企业网络安全设计：案例分析

Click to edit Title Slide,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,企业网络安全设计：案例分析,魏强,广州市灵通新技术有限公司,1,内容,案例介绍,安全评估,安全方案设计,2,案例介绍,以下内容，均系虚构，如有雷同，纯属巧合。,3,伟达投资,伟达（中国）投资有限公司是一家全球500强的跨国能源集团在华的独资企业，从事太阳能，电力，石油，化工，相关销售等项目等的公司。,伟达（中国）投资有限公司总部设在上海外滩，上海总部有200名员工，并在北京拥有1家分公司，员工约100人。,4,伟达投资的组织结构,上海总部,(200,人,),行政部,人力资源部,管理部,公共关系部,固定资产部,采购部,IT总部,市场部,销售部,北京分公司（1,00,人）,行政部,财务部,人力资源部,管理部,销售市场部,IT管理部,太阳能部,质量控制部,法律事务部,5,伟达投资的发展,伟达（中国）公司从1985年成立，经历了一个飞速的发展过程，特别是90年代起收购了多家国内知名的的公司，而且在中国一直与政府及大型能源企业都有全面的合作。公司营业额在5年间增长了10倍，目前在国内的主要大城市都有分公司和代表处，基于上述的业务增长，员工人数也增加了8倍。,但是公司的急速扩张造成了公司IT管理部门的巨大工作压力，公司原有的IT管理构架早已不堪重负。于是在2001年初，公司对伟达（中国）的整个网络系统进行了一次重大升级， 包括增加网络带宽，更换核心设备， 并将整个系统从Windows NT4平台全部迁移到了Windows2000平台并采用了活动目录服务， 以提高整个网络系统的可用性和可管理性。,6,伟达的网络拓扑结构,7,风险,但是，由于太多的日常维护工作而忽略了系统策略及安全政策的制订及执行不力，管理员的日常维护工作又没有标准可循，系统及数据备份也是根本没有考虑到灾难恢复，经常会有一些系统安全问题暴露出来。,8,危机！,该公司网站使用Windows 2000上的IIS作为对外的WEB服务器，该网站WEB服务器负责公司的信息提供和电子商务。在外网上部署了硬件防火墙，只允许到服务器TCP 80端口的访问。,但是在12月21日上午，一个客户发邮件通知公司网站管理员李勇，说该公司网站的首页被人修改，同时被发布到国内的某黑客论坛，介绍入侵的时间和内容。,李勇立刻查看网站服务器，除了网站首页被更改，而且发现任务列表中存在未知可疑进程，并且不能杀死。同时发现网站数据库服务器有人正在拷贝数据！,李勇及时断开数据服务器，利用备份程序及时恢复网站服务器内容，但是没有过了半小时，又出现类似情况，李勇紧急通知IT管理人员王勇，告知该情况，于是王勇联系总部指定的安全服务提供商维康安全有限公司,9,问题！,经过初步安全检查，发现以下问题：,邮件服务器没有防病毒扫描模块；,客户端有,W32/MydoomMM,邮件病毒问题,路由器密码缺省没有修改过，非常容易被人攻击；,网站服务器系统没有安装最新微软补丁,没有移除不需要的功能组件；,用户访问没有设置复杂密码验证，利用字典攻击，非常容易猜出用户名和密码，同时分厂员工对于网站访问只使用了简单密码验证，容易被人嗅听到密码。,数据库系统SQL 2000 SA用户缺省没有设置密码；,数据库系统SQL 2000 没有安装任何补丁程序,10,亡羊补牢,王勇看到方明的报告非常吃惊，急忙上告公司CIO余鸣，介绍公司网络安全状况，同时提及如果不及时解决公司安全问题，可能会造成非常大的经济和声誉上的影响。,12月22日上午，伟达公司立即召开紧急会议商讨此事， 希望籍此吸取教训，彻底整改，在进行安全风险评估的基础上，全面提高企业网络安全性。,11,用户的目标,“我们做了尽可能多的工作，努力提我们的响应速度，缩短解决问题的时间，但是很多情况下我们总是在问题出现了之后才开始解决，在这种情况下我们很难及时解决问题，每次都会有一天到两天大部份系统不能使用，而且也无法对可能发生的问题做有效的估计”李杰，伟达（中国）的IT服务中心经理抱怨说。