织可以采用一些辅助性的自动化工具，这些工具可以帮助组织拟订符合特定标准要求的问卷，然后对解答结果进行综合分析，在与特定标准比较之后给出最终的推荐报告。1.5.2 基于模型的分析方法2001 年1 月，由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开发了一个名为CORAS 的项目，即Platform for Risk Analysis of Security Critical Systems。该项目的目的是开发一个基于面向对象建模特别是UML 技术的风险评估框架，它的评估对象是对安全要求很高的一般性的系统，特别是IT 系统的安全。CORAS

5、考虑到技术、人员以及所有与组织安全相关的方面，通过CORAS 风险评估，组织可以定义、获取并维护IT 系统的保密性、完整性、可用性、抗抵赖性、可追溯性、真实性和可靠性。与传统的定性和定量分析类似，CORAS 风险评估沿用了识别风险、分析风险、评价并处理风险这样的过程，但其度量风险的方法则完全不同，所有的分析过程都是基于面向对象的模型来进行的。CORAS 的优点在于：提高了对安全相关特性描述的精确性，改善了分析结果的质量；图形化的建模机制便于沟通，减少了理解上的偏差；加强了不同评估方法互操作的效率；等等。1.5.3 定量分析进行详细风险分析时，除了可以使用基于知识的评估方法外，最传统的还是定量和

6、定性分析的方法。定量分析方法的思想很明确：对构成风险的各个要素和潜在损失的水平赋予数值或货币金额，当度量风险的所有要素（资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等）都被赋值，风险评估的整个过程和结果就都可以被量化了。简单说，定量分析就是试图从数字上对安全风险进行分析评估的一种方法。定量风险分析中有几个重要的概念：l 暴露因子（Exposure Factor，EF） 特定威胁对特定资产造成损失的百分比，或者说损失的程度。l 单一损失期望（Single Loss Expectancy，SLE） 或者称作SOC（Single OccuranceCosts），即特定威胁可能造成的潜在损失

7、总量。l 年度发生率（Annualized Rate of Occurrence，ARO） 即威胁在一年内估计会发生的频率。l 年度损失期望（Annualized Loss Expectancy，ALE） 或者称作EAC（EstimatedAnnual Cost），表示特定资产在一年内遭受损失的预期值。考察定量分析的过程，从中就能看到这几个概念之间的关系：（1） 首先，识别资产并为资产赋值；（2） 通过威胁和弱点评估，评价特定威胁作用于特定资产所造成的影响，即EF（取值在0100%之间）；（3） 计算特定威胁发生的频率，即ARO；（4） 计算资产的SLE：SLE = Asset Value E

8、F（5） 计算资产的ALE：ALE = SLE ARO1.5.4 定性分析定性分析方法是目前采用最为广泛的一种方法，它带有很强的主观性，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素（资产价值，威胁的可能性，弱点被利用的容易度，现有控制措施的效力等）的大小或高低程度定性分级，例如“高”、“中”、“低”三级。定性分析的操作方法可以多种多样，包括小组讨论（例如Delphi 方法）、检查列表（Checklist）、问卷（Questionnaire）、人员访谈（Interview）、调查（Survey）等。定性分析操作起来相对容易，但也可能因为操作者经验和直觉的偏差而使分析结果

9、失准。与定量分析相比较，定性分析的准确性稍好但精确性不够，定量分析则相反；定性分析没有定量分析那样繁多的计算负担，但却要求分析者具备一定的经验和能力；定量分析依赖大量的统计数据，而定性分析没有这方面的要求；定性分析较为主观，定量分析基于客观；此外，定量分析的结果很直观，容易理解，而定性分析的结果则很难有统一的解释。组织可以根据具体的情况来选择定性或定量的分析方法。1.6评估标准1、计算机网络安全管理2、ISO15408 信息安全技术评估通用准则3、GB 17859-1999 计算机信息系统安全保护等级划分准则4、相关各方达成的协议二、网拓扑评估2.1 拓扑合理性分析目前网络都基本采取传统的三层

