系統(tǒng)程序漏洞掃描安全評(píng)估方案

目錄一、項(xiàng)目概述11。1評(píng)估范圍11。2評(píng)估層次11.3評(píng)估方法11.4評(píng)估結(jié)果21.5風(fēng)險(xiǎn)評(píng)估手段21。5。1基于知識(shí)的分析方法21.5.2基于模型的分析方法31。5。3定量分析31.5.4定性分析41。6評(píng)估標(biāo)準(zhǔn)4二、網(wǎng)拓?fù)湓u(píng)估52。1拓?fù)浜侠硇苑治?2。2可擴(kuò)展性分析5三、網(wǎng)絡(luò)安全管理機(jī)制評(píng)估53.1調(diào)研訪談及數(shù)據(jù)采集53。2網(wǎng)絡(luò)安全管理機(jī)制健全性檢查63。3網(wǎng)絡(luò)安全管理機(jī)制合理性檢查73.4網(wǎng)絡(luò)管理協(xié)議分析7四、脆弱性嚴(yán)重程度評(píng)估74.1安全漏洞掃描84.2人工安全檢查104。3安全策略評(píng)估114.4脆弱性識(shí)別11五、網(wǎng)絡(luò)威脅響應(yīng)機(jī)制評(píng)估125.1遠(yuǎn)程滲透測(cè)試12六、網(wǎng)絡(luò)安全配置均衡性風(fēng)險(xiǎn)評(píng)估136.1設(shè)備配置收集136。2檢查各項(xiàng)HA配置156.3設(shè)備日志分析16七、風(fēng)險(xiǎn)級(jí)別認(rèn)定17八、項(xiàng)目實(shí)施規(guī)劃17九、項(xiàng)目階段18十、交付的文檔及報(bào)告1910.1中間評(píng)估文檔1910.2最終報(bào)告19十一、安全評(píng)估具體實(shí)施內(nèi)容1911.1網(wǎng)絡(luò)架構(gòu)安全狀況評(píng)估1911.1.1內(nèi)容描述1911.1。2過(guò)程任務(wù)2011。1.3輸入指導(dǎo)2011.1.4輸出成果2012。2系統(tǒng)安全狀態(tài)評(píng)估2111.2.1內(nèi)容描述2111.2。2過(guò)程任務(wù)2311.2.3輸入指導(dǎo)2411。2.4輸出成果2411。3策略文件安全評(píng)估2411。3.1內(nèi)容描述2411.3。2過(guò)程任務(wù)2512。3.3輸入指導(dǎo)2512.3。4輸出成果2511.4最終評(píng)估結(jié)果25一、項(xiàng)目概述1.1評(píng)估范圍針對(duì)網(wǎng)絡(luò)、應(yīng)用、服務(wù)器系統(tǒng)進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估。1。2評(píng)估層次評(píng)估層次包括網(wǎng)絡(luò)系統(tǒng)、主機(jī)系統(tǒng)、終端系統(tǒng)相關(guān)的安全措施，網(wǎng)絡(luò)業(yè)務(wù)路由分配安全，精品文檔放心下載管理策略與制度。其中網(wǎng)絡(luò)系統(tǒng)包含路由器、交換機(jī)、防火墻、接入服務(wù)器、網(wǎng)絡(luò)出口設(shè)備謝謝閱讀及相關(guān)網(wǎng)絡(luò)配置信息和技術(shù)文件；主機(jī)系統(tǒng)包括各類UNIX、Windows等應(yīng)用服務(wù)器;終端系精品文檔放心下載統(tǒng)設(shè)備.1.3評(píng)估方法安全評(píng)估工作內(nèi)容：? 管理體系審核；? 安全策略評(píng)估；? 顧問(wèn)訪談；? 安全掃描；? 人工檢查;? 遠(yuǎn)程滲透測(cè)試;? 遵循性分析;1.4評(píng)估結(jié)果通過(guò)對(duì)管理制度、網(wǎng)絡(luò)與通訊、主機(jī)和桌面系統(tǒng)、業(yè)務(wù)系統(tǒng)等方面的全面安全評(píng)估，形感謝閱讀成安全評(píng)估報(bào)告，其中應(yīng)包含評(píng)估范圍中信息系統(tǒng)環(huán)境的安全現(xiàn)狀、存在安全問(wèn)題、潛在威感謝閱讀脅和改進(jìn)措施。協(xié)助對(duì)列出的安全問(wèn)題進(jìn)行改進(jìn)或調(diào)整,提供指導(dǎo)性的建設(shè)方案:精品文檔放心下載《安全現(xiàn)狀分析報(bào)告》《安全解決方案》1。5風(fēng)險(xiǎn)評(píng)估手段在風(fēng)險(xiǎn)評(píng)估過(guò)程中，可以采用多種操作方法，包括基于知識(shí)(Knowledge-based）的分析謝謝閱讀方法、基于模型（Model-based）的分析方法、定性（Qualitative）分析和定量(Quantitative)感謝閱讀分析,無(wú)論何種方法,共同的目標(biāo)都是找出組織信息資產(chǎn)面臨的風(fēng)險(xiǎn)及其影響,以及目前安全謝謝閱讀水平與組織安全需求之間的差距.1.5。1基于知識(shí)的分析方法在基線風(fēng)險(xiǎn)評(píng)估時(shí)，組織可以采用基于知識(shí)的分析方法來(lái)找出目前的安全狀況和基線安感謝閱讀全標(biāo)準(zhǔn)之間的差距。基于知識(shí)的分析方法又稱作經(jīng)驗(yàn)方法，它牽涉到對(duì)來(lái)自類似組織（包括規(guī)模、商務(wù)目標(biāo)感謝閱讀和市場(chǎng)等）的“最佳慣例”的重用，適合一般性的信息安全社團(tuán).采用基于知識(shí)的分析方法，精品文檔放心下載組織不需要付出很多精力、時(shí)間和資源，只要通過(guò)多種途徑采集相關(guān)信息，識(shí)別組織的風(fēng)險(xiǎn)感謝閱讀所在和當(dāng)前的安全措施，與特定的標(biāo)準(zhǔn)或最佳慣例進(jìn)行比較，從中找出不符合的地方，并按精品文檔放心下載照標(biāo)準(zhǔn)或最佳慣例的推薦選擇安全措施，最終達(dá)到消減和控制風(fēng)險(xiǎn)的目的。謝謝閱讀基于知識(shí)的分析方法，最重要的還在于評(píng)估信息的采集,信息源包括：謝謝閱讀會(huì)議討論；對(duì)當(dāng)前的信息安全策略和相關(guān)文檔進(jìn)行復(fù)查；制作問(wèn)卷，進(jìn)行調(diào)查；對(duì)相關(guān)人員進(jìn)行訪談；進(jìn)行實(shí)地考察;為了簡(jiǎn)化評(píng)估工作，組織可以采用一些輔助性的自動(dòng)化工具，這些工具可以幫助組織擬謝謝閱讀訂符合特定標(biāo)準(zhǔn)要求的問(wèn)卷，然后對(duì)解答結(jié)果進(jìn)行綜合分析，在與特定標(biāo)準(zhǔn)比較之后給出最感謝閱讀終的推薦報(bào)告。1。5。2基于模型的分析方法2001年1月，由希臘、德國(guó)、英國(guó)、挪威等國(guó)的多家商業(yè)公司和研究機(jī)構(gòu)共同組織開(kāi)發(fā)了一個(gè)名為CORAS的項(xiàng)目，即PlatformforRiskAnalysisofSecurityCriticalSystems。該項(xiàng)目的目的是開(kāi)發(fā)一個(gè)基于面向?qū)ο蠼Ｌ貏e是UML技術(shù)的風(fēng)險(xiǎn)評(píng)估框架,它的評(píng)估對(duì)象是對(duì)安全要求很高的一般性的系統(tǒng)，特別是IT系統(tǒng)的安全。CORAS考慮到技術(shù)、人員以及所有與組織安全相關(guān)的方面，通過(guò)CORAS風(fēng)險(xiǎn)評(píng)估，組織可以定義、獲取并維護(hù)IT系統(tǒng)的保密性、完整性、可用性、抗抵賴性、可追溯性、真實(shí)性和可靠性。感謝閱讀與傳統(tǒng)的定性和定量分析類似,CORAS風(fēng)險(xiǎn)評(píng)估沿用了識(shí)別風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)、評(píng)價(jià)并處理風(fēng)險(xiǎn)這樣的過(guò)程，但其度量風(fēng)險(xiǎn)的方法則完全不同，所有的分析過(guò)程都是基于面向?qū)ο蟮哪Ｐ蛠?lái)進(jìn)行的。CORAS的優(yōu)點(diǎn)在于：提高了對(duì)安全相關(guān)特性描述的精確性，改善了分析結(jié)果的質(zhì)量；圖形化的建模機(jī)制便于溝通，減少了理解上的偏差；加強(qiáng)了不同評(píng)估方法互操作的效率；等等。謝謝閱讀1.5。