全评估工具及方法介绍.pptVIP

/service/patch/search.do?BC=main|pageOsid=hpux /pub-cgi/show.pl?target=patchpage Remote root login 用于更改 /etc/security/user 中 rlogin 属性的值，该属性的作用是指定系统上是否允许以 root 帐户远程登录。 说明：不允许 使用enable password命令设置的密码是用Cisco的type 7型加密算法实现的，可以反向解密的，而管理员使用enable secret命令设置的密码，是用MD5散列算法进行加密，破解有较大难度。 与外部TACACS+ server 8 联动，远程登录使用TACACS+ serverya验证 安全域(Security Zone)，是指网络中具有相同的安全保护需求、并相互信任的区域或网络实体的集合。 目的 面对一个巨大、复杂的信息系统，单独对每项信息资产确定保护方法，是非常复杂的工作，常由于疏忽或错误导致安全漏洞。将整个系统当成一个安全等级来防护，也难免造成没有防范层次和防范重点，对风险尤其是内部风险的控制能力不足。 安全域的划分，就是将系统从安全角度划分成不同的区域，以便实行分门别类的处理。 安全域的边界隔离与防护是关注的重点 层次 明确安全域划分的原则，结合等级保护的要求，确定各安全域的保护等级，并部署相应的安全手段，对边界进行整合，从企业的视角有效地整合系统对外的接口数量，提高企业网络和信息的安全性，是做好安全工作的基础。 一个安全域内可进一步被划分为安全子域，安全子域也可继续依次细化为次级安全域、三级安全域等。 企业与Internet之间、企业与业务合作伙伴、信息提供商及客户组成的网络之间、内部的企业信息化系统、业务支撑系统、网管系统等系统之间存在着复杂的连接关系。由于网络中不同边界的应用方向不同，所以对安全有着不同应用需求，例如与业务合作伙伴的相连和一般外联网的连接对安全性的要求就不相同。 举个例子，每个人家里的财产价值都不同 最值钱的有价证券、存折会放在保险柜里面，或者找个什么地方藏起来 次一等的比如大量现金，可能放在抽屉里面或者口袋里面 最后，少量的现金，可能大家就随手放了 安全域划分并不是粒度越细越好，安全域数量过多过杂可能导致安全域的管理过于复杂和困难。 如由于OA网络办公终端安全方面可控性较差的特点，要求关注与OA服务器之间的接口，而网管系统中的生产终端的控制较好，可以简化对服务器访问的控制措施 核心交换区、核心应用系统区、安全系统区（ids，日志）、日常维护管理区 （日常、厂商 ，第三方）、接口 结合不同系统互联的风险，还可适当选择入侵检测、访问控制等其它的附加安全手段。 单层防火墙可以根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，单层防火墙只能在一定程度上对系统进行隔离防护，因此适用于威胁等级相差较小的安全域之间的连接 双重异构防火墙对单层防火墙进行了加强，通过在双重异构防火墙上设置不同的安全策略，并结合了部分应用改造设置停火区。此种方式对外屏蔽了核心系统，因此，对系统的防护更加有效。 在两个互访系统之间设置接口服务器，实现SERVER――SERVER的通信。在该系统访问其它系统时，均通过接口服务器实现，而其他系统访问该系统时，也只能访问该系统的接口服务器。通过接口服务器实现边界的访问控制，对后台的核心系统进行屏蔽，展现的只是1台应用接口服务器，对系统的防护更加有效 例如： 物理隔离是在网络层物理隔离的基础上，结合通道控制、内容检查、协议转换等机制，采用软硬结合的一种安全技术。比较有效的防范来自外界对网络和信息系统的安全威胁，可以最大程度的防止未知攻击 从安全域边界的角度考虑应提高维护、加强对边界的监控和系统评估；从系统的角度考虑应规范帐号口令的分配，对服务器应严格遵循动态口令 * * 信息过滤，关联分析、资产风险分析、 是否需要和合理利用RPF功能？ RPF可以有效地防止基于地址欺骗的攻击手段，提供全网的抗攻击能力，ＲＰＦ的使用基于以下原则： 路由器必须可以开启ＣＥＦ交换模式 如果路由器从某接口接收到的任何ＩＰ包，　其回应包必定从该接口返回，　则可以在该接口上使用RPF功能； ＲＰＦ尽可能在靠近接入用户的网络设备上使用； Router(config)#ip cef Router(config)#inter e0/0 Router(config-if)#ip verify unicast reverse-path 访问控制列表 访问控制列表 访问控制列表 访问控制列表 议程 评估概述 评估工具介绍 Windows 2000安全评估 Unix安全评估 网络设备安全性评估 网络架构安全评估 网络架构安