企业安全设计案例分析

1企业网络平安设计：案例分析2内容案例介绍平安评估平安方案设计34上海总部(200人)行政部人力资源部管理部公共关系部固定资产部采购部IT总部市场部销售部北京分公司〔100人〕行政部财务部人力资源部管理部销售市场部IT管理部太阳能部质量控制部法律事务部5伟达〔中国〕公司从1985年成立，经历了一个飞速的开展过程，特别是90年代起收购了多家国内知名的的公司，而且在中国一直与政府及大型能源企业都有全面的合作。公司营业额在5年间增长了10倍，目前在国内的主要大城市都有分公司和代表处，基于上述的业务增长，员工人数也增加了8倍。但是公司的急速扩张造成了公司IT管理部门的巨大工作压力，公司原有的IT管理构架早已不堪重负。于是在2001年初，公司对伟达〔中国〕的整个网络系统进行了一次重大升级，包括增加网络带宽，更换核心设备，并将整个系统从WindowsNT4平台全部迁移到了Windows2000平台并采用了活动目录效劳，以提高整个网络系统的可用性和可管理性。6伟达的网络拓扑结构7风险8危机！9问题！经过初步平安检查，发现以下问题：邮件效劳器没有防病毒扫描模块；客户端有W32/Mydoom@MM邮件病毒问题路由器密码缺省没有修改正，非常容易被人攻击；网站效劳器系统没有安装最新微软补丁没有移除不需要的功能组件；用户访问没有设置复杂密码验证，利用字典攻击，非常容易猜出用户名和密码，同时分厂员工对于网站访问只使用了简单密码验证，容易被人嗅听到密码。数据库系统SQL2000SA用户缺省没有设置密码；数据库系统SQL2000没有安装任何补丁程序10亡羊补牢王勇看到方明的报告非常吃惊，急忙上告公司CIO余鸣，介绍公司网络平安状况，同时提及如果不及时解决公司平安问题，可能会造成非常大的经济和声誉上的影响。12月22日上午，伟达公司立即召开紧急会议商讨此事，希望籍此吸取教训，彻底整改，在进行平安风险评估的根底上，全面提高企业网络平安性。11用户的目标“我们做了尽可能多的工作，努力提我们的响应速度，缩短解决问题的时间，但是很多情况下我们总是在问题出现了之后才开始解决，在这种情况下我们很难及时解决问题，每次都会有一天到两天大部份系统不能使用，而且也无法对可能发生的问题做有效的估计〞李杰，伟达〔中国〕的IT效劳中心经理抱怨说。“我们在很多方面的工作都很成功，但是就是由于这些网络上令人讨厌的病毒，造成了我们还是经常收到来自个方面的投诉，显然这不是我们想看到的。我们需要严密的系统和严格的策略来保证我们业务系统的稳定性和可用性〞伟达〔中国〕首席信息官〔CIO〕余鸣先生如是说。“我们需要一个可靠、稳定、平安，易于管理和维护的IT解决方案，以及基于此方案的优秀IT效劳部门，用以支撑我们公司的运营，以及未来的开展。〞公司总裁(CEO)张其军解释。12风险评估13风险评估的一般过程14需要搜集的根本信息15使用MBSA16评价风险问题严重程度定义建议5严重安全问题严重的安全漏洞，如果被利用会对业务产生严重的破坏记录，评估，立即更改4高风险安全问题严重的安全漏洞，如果被利用将/可能会对业务产生严重的影响记录，评估，在15至30天内更改3中度风险的安全问题中度风险的安全问题，可能会影响业务的进行或纪录，评估，在90天内改进2轻微风险的安全问题轻微风险的安全问题，不会对业务带来直接的影响纪录，评估，在120天内改进1安全建议不属于安全问题，但改进后可进一步提高安全记录，评估，在可行的情况下采用17使用平安评测工具平安评测工具通过内置的漏洞和风险库，对指定的系统进行全面的扫描平安评测工具可以快速定位漏洞和风险MBSA〔MicrosoftBaselineSecurityAnalyzer，基准平安分析器〕是微软提供的系统平安分析及解决工具。