网络安全案例分析.ppt

《网络安全案例分析.ppt》由会员分享，可在线阅读，更多相关《网络安全案例分析.ppt（60页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、企业网络安全设计：案例分析企业网络安全设计：案例分析1内容内容l l案例介绍案例介绍l l安全评估安全评估l l安全方案设计安全方案设计2公司规模公司规模l lA公司是一家从事太阳能，电力，石油，化公司是一家从事太阳能，电力，石油，化工，相关销售等项目等的公司。工，相关销售等项目等的公司。l l公司总部设在上海，有公司总部设在上海，有200名员工，并在北名员工，并在北京拥有京拥有1家分公司，员工约家分公司，员工约100人。人。3公司的组织结构公司的组织结构上海总部(200人)行政部人力资源部管理部公共关系部固定资产部采购部IT总部市场部销售部北京分公司（100人）行政部财务部人力资源部管理部销

2、售市场部IT管理部太阳能部质量控制部法律事务部 4公司的发展状况公司的发展状况l lA A公司从公司从公司从公司从19851985年成立，年成立，年成立，年成立，9090年代起收购了多家公司，而且与年代起收购了多家公司，而且与年代起收购了多家公司，而且与年代起收购了多家公司，而且与政府及大型能源企业有合作。在国内的主要大城市有分公政府及大型能源企业有合作。在国内的主要大城市有分公政府及大型能源企业有合作。在国内的主要大城市有分公政府及大型能源企业有合作。在国内的主要大城市有分公司和代表处。司和代表处。司和代表处。司和代表处。l l公司的急速扩张造成了公司公司的急速扩张造成了公司公司的急速扩张造

3、成了公司公司的急速扩张造成了公司ITIT管理部门的巨大工作压力，管理部门的巨大工作压力，管理部门的巨大工作压力，管理部门的巨大工作压力，原有的原有的原有的原有的ITIT管理构架早已不堪重负。于是决定对整个网络系管理构架早已不堪重负。于是决定对整个网络系管理构架早已不堪重负。于是决定对整个网络系管理构架早已不堪重负。于是决定对整个网络系统进行了一次重大升级，统进行了一次重大升级，统进行了一次重大升级，统进行了一次重大升级，包括增加网络带宽，更换核心设包括增加网络带宽，更换核心设包括增加网络带宽，更换核心设包括增加网络带宽，更换核心设备，备，备，备，并将整个系统从并将整个系统从并将整个系统从并将整

4、个系统从Windows NT4Windows NT4平台全部迁移到了平台全部迁移到了平台全部迁移到了平台全部迁移到了Windows2000Windows2000平台，平台，平台，平台，提高整个网络系统的可用性和可管提高整个网络系统的可用性和可管提高整个网络系统的可用性和可管提高整个网络系统的可用性和可管理性。理性。理性。理性。5A A公司的网络拓扑结构公司的网络拓扑结构6风险风险l l由于太多的日常维护工作而忽略了系统策略由于太多的日常维护工作而忽略了系统策略及安全政策的制订及执行不力，管理员的日及安全政策的制订及执行不力，管理员的日常维护工作又没有标准可循，系统及数据备常维护工作又没有标准可

5、循，系统及数据备份也是没有考虑到灾难恢复，经常会有一些份也是没有考虑到灾难恢复，经常会有一些系统安全问题暴露出来。系统安全问题暴露出来。7危机危机l l该公司网站使用该公司网站使用该公司网站使用该公司网站使用Windows 2000Windows 2000上的上的上的上的IISIIS作为对外作为对外作为对外作为对外的的的的WEBWEB服务器，该网站服务器，该网站服务器，该网站服务器，该网站WEBWEB服务器负责公司的信服务器负责公司的信服务器负责公司的信服务器负责公司的信息提供和电子商务。在外网上部署了硬件防火墙，息提供和电子商务。在外网上部署了硬件防火墙，息提供和电子商务。在外网上部署了硬件

6、防火墙，息提供和电子商务。在外网上部署了硬件防火墙，只允许到服务器只允许到服务器只允许到服务器只允许到服务器TCP 80TCP 80端口的访问。端口的访问。端口的访问。端口的访问。l l但是在但是在但是在但是在X X月月月月X X日上午，一个客户发邮件通知公司网日上午，一个客户发邮件通知公司网日上午，一个客户发邮件通知公司网日上午，一个客户发邮件通知公司网站管理员，说该公司网站的首页被人修改，同时被站管理员，说该公司网站的首页被人修改，同时被站管理员，说该公司网站的首页被人修改，同时被站管理员，说该公司网站的首页被人修改，同时被发布到国内的某黑客论坛，介绍入侵的时间和内容。发布到国内的某黑客论

