企业网络安全设计:案例分析-PPT课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
9
问题!
经过初步安全检查,发现以下问题: 邮件服务器没有防病毒扫描模块;
客户端有W32/MydoomMM邮件病毒问题 路由器密码缺省没有修改过,非常容易被人攻击; 网站服务器系统没有安装最新微软补丁 没有移除不需要的功能组件; 用户访问没有设置复杂密码验证,利用字典攻击,非常容 易猜出用户名和密码,同时分厂员工对于网站访问只使用 了简单密码验证,容易被人嗅听到密码。 数据库系统SQL 2000 SA用户缺省没有设置密码; 数据库系统SQL 2000 没有安装任何补丁程序
8
危机!
该公司网站使用Windows 2000上的IIS作为对外的WEB服 务器,该网站WEB服务器负责公司的信息提供和电子商务。 在外网上部署了硬件防火墙,只允许到服务器TCP 80端口 的访问。 但是在12月21日上午,一个客户发邮件通知公司网站管理 员李勇,说该公司网站的首页被人修改,同时被发布到国 内的某黑客论坛,介绍入侵的时间和内容。 李勇立刻查看网站服务器,除了网站首页被更改,而且发 现任务列表中存在未知可疑进程,并且不能杀死。同时发 现网站数据库服务器有人正在拷贝数据! 李勇及时断开数据服务器,利用备份程序及时恢复网站服 务器内容,但是没有过了半小时,又出现类似情况,李勇 紧急通知IT管理人员王勇,告知该情况,于是王勇联系总 部指定的安全服务提供商维康安全有限公司
主机:
•服务器数量,名称,用途,分布 •服务器操作系统及版本 •用户身份验证方式 •工作站数量,用途和分布 •工作站操作系统及版本 •操作系统补丁部署 •防病毒部署 •主机防火墙 •计算机安全管理 安全管理: •企业安全策略和声明 •物理安全管理 •员工安全培训 •安全响应机制 •安全需求和满足程度
14
需要搜集的基本信息
ห้องสมุดไป่ตู้
企业信息: • 企业名称 • 业务范围 • 地理分布 • 员工数量 • 组织结构 • 管理模式 • 预期的增长或重组 网络: • 物理拓扑结构 • 网络设备 • 逻辑网络划分(活动目录结构) • 局域网结构 • 广域网结构 • 远程访问 • 互联网接入 • 网络协议类型 • 主要网络流量 • 防火墙和入侵检测系统
4
伟达投资的组织结构
上海总部 (200人) 行政部 人力资源部 管理部 公共关系部 固定资产部 采购部 IT总部 市场部 销售部 北京分公司(100人) 行政部 财务部 人力资源部 管理部 销售市场部 IT管理部 太阳能部 质量控制部 法律事务部
5
伟达投资的发展
伟达(中国)公司从1985年成立,经历了一个飞速的发展 过程,特别是90年代起收购了多家国内知名的的公司,而 且在中国一直与政府及大型能源企业都有全面的合作。公 司营业额在5年间增长了10倍,目前在国内的主要大城市 都有分公司和代表处,基于上述的业务增长,员工人数也 增加了8倍。 但是公司的急速扩张造成了公司IT管理部门的巨大工作压 力,公司原有的IT管理构架早已不堪重负。于是在2019年 初,公司对伟达(中国)的整个网络系统进行了一次重大 升级, 包括增加网络带宽,更换核心设备, 并将整个系 统从Windows NT4平台全部迁移到了Windows2000平台 并采用了活动目录服务, 以提高整个网络系统的可用性和 可管理性。
企业网络安全设计:案例分析
魏强 广州市灵通新技术有限公司
1
内容
案例介绍 安全评估 安全方案设计
2
案例介绍
以下内容,均系虚构,如有雷同,纯属巧合。
3
伟达投资
伟达(中国)投资有限公司是一家全球500 强的跨国能源集团在华的独资企业,从事太 阳能,电力,石油,化工,相关销售等项目 等的公司。 伟达(中国)投资有限公司总部设在上海外 滩,上海总部有200名员工,并在北京拥有 1家分公司,员工约100人。
10
亡羊补牢
