企业网络安全设计案例分析

企业网络平安设计：案例分析1内容案例介绍平安评估平安方案设计2伟达投资伟达〔中国〕投资是一家全球500强的跨国能源集团在华的独资企业，从事太阳能，电力，石油，化工，相关销售等工程等的公司。伟达〔中国〕投资总部设在上海外滩，上海总部有200名员工，并在北京拥有1家分公司，员工约100人。3伟达投资的组织结构上海总部(200人)行政部人力资源部管理部公共关系部固定资产部采购部IT总部市场部销售部北京分公司〔100人〕行政部财务部人力资源部管理部销售市场部IT管理部太阳能部质量控制部法律事务部4伟达投资的开展伟达〔中国〕公司从1985年成立，经历了一个飞速的开展过程，特别是90年代起收购了多家国内知名的的公司，而且在中国一直与政府及大型能源企业都有全面的合作。公司营业额在5年间增长了10倍，目前在国内的主要大城市都有分公司和代表处，基于上述的业务增长，员工人数也增加了8倍。但是公司的急速扩张造成了公司IT管理部门的巨大工作压力，公司原有的IT管理构架早已不堪重负。于是在2001年初，公司对伟达〔中国〕的整个网络系统进行了一次重大升级，包括增加网络带宽，更换核心设备，并将整个系统从WindowsNT4平台全部迁移到了Windows2000平台并采用了活动目录效劳，以提高整个网络系统的可用性和可管理性。5伟达的网络拓扑结构6风险但是，由于太多的日常维护工作而忽略了系统策略及平安政策的制订及执行不力，管理员的日常维护工作又没有标准可循，系统及数据备份也是根本没有考虑到灾难恢复，经常会有一些系统平安问题暴露出来。7危机！该公司网站使用Windows2000上的IIS作为对外的WEB效劳器，该网站WEB效劳器负责公司的信息提供和电子商务。在外网上部署了硬件防火墙，只允许到效劳器TCP80端口的访问。但是在12月21日上午，一个客户发邮件通知公司网站管理员李勇，说该公司网站的首页被人修改，同时被发布到国内的某黑客论坛，介绍入侵的时间和内容。李勇立刻查看网站效劳器，除了网站首页被更改，而且发现任务列表中存在未知可疑进程，并且不能杀死。同时发现网站数据库效劳器有人正在拷贝数据！李勇及时断开数据效劳器，利用备份程序及时恢复网站效劳器内容，但是没有过了半小时，又出现类似情况，李勇紧急通知IT管理人员王勇，告知该情况，于是王勇联系总部指定的平安效劳提供商维康平安8问题！经过初步平安检查，发现以下问题：邮件效劳器没有防病毒扫描模块；客户端有W32/Mydoom@MM邮件病毒问题路由器密码缺省没有修改正，非常容易被人攻击；网站效劳器系统没有安装最新微软补丁没有移除不需要的功能组件；用户访问没有设置复杂密码验证，利用字典攻击，非常容易猜出用户名和密码，同时分厂员工对于网站访问只使用了简单密码验证，容易被人嗅听到密码。数据库系统SQL2000SA用户缺省没有设置密码；数据库系统SQL2000没有安装任何补丁程序9亡羊补牢王勇看到方明的报告非常吃惊，急忙上告公司CIO余鸣，介绍公司网络平安状况，同时提及如果不及时解决公司平安问题，可能会造成非常大的经济和声誉上的影响。12月22日上午，伟达公司立即召开紧急会议商讨此事，希望籍此吸取教训，彻底整改，在进行平安风险评估的根底上，全面提高企业网络平安性。10用户的目标“我们做了尽可能多的工作，努力提我们的响应速度，缩短解决问题的时间，但是很多情况下我们总是在问题出现了之后才开始解决，在这种情况下我们很难及时解决问题，每次都会有一天到两天大部份系统不能使用，而且也无法对可能发生的问题做有效的估计〞李杰，伟达〔中国〕的IT效劳中心经理抱怨说。“我们在很多方面的工作都很成功，但是就是由于这些网络上令人讨厌的病毒，造成了我们还是经常收到来自个方面的投诉，显然这不是我们想看到的。我们需要严密的系统和严格的策略来保证我们业务系统的稳定性和可用性〞伟达〔中国〕首席信息官〔CIO〕余鸣先生如是说。“我们需要一个可靠、稳定、平安，易于管理和维护的IT解决方案，以及基于此方案的优秀IT效劳部门，用以支撑我们公司的运营，以及未来的开展。〞公司总裁(CEO)张其军解释。11风险评估12风险评估的一般过程只有经过全面的风险评估过程，才能够有针对性地制定平安实施放案，选择适宜的平安技术和产品。在风险评估过程，需要：收集一切和网络平安相关的信息；使用平安评测工具进行脆弱点检查；分析收集到的信息，定义威胁级别。平安不是最终结果，而是一种过程或者一种状态。平安评估必须按照一定的周期不断进行，才能保证持续的平安。13需要搜集的根本信息企业信息：企业名称业务范围地理分布员工数量组织结构管理模式预期的增长或重组网络：物理拓扑结构网络设备逻辑网络划分〔活动目录结构〕局域网结构广域网结构远程访问互联网接入网络协议类型主要网络流量防火墙和入侵检测系统主机：效劳器数量，名称，用途，分布效劳器操作系统及版本用户身份验证方式工作站数量，用途和分布工作站操作系统及版本操作系统补丁部署防病毒部署主机防火墙计算机平安管理平安管理：企业平安策略和声明物理平安管理员工平安培训平安响应机制平安需求和满足程度14使用MBSA15评价风险16使用平安评测工具平安评测工具通过内置的漏洞和风险库，对指定的系统进行全面的扫描平安评测工具可以快速定位漏洞和风险MBSA〔MicrosoftBaselineSecurityAnalyzer，基准平安分析器〕是微软提供的系统平安分析及解决工具。