企业网络安全设计：案例分析.ppt

《企业网络安全设计：案例分析.ppt》由会员分享，可在线阅读，更多相关《企业网络安全设计：案例分析.ppt（66页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、123以下内容，均系虚构，如有雷同，纯属巧合。45上海总部 (200人)行政部人力资源部管理部公共关系部固定资产部采购部IT总部市场部销售部北京分公司（100人）行政部财务部人力资源部管理部销售市场部IT管理部太阳能部质量控制部法律事务部 6789101112131415l企业信息：企业名称业务范围地理分布员工数量组织结构管理模式预期的增长或重组l网络：物理拓扑结构网络设备逻辑网络划分（活动目录结构）局域网结构广域网结构远程访问互联网接入网络协议类型主要网络流量防火墙和入侵检测系统l主机：服务器数量，名称，用途，分布服务器操作系统及版本用户身份验证方式工作站数量，用途和分布工作站操作系统及版本

2、操作系统补丁部署防病毒部署主机防火墙计算机安全管理l安全管理：企业安全策略和声明物理安全管理员工安全培训安全响应机制安全需求和满足程度 161718192021222324252627等级安全问题安全问题风险风险5系统中没有安装sp2之后最新的Hotfix系统存在严重的安全漏洞5企业邮件服务器没有安装邮件扫描插件病毒邮件的扩散，内部员工通过邮件向外发送企业机密数据4没有制定密码策略弱口令4没有定义账号锁定策略字典或暴力攻击3没有改变administrator账号以及配置该账号口令猜测4“允许从网络访问这台计算机”的权限中有everyone组从网络发起入侵4没有将所有日志的保存方法设为“按需要改

3、写日志”日志不完整或日志伪造2事件日志文件使用缺省大小不完整记录或者日志伪造4没有法律顾问触犯法律或者不能及时得到法律支持284没有系统容错机制系统容错能力脆弱4没有针对登录事件进行审核非法登录4没有策略更改的记录非法修改策略4没有利用组策略的安全模板进行配置分散的安全管理4任何人能够进入电脑机房物理安全威胁4没有安全管理的流程安全管理混乱，容易导致信息泄漏4没有应对紧急事件的机制延误时机，使安全破坏更为严重3没有设置专职的信息安全管理人员安全管理混乱3没有详细的安全管理文档安全管理混乱4存在网络病毒现象病毒扩散并难以清除4数据库权限没有严格限定条件非法防问4文件服务器的分区格式采用FAT分区

4、格式没有本地安全性3没有限制匿名用户访问空会话威胁293没有删除不需要的协议，并且禁用NetBIOS over TCP/IP存在潜在的协议漏洞3没有针对重要文件进行审核非法访问和修改3缺少有效的备份计划和定期检查策略灾难发生时无法从备份中恢复数据3没有针对DNS服务器的传输进行安全有效验证非法的区域传输3用户登录验证是明文传输网络窃听3IIS服务器安装了太多的不需要组件，也没有安装相关补丁程序存在严重漏洞，容易被黑客攻击3没有特权使用的记录非法特权使用3防火墙没有开启入侵检测漏洞扫描3Sql 安全配置不足存在可以被入侵者利用的漏洞2没有监视相关服务器端口的机制服务器可能被种植木马2SMTP服务

5、器开启了relay 设置成为垃圾邮件中转站30级别级别安全问题安全问题风险风险5没有安装操作系统补丁存在严重漏洞4没有离开计算机，锁定屏幕习惯 被非法访问4没有定义账号锁定策略口令猜测4财务经理的笔记本电脑丢失，导致公司机密数据丢失。数据失窃4安装不需要的网络协议潜在的网络协议漏洞4自行下载网络软件，并进行安装感染病毒，木马，并导致系统不稳定3随意打开未知内容的邮件感染邮件病毒或木马4随意将公司一些信息告知外来人员泄露信息机密3很多员工会把密码写到及时贴，放在电脑上泄露信息机密3不及时更新防病毒软件病毒库感染病毒3公司电脑机箱被随意打开物理威胁3没有复杂密码习惯口令猜测攻击3有的计算机没有加入

6、域无法进行集中管理，无法实现集中身份验证2部门管理人员放在我的文件夹中的数据不会自己备份数据丢失影响影响用户不能正常工作3Snmp的配置可以使用缺省用户探询信息导致公司相关设备信息丢失和一些配置信息被修改313233343536Internetweb,ftp,mail)透过防火墙透过防火墙 的保护发布給外网用户的保护发布給外网用户lIntrusion Detection - 防火墙入侵监测防火墙入侵监测lMonitor and Logging 进出流量分析与报表进出流量分析与报表lWeb 缓存缓存-37InternetISA Server3839ISA Server 2000InternetI

7、nternal NetworkPerimeter Network404142InternetISA Server阵列阵列FireWall(硬件)DMZ内部网内部网(2000+工作站工作站)43444546IDC机房机房/固定固定IPVPNVPNOffice-1Office-2Office-3拨号线路InternetInternetInternet47484950515253545556575859 事件响应步骤事件响应步骤采取的行动采取的行动初步评估星期一早上十点钟，伟达公司的系统管理员李勇接到公司销售部门的员工张娟的电话，说在访问公司对外Web网站时，发现主页被篡改。李勇是伟达公司的安全安全

