企业网络安全设计.ppt
《企业网络安全设计.ppt》由会员分享,可在线阅读,更多相关《企业网络安全设计.ppt(66页珍藏版)》请在冰豆网上搜索。
1,企业网络安全设计:
案例分析,魏强广州市灵通新技术有限公司,1,2,内容,案例介绍安全评估安全方案设计,2,3,案例介绍,以下内容,均系虚构,如有雷同,纯属巧合。
3,4,伟达投资,伟达(中国)投资有限公司是一家全球500强的跨国能源集团在华的独资企业,从事太阳能,电力,石油,化工,相关销售等项目等的公司。
伟达(中国)投资有限公司总部设在上海外滩,上海总部有200名员工,并在北京拥有1家分公司,员工约100人。
4,5,伟达投资的组织结构,上海总部(200人)行政部人力资源部管理部公共关系部固定资产部采购部IT总部市场部销售部,北京分公司(100人)行政部财务部人力资源部管理部销售市场部IT管理部太阳能部质量控制部法律事务部,5,6,伟达投资的发展,伟达(中国)公司从1985年成立,经历了一个飞速的发展过程,特别是90年代起收购了多家国内知名的的公司,而且在中国一直与政府及大型能源企业都有全面的合作。
公司营业额在5年间增长了10倍,目前在国内的主要大城市都有分公司和代表处,基于上述的业务增长,员工人数也增加了8倍。
但是公司的急速扩张造成了公司IT管理部门的巨大工作压力,公司原有的IT管理构架早已不堪重负。
于是在2001年初,公司对伟达(中国)的整个网络系统进行了一次重大升级,包括增加网络带宽,更换核心设备,并将整个系统从WindowsNT4平台全部迁移到了Windows2000平台并采用了活动目录服务,以提高整个网络系统的可用性和可管理性。
6,7,伟达的网络拓扑结构,7,8,风险,但是,由于太多的日常维护工作而忽略了系统策略及安全政策的制订及执行不力,管理员的日常维护工作又没有标准可循,系统及数据备份也是根本没有考虑到灾难恢复,经常会有一些系统安全问题暴露出来。
8,9,危机!
该公司网站使用Windows2000上的IIS作为对外的WEB服务器,该网站WEB服务器负责公司的信息提供和电子商务。
在外网上部署了硬件防火墙,只允许到服务器TCP80端口的访问。
但是在12月21日上午,一个客户发邮件通知公司网站管理员李勇,说该公司网站的首页被人修改,同时被发布到国内的某黑客论坛,介绍入侵的时间和内容。
李勇立刻查看网站服务器,除了网站首页被更改,而且发现任务列表中存在未知可疑进程,并且不能杀死。
同时发现网站数据库服务器有人正在拷贝数据!
李勇及时断开数据服务器,利用备份程序及时恢复网站服务器内容,但是没有过了半小时,又出现类似情况,李勇紧急通知IT管理人员王勇,告知该情况,于是王勇联系总部指定的安全服务提供商维康安全有限公司,9,10,问题!