MBSA可以对本机或者网络上的WindowsNT/2000/XP的系统进行平安性检测，还可以检测其它的一些微软产品，诸如SQL7.0/2000、5.01以上版本的InternetExplorer、IIS4.0/5.0/5.1和Office2000/XP，并给出相应的解决方法。17整理结果:效劳器端18整理结果：工作站端19书写平安评估报告平安评估报告应该包含的局部：文档版本，完成时间，撰写和审核者；平安评估说明：平安审核的目的，客户，平安参谋提供者；审核目标：审核范围和审核对象；审核过程：审核工作开始和结束时间，审核使用的工具和手段，参与者；审核结果——客户根本信息；审核结果——客户网络拓扑结构；审核结果——客户效劳器信息；审核结果——客户工作站信息；审核结果——按照严重级别排列的威胁；平安现状综合评价平安建议术语20平安方案设计21定义企业平安策略企业平安策略定义企业网络平安的目标和范围，即平安策略所要求保护的信息资产的组成和平安策略所适用的范围。企业平安策略作为行为标准，定义信息系统中用户的行为和动作是否可以接受。每一条具体的策略都由政策、目的、范围、定义遵守和违背政策、违背策略的惩罚和结果等有关的局部组成。这些策略会被作为整个企业的政策分发到企业的所有组织，并且企业内所有员工被强制要求必须内遵守。22Internet访问策略该策略用来明确每位员工在Internet访问活动中应该担负的责任，并不对企业造成危害。所有被允许能够进行Internet访问的员工必须在该文档上签名，然后才能给予访问权限。组成局部：1、定义什么是Internet访问行为2、定义责任3、定义用户可以做什么，不可以做什么4、如果用户违反该策略，相关部门会采取的行动23平安管理在制定平安策略的根底上，企业内部应该成立平安管理小组，包含相关人员，全面负责平安管理，主要职责包括：平安策略制定和推广进行定期的平安审核平安事件响应平安技术选择和产品选购员工平安培训取得行政和资金上的支持内部和外部信息交流24平安风险分析根据平安评估阶段提供的平安问题列表，按照严重级别进行排序，然后进行分析，步骤包括：分析平安问题面临的风险；查找平安问题之间的关联性；寻求解决方案。25效劳器平安问题〔1〕26效劳器平安问题〔2〕27效劳器平安问题〔3〕28工作站平安问题29平安设计30物理平安物理平安是整体平安策略的基石。保护企业效劳器所在地点的物理平安是首要任务。保护范围包括在办公楼内的效劳器机房或整个数据中心。还应该注意进入办公楼的入口。如果有人随便可以进入办公楼内，那么他们即使无法登录到网络，也会有许多时机发起攻击。攻击包括：拒绝效劳〔例如，将一台膝上型电脑插入网络作为一个DHCP效劳器，或者切断效劳器电源〕数据窃取〔例如，偷窃膝上型电脑或嗅探内部网络的数据包〕运行恶意代码〔例如在内部启动蠕虫程序，散播病毒〕窃取关键的平安信息〔例如备份磁带、操作手册和网络图，员工通信录〕31防止信息泄露攻击者总是要挖空心思找到有关企业网络环境的信息。信息本身有时非常有用，但有的时候，它也是获取进一步信息和资源的一种手段。防范信息收集的关键是限制外界对您的资源进行未经授权的访问。确保这种防范效果的方法包括〔但是不限于〕：确保网络上只有那些已标识的特定设备能够建立远程访问连接。在通过外部防火墙直接连接Internet的计算机上关闭TCP/IP上的NetBIOS，包括端口135、137、139和445。对于Web效劳器，在防火墙或者效劳器上仅启用端口80和443。审查企业对外网站上的信息以确保：该站点上使用的电子邮件地址不是管理员帐户。没有透露网络技术审查员工向新闻组和论坛张贴的内容，防止暴露企业内部信息，包括管理员在技术论坛上求助技术问题。审查为一般公众提供的信息有没有您的IP地址和域名注册信息。确保攻击者无法通过对DNS效劳器执行区域传输。通过转储DNS中的所有记录，攻击者可以清楚地发现最易于攻击的计算机。减少效劳器暴露的技术细节，修改Web效劳，SMTP效劳的旗标。32规划网络平安将企业网络划分和定义为以下几局部：内部网络需要被外部访问的企业网络〔停火区，DMZ〕商业伙伴的网络远程访问〔远程机构或者用户〕Internet在防火墙，路由器上进行访问控制和隔离使用基于网络和基于主机的入侵监测系统，提供预警机制，最好能够和防火墙联动。33防火墙近乎线性的吞吐速度，在HTTP吞吐量测试方 面，ISAServer的吞吐量保持为每秒1.59GB应用层性能最好的防火墙 (数据来源：)单台效劳器可以处理48,000个并发连接缓存极大改善了带宽的利用效率和Web内容的响应时间在最近由TheMeasurementFactory进行的缓存产品评比中，赢得了价格/性能比工程的第一(数据来源：)应用层的精细控制上网行为和丰富的拓展允许管理员控制上网行为和为紧急任务分配较高的带宽优先级ISAServer：Windows平台上的最正确防火墙34FirewallInternet应用案例

