一、项目概述 ................................................... 错误!未定义书签。 评估范围 ....................................................... 错误!未定义书签。 评估层次 ....................................................... 错误!未定义书签。 评估方法 ....................................................... 错误!未定义书签。 评估结果 ....................................................... 错误!未定义书签。 风险评估手段 ................................................... 错误!未定义书签。
基于知识的分析方法 ........................................... 错误!未定义书签。 基于模型的分析方法 ........................................... 错误!未定义书签。 定量分析 ..................................................... 错误!未定义书签。 定性分析 ..................................................... 错误!未定义书签。
评估标准 ....................................................... 错误!未定义书签。 二、网拓扑评估 ................................................. 错误!未定义书签。 拓扑合理性分析 ................................................. 错误!未定义书签。 可扩展性分析 ................................................... 错误!未定义书签。 三、网络安全管理机制评估 ........................................ 错误!未定义书签。 调研访谈及数据采集 ............................................. 错误!未定义书签。 网络安全管理机制健全性检查 ..................................... 错误!未定义书签。 网络安全管理机制合理性检查 ..................................... 错误!未定义书签。 网络管理协议分析 ............................................... 错误!未定义书签。 四、脆弱性严重程度评估 .......................................... 错误!未定义书签。 安全漏洞扫描 ................................................... 错误!未定义书签。 人工安全检查 ................................................... 错误!未定义书签。 安全策略评估 ................................................... 错误!未定义书签。
脆弱性识别 ..................................................... 错误!未定义书签。 五、网络威胁响应机制评估 ........................................ 错误!未定义书签。 远程渗透测试 ................................................... 错误!未定义书签。 六、网络安全配置均衡性风险评估 .................................. 错误!未定义书签。 设备配置收集 ................................................... 错误!未定义书签。 检查各项HA配置 ................................................ 错误!未定义书签。 设备日志分析 ................................................... 错误!未定义书签。 七、风险级别认定................................................ 错误!未定义书签。 八、项目实施规划................................................ 错误!未定义书签。 九、项目阶段 ................................................... 错误!未定义书签。 十、交付的文档及报告 ............................................ 错误!未定义书签。 中间评估文档 ................................................... 错误!未定义书签。 最终报告 ....................................................... 错误!未定义书签。 十一、安全评估具体实施内容 ...................................... 错误!未定义书签。 网络架构安全状况评估 ........................................... 错误!未定义书签。
内容描述 ..................................................... 错误!未定义书签。 过程任务 ..................................................... 错误!未定义书签。 输入指导 ..................................................... 错误!未定义书签。 输出成果 ..................................................... 错误!未定义书签。
