網(wǎng)絡(luò)安全評(píng)估方案書1. 項(xiàng)目需求隨著信息時(shí)代的到來(lái)，企業(yè)業(yè)務(wù)的運(yùn)作越來(lái)越依賴于互聯(lián)網(wǎng)，互聯(lián)網(wǎng)給我們帶來(lái)快捷，方便，高效服務(wù)的同時(shí)也帶來(lái)了巨大的安全隱患，在當(dāng)今的一個(gè)巨大的互聯(lián)網(wǎng)系統(tǒng)中存在著各種病毒木

網(wǎng)絡(luò)安全評(píng)估方案書

1. 項(xiàng)目需求

隨著信息時(shí)代的到來(lái)，企業(yè)業(yè)務(wù)的運(yùn)作越來(lái)越依賴于互聯(lián)網(wǎng)，互聯(lián)網(wǎng)給我們帶來(lái)快捷，方便，高效服務(wù)的同時(shí)也帶來(lái)了巨大的安全隱患，在當(dāng)今的一個(gè)巨大的互聯(lián)網(wǎng)系統(tǒng)中存在著各種病毒木馬，以及各式各樣的黑客攻擊，一旦這些攻擊滲入到我們公司的網(wǎng)絡(luò)，那我們內(nèi)網(wǎng)的數(shù)據(jù)就會(huì)透明的擺放在黑客的手中，我們的商業(yè)機(jī)密將極有可能被我們的競(jìng)爭(zhēng)對(duì)手掌握，那樣一來(lái)對(duì)企業(yè)來(lái)說(shuō)將是一項(xiàng)巨大的損失。毫不夸張的說(shuō)一個(gè)企業(yè)的網(wǎng)絡(luò)構(gòu)架是否安全，決定著企業(yè)能否在激烈的競(jìng)爭(zhēng)中立于不敗之地。

但從目前的情況來(lái)看，很多企業(yè)似乎并沒(méi)有重視網(wǎng)絡(luò)安全的建設(shè)，導(dǎo)致諸多企業(yè)被攻擊，造成巨大的損失。

為此我們要從根本上更新觀念，注重網(wǎng)絡(luò)安全項(xiàng)目的建設(shè)，著手對(duì)現(xiàn)有的網(wǎng)絡(luò)安全構(gòu)架進(jìn)行評(píng)估，并做出合理的，有效的網(wǎng)絡(luò)安全實(shí)施方案，這對(duì)企業(yè)網(wǎng)絡(luò)安全建設(shè)尤為重要。

2. 項(xiàng)目方案

2.1. 實(shí)現(xiàn)目的

要想對(duì)企業(yè)現(xiàn)有的網(wǎng)絡(luò)構(gòu)架做出合理的，高效的網(wǎng)絡(luò)安全解決方案，我們要從以下幾點(diǎn)進(jìn)行評(píng)估：

在企業(yè)的邊界是否有安全設(shè)備保證進(jìn)出網(wǎng)絡(luò)訪問(wèn)的安全，檢測(cè)攻擊行為 在企業(yè)的數(shù)據(jù)中心是否有安全設(shè)備保護(hù)對(duì)服務(wù)器的訪問(wèn)安全 企業(yè)的各種賬戶口令是否安全

企業(yè)的數(shù)據(jù)中心是否有災(zāi)難備份機(jī)制

企業(yè)的無(wú)線局域網(wǎng)絡(luò)是否有較強(qiáng)的安全機(jī)制來(lái)保護(hù)無(wú)線網(wǎng)路的安全 企業(yè)內(nèi)網(wǎng)客戶端是否有較強(qiáng)的安全保障機(jī)制提高客戶端的安全性 對(duì)企業(yè)內(nèi)網(wǎng)是否有完善的監(jiān)測(cè)機(jī)制，實(shí)時(shí)監(jiān)測(cè)內(nèi)網(wǎng)行為是否正常

下面給出一個(gè)比較安全的網(wǎng)路安全構(gòu)架的拓?fù)浣Y(jié)構(gòu)圖：

2.2.

