企業(yè)網(wǎng)絡安全設計案例分析

企業(yè)網(wǎng)絡平安設計：案例分析1內(nèi)容案例介紹平安評估平安方案設計2偉達投資偉達〔中國〕投資是一家全球500強的跨國能源集團在華的獨資企業(yè)，從事太陽能，電力，石油，化工，相關銷售等工程等的公司。偉達〔中國〕投資總部設在上海外灘，上?？偛坑?00名員工，并在北京擁有1家分公司，員工約100人。3偉達投資的組織結構上海總部(200人)行政部人力資源部管理部公共關系部固定資產(chǎn)部采購部IT總部市場部銷售部北京分公司〔100人〕行政部財務部人力資源部管理部銷售市場部IT管理部太陽能部質量控制部法律事務部4偉達投資的開展偉達〔中國〕公司從1985年成立，經(jīng)歷了一個飛速的開展過程，特別是90年代起收購了多家國內(nèi)知名的的公司，而且在中國一直與政府及大型能源企業(yè)都有全面的合作。公司營業(yè)額在5年間增長了10倍，目前在國內(nèi)的主要大城市都有分公司和代表處，基于上述的業(yè)務增長，員工人數(shù)也增加了8倍。但是公司的急速擴張造成了公司IT管理部門的巨大工作壓力，公司原有的IT管理構架早已不堪重負。于是在2001年初，公司對偉達〔中國〕的整個網(wǎng)絡系統(tǒng)進行了一次重大升級，包括增加網(wǎng)絡帶寬，更換核心設備，并將整個系統(tǒng)從WindowsNT4平臺全部遷移到了Windows2000平臺并采用了活動目錄效勞，以提高整個網(wǎng)絡系統(tǒng)的可用性和可管理性。5偉達的網(wǎng)絡拓撲結構6風險但是，由于太多的日常維護工作而忽略了系統(tǒng)策略及平安政策的制訂及執(zhí)行不力，管理員的日常維護工作又沒有標準可循，系統(tǒng)及數(shù)據(jù)備份也是根本沒有考慮到災難恢復，經(jīng)常會有一些系統(tǒng)平安問題暴露出來。7危機！該公司網(wǎng)站使用Windows2000上的IIS作為對外的WEB效勞器，該網(wǎng)站W(wǎng)EB效勞器負責公司的信息提供和電子商務。在外網(wǎng)上部署了硬件防火墻，只允許到效勞器TCP80端口的訪問。但是在12月21日上午，一個客戶發(fā)郵件通知公司網(wǎng)站管理員李勇，說該公司網(wǎng)站的首頁被人修改，同時被發(fā)布到國內(nèi)的某黑客論壇，介紹入侵的時間和內(nèi)容。李勇立刻查看網(wǎng)站效勞器，除了網(wǎng)站首頁被更改，而且發(fā)現(xiàn)任務列表中存在未知可疑進程，并且不能殺死。同時發(fā)現(xiàn)網(wǎng)站數(shù)據(jù)庫效勞器有人正在拷貝數(shù)據(jù)！李勇及時斷開數(shù)據(jù)效勞器，利用備份程序及時恢復網(wǎng)站效勞器內(nèi)容，但是沒有過了半小時，又出現(xiàn)類似情況，李勇緊急通知IT管理人員王勇，告知該情況，于是王勇聯(lián)系總部指定的平安效勞提供商維康平安8問題！經(jīng)過初步平安檢查，發(fā)現(xiàn)以下問題：郵件效勞器沒有防病毒掃描模塊；客戶端有W32/Mydoom@MM郵件病毒問題路由器密碼缺省沒有修改正，非常容易被人攻擊；網(wǎng)站效勞器系統(tǒng)沒有安裝最新微軟補丁沒有移除不需要的功能組件；用戶訪問沒有設置復雜密碼驗證，利用字典攻擊，非常容易猜出用戶名和密碼，同時分廠員工對于網(wǎng)站訪問只使用了簡單密碼驗證，容易被人嗅聽到密碼。