系统程序漏洞扫描安全评估方案.doc

目录目录 一 项目概述一 项目概述 0 1 1 评估范围 0 1 2 评估层次 0 1 3 评估方法 0 1 4 评估结果 0 1 5 风险评估手段 1 1 5 1 基于知识的分析方法 1 1 5 2 基于模型的分析方法 1 1 5 3 定量分析 2 1 5 4 定性分析 3 1 6 评估标准 3 二 网拓扑评估二 网拓扑评估 3 2 1 拓扑合理性分析 3 2 2 可扩展性分析 3 三 网络安全管理机制评估三 网络安全管理机制评估 4 3 1 调研访谈及数据采集 4 3 2 网络安全管理机制健全性检查 5 3 3 网络安全管理机制合理性检查 5 3 4 网络管理协议分析 6 四 脆弱性严重程度评估四 脆弱性严重程度评估 6 4 1 安全漏洞扫描 6 4 2 人工安全检查 8 4 3 安全策略评估 9 4 4 脆弱性识别 10 五 网络威胁响应机制评估五 网络威胁响应机制评估 10 5 1 远程渗透测试 11 六 网络安全配置均衡性风险评估六 网络安全配置均衡性风险评估 12 6 1 设备配置收集 12 6 2 检查各项 HA 配置 14 6 3 设备日志分析 15 七 风险级别认定七 风险级别认定 16 八 项目实施规划八 项目实施规划 16 九 项目阶段九 项目阶段 17 十 交付的文档及报告十 交付的文档及报告 18 可编辑协议范本 10 1 中间评估文档 19 10 2 最终报告 19 十一 安全评估具体实施内容十一 安全评估具体实施内容 20 11 1 网络架构安全状况评估 20 11 1 1 内容描述 20 11 1 2 过程任务 21 11 1 3 输入指导 21 11 1 4 输出成果 21 12 2 系统安全状态评估 21 11 2 1 内容描述 21 11 2 2 过程任务 24 11 2 3 输入指导 26 11 2 4 输出成果 26 11 3 策略文件安全评估 26 11 3 1 内容描述 26 11 3 2 过程任务 27 12 3 3 输入指导 28 12 3 4 输出成果 28 11 4 最终评估结果 28 可编辑协议范本 一 项目一 项目概述概述 1 11 1 评估范围评估范围 针对网络 应用 服务器系统进行全面的风险评估 1 21 2 评估层次评估层次 评估层次包括网络系统 主机系统 终端系统相关的安全措施 网络业务路由分配安 全 管理策略与制度 其中网络系统包含路由器 交换机 防火墙 接入服务器 网络出 口设备及相关网络配置信息和技术文件 主机系统包括各类 UNIX Windows 等应用服务器 终端系统设备 1 31 3 评估方法评估方法 安全评估工作内容 管理体系审核 安全策略评估 顾问访谈 安全扫描 人工检查 远程渗透测试 遵循性分析 1 41 4 评估结果评估结果 通过对管理制度 网络与通讯 主机和桌面系统 业务系统等方面的全面安全评估 形成安全评估报告 其中应包含评估范围中信息系统环境的安全现状 存在安全问题 潜 在威胁和改进措施 协助对列出的安全问题进行改进或调整 提供指导性的建设方案 安全现状分析报告 安全解决方案 可编辑协议范本 1 51 5 风险评估手段风险评估手段 在风险评估过程中 可以采用多种操作方法 包括基于知识 Knowledge based 的分 析方法 基于模型 Model based 的分析方法 定性 Qualitative 分析和定量 Quantitative 分析 无论何种方法 共同的目标都是找出组织信息资产面临的风险及 其影响 以及目前安全水平与组织安全需求之间的差距 1 5 11 5 1 基于知识的分析方法基于知识的分析方法 在基线风险评估时 组织可以采用基于知识的分析方法来找出目前的安全状况和基线 安全标准之间的差距 基于知识的分析方法又称作经验方法 它牵涉到对来自类似组织 包括规模 商务目 标和市场等 的 最佳惯例 的重用 适合一般性的信息安全社团 采用基于知识的分析 方法 组织不需要付出很多精力 时间和资源 只要通过多种途径采集相关信息 识别组 织的风险所在和当前的安全措施 与特定的标准或最佳惯例进行比较 从中找出不符合的 地方 并按照标准或最佳惯例的推荐选择安全措施 最终达到消减和控制风险的目的 基于知识的分析方法 最重要的还在于评估信息的采集 信息源包括 会议讨论 对当前的信息安全策略和相关文档进行复查 制作问卷 进行调查 对相关人员进行访谈 进行实地考察 为了简化评估工作 组织可以采用一些辅助性的自动化工具 这些工具可以帮助组织 拟订符合特定标准要求的问卷 然后对解答结果进行综合分析 在与特定标准比较之后给 出最终的推荐报告 1 5 21 5 2 基于模型的分析方法基于模型的分析方法 2001 年 1 月 由希腊 德国 英国 挪威等国的多家商业公司和研究机构共同组织 开发了一个名为 CORAS 的项目 即 Platform for Risk Analysis of Security Critical Systems 该项目的目的是开发一个基于面向对象建模特别是 UML 技术的风险评估框架 它的评估对象是对安全要求很高的一般性的系统 特别是 IT 系统的安全 CORAS 考虑到 可编辑协议范本 技术 人员以及所有与组织安全相关的方面 通过 CORAS 风险评估 组织可以定义 获取 并维护 IT 