系统程序漏洞扫描安全评估方案

1、-PAGE . z. / / v .目录 TOC o 1-3 h z u HYPERLINK l _Toc339489278一、工程概述 PAGEREF _Toc339489278 h 0HYPERLINK l _Toc3394892791.1 评估*围 PAGEREF _Toc339489279 h 0HYPERLINK l _Toc3394892801.2 评估层次 PAGEREF _Toc339489280 h 0HYPERLINK l _Toc3394892811.3 评估方法 PAGEREF _Toc339489281 h 0HYPERLINK l _Toc3394892821.4

2、评估结果 PAGEREF _Toc339489282 h 0HYPERLINK l _Toc3394892831.5 风险评估手段 PAGEREF _Toc339489283 h 1HYPERLINK l _Toc3394892841.5.1 基于知识的分析方法 PAGEREF _Toc339489284 h 1HYPERLINK l _Toc3394892851.5.2 基于模型的分析方法 PAGEREF _Toc339489285 h 1HYPERLINK l _Toc3394892861.5.3 定量分析 PAGEREF _Toc339489286 h 2HYPERLINK l _Toc

3、3394892871.5.4 定性分析 PAGEREF _Toc339489287 h 3HYPERLINK l _Toc3394892881.6评估标准 PAGEREF _Toc339489288 h 3HYPERLINK l _Toc339489289二、网拓扑评估 PAGEREF _Toc339489289 h 3HYPERLINK l _Toc3394892902.1 拓扑合理性分析 PAGEREF _Toc339489290 h 3HYPERLINK l _Toc3394892912.2 可扩展性分析 PAGEREF _Toc339489291 h 3HYPERLINK l _Toc

4、339489292三、网络平安管理机制评估 PAGEREF _Toc339489292 h 4HYPERLINK l _Toc3394892933.1 调研访谈及数据采集 PAGEREF _Toc339489293 h 4HYPERLINK l _Toc3394892943.2 网络平安管理机制健全性检查 PAGEREF _Toc339489294 h 5HYPERLINK l _Toc3394892953.3 网络平安管理机制合理性检查 PAGEREF _Toc339489295 h 5HYPERLINK l _Toc3394892963.4 网络管理协议分析 PAGEREF _Toc339

5、489296 h 6HYPERLINK l _Toc339489297四、脆弱性严重程度评估 PAGEREF _Toc339489297 h 6HYPERLINK l _Toc3394892984.1 平安漏洞扫描 PAGEREF _Toc339489298 h 6HYPERLINK l _Toc3394892994.2 人工平安检查 PAGEREF _Toc339489299 h 8HYPERLINK l _Toc3394893004.3 平安策略评估 PAGEREF _Toc339489300 h 9HYPERLINK l _Toc3394893014.4 脆弱性识别 PAGEREF _T

6、oc339489301 h 10HYPERLINK l _Toc339489302五、网络威胁响应机制评估 PAGEREF _Toc339489302 h 10HYPERLINK l _Toc3394893035.1远程渗透测试 PAGEREF _Toc339489303 h 11HYPERLINK l _Toc339489304六、网络平安配置均衡性风险评估 PAGEREF _Toc339489304 h 12HYPERLINK l _Toc3394893056.1 设备配置收集 PAGEREF _Toc339489305 h 12HYPERLINK l _Toc3394893066.2 检

7、查各项HA配置 PAGEREF _Toc339489306 h 14HYPERLINK l _Toc3394893076.3 设备日志分析 PAGEREF _Toc339489307 h 15HYPERLINK l _Toc339489308七、风险级别认定 PAGEREF _Toc339489308 h 16HYPERLINK l _Toc339489309八、工程实施规划 PAGEREF _Toc339489309 h 16HYPERLINK l _Toc339489310九、工程阶段 PAGEREF _Toc339489310 h 17HYPERLINK l _Toc339489311十

8、、交付的文档及报告 PAGEREF _Toc339489311 h 18HYPERLINK l _Toc33948931210.1 中间评估文档 PAGEREF _Toc339489312 h 19HYPERLINK l _Toc33948931310.2 最终报告 PAGEREF _Toc339489313 h 19HYPERLINK l _Toc339489314十一、平安评估具体实施内容 PAGEREF _Toc339489314 h 20HYPERLINK l _Toc33948931511.1 网络架构平安状况评估 PAGEREF _Toc339489315 h 20HYPERLIN

9、K l _Toc33948931611.1.1 内容描述 PAGEREF _Toc339489316 h 20HYPERLINK l _Toc33948931711.1.2 过程任务 PAGEREF _Toc339489317 h 21HYPERLINK l _Toc33948931811.1.3 输入指导 PAGEREF _Toc339489318 h 21HYPERLINK l _Toc33948931911.1.4 输出成果 PAGEREF _Toc339489319 h 21HYPERLINK l _Toc33948932012.2 系统平安状态评估 PAGEREF _Toc33948

10、9320 h 21HYPERLINK l _Toc33948932111.2.1 内容描述 PAGEREF _Toc339489321 h 21HYPERLINK l _Toc33948932211.2.2 过程任务 PAGEREF _Toc339489322 h 24HYPERLINK l _Toc33948932311.2.3 输入指导 PAGEREF _Toc339489323 h 26HYPERLINK l _Toc33948932411.2.4 输出成果 PAGEREF _Toc339489324 h 26HYPERLINK l _Toc33948932511.3 策略文件平安评估