10、架构，核心、汇聚与接入，其他设备都围绕着这三层进行扩展，各设备之间的线路基本采用千兆光纤接入方式，实现高速数据传输，降低延时，减少干扰，设备间存在冗余，从而保证各数据间传输的可靠性，各业务之间的稳定性。2.2 可扩展性分析核心设备、汇聚设备是否都存在部分空模板、空接口，可以满足未来几年内的扩展核心设备的背板带宽在高峰期间业务流量能正常通过，从中可看出目前核心设备的带宽完全能承载当前的流量；背板带宽越大，各端口所分配到的可用带宽越大，性能越高，处理能力越快。三、网络安全管理机制评估3.1 调研访谈及数据采集1、整网对于核心层设备、汇聚层设备以及接入楼层设备，进行远程登录方式、本地登录模式、特权模

11、式的用户名与密码配置，密码都是以数字、大小写字母和字符一体化，防止非法用户的暴力破解，即便通过其它方式获取到配置清单，也无法知道这台设备的密码，密码都是以密文的形式显示在配置清单里，这样，无论是合法用户还是恶意用户，只要没有设备的用户名和密码都不能登录到该设备，自然也无法对设备的内容等相关配置信息进行修改，相当于给设备安装了一层保护墙，从而保护了设备的最基本的安全性。2、整个网络采用一种统一的安全制度对网络设备、服务器集进行有效的检查，管理，实时发现网络中是否存在的一些问题，如果发现问题的存在，都会采取制定的流程及时给予解决，使得网络设备能一直正常运行，可用性得到提高，业务流量保持稳定性状态，

12、以下是安全制度管理的部分选项。（1）定期扫描漏洞：定期对整网服务器进行扫描，检查是否有漏洞的存在，数据的来源，事件的分析，主机服务信息，是否存在高危险性事件，主机流量分析等，以确保网络的安全性。（2）检查版本升级：定期对整网服务器进行检查，各主机的系统版本是否最新，各主机的软件，特别是杀毒软件、防火墙、辅助软件有没及时的更新，特征库当前是否为最新。（3）策略：定期对整网服务器的密码进行检查，查看是否开启密码策略、帐户锁定策略、本地审核策略，并作了相应的设置。（4）关闭用户：定期对整网服务器进行周密的检查，是否对GUEST用户、长期未登录用户进行关闭。（5）关闭服务：定期对整网服务器进行松紧，是

13、否对一些特殊的服务，如Remote register、不需要远程登陆的主机Terminal services进行关闭。3.2 网络安全管理机制健全性检查1、以目前的网络设备完全能承载整网的业务流量，可以说目前的设备性能较强，未来，随着网络规模越来越大，业务流量越来越集中，对设备性能的要求也更加严格，但以目前的设备的处理能力，足以胜任未来几年内的扩展，并且具有一定的安全性；2、整网有统一的管理员，对网络设备进行相关的管理，每个管理员所管辖的范围不同；每个管理员负责每一部分，服务器有应用、数据库、测试、视频等 3、机房有门禁系统，机房有它制定的管理方式，进机房首先得找具有申请进机房资格的工作人员，

14、接着，机房中心工作人员对这条申请的信息进行审核，审核通过后，需要拿身份证去机房门口进行登记，这样，才能进入机房查看设备、或对设备进行相关的操作，这是进机房的基本流程。4、机房里有特定的系统专门对当前设备的温度进行测量，不管是白天还是晚上，每天24小时都会有保安和相关的工作人员对机房设备进行定期检查，如发生问题会及时通知相关的负责人，负责人收到消息后会及时对问题进行查看、分析、解决，最终保证整网上业务能正常运行。5、采用Host Monitor系统自动对所有设备、服务器以及主机进行检测，以PING的方式进行测试它的连通性，如果发现某台设备PING测试不通，它会及时产生报警，通过主机把相关设备的信

