網(wǎng)絡(luò)安全評估方案書1. 項(xiàng)目需求隨著信息時代的到來，企業(yè)業(yè)務(wù)的運(yùn)作越來越依賴于互聯(lián)網(wǎng)，互聯(lián)網(wǎng)給我們帶來快捷，方便，高效服務(wù)的同時也帶來了巨大的安全隱患，在當(dāng)今的一個巨大的互聯(lián)網(wǎng)系統(tǒng)中存在著各種病毒木

網(wǎng)絡(luò)安全評估方案書

1. 項(xiàng)目需求

隨著信息時代的到來，企業(yè)業(yè)務(wù)的運(yùn)作越來越依賴于互聯(lián)網(wǎng)，互聯(lián)網(wǎng)給我們帶來快捷，方便，高效服務(wù)的同時也帶來了巨大的安全隱患，在當(dāng)今的一個巨大的互聯(lián)網(wǎng)系統(tǒng)中存在著各種病毒木馬，以及各式各樣的黑客攻擊，一旦這些攻擊滲入到我們公司的網(wǎng)絡(luò)，那我們內(nèi)網(wǎng)的數(shù)據(jù)就會透明的擺放在黑客的手中，我們的商業(yè)機(jī)密將極有可能被我們的競爭對手掌握，那樣一來對企業(yè)來說將是一項(xiàng)巨大的損失。毫不夸張的說一個企業(yè)的網(wǎng)絡(luò)構(gòu)架是否安全，決定著企業(yè)能否在激烈的競爭中立于不敗之地。

但從目前的情況來看，很多企業(yè)似乎并沒有重視網(wǎng)絡(luò)安全的建設(shè)，導(dǎo)致諸多企業(yè)被攻擊，造成巨大的損失。

為此我們要從根本上更新觀念，注重網(wǎng)絡(luò)安全項(xiàng)目的建設(shè)，著手對現(xiàn)有的網(wǎng)絡(luò)安全構(gòu)架進(jìn)行評估，并做出合理的，有效的網(wǎng)絡(luò)安全實(shí)施方案，這對企業(yè)網(wǎng)絡(luò)安全建設(shè)尤為重要。

2. 項(xiàng)目方案

2.1. 實(shí)現(xiàn)目的

要想對企業(yè)現(xiàn)有的網(wǎng)絡(luò)構(gòu)架做出合理的，高效的網(wǎng)絡(luò)安全解決方案，我們要從以下幾點(diǎn)進(jìn)行評估：

在企業(yè)的邊界是否有安全設(shè)備保證進(jìn)出網(wǎng)絡(luò)訪問的安全，檢測攻擊行為 在企業(yè)的數(shù)據(jù)中心是否有安全設(shè)備保護(hù)對服務(wù)器的訪問安全 企業(yè)的各種賬戶口令是否安全

企業(yè)的數(shù)據(jù)中心是否有災(zāi)難備份機(jī)制

企業(yè)的無線局域網(wǎng)絡(luò)是否有較強(qiáng)的安全機(jī)制來保護(hù)無線網(wǎng)路的安全 企業(yè)內(nèi)網(wǎng)客戶端是否有較強(qiáng)的安全保障機(jī)制提高客戶端的安全性 對企業(yè)內(nèi)網(wǎng)是否有完善的監(jiān)測機(jī)制，實(shí)時監(jiān)測內(nèi)網(wǎng)行為是否正常

下面給出一個比較安全的網(wǎng)路安全構(gòu)架的拓?fù)浣Y(jié)構(gòu)圖：

2.2.