11、PAGEREF _Toc339489325 h 26HYPERLINK l _Toc33948932611.3.1 内容描述 PAGEREF _Toc339489326 h 26HYPERLINK l _Toc33948932711.3.2 过程任务 PAGEREF _Toc339489327 h 27HYPERLINK l _Toc33948932812.3.3 输入指导 PAGEREF _Toc339489328 h 28HYPERLINK l _Toc33948932912.3.4 输出成果 PAGEREF _Toc339489329 h 28HYPERLINK l _Toc339489

12、33011.4 最终评估结果 PAGEREF _Toc339489330 h 28一、工程概述1.1 评估*围针对网络、应用、效劳器系统进展全面的风险评估。1.2 评估层次评估层次包括网络系统、主机系统、终端系统相关的平安措施，网络业务路由分配平安，管理策略与制度。其中网络系统包含路由器、交换机、防火墙、接入效劳器、网络出口设备及相关网络配置信息和技术文件；主机系统包括各类UNI*、Windows等应用效劳器；终端系统设备。1.3 评估方法平安评估工作内容：管理体系审核；平安策略评估；参谋访谈；平安扫描；人工检查；远程渗透测试；遵循性分析；1.4 评估结果通过对管理制度、网络与通讯、主机和桌面

13、系统、业务系统等方面的全面平安评估，形成平安评估报告，其中应包含评估*围*息系统环境的平安现状、存在平安问题、潜在威胁和改良措施。协助对列出的平安问题进展改良或调整，提供指导性的建立方案：平安现状分析报告平安解决方案1.5 风险评估手段在风险评估过程中，可以采用多种操作方法，包括基于知识Knowledge-based的分析方法、基于模型Model-based的分析方法、定性Qualitative分析和定量Quantitative分析，无论何种方法，共同的目标都是找出组织信息资产面临的风险及其影响，以及目前平安水平与组织平安需求之间的差距。1.5.1 基于知识的分析方法在基线风险评估时，组织可以

14、采用基于知识的分析方法来找出目前的平安状况和基线平安标准之间的差距。基于知识的分析方法又称作经历方法，它牵涉到对来自类似组织包括规模、商务目标和市场等的最正确惯例的重用，适合一般性的信息平安社团。采用基于知识的分析方法，组织不需要付出很多精力、时间和资源，只要通过多种途径采集相关信息，识别组织的风险所在和当前的平安措施，与特定的标准或最正确惯例进展比拟，从中找出不符合的地方，并按照标准或最正确惯例的推荐选择平安措施，最终到达消减和控制风险的目的。基于知识的分析方法，最重要的还在于评估信息的采集，信息源包括：会议讨论；对当前的信息平安策略和相关文档进展复查；制作问卷，进展调查；对相关人员进展访谈

15、；进展实地考察；为了简化评估工作，组织可以采用一些辅助性的自动化工具，这些工具可以帮助组织拟订符合特定标准要求的问卷，然后对解答结果进展综合分析，在与特定标准比拟之后给出最终的推荐报告。1.5.2 基于模型的分析方法2001 年1 月，由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开发了一个名为CORAS 的工程，即Platform for Risk Analysis of Security Critical Systems。该工程的目的是开发一个基于面向对象建模特别是UML 技术的风险评估框架，它的评估对象是对平安要求很高的一般性的系统，特别是IT 系统的平安。CORAS 考虑

16、到技术、人员以及所有与组织平安相关的方面，通过CORAS 风险评估，组织可以定义、获取并维护IT 系统的*性、完整性、可用性、抗抵赖性、可追溯性、真实性和可靠性。与传统的定性和定量分析类似，CORAS 风险评估沿用了识别风险、分析风险、评价并处理风险这样的过程，但其度量风险的方法则完全不同，所有的分析过程都是基于面向对象的模型来进展的。CORAS 的优点在于：提高了对平安相关特性描述的准确性，改善了分析结果的质量；图形化的建模机制便于沟通，减少了理解上的偏差；加强了不同评估方法互操作的效率；等等。1.5.3 定量分析进展详细风险分析时，除了可以使用基于知识的评估方法外，最传统的还是定量和定性分

17、析的方法。定量分析方法的思想很明确：对构成风险的各个要素和潜在损失的水平赋予数值或货币金额，当度量风险的所有要素资产价值、威胁频率、弱点利用程度、平安措施的效率和本钱等都被赋值，风险评估的整个过程和结果就都可以被量化了。简单说，定量分析就是试图从数字上对平安风险进展分析评估的一种方法。定量风险分析中有几个重要的概念：暴露因子E*posure Factor，EF 特定威胁对特定资产造成损失的百分比，或者说损失的程度。单一损失期望Single Loss E*pectancy，SLE 或者称作SOCSingle OccuranceCosts，即特定威胁可能造成的潜在损失总量。年度发生率Annuali

18、zed Rate of Occurrence，ARO 即威胁在一年内估计会发生的频率。年度损失期望Annualized Loss E*pectancy，ALE 或者称作EACEstimatedAnnual Cost，表示特定资产在一年内遭受损失的预期值。考察定量分析的过程，从中就能看到这几个概念之间的关系：1 首先，识别资产并为资产赋值；2 通过威胁和弱点评估，评价特定威胁作用于特定资产所造成的影响，即EF取值在0100%之间；3 计算特定威胁发生的频率，即ARO；4 计算资产的SLE：SLE = Asset Value EF5 计算资产的ALE：ALE = SLE ARO1.5.4 定性分析

