企业安全设计案例分析.ppt

1 企业网络安全设计 案例分析 2 内容 案例介绍安全评估安全方案设计 3 伟达投资 伟达 中国 投资有限公司是一家全球500强的跨国能源集团在华的独资企业 从事太阳能 电力 石油 化工 相关销售等项目等的公司 伟达 中国 投资有限公司总部设在上海外滩 上海总部有200名员工 并在北京拥有1家分公司 员工约100人 4 伟达投资的组织结构 上海总部 200人 行政部人力资源部管理部公共关系部固定资产部采购部IT总部市场部销售部 北京分公司 100人 行政部财务部人力资源部管理部销售市场部IT管理部太阳能部质量控制部法律事务部 5 伟达投资的发展 伟达 中国 公司从1985年成立 经历了一个飞速的发展过程 特别是90年代起收购了多家国内知名的的公司 而且在中国一直与政府及大型能源企业都有全面的合作 公司营业额在5年间增长了10倍 目前在国内的主要大城市都有分公司和代表处 基于上述的业务增长 员工人数也增加了8倍 但是公司的急速扩张造成了公司IT管理部门的巨大工作压力 公司原有的IT管理构架早已不堪重负 于是在2001年初 公司对伟达 中国 的整个网络系统进行了一次重大升级 包括增加网络带宽 更换核心设备 并将整个系统从WindowsNT4平台全部迁移到了Windows2000平台并采用了活动目录服务 以提高整个网络系统的可用性和可管理性 6 伟达的网络拓扑结构 7 风险 但是 由于太多的日常维护工作而忽略了系统策略及安全政策的制订及执行不力 管理员的日常维护工作又没有标准可循 系统及数据备份也是根本没有考虑到灾难恢复 经常会有一些系统安全问题暴露出来 8 危机 该公司网站使用Windows2000上的IIS作为对外的WEB服务器 该网站WEB服务器负责公司的信息提供和电子商务 在外网上部署了硬件防火墙 只允许到服务器TCP80端口的访问 但是在12月21日上午 一个客户发邮件通知公司网站管理员李勇 说该公司网站的首页被人修改 同时被发布到国内的某黑客论坛 介绍入侵的时间和内容 李勇立刻查看网站服务器 除了网站首页被更改 而且发现任务列表中存在未知可疑进程 并且不能杀死 同时发现网站数据库服务器有人正在拷贝数据 李勇及时断开数据服务器 利用备份程序及时恢复网站服务器内容 但是没有过了半小时 又出现类似情况 李勇紧急通知IT管理人员王勇 告知该情况 于是王勇联系总部指定的安全服务提供商维康安全有限公司 9 问题 经过初步安全检查 发现以下问题 邮件服务器没有防病毒扫描模块 客户端有W32 Mydoom MM邮件病毒问题路由器密码缺省没有修改过 非常容易被人攻击 网站服务器系统没有安装最新微软补丁没有移除不需要的功能组件 用户访问没有设置复杂密码验证 利用字典攻击 非常容易猜出用户名和密码 同时分厂员工对于网站访问只使用了简单密码验证 容易被人嗅听到密码 数据库系统SQL2000SA用户缺省没有设置密码 数据库系统SQL2000没有安装任何补丁程序 10 亡羊补牢 王勇看到方明的报告非常吃惊 急忙上告公司CIO余鸣 介绍公司网络安全状况 同时提及如果不及时解决公司安全问题 可能会造成非常大的经济和声誉上的影响 12月22日上午 伟达公司立即召开紧急会议商讨此事 希望籍此吸取教训 彻底整改 在进行安全风险评估的基础上 全面提高企业网络安全性 11 用户的目标 我们做了尽可能多的工作 努力提我们的响应速度 缩短解决问题的时间 但是很多情况下我们总是在问题出现了之后才开始解决 在这种情况下我们很难及时解决问题 每次都会有一天到两天大部份系统不能使用 而且也无法对可能发生的问题做有效的估计 李杰 伟达 中国 的IT服务中心经理抱怨说 我们在很多方面的工作都很成功 但是就是由于这些网络上令人讨厌的病毒 造成了我们还是经常收到来自个方面的投诉 显然这不是我们想看到的 我们需要严密的系统和严格的策略来保证我们业务系统的稳定性和可用性 