系統(tǒng)程序漏洞掃描安全評估方案

目錄一、項目概述11。1評估范圍11。2評估層次11.3評估方法11.4評估結(jié)果21.5風(fēng)險評估手段21。5。1基于知識的分析方法21.5.2基于模型的分析方法31。5。3定量分析31.5.4定性分析41。6評估標(biāo)準(zhǔn)4二、網(wǎng)拓?fù)湓u估52。1拓?fù)浜侠硇苑治?2。2可擴(kuò)展性分析5三、網(wǎng)絡(luò)安全管理機(jī)制評估53.1調(diào)研訪談及數(shù)據(jù)采集53。2網(wǎng)絡(luò)安全管理機(jī)制健全性檢查63。3網(wǎng)絡(luò)安全管理機(jī)制合理性檢查73.4網(wǎng)絡(luò)管理協(xié)議分析7四、脆弱性嚴(yán)重程度評估74.1安全漏洞掃描84.2人工安全檢查104。3安全策略評估114.4脆弱性識別11五、網(wǎng)絡(luò)威脅響應(yīng)機(jī)制評估125.1遠(yuǎn)程滲透測試12六、網(wǎng)絡(luò)安全配置均衡性風(fēng)險評估136.1設(shè)備配置收集136。2檢查各項HA配置156.3設(shè)備日志分析16七、風(fēng)險級別認(rèn)定17八、項目實施規(guī)劃17九、項目階段18十、交付的文檔及報告1910.1中間評估文檔1910.2最終報告19十一、安全評估具體實施內(nèi)容1911.1網(wǎng)絡(luò)架構(gòu)安全狀況評估1911.1.1內(nèi)容描述1911.1。2過程任務(wù)2011。1.3輸入指導(dǎo)2011.1.4輸出成果2012。2系統(tǒng)安全狀態(tài)評估2111.2.1內(nèi)容描述2111.2。2過程任務(wù)2311.2.3輸入指導(dǎo)2411。2.4輸出成果2411。3策略文件安全評估2411。3.1內(nèi)容描述2411.3。2過程任務(wù)2512。3.3輸入指導(dǎo)2512.3。4輸出成果2511.4最終評估結(jié)果25一、項目概述1.1評估范圍針對網(wǎng)絡(luò)、應(yīng)用、服務(wù)器系統(tǒng)進(jìn)行全面的風(fēng)險評估。1。2評估層次評估層次包括網(wǎng)絡(luò)系統(tǒng)、主機(jī)系統(tǒng)、終端系統(tǒng)相關(guān)的安全措施，網(wǎng)絡(luò)業(yè)務(wù)路由分配安全，精品文檔放心下載管理策略與制度。其中網(wǎng)絡(luò)系統(tǒng)包含路由器、交換機(jī)、防火墻、接入服務(wù)器、網(wǎng)絡(luò)出口設(shè)備謝謝閱讀及相關(guān)網(wǎng)絡(luò)配置信息和技術(shù)文件；主機(jī)系統(tǒng)包括各類UNIX、Windows等應(yīng)用服務(wù)器;終端系精品文檔放心下載統(tǒng)設(shè)備.1.3評估方法安全評估工作內(nèi)容：? 管理體系審核；? 安全策略評估；? 顧問訪談；? 安全掃描；? 人工檢查;? 遠(yuǎn)程滲透測試;? 遵循性分析;1.4評估結(jié)果通過對管理制度、網(wǎng)絡(luò)與通訊、主機(jī)和桌面系統(tǒng)、業(yè)務(wù)系統(tǒng)等方面的全面安全評估，形感謝閱讀成安全評估報告，其中應(yīng)包含評估范圍中信息系統(tǒng)環(huán)境的安全現(xiàn)狀、存在安全問題、潛在威感謝閱讀脅和改進(jìn)措施。協(xié)助對列出的安全問題進(jìn)行改進(jìn)或調(diào)整,提供指導(dǎo)性的建設(shè)方案:精品文檔放心下載《安全現(xiàn)狀分析報告》《安全解決方案》1。5風(fēng)險評估手段在風(fēng)險評估過程中，可以采用多種操作方法，包括基于知識(Knowledge-based）的分析謝謝閱讀方法、基于模型（Model-based）的分析方法、定性（Qualitative）分析和定量(Quantitative)感謝閱讀分析,無論何種方法,共同的目標(biāo)都是找出組織信息資產(chǎn)面臨的風(fēng)險及其影響,以及目前安全謝謝閱讀水平與組織安全需求之間的差距.1.5。