王勇看到方明的报告非常吃惊,急忙上告公 司CIO余鸣,介绍公司网络安全状况,同时 提及如果不及时解决公司安全问题,可能会 造成非常大的经济和声誉上的影响。 12月22日上午,伟达公司立即召开紧急会 议商讨此事, 希望籍此吸取教训,彻底整 改,在进行安全风险评估的基础上,全面提 高企业网络安全性。
12
风险评估
13
风险评估的一般过程
只有经过全面的风险评估过程,才能够有针对性 地制定安全实施放案,选择合适的安全技术和产 品。 在风险评估过程,需要:
收集一切和网络安全相关的信息; 使用安全评测工具进行脆弱点检查; 分析收集到的信息,定义威胁级别。
安全不是最终结果,而是一种过程或者一种状态。 安全评估必须按照一定的周期不断进行,才能保 证持续的安全。
11
用户的目标
“我们做了尽可能多的工作,努力提我们的响应速度,缩短解决问题的 时间,但是很多情况下我们总是在问题出现了之后才开始解决,在这 种情况下我们很难及时解决问题,每次都会有一天到两天大部份系统 不能使用,而且也无法对可能发生的问题做有效的估计”李杰,伟达 (中国)的IT服务中心经理抱怨说。 “我们在很多方面的工作都很成功,但是就是由于这些网络上令人讨 厌的病毒,造成了我们还是经常收到来自个方面的投诉,显然这不是 我们想看到的。我们需要严密的系统和严格的策略来保证我们业务系 统的稳定性和可用性”伟达(中国)首席信息官(CIO)余鸣先生如 是说。 “我们需要一个可靠、稳定、安全,易于管理和维护的IT解决方案, 以及基于此方案的优秀IT服务部门,用以支撑我们公司的运营,以及 未来的发展。”公司总裁(CEO)张其军解释。
6
伟达的网络拓扑结构
internet 交换机 DMZ 路由器
防火墙
web服务器 交换机
Mail 服务器
DNS服务 器
交换机
数据库服务 器
打印服务 器
文件服 务器
DC服 务器
`
Client 客 户 机 移动计算机 台式机
Client 客户机
7
风险
但是,由于太多的日常维护工作而忽略了系 统策略及安全政策的制订及执行不力,管理 员的日常维护工作又没有标准可循,系统及 数据备份也是根本没有考虑到灾难恢复,经 常会有一些系统安全问题暴露出来。
问题!
经过初步安全检查,发现以下问题: 邮件服务器没有防病毒扫描模块;
客户端有W32/MydoomMM邮件病毒问题 路由器密码缺省没有修改过,非常容易被人攻击; 网站服务器系统没有安装最新微软补丁 没有移除不需要的功能组件; 用户访问没有设置复杂密码验证,利用字典攻击,非常容 易猜出用户名和密码,同时分厂员工对于网站访问只使用 了简单密码验证,容易被人嗅听到密码。 数据库系统SQL 2000 SA用户缺省没有设置密码; 数据库系统SQL 2000 没有安装任何补丁程序
8
危机!
该公司网站使用Windows 2000上的IIS作为对外的WEB服 务器,该网站WEB服务器负责公司的信息提供和电子商务。 在外网上部署了硬件防火墙,只允许到服务器TCP 80端口 的访问。 但是在12月21日上午,一个客户发邮件通知公司网站管理 员李勇,说该公司网站的首页被人修改,同时被发布到国 内的某黑客论坛,介绍入侵的时间和内容。 李勇立刻查看网站服务器,除了网站首页被更改,而且发 现任务列表中存在未知可疑进程,并且不能杀死。同时发 现网站数据库服务器有人正在拷贝数据! 李勇及时断开数据服务器,利用备份程序及时恢复网站服 务器内容,但是没有过了半小时,又出现类似情况,李勇 紧急通知IT管理人员王勇,告知该情况,于是王勇联系总 部指定的安全服务提供商维康安全有限公司
主机:
•服务器数量,名称,用途,分布 •服务器操作系统及版本 •用户身份验证方式 •工作站数量,用途和分布 •工作站操作系统及版本 •操作系统补丁部署 •防病毒部署 •主机防火墙 •计算机安全管理 安全管理: •企业安全策略和声明 •物理安全管理 •员工安全培训 •安全响应机制 •安全需求和满足程度
14
需要搜集的基本信息
ห้องสมุดไป่ตู้