伟达 中国 首席信息官 CIO 余鸣先生如是说 我们需要一个可靠 稳定 安全 易于管理和维护的IT解决方案 以及基于此方案的优秀IT服务部门 用以支撑我们公司的运营 以及未来的发展 公司总裁 CEO 张其军解释 12 风险评估 13 风险评估的一般过程 只有经过全面的风险评估过程 才能够有针对性地制定安全实施放案 选择合适的安全技术和产品 在风险评估过程 需要 收集一切和网络安全相关的信息 使用安全评测工具进行脆弱点检查 分析收集到的信息 定义威胁级别 安全不是最终结果 而是一种过程或者一种状态 安全评估必须按照一定的周期不断进行 才能保证持续的安全 14 需要搜集的基本信息 企业信息 企业名称业务范围地理分布员工数量组织结构管理模式预期的增长或重组网络 物理拓扑结构网络设备逻辑网络划分 活动目录结构 局域网结构广域网结构远程访问互联网接入网络协议类型主要网络流量防火墙和入侵检测系统 主机 服务器数量 名称 用途 分布服务器操作系统及版本用户身份验证方式工作站数量 用途和分布工作站操作系统及版本操作系统补丁部署防病毒部署主机防火墙计算机安全管理安全管理 企业安全策略和声明物理安全管理员工安全培训安全响应机制安全需求和满足程度 15 使用MBSA 16 评价风险 17 使用安全评测工具 安全评测工具通过内置的已知漏洞和风险库 对指定的系统进行全面的扫描安全评测工具可以快速定位漏洞和风险MBSA MicrosoftBaselineSecurityAnalyzer 基准安全分析器 是微软提供的系统安全分析及解决工具 MBSA可以对本机或者网络上的WindowsNT 2000 XP的系统进行安全性检测 还可以检测其它的一些微软产品 诸如SQL7 0 2000 5 01以上版本的InternetExplorer IIS4 0 5 0 5 1和Office2000 XP 并给出相应的解决方法 18 整理结果 服务器端 19 整理结果 工作站端 20 书写安全评估报告 安全评估报告应该包含的部分 文档版本 完成时间 撰写和审核者 安全评估说明 安全审核的目的 客户 安全顾问提供者 审核目标 审核范围和审核对象 审核过程 审核工作开始和结束时间 审核使用的工具和手段 参与者 审核结果 客户基本信息 审核结果 客户网络拓扑结构 审核结果 客户服务器信息 审核结果 客户工作站信息 审核结果 按照严重级别排列的威胁 安全现状综合评价安全建议术语 21 安全方案设计 22 定义企业安全策略 企业安全策略定义企业网络安全的目标和范围 即安全策略所要求保护的信息资产的组成和安全策略所适用的范围 企业安全策略作为行为标准 定义信息系统中用户的行为和动作是否可以接受 每一条具体的策略都由政策 目的 范围 定义遵守和违背政策 违背策略的惩罚和结果等有关的部分组成 这些策略会被作为整个企业的政策分发到企业的所有组织 并且企业内所有员工被强制要求必须内遵守 23 Internet访问策略 该策略用来明确每位员工在Internet访问活动中应该担负的责任 并不对企业造成危害 所有被允许能够进行Internet访问的员工必须在该文档上签名 然后才能给予访问权限 组成部分 1 定义什么是Internet访问行为2 定义责任3 定义用户可以做什么 不可以做什么4 如果用户违反该策略 相关部门会采取的行动 24 安全管理 在制定安全策略的基础上 企业内部应该成立安全管理小组 包含相关人员 全面负责安全管理 主要职责包括 安全策略制定和推广进行定期的安全审核安全事件响应安全技术选择和产品选购员工安全培训取得行政和资金上的支持内部和外部信息交流 25 安全风险分析 根据安全评估阶段提供的安全问题列表 按照严重级别进行排序 然后进行分析 步骤包括 分析安全问题面临的风险 查找安全问题之间的关联性 寻求解决方案 26 服务器安全问题 1 27 服务器安全问题 2 28 