19、定性分析方法是目前采用最为广泛的一种方法，它带有很强的主观性，往往需要凭借分析者的经历和直觉，或者业界的标准和惯例，为风险管理诸要素资产价值，威胁的可能性，弱点被利用的容易度，现有控制措施的效力等的大小或上下程度定性分级，例如高、中、低三级。定性分析的操作方法可以多种多样，包括小组讨论例如Delphi 方法、检查列表Checklist、问卷Questionnaire、人员访谈Interview、调查Survey等。定性分析操作起来相对容易，但也可能因为操作者经历和直觉的偏差而使分析结果失准。与定量分析相比拟，定性分析的准确性稍好但准确性不够，定量分析则相反；定性分析没有定量分析那样繁多的计算负

20、担，但却要求分析者具备一定的经历和能力；定量分析依赖大量的统计数据，而定性分析没有这方面的要求；定性分析较为主观，定量分析基于客观；此外，定量分析的结果很直观，容易理解，而定性分析的结果则很难有统一的解释。组织可以根据具体的情况来选择定性或定量的分析方法。1.6评估标准1、计算机网络平安管理2、ISO15408 信息平安技术评估通用准则3、GB 17859-1999 计算机信息系统平安保护等级划分准则4、相关各方达成的协议二、网拓扑评估2.1 拓扑合理性分析目前网络都根本采取传统的三层架构，核心、会聚与接入，其他设备都围绕着这三层进展扩展，各设备之间的线路根本采用千兆光纤接入方式，实现高速数据

21、传输，降低延时，减少干扰，设备间存在冗余，从而保证各数据间传输的可靠性，各业务之间的稳定性。2.2 可扩展性分析核心设备、会聚设备是否都存在局部空模板、空接口，可以满足未来几年内的扩展核心设备的背板带宽在顶峰期间业务流量能正常通过，从中可看出目前核心设备的带宽完全能承载当前的流量；背板带宽越大，各端口所分配到的可用带宽越大，性能越高，处理能力越快。三、网络平安管理机制评估3.1 调研访谈及数据采集1、整网对于核心层设备、会聚层设备以及接入楼层设备，进展远程登录方式、本地登录模式、特权模式的用户名与密码配置，密码都是以数字、大小写字母和字符一体化，防止非法用户的暴力破解，即便通过其它方式获取到配

22、置清单，也无法知道这台设备的密码，密码都是以密文的形式显示在配置清单里，这样，无论是合法用户还是恶意用户，只要没有设备的用户名和密码都不能登录到该设备，自然也无法对设备的内容等相关配置信息进展修改，相当于给设备安装了一层保护墙，从而保护了设备的最根本的平安性。2、整个网络采用一种统一的平安制度对网络设备、效劳器集进展有效的检查，管理，实时发现网络中是否存在的一些问题，如果发现问题的存在，都会采取制定的流程及时给予解决，使得网络设备能一直正常运行，可用性得到提高，业务流量保持稳定性状态，以下是平安制度管理的局部选项。1定期扫描漏洞：定期对整网效劳器进展扫描，检查是否有漏洞的存在，数据的来源，事件

23、的分析，主机效劳信息，是否存在高危险性事件，主机流量分析等，以确保网络的平安性。2检查版本升级：定期对整网效劳器进展检查，各主机的系统版本是否最新，各主机的软件，特别是杀毒软件、防火墙、辅助软件有没及时的更新，特征库当前是否为最新。3策略：定期对整网效劳器的密码进展检查，查看是否开启密码策略、*锁定策略、本地审核策略，并作了相应的设置。4关闭用户：定期对整网效劳器进展周密的检查，是否对GUEST用户、长期未登录用户进展关闭。5关闭效劳：定期对整网效劳器进展松紧，是否对一些特殊的效劳，如Remote register、不需要远程登陆的主机Terminal services进展关闭。3.2 网络平

24、安管理机制健全性检查1、以目前的网络设备完全能承载整网的业务流量，可以说目前的设备性能较强，未来，随着网络规模越来越大，业务流量越来越集中，对设备性能的要求也更加严格，但以目前的设备的处理能力，足以胜任未来几年内的扩展，并且具有一定的平安性；2、整网有统一的管理员，对网络设备进展相关的管理，每个管理员所管辖的*围不同；每个管理员负责每一局部，效劳器有应用、数据库、测试、视频等 3、机房有门禁系统，机房有它制定的管理方式，进机房首先得找具有申请进机房资格的工作人员，接着，机房中心工作人员对这条申请的信息进展审核，审核通过后，需要拿*去机房门口进展登记，这样，才能进入机房查看设备、或对设备进展相关

25、的操作，这是进机房的根本流程。4、机房里有特定的系统专门对当前设备的温度进展测量，不管是白天还是晚上，每天24小时都会有保安和相关的工作人员对机房设备进展定期检查，如发生问题会及时通知相关的负责人，负责人收到消息后会及时对问题进展查看、分析、解决，最终保证整网上业务能正常运行。5、采用Host Monitor系统自动对所有设备、效劳器以及主机进展检测，以PING的方式进展测试它的连通性，如果发现*台设备PING测试不通，它会及时产生报警，通过主机把相关设备的信息映射到大屏幕液晶显示器上，以列表的模式显示，相关人员收到报警信息后，一般会采取三个步骤来解决：1通过打给效劳厅，看看是否出现断电的情况

