企業(yè)安全設(shè)計(jì)案例分析

1企業(yè)網(wǎng)絡(luò)平安設(shè)計(jì)：案例分析2內(nèi)容案例介紹平安評(píng)估平安方案設(shè)計(jì)34上?？偛?200人)行政部人力資源部管理部公共關(guān)系部固定資產(chǎn)部采購(gòu)部IT總部市場(chǎng)部銷(xiāo)售部北京分公司〔100人〕行政部財(cái)務(wù)部人力資源部管理部銷(xiāo)售市場(chǎng)部IT管理部太陽(yáng)能部質(zhì)量控制部法律事務(wù)部5偉達(dá)〔中國(guó)〕公司從1985年成立，經(jīng)歷了一個(gè)飛速的開(kāi)展過(guò)程，特別是90年代起收購(gòu)了多家國(guó)內(nèi)知名的的公司，而且在中國(guó)一直與政府及大型能源企業(yè)都有全面的合作。公司營(yíng)業(yè)額在5年間增長(zhǎng)了10倍，目前在國(guó)內(nèi)的主要大城市都有分公司和代表處，基于上述的業(yè)務(wù)增長(zhǎng)，員工人數(shù)也增加了8倍。但是公司的急速擴(kuò)張?jiān)斐闪斯綢T管理部門(mén)的巨大工作壓力，公司原有的IT管理構(gòu)架早已不堪重負(fù)。于是在2001年初，公司對(duì)偉達(dá)〔中國(guó)〕的整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行了一次重大升級(jí)，包括增加網(wǎng)絡(luò)帶寬，更換核心設(shè)備，并將整個(gè)系統(tǒng)從WindowsNT4平臺(tái)全部遷移到了Windows2000平臺(tái)并采用了活動(dòng)目錄效勞，以提高整個(gè)網(wǎng)絡(luò)系統(tǒng)的可用性和可管理性。6偉達(dá)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)7風(fēng)險(xiǎn)8危機(jī)！9問(wèn)題！經(jīng)過(guò)初步平安檢查，發(fā)現(xiàn)以下問(wèn)題：郵件效勞器沒(méi)有防病毒掃描模塊；客戶(hù)端有W32/Mydoom@MM郵件病毒問(wèn)題路由器密碼缺省沒(méi)有修改正，非常容易被人攻擊；網(wǎng)站效勞器系統(tǒng)沒(méi)有安裝最新微軟補(bǔ)丁沒(méi)有移除不需要的功能組件；用戶(hù)訪問(wèn)沒(méi)有設(shè)置復(fù)雜密碼驗(yàn)證，利用字典攻擊，非常容易猜出用戶(hù)名和密碼，同時(shí)分廠員工對(duì)于網(wǎng)站訪問(wèn)只使用了簡(jiǎn)單密碼驗(yàn)證，容易被人嗅聽(tīng)到密碼。數(shù)據(jù)庫(kù)系統(tǒng)SQL2000SA用戶(hù)缺省沒(méi)有設(shè)置密碼；數(shù)據(jù)庫(kù)系統(tǒng)SQL2000沒(méi)有安裝任何補(bǔ)丁程序10亡羊補(bǔ)牢王勇看到方明的報(bào)告非常吃驚，急忙上告公司CIO余鳴，介紹公司網(wǎng)絡(luò)平安狀況，同時(shí)提及如果不及時(shí)解決公司平安問(wèn)題，可能會(huì)造成非常大的經(jīng)濟(jì)和聲譽(yù)上的影響。12月22日上午，偉達(dá)公司立即召開(kāi)緊急會(huì)議商討此事，希望籍此吸取教訓(xùn)，徹底整改，在進(jìn)行平安風(fēng)險(xiǎn)評(píng)估的根底上，全面提高企業(yè)網(wǎng)絡(luò)平安性。11用戶(hù)的目標(biāo)“我們做了盡可能多的工作，努力提我們的響應(yīng)速度，縮短解決問(wèn)題的時(shí)間，但是很多情況下我們總是在問(wèn)題出現(xiàn)了之后才開(kāi)始解決，在這種情況下我們很難及時(shí)解決問(wèn)題，每次都會(huì)有一天到兩天大部份系統(tǒng)不能使用，而且也無(wú)法對(duì)可能發(fā)生的問(wèn)題做有效的估計(jì)〞李杰，偉達(dá)〔中國(guó)〕的IT效勞中心經(jīng)理抱怨說(shuō)。“我們?cè)诤芏喾矫娴墓ぷ鞫己艹晒?，但是就是由于這些網(wǎng)絡(luò)上令人討厭的病毒，造成了我們還是經(jīng)常收到來(lái)自個(gè)方面的投訴，顯然這不是我們想看到的。我們需要嚴(yán)密的系統(tǒng)和嚴(yán)格的策略來(lái)保證我們業(yè)務(wù)系統(tǒng)的穩(wěn)定性和可用性〞偉達(dá)〔中國(guó)〕首席信息官〔CIO〕余鳴先生如是說(shuō)?！