企业信息: • 企业名称 • 业务范围 • 地理分布 • 员工数量 • 组织结构 • 管理模式 • 预期的增长或重组 网络: • 物理拓扑结构 • 网络设备 • 逻辑网络划分(活动目录结构) • 局域网结构 • 广域网结构 • 远程访问 • 互联网接入 • 网络协议类型 • 主要网络流量 • 防火墙和入侵检测系统
4
伟达投资的组织结构
上海总部 (200人) 行政部 人力资源部 管理部 公共关系部 固定资产部 采购部 IT总部 市场部 销售部 北京分公司(100人) 行政部 财务部 人力资源部 管理部 销售市场部 IT管理部 太阳能部 质量控制部 法律事务部
5
伟达投资的发展
伟达(中国)公司从1985年成立,经历了一个飞速的发展 过程,特别是90年代起收购了多家国内知名的的公司,而 且在中国一直与政府及大型能源企业都有全面的合作。公 司营业额在5年间增长了10倍,目前在国内的主要大城市 都有分公司和代表处,基于上述的业务增长,员工人数也 增加了8倍。 但是公司的急速扩张造成了公司IT管理部门的巨大工作压 力,公司原有的IT管理构架早已不堪重负。于是在2019年 初,公司对伟达(中国)的整个网络系统进行了一次重大 升级, 包括增加网络带宽,更换核心设备, 并将整个系 统从Windows NT4平台全部迁移到了Windows2000平台 并采用了活动目录服务, 以提高整个网络系统的可用性和 可管理性。
企业网络安全设计:案例分析
魏强 广州市灵通新技术有限公司
1
内容
案例介绍 安全评估 安全方案设计
2
案例介绍
以下内容,均系虚构,如有雷同,纯属巧合。
3
伟达投资
伟达(中国)投资有限公司是一家全球500 强的跨国能源集团在华的独资企业,从事太 阳能,电力,石油,化工,相关销售等项目 等的公司。 伟达(中国)投资有限公司总部设在上海外 滩,上海总部有200名员工,并在北京拥有 1家分公司,员工约100人。
10
亡羊补牢
王勇看到方明的报告非常吃惊,急忙上告公 司CIO余鸣,介绍公司网络安全状况,同时 提及如果不及时解决公司安全问题,可能会 造成非常大的经济和声誉上的影响。 12月22日上午,伟达公司立即召开紧急会 议商讨此事, 希望籍此吸取教训,彻底整 改,在进行安全风险评估的基础上,全面提 高企业网络安全性。
12
风险评估
13
风险评估的一般过程
只有经过全面的风险评估过程,才能够有针对性 地制定安全实施放案,选择合适的安全技术和产 品。 在风险评估过程,需要:
收集一切和网络安全相关的信息; 使用安全评测工具进行脆弱点检查; 分析收集到的信息,定义威胁级别。
安全不是最终结果,而是一种过程或者一种状态。 安全评估必须按照一定的周期不断进行,才能保 证持续的安全。
11
用户的目标
“我们做了尽可能多的工作,努力提我们的响应速度,缩短解决问题的 时间,但是很多情况下我们总是在问题出现了之后才开始解决,在这 种情况下我们很难及时解决问题,每次都会有一天到两天大部份系统 不能使用,而且也无法对可能发生的问题做有效的估计”李杰,伟达 (中国)的IT服务中心经理抱怨说。 “我们在很多方面的工作都很成功,但是就是由于这些网络上令人讨 厌的病毒,造成了我们还是经常收到来自个方面的投诉,显然这不是 我们想看到的。我们需要严密的系统和严格的策略来保证我们业务系 统的稳定性和可用性”伟达(中国)首席信息官(CIO)余鸣先生如 是说。 “我们需要一个可靠、稳定、安全,易于管理和维护的IT解决方案, 以及基于此方案的优秀IT服务部门,用以支撑我们公司的运营,以及 未来的发展。”公司总裁(CEO)张其军解释。
6
伟达的网络拓扑结构
internet 交换机 DMZ 路由器
防火墙
web服务器 交换机
Mail 服务器
DNS服务 器
交换机
数据库服务 器
打印服务 器
文件服 务器
DC服 务器
`
Client 客 户 机 移动计算机 台式机
Client 客户机
7
风险
但是,由于太多的日常维护工作而忽略了系 统策略及安全政策的制订及执行不力,管理 员的日常维护工作又没有标准可循,系统及 数据备份也是根本没有考虑到灾难恢复,经 常会有一些系统安全问题暴露出来。