1基于知識的分析方法在基線風(fēng)險評估時，組織可以采用基于知識的分析方法來找出目前的安全狀況和基線安感謝閱讀全標(biāo)準(zhǔn)之間的差距?；谥R的分析方法又稱作經(jīng)驗方法，它牽涉到對來自類似組織（包括規(guī)模、商務(wù)目標(biāo)感謝閱讀和市場等）的“最佳慣例”的重用，適合一般性的信息安全社團(tuán).采用基于知識的分析方法，精品文檔放心下載組織不需要付出很多精力、時間和資源，只要通過多種途徑采集相關(guān)信息，識別組織的風(fēng)險感謝閱讀所在和當(dāng)前的安全措施，與特定的標(biāo)準(zhǔn)或最佳慣例進(jìn)行比較，從中找出不符合的地方，并按精品文檔放心下載照標(biāo)準(zhǔn)或最佳慣例的推薦選擇安全措施，最終達(dá)到消減和控制風(fēng)險的目的。謝謝閱讀基于知識的分析方法，最重要的還在于評估信息的采集,信息源包括：謝謝閱讀會議討論；對當(dāng)前的信息安全策略和相關(guān)文檔進(jìn)行復(fù)查；制作問卷，進(jìn)行調(diào)查；對相關(guān)人員進(jìn)行訪談；進(jìn)行實地考察;為了簡化評估工作，組織可以采用一些輔助性的自動化工具，這些工具可以幫助組織擬謝謝閱讀訂符合特定標(biāo)準(zhǔn)要求的問卷，然后對解答結(jié)果進(jìn)行綜合分析，在與特定標(biāo)準(zhǔn)比較之后給出最感謝閱讀終的推薦報告。1。5。2基于模型的分析方法2001年1月，由希臘、德國、英國、挪威等國的多家商業(yè)公司和研究機(jī)構(gòu)共同組織開發(fā)了一個名為CORAS的項目，即PlatformforRiskAnalysisofSecurityCriticalSystems。該項目的目的是開發(fā)一個基于面向?qū)ο蠼Ｌ貏e是UML技術(shù)的風(fēng)險評估框架,它的評估對象是對安全要求很高的一般性的系統(tǒng)，特別是IT系統(tǒng)的安全。CORAS考慮到技術(shù)、人員以及所有與組織安全相關(guān)的方面，通過CORAS風(fēng)險評估，組織可以定義、獲取并維護(hù)IT系統(tǒng)的保密性、完整性、可用性、抗抵賴性、可追溯性、真實性和可靠性。感謝閱讀與傳統(tǒng)的定性和定量分析類似,CORAS風(fēng)險評估沿用了識別風(fēng)險、分析風(fēng)險、評價并處理風(fēng)險這樣的過程，但其度量風(fēng)險的方法則完全不同，所有的分析過程都是基于面向?qū)ο蟮哪Ｐ蛠磉M(jìn)行的。CORAS的優(yōu)點在于：提高了對安全相關(guān)特性描述的精確性，改善了分析結(jié)果的質(zhì)量；圖形化的建模機(jī)制便于溝通，減少了理解上的偏差；加強(qiáng)了不同評估方法互操作的效率；等等。謝謝閱讀1.5。3定量分析進(jìn)行詳細(xì)風(fēng)險分析時，除了可以使用基于知識的評估方法外,最傳統(tǒng)的還是定量和定性感謝閱讀分析的方法。定量分析方法的思想很明確：對構(gòu)成風(fēng)險的各個要素和潛在損失的水平賦予數(shù)值或貨幣精品文檔放心下載金額，當(dāng)度量風(fēng)險的所有要素（資產(chǎn)價值、威脅頻率、弱點利用程度、安全措施的效率和成感謝閱讀本等）都被賦值，風(fēng)險評估的整個過程和結(jié)果就都可以被量化了。簡單說，定量分析就是試精品文檔放心下載圖從數(shù)字上對安全風(fēng)險進(jìn)行分析評估的一種方法。定量風(fēng)險分析中有幾個重要的概念：暴露因子（ExposureFactor，EF）——特定威脅對特定資產(chǎn)造成損失的百分比，或者說損失的程度。感謝閱讀單一損失期望（SingleLossExpectancy,SLE)——或者稱作SOC（SingleOccuranceCosts）,即特定威脅可能造成的潛在損失總量。