拔覀冃枰粋€(gè)可靠、穩(wěn)定、平安，易于管理和維護(hù)的IT解決方案，以及基于此方案的優(yōu)秀IT效勞部門(mén)，用以支撐我們公司的運(yùn)營(yíng)，以及未來(lái)的開(kāi)展。〞公司總裁(CEO)張其軍解釋。12風(fēng)險(xiǎn)評(píng)估13風(fēng)險(xiǎn)評(píng)估的一般過(guò)程14需要搜集的根本信息15使用MBSA16評(píng)價(jià)風(fēng)險(xiǎn)問(wèn)題嚴(yán)重程度定義建議5嚴(yán)重安全問(wèn)題嚴(yán)重的安全漏洞，如果被利用會(huì)對(duì)業(yè)務(wù)產(chǎn)生嚴(yán)重的破壞記錄，評(píng)估，立即更改4高風(fēng)險(xiǎn)安全問(wèn)題嚴(yán)重的安全漏洞，如果被利用將/可能會(huì)對(duì)業(yè)務(wù)產(chǎn)生嚴(yán)重的影響記錄，評(píng)估，在15至30天內(nèi)更改3中度風(fēng)險(xiǎn)的安全問(wèn)題中度風(fēng)險(xiǎn)的安全問(wèn)題，可能會(huì)影響業(yè)務(wù)的進(jìn)行或紀(jì)錄，評(píng)估，在90天內(nèi)改進(jìn)2輕微風(fēng)險(xiǎn)的安全問(wèn)題輕微風(fēng)險(xiǎn)的安全問(wèn)題，不會(huì)對(duì)業(yè)務(wù)帶來(lái)直接的影響紀(jì)錄，評(píng)估，在120天內(nèi)改進(jìn)1安全建議不屬于安全問(wèn)題，但改進(jìn)后可進(jìn)一步提高安全記錄，評(píng)估，在可行的情況下采用17使用平安評(píng)測(cè)工具平安評(píng)測(cè)工具通過(guò)內(nèi)置的漏洞和風(fēng)險(xiǎn)庫(kù)，對(duì)指定的系統(tǒng)進(jìn)行全面的掃描平安評(píng)測(cè)工具可以快速定位漏洞和風(fēng)險(xiǎn)MBSA〔MicrosoftBaselineSecurityAnalyzer，基準(zhǔn)平安分析器〕是微軟提供的系統(tǒng)平安分析及解決工具。MBSA可以對(duì)本機(jī)或者網(wǎng)絡(luò)上的WindowsNT/2000/XP的系統(tǒng)進(jìn)行平安性檢測(cè)，還可以檢測(cè)其它的一些微軟產(chǎn)品，諸如SQL7.0/2000、5.01以上版本的InternetExplorer、IIS4.0/5.0/5.1和Office2000/XP，并給出相應(yīng)的解決方法。18整理結(jié)果:效勞器端嚴(yán)重級(jí)別安全問(wèn)題5沒(méi)有安裝sp2之后最新的Hotfix3沒(méi)有限制匿名用戶(hù)對(duì)本地安全子系統(tǒng)的訪問(wèn)4沒(méi)有制定密碼策略4沒(méi)有定義賬號(hào)鎖定策略3沒(méi)有改變administrator賬號(hào)以及配置該賬號(hào)4沒(méi)有設(shè)置“允許從網(wǎng)絡(luò)訪問(wèn)這臺(tái)計(jì)算機(jī)“3刪除不需要的協(xié)議，并且禁用NetBIOSoverTCP/IP4沒(méi)有將所有日志的保存方法設(shè)為“按需要改寫(xiě)日志”2事件日志文件使用缺省大小3沒(méi)有針對(duì)重要文件進(jìn)行審核3“允許從網(wǎng)絡(luò)訪問(wèn)這臺(tái)計(jì)算機(jī)”的權(quán)限中有everyone組3沒(méi)有設(shè)置專(zhuān)職的信息安全管理人員3缺少有效的備份計(jì)劃和定期檢查策略4沒(méi)有法律顧問(wèn)4沒(méi)有應(yīng)對(duì)緊急事件的機(jī)制4沒(méi)有系統(tǒng)容錯(cuò)機(jī)制3沒(méi)有詳細(xì)的安全管理文檔4沒(méi)有針對(duì)登錄事件進(jìn)行審核3沒(méi)有針對(duì)DNS服務(wù)器的傳輸進(jìn)行安全有效驗(yàn)證3IIS服務(wù)器安裝了太多的不需要組件，也沒(méi)有安裝相關(guān)補(bǔ)丁程序4沒(méi)有特權(quán)使用和策略更改的記錄2沒(méi)有監(jiān)視相關(guān)服務(wù)器端口的機(jī)制3防火墻沒(méi)有開(kāi)啟入侵檢測(cè)4沒(méi)有利用組