1企業網絡平安設計：案例分析2內容案例介紹平安評估平安方案設計34上?？偛?200人)行政部人力資源部管理部公共關系部固定資產部采購部IT總部市場部銷售部北京分公司〔100人〕行政部財務部人力資源部管理部銷售市場部IT管理部太陽能部質量控制部法律事務部5偉達〔中國〕公司從1985年成立，經歷了一個飛速的開展過程，特別是90年代起收購了多家國內知名的的公司，而且在中國一直與政府及大型能源企業都有全面的合作。公司營業額在5年間增長了10倍，目前在國內的主要大城市都有分公司和代表處，基于上述的業務增長，員工人數也增加了8倍。但是公司的急速擴張造成了公司IT管理部門的巨大工作壓力，公司原有的IT管理構架早已不堪重負。于是在2001年初，公司對偉達〔中國〕的整個網絡系統進行了一次重大升級，包括增加網絡帶寬，更換核心設備，并將整個系統從WindowsNT4平臺全部遷移到了Windows2000平臺并采用了活動目錄效勞，以提高整個網絡系統的可用性和可管理性。6偉達的網絡拓撲結構7風險8危機！9問題！經過初步平安檢查，發現以下問題：郵件效勞器沒有防病毒掃描模塊；客戶端有W32/Mydoom@MM郵件病毒問題路由器密碼缺省沒有修改正，非常容易被人攻擊；網站效勞器系統沒有安裝最新微軟補丁沒有移除不需要的功能組件；用戶訪問沒有設置復雜密碼驗證，利用字典攻擊，非常容易猜出用戶名和密碼，同時分廠員工對于網站訪問只使用了簡單密碼驗證，容易被人嗅聽到密碼。數據庫系統SQL2000SA用戶缺省沒有設置密碼；數據庫系統SQL2000沒有安裝任何補丁程序10亡羊補牢王勇看到方明的報告非常吃驚，急忙上告公司CIO余鳴，介紹公司網絡平安狀況，同時提及如果不及時解決公司平安問題，可能會造成非常大的經濟和聲譽上的影響。12月22日上午，偉達公司立即召開緊急會議商討此事，希望籍此吸取教訓，徹底整改，在進行平安風險評估的根底上，全面提高企業網絡平安性。11用戶的目標“我們做了盡可能多的工作，努力提我們的響應速度，縮短解決問題的時間，但是很多情況下我們總是在問題出現了之后才開始解決，在這種情況下我們很難及時解決問題，每次都會有一天到兩天大部份系統不能使用，而且也無法對可能發生的問題做有效的估計〞李杰，偉達〔中國〕的IT效勞中心經理抱怨說。“我們在很多方面的工作都很成功，但是就是由于這些網絡上令人討厭的病毒，造成了我們還是經常收到來自個方面的投訴，顯然這不是我們想看到的。我們需要嚴密的系統和嚴格的策略來保證我們業務系統的穩定性和可用性〞偉達〔中國〕首席信息官〔CIO〕余鳴先生如是說?！拔覀冃枰粋€可靠、穩定、平安，易于管理和維護的IT解決方案，以及基于此方案的優秀IT效勞部門，用以支撐我們公司的運營，以及未來的開展。〞公司總裁(CEO)張其軍解釋。12風險評估13風險評估的一般過程14需要搜集的根本信息15使用MBSA16評價風險問題嚴重程度定義建議5嚴重安全問題嚴重的安全漏洞，如果被利用會對業務產生嚴重的破壞記錄，評估，立即更改4高風險安全問題嚴重的安全漏洞，如果被利用將/可能會對業務產生嚴重的影響記錄，評估，在15至30天內更改3中度風險的安全問題中度風險的安全問題，可能會影響業務的進行或紀錄，評估，在90天內改進2輕微風險的安全問題輕微風險的安全問題，不會對業務帶來直接的影響紀錄，評估，在120天內改進1安全建議不屬于安全問題，但改進后可進一步提高安全記錄，評估，在可行的情況下采用17使用平安評測工具平安評測工具通過內置的漏洞和風險庫，對指定的系統進行全面的掃描平安評測工具可以快速定位漏洞和風險MBSA〔MicrosoftBaselineSecurityAnalyzer，基準平安分析器〕是微軟提供的系統平安分析及解決工具。