3定量分析進(jìn)行詳細(xì)風(fēng)險(xiǎn)分析時(shí)，除了可以使用基于知識(shí)的評(píng)估方法外,最傳統(tǒng)的還是定量和定性感謝閱讀分析的方法。定量分析方法的思想很明確：對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失的水平賦予數(shù)值或貨幣精品文檔放心下載金額，當(dāng)度量風(fēng)險(xiǎn)的所有要素（資產(chǎn)價(jià)值、威脅頻率、弱點(diǎn)利用程度、安全措施的效率和成感謝閱讀本等）都被賦值，風(fēng)險(xiǎn)評(píng)估的整個(gè)過(guò)程和結(jié)果就都可以被量化了。簡(jiǎn)單說(shuō)，定量分析就是試精品文檔放心下載圖從數(shù)字上對(duì)安全風(fēng)險(xiǎn)進(jìn)行分析評(píng)估的一種方法。定量風(fēng)險(xiǎn)分析中有幾個(gè)重要的概念：暴露因子（ExposureFactor，EF）——特定威脅對(duì)特定資產(chǎn)造成損失的百分比，或者說(shuō)損失的程度。感謝閱讀單一損失期望（SingleLossExpectancy,SLE)——或者稱作SOC（SingleOccuranceCosts）,即特定威脅可能造成的潛在損失總量。精品文檔放心下載年度發(fā)生率（AnnualizedRateofOccurrence，ARO）——即威脅在一年內(nèi)估計(jì)會(huì)發(fā)生的頻率。感謝閱讀年度損失期望（AnnualizedLossExpectancy，ALE)--或者稱作EAC精品文檔放心下載（EstimatedAnnualCost）,表示特定資產(chǎn)在一年內(nèi)遭受損失的預(yù)期值。感謝閱讀考察定量分析的過(guò)程，從中就能看到這幾個(gè)概念之間的關(guān)系:精品文檔放心下載（1）首先,識(shí)別資產(chǎn)并為資產(chǎn)賦值；(2）通過(guò)威脅和弱點(diǎn)評(píng)估，評(píng)價(jià)特定威脅作用于特定資產(chǎn)所造成的影響，即EF（取值謝謝閱讀0％~100%之間）；（3）計(jì)算特定威脅發(fā)生的頻率，即ARO;(4)計(jì)算資產(chǎn)的SLE：SLE=AssetValue×EF精品文檔放心下載（5）計(jì)算資產(chǎn)的ALE：ALE=SLE×ARO精品文檔放心下載1.5。4定性分析定性分析方法是目前采用最為廣泛的一種方法，它帶有很強(qiáng)的主觀性,往往需要憑借分析者的經(jīng)驗(yàn)和直覺(jué)，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險(xiǎn)管理諸要素（資產(chǎn)價(jià)值，威脅的可能性,弱點(diǎn)被利用的容易度，現(xiàn)有控制措施的效力等）的大小或高低程度定性分級(jí),例如“高”、“中”、“低”三級(jí)。感謝閱讀定性分析的操作方法可以多種多樣，包括小組討論(例如Delphi方法）、檢查列表（Checklist)、問(wèn)卷（Questionnaire）、人員訪談(Interview）、調(diào)查（Survey）等。定性分析操作起來(lái)相對(duì)容易，但也可能因?yàn)椴僮髡呓?jīng)驗(yàn)和直覺(jué)的偏差而使分析結(jié)果失準(zhǔn)。謝謝閱讀與定量分析相比較，定性分析的準(zhǔn)確性稍好但精確性不夠，定量分析則相反；定性分析沒(méi)有定量分析那樣繁多的計(jì)算負(fù)擔(dān)，但卻要求分析者具備一定的經(jīng)驗(yàn)和能力；定量分析依賴大量的統(tǒng)計(jì)數(shù)據(jù)，而定性分析沒(méi)有這方面的要求；定性分析較為主觀，定量分析基于客觀；此外,定量分析的結(jié)果很直觀，容易理解，而定性分析的結(jié)果則很難有統(tǒng)一的解釋.組織可以根據(jù)具體的情況來(lái)選擇定性或定量的分析方法.精品文檔放心下載1。6評(píng)估標(biāo)準(zhǔn)1、《計(jì)算機(jī)網(wǎng)絡(luò)安全管理》2、ISO15408《信息安全技術(shù)評(píng)估通用準(zhǔn)則》3、GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》謝謝閱讀4、相關(guān)各方達(dá)成的協(xié)議二、網(wǎng)拓?fù)湓u(píng)估2。1拓?fù)浜侠硇苑治瞿壳熬W(wǎng)絡(luò)都基本采取傳統(tǒng)的三層架構(gòu)，核心、匯聚與接入，其他設(shè)備都圍繞著這三層進(jìn)感謝閱讀行擴(kuò)展,各設(shè)備之間的線路基本采用千兆光纖接入方式，實(shí)現(xiàn)高速數(shù)據(jù)傳輸,降低延時(shí)，減少謝謝閱讀干擾,設(shè)備間存在冗余，從而保證各數(shù)據(jù)間傳輸?shù)目煽啃?，各業(yè)務(wù)之間的穩(wěn)定性.感謝閱讀2.2可擴(kuò)展性分析核心設(shè)備、匯聚設(shè)備是否都存在部分空模板、空接口，可以滿足未來(lái)幾年內(nèi)的擴(kuò)展精品文檔放心下載核心設(shè)備的背板帶寬在高峰期間業(yè)務(wù)流量能正常通過(guò)，從中可看出目前核心設(shè)備的帶寬感謝閱讀完全能承載當(dāng)前的流量；背板帶寬越大，各端口所分配到的可用帶寬越大，性能越高，處理謝謝閱讀能力越快。三、網(wǎng)絡(luò)安全管理機(jī)制評(píng)估3.1調(diào)研訪談及數(shù)據(jù)采集1、整網(wǎng)對(duì)于核心層設(shè)備、匯聚層設(shè)備以及接入樓層設(shè)備，進(jìn)行遠(yuǎn)程登錄方式、本地登感謝閱讀錄模式、特權(quán)模式的用戶名與密碼配置,密碼都是以數(shù)字、大小寫(xiě)字母和字符一體化，防止感謝閱讀非法用戶的暴力破解,即便通過(guò)其它方式獲取到配置清單，也無(wú)法知道這臺(tái)設(shè)備的密碼,密碼感謝閱讀都是以密文的形式顯示在配置清單里，這樣，無(wú)論是合法用戶還是惡意用戶，只要沒(méi)有設(shè)備精品文檔放心下載的用戶名和密碼都不能登錄到該設(shè)備，自然也無(wú)法對(duì)設(shè)備的內(nèi)容等相關(guān)配置信息進(jìn)行修改，謝謝閱讀相當(dāng)于給設(shè)備安裝了一層保護(hù)墻，從而保護(hù)了設(shè)備的最基本的安全性。精品文檔放心下載2、整個(gè)網(wǎng)絡(luò)采用一種統(tǒng)一的安全制度對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器集進(jìn)行有效的檢查，管理，謝謝閱讀實(shí)時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中是否存在的一些問(wèn)題，如果發(fā)現(xiàn)問(wèn)題的存在，都會(huì)采取制定的流程及時(shí)給予謝謝閱讀解決，使得網(wǎng)絡(luò)設(shè)備能一直正常運(yùn)行，可用性得到提高，業(yè)務(wù)流量保持穩(wěn)定性狀態(tài)，以下是精品文檔放心下載安全制度管理的部分選項(xiàng)。（1）定期掃描漏洞：定期對(duì)整網(wǎng)服務(wù)器進(jìn)行掃描，檢查是否有漏洞的存在，數(shù)據(jù)的來(lái)精品文檔放心下載源，事件的分析，主機(jī)服務(wù)信息，是否存在高危險(xiǎn)性事件，主機(jī)流量分析等,以確保網(wǎng)絡(luò)的感謝閱讀安全性。(2）檢查版本升級(jí)：定期對(duì)整網(wǎng)服務(wù)器進(jìn)行檢查，各主機(jī)的系統(tǒng)版本是否最新,各主機(jī)謝謝閱讀的軟件,特別是殺毒軟件、防火墻、輔助軟件有沒(méi)及時(shí)的更新,特征庫(kù)當(dāng)前是否為最新。精品文檔放心下載（3）策略：定期對(duì)整網(wǎng)服務(wù)器的密碼進(jìn)行檢查，查看是否開(kāi)啟密碼策略、帳戶鎖定策精品文檔放心下載略、本地審核策略，并作了相應(yīng)的設(shè)置。（4）關(guān)閉用戶：定期對(duì)整網(wǎng)服務(wù)器進(jìn)行周密的檢查,是否對(duì)GUEST用戶、長(zhǎng)期未登錄用感謝閱讀戶進(jìn)行關(guān)閉。（5）關(guān)閉服務(wù):定期對(duì)整網(wǎng)服務(wù)器進(jìn)行松緊,是否對(duì)一些特殊的服務(wù)，如Remote精品文檔放心下載register、不需要遠(yuǎn)程登陸的主機(jī)Terminalservices進(jìn)行關(guān)閉。