系统程序漏洞扫描安全评估方案

目录一、项目概述11。1评估范围11。2评估层次11.3评估方法11.4评估结果21.5风险评估手段21。5。1基于知识的分析方法21.5.2基于模型的分析方法31。5。3定量分析31.5.4定性分析41。6评估标准4二、网拓扑评估52。1拓扑合理性分析52。2可扩展性分析5三、网络安全管理机制评估53.1调研访谈及数据采集53。2网络安全管理机制健全性检查63。3网络安全管理机制合理性检查73.4网络管理协议分析7四、脆弱性严重程度评估74.1安全漏洞扫描84.2人工安全检查104。3安全策略评估114.4脆弱性识别11五、网络威胁响应机制评估125.1远程渗透测试12六、网络安全配置均衡性风险评估136.1设备配置收集136。2检查各项HA配置156.3设备日志分析16七、风险级别认定17八、项目实施规划17九、项目阶段18十、交付的文档及报告1910.1中间评估文档1910.2最终报告19十一、安全评估具体实施内容1911.1网络架构安全状况评估1911.1.1内容描述1911.1。2过程任务2011。1.3输入指导2011.1.4输出成果2012。2系统安全状态评估2111.2.1内容描述2111.2。2过程任务2311.2.3输入指导2411。2.4输出成果2411。3策略文件安全评估2411。3.1内容描述2411.3。2过程任务2512。3.3输入指导2512.3。4输出成果2511.4最终评估结果25一、项目概述1.1评估范围针对网络、应用、服务器系统进行全面的风险评估。1。2评估层次评估层次包括网络系统、主机系统、终端系统相关的安全措施，网络业务路由分配安全，精品文档放心下载管理策略与制度。其中网络系统包含路由器、交换机、防火墙、接入服务器、网络出口设备谢谢阅读及相关网络配置信息和技术文件；主机系统包括各类UNIX、Windows等应用服务器;终端系精品文档放心下载统设备.1.3评估方法安全评估工作内容：✓ 管理体系审核；✓ 安全策略评估；✓ 顾问访谈；✓ 安全扫描；✓ 人工检查;✓ 远程渗透测试;✓ 遵循性分析;1.4评估结果通过对管理制度、网络与通讯、主机和桌面系统、业务系统等方面的全面安全评估，形感谢阅读成安全评估报告，其中应包含评估范围中信息系统环境的安全现状、存在安全问题、潜在威感谢阅读胁和改进措施。协助对列出的安全问题进行改进或调整,提供指导性的建设方案:精品文档放心下载《安全现状分析报告》《安全解决方案》1。5风险评估手段在风险评估过程中，可以采用多种操作方法，包括基于知识(Knowledge-based）的分析谢谢阅读方法、基于模型（Model-based）的分析方法、定性（Qualitative）分析和定量(Quantitative)感谢阅读分析,无论何种方法,共同的目标都是找出组织信息资产面临的风险及其影响,以及目前安全谢谢阅读水平与组织安全需求之间的差距.1.5。1基于知识的分析方法在基线风险评估时，组织可以采用基于知识的分析方法来找出目前的安全状况和基线安感谢阅读全标准之间的差距。基于知识的分析方法又称作经验方法，它牵涉到对来自类似组织（包括规模、商务目标感谢阅读和市场等）的“最佳惯例”的重用，适合一般性的信息安全社团.采用基于知识的分析方法，精品文档放心下载组织不需要付出很多精力、时间和资源，只要通过多种途径采集相关信息，识别组织的风险感谢阅读所在和当前的安全措施，与特定的标准或最佳惯例进行比较，从中找出不符合的地方，并按精品文档放心下载照标准或最佳惯例的推荐选择安全措施，最终达到消减和控制风险的目的。谢谢阅读基于知识的分析方法，最重要的还在于评估信息的采集,信息源包括：谢谢阅读会议讨论；对当前的信息安全策略和相关文档进行复查；制作问卷，进行调查；对相关人员进行访谈；进行实地考察;为了简化评估工作，组织可以采用一些辅助性的自动化工具，这些工具可以帮助组织拟谢谢阅读订符合特定标准要求的问卷，然后对解答结果进行综合分析，在与特定标准比较之后给出最感谢阅读终的推荐报告。1。5。2基于模型的分析方法2001年1月，由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开发了一个名为CORAS的项目，即PlatformforRiskAnalysisofSecurityCriticalSystems。该项目的目的是开发一个基于面向对象建模特别是UML技术的风险评估框架,它的评估对象是对安全要求很高的一般性的系统，特别是IT系统的安全。CORAS考虑到技术、人员以及所有与组织安全相关的方面，通过CORAS风险评估，组织可以定义、获取并维护IT系统的保密性、完整性、可用性、抗抵赖性、可追溯性、真实性和可靠性。感谢阅读与传统的定性和定量分析类似,CORAS风险评估沿用了识别风险、分析风险、评价并处理风险这样的过程，但其度量风险的方法则完全不同，所有的分析过程都是基于面向对象的模型来进行的。CORAS的优点在于：提高了对安全相关特性描述的精确性，改善了分析结果的质量；图形化的建模机制便于沟通，减少了理解上的偏差；加强了不同评估方法互操作的效率；等等。谢谢阅读1.5。