精品文檔放心下載年度發(fā)生率（AnnualizedRateofOccurrence，ARO）——即威脅在一年內(nèi)估計會發(fā)生的頻率。感謝閱讀年度損失期望（AnnualizedLossExpectancy，ALE)--或者稱作EAC精品文檔放心下載（EstimatedAnnualCost）,表示特定資產(chǎn)在一年內(nèi)遭受損失的預(yù)期值。感謝閱讀考察定量分析的過程，從中就能看到這幾個概念之間的關(guān)系:精品文檔放心下載（1）首先,識別資產(chǎn)并為資產(chǎn)賦值；(2）通過威脅和弱點評估，評價特定威脅作用于特定資產(chǎn)所造成的影響，即EF（取值謝謝閱讀0％~100%之間）；（3）計算特定威脅發(fā)生的頻率，即ARO;(4)計算資產(chǎn)的SLE：SLE=AssetValue×EF精品文檔放心下載（5）計算資產(chǎn)的ALE：ALE=SLE×ARO精品文檔放心下載1.5。4定性分析定性分析方法是目前采用最為廣泛的一種方法，它帶有很強(qiáng)的主觀性,往往需要憑借分析者的經(jīng)驗和直覺，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險管理諸要素（資產(chǎn)價值，威脅的可能性,弱點被利用的容易度，現(xiàn)有控制措施的效力等）的大小或高低程度定性分級,例如“高”、“中”、“低”三級。感謝閱讀定性分析的操作方法可以多種多樣，包括小組討論(例如Delphi方法）、檢查列表（Checklist)、問卷（Questionnaire）、人員訪談(Interview）、調(diào)查（Survey）等。定性分析操作起來相對容易，但也可能因為操作者經(jīng)驗和直覺的偏差而使分析結(jié)果失準(zhǔn)。謝謝閱讀與定量分析相比較，定性分析的準(zhǔn)確性稍好但精確性不夠，定量分析則相反；定性分析沒有定量分析那樣繁多的計算負(fù)擔(dān)，但卻要求分析者具備一定的經(jīng)驗和能力；定量分析依賴大量的統(tǒng)計數(shù)據(jù)，而定性分析沒有這方面的要求；定性分析較為主觀，定量分析基于客觀；此外,定量分析的結(jié)果很直觀，容易理解，而定性分析的結(jié)果則很難有統(tǒng)一的解釋.組織可以根據(jù)具體的情況來選擇定性或定量的分析方法.精品文檔放心下載1。6評估標(biāo)準(zhǔn)1、《計算機(jī)網(wǎng)絡(luò)安全管理》2、ISO15408《信息安全技術(shù)評估通用準(zhǔn)則》3、GB17859-1999《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》謝謝閱讀4、相關(guān)各方達(dá)成的協(xié)議二、網(wǎng)拓?fù)湓u估2。1拓?fù)浜侠硇苑治瞿壳熬W(wǎng)絡(luò)都基本采取傳統(tǒng)的三層架構(gòu)，核心、匯聚與接入，其他設(shè)備都圍繞著這三層進(jìn)感謝閱讀行擴(kuò)展,各設(shè)備之間的線路基本采用千兆光纖接入方式，實現(xiàn)高速數(shù)據(jù)傳輸,降低延時，減少謝謝閱讀干擾,設(shè)備間存在冗余，從而保證各數(shù)據(jù)間傳輸?shù)目煽啃?，各業(yè)務(wù)之間的穩(wěn)定性.感謝閱讀2.2可擴(kuò)展性分析核心設(shè)備、匯聚設(shè)備是否都存在部分空模板、空接口，可以滿足未來幾年內(nèi)的擴(kuò)展精品文檔放心下載核心設(shè)備的背板帶寬在高峰期間業(yè)務(wù)流量能正常通過，從中可看出目前核心設(shè)備的帶寬感謝閱讀完全能承載當(dāng)前的流量；背板帶寬越大，各端口所分配到的可用帶寬越大，性能越高，處理謝謝閱讀能力越快。