系統(tǒng)方案設(shè)計(jì)

2.2.1. 常見(jiàn)的攻擊行為

阻斷用戶訪問(wèn)

這種攻擊通常發(fā)生在大型網(wǎng)站和熱門網(wǎng)站。2010年初，百度遇到的就是典型的“阻斷用戶訪問(wèn)”型攻擊，黑客替換了百度的域名解析記錄，使用戶無(wú)法訪問(wèn)搜索服務(wù)器。此次攻擊持續(xù)時(shí)間長(zhǎng)達(dá)幾個(gè)小時(shí)，造成的損失無(wú)法估量。

能造成“阻斷用戶訪問(wèn)”效果的攻擊手段，除了“域名劫持”之外，更普遍的手段是DDOS 攻擊(Distributed Denial of Service,分布式拒絕服務(wù)攻擊) 。黑客控制位于全球的成千上萬(wàn)臺(tái)機(jī)器，同時(shí)向攻擊目標(biāo)發(fā)起連接請(qǐng)求，這些請(qǐng)求在瞬間超過(guò)了服務(wù)器能夠處理的極限，導(dǎo)致其它用戶無(wú)法訪問(wèn)這些網(wǎng)站。

DDOS 攻擊技術(shù)含量比較低，即使技術(shù)不高的人只要花錢購(gòu)買肉雞，從網(wǎng)上下載工具就可以進(jìn)行，因此在所有針對(duì)企業(yè)的攻擊中，此類攻擊占據(jù)了很大的比例。而且這一類攻擊普通網(wǎng)民可以感受到，很容易被媒體報(bào)道，通常會(huì)引起業(yè)界的關(guān)注。

在網(wǎng)站植入病毒和木馬

攻擊企業(yè)網(wǎng)站，并在服務(wù)器上植入惡意代碼，是另一種應(yīng)用廣泛的黑客攻擊形式。根據(jù)瑞星“云安全”系統(tǒng)提供的結(jié)果，2010年，國(guó)內(nèi)有250120個(gè)網(wǎng)站被植入了病毒或者木馬(以域名計(jì)算) 。教育科研網(wǎng)站、網(wǎng)游相關(guān)網(wǎng)站和政府網(wǎng)站，是最容易被攻擊植入木馬的三個(gè)領(lǐng)域，分別占總體數(shù)量的27、17和13。 將域名劫持到惡意網(wǎng)站

“域名劫持”也是企業(yè)用戶經(jīng)常遇到的一種攻擊方式，通常表現(xiàn)為“網(wǎng)民輸入一個(gè)網(wǎng)站的網(wǎng)址，打開(kāi)的卻是另一個(gè)網(wǎng)站”。這種現(xiàn)象可以分為以下多種情況： ①黑客通過(guò)病毒修改了用戶客戶端電腦的HOST 列表，使一個(gè)正確的域名對(duì)應(yīng)了錯(cuò)誤的IP 地址。

②用戶所在的局域網(wǎng)，比如小區(qū)寬帶、校園網(wǎng)、公司局域網(wǎng)等被ARP 病毒感染，病毒劫持了局域網(wǎng)內(nèi)的HTTP 請(qǐng)求。

③網(wǎng)站所在的服務(wù)器機(jī)房遇到了ARP 攻擊。

④黑客通過(guò)技術(shù)手段，篡改了域名注冊(cè)商管理的服務(wù)器。

內(nèi)部賬號(hào)和密碼外泄

由于網(wǎng)絡(luò)管理員通常管理多個(gè)密碼，有的管理員會(huì)把密碼記在紙上，貼在辦公室里; 或者使用自己的生日、電話號(hào)碼等常見(jiàn)數(shù)字; 或者有的管理員會(huì)使用密碼管理工具，保存在自己的個(gè)人PC 上，這些行為都很容易被黑客攻擊并竊取，取得密碼后會(huì)進(jìn)行下一步的操作。

內(nèi)網(wǎng)關(guān)鍵信息外泄

黑客在對(duì)一個(gè)企業(yè)進(jìn)行攻擊前，通常會(huì)對(duì)其進(jìn)行長(zhǎng)時(shí)間的觀察和探測(cè)，例如：企業(yè)內(nèi)網(wǎng)使用了哪些軟硬件產(chǎn)品、版本型號(hào)、各自存在的漏洞; 人員布置方面的信息，如多久對(duì)服務(wù)器進(jìn)行一次例行檢查、具體的安全管理規(guī)范是怎樣的。

有的黑客甚至?xí)P(guān)注“一旦發(fā)生安全事故，網(wǎng)絡(luò)管理員的的責(zé)任追究”等具體細(xì)節(jié)。因?yàn)橛械钠髽I(yè)規(guī)定了嚴(yán)苛的安全管理制度，管理員一旦發(fā)現(xiàn)安全事故，會(huì)傾向于掩蓋，而不是追查，這樣就給黑客的進(jìn)一步入侵帶來(lái)方便。