经过初步安全检查,发现以下问题:
邮件服务器没有防病毒扫描模块;客户端有W32/MydoomMM邮件病毒问题路由器密码缺省没有修改过,非常容易被人攻击;网站服务器系统没有安装最新微软补丁没有移除不需要的功能组件;用户访问没有设置复杂密码验证,利用字典攻击,非常容易猜出用户名和密码,同时分厂员工对于网站访问只使用了简单密码验证,容易被人嗅听到密码。
数据库系统SQL2000SA用户缺省没有设置密码;数据库系统SQL2000没有安装任何补丁程序,10,11,亡羊补牢,王勇看到方明的报告非常吃惊,急忙上告公司CIO余鸣,介绍公司网络安全状况,同时提及如果不及时解决公司安全问题,可能会造成非常大的经济和声誉上的影响。
12月22日上午,伟达公司立即召开紧急会议商讨此事,希望籍此吸取教训,彻底整改,在进行安全风险评估的基础上,全面提高企业网络安全性。
11,12,用户的目标,“我们做了尽可能多的工作,努力提我们的响应速度,缩短解决问题的时间,但是很多情况下我们总是在问题出现了之后才开始解决,在这种情况下我们很难及时解决问题,每次都会有一天到两天大部份系统不能使用,而且也无法对可能发生的问题做有效的估计”李杰,伟达(中国)的IT服务中心经理抱怨说。
“我们在很多方面的工作都很成功,但是就是由于这些网络上令人讨厌的病毒,造成了我们还是经常收到来自个方面的投诉,显然这不是我们想看到的。
我们需要严密的系统和严格的策略来保证我们业务系统的稳定性和可用性”伟达(中国)首席信息官(CIO)余鸣先生如是说。
“我们需要一个可靠、稳定、安全,易于管理和维护的IT解决方案,以及基于此方案的优秀IT服务部门,用以支撑我们公司的运营,以及未来的发展。
”公司总裁(CEO)张其军解释。
12,13,风险评估,13,14,风险评估的一般过程,只有经过全面的风险评估过程,才能够有针对性地制定安全实施放案,选择合适的安全技术和产品。
在风险评估过程,需要:
收集一切和网络安全相关的信息;使用安全评测工具进行脆弱点检查;分析收集到的信息,定义威胁级别。
安全不是最终结果,而是一种过程或者一种状态。
安全评估必须按照一定的周期不断进行,才能保证持续的安全。
14,15,需要搜集的基本信息,企业信息:
企业名称业务范围地理分布员工数量组织结构管理模式预期的增长或重组网络:
物理拓扑结构网络设备逻辑网络划分(活动目录结构)局域网结构广域网结构远程访问互联网接入网络协议类型主要网络流量防火墙和入侵检测系统,主机:
服务器数量,名称,用途,分布服务器操作系统及版本用户身份验证方式工作站数量,用途和分布工作站操作系统及版本操作系统补丁部署防病毒部署主机防火墙计算机安全管理安全管理:
企业安全策略和声明物理安全管理员工安全培训安全响应机制安全需求和满足程度,15,16,使用安全评测工具,安全评测工具通过内置的已知漏洞和风险库,对指定的系统进行全面的扫描安全评测工具可以快速定位漏洞和风险MBSA(MicrosoftBaselineSecurityAnalyzer,基准安全分析器)是微软提供的系统安全分析及解决工具。
MBSA可以对本机或者网络上的WindowsNT/2000/XP的系统进行安全性检测,还可以检测其它的一些微软产品,诸如SQL7.0/2000、5.01以上版本的InternetExplorer、IIS4.0/5.0/5.1和Office2000/XP,并给出相应的解决方法。
16,17,使用MBSA,17,18,评价风险,18,19,整理结果:
服务器端,19,20,整理结果:
工作站端,20,21,书写安全评估报告,安全评估报告应该包含的部分:
文档版本,完成时间,撰写和审核者;安全评估说明:
安全审核的目的,客户,安全顾问提供者;审核目标:
审核范围和审核对象;审核过程:
审核工作开始和结束时间,审核使用的工具和手段,参与者;审核结果客户基本信息;审核结果客户网络拓扑结构;审核结果客户服务器信息;审核结果客户工作站信息;审核结果按照严重级别排列的威胁;安全现状综合评价安全建议术语,21,22,安全方案设计,22,23,定义企业安全策略,企业安全策略定义企业网络安全的目标和范围,即安全策略所要求保护的信息资产的组成和安全策略所适用的范围。
企业安全策略作为行为标准,定义信息系统中用户的行为和动作是否可以接受。
每一条具体的策略都由政策、目的、范围、定义遵守和违背政策、违背策略的惩罚和结果等有关的部分组成。
这些策略会被作为整个企业的政策分发到企业的所有组织,并且企业内所有员工被强制要求必须内遵守。
23,24,Internet访问策略,该策略用来明确每位员工在Internet访问活动中应该担负的责任,并不对企业造成危害。
