企业安全设计案例分析.ppt

1企业网络平安设计：案例分析

2内容案例介绍平安评估平安方案设计

3

4上海总部(200人)行政部人力资源部管理部公共关系部固定资产部采购部IT总部市场部销售部北京分公司〔100人〕行政部财务部人力资源部管理部销售市场部IT管理部太阳能部质量控制部法律事务部

5伟达〔中国〕公司从1985年成立，经历了一个飞速的开展过程，特别是90年代起收购了多家国内知名的的公司，而且在中国一直与政府及大型能源企业都有全面的合作。公司营业额在5年间增长了10倍，目前在国内的主要大城市都有分公司和代表处，基于上述的业务增长，员工人数也增加了8倍。但是公司的急速扩张造成了公司IT管理部门的巨大工作压力，公司原有的IT管理构架早已不堪重负。于是在2001年初，公司对伟达〔中国〕的整个网络系统进行了一次重大升级，包括增加网络带宽，更换核心设备，并将整个系统从WindowsNT4平台全部迁移到了Windows2000平台并采用了活动目录效劳，以提高整个网络系统的可用性和可管理性。

6伟达的网络拓扑结构

7风险

8危机！

9问题！经过初步平安检查，发现以下问题：邮件效劳器没有防病毒扫描模块；客户端有W32/Mydoom@MM邮件病毒问题路由器密码缺省没有修改正，非常容易被人攻击；网站效劳器系统没有安装最新微软补丁没有移除不需要的功能组件；用户访问没有设置复杂密码验证，利用字典攻击，非常容易猜出用户名和密码，同时分厂员工对于网站访问只使用了简单密码验证，容易被人嗅听到密码。数据库系统SQL2000SA用户缺省没有设置密码；数据库系统SQL2000没有安装任何补丁程序

10亡羊补牢王勇看到方明的报告非常吃惊，急忙上告公司CIO余鸣，介绍公司网络平安状况，同时提及如果不及时解决公司平安问题，可能会造成非常大的经济和声誉上的影响。12月22日上午，伟达公司立即召开紧急会议商讨此事，希望籍此吸取教训，彻底整改，在进行平安风险评估的根底上，全面提高企业网络平安性。

11用户的目标“我们做了尽可能多的工作，努力提我们的响应速度，缩短解决问题的时间，但是很多情况下我们总是在问题出现了之后才开始解决，在这种情况下我们很难及时解决问题，每次都会有一天到两天大部份系统不能使用，而且也无法对可能发生的问题做有效的估计〞李杰，伟达〔中国〕的IT效劳中心经理抱怨说。“我们在很多方面的工作都很成功，但是就是由于这些网络上令人讨厌的病毒，造成了我们还是经常收到来自个方面的投诉，显然这不是我们想看到的。我们需要严密的系统和严格的策略来保证我们业务系统的稳定性和可用性〞伟达〔中国〕首席信息官〔CIO〕余鸣先生如是说。“我们需要一个可靠、稳定、平安，易于管理和维护的IT解决方案，以及基于此方案的优秀IT效劳部门，用以支撑我们公司的运营，以及未来的开展。〞公司总裁(CEO)张其军解释。

12风险评估

13风险评估的一般过程

14需要搜集的根本信息

15使用MBSA

16评价风险问题严重程度定义建议5严重安全问题严重的安全漏洞，如果被利用会对业务产生严重的破坏记录，评估，立即更改4高风险安全问题严重的安全漏洞，如果被利用将/可能会对业务产生严重的影响记录，评估，在15至30天内更改3中度风险的安全问题中度风险的安全问题，可能会影响业务的进行或纪录，评估，在90天内改进2轻微风险的安全问题轻微风险的安全问题，不会对业务带来直接的影响纪录，评估，在120天内改进1安全建议不属于安全问题，但改进后可进一步提高安全记录，评估，在可行的情况下采用

17使用平安评测工具平安评测工具通过内置的漏洞和风险库，对指定的系统进行全面的扫描平安评测工具可以快速定位漏洞和风险MBSA〔MicrosoftBaselineSecurityAnalyzer，基准平安分析器〕是微软提供的系统平安分析及解决工具。MBSA可以对本机或者网络上的WindowsNT/2000/XP的系统进行平安性检测，还可以检测其它的一些微软产品，诸如SQL7.0/2000、5.01以上版本的InternetExplorer、IIS4.0/5.0/5.1和Office2000/XP，并给出相应的解决方法。

18整理结果:效劳器端严重级别安全问题5没有安装sp2之后最新的Hotfix3没有限制匿名用户对本地安全子系统的访问4没有制定密码策略4没有定义账号锁定策略3没有改变administrator账号以及配置该账号4没有设置“允许从网络访问这台计算机“3删除不需要的协议，并且禁用NetBIOSoverTCP/IP4没有将所有日志的保存方法设为“按需要改写日志”2事件日志文件使用缺省大小3没有针对重要文件进行审核3“允许从网络访问这台计算机”的权限中有everyone组3没有设置专职的信息安全管理人员3缺少有效