謝謝閱讀3.2網(wǎng)絡(luò)安全管理機(jī)制健全性檢查1、以目前的網(wǎng)絡(luò)設(shè)備完全能承載整網(wǎng)的業(yè)務(wù)流量,可以說(shuō)目前的設(shè)備性能較強(qiáng)，未來(lái)，隨著網(wǎng)絡(luò)規(guī)模越來(lái)越大，業(yè)務(wù)流量越來(lái)越集中，對(duì)設(shè)備性能的要求也更加嚴(yán)格,但以目前的設(shè)備的處理能力，足以勝任未來(lái)幾年內(nèi)的擴(kuò)展，并且具有一定的安全性；感謝閱讀2、整網(wǎng)有統(tǒng)一的管理員，對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行相關(guān)的管理,每個(gè)管理員所管轄的范圍不同；每個(gè)管理員負(fù)責(zé)每一部分，服務(wù)器有應(yīng)用、數(shù)據(jù)庫(kù)、測(cè)試、視頻等謝謝閱讀3、機(jī)房有門(mén)禁系統(tǒng)，機(jī)房有它制定的管理方式，進(jìn)機(jī)房首先得找具有申請(qǐng)進(jìn)機(jī)房資格的工作人員，接著,機(jī)房中心工作人員對(duì)這條申請(qǐng)的信息進(jìn)行審核，審核通過(guò)后,需要拿身份證去機(jī)房門(mén)口進(jìn)行登記，這樣,才能進(jìn)入機(jī)房查看設(shè)備、或?qū)υO(shè)備進(jìn)行相關(guān)的操作,這是進(jìn)機(jī)房的基本流程.感謝閱讀4、機(jī)房里有特定的系統(tǒng)專門(mén)對(duì)當(dāng)前設(shè)備的溫度進(jìn)行測(cè)量，不管是白天還是晚上，每天感謝閱讀小時(shí)都會(huì)有保安和相關(guān)的工作人員對(duì)機(jī)房設(shè)備進(jìn)行定期檢查,如發(fā)生問(wèn)題會(huì)及時(shí)通知相關(guān)的負(fù)責(zé)人，負(fù)責(zé)人收到消息后會(huì)及時(shí)對(duì)問(wèn)題進(jìn)行查看、分析、解決，最終保證整網(wǎng)上業(yè)務(wù)能正常運(yùn)行.感謝閱讀5、采用HostMonitor系統(tǒng)自動(dòng)對(duì)所有設(shè)備、服務(wù)器以及主機(jī)進(jìn)行檢測(cè)，以PING的方式進(jìn)行測(cè)試它的連通性，如果發(fā)現(xiàn)某臺(tái)設(shè)備PING測(cè)試不通，它會(huì)及時(shí)產(chǎn)生報(bào)警,通過(guò)主機(jī)把相關(guān)設(shè)備的信息映射到大屏幕液晶顯示器上，以列表的模式顯示，相關(guān)人員收到報(bào)警信息后,一般會(huì)采取三個(gè)步驟來(lái)解決：精品文檔放心下載（1）通過(guò)打電話給服務(wù)廳，看看是否出現(xiàn)斷電的情況；(2）通知代維工作人員,檢查是否為線路問(wèn)題。(3)如果都不是以上的問(wèn)題，基本可以把問(wèn)題鎖在網(wǎng)絡(luò)設(shè)備的本身或者配置上的問(wèn)題，感謝閱讀通知相關(guān)人員去檢查.3.3網(wǎng)絡(luò)安全管理機(jī)制合理性檢查機(jī)房的整體架構(gòu),各個(gè)核心層設(shè)備、匯聚層設(shè)備以及其他設(shè)備所擺放的物理位置，從消防、防潮、防雷、排氣等安全措施都布置到位，布線整齊、合理、具有相當(dāng)?shù)膶I(yè)水平，網(wǎng)線以不同的顏色來(lái)區(qū)分所在設(shè)備的重要性，比如在交換機(jī)與交換機(jī)的級(jí)連一般用藍(lán)色來(lái)表示,交換機(jī)的端口與PC網(wǎng)卡相連接時(shí)用灰色，交換機(jī)與其他設(shè)備相連除了有時(shí)用光纖外，一般用黃色來(lái)或綠色來(lái)表示,而且，對(duì)每個(gè)機(jī)架機(jī)架、設(shè)備以及連接的網(wǎng)線都打上標(biāo)簽，當(dāng)某時(shí)候網(wǎng)絡(luò)物理出現(xiàn)問(wèn)題時(shí)，比如線松了，或是線掉了,線插反了等等，因?yàn)橹皩?duì)相關(guān)的設(shè)備、網(wǎng)線都貼上標(biāo)簽，這樣可以很方便的查找到故障點(diǎn)，并進(jìn)行定位,容易排除故障；每一排機(jī)架集按大寫(xiě)英語(yǔ)字母來(lái)標(biāo)記所在的行號(hào),每一排機(jī)架集包括10來(lái)個(gè)機(jī)架，分別用所在的行號(hào)+數(shù)字來(lái)標(biāo)記，比如我所要找的機(jī)架在第二行第5個(gè)位置,標(biāo)記為B5，直接找到B5就可以了；室內(nèi)溫度調(diào)整適當(dāng)，當(dāng)設(shè)備溫度過(guò)大時(shí)，會(huì)自動(dòng)出現(xiàn)告警；謝謝閱讀3。4網(wǎng)絡(luò)管理協(xié)議分析1、統(tǒng)一對(duì)整個(gè)網(wǎng)絡(luò)所有設(shè)備進(jìn)行監(jiān)控、收集信息以及管理，其他的網(wǎng)絡(luò)設(shè)備作為代理者，通過(guò)自定的Trap類型向管理者發(fā)送最新的信息狀況,以保持整網(wǎng)設(shè)備能正常運(yùn)行。感謝閱讀2、經(jīng)過(guò)對(duì)SNMP配置進(jìn)行分析，了解到目前SNMP在整網(wǎng)中的作用,以及SNMP在各種重要設(shè)備里都進(jìn)行過(guò)哪些配置，在SNMP配置的共同體里，只限制某臺(tái)主機(jī)對(duì)該設(shè)備進(jìn)行讀取MIB數(shù)據(jù)庫(kù)的信息，除此之外，其他的網(wǎng)段是否都可以對(duì)該設(shè)備的MIB進(jìn)行讀取與修改MIB里的信息,如果可以這樣將造成基本上在所有的網(wǎng)段里，每個(gè)網(wǎng)段的所有主機(jī)都可以對(duì)設(shè)備的MIB信息進(jìn)行訪問(wèn)，甚至對(duì)該信息進(jìn)行修改.感謝閱讀四、脆弱性嚴(yán)重程度評(píng)估脆弱性評(píng)估，從技術(shù)脆弱性、管理脆弱性去評(píng)估途徑實(shí)施：1)人員訪談2)現(xiàn)有文件調(diào)閱3)現(xiàn)場(chǎng)檢查4）安全漏洞掃描5)人工安全檢查4。1安全漏洞掃描在網(wǎng)絡(luò)安全體系的建設(shè)中，安全掃描工具花費(fèi)代、效果好、見(jiàn)效快,與網(wǎng)絡(luò)的運(yùn)行相對(duì)獨(dú)立，安裝運(yùn)行簡(jiǎn)單,要以大規(guī)模減少安全管理的手工勞動(dòng)，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定，是進(jìn)行風(fēng)險(xiǎn)分析的有力工具。感謝閱讀在項(xiàng)目中，安全掃描主要是通過(guò)評(píng)估工具以本地掃描的方式對(duì)評(píng)估范圍內(nèi)的系統(tǒng)和網(wǎng)絡(luò)進(jìn)行安全掃描，從內(nèi)網(wǎng)和外網(wǎng)兩個(gè)角度來(lái)查找網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)、數(shù)據(jù)和用戶帳號(hào)/口令等安全對(duì)像目標(biāo)存在的安全風(fēng)險(xiǎn)、漏洞和威脅.精品文檔放心下載安全掃描項(xiàng)目包括如下內(nèi)容：?信息探測(cè)類?網(wǎng)絡(luò)設(shè)備與防火墻?RPC服務(wù)?Web服務(wù)?CGI問(wèn)題?文件服務(wù)?域名服務(wù)?Mail服務(wù)?Windows遠(yuǎn)程訪問(wèn)?數(shù)據(jù)庫(kù)問(wèn)題?后門(mén)程序?其他服務(wù)?網(wǎng)絡(luò)拒絕服務(wù)（DOS)?其它問(wèn)題從網(wǎng)絡(luò)層次的角度來(lái)看，掃描項(xiàng)目涉及了如下三個(gè)層面的安全問(wèn)題。感謝閱讀（一)系統(tǒng)層安全該層的安全問(wèn)題來(lái)自網(wǎng)絡(luò)運(yùn)行的操作系統(tǒng)：UNIX系列、Linux系列、Windows系列以及謝謝閱讀專用操作系統(tǒng)等.安全性問(wèn)題表現(xiàn)在兩方面：一是操作系統(tǒng)本身的不安全因素，主要包括身感謝閱讀份認(rèn)證、訪問(wèn)控制、系統(tǒng)漏洞等；二是操作系統(tǒng)的安全配置存在問(wèn)題。