LinkTrust风险评估交流材料

独家中标中国电信集团公司网络安全管理平台工程项目
公司资质
工业与信息化部应急服务资质
工业与信息化部下属国家计算机网络应急技术处理协调中心（ CNCERT/CC）
为“电信运营商”提供服务的“国家级”应急服务支持单 位
奥运保障荣誉证书
奥运安全保障电信运营商表扬信
奥运重点保障工作
安全职守 7*24小时安全职守保障 ： 北京移动 、北京网通、天津移动、上海移动、 上海联通、 辽宁移动、河北网通秦 皇岛公司。 5*8小时安全职守保障：浙江移动、 江苏移动、广东移动等。 应急响应 7*24小时应急响应：中国电信集团、 中国电信互联星空全国中心、中国移 动集团、中国网通集团、天津网通、 河北网通等。
2002-12 签署了国内第一个安全管理中心实施订单并保持15月 独家拥有成功案例
2003-06 通过中国国家信息安全产品测评认证中心CNITSEC信息系统安全服务 资质认证 2003-09 “2003年中国网络安全系统入侵检测与漏洞扫描用户大会”荣获“ 用户推荐的入侵检测系统”产品证书 2003-10 信息产业部中国信息化推进联盟小组《中国信息建设报告》中获《 信息化推荐产品入选证书》 2003-12 在南京成立安全管理开发中心，全面推进安全管理平台体系的研究、 开发和产品化过程
Tomcat
IIS Apache
weblogic
Web安全评估
渗透测试 • 渗透测试是在公司的允许下和可控的范围内，采取可控的，不造 成不可弥补损失的黑客入侵手法，对公司网络和系统发起真正攻 击。目的是侵入系统并获取机密信息，将入侵的过程和细节产生 报告给用户。 关键页面的代码分析 • 针对有用户输入信息的关键页面进行代码安全分析。 应用系统文档审核； - 包括应用系统开发、维护文档等，尤其关注其中的和安全性相 关的部分； 顾问访谈； - 询问应用系统开发者、系统管理员、普通用户等； - 一般若用户回答否，则结果为否；若回答是，则应尽可能实际 上机验证； 系统配置状况检查； - 实际登陆系统，检查其安全状况； 中间件（如tomcat）安全检查； - 中间件软件漏洞检查； - 中间件软件安全配置项检查；
公司简介－大事记（续）
2002-05 圆满完成上海“APEC信息部长会议”的信息安全保卫任务 2002-05 安氏获得北京市科学技术委员会颁发的《高科技企业证书》 2002-06 安氏被香港政府指定为电子政务信息安全承包商 2002-07 中国企业中首家成为微软安全解决方案金牌合作伙伴 2002-08 安氏成功推出领信千兆防火墙“LinkTrustTM CyberWall-1000” 2002-08 安氏实验室成功完成第三代IDS开发工作 2002-10 安氏自主研发的百兆防火墙在IDG 国际数据集团出版的《网络世界 》杂志中获得了最高荣誉--编辑选择奖 2002-12 安氏荣获首届“中国电脑商500强”中供应商100强之列
典型客户
概要
安氏公司及成功案例介绍 项目总体思路和理解 项目技术方案建议 项目实施及管理
项目重点—web安全
1、应用及代码 安全检查
web平台软件 iis、apache等 web平台的配置 权限控制、日志
web应用/代码安全性 中间件安全性
数据库安全性
操作系统安全性 网络安全性 物理环境安全性
身份验证
授权
配置管理
敏感数据
会话管理
加密技术 异常管理 审核和日志记录
审核和记录Web服务器与数据库服务器以及应用程序服务器（如果使用的话）上的活动。 备份日志文件，并定期分析可疑活动的征兆。 日志文件的保护。
渗透测试—主要手段及风险说明
采用的技术手段 信息收集 详细描述 Google 、baidu查询 DNS信息查询 操作系统指纹识别 网络设备的远程测 试 路由器、交换机的安 全测试 防火墙策略探测 安全弱点扫描软件 端口扫描软件 口令攻击测试 系统及应用口令探测 可能使用的工具 IE Nslookup Telnet、Nmap Solarwinds Telnet、Ftp Hping2 Nessus弱点扫描器 nmap扫描器 brutus-aet2 手工检测 手工检测 手工检测 无线接入 建立大量的tcp半连接，测试系 统的抗拒绝服务能力（现 在的应急手段、提出一些 安全建议） 废弃的文件、伪造电话 ettercap、arp-spoof sniffer 可能的风险 无风险 无风险 无风险 无风险 无风险 很低的可能性，会对系统进行一 定的连接，影响系统应用 无风险 很低的可能性影响系统应用 很低的可能性影响系统应用 很低的可能性影响系统应用 很低的可能性影响系统应用 无风险 会对系统运行造成较大风险，建 议不进行此项渗透 是否采用 是 是 是 是 是 是 是 是 是 是 是 否