系统的保密性 完整性 可用性 抗抵赖性 可追溯性 真实性和可靠性 与传统的定性和定量分析类似 CORAS 风险评估沿用了识别风险 分析风险 评价并 处理风险这样的过程 但其度量风险的方法则完全不同 所有的分析过程都是基于面向对 象的模型来进行的 CORAS 的优点在于 提高了对安全相关特性描述的精确性 改善了分 析结果的质量 图形化的建模机制便于沟通 减少了理解上的偏差 加强了不同评估方法 互操作的效率 等等 1 5 31 5 3 定量分析定量分析 进行详细风险分析时 除了可以使用基于知识的评估方法外 最传统的还是定量和定 性分析的方法 定量分析方法的思想很明确 对构成风险的各个要素和潜在损失的水平赋予数值或货 币金额 当度量风险的所有要素 资产价值 威胁频率 弱点利用程度 安全措施的效率 和成本等 都被赋值 风险评估的整个过程和结果就都可以被量化了 简单说 定量分析 就是试图从数字上对安全风险进行分析评估的一种方法 定量风险分析中有几个重要的概念 暴露因子 Exposure Factor EF 特定威胁对特定资产造成损失的百分比 或者说损失的程度 单一损失期望 Single Loss Expectancy SLE 或者称作 SOC Single OccuranceCosts 即特定威胁可能造成的潜在损失总量 年度发生率 Annualized Rate of Occurrence ARO 即威胁在一年内估计 会发生的频率 年度损失期望 Annualized Loss Expectancy ALE 或者称作 EAC EstimatedAnnual Cost 表示特定资产在一年内遭受损失的预期值 考察定量分析的过程 从中就能看到这几个概念之间的关系 1 首先 识别资产并为资产赋值 2 通过威胁和弱点评估 评价特定威胁作用于特定资产所造成的影响 即 EF 取 值在 0 100 之间 3 计算特定威胁发生的频率 即 ARO 4 计算资产的 SLE SLE Asset Value EF 可编辑协议范本 5 计算资产的 ALE ALE SLE ARO 1 5 41 5 4 定性分析定性分析 定性分析方法是目前采用最为广泛的一种方法 它带有很强的主观性 往往需要凭借 分析者的经验和直觉 或者业界的标准和惯例 为风险管理诸要素 资产价值 威胁的可 能性 弱点被利用的容易度 现有控制措施的效力等 的大小或高低程度定性分级 例如 高 中 低 三级 定性分析的操作方法可以多种多样 包括小组讨论 例如 Delphi 方法 检查列表 Checklist 问卷 Questionnaire 人员访谈 Interview 调查 Survey 等 定性分析操作起来相对容易 但也可能因为操作者经验和直觉的偏差而使分析结果失准 与定量分析相比较 定性分析的准确性稍好但精确性不够 定量分析则相反 定性分 析没有定量分析那样繁多的计算负担 但却要求分析者具备一定的经验和能力 定量分析 依赖大量的统计数据 而定性分析没有这方面的要求 定性分析较为主观 定量分析基于 客观 此外 定量分析的结果很直观 容易理解 而定性分析的结果则很难有统一的解释 组织可以根据具体的情况来选择定性或定量的分析方法 1 61 6 评估标准评估标准 1 计算机网络安全管理 2 ISO15408 信息安全技术评估通用准则 3 GB 17859 1999 计算机信息系统安全保护等级划分准则 4 相关各方达成的协议 二 网拓扑评估二 网拓扑评估 2 12 1 拓扑合理性分析拓扑合理性分析 目前网络都基本采取传统的三层架构 核心 汇聚与接入 其他设备都围绕着这三层 进行扩展 各设备之间的线路基本采用千兆光纤接入方式 实现高速数据传输 降低延时 减少干扰 设备间存在冗余 从而保证各数据间传输的可靠性 各业务之间的稳定性 2 22 2 可扩展性分析可扩展性分析 核心设备 汇聚设备是否都存在部分空模板 空接口 可以满足未来几年内的扩展 可编辑协议范本 核心设备的背板带宽在高峰期间业务流量能正常通过 从中可看出目前核心设备的带 宽完全能承载当前的流量 背板带宽越大 各端口所分配到的可用带宽越大 性能越高 处理能力越快 三 网络安全管理机制评估三 网络安全管理机制评估 3 13 1 调研访谈及数据采集调研访谈及数据采集 1 整网对于核心层设备 汇聚层设备以及接入楼层设备 进行远程登录方式 本地登 录模式 特权模式的用户名与密码配置 密码都是以数字 大小写字母和字符一体化 防 止非法用户的暴力破解 即便通过其它方式获取到配置清单 也无法知道这台设备的密码 密码都是以密文的形式显示在配置清单里 这样 无论是合法用户还是恶意用户 只要没 有设备的用户名和密码都不能登录到该设备 自然也无法对设备的内容等相关配置信息进 行修改 相当于给设备安装了一层保护墙 从而保护了设备的最基本的安全性 2 整个网络采用一种统一的安全制度对网络设备 服务器集进行有效的检查 管理 实时发现网络中是否存在的一些问题 如果发现问题的存在 都会采取制定的流程及时给 予解决 使得网络设备能一直正常运行 可用性得到提高 业务流量保持稳定性状态 以 下是安全制度管理的部分选项 1 定期扫描漏洞 定期对整网服务器进行扫描 检查是否有漏洞的存在 数据的来 源 事件的分析 主机服务信息 是否存在高危险性事件 主机流量分析等 以确保网络 的安全性 2 