2.2.2. 評(píng)估項(xiàng)目

在企業(yè)的邊界是否有安全設(shè)備保證進(jìn)出網(wǎng)絡(luò)訪問(wèn)的安全，檢測(cè)攻擊行為

在企業(yè)網(wǎng)絡(luò)邊緣我們很有必要部署一臺(tái)防火墻或入侵監(jiān)測(cè)系統(tǒng)或入侵放御系統(tǒng)，實(shí)現(xiàn)對(duì)進(jìn)出網(wǎng)絡(luò)的連接進(jìn)行分析，過(guò)濾數(shù)據(jù)包，查看是否有潛在的攻擊威脅，一旦監(jiān)測(cè)到有攻擊威脅將進(jìn)行處理，并向網(wǎng)絡(luò)管理員報(bào)告，同時(shí)實(shí)時(shí)的記錄到日志服務(wù)器中。

在企業(yè)的數(shù)據(jù)中心是否有安全設(shè)備保護(hù)對(duì)服務(wù)器的訪問(wèn)安全

對(duì)于企業(yè)而言，數(shù)據(jù)中心服務(wù)器上的各種數(shù)是整個(gè)公司的靈魂，如果服務(wù)器被惡意攻擊導(dǎo)致無(wú)法正常提供服務(wù)，或者數(shù)據(jù)被竊取或被篡改，那么對(duì)企業(yè)將帶來(lái)巨大的損失。在數(shù)據(jù)中心的邊界加一臺(tái)防火墻，對(duì)訪問(wèn)服務(wù)器的用戶身份進(jìn)行驗(yàn)證，拒絕非授權(quán)的用戶訪問(wèn)服務(wù)器，這將極大的提高訪問(wèn)服務(wù)器的安全性， 企業(yè)的各種賬戶口令是否安全

對(duì)企業(yè)的而言，為了驗(yàn)證合法用戶往往需要通過(guò)賬戶口令的形式來(lái)實(shí)現(xiàn)，用戶輸入正確的用戶名和密碼提交驗(yàn)證，如果驗(yàn)證通過(guò)之后方能訪問(wèn)服務(wù)器，獲取相關(guān)的服務(wù)。

一般而言企業(yè)的END USER有如下賬戶和口令：

1) 登陸計(jì)算機(jī)賬戶和口令，有兩種情況：

? 對(duì)于工作組模式，為本地賬戶和口令，需要到本地計(jì)算機(jī)的SAM 數(shù)據(jù)庫(kù)

中進(jìn)行驗(yàn)證

? 對(duì)于域環(huán)境，為域賬戶和口令，需要將戶和口令發(fā)送到DC 進(jìn)行驗(yàn)證 2) 遠(yuǎn)程辦公用戶使用的VPN 賬戶和密碼

? 郵箱賬戶和密碼

? 訪問(wèn)File server用戶名和密碼

等，諸如此類的用戶名和密碼很多，但是都有一個(gè)共同的特點(diǎn)，那就是這些賬戶名和密碼都是靜態(tài)的，一旦這密碼被泄露或被采取任何手段竊取，那么任何人都

將可以使用該賬戶和密碼訪問(wèn)服務(wù)器，獲取相關(guān)的服務(wù)，這是相當(dāng)危險(xiǎn)的，因?yàn)檫@種情況大部分會(huì)發(fā)生在企業(yè)的內(nèi)網(wǎng)。

雖然有些公司會(huì)采取策略來(lái)確保密碼的復(fù)雜度，并且定時(shí)的更換密碼，這種方法雖然可以在一定程度上提高賬戶和密碼的安全性，但是給用戶帶來(lái)了極大的負(fù)擔(dān)，用戶不得不花費(fèi)很大的精力去記憶這些賬戶和密碼，有些用戶甚至因?yàn)轭l繁的更換密碼后，不記得正確的用戶名和密碼而造成無(wú)法正常的訪問(wèn)服務(wù)器，影響工作，更有甚者為防止忘記用戶名和密碼而直接將用戶名和密碼寫在紙上，然后貼在電腦或者顯示器上，這其實(shí)并沒(méi)起到真正保護(hù)用戶名和密碼的目的。