MBSA可以对本机或者网络上的WindowsNT/2000/XP的系统进行平安性检测，还可以检测其它的一些微软产品，诸如SQL7.0/2000、5.01以上版本的InternetExplorer、IIS4.0/5.0/5.1和Office2000/XP，并给出相应的解决方法。18整理结果:效劳器端严重级别安全问题5没有安装sp2之后最新的Hotfix3没有限制匿名用户对本地安全子系统的访问4没有制定密码策略4没有定义账号锁定策略3没有改变administrator账号以及配置该账号4没有设置“允许从网络访问这台计算机“3删除不需要的协议，并且禁用NetBIOSoverTCP/IP4没有将所有日志的保存方法设为“按需要改写日志”2事件日志文件使用缺省大小3没有针对重要文件进行审核3“允许从网络访问这台计算机”的权限中有everyone组3没有设置专职的信息安全管理人员3缺少有效的备份计划和定期检查策略4没有法律顾问4没有应对紧急事件的机制4没有系统容错机制3没有详细的安全管理文档4没有针对登录事件进行审核3没有针对DNS服务器的传输进行安全有效验证3IIS服务器安装了太多的不需要组件，也没有安装相关补丁程序4没有特权使用和策略更改的记录2没有监视相关服务器端口的机制3防火墙没有开启入侵检测4没有利用组策略的安全模板进行配置4任何人能够进入电脑机房4没有安全管理的流程3网站安全验证的功能太弱3Sql安全配置不足4存在网络病毒现象4数据库权限没有严格限定条件4文件服务器的分区格式采用FAT分区格式5企业邮件服务器没有安装邮件扫描插件19整理结果：工作站端严重级别安全问题5没有安装操作系统补丁3有的计算机没有加入域4没有离开计算机，锁定屏幕习惯4没有定义账号锁定策略3没有复杂密码习惯4安装不需要的网络协议3随意打开未知内容的邮件4自行下载网络软件，并进行安装2上非法网站导致IE被修改3不及时更新防病毒软件病毒库3很多员工会把密码写到及时贴，放在电脑上4随意将公司一些信息告知外来人员4财务经理的笔记本电脑丢失，导致公司机密数据丢失。3公司电脑机箱被随意打开5存在“W32/Nimda@MM”的蠕虫病毒20书写平安评估报告21平安方案设计22定义企业平安策略23Internet访问策略该策略用来明确每位员工在Internet访问活动中应该担负的责任，并不对企业造成危害。所有被允许能够进行Internet访问的员工必须在该文档上签名，然后才能给予访问权限。组成局部：1、定义什么是Internet访问行为2、定义责任3、定义用户可以做什么，不可以做什么4、如果用户违反该策略，相关部门会采取的行动24平安管理25平安风险分析根据平安评估阶段提供的平安问题列表，按照严重级别进行排序，然后进行分析，步骤包括：分析平安问题面临的风险；查找平安问题之间的关联性；寻求解决方案。