3定量分析进行详细风险分析时，除了可以使用基于知识的评估方法外,最传统的还是定量和定性感谢阅读分析的方法。定量分析方法的思想很明确：对构成风险的各个要素和潜在损失的水平赋予数值或货币精品文档放心下载金额，当度量风险的所有要素（资产价值、威胁频率、弱点利用程度、安全措施的效率和成感谢阅读本等）都被赋值，风险评估的整个过程和结果就都可以被量化了。简单说，定量分析就是试精品文档放心下载图从数字上对安全风险进行分析评估的一种方法。定量风险分析中有几个重要的概念：暴露因子（ExposureFactor，EF）——特定威胁对特定资产造成损失的百分比，或者说损失的程度。感谢阅读单一损失期望（SingleLossExpectancy,SLE)——或者称作SOC（SingleOccuranceCosts）,即特定威胁可能造成的潜在损失总量。精品文档放心下载年度发生率（AnnualizedRateofOccurrence，ARO）——即威胁在一年内估计会发生的频率。感谢阅读年度损失期望（AnnualizedLossExpectancy，ALE)--或者称作EAC精品文档放心下载（EstimatedAnnualCost）,表示特定资产在一年内遭受损失的预期值。感谢阅读考察定量分析的过程，从中就能看到这几个概念之间的关系:精品文档放心下载（1）首先,识别资产并为资产赋值；(2）通过威胁和弱点评估，评价特定威胁作用于特定资产所造成的影响，即EF（取值谢谢阅读0％~100%之间）；（3）计算特定威胁发生的频率，即ARO;(4)计算资产的SLE：SLE=AssetValue×EF精品文档放心下载（5）计算资产的ALE：ALE=SLE×ARO精品文档放心下载1.5。4定性分析定性分析方法是目前采用最为广泛的一种方法，它带有很强的主观性,往往需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素（资产价值，威胁的可能性,弱点被利用的容易度，现有控制措施的效力等）的大小或高低程度定性分级,例如“高”、“中”、“低”三级。感谢阅读定性分析的操作方法可以多种多样，包括小组讨论(例如Delphi方法）、检查列表（Checklist)、问卷（Questionnaire）、人员访谈(Interview）、调查（Survey）等。定性分析操作起来相对容易，但也可能因为操作者经验和直觉的偏差而使分析结果失准。谢谢阅读与定量分析相比较，定性分析的准确性稍好但精确性不够，定量分析则相反；定性分析没有定量分析那样繁多的计算负担，但却要求分析者具备一定的经验和能力；定量分析依赖大量的统计数据，而定性分析没有这方面的要求；定性分析较为主观，定量分析基于客观；此外,定量分析的结果很直观，容易理解，而定性分析的结果则很难有统一的解释.组织可以根据具体的情况来选择定性或定量的分析方法.精品文档放心下载1。6评估标准1、《计算机网络安全管理》2、ISO15408《信息安全技术评估通用准则》3、GB17859-1999《计算机信息系统安全保护等级划分准则》谢谢阅读4、相关各方达成的协议二、网拓扑评估2。1拓扑合理性分析目前网络都基本采取传统的三层架构，核心、汇聚与接入，其他设备都围绕着这三层进感谢阅读行扩展,各设备之间的线路基本采用千兆光纤接入方式，实现高速数据传输,降低延时，减少谢谢阅读干扰,设备间存在冗余，从而保证各数据间传输的可靠性，各业务之间的稳定性.感谢阅读2.2可扩展性分析核心设备、汇聚设备是否都存在部分空模板、空接口，可以满足未来几年内的扩展精品文档放心下载核心设备的背板带宽在高峰期间业务流量能正常通过，从中可看出目前核心设备的带宽感谢阅读完全能承载当前的流量；背板带宽越大，各端口所分配到的可用带宽越大，性能越高，处理谢谢阅读能力越快。三、网络安全管理机制评估3.1调研访谈及数据采集1、整网对于核心层设备、汇聚层设备以及接入楼层设备，进行远程登录方式、本地登感谢阅读录模式、特权模式的用户名与密码配置,密码都是以数字、大小写字母和字符一体化，防止感谢阅读非法用户的暴力破解,即便通过其它方式获取到配置清单，也无法知道这台设备的密码,密码感谢阅读都是以密文的形式显示在配置清单里，这样，无论是合法用户还是恶意用户，只要没有设备精品文档放心下载的用户名和密码都不能登录到该设备，自然也无法对设备的内容等相关配置信息进行修改，谢谢阅读相当于给设备安装了一层保护墙，从而保护了设备的最基本的安全性。精品文档放心下载2、整个网络采用一种统一的安全制度对网络设备、服务器集进行有效的检查，管理，谢谢阅读实时发现网络中是否存在的一些问题，如果发现问题的存在，都会采取制定的流程及时给予谢谢阅读解决，使得网络设备能一直正常运行，可用性得到提高，业务流量保持稳定性状态，以下是精品文档放心下载安全制度管理的部分选项。（1）定期扫描漏洞：定期对整网服务器进行扫描，检查是否有漏洞的存在，数据的来精品文档放心下载源，事件的分析，主机服务信息，是否存在高危险性事件，主机流量分析等,以确保网络的感谢阅读安全性。(2）检查版本升级：定期对整网服务器进行检查，各主机的系统版本是否最新,各主机谢谢阅读的软件,特别是杀毒软件、防火墙、辅助软件有没及时的更新,特征库当前是否为最新。