《网络安全评估方案书.doc》由会员分享,可在线阅读,更多相关《网络安全评估方案书.doc(6页珍藏版)》请在三一办公上搜索。
1、网络安全评估方案书1. 项目需求随着信息时代的到来,企业业务的运作越来越依赖于互联网,互联网给我们带来快捷,方便,高效服务的同时也带来了巨大的安全隐患,在当今的一个巨大的互联网系统中存在着各种病毒木马,以及各式各样的黑客攻击,一旦这些攻击渗入到我们公司的网络,那我们内网的数据就会透明的摆放在黑客的手中,我们的商业机密将极有可能被我们的竞争对手掌握,那样一来对企业来说将是一项巨大的损失。毫不夸张的说一个企业的网络构架是否安全,决定着企业能否在激烈的竞争中立于不败之地。但从目前的情况来看,很多企业似乎并没有重视网络安全的建设,导致诸多企业被攻击,造成巨大的损失。为此我们要从根本上更新观念,注重网络
2、安全项目的建设,着手对现有的网络安全构架进行评估,并做出合理的,有效的网络安全实施方案,这对企业网络安全建设尤为重要。2. 项目方案2.1.实现目的要想对企业现有的网络构架做出合理的,高效的网络安全解决方案,我们要从以下几点进行评估: 在企业的边界是否有安全设备保证进出网络访问的安全,检测攻击行为 在企业的数据中心是否有安全设备保护对服务器的访问安全 企业的各种账户口令是否安全 企业的数据中心是否有灾难备份机制 企业的无线局域网络是否有较强的安全机制来保护无线网路的安全 企业内网客户端是否有较强的安全保障机制提高客户端的安全性 对企业内网是否有完善的监测机制,实时监测内网行为是否正常下面给出一
3、个比较安全的网路安全构架的拓扑结构图:2.2.系统方案设计2.2.1.常见的攻击行为 阻断用户访问这种攻击通常发生在大型网站和热门网站。2010年初,百度遇到的就是典型的“阻断用户访问”型攻击,黑客替换了百度的域名解析记录,使用户无法访问搜索服务器。此次攻击持续时间长达几个小时,造成的损失无法估量。能造成“阻断用户访问”效果的攻击手段,除了“域名劫持”之外,更普遍的手段是DDOS攻击(Distributed Denial of Service,分布式拒绝服务攻击)。黑客控制位于全球的成千上万台机器,同时向攻击目标发起连接请求,这些请求在瞬间超过了服务器能够处理的极限,导致其它用户无法访问这些网
4、站。DDOS攻击技术含量比较低,即使技术不高的人只要花钱购买肉鸡,从网上下载工具就可以进行,因此在所有针对企业的攻击中,此类攻击占据了很大的比例。而且这一类攻击普通网民可以感受到,很容易被媒体报道,通常会引起业界的关注。 在网站植入病毒和木马攻击企业网站,并在服务器上植入恶意代码,是另一种应用广泛的黑客攻击形式。根据瑞星“云安全”系统提供的结果,2010年,国内有250120个网站被植入了病毒或者木马(以域名计算)。教育科研网站、网游相关网站和政府网站,是最容易被攻击植入木马的三个领域,分别占总体数量的27%、17%和13%。 将域名劫持到恶意网站“域名劫持”也是企业用户经常遇到的一种攻击方式
5、,通常表现为“网民输入一个网站的网址,打开的却是另一个网站”。这种现象可以分为以下多种情况:黑客通过病毒修改了用户客户端电脑的HOST列表,使一个正确的域名对应了错误的IP地址。用户所在的局域网,比如小区宽带、校园网、公司局域网等被ARP病毒感染,病毒劫持了局域网内的HTTP请求。网站所在的服务器机房遇到了ARP攻击。黑客通过技术手段,篡改了域名注册商管理的服务器。 内部账号和密码外泄由于网络管理员通常管理多个密码,有的管理员会把密码记在纸上,贴在办公室里;或者使用自己的生日、电话号码等常见数字;或者有的管理员会使用密码管理工具,保存在自己的个人PC上,这些行为都很容易被黑客攻击并窃取,取得密
6、码后会进行下一步的操作。 内网关键信息外泄黑客在对一个企业进行攻击前,通常会对其进行长时间的观察和探测,例如:企业内网使用了哪些软硬件产品、版本型号、各自存在的漏洞;人员布置方面的信息,如多久对服务器进行一次例行检查、具体的安全管理规范是怎样的。有的黑客甚至会关注“一旦发生安全事故,网络管理员的的责任追究”等具体细节。因为有的企业规定了严苛的安全管理制度,管理员一旦发现安全事故,会倾向于掩盖,而不是追查,这样就给黑客的进一步入侵带来方便。2.2.2.评估项目 在企业的边界是否有安全设备保证进出网络访问的安全,检测攻击行为在企业网络边缘我们很有必要部署一台防火墙或入侵监测系统或入侵放御系统,实现
