e政府信息安全管理整体解决方案.pptVIP

e政府信息安全管理整体解决方案 广东天海威数码技术有限公司 陈伟纯 目录 第一章 导言 第二章 网络概况 第三章 网络安全威胁和风险分析 第四章 蓝盾政府解决方案 第一章 导言 　　改革开放的中国在迎来经济高速发展的同时，也进入了信息高速公路发展时期。网络的应用从小范围小规模迅速扩展到各行各业。特别是政府、金融、公安、电信等行业。开放的互联网带给人们方便快捷信息交流的同时，伴随着网络的普及，信息安全问题日益突出，已经是刻不容缓有待解决的问题。 　政府肩负着国家的管理与经济的宏观调控，政府部门交流的信息往往是涉及政治经济机密的，信息安全问题，如敏感信息的泄露、黑客的侵入、网络资源的非法使用以及计算机病毒等都将对政府的正常工作带来严重的威胁，甚至影响到国家的长治久安。为此对政府的网络进行严格的安全设计是必不可少的。 第二章 网络概况 一、政府网络结构 1、政府内部办公网 2政府与internet互联  政府与internet互联拓朴分析 1、不充分的边界路由器访问控制：配置不当的路由器ACL会使得透过 ICMP、IP和NetBIOS发生信息成为可能，从而导致对DMZ上服务器提供的服务进行未经授权的访问。 2、没有施行安全措施且无人监管的远程访问点提供访问目标站点公司网络的最简易方式之一。 3、过度的信任关系（例如NT的Domain Trusts和UNI的.rhosts和hosts.equiv文件）能够给攻击者提供未经授权访问敏感信息的能力。 4、具有过度特权的用户账号或测试账号。 5、没有打过补丁的、过时的、脆弱的或遗留在缺省配置状态的软件。 6、缺乏采纳已经被接受的并被广泛散布的安全策略、规范和指导。 7、过度的文件的目录访问控制（NT共享资源、UNIX NFS导出清单）。 8、不加认证的服务，例如X Windows允许用户捕捉远程键击。 9、工作站级别脆弱的、易于猜中的和重用的密码会给服务器带来被侵害的厄运。 10、配置不当的因特网服务器，特别是Web服务器上的CGI脚本和匿名FTP。 11、配置不当的防火墙或路由器ACL允许直接某个DMZ上服务器后访问内部系统。 12、运行并非必要的服务（例如RPC、FTP、DNS、SMTP）的主机很容易被侵害。 13、信息泄漏给攻击者提供操作系统和应用程序版本、用户、用户组、共享资源、DNS信息（通过区域传送到）以及运行中的服务（例如SNMP、finger、SMTP、telnet 、NetBIOS）等信息。 14、在网络和主机级别不充足的记录、监视和检测能力。 第三章 网络安全威胁与风险分析 1、操作系统风险分析 WIN2000系统 WINDOWS FTP 服务漏洞 FTP即文件传输协议(File Transfer Protocol)是当前最常用的协议之一。它允许往远程系统上传或从远程系统下载文件。FTP还往往被滥用来获取对于远程系统的访问权或存放非法取得的文件。许多FTP服务器允许匿名访问，使得任何用户无需认证就能登录到这些FTP服务器中。一般情况下匿名FTP能够访问的文件系统仅限于整个目录树的特定分支。然而偶然情况下匿名FTP服务器会允许用户越整个目录结构。这么一来攻击者就能取走/etc/passwd之类敏感的配置文件了。使得这种情形更为恶化的是，许多FTP服务器拥有任何用户都可以写目录。任何用户都可写的目录与匿名访问结合的后果是等着发生安全事件。攻击者出许有能力往某个用户的主目录(home directory)中放置一个.rhosts文件，以允许攻击者rlogin到目标系统。另外，许多FTP服务器还被软件海盗们滥用来存入非法掠夺物到隐藏的目录中。如果你的网络利用率一天之内翻了三倍，那么它可能表征你的系统正被别人用来转移最近累积的赃物。 除了与允许匿名访问关联的危险外，FTP服务器程序在与缓冲区溢出条件和其它不安全因素相关的安全问题中出占有自己的相当份额。 Unix系统 2、应用的风险分析 IIS UNICODE 漏洞 WIN2000、NT的IIS的UNICODE漏洞。 WIN2000的ISAPI扩展远程溢出漏洞: /null.ida WIN2000的ISAPI扩展远程溢出漏洞: /null.idq IIS 5.0 .printer远程缓冲区溢出漏洞 CGI漏洞 IIS CGI文件名二次解码漏洞: /_vti_bin/..%%35%63..%%35%63..%%35%63..%%35%63..%%35%63../winnt/system32/cmd.exe?/c+dir /_vti_bin/..%%35c..%%35c..%%35c..%%35c..%%35c../winnt/system32/cmd.exe?/