,“我们在很多方面的工作都很成功，但是就是由于这些网络上令人讨厌的病毒，造成了我们还是经常收到来自个方面的投诉，显然这不是我们想看到的。我们需要严密的系统和严格的策略来保证我们业务系统的稳定性和可用性”伟达（中国）首席信息官（CIO）余鸣先生如是说。,“我们需要一个可靠、稳定、安全，易于管理和维护的IT解决方案，以及基于此方案的优秀IT服务部门，用以支撑我们公司的运营，以及未来的发展。”公司总裁(CEO)张其军解释。,12,风险评估,13,风险评估的一般过程,只有经过全面的风险评估过程，才能够有针对性地制定安全实施放案，选择合适的安全技术和产品。,在风险评估过程，需要：,收集一切和网络安全相关的信息；,使用安全评测工具进行脆弱点检查；,分析收集到的信息，定义威胁级别。,安全不是最终结果，而是一种过程或者一种状态。安全评估必须按照一定的周期不断进行，才能保证持续的安全。,14,需要搜集的基本信息,企业信息：,企业名称,业务范围,地理分布,员工数量,组织结构,管理模式,预期的增长或重组,网络：,物理拓扑结构,网络设备,逻辑网络划分（活动目录结构）,局域网结构,广域网结构,远程访问,互联网接入,网络协议类型,主要网络流量,防火墙和入侵检测系统,主机,：,服务器数量，名称，用途，分布,服务器操作系统及版本,用户身份验证方式,工作站数量，用途和分布,工作站操作系统及版本,操作系统补丁部署,防病毒部署,主机防火墙,计算机安全管理,安全管理：,企业安全策略和声明,物理安全管理,员工安全培训,安全响应机制,安全需求和满足程度,15,使用安全评测工具,安全评测工具通过内置的已知漏洞和风险库，对指定的系统进行全面的扫描,安全评测工具可以快速定位漏洞和风险,MBSA（Microsoft Baseline Security Analyzer，基准安全分析器）是微软提供的系统安全分析及解决工具。,MBSA可以对本机或者网络上的Windows NT/2000/XP的系统进行安全性检测，还可以检测其它的一些微软产品，诸如SQL7.0/2000、5.01以上版本的Internet Explorer、IIS4.0/5.0/5.1和Office2000/XP，并给出相应的解决方法。,16,使用MBSA,17,评价风险,问题严重程度,定义,建议,5,严重安全问题,严重的安全漏洞，如果被利用会对业务产生严重的破坏,记录，评估，立即更改,4,高风险安全问题,严重的安全漏洞，如果被利用将/可能会对业务产生严重的影响,记录，评估，在15至30天内更改,3,中度风险的安全问题,中度风险的安全问题，可能会影响业务的进行或,纪录，评估，在90天内改进,2,轻微风险的安全问题,轻微风险的安全问题，不会对业务带来直接的影响,纪录，评估，在120天内改进,1,安全建议,不属于安全问题，但改进后可进一步提高安全,记录，评估，在可行的情况下采用,18,整理结果:服务器端,严重级别,安全问题,5,没有安装sp2之后最新的Hotfix,3,没有限制匿名用户对本地安全子系统的访问,4,没有制定密码策略,4,没有定义账号锁定策略,3,没有改变administrator账号以及配置该账号,4,没有设置“允许从网络访问这台计算机“,3,删除不需要的协议，并且禁用NetBIOS over TCP/IP,4,没有将所有日志的保存方法设为“按需要改写日志”,2,事件日志文件使用缺省大小,3,没有针对重要文件进行审核,3,“允许从网络访问这台计算机”的权限中有everyone组,3,没有设置专职的信息安全管理人员,3,缺少有效的备份计划和定期检查策略,4,没有法律顾问,4,没有应对紧急事件的机制,4,没有系统容错机制,3,没有详细的安全管理文档,4,没有针对登录事件进行审核,3,没有针对DNS服务器的传输进行安全有效验证,3,IIS服务器安装了太多的不需要组件，也没有安装相关补丁程序,4,没有特权使用和策略更改的记录,2,没有监视相关服务器端口的机制,3,防火墙没有开启入侵检测,4,没有利用组策略的安全模板进行配置,4,任何人能够进入电脑机房,4,没有安全管理的流程,3,网站安全验证的功能太弱,3,Sql 