精品文档放心下载（3）策略：定期对整网服务器的密码进行检查，查看是否开启密码策略、帐户锁定策精品文档放心下载略、本地审核策略，并作了相应的设置。（4）关闭用户：定期对整网服务器进行周密的检查,是否对GUEST用户、长期未登录用感谢阅读户进行关闭。（5）关闭服务:定期对整网服务器进行松紧,是否对一些特殊的服务，如Remote精品文档放心下载register、不需要远程登陆的主机Terminalservices进行关闭。谢谢阅读3.2网络安全管理机制健全性检查1、以目前的网络设备完全能承载整网的业务流量,可以说目前的设备性能较强，未来，随着网络规模越来越大，业务流量越来越集中，对设备性能的要求也更加严格,但以目前的设备的处理能力，足以胜任未来几年内的扩展，并且具有一定的安全性；感谢阅读2、整网有统一的管理员，对网络设备进行相关的管理,每个管理员所管辖的范围不同；每个管理员负责每一部分，服务器有应用、数据库、测试、视频等谢谢阅读3、机房有门禁系统，机房有它制定的管理方式，进机房首先得找具有申请进机房资格的工作人员，接着,机房中心工作人员对这条申请的信息进行审核，审核通过后,需要拿身份证去机房门口进行登记，这样,才能进入机房查看设备、或对设备进行相关的操作,这是进机房的基本流程.感谢阅读4、机房里有特定的系统专门对当前设备的温度进行测量，不管是白天还是晚上，每天感谢阅读小时都会有保安和相关的工作人员对机房设备进行定期检查,如发生问题会及时通知相关的负责人，负责人收到消息后会及时对问题进行查看、分析、解决，最终保证整网上业务能正常运行.感谢阅读5、采用HostMonitor系统自动对所有设备、服务器以及主机进行检测，以PING的方式进行测试它的连通性，如果发现某台设备PING测试不通，它会及时产生报警,通过主机把相关设备的信息映射到大屏幕液晶显示器上，以列表的模式显示，相关人员收到报警信息后,一般会采取三个步骤来解决：精品文档放心下载（1）通过打电话给服务厅，看看是否出现断电的情况；(2）通知代维工作人员,检查是否为线路问题。(3)如果都不是以上的问题，基本可以把问题锁在网络设备的本身或者配置上的问题，感谢阅读通知相关人员去检查.3.3网络安全管理机制合理性检查机房的整体架构,各个核心层设备、汇聚层设备以及其他设备所摆放的物理位置，从消防、防潮、防雷、排气等安全措施都布置到位，布线整齐、合理、具有相当的专业水平，网线以不同的颜色来区分所在设备的重要性，比如在交换机与交换机的级连一般用蓝色来表示,交换机的端口与PC网卡相连接时用灰色，交换机与其他设备相连除了有时用光纤外，一般用黄色来或绿色来表示,而且，对每个机架机架、设备以及连接的网线都打上标签，当某时候网络物理出现问题时，比如线松了，或是线掉了,线插反了等等，因为之前对相关的设备、网线都贴上标签，这样可以很方便的查找到故障点，并进行定位,容易排除故障；每一排机架集按大写英语字母来标记所在的行号,每一排机架集包括10来个机架，分别用所在的行号+数字来标记，比如我所要找的机架在第二行第5个位置,标记为B5，直接找到B5就可以了；室内温度调整适当，当设备温度过大时，会自动出现告警；谢谢阅读3。4网络管理协议分析1、统一对整个网络所有设备进行监控、收集信息以及管理，其他的网络设备作为代理者，通过自定的Trap类型向管理者发送最新的信息状况,以保持整网设备能正常运行。感谢阅读2、经过对SNMP配置进行分析，了解到目前SNMP在整网中的作用,以及SNMP在各种重要设备里都进行过哪些配置，在SNMP配置的共同体里，只限制某台主机对该设备进行读取MIB数据库的信息，除此之外，其他的网段是否都可以对该设备的MIB进行读取与修改MIB里的信息,如果可以这样将造成基本上在所有的网段里，每个网段的所有主机都可以对设备的MIB信息进行访问，甚至对该信息进行修改.感谢阅读四、脆弱性严重程度评估脆弱性评估，从技术脆弱性、管理脆弱性去评估途径实施：1)人员访谈2)现有文件调阅3)现场检查4）安全漏洞扫描5)人工安全检查4。1安全漏洞扫描在网络安全体系的建设中，安全扫描工具花费代、效果好、见效快,与网络的运行相对独立，安装运行简单,要以大规模减少安全管理的手工劳动，有利于保持全网安全政策的统一和稳定，是进行风险分析的有力工具。感谢阅读在项目中，安全扫描主要是通过评估工具以本地扫描的方式对评估范围内的系统和网络进行安全扫描，从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户帐号/口令等安全对像目标存在的安全风险、漏洞和威胁.精品文档放心下载安全扫描项目包括如下内容：✓信息探测类✓网络设备与防火墙✓RPC服务✓Web服务✓CGI问题✓文件服务✓域名服务✓Mail服务✓Windows远程访问✓数据库问题✓后门程序✓其他服务✓网络拒绝服务（DOS)✓其它问题从网络层次的角度来看，扫描项目涉及了如下三个层面的安全问题。感谢阅读（一)系统层安全该层的安全问题来自网络运行的操作系统：UNIX系列、Linux系列、Windows系列以及谢谢阅读专用操作系统等.