系统安全状态评估 ............................................... 错误!未定义书签。
内容描述 ..................................................... 错误!未定义书签。 过程任务 ..................................................... 错误!未定义书签。 输入指导 ..................................................... 错误!未定义书签。 输出成果 ..................................................... 错误!未定义书签。
策略文件安全评估 ............................................... 错误!未定义书签。
内容描述 ..................................................... 错误!未定义书签。 过程任务 ..................................................... 错误!未定义书签。 输入指导 ..................................................... 错误!未定义书签。 输出成果 ..................................................... 错误!未定义书签。
最终评估结果 ................................................... 错误!未定义书签。
一、项目概述
评估范围
针对网络、应用、服务器系统进行全面的风险评估。
评估层次
评估层次包括网络系统、主机系统、终端系统相关的安全措施,网络业务路由分配安全,管理策略与制度。其中网络系统包含路由器、交换机、防火墙、接入服务器、网络出口设备及相关网络配置信息和技术文件;主机系统包括各类UNIX、Windows等应用服务器;终端系统设备。
评估方法
安全评估工作内容:
管理体系审核; 安全策略评估; 顾问访谈; 安全扫描; 人工检查; 远程渗透测试; 遵循性分析;
评估结果
通过对管理制度、网络与通讯、主机和桌面系统、业务系统等方面的全面安全评估,形成安全评估报告,其中应包含评估范围中信息系统环境的安全现状、存在安全问题、潜在威胁和改进措施。协助对列出的安全问题进行改进或调整,提供指导性的建设方案:
《安全现状分析报告》 《安全解决方案》
风险评估手段
在风险评估过程中,可以采用多种操作方法,包括基于知识(Knowledge-based)的分析方法、基于模型(Model-based)的分析方法、定性(Qualitative)分析和定量
(Quantitative)分析,无论何种方法,共同的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。
基于知识的分析方法
在基线风险评估时,组织可以采用基于知识的分析方法来找出目前的安全状况和基线安全标准之间的差距。
基于知识的分析方法又称作经验方法,它牵涉到对来自类似组织(包括规模、商务目标和市场等)的“最佳惯例”的重用,适合一般性的信息安全社团。采用基于知识的分析方法,组织不需要付出很多精力、时间和资源,只要通过多种途径采集相关信息,识别组织的风险所在和当前的安全措施,与特定的标准或最佳惯例进行比较,从中找出不符合的地方,并按照标准或最佳惯例的推荐选择安全措施,最终达到消减和控制风险的目的。
基于知识的分析方法,最重要的还在于评估信息的采集,信息源包括: 会议讨论;
对当前的信息安全策略和相关文档进行复查; 制作问卷,进行调查; 对相关人员进行访谈; 进行实地考察;
为了简化评估工作,组织可以采用一些辅助性的自动化工具,这些工具可以帮助组织拟订符合特定标准要求的问卷,然后对解答结果进行综合分析,在与特定标准比较之后给出最终的推荐报告。
基于模型的分析方法
2001 年1 月,由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开发了一个名为CORAS 的项目,即Platform for Risk Analysis of Security Critical Systems。该项目的目的是开发一个基于面向对象建模特别是UML 技术的风险评估框架,它的评估对象是对安全要求很高的一般性的系统,特别是IT 系统的安全。CORAS 考虑到技术、
人员以及所有与组织安全相关的方面,通过CORAS 风险评估,组织可以定义、获取并维护IT 系统的保密性、完整性、可用性、抗抵赖性、可追溯性、真实性和可靠性。
与传统的定性和定量分析类似,CORAS 风险评估沿用了识别风险、分析风险、评价并处理风险这样的过程,但其度量风险的方法则完全不同,所有的分析过程都是基于面向对象的模型来进行的。CORAS 的优点在于:提高了对安全相关特性描述的精确性,改善了分析结果的质量;图形化的建模机制便于沟通,减少了理解上的偏差;加强了不同评估方法互操作的效率;等等。
定量分析
进行详细风险分析时,除了可以使用基于知识的评估方法外,最传统的还是定量和定性分析的方法。
定量分析方法的思想很明确:对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值,风险评估的整个过程和结果就都可以被量化了。简单说,定量分析就是试图从数字上对安全风险进行分析评估的一种方法。
定量风险分析中有几个重要的概念:
暴露因子(Exposure Factor,EF)—— 特定威胁对特定资产造成损失的百分比,或者说损失的程度。
单一损失期望(Single Loss Expectancy,SLE)—— 或者称作SOC(Single OccuranceCosts),即特定威胁可能造成的潜在损失总量。
年度发生率(Annualized Rate of Occurrence,ARO)—— 即威胁在一年内估计会发生的频率。
年度损失期望(Annualized Loss Expectancy,ALE)—— 或者称作EAC(EstimatedAnnual Cost),表示特定资产在一年内遭受损失的预期值。 考察定量分析的过程,从中就能看到这几个概念之间的关系: (1) 首先,识别资产并为资产赋值;