數(shù)據(jù)庫系統(tǒng)SQL2000SA用戶缺省沒有設置密碼；數(shù)據(jù)庫系統(tǒng)SQL2000沒有安裝任何補丁程序9亡羊補牢王勇看到方明的報告非常吃驚，急忙上告公司CIO余鳴，介紹公司網(wǎng)絡平安狀況，同時提及如果不及時解決公司平安問題，可能會造成非常大的經(jīng)濟和聲譽上的影響。12月22日上午，偉達公司立即召開緊急會議商討此事，希望籍此吸取教訓，徹底整改，在進行平安風險評估的根底上，全面提高企業(yè)網(wǎng)絡平安性。10用戶的目標“我們做了盡可能多的工作，努力提我們的響應速度，縮短解決問題的時間，但是很多情況下我們總是在問題出現(xiàn)了之后才開始解決，在這種情況下我們很難及時解決問題，每次都會有一天到兩天大部份系統(tǒng)不能使用，而且也無法對可能發(fā)生的問題做有效的估計〞李杰，偉達〔中國〕的IT效勞中心經(jīng)理抱怨說。“我們在很多方面的工作都很成功，但是就是由于這些網(wǎng)絡上令人討厭的病毒，造成了我們還是經(jīng)常收到來自個方面的投訴，顯然這不是我們想看到的。我們需要嚴密的系統(tǒng)和嚴格的策略來保證我們業(yè)務系統(tǒng)的穩(wěn)定性和可用性〞偉達〔中國〕首席信息官〔CIO〕余鳴先生如是說?！拔覀冃枰粋€可靠、穩(wěn)定、平安，易于管理和維護的IT解決方案，以及基于此方案的優(yōu)秀IT效勞部門，用以支撐我們公司的運營，以及未來的開展。〞公司總裁(CEO)張其軍解釋。11風險評估12風險評估的一般過程只有經(jīng)過全面的風險評估過程，才能夠有針對性地制定平安實施放案，選擇適宜的平安技術和產(chǎn)品。在風險評估過程，需要：收集一切和網(wǎng)絡平安相關的信息；使用平安評測工具進行脆弱點檢查；分析收集到的信息，定義威脅級別。平安不是最終結果，而是一種過程或者一種狀態(tài)。平安評估必須按照一定的周期不斷進行，才能保證持續(xù)的平安。13需要搜集的根本信息企業(yè)信息：企業(yè)名稱業(yè)務范圍地理分布員工數(shù)量組織結構管理模式預期的增長或重組網(wǎng)絡：物理拓撲結構網(wǎng)絡設備邏輯網(wǎng)絡劃分〔活動目錄結構〕局域網(wǎng)結構廣域網(wǎng)結構遠程訪問互聯(lián)網(wǎng)接入網(wǎng)絡協(xié)議類型主要網(wǎng)絡流量防火墻和入侵檢測系統(tǒng)主機：效勞器數(shù)量，名稱，用途，分布效勞器操作系統(tǒng)及版本用戶身份驗證方式工作站數(shù)量，用途和分布工作站操作系統(tǒng)及版本操作系統(tǒng)補丁部署防病毒部署主機防火墻計算機平安管理平安管理：企業(yè)平安策略和聲明物理平安管理員工平安培訓平安響應機制平安需求和滿足程度14使用MBSA15評價風險16使用平安評測工具平安評測工具通過內(nèi)置的漏洞和風險庫，對指定的系統(tǒng)進行全面的掃描平安評測工具可以快速定位漏洞和風險MBSA〔MicrosoftBaselineSecurityAnalyzer，基準平安分析器〕是微軟提供的系統(tǒng)平安分析及解決工具。MBSA可以對本機或者網(wǎng)絡上的WindowsNT/2000/XP的系統(tǒng)進行平安性檢測，還可以檢測其它的一些微軟產(chǎn)品，諸如SQL7.0/2000、5.01以上版本的InternetExplorer、IIS4.0/5.0/5.1和Office2000/XP，并給出相應的解決方法。