三、網(wǎng)絡(luò)安全管理機(jī)制評估3.1調(diào)研訪談及數(shù)據(jù)采集1、整網(wǎng)對于核心層設(shè)備、匯聚層設(shè)備以及接入樓層設(shè)備，進(jìn)行遠(yuǎn)程登錄方式、本地登感謝閱讀錄模式、特權(quán)模式的用戶名與密碼配置,密碼都是以數(shù)字、大小寫字母和字符一體化，防止感謝閱讀非法用戶的暴力破解,即便通過其它方式獲取到配置清單，也無法知道這臺設(shè)備的密碼,密碼感謝閱讀都是以密文的形式顯示在配置清單里，這樣，無論是合法用戶還是惡意用戶，只要沒有設(shè)備精品文檔放心下載的用戶名和密碼都不能登錄到該設(shè)備，自然也無法對設(shè)備的內(nèi)容等相關(guān)配置信息進(jìn)行修改，謝謝閱讀相當(dāng)于給設(shè)備安裝了一層保護(hù)墻，從而保護(hù)了設(shè)備的最基本的安全性。精品文檔放心下載2、整個網(wǎng)絡(luò)采用一種統(tǒng)一的安全制度對網(wǎng)絡(luò)設(shè)備、服務(wù)器集進(jìn)行有效的檢查，管理，謝謝閱讀實時發(fā)現(xiàn)網(wǎng)絡(luò)中是否存在的一些問題，如果發(fā)現(xiàn)問題的存在，都會采取制定的流程及時給予謝謝閱讀解決，使得網(wǎng)絡(luò)設(shè)備能一直正常運行，可用性得到提高，業(yè)務(wù)流量保持穩(wěn)定性狀態(tài)，以下是精品文檔放心下載安全制度管理的部分選項。（1）定期掃描漏洞：定期對整網(wǎng)服務(wù)器進(jìn)行掃描，檢查是否有漏洞的存在，數(shù)據(jù)的來精品文檔放心下載源，事件的分析，主機(jī)服務(wù)信息，是否存在高危險性事件，主機(jī)流量分析等,以確保網(wǎng)絡(luò)的感謝閱讀安全性。(2）檢查版本升級：定期對整網(wǎng)服務(wù)器進(jìn)行檢查，各主機(jī)的系統(tǒng)版本是否最新,各主機(jī)謝謝閱讀的軟件,特別是殺毒軟件、防火墻、輔助軟件有沒及時的更新,特征庫當(dāng)前是否為最新。精品文檔放心下載（3）策略：定期對整網(wǎng)服務(wù)器的密碼進(jìn)行檢查，查看是否開啟密碼策略、帳戶鎖定策精品文檔放心下載略、本地審核策略，并作了相應(yīng)的設(shè)置。（4）關(guān)閉用戶：定期對整網(wǎng)服務(wù)器進(jìn)行周密的檢查,是否對GUEST用戶、長期未登錄用感謝閱讀戶進(jìn)行關(guān)閉。（5）關(guān)閉服務(wù):定期對整網(wǎng)服務(wù)器進(jìn)行松緊,是否對一些特殊的服務(wù)，如Remote精品文檔放心下載register、不需要遠(yuǎn)程登陸的主機(jī)Terminalservices進(jìn)行關(guān)閉。謝謝閱讀3.2網(wǎng)絡(luò)安全管理機(jī)制健全性檢查1、以目前的網(wǎng)絡(luò)設(shè)備完全能承載整網(wǎng)的業(yè)務(wù)流量,可以說目前的設(shè)備性能較強(qiáng)，未來，隨著網(wǎng)絡(luò)規(guī)模越來越大，業(yè)務(wù)流量越來越集中，對設(shè)備性能的要求也更加嚴(yán)格,但以目前的設(shè)備的處理能力，足以勝任未來幾年內(nèi)的擴(kuò)展，并且具有一定的安全性；感謝閱讀2、整網(wǎng)有統(tǒng)一的管理員，對網(wǎng)絡(luò)設(shè)備進(jìn)行相關(guān)的管理,每個管理員所管轄的范圍不同；每個管理員負(fù)責(zé)每一部分，服務(wù)器有應(yīng)用、數(shù)據(jù)庫、測試、視頻等謝謝閱讀3、機(jī)房有門禁系統(tǒng)，機(jī)房有它制定的管理方式，進(jìn)機(jī)房首先得找具有申請進(jìn)機(jī)房資格的工作人員，接著,機(jī)房中心工作人員對這條申請的信息進(jìn)行審核，審核通過后,需要拿身份證去機(jī)房門口進(jìn)行登記，這樣,才能進(jìn)入機(jī)房查看設(shè)備、或?qū)υO(shè)備進(jìn)行相關(guān)的操作,這是進(jìn)機(jī)房的基本流程.