(2) 通过威胁和弱点评估,评价特定威胁作用于特定资产所造成的影响,即EF(取
值在0%~100%之间);
(3) 计算特定威胁发生的频率,即ARO; (4) 计算资产的SLE:SLE = Asset Value × EF (5) 计算资产的ALE:ALE = SLE × ARO
定性分析
定性分析方法是目前采用最为广泛的一种方法,它带有很强的主观性,往往需要凭借分析者的经验和直觉,或者业界的标准和惯例,为风险管理诸要素(资产价值,威胁的可能性,弱点被利用的容易度,现有控制措施的效力等)的大小或高低程度定性分级,例如“高”、“中”、“低”三级。
定性分析的操作方法可以多种多样,包括小组讨论(例如Delphi 方法)、检查列表(Checklist)、问卷(Questionnaire)、人员访谈(Interview)、调查(Survey)等。定性分析操作起来相对容易,但也可能因为操作者经验和直觉的偏差而使分析结果失准。
与定量分析相比较,定性分析的准确性稍好但精确性不够,定量分析则相反;定性分析没有定量分析那样繁多的计算负担,但却要求分析者具备一定的经验和能力;定量分析依赖大量的统计数据,而定性分析没有这方面的要求;定性分析较为主观,定量分析基于客观;此外,定量分析的结果很直观,容易理解,而定性分析的结果则很难有统一的解释。组织可以根据具体的情况来选择定性或定量的分析方法。
评估标准
1、《计算机网络安全管理》
2、ISO15408 《信息安全技术评估通用准则》
3、GB 17859-1999 《计算机信息系统安全保护等级划分准则》 4、相关各方达成的协议
二、网拓扑评估
拓扑合理性分析
目前网络都基本采取传统的三层架构,核心、汇聚与接入,其他设备都围绕着这三层进行扩展,各设备之间的线路基本采用千兆光纤接入方式,实现高速数据传输,降低延时,减少干扰,设备间存在冗余,从而保证各数据间传输的可靠性,各业务之间的稳定性。
可扩展性分析
核心设备、汇聚设备是否都存在部分空模板、空接口,可以满足未来几年内的扩展 核心设备的背板带宽在高峰期间业务流量能正常通过,从中可看出目前核心设备的带宽完全能承载当前的流量;背板带宽越大,各端口所分配到的可用带宽越大,性能越高,处理能力越快。
三、网络安全管理机制评估
调研访谈及数据采集
1、整网对于核心层设备、汇聚层设备以及接入楼层设备,进行远程登录方式、本地登录模式、特权模式的用户名与密码配置,密码都是以数字、大小写字母和字符一体化,防止非法用户的暴力破解,即便通过其它方式获取到配置清单,也无法知道这台设备的密码,密码都是以密文的形式显示在配置清单里,这样,无论是合法用户还是恶意用户,只要没有设备的用户名和密码都不能登录到该设备,自然也无法对设备的内容等相关配置信息进行修改,相当于给设备安装了一层保护墙,从而保护了设备的最基本的安全性。
2、整个网络采用一种统一的安全制度对网络设备、服务器集进行有效的检查,管理,实时发现网络中是否存在的一些问题,如果发现问题的存在,都会采取制定的流程及时给予解决,使得网络设备能一直正常运行,可用性得到提高,业务流量保持稳定性状态,以下是安全制度管理的部分选项。
(1)定期扫描漏洞:定期对整网服务器进行扫描,检查是否有漏洞的存在,数据的来源,事件的分析,主机服务信息,是否存在高危险性事件,主机流量分析等,以确保网络的安全性。
(2)检查版本升级:定期对整网服务器进行检查,各主机的系统版本是否最新,各主机的软件,特别是杀毒软件、防火墙、辅助软件有没及时的更新,特征库当前是否为最新。
(3)策略:定期对整网服务器的密码进行检查,查看是否开启密码策略、帐户锁定策略、本地审核策略,并作了相应的设置。
(4)关闭用户:定期对整网服务器进行周密的检查,是否对GUEST用户、长期未登录用户进行关闭。
(5)关闭服务:定期对整网服务器进行松紧,是否对一些特殊的服务,如Remote register、不需要远程登陆的主机Terminal services进行关闭。
网络安全管理机制健全性检查
1、以目前的网络设备完全能承载整网的业务流量,可以说目前的设备性能较强,未来,随着网络规模越来越大,业务流量越来越集中,对设备性能的要求也更加严格,但以目前的设备的处理能力,足以胜任未来几年内的扩展,并且具有一定的安全性;
2、整网有统一的管理员,对网络设备进行相关的管理,每个管理员所管辖的范围不同;每个管理员负责每一部分,服务器有应用、数据库、测试、视频等
3、机房有门禁系统,机房有它制定的管理方式,进机房首先得找具有申请进机房资格的工作人员,接着,机房中心工作人员对这条申请的信息进行审核,审核通过后,需要拿身份证去机房门口进行登记,这样,才能进入机房查看设备、或对设备进行相关的操作,这是进机房的基本流程。
4、机房里有特定的系统专门对当前设备的温度进行测量,不管是白天还是晚上,每天24小时都会有保安和相关的工作人员对机房设备进行定期检查,如发生问题会及时通知相关的负责人,负责人收到消息后会及时对问题进行查看、分析、解决,最终保证整网上业务能正常运行。
5、采用Host Monitor系统自动对所有设备、服务器以及主机进行检测,以PING的方式进行测试它的连通性,如果发现某台设备PING测试不通,它会及时产生报警,通过主机把相关设备的信息映射到大屏幕液晶显示器上,以列表的模式显示,相关人员收到报警信息后,一般会采取三个步骤来解决:
(1)通过打电话给服务厅,看看是否出现断电的情况; (2)通知代维工作人员,检查是否为线路问题。
(3)如果都不是以上的问题,基本可以把问题锁在网络设备的本身或者配置上的问题,通知相关人员去检查。
网络安全管理机制合理性检查
机房的整体架构,各个核心层设备、汇聚层设备以及其他设备所摆放的物理位置,从消防、防潮、防雷、排气等安全措施都布置到位,布线整齐、合理、具有相当的专业水平,网线以不同的颜色来区分所在设备的重要性,比如在交换机与交换机的级连一般用蓝色来表示,交换机的端口与PC网卡相连接时用灰色,交换机与其他设备相连除了有时用光纤外,一般用黄色来或绿色来表示,而且,对每个机架机架、设备以及连接的网线都打上标签,当某时候网络物理出现问题时,比如线松了,或是线掉了,线插反了等等,因为之前对相关的设备、网线都贴上标签,这样可以很方便的查找到故障点,并进行定位,容易排除故障;每一排机架集按大写英语字母来标记所在的行号,每一排机架集包括10来个机架,分别用所在的行号+数字来标记,比如我所要找的机架在第二行第5个位置,标记为B5,直接找到B5就可以了;室内温度调整适当,当设备温度过大时,会自动出现告警;