服务器安全问题 3 29 工作站安全问题 30 安全设计 31 物理安全 物理安全是整体安全策略的基石 保护企业服务器所在地点的物理安全是首要任务 保护范围包括在办公楼内的服务器机房或整个数据中心 还应该注意进入办公楼的入口 如果有人随便可以进入办公楼内 那么他们即使无法登录到网络 也会有许多机会发起攻击 攻击包括 拒绝服务 例如 将一台膝上型电脑插入网络作为一个DHCP服务器 或者切断服务器电源 数据窃取 例如 偷窃膝上型电脑或嗅探内部网络的数据包 运行恶意代码 例如在内部启动蠕虫程序 散播病毒 窃取关键的安全信息 例如备份磁带 操作手册和网络图 员工通信录 32 防止信息泄露 攻击者总是要挖空心思找到有关企业网络环境的信息 信息本身有时非常有用 但有的时候 它也是获取进一步信息和资源的一种手段 防范信息收集的关键是限制外界对您的资源进行未经授权的访问 确保这种防范效果的方法包括 但是不限于 确保网络上只有那些已标识的特定设备能够建立远程访问连接 在通过外部防火墙直接连接Internet的计算机上关闭TCP IP上的NetBIOS 包括端口135 137 139和445 对于Web服务器 在防火墙或者服务器上仅启用端口80和443 审查企业对外网站上的信息以确保 该站点上使用的电子邮件地址不是管理员帐户 没有透露网络技术审查员工向新闻组和论坛张贴的内容 避免暴露企业内部信息 包括管理员在技术论坛上求助技术问题 审查为一般公众提供的信息有没有您的IP地址和域名注册信息 确保攻击者无法通过对DNS服务器执行区域传输 通过转储DNS中的所有记录 攻击者可以清楚地发现最易于攻击的计算机 减少服务器暴露的技术细节 修改Web服务 SMTP服务的旗标 33 规划网络安全 将企业网络划分和定义为以下几部分 内部网络需要被外部访问的企业网络 停火区 DMZ 商业伙伴的网络远程访问 远程机构或者用户 Internet在防火墙 路由器上进行访问控制和隔离使用基于网络和基于主机的入侵监测系统 提供预警机制 最好能够和防火墙联动 34 防火墙近乎线性的吞吐速度 在HTTP吞吐量测试方面 ISAServer的吞吐量保持为每秒1 59GB应用层性能最好的防火墙 数据来源 ISAServer Windows平台上的最佳防火墙 35 Firewall 应用案例 小型网络或分公司的配置 企业內部网络 AccessPolicyrules IP包 应用程序 用户 组等的访问策略Bandwidthrules 不同Internetrequest所分配不同带宽的规则Publishingrules 将Internet服务 如web ftp mail 透过防火墙的保护发布給外网用户IntrusionDetection 防火墙入侵监测MonitorandLogging 进出流量分析与报表Web缓存 所有放火墙的安全策存内容略会被自动应用到缓存内容之上 36 实施案例 北京市环保局 Internet ISAServer 100台工作站 ISAServer2000TrendMicroInterScan 37 DMZ方式1 一个防火墙连接3个网络 3 homed Internet 内部网络 DMZ区 ISA服务器 38 实施案例 新晨集团 ISAServer2000 Internet InternalNetwork PerimeterNetwork MailServer DNS WebServer 39 应用范例 广域网络的配置 加速分支机构的访问速度 chain的部署 实现内部的安全控制 不同部门和网络之间部署防火墙 统一的策略管理 40 DMZ方式2 背靠背 模式 Internet 内部网 DMZ区 Web服务器 数据库服务器 ISA服务器 ISA服务器 41 Internet ISAServer阵列 FireWall 硬件 DMZ 内部网 2000 工作站 实施案例 中国农业部信息中心 