為了解決賬戶和口令的安全性問(wèn)題，我們最佳的解決方案是使用動(dòng)態(tài)口令身份認(rèn)證技術(shù)，我們會(huì)為每個(gè)用戶發(fā)一個(gè)動(dòng)態(tài)口令卡，該口令卡將會(huì)在一定的時(shí)間內(nèi)（通常是一分鐘）隨機(jī)產(chǎn)生一個(gè)口令，此口令將和用戶名一起發(fā)送到動(dòng)態(tài)口令驗(yàn)證系統(tǒng)服務(wù)器上進(jìn)行驗(yàn)證，只有驗(yàn)證通過(guò)的情況下才能被授權(quán)訪問(wèn)。這樣一來(lái)即使密碼被其他的人獲取，也沒(méi)辦法通過(guò)驗(yàn)證，因?yàn)榭诹钍请S機(jī)且定期變換的。 企業(yè)的數(shù)據(jù)中心是否有災(zāi)難備份機(jī)制

一旦數(shù)據(jù)中心的服務(wù)器出現(xiàn)問(wèn)題，那么其上的數(shù)據(jù)將會(huì)有丟失的危險(xiǎn)，給服務(wù)器上的數(shù)據(jù)采取災(zāi)難備份機(jī)制將是極佳的選擇。

通常情況下有以下幾種災(zāi)難備份機(jī)制：

? 本地備份

? 異地備份

企業(yè)的無(wú)線局域網(wǎng)絡(luò)是否有較強(qiáng)的安全機(jī)制來(lái)保護(hù)無(wú)線網(wǎng)路的安全

對(duì)企業(yè)而言，無(wú)線網(wǎng)絡(luò)已不可缺少，但是有時(shí)也會(huì)存在一些安全的隱患，比如，無(wú)線加密機(jī)制不夠好的情況下，無(wú)線密碼將會(huì)很容易被破解掉，一旦入侵者或者非授權(quán)用戶連入企業(yè)內(nèi)網(wǎng)，將會(huì)在相當(dāng)大的程度上威脅內(nèi)網(wǎng)數(shù)據(jù)的安全性。 為此需要確保無(wú)線設(shè)備采取強(qiáng)大的，安全的加密機(jī)制，保證無(wú)線網(wǎng)絡(luò)連接的安全。就目前而言，WAP2這種加密算法是很好的選擇。

企業(yè)內(nèi)網(wǎng)客戶端是否有較強(qiáng)的安全保障機(jī)制提高客戶端的安全性

客戶端機(jī)器作為內(nèi)網(wǎng)的主要成員，它的安全性變得很重要，我們要為客戶端機(jī)器安裝殺毒軟件，同時(shí)在數(shù)據(jù)的出口限制訪問(wèn)一些不安全的網(wǎng)站，確?？蛻舳藱C(jī)器的安全性。

通常較為強(qiáng)大的殺毒軟件主要有：

? 卡巴斯基殺毒軟件

? 麥咖啡殺毒軟件

? 諾頓殺毒軟件

等。

對(duì)企業(yè)內(nèi)網(wǎng)是否有完善的監(jiān)測(cè)機(jī)制，實(shí)時(shí)監(jiān)測(cè)內(nèi)網(wǎng)行為是否正常

對(duì)于管理員，我們要有一種監(jiān)測(cè)機(jī)制，比如說(shuō)部署流量監(jiān)控軟件，上網(wǎng)行為分析軟件等等類似的軟件來(lái)檢測(cè)客戶端機(jī)器的上網(wǎng)行為是否異常，這樣可以快速，有效的監(jiān)測(cè)到異常情況并能快速的做出反應(yīng)，保證企業(yè)內(nèi)網(wǎng)的安全。

2.3．系統(tǒng)產(chǎn)品選型及技術(shù)資料

2.3.1. 企業(yè)網(wǎng)絡(luò)邊界和數(shù)據(jù)中心安全設(shè)備選型技術(shù)資料

設(shè)備選型

在企業(yè)網(wǎng)絡(luò)的邊界我我們可以部署一功能強(qiáng)，性能好，穩(wěn)定性佳的CISCO ASA 5500系列防火墻設(shè)備來(lái)保護(hù)進(jìn)出連接的安全性，CISCO ASA 5500系列防火墻是模塊化設(shè)計(jì)，針對(duì)不同的應(yīng)用它提供如下的模塊化設(shè)計(jì)：

a) CISCO ASA 5500防火墻板

b) CISCO ASA 5500 VPN 板

c) CISCO ASA 5500 IPS 板

d) CISCO ASA 5500 內(nèi)容安全板

設(shè)備的技術(shù)資料