2、对可能的拒绝服 务攻击要有防范措 施
3、通常的评估加固 防火墙等安全产品 的保障
web代码的安全性 sql注入、跨站等
项目难点 –安全漏洞修复
• 面临困难：部分漏洞由于业务限制不能直接实施加固
• 解决方法：制定针对性的替代方案减缓和控制漏洞带来的风险
限制访问帐号的权限 控制访问的时间段 只允许可信任ip访问 加强业务监控 加强安全监控 加强日志分析 增加备机或备份系统 增加数据备份的频度
4 内部威胁 增大
5 攻击目的 变化
6 信息安全 日益突出
项目价值点 3 解决实际问题
保障业务，确保信息系统的安全运行
铁三角确保价值实现
对电信行业的了解
丰富的行业安全服务经验
项目价值实现
专业技术
多年来安全服务专业技术的积累
强大有效的执行力
有效的实施团队、完善的项目管 理方法确保执行力
概要
安氏公司及成功案例介绍 项目总体思路和理解 项目技术方案建议 项目实施及管理
应用及代码安全
主要问题 输入验证 安全措施 执行完全的输入验证。应用程序将请求发送给数据库前要对输入进行验证。 利用HTMLEncode和URLEncode函数对包括用户输入在内的任何输出进行编码。 利用最低特权帐户来与数据库连接。 密码的强加密方式存储，在用户的存储器中存储非可逆的散列密码。 使用加密的通信通道，例如SSL。 使用复杂、非寻常的单词作为强密码，尤其是普通业务用户。 cookie的安全要求. 对访问敏感数据进行角色检查和权限限制。 利用强ACL来保护资源。 利用标准的加密技术将敏感数据存储到配置文件和数据库中。 将管理界面的数量减到最少。 使用强身份验证，例如，使用证书。 考虑只支持本地管理。如果完全需要远程管理，那么应当限制可管理的IP。 用基于角色的安全机制来区分用户，谁可以查看数据，谁可以更改数据。 加密数据。 使用加密通信通道，例如，SSL。 利用SSL创建一条安全的通信通道，只在HTTPS连接上传输身份验证cookie。 实现注销功能，允许用户在启动另一个会话时结束强制身份验证会话。 如果不使用SSL，确保要限制会话cookie的有效期。 当执行关键功能时，重新进行身份验证。 使用标准的加密例程（例如DES/MD5），。 密钥的安全管理：使用强随机密钥生成函数，密钥存储、定期使密钥过期。 防止返回信息敏感信息等。
2001 第一个实施运营商安全服务项目，影响久远－－中国 电信
2001-08 成功推出本土自主知识产权的领信防火墙“LinkTrustTM CyberWall” －—业界第一个与IDS互动的防火墙 2001-11 圆满完成上海“APEC”会议的镜像网站保护工作，成功抗击全球黑 客攻击16.8万次 2001-12 安氏成功推出自主知识产权的领信入侵检测系统“LinkTrustTM IDS” 2002-03 安氏获得信息产业部颁发《软件企业认定证书》 2002-05 胜利完成上海“亚洲开发银行第35届年会”的信息安全保卫工作
问卷调查（设计各种调查问卷）
实地考察（登录到被评估对象，进行检查）
评估实施
专家访谈（定制专家访谈表） 技术测试（通过技术手段测试某些措施是否有效）
评估数据整理 风险计算与分析
评估后分析
风险控制策略 安全建设规划
数据库
Oralce
Sqlserveห้องสมุดไป่ตู้ mysql
中间件（应用软件）
公司简介－大事记
1997 第一个将IDS产品引入国内 －－电信数据局
2000-04 2000-12 2001-01 2001-04 2001-05 2001-06 2001-07 成立业内最早最大的实验室--安氏安全实验室 业界第一个推出eSafeLinkTM全面安全解决方案 在清华大学设立“安氏安全奖学金” 安氏在“中国城域网宽带建设论坛”上首家推出城域网安全解决方案 第一个签署业内最大的单笔金额超100万美元的订单 安氏荣获CCID颁发的“最佳客户服务满意度大奖” 成功完成“21届世界大学生运动会”的信息安全保卫工作