安全配置不足,4,存在网络病毒现象,4,数据库权限没有严格限定条件,4,文件服务器的分区格式采用FAT分区格式,5,企业邮件服务器没有安装邮件扫描插件,19,整理结果：工作站端,严重级别,安全问题,5,没有安装操作系统补丁,3,有的计算机没有加入域,4,没有离开计算机，锁定屏幕习惯,4,没有定义账号锁定策略,3,没有复杂密码习惯,4,安装不需要的网络协议,3,随意打开未知内容的邮件,4,自行下载网络软件，并进行安装,2,上非法网站导致IE被修改,3,不及时更新防病毒软件病毒库,3,很多员工会把密码写到及时贴，放在电脑上,4,随意将公司一些信息告知外来人员,4,财务经理的笔记本电脑丢失，导致公司机密数据丢失。,3,公司电脑机箱被随意打开,5,存在“W32/NimdaMM”的蠕虫病毒,20,书写安全评估报告,安全评估报告应该包含的部分：,文档版本，完成时间，撰写和审核者；,安全评估说明：安全审核的目的，客户，安全顾问提供者；,审核目标：审核范围和审核对象；,审核过程：审核工作开始和结束时间，审核使用的工具和手段，参与者；,审核结果客户基本信息；,审核结果客户网络拓扑结构；,审核结果客户服务器信息；,审核结果客户工作站信息；,审核结果按照严重级别排列的威胁；,安全现状综合评价,安全建议,术语,21,安全方案设计,22,定义企业安全策略,企业安全策略定义企业网络安全的目标和范围，即安全策略所要求保护的信息资产的组成和安全策略所适用的范围。,企业安全策略作为行为标准，定义信息系统中用户的行为和动作是否可以接受。每一条具体的策略都由政策、目的、范围、定义遵守和违背政策、违背策略的惩罚和结果等有关的部分组成。这些策略会被作为整个企业的政策分发到企业的所有组织，并且企业内所有员工被强制要求必须内遵守。,23,Internet访问策略,该策略用来明确每位员工在,Internet,访问活动中应该担负的责任，并不对企业造成危害。,所有被允许能够进行,Internet,访问的员工必须在该文档上签名，然后才能给予访问权限。,组成部分：,1,、定义什么是,Internet,访问行为,2,、定义责任,3,、定义用户可以做什么，不可以做什么,4,、如果用户违反该策略，相关部门会采取的行动,24,安全管理,在制定安全策略的基础上，企业内部应该成立安全管理小组，包含相关人员，全面负责安全管理，主要职责包括：,安全策略制定和推广,进行定期的安全审核,安全事件响应,安全技术选择和产品选购,员工安全培训,取得行政和资金上的支持,内部和外部信息交流,25,安全风险分析,根据安全评估阶段提供的安全问题列表，按照严重级别进行排序，然后进行分析，步骤包括：,分析安全问题面临的风险；,查找安全问题之间的关联性；,寻求解决方案。,26,服务器安全问题（1）,等级,安全问题,风险,5,系统中没有安装sp2之后最新的Hotfix,系统存在严重的安全漏洞,5,企业邮件服务器没有安装邮件扫描插件,病毒邮件的扩散，内部员工通过邮件向外发送企业机密数据,4,没有制定密码策略,弱口令,4,没有定义账号锁定策略,字典或暴力攻击,3,没有改变administrator账号以及配置该账号,口令猜测,4,“允许从网络访问这台计算机”的权限中有everyone组,从网络发起入侵,4,没有将所有日志的保存方法设为“按需要改写日志”,日志不完整或日志伪造,2,事件日志文件使用缺省大小,不完整记录或者日志伪造,4,没有法律顾问,触犯法律或者不能及时得到法律支持,27,服务器安全问题（2）,4,没有系统容错机制,系统容错能力脆弱,4,没有针对登录事件进行审核,非法登录,4,没有策略更改的记录,非法修改策略,4,没有利用组策略的安全模板进行配置,分散的安全