7、坛，介绍入侵的时间和内容。发布到国内的某黑客论坛，介绍入侵的时间和内容。发布到国内的某黑客论坛，介绍入侵的时间和内容。l l管理员立刻查看网站服务器，除了网站首页被更改，管理员立刻查看网站服务器，除了网站首页被更改，管理员立刻查看网站服务器，除了网站首页被更改，管理员立刻查看网站服务器，除了网站首页被更改，而且发现任务列表中存在未知可疑进程，并且不能而且发现任务列表中存在未知可疑进程，并且不能而且发现任务列表中存在未知可疑进程，并且不能而且发现任务列表中存在未知可疑进程，并且不能杀死。同时发现网站数据库服务器有人正在拷贝数杀死。同时发现网站数据库服务器有人正在拷贝数杀死。同时发现网站数据库服务

8、器有人正在拷贝数杀死。同时发现网站数据库服务器有人正在拷贝数据据据据.l l管理员及时断开数据服务器，利用备份程序及时恢管理员及时断开数据服务器，利用备份程序及时恢管理员及时断开数据服务器，利用备份程序及时恢管理员及时断开数据服务器，利用备份程序及时恢复网站服务器内容，但是没有过了半小时，又出现复网站服务器内容，但是没有过了半小时，又出现复网站服务器内容，但是没有过了半小时，又出现复网站服务器内容，但是没有过了半小时，又出现类似情况，于是紧急通知系统管理人员，告知该情类似情况，于是紧急通知系统管理人员，告知该情类似情况，于是紧急通知系统管理人员，告知该情类似情况，于是紧急通知系统管理人员，告知

9、该情况，并向某安全公司求助。况，并向某安全公司求助。况，并向某安全公司求助。况，并向某安全公司求助。8问题问题经过初步安全检查，发现以下问题：经过初步安全检查，发现以下问题：经过初步安全检查，发现以下问题：经过初步安全检查，发现以下问题：l l邮件服务器没有防病毒扫描模块；邮件服务器没有防病毒扫描模块；邮件服务器没有防病毒扫描模块；邮件服务器没有防病毒扫描模块；l l客户端有客户端有客户端有客户端有W32/MydoomMMW32/MydoomMM邮件病毒问题邮件病毒问题邮件病毒问题邮件病毒问题l l路由器密码缺省没有修改过，非常容易被人攻击；路由器密码缺省没有修改过，非常容易被人攻击；路由器密

10、码缺省没有修改过，非常容易被人攻击；路由器密码缺省没有修改过，非常容易被人攻击；l l网站服务器系统没有安装最新微软补丁网站服务器系统没有安装最新微软补丁网站服务器系统没有安装最新微软补丁网站服务器系统没有安装最新微软补丁l l没有移除不需要的功能组件；没有移除不需要的功能组件；没有移除不需要的功能组件；没有移除不需要的功能组件；l l用户访问没有设置复杂密码验证，利用字典攻击，非常容用户访问没有设置复杂密码验证，利用字典攻击，非常容用户访问没有设置复杂密码验证，利用字典攻击，非常容用户访问没有设置复杂密码验证，利用字典攻击，非常容易猜出用户名和密码，同时分厂员工对于网站访问只使用易猜出用户名

11、和密码，同时分厂员工对于网站访问只使用易猜出用户名和密码，同时分厂员工对于网站访问只使用易猜出用户名和密码，同时分厂员工对于网站访问只使用了简单密码验证，容易被人嗅听到密码。了简单密码验证，容易被人嗅听到密码。了简单密码验证，容易被人嗅听到密码。了简单密码验证，容易被人嗅听到密码。l l数据库系统数据库系统数据库系统数据库系统SQL 2000 SASQL 2000 SA用户缺省没有设置密码；用户缺省没有设置密码；用户缺省没有设置密码；用户缺省没有设置密码；l l数据库系统数据库系统数据库系统数据库系统SQL 2000 SQL 2000 没有安装任何补丁程序没有安装任何补丁程序没有安装任何补丁程

12、序没有安装任何补丁程序 9用户的目标用户的目标l l“我们做了尽可能多的工作，努力提我们的响应速度，缩短解决问题我们做了尽可能多的工作，努力提我们的响应速度，缩短解决问题我们做了尽可能多的工作，努力提我们的响应速度，缩短解决问题我们做了尽可能多的工作，努力提我们的响应速度，缩短解决问题的时间，但是很多情况下我们总是在问题出现了之后才开始解决，在的时间，但是很多情况下我们总是在问题出现了之后才开始解决，在的时间，但是很多情况下我们总是在问题出现了之后才开始解决，在的时间，但是很多情况下我们总是在问题出现了之后才开始解决，在这种情况下我们很难及时解决问题，每次都会有一天到两天大部份系这种情况下我们