感謝閱讀4、機(jī)房里有特定的系統(tǒng)專門對當(dāng)前設(shè)備的溫度進(jìn)行測量，不管是白天還是晚上，每天感謝閱讀小時都會有保安和相關(guān)的工作人員對機(jī)房設(shè)備進(jìn)行定期檢查,如發(fā)生問題會及時通知相關(guān)的負(fù)責(zé)人，負(fù)責(zé)人收到消息后會及時對問題進(jìn)行查看、分析、解決，最終保證整網(wǎng)上業(yè)務(wù)能正常運行.感謝閱讀5、采用HostMonitor系統(tǒng)自動對所有設(shè)備、服務(wù)器以及主機(jī)進(jìn)行檢測，以PING的方式進(jìn)行測試它的連通性，如果發(fā)現(xiàn)某臺設(shè)備PING測試不通，它會及時產(chǎn)生報警,通過主機(jī)把相關(guān)設(shè)備的信息映射到大屏幕液晶顯示器上，以列表的模式顯示，相關(guān)人員收到報警信息后,一般會采取三個步驟來解決：精品文檔放心下載（1）通過打電話給服務(wù)廳，看看是否出現(xiàn)斷電的情況；(2）通知代維工作人員,檢查是否為線路問題。(3)如果都不是以上的問題，基本可以把問題鎖在網(wǎng)絡(luò)設(shè)備的本身或者配置上的問題，感謝閱讀通知相關(guān)人員去檢查.3.3網(wǎng)絡(luò)安全管理機(jī)制合理性檢查機(jī)房的整體架構(gòu),各個核心層設(shè)備、匯聚層設(shè)備以及其他設(shè)備所擺放的物理位置，從消防、防潮、防雷、排氣等安全措施都布置到位，布線整齊、合理、具有相當(dāng)?shù)膶I(yè)水平，網(wǎng)線以不同的顏色來區(qū)分所在設(shè)備的重要性，比如在交換機(jī)與交換機(jī)的級連一般用藍(lán)色來表示,交換機(jī)的端口與PC網(wǎng)卡相連接時用灰色，交換機(jī)與其他設(shè)備相連除了有時用光纖外，一般用黃色來或綠色來表示,而且，對每個機(jī)架機(jī)架、設(shè)備以及連接的網(wǎng)線都打上標(biāo)簽，當(dāng)某時候網(wǎng)絡(luò)物理出現(xiàn)問題時，比如線松了，或是線掉了,線插反了等等，因為之前對相關(guān)的設(shè)備、網(wǎng)線都貼上標(biāo)簽，這樣可以很方便的查找到故障點，并進(jìn)行定位,容易排除故障；每一排機(jī)架集按大寫英語字母來標(biāo)記所在的行號,每一排機(jī)架集包括10來個機(jī)架，分別用所在的行號+數(shù)字來標(biāo)記，比如我所要找的機(jī)架在第二行第5個位置,標(biāo)記為B5，直接找到B5就可以了；室內(nèi)溫度調(diào)整適當(dāng)，當(dāng)設(shè)備溫度過大時，會自動出現(xiàn)告警；謝謝閱讀3。4網(wǎng)絡(luò)管理協(xié)議分析1、統(tǒng)一對整個網(wǎng)絡(luò)所有設(shè)備進(jìn)行監(jiān)控、收集信息以及管理，其他的網(wǎng)絡(luò)設(shè)備作為代理者，通過自定的Trap類型向管理者發(fā)送最新的信息狀況,以保持整網(wǎng)設(shè)備能正常運行。感謝閱讀2、經(jīng)過對SNMP配置進(jìn)行分析，了解到目前SNMP在整網(wǎng)中的作用,以及SNMP在各種重要設(shè)備里都進(jìn)行過哪些配置，在SNMP配置的共同體里，只限制某臺主機(jī)對該設(shè)備進(jìn)行讀取MIB數(shù)據(jù)庫的信息，除此之外，其他的網(wǎng)段是否都可以對該設(shè)備的MIB進(jìn)行讀取與修改MIB里的信息,如果可以這樣將造成基本上在所有的網(wǎng)段里，每個網(wǎng)段的所有主機(jī)都可以對設(shè)備的MIB信息進(jìn)行訪問，甚至對該信息進(jìn)行修改.感謝閱讀四、脆弱性嚴(yán)重程度評估脆弱性評估，從技術(shù)脆弱性、管理脆弱性去評估途徑實施：1)人員訪談2)現(xiàn)有文件調(diào)閱3)現(xiàn)場檢查4）安全漏洞掃描5)人工安全檢查4。1安全漏洞掃描在網(wǎng)絡(luò)安全體系的建設(shè)中，安全掃描工具花費代、效果好、見效快,與網(wǎng)絡(luò)的運行相對獨立，安裝運行簡單,要以大規(guī)模減少安全管理的手工勞動，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定，是進(jìn)行風(fēng)險分析的有力工具。