26、；2通知代维工作人员，检查是否为线路问题。3如果都不是以上的问题，根本可以把问题锁在网络设备的本身或者配置上的问题，通知相关人员去检查。3.3 网络平安管理机制合理性检查机房的整体架构，各个核心层设备、会聚层设备以及其他设备所摆放的物理位置，从消防、防潮、防雷、排气等平安措施都布置到位，布线整齐、合理、具有相当的专业水平，网线以不同的颜色来区分所在设备的重要性，比方在交换机与交换机的级连一般用蓝色来表示，交换机的端口与PC网卡相连接时用灰色，交换机与其他设备相连除了有时用光纤外，一般用黄色来或绿色来表示，而且，对每个机架机架、设备以及连接的网线都打上标签，当*时候网络物理出现问题时，比方线松了

27、，或是线掉了，线插反了等等，因为之前对相关的设备、网线都贴上标签，这样可以很方便的查找到故障点，并进展定位，容易排除故障；每一排机架集按大写英语字母来标记所在的行号，每一排机架集包括10来个机架，分别用所在的行号+数字来标记，比方我所要找的机架在第二行第5个位置，标记为B5，直接找到B5就可以了；室内温度调整适当，当设备温度过大时，会自动出现告警； 3.4 网络管理协议分析1、统一对整个网络所有设备进展监控、收集信息以及管理，其他的网络设备作为代理者，通过自定的Trap类型向管理者发送最新的信息状况，以保持整网设备能正常运行。2、经过对SNMP配置进展分析，了解到目前SNMP在整网中的作用，以

28、及SNMP在各种重要设备里都进展过哪些配置，在SNMP配置的共同体里，只限制*台主机对该设备进展读取MIB数据库的信息，除此之外，其他的网段是否都可以对该设备的MIB进展读取与修改MIB里的信息，如果可以这样将造成根本上在所有的网段里，每个网段的所有主机都可以对设备的MIB信息进展访问，甚至对该信息进展修改。四、脆弱性严重程度评估脆弱性评估，从技术脆弱性、管理脆弱性去评估途径实施：1人员访谈2现有文件调阅3现场检查4平安漏洞扫描5人工平安检查4.1 平安漏洞扫描在网络平安体系的建立中，平安扫描工具花费代、效果好、见效快，与网络的运行相对独立，安装运行简单，要以大规模减少平安管理的手工劳动，有利

29、于保持全网平安政策的统一和稳定，是进展风险分析的有力工具。在工程中，平安扫描主要是通过评估工具以本地扫描的方式对评估*围内的系统和网络进展平安扫描，从内网和外网两个角度来查找网络构造、网络设备、效劳器主机、数据和用户*/口令等平安对像目标存在的平安风险、漏洞和威胁。平安扫描工程包括如下内容:信息探测类网络设备与防火墙RPC效劳Web效劳CGI问题文件效劳域名效劳Mail效劳Windows远程访问数据库问题后门程序其他效劳网络拒绝效劳DOS其它问题从网络层次的角度来看，扫描工程涉及了如下三个层面的平安问题。一系统层平安该层的平安问题来自网络运行的操作系统：UNI*系列、Linu*系列、Windo

30、ws系列以及专用操作系统等。平安性问题表现在两方面：一是操作系统本身的不平安因素，主要包括身份认证、访问控制、系统漏洞等；二是操作系统的平安配置存在问题。身份认证：通过Telnet进展口令猜想等。访问控制：注册表普通用户可写，远程主机允许匿名FTP登录，FTP效劳器存在匿名可写目录等。系统漏洞：Windows缓冲出溢出漏洞。平安配置问题：局部SMB用户存在弱口令，管理员*不需要密码等。二网络层平安该层的平安问题主要指网络信息的平安性，包括网络层身份认证、网络资源的访问控制、数据传输的*与完整性、远程接入、路由系统的平安、入侵检查的手段等。 网络资源的访问控制：检测到无线访问点。域名系统：ISC

31、 BIND SIG资源记录无效过期时间拒绝效劳攻击漏洞，Windows DNS拒绝效劳攻击。路由器：cisco IOS Web配置接口平安认证可绕过，路由器交换机采用默认密码或弱密码等。三应用层平安该层的平安考虑网络对用户提供效劳器所采用的应用软件和数据的平安性，包括：数据库软件、WEB效劳、电子、域名系统、应用系统、业务应用软件以及其它网络效劳系统等。数据库软件：Oracle Tnslsnr没有配置口令，MSSQL 2000 sa*没有设置密码。WEB效劳：SQL注入攻击、跨站脚本攻击、基于WEB的DOS攻击。电子系统：Sendmail头处理远程溢出漏洞，Microsoft Windows

32、2000 SMTP效劳认证错误漏洞。为了确保扫描的可靠性和平安性，首先制定扫描方案。方案主要包括扫描开场时间、扫描对象、预计完毕时间、扫描工程、预期影响、需要对方提供的支持等等。在实际开场评估扫描时，评估方会正式通知工程组成员。奥怡轩按照预定方案，在规定时间内进展并完成评估工作。如遇到特殊情况如设备问题、停电、网络中断等不可预知的状况不能按时完成扫描方案或致使扫描无法正常进展时，由双方召开临时协调会协商予以解决。4.2 人工平安检查平安扫描是使用风险评估工具对绝大多数评估*围内主机、网络设备等系统环境进展的漏洞扫描。但是，评估*围内的网络设备平安策略的弱点和局部主机的平安配置错误等并不能被扫描