15、息映射到大屏幕液晶显示器上，以列表的模式显示，相关人员收到报警信息后，一般会采取三个步骤来解决：（1）通过打电话给服务厅，看看是否出现断电的情况；（2）通知代维工作人员，检查是否为线路问题。（3）如果都不是以上的问题，基本可以把问题锁在网络设备的本身或者配置上的问题，通知相关人员去检查。3.3 网络安全管理机制合理性检查机房的整体架构，各个核心层设备、汇聚层设备以及其他设备所摆放的物理位置，从消防、防潮、防雷、排气等安全措施都布置到位，布线整齐、合理、具有相当的专业水平，网线以不同的颜色来区分所在设备的重要性，比如在交换机与交换机的级连一般用蓝色来表示，交换机的端口与PC网卡相连接时用灰色，交

16、换机与其他设备相连除了有时用光纤外，一般用黄色来或绿色来表示，而且，对每个机架机架、设备以及连接的网线都打上标签，当某时候网络物理出现问题时，比如线松了，或是线掉了，线插反了等等，因为之前对相关的设备、网线都贴上标签，这样可以很方便的查找到故障点，并进行定位，容易排除故障；每一排机架集按大写英语字母来标记所在的行号，每一排机架集包括10来个机架，分别用所在的行号+数字来标记，比如我所要找的机架在第二行第5个位置，标记为B5，直接找到B5就可以了；室内温度调整适当，当设备温度过大时，会自动出现告警； 3.4 网络管理协议分析1、统一对整个网络所有设备进行监控、收集信息以及管理，其他的网络设备作为

17、代理者，通过自定的Trap类型向管理者发送最新的信息状况，以保持整网设备能正常运行。2、经过对SNMP配置进行分析，了解到目前SNMP在整网中的作用，以及SNMP在各种重要设备里都进行过哪些配置，在SNMP配置的共同体里，只限制某台主机对该设备进行读取MIB数据库的信息，除此之外，其他的网段是否都可以对该设备的MIB进行读取与修改MIB里的信息，如果可以这样将造成基本上在所有的网段里，每个网段的所有主机都可以对设备的MIB信息进行访问，甚至对该信息进行修改。四、脆弱性严重程度评估脆弱性评估，从技术脆弱性、管理脆弱性去评估途径实施：1）人员访谈2）现有文件调阅3）现场检查4）安全漏洞扫描5）人工

18、安全检查4.1 安全漏洞扫描在网络安全体系的建设中，安全扫描工具花费代、效果好、见效快，与网络的运行相对独立，安装运行简单，要以大规模减少安全管理的手工劳动，有利于保持全网安全政策的统一和稳定，是进行风险分析的有力工具。在项目中，安全扫描主要是通过评估工具以本地扫描的方式对评估范围内的系统和网络进行安全扫描，从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户帐号/口令等安全对像目标存在的安全风险、漏洞和威胁。安全扫描项目包括如下内容: 信息探测类 网络设备与防火墙 RPC服务 Web服务 CGI问题 文件服务 域名服务 Mail服务 Windows远程访问 数据库问题 后门程

19、序 其他服务 网络拒绝服务（DOS） 其它问题从网络层次的角度来看，扫描项目涉及了如下三个层面的安全问题。（一）系统层安全该层的安全问题来自网络运行的操作系统：UNIX系列、Linux系列、Windows系列以及专用操作系统等。安全性问题表现在两方面：一是操作系统本身的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是操作系统的安全配置存在问题。身份认证：通过Telnet进行口令猜测等。访问控制：注册表普通用户可写，远程主机允许匿名FTP登录，FTP服务器存在匿名可写目录等。系统漏洞：Windows缓冲出溢出漏洞。安全配置问题：部分SMB用户存在弱口令，管理员帐号不需要密码等。（二）网络

20、层安全该层的安全问题主要指网络信息的安全性，包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入、路由系统的安全、入侵检查的手段等。 网络资源的访问控制：检测到无线访问点。域名系统：ISC BIND SIG资源记录无效过期时间拒绝服务攻击漏洞，Windows DNS拒绝服务攻击。路由器：cisco IOS Web配置接口安全认证可绕过，路由器交换机采用默认密码或弱密码等。（三）应用层安全该层的安全考虑网络对用户提供服务器所采用的应用软件和数据的安全性，包括：数据库软件、WEB服务、电子邮件、域名系统、应用系统、业务应用软件以及其它网络服务系统等。数据库软件：Oracle T