13、很难及时解决问题，每次都会有一天到两天大部份系这种情况下我们很难及时解决问题，每次都会有一天到两天大部份系这种情况下我们很难及时解决问题，每次都会有一天到两天大部份系统不能使用，而且也无法对可能发生的问题做有效的估计统不能使用，而且也无法对可能发生的问题做有效的估计统不能使用，而且也无法对可能发生的问题做有效的估计统不能使用，而且也无法对可能发生的问题做有效的估计”-IT”-IT服务中心的观点。服务中心的观点。服务中心的观点。服务中心的观点。l l“我们在很多方面的工作都很成功，但是就是由于这些网络上令人讨我们在很多方面的工作都很成功，但是就是由于这些网络上令人讨我们在很多方面的工作都很成功，

14、但是就是由于这些网络上令人讨我们在很多方面的工作都很成功，但是就是由于这些网络上令人讨厌的病毒，造成了我们还是经常收到来自个方面的投诉，显然这不是厌的病毒，造成了我们还是经常收到来自个方面的投诉，显然这不是厌的病毒，造成了我们还是经常收到来自个方面的投诉，显然这不是厌的病毒，造成了我们还是经常收到来自个方面的投诉，显然这不是我们想看到的。我们需要严密的系统和严格的策略来保证我们业务系我们想看到的。我们需要严密的系统和严格的策略来保证我们业务系我们想看到的。我们需要严密的系统和严格的策略来保证我们业务系我们想看到的。我们需要严密的系统和严格的策略来保证我们业务系统的稳定性和可用性统的稳定性和可用

15、性统的稳定性和可用性统的稳定性和可用性”-”-首席信息官（首席信息官（首席信息官（首席信息官（CIOCIO）的观点。）的观点。）的观点。）的观点。l l“我们需要一个可靠、稳定、安全，易于管理和维护的我们需要一个可靠、稳定、安全，易于管理和维护的我们需要一个可靠、稳定、安全，易于管理和维护的我们需要一个可靠、稳定、安全，易于管理和维护的ITIT解决方案，解决方案，解决方案，解决方案，以及基于此方案的优秀以及基于此方案的优秀以及基于此方案的优秀以及基于此方案的优秀ITIT服务部门，用以支撑我们公司的运营，以及服务部门，用以支撑我们公司的运营，以及服务部门，用以支撑我们公司的运营，以及服务部门，用

16、以支撑我们公司的运营，以及未来的发展。未来的发展。未来的发展。未来的发展。”-”-公司总裁公司总裁公司总裁公司总裁(CEO)(CEO)的观点。的观点。的观点。的观点。10风险评估风险评估11风险评估的一般过程风险评估的一般过程l l只有经过全面的风险评估过程，才能够有针对性地只有经过全面的风险评估过程，才能够有针对性地只有经过全面的风险评估过程，才能够有针对性地只有经过全面的风险评估过程，才能够有针对性地制定安全实施放案，选择合适的安全技术和产品。制定安全实施放案，选择合适的安全技术和产品。制定安全实施放案，选择合适的安全技术和产品。制定安全实施放案，选择合适的安全技术和产品。l l在风险评估

17、过程，需要：在风险评估过程，需要：在风险评估过程，需要：在风险评估过程，需要：收集一切和网络安全相关的信息；收集一切和网络安全相关的信息；收集一切和网络安全相关的信息；收集一切和网络安全相关的信息；使用安全评测工具进行脆弱点检查；使用安全评测工具进行脆弱点检查；使用安全评测工具进行脆弱点检查；使用安全评测工具进行脆弱点检查；分析收集到的信息，定义威胁级别。分析收集到的信息，定义威胁级别。分析收集到的信息，定义威胁级别。分析收集到的信息，定义威胁级别。l l安全不是最终结果，而是一种过程或者一种状态。安全不是最终结果，而是一种过程或者一种状态。安全不是最终结果，而是一种过程或者一种状态。安全不是

18、最终结果，而是一种过程或者一种状态。安全评估必须按照一定的周期不断进行，才能保证安全评估必须按照一定的周期不断进行，才能保证安全评估必须按照一定的周期不断进行，才能保证安全评估必须按照一定的周期不断进行，才能保证持续的安全。持续的安全。持续的安全。持续的安全。12需要搜集的基本信息需要搜集的基本信息l l企业信息：企业信息：企业名称企业名称 业务范围业务范围 地理分布地理分布 员工数量员工数量 组织结构组织结构 管理模式管理模式 预期的增长或重组预期的增长或重组l l网络：网络：物理拓扑结构物理拓扑结构 网络设备网络设备 逻辑网络划分（活动目录结构）逻辑网络划分（活动目录结构）局域网结构局域网

19、结构 广域网结构广域网结构 远程访问远程访问 互联网接入互联网接入 网络协议类型网络协议类型 主要网络流量主要网络流量 防火墙和入侵检测系统防火墙和入侵检测系统l主机：服务器数量，名称，用途，分布服务器操作系统及版本用户身份验证方式工作站数量，用途和分布工作站操作系统及版本操作系统补丁部署防病毒部署主机防火墙计算机安全管理l安全管理：企业安全策略和声明物理安全管理员工安全培训安全响应机制安全需求和满足程度 13使用安全评测工具使用安全评测工具l l安全评测工具通过内置的已知漏洞和风险库，对指安全评测工具通过内置的已知漏洞和风险库，对指安全评测工具通过内置的已知漏洞和风险库，对指安全评测工具通过