感謝閱讀身份認(rèn)證：通過(guò)Telnet進(jìn)行口令猜測(cè)等。訪問(wèn)控制：注冊(cè)表普通用戶可寫(xiě)，遠(yuǎn)程主機(jī)允許匿名FTP登錄，F(xiàn)TP服務(wù)器存在匿名可感謝閱讀寫(xiě)目錄等.系統(tǒng)漏洞:Windows緩沖出溢出漏洞.安全配置問(wèn)題：部分SMB用戶存在弱口令,管理員帳號(hào)不需要密碼等.精品文檔放心下載(二）網(wǎng)絡(luò)層安全該層的安全問(wèn)題主要指網(wǎng)絡(luò)信息的安全性,包括網(wǎng)絡(luò)層身份認(rèn)證、網(wǎng)絡(luò)資源的訪問(wèn)控制、感謝閱讀數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠(yuǎn)程接入、路由系統(tǒng)的安全、入侵檢查的手段等.謝謝閱讀網(wǎng)絡(luò)資源的訪問(wèn)控制：檢測(cè)到無(wú)線訪問(wèn)點(diǎn)。域名系統(tǒng)：ISCBINDSIG資源記錄無(wú)效過(guò)期時(shí)間拒絕服務(wù)攻擊漏洞，WindowsDNS拒絕謝謝閱讀服務(wù)攻擊。路由器：ciscoIOSWeb配置接口安全認(rèn)證可繞過(guò),路由器交換機(jī)采用默認(rèn)密碼或弱密感謝閱讀碼等。（三）應(yīng)用層安全該層的安全考慮網(wǎng)絡(luò)對(duì)用戶提供服務(wù)器所采用的應(yīng)用軟件和數(shù)據(jù)的安全性，包括：數(shù)據(jù)庫(kù)軟件、WEB服務(wù)、電子郵件、域名系統(tǒng)、應(yīng)用系統(tǒng)、業(yè)務(wù)應(yīng)用軟件以及其它網(wǎng)絡(luò)服務(wù)系統(tǒng)等。精品文檔放心下載數(shù)據(jù)庫(kù)軟件:OracleTnslsnr沒(méi)有配置口令,MSSQL2000sa帳號(hào)沒(méi)有設(shè)置密碼。謝謝閱讀WEB服務(wù):SQL注入攻擊、跨站腳本攻擊、基于WEB的DOS攻擊。謝謝閱讀電子郵件系統(tǒng)：Sendmail頭處理遠(yuǎn)程溢出漏洞,MicrosoftWindows2000SMTP服務(wù)認(rèn)證錯(cuò)誤漏洞.感謝閱讀為了確保掃描的可靠性和安全性，首先制定掃描計(jì)劃。計(jì)劃主要包括掃描開(kāi)始時(shí)間、掃描對(duì)象、預(yù)計(jì)結(jié)束時(shí)間、掃描項(xiàng)目、預(yù)期影響、需要對(duì)方提供的支持等等.感謝閱讀在實(shí)際開(kāi)始評(píng)估掃描時(shí)，評(píng)估方會(huì)正式通知項(xiàng)目組成員。奧怡軒按照預(yù)定計(jì)劃，在規(guī)定時(shí)間內(nèi)進(jìn)行并完成評(píng)估工作。如遇到特殊情況(如設(shè)備問(wèn)題、停電、網(wǎng)絡(luò)中斷等不可預(yù)知的狀況）不能按時(shí)完成掃描計(jì)劃或致使掃描無(wú)法正常進(jìn)行時(shí)，由雙方召開(kāi)臨時(shí)協(xié)調(diào)會(huì)協(xié)商予以解決.謝謝閱讀4.2人工安全檢查安全掃描是使用風(fēng)險(xiǎn)評(píng)估工具對(duì)絕大多數(shù)評(píng)估范圍內(nèi)主機(jī)、網(wǎng)絡(luò)設(shè)備等系統(tǒng)環(huán)境進(jìn)行的感謝閱讀漏洞掃描。但是，評(píng)估范圍內(nèi)的網(wǎng)絡(luò)設(shè)備安全策略的弱點(diǎn)和部分主機(jī)的安全配置錯(cuò)誤等并不謝謝閱讀能被掃描器全面發(fā)現(xiàn)，因此有必要對(duì)評(píng)估工具掃描范圍之外的系統(tǒng)和設(shè)備進(jìn)行手工檢查.精品文檔放心下載路由器的安全檢查主要考慮以下幾個(gè)方面：?帳號(hào)口令?網(wǎng)絡(luò)與服務(wù)?訪問(wèn)控制策略?日志審核策略?空閑端口控制交換機(jī)的安全檢查主要考慮以下幾個(gè)方面：?帳號(hào)口令?網(wǎng)絡(luò)與服務(wù)?VLAN的劃分主機(jī)的安全檢查主要考慮以下幾個(gè)方面：?補(bǔ)丁安裝情況?帳號(hào)、口令策略?網(wǎng)絡(luò)與服務(wù)檢查?文件系統(tǒng)檢查?日志審核檢查?安全性檢查1）安全掃描此階段通過(guò)技術(shù)手段評(píng)估系統(tǒng)中的漏洞。對(duì)撐握整個(gè)被評(píng)估系統(tǒng)的安全狀態(tài)提供重要數(shù)據(jù)。謝謝閱讀被掃描的系統(tǒng)有:?Windows系統(tǒng)?Linux系統(tǒng)?Unix客服熱線系統(tǒng)在安全掃描階段使用的主要工具有：?InternetScanner?NESSUS?AcunetixWebVulnerabilityScanner謝謝閱讀掃描過(guò)程中可能會(huì)導(dǎo)致某些服務(wù)中斷，雙方應(yīng)該事先做好協(xié)調(diào)工作，并做好應(yīng)急處理方謝謝閱讀案，在發(fā)現(xiàn)問(wèn)題后及時(shí)上報(bào),并及時(shí)恢復(fù)系統(tǒng)的運(yùn)行。4.3安全策略評(píng)估安全策略是對(duì)整個(gè)網(wǎng)絡(luò)在安全控制、安全管理、安全使用等方面最全面、最詳細(xì)的策略謝謝閱讀性描述，它是整個(gè)網(wǎng)絡(luò)安全的依據(jù)。不同的網(wǎng)絡(luò)需要不同的策略，它必須能回答整個(gè)網(wǎng)絡(luò)中感謝閱讀與安全相關(guān)的所有問(wèn)題，例如，如何在網(wǎng)絡(luò)層實(shí)現(xiàn)安全性、如何控制遠(yuǎn)程用戶訪問(wèn)的安全性、謝謝閱讀在廣域網(wǎng)上的數(shù)據(jù)傳輸如何實(shí)現(xiàn)安全加密傳輸和用戶的認(rèn)證等。對(duì)這些問(wèn)題幫出詳細(xì)回答,精品文檔放心下載并確定相應(yīng)的防護(hù)手段和實(shí)施方法，就是針對(duì)整個(gè)網(wǎng)絡(luò)的一份完整的安全策略。策略一旦制精品文檔放心下載度，應(yīng)做為整個(gè)網(wǎng)絡(luò)行為的準(zhǔn)則。這一步工作，就是從整體網(wǎng)絡(luò)安全的角度對(duì)現(xiàn)有的網(wǎng)絡(luò)安全策略進(jìn)行全局的評(píng)估,它也謝謝閱讀包含了技術(shù)和管理方面的內(nèi)容,具體包括：（1）安全策略是否全面覆蓋了整體網(wǎng)絡(luò)在各方面的安全性描述；謝謝閱讀(2）在安全策略中描述的所有安全控制、管理和使用措施是否正確和有效；感謝閱讀（3）安全策略中的每一項(xiàng)內(nèi)容是否都得到確認(rèn)和具體落實(shí)。精品文檔放心下載4.4脆弱性識(shí)別類型識(shí)別對(duì)象識(shí)別內(nèi)容物理環(huán)境從機(jī)房場(chǎng)地、防火、供配電、防靜電、接地與防雷、電磁防護(hù)、通信線路的保護(hù)、區(qū)域防護(hù)、設(shè)備管理等方面進(jìn)行識(shí)別網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問(wèn)控制策略、內(nèi)部訪問(wèn)控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識(shí)別技術(shù)脆弱性從補(bǔ)丁安裝、物理保護(hù)、用戶帳號(hào)、口令策略、資源共享、系統(tǒng)軟件事件審計(jì)、訪問(wèn)控制、新系統(tǒng)配置、注冊(cè)表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識(shí)別應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識(shí)別應(yīng)用系統(tǒng)從審計(jì)機(jī)制、審計(jì)存儲(chǔ)、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識(shí)別技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪問(wèn)控制、系統(tǒng)開(kāi)發(fā)管理脆弱性與維護(hù)、業(yè)務(wù)連續(xù)性等方面進(jìn)行識(shí)別組織管理從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進(jìn)行識(shí)別脆弱性賦值賦值標(biāo)識(shí)定義5很高如果被威脅利用，將對(duì)資產(chǎn)造成完全損害4高如果被威脅利用,將對(duì)資產(chǎn)造成重大損害3中等如果被威脅利用，將對(duì)資產(chǎn)造成一般損害2低如果被威脅利用，將對(duì)資產(chǎn)造成較小損害1很低如果被威脅利用，將對(duì)資產(chǎn)造成的損害可以忽略五、網(wǎng)絡(luò)威脅響應(yīng)機(jī)制評(píng)估防火墻稱得上是安全防護(hù)的防線,防火墻對(duì)于企業(yè)網(wǎng)絡(luò)的安全，已經(jīng)無(wú)法實(shí)施100%的控精品文檔放心下載制,對(duì)于合法內(nèi)容中混入的可疑流量、DoS攻擊、蠕蟲(chóng)病毒、間諜軟件等威脅，幾乎沒(méi)有有謝謝閱讀效的反擊措施，入侵檢測(cè)與防御系統(tǒng)進(jìn)行檢測(cè)網(wǎng)絡(luò)攻擊，與防火墻進(jìn)行聯(lián)動(dòng)。