-小型网络或分公司的配置企业內部网络AccessPolicyrules-IP包,应用程序,用户,组等的访问策略Bandwidthrules-不同Internetrequest所分配不同带宽的规那么Publishingrules-将Internet效劳(如web,ftp,mail)透过防火墙 的保护发布給外网用户IntrusionDetection-防火墙入侵监测MonitorandLogging–进出流量分析与报表Web缓存-所有放火墙的平安策存内容略会被自动应用到缓存内容之上35实施案例

——北京市环保局InternetISAServer100台工作站ISAServer2000TrendMicroInterScan36DMZ方式1:一个防火墙连接3个网络(3-homed)Internet内部网络DMZ区ISA效劳器37实施案例

----新晨集团

()ISAServer2000InternetInternalNetworkPerimeterNetworkMailServer&DNSWebServer38应用范例

–广域网络的配置总部分支机构ISAISP加速分支机构的访问速度(chain的部署〕实现内部的平安控制〔不同部门和网络之间部署防火墙)统一的策略管理39DMZ方式2:“背靠背〞模式Internet内部网DMZ区Web效劳器数据库效劳器ISA效劳器ISA效劳器40InternetISAServer阵列FireWall(硬件)DMZ内部网(2000+工作站)实施案例

——中国农业部信息中心41复杂网络中ISA的配置多个VLAN,基于第三层交换ISAServer作为交换机的默认网关设置静态路由扩大LAT范围42实施案例

----北京许继电气43ISA和VPN在远程网络的部署Internet远程客户端VPN服务器远程网络ISA服务器Web服务器可以选择让VPN效劳器和ISA安装在同一台机器上或分开44实施案例

----北京市某旅游部门IDC机房/固定IPVPNVPNOffice-1Office-2Office-3拨号线路InternetInternetInternet45规划系统平安操作系统加固去除非必要效劳和组件去除非必要网络协议应用预定义平安模板软硬件供给商对于自己的产品，一般都提供了平安配置文档。微软提供了丰富和翔实的产品平安配置指南，管理员只需遵照执行，即能提供高应用系统的平安性。technet/security/prodtech/default.asp46用户帐号策略几乎所有的企业都通过用户帐户名称和账户口令的方法来提供身份验证和访问限制。因此帐户平安性是企业平安的根底。一定要设定口令最低长度，复杂性要求，口令定期修改，帐号锁定策略。管理员帐户和口令策略：不要为防止自己的帐户被锁定，而额外创立高权限帐户来作为后门不要在IT人员之间共享密码，如果允许多个用户使用管理员帐户，那么一旦发生涉及该帐户的平安事件，审计和责任区分就变得非常困难不要在外部网站上使用单位内部的密码。比方注册Internet上的论坛和网上商店的会员时。因为用户密码往往会与其电子邮件地址存储在一起。只要利用这种存储组合，攻击者就可以确定用户所在的工作单位、使用的用户名〔特别是如果用户名是SMTP地址的前缀〕及密码。