检查版本升级 定期对整网服务器进行检查 各主机的系统版本是否最新 各主 机的软件 特别是杀毒软件 防火墙 辅助软件有没及时的更新 特征库当前是否为最新 3 策略 定期对整网服务器的密码进行检查 查看是否开启密码策略 帐户锁定策 略 本地审核策略 并作了相应的设置 4 关闭用户 定期对整网服务器进行周密的检查 是否对 GUEST 用户 长期未登录 用户进行关闭 5 关闭服务 定期对整网服务器进行松紧 是否对一些特殊的服务 如 Remote register 不需要远程登陆的主机 Terminal services 进行关闭 可编辑协议范本 3 23 2 网络安全管理机制健全性检查网络安全管理机制健全性检查 1 以目前的网络设备完全能承载整网的业务流量 可以说目前的设备性能较强 未来 随着网络规模越来越大 业务流量越来越集中 对设备性能的要求也更加严格 但以目前 的设备的处理能力 足以胜任未来几年内的扩展 并且具有一定的安全性 2 整网有统一的管理员 对网络设备进行相关的管理 每个管理员所管辖的范围不同 每个管理员负责每一部分 服务器有应用 数据库 测试 视频等 3 机房有门禁系统 机房有它制定的管理方式 进机房首先得找具有申请进机房资格 的工作人员 接着 机房中心工作人员对这条申请的信息进行审核 审核通过后 需要拿 身份证去机房门口进行登记 这样 才能进入机房查看设备 或对设备进行相关的操作 这是进机房的基本流程 4 机房里有特定的系统专门对当前设备的温度进行测量 不管是白天还是晚上 每天 24 小时都会有保安和相关的工作人员对机房设备进行定期检查 如发生问题会及时通知相 关的负责人 负责人收到消息后会及时对问题进行查看 分析 解决 最终保证整网上业 务能正常运行 5 采用 Host Monitor 系统自动对所有设备 服务器以及主机进行检测 以 PING 的方 式进行测试它的连通性 如果发现某台设备 PING 测试不通 它会及时产生报警 通过主机 把相关设备的信息映射到大屏幕液晶显示器上 以列表的模式显示 相关人员收到报警信 息后 一般会采取三个步骤来解决 1 通过打电话给服务厅 看看是否出现断电的情况 2 通知代维工作人员 检查是否为线路问题 3 如果都不是以上的问题 基本可以把问题锁在网络设备的本身或者配置上的问题 通知相关人员去检查 3 33 3 网络安全管理机制合理性检查网络安全管理机制合理性检查 机房的整体架构 各个核心层设备 汇聚层设备以及其他设备所摆放的物理位置 从 消防 防潮 防雷 排气等安全措施都布置到位 布线整齐 合理 具有相当的专业水平 网线以不同的颜色来区分所在设备的重要性 比如在交换机与交换机的级连一般用蓝色来 表示 交换机的端口与 PC 网卡相连接时用灰色 交换机与其他设备相连除了有时用光纤外 一般用黄色来或绿色来表示 而且 对每个机架机架 设备以及连接的网线都打上标签 可编辑协议范本 当某时候网络物理出现问题时 比如线松了 或是线掉了 线插反了等等 因为之前对相 关的设备 网线都贴上标签 这样可以很方便的查找到故障点 并进行定位 容易排除故 障 每一排机架集按大写英语字母来标记所在的行号 每一排机架集包括 10 来个机架 分 别用所在的行号 数字来标记 比如我所要找的机架在第二行第 5 个位置 标记为 B5 直 接找到 B5 就可以了 室内温度调整适当 当设备温度过大时 会自动出现告警 3 43 4 网络管理协议分析网络管理协议分析 1 统一对整个网络所有设备进行监控 收集信息以及管理 其他的网络设备作为代理 者 通过自定的 Trap 类型向管理者发送最新的信息状况 以保持整网设备能正常运行 2 经过对 SNMP 配置进行分析 了解到目前 SNMP 在整网中的作用 以及 SNMP 在各种 重要设备里都进行过哪些配置 在 SNMP 配置的共同体里 只限制某台主机对该设备进行读 取 MIB 数据库的信息 除此之外 其他的网段是否都可以对该设备的 MIB 进行读取与修改 MIB 里的信息 如果可以这样将造成基本上在所有的网段里 每个网段的所有主机都可以 对设备的 MIB 信息进行访问 甚至对该信息进行修改 四 脆弱性严重程度评估四 脆弱性严重程度评估 脆弱性评估 从技术脆弱性 管理脆弱性去评估 途径实施 1 人员访谈 2 现有文件调阅 3 现场检查 4 安全漏洞扫描 5 人工安全检查 4 14 1 安全漏洞扫描安全漏洞扫描 在网络安全体系的建设中 安全扫描工具花费代 效果好 见效快 与网络的运行相 对独立 安装运行简单 要以大规模减少安全管理的手工劳动 有利于保持全网安全政策 的统一和稳定 是进行风险分析的有力工具 可编辑协议范本 在项目中 安全扫描主要是通过评估工具以本地扫描的方式对评估范围内的系统和网 络进行安全扫描 从内网和外网两个角度来查找网络结构 网络设备 服务器主机 数据 和用户帐号 口令等安全对像目标存在的安全风险 漏洞和威胁 安全扫描项目包括如下内容 信息探测类 网络设备与防火墙 RPC 服务 Web 服务 CGI 问题 文件服务 域名服务 Mail 服务 Windows 远程访问 数据库问题 后门程序 其他服务 网络拒绝服务 DOS 其它问题 从网络层次的角度来看 扫描项目涉及了如下三个层面的安全问题 一 系统层安全 一 系统层安全 该层的安全问题来自网络运行的操作系统 UNIX 