策略的安全模板進(jìn)行配置4任何人能夠進(jìn)入電腦機(jī)房4沒(méi)有安全管理的流程3網(wǎng)站安全驗(yàn)證的功能太弱3Sql安全配置不足4存在網(wǎng)絡(luò)病毒現(xiàn)象4數(shù)據(jù)庫(kù)權(quán)限沒(méi)有嚴(yán)格限定條件4文件服務(wù)器的分區(qū)格式采用FAT分區(qū)格式5企業(yè)郵件服務(wù)器沒(méi)有安裝郵件掃描插件19整理結(jié)果：工作站端嚴(yán)重級(jí)別安全問(wèn)題5沒(méi)有安裝操作系統(tǒng)補(bǔ)丁3有的計(jì)算機(jī)沒(méi)有加入域4沒(méi)有離開(kāi)計(jì)算機(jī)，鎖定屏幕習(xí)慣4沒(méi)有定義賬號(hào)鎖定策略3沒(méi)有復(fù)雜密碼習(xí)慣4安裝不需要的網(wǎng)絡(luò)協(xié)議3隨意打開(kāi)未知內(nèi)容的郵件4自行下載網(wǎng)絡(luò)軟件，并進(jìn)行安裝2上非法網(wǎng)站導(dǎo)致IE被修改3不及時(shí)更新防病毒軟件病毒庫(kù)3很多員工會(huì)把密碼寫(xiě)到及時(shí)貼，放在電腦上4隨意將公司一些信息告知外來(lái)人員4財(cái)務(wù)經(jīng)理的筆記本電腦丟失，導(dǎo)致公司機(jī)密數(shù)據(jù)丟失。3公司電腦機(jī)箱被隨意打開(kāi)5存在“W32/Nimda@MM”的蠕蟲(chóng)病毒20書(shū)寫(xiě)平安評(píng)估報(bào)告21平安方案設(shè)計(jì)22定義企業(yè)平安策略23Internet訪問(wèn)策略該策略用來(lái)明確每位員工在Internet訪問(wèn)活動(dòng)中應(yīng)該擔(dān)負(fù)的責(zé)任，并不對(duì)企業(yè)造成危害。所有被允許能夠進(jìn)行Internet訪問(wèn)的員工必須在該文檔上簽名，然后才能給予訪問(wèn)權(quán)限。組成局部：1、定義什么是Internet訪問(wèn)行為2、定義責(zé)任3、定義用戶(hù)可以做什么，不可以做什么4、如果用戶(hù)違反該策略，相關(guān)部門(mén)會(huì)采取的行動(dòng)24平安管理25平安風(fēng)險(xiǎn)分析根據(jù)平安評(píng)估階段提供的平安問(wèn)題列表，按照嚴(yán)重級(jí)別進(jìn)行排序，然后進(jìn)行分析，步驟包括：分析平安問(wèn)題面臨的風(fēng)險(xiǎn)；查找平安問(wèn)題之間的關(guān)聯(lián)性；尋求解決方案。26效勞器平安問(wèn)題〔1〕等級(jí)安全問(wèn)題風(fēng)險(xiǎn)5系統(tǒng)中沒(méi)有安裝sp2之后最新的Hotfix系統(tǒng)存在嚴(yán)重的安全漏洞5企業(yè)郵件服務(wù)器沒(méi)有安裝郵件掃描插件病毒郵件的擴(kuò)散，內(nèi)部員工通過(guò)郵件向外發(fā)送企業(yè)機(jī)密數(shù)據(jù)4沒(méi)有制定密碼策略弱口令4沒(méi)有定義賬號(hào)鎖定策略字典或暴力攻擊3沒(méi)有改變administrator賬號(hào)以及配置該賬號(hào)口令猜測(cè)4“允許從網(wǎng)絡(luò)訪問(wèn)這臺(tái)計(jì)算機(jī)”的權(quán)限中有everyone組從網(wǎng)絡(luò)發(fā)起入侵4沒(méi)有將所有日志的保存方法設(shè)為“按需要改寫(xiě)日志”日志不完整或日志偽造2事件日志文件使用缺省大小不完整記錄或者日志偽造4沒(méi)有法律顧問(wèn)觸犯法律或者不能及時(shí)得到法律支持27效勞器平安問(wèn)題〔2〕4沒(méi)有系統(tǒng)容錯(cuò)機(jī)制系統(tǒng)容錯(cuò)能力脆弱4沒(méi)有針對(duì)登錄事件進(jìn)行審核非法登錄4沒(méi)有策略更改的記錄非法修改策略4沒(méi)有利用組策略的安全模板進(jìn)行配置分散的安全管理4任何人能夠進(jìn)入電腦機(jī)房物理安全威脅4沒(méi)有安全管理的流程安全管理混亂，容易導(dǎo)致信息泄漏4沒(méi)有應(yīng)對(duì)緊急事件的機(jī)制延誤時(shí)機(jī)，使安全破壞更為嚴(yán)重3沒(méi)有設(shè)置專(zhuān)職的信息安全管理人員安全管理混亂3沒(méi)有詳細(xì)的安全管理文檔安全管理混