企业网络安全设计:案例分析
14
需要搜集的基本信息
企业信息: • 企业名称 • 业务范围 • 地理分布 • 员工数量 • 组织结构 • 管理模式 • 预期的增长或重组 网络: • 物理拓扑结构 • 网络设备 • 逻辑网络划分(活动目录结构) • 局域网结构 • 广域网结构 • 远程访问 • 互联网接入 • 网络协议类型 • 主要网络流量 • 防火墙和入侵检测系统
23
Internet访问策略
该策略用来明确每位员工在Internet访问活动中应该 担负的责任,并不对企业造成危害。 所有被允许能够进行Internet访问的员工必须在该文 档上签名,然后才能给予访问权限。 组成部分: 1、定义什么是Internet访问行为 2、定义责任 3、定义用户可以做什么,不可以做什么 4、如果用户违反该策略,相关部门会采取的行动
4
伟达投资的组织结构
上海总部 (200人) 行政部 人力资源部 管理部 公共关系部 固定资产部 采购部 IT总部 市场部 销售部 北京分公司(100人) 行政部 财务部 人力资源部 管理部 销售市场部 IT管理部 太阳能部 质量控制部 法律事务部
5
伟达投资的发展
伟达(中国)公司从1985年成立,经历了一个飞速的发展 过程,特别是90年代起收购了多家国内知名的的公司,而 且在中国一直与政府及大型能源企业都有全面的合作。公 司营业额在5年间增长了10倍,目前在国内的主要大城市 都有分公司和代表处,基于上述的业务增长,员工人数也 增加了8倍。 但是公司的急速扩张造成了公司IT管理部门的巨大工作压 力,公司原有的IT管理构架早已不堪重负。于是在2001年 初,公司对伟达(中国)的整个网络系统进行了一次重大 升级, 包括增加网络带宽,更换核心设备, 并将整个系 统从Windows NT4平台全部迁移到了Windows2000平台 并采用了活动目录服务, 以提高整个网络系统的可用性和 可管理性。
24
安全管理
在制定安全策略的基础上,企业内部应该成 立安全管理小组,包含相关人员,全面负责 安全管理,主要职责包括:
安全策略制定和推广 进行定期的安全审核 安全事件响应 安全技术选择和产品选购 员工安全培训 取得行政和资金上的支持 内部和外部信息交流
25
安全风险分析
根据安全评估阶段提供的安全问题列表,按 照严重级别进行排序,然后进行分析,步骤 包括:
企业网络安全设计:案例分析
魏强 广州市灵通新技术有限公司
1
内容
案例介绍 安全评估 安全方案设计
2
案例介绍
以下内容,均系虚构,如有雷同,纯属巧合。
3
伟达投资
伟达(中国)投资有限公司是一家全球500 强的跨国能源集团在华的独资企业,从事太 阳能,电力,石油,化工,相关销售等项目 等的公司。 伟达(中国)投资有限公司总部设在上海外 滩,上海总部有200名员工,并在北京拥有 1家分公司,员工约100人。
8
危机!
该公司网站使用Windows 2000上的IIS作为对外的WEB服 务器,该网站WEB服务器负责公司的信息提供和电子商务。 在外网上部署了硬件防火墙,只允许到服务器TCP 80端口 的访问。 但是在12月21日上午,一个客户发邮件通知公司网站管理 员李勇,说该公司网站的首页被人修改,同时被发布到国 内的某黑客论坛,介绍入侵的时间和内容。 李勇立刻查看网站服务器,除了网站首页被更改,而且发 现任务列表中存在未知可疑进程,并且不能杀死。同时发 现网站数据库服务器有人正在拷贝数据! 李勇及时断开数据服务器,利用备份程序及时恢复网站服 务器内容,但是没有过了半小时,又出现类似情况,李勇 紧急通知IT管理人员王勇,告知该情况,于是王勇联系总 部指定的安全服务提供商维康安全有限公司11用户的目标 Nhomakorabea
―我们做了尽可能多的工作,努力提我们的响应速度,缩短解决问题的 时间,但是很多情况下我们总是在问题出现了之后才开始解决,在这 种情况下我们很难及时解决问题,每次都会有一天到两天大部份系统 不能使用,而且也无法对可能发生的问题做有效的估计”李杰,伟达 (中国)的IT服务中心经理抱怨说。 “我们在很多方面的工作都很成功,但是就是由于这些网络上令人讨 厌的病毒,造成了我们还是经常收到来自个方面的投诉,显然这不是 我们想看到的。我们需要严密的系统和严格的策略来保证我们业务系 统的稳定性和可用性”伟达(中国)首席信息官(CIO)余鸣先生如 是说。 “我们需要一个可靠、稳定、安全,易于管理和维护的IT解决方案, 以及基于此方案的优秀IT服务部门,用以支撑我们公司的运营,以及 未来的发展。”公司总裁(CEO)张其军解释。
记录,评估,在15至30天内 更改
3 中度风险的安全问题 2 轻微风险的安全问题 1 安全建议
纪录,评估,在90天内改进
纪录,评估,在120天内改进