42 复杂网络中ISA的配置 多个VLAN 基于第三层交换ISAServer作为交换机的默认网关设置静态路由扩大LAT范围 43 实施案例 北京许继电气 44 ISA和VPN在远程网络的部署 可以选择让VPN服务器和ISA安装在同一台机器上或分开 45 实施案例 北京市某旅游部门 IDC机房 固定IP VPN VPN Office 1 Office 2 Office 3 拨号线路 Internet Internet Internet 46 规划系统安全 操作系统加固去除非必要服务和组件去除非必要网络协议应用预定义安全模板软硬件供应商对于自己的产品 一般都提供了安全配置文档 微软提供了丰富和翔实的产品安全配置指南 管理员只需遵照执行 即能提供高应用系统的安全性 47 用户帐号策略 几乎所有的企业都通过用户帐户名称和账户口令的方法来提供身份验证和访问限制 因此帐户安全性是企业安全的基础 一定要设定口令最低长度 复杂性要求 口令定期修改 帐号锁定策略 管理员帐户和口令策略 不要为避免自己的帐户被锁定 而额外创建高权限帐户来作为后门不要在IT人员之间共享密码 如果允许多个用户使用管理员帐户 那么一旦发生涉及该帐户的安全事件 审计和责任区分就变得非常困难不要在外部网站上使用单位内部的密码 比如注册Internet上的论坛和网上商店的会员时 因为用户密码往往会与其电子邮件地址存储在一起 只要利用这种存储组合 攻击者就可以确定用户所在的工作单位 使用的用户名 特别是如果用户名是SMTP地址的前缀 及密码 48 防病毒系统 病毒已经成为最大的安全威胁 为此有必要在企业内全面部署防病毒系统 构建有效的防病毒机制 需要遵循以下原则 建立网关 服务器 工作站立体防病毒体系 及时更新防病毒软件本身和病毒特征码 格外关注使用笔记本电脑的用户的防病毒软件更新情况 通过在防火墙和路由器上设置 及时阻止通过网络扩散的病毒 安装专门针对ExchangeServer的病毒扫描系统 直接从用户的邮箱里发现和清除病毒 培训用户不要为了加快计算机运行速度而禁用防病毒系统 如果有可能 从防病毒软件设置中禁止用户这么做培训用户不要随意打开不明底细的电子邮件附件 不要随意下载和安装应用软件 49 修补程序管理 只有及时修补操作系统和应用系统的漏洞 才能从根本上保证安全 修补程序主要有3类 ServicePack即时修复程序或QFE QuickFixEngineering 快速修补工程组 QFE 是Microsoft的一个小组 专门负责编制即时修复程序 针对产品的代码修补程序 即时修复程序经过更严格测试之后被定期添加到ServicePack中 然后提供给所有用户 安全修补程序 安全修补程序是为消除安全漏洞而设计的 部署修补程序的方法主要有 WindowsUpdate和AutomaticUpdateSUS软件更新服务 SUS 可以安装在企业内部的某台服务器上 让后SUS服务器从微软的站点下载最新的修补程序 企业网络的计算机将自动从SUS下载并自动安装 脚本通过组策略部署计算机开机脚本 使计算机在启动时自动运行脚本 安装修补程序组策略组策略具有软件分发的能力 如果得到的修补程序是 msi类型 可以通过组策略将该修补程序指派给指定范围内的计算机 如果不是 需要编写相应的 zap文件SMS 50 审核策略 通过审核 记录访问者的行为 以发现异常动作并作为证据保留 一般的审核策略包括 对于重要的文件开启删除和修改审核 对敏感文件开启读取审核 在域上开启账户登录事件审核 记录用户登录域的活动 在重要服务器上开启登录事件审核 记录从网络上访问该服务器的活动 在SQLServer中审计登录事件 定期对审核记录进行检查 51 日志管理 日志系统保存了操作系统和应用程序的信息记录 其中包括与安全相关的信息 做为检测入侵的重要证据 日志需要进行妥善的管理 一般的日志管理策略包括 足够大的日志存储空间 