亂4存在網(wǎng)絡(luò)病毒現(xiàn)象病毒擴(kuò)散并難以清除4數(shù)據(jù)庫(kù)權(quán)限沒(méi)有嚴(yán)格限定條件非法防問(wèn)4文件服務(wù)器的分區(qū)格式采用FAT分區(qū)格式?jīng)]有本地安全性3沒(méi)有限制匿名用戶(hù)訪問(wèn)空會(huì)話(huà)威脅28效勞器平安問(wèn)題〔3〕3沒(méi)有刪除不需要的協(xié)議，并且禁用NetBIOSoverTCP/IP存在潛在的協(xié)議漏洞3沒(méi)有針對(duì)重要文件進(jìn)行審核非法訪問(wèn)和修改3缺少有效的備份計(jì)劃和定期檢查策略災(zāi)難發(fā)生時(shí)無(wú)法從備份中恢復(fù)數(shù)據(jù)3沒(méi)有針對(duì)DNS服務(wù)器的傳輸進(jìn)行安全有效驗(yàn)證非法的區(qū)域傳輸3用戶(hù)登錄驗(yàn)證是明文傳輸網(wǎng)絡(luò)竊聽(tīng)3IIS服務(wù)器安裝了太多的不需要組件，也沒(méi)有安裝相關(guān)補(bǔ)丁程序存在嚴(yán)重漏洞，容易被黑客攻擊3沒(méi)有特權(quán)使用的記錄非法特權(quán)使用3防火墻沒(méi)有開(kāi)啟入侵檢測(cè)漏洞掃描3Sql安全配置不足存在可以被入侵者利用的漏洞2沒(méi)有監(jiān)視相關(guān)服務(wù)器端口的機(jī)制服務(wù)器可能被種植木馬2SMTP服務(wù)器開(kāi)啟了relay設(shè)置成為垃圾郵件中轉(zhuǎn)站29工作站平安問(wèn)題級(jí)別安全問(wèn)題風(fēng)險(xiǎn)5沒(méi)有安裝操作系統(tǒng)補(bǔ)丁存在嚴(yán)重漏洞4沒(méi)有離開(kāi)計(jì)算機(jī)，鎖定屏幕習(xí)慣被非法訪問(wèn)4沒(méi)有定義賬號(hào)鎖定策略口令猜測(cè)4財(cái)務(wù)經(jīng)理的筆記本電腦丟失，導(dǎo)致公司機(jī)密數(shù)據(jù)丟失。數(shù)據(jù)失竊4安裝不需要的網(wǎng)絡(luò)協(xié)議潛在的網(wǎng)絡(luò)協(xié)議漏洞4自行下載網(wǎng)絡(luò)軟件，并進(jìn)行安裝感染病毒，木馬，并導(dǎo)致系統(tǒng)不穩(wěn)定3隨意打開(kāi)未知內(nèi)容的郵件感染郵件病毒或木馬4隨意將公司一些信息告知外來(lái)人員泄露信息機(jī)密3很多員工會(huì)把密碼寫(xiě)到及時(shí)貼，放在電腦上泄露信息機(jī)密3不及時(shí)更新防病毒軟件病毒庫(kù)感染病毒3公司電腦機(jī)箱被隨意打開(kāi)物理威脅3沒(méi)有復(fù)雜密碼習(xí)慣口令猜測(cè)攻擊3有的計(jì)算機(jī)沒(méi)有加入域無(wú)法進(jìn)行集中管理，無(wú)法實(shí)現(xiàn)集中身份驗(yàn)證2部門(mén)管理人員放在我的文件夾中的數(shù)據(jù)不會(huì)自己備份數(shù)據(jù)丟失影響影響用戶(hù)不能正常工作3Snmp的配置可以使用缺省用戶(hù)探詢(xún)信息導(dǎo)致公司相關(guān)設(shè)備信息丟失和一些配置信息被修改30平安設(shè)計(jì)31物理平安物理平安是整體平安策略的基石。保護(hù)企業(yè)效勞器所在地點(diǎn)的物理平安是首要任務(wù)。保護(hù)范圍包括在辦公樓內(nèi)的效勞器機(jī)房或整個(gè)數(shù)據(jù)中心。還應(yīng)該注意進(jìn)入辦公樓的入口。如果有人隨便可以進(jìn)入辦公樓內(nèi)，那么他們即使無(wú)法登錄到網(wǎng)絡(luò)，也會(huì)有許多時(shí)機(jī)發(fā)起攻擊。攻擊包括：拒絕效勞〔例如，將一臺(tái)膝上型電腦插入網(wǎng)絡(luò)作為一個(gè)DHCP效勞器，或者切斷效勞器電源〕數(shù)據(jù)竊取〔例如，偷竊膝上型電腦或嗅探內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包〕運(yùn)行惡意代碼〔例如在內(nèi)部啟動(dòng)蠕蟲(chóng)程序，散播病毒〕竊取關(guān)鍵的平安信息〔例如備份磁帶、操作手冊(cè)和網(wǎng)絡(luò)圖，員工通信錄〕32防止信息泄露33規(guī)劃網(wǎng)絡(luò)平安3435FirewallInternet應(yīng)用案例

