网络安全建议方案.docVIP

XXXX网络安全建议方案 VER:1.0 XXXXXXXXXXXXXX有限公司 2009年7月 前言 随着计算机网络的不断发展,信息产业已经成为人类社会的支柱产业，全球信息化已成为人类社会发展的大趋势,由此带动了计算机网络的迅猛发展和普遍应用。但在地下黑色产业链的推动下，网络犯罪行为趋利性表现更加明显，追求经济利益依然是主要目标。黑客往往利用仿冒网站、伪造邮件、盗号木马、后门病毒等，并结合社会工程学，窃取大量用户数据牟取暴利，包括网游账号、网银账号和密码、网银数字证书等。木马、病毒等恶意程序的制作、传播、用户信息窃取、第三方平台销赃、洗钱等各环节的流水作业构成了完善的地下黑色产业链条，为各种网络犯罪行为带来了利益驱动，加之黑客攻击手法更具隐蔽性，使得对这些网络犯罪行为的取证、追查和打击都非常困难。 在我国，近几年随着网络技术的发展，网络应用的普及和丰富，网络安全的问题也日益严重，利用信息技术进行的高科技犯罪事件呈现增长态势。根据国际权威应急组织CERT/CC 统计1，2007 年公布漏洞数7236 个，平均每天接近20个！自1995 年以来各年来漏洞公布总数38016 个。网络信息系统存在的安全漏洞和隐患层出不穷，网络攻击的种类和数量成倍增长，终端用户和互联网企业是主要的受害者，基础网络和重要信息系统面临着严峻的安全威胁。2007年各种网络安全事件与2006年相比都有显著增加。接收的网络仿冒事件和网页恶意代码事件成倍增长，分别超出去年总数的近1.4倍和2.6倍，被篡改网站数量比去年增加了1.5倍。安全问题已经成为制约网络技术发展的首要因素！ 安全需求分析 安全风险分析 网络应用给人们带来了无尽的好处，更方便各项日常工作的开展。但随着网络应用扩大网络安全风险也变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机，引起大范围的瘫痪和损失；另外加上缺乏安全控制机制和对网络安全政策及防护意识的认识不足，这些风险正日益加重。 瞄准网络系统可能存在的安全漏洞，黑客们所制造的各类新型的风险将会不断产生，这些风险由多种因素引起，与网络系统结构和系统的应用等因素密切相关。 完整的网络安全风险评估是对网络内的信息资产进行价值评估、对网络存在的威胁进行评估、对整体安全策略和制度的有效性进行评估、以及对系统漏洞被利用的可能性进行评估后的综合结果。它是一项综合系统的工程，是风险管理的重要组成部分，也是整体网络安全解决方案的重要参考依据。 安全弱点分析 系统和应用脆弱性 网络内部运行有ERP服务器、OA服务器、数据库服务器等。这些服务器是最容易受到攻击的薄弱点。众所周知，每一种操作系统都包含有漏洞（如下表所示），开发厂商也会定期发布补丁包。如何对重要服务器进行漏洞扫描、入侵检测、补丁管理成为日常安全维护的重要工作。网络内部缺乏有效的设备和系统对系统级、应用级的脆弱性进行定期分析、评估和管理。 ID 名称 说明举例 1 Backdoor 各种后门和远程控制软件，例如BO、Netbus等 2 Brute Force 各种浏览器相关的弱点，例如自动执行移动代码等 3 CGI-BIN 各种CGI-BIN相关的弱点，例如PHF、wwwboard等 4 Daemons 服务器中各种监守程序产生弱点，例如amd, nntp等 5 DCOM 微软公司DCOM控件产生的相关弱点 6 DNS DNS服务相关弱点，例如BIND 8.2远程溢出弱点 7 E-mail 各种邮件服务器、客户端相关的安全弱点，例如Qpopper的远程溢出弱点 8 Firewalls 各种防火墙及其代理产生的安全弱点，例如Gauntlet Firewall CyberPatrol内容检查弱点 9 FTP 各种FTP服务器和客户端相关程序或配置弱点，例如WuFTPD site exec弱点 10 Information Gathering 各种由于协议或配置不当造成信息泄露弱点，例如finger或rstat的输出 11 Instant Messaging 当前各种即时消息传递工具相关弱点，例如OICQ、IRC、Yahoo messager等相关弱点 12 LDAP LDAP服务相关的安全弱点， 13 Network 网络层协议处理不当引发的安全弱点，例如LAND攻击弱点 14 Network Sniffers 各种窃听器相关的安全弱点，例如NetXRay访问控制弱点 15 NFS NFS服务相关的安全弱点，例如NFS信任关系弱点 16 NIS NIS服务相关的安全弱点，例如知道NIS域名后可以猜测口令弱点 17 NT Related 微软公司NT操作系统相关安全弱点 18 Protocol Spoofing 协议中存在的安