网络管理协议分析
1、统一对整个网络所有设备进行监控、收集信息以及管理,其他的网络设备作为代理者,通过自定的Trap类型向管理者发送最新的信息状况,以保持整网设备能正常运行。
2、经过对SNMP配置进行分析,了解到目前SNMP在整网中的作用,以及SNMP在各种重要设备里都进行过哪些配置,在SNMP配置的共同体里,只限制某台主机对该设备进行读取MIB数据库的信息,除此之外,其他的网段是否都可以对该设备的MIB进行读取与修改MIB
里的信息,如果可以这样将造成基本上在所有的网段里,每个网段的所有主机都可以对设备的MIB信息进行访问,甚至对该信息进行修改。
四、脆弱性严重程度评估
脆弱性评估,从技术脆弱性、管理脆弱性去评估 途径实施:
1)人员访谈 2)现有文件调阅 3)现场检查 4)安全漏洞扫描 5)人工安全检查
安全漏洞扫描
在网络安全体系的建设中,安全扫描工具花费代、效果好、见效快,与网络的运行相对独立,安装运行简单,要以大规模减少安全管理的手工劳动,有利于保持全网安全政策的统一和稳定,是进行风险分析的有力工具。
在项目中,安全扫描主要是通过评估工具以本地扫描的方式对评估范围内的系统和网络进行安全扫描,从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户帐号/口令等安全对像目标存在的安全风险、漏洞和威胁。
安全扫描项目包括如下内容: 信息探测类 网络设备与防火墙 RPC服务 Web服务 CGI问题 文件服务 域名服务
Mail服务 Windows远程访问 数据库问题 后门程序 其他服务
网络拒绝服务(DOS) 其它问题
从网络层次的角度来看,扫描项目涉及了如下三个层面的安全问题。 (一)系统层安全
该层的安全问题来自网络运行的操作系统:UNIX系列、Linux系列、Windows系列以及专用操作系统等。安全性问题表现在两方面:一是操作系统本身的不安全因素,主要包括身份认证、访问控制、系统漏洞等;二是操作系统的安全配置存在问题。
身份认证:通过Telnet进行口令猜测等。
访问控制:注册表普通用户可写,远程主机允许匿名FTP登录,FTP服务器存在匿名可写目录等。
系统漏洞:Windows缓冲出溢出漏洞。
安全配置问题:部分SMB用户存在弱口令,管理员帐号不需要密码等。 (二)网络层安全
该层的安全问题主要指网络信息的安全性,包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入、路由系统的安全、入侵检查的手段等。
网络资源的访问控制:检测到无线访问点。
域名系统:ISC BIND SIG资源记录无效过期时间拒绝服务攻击漏洞,Windows DNS拒绝服务攻击。
路由器:cisco IOS Web配置接口安全认证可绕过,路由器交换机采用默认密码或弱密码等。
(三)应用层安全
该层的安全考虑网络对用户提供服务器所采用的应用软件和数据的安全性,包括:数据库软件、WEB服务、电子邮件、域名系统、应用系统、业务应用软件以及其它网络服务系统等。
数据库软件:Oracle Tnslsnr没有配置口令,MSSQL 2000 sa帐号没有设置密码。 WEB服务:SQL注入攻击、跨站脚本攻击、基于WEB的DOS攻击。
电子邮件系统:Sendmail头处理远程溢出漏洞,Microsoft Windows 2000 SMTP服务认证错误漏洞。
为了确保扫描的可靠性和安全性,首先制定扫描计划。计划主要包括扫描开始时间、扫描对象、预计结束时间、扫描项目、预期影响、需要对方提供的支持等等。
在实际开始评估扫描时,评估方会正式通知项目组成员。奥怡轩按照预定计划,在规定时间内进行并完成评估工作。如遇到特殊情况(如设备问题、停电、网络中断等不可预知的状况)不能按时完成扫描计划或致使扫描无法正常进行时,由双方召开临时协调会协商予以解决。
人工安全检查
安全扫描是使用风险评估工具对绝大多数评估范围内主机、网络设备等系统环境进行的漏洞扫描。但是,评估范围内的网络设备安全策略的弱点和部分主机的安全配置错误等并不能被扫描器全面发现,因此有必要对评估工具扫描范围之外的系统和设备进行手工检查。
路由器的安全检查主要考虑以下几个方面: 帐号口令 网络与服务 访问控制策略 日志审核策略 空闲端口控制
交换机的安全检查主要考虑以下几个方面: 帐号口令 网络与服务
VLAN的划分
主机的安全检查主要考虑以下几个方面: 补丁安装情况 帐号、口令策略 网络与服务检查 文件系统检查 日志审核检查 安全性检查 1) 安全扫描
此阶段通过技术手段评估系统中的漏洞。对撑握整个被评估系统的安全状态提供重要数据。
被扫描的系统有: Windows系统 Linux系统 Unix客服热线系统
在安全扫描阶段使用的主要工具有: Internet Scanner NESSUS
Acunetix Web Vulnerability Scanner
扫描过程中可能会导致某些服务中断,双方应该事先做好协调工作,并做好应急处理方案,在发现问题后及时上报,并及时恢复系统的运行。
安全策略评估
安全策略是对整个网络在安全控制、安全管理、安全使用等方面最全面、最详细的策略性描述,它是整个网络安全的依据。不同的网络需要不同的策略,它必须能回答整个网络中与安全相关的所有问题,例如,如何在网络层实现安全性、如何控制远程用户访问的安全性、在广域网上的数据传输如何实现安全加密传输和用户的认证等。对这些问题帮出详细回答,
并确定相应的防护手段和实施方法,就是针对整个网络的一份完整的安全策略。策略一旦制度,应做为整个网络行为的准则。
这一步工作,就是从整体网络安全的角度对现有的网络安全策略进行全局的评估,它也包含了技术和管理方面的内容,具体包括:
(1)安全策略是否全面覆盖了整体网络在各方面的安全性描述;
(2)在安全策略中描述的所有安全控制、管理和使用措施是否正确和有效; (3)安全策略中的每一项内容是否都得到确认和具体落实。
脆弱性识别