感謝閱讀在項目中，安全掃描主要是通過評估工具以本地掃描的方式對評估范圍內(nèi)的系統(tǒng)和網(wǎng)絡(luò)進(jìn)行安全掃描，從內(nèi)網(wǎng)和外網(wǎng)兩個角度來查找網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)、數(shù)據(jù)和用戶帳號/口令等安全對像目標(biāo)存在的安全風(fēng)險、漏洞和威脅.精品文檔放心下載安全掃描項目包括如下內(nèi)容：?信息探測類?網(wǎng)絡(luò)設(shè)備與防火墻?RPC服務(wù)?Web服務(wù)?CGI問題?文件服務(wù)?域名服務(wù)?Mail服務(wù)?Windows遠(yuǎn)程訪問?數(shù)據(jù)庫問題?后門程序?其他服務(wù)?網(wǎng)絡(luò)拒絕服務(wù)（DOS)?其它問題從網(wǎng)絡(luò)層次的角度來看，掃描項目涉及了如下三個層面的安全問題。感謝閱讀（一)系統(tǒng)層安全該層的安全問題來自網(wǎng)絡(luò)運行的操作系統(tǒng)：UNIX系列、Linux系列、Windows系列以及謝謝閱讀專用操作系統(tǒng)等.安全性問題表現(xiàn)在兩方面：一是操作系統(tǒng)本身的不安全因素，主要包括身感謝閱讀份認(rèn)證、訪問控制、系統(tǒng)漏洞等；二是操作系統(tǒng)的安全配置存在問題。感謝閱讀身份認(rèn)證：通過Telnet進(jìn)行口令猜測等。訪問控制：注冊表普通用戶可寫，遠(yuǎn)程主機(jī)允許匿名FTP登錄，F(xiàn)TP服務(wù)器存在匿名可感謝閱讀寫目錄等.系統(tǒng)漏洞:Windows緩沖出溢出漏洞.安全配置問題：部分SMB用戶存在弱口令,管理員帳號不需要密碼等.精品文檔放心下載(二）網(wǎng)絡(luò)層安全該層的安全問題主要指網(wǎng)絡(luò)信息的安全性,包括網(wǎng)絡(luò)層身份認(rèn)證、網(wǎng)絡(luò)資源的訪問控制、感謝閱讀數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠(yuǎn)程接入、路由系統(tǒng)的安全、入侵檢查的手段等.謝謝閱讀網(wǎng)絡(luò)資源的訪問控制：檢測到無線訪問點。域名系統(tǒng)：ISCBINDSIG資源記錄無效過期時間拒絕服務(wù)攻擊漏洞，WindowsDNS拒絕謝謝閱讀服務(wù)攻擊。路由器：ciscoIOSWeb配置接口安全認(rèn)證可繞過,路由器交換機(jī)采用默認(rèn)密碼或弱密感謝閱讀碼等。（三）應(yīng)用層安全該層的安全考慮網(wǎng)絡(luò)對用戶提供服務(wù)器所采用的應(yīng)用軟件和數(shù)據(jù)的安全性，包括：數(shù)據(jù)庫軟件、WEB服務(wù)、電子郵件、域名系統(tǒng)、應(yīng)用系統(tǒng)、業(yè)務(wù)應(yīng)用軟件以及其它網(wǎng)絡(luò)服務(wù)系統(tǒng)等。精品文檔放心下載數(shù)據(jù)庫軟件:OracleTnslsnr沒有配置口令,MSSQL2000sa帳號沒有設(shè)置密碼。謝謝閱讀WEB服務(wù):SQL注入攻擊、跨站腳本攻擊、基于WEB的DOS攻擊。謝謝閱讀電子郵件系統(tǒng)：Sendmail頭處理遠(yuǎn)程溢出漏洞,MicrosoftWindows2000SMTP服務(wù)認(rèn)證錯誤漏洞.感謝閱讀為了確保掃描的可靠性和安全性，首先制定掃描計劃。計劃主要包括掃描開始時間、掃描對象、預(yù)計結(jié)束時間、掃描項目、預(yù)期影響、需要對方提供的支持等等.感謝閱讀在實際開始評估掃描時，評估方會正式通知項目組成員。奧怡軒按照預(yù)定計劃，在規(guī)定時間內(nèi)進(jìn)行并完成評估工作。