利用現(xiàn)有的入精品文檔放心下載侵檢測(cè)防御系統(tǒng)對(duì)網(wǎng)絡(luò)攻擊進(jìn)行測(cè)試，來(lái)檢驗(yàn)針對(duì)網(wǎng)絡(luò)威脅的能力。精品文檔放心下載5.1遠(yuǎn)程滲透測(cè)試滲透測(cè)試是指在獲取用戶授權(quán)后,通過(guò)真實(shí)模擬黑客使用的工具、分析方法來(lái)進(jìn)行實(shí)際精品文檔放心下載的漏洞發(fā)現(xiàn)和利用的安全測(cè)試方法。這種測(cè)試方法可以非常有效地發(fā)現(xiàn)最嚴(yán)重的安全漏洞，謝謝閱讀尤其是與全面的代碼審計(jì)相比，其使用的時(shí)間更短，也更有效率.在測(cè)試過(guò)程中，用戶可以謝謝閱讀選擇滲透測(cè)試的強(qiáng)度,例如不允許測(cè)試人員對(duì)某些服務(wù)器或者應(yīng)用進(jìn)行測(cè)試或影響其正常運(yùn)感謝閱讀行.通過(guò)對(duì)某些重點(diǎn)服務(wù)器進(jìn)行準(zhǔn)確、全面的測(cè)試，可以發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)，以便對(duì)危精品文檔放心下載害性嚴(yán)重的漏洞及時(shí)修補(bǔ)，以免后患。奧怡軒評(píng)估小組人員進(jìn)行滲透測(cè)試都是在業(yè)務(wù)應(yīng)用空閑的時(shí)候，或者在搭建的系統(tǒng)測(cè)試謝謝閱讀環(huán)境下進(jìn)行。另外，評(píng)估方采用的測(cè)試工具和攻擊手段都在可控范圍內(nèi),并同時(shí)充分準(zhǔn)備完謝謝閱讀善的系統(tǒng)恢復(fù)方案.網(wǎng)絡(luò)探測(cè)和信息采集、漏洞探測(cè)、嗅探、網(wǎng)絡(luò)攻擊利用工具或技術(shù)通過(guò)網(wǎng)絡(luò)對(duì)信息系用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)統(tǒng)進(jìn)行攻擊和入侵的竊取和破壞，系統(tǒng)運(yùn)行的控制和破壞等物理攻擊通過(guò)物理的接觸造成對(duì)軟件、硬件物理接觸、物力破壞、盜竊等和數(shù)據(jù)的破壞等泄密信息泄露給不應(yīng)該了解的他人內(nèi)部信息泄露、外部信息泄露等篡改非法修改信息，破壞信息的完整性篡改網(wǎng)絡(luò)、系統(tǒng)、安全配置信息，篡改使系統(tǒng)的安全性降低或信息不可用用戶身份信息和業(yè)務(wù)數(shù)據(jù)信息等抵賴不承認(rèn)收到的信息和所作的操作、原發(fā)抵賴、接受抵賴、第三方抵賴等交易威脅賦值賦值標(biāo)識(shí)定義5很高出現(xiàn)的頻率很高（或不少于1次/周),或在大多數(shù)情況下幾乎不可避免，或可以證實(shí)經(jīng)常發(fā)生過(guò)4高出現(xiàn)的頻率較高（或不少于1次/月），或在大多數(shù)情況下很有可能會(huì)發(fā)生，或可以證實(shí)多次發(fā)生過(guò)3中等出現(xiàn)的頻率中等（或大于1次/半年),或在某種情況下可能會(huì)發(fā)生，或被證實(shí)曾經(jīng)發(fā)生過(guò)2低出現(xiàn)的頻率較小，或一般不太可能發(fā)生，或沒(méi)有被證實(shí)發(fā)生過(guò)1很低威脅幾乎不可能發(fā)生，或僅可能在非常罕見(jiàn)或例外的情況下發(fā)生六、網(wǎng)絡(luò)安全配置均衡性風(fēng)險(xiǎn)評(píng)估6.1設(shè)備配置收集1、核心層交換機(jī)目前的網(wǎng)絡(luò)狀態(tài)正常，在配置上也針對(duì)某些安全方面的問(wèn)題進(jìn)行布置，具體情況都做了詳細(xì)的說(shuō)明，以下是核心層交換機(jī)配置上的一些安全防護(hù)措施:謝謝閱讀（1）核心交換機(jī)進(jìn)入特權(quán)模式需要密碼，對(duì)它進(jìn)行了密文的設(shè)置。謝謝閱讀（2)對(duì)核心交換機(jī)的虛擬線路進(jìn)行密碼的設(shè)置,遠(yuǎn)程登錄需要輸入密碼。感謝閱讀(3)使用UDLD對(duì)某些端口進(jìn)行鏈路的檢測(cè),以減少丟包的概率。感謝閱讀（4）在核心交換機(jī)上全局下關(guān)閉禁用HttpServer，防止非法入侵謝謝閱讀（5)全局下開(kāi)啟Bpdu—Guard，因?yàn)楹诵慕粨Q機(jī)在全局下開(kāi)啟Portfast特性.謝謝閱讀2、核心層交換機(jī)的穩(wěn)定性直接關(guān)系到整個(gè)網(wǎng)絡(luò)數(shù)據(jù)流量能否正常通過(guò)，核心層交換機(jī)的安全性問(wèn)題自然會(huì)影響到能否一直保持穩(wěn)定的狀態(tài)，起到至關(guān)的作用，保護(hù)好核心交換機(jī)的安全問(wèn)題很大原因其實(shí)是在保護(hù)核心交換機(jī)的穩(wěn)定性，做好安全防護(hù)工作,保護(hù)好核心交換機(jī)的穩(wěn)定性成為我們規(guī)則的焦點(diǎn)，下面是對(duì)本核心層交換機(jī)的安全防護(hù)問(wèn)題進(jìn)行完善,從而提高核心層交換機(jī)的安全性。謝謝閱讀3、使用SSH來(lái)作為遠(yuǎn)程的登錄，使用TELNET進(jìn)行遠(yuǎn)程登錄，Telnet會(huì)話中輸入的每個(gè)字符都將會(huì)被明文發(fā)送，這將被像Sniffer這樣的抓包軟件獲取它的用戶名、密碼等敏感信息。因此，使用安全性更高的SSH加密無(wú)疑比使用Telnet更加安全.感謝閱讀4、在虛擬線路中對(duì)遠(yuǎn)程登錄的最大連接數(shù)進(jìn)行限制，默認(rèn),一般情況下網(wǎng)絡(luò)設(shè)備會(huì)開(kāi)放謝謝閱讀5-15個(gè)虛擬的連接線路，不過(guò)，不同廠商，不同型號(hào)，所開(kāi)放的虛擬線路連接數(shù)也都不一精品文檔放心下載樣，可以通過(guò)登錄到此設(shè)備，可以用遠(yuǎn)程登陸或本地登陸，在該設(shè)備上對(duì)配置進(jìn)行查看，再精品文檔放心下載根據(jù)實(shí)際情況進(jìn)行修改；一般情況下，很多人都沒(méi)有對(duì)遠(yuǎn)程登陸范圍進(jìn)行限制，這樣使得每個(gè)人都有機(jī)會(huì)去TELNET,這多少給了惡意用戶提供攻擊的機(jī)會(huì),比如可以使用SYNFlood攻擊;感謝閱讀它偽造一個(gè)SYN報(bào)文，偽造一個(gè)源地址或者不存在的地址，通過(guò)向服務(wù)器發(fā)起連接,服務(wù)器在收到報(bào)文后用SYN—ACK應(yīng)答，而此應(yīng)答發(fā)出去后，服務(wù)器就等待源發(fā)個(gè)ACK的確認(rèn)包過(guò)來(lái)后以完成三次握手，建立起連接，但是,攻擊者使用的源是一個(gè)不存在或是偽造的地址，服務(wù)器將永遠(yuǎn)不會(huì)收到攻擊者發(fā)送過(guò)來(lái)的ACK報(bào)文,這樣將造成一個(gè)半連接。如果攻擊者發(fā)送大量這樣的報(bào)文，會(huì)在被攻擊主機(jī)上出現(xiàn)大量的半連接，消耗所有的資源，使得正常的用戶無(wú)法對(duì)其訪問(wèn)。