21、nslsnr没有配置口令，MSSQL 2000 sa帐号没有设置密码。WEB服务：SQL注入攻击、跨站脚本攻击、基于WEB的DOS攻击。电子邮件系统：Sendmail头处理远程溢出漏洞，Microsoft Windows 2000 SMTP服务认证错误漏洞。为了确保扫描的可靠性和安全性，首先制定扫描计划。计划主要包括扫描开始时间、扫描对象、预计结束时间、扫描项目、预期影响、需要对方提供的支持等等。在实际开始评估扫描时，评估方会正式通知项目组成员。奥怡轩按照预定计划，在规定时间内进行并完成评估工作。如遇到特殊情况（如设备问题、停电、网络中断等不可预知的状况）不能按时完成扫描计划或致使扫描无法正常

22、进行时，由双方召开临时协调会协商予以解决。4.2 人工安全检查安全扫描是使用风险评估工具对绝大多数评估范围内主机、网络设备等系统环境进行的漏洞扫描。但是，评估范围内的网络设备安全策略的弱点和部分主机的安全配置错误等并不能被扫描器全面发现，因此有必要对评估工具扫描范围之外的系统和设备进行手工检查。路由器的安全检查主要考虑以下几个方面： 帐号口令 网络与服务 访问控制策略 日志审核策略 空闲端口控制交换机的安全检查主要考虑以下几个方面： 帐号口令 网络与服务 VLAN的划分主机的安全检查主要考虑以下几个方面： 补丁安装情况 帐号、口令策略 网络与服务检查 文件系统检查 日志审核检查 安全性检查1）

23、 安全扫描此阶段通过技术手段评估系统中的漏洞。对撑握整个被评估系统的安全状态提供重要数据。被扫描的系统有： Windows系统 Linux系统 Unix客服热线系统在安全扫描阶段使用的主要工具有： Internet Scanner NESSUS Acunetix Web Vulnerability Scanner扫描过程中可能会导致某些服务中断，双方应该事先做好协调工作，并做好应急处理方案，在发现问题后及时上报，并及时恢复系统的运行。4.3 安全策略评估安全策略是对整个网络在安全控制、安全管理、安全使用等方面最全面、最详细的策略性描述，它是整个网络安全的依据。不同的网络需要不同的策略，它必须能

24、回答整个网络中与安全相关的所有问题，例如，如何在网络层实现安全性、如何控制远程用户访问的安全性、在广域网上的数据传输如何实现安全加密传输和用户的认证等。对这些问题帮出详细回答，并确定相应的防护手段和实施方法，就是针对整个网络的一份完整的安全策略。策略一旦制度，应做为整个网络行为的准则。这一步工作，就是从整体网络安全的角度对现有的网络安全策略进行全局的评估，它也包含了技术和管理方面的内容，具体包括：（1）安全策略是否全面覆盖了整体网络在各方面的安全性描述；（2）在安全策略中描述的所有安全控制、管理和使用措施是否正确和有效；（3）安全策略中的每一项内容是否都得到确认和具体落实。4.4 脆弱性识别

25、类型识别对象识别内容技术脆弱性物理环境从机房场地、防火、供配电、防静电、接地与防雷、电磁防护、通信线路的保护、区域防护、设备管理等方面进行识别网络结构从网络架构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件从协议安全、交易完整性、数据完整性等方面进行识别应用系统从审计机制、审计存储、数据完整性、通信、鉴别机制、密码保护等方面进行识别管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连