MBSA可以對本機或者網絡上的WindowsNT/2000/XP的系統進行平安性檢測，還可以檢測其它的一些微軟產品，諸如SQL7.0/2000、5.01以上版本的InternetExplorer、IIS4.0/5.0/5.1和Office2000/XP，并給出相應的解決方法。18整理結果:效勞器端嚴重級別安全問題5沒有安裝sp2之后最新的Hotfix3沒有限制匿名用戶對本地安全子系統的訪問4沒有制定密碼策略4沒有定義賬號鎖定策略3沒有改變administrator賬號以及配置該賬號4沒有設置“允許從網絡訪問這臺計算機“3刪除不需要的協議，并且禁用NetBIOSoverTCP/IP4沒有將所有日志的保存方法設為“按需要改寫日志”2事件日志文件使用缺省大小3沒有針對重要文件進行審核3“允許從網絡訪問這臺計算機”的權限中有everyone組3沒有設置專職的信息安全管理人員3缺少有效的備份計劃和定期檢查策略4沒有法律顧問4沒有應對緊急事件的機制4沒有系統容錯機制3沒有詳細的安全管理文檔4沒有針對登錄事件進行審核3沒有針對DNS服務器的傳輸進行安全有效驗證3IIS服務器安裝了太多的不需要組件，也沒有安裝相關補丁程序4沒有特權使用和策略更改的記錄2沒有監視相關服務器端口的機制3防火墻沒有開啟入侵檢測4沒有利用組策略的安全模板進行配置4任何人能夠進入電腦機房4沒有安全管理的流程3網站安全驗證的功能太弱3Sql安全配置不足4存在網絡病毒現象4數據庫權限沒有嚴格限定條件4文件服務器的分區格式采用FAT分區格式5企業郵件服務器沒有安裝郵件掃描插件19整理結果：工作站端嚴重級別安全問題5沒有安裝操作系統補丁3有的計算機沒有加入域4沒有離開計算機，鎖定屏幕習慣4沒有定義賬號鎖定策略3沒有復雜密碼習慣4安裝不需要的網絡協議3隨意打開未知內容的郵件4自行下載網絡軟件，并進行安裝2上非法網站導致IE被修改3不及時更新防病毒軟件病毒庫3很多員工會把密碼寫到及時貼，放在電腦上4隨意將公司一些信息告知外來人員4財務經理的筆記本電腦丟失，導致公司機密數據丟失。3公司電腦機箱被隨意打開5存在“W32/Nimda@MM”的蠕蟲病毒20書寫平安評估報告21平安方案設計22定義企業平安策略23Internet訪問策略該策略用來明確每位員工在Internet訪問活動中應該擔負的責任，并不對企業造成危害。所有被允許能夠進行Internet訪問的員工必須在該文檔上簽名，然后才能給予訪問權限。組成局部：1、定義什么是Internet訪問行為2、定義責任3、定義用戶可以做什么，不可以做什么4、如果用戶違反該策略，相關部門會采取的行動24平安管理25平安風險分析根據平安評估階段提供的平安問題列表，按照嚴重級別進行排序，然后進行分析，步驟包括：分析平安問題面臨的風險；查找平安問題之間的關聯性；尋求解決方案。