直到半連接超時(shí)，才會(huì)慢慢釋放所有的資源，簡(jiǎn)單一點(diǎn)的說(shuō)，SYNFlood利用TCP的三次握手來(lái)讓服務(wù)器保持N個(gè)半個(gè)連接數(shù)，以消耗掉服務(wù)器系統(tǒng)的內(nèi)存等資源;對(duì)遠(yuǎn)程登錄的范圍用訪問(wèn)列表進(jìn)行控制，起到一定的安全性。感謝閱讀5、為了防范交換機(jī)上一些惡意攻擊行為,禁用所有未用的端口，以免因?yàn)橐恍o(wú)知行為或誤操作,導(dǎo)致一切都無(wú)法預(yù)料的后果；比如將交換機(jī)兩個(gè)端口用網(wǎng)線直接連接,這樣將導(dǎo)致整個(gè)交換機(jī)的配置數(shù)據(jù)被清除，交換機(jī)的配置一瞬間全清空，這樣將導(dǎo)致業(yè)務(wù)中斷,如果之前有對(duì)交換機(jī)的相關(guān)配置信息進(jìn)行備份，還可以在短時(shí)間內(nèi)還原,要是沒(méi)有,只能使得網(wǎng)絡(luò)中斷的時(shí)間加長(zhǎng)，而且，關(guān)閉端口也能在一定程度上防范惡意用戶連接此端口并協(xié)商中繼模式，當(dāng)惡意用戶連接端口,冒充成另外一臺(tái)交換機(jī)發(fā)送虛假的DTP協(xié)商消息，真實(shí)的交換機(jī)收到這個(gè)DTP消息后，比較下參數(shù)，一旦協(xié)商成中斷模式后，惡意用戶通過(guò)探測(cè)信息流，當(dāng)有流量經(jīng)過(guò)時(shí)，所有通過(guò)此交換機(jī)上所有VLAN信息都會(huì)被發(fā)送到惡意用戶的電腦里。感謝閱讀6、為提高安全，最好把暫時(shí)不需要用到的服務(wù)都關(guān)閉掉，因?yàn)樗鼈兌己苡锌赡艹蔀榘踩┒?，惡意用戶利用這些安全漏洞進(jìn)整個(gè)網(wǎng)絡(luò)實(shí)行攻擊等非法行為，以達(dá)到一定的目的；核心交換機(jī)的配置中已經(jīng)對(duì)HttpServer這個(gè)服務(wù)進(jìn)行禁用，下面是一些經(jīng)常被攻擊者利用的服務(wù)，以對(duì)其進(jìn)行攻擊。建議把下面的服務(wù)也都一一禁用掉：精品文檔放心下載禁用IP源路由-——noipsourceroute感謝閱讀禁用小的UDP服務(wù)-——noserviceudp-small-s感謝閱讀禁用小的TCP服務(wù)———noservicetcp-small-s感謝閱讀7、核心交換機(jī)的作用至關(guān)重要,因?yàn)樗绊懙秸麄€(gè)網(wǎng)絡(luò)的正常運(yùn)行，這里有兩種情況:第一種情況當(dāng)一臺(tái)新的交換機(jī)接入到這個(gè)網(wǎng)絡(luò)，因?qū)W(wǎng)絡(luò)拓?fù)洳皇煜ぃ渲缅e(cuò)誤，使得新交換機(jī)成為根網(wǎng)橋，新交換通過(guò)宣告VLAN信息讓整個(gè)域的其他交換機(jī)都能學(xué)習(xí)到，這將謝謝閱讀使得整網(wǎng)流量全導(dǎo)向新交換機(jī).第二種情況:交換機(jī)默認(rèn)都是SERVER模式，在這里以域中只有一臺(tái)SERVER模式，新交換機(jī)模式為CLIENT，當(dāng)新的交換機(jī)加入網(wǎng)絡(luò)中,因?yàn)樗男抻啺姹咎?hào)比較高，這里的修訂版本號(hào)用來(lái)標(biāo)識(shí)交換機(jī)的更新信息，修改版本號(hào)越高，它的VLAN信息流越新，與交換機(jī)的模式無(wú)關(guān)，修訂版本號(hào)可以通過(guò)增加/刪除/修改VLAN信息等等來(lái)增加它的數(shù)值，交換機(jī)之間通過(guò)發(fā)送BPDU，比較它們的參數(shù)，包括修訂版本號(hào)，通過(guò)比較得出修訂版本號(hào)高的交換機(jī)，作為整個(gè)域中VLAN信息的標(biāo)配,當(dāng)新交換機(jī)的修訂版本號(hào)高于處在根網(wǎng)橋的交換機(jī)時(shí)，它不會(huì)去學(xué)習(xí)根網(wǎng)橋宣告過(guò)來(lái)的VLAN信息，當(dāng)SERVER通過(guò)BPDU包的交換后得知新交換機(jī)的修訂版本號(hào)比較高，它通過(guò)BPDU包學(xué)習(xí)到新交換機(jī)的VLAN信息,并在整個(gè)域中把此VLAN信息進(jìn)行宣告出去，整網(wǎng)中所有交換機(jī)的原來(lái)VLAN信息全被刪除，都學(xué)習(xí)到SERVER交換機(jī)發(fā)送過(guò)來(lái)的最新VLAN信息流.謝謝閱讀這兩種方式都直接導(dǎo)致網(wǎng)絡(luò)流量的導(dǎo)向，使得網(wǎng)絡(luò)中交換機(jī)所學(xué)到的VLAN信息不全，網(wǎng)絡(luò)資源的浪費(fèi)，網(wǎng)絡(luò)部分業(yè)務(wù)的中斷，甚至網(wǎng)絡(luò)的環(huán)路,為了防范以上的問(wèn)題，需要布置根防護(hù)，當(dāng)根網(wǎng)橋在啟用根防護(hù)的端口上接收到其他交換機(jī)發(fā)送過(guò)來(lái)的BPDU，不管修訂版本號(hào)是多高，根網(wǎng)橋不對(duì)此包作處理,直接端將口進(jìn)入"不一致"的STP狀態(tài)，并且交換機(jī)不會(huì)從這個(gè)端口轉(zhuǎn)發(fā)流量;這種方法能夠有效地鞏固根網(wǎng)橋的位置，還能夠有效的避免第2層環(huán)路,它能將接口強(qiáng)制為指定端口，進(jìn)而能夠防止周圍的交換機(jī)成為根交換機(jī)。當(dāng)新交換機(jī)接入網(wǎng)絡(luò)時(shí)，先將交換機(jī)的模式設(shè)置為透明模式，再把它改為客戶模式，從而保證不會(huì)出現(xiàn)以上所說(shuō)的情況。精品文檔放心下載6。2檢查各項(xiàng)HA配置1、核心層交換機(jī)上開(kāi)啟了HSRP協(xié)議，在匯聚層華為設(shè)備上配置了VRRP協(xié)議，因?yàn)镠SRP是思科私有，所以華為只能使用業(yè)界的VRRP，在兩臺(tái)核心交換機(jī)上,對(duì)VLAN的SVI口進(jìn)行配置;謝謝閱讀HSRP是一種熱備份路由網(wǎng)關(guān)協(xié)議，具有很高的可靠性，它通過(guò)雙方預(yù)先設(shè)定好的虛擬IP地址，發(fā)送HELLO數(shù)據(jù)包,經(jīng)過(guò)一系列的狀態(tài)比較，最終協(xié)商出誰(shuí)是Active誰(shuí)是Standby，HSRP相當(dāng)于是臺(tái)虛擬的路由器，有自己的虛擬IP地址及MAC地址，終端用戶將這虛擬的IP地址作為網(wǎng)關(guān);謝謝閱讀默認(rèn)情況下，只有Active路由器在工作，Standby路由器一直處在空閑狀態(tài)之中,雙方每3S會(huì)發(fā)送HELLO去偵測(cè)對(duì)方以確定對(duì)方是否存在,當(dāng)10S過(guò)后，還沒(méi)收到對(duì)方發(fā)送過(guò)來(lái)的HELLO包，Standby會(huì)認(rèn)為對(duì)方設(shè)備出現(xiàn)故障或者對(duì)方已經(jīng)不存在，這時(shí)它會(huì)把自己的狀態(tài)謝謝閱讀從standby變?yōu)閍ctive，這對(duì)于終端的用戶是透明的,保證終端用戶數(shù)據(jù)能得到可靠的傳輸,當(dāng)一臺(tái)設(shè)備鏈路出現(xiàn)問(wèn)題,HSRP只需要經(jīng)過(guò)一個(gè)鄰居狀態(tài)standby—active，能快速的切換到另一臺(tái)設(shè)備,用戶的可用性得到保障；感謝閱讀HSRP還可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行負(fù)載分擔(dān)。VRRP是業(yè)界定義的一種類似于HSRP的網(wǎng)關(guān)冗余協(xié)議，功能與作用基本與HSRP相同，區(qū)別在于VRRP可以使用物理的IP地址作為虛擬IP地址，VRRP的狀態(tài)機(jī)相比起HSRP減少很多等.