类型 识别对象 识别内容 从机房场地、防火、供配电、防静电、接地与防雷、电磁防物理环境 护、通信线路的保护、区域防护、设备管理等方面进行识别 从网络架构设计、边界保护、外部访问控制策略、内部访问网络结构 控制策略、网络设备安全配置等方面进行识别 从补丁安装、物理保护、用户帐号、口令策略、资源共享、技术脆弱性 系统软件 事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别 应用中间件 从协议安全、交易完整性、数据完整性等方面进行识别 从审计机制、审计存储、数据完整性、通信、鉴别机制、密应用系统 码保护等方面进行识别 从物理和环境安全、通信与操作管理、访问控制、系统开发技术管理 与维护、业务连续性等方面进行识别 管理脆弱性 从安全策略、组织安全、资产分类与控制、人员安全、符合组织管理 性等方面进行识别 脆弱性赋值 赋值 标识 定义 5 4 3 2 1 很高 高 中等 低 很低 如果被威胁利用,将对资产造成完全损害 如果被威胁利用,将对资产造成重大损害 如果被威胁利用,将对资产造成一般损害 如果被威胁利用,将对资产造成较小损害 如果被威胁利用,将对资产造成的损害可以忽略
五、网络威胁响应机制评估
防火墙称得上是安全防护的防线,防火墙对于企业网络的安全,已经无法实施100%的控制,对于合法内容中混入的可疑流量、DoS攻击、蠕虫病毒、间谍软件等威胁,几乎没有有效的反击措施,入侵检测与防御系统进行检测网络攻击,与防火墙进行联动。利用现有的入侵检测防御系统对网络攻击进行测试,来检验针对网络威胁的能力。
远程渗透测试
渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、分析方法来进行实际的漏洞发现和利用的安全测试方法。这种测试方法可以非常有效地发现最严重的安全漏洞,尤其是与全面的代码审计相比,其使用的时间更短,也更有效率。在测试过程中,用户可以选择渗透测试的强度,例如不允许测试人员对某些服务器或者应用进行测试或影响其正常运行。通过对某些重点服务器进行准确、全面的测试,可以发现系统最脆弱的环节,以便对危害性严重的漏洞及时修补,以免后患。
奥怡轩评估小组人员进行渗透测试都是在业务应用空闲的时候,或者在搭建的系统测试环境下进行。另外,评估方采用的测试工具和攻击手段都在可控范围内,并同时充分准备完善的系统恢复方案。
网络探测和信息采集、漏洞探测、嗅探、利用工具或技术通过网络对信息系网络攻击 统进行攻击和入侵 的窃取和破坏,系统运行的控制和破坏等 用户身份伪造和欺骗、用户或业务数据通过物理的接触造成对软件、硬件物理攻击 和数据的破坏等 泄密 信息泄露给不应该了解的他人 非法修改信息,破坏信息的完整性篡改 使系统的安全性降低或信息不可用 用户身份信息和业务数据信息等 不承认收到的信息和所作的操作、抵赖 交易 威胁赋值 赋值 标识 定义 出现的频率很高(或不少于1次/周),或在大多数情况下几乎不可避免,5 很高 或可以证实经常发生过 出现的频率较高(或不少于1次/月),或在大多数情况下很有可能会发4 高 生,或可以证实多次发生过 出现的频率中等(或大于1次/半年),或在某种情况下可能会发生,或3 中等 被证实曾经发生过 2 1 低 很低 出现的频率较小,或一般不太可能发生,或没有被证实发生过 威胁几乎不可能发生,或仅可能在非常罕见或例外的情况下发生 原发抵赖、接受抵赖、第三方抵赖等 内部信息泄露、外部信息泄露等 篡改网络、系统、安全配置信息,篡改物理接触、物力破坏、盗窃等
六、网络安全配置均衡性风险评估
设备配置收集
1、核心层交换机目前的网络状态正常,在配置上也针对某些安全方面的问题进行布置,具体情况都做了详细的说明,以下是核心层交换机配置上的一些安全防护措施:
(1)核心交换机进入特权模式需要密码,对它进行了密文的设置。 (2)对核心交换机的虚拟线路进行密码的设置,远程登录需要输入密码。 (3)使用UDLD对某些端口进行链路的检测,以减少丢包的概率。
(4)在核心交换机上全局下关闭禁用Http Server,防止非法入侵
(5)全局下开启Bpdu-Guard,因为核心交换机在全局下开启Portfast特性. 2、核心层交换机的稳定性直接关系到整个网络数据流量能否正常通过,核心层交换机的安全性问题自然会影响到能否一直保持稳定的状态,起到至关的作用,保护好核心交换机的安全问题很大原因其实是在保护核心交换机的稳定性,做好安全防护工作,保护好核心交换机的稳定性成为我们规则的焦点,下面是对本核心层交换机的安全防护问题进行完善,从而提高核心层交换机的安全性。
3、使用SSH来作为远程的登录,使用TELNET进行远程登录, Telnet会话中输入的每个字符都将会被明文发送,这将被像Sniffer这样的抓包软件获取它的用户名、密码等敏感信息。因此,使用安全性更高的SSH加密无疑比使用Telnet更加安全。
4、在虚拟线路中对远程登录的最大连接数进行限制,默认,一般情况下网络设备会开放5-15个虚拟的连接线路,不过,不同厂商,不同型号,所开放的虚拟线路连接数也都不一样,可以通过登录到此设备,可以用远程登陆或本地登陆,在该设备上对配置进行查看,再根据实际情况进行修改;一般情况下,很多人都没有对远程登陆范围进行限制,这样使得每个人都有机会去TELNET,这多少给了恶意用户提供攻击的机会,比如可以使用SYN Flood攻击;
它伪造一个SYN报文,伪造一个源地址或者不存在的地址,通过向服务器发起连接,服务器在收到报文后用SYN-ACK应答,而此应答发出去后,服务器就等待源发个ACK的确认包过来后以完成三次握手,建立起连接,但是,攻击者使用的源是一个不存在或是伪造的地址,服务器将永远不会收到攻击者发送过来的ACK报文,这样将造成一个半连接。如果攻击者发送大量这样的报文,会在被攻击主机上出现大量的半连接,消耗所有的资源,使得正常的用户无法对其访问。直到半连接超时,才会慢慢释放所有的资源,简单一点的说,SYN Flood利用TCP的三次握手来让服务器保持N个半个连接数,以消耗掉服务器系统的内存等资源;对远程登录的范围用访问列表进行控制,起到一定的安全性。
5、为了防范交换机上一些恶意攻击行为,禁用所有未用的端口,以免因为一些无知行为或误操作,导致一切都无法预料的后果;比如将交换机两个端口用网线直接连接,这样将导致整个交换机的配置数据被清除,交换机的配置一瞬间全清空,这样将导致业务中断,如
果之前有对交换机的相关配置信息进行备份,还可以在短时间内还原,要是没有,只能使得网络中断的时间加长,而且,关闭端口也能在一定程度上防范恶意用户连接此端口并协商中继模式,当恶意用户连接端口,冒充成另外一台交换机发送虚假的DTP协商消息,真实的交换机收到这个DTP消息后,比较下参数,一旦协商成中断模式后,恶意用户通过探测信息流,当有流量经过时,所有通过此交换机上所有VLAN信息都会被发送到恶意用户的电脑里。
6、为提高安全,最好把暂时不需要用到的服务都关闭掉,因为它们都很有可能成为安全漏洞,恶意用户利用这些安全漏洞进整个网络实行攻击等非法行为,以达到一定的目的;核心交换机的配置中已经对Http Server这个服务进行禁用,下面是一些经常被攻击者利用的服务,以对其进行攻击。建议把下面的服务也都一一禁用掉:
禁用IP源路由---no ip source route 禁用小的UDP服务---no service udp-small-s 禁用小的TCP服务---no service tcp-small-s
7、核心交换机的作用至关重要,因为它影响到整个网络的正常运行,这里有两种情况: 第一种情况当一台新的交换机接入到这个网络,因对网络拓扑不熟悉,配置错误,使得新交换机成为根网桥,新交换通过宣告VLAN信息让整个域的其他交换机都能学习到,这将使得整网流量全导向新交换机。
第二种情况:交换机默认都是SERVER模式,在这里以域中只有一台SERVER模式,新交换机模式为CLIENT,当新的交换机加入网络中,因为它的修订版本号比较高,这里的修订版本号用来标识交换机的更新信息,修改版本号越高,它的VLAN信息流越新,与交换机的模式无关,修订版本号可以通过增加/删除/修改VLAN信息等等来增加它的数值,交换机之间通过发送BPDU,比较它们的参数,包括修订版本号,通过比较得出修订版本号高的交换机,作为整个域中VLAN信息的标配,当新交换机的修订版本号高于处在根网桥的交换机时,它不会去学习根网桥宣告过来的VLAN信息,当SERVER通过BPDU包的交换后得知新交换机的修订版本号比较高,它通过BPDU包学习到新交换机的VLAN信息,并在整个域中把此VLAN信息进行宣告出去,整网中所有交换机的原来VLAN信息全被删除,都学习到SERVER交换机发送过来的最新VLAN信息流。
这两种方式都直接导致网络流量的导向,使得网络中交换机所学到的VLAN信息不全,
网络资源的浪费,网络部分业务的中断,甚至网络的环路,为了防范以上的问题,需要布置根防护,当根网桥在启用根防护的端口上接收到其他交换机发送过来的BPDU,不管修订版本号是多高,根网桥不对此包作处理,直接端将口进入\"不一致\"的STP状态 ,并且交换机不会从这个端口转发流量;这种方法能够有效地巩固根网桥的位置,还能够有效的避免第2层环路,它能将接口强制为指定端口,进而能够防止周围的交换机成为根交换机。当新交换机接入网络时,先将交换机的模式设置为透明模式,再把它改为客户模式,从而保证不会出现以上所说的情况。
检查各项HA配置
1、核心层交换机上开启了HSRP协议,在汇聚层华为设备上配置了VRRP协议,因为HSRP是思科私有,所以华为只能使用业界的VRRP,在两台核心交换机上,对VLAN的SVI口进行配置;
HSRP是一种热备份路由网关协议,具有很高的可靠性,它通过双方预先设定好的虚拟IP地址,发送HELLO数据包,经过一系列的状态比较,最终协商出谁是Active谁是Standby,HSRP相当于是台虚拟的路由器,有自己的虚拟IP地址及MAC地址,终端用户将这虚拟的IP地址作为网关;
默认情况下,只有Active路由器在工作,Standby路由器一直处在空闲状态之中,双方每3S会发送HELLO去侦测对方以确定对方是否存在,当10S过后,还没收到对方发送过来的HELLO包,Standby会认为对方设备出现故障或者对方已经不存在,这时它会把自己的状态从standby变为active,这对于终端的用户是透明的,保证终端用户数据能得到可靠的传输,当一台设备链路出现问题,HSRP只需要经过一个邻居状态standby-active,能快速的切换到另一台设备,用户的可用性得到保障;
HSRP还可以对整个网络进行负载分担。VRRP是业界定义的一种类似于HSRP的网关冗余协议,功能与作用基本与HSRP相同,区别在于VRRP可以使用物理的IP地址作为虚拟IP地址,VRRP的状态机相比起HSRP减少很多等。
2、通过对核心交换机HSRP协议的配置进行分析,HSRP全都是在VLAN的SVI接口里进行配置,在主核心交换机中设定一个共同的虚拟IP地址,并对它的优先级进行设定,开启
HSRP的抢占性;在另一台核心交换机也是同样的配置,只是优先级不同,这样,当它们发送HEELO包选举行,先比较优先级,优先级一样再比较IP地址,IP地址较高的为Active,当Active设备出现故障时,Standby会马上切换过来变为Active,,原来的核心交换机恢复正常时,会自动把Active的主动权抢占过来;
如果核心交换机的外口出现故障,因为没有对外边的接口进行跟踪的配置,这样会造成黑洞的产生,数据包的丢失;在两台核心交换机中并没有起到流量的负载分担,正常情况下,一台路由器处在忙碌状态,另一台路由器一直处在空闲状态中,等待着监测着Active路由器的工作状态,在汇聚层两台华为设备的交换机中,配置VRRP,并没有配置抢占性,对外口进行追踪,但发现故障时,优先级会自动减少30,因为没有配置抢占性,备份设备不会进行抢占,使得主设备对外追踪没有多大的意义,反而又多了丢包率。
3、在配置HSRP协议的两台交换机上,终端PC通过两台交换机去访问内部的资源时,终端PC的网关指向两台交换机协商设置的虚拟IP地址,在同一时间,两台交换机,只有一台交换机处在Active状态,另一台交换机一直处在Idle状态,当数据包穿越交换机去访问网络资源,把交换机与终端PC相连的接口线拔掉,处于Active的交换机突然因为接口松动而导致中断,处在Idle状态的交换机快速切换成Active,继续让链路保持不中断的状态,对于终端用户,完全感觉不到刚刚链路已经中断,访问网络的资源没有任何的影响;再把刚刚拔掉的接口再插回去,因为HSRP配置了抢占性,主设备通过发送HELLO比较,立马Active的主动权抢占回来。
设备日志分析
通过对防火墙的日志导出,对日志进行检查,目前防火墙每天产生的日志信息条数过多,仔细分析日志的其中一部分,防火墙日志记录了穿越它的流量信息,几乎所有的流量都是属于正常日志信息,正常日志信息占满了整个防火墙的日志栏,日志记录的信息包括本设备的型号、IP地址、日期时间;日志开始的日期与时间,持续的时间段,源IP地址、源端口、目标IP地址、目标端口、Xlated以及发送与接收的数据包状态等。正常的日志信息意味着网络运行的状态正常,没有存在一些恶意的攻击,下面是防火墙的一些日志信息,都属于正
常的日志:
七、风险级别认定
网络安全管理是一项系统工程,要从根本上去规避安全风险,则必须对整个网络安全体系进行系统化的分析,从管理和技术两大方面入手,双管齐下,必须变被动为主动,提早发现问题,解决问题,尽可能杜绝安全管理上的漏洞。