以记录足够多的日志信息 不应启用日志覆盖 定期的日志转储 转储的日志需要放置在不能被再次修改的存储介质上 如只能写入一次的光盘 并放置在安全位置 同时按照企业安全策略的要求i 保存足够长的时间 除了操作系统日志外 根据需要开启应用系统的日志 如数据库服务器 邮件服务器等访问日志 保证在日志中记录足够的信息 如用户帐户 计算机名 IP地址等 保证计算机之间的时间同步 以准确记录时间发生时间 从软件供应商处获取日志代码含义解读文档 使用日志分析工具协助管理员快速获取有价值的信息 52 容错管理 对故障和灾难的抵御能力 称为容错 容错管理的目标是尽可能减少各种意外事故造成的企业信息损害 一般的容错管理策略包括 使用不间断电源设备 建立后备供电线路 使用磁盘冗余阵列 RAID 提高数据可能性 使用服务器群集技术 避免服务器失效 对重要的服务器建立后备或辅助服务器 例如建立多台域控制器 通过日志传送建立SQLServer后备服务器等 对局域网网络提供冗余 选择多个ISP 建立外部连接冗余 对网络设备 交换机 路由器 和防火墙提供冗余 53 备份管理 备份是企业信息安全的最后一道防线一般的备份策略包括 设计备份计划 在兼顾性能的同时 尽可能缩短备份周期 定期测试备份设备 备份存储介质的可靠性 检查已备份数据的完整性和可用性 划分需要备份数据的优先级 保留同一数据的多个备份 备份磁带远离数据原始位置 避免灾害发生造成同时损失 备份磁带应存储在安全位置 避免非授权访问 制定备份恢复计划 并进行演练 54 抵御技术性攻击 攻击者会企图利用企业网络中的技术漏洞 以获取对系统的访问并设法提升其权限 主要的技术攻击方法有 会话监听和劫持DNS毒化和窃取URL字符串攻击攻击安全帐户管理器文件缓冲区溢出拒绝服务攻击后门攻击恶意代码 55 抵御社会工程攻击 社会工程攻击指利用非技术手段对企业信息安全造成破坏 比如 伪装成快递公司 物业管理公司等人员进入企业 获取企业内部信息 比如贴在墙上的组织结构图 文印室未被处理的废弃纸张 贴在员工工作隔板上的内部通信录 贴在显示器上的写有用户帐户名称和口令便利帖等等 伪装企业IT管理人员打电话给企业员工 索要帐户口令 抵御社会工程攻击的最好方法是对企业员工进行安全意识培训 并进行企业内部安全审核 56 安全事件响应 所有的管理员都希望能防患于未然 然而要想防止所有安全事件是不可能的 所以当安全事件真的发生时 需要确保让它造成的影响最小 可以采取一些预先的的措施以使安全事件的数量和影响减至最小 在该阶段 分析案例中伟达公司目前的事件响应机制存在的问题 比如 显然缺乏安全响应机制 也没有时间响应团队 在未经授权的情况下向外部人员求助 在未经授权的情况下允许外部人员进行安全扫描 没有在第一时间记录并通报安全事件的发生 没有进行证据保留等 57 安全事件的相应流程 初步评估 发现安全事件的人员进行初步评估 排除误报可能性 内部通报 向整个事件响应小组进行通报 启动处理机制 控制损失 采取紧急措施 避免进一步恶化 确定攻击类型 以及风险等级 确定损失 确定此次安全事件影响范围 评估对企业造成的损失 消除风险 防止该安全事件出现在其他系统或者部门 保存证据 对受到破坏的主机进行符合法律要求证据保存 通知外部机构 如商业伙伴 政府机关 恢复受攻击影响系统 事件相关资料整理和总结 58 伟达的紧急事件响应 1 59 伟达的紧急事件响应 2 60 伟达的紧急事件响应 3 61 伟达的紧急事件响应 4 62 整合安全设计方案 简洁的就是最好的确保技术 产品之间的兼容性列出产品 技术应用和部署的时间表建立检查点和里程碑必要的测试 63 结束 伟达公司非常满意我们提供的这次服务安全问题不仅仅是技术问题从小处着手 就能实现安全我们随时准备为您提供服务 64 更多参考信息 65 您的问题 感谢您对网络安全和ISAServer的关注 您的问题与建议