安全性问题表现在两方面：一是操作系统本身的不安全因素，主要包括身感谢阅读份认证、访问控制、系统漏洞等；二是操作系统的安全配置存在问题。感谢阅读身份认证：通过Telnet进行口令猜测等。访问控制：注册表普通用户可写，远程主机允许匿名FTP登录，FTP服务器存在匿名可感谢阅读写目录等.系统漏洞:Windows缓冲出溢出漏洞.安全配置问题：部分SMB用户存在弱口令,管理员帐号不需要密码等.精品文档放心下载(二）网络层安全该层的安全问题主要指网络信息的安全性,包括网络层身份认证、网络资源的访问控制、感谢阅读数据传输的保密与完整性、远程接入、路由系统的安全、入侵检查的手段等.谢谢阅读网络资源的访问控制：检测到无线访问点。域名系统：ISCBINDSIG资源记录无效过期时间拒绝服务攻击漏洞，WindowsDNS拒绝谢谢阅读服务攻击。路由器：ciscoIOSWeb配置接口安全认证可绕过,路由器交换机采用默认密码或弱密感谢阅读码等。（三）应用层安全该层的安全考虑网络对用户提供服务器所采用的应用软件和数据的安全性，包括：数据库软件、WEB服务、电子邮件、域名系统、应用系统、业务应用软件以及其它网络服务系统等。精品文档放心下载数据库软件:OracleTnslsnr没有配置口令,MSSQL2000sa帐号没有设置密码。谢谢阅读WEB服务:SQL注入攻击、跨站脚本攻击、基于WEB的DOS攻击。谢谢阅读电子邮件系统：Sendmail头处理远程溢出漏洞,MicrosoftWindows2000SMTP服务认证错误漏洞.感谢阅读为了确保扫描的可靠性和安全性，首先制定扫描计划。计划主要包括扫描开始时间、扫描对象、预计结束时间、扫描项目、预期影响、需要对方提供的支持等等.感谢阅读在实际开始评估扫描时，评估方会正式通知项目组成员。奥怡轩按照预定计划，在规定时间内进行并完成评估工作。如遇到特殊情况(如设备问题、停电、网络中断等不可预知的状况）不能按时完成扫描计划或致使扫描无法正常进行时，由双方召开临时协调会协商予以解决.谢谢阅读4.2人工安全检查安全扫描是使用风险评估工具对绝大多数评估范围内主机、网络设备等系统环境进行的感谢阅读漏洞扫描。但是，评估范围内的网络设备安全策略的弱点和部分主机的安全配置错误等并不谢谢阅读能被扫描器全面发现，因此有必要对评估工具扫描范围之外的系统和设备进行手工检查.精品文档放心下载路由器的安全检查主要考虑以下几个方面：✓帐号口令✓网络与服务✓访问控制策略✓日志审核策略✓空闲端口控制交换机的安全检查主要考虑以下几个方面：✓帐号口令✓网络与服务✓VLAN的划分主机的安全检查主要考虑以下几个方面：✓补丁安装情况✓帐号、口令策略✓网络与服务检查✓文件系统检查✓日志审核检查✓安全性检查1）安全扫描此阶段通过技术手段评估系统中的漏洞。对撑握整个被评估系统的安全状态提供重要数据。谢谢阅读被扫描的系统有:✓Windows系统✓Linux系统✓Unix客服热线系统在安全扫描阶段使用的主要工具有：✓InternetScanner✓NESSUS✓AcunetixWebVulnerabilityScanner谢谢阅读扫描过程中可能会导致某些服务中断，双方应该事先做好协调工作，并做好应急处理方谢谢阅读案，在发现问题后及时上报,并及时恢复系统的运行。4.3安全策略评估安全策略是对整个网络在安全控制、安全管理、安全使用等方面最全面、最详细的策略谢谢阅读性描述，它是整个网络安全的依据。不同的网络需要不同的策略，它必须能回答整个网络中感谢阅读与安全相关的所有问题，例如，如何在网络层实现安全性、如何控制远程用户访问的安全性、谢谢阅读在广域网上的数据传输如何实现安全加密传输和用户的认证等。对这些问题帮出详细回答,精品文档放心下载并确定相应的防护手段和实施方法，就是针对整个网络的一份完整的安全策略。策略一旦制精品文档放心下载度，应做为整个网络行为的准则。这一步工作，就是从整体网络安全的角度对现有的网络安全策略进行全局的评估,它也谢谢阅读包含了技术和管理方面的内容,具体包括：（1）安全策略是否全面覆盖了整体网络在各方面的安全性描述；谢谢阅读(2）在安全策略中描述的所有安全控制、管理和使用措施是否正确和有效；感谢阅读（3）安全策略中的每一项内容是否都得到确认和具体落实。精品文档放心下载4.4脆弱性识别类型识别对象识别内容物理环境从机房场地、防火、供配电、防静电、接地与防雷、电磁防护、通信线路的保护、区域防护、设备管理等方面进行识别网络结构从网络架构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别技术脆弱性从补丁安装、物理保护、用户帐号、口令策略、资源共享、系统软件事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件从协议安全、交易完整性、数据完整性等方面进行识别应用系统从审计机制、审计存储、数据完整性、通信、鉴别机制、密码保护等方面进行识别技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发管理脆弱性与维护、业务连续性等方面进行识别组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别脆弱性赋值赋值标识定义5很高如果被威胁利用，将对资产造成完全损害4高如果被威胁利用,将对资产造成重大损害3中等如果被威胁利用，将对资产造成一般损害2低如果被威胁利用，将对资产造成较小损害1很低如果被威胁利用，将对资产造成的损害可以忽略五、网络威胁响应机制评估防火墙称得上是安全防护的防线,防火墙对于企业网络的安全，已经无法实施100%的控精品文档放心下载制,对于合法内容中混入的可疑流量、DoS攻击、蠕虫病毒、间谍软件等威胁，几乎没有有谢谢阅读效的反击措施，入侵检测与防御系统进行检测网络攻击，与防火墙进行联动。