-小型網(wǎng)絡(luò)或分公司的配置企業(yè)內(nèi)部網(wǎng)絡(luò)36實(shí)施案例

——北京市環(huán)保局InternetISAServer100臺(tái)工作站ISAServer2000TrendMicroInterScan37Internet內(nèi)部網(wǎng)絡(luò)DMZ區(qū)ISA效勞器38實(shí)施案例

----新晨集團(tuán)

(brilliance)ISAServer2000InternetInternalNetworkPerimeterNetworkMailServer&DNSWebServer39應(yīng)用范例

–

廣域網(wǎng)絡(luò)的配置總部分支機(jī)構(gòu)ISAISP40DMZ方式2:“背靠背〞模式Internet內(nèi)部網(wǎng)DMZ區(qū)Web效勞器數(shù)據(jù)庫(kù)效勞器ISA效勞器ISA效勞器41InternetISAServer陣列FireWall(硬件)DMZ內(nèi)部網(wǎng)(2000+工作站)實(shí)施案例

——中國(guó)農(nóng)業(yè)部信息中心42復(fù)雜網(wǎng)絡(luò)中ISA的配置多個(gè)VLAN,基于第三層交換ISAServer作為交換機(jī)的默認(rèn)網(wǎng)關(guān)設(shè)置靜態(tài)路由擴(kuò)大LAT范圍43實(shí)施案例

----北京許繼電氣44ISA和VPN在遠(yuǎn)程網(wǎng)絡(luò)的部署Internet遠(yuǎn)程客戶(hù)端VPN服務(wù)器遠(yuǎn)程網(wǎng)絡(luò)ISA服務(wù)器Web服務(wù)器可以選擇讓VPN效勞器和ISA安裝在同一臺(tái)機(jī)器上或分開(kāi)45實(shí)施案例

----北京市某旅游部門(mén)IDC機(jī)房/固定IPVPNVPNOffice-1Office-2Office-3撥號(hào)線(xiàn)路InternetInternetInternet46規(guī)劃系統(tǒng)平安操作系統(tǒng)加固去除非必要效勞和組件去除非必要網(wǎng)絡(luò)協(xié)議應(yīng)用預(yù)定義平安模板軟硬件供給商對(duì)于自己的產(chǎn)品，一般都提供了平安配置文檔。微軟提供了豐富和翔實(shí)的產(chǎn)品平安配置指南，管理員只需遵照?qǐng)?zhí)行，即能提供高應(yīng)用系統(tǒng)的平安性。