公司简介－大事记（续）
2004
2004-03 安氏领信入侵检测系统率先通过了公安部质量检测中心的新标准，并拿到销售许可证（ XKC31200） 2004-04 安氏应邀出席“2004年中国网络安全系统防火墙技术与应用大会”并获“领信防火墙推 荐奖” 2004-05 安氏荣获“2004年度中国信息安全值得信赖的服务品牌”和“2004年度中国信息安全值 得信赖的入侵检测产品”双奖。 2004-06 安氏再次荣获“2004中国电脑商500强之供应商100强” 2004-07 安氏入选信息产业部互联网应急处理协调办公室评选的十家“信息产业部互联网应急服务 国家级试点单位”之一 2004-08 安氏领信千兆IDS荣获《网络世界》评测实验室最高荣誉—编辑选择奖。 2004-09 安氏荣获“第三届（2004）中国电子政务IT100强企业”称号 2004-11 安氏率先获得国家版权局签发的“Security Operation Center”软件(简称SOC软件)计 算机软件著作权证书 2004-11 安氏举行主题为“创新安全科技〃安氏全线演绎”的2004安氏中国战略暨新产品发布会 ，隆重推出28款全新网络安全产品 2005-03 安氏获得ISO质量管理体系认证证书 2005-03 安氏获得北京市信息安全服务能力等级证书，具备一级信息安全服务能力 2005－3 受中国移动邀请，派专人在移动驻点协助移动安全小组工作 2005－4 受中国网通邀请，组织专门队伍协助网通进行DCN网络安全规划建设工作 2006－1 承接中国移动ISMP（SOC）规范软课题 2006－6 中标网通集团DCN骨干边界安全防护项目（IDS）
“六十周年国庆”保障服务
安全职守 7*24小时安全职守保障 ： 中国电信集团、北京移动 、北京联通、天津移动、 上海移动。 为大量运营商用户提供 7*24小时应急响应中国电 信互联星空全国中心等 。
第十届全国运动会—山东
2010年上海世界博览会
协助上海移动进行世博会的 安全服务 世博会无线官网 http://wap.expo2010china. com票务网等5个网站的安 全测试。 安全保障服务：职守、应 急响应等。
概要
安氏公司及成功案例介绍 项目总体思路和理解 项目技术方案建议
- 安全评估服务 - 安全技术支持服务
项目实施及管理
项目技术方案建议—评估服务
1、评估方法 2、典型漏洞举例
网络架构评估
规范文档
拓扑结构
安全控制
稳 定 性
安全性
运行维护
扩 展 性
需求
管理性
安全产品
网络管理 安全域划分
数据安全
网络架构评估的内容
一、规范文档 二、网络拓扑
网络架构评估的内容
三、运行维护 四、网络管理
网络架构评估的内容
五、数据安全 六、安全域划分
网络架构评估的内容
七、安全产品 八、安全控制
网络架构评估的流程
客户网络需求调查（客户需求调查表）
评估前准备工作
评估范围确定（详细拓扑图，而非一般的示意图） 资产调查（资产标注，明确评估范围内的资产） 现状调查（明确目前的安全机制，运行状况）
风险评估服务交流
专业安全服务部
项目价值点1：
安全工作日常化
安全工作固化、优化
将安全要求落实到日常 维护计划、事件应急处 理等运维体系中。
定期的安全评估、渗透 测试。
信息系统
重要通信保障服务。
应急响应、应急演练等。
项目价值点 2 人的意识和技能的提高
人是信息安全最核心的要素
恶意破坏者
系统安全管理、安 全维护人员
公司简介-分支机构
北京安氏领信科技发展有限公司是专门为响应国家号召成立的
中资信息安全公司
安氏公司北京总部 安氏安全实验室 南京安全管理研发中心 安氏上海分公司 安氏广州分公司 安氏成都分公司 安氏中国香港公司
公司简介---技术实力
现有员工318人，其中技术人员占公司总人数的65%以上 ； 研发人员超过150人，在北京和南京（50多人）设有研发 中心，是国内最早成立，也是最大的信息安全研发实验 室； 国内最早开展信息安全顾问和专业服务。专业安全服务 人员全面拥有相关服务资质，如CISSP、ITIL、BS7799 Lead Auditor、CCIE、OCP、MCSE等； 拥有业界最多安全顾问、专业服务、安全管理中心、安 全集成典型案例。