利用现有的入精品文档放心下载侵检测防御系统对网络攻击进行测试，来检验针对网络威胁的能力。精品文档放心下载5.1远程渗透测试渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、分析方法来进行实际精品文档放心下载的漏洞发现和利用的安全测试方法。这种测试方法可以非常有效地发现最严重的安全漏洞，谢谢阅读尤其是与全面的代码审计相比，其使用的时间更短，也更有效率.在测试过程中，用户可以谢谢阅读选择渗透测试的强度,例如不允许测试人员对某些服务器或者应用进行测试或影响其正常运感谢阅读行.通过对某些重点服务器进行准确、全面的测试，可以发现系统最脆弱的环节，以便对危精品文档放心下载害性严重的漏洞及时修补，以免后患。奥怡轩评估小组人员进行渗透测试都是在业务应用空闲的时候，或者在搭建的系统测试谢谢阅读环境下进行。另外，评估方采用的测试工具和攻击手段都在可控范围内,并同时充分准备完谢谢阅读善的系统恢复方案.网络探测和信息采集、漏洞探测、嗅探、网络攻击利用工具或技术通过网络对信息系用户身份伪造和欺骗、用户或业务数据统进行攻击和入侵的窃取和破坏，系统运行的控制和破坏等物理攻击通过物理的接触造成对软件、硬件物理接触、物力破坏、盗窃等和数据的破坏等泄密信息泄露给不应该了解的他人内部信息泄露、外部信息泄露等篡改非法修改信息，破坏信息的完整性篡改网络、系统、安全配置信息，篡改使系统的安全性降低或信息不可用用户身份信息和业务数据信息等抵赖不承认收到的信息和所作的操作、原发抵赖、接受抵赖、第三方抵赖等交易威胁赋值赋值标识定义5很高出现的频率很高（或不少于1次/周),或在大多数情况下几乎不可避免，或可以证实经常发生过4高出现的频率较高（或不少于1次/月），或在大多数情况下很有可能会发生，或可以证实多次发生过3中等出现的频率中等（或大于1次/半年),或在某种情况下可能会发生，或被证实曾经发生过2低出现的频率较小，或一般不太可能发生，或没有被证实发生过1很低威胁几乎不可能发生，或仅可能在非常罕见或例外的情况下发生六、网络安全配置均衡性风险评估6.1设备配置收集1、核心层交换机目前的网络状态正常，在配置上也针对某些安全方面的问题进行布置，具体情况都做了详细的说明，以下是核心层交换机配置上的一些安全防护措施:谢谢阅读（1）核心交换机进入特权模式需要密码，对它进行了密文的设置。谢谢阅读（2)对核心交换机的虚拟线路进行密码的设置,远程登录需要输入密码。感谢阅读(3)使用UDLD对某些端口进行链路的检测,以减少丢包的概率。感谢阅读（4）在核心交换机上全局下关闭禁用HttpServer，防止非法入侵谢谢阅读（5)全局下开启Bpdu—Guard，因为核心交换机在全局下开启Portfast特性.谢谢阅读2、核心层交换机的稳定性直接关系到整个网络数据流量能否正常通过，核心层交换机的安全性问题自然会影响到能否一直保持稳定的状态，起到至关的作用，保护好核心交换机的安全问题很大原因其实是在保护核心交换机的稳定性，做好安全防护工作,保护好核心交换机的稳定性成为我们规则的焦点，下面是对本核心层交换机的安全防护问题进行完善,从而提高核心层交换机的安全性。谢谢阅读3、使用SSH来作为远程的登录，使用TELNET进行远程登录，Telnet会话中输入的每个字符都将会被明文发送，这将被像Sniffer这样的抓包软件获取它的用户名、密码等敏感信息。因此，使用安全性更高的SSH加密无疑比使用Telnet更加安全.感谢阅读4、在虚拟线路中对远程登录的最大连接数进行限制，默认,一般情况下网络设备会开放谢谢阅读5-15个虚拟的连接线路，不过，不同厂商，不同型号，所开放的虚拟线路连接数也都不一精品文档放心下载样，可以通过登录到此设备，可以用远程登陆或本地登陆，在该设备上对配置进行查看，再精品文档放心下载根据实际情况进行修改；一般情况下，很多人都没有对远程登陆范围进行限制，这样使得每个人都有机会去TELNET,这多少给了恶意用户提供攻击的机会,比如可以使用SYNFlood攻击;感谢阅读它伪造一个SYN报文，伪造一个源地址或者不存在的地址，通过向服务器发起连接,服务器在收到报文后用SYN—ACK应答，而此应答发出去后，服务器就等待源发个ACK的确认包过来后以完成三次握手，建立起连接，但是,攻击者使用的源是一个不存在或是伪造的地址，服务器将永远不会收到攻击者发送过来的ACK报文,这样将造成一个半连接。