所有被允许能够进行Internet访问的员工必须在该文档上签名,然后才能给予访问权限。
组成部分:
1、定义什么是Internet访问行为2、定义责任3、定义用户可以做什么,不可以做什么4、如果用户违反该策略,相关部门会采取的行动,24,25,安全管理,在制定安全策略的基础上,企业内部应该成立安全管理小组,包含相关人员,全面负责安全管理,主要职责包括:
安全策略制定和推广进行定期的安全审核安全事件响应安全技术选择和产品选购员工安全培训取得行政和资金上的支持内部和外部信息交流,25,26,安全风险分析,根据安全评估阶段提供的安全问题列表,按照严重级别进行排序,然后进行分析,步骤包括:
分析安全问题面临的风险;查找安全问题之间的关联性;寻求解决方案。
26,27,服务器安全问题
(1),27,28,服务器安全问题
(2),28,29,服务器安全问题(3),29,30,工作站安全问题,30,31,安全设计,31,32,物理安全,物理安全是整体安全策略的基石。
保护企业服务器所在地点的物理安全是首要任务。
保护范围包括在办公楼内的服务器机房或整个数据中心。
还应该注意进入办公楼的入口。
如果有人随便可以进入办公楼内,那么他们即使无法登录到网络,也会有许多机会发起攻击。
攻击包括:
拒绝服务(例如,将一台膝上型电脑插入网络作为一个DHCP服务器,或者切断服务器电源)数据窃取(例如,偷窃膝上型电脑或嗅探内部网络的数据包)运行恶意代码(例如在内部启动蠕虫程序,散播病毒)窃取关键的安全信息(例如备份磁带、操作手册和网络图,员工通信录),32,33,防止信息泄露,攻击者总是要挖空心思找到有关企业网络环境的信息。
信息本身有时非常有用,但有的时候,它也是获取进一步信息和资源的一种手段。
防范信息收集的关键是限制外界对您的资源进行未经授权的访问。
确保这种防范效果的方法包括(但是不限于):
确保网络上只有那些已标识的特定设备能够建立远程访问连接。
在通过外部防火墙直接连接Internet的计算机上关闭TCP/IP上的NetBIOS,包括端口135、137、139和445。
对于Web服务器,在防火墙或者服务器上仅启用端口80和443。
审查企业对外网站上的信息以确保:
该站点上使用的电子邮件地址不是管理员帐户。
没有透露网络技术审查员工向新闻组和论坛张贴的内容,避免暴露企业内部信息,包括管理员在技术论坛上求助技术问题。
审查为一般公众提供的信息有没有您的IP地址和域名注册信息。
确保攻击者无法通过对DNS服务器执行区域传输。
通过转储DNS中的所有记录,攻击者可以清楚地发现最易于攻击的计算机。
减少服务器暴露的技术细节,修改Web服务,SMTP服务的旗标。
33,34,规划网络安全,将企业网络划分和定义为以下几部分:
内部网络需要被外部访问的企业网络(停火区,DMZ)商业伙伴的网络远程访问(远程机构或者用户)Internet在防火墙,路由器上进行访问控制和隔离使用基于网络和基于主机的入侵监测系统,提供预警机制,最好能够和防火墙联动。
34,35,防火墙近乎线性的吞吐速度,在HTTP吞吐量测试方面,ISAServer的吞吐量保持为每秒1.59GB应用层性能最好的防火墙(数据来源:
http:
/)单台服务器可以处理48,000个并发连接缓存极大改善了带宽的利用效率和Web内容的响应时间在最近由TheMeasurementFactory进行的缓存产品评比中,赢得了价格/性能比项目的第一(数据来源:
http:
/www.measurement-)应用层的精细控制上网行为和丰富的拓展允许管理员控制上网行为和为紧急任务分配较高的带宽优先级,ISAServer:
Windows平台上的最佳防火墙,35,36,Firewall,应用案例-小型网络或分公司的配置,企业內部网络,AccessPolicyrules-IP包,应用程序,用户,组等的访问策略Bandwidthrules-不同Internetrequest所分配不同带宽的规则Publishingrules-将Internet服务(如web,ftp,mail)透过防火墙的保护发布給外网用户IntrusionDetection-防火墙入侵监测MonitorandLogging进出流量分析与报表Web缓存-所有放火墙的安全策存内容略会被自动应用到缓存内容之上,36,37,实施案例北京市环保局,Internet,ISAServer,100台工作站,ISAServer2000TrendMicroInterScan,37,38,DMZ方式1:
一个防火墙连接3个网络(3-homed),Internet,内部
升级会员 