17整理結果:效勞器端18整理結果：工作站端19書寫平安評估報告平安評估報告應該包含的局部：文檔版本，完成時間，撰寫和審核者；平安評估說明：平安審核的目的，客戶，平安參謀提供者；審核目標：審核范圍和審核對象；審核過程：審核工作開始和結束時間，審核使用的工具和手段，參與者；審核結果——客戶根本信息；審核結果——客戶網(wǎng)絡拓撲結構；審核結果——客戶效勞器信息；審核結果——客戶工作站信息；審核結果——按照嚴重級別排列的威脅；平安現(xiàn)狀綜合評價平安建議術語20平安方案設計21定義企業(yè)平安策略企業(yè)平安策略定義企業(yè)網(wǎng)絡平安的目標和范圍，即平安策略所要求保護的信息資產(chǎn)的組成和平安策略所適用的范圍。企業(yè)平安策略作為行為標準，定義信息系統(tǒng)中用戶的行為和動作是否可以接受。每一條具體的策略都由政策、目的、范圍、定義遵守和違背政策、違背策略的懲罰和結果等有關的局部組成。這些策略會被作為整個企業(yè)的政策分發(fā)到企業(yè)的所有組織，并且企業(yè)內(nèi)所有員工被強制要求必須內(nèi)遵守。22Internet訪問策略該策略用來明確每位員工在Internet訪問活動中應該擔負的責任，并不對企業(yè)造成危害。所有被允許能夠進行Internet訪問的員工必須在該文檔上簽名，然后才能給予訪問權限。組成局部：1、定義什么是Internet訪問行為2、定義責任3、定義用戶可以做什么，不可以做什么4、如果用戶違反該策略，相關部門會采取的行動23平安管理在制定平安策略的根底上，企業(yè)內(nèi)部應該成立平安管理小組，包含相關人員，全面負責平安管理，主要職責包括：平安策略制定和推廣進行定期的平安審核平安事件響應平安技術選擇和產(chǎn)品選購員工平安培訓取得行政和資金上的支持內(nèi)部和外部信息交流24平安風險分析根據(jù)平安評估階段提供的平安問題列表，按照嚴重級別進行排序，然后進行分析，步驟包括：分析平安問題面臨的風險；查找平安問題之間的關聯(lián)性；尋求解決方案。25效勞器平安問題〔1〕26效勞器平安問題〔2〕27效勞器平安問題〔3〕28工作站平安問題29平安設計30物理平安物理平安是整體平安策略的基石。保護企業(yè)效勞器所在地點的物理平安是首要任務。保護范圍包括在辦公樓內(nèi)的效勞器機房或整個數(shù)據(jù)中心。還應該注意進入辦公樓的入口。如果有人隨便可以進入辦公樓內(nèi)，那么他們即使無法登錄到網(wǎng)絡，也會有許多時機發(fā)起攻擊。攻擊包括：拒絕效勞〔例如，將一臺膝上型電腦插入網(wǎng)絡作為一個DHCP效勞器，或者切斷效勞器電源〕數(shù)據(jù)竊取〔例如，偷竊膝上型電腦或嗅探內(nèi)部網(wǎng)絡的數(shù)據(jù)包〕運行惡意代碼〔例如在內(nèi)部啟動蠕蟲程序，散播病毒〕竊取關鍵的平安信息〔例如備份磁帶、操作手冊和網(wǎng)絡圖，員工通信錄〕31防止信息泄露攻擊者總是要挖空心思找到有關企業(yè)網(wǎng)絡環(huán)境的信息。信息本身有時非常有用，但有的時候，它也是獲取進一步信息和資源的一種手段。防范信息收集的關鍵是限制外界對您的資源進行未經(jīng)授權的訪問。確保這種防范效果的方法包括〔但是不限于〕：確保網(wǎng)絡上只有那些已標識的特定設備能夠建立遠程訪問連接。在通過外部防火墻直接連接Internet的計算機上關閉TCP/IP上的NetBIOS，包括端口135、137、139和445。對于Web效勞器，在防火墻或者效勞器上僅啟用端口80和443。