謝謝閱讀2、通過(guò)對(duì)核心交換機(jī)HSRP協(xié)議的配置進(jìn)行分析,HSRP全都是在VLAN的SVI接口里進(jìn)行配置，在主核心交換機(jī)中設(shè)定一個(gè)共同的虛擬IP地址，并對(duì)它的優(yōu)先級(jí)進(jìn)行設(shè)定，開(kāi)啟HSRP的搶占性；在另一臺(tái)核心交換機(jī)也是同樣的配置,只是優(yōu)先級(jí)不同,這樣，當(dāng)它們發(fā)送HEELO包選舉行，先比較優(yōu)先級(jí)，優(yōu)先級(jí)一樣再比較IP地址，IP地址較高的為Active，當(dāng)Active設(shè)備出現(xiàn)故障時(shí),Standby會(huì)馬上切換過(guò)來(lái)變?yōu)锳ctive,，原來(lái)的核心交換機(jī)恢復(fù)正常時(shí)，會(huì)自動(dòng)把Active的主動(dòng)權(quán)搶占過(guò)來(lái)；感謝閱讀如果核心交換機(jī)的外口出現(xiàn)故障，因?yàn)闆](méi)有對(duì)外邊的接口進(jìn)行跟蹤的配置,這樣會(huì)造成黑洞的產(chǎn)生,數(shù)據(jù)包的丟失；在兩臺(tái)核心交換機(jī)中并沒(méi)有起到流量的負(fù)載分擔(dān),正常情況下,一臺(tái)路由器處在忙碌狀態(tài),另一臺(tái)路由器一直處在空閑狀態(tài)中，等待著監(jiān)測(cè)著Active路由器的工作狀態(tài)，在匯聚層兩臺(tái)華為設(shè)備的交換機(jī)中，配置VRRP，并沒(méi)有配置搶占性，對(duì)外口進(jìn)行追蹤，但發(fā)現(xiàn)故障時(shí),優(yōu)先級(jí)會(huì)自動(dòng)減少30，因?yàn)闆](méi)有配置搶占性，備份設(shè)備不會(huì)進(jìn)行搶占，使得主設(shè)備對(duì)外追蹤沒(méi)有多大的意義，反而又多了丟包率.謝謝閱讀3、在配置HSRP協(xié)議的兩臺(tái)交換機(jī)上，終端PC通過(guò)兩臺(tái)交換機(jī)去訪問(wèn)內(nèi)部的資源時(shí)，終端PC的網(wǎng)關(guān)指向兩臺(tái)交換機(jī)協(xié)商設(shè)置的虛擬IP地址，在同一時(shí)間，兩臺(tái)交換機(jī)，只有一臺(tái)交換機(jī)處在Active狀態(tài),另一臺(tái)交換機(jī)一直處在Idle狀態(tài)，當(dāng)數(shù)據(jù)包穿越交換機(jī)去訪問(wèn)網(wǎng)絡(luò)資源，把交換機(jī)與終端PC相連的接口線拔掉，處于Active的交換機(jī)突然因?yàn)榻涌谒蓜?dòng)而導(dǎo)致中斷,處在Idle狀態(tài)的交換機(jī)快速切換成Active，繼續(xù)讓鏈路保持不中斷的狀態(tài)，對(duì)于終端用戶，完全感覺(jué)不到剛剛鏈路已經(jīng)中斷，訪問(wèn)網(wǎng)絡(luò)的資源沒(méi)有任何的影響;再把剛剛拔掉的接口再插回去，因?yàn)镠SRP配置了搶占性，主設(shè)備通過(guò)發(fā)送HELLO比較,立馬Active的主動(dòng)權(quán)搶占回來(lái)。精品文檔放心下載6.3設(shè)備日志分析通過(guò)對(duì)防火墻的日志導(dǎo)出,對(duì)日志進(jìn)行檢查,目前防火墻每天產(chǎn)生的日志信息條數(shù)過(guò)多，謝謝閱讀仔細(xì)分析日志的其中一部分，防火墻日志記錄了穿越它的流量信息，幾乎所有的流量都是屬謝謝閱讀于正常日志信息，正常日志信息占滿了整個(gè)防火墻的日志欄，日志記錄的信息包括本設(shè)備的精品文檔放心下載型號(hào)、IP地址、日期時(shí)間;日志開(kāi)始的日期與時(shí)間,持續(xù)的時(shí)間段，源IP地址、源端口、目謝謝閱讀標(biāo)IP地址、目標(biāo)端口、Xlated以及發(fā)送與接收的數(shù)據(jù)包狀態(tài)等。正常的日志信息意味著網(wǎng)謝謝閱讀絡(luò)運(yùn)行的狀態(tài)正常，沒(méi)有存在一些惡意的攻擊,下面是防火墻的一些日志信息,都屬于正常的謝謝閱讀日志：七、風(fēng)險(xiǎn)級(jí)別認(rèn)定網(wǎng)絡(luò)安全管理是一項(xiàng)系統(tǒng)工程，要從根本上去規(guī)避安全風(fēng)險(xiǎn)，則必須對(duì)整個(gè)網(wǎng)絡(luò)安全體系進(jìn)行系統(tǒng)化的分析，從管理和技術(shù)兩大方面入手,雙管齊下，必須變被動(dòng)為主動(dòng)，提早發(fā)現(xiàn)問(wèn)題，解決問(wèn)題,盡可能杜絕安全管理上的漏洞。精品文檔放心下載通過(guò)將現(xiàn)有制度按體系分層歸類,找出現(xiàn)有制度及運(yùn)作的存在問(wèn)題，和國(guó)際標(biāo)準(zhǔn)ISO17799進(jìn)行對(duì)比，提出修補(bǔ)意見(jiàn)。根據(jù)現(xiàn)有的制度,建立安全管理指導(dǎo)的框架，方便各中心根據(jù)自身實(shí)際形成必要的安全指導(dǎo)制度。感謝閱讀《技術(shù)性的系統(tǒng)安全掃描報(bào)告》《技術(shù)性的系統(tǒng)安全加固方案》《關(guān)鍵系統(tǒng)基線檢查報(bào)告》《遠(yuǎn)程滲透測(cè)試報(bào)告》《ISO27001差距分析》《網(wǎng)絡(luò)安全機(jī)制評(píng)估報(bào)告》八、項(xiàng)目實(shí)施規(guī)劃表1項(xiàng)目實(shí)施規(guī)劃序號(hào)工作名稱詳細(xì)1項(xiàng)目準(zhǔn)備項(xiàng)目啟動(dòng)會(huì)安全評(píng)估前的培訓(xùn)使用掃描工具進(jìn)行安全掃描遠(yuǎn)程滲透測(cè)試2安全評(píng)估對(duì)系統(tǒng)進(jìn)行基線檢查對(duì)系統(tǒng)相關(guān)人員進(jìn)行訪談對(duì)管理制度進(jìn)行審查技術(shù)上的工具掃描結(jié)果、遠(yuǎn)程滲透測(cè)試、基線檢查結(jié)果分析3企業(yè)安全現(xiàn)狀分析管理層面的漏洞分析差距分析，與ISO27001做比較在技術(shù)層面上使用技術(shù)手段對(duì)系統(tǒng)進(jìn)行安全加固4安全加固在管理層面上制定合理的管理制度5評(píng)估結(jié)束后的培訓(xùn)針對(duì)當(dāng)前企業(yè)存在的安全問(wèn)題做一次有針對(duì)性的培訓(xùn)項(xiàng)目后期的宣傳工作通過(guò)FLASH、海報(bào)等方式加強(qiáng)安全方面的宣傳教育工作。精品文檔放心下載九、項(xiàng)目階段第一階段：前期準(zhǔn)備階段項(xiàng)目計(jì)劃需求調(diào)研確定項(xiàng)目目標(biāo)和詳細(xì)范圍完成詳細(xì)方案設(shè)計(jì)項(xiàng)目前期溝通與培訓(xùn)第二階段：評(píng)估實(shí)施技術(shù)評(píng)估策略文檔及規(guī)范審查第三階段:評(píng)估報(bào)告和解決方案數(shù)據(jù)整理和綜合分析安全現(xiàn)狀報(bào)告安全解決方案第四階段:支持和維護(hù)系統(tǒng)加固安全培訓(xùn)定期回復(fù)抽樣遠(yuǎn)程二次評(píng)估實(shí)施安全評(píng)估的整個(gè)過(guò)程如下圖所示十、交付的文檔及報(bào)告在實(shí)施階段，會(huì)產(chǎn)生各種報(bào)告工具掃描《網(wǎng)絡(luò)10.1中間評(píng)估文檔掃描報(bào)《網(wǎng)絡(luò)架構(gòu)整體安全分析評(píng)估報(bào)告》《人工人工評(píng)估評(píng)估報(bào)《系統(tǒng)漏洞掃描報(bào)告》（包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、PC機(jī)、安全設(shè)備等)《技術(shù)性弱點(diǎn)綜合評(píng)估報(bào)告》析需求《策略《安全《解分《安全策略文檔體系評(píng)估報(bào)告》歸納，整策略評(píng)估文檔評(píng)評(píng)估報(bào)決方理、分析10.2最終報(bào)告告》案建《安全安全審計(jì)《安全評(píng)估整體結(jié)果報(bào)告》;審計(jì)報(bào)《安全整體解決方案建議》；《網(wǎng)絡(luò)網(wǎng)絡(luò)架《構(gòu)系統(tǒng)安全加固建議方案》。架構(gòu)報(bào)十一、安全評(píng)估具體實(shí)施內(nèi)容《系統(tǒng)11。