系列 Linux 系列 Windows 系列以 及专用操作系统等 安全性问题表现在两方面 一是操作系统本身的不安全因素 主要包 括身份认证 访问控制 系统漏洞等 二是操作系统的安全配置存在问题 身份认证 通过 Telnet 进行口令猜测等 访问控制 注册表普通用户可写 远程主机允许匿名 FTP 登录 FTP 服务器存在匿名 可写目录等 系统漏洞 Windows 缓冲出溢出漏洞 安全配置问题 部分 SMB 用户存在弱口令 管理员帐号不需要密码等 二 网络层安全 二 网络层安全 可编辑协议范本 该层的安全问题主要指网络信息的安全性 包括网络层身份认证 网络资源的访问控 制 数据传输的保密与完整性 远程接入 路由系统的安全 入侵检查的手段等 网络资源的访问控制 检测到无线访问点 域名系统 ISC BIND SIG 资源记录无效过期时间拒绝服务攻击漏洞 Windows DNS 拒 绝服务攻击 路由器 cisco IOS Web 配置接口安全认证可绕过 路由器交换机采用默认密码或弱 密码等 三 应用层安全 三 应用层安全 该层的安全考虑网络对用户提供服务器所采用的应用软件和数据的安全性 包括 数 据库软件 WEB 服务 电子邮件 域名系统 应用系统 业务应用软件以及其它网络服务 系统等 数据库软件 Oracle Tnslsnr 没有配置口令 MSSQL 2000 sa 帐号没有设置密码 WEB 服务 SQL 注入攻击 跨站脚本攻击 基于 WEB 的 DOS 攻击 电子邮件系统 Sendmail 头处理远程溢出漏洞 Microsoft Windows 2000 SMTP 服务 认证错误漏洞 为了确保扫描的可靠性和安全性 首先制定扫描计划 计划主要包括扫描开始时间 扫描对象 预计结束时间 扫描项目 预期影响 需要对方提供的支持等等 在实际开始评估扫描时 评估方会正式通知项目组成员 奥怡轩按照预定计划 在规 定时间内进行并完成评估工作 如遇到特殊情况 如设备问题 停电 网络中断等不可预 知的状况 不能按时完成扫描计划或致使扫描无法正常进行时 由双方召开临时协调会协 商予以解决 4 24 2 人工安全检查人工安全检查 安全扫描是使用风险评估工具对绝大多数评估范围内主机 网络设备等系统环境进行 的漏洞扫描 但是 评估范围内的网络设备安全策略的弱点和部分主机的安全配置错误等 并不能被扫描器全面发现 因此有必要对评估工具扫描范围之外的系统和设备进行手工检 查 路由器的安全检查主要考虑以下几个方面 帐号口令 网络与服务 可编辑协议范本 访问控制策略 日志审核策略 空闲端口控制 交换机的安全检查主要考虑以下几个方面 帐号口令 网络与服务 VLAN 的划分 主机的安全检查主要考虑以下几个方面 补丁安装情况 帐号 口令策略 网络与服务检查 文件系统检查 日志审核检查 安全性检查 1 安全扫描 此阶段通过技术手段评估系统中的漏洞 对撑握整个被评估系统的安全状态提供重要 数据 被扫描的系统有 Windows 系统 Linux 系统 Unix 客服热线系统 在安全扫描阶段使用的主要工具有 Internet Scanner NESSUS Acunetix Web Vulnerability Scanner 扫描过程中可能会导致某些服务中断 双方应该事先做好协调工作 并做好应急处理 方案 在发现问题后及时上报 并及时恢复系统的运行 4 34 3 安全策略评估安全策略评估 安全策略是对整个网络在安全控制 安全管理 安全使用等方面最全面 最详细的策 可编辑协议范本 略性描述 它是整个网络安全的依据 不同的网络需要不同的策略 它必须能回答整个网 络中与安全相关的所有问题 例如 如何在网络层实现安全性 如何控制远程用户访问的 安全性 在广域网上的数据传输如何实现安全加密传输和用户的认证等 对这些问题帮出 详细回答 并确定相应的防护手段和实施方法 就是针对整个网络的一份完整的安全策略 策略一旦制度 应做为整个网络行为的准则 这一步工作 就是从整体网络安全的角度对现有的网络安全策略进行全局的评估 它 也包含了技术和管理方面的内容 具体包括 1 安全策略是否全面覆盖了整体网络在各方面的安全性描述 2 在安全策略中描述的所有安全控制 管理和使用措施是否正确和有效 3 安全策略中的每一项内容是否都得到确认和具体落实 4 4 4 4 脆弱性识别脆弱性识别 类型类型识别对象识别对象识别内容识别内容 物理环境 从机房场地 防火 供配电 防静电 接地与防雷 电磁 防护 通信线路的保护 区域防护 设备管理等方面进行 识别 网络结构 从网络架构设计 边界保护 外部访问控制策略 内部访 问控制策略 网络设备安全配置等方面进行识别 系统软件 从补丁安装 物理保护 用户帐号 口令策略 资源共享 事件审计 访问控制 新系统配置 注册表加固 网络安 全 系统管理等方面进行识别 应用中间件从协议安全 交易完整性 数据完整性等方面进行识别 技术脆弱性 应用系统 从审计机制 审计存储 数据完整性 通信 鉴别机制 密码保护等方面进行识别 技术管理 从物理和环境安全 通信与操作管理 访问控制 系统开 发与维护 业务连续性等方面进行识别 管理脆弱性 组织管理 从安全策略 组织安全 资产分类与控制 人员安全 符 合性等方面进行识别 脆弱性赋值 赋值赋值标识标识定义定义 5很高如果被威胁利用 将对资产造成完全损害 