47用戶(hù)帳號(hào)策略幾乎所有的企業(yè)都通過(guò)用戶(hù)帳戶(hù)名稱(chēng)和賬戶(hù)口令的方法來(lái)提供身份驗(yàn)證和訪問(wèn)限制。因此帳戶(hù)平安性是企業(yè)平安的根底。一定要設(shè)定口令最低長(zhǎng)度，復(fù)雜性要求，口令定期修改，帳號(hào)鎖定策略。管理員帳戶(hù)和口令策略：不要為防止自己的帳戶(hù)被鎖定，而額外創(chuàng)立高權(quán)限帳戶(hù)來(lái)作為后門(mén)不要在IT人員之間共享密碼，如果允許多個(gè)用戶(hù)使用管理員帳戶(hù)，那么一旦發(fā)生涉及該帳戶(hù)的平安事件，審計(jì)和責(zé)任區(qū)分就變得非常困難不要在外部網(wǎng)站上使用單位內(nèi)部的密碼。比方注冊(cè)Internet上的論壇和網(wǎng)上商店的會(huì)員時(shí)。因?yàn)橛脩?hù)密碼往往會(huì)與其電子郵件地址存儲(chǔ)在一起。只要利用這種存儲(chǔ)組合，攻擊者就可以確定用戶(hù)所在的工作單位、使用的用戶(hù)名〔特別是如果用戶(hù)名是SMTP地址的前綴〕及密碼。