如果攻击者发送大量这样的报文，会在被攻击主机上出现大量的半连接，消耗所有的资源，使得正常的用户无法对其访问。直到半连接超时，才会慢慢释放所有的资源，简单一点的说，SYNFlood利用TCP的三次握手来让服务器保持N个半个连接数，以消耗掉服务器系统的内存等资源;对远程登录的范围用访问列表进行控制，起到一定的安全性。感谢阅读5、为了防范交换机上一些恶意攻击行为,禁用所有未用的端口，以免因为一些无知行为或误操作,导致一切都无法预料的后果；比如将交换机两个端口用网线直接连接,这样将导致整个交换机的配置数据被清除，交换机的配置一瞬间全清空，这样将导致业务中断,如果之前有对交换机的相关配置信息进行备份，还可以在短时间内还原,要是没有,只能使得网络中断的时间加长，而且，关闭端口也能在一定程度上防范恶意用户连接此端口并协商中继模式，当恶意用户连接端口,冒充成另外一台交换机发送虚假的DTP协商消息，真实的交换机收到这个DTP消息后，比较下参数，一旦协商成中断模式后，恶意用户通过探测信息流，当有流量经过时，所有通过此交换机上所有VLAN信息都会被发送到恶意用户的电脑里。感谢阅读6、为提高安全，最好把暂时不需要用到的服务都关闭掉，因为它们都很有可能成为安全漏洞，恶意用户利用这些安全漏洞进整个网络实行攻击等非法行为，以达到一定的目的；核心交换机的配置中已经对HttpServer这个服务进行禁用，下面是一些经常被攻击者利用的服务，以对其进行攻击。建议把下面的服务也都一一禁用掉：精品文档放心下载禁用IP源路由-——noipsourceroute感谢阅读禁用小的UDP服务-——noserviceudp-small-s感谢阅读禁用小的TCP服务———noservicetcp-small-s感谢阅读7、核心交换机的作用至关重要,因为它影响到整个网络的正常运行，这里有两种情况:第一种情况当一台新的交换机接入到这个网络，因对网络拓扑不熟悉，配置错误，使得新交换机成为根网桥，新交换通过宣告VLAN信息让整个域的其他交换机都能学习到，这将谢谢阅读使得整网流量全导向新交换机.第二种情况:交换机默认都是SERVER模式，在这里以域中只有一台SERVER模式，新交换机模式为CLIENT，当新的交换机加入网络中,因为它的修订版本号比较高，这里的修订版本号用来标识交换机的更新信息，修改版本号越高，它的VLAN信息流越新，与交换机的模式无关，修订版本号可以通过增加/删除/修改VLAN信息等等来增加它的数值，交换机之间通过发送BPDU，比较它们的参数，包括修订版本号，通过比较得出修订版本号高的交换机，作为整个域中VLAN信息的标配,当新交换机的修订版本号高于处在根网桥的交换机时，它不会去学习根网桥宣告过来的VLAN信息，当SERVER通过BPDU包的交换后得知新交换机的修订版本号比较高，它通过BPDU包学习到新交换机的VLAN信息,并在整个域中把此VLAN信息进行宣告出去，整网中所有交换机的原来VLAN信息全被删除，都学习到SERVER交换机发送过来的最新VLAN信息流.谢谢阅读这两种方式都直接导致网络流量的导向，使得网络中交换机所学到的VLAN信息不全，网络资源的浪费，网络部分业务的中断，甚至网络的环路,为了防范以上的问题，需要布置根防护，当根网桥在启用根防护的端口上接收到其他交换机发送过来的BPDU，不管修订版本号是多高，根网桥不对此包作处理,直接端将口进入"不一致"的STP状态，并且交换机不会从这个端口转发流量;这种方法能够有效地巩固根网桥的位置，还能够有效的避免第2层环路,它能将接口强制为指定端口，进而能够防止周围的交换机成为根交换机。当新交换机接入网络时，先将交换机的模式设置为透明模式，再把它改为客户模式，从而保证不会出现以上所说的情况。精品文档放心下载6。2检查各项HA配置1、核心层交换机上开启了HSRP协议，在汇聚层华为设备上配置了VRRP协议，因为HSRP是思科私有，所以华为只能使用业界的VRRP，在两台核心交换机上,对VLAN的SVI口进行配置;谢谢阅读HSRP是一种热备份路由网关协议，具有很高的可靠性，它通过双方预先设定好的虚拟IP地址，发送HELLO数据包,经过一系列的状态比较，最终协商出谁是Active谁是Standby，HSRP相当于是台虚拟的路由器，有自己的虚拟IP地址及MAC地址，终端用户将这虚拟的IP地址作为网关;谢谢阅读默认情况下，只有Active路由器在工作，Standby路由器一直处在空闲状态之中,双方每3S会发送HELLO去侦测对方以确定对方是否存在,当10S过后，还没收到对方发送过来的HELLO包，Standby会认为对方设备出现故障或者对方已经不存在，这时它会把自己的状态谢谢阅读从standby变为active，这对于终端的用户是透明的,保证终端用户数据能得到可靠的传输,当一台设备链路出现问题,HSRP只需要经过一个邻居状态standby—active，能快速的切换到另一台设备,用户的可用性得到保障；感谢阅读HSRP还可以对整个网络进行负载分担。VRRP是业界定义的一种类似于HSRP的网关冗余协议，功能与作用基本与HSRP相同，区别在于VRRP可以使用物理的IP地址作为虚拟IP地址，VRRP的状态机相比起HSRP减少很多等.