20、内置的已知漏洞和风险库，对指定的系统进行全面的扫描定的系统进行全面的扫描定的系统进行全面的扫描定的系统进行全面的扫描l l安全评测工具可以快速定位漏洞和风险安全评测工具可以快速定位漏洞和风险安全评测工具可以快速定位漏洞和风险安全评测工具可以快速定位漏洞和风险 例：例：例：例：MBSAMBSA（Microsoft Baseline Security Microsoft Baseline Security AnalyzerAnalyzer，基准安全分析器）是微软提供的系统，基准安全分析器）是微软提供的系统，基准安全分析器）是微软提供的系统，基准安全分析器）是微软提供的系统安全分析及解决工具。安全分

21、析及解决工具。安全分析及解决工具。安全分析及解决工具。l lMBSAMBSA可以对本机或者网络上的可以对本机或者网络上的可以对本机或者网络上的可以对本机或者网络上的Windows Windows NT/2000/XPNT/2000/XP的系统进行安全性检测，还可以检测的系统进行安全性检测，还可以检测的系统进行安全性检测，还可以检测的系统进行安全性检测，还可以检测其它的一些微软产品，诸如其它的一些微软产品，诸如其它的一些微软产品，诸如其它的一些微软产品，诸如SQL7.0/2000SQL7.0/2000、5.015.01以以以以上版本的上版本的上版本的上版本的Internet ExplorerIn

22、ternet Explorer、IIS4.0/5.0/5.1IIS4.0/5.0/5.1和和和和Office2000/XPOffice2000/XP，并给出相应的解决方法。，并给出相应的解决方法。，并给出相应的解决方法。，并给出相应的解决方法。14评价风险评价风险问题严重程度问题严重程度问题严重程度问题严重程度定义定义定义定义建议建议建议建议5 5严重安全问题严重安全问题严重安全问题严重安全问题严重的安全漏洞，如果被利严重的安全漏洞，如果被利严重的安全漏洞，如果被利严重的安全漏洞，如果被利用会对业务产生严重用会对业务产生严重用会对业务产生严重用会对业务产生严重的破坏的破坏的破坏的破坏记录，评估

23、，立即更改记录，评估，立即更改记录，评估，立即更改记录，评估，立即更改4 4高风险安全问题高风险安全问题高风险安全问题高风险安全问题严重的安全漏洞，如果被利严重的安全漏洞，如果被利严重的安全漏洞，如果被利严重的安全漏洞，如果被利用将用将用将用将/可能会对业务产可能会对业务产可能会对业务产可能会对业务产生严重的影响生严重的影响生严重的影响生严重的影响记录，评估，在记录，评估，在记录，评估，在记录，评估，在1515至至至至3030天内天内天内天内更改更改更改更改3 3中度风险的安全问题中度风险的安全问题中度风险的安全问题中度风险的安全问题中度风险的安全问题，可能中度风险的安全问题，可能中度风险的安

24、全问题，可能中度风险的安全问题，可能会影响业务的进行或会影响业务的进行或会影响业务的进行或会影响业务的进行或纪录，评估，在纪录，评估，在纪录，评估，在纪录，评估，在9090天内改进天内改进天内改进天内改进2 2轻微风险的安全问题轻微风险的安全问题轻微风险的安全问题轻微风险的安全问题轻微风险的安全问题，不会轻微风险的安全问题，不会轻微风险的安全问题，不会轻微风险的安全问题，不会对业务带来直接的影对业务带来直接的影对业务带来直接的影对业务带来直接的影响响响响纪录，评估，在纪录，评估，在纪录，评估，在纪录，评估，在120120天内改进天内改进天内改进天内改进1 1安全建议安全建议安全建议安全建议不属

25、于安全问题，但改进后不属于安全问题，但改进后不属于安全问题，但改进后不属于安全问题，但改进后可进一步提高安全可进一步提高安全可进一步提高安全可进一步提高安全记录，评估，在可行的情况记录，评估，在可行的情况记录，评估，在可行的情况记录，评估，在可行的情况下采用下采用下采用下采用15整理结果整理结果:服务器端服务器端严重级别严重级别安全问题安全问题5 5 5 5没有安装没有安装没有安装没有安装sp2sp2之后最新的之后最新的之后最新的之后最新的HotfixHotfix3 3 3 3没有限制匿名用户对本地安全子系统的访问没有限制匿名用户对本地安全子系统的访问没有限制匿名用户对本地安全子系统的访问没有