4高如果被威胁利用 将对资产造成重大损害 3中等如果被威胁利用 将对资产造成一般损害 2低如果被威胁利用 将对资产造成较小损害 1很低如果被威胁利用 将对资产造成的损害可以忽略 可编辑协议范本 五 网络威胁响应机制评估五 网络威胁响应机制评估 防火墙称得上是安全防护的防线 防火墙对于企业网络的安全 已经无法实施 100 的 控制 对于合法内容中混入的可疑流量 DoS 攻击 蠕虫病毒 间谍软件等威胁 几乎没 有有效的反击措施 入侵检测与防御系统进行检测网络攻击 与防火墙进行联动 利用现 有的入侵检测防御系统对网络攻击进行测试 来检验针对网络威胁的能力 5 15 1 远程渗透测试远程渗透测试 渗透测试是指在获取用户授权后 通过真实模拟黑客使用的工具 分析方法来进行实 际的漏洞发现和利用的安全测试方法 这种测试方法可以非常有效地发现最严重的安全漏 洞 尤其是与全面的代码审计相比 其使用的时间更短 也更有效率 在测试过程中 用 户可以选择渗透测试的强度 例如不允许测试人员对某些服务器或者应用进行测试或影响 其正常运行 通过对某些重点服务器进行准确 全面的测试 可以发现系统最脆弱的环节 以便对危害性严重的漏洞及时修补 以免后患 奥怡轩评估小组人员进行渗透测试都是在业务应用空闲的时候 或者在搭建的系统测 试环境下进行 另外 评估方采用的测试工具和攻击手段都在可控范围内 并同时充分准 备完善的系统恢复方案 网络攻击 利用工具或技术通过网络对信息系 统进行攻击和入侵 网络探测和信息采集 漏洞探测 嗅 探 用户身份伪造和欺骗 用户或业 务数据的窃取和破坏 系统运行的控 制和破坏等 物理攻击 通过物理的接触造成对软件 硬件 和数据的破坏等 物理接触 物力破坏 盗窃等 泄密信息泄露给不应该了解的他人内部信息泄露 外部信息泄露等 篡改 非法修改信息 破坏信息的完整性 使系统的安全性降低或信息不可用 篡改网络 系统 安全配置信息 篡 改用户身份信息和业务数据信息等 抵赖 不承认收到的信息和所作的操作 交易 原发抵赖 接受抵赖 第三方抵赖等 威胁赋值 赋值标识定义 5很高 出现的频率很高 或不少于 1 次 周 或在大多数情况下几乎不可避 免 或可以证实经常发生过 4高 出现的频率较高 或不少于 1 次 月 或在大多数情况下很有可能会 发生 或可以证实多次发生过 3中等 出现的频率中等 或大于 1 次 半年 或在某种情况下可能会发生 或被证实曾经发生过 可编辑协议范本 2低出现的频率较小 或一般不太可能发生 或没有被证实发生过 1很低威胁几乎不可能发生 或仅可能在非常罕见或例外的情况下发生 六 网络安全配置均衡性风险评估六 网络安全配置均衡性风险评估 6 16 1 设备配置收集设备配置收集 1 核心层交换机目前的网络状态正常 在配置上也针对某些安全方面的问题进行布置 具体情况都做了详细的说明 以下是核心层交换机配置上的一些安全防护措施 1 核心交换机进入特权模式需要密码 对它进行了密文的设置 2 对核心交换机的虚拟线路进行密码的设置 远程登录需要输入密码 3 使用 UDLD 对某些端口进行链路的检测 以减少丢包的概率 4 在核心交换机上全局下关闭禁用 Http Server 防止非法入侵 5 全局下开启 Bpdu Guard 因为核心交换机在全局下开启 Portfast 特性 2 核心层交换机的稳定性直接关系到整个网络数据流量能否正常通过 核心层交换机 的安全性问题自然会影响到能否一直保持稳定的状态 起到至关的作用 保护好核心交换 机的安全问题很大原因其实是在保护核心交换机的稳定性 做好安全防护工作 保护好核 心交换机的稳定性成为我们规则的焦点 下面是对本核心层交换机的安全防护问题进行完 善 从而提高核心层交换机的安全性 3 使用 SSH 来作为远程的登录 使用 TELNET 进行远程登录 Telnet 会话中输入的 每个字符都将会被明文发送 这将被像 Sniffer 这样的抓包软件获取它的用户名 密码等 敏感信息 因此 使用安全性更高的 SSH 加密无疑比使用 Telnet 更加安全 4 在虚拟线路中对远程登录的最大连接数进行限制 默认 一般情况下网络设备会开 放 5 15 个虚拟的连接线路 不过 不同厂商 不同型号 所开放的虚拟线路连接数也都不 一样 可以通过登录到此设备 可以用远程登陆或本地登陆 在该设备上对配置进行查看 再根据实际情况进行修改 一般情况下 很多人都没有对远程登陆范围进行限制 这样使 得每个人都有机会去 TELNET 这多少给了恶意用户提供攻击的机会 比如可以使用 SYN Flood 攻击 它伪造一个 SYN 报文 伪造一个源地址或者不存在的地址 通过向服务器发起连接 服务器在收到报文后用 SYN ACK 应答 而此应答发出去后 服务器就等待源发个 ACK 的确 认包过来后以完成三次握手 建立起连接 但是 攻击者使用的源是一个不存在或是伪造 可编辑协议范本 的地址 服务器将永远不会收到攻击者发送过来的 ACK 报文 这样将造成一个半连接 如 果攻击者发送大量这样的报文 会在被攻击主机上出现大量的半连接 消耗所有的资源 使得正常的用户无法对其访问 直到半连接超时 才会慢慢释放所有的资源 简单一点的 说 SYN Flood 利用 TCP 的三次握手来让服务器保持 N 个半个连接数 以消耗掉服务器系 统的内存等资源 对远程登录的范围用访问列表进行控制 