審查企業(yè)對外網(wǎng)站上的信息以確保：該站點上使用的電子郵件地址不是管理員帳戶。沒有透露網(wǎng)絡技術審查員工向新聞組和論壇張貼的內(nèi)容，防止暴露企業(yè)內(nèi)部信息，包括管理員在技術論壇上求助技術問題。審查為一般公眾提供的信息有沒有您的IP地址和域名注冊信息。確保攻擊者無法通過對DNS效勞器執(zhí)行區(qū)域傳輸。通過轉儲DNS中的所有記錄，攻擊者可以清楚地發(fā)現(xiàn)最易于攻擊的計算機。減少效勞器暴露的技術細節(jié)，修改Web效勞，SMTP效勞的旗標。32規(guī)劃網(wǎng)絡平安將企業(yè)網(wǎng)絡劃分和定義為以下幾局部：內(nèi)部網(wǎng)絡需要被外部訪問的企業(yè)網(wǎng)絡〔停火區(qū)，DMZ〕商業(yè)伙伴的網(wǎng)絡遠程訪問〔遠程機構或者用戶〕Internet在防火墻，路由器上進行訪問控制和隔離使用基于網(wǎng)絡和基于主機的入侵監(jiān)測系統(tǒng)，提供預警機制，最好能夠和防火墻聯(lián)動。33防火墻近乎線性的吞吐速度，在HTTP吞吐量測試方 面，ISAServer的吞吐量保持為每秒1.59GB應用層性能最好的防火墻 (數(shù)據(jù)來源：)單臺效勞器可以處理48,000個并發(fā)連接緩存極大改善了帶寬的利用效率和Web內(nèi)容的響應時間在最近由TheMeasurementFactory進行的緩存產(chǎn)品評比中，贏得了價格/性能比工程的第一(數(shù)據(jù)來源：)應用層的精細控制上網(wǎng)行為和豐富的拓展允許管理員控制上網(wǎng)行為和為緊急任務分配較高的帶寬優(yōu)先級ISAServer：Windows平臺上的最正確防火墻34FirewallInternet應用案例

-小型網(wǎng)絡或分公司的配置企業(yè)內(nèi)部網(wǎng)絡AccessPolicyrules-IP包,應用程序,用戶,組等的訪問策略Bandwidthrules-不同Internetrequest所分配不同帶寬的規(guī)那么Publishingrules-將Internet效勞(如web,ftp,mail)透過防火墻 的保護發(fā)布給外網(wǎng)用戶IntrusionDetection-防火墻入侵監(jiān)測MonitorandLogging–進出流量分析與報表Web緩存-所有放火墻的平安策存內(nèi)容略會被自動應用到緩存內(nèi)容之上35實施案例

——北京市環(huán)保局InternetISAServer100臺工作站ISAServer2000TrendMicroInterScan36DMZ方式1:一個防火墻連接3個網(wǎng)絡(3-homed)Internet內(nèi)部網(wǎng)絡DMZ區(qū)ISA效勞器37實施案例

----新晨集團

()ISAServer2000InternetInternalNetworkPerimeterNetworkMailServer&DNSWebServer38應用范例

–廣域網(wǎng)絡的配置總部分支機構ISAISP加速分支機構的訪問速度(chain的部署〕實現(xiàn)內(nèi)部的平安控制〔不同部門和網(wǎng)絡之間部署防火墻)統(tǒng)一的策略管理39DMZ方式2:“背靠背〞模式Internet內(nèi)部網(wǎng)DMZ區(qū)Web效勞器數(shù)據(jù)庫效勞器ISA效勞器ISA效勞器40InternetISAServer陣列FireWall(硬件)DMZ內(nèi)部網(wǎng)(2000+工作站)實施案例