26效劳器平安问题〔1〕等级安全问题风险5系统中没有安装sp2之后最新的Hotfix系统存在严重的安全漏洞5企业邮件服务器没有安装邮件扫描插件病毒邮件的扩散，内部员工通过邮件向外发送企业机密数据4没有制定密码策略弱口令4没有定义账号锁定策略字典或暴力攻击3没有改变administrator账号以及配置该账号口令猜测4“允许从网络访问这台计算机”的权限中有everyone组从网络发起入侵4没有将所有日志的保存方法设为“按需要改写日志”日志不完整或日志伪造2事件日志文件使用缺省大小不完整记录或者日志伪造4没有法律顾问触犯法律或者不能及时得到法律支持27效劳器平安问题〔2〕4没有系统容错机制系统容错能力脆弱4没有针对登录事件进行审核非法登录4没有策略更改的记录非法修改策略4没有利用组策略的安全模板进行配置分散的安全管理4任何人能够进入电脑机房物理安全威胁4没有安全管理的流程安全管理混乱，容易导致信息泄漏4没有应对紧急事件的机制延误时机，使安全破坏更为严重3没有设置专职的信息安全管理人员安全管理混乱3没有详细的安全管理文档安全管理混乱4存在网络病毒现象病毒扩散并难以清除4数据库权限没有严格限定条件非法防问4文件服务器的分区格式采用FAT分区格式没有本地安全性3没有限制匿名用户访问空会话威胁28效劳器平安问题〔3〕3没有删除不需要的协议，并且禁用NetBIOSoverTCP/IP存在潜在的协议漏洞3没有针对重要文件进行审核非法访问和修改3缺少有效的备份计划和定期检查策略灾难发生时无法从备份中恢复数据3没有针对DNS服务器的传输进行安全有效验证非法的区域传输3用户登录验证是明文传输网络窃听3IIS服务器安装了太多的不需要组件，也没有安装相关补丁程序存在严重漏洞，容易被黑客攻击3没有特权使用的记录非法特权使用3防火墙没有开启入侵检测漏洞扫描3Sql安全配置不足存在可以被入侵者利用的漏洞2没有监视相关服务器端口的机制服务器可能被种植木马2SMTP服务器开启了relay设置成为垃圾邮件中转站29工作站平安问题级别安全问题风险5没有安装操作系统补丁存在严重漏洞4没有离开计算机，锁定屏幕习惯被非法访问4没有定义账号锁定策略口令猜测4财务经理的笔记本电脑丢失，导致公司机密数据丢失。数据失窃4安装不需要的网络协议潜在的网络协议漏洞4自行下载网络软件，并进行安装感染病毒，木马，并导致系统不稳定3随意打开未知内容的邮件感染邮件病毒或木马4随意将公司一些信息告知外来人员泄露信息机密3很多员工会把密码写到及时贴，放在电脑上泄露信息机密3不及时更新防病毒软件病毒库感染病毒3公司电脑机箱被随意打开物理威胁3没有复杂密码习惯口令猜测攻击3有的计算机没有加入域无法进行集中管理，无法实现集中身份验证2部门管理人员放在我的文件夹中的数据不会自己备份数据丢失影响影响用户不能正常工作3Snmp的配置可以使用缺省用户探询信息导致公司相关设备信息丢失和一些配置信息被修改30平安设计31物理平安物理平安是整体平安策略的基石。保护企业效劳器所在地点的物理平安是首要任务。保护范围包括在办公楼内的效劳器机房或整个数据中心。还应该注意进入办公楼的入口。如果有人随便可以进入办公楼内，那么他们即使无法登录到网络，也会有许多时机发起攻击。攻击包括：拒绝效劳〔例如，将一台膝上型电脑插入网络作为一个DHCP效劳器，或者切断效劳器电源〕数据窃取〔例如，偷窃膝上型电脑或嗅探内部网络的数据包〕运行恶意代码〔例如在内部启动蠕虫程序，散播病毒〕窃取关键的平安信息〔例如备份磁带、操作手册和网络图，员工通信录〕32防止信息泄露33规划网络平安3435FirewallInternet应用案例