系統(tǒng)方案設(shè)計

2.2.1. 常見的攻擊行為

阻斷用戶訪問

這種攻擊通常發(fā)生在大型網(wǎng)站和熱門網(wǎng)站。2010年初，百度遇到的就是典型的“阻斷用戶訪問”型攻擊，黑客替換了百度的域名解析記錄，使用戶無法訪問搜索服務(wù)器。此次攻擊持續(xù)時間長達(dá)幾個小時，造成的損失無法估量。

能造成“阻斷用戶訪問”效果的攻擊手段，除了“域名劫持”之外，更普遍的手段是DDOS 攻擊(Distributed Denial of Service,分布式拒絕服務(wù)攻擊) 。黑客控制位于全球的成千上萬臺機(jī)器，同時向攻擊目標(biāo)發(fā)起連接請求，這些請求在瞬間超過了服務(wù)器能夠處理的極限，導(dǎo)致其它用戶無法訪問這些網(wǎng)站。

DDOS 攻擊技術(shù)含量比較低，即使技術(shù)不高的人只要花錢購買肉雞，從網(wǎng)上下載工具就可以進(jìn)行，因此在所有針對企業(yè)的攻擊中，此類攻擊占據(jù)了很大的比例。而且這一類攻擊普通網(wǎng)民可以感受到，很容易被媒體報道，通常會引起業(yè)界的關(guān)注。

在網(wǎng)站植入病毒和木馬

攻擊企業(yè)網(wǎng)站，并在服務(wù)器上植入惡意代碼，是另一種應(yīng)用廣泛的黑客攻擊形式。根據(jù)瑞星“云安全”系統(tǒng)提供的結(jié)果，2010年，國內(nèi)有250120個網(wǎng)站被植入了病毒或者木馬(以域名計算) 。教育科研網(wǎng)站、網(wǎng)游相關(guān)網(wǎng)站和政府網(wǎng)站，是最容易被攻擊植入木馬的三個領(lǐng)域，分別占總體數(shù)量的27、17和13。 將域名劫持到惡意網(wǎng)站

“域名劫持”也是企業(yè)用戶經(jīng)常遇到的一種攻擊方式，通常表現(xiàn)為“網(wǎng)民輸入一個網(wǎng)站的網(wǎng)址，打開的卻是另一個網(wǎng)站”。這種現(xiàn)象可以分為以下多種情況： ①黑客通過病毒修改了用戶客戶端電腦的HOST 列表，使一個正確的域名對應(yīng)了錯誤的IP 地址。

②用戶所在的局域網(wǎng)，比如小區(qū)寬帶、校園網(wǎng)、公司局域網(wǎng)等被ARP 病毒感染，病毒劫持了局域網(wǎng)內(nèi)的HTTP 請求。

③網(wǎng)站所在的服務(wù)器機(jī)房遇到了ARP 攻擊。

④黑客通過技術(shù)手段，篡改了域名注冊商管理的服務(wù)器。

內(nèi)部賬號和密碼外泄

由于網(wǎng)絡(luò)管理員通常管理多個密碼，有的管理員會把密碼記在紙上，貼在辦公室里; 或者使用自己的生日、電話號碼等常見數(shù)字; 或者有的管理員會使用密碼管理工具，保存在自己的個人PC 上，這些行為都很容易被黑客攻擊并竊取，取得密碼后會進(jìn)行下一步的操作。

內(nèi)網(wǎng)關(guān)鍵信息外泄

黑客在對一個企業(yè)進(jìn)行攻擊前，通常會對其進(jìn)行長時間的觀察和探測，例如：企業(yè)內(nèi)網(wǎng)使用了哪些軟硬件產(chǎn)品、版本型號、各自存在的漏洞; 人員布置方面的信息，如多久對服務(wù)器進(jìn)行一次例行檢查、具體的安全管理規(guī)范是怎樣的。

有的黑客甚至?xí)P(guān)注“一旦發(fā)生安全事故，網(wǎng)絡(luò)管理員的的責(zé)任追究”等具體細(xì)節(jié)。因?yàn)橛械钠髽I(yè)規(guī)定了嚴(yán)苛的安全管理制度，管理員一旦發(fā)現(xiàn)安全事故，會傾向于掩蓋，而不是追查，這樣就給黑客的進(jìn)一步入侵帶來方便。