26、续性等方面进行识别组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别脆弱性赋值赋值标识定义5很高如果被威胁利用，将对资产造成完全损害4高如果被威胁利用，将对资产造成重大损害3中等如果被威胁利用，将对资产造成一般损害2低如果被威胁利用，将对资产造成较小损害1很低如果被威胁利用，将对资产造成的损害可以忽略五、网络威胁响应机制评估防火墙称得上是安全防护的防线，防火墙对于企业网络的安全，已经无法实施100%的控制，对于合法内容中混入的可疑流量、DoS攻击、蠕虫病毒、间谍软件等威胁，几乎没有有效的反击措施，入侵检测与防御系统进行检测网络攻击，与防火墙进行联动。利用现有的入侵检测

27、防御系统对网络攻击进行测试，来检验针对网络威胁的能力。5.1远程渗透测试渗透测试是指在获取用户授权后，通过真实模拟黑客使用的工具、分析方法来进行实际的漏洞发现和利用的安全测试方法。这种测试方法可以非常有效地发现最严重的安全漏洞，尤其是与全面的代码审计相比，其使用的时间更短，也更有效率。在测试过程中，用户可以选择渗透测试的强度，例如不允许测试人员对某些服务器或者应用进行测试或影响其正常运行。通过对某些重点服务器进行准确、全面的测试，可以发现系统最脆弱的环节，以便对危害性严重的漏洞及时修补，以免后患。奥怡轩评估小组人员进行渗透测试都是在业务应用空闲的时候，或者在搭建的系统测试环境下进行。另外，评估

28、方采用的测试工具和攻击手段都在可控范围内，并同时充分准备完善的系统恢复方案。网络攻击利用工具或技术通过网络对信息系统进行攻击和入侵网络探测和信息采集、漏洞探测、嗅探、用户身份伪造和欺骗、用户或业务数据的窃取和破坏，系统运行的控制和破坏等物理攻击通过物理的接触造成对软件、硬件和数据的破坏等物理接触、物力破坏、盗窃等泄密信息泄露给不应该了解的他人内部信息泄露、外部信息泄露等篡改非法修改信息，破坏信息的完整性使系统的安全性降低或信息不可用篡改网络、系统、安全配置信息，篡改用户身份信息和业务数据信息等抵赖不承认收到的信息和所作的操作、交易原发抵赖、接受抵赖、第三方抵赖等威胁赋值赋值标识定义5很高出现的

29、频率很高（或不少于1次/周），或在大多数情况下几乎不可避免，或可以证实经常发生过4高出现的频率较高（或不少于1次/月），或在大多数情况下很有可能会发生，或可以证实多次发生过3中等出现的频率中等（或大于1次/半年），或在某种情况下可能会发生，或被证实曾经发生过2低出现的频率较小，或一般不太可能发生，或没有被证实发生过1很低威胁几乎不可能发生，或仅可能在非常罕见或例外的情况下发生六、网络安全配置均衡性风险评估6.1 设备配置收集1、核心层交换机目前的网络状态正常，在配置上也针对某些安全方面的问题进行布置，具体情况都做了详细的说明，以下是核心层交换机配置上的一些安全防护措施：（1）核心交换机进入特权

30、模式需要密码，对它进行了密文的设置。（2）对核心交换机的虚拟线路进行密码的设置，远程登录需要输入密码。（3）使用UDLD对某些端口进行链路的检测，以减少丢包的概率。（4）在核心交换机上全局下关闭禁用Http Server，防止非法入侵（5）全局下开启Bpdu-Guard，因为核心交换机在全局下开启Portfast特性.2、核心层交换机的稳定性直接关系到整个网络数据流量能否正常通过，核心层交换机的安全性问题自然会影响到能否一直保持稳定的状态，起到至关的作用，保护好核心交换机的安全问题很大原因其实是在保护核心交换机的稳定性，做好安全防护工作，保护好核心交换机的稳定性成为我们规则的焦点，下面是对本核

31、心层交换机的安全防护问题进行完善，从而提高核心层交换机的安全性。3、使用SSH来作为远程的登录，使用TELNET进行远程登录， Telnet会话中输入的每个字符都将会被明文发送，这将被像Sniffer这样的抓包软件获取它的用户名、密码等敏感信息。因此，使用安全性更高的SSH加密无疑比使用Telnet更加安全。4、在虚拟线路中对远程登录的最大连接数进行限制，默认，一般情况下网络设备会开放5-15个虚拟的连接线路，不过，不同厂商，不同型号，所开放的虚拟线路连接数也都不一样，可以通过登录到此设备，可以用远程登陆或本地登陆，在该设备上对配置进行查看，再根据实际情况进行修改；一般情况下，很多人都没有对远