1網(wǎng)絡(luò)架構(gòu)評(píng)安估全報(bào)狀況評(píng)估11.1.1內(nèi)容描述網(wǎng)絡(luò)架構(gòu)安全評(píng)估主要涉及到以下幾個(gè)方面的內(nèi)容：網(wǎng)絡(luò)拓?fù)浜蛥f(xié)議：拓?fù)浣Y(jié)構(gòu)合理性分析、可擴(kuò)展性分析；對(duì)周邊接入的全面了解，安全域劃分的級(jí)別,信精品文檔放心下載任網(wǎng)絡(luò)或者不信任網(wǎng)絡(luò)之間是否有控制,控制本身帶來(lái)的安全程度以及是否有可以繞過(guò)控制感謝閱讀的途徑；所采用的路由協(xié)議，是否存在配置漏洞，冗余路由配置情況，路由協(xié)議的信任關(guān)系；感謝閱讀對(duì)網(wǎng)絡(luò)管理相關(guān)協(xié)議的分析整理；對(duì)業(yè)務(wù)應(yīng)用相關(guān)協(xié)議的分析整理；各網(wǎng)絡(luò)節(jié)點(diǎn)（包括接入精品文檔放心下載節(jié)點(diǎn)）的安全保障措施。網(wǎng)絡(luò)安全管理機(jī)制：網(wǎng)絡(luò)的安全策略是否存在,以及是否和業(yè)務(wù)系統(tǒng)相互吻合,有無(wú)合理的安全制度作為保感謝閱讀障；網(wǎng)絡(luò)體系架構(gòu)是如何進(jìn)行管理的，是否有良好的機(jī)制和制度保障網(wǎng)絡(luò)架構(gòu)本身不被改變，精品文檔放心下載沒(méi)有非法的不符合安全策略的架構(gòu)改變；網(wǎng)絡(luò)設(shè)備BUG的檢查處理機(jī)制，即系統(tǒng)管理人員接精品文檔放心下載收到或者發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備存在BUG的時(shí)候，是否有一個(gè)流程可以處理;網(wǎng)絡(luò)安全事件緊急響應(yīng)感謝閱讀措施；網(wǎng)絡(luò)防黑常用配置的資料整理、分類和準(zhǔn)備；網(wǎng)絡(luò)故障的分析手段的資料整理、分類精品文檔放心下載和準(zhǔn)備；針對(duì)網(wǎng)絡(luò)架構(gòu)、協(xié)議和流量的安全審計(jì)制度和實(shí)施情況調(diào)查.精品文檔放心下載網(wǎng)絡(luò)認(rèn)證與授權(quán)機(jī)制：網(wǎng)絡(luò)服務(wù)本身提供的密碼和身份認(rèn)證手段，系統(tǒng)是否還要其它密碼和身份認(rèn)證體系；在謝謝閱讀相關(guān)的網(wǎng)絡(luò)隔離點(diǎn)，是否有恰當(dāng)?shù)脑L問(wèn)控制規(guī)則設(shè)立,是否被有效的執(zhí)行；是否有集中的網(wǎng)謝謝閱讀絡(luò)設(shè)備認(rèn)證管理機(jī)制,是否被正確的配置和執(zhí)行；網(wǎng)絡(luò)加密與完整性保護(hù)機(jī)制：數(shù)據(jù)加密傳輸；完整性校驗(yàn)的實(shí)現(xiàn)。網(wǎng)絡(luò)對(duì)抗與響應(yīng)機(jī)制：是否有漏洞的定期評(píng)估機(jī)制和入侵檢測(cè)和記錄系統(tǒng)的機(jī)制；網(wǎng)絡(luò)建設(shè)中是否良好的考慮精品文檔放心下載了網(wǎng)絡(luò)的高可用性和可靠性問(wèn)題，是否被正確使用和良好的配置，是否有機(jī)制保障不被修改。感謝閱讀網(wǎng)絡(luò)安全配置均衡性分析:安全機(jī)制本身配置是否不合理或者存在脆弱性。11。1.2過(guò)程任務(wù)提交網(wǎng)絡(luò)拓?fù)鋱D，并對(duì)網(wǎng)絡(luò)流量、安全機(jī)制進(jìn)行說(shuō)明；對(duì)相關(guān)人員進(jìn)行訪談，問(wèn)題涉及網(wǎng)絡(luò)架構(gòu)與協(xié)議、網(wǎng)絡(luò)安全管理規(guī)定、網(wǎng)絡(luò)安全機(jī)制的使用等；精品文檔放心下載現(xiàn)場(chǎng)參觀和調(diào)查；編寫(xiě)網(wǎng)絡(luò)架構(gòu)安全評(píng)估報(bào)告。11。1。3輸入指導(dǎo)目標(biāo)系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D必要的網(wǎng)絡(luò)運(yùn)營(yíng)記錄信息11.1。4輸出成果《網(wǎng)絡(luò)架構(gòu)整體安全分析評(píng)估報(bào)告》12.2系統(tǒng)安全狀態(tài)評(píng)估11.2。1內(nèi)容描述技術(shù)評(píng)估旨在發(fā)掘目標(biāo)系統(tǒng)現(xiàn)有的技術(shù)性漏洞，評(píng)估方法主要有三種:自動(dòng)化漏洞掃描、精品文檔放心下載滲透測(cè)試、本地安全審查。使用專用的掃描工具進(jìn)行漏洞掃描，可掃描的系統(tǒng)和漏洞類別如下：精品文檔放心下載Windows9X/NT/2000掃描后門(mén)BackOrifice，CDK等掃描RemoteControl程序NetBus等精品文檔放心下載掃描在NetBIOS服務(wù)上的各種漏洞通過(guò)獲取用戶目錄的登錄入侵掃描共享文件夾漏洞,共享權(quán)限等掃描RemoteRegistryAutoLogon等精品文檔放心下載掃描SNMP漏洞(CommunityName，讀/寫(xiě)）精品文檔放心下載掃描FTP漏洞(Anonymous，guest)感謝閱讀掃描UNIXOrient服務(wù)（XWindow,TFTP等)感謝閱讀掃描Echo,Time,Chargen等不必要的服務(wù)謝謝閱讀UNIX/Linux掃描后門(mén)Trinoo,…掃描SMTP版本及各種漏洞掃描對(duì)Rcommand（rsh，rlogin，rexec),telnet的BruteforceAttack精品文檔放心下載掃描FTP,TFTP服務(wù)器的各種漏洞SNMP漏洞掃描（CommunityName，讀/寫(xiě))感謝閱讀掃描DNS服務(wù)（bind）的漏洞掃描RPC服務(wù)的各種漏洞,NFS共享/NIS等謝謝閱讀掃描XWindow服務(wù)器遠(yuǎn)程漏洞掃描Echo，Time,Chargen等不必要的服務(wù),還有Finger，Gopher，POP3,SSH等危險(xiǎn)服務(wù)精品文檔放心下載網(wǎng)絡(luò)設(shè)備掃描通訊設(shè)備(Router，SwitchingHub，F(xiàn)/W)等的安全狀況謝謝閱讀掃描SNMP漏洞(CommunityName，讀/寫(xiě))感謝閱讀掃描ICMP漏洞（TimeStamp等)掃描測(cè)試各種StealthPort掃描默認(rèn)密碼的BruteForce攻擊應(yīng)用系統(tǒng)掃描Web服務(wù)器、FTP服務(wù)器等應(yīng)用系統(tǒng)IIS，Netscape等服務(wù)器漏洞RDS，Unicode等漏洞各種CGI漏洞掃描WebProxy服務(wù)器掃描數(shù)據(jù)庫(kù)Oracle，MS—SQL，MySQL服務(wù)器漏洞謝謝閱讀各種默認(rèn)密碼掃描登錄后，可否執(zhí)行各種StoredProcedure謝謝閱讀掃描網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)設(shè)備配置策略網(wǎng)絡(luò)設(shè)備特定漏洞在自動(dòng)化漏洞掃描基礎(chǔ)上,奧怡軒技術(shù)顧問(wèn)會(huì)對(duì)目標(biāo)系統(tǒng)進(jìn)行滲透測(cè)試。精品文檔放心下載滲透測(cè)試，是在授權(quán)情況下,利用安全掃描器和富有經(jīng)驗(yàn)的安全工程師的人工經(jīng)驗(yàn)對(duì)網(wǎng)精品文檔放心下載絡(luò)中的核心服務(wù)器及重要的網(wǎng)絡(luò)設(shè)備(包括服務(wù)器、交換機(jī)、防火墻等）進(jìn)行非破壞性質(zhì)的謝謝閱讀模擬黑客攻擊，目的是侵入系統(tǒng)并獲取機(jī)密信息并將入侵的過(guò)程和細(xì)節(jié)產(chǎn)生報(bào)告給用戶。謝謝閱讀滲透測(cè)試和工具掃描可以很好的互相補(bǔ)充。工具掃描具有很好的效率和速度，但是存在精品文檔放心下載一定的誤報(bào)率，不能發(fā)現(xiàn)高層次、復(fù)雜的安全問(wèn)題；滲透測(cè)試需要投入的人力資源較大、對(duì)感謝閱讀測(cè)試者的專業(yè)技能要求很高（滲透測(cè)試報(bào)告的價(jià)值直接依賴于測(cè)試者的專業(yè)技能），但是非謝謝閱讀常準(zhǔn)