7、对进出网络的连接进行分析,过滤数据包,查看是否有潜在的攻击威胁,一旦监测到有攻击威胁将进行处理,并向网络管理员报告,同时实时的记录到日志服务器中。 在企业的数据中心是否有安全设备保护对服务器的访问安全对于企业而言,数据中心服务器上的各种数是整个公司的灵魂,如果服务器被恶意攻击导致无法正常提供服务,或者数据被窃取或被篡改,那么对企业将带来巨大的损失。在数据中心的边界加一台防火墙,对访问服务器的用户身份进行验证,拒绝非授权的用户访问服务器,这将极大的提高访问服务器的安全性, 企业的各种账户口令是否安全对企业的而言,为了验证合法用户往往需要通过账户口令的形式来实现,用户输入正确的用户名和密码提交验证
8、,如果验证通过之后方能访问服务器,获取相关的服务。一般而言企业的END USER有如下账户和口令:1) 登陆计算机账户和口令,有两种情况:n 对于工作组模式,为本地账户和口令,需要到本地计算机的SAM数据库中进行验证n 对于域环境,为域账户和口令,需要将户和口令发送到DC进行验证2) 远程办公用户使用的VPN账户和密码n 邮箱账户和密码n 访问File server用户名和密码等,诸如此类的用户名和密码很多,但是都有一个共同的特点,那就是这些账户名和密码都是静态的,一旦这密码被泄露或被采取任何手段窃取,那么任何人都将可以使用该账户和密码访问服务器,获取相关的服务,这是相当危险的,因为这种情况大
9、部分会发生在企业的内网。虽然有些公司会采取策略来确保密码的复杂度,并且定时的更换密码,这种方法虽然可以在一定程度上提高账户和密码的安全性,但是给用户带来了极大的负担,用户不得不花费很大的精力去记忆这些账户和密码,有些用户甚至因为频繁的更换密码后,不记得正确的用户名和密码而造成无法正常的访问服务器,影响工作,更有甚者为防止忘记用户名和密码而直接将用户名和密码写在纸上,然后贴在电脑或者显示器上,这其实并没起到真正保护用户名和密码的目的。为了解决账户和口令的安全性问题,我们最佳的解决方案是使用动态口令身份认证技术,我们会为每个用户发一个动态口令卡,该口令卡将会在一定的时间内(通常是一分钟)随机产生一
10、个口令,此口令将和用户名一起发送到动态口令验证系统服务器上进行验证,只有验证通过的情况下才能被授权访问。这样一来即使密码被其他的人获取,也没办法通过验证,因为口令是随机且定期变换的。 企业的数据中心是否有灾难备份机制一旦数据中心的服务器出现问题,那么其上的数据将会有丢失的危险,给服务器上的数据采取灾难备份机制将是极佳的选择。通常情况下有以下几种灾难备份机制:n 本地备份n 异地备份 企业的无线局域网络是否有较强的安全机制来保护无线网路的安全对企业而言,无线网络已不可缺少,但是有时也会存在一些安全的隐患,比如,无线加密机制不够好的情况下,无线密码将会很容易被破解掉,一旦入侵者或者非授权用户连入企
11、业内网,将会在相当大的程度上威胁内网数据的安全性。为此需要确保无线设备采取强大的,安全的加密机制,保证无线网络连接的安全。就目前而言,WAP2这种加密算法是很好的选择。 企业内网客户端是否有较强的安全保障机制提高客户端的安全性客户端机器作为内网的主要成员,它的安全性变得很重要,我们要为客户端机器安装杀毒软件,同时在数据的出口限制访问一些不安全的网站,确保客户端机器的安全性。通常较为强大的杀毒软件主要有:n 卡巴斯基杀毒软件n 麦咖啡杀毒软件n 诺顿杀毒软件等。 对企业内网是否有完善的监测机制,实时监测内网行为是否正常对于管理员,我们要有一种监测机制,比如说部署流量监控软件,上网行为分析软件等等
12、类似的软件来检测客户端机器的上网行为是否异常,这样可以快速,有效的监测到异常情况并能快速的做出反应,保证企业内网的安全。2.3系统产品选型及技术资料2.3.1.企业网络边界和数据中心安全设备选型技术资料 设备选型在企业网络的边界我我们可以部署一功能强,性能好,稳定性佳的CISCO ASA 5500系列防火墙设备来保护进出连接的安全性,CISCO ASA 5500系列防火墙是模块化设计,针对不同的应用它提供如下的模块化设计:a) CISCO ASA 5500防火墙板b) CISCO ASA 5500 VPN 板c) CISCO ASA 5500 IPS 板d) CISCO ASA 5500 内容安全板设备的技术资料