33、器全面发现，因此有必要对评估工具扫描*围之外的系统和设备进展手工检查。路由器的平安检查主要考虑以下几个方面：*口令网络与效劳访问控制策略日志审核策略空闲端口控制交换机的平安检查主要考虑以下几个方面：*口令网络与效劳VLAN的划分主机的平安检查主要考虑以下几个方面：补丁安装情况、口令策略网络与效劳检查文件系统检查日志审核检查平安性检查平安扫描此阶段通过技术手段评估系统中的漏洞。对撑握整个被评估系统的平安状态提供重要数据。被扫描的系统有：Windows系统Linu*系统Uni*客服热线系统在平安扫描阶段使用的主要工具有：Internet ScannerNESSUSAcuneti* Web Vuln

34、erability Scanner扫描过程中可能会导致*些效劳中断，双方应该事先做好协调工作，并做好应急处理方案，在发现问题后及时上报，并及时恢复系统的运行。4.3 平安策略评估平安策略是对整个网络在平安控制、平安管理、平安使用等方面最全面、最详细的策略性描述，它是整个网络平安的依据。不同的网络需要不同的策略，它必须能答复整个网络中与平安相关的所有问题，例如，如何在网络层实现平安性、如何控制远程用户访问的平安性、在广域网上的数据传输如何实现平安加密传输和用户的认证等。对这些问题帮出详细答复，并确定相应的防护手段和实施方法，就是针对整个网络的一份完整的平安策略。策略一旦制度，应做为整个网络行为的

35、准则。这一步工作，就是从整体网络平安的角度对现有的网络平安策略进展全局的评估，它也包含了技术和管理方面的内容，具体包括：1平安策略是否全面覆盖了整体网络在各方面的平安性描述；2在平安策略中描述的所有平安控制、管理和使用措施是否正确和有效；3平安策略中的每一项内容是否都得到确认和具体落实。4.4 脆弱性识别类型识别对象识别内容技术脆弱性物理环境从机房场地、防火、供配电、防静电、接地与防雷、电磁防护、通信线路的保护、区域防护、设备管理等方面进展识别网络构造从网络架构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备平安配置等方面进展识别系统软件从补丁安装、物理保护、用户*、口令策略、资源

36、共享、事件审计、访问控制、新系统配置、注册表加固、网络平安、系统管理等方面进展识别应用中间件从协议平安、交易完整性、数据完整性等方面进展识别应用系统从审计机制、审计存储、数据完整性、通信、鉴别机制、密码保护等方面进展识别管理脆弱性技术管理从物理和环境平安、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进展识别组织管理从平安策略、组织平安、资产分类与控制、人员平安、符合性等方面进展识别脆弱性赋值赋值标识定义5很高如果被威胁利用，将对资产造成完全损害4高如果被威胁利用，将对资产造成重大损害3中等如果被威胁利用，将对资产造成一般损害2低如果被威胁利用，将对资产造成较小损害1很低如果被威胁

37、利用，将对资产造成的损害可以忽略五、网络威胁响应机制评估防火墙称得上是平安防护的防线，防火墙对于企业网络的平安，已经无法实施100%的控制，对于合法内容中混入的可疑流量、DoS攻击、蠕虫病毒、间谍软件等威胁，几乎没有有效的还击措施，入侵检测与防御系统进展检测网络攻击，与防火墙进展联动。利用现有的入侵检测防御系统对网络攻击进展测试，来检验针对网络威胁的能力。5.1远程渗透测试渗透测试是指在获取用户授权后，通过真实模拟黑客使用的工具、分析方法来进展实际的漏洞发现和利用的平安测试方法。这种测试方法可以非常有效地发现最严重的平安漏洞，尤其是与全面的代码审计相比，其使用的时间更短，也更有效率。在测试过程

38、中，用户可以选择渗透测试的强度，例如不允许测试人员对*些效劳器或者应用进展测试或影响其正常运行。通过对*些重点效劳器进展准确、全面的测试，可以发现系统最脆弱的环节，以便对危害性严重的漏洞及时修补，以免后患。奥怡轩评估小组人员进展渗透测试都是在业务应用空闲的时候，或者在搭建的系统测试环境下进展。另外，评估方采用的测试工具和攻击手段都在可控*围内，并同时充分准备完善的系统恢复方案。网络攻击利用工具或技术通过网络对信息系统进展攻击和入侵网络探测和信息采集、漏洞探测、嗅探、用户身份伪造和欺骗、用户或业务数据的窃取和破坏，系统运行的控制和破坏等物理攻击通过物理的接触造成对软件、硬件和数据的破坏等物理接触

39、、物力破坏、盗窃等泄密信息泄露给不应该了解的他人内部信息泄露、外部信息泄露等篡改非法修改信息，破坏信息的完整性使系统的平安性降低或信息不可用篡改网络、系统、平安配置信息，篡改用户身份信息和业务数据信息等抵赖不成认收到的信息和所作的操作、交易原发抵赖、承受抵赖、第三方抵赖等威胁赋值赋值标识定义5很高出现的频率很高或不少于1次/周，或在大多数情况下几乎不可防止，或可以证实经常发生过4高出现的频率较高或不少于1次/月，或在大多数情况下很有可能会发生，或可以证实屡次发生过3中等出现的频率中等或大于1次/半年，或在*种情况下可能会发生，或被证实曾经发生过2低出现的频率较小，或一般不太可能发生，或没有被证