如遇到特殊情況(如設(shè)備問題、停電、網(wǎng)絡(luò)中斷等不可預(yù)知的狀況）不能按時完成掃描計劃或致使掃描無法正常進(jìn)行時，由雙方召開臨時協(xié)調(diào)會協(xié)商予以解決.謝謝閱讀4.2人工安全檢查安全掃描是使用風(fēng)險評估工具對絕大多數(shù)評估范圍內(nèi)主機(jī)、網(wǎng)絡(luò)設(shè)備等系統(tǒng)環(huán)境進(jìn)行的感謝閱讀漏洞掃描。但是，評估范圍內(nèi)的網(wǎng)絡(luò)設(shè)備安全策略的弱點和部分主機(jī)的安全配置錯誤等并不謝謝閱讀能被掃描器全面發(fā)現(xiàn)，因此有必要對評估工具掃描范圍之外的系統(tǒng)和設(shè)備進(jìn)行手工檢查.精品文檔放心下載路由器的安全檢查主要考慮以下幾個方面：?帳號口令?網(wǎng)絡(luò)與服務(wù)?訪問控制策略?日志審核策略?空閑端口控制交換機(jī)的安全檢查主要考慮以下幾個方面：?帳號口令?網(wǎng)絡(luò)與服務(wù)?VLAN的劃分主機(jī)的安全檢查主要考慮以下幾個方面：?補(bǔ)丁安裝情況?帳號、口令策略?網(wǎng)絡(luò)與服務(wù)檢查?文件系統(tǒng)檢查?日志審核檢查?安全性檢查1）安全掃描此階段通過技術(shù)手段評估系統(tǒng)中的漏洞。對撐握整個被評估系統(tǒng)的安全狀態(tài)提供重要數(shù)據(jù)。謝謝閱讀被掃描的系統(tǒng)有:?Windows系統(tǒng)?Linux系統(tǒng)?Unix客服熱線系統(tǒng)在安全掃描階段使用的主要工具有：?InternetScanner?NESSUS?AcunetixWebVulnerabilityScanner謝謝閱讀掃描過程中可能會導(dǎo)致某些服務(wù)中斷，雙方應(yīng)該事先做好協(xié)調(diào)工作，并做好應(yīng)急處理方謝謝閱讀案，在發(fā)現(xiàn)問題后及時上報,并及時恢復(fù)系統(tǒng)的運行。4.3安全策略評估安全策略是對整個網(wǎng)絡(luò)在安全控制、安全管理、安全使用等方面最全面、最詳細(xì)的策略謝謝閱讀性描述，它是整個網(wǎng)絡(luò)安全的依據(jù)。不同的網(wǎng)絡(luò)需要不同的策略，它必須能回答整個網(wǎng)絡(luò)中感謝閱讀與安全相關(guān)的所有問題，例如，如何在網(wǎng)絡(luò)層實現(xiàn)安全性、如何控制遠(yuǎn)程用戶訪問的安全性、謝謝閱讀在廣域網(wǎng)上的數(shù)據(jù)傳輸如何實現(xiàn)安全加密傳輸和用戶的認(rèn)證等。對這些問題幫出詳細(xì)回答,精品文檔放心下載并確定相應(yīng)的防護(hù)手段和實施方法，就是針對整個網(wǎng)絡(luò)的一份完整的安全策略。策略一旦制精品文檔放心下載度，應(yīng)做為整個網(wǎng)絡(luò)行為的準(zhǔn)則。這一步工作，就是從整體網(wǎng)絡(luò)安全的角度對現(xiàn)有的網(wǎng)絡(luò)安全策略進(jìn)行全局的評估,它也謝謝閱讀包含了技術(shù)和管理方面的內(nèi)容,具體包括：（1）安全策略是否全面覆蓋了整體網(wǎng)絡(luò)在各方面的安全性描述；謝謝閱讀(2）在安全策略中描述的所有安全控制、管理和使用措施是否正確和有效；感謝閱讀（3）安全策略中的每一項內(nèi)容是否都得到確認(rèn)和具體落實。