48防病毒系統(tǒng)49修補(bǔ)程序管理只有及時(shí)修補(bǔ)操作系統(tǒng)和應(yīng)用系統(tǒng)的漏洞，才能從根本上保證平安。修補(bǔ)程序主要有3類(lèi)：ServicePack即時(shí)修復(fù)程序或QFE，QuickFixEngineering〔快速修補(bǔ)工程組，QFE〕是Microsoft的一個(gè)小組，專(zhuān)門(mén)負(fù)責(zé)編制即時(shí)修復(fù)程序，針對(duì)產(chǎn)品的代碼修補(bǔ)程序。即時(shí)修復(fù)程序經(jīng)過(guò)更嚴(yán)格測(cè)試之后被定期添加到ServicePack中，然后提供給所有用戶(hù)。平安修補(bǔ)程序：平安修補(bǔ)程序是為消除平安漏洞而設(shè)計(jì)的。部署修補(bǔ)程序的方法主要有：WindowsUpdate和AutomaticUpdateSUS軟件更新效勞〔SUS〕可以安裝在企業(yè)內(nèi)部的某臺(tái)效勞器上，讓后SUS效勞器從微軟的站點(diǎn)下載最新的修補(bǔ)程序，企業(yè)網(wǎng)絡(luò)的計(jì)算機(jī)將自動(dòng)從SUS下載并自動(dòng)安裝。腳本通過(guò)組策略部署計(jì)算機(jī)開(kāi)機(jī)腳本，使計(jì)算機(jī)在啟動(dòng)時(shí)自動(dòng)運(yùn)行腳本，安裝修補(bǔ)程序組策略組策略具有軟件分發(fā)的能力，如果得到的修補(bǔ)程序是*.msi類(lèi)型，可以通過(guò)組策略將該修補(bǔ)程序指派給指定范圍內(nèi)的計(jì)算機(jī)，如果不是，需要編寫(xiě)相應(yīng)的*.zap文件SMS50審核策略通過(guò)審核，記錄訪問(wèn)者的行為，以發(fā)現(xiàn)異常動(dòng)作并作為證據(jù)保存。一般的審核策略包括：對(duì)于重要的文件開(kāi)啟刪除和修改審核，對(duì)敏感文件開(kāi)啟讀取審核；在域上開(kāi)啟賬戶(hù)登錄事件審核，記錄用戶(hù)登錄域的活動(dòng)；在重要效勞器上開(kāi)啟登錄事件審核，記錄從網(wǎng)絡(luò)上訪問(wèn)該效勞器的活動(dòng)；在SQLServer中審計(jì)登錄事件；定期對(duì)審核記錄進(jìn)行檢查。51日志管理日志系統(tǒng)保存了操作系統(tǒng)和應(yīng)用程序的信息記錄，其中包括與平安相關(guān)的信息。做為檢測(cè)入侵的重要證據(jù)，日志需要進(jìn)行妥善的管理。一般的日志管理策略包括：足夠大的日志存儲(chǔ)空間，以記錄足夠多的日志信息；不應(yīng)啟用日志覆蓋；定期的日志轉(zhuǎn)儲(chǔ)，轉(zhuǎn)儲(chǔ)的日志需要放置在不能被再次修改的存儲(chǔ)介質(zhì)上，如只能寫(xiě)入一次的光盤(pán)，并放置在平安位置，同時(shí)按照企業(yè)平安策略的要求i，保存足夠長(zhǎng)的時(shí)間；除了操作系統(tǒng)日志外，根據(jù)需要開(kāi)啟應(yīng)用系統(tǒng)的日志，如數(shù)據(jù)庫(kù)效勞器，郵件效勞器等訪問(wèn)日志；保證在日志中記錄足夠的信息，如用戶(hù)帳戶(hù)，計(jì)算機(jī)名，IP地址等；保證計(jì)算機(jī)之間的時(shí)間同步，以準(zhǔn)確記錄時(shí)間發(fā)生時(shí)間；從軟件供給商處獲取日志代碼含義解讀文檔；使用日志分析工具協(xié)助管理員快速獲取有價(jià)值的信息52容錯(cuò)管理53備份管理備份是企業(yè)信息平安的最后一道防線(xiàn)一般的備份策略包括：設(shè)計(jì)備份方案，在兼顧性能的同時(shí)，盡可能縮短備份周期；定期測(cè)試備份設(shè)備，備份存儲(chǔ)介質(zhì)的可靠性，檢查已備份數(shù)據(jù)的完整性和可用性；劃分需要備份數(shù)據(jù)的優(yōu)先級(jí)；保存同一數(shù)據(jù)的多個(gè)備份；備份磁帶遠(yuǎn)離數(shù)據(jù)原始位置，防止災(zāi)害發(fā)生造成同時(shí)損失；備份磁帶應(yīng)存儲(chǔ)在平安位置，防止非授權(quán)訪問(wèn)；制定備份恢復(fù)方案，并進(jìn)行演練。5455抵御社會(huì)工程攻擊56平安事件響應(yīng)所有的管理員都希望能防患于未然。然而要想防止所有平安事件是不可能的，所以當(dāng)平安事件真的發(fā)生時(shí)，需要確保讓它造成的影響最小。可以采取一些預(yù)先的的措施以使平安事件的數(shù)量和影響減至最小。在該階段，分析案例中偉達(dá)公司目前的事件響應(yīng)機(jī)制存在的問(wèn)題，比方：顯然缺乏平安響應(yīng)機(jī)制，也沒(méi)有時(shí)間響應(yīng)團(tuán)隊(duì)；在未經(jīng)授權(quán)的情況下向外部人員求助；在未經(jīng)授權(quán)的情況下允許外部人員進(jìn)行平安掃描；沒(méi)有在第一時(shí)間記錄并通報(bào)平安事件的發(fā)生；沒(méi)有進(jìn)行證據(jù)保存等。57平安事件的相應(yīng)流程初步評(píng)估，發(fā)現(xiàn)平安事件的人員進(jìn)行初步評(píng)估，排除誤報(bào)可能性；內(nèi)部通報(bào)，向整個(gè)事件響應(yīng)小組進(jìn)行通報(bào)，啟動(dòng)處理機(jī)制；控制損失，采取緊急措施，防止進(jìn)一步惡化；確定攻擊類(lèi)型，以及風(fēng)險(xiǎn)等級(jí)；確定損失，確定此次平安事件影響范圍，評(píng)估對(duì)企業(yè)造成的損失；消除風(fēng)險(xiǎn)，防止該平安事件出現(xiàn)在其他系統(tǒng)或者部門(mén)；保存證據(jù)，對(duì)受到破壞的主機(jī)進(jìn)行符合法律要求證據(jù)保存；通知外部機(jī)構(gòu)，如商業(yè)伙伴，政府機(jī)關(guān)；恢復(fù)受攻擊影響系統(tǒng)；事件相關(guān)資料整理和總結(jié)。58偉達(dá)的緊急事件響應(yīng)〔1〕

事件響應(yīng)步驟采取的行動(dòng)初步評(píng)估星期一早上十點(diǎn)鐘，偉達(dá)公司的系統(tǒng)管理員李勇接到公司銷(xiāo)售部門(mén)的員工張娟的電話(huà)，說(shuō)在訪問(wèn)公司對(duì)外Web網(wǎng)站時(shí)，發(fā)現(xiàn)主頁(yè)被篡改。李勇是偉達(dá)公司的安全安全事件響應(yīng)小組的成員，公司員工已經(jīng)經(jīng)過(guò)培訓(xùn)，被要求一旦懷疑發(fā)現(xiàn)安全事件，立刻向IT部門(mén)報(bào)告。李勇接到電話(huà)后，立刻訪問(wèn)公司主頁(yè)，發(fā)現(xiàn)確實(shí)被人篡改，入侵者留下了惡作劇般的聲明，但并沒(méi)有表明身份和目的。這不是誤報(bào)。通報(bào)事件李勇立刻通過(guò)電子郵件通報(bào)了他發(fā)現(xiàn)的問(wèn)題，并電話(huà)通知了所有可以聯(lián)系到的安全小組成員。