通过将现有制度按体系分层归类,找出现有制度及运作的存在问题,和国际标准ISO17799进行对比,提出修补意见。根据现有的制度,建立安全管理指导的框架,方便各中心根据自身实际形成必要的安全指导制度。
《技术性的系统安全扫描报告》 《技术性的系统安全加固方案》 《关键系统基线检查报告》 《远程渗透测试报告》 《ISO27001差距分析》 《网络安全机制评估报告》
八、项目实施规划
表1 项目实施规划 序号 工作名称 详细 项目启动会 1 项目准备 安全评估前的培训 使用扫描工具进行安全扫描 远程渗透测试 2 安全评估 对系统进行基线检查 对系统相关人员进行访谈 对管理制度进行审查 3 企业安全现状分析 技术上的工具扫描结果、远程渗透测试、基线检查结果分析 管理层面的漏洞分析 差距分析,与ISO27001做比较 在技术层面上使用技术手段对系统进行安全加固 4 安全加固 在管理层面上制定合理的管理制度 5 评估结束后的培训 针对当前企业存在的安全问题做一次有针对性的培训 6 项目后期的宣传工作 通过FLASH、海报等方式加强安全方面的宣传教育工作。 九、项目阶段
第一阶段:前期准备阶段
项目计划 需求调研
确定项目目标和详细范围 完成详细方案设计 项目前期沟通与培训
第二阶段:评估实施
技术评估
策略文档及规范审查
第三阶段:评估报告和解决方案
数据整理和综合分析 安全现状报告 安全解决方案
第四阶段:支持和维护
系统加固 安全培训 定期回复
抽样远程二次评估
实施安全评估的整个过程如下图所示
前期准备 ➢ 准备所需资源 ➢ 进行前期培训,主要是介绍信息安全基本意识和管理知识,介绍安全评估项目实施过程和方法 技术评估 ➢ ➢ ➢ ➢ 网络整体架构安全性评估 漏洞扫描;渗透测试 重点主机本地安全审查 安全措施的有效性审查 提供信息安全相关文件资料、行业规范和特殊要求 进行文件审查,进行符合性调查 分析缺失和问题所在 策略文档及规范审查 ➢ ➢ ➢ 数据分析 ➢ 需要分析的信息包括: 安全管理调查分析结果、漏洞扫描和主机审计结果、文档审查结果、人员访谈结果等 评估报告 ➢ ➢ ➢ 描述评估过程,指出发现的问题,给出推荐意见 编写一系列安全评估报告 提出信息安全整改意见和建议方案 总结与陈述 ➢ ➢ ➢ 回顾整个项目实施的过程 会议陈述 提交评估报告和建议方案,展望今后工作 后期培训 ➢ ➢ ➢ 进行系统的安全培训,包括: 信息安全技术培训; 信息安全管理规范和方法培训等
十、交付的文档及报告
在实施阶段,会产生各种报告
工具扫描 人工评估 策略评估 安全审计 网络架构 系统评估
《网络《人工《策略归纳,整理、分析 《安全《安全评估报需求分《解决方《网络《系统 中间评估文档
《网络架构整体安全分析评估报告》
《系统漏洞扫描报告》(包括服务器、网络设备、PC机、安全设备等) 《技术性弱点综合评估报告》 《安全策略文档体系评估报告》
最终报告
《安全评估整体结果报告》; 《安全整体解决方案建议》; 《系统安全加固建议方案》。
十一、安全评估具体实施内容
网络架构安全状况评估 内容描述
网络架构安全评估主要涉及到以下几个方面的内容: 网络拓扑和协议:
拓扑结构合理性分析、可扩展性分析;对周边接入的全面了解,安全域划分的级别,信任网络或者不信任网络之间是否有控制,控制本身带来的安全程度以及是否有可以绕过控制的途径;所采用的路由协议,是否存在配置漏洞,冗余路由配置情况,路由协议的信任关系;对网络管理相关协议的分析整理;对业务应用相关协议的分析整理;各网络节点(包括接入节点)的安全保障措施。
网络安全管理机制:
网络的安全策略是否存在,以及是否和业务系统相互吻合,有无合理的安全制度作为保障;网络体系架构是如何进行管理的,是否有良好的机制和制度保障网络架构本身不被改变,没有非法的不符合安全策略的架构改变;网络设备BUG的检查处理机制,即系统管理人员接收到或者发现网络设备存在BUG的时候,是否有一个流程可以处理;网络安全事件紧急响应措施;网络防黑常用配置的资料整理、分类和准备;网络故障的分析手段的资料整理、分类和准备;针对网络架构、协议和流量的安全审计制度和实施情况调查。
网络认证与授权机制:
网络服务本身提供的密码和身份认证手段,系统是否还要其它密码和身份认证体系;在相关的网络隔离点,是否有恰当的访问控制规则设立,是否被有效的执行;是否有集中的网络设备认证管理机制,是否被正确的配置和执行;
网络加密与完整性保护机制: 数据加密传输;完整性校验的实现。 网络对抗与响应机制:
是否有漏洞的定期评估机制和入侵检测和记录系统的机制;网络建设中是否良好的考虑
了网络的高可用性和可靠性问题,是否被正确使用和良好的配置,是否有机制保障不被修改。
网络安全配置均衡性分析:
安全机制本身配置是否不合理或者存在脆弱性。
过程任务
提交网络拓扑图,并对网络流量、安全机制进行说明;
对相关人员进行访谈,问题涉及网络架构与协议、网络安全管理规定、网络安全机制的使用等; 现场参观和调查;
编写网络架构安全评估报告。
输入指导
目标系统网络拓扑图 必要的网络运营记录信息
输出成果
《网络架构整体安全分析评估报告》
系统安全状态评估 内容描述
技术评估旨在发掘目标系统现有的技术性漏洞,评估方法主要有三种:自动化漏洞扫描、渗透测试、本地安全审查。
使用专用的扫描工具进行漏洞扫描,可扫描的系统和漏洞类别如下: Windows 9X/NT/2000
扫描后门BackOrifice, CDK 等 扫描Remote Control 程序NetBus 等 扫描在 NetBIOS 服务上的各种漏洞 通过获取用户目录的登录入侵
扫描共享文件夹漏洞, 共享权限等 扫描 Remote Registry AutoLogon 等 扫描SNMP 漏洞 (Community Name, 读/写) 扫描FTP 漏洞 (Anonymous, guest)
扫描UNIX Orient 服务 (X Window, TFTP 等) 扫描 Echo, Time, Chargen 等不必要的服务 UNIX/Linux
扫描后门Trinoo, … 扫描SMTP 版本及各种漏洞
扫描对Rcommand(rsh, rlogin, rexec), telnet的 Brute force Attack 扫描FTP, TFTP 服务器的各种漏洞 SNMP 漏洞扫描 (Community Name, 读/写) 扫描 DNS 服务(bind)的漏洞
扫描 RPC 服务的各种漏洞, NFS 共享/NIS 等 扫描 X Window 服务器远程漏洞
扫描Echo, Time, Chargen 等不必要的服务, 还有Finger, Gopher, POP3, SSH 等危险服务 网络设备