26效勞器平安問題〔1〕等級安全問題風險5系統中沒有安裝sp2之后最新的Hotfix系統存在嚴重的安全漏洞5企業郵件服務器沒有安裝郵件掃描插件病毒郵件的擴散，內部員工通過郵件向外發送企業機密數據4沒有制定密碼策略弱口令4沒有定義賬號鎖定策略字典或暴力攻擊3沒有改變administrator賬號以及配置該賬號口令猜測4“允許從網絡訪問這臺計算機”的權限中有everyone組從網絡發起入侵4沒有將所有日志的保存方法設為“按需要改寫日志”日志不完整或日志偽造2事件日志文件使用缺省大小不完整記錄或者日志偽造4沒有法律顧問觸犯法律或者不能及時得到法律支持27效勞器平安問題〔2〕4沒有系統容錯機制系統容錯能力脆弱4沒有針對登錄事件進行審核非法登錄4沒有策略更改的記錄非法修改策略4沒有利用組策略的安全模板進行配置分散的安全管理4任何人能夠進入電腦機房物理安全威脅4沒有安全管理的流程安全管理混亂，容易導致信息泄漏4沒有應對緊急事件的機制延誤時機，使安全破壞更為嚴重3沒有設置專職的信息安全管理人員安全管理混亂3沒有詳細的安全管理文檔安全管理混亂4存在網絡病毒現象病毒擴散并難以清除4數據庫權限沒有嚴格限定條件非法防問4文件服務器的分區格式采用FAT分區格式沒有本地安全性3沒有限制匿名用戶訪問空會話威脅28效勞器平安問題〔3〕3沒有刪除不需要的協議，并且禁用NetBIOSoverTCP/IP存在潛在的協議漏洞3沒有針對重要文件進行審核非法訪問和修改3缺少有效的備份計劃和定期檢查策略災難發生時無法從備份中恢復數據3沒有針對DNS服務器的傳輸進行安全有效驗證非法的區域傳輸3用戶登錄驗證是明文傳輸網絡竊聽3IIS服務器安裝了太多的不需要組件，也沒有安裝相關補丁程序存在嚴重漏洞，容易被黑客攻擊3沒有特權使用的記錄非法特權使用3防火墻沒有開啟入侵檢測漏洞掃描3Sql安全配置不足存在可以被入侵者利用的漏洞2沒有監視相關服務器端口的機制服務器可能被種植木馬2SMTP服務器開啟了relay設置成為垃圾郵件中轉站29工作站平安問題級別安全問題風險5沒有安裝操作系統補丁存在嚴重漏洞4沒有離開計算機，鎖定屏幕習慣被非法訪問4沒有定義賬號鎖定策略口令猜測4財務經理的筆記本電腦丟失，導致公司機密數據丟失。數據失竊4安裝不需要的網絡協議潛在的網絡協議漏洞4自行下載網絡軟件，并進行安裝感染病毒，木馬，并導致系統不穩定3隨意打開未知內容的郵件感染郵件病毒或木馬4隨意將公司一些信息告知外來人員泄露信息機密3很多員工會把密碼寫到及時貼，放在電腦上泄露信息機密3不及時更新防病毒軟件病毒庫感染病毒3公司電腦機箱被隨意打開物理威脅3沒有復雜密碼習慣口令猜測攻擊3有的計算機沒有加入域無法進行集中管理，無法實現集中身份驗證2部門管理人員放在我的文件夾中的數據不會自己備份數據丟失影響影響用戶不能正常工作3Snmp的配置可以使用缺省用戶探詢信息導致公司相關設備信息丟失和一些配置信息被修改30平安設計31物理平安物理平安是整體平安策略的基石。保護企業效勞器所在地點的物理平安是首要任務。保護范圍包括在辦公樓內的效勞器機房或整個數據中心。還應該注意進入辦公樓的入口。如果有人隨便可以進入辦公樓內，那么他們即使無法登錄到網絡，也會有許多時機發起攻擊。攻擊包括：拒絕效勞〔例如，將一臺膝上型電腦插入網絡作為一個DHCP效勞器，或者切斷效勞器電源〕數據竊取〔例如，偷竊膝上型電腦或嗅探內部網絡的數據包〕運行惡意代碼〔例如在內部啟動蠕蟲程序，散播病毒〕竊取關鍵的平安信息〔例如備份磁帶、操作手冊和網絡圖，員工通信錄〕32防止信息泄露33規劃網絡平安3435FirewallInternet應用案例