管理,4,任何人能够进入电脑机房,物理安全威胁,4,没有安全管理的流程,安全管理混乱，容易导致信息泄漏,4,没有应对紧急事件的机制,延误时机，使安全破坏更为严重,3,没有设置专职的信息安全管理人员,安全管理混乱,3,没有详细的安全管理文档,安全管理混乱,4,存在网络病毒现象,病毒扩散并难以清除,4,数据库权限没有严格限定条件,非法防问,4,文件服务器的分区格式采用FAT分区格式,没有本地安全性,3,没有限制匿名用户访问,空会话威胁,28,服务器安全问题（3）,3,没有删除不需要的协议，并且禁用NetBIOS over TCP/IP,存在潜在的协议漏洞,3,没有针对重要文件进行审核,非法访问和修改,3,缺少有效的备份计划和定期检查策略,灾难发生时无法从备份中恢复数据,3,没有针对DNS服务器的传输进行安全有效验证,非法的区域传输,3,用户登录验证是明文传输,网络窃听,3,IIS服务器安装了太多的不需要组件，也没有安装相关补丁程序,存在严重漏洞，容易被黑客攻击,3,没有特权使用的记录,非法特权使用,3,防火墙没有开启入侵检测,漏洞扫描,3,Sql 安全配置不足,存在可以被入侵者利用的漏洞,2,没有监视相关服务器端口的机制,服务器可能被种植木马,2,SMTP服务器开启了relay 设置,成为垃圾邮件中转站,29,工作站安全问题,级别,安全问题,风险,5,没有安装操作系统补丁,存在严重漏洞,4,没有离开计算机，锁定屏幕习惯,被非法访问,4,没有定义账号锁定策略,口令猜测,4,财务经理的笔记本电脑丢失，导致公司机密数据丢失。,数据失窃,4,安装不需要的网络协议,潜在的网络协议漏洞,4,自行下载网络软件，并进行安装,感染病毒，木马，并导致系统不稳定,3,随意打开未知内容的邮件,感染邮件病毒或木马,4,随意将公司一些信息告知外来人员,泄露信息机密,3,很多员工会把密码写到及时贴，放在电脑上,泄露信息机密,3,不及时更新防病毒软件病毒库,感染病毒,3,公司电脑机箱被随意打开,物理威胁,3,没有复杂密码习惯,口令猜测攻击,3,有的计算机没有加入域,无法进行集中管理，无法实现集中身份验证,2,部门管理人员放在我的文件夹中的数据不会自己备份,数据丢失影响影响用户不能正常工作,3,Snmp的配置可以使用缺省用户探询信息,导致公司相关设备信息丢失和一些配置信息被修改,30,安全设计,31,物理安全,物理安全是整体安全策略的基石。保护企业服务器所在地点的物理安全是首要任务。,保护范围包括在办公楼内的服务器机房或整个数据中心。还应该注意进入办公楼的入口。如果有人随便可以进入办公楼内，那么他们即使无法登录到网络，也会有许多机会发起攻击。攻击包括：,拒绝服务（例如，将一台膝上型电脑插入网络作为一个 DHCP 服务器，或者切断服务器电源）,数据窃取（例如，偷窃膝上型电脑或嗅探内部网络的数据包）,运行恶意代码（例如在内部启动蠕虫程序，散播病毒）,窃取关键的安全信息（例如备份磁带、操作手册和网络图，员工通信录）,32,防止信息泄露,攻击者总是要挖空心思找到有关企业网络环境的信息。信息本身有时非常有用，但有的时候，它也是获取进一步信息和资源的一种手段。,防范信息收集的关键是限制外界对您的资源进行未经授权的访问。确保这种防范效果的方法包括（但是不限于）：,确保网络上只有那些已标识的特定设备能够建立远程访问连接。,在通过外部防火墙直接连接 Internet 的计算机上关闭TCP/IP 上的 NetBIOS，包括端口 135、137、139 和 445。,对于Web服务器，在防火墙或者服务器上仅启用端口 80 和 443。,审查企业对外网站上的信息以确保：,该站点上使用的电子邮件地址不是管理员帐户。,没有透露网络技术,审查员工向新闻组和论坛张贴的内容，避免暴露企业内部信息，包括管理员在技术论坛上求助技术问题。,审查为一般公众提供的信息有没有您的 IP 地址和域名注册信息。,确保攻击者无法通过对DNS服务器执行区域传输。