起到一定的安全性 5 为了防范交换机上一些恶意攻击行为 禁用所有未用的端口 以免因为一些无知行 为或误操作 导致一切都无法预料的后果 比如将交换机两个端口用网线直接连接 这样 将导致整个交换机的配置数据被清除 交换机的配置一瞬间全清空 这样将导致业务中断 如果之前有对交换机的相关配置信息进行备份 还可以在短时间内还原 要是没有 只能 使得网络中断的时间加长 而且 关闭端口也能在一定程度上防范恶意用户连接此端口并 协商中继模式 当恶意用户连接端口 冒充成另外一台交换机发送虚假的 DTP 协商消息 真实的交换机收到这个 DTP 消息后 比较下参数 一旦协商成中断模式后 恶意用户通过 探测信息流 当有流量经过时 所有通过此交换机上所有 VLAN 信息都会被发送到恶意用户 的电脑里 6 为提高安全 最好把暂时不需要用到的服务都关闭掉 因为它们都很有可能成为安 全漏洞 恶意用户利用这些安全漏洞进整个网络实行攻击等非法行为 以达到一定的目的 核心交换机的配置中已经对 Http Server 这个服务进行禁用 下面是一些经常被攻击者利 用的服务 以对其进行攻击 建议把下面的服务也都一一禁用掉 禁用 IP 源路由 no ip source route 禁用小的 UDP 服务 no service udp small s 禁用小的 TCP 服务 no service tcp small s 7 核心交换机的作用至关重要 因为它影响到整个网络的正常运行 这里有两种情况 第一种情况当一台新的交换机接入到这个网络 因对网络拓扑不熟悉 配置错误 使 得新交换机成为根网桥 新交换通过宣告 VLAN 信息让整个域的其他交换机都能学习到 这 将使得整网流量全导向新交换机 第二种情况 交换机默认都是 SERVER 模式 在这里以域中只有一台 SERVER 模式 新 交换机模式为 CLIENT 当新的交换机加入网络中 因为它的修订版本号比较高 这里的修 订版本号用来标识交换机的更新信息 修改版本号越高 它的 VLAN 信息流越新 与交换机 的模式无关 修订版本号可以通过增加 删除 修改 VLAN 信息等等来增加它的数值 交换机 可编辑协议范本 之间通过发送 BPDU 比较它们的参数 包括修订版本号 通过比较得出修订版本号高的交 换机 作为整个域中 VLAN 信息的标配 当新交换机的修订版本号高于处在根网桥的交换机 时 它不会去学习根网桥宣告过来的 VLAN 信息 当 SERVER 通过 BPDU 包的交换后得知新交 换机的修订版本号比较高 它通过 BPDU 包学习到新交换机的 VLAN 信息 并在整个域中把 此 VLAN 信息进行宣告出去 整网中所有交换机的原来 VLAN 信息全被删除 都学习到 SERVER 交换机发送过来的最新 VLAN 信息流 这两种方式都直接导致网络流量的导向 使得网络中交换机所学到的 VLAN 信息不全 网络资源的浪费 网络部分业务的中断 甚至网络的环路 为了防范以上的问题 需要布 置根防护 当根网桥在启用根防护的端口上接收到其他交换机发送过来的 BPDU 不管修订 版本号是多高 根网桥不对此包作处理 直接端将口进入 不一致 的 STP 状态 并且交换 机不会从这个端口转发流量 这种方法能够有效地巩固根网桥的位置 还能够有效的避免 第 2 层环路 它能将接口强制为指定端口 进而能够防止周围的交换机成为根交换机 当 新交换机接入网络时 先将交换机的模式设置为透明模式 再把它改为客户模式 从而保 证不会出现以上所说的情况 6 26 2 检查各项检查各项 HAHA 配置配置 1 核心层交换机上开启了 HSRP 协议 在汇聚层华为设备上配置了 VRRP 协议 因为 HSRP 是思科私有 所以华为只能使用业界的 VRRP 在两台核心交换机上 对 VLAN 的 SVI 口进行配置 HSRP 是一种热备份路由网关协议 具有很高的可靠性 它通过双方预先设定好的虚拟 IP 地址 发送 HELLO 数据包 经过一系列的状态比较 最终协商出谁是 Active 谁是 Standby HSRP 相当于是台虚拟的路由器 有自己的虚拟 IP 地址及 MAC 地址 终端用户将 这虚拟的 IP 地址作为网关 默认情况下 只有 Active 路由器在工作 Standby 路由器一直处在空闲状态之中 双 方每 3S 会发送 HELLO 去侦测对方以确定对方是否存在 当 10S 过后 还没收到对方发送过 来的 HELLO 包 Standby 会认为对方设备出现故障或者对方已经不存在 这时它会把自己 的状态从 standby 变为 active 这对于终端的用户是透明的 保证终端用户数据能得到可 靠的传输 当一台设备链路出现问题 HSRP 只需要经过一个邻居状态 standby active 能 快速的切换到另一台设备 用户的可用性得到保障 HSRP 还可以对整个网络进行负载分担 VRRP 是业界定义的一种类似于 HSRP 的网关冗 可编辑协议范本 余协议 功能与作用基本与 HSRP 相同 区别在于 VRRP 可以使用物理的 IP 地址作为虚拟 IP 地址 VRRP 的状态机相比起 HSRP 减少很多等 2 通过对核心交换机 HSRP 协议的配置进行分析 HSRP 全都是在 VLAN 的 SVI 接口里 进行配置 在主核心交换机中设定一个共同的虚拟 IP 地址 