2.2.2. 評估項(xiàng)目

在企業(yè)的邊界是否有安全設(shè)備保證進(jìn)出網(wǎng)絡(luò)訪問的安全，檢測攻擊行為

在企業(yè)網(wǎng)絡(luò)邊緣我們很有必要部署一臺防火墻或入侵監(jiān)測系統(tǒng)或入侵放御系統(tǒng)，實(shí)現(xiàn)對進(jìn)出網(wǎng)絡(luò)的連接進(jìn)行分析，過濾數(shù)據(jù)包，查看是否有潛在的攻擊威脅，一旦監(jiān)測到有攻擊威脅將進(jìn)行處理，并向網(wǎng)絡(luò)管理員報告，同時實(shí)時的記錄到日志服務(wù)器中。

在企業(yè)的數(shù)據(jù)中心是否有安全設(shè)備保護(hù)對服務(wù)器的訪問安全

對于企業(yè)而言，數(shù)據(jù)中心服務(wù)器上的各種數(shù)是整個公司的靈魂，如果服務(wù)器被惡意攻擊導(dǎo)致無法正常提供服務(wù)，或者數(shù)據(jù)被竊取或被篡改，那么對企業(yè)將帶來巨大的損失。在數(shù)據(jù)中心的邊界加一臺防火墻，對訪問服務(wù)器的用戶身份進(jìn)行驗(yàn)證，拒絕非授權(quán)的用戶訪問服務(wù)器，這將極大的提高訪問服務(wù)器的安全性， 企業(yè)的各種賬戶口令是否安全

對企業(yè)的而言，為了驗(yàn)證合法用戶往往需要通過賬戶口令的形式來實(shí)現(xiàn)，用戶輸入正確的用戶名和密碼提交驗(yàn)證，如果驗(yàn)證通過之后方能訪問服務(wù)器，獲取相關(guān)的服務(wù)。

一般而言企業(yè)的END USER有如下賬戶和口令：

1) 登陸計算機(jī)賬戶和口令，有兩種情況：

? 對于工作組模式，為本地賬戶和口令，需要到本地計算機(jī)的SAM 數(shù)據(jù)庫

中進(jìn)行驗(yàn)證

? 對于域環(huán)境，為域賬戶和口令，需要將戶和口令發(fā)送到DC 進(jìn)行驗(yàn)證 2) 遠(yuǎn)程辦公用戶使用的VPN 賬戶和密碼

? 郵箱賬戶和密碼

? 訪問File server用戶名和密碼

等，諸如此類的用戶名和密碼很多，但是都有一個共同的特點(diǎn)，那就是這些賬戶名和密碼都是靜態(tài)的，一旦這密碼被泄露或被采取任何手段竊取，那么任何人都

將可以使用該賬戶和密碼訪問服務(wù)器，獲取相關(guān)的服務(wù)，這是相當(dāng)危險的，因?yàn)檫@種情況大部分會發(fā)生在企業(yè)的內(nèi)網(wǎng)。

雖然有些公司會采取策略來確保密碼的復(fù)雜度，并且定時的更換密碼，這種方法雖然可以在一定程度上提高賬戶和密碼的安全性，但是給用戶帶來了極大的負(fù)擔(dān)，用戶不得不花費(fèi)很大的精力去記憶這些賬戶和密碼，有些用戶甚至因?yàn)轭l繁的更換密碼后，不記得正確的用戶名和密碼而造成無法正常的訪問服務(wù)器，影響工作，更有甚者為防止忘記用戶名和密碼而直接將用戶名和密碼寫在紙上，然后貼在電腦或者顯示器上，這其實(shí)并沒起到真正保護(hù)用戶名和密碼的目的。