-小型網絡或分公司的配置企業內部網絡36實施案例

——北京市環保局InternetISAServer100臺工作站ISAServer2000TrendMicroInterScan37Internet內部網絡DMZ區ISA效勞器38實施案例

----新晨集團

(brilliance)ISAServer2000InternetInternalNetworkPerimeterNetworkMailServer&DNSWebServer39應用范例

–

廣域網絡的配置總部分支機構ISAISP40DMZ方式2:“背靠背〞模式Internet內部網DMZ區Web效勞器數據庫效勞器ISA效勞器ISA效勞器41InternetISAServer陣列FireWall(硬件)DMZ內部網(2000+工作站)實施案例

——中國農業部信息中心42復雜網絡中ISA的配置多個VLAN,基于第三層交換ISAServer作為交換機的默認網關設置靜態路由擴大LAT范圍43實施案例

----北京許繼電氣44ISA和VPN在遠程網絡的部署Internet遠程客戶端VPN服務器遠程網絡ISA服務器Web服務器可以選擇讓VPN效勞器和ISA安裝在同一臺機器上或分開45實施案例

----北京市某旅游部門IDC機房/固定IPVPNVPNOffice-1Office-2Office-3撥號線路InternetInternetInternet46規劃系統平安操作系統加固去除非必要效勞和組件去除非必要網絡協議應用預定義平安模板軟硬件供給商對于自己的產品，一般都提供了平安配置文檔。微軟提供了豐富和翔實的產品平安配置指南，管理員只需遵照執行，即能提供高應用系統的平安性。

47用戶帳號策略幾乎所有的企業都通過用戶帳戶名稱和賬戶口令的方法來提供身份驗證和訪問限制。因此帳戶平安性是企業平安的根底。一定要設定口令最低長度，復雜性要求，口令定期修改，帳號鎖定策略。管理員帳戶和口令策略：不要為防止自己的帳戶被鎖定，而額外創立高權限帳戶來作為后門不要在IT人員之間共享密碼，如果允許多個用戶使用管理員帳戶，那么一旦發生涉及該帳戶的平安事件，審計和責任區分就變得非常困難不要在外部網站上使用單位內部的密碼。比方注冊Internet上的論壇和網上商店的會員時。因為用戶密碼往往會與其電子郵件地址存儲在一起。只要利用這種存儲組合，攻擊者就可以確定用戶所在的工作單位、使用的用戶名〔特別是如果用戶名是SMTP地址的前綴〕及密碼。

48防病毒系統49修補程序管理只有及時修補操作系統和應用系統的漏洞，才能從根本上保證平安。修補程序主要有3類：ServicePack即時修復程序或QFE，QuickFixEngineering〔快速修補工程組，QFE〕是Microsoft的一個小組，專門負責編制即時修復程序，針對產品的代碼修補程序。即時修復程序經過更嚴格測試之后被定期添加到ServicePack中，然后提供給所有用戶。平安修補程序：平安修補程序是為消除平安漏洞而設計的。部署修補程序的方法主要有：WindowsUpdate和AutomaticUpdateSUS軟件更新效勞〔SUS〕可以安裝在企業內部的某臺效勞器上，讓后SUS效勞器從微軟的站點下載最新的修補程序，企業網絡的計算機將自動從SUS下載并自動安裝。腳本通過組策略部署計算機開機腳本，使計算機在啟動時自動運行腳本，安裝修補程序組策略組策略具有軟件分發的能力，如果得到的修補程序是*.msi類型，可以通過組策略將該修補程序指派給指定范圍內的計算機，如果不是，需要編寫相應的*.zap文件SMS50審核策略通過審核，記錄訪問者的行為，以發現異常動作并作為證據保存。一般的審核策略包括：對于重要的文件開啟刪除和修改審核，對敏感文件開啟讀取審核；在域上開啟賬戶登錄事件審核，記錄用戶登錄域的活動；在重要效勞器上開啟登錄事件審核，記錄從網絡上訪問該效勞器的活動；在SQLServer中審計登錄事件；定期對審核記錄進行檢查。51日志管理日志系統保存了操作系統和應用程序的信息記錄，其中包括與平安相關的信息。做為檢測入侵的重要證據，日志需要進行妥善的管理。一般的日志管理策略包括：足夠大的日志存儲空間，以記錄足夠多的日志信息；不應啟用日志覆蓋；定期的日志轉儲，轉儲的日志需要放置在不能被再次修改的存儲介質上，如只能寫入一次的光盤，并放置在平安位置，同時按照企業平安策略的要求i，保存足夠長的時間；除了操作系統日志外，根據需要開啟應用系統的日志，如數據庫效勞器，郵件效勞器等訪問日志；保證在日志中記錄足夠的信息，如用戶帳戶，計算機名，IP地址等；保證計算機之間的時間同步，以準確記錄時間發生時間；從軟件供給商處獲取日志代碼含義解讀文檔；使用日志分析工具協助管理員快速獲取有價值的信息52容錯管理53備份管理備份是企業信息平安的最后一道防線一般的備份策略包括：設計備份方案，在兼顧性能的同時，盡可能縮短備份周期；定期測試備份設備，備份存儲介質的可靠性，檢查已備份數據的完整性和可用性；劃分需要備份數據的優先級；保存同一數據的多個備份；備份磁帶遠離數據原始位置，防止災害發生造成同時損失；備份磁帶應存儲在平安位置，防止非授權訪問；制定備份恢復方案，并進行演練。5455抵御社會工程攻擊56平安事件響應所有的管理員都希望能防患于未然。然而要想防止所有平安事件是不可能的，所以當平安事件真的發生時，需要確保讓它造成的影響最小?？梢圆扇∫恍╊A先的的措施以使平安事件的數量和影響減至最小。在該階段，分析案例中偉達公司目前的事件響應機制存在的問題，比方：顯然缺乏平安響應機制，也沒有時間響應團隊；在未經授權的情況下向外部人員求助；在未經授權的情況下允許外部人員進行平安掃描；沒有在第一時間記錄并通報平安事件的發生；沒有進行證據保存等。57平安事件的相應流程初步評估，發現平安事件的人員進行初步評估，排除誤報可能性；內部通報，向整個事件響應小組進行通報，啟動處理機制；控制損失，采取緊急措施，防止進一步惡化；確定攻擊類型，以及風險等級；確定損失，確定此次平安事件影響范圍，評估對企業造成的損失；消除風險，防止該平安事件出現在其他系統或者部門；保存證據，對受到破壞的主機進行符合法律要求證據保存；通知外部機構，如商業伙伴，政府機關；恢復受攻擊影響系統；事件相關資料整理和總結。58偉達的緊急事件響應〔1〕