47防病毒系统病毒已经成为最大的平安威胁，为此有必要在企业内全面部署防病毒系统。构建有效的防病毒机制，需要遵循以下原那么：建立网关，效劳器，工作站立体防病毒体系；及时更新防病毒软件本身和病毒特征码；格外关注使用笔记本电脑的用户的防病毒软件更新情况；通过在防火墙和路由器上设置，及时阻止通过网络扩散的病毒；安装专门针对ExchangeServer的病毒扫描系统，直接从用户的邮箱里发现和去除病毒；培训用户不要为了加快计算机运行速度而禁用防病毒系统，如果有可能，从防病毒软件设置中禁止用户这么做培训用户不要随意翻开不明内幕的电子邮件附件，不要随意下载和安装应用软件。48修补程序管理只有及时修补操作系统和应用系统的漏洞，才能从根本上保证平安。修补程序主要有3类：ServicePack即时修复程序或QFE，QuickFixEngineering〔快速修补工程组，QFE〕是Microsoft的一个小组，专门负责编制即时修复程序，针对产品的代码修补程序。即时修复程序经过更严格测试之后被定期添加到ServicePack中，然后提供给所有用户。平安修补程序：平安修补程序是为消除平安漏洞而设计的。部署修补程序的方法主要有：WindowsUpdate和AutomaticUpdateSUS软件更新效劳〔SUS〕可以安装在企业内部的某台效劳器上，让后SUS效劳器从微软的站点下载最新的修补程序，企业网络的计算机将自动从SUS下载并自动安装。脚本通过组策略部署计算机开机脚本，使计算机在启动时自动运行脚本，安装修补程序组策略组策略具有软件分发的能力，如果得到的修补程序是*.msi类型，可以通过组策略将该修补程序指派给指定范围内的计算机，如果不是，需要编写相应的*.zap文件SMS49审核策略通过审核，记录访问者的行为，以发现异常动作并作为证据保存。一般的审核策略包括：对于重要的文件开启删除和修改审核，对敏感文件开启读取审核；在域上开启账户登录事件审核，记录用户登录域的活动；在重要效劳器上开启登录事件审核，记录从网络上访问该效劳器的活动；在SQLServer中审计登录事件；定期对审核记录进行检查。50日志管理日志系统保存了操作系统和应用程序的信息记录，其中包括与平安相关的信息。做为检测入侵的重要证据，日志需要进行妥善的管理。一般的日志管理策略包括：足够大的日志存储空间，以记录足够多的日志信息；不应启用日志覆盖；定期的日志转储，转储的日志需要放置在不能被再次修改的存储介质上，如只能写入一次的光盘，并放置在平安位置，同时按照企业平安策略的要求i，保存足够长的时间；除了操作系统日志外，根据需要开启应用系统的日志，如数据库效劳器，邮件效劳器等访问日志；保证在日志中记录足够的信息，如用户帐户，计算机名，IP地址等；保证计算机之间的时间同步，以准确记录时间发生时间；从软件供给商处获取日志代码含义解读文档；使用日志分析工具协助管理员快速获取有价值的信息51容错管理对故障和灾难的抵御能力，称为容错。容错管理的目标是尽可能减少各种意外事故造成的企业信息损害。一般的容错管理策略包括：使用不间断电源设备，建立后备供电线路；使用磁盘冗余阵列〔RAID〕，提高数据可能性；使用效劳器群集技术，防止效劳器失效；对重要的效劳器建立后备或辅助效劳器，例如建立多台域控制器，通过日志传送建立SQLServer后备效劳器等；对局域网网络提供冗余；选择多个ISP，建立外部连接冗余；对网络设备〔交换机，路由器〕和防火墙提供冗余。52备份管理备份是企业信息平安的最后一道防线一般的备份策略包括：设计备份方案，在兼顾性能的同时，尽可能缩短备份周期；定期测试备份设备，备份存储介质的可靠性，检查已备份数据的完整性和可用性；划分需要备份数据的优先级；保存同一数据的多个备份；备份磁带远离数据原始位置，防止灾害发生造成同时损失；备份磁带应存储在平安位置，防止非授权访问；制定备份恢复方案，并进行演练。53抵御技术性攻击攻击者会企图利用企业网络中的技术漏洞，以获取对系统的访问并设法提升其权限。主要的技术攻击方法有：会话监听和劫持DNS毒化和窃取URL字符串攻击攻击平安帐户管理器文件缓冲区溢出拒绝效劳攻击后门攻击恶意代码54抵御社会工程攻击社会工程攻击指利用非技术手段对企业信息平安造成破坏，比方：伪装成快递公司，物业管理公司等人员进入企业，获取企业内部信息，比方贴