32、程登陆范围进行限制，这样使得每个人都有机会去TELNET，这多少给了恶意用户提供攻击的机会，比如可以使用SYN Flood攻击；它伪造一个SYN报文，伪造一个源地址或者不存在的地址，通过向服务器发起连接，服务器在收到报文后用SYN-ACK应答，而此应答发出去后，服务器就等待源发个ACK的确认包过来后以完成三次握手，建立起连接，但是，攻击者使用的源是一个不存在或是伪造的地址，服务器将永远不会收到攻击者发送过来的ACK报文，这样将造成一个半连接。如果攻击者发送大量这样的报文，会在被攻击主机上出现大量的半连接，消耗所有的资源，使得正常的用户无法对其访问。直到半连接超时，才会慢慢释放所有的资源，简单一

33、点的说，SYN Flood利用TCP的三次握手来让服务器保持N个半个连接数，以消耗掉服务器系统的内存等资源；对远程登录的范围用访问列表进行控制，起到一定的安全性。5、为了防范交换机上一些恶意攻击行为，禁用所有未用的端口，以免因为一些无知行为或误操作，导致一切都无法预料的后果；比如将交换机两个端口用网线直接连接，这样将导致整个交换机的配置数据被清除，交换机的配置一瞬间全清空，这样将导致业务中断，如果之前有对交换机的相关配置信息进行备份，还可以在短时间内还原，要是没有，只能使得网络中断的时间加长，而且，关闭端口也能在一定程度上防范恶意用户连接此端口并协商中继模式，当恶意用户连接端口，冒充成另外一台

34、交换机发送虚假的DTP协商消息，真实的交换机收到这个DTP消息后，比较下参数，一旦协商成中断模式后，恶意用户通过探测信息流，当有流量经过时，所有通过此交换机上所有VLAN信息都会被发送到恶意用户的电脑里。6、为提高安全，最好把暂时不需要用到的服务都关闭掉，因为它们都很有可能成为安全漏洞，恶意用户利用这些安全漏洞进整个网络实行攻击等非法行为，以达到一定的目的；核心交换机的配置中已经对Http Server这个服务进行禁用，下面是一些经常被攻击者利用的服务，以对其进行攻击。建议把下面的服务也都一一禁用掉：禁用IP源路由-no ip source route禁用小的UDP服务-no service

35、udp-small-s禁用小的TCP服务-no service tcp-small-s7、核心交换机的作用至关重要，因为它影响到整个网络的正常运行，这里有两种情况：第一种情况当一台新的交换机接入到这个网络，因对网络拓扑不熟悉，配置错误，使得新交换机成为根网桥，新交换通过宣告VLAN信息让整个域的其他交换机都能学习到，这将使得整网流量全导向新交换机。第二种情况：交换机默认都是SERVER模式，在这里以域中只有一台SERVER模式，新交换机模式为CLIENT，当新的交换机加入网络中，因为它的修订版本号比较高，这里的修订版本号用来标识交换机的更新信息，修改版本号越高，它的VLAN信息流越新，与交换机

36、的模式无关，修订版本号可以通过增加/删除/修改VLAN信息等等来增加它的数值，交换机之间通过发送BPDU，比较它们的参数，包括修订版本号，通过比较得出修订版本号高的交换机，作为整个域中VLAN信息的标配，当新交换机的修订版本号高于处在根网桥的交换机时，它不会去学习根网桥宣告过来的VLAN信息，当SERVER通过BPDU包的交换后得知新交换机的修订版本号比较高，它通过BPDU包学习到新交换机的VLAN信息，并在整个域中把此VLAN信息进行宣告出去，整网中所有交换机的原来VLAN信息全被删除，都学习到SERVER交换机发送过来的最新VLAN信息流。这两种方式都直接导致网络流量的导向，使得网络中交换