26、限制匿名用户对本地安全子系统的访问4 4 4 4没有制定密码策略没有制定密码策略没有制定密码策略没有制定密码策略 4 4 4 4没有定义账号锁定策略没有定义账号锁定策略没有定义账号锁定策略没有定义账号锁定策略3 3 3 3没有改变没有改变没有改变没有改变administratoradministrator账号以及配置该账号账号以及配置该账号账号以及配置该账号账号以及配置该账号4 4 4 4没有设置没有设置没有设置没有设置“允许从网络访问这台计算机允许从网络访问这台计算机允许从网络访问这台计算机允许从网络访问这台计算机“3 3 3 3删除不需要的协议，并且禁用删除不需要的协议，并且禁用删除不需要

27、的协议，并且禁用删除不需要的协议，并且禁用NetBIOS over NetBIOS over TCP/IPTCP/IP4 4 4 4没有将所有日志的保存方法设为没有将所有日志的保存方法设为没有将所有日志的保存方法设为没有将所有日志的保存方法设为“按需要改按需要改按需要改按需要改写日志写日志写日志写日志”2 2 2 2事件日志文件使用缺省大小事件日志文件使用缺省大小事件日志文件使用缺省大小事件日志文件使用缺省大小3 3 3 3没有针对重要文件进行审核没有针对重要文件进行审核没有针对重要文件进行审核没有针对重要文件进行审核3 3 3 3“允许从网络访问这台计算机允许从网络访问这台计算机允许从网络访

28、问这台计算机允许从网络访问这台计算机”的权限中有的权限中有的权限中有的权限中有everyoneeveryone组组组组3 3 3 3没有设置专职的信息安全管理人员没有设置专职的信息安全管理人员没有设置专职的信息安全管理人员没有设置专职的信息安全管理人员3 3 3 3缺少有效的备份计划和定期检查策略缺少有效的备份计划和定期检查策略缺少有效的备份计划和定期检查策略缺少有效的备份计划和定期检查策略4 4 4 4没有法律顾问没有法律顾问没有法律顾问没有法律顾问4 4 4 4没有应对紧急事件的机制没有应对紧急事件的机制没有应对紧急事件的机制没有应对紧急事件的机制4 4 4 4没有系统容错机制没有系统容错

29、机制没有系统容错机制没有系统容错机制3 3 3 3没有详细的安全管理文档没有详细的安全管理文档没有详细的安全管理文档没有详细的安全管理文档4 4 4 4没有针对登录事件进行审核没有针对登录事件进行审核没有针对登录事件进行审核没有针对登录事件进行审核3 3 3 3没有针对没有针对没有针对没有针对DNSDNS服务器的传输进行安全有效验服务器的传输进行安全有效验服务器的传输进行安全有效验服务器的传输进行安全有效验证证证证3 3 3 3IISIIS服务器安装了太多的不需要组件，也没服务器安装了太多的不需要组件，也没服务器安装了太多的不需要组件，也没服务器安装了太多的不需要组件，也没有安装相关补丁程序有

30、安装相关补丁程序有安装相关补丁程序有安装相关补丁程序4 4 4 4没有特权使用和策略更改的记录没有特权使用和策略更改的记录没有特权使用和策略更改的记录没有特权使用和策略更改的记录2 2 2 2没有监视相关服务器端口的机制没有监视相关服务器端口的机制没有监视相关服务器端口的机制没有监视相关服务器端口的机制3 3 3 3防火墙没有开启入侵检测防火墙没有开启入侵检测防火墙没有开启入侵检测防火墙没有开启入侵检测4 4 4 4没有利用组策略的安全模板进行配置没有利用组策略的安全模板进行配置没有利用组策略的安全模板进行配置没有利用组策略的安全模板进行配置4 4 4 4任何人能够进入电脑机房任何人能够进入电

31、脑机房任何人能够进入电脑机房任何人能够进入电脑机房4 4 4 4没有安全管理的流程没有安全管理的流程没有安全管理的流程没有安全管理的流程3 3 3 3网站安全验证的功能太弱网站安全验证的功能太弱网站安全验证的功能太弱网站安全验证的功能太弱3 3 3 3Sql Sql 安全配置不足安全配置不足安全配置不足安全配置不足4 4 4 4存在网络病毒现象存在网络病毒现象存在网络病毒现象存在网络病毒现象4 4 4 4数据库权限没有严格限定条件数据库权限没有严格限定条件数据库权限没有严格限定条件数据库权限没有严格限定条件4 4 4 4文件服务器的分区格式采用文件服务器的分区格式采用文件服务器的分区格式采用文