40、实发生过1很低威胁几乎不可能发生，或仅可能在非常罕见或例外的情况下发生六、网络平安配置均衡性风险评估6.1 设备配置收集1、核心层交换机目前的网络状态正常，在配置上也针对*些平安方面的问题进展布置，具体情况都做了详细的说明，以下是核心层交换机配置上的一些平安防护措施：1核心交换机进入特权模式需要密码，对它进展了密文的设置。2对核心交换机的虚拟线路进展密码的设置，远程登录需要输入密码。3使用UDLD对*些端口进展链路的检测，以减少丢包的概率。4在核心交换机上全局下关闭禁用Http Server，防止非法入侵5全局下开启Bpdu-Guard，因为核心交换机在全局下开启Portfast特性.2、核心

41、层交换机的稳定性直接关系到整个网络数据流量能否正常通过，核心层交换机的平安性问题自然会影响到能否一直保持稳定的状态，起到至关的作用，保护好核心交换机的平安问题很大原因其实是在保护核心交换机的稳定性，做好平安防护工作，保护好核心交换机的稳定性成为我们规则的焦点，下面是对本核心层交换机的平安防护问题进展完善，从而提高核心层交换机的平安性。3、使用SSH来作为远程的登录，使用TELNET进展远程登录， Telnet会话中输入的每个字符都将会被明文发送，这将被像Sniffer这样的抓包软件获取它的用户名、密码等敏感信息。因此，使用平安性更高的SSH加密无疑比使用Telnet更加平安。4、在虚拟线路中对

42、远程登录的最*接数进展限制，默认，一般情况下网络设备会开放5-15个虚拟的连接线路，不过，不同厂商，不同型号，所开放的虚拟线路连接数也都不一样，可以通过登录到此设备，可以用远程登陆或本地登陆，在该设备上对配置进展查看，再根据实际情况进展修改；一般情况下，很多人都没有对远程登陆*围进展限制，这样使得每个人都有时机去TELNET，这多少给了恶意用户提供攻击的时机，比方可以使用SYN Flood攻击；它伪造一个SYN报文，伪造一个源地址或者不存在的地址，通过向效劳器发起连接，效劳器在收到报文后用SYN-ACK应答，而此应答发出去后，效劳器就等待源发个ACK确实认包过来后以完成三次握手，建立起连接，但

43、是，攻击者使用的源是一个不存在或是伪造的地址，效劳器将永远不会收到攻击者发送过来的ACK报文，这样将造成一个半连接。如果攻击者发送大量这样的报文，会在被攻击主机上出现大量的半连接，消耗所有的资源，使得正常的用户无法对其访问。直到半连接超时，才会慢慢释放所有的资源，简单一点的说，SYN Flood利用TCP的三次握手来让效劳器保持N个半个连接数，以消耗掉效劳器系统的内存等资源；对远程登录的*围用访问列表进展控制，起到一定的平安性。5、为了防*交换机上一些恶意攻击行为，禁用所有未用的端口，以免因为一些无知行为或误操作，导致一切都无法预料的后果；比方将交换机两个端口用网线直接连接，这样将导致整个交换

44、机的配置数据被去除，交换机的配置一瞬间全清空，这样将导致业务中断，如果之前有对交换机的相关配置信息进展备份，还可以在短时间内复原，要是没有，只能使得网络中断的时间加长，而且，关闭端口也能在一定程度上防*恶意用户连接此端口并协商中继模式，当恶意用户连接端口，冒充成另外一台交换机发送虚假的DTP协商消息，真实的交换机收到这个DTP消息后，比拟下参数，一旦协商成中断模式后，恶意用户通过探测信息流，当有流量经过时，所有通过此交换机上所有VLAN信息都会被发送到恶意用户的电脑里。6、为提高平安，最好把暂时不需要用到的效劳都关闭掉，因为它们都很有可能成为平安漏洞，恶意用户利用这些平安漏洞进整个网络实行攻击

45、等非法行为，以到达一定的目的；核心交换机的配置中已经对Http Server这个效劳进展禁用，下面是一些经常被攻击者利用的效劳，以对其进展攻击。建议把下面的效劳也都一一禁用掉：禁用IP源路由no ip source route禁用小的UDP效劳no service udp-small-s禁用小的TCP效劳no service tcp-small-s7、核心交换机的作用至关重要，因为它影响到整个网络的正常运行，这里有两种情况：第一种情况当一台新的交换机接入到这个网络，因对网络拓扑不熟悉，配置错误，使得新交换机成为根网桥，新交换通过宣告VLAN信息让整个域的其他交换机都能学习到，这将使得整网流量全

46、导向新交换机。第二种情况：交换机默认都是SERVER模式，在这里以域中只有一台SERVER模式，新交换机模式为CLIENT，当新的交换机参加网络中，因为它的修订版本号比拟高，这里的修订版本号用来标识交换机的更新信息，修改版本号越高，它的VLAN信息流越新，与交换机的模式无关，修订版本号可以通过增加/删除/修改VLAN信息等等来增加它的数值，交换机之间通过发送BPDU，比拟它们的参数，包括修订版本号，通过比拟得出修订版本号高的交换机，作为整个域中VLAN信息的标配，当新交换机的修订版本号高于处在根网桥的交换机时，它不会去学习根网桥宣告过来的VLAN信息，当SERVER通过BPDU包的交换后得知新