37、机所学到的VLAN信息不全，网络资源的浪费，网络部分业务的中断，甚至网络的环路，为了防范以上的问题，需要布置根防护，当根网桥在启用根防护的端口上接收到其他交换机发送过来的BPDU，不管修订版本号是多高，根网桥不对此包作处理，直接端将口进入不一致的STP状态 ，并且交换机不会从这个端口转发流量；这种方法能够有效地巩固根网桥的位置，还能够有效的避免第2层环路，它能将接口强制为指定端口，进而能够防止周围的交换机成为根交换机。当新交换机接入网络时，先将交换机的模式设置为透明模式，再把它改为客户模式，从而保证不会出现以上所说的情况。6.2 检查各项HA配置1、核心层交换机上开启了HSRP协议，在汇聚层华

38、为设备上配置了VRRP协议，因为HSRP是思科私有，所以华为只能使用业界的VRRP，在两台核心交换机上，对VLAN的SVI口进行配置；HSRP是一种热备份路由网关协议，具有很高的可靠性，它通过双方预先设定好的虚拟IP地址，发送HELLO数据包，经过一系列的状态比较，最终协商出谁是Active谁是Standby，HSRP相当于是台虚拟的路由器，有自己的虚拟IP地址及MAC地址，终端用户将这虚拟的IP地址作为网关;默认情况下，只有Active路由器在工作，Standby路由器一直处在空闲状态之中，双方每3S会发送HELLO去侦测对方以确定对方是否存在，当10S过后，还没收到对方发送过来的HELLO

39、包，Standby会认为对方设备出现故障或者对方已经不存在，这时它会把自己的状态从standby变为active,这对于终端的用户是透明的，保证终端用户数据能得到可靠的传输，当一台设备链路出现问题，HSRP只需要经过一个邻居状态standby-active,能快速的切换到另一台设备，用户的可用性得到保障；HSRP还可以对整个网络进行负载分担。VRRP是业界定义的一种类似于HSRP的网关冗余协议，功能与作用基本与HSRP相同，区别在于VRRP可以使用物理的IP地址作为虚拟IP地址，VRRP的状态机相比起HSRP减少很多等。2、通过对核心交换机HSRP协议的配置进行分析，HSRP全都是在VLAN的

40、SVI接口里进行配置，在主核心交换机中设定一个共同的虚拟IP地址，并对它的优先级进行设定，开启HSRP的抢占性；在另一台核心交换机也是同样的配置，只是优先级不同，这样，当它们发送HEELO包选举行，先比较优先级，优先级一样再比较IP地址，IP地址较高的为Active，当Active设备出现故障时，Standby会马上切换过来变为Active,，原来的核心交换机恢复正常时，会自动把Active的主动权抢占过来；如果核心交换机的外口出现故障，因为没有对外边的接口进行跟踪的配置，这样会造成黑洞的产生，数据包的丢失；在两台核心交换机中并没有起到流量的负载分担，正常情况下，一台路由器处在忙碌状态，另一台

41、路由器一直处在空闲状态中，等待着监测着Active路由器的工作状态，在汇聚层两台华为设备的交换机中，配置VRRP，并没有配置抢占性，对外口进行追踪，但发现故障时，优先级会自动减少30，因为没有配置抢占性，备份设备不会进行抢占，使得主设备对外追踪没有多大的意义，反而又多了丢包率。3、在配置HSRP协议的两台交换机上，终端PC通过两台交换机去访问内部的资源时，终端PC的网关指向两台交换机协商设置的虚拟IP地址，在同一时间，两台交换机，只有一台交换机处在Active状态，另一台交换机一直处在Idle状态，当数据包穿越交换机去访问网络资源，把交换机与终端PC相连的接口线拔掉，处于Active的交换机突