并对它的优先级进行设定 开 启 HSRP 的抢占性 在另一台核心交换机也是同样的配置 只是优先级不同 这样 当它们 发送 HEELO 包选举行 先比较优先级 优先级一样再比较 IP 地址 IP 地址较高的为 Active 当 Active 设备出现故障时 Standby 会马上切换过来变为 Active 原来的核心 交换机恢复正常时 会自动把 Active 的主动权抢占过来 如果核心交换机的外口出现故障 因为没有对外边的接口进行跟踪的配置 这样会造 成黑洞的产生 数据包的丢失 在两台核心交换机中并没有起到流量的负载分担 正常情 况下 一台路由器处在忙碌状态 另一台路由器一直处在空闲状态中 等待着监测着 Active 路由器的工作状态 在汇聚层两台华为设备的交换机中 配置 VRRP 并没有配置抢 占性 对外口进行追踪 但发现故障时 优先级会自动减少 30 因为没有配置抢占性 备 份设备不会进行抢占 使得主设备对外追踪没有多大的意义 反而又多了丢包率 3 在配置 HSRP 协议的两台交换机上 终端 PC 通过两台交换机去访问内部的资源时 终端 PC 的网关指向两台交换机协商设置的虚拟 IP 地址 在同一时间 两台交换机 只有 一台交换机处在 Active 状态 另一台交换机一直处在 Idle 状态 当数据包穿越交换机去 访问网络资源 把交换机与终端 PC 相连的接口线拔掉 处于 Active 的交换机突然因为接 口松动而导致中断 处在 Idle 状态的交换机快速切换成 Active 继续让链路保持不中断 的状态 对于终端用户 完全感觉不到刚刚链路已经中断 访问网络的资源没有任何的影 响 再把刚刚拔掉的接口再插回去 因为 HSRP 配置了抢占性 主设备通过发送 HELLO 比较 立马 Active 的主动权抢占回来 6 36 3 设备日志分析设备日志分析 通过对防火墙的日志导出 对日志进行检查 目前防火墙每天产生的日志信息条数过 多 仔细分析日志的其中一部分 防火墙日志记录了穿越它的流量信息 几乎所有的流量 都是属于正常日志信息 正常日志信息占满了整个防火墙的日志栏 日志记录的信息包括 本设备的型号 IP 地址 日期时间 日志开始的日期与时间 持续的时间段 源 IP 地址 源端口 目标 IP 地址 目标端口 Xlated 以及发送与接收的数据包状态等 正常的日志 可编辑协议范本 信息意味着网络运行的状态正常 没有存在一些恶意的攻击 下面是防火墙的一些日志信 息 都属于正常的日志 七 风险级别认定七 风险级别认定 网络安全管理是一项系统工程 要从根本上去规避安全风险 则必须对整个网络安全 体系进行系统化的分析 从管理和技术两大方面入手 双管齐下 必须变被动为主动 提 早发现问题 解决问题 尽可能杜绝安全管理上的漏洞 通过将现有制度按体系分层归类 找出现有制度及运作的存在问题 和国际标准 ISO17799 进行对比 提出修补意见 根据现有的制度 建立安全管理指导的框架 方便各 中心根据自身实际形成必要的安全指导制度 技术性的系统安全扫描报告 技术性的系统安全加固方案 关键系统基线检查报告 远程渗透测试报告 ISO27001 差距分析 网络安全机制评估报告 八 项目实施八 项目实施规划规划 表 1 项目实施规划 序号工作名称详细 项目启动会 1项目准备 安全评估前的培训 使用扫描工具进行安全扫描 远程渗透测试 对系统进行基线检查 对系统相关人员进行访谈 2安全评估 对管理制度进行审查 技术上的工具扫描结果 远程渗透测试 基线检查结果 分析 管理层面的漏洞分析 3企业安全现状分析 差距分析 与 ISO27001 做比较 可编辑协议范本 在技术层面上使用技术手段对系统进行安全加固 4安全加固 在管理层面上制定合理的管理制度 5评估结束后的培训针对当前企业存在的安全问题做一次有针对性的培训 6项目后期的宣传工作 通过 FLASH 海报等方式加强安全方面的宣传教育工作 九 项目阶段九 项目阶段 第一阶段 前期准备阶段第一阶段 前期准备阶段 项目计划 需求调研 确定项目目标和详细范围 完成详细方案设计 项目前期沟通与培训 第二阶段 评估实施第二阶段 评估实施 技术评估 策略文档及规范审查 第三阶段 评估报告和解决方案第三阶段 评估报告和解决方案 数据整理和综合分析 安全现状报告 安全解决方案 第四阶段 支持和维护第四阶段 支持和维护 系统加固 安全培训 定期回复 抽样远程二次评估 实施安全评估的整个过程如下图所示实施安全评估的整个过程如下图所示 可编辑协议范本 前期准备 技术评估 数据分析 评估报告 准备所需资源 进行前期培训 主要是介绍信息安全基本意识和管 理知识 介绍安全评估项目实施过程和方法 网络整体架构安全性评估 漏洞扫描 渗透测试 重点主机本地安全审查 安全措施的有效性审查 需要分析的信息包括 安全管理调查分析结果 漏洞扫描和主机审计结 果 文档审查结果 人员访谈结果等 描述评估过程 指出发现的问题 给出推荐意见 编写一系列安全评估报告 提出信息安全整改意见和建议方案 后期培训 回顾整个项目实施的过程 会议陈述 提交评估报告和建议方案 展望今后工作 策略文档及规范审查 提供信息安全相关文件资料 行业规范和特殊要求 进行文件审查 进行符合性调查 分析缺失和问题所在 总结与陈述 进行系统的安全培训 包括 信息安全技术培训 