32、件服务器的分区格式采用FATFAT分区格式分区格式分区格式分区格式5 5 5 5企业邮件服务器没有安装邮件扫描插件企业邮件服务器没有安装邮件扫描插件企业邮件服务器没有安装邮件扫描插件企业邮件服务器没有安装邮件扫描插件16整理结果：工作站端整理结果：工作站端严重级别严重级别安全问题安全问题5 5 5 5没有安装操作系统补丁没有安装操作系统补丁没有安装操作系统补丁没有安装操作系统补丁3 3 3 3有的计算机没有加入域有的计算机没有加入域有的计算机没有加入域有的计算机没有加入域4 4 4 4没有离开计算机，锁定屏幕习惯没有离开计算机，锁定屏幕习惯没有离开计算机，锁定屏幕习惯没有离开计算机，锁定屏幕习

33、惯 4 4 4 4没有定义账号锁定策略没有定义账号锁定策略没有定义账号锁定策略没有定义账号锁定策略3 3 3 3没有复杂密码习惯没有复杂密码习惯没有复杂密码习惯没有复杂密码习惯4 4 4 4安装不需要的网络协议安装不需要的网络协议安装不需要的网络协议安装不需要的网络协议3 3 3 3随意打开未知内容的邮件随意打开未知内容的邮件随意打开未知内容的邮件随意打开未知内容的邮件4 4 4 4自行下载网络软件，并进行安装自行下载网络软件，并进行安装自行下载网络软件，并进行安装自行下载网络软件，并进行安装2 2 2 2上非法网站导致上非法网站导致上非法网站导致上非法网站导致IEIE被修改被修改被修改被修改

34、3 3 3 3不及时更新防病毒软件病毒库不及时更新防病毒软件病毒库不及时更新防病毒软件病毒库不及时更新防病毒软件病毒库3 3 3 3很多员工会把密码写到及时贴，放很多员工会把密码写到及时贴，放很多员工会把密码写到及时贴，放很多员工会把密码写到及时贴，放在电脑上在电脑上在电脑上在电脑上4 4 4 4随意将公司一些信息告知外来人员随意将公司一些信息告知外来人员随意将公司一些信息告知外来人员随意将公司一些信息告知外来人员4 4 4 4财务经理的笔记本电脑丢失，导致财务经理的笔记本电脑丢失，导致财务经理的笔记本电脑丢失，导致财务经理的笔记本电脑丢失，导致公司机密数据丢失。公司机密数据丢失。公司机密数据

35、丢失。公司机密数据丢失。3 3 3 3公司电脑机箱被随意打开公司电脑机箱被随意打开公司电脑机箱被随意打开公司电脑机箱被随意打开5 5 5 5存在存在存在存在“W32/NimdaMM”“W32/NimdaMM”的蠕虫病毒的蠕虫病毒的蠕虫病毒的蠕虫病毒17书写安全评估报告书写安全评估报告l l安全评估报告应该包含的部分：安全评估报告应该包含的部分：安全评估报告应该包含的部分：安全评估报告应该包含的部分：文档版本，完成时间，撰写和审核者；文档版本，完成时间，撰写和审核者；文档版本，完成时间，撰写和审核者；文档版本，完成时间，撰写和审核者；安全评估说明：安全审核的目的，客户，安全顾问提供者；安全评估说

36、明：安全审核的目的，客户，安全顾问提供者；安全评估说明：安全审核的目的，客户，安全顾问提供者；安全评估说明：安全审核的目的，客户，安全顾问提供者；审核目标：审核范围和审核对象；审核目标：审核范围和审核对象；审核目标：审核范围和审核对象；审核目标：审核范围和审核对象；审核过程：审核工作开始和结束时间，审核使用的工具和手段，参审核过程：审核工作开始和结束时间，审核使用的工具和手段，参审核过程：审核工作开始和结束时间，审核使用的工具和手段，参审核过程：审核工作开始和结束时间，审核使用的工具和手段，参与者；与者；与者；与者；审核结果审核结果审核结果审核结果客户基本信息；客户基本信息；客户基本信息；客户

37、基本信息；审核结果审核结果审核结果审核结果客户网络拓扑结构；客户网络拓扑结构；客户网络拓扑结构；客户网络拓扑结构；审核结果审核结果审核结果审核结果客户服务器信息；客户服务器信息；客户服务器信息；客户服务器信息；审核结果审核结果审核结果审核结果客户工作站信息；客户工作站信息；客户工作站信息；客户工作站信息；审核结果审核结果审核结果审核结果按照严重级别排列的威胁；按照严重级别排列的威胁；按照严重级别排列的威胁；按照严重级别排列的威胁；安全现状综合评价安全现状综合评价安全现状综合评价安全现状综合评价安全建议安全建议安全建议安全建议术语术语术语术语 18安全方案设计安全方案设计19定义企业安全策略定义

38、企业安全策略l l企业安全策略定义企业网络安全的目标和范企业安全策略定义企业网络安全的目标和范围，即安全策略所要求保护的信息资产的组围，即安全策略所要求保护的信息资产的组成和安全策略所适用的范围。成和安全策略所适用的范围。l l企业安全策略作为行为标准，定义信息系统企业安全策略作为行为标准，定义信息系统中用户的行为和动作是否可以接受。每一条中用户的行为和动作是否可以接受。每一条具体的策略都由政策、目的、范围、定义遵具体的策略都由政策、目的、范围、定义遵守和违背政策、违背策略的惩罚和结果等有守和违背政策、违背策略的惩罚和结果等有关的部分组成。这些策略会被作为整个企业关的部分组成。这些策略会被作为