——中國農(nóng)業(yè)部信息中心41復雜網(wǎng)絡中ISA的配置多個VLAN,基于第三層交換ISAServer作為交換機的默認網(wǎng)關設置靜態(tài)路由擴大LAT范圍42實施案例

----北京許繼電氣43ISA和VPN在遠程網(wǎng)絡的部署Internet遠程客戶端VPN服務器遠程網(wǎng)絡ISA服務器Web服務器可以選擇讓VPN效勞器和ISA安裝在同一臺機器上或分開44實施案例

----北京市某旅游部門IDC機房/固定IPVPNVPNOffice-1Office-2Office-3撥號線路InternetInternetInternet45規(guī)劃系統(tǒng)平安操作系統(tǒng)加固去除非必要效勞和組件去除非必要網(wǎng)絡協(xié)議應用預定義平安模板軟硬件供給商對于自己的產(chǎn)品，一般都提供了平安配置文檔。微軟提供了豐富和翔實的產(chǎn)品平安配置指南，管理員只需遵照執(zhí)行，即能提供高應用系統(tǒng)的平安性。technet/security/prodtech/default.asp46用戶帳號策略幾乎所有的企業(yè)都通過用戶帳戶名稱和賬戶口令的方法來提供身份驗證和訪問限制。因此帳戶平安性是企業(yè)平安的根底。一定要設定口令最低長度，復雜性要求，口令定期修改，帳號鎖定策略。管理員帳戶和口令策略：不要為防止自己的帳戶被鎖定，而額外創(chuàng)立高權限帳戶來作為后門不要在IT人員之間共享密碼，如果允許多個用戶使用管理員帳戶，那么一旦發(fā)生涉及該帳戶的平安事件，審計和責任區(qū)分就變得非常困難不要在外部網(wǎng)站上使用單位內(nèi)部的密碼。比方注冊Internet上的論壇和網(wǎng)上商店的會員時。因為用戶密碼往往會與其電子郵件地址存儲在一起。只要利用這種存儲組合，攻擊者就可以確定用戶所在的工作單位、使用的用戶名〔特別是如果用戶名是SMTP地址的前綴〕及密碼。

47防病毒系統(tǒng)病毒已經(jīng)成為最大的平安威脅，為此有必要在企業(yè)內(nèi)全面部署防病毒系統(tǒng)。構建有效的防病毒機制，需要遵循以下原那么：建立網(wǎng)關，效勞器，工作站立體防病毒體系；及時更新防病毒軟件本身和病毒特征碼；格外關注使用筆記本電腦的用戶的防病毒軟件更新情況；通過在防火墻和路由器上設置，及時阻止通過網(wǎng)絡擴散的病毒；安裝專門針對ExchangeServer的病毒掃描系統(tǒng)，直接從用戶的郵箱里發(fā)現(xiàn)和去除病毒；培訓用戶不要為了加快計算機運行速度而禁用防病毒系統(tǒng)，如果有可能，從防病毒軟件設置中禁止用戶這么做培訓用戶不要隨意翻開不明內(nèi)幕的電子郵件附件，不要隨意下載和安裝應用軟件。48修補程序管理只有及時修補操作系統(tǒng)和應用系統(tǒng)的漏洞，才能從根本上保證平安。修補程序主要有3類：ServicePack即時修復程序或QFE，QuickFixEngineering〔快速修補工程組，QFE〕是Microsoft的一個小組，專門負責編制即時修復程序，針對產(chǎn)品的代碼修補程序。即時修復程序經(jīng)過更嚴格測試之后被定期添加到ServicePack中，然后提供給所有用戶。平安修補程序：平安修補程序是為消除平安漏洞而設計的。