通过转储 DNS 中的所有记录，攻击者可以清楚地发现最易于攻击的计算机。,减少服务器暴露的技术细节，修改Web服务，SMTP服务的旗标。,33,规划网络安全,将企业网络划分和定义为以下几部分：,内部网络,需要被外部访问的企业网络（停火区，DMZ）,商业伙伴的网络,远程访问（远程机构或者用户）,Internet,在防火墙，路由器上进行访问控制和隔离,使用基于网络和基于主机的入侵监测系统，提供预警机制，最好能够和防火墙联动。,34,防火墙,近乎线性的吞吐速度，在HTTP吞吐量测试方,面，ISA Server的吞吐量保持为每秒1.59 GB,应用层性能最好的防火墙,(数据来源：,),单台服务器可以处理48,000个并发连接,缓存,极大改善了带宽的利用效率和Web内容的响应时间,在最近由The Measurement Factory进行的缓存产品评比中，赢得了价格/性能比项目的第一,(数据来源：,),应用层的精细控制上网行为和丰富的拓展,允许管理员控制上网行为和为紧急任务分配较高的带宽优先级,ISA Server：Windows平台上的最佳防火墙,35,Firewall,Internet,应用案例,-,小型网络或分公司的配置,企业內部网络,Access Policy rules -,IP,包, 应,用程序, 用户, 组等的访问策略,Bandwidth rules -,不同,Internet request,所分配不同带宽的规则,Publishing rules - 将,Internet,服务,(,如,web,ftp,mail),透过防火墙,的保护发布給外网用户,Intrusion Detection - 防火墙入侵监测,Monitor and Logging 进出流量分析与报表,Web,缓存-所有放火墙的安全策存内容略会被自动应用到缓存内容之上,36,实施案例,北京市环保局,Internet,ISA Server,100台工作站,ISA Server 2000,TrendMicro InterScan,37,DMZ方式1: 一个防火墙连接3个网络 (3-homed),Internet,内部网络,DMZ区,ISA服务器,38,实施案例,-,新晨集团(),ISA Server 2000,Internet,Internal Network,Perimeter Network,Mail Server & DNS,Web Server,39,应用范例,广域,网,络,的配置,总部,分支机构,ISA,ISP,加速分支机构的访问速度(chain 的部署）,实现内部的安全控制（不同部门和网络之间部署防火墙),统一的策略管理,40,DMZ方式2: “背靠背”模式,Internet,内部网,DMZ 区,Web 服务器,数据库服务器,ISA服务器,ISA服务器,41,Internet,ISA Server阵列,FireWall,(硬件),DMZ,内部网(2000+工作站),实施案例, 中国农业部信息中心,42,复杂网络中ISA的配置,多个VLAN,基于第三层交换,ISA Server作为交换机的默认网关,设置静态路由,扩大LAT范围,43,实施案例,-北京许继电气,44,ISA和VPN在远程网络的部署,Internet,远程客户端,VPN 服务器,远程网络,ISA服务器,Web服务器,可以选择让VPN服务器和 ISA安装在同一台机器上或分开,45,实施案例,-北京市某旅游部门,IDC机房/固定IP,VPN,VPN,Office-1,Office-2,Office-3,拨号线路,Internet,Internet,Internet,46,规划系统安全,操作系统加固,去除非必要服务和组件,去除非必要网络协议,应用预定义安全模板,软硬件供应商对于自己的产品，一般都提供了安全配置文档。微软提供了丰富和翔实的产品安全配置指南，管理员只需遵照执行，即能提供高应用系统的安全性。,technet/security/prodtech/default.asp,47,用户帐号策略,几乎所有的企业都通过用户帐户名称和账户口令的方法来提供身份验证和访问限制。