信息安全管理规范和方法培训等 十 交付的文档及报告十 交付的文档及报告 在实施阶段 会产生各种报告在实施阶段 会产生各种报告 可编辑协议范本 10 110 1 中间评估文档中间评估文档 网络架构整体安全分析评估报告 系统漏洞扫描报告 包括服务器 网络设备 PC 机 安全设备等 技术性弱点综合评估报告 安全策略文档体系评估报告 10 210 2 最终报告最终报告 安全评估整体结果报告 安全整体解决方案建议 系统安全加固建议方案 工具扫描 人工评估 策略评估 安全审计 网络架构 系统评估 网络 扫描报 告 人工 评估报 告 策略 文档评 估报告 安全 审计报 告 网络 架构报 告 系统 评估报 告 归纳 整 理 分析 安全 评估报 告 解决 方案建 议 需求分 析 可编辑协议范本 十一 安全评估具体实施内容十一 安全评估具体实施内容 11 111 1 网络架构安全状况评估网络架构安全状况评估 11 1 111 1 1 内容描述内容描述 网络架构安全评估主要涉及到以下几个方面的内容 网络拓扑和协议 网络拓扑和协议 拓扑结构合理性分析 可扩展性分析 对周边接入的全面了解 安全域划分的级别 信任网络或者不信任网络之间是否有控制 控制本身带来的安全程度以及是否有可以绕过 控制的途径 所采用的路由协议 是否存在配置漏洞 冗余路由配置情况 路由协议的信 任关系 对网络管理相关协议的分析整理 对业务应用相关协议的分析整理 各网络节点 包括接入节点 的安全保障措施 网络安全管理机制 网络安全管理机制 网络的安全策略是否存在 以及是否和业务系统相互吻合 有无合理的安全制度作为 保障 网络体系架构是如何进行管理的 是否有良好的机制和制度保障网络架构本身不被 改变 没有非法的不符合安全策略的架构改变 网络设备 BUG 的检查处理机制 即系统管 理人员接收到或者发现网络设备存在 BUG 的时候 是否有一个流程可以处理 网络安全事 件紧急响应措施 网络防黑常用配置的资料整理 分类和准备 网络故障的分析手段的资 料整理 分类和准备 针对网络架构 协议和流量的安全审计制度和实施情况调查 网络认证与授权机制 网络认证与授权机制 网络服务本身提供的密码和身份认证手段 系统是否还要其它密码和身份认证体系 在相关的网络隔离点 是否有恰当的访问控制规则设立 是否被有效的执行 是否有集中 的网络设备认证管理机制 是否被正确的配置和执行 网络加密与完整性保护机制 网络加密与完整性保护机制 数据加密传输 完整性校验的实现 网络对抗与响应机制 网络对抗与响应机制 是否有漏洞的定期评估机制和入侵检测和记录系统的机制 网络建设中是否良好的考 虑了网络的高可用性和可靠性问题 是否被正确使用和良好的配置 是否有机制保障不被 修改 网络安全配置均衡性分析 网络安全配置均衡性分析 可编辑协议范本 安全机制本身配置是否不合理或者存在脆弱性 11 1 211 1 2 过程任务过程任务 提交网络拓扑图 并对网络流量 安全机制进行说明 对相关人员进行访谈 问题涉及网络架构与协议 网络安全管理规定 网络安全 机制的使用等 现场参观和调查 编写网络架构安全评估报告 11 1 311 1 3 输入指导输入指导 目标系统网络拓扑图 必要的网络运营记录信息 11 1 411 1 4 输出成果输出成果 网络架构整体安全分析评估报告 12 212 2 系统安全状态评估系统安全状态评估 11 2 111 2 1 内容描述内容描述 技术评估旨在发掘目标系统现有的技术性漏洞 评估方法主要有三种 自动化漏洞扫 描 渗透测试 本地安全审查 使用专用的扫描工具进行漏洞扫描 可扫描的系统和漏洞类别如下 WindowsWindows 9X NT 20009X NT 2000 扫描后门 BackOrifice CDK 等 扫描 Remote Control 程序 NetBus 等 扫描在 NetBIOS 服务上的各种漏洞 通过获取用户目录的登录入侵 扫描共享文件夹漏洞 共享权限等 扫描 Remote Registry AutoLogon 等 扫描 SNMP 漏洞 Community Name 读 写 扫描 FTP 漏洞 Anonymous guest 可编辑协议范本 扫描 UNIX Orient 服务 X Window TFTP 等 扫描 Echo Time Chargen 等不必要的服务 UNIX LinuxUNIX Linux 扫描后门 Trinoo 扫描 SMTP 版本及各种漏洞 扫描对 Rcommand rsh rlogin rexec telnet 的 Brute force Attack 扫描 FTP TFTP 服务器的各种漏洞 SNMP 漏洞扫描 Community Name 读 写 扫描 DNS 服务 bind 的漏洞 扫描 RPC 服务的各种漏洞 NFS 共享 NIS 等 扫描 X Window 服务器远程漏洞 扫描 Echo Time Chargen 等不必要的服务 还有 Finger Gopher POP3 SSH 等危险服务 网络设备网络设备 扫描通讯设备 Router Switching Hub F W 等的安全状况 扫描 SNMP 漏洞 Community Name 读 写 扫描 ICMP 漏洞 TimeStamp 等 扫描测试各种 Stealth Port 扫描默认密码的 Brute Force 攻击 应用系