部署修補程序的方法主要有：WindowsUpdate和AutomaticUpdateSUS軟件更新效勞〔SUS〕可以安裝在企業(yè)內(nèi)部的某臺效勞器上，讓后SUS效勞器從微軟的站點下載最新的修補程序，企業(yè)網(wǎng)絡的計算機將自動從SUS下載并自動安裝。腳本通過組策略部署計算機開機腳本，使計算機在啟動時自動運行腳本，安裝修補程序組策略組策略具有軟件分發(fā)的能力，如果得到的修補程序是*.msi類型，可以通過組策略將該修補程序指派給指定范圍內(nèi)的計算機，如果不是，需要編寫相應的*.zap文件SMS49審核策略通過審核，記錄訪問者的行為，以發(fā)現(xiàn)異常動作并作為證據(jù)保存。一般的審核策略包括：對于重要的文件開啟刪除和修改審核，對敏感文件開啟讀取審核；在域上開啟賬戶登錄事件審核，記錄用戶登錄域的活動；在重要效勞器上開啟登錄事件審核，記錄從網(wǎng)絡上訪問該效勞器的活動；在SQLServer中審計登錄事件；定期對審核記錄進行檢查。50日志管理日志系統(tǒng)保存了操作系統(tǒng)和應用程序的信息記錄，其中包括與平安相關的信息。做為檢測入侵的重要證據(jù)，日志需要進行妥善的管理。一般的日志管理策略包括：足夠大的日志存儲空間，以記錄足夠多的日志信息；不應啟用日志覆蓋；定期的日志轉儲，轉儲的日志需要放置在不能被再次修改的存儲介質上，如只能寫入一次的光盤，并放置在平安位置，同時按照企業(yè)平安策略的要求i，保存足夠長的時間；除了操作系統(tǒng)日志外，根據(jù)需要開啟應用系統(tǒng)的日志，如數(shù)據(jù)庫效勞器，郵件效勞器等訪問日志；保證在日志中記錄足夠的信息，如用戶帳戶，計算機名，IP地址等；保證計算機之間的時間同步，以準確記錄時間發(fā)生時間；從軟件供給商處獲取日志代碼含義解讀文檔；使用日志分析工具協(xié)助管理員快速獲取有價值的信息51容錯管理對故障和災難的抵御能力，稱為容錯。容錯管理的目標是盡可能減少各種意外事故造成的企業(yè)信息損害。一般的容錯管理策略包括：使用不間斷電源設備，建立后備供電線路；使用磁盤冗余陣列〔RAID〕，提高數(shù)據(jù)可能性；使用效勞器群集技術，防止效勞器失效；對重要的效勞器建立后備或輔助效勞器，例如建立多臺域控制器，通過日志傳送建立SQLServer后備效勞器等；對局域網(wǎng)網(wǎng)絡提供冗余；選擇多個ISP，建立外部連接冗余；對網(wǎng)絡設備〔交換機，路由器〕和防火墻提供冗余。52備份管理備份是企業(yè)信息平安的最后一道防線一般的備份策略包括：設計備份方案，在兼顧性能的同時，盡可能縮短備份周期；定期測試備份設備，備份存儲介質的可靠性，檢查已備份數(shù)據(jù)的完整性和可用性；劃分需要備份數(shù)據(jù)的優(yōu)先級；保存同一數(shù)據(jù)的多個備份；備份磁帶遠離數(shù)據(jù)原始位置，防止災害發(fā)生造成同時損失；備份磁帶應存儲在平安位置，防止非授權訪問；制定備份恢復方案，并進行演練。53抵御技術性攻擊攻擊者會企圖利用企業(yè)網(wǎng)絡中的技術漏洞，以獲取對系統(tǒng)的訪問并設法提升其權限。主要的技術攻擊方法有：會話監(jiān)聽和劫持DNS毒化和竊取URL字符串攻擊攻擊平安帳戶管理器文件緩沖區(qū)溢出拒絕效勞攻擊后門攻擊惡意代碼54抵御社會工程攻擊社會工程攻擊指利用非技術手段對企業(yè)信息平安造成破壞，比方：偽裝成快遞公司，物業(yè)管理公司等人員進入企業(yè)，獲取企業(yè)內(nèi)部信息，比方貼