-小型网络或分公司的配置企业內部网络36实施案例

——北京市环保局InternetISAServer100台工作站ISAServer2000TrendMicroInterScan37Internet内部网络DMZ区ISA效劳器38实施案例

----新晨集团

(brilliance)ISAServer2000InternetInternalNetworkPerimeterNetworkMailServer&DNSWebServer39应用范例

–

广域网络的配置总部分支机构ISAISP40DMZ方式2:“背靠背〞模式Internet内部网DMZ区Web效劳器数据库效劳器ISA效劳器ISA效劳器41InternetISAServer阵列FireWall(硬件)DMZ内部网(2000+工作站)实施案例

——中国农业部信息中心42复杂网络中ISA的配置多个VLAN,基于第三层交换ISAServer作为交换机的默认网关设置静态路由扩大LAT范围43实施案例

----北京许继电气44ISA和VPN在远程网络的部署Internet远程客户端VPN服务器远程网络ISA服务器Web服务器可以选择让VPN效劳器和ISA安装在同一台机器上或分开45实施案例

----北京市某旅游部门IDC机房/固定IPVPNVPNOffice-1Office-2Office-3拨号线路InternetInternetInternet46规划系统平安操作系统加固去除非必要效劳和组件去除非必要网络协议应用预定义平安模板软硬件供给商对于自己的产品，一般都提供了平安配置文档。微软提供了丰富和翔实的产品平安配置指南，管理员只需遵照执行，即能提供高应用系统的平安性。

47用户帐号策略几乎所有的企业都通过用户帐户名称和账户口令的方法来提供身份验证和访问限制。因此帐户平安性是企业平安的根底。一定要设定口令最低长度，复杂性要求，口令定期修改，帐号锁定策略。管理员帐户和口令策略：不要为防止自己的帐户被锁定，而额外创立高权限帐户来作为后门不要在IT人员之间共享密码，如果允许多个用户使用管理员帐户，那么一旦发生涉及该帐户的平安事件，审计和责任区分就变得非常困难不要在外部网站上使用单位内部的密码。比方注册Internet上的论坛和网上商店的会员时。因为用户密码往往会与其电子邮件地址存储在一起。只要利用这种存储组合，攻击者就可以确定用户所在的工作单位、使用的用户名〔特别是如果用户名是SMTP地址的前缀〕及密码。

48防病毒系统49修补程序管理只有及时修补操作系统和应用系统的漏洞，才能从根本上保证平安。修补程序主要有3类：ServicePack即时修复程序或QFE，QuickFixEngineering〔快速修补工程组，QFE〕是Microsoft的一个小组，专门负责编制即时修复程序，针对产品的代码修补程序。即时修复程序经过更严格测试之后被定期添加到ServicePack中，然后提供给所有用户。平安修补程序：平安修补程序是为消除平安漏洞而设计的。部署修补程序的方法主要有：WindowsUpdate和AutomaticUpdateSUS软件更新效劳〔SUS〕可以安装在企业内部的某台效劳器上，让后SUS效劳器从微软的站点下载最新的修补程序，企业网络的计算机将自动从SUS下载并自动安装。脚本通过组策略部署计算机开机脚本，使计算机在启动时自动运行脚本，安装修补程序组策略组策略具有软件分发的能力，如果得到的修补程序是*.msi类型，可以通过组策略将该修补程序指派给指定范围内的计算机，如果不是，需要编写相应的*.zap文件SMS50审核策略通过审核，记录访问者的行为，以发现异常动作并作为证据保存。一般的审核策略包括：对于重要的文件开启删除和修改审核，对敏感文件开启读取审核；在域上开启账户登录事件审核，记录用户登录域的活动；在重要效劳器上开启登录事件审核，记录从网络上访问该效劳器的活动；在SQLServer中审计登录事件；定期对审核记录进行检查。51日志管理日志系统保存了操作系统和应用程序的信息记录，其中包括与平安相关的信息。做为检测入侵的重要证据，日志需要进行妥善的管理。一般的日志管理策略包括：足够大的日志存储空间，以记录足够多的日志信息；不应启用日志覆盖；定期的日志转储，转储的日志需要放置在不能被再次修改的存储介质上，如只能写入一次的光盘，并放置在平安位置，同时按照企业平安策略的要求i，保存足够长的时间；除了操作系统日志外，根据需要开启应用系统的日志，如数据库效劳器，邮件效劳器等访问日志；保证在日志中记录足够的信息，如用户帐户，计算机名，IP地址等；保证计算机之间的时间同步，以准确记录时间发生时间；从软件供给商处获取日志代码含义解读文档；使用日志分析工具协助管理员快速获取有价值的信息52容错管理53备份管理备份是企业信息平安的最后一道防线一般的备份策略包括：设计备份方案，在兼顾性能的同时，尽可能缩短备份周期；定期测试备份设备，备份存储介质的可靠性，检查已备份数据的完整性和可用性；划分需要备份数据的优先级；保存同一数据的多个备份；备份磁带远离数据原始位置，防止灾害发生造成同时损失；备份磁带应存储在平安位置，防止非授权访问；制定备份恢复方案，并进行演练。5455抵御社会工程攻击56平安事件响应所有的管理员都希望能防患于未然。然而要想防止所有平安事件是不可能的，所以当平安事件真的发生时，需要确保让它造成的影响最小。可以采取一些预先的的措施以使平安事件的数量和影响减至最小。在该阶段，分析案例中伟达公司目前的事件响应机制存在的问题，比方：显然缺乏平安响应机制，也没有时间响应团队；在未经授权的情况下向外部人员求助；在未经授权的情况下允许外部人员进行平安扫描；没有在第一时间记录并通报平安事件的发生；没有进行证据保存等。57平安事件的相应流程初步评估，发现平安事件的人员进行初步评估，排除误报可能性；内部通报，向整个事件响应小组进行通报，启动处理机制；控制损失，采取紧急措施，防止进一步恶化；确定攻击类型，以及风险等级；确定损失，确定此次平安事件影响范围，评估对企业造成的损失；消除风险，防止该平安事件出现在其他系统或者部门；保存证据，对受到破坏的主机进行符合法律要求证据保存；通知外部机构，如商业伙伴，政府机关；恢复受攻击影响系统；事件相关资料整理和总结。58伟达的紧急事件响应〔1〕