谢谢阅读2、通过对核心交换机HSRP协议的配置进行分析,HSRP全都是在VLAN的SVI接口里进行配置，在主核心交换机中设定一个共同的虚拟IP地址，并对它的优先级进行设定，开启HSRP的抢占性；在另一台核心交换机也是同样的配置,只是优先级不同,这样，当它们发送HEELO包选举行，先比较优先级，优先级一样再比较IP地址，IP地址较高的为Active，当Active设备出现故障时,Standby会马上切换过来变为Active,，原来的核心交换机恢复正常时，会自动把Active的主动权抢占过来；感谢阅读如果核心交换机的外口出现故障，因为没有对外边的接口进行跟踪的配置,这样会造成黑洞的产生,数据包的丢失；在两台核心交换机中并没有起到流量的负载分担,正常情况下,一台路由器处在忙碌状态,另一台路由器一直处在空闲状态中，等待着监测着Active路由器的工作状态，在汇聚层两台华为设备的交换机中，配置VRRP，并没有配置抢占性，对外口进行追踪，但发现故障时,优先级会自动减少30，因为没有配置抢占性，备份设备不会进行抢占，使得主设备对外追踪没有多大的意义，反而又多了丢包率.谢谢阅读3、在配置HSRP协议的两台交换机上，终端PC通过两台交换机去访问内部的资源时，终端PC的网关指向两台交换机协商设置的虚拟IP地址，在同一时间，两台交换机，只有一台交换机处在Active状态,另一台交换机一直处在Idle状态，当数据包穿越交换机去访问网络资源，把交换机与终端PC相连的接口线拔掉，处于Active的交换机突然因为接口松动而导致中断,处在Idle状态的交换机快速切换成Active，继续让链路保持不中断的状态，对于终端用户，完全感觉不到刚刚链路已经中断，访问网络的资源没有任何的影响;再把刚刚拔掉的接口再插回去，因为HSRP配置了抢占性，主设备通过发送HELLO比较,立马Active的主动权抢占回来。精品文档放心下载6.3设备日志分析通过对防火墙的日志导出,对日志进行检查,目前防火墙每天产生的日志信息条数过多，谢谢阅读仔细分析日志的其中一部分，防火墙日志记录了穿越它的流量信息，几乎所有的流量都是属谢谢阅读于正常日志信息，正常日志信息占满了整个防火墙的日志栏，日志记录的信息包括本设备的精品文档放心下载型号、IP地址、日期时间;日志开始的日期与时间,持续的时间段，源IP地址、源端口、目谢谢阅读标IP地址、目标端口、Xlated以及发送与接收的数据包状态等。正常的日志信息意味着网谢谢阅读络运行的状态正常，没有存在一些恶意的攻击,下面是防火墙的一些日志信息,都属于正常的谢谢阅读日志：七、风险级别认定网络安全管理是一项系统工程，要从根本上去规避安全风险，则必须对整个网络安全体系进行系统化的分析，从管理和技术两大方面入手,双管齐下，必须变被动为主动，提早发现问题，解决问题,尽可能杜绝安全管理上的漏洞。精品文档放心下载通过将现有制度按体系分层归类,找出现有制度及运作的存在问题，和国际标准ISO17799进行对比，提出修补意见。根据现有的制度,建立安全管理指导的框架，方便各中心根据自身实际形成必要的安全指导制度。感谢阅读《技术性的系统安全扫描报告》《技术性的系统安全加固方案》《关键系统基线检查报告》《远程渗透测试报告》《ISO27001差距分析》《网络安全机制评估报告》八、项目实施规划表1项目实施规划序号工作名称详细1项目准备项目启动会安全评估前的培训使用扫描工具进行安全扫描远程渗透测试2安全评估对系统进行基线检查对系统相关人员进行访谈对管理制度进行审查技术上的工具扫描结果、远程渗透测试、基线检查结果分析3企业安全现状分析管理层面的漏洞分析差距分析，与ISO27001做比较在技术层面上使用技术手段对系统进行安全加固4安全加固在管理层面上制定合理的管理制度5评估结束后的培训针对当前企业存在的安全问题做一次有针对性的培训项目后期的宣传工作通过FLASH、海报等方式加强安全方面的宣传教育工作。精品文档放心下载九、项目阶段第一阶段：前期准备阶段项目计划需求调研确定项目目标和详细范围完成详细方案设计项目前期沟通与培训第二阶段：评估实施技术评估策略文档及规范审查第三阶段:评估报告和解决方案数据整理和综合分析安全现状报告安全解决方案第四阶段:支持和维护系统加固安全培训定期回复抽样远程二次评估实施安全评估的整个过程如下图所示十、交付的文档及报告在实施阶段，会产生各种报告工具扫描《网络10.1中间评估文档扫描报《网络架构整体安全分析评估报告》《人工人工评估评估报《系统漏洞扫描报告》（包括服务器、网络设备、PC机、安全设备等)《技术性弱点综合评估报告》析需求《策略《安全《解分《安全策略文档体系评估报告》归纳，整策略评估文档评评估报决方理、分析10.2最终报告告》案建《安全安全审计《安全评估整体结果报告》;审计报《安全整体解决方案建议》；《网络网络架《构系统安全加固建议方案》。架构报十一、安全评估具体实施内容《系统11。