控制損失偉達(dá)公司的安全事件響應(yīng)策略規(guī)定，在確定暴露在Internet上的某臺(tái)服務(wù)器被入侵后，要求立即斷開(kāi)該系統(tǒng)與網(wǎng)絡(luò)的連接。李勇按照此策略拔掉了網(wǎng)線(xiàn)。但是沒(méi)有考慮到對(duì)企業(yè)業(yè)務(wù)的影響，暫時(shí)沒(méi)有斷開(kāi)整個(gè)企業(yè)到Internet的連接。確定破壞程度李勇檢查了防火墻日志，檢查了郵件服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器，暫時(shí)沒(méi)有發(fā)現(xiàn)有入侵痕跡。由于該Web服務(wù)器屬于獨(dú)立的工作組，其上存在的用戶(hù)帳戶(hù)也沒(méi)有被用在其他的系統(tǒng)上，基本可以斷定該次安全事件只影響到了Web服務(wù)器。59偉達(dá)的緊急事件響應(yīng)〔2〕通報(bào)事件李勇將其后續(xù)操作及檢查結(jié)果用電子郵件通知了安全事件響應(yīng)小組的其他成員，并直接聯(lián)系了安全事件響應(yīng)小組領(lǐng)導(dǎo)人公司副總經(jīng)理張杰。

張杰指派CIO余明作為事件負(fù)責(zé)人。余明將協(xié)調(diào)安全事件響應(yīng)小組的所有活動(dòng)及其與外部的信息溝通。

余明通知IT支持小組，告訴他們?cè)?/p>

Web服務(wù)器已斷開(kāi)與網(wǎng)絡(luò)的連接，待問(wèn)題解決后才能重新連接到網(wǎng)絡(luò)上。余明還通知了行政管理層和法律顧問(wèn)。法律顧問(wèn)建議按既定步驟收集證據(jù)。保存證據(jù)余明決定根據(jù)法律顧問(wèn)的建議，在對(duì)受到入侵的Web服務(wù)器進(jìn)行進(jìn)一步入侵分析之前進(jìn)行證據(jù)收集。安全事件響應(yīng)小組中經(jīng)過(guò)培訓(xùn)負(fù)責(zé)收集法律證據(jù)的成員創(chuàng)建了該Web服務(wù)器的完全備份。一個(gè)備份被保存起來(lái)作為以后的法律證據(jù)使用。另一個(gè)備份被保存起來(lái)作為數(shù)據(jù)恢復(fù)中可能用到數(shù)據(jù)保存。按照安全策略規(guī)定，作為法律證據(jù)的備份保存在只可寫(xiě)入一次的刻錄光盤(pán)上，在密封以后與服務(wù)器上的硬盤(pán)一起放在一個(gè)安全的位置。確定攻擊的類(lèi)型合嚴(yán)重程度另一名安全事件響應(yīng)小組成員王勇，

對(duì)該Web服務(wù)器運(yùn)行了MBSA，發(fā)現(xiàn)針對(duì)IIS多個(gè)有重要的漏洞補(bǔ)丁沒(méi)有打，入侵者可能通過(guò)Unicode解碼漏洞或者索引服務(wù)漏洞成功入侵。對(duì)Web服務(wù)器的進(jìn)行HTTP日志分析發(fā)現(xiàn)，入侵者使用Unicode漏洞入侵，并記錄了入侵者的IP地址。同時(shí)使用其他安全檢查工具，對(duì)帳戶(hù)，注冊(cè)表，安全策略進(jìn)行檢查，以確定入侵者是否還進(jìn)行了其他破壞。王勇也對(duì)其他的服務(wù)器進(jìn)行了MBSA的掃描，沒(méi)有發(fā)現(xiàn)其他問(wèn)題。60偉達(dá)的緊急事件響應(yīng)〔3〕通知外部機(jī)構(gòu)信息溝通人員將此事件相關(guān)信息報(bào)告給了公安部門(mén)。同時(shí)，考慮