因此帐户安全性是企业安全的基础。,一定要设定口令最低长度，复杂性要求，口令定期修改，帐号锁定策略。,管理员帐户和口令策略：,不要为避免自己的帐户被锁定，而额外创建高权限帐户来作为后门,不要在 IT 人员之间共享密码，如果允许多个用户使用管理员帐户，那么一旦发生涉及该帐户的安全事件，审计和责任区分就变得非常困难,不要在外部网站上使用单位内部的密码。比如注册Internet上的论坛和网上商店的会员时。因为用户密码往往会与其电子邮件地址存储在一起。只要利用这种存储组合，攻击者就可以确定用户所在的工作单位、使用的用户名（特别是如果用户名是 SMTP 地址的前缀）及密码。,48,防病毒系统,病毒已经成为最大的安全威胁，为此有必要在企业内全面部署防病毒系统。,构建有效的防病毒机制，需要遵循以下原则：,建立网关，服务器，工作站立体防病毒体系；,及时更新防病毒软件本身和病毒特征码；,格外关注使用笔记本电脑的用户的防病毒软件更新情况；,通过在防火墙和路由器上设置，及时阻止通过网络扩散的病毒；,安装专门针对Exchange Server的病毒扫描系统，直接从用户的邮箱里发现和清除病毒；,培训用户不要为了加快计算机运行速度而禁用防病毒系统，如果有可能，从防病毒软件设置中禁止用户这么做,培训用户不要随意打开不明底细的电子邮件附件，不要随意下载和安装应用软件。,49,修补程序管理,只有及时修补操作系统和应用系统的漏洞，才能从根本上保证安全。,修补程序主要有3类：,Service Pack,即时修复程序或 QFE，Quick Fix Engineering（快速修补工程组，QFE）是 Microsoft 的一个小组，专门负责编制即时修复程序，针对产品的代码修补程序。即时修复程序经过更严格测试之后被定期添加到 Service Pack 中，然后提供给所有用户。,安全修补程序：安全修补程序是为消除安全漏洞而设计的。,部署修补程序的方法主要有：,Windows Update和Automatic Update,SUS,软件更新服务（SUS）可以安装在企业内部的某台服务器上，让后SUS服务器从微软的站点下载最新的修补程序，企业网络的计算机将自动从SUS下载并自动安装。,脚本,通过组策略部署计算机开机脚本，使计算机在启动时自动运行脚本，安装修补程序,组策略,组策略具有软件分发的能力，如果得到的修补程序是*.msi类型，可以通过组策略将该修补程序指派给指定范围内的计算机，如果不是，需要编写相应的*.zap文件,SMS,50,审核策略,通过审核，记录访问者的行为，以发现异常动作并作为证据保留。,一般的审核策略包括：,对于重要的文件开启删除和修改审核，对敏感文件开启读取审核；,在域上开启账户登录事件审核，记录用户登录域的活动；,在重要服务器上开启登录事件审核，记录从网络上访问该服务器的活动；,在SQL Server中审计登录事件；,定期对审核记录进行检查。,51,日志管理,日志系统保存了操作系统和应用程序的信息记录，其中包括与安全相关的信息。做为检测入侵的重要证据，日志需要进行妥善的管理。,一般的日志管理策略包括：,足够大的日志存储空间，以记录足够多的日志信息；,不应启用日志覆盖；,定期的日志转储，转储的日志需要放置在不能被再次修改的存储介质上，如只能写入一次的光盘，并放置在安全位置，同时按照企业安全策略的要求i，保存足够长的时间；,除了操作系统日志外，根据需要开启应用系统的日志，如数据库服务器，邮件服务器等访问日志；,保证在日志中记录足够的信息，如用户帐户，计算机名，IP地址等；,保证计算机之间的时间同步，以准确记录时间发生时间；,从软件供应商处获取日志代码含义解读文档；,使用日志分析工具协助管理员快速获取有价值的信息,52,容错管理,对故障和灾难的抵御能力，称为容错。容错管理的目标是尽可能减少各种意外事故造成的企业信息损害。