39、整个企业的政策分发到企业的所有组织，并且企业内的政策分发到企业的所有组织，并且企业内所有员工被强制要求必须内遵守。所有员工被强制要求必须内遵守。20InternetInternet访问策略访问策略该策略用来明确每位员工在该策略用来明确每位员工在该策略用来明确每位员工在该策略用来明确每位员工在InternetInternet访问活动中应该访问活动中应该访问活动中应该访问活动中应该担负的责任，并不对企业造成危害。担负的责任，并不对企业造成危害。担负的责任，并不对企业造成危害。担负的责任，并不对企业造成危害。所有被允许能够进行所有被允许能够进行所有被允许能够进行所有被允许能够进行InternetIn

40、ternet访问的员工必须在该文访问的员工必须在该文访问的员工必须在该文访问的员工必须在该文档上签名，然后才能给予访问权限。档上签名，然后才能给予访问权限。档上签名，然后才能给予访问权限。档上签名，然后才能给予访问权限。组成部分：组成部分：组成部分：组成部分：1 1、定义什么是、定义什么是、定义什么是、定义什么是InternetInternet访问行为访问行为访问行为访问行为2 2、定义责任、定义责任、定义责任、定义责任3 3、定义用户可以做什么，不可以做什么、定义用户可以做什么，不可以做什么、定义用户可以做什么，不可以做什么、定义用户可以做什么，不可以做什么4 4、如果用户违反该策略，相关部

41、门会采取的行动、如果用户违反该策略，相关部门会采取的行动、如果用户违反该策略，相关部门会采取的行动、如果用户违反该策略，相关部门会采取的行动21安全管理安全管理l l在制定安全策略的基础上，企业内部应该成在制定安全策略的基础上，企业内部应该成立安全管理小组，包含相关人员，全面负责立安全管理小组，包含相关人员，全面负责安全管理，主要职责包括：安全管理，主要职责包括：安全策略制定和推广安全策略制定和推广安全策略制定和推广安全策略制定和推广进行定期的安全审核进行定期的安全审核进行定期的安全审核进行定期的安全审核安全事件响应安全事件响应安全事件响应安全事件响应安全技术选择和产品选购安全技术选择和产品选

42、购安全技术选择和产品选购安全技术选择和产品选购员工安全培训员工安全培训员工安全培训员工安全培训取得行政和资金上的支持取得行政和资金上的支持取得行政和资金上的支持取得行政和资金上的支持内部和外部信息交流内部和外部信息交流内部和外部信息交流内部和外部信息交流22安全风险分析安全风险分析l l根据安全评估阶段提供的安全问题列表，按根据安全评估阶段提供的安全问题列表，按照严重级别进行排序，然后进行分析，步骤照严重级别进行排序，然后进行分析，步骤包括：包括：分析安全问题面临的风险；分析安全问题面临的风险；分析安全问题面临的风险；分析安全问题面临的风险；查找安全问题之间的关联性；查找安全问题之间的关联性；

43、查找安全问题之间的关联性；查找安全问题之间的关联性；寻求解决方案。寻求解决方案。寻求解决方案。寻求解决方案。23服务器安全问题（服务器安全问题（1 1）等级等级安全问题安全问题安全问题安全问题风险风险风险风险5 5系统中没有安装系统中没有安装sp2sp2之后最新的之后最新的HotfixHotfix系统存在严重的安全漏洞系统存在严重的安全漏洞5 5企业邮件服务器没有安装邮件扫描企业邮件服务器没有安装邮件扫描插件插件病毒邮件的扩散，内部员工通过邮件病毒邮件的扩散，内部员工通过邮件向外发送企业机密数据向外发送企业机密数据4 4没有制定密码策略没有制定密码策略弱口令弱口令4 4没有定义账号锁定策略没有

44、定义账号锁定策略字典或暴力攻击字典或暴力攻击3 3没有改变没有改变administratoradministrator账号以及配账号以及配置该账号置该账号口令猜测口令猜测4 4“允许从网络访问这台计算机允许从网络访问这台计算机”的的权限中有权限中有everyoneeveryone组组从网络发起入侵从网络发起入侵4 4没有将所有日志的保存方法设为没有将所有日志的保存方法设为“按需要改写日志按需要改写日志”日志不完整或日志伪造日志不完整或日志伪造2 2事件日志文件使用缺省大小事件日志文件使用缺省大小不完整记录或者日志伪造不完整记录或者日志伪造4 4没有法律顾问没有法律顾问触犯法律或者不能及时得到法