47、交换机的修订版本号比拟高，它通过BPDU包学习到新交换机的VLAN信息，并在整个域中把此VLAN信息进展宣告出去，整网中所有交换机的原来VLAN信息全被删除，都学习到SERVER交换机发送过来的最新VLAN信息流。这两种方式都直接导致网络流量的导向，使得网络中交换机所学到的VLAN信息不全，网络资源的浪费，网络局部业务的中断，甚至网络的环路，为了防*以上的问题，需要布置根防护，当根网桥在启用根防护的端口上接收到其他交换机发送过来的BPDU，不管修订版本号是多高，根网桥不对此包作处理，直接端将口进入不一致的STP状态 ，并且交换机不会从这个端口转发流量；这种方法能够有效地稳固根网桥的位置，还能够

48、有效的防止第2层环路，它能将接口强制为指定端口，进而能够防止周围的交换机成为根交换机。当新交换机接入网络时，先将交换机的模式设置为透明模式，再把它改为客户模式，从而保证不会出现以上所说的情况。6.2 检查各项HA配置1、核心层交换机上开启了HSRP协议，在会聚层华为设备上配置了VRRP协议，因为HSRP是思科私有，所以华为只能使用业界的VRRP，在两台核心交换机上，对VLAN的SVI口进展配置；HSRP是一种热备份路由网关协议，具有很高的可靠性，它通过双方预先设定好的虚拟IP地址，发送HELLO数据包，经过一系列的状态比拟，最终协商出谁是Active谁是Standby，HSRP相当于是台虚拟的

49、路由器，有自己的虚拟IP地址及MAC地址，终端用户将这虚拟的IP地址作为网关;默认情况下，只有Active路由器在工作，Standby路由器一直处在空闲状态之中，双方每3S会发送HELLO去侦测对方以确定对方是否存在，当10S过后，还没收到对方发送过来的HELLO包，Standby会认为对方设备出现故障或者对方已经不存在，这时它会把自己的状态从standby变为active,这对于终端的用户是透明的，保证终端用户数据能得到可靠的传输，当一台设备链路出现问题，HSRP只需要经过一个邻居状态standby-active,能快速的切换到另一台设备，用户的可用性得到保障；HSRP还可以对整个网络进展负

50、载分担。VRRP是业界定义的一种类似于HSRP的网关冗余协议，功能与作用根本与HSRP一样，区别在于VRRP可以使用物理的IP地址作为虚拟IP地址，VRRP的状态机相比起HSRP减少很多等。2、通过对核心交换机HSRP协议的配置进展分析，HSRP全都是在VLAN的SVI接口里进展配置，在主核心交换机中设定一个共同的虚拟IP地址，并对它的优先级进展设定，开启HSRP的抢占性；在另一台核心交换机也是同样的配置，只是优先级不同，这样，当它们发送HEELO包选举行，先比拟优先级，优先级一样再比拟IP地址，IP地址较高的为Active，当Active设备出现故障时，Standby会马上切换过来变为Act

51、ive,，原来的核心交换机恢复正常时，会自动把Active的主动权抢占过来；如果核心交换机的外口出现故障，因为没有对外边的接口进展跟踪的配置，这样会造成黑洞的产生，数据包的丧失；在两台核心交换机中并没有起到流量的负载分担，正常情况下，一台路由器处在忙碌状态，另一台路由器一直处在空闲状态中，等待着监测着Active路由器的工作状态，在会聚层两台华为设备的交换机中，配置VRRP，并没有配置抢占性，对外口进展追踪，但发现故障时，优先级会自动减少30，因为没有配置抢占性，备份设备不会进展抢占，使得主设备对外追踪没有多大的意义，反而又多了丢包率。3、在配置HSRP协议的两台交换机上，终端PC通过两台交换

52、机去访问内部的资源时，终端PC的网关指向两台交换机协商设置的虚拟IP地址，在同一时间，两台交换机，只有一台交换机处在Active状态，另一台交换机一直处在Idle状态，当数据包穿越交换机去访问网络资源，把交换机与终端PC相连的接口线拔掉，处于Active的交换机突然因为接口松动而导致中断，处在Idle状态的交换机快速切换成Active，继续让链路保持不中断的状态，对于终端用户，完全感觉不到刚刚链路已经中断，访问网络的资源没有任何的影响；再把刚刚拔掉的接口再插回去，因为HSRP配置了抢占性，主设备通过发送HELLO比拟，立马Active的主动权抢占回来。6.3 设备日志分析通过对防火墙的日志导出

53、，对日志进展检查，目前防火墙每天产生的日志信息条数过多，仔细分析日志的其中一局部，防火墙日志记录了穿越它的流量信息，几乎所有的流量都是属于正常日志信息，正常日志信息占满了整个防火墙的日志栏，日志记录的信息包括本设备的型号、IP地址、日期时间；日志开场的日期与时间，持续的时间段，源IP地址、源端口、目标IP地址、目标端口、*lated以及发送与接收的数据包状态等。正常的日志信息意味着网络运行的状态正常，没有存在一些恶意的攻击，下面是防火墙的一些日志信息，都属于正常的日志：七、风险级别认定网络平安管理是一项系统工程，要从根本上去躲避平安风险，则必须对整个网络平安体系进展系统化的分析，从管理和技术两