,一般的容错管理策略包括：,使用不间断电源设备，建立后备供电线路；,使用磁盘冗余阵列（RAID），提高数据可能性；,使用服务器群集技术，避免服务器失效；,对重要的服务器建立后备或辅助服务器，例如建立多台域控制器，通过日志传送建立SQL Server后备服务器等；,对局域网网络提供冗余；,选择多个ISP，建立外部连接冗余；,对网络设备（交换机，路由器）和防火墙提供冗余。,53,备份管理,备份是企业信息安全的最后一道防线,一般的备份策略包括：,设计备份计划，在兼顾性能的同时，尽可能缩短备份周期；,定期测试备份设备，备份存储介质的可靠性，检查已备份数据的完整性和可用性；,划分需要备份数据的优先级；,保留同一数据的多个备份；,备份磁带远离数据原始位置，避免灾害发生造成同时损失；,备份磁带应存储在安全位置，避免非授权访问；,制定备份恢复计划，并进行演练。,54,抵御技术性攻击,攻击者会企图利用企业网络中的技术漏洞，以获取对系统的访问并设法提升其权限。,主要的技术攻击方法有：,会话监听和劫持,DNS 毒化和窃取,URL 字符串攻击,攻击安全帐户管理器文件,缓冲区溢出,拒绝服务攻击,后门攻击,恶意代码,55,抵御社会工程攻击,社会工程攻击指利用非技术手段对企业信息安全造成破坏，比如：,伪装成快递公司，物业管理公司等人员进入企业，获取企业内部信息，比如贴在墙上的组织结构图，文印室未被处理的废弃纸张，贴在员工工作隔板上的内部通信录，贴在显示器上的写有用户帐户名称和口令便利帖等等；,伪装企业IT管理人员打电话给企业员工，索要帐户口令。,抵御社会工程攻击的最好方法是对企业员工进行安全意识培训，并进行企业内部安全审核。,56,安全事件响应,所有的管理员都希望能防患于未然。然而要想防止所有安全事件是不可能的，所以当安全事件真的发生时，需要确保让它造成的影响最小。可以采取一些预先的的措施以使安全事件的数量和影响减至最小。,在该阶段，分析案例中伟达公司目前的事件响应机制存在的问题，比如：,显然缺乏安全响应机制，也没有时间响应团队；,在未经授权的情况下向外部人员求助；,在未经授权的情况下允许外部人员进行安全扫描；,没有在第一时间记录并通报安全事件的发生；,没有进行证据保留等。,57,安全事件的相应流程,初步评估，发现安全事件的人员进行初步评估，排除误报可能性；,内部通报，向整个事件响应小组进行通报，启动处理机制；,控制损失，采取紧急措施，避免进一步恶化；,确定攻击类型，以及风险等级；,确定损失，确定此次安全事件影响范围，评估对企业造成的损失；,消除风险，防止该安全事件出现在其他系统或者部门；,保存证据，对受到破坏的主机进行符合法律要求证据保存；,通知外部机构，如商业伙伴，政府机关；,恢复受攻击影响系统；,事件相关资料整理和总结。,58,伟达的紧急事件响应（1）,事件响应步骤,采取的行动,初步评估,星期一早上十点钟，伟达公司的系统管理员李勇接到公司销售部门的员工张娟的电话，说在访问公司对外,Web,网站时，发现主页被篡改。李勇是伟达公司的安全安全事件响应小组的成员，公司员工已经经过培训，被要求一旦怀疑发现安全事件，立刻向,IT,部门报告。李勇接到电话后，立刻访问公司主页，发现确实被人篡改，入侵者留下了恶作剧般的声明，但并没有表明身份和目的。这不是误报。,通报事件,李勇立刻通过电子邮件通报了他发现的问题，并电话通知了所有可以联系到的安全小组成员。,控制损失,伟达公司的安全事件响应策略规定，在确定暴露在,Internet,上的某台服务器被入侵后，要求立即断开该系统与网络的连接。李勇按照此策略拔掉了网线。但是没有考虑到对企业业务的影响，暂时没有断开整个企业到,Internet,的连接。,确定破坏程度,李勇检查了防火墙日志，检查了邮件服务器和数据库服务器，暂时没有发现有入侵痕迹。由于该,Web,服务器属于独立的工作组，其上存在的用户帐户也没有被用在其他的系统上，基本可以断定该次安全事件只影响到了,Web,服务器。