记录,评估,在可行的情况 下采用
18
整理结果:服务器端
严重级别 安全问题 4 3 4 3 3 4 2 3 4 4 4 3 3 4 4 4 5 没有系统容错机制 没有详细的安全管理文档 没有针对登录事件进行审核 没有针对DNS服务器的传输进行安全有效验 证 IIS服务器安装了太多的不需要组件,也没 有安装相关补丁程序 没有特权使用和策略更改的记录 没有监视相关服务器端口的机制 防火墙没有开启入侵检测 没有利用组策略的安全模板进行配置 任何人能够进入电脑机房 没有安全管理的流程 网站安全验证的功能太弱 Sql 安全配置不足 存在网络病毒现象 数据库权限没有严格限定条件 文件服务器的分区格式采用FAT分区格式 企业邮件服务器没有安装邮件扫描插件
分析安全问题面临的风险; 查找安全问题之间的关联性; 寻求解决方案。
26
服务器安全问题(1)
等级 5 5 4 安全问题 系统中没有安装sp2之后最新的 Hotfix 风险 系统存在严重的安全漏洞 企业邮件服务器没有安装邮件扫描 病毒邮件的扩散,内部员工通过邮件 插件 向外发送企业机密数据 没有制定密码策略 弱口令
5
3 4 4 3 4 3 4 2 3 3 3 3
没有安装sp2之后最新的Hotfix
没有限制匿名用户对本地安全子系统的访问 没有制定密码策略 没有定义账号锁定策略 没有改变administrator账号以及配置该账号 没有设置“允许从网络访问这台计算机“ 删除不需要的协议,并且禁用NetBIOS over TCP/IP 没有将所有日志的保存方法设为“按需要改 写日志” 事件日志文件使用缺省大小 没有针对重要文件进行审核 “允许从网络访问这台计算机”的权限中有 everyone组 没有设置专职的信息安全管理人员 缺少有效的备份计划和定期检查策略
9
问题!
经过初步安全检查,发现以下问题: 邮件服务器没有防病毒扫描模块;
客户端有W32/Mydoom@MM邮件病毒问题 路由器密码缺省没有修改过,非常容易被人攻击; 网站服务器系统没有安装最新微软补丁 没有移除不需要的功能组件; 用户访问没有设置复杂密码验证,利用字典攻击,非常容 易猜出用户名和密码,同时分厂员工对于网站访问只使用 了简单密码验证,容易被人嗅听到密码。 数据库系统SQL 2000 SA用户缺省没有设置密码; 数据库系统SQL 2000 没有安装任何补丁程序
15
使用安全评测工具
安全评测工具通过内置的已知漏洞和风险库,对 指定的系统进行全面的扫描 安全评测工具可以快速定位漏洞和风险 MBSA(Microsoft Baseline Security Analyzer, 基准安全分析器)是微软提供的系统安全分析及 解决工具。 MBSA可以对本机或者网络上的Windows NT/2000/XP的系统进行安全性检测,还可以检测 其它的一些微软产品,诸如SQL7.0/2000、5.01以 上版本的Internet Explorer、IIS4.0/5.0/5.1和 Office2000/XP,并给出相应的解决方法。
16
使用MBSA
17
评价风险
问题严重程度 5 严重安全问题 4 高风险安全问题 定义 严重的安全漏洞,如果被利 用会对业务产生严重 的破坏 严重的安全漏洞,如果被利 用将/可能会对业务产 生严重的影响 中度风险的安全问题,可能 会影响业务的进行或 轻微风险的安全问题,不会 对业务带来直接的影 响 不属于安全问题,但改进后 可进一步提高安全 建议 记录,评估,立即更改
20
书写安全评估报告
安全评估报告应该包含的部分:
文档版本,完成时间,撰写和审核者; 安全评估说明:安全审核的目的,客户,安全顾问提供者; 审核目标:审核范围和审核对象; 审核过程:审核工作开始和结束时间,审核使用的工具和手段, 参与者; 审核结果——客户基本信息; 审核结果——客户网络拓扑结构; 审核结果——客户服务器信息; 审核结果——客户工作站信息; 审核结果——按照严重级别排列的威胁; 安全现状综合评价 安全建议 术语
主机:
•服务器数量,名称,用途,分布 •服务器操作系统及版本 •用户身份验证方式 •工作站数量,用途和分布 •工作站操作系统及版本 •操作系统补丁部署 •防病毒部署 •主机防火墙 •计算机安全管理 安全管理: •企业安全策略和声明 •物理安全管理 •员工安全培训 •安全响应机制 •安全需求和满足程度
4
3 4 4 2 4
没有定义账号锁定策略
字典或暴力攻击
没有改变administrator账号以及配 口令猜测 置该账号 “允许从网络访问这台计算机”的 从网络发起入侵 权限中有everyone组 没有将所有日志的保存方法设为 “按需要改写日志” 事件日志文件使用缺省大小 没有法律顾问 日志不完整或日志伪造 不完整记录或者日志伪造 触犯法律或者不能及时得到法律支持