事件響應步驟采取的行動初步評估星期一早上十點鐘，偉達公司的系統管理員李勇接到公司銷售部門的員工張娟的電話，說在訪問公司對外Web網站時，發現主頁被篡改。李勇是偉達公司的安全安全事件響應小組的成員，公司員工已經經過培訓，被要求一旦懷疑發現安全事件，立刻向IT部門報告。李勇接到電話后，立刻訪問公司主頁，發現確實被人篡改，入侵者留下了惡作劇般的聲明，但并沒有表明身份和目的。這不是誤報。通報事件李勇立刻通過電子郵件通報了他發現的問題，并電話通知了所有可以聯系到的安全小組成員。

控制損失偉達公司的安全事件響應策略規定，在確定暴露在Internet上的某臺服務器被入侵后，要求立即斷開該系統與網絡的連接。李勇按照此策略拔掉了網線。但是沒有考慮到對企業業務的影響，暫時沒有斷開整個企業到Internet的連接。確定破壞程度李勇檢查了防火墻日志，檢查了郵件服務器和數據庫服務器，暫時沒有發現有入侵痕跡。由于該Web服務器屬于獨立的工作組，其上存在的用戶帳戶也沒有被用在其他的系統上，基本可以斷定該次安全事件只影響到了Web服務器。59偉達的緊急事件響應〔2〕通報事件李勇將其后續操作及檢查結果用電子郵件通知了安全事件響應小組的其他成員，并直接聯系了安全事件響應小組領導人公司副總經理張杰。

張杰指派CIO余明作為事件負責人。余明將協調安全事件響應小組的所有活動及其與外部的信息溝通。

余明通知IT支持小組，告訴他們該

Web服務器已斷開與網絡的連接，待問題解決后才能重新連接到網絡上。余明還通知了行政管理層和法律顧問。法律顧問建議按既定步驟收集證據。保存證據余明決定根據法律顧問的建議，在對受到入侵的Web服務器進行進一步入侵分析之前進行證據收集。安全事件響應小組中經過培訓負責收集法律證據的成員創建了該Web服務器的完全備份。一個備份被保存起來作為以后的法律證據使用。另一個備份被保存起來作為數據恢復中可能用到數據保存。按照安全策略規定，作為法律證據的備份保存在只可寫入一次的刻錄光盤上，在密封以后與服務器上的硬盤一起放在一個安全的位置。確定攻擊的類型合嚴重程度另一名安全事件響應小組成員王勇，

對該Web服務器運行了MBSA，發現針對IIS多個有重要的漏洞補丁沒有打，入侵者可能通過Unicode解碼漏洞或者索引服務漏洞成功入侵。對Web服務器的進行HTTP日志分析發現，入侵者使用Unicode漏洞入侵，并記錄了入侵者的IP地址。同時使用其他安全檢查工具，對帳戶，注冊表，安全策略進行檢查，以確定入侵者是否還進行了其他破壞。王勇也對其他的服務器進行了MBSA的掃描，沒有發現其他問題。60偉達的緊急事件響應〔3〕通知外部機構信息溝通人員將此事件相關信息報告給了公安部門。同時，考慮