45、律支持触犯法律或者不能及时得到法律支持24服务器安全问题（服务器安全问题（2 2）4 4没有系统容错机制没有系统容错机制系统容错能力脆弱系统容错能力脆弱4 4没有针对登录事件进行审核没有针对登录事件进行审核非法登录非法登录4 4没有策略更改的记录没有策略更改的记录非法修改策略非法修改策略4 4没有利用组策略的安全模板进行配置没有利用组策略的安全模板进行配置分散的安全管理分散的安全管理4 4任何人能够进入电脑机房任何人能够进入电脑机房物理安全威胁物理安全威胁4 4没有安全管理的流程没有安全管理的流程安全管理混乱，容易导致信息泄漏安全管理混乱，容易导致信息泄漏4 4没有应对紧急事件的机制没有应对紧

46、急事件的机制延误时机，使安全破坏更为严重延误时机，使安全破坏更为严重3 3没有设置专职的信息安全管理人员没有设置专职的信息安全管理人员安全管理混乱安全管理混乱3 3没有详细的安全管理文档没有详细的安全管理文档安全管理混乱安全管理混乱4 4存在网络病毒现象存在网络病毒现象病毒扩散并难以清除病毒扩散并难以清除4 4数据库权限没有严格限定条件数据库权限没有严格限定条件非法防问非法防问4 4文件服务器的分区格式采用文件服务器的分区格式采用FATFAT分区格分区格式式没有本地安全性没有本地安全性3 3没有限制匿名用户访问没有限制匿名用户访问空会话威胁空会话威胁25服务器安全问题（服务器安全问题（3 3）

47、3 3没有删除不需要的协议，并且禁用没有删除不需要的协议，并且禁用NetBIOS over TCP/IPNetBIOS over TCP/IP存在潜在的协议漏洞存在潜在的协议漏洞3 3没有针对重要文件进行审核没有针对重要文件进行审核非法访问和修改非法访问和修改3 3缺少有效的备份计划和定期检查策略缺少有效的备份计划和定期检查策略灾难发生时无法从备份中恢复数据灾难发生时无法从备份中恢复数据3 3没有针对没有针对DNSDNS服务器的传输进行安全有效服务器的传输进行安全有效验证验证非法的区域传输非法的区域传输3 3用户登录验证是明文传输用户登录验证是明文传输网络窃听网络窃听3 3IISIIS服务器安

48、装了太多的不需要组件，也没服务器安装了太多的不需要组件，也没有安装相关补丁程序有安装相关补丁程序存在严重漏洞，容易被黑客攻击存在严重漏洞，容易被黑客攻击3 3没有特权使用的记录没有特权使用的记录非法特权使用非法特权使用3 3防火墙没有开启入侵检测防火墙没有开启入侵检测漏洞扫描漏洞扫描3 3Sql Sql 安全配置不足安全配置不足存在可以被入侵者利用的漏洞存在可以被入侵者利用的漏洞2 2没有监视相关服务器端口的机制没有监视相关服务器端口的机制服务器可能被种植木马服务器可能被种植木马2 2SMTPSMTP服务器开启了服务器开启了relay relay 设置设置成为垃圾邮件中转站成为垃圾邮件中转站2

49、6工作站安全问题工作站安全问题级别级别级别级别安全问题安全问题安全问题安全问题风险风险风险风险5 5没有安装操作系统补丁没有安装操作系统补丁存在严重漏洞存在严重漏洞4 4没有离开计算机，锁定屏幕习惯没有离开计算机，锁定屏幕习惯 被非法访问被非法访问4 4没有定义账号锁定策略没有定义账号锁定策略口令猜测口令猜测4 4财务经理的笔记本电脑丢失，导致公司机财务经理的笔记本电脑丢失，导致公司机密数据丢失。密数据丢失。数据失窃数据失窃4 4安装不需要的网络协议安装不需要的网络协议潜在的网络协议漏洞潜在的网络协议漏洞4 4自行下载网络软件，并进行安装自行下载网络软件，并进行安装感染病毒，木马，并导致系统不

50、感染病毒，木马，并导致系统不稳定稳定3 3随意打开未知内容的邮件随意打开未知内容的邮件感染邮件病毒或木马感染邮件病毒或木马4 4随意将公司一些信息告知外来人员随意将公司一些信息告知外来人员泄露信息机密泄露信息机密3 3很多员工会把密码写到及时贴，放在电脑很多员工会把密码写到及时贴，放在电脑上上泄露信息机密泄露信息机密3 3不及时更新防病毒软件病毒库不及时更新防病毒软件病毒库感染病毒感染病毒3 3公司电脑机箱被随意打开公司电脑机箱被随意打开物理威胁物理威胁3 3没有复杂密码习惯没有复杂密码习惯口令猜测攻击口令猜测攻击3 3有的计算机没有加入域有的计算机没有加入域无法进行集中管理，无法实现集无法进