8、事件响应小组的成员，公司员工已经经过培训，被要求一旦怀疑发现安全事件，立刻向IT部门报告。李勇接到电话后，立刻访问公司主页，发现确实被人篡改，入侵者留下了恶作剧般的声明，但并没有表明身份和目的。这不是误报。通报事件李勇立刻通过电子邮件通报了他发现的问题，并电话通知了所有可以联系到的安全小组成员。 控制损失伟达公司的安全事件响应策略规定，在确定暴露在Internet上的某台服务器被入侵后，要求立即断开该系统与网络的连接。李勇按照此策略拔掉了网线。但是没有考虑到对企业业务的影响，暂时没有断开整个企业到Internet的连接。确定破坏程度李勇检查了防火墙日志，检查了邮件服务器和数据库服务器，暂时没有

9、发现有入侵痕迹。由于该Web服务器属于独立的工作组，其上存在的用户帐户也没有被用在其他的系统上，基本可以断定该次安全事件只影响到了Web服务器。60通报事件李勇将其后续操作及检查结果用电子邮件通知了安全事件响应小组的其他成员，并直接联系了安全事件响应小组领导人公司副总经理张杰。张杰指派CIO余明作为事件负责人。余明将协调安全事件响应小组的所有活动及其与外部的信息沟通。余明通知IT 支持小组，告诉他们该 Web 服务器已断开与网络的连接，待问题解决后才能重新连接到网络上。余明还通知了行政管理层和法律顾问。法律顾问建议按既定步骤收集证据。保存证据余明决定根据法律顾问的建议，在对受到入侵的Web服务

10、器进行进一步入侵分析之前进行证据收集。安全事件响应小组中经过培训负责收集法律证据的成员创建了该Web服务器的完全备份。一个备份被保存起来作为以后的法律证据使用。另一个备份被保存起来作为数据恢复中可能用到数据保存。按照安全策略规定，作为法律证据的备份保存在只可写入一次的刻录光盘上，在密封以后与服务器上的硬盘一起放在一个安全的位置。确定攻击的类型合严重程度另一名安全事件响应小组成员王勇， 对该Web服务器运行了MBSA，发现针对IIS多个有重要的漏洞补丁没有打，入侵者可能通过Unicode解码漏洞或者索引服务漏洞成功入侵。对Web服务器的进行HTTP日志分析发现，入侵者使用Unicode漏洞入侵，

11、并记录了入侵者的IP地址。同时使用其他安全检查工具，对帐户，注册表，安全策略进行检查，以确定入侵者是否还进行了其他破坏。王勇也对其他的服务器进行了MBSA的扫描，没有发现其他问题。61通知外部机构信息沟通人员将此事件相关信息报告给了公安部门。同时，考虑到某些客户可能通过企业Web站点进行合同信息的修改，立刻通知了可能受到影响的客户，建议他们暂时使用传真和电子邮件进行交流。恢复系统但出于安全考虑，安全事件响应小组和 WEB服务器支持小组决定在新硬盘上重新安装操作系统，重新配置Web站点，以确保没有留下可被黑客利用的后门。重新安装了操作系统，配置了IIS后，立刻安装了最新的服务包，安全修复补丁，配

12、置了安全选项，运行了IIS Lockdown，安装了防病毒软件并升级到最新的病毒特征库。王勇找到了最近的Web站点数据文件，并检查不存在病毒，然后还原了数据。安全事件响应小组执行了一次完整的系统漏洞评估，Web服务器被重新连接到网络上，并受到密切监控。62整理和回顾余明和安全事件响应小组召开了会议，研究了出现漏洞的原因，最后确定Web服务器在最近被重新安装过，但没有安装修补程序。这与明确定义的安全策略是相违背的。 安全事件响应小组认为，此次事件表明，企业安全策略没有被完全遵守，表现在：1.操作系统重新安装后，系统管理员没有应用修补程序；2.未经过信息安全部门的批准，使该服务器上线运行。安全事件

13、响应小组建议对相关当事人进行处罚，并在企业内进行安全策略的相关培训。 余明和安全事件响应小组整理了所有的记录资料，以确定针对此事件完成了哪些任务、每项任务所用的时间，以及是谁执行的任务。此信息发送给财务部门，用以根据“公认会计原则”来计算计算机损失的代价。紧急响应小组负责人张杰将确保让公司管理层了解到了该事件的损失，事件发生的原因，以及防止此类事件再次发生的计划。这也是让管理层认识到企业安全策略，以及类似于紧急安全响应小组存在得价值。 小组中适当的成员检查总结了全部的记录资料、得到的经验教训，以及遵守和未遵守的策略，作为档案保存。 采取的相关法律行动的记录资料和步骤通过了公司法律顾问、安全事件响应小组负责人和公司管理层的审查。63646566