54、大方面入手，双管齐下，必须变被动为主动，提早发现问题，解决问题，尽可能杜绝平安管理上的漏洞。通过将现有制度按体系分层归类，找出现有制度及运作的存在问题，和国际标准ISO17799进展比照，提出修补意见。根据现有的制度，建立平安管理指导的框架，方便各中心根据自身实际形成必要的平安指导制度。技术性的系统平安扫描报告技术性的系统平安加固方案关键系统基线检查报告远程渗透测试报告ISO27001差距分析网络平安机制评估报告八、工程实施规划表1 工程实施规划序号工作名称详细1工程准备工程启动会平安评估前的培训2平安评估使用扫描工具进展平安扫描远程渗透测试对系统进展基线检查对系统相关人员进展访谈对管理制度进

55、展审查3企业平安现状分析技术上的工具扫描结果、远程渗透测试、基线检查结果分析管理层面的漏洞分析差距分析，与ISO27001做比拟4平安加固在技术层面上使用技术手段对系统进展平安加固在管理层面上制定合理的管理制度5评估完毕后的培训针对当前企业存在的平安问题做一次有针对性的培训6工程后期的宣传工作通过FLASH、海报等方式加强平安方面的宣传教育工作。九、工程阶段第一阶段：前期准备阶段工程方案需求调研确定工程目标和详细*围完成详细方案设计工程前期沟通与培训第二阶段：评估实施技术评估策略文档及规*审查第三阶段：评估报告和解决方案数据整理和综合分析平安现状报告平安解决方案第四阶段：支持和维护系统加固平安

56、培训定期回复抽样远程二次评估实施平安评估的整个过程如下列图所示十、交付的文档及报告在实施阶段，会产生各种报告工具扫描人工评估策略评估平安审计网络架构系统评估网络扫描报告人工评估报告策略文档评估报告平安审计报告网络架构报告系统评估报告归纳，整理、分析平安评估报告解决方案建议需求分析10.1 中间评估文档网络架构整体平安分析评估报告系统漏洞扫描报告包括效劳器、网络设备、PC机、平安设备等技术性弱点综合评估报告平安策略文档体系评估报告10.2 最终报告平安评估整体结果报告；平安整体解决方案建议；系统平安加固建议方案。十一、平安评估具体实施内容11.1 网络架构平安状况评估11.1.1 内容描述网络架

57、构平安评估主要涉及到以下几个方面的内容：网络拓扑和协议：拓扑构造合理性分析、可扩展性分析；对周边接入的全面了解，平安域划分的级别，信任网络或者不信任网络之间是否有控制，控制本身带来的平安程度以及是否有可以绕过控制的途径；所采用的路由协议，是否存在配置漏洞，冗余路由配置情况，路由协议的信任关系；对网络管理相关协议的分析整理；对业务应用相关协议的分析整理；各网络节点包括接入节点的平安保障措施。网络平安管理机制：网络的平安策略是否存在，以及是否和业务系统相互吻合，有无合理的平安制度作为保障；网络体系架构是如何进展管理的，是否有良好的机制和制度保障网络架构本身不被改变，没有非法的不符合平安策略的架构改

58、变；网络设备BUG的检查处理机制，即系统管理人员接收到或者发现网络设备存在BUG的时候，是否有一个流程可以处理；网络平安事件紧急响应措施；网络防黑常用配置的资料整理、分类和准备；网络故障的分析手段的资料整理、分类和准备；针对网络架构、协议和流量的平安审计制度和实施情况调查。网络认证与授权机制：网络效劳本身提供的密码和身份认证手段，系统是否还要其它密码和身份认证体系；在相关的网络隔离点，是否有恰当的访问控制规则设立，是否被有效的执行；是否有集中的网络设备认证管理机制，是否被正确的配置和执行；网络加密与完整性保护机制：数据加密传输；完整性校验的实现。网络对抗与响应机制：是否有漏洞的定期评估机制和入

59、侵检测和记录系统的机制；网络建立中是否良好的考虑了网络的高可用性和可靠性问题，是否被正确使用和良好的配置，是否有机制保障不被修改。网络平安配置均衡性分析：平安机制本身配置是否不合理或者存在脆弱性。11.1.2 过程任务提交网络拓扑图，并对网络流量、平安机制进展说明；对相关人员进展访谈，问题涉及网络架构与协议、网络平安管理规定、网络平安机制的使用等；现场参观和调查；编写网络架构平安评估报告。11.1.3 输入指导目标系统网络拓扑图必要的网络运营记录信息11.1.4 输出成果网络架构整体平安分析评估报告12.2 系统平安状态评估11.2.1 内容描述技术评估旨在开掘目标系统现有的技术性漏洞，评估方

60、法主要有三种：自动化漏洞扫描、渗透测试、本地平安审查。使用专用的扫描工具进展漏洞扫描，可扫描的系统和漏洞类别如下：Windows 9*/NT/2000扫描后门BackOrifice, CDK 等扫描Remote Control 程序NetBus 等扫描在 NetBIOS 效劳上的各种漏洞通过获取用户目录的登录入侵扫描共享文件夹漏洞, 共享权限等扫描 Remote Registry AutoLogon 等扫描SNMP 漏洞 (munity Name, 读/写)扫描FTP 漏洞 (Anonymous, guest)扫描UNI* Orient 效劳 (* Window, TFTP 等)扫描 Echo