事件响应步骤采取的行动初步评估星期一早上十点钟，伟达公司的系统管理员李勇接到公司销售部门的员工张娟的电话，说在访问公司对外Web网站时，发现主页被篡改。李勇是伟达公司的安全安全事件响应小组的成员，公司员工已经经过培训，被要求一旦怀疑发现安全事件，立刻向IT部门报告。李勇接到电话后，立刻访问公司主页，发现确实被人篡改，入侵者留下了恶作剧般的声明，但并没有表明身份和目的。这不是误报。通报事件李勇立刻通过电子邮件通报了他发现的问题，并电话通知了所有可以联系到的安全小组成员。

控制损失伟达公司的安全事件响应策略规定，在确定暴露在Internet上的某台服务器被入侵后，要求立即断开该系统与网络的连接。李勇按照此策略拔掉了网线。但是没有考虑到对企业业务的影响，暂时没有断开整个企业到Internet的连接。确定破坏程度李勇检查了防火墙日志，检查了邮件服务器和数据库服务器，暂时没有发现有入侵痕迹。由于该Web服务器属于独立的工作组，其上存在的用户帐户也没有被用在其他的系统上，基本可以断定该次安全事件只影响到了Web服务器。59伟达的紧急事件响应〔2〕通报事件李勇将其后续操作及检查结果用电子邮件通知了安全事件响应小组的其他成员，并直接联系了安全事件响应小组领导人公司副总经理张杰。

张杰指派CIO余明作为事件负责人。余明将协调安全事件响应小组的所有活动及其与外部的信息沟通。

余明通知IT支持小组，告诉他们该

Web服务器已断开与网络的连接，待问题解决后才能重新连接到网络上。余明还通知了行政管理层和法律顾问。法律顾问建议按既定步骤收集证据。保存证据余明决定根据法律顾问的建议，在对受到入侵的Web服务器进行进一步入侵分析之前进行证据收集。安全事件响应小组中经过培训负责收集法律证据的成员创建了该Web服务器的完全备份。一个备份被保存起来作为以后的法律证据使用。另一个备份被保存起来作为数据恢复中可能用到数据保存。按照安全策略规定，作为法律证据的备份保存在只可写入一次的刻录光盘上，在密封以后与服务器上的硬盘一起放在一个安全的位置。确定攻击的类型合严重程度另一名安全事件响应小组成员王勇，

对该Web服务器运行了MBSA，发现针对IIS多个有重要的漏洞补丁没有打，入侵者可能通过Unicode解码漏洞或者索引服务漏洞成功入侵。对Web服务器的进行HTTP日志分析发现，入侵者使用Unicode漏洞入侵，并记录了入侵者的IP地址。同时使用其他安全检查工具，对帐户，注册表，安全策略进行检查，以确定入侵者是否还进行了其他破坏。王勇也对其他的服务器进行了MBSA的扫描，没有发现其他问题。60伟达的紧急事件响应〔3〕通知外部机构信息沟通人员将此事件相关信息报告给了公安部门。同时，考虑