,59,伟达的紧急事件响应（2）,通报事件,李勇将其后续操作及检查结果用电子邮件通知了安全事件响应小组的其他成员，并直接联系了安全事件响应小组领导人公司副总经理张杰。,张杰指派,CIO,余明作为事件负责人。余明将协调安全事件响应小组的所有活动及其与外部的信息沟通。,余明通知,IT,支持小组，告诉他们该,Web,服务器已断开与网络的连接，待问题解决后才能重新连接到网络上。余明还通知了行政管理层和法律顾问。法律顾问建议按既定步骤收集证据。,保存证据,余明决定根据法律顾问的建议，在对受到入侵的,Web,服务器进行进一步入侵分析之前进行证据收集,。,安全事件响应小组中经过培训负责收集法律证据的成员创建了该,Web,服务器的完全备份。一个备份被保存起来作为以后的法律证据使用。另一个备份被保存起来作为数据恢复中可能用到数据保存。,按照安全策略规定，作为法律证据的备份保存在只可写入一次的刻录光盘上，在密封以后与服务器上的硬盘一起放在一个安全的位置。,确定攻击的类型合严重程度,另一名安全事件响应小组成员王勇，,对该,Web,服务器运行了,MBSA,，发现针对,IIS,多个有重要的漏洞补丁没有打，入侵者可能通过,Unicode,解码漏洞或者索引服务漏洞成功入侵。对,Web,服务器的进行,HTTP,日志分析发现，入侵者使用,Unicode,漏洞入侵，并记录了入侵者的,IP,地址。,同时使用其他安全检查工具，对帐户，注册表，安全策略进行检查，以确定入侵者是否还进行了其他破坏。王勇也对其他的服务器进行了,MBSA,的扫描，没有发现其他问题。,60,伟达的紧急事件响应（3）,通知外部机构,信息沟通人员将此事件相关信息报告给了公安部门。同时，考虑到某些客户可能通过企业,Web,站点进行合同信息的修改，立刻通知了可能受到影响的客户，建议他们暂时使用传真和电子邮件进行交流。,恢复系统,但出于安全考虑，安全事件响应小组和,WEB,服务器支持小组决定在新硬盘上重新安装操作系统，重新配置,Web,站点，以确保没有留下可被黑客利用的后门。,重新安装了操作系统，配置了,IIS,后，立刻安装了最新的服务包，安全修复补丁，配置了安全选项，运行了,IIS Lockdown,，安装了防病毒软件并升级到最新的病毒特征库。,王勇找到了最近的,Web,站点数据文件，并检查不存在病毒，然后还原了数据。,安全事件响应小组执行了一次完整的系统漏洞评估，,Web,服务器被重新连接到网络上，并受到密切监控。,61,伟达的紧急事件响应（4）,整理和回顾,余明和安全事件响应小组召开了会议，研究了出现漏洞的原因，最后确定,Web,服务器在最近被重新安装过，但没有安装修补程序。这与明确定义的安全策略是相违背的。,安全事件响应小组认为，此次事件表明，企业安全策略没有被完全遵守，表现在：,操作系统重新安装后，系统管理员没有应用修补程序；,未经过信息安全部门的批准，使该服务器上线运行。,安全事件响应小组建议对相关当事人进行处罚，并在企业内进行安全策略的相关培训。,余明和安全事件响应小组整理了所有的记录资料，以确定针对此事件完成了哪些任务、每项任务所用的时间，以及是谁执行的任务。此信息发送给财务部门，用以根据,“,公认会计原则,”,来计算计算机损失的代价。紧急响应小组负责人张杰将确保让公司管理层了解到了该事件的损失，事件发生的原因，以及防止此类事件再次发生的计划。这也是让管理层认识到企业安全策略，以及类似于紧急安全响应小组存在得价值。,小组中适当的成员检查总结了全部的记录资料、得到的经验教训，以及遵守和未遵守的策略，作为档案保存。,采取的相关法律行动的记录资料和步骤通过了公司法律顾问、安全事件响应小组负责人和公司管理层的审查。,62,整合安全设计方案,简洁的就是最好的,确保技术，产品之间的兼容性,列出产品，技术应用和部署的时间表,建立检查点和里程碑,必要的测试,63,结束,伟达公司非常满意我们提供的这次服务,安全问题不仅仅是技术问题,从小处着手，就能实现安全,我们随时准备为您提供服务,64,更多参考信息, Server的关注！您的问题与建议？,66,