為了解決賬戶和口令的安全性問題，我們最佳的解決方案是使用動態(tài)口令身份認(rèn)證技術(shù)，我們會為每個用戶發(fā)一個動態(tài)口令卡，該口令卡將會在一定的時間內(nèi)（通常是一分鐘）隨機(jī)產(chǎn)生一個口令，此口令將和用戶名一起發(fā)送到動態(tài)口令驗(yàn)證系統(tǒng)服務(wù)器上進(jìn)行驗(yàn)證，只有驗(yàn)證通過的情況下才能被授權(quán)訪問。這樣一來即使密碼被其他的人獲取，也沒辦法通過驗(yàn)證，因?yàn)榭诹钍请S機(jī)且定期變換的。 企業(yè)的數(shù)據(jù)中心是否有災(zāi)難備份機(jī)制

一旦數(shù)據(jù)中心的服務(wù)器出現(xiàn)問題，那么其上的數(shù)據(jù)將會有丟失的危險，給服務(wù)器上的數(shù)據(jù)采取災(zāi)難備份機(jī)制將是極佳的選擇。

通常情況下有以下幾種災(zāi)難備份機(jī)制：

? 本地備份

? 異地備份

企業(yè)的無線局域網(wǎng)絡(luò)是否有較強(qiáng)的安全機(jī)制來保護(hù)無線網(wǎng)路的安全

對企業(yè)而言，無線網(wǎng)絡(luò)已不可缺少，但是有時也會存在一些安全的隱患，比如，無線加密機(jī)制不夠好的情況下，無線密碼將會很容易被破解掉，一旦入侵者或者非授權(quán)用戶連入企業(yè)內(nèi)網(wǎng)，將會在相當(dāng)大的程度上威脅內(nèi)網(wǎng)數(shù)據(jù)的安全性。 為此需要確保無線設(shè)備采取強(qiáng)大的，安全的加密機(jī)制，保證無線網(wǎng)絡(luò)連接的安全。就目前而言，WAP2這種加密算法是很好的選擇。

企業(yè)內(nèi)網(wǎng)客戶端是否有較強(qiáng)的安全保障機(jī)制提高客戶端的安全性

客戶端機(jī)器作為內(nèi)網(wǎng)的主要成員，它的安全性變得很重要，我們要為客戶端機(jī)器安裝殺毒軟件，同時在數(shù)據(jù)的出口限制訪問一些不安全的網(wǎng)站，確保客戶端機(jī)器的安全性。

通常較為強(qiáng)大的殺毒軟件主要有：

? 卡巴斯基殺毒軟件

? 麥咖啡殺毒軟件

? 諾頓殺毒軟件

等。

對企業(yè)內(nèi)網(wǎng)是否有完善的監(jiān)測機(jī)制，實(shí)時監(jiān)測內(nèi)網(wǎng)行為是否正常

對于管理員，我們要有一種監(jiān)測機(jī)制，比如說部署流量監(jiān)控軟件，上網(wǎng)行為分析軟件等等類似的軟件來檢測客戶端機(jī)器的上網(wǎng)行為是否異常，這樣可以快速，有效的監(jiān)測到異常情況并能快速的做出反應(yīng)，保證企業(yè)內(nèi)網(wǎng)的安全。

2.3．系統(tǒng)產(chǎn)品選型及技術(shù)資料

2.3.1. 企業(yè)網(wǎng)絡(luò)邊界和數(shù)據(jù)中心安全設(shè)備選型技術(shù)資料

設(shè)備選型

在企業(yè)網(wǎng)絡(luò)的邊界我我們可以部署一功能強(qiáng)，性能好，穩(wěn)定性佳的CISCO ASA 5500系列防火墻設(shè)備來保護(hù)進(jìn)出連接的安全性，CISCO ASA 5500系列防火墻是模塊化設(shè)計，針對不同的應(yīng)用它提供如下的模塊化設(shè)計：

a) CISCO ASA 5500防火墻板

b) CISCO ASA 5500 VPN 板

c) CISCO ASA 5500 IPS 板

d) CISCO ASA 5500 內(nèi)容安全板

設(shè)備的技術(shù)資料