42、然因为接口松动而导致中断，处在Idle状态的交换机快速切换成Active，继续让链路保持不中断的状态，对于终端用户，完全感觉不到刚刚链路已经中断，访问网络的资源没有任何的影响；再把刚刚拔掉的接口再插回去，因为HSRP配置了抢占性，主设备通过发送HELLO比较，立马Active的主动权抢占回来。6.3 设备日志分析通过对防火墙的日志导出，对日志进行检查，目前防火墙每天产生的日志信息条数过多，仔细分析日志的其中一部分，防火墙日志记录了穿越它的流量信息，几乎所有的流量都是属于正常日志信息，正常日志信息占满了整个防火墙的日志栏，日志记录的信息包括本设备的型号、IP地址、日期时间；日志开始的日期与时间，

43、持续的时间段，源IP地址、源端口、目标IP地址、目标端口、Xlated以及发送与接收的数据包状态等。正常的日志信息意味着网络运行的状态正常，没有存在一些恶意的攻击，下面是防火墙的一些日志信息，都属于正常的日志：七、风险级别认定网络安全管理是一项系统工程，要从根本上去规避安全风险，则必须对整个网络安全体系进行系统化的分析，从管理和技术两大方面入手，双管齐下，必须变被动为主动，提早发现问题，解决问题，尽可能杜绝安全管理上的漏洞。通过将现有制度按体系分层归类，找出现有制度及运作的存在问题，和国际标准ISO17799进行对比，提出修补意见。根据现有的制度，建立安全管理指导的框架，方便各中心根据自身实际

44、形成必要的安全指导制度。技术性的系统安全扫描报告技术性的系统安全加固方案关键系统基线检查报告远程渗透测试报告ISO27001差距分析网络安全机制评估报告八、项目实施规划表1 项目实施规划序号工作名称详细1项目准备项目启动会安全评估前的培训2安全评估使用扫描工具进行安全扫描远程渗透测试对系统进行基线检查对系统相关人员进行访谈对管理制度进行审查3企业安全现状分析技术上的工具扫描结果、远程渗透测试、基线检查结果分析管理层面的漏洞分析差距分析，与ISO27001做比较4安全加固在技术层面上使用技术手段对系统进行安全加固在管理层面上制定合理的管理制度5评估结束后的培训针对当前企业存在的安全问题做一次有针

45、对性的培训6项目后期的宣传工作通过FLASH、海报等方式加强安全方面的宣传教育工作。九、项目阶段第一阶段：前期准备阶段l 项目计划l 需求调研l 确定项目目标和详细范围l 完成详细方案设计l 项目前期沟通与培训第二阶段：评估实施l 技术评估l 策略文档及规范审查第三阶段：评估报告和解决方案l 数据整理和综合分析l 安全现状报告l 安全解决方案第四阶段：支持和维护l 系统加固l 安全培训l 定期回复l 抽样远程二次评估实施安全评估的整个过程如下图所示十、交付的文档及报告在实施阶段，会产生各种报告工具扫描人工评估策略评估安全审计网络架构系统评估网络扫描报告人工评估报告策略文档评估报告安全审计报告网

46、络架构报告系统评估报告归纳，整理、分析安全评估报告解决方案建议需求分析 10.1 中间评估文档网络架构整体安全分析评估报告系统漏洞扫描报告（包括服务器、网络设备、PC机、安全设备等）技术性弱点综合评估报告安全策略文档体系评估报告10.2 最终报告安全评估整体结果报告；安全整体解决方案建议；系统安全加固建议方案。十一、安全评估具体实施内容11.1 网络架构安全状况评估11.1.1 内容描述网络架构安全评估主要涉及到以下几个方面的内容：n 网络拓扑和协议：拓扑结构合理性分析、可扩展性分析；对周边接入的全面了解，安全域划分的级别，信任网络或者不信任网络之间是否有控制，控制本身带来的安全程度以及是否有可以绕过控制的途径；所采用的路由协议，是否存在配置漏洞，冗余路由配置情况，路由协议的信任关系；对网络管理相关协议的分析整理；对业务应用相关协议的分析整理；各网络节点（包括接入节点）的安全保障措施。n 网络安全