扫描通讯设备 ( Router, Switching Hub, F/W ) 等的安全状况 扫描 SNMP 漏洞 (Community Name, 读/写) 扫描 ICMP 漏洞(TimeStamp 等) 扫描测试各种 Stealth Port 扫描默认密码的 Brute Force 攻击 应用系统
扫描Web 服务器、FTP服务器等应用系统 IIS,Netscape 等服务器漏洞 RDS,Unicode 等漏洞
各种CGI 漏洞 扫描 Web Proxy 服务器 扫描数据库
Oracle, MS-SQL, MySQL 服务器漏洞 各种默认密码
扫描登录后,可否执行各种 Stored Procedure 扫描网络设备
网络设备配置策略 网络设备特定漏洞
在自动化漏洞扫描基础上,奥怡轩技术顾问会对目标系统进行渗透测试。
渗透测试,是在授权情况下,利用安全扫描器和富有经验的安全工程师的人工经验对网络中的核心服务器及重要的网络设备(包括服务器、交换机、防火墙等)进行非破坏性质的模拟黑客攻击,目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户。
渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度,但是存在一定的误报率,不能发现高层次、复杂的安全问题;渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高(渗透测试报告的价值直接依赖于测试者的专业技能),但是非常准确,可以发现逻辑性更强、更深层次的脆弱性。
在获得必要的访问权限条件下,奥怡轩依据专家经验,定制人工评估CHECKLIST,对重点系统进行本地登录并做逐项安全检查。
对UNIX系统的人工评估内容包括但不限于以下内容:
系统安全补丁是否最新;
对于远程登录的管理,包括登录方式和登录用户; 系统开放的服务,是否存在不必要服务;
系统允许的网络连接,是否启用信任主机方式,是否对网络连接设置访问控制; 系统中用户管理与口令策略;
系统文件管理,是否以安全模式加载文件系统,文件系统的访问权限设置是否安全;
系统审计设置,是否使尝试登录失败记录有效,是否配置成不接受其他机器发送的日志信息等;
系统抗攻击能力,是否做TCP序列号预测攻击防护,是否限定系统禁止堆栈缓存溢出,是否对TCP/IP网络参数进行安全配置; 对登录用户是否设置超时退出参数;
是否修改系统的banner信息,防止系统泄漏信息。 对数据库的人工评估包括但不限于以下内容:
检查系统及数据库版本 检查数据库补丁 检查数据库配置信息 检查安全的密码策略 检查帐号策略
检查数据库配置文件权限 检查权限
检查数据库调试和开发环境是否分开 认证 审计
检查是否建立良好的日志管理策略 检查备份策略
过程任务
确定评估范围,获得目标系统信息,包括IP地址段等; 获得必要的系统访问权限; 安装部属扫描设备和工具; 进行自动漏洞扫描; 进行渗透测试;
进行重点系统的本地登录,做安全审查;
分析扫描评估结果和数据; 编写技术评估报告。 自动工具评估流程如下图所示:
漏洞扫描流程 漏洞扫描工具选择与评估方案 用户确认 申请KEY 影响系统 工具部署并实施评估 修改方案 修改方案 漏洞扫描原始结果 入库 启用风险规避方案/恢复 漏洞扫描报告 终止评估 漏洞列表
自动扫描评估之后,评估人员会登录到重点系统,在系统本地进行更细致和更有针对性的人工评估。
实施人工评估时,鉴于项目进度控制,将根据抽样原则,有选择性地对典型的服务器、桌面系统、网络设备、安全设备进行人工评估。
抽样原则如下:
各系统被评估的网络设备和主机系统的数量与该系统总数量成正比; 选择业务特点具有代表性的主机和网络设备进行评估,例如应用于某类业务系统的Solaris的主机可以只评估其中一台。
人工评估流程如下图所示:
人工评估流程 评估检查项列表 工具评估结果参考 系统异常? 下一项 检查完毕? 后门查找 人工评估原始记录 入库 漏洞列表 人工评估报告
输入指导
系统描述的信息
网络拓扑、IP地址(段) 必要的系统登录和访问权限
输出成果
《系统漏洞扫描报告》(包括服务器、网络设备、PC机、安全设备等) 《技术性弱点综合评估报告》
策略文件安全评估 内容描述
根据BS7799标准定义,一个机构要建立起有效的信息安全管理体系,必须是以完善的策略文档体系为依托的,这种文档系统是组织实现风险控制、评价和改进信息安全管理体系、实现持续改进不可缺少的依据。因此在建立完整有效的安全策略文档体系之前,应先对现有
的文档体系进行系统周密的分析评估,有助于发掘不足和问题,明确真正需求,从而有针对性地开展后续工作。
文档审核是针对清现有的信息安全策略文档体系,通过对所有与信息系统、信息管理、信息安全相关的策略、规章制度、工作流程、培训教材等各个文档内容的深入分析,结合现场问询和实地观察等方法,以信息安全管理标准(ISO17799等)的要求和业界有效的管理经验作为参照,分析评估目标文档体系的完整性、有效性和符合性。
过程任务
初步设定项目实施方法和计划安排;
了解纳入评估范围的各个部门的业务活动和信息系统运行管理情况; 取得现有的信息安全相关策略文件;
文件和资料进行初步分析,必要时带着问题进行现场调查,以确认前期的发现; 对各种途径得到的数据进行综合分析,以BS7799标准要求为参照,最终评估现有的信息安全策略文档体系的完整性、有效性和符合性; 提出改进建议。
实施策略文件评估的流程如下图所示:
文档分析流程 收集用户策略文档 进一步搜集 是否遗漏? 分析文档列表 文档内容分析 文档格式分析 文档体系分析 入库 漏洞列表 文档评估报告
输入指导
企业介绍,企业管理结构图,主要业务系统描述,企业的短期和长期发展目标,在信息系统建设和应用方面的短期和长期发展目标描述,对于信息安全系统建设的短期和长期发展目标描述
所有与信息系统、信息管理、信息安全相关的策略、规章制度、工作流程、培训教材、用户手册、网络拓扑等各种文字资料和图表
输出成果
《安全策略文档体系评估报告》
最终评估结果
经过技术评估、管理评估、策略文件审查、专业培训、数据分析等几个阶段之后,对通过各种途径采集到的各类信息进行综合性分析与判断,除了提交各个阶段特有的一些报告和结果之外,还会提交一些综合性的评估报告及改进建议,包括:
《安全评估整体结果报告》; 《安全整体解决方案建议》; 《系统安全加固建议方案》。
因篇幅问题不能全部显示,请点此查看更多更全内容