1网络架构评安估全报状况评估11.1.1内容描述网络架构安全评估主要涉及到以下几个方面的内容：网络拓扑和协议：拓扑结构合理性分析、可扩展性分析；对周边接入的全面了解，安全域划分的级别,信精品文档放心下载任网络或者不信任网络之间是否有控制,控制本身带来的安全程度以及是否有可以绕过控制感谢阅读的途径；所采用的路由协议，是否存在配置漏洞，冗余路由配置情况，路由协议的信任关系；感谢阅读对网络管理相关协议的分析整理；对业务应用相关协议的分析整理；各网络节点（包括接入精品文档放心下载节点）的安全保障措施。网络安全管理机制：网络的安全策略是否存在,以及是否和业务系统相互吻合,有无合理的安全制度作为保感谢阅读障；网络体系架构是如何进行管理的，是否有良好的机制和制度保障网络架构本身不被改变，精品文档放心下载没有非法的不符合安全策略的架构改变；网络设备BUG的检查处理机制，即系统管理人员接精品文档放心下载收到或者发现网络设备存在BUG的时候，是否有一个流程可以处理;网络安全事件紧急响应感谢阅读措施；网络防黑常用配置的资料整理、分类和准备；网络故障的分析手段的资料整理、分类精品文档放心下载和准备；针对网络架构、协议和流量的安全审计制度和实施情况调查.精品文档放心下载网络认证与授权机制：网络服务本身提供的密码和身份认证手段，系统是否还要其它密码和身份认证体系；在谢谢阅读相关的网络隔离点，是否有恰当的访问控制规则设立,是否被有效的执行；是否有集中的网谢谢阅读络设备认证管理机制,是否被正确的配置和执行；网络加密与完整性保护机制：数据加密传输；完整性校验的实现。网络对抗与响应机制：是否有漏洞的定期评估机制和入侵检测和记录系统的机制；网络建设中是否良好的考虑精品文档放心下载了网络的高可用性和可靠性问题，是否被正确使用和良好的配置，是否有机制保障不被修改。感谢阅读网络安全配置均衡性分析:安全机制本身配置是否不合理或者存在脆弱性。11。1.2过程任务提交网络拓扑图，并对网络流量、安全机制进行说明；对相关人员进行访谈，问题涉及网络架构与协议、网络安全管理规定、网络安全机制的使用等；精品文档放心下载现场参观和调查；编写网络架构安全评估报告。11。1。3输入指导目标系统网络拓扑图必要的网络运营记录信息11.1。4输出成果《网络架构整体安全分析评估报告》12.2系统安全状态评估11.2。1内容描述技术评估旨在发掘目标系统现有的技术性漏洞，评估方法主要有三种:自动化漏洞扫描、精品文档放心下载渗透测试、本地安全审查。使用专用的扫描工具进行漏洞扫描，可扫描的系统和漏洞类别如下：精品文档放心下载Windows9X/NT/2000扫描后门BackOrifice，CDK等扫描RemoteControl程序NetBus等精品文档放心下载扫描在NetBIOS服务上的各种漏洞通过获取用户目录的登录入侵扫描共享文件夹漏洞,共享权限等扫描RemoteRegistryAutoLogon等精品文档放心下载扫描SNMP漏洞(CommunityName，读/写）精品文档放心下载扫描FTP漏洞(Anonymous，guest)感谢阅读扫描UNIXOrient服务（XWindow,TFTP等)感谢阅读扫描Echo,Time,Chargen等不必要的服务谢谢阅读UNIX/Linux扫描后门Trinoo,…扫描SMTP版本及各种漏洞扫描对Rcommand（rsh，rlogin，rexec),telnet的BruteforceAttack精品文档放心下载扫描FTP,TFTP服务器的各种漏洞SNMP漏洞扫描（CommunityName，读/写)感谢阅读扫描DNS服务（bind）的漏洞扫描RPC服务的各种漏洞,NFS共享/NIS等谢谢阅读扫描XWindow服务器远程漏洞扫描Echo，Time,Chargen等不必要的服务,还有Finger，Gopher，POP3,SSH等危险服务精品文档放心下载网络设备扫描通讯设备(Router，SwitchingHub，F/W)等的安全状况谢谢阅读扫描SNMP漏洞(CommunityName，读/写)感谢阅读扫描ICMP漏洞（TimeStamp等)扫描测试各种StealthPort扫描默认密码的BruteForce攻击应用系统扫描Web服务器、FTP服务器等应用系统IIS，Netscape等服务器漏洞RDS，Unicode等漏洞各种CGI漏洞扫描WebProxy服务器扫描数据库Oracle，MS—SQL，MySQL服务器漏洞谢谢阅读各种默认密码扫描登录后，可否执行各种StoredProcedure谢谢阅读扫描网络设备网络设备配置策略网络设备特定漏洞在自动化漏洞扫描基础上,奥怡轩技术顾问会对目标系统进行渗透测试。精品文档放心下载渗透测试，是在授权情况下,利用安全扫描器和富有经验的安全工程师的人工经验对网精品文档放心下载络中的核心服务器及重要的网络设备(包括服务器、交换机、防火墙等）进行非破坏性质的谢谢阅读模拟黑客攻击，目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户。谢谢阅读渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度，但是存在精品文档放心下载一定的误报率，不能发现高层次、复杂的安全问题；渗透测试需要投入的人力资源较大、对感谢阅读测试者的专业技能要求很高（渗透测试报告的价值直接依赖于测试者的专业技能），但是非谢谢阅读常准