精品文檔放心下載4.4脆弱性識別類型識別對象識別內(nèi)容物理環(huán)境從機(jī)房場地、防火、供配電、防靜電、接地與防雷、電磁防護(hù)、通信線路的保護(hù)、區(qū)域防護(hù)、設(shè)備管理等方面進(jìn)行識別網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)架構(gòu)設(shè)計、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識別技術(shù)脆弱性從補(bǔ)丁安裝、物理保護(hù)、用戶帳號、口令策略、資源共享、系統(tǒng)軟件事件審計、訪問控制、新系統(tǒng)配置、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識別應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識別應(yīng)用系統(tǒng)從審計機(jī)制、審計存儲、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識別技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)管理脆弱性與維護(hù)、業(yè)務(wù)連續(xù)性等方面進(jìn)行識別組織管理從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進(jìn)行識別脆弱性賦值賦值標(biāo)識定義5很高如果被威脅利用，將對資產(chǎn)造成完全損害4高如果被威脅利用,將對資產(chǎn)造成重大損害3中等如果被威脅利用，將對資產(chǎn)造成一般損害2低如果被威脅利用，將對資產(chǎn)造成較小損害1很低如果被威脅利用，將對資產(chǎn)造成的損害可以忽略五、網(wǎng)絡(luò)威脅響應(yīng)機(jī)制評估防火墻稱得上是安全防護(hù)的防線,防火墻對于企業(yè)網(wǎng)絡(luò)的安全，已經(jīng)無法實施100%的控精品文檔放心下載制,對于合法內(nèi)容中混入的可疑流量、DoS攻擊、蠕蟲病毒、間諜軟件等威脅，幾乎沒有有謝謝閱讀效的反擊措施，入侵檢測與防御系統(tǒng)進(jìn)行檢測網(wǎng)絡(luò)攻擊，與防火墻進(jìn)行聯(lián)動。利用現(xiàn)有的入精品文檔放心下載侵檢測防御系統(tǒng)對網(wǎng)絡(luò)攻擊進(jìn)行測試，來檢驗針對網(wǎng)絡(luò)威脅的能力。精品文檔放心下載5.1遠(yuǎn)程滲透測試滲透測試是指在獲取用戶授權(quán)后,通過真實模擬黑客使用的工具、分析方法來進(jìn)行實際精品文檔放心下載的漏洞發(fā)現(xiàn)和利用的安全測試方法。這種測試方法可以非常有效地發(fā)現(xiàn)最嚴(yán)重的安全漏洞，謝謝閱讀尤其是與全面的代碼審計相比，其使用的時間更短，也更有效率.在測試過程中，用戶可以謝謝閱讀選擇滲透測試的強(qiáng)度,例如不允許測試人員對某些服務(wù)器或者應(yīng)用進(jìn)行測試或影響其正常運感謝閱讀行.通過對某些重點服務(wù)器進(jìn)行準(zhǔn)確、全面的測試，可以發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)，以便對危精品文檔放心下載害性嚴(yán)重的漏洞及時修補(bǔ)，以免后患。奧怡軒評估小組人員進(jìn)行滲透測試都是在業(yè)務(wù)應(yīng)用空閑的時候，或者在搭建的系統(tǒng)測試謝謝閱讀環(huán)境下進(jìn)行。另外，評估方采用的測試工具和攻擊手段都在可控范圍內(nèi),并同時充分準(zhǔn)備完謝謝閱讀善的系統(tǒng)恢復(fù)方案.網(wǎng)絡(luò)探測和信息采集、漏洞探測、嗅探、網(wǎng)絡(luò)攻擊利用工具或技術(shù)通過網(wǎng)絡(luò)對信息系用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)統(tǒng)進(jìn)行攻擊和入侵的竊取和破壞，系統(tǒng)運行的控制和破壞等物理攻擊通過物理的接觸造成對軟件、硬件物理接觸、物力破壞、盜竊等和數(shù)據(jù)的破壞等泄密信息泄露給不應(yīng)該了解的他人內(nèi)部信息泄露、外部信息泄露等篡改非法修改信息，破壞信息的完整性篡改網(wǎng)絡(luò)、系統(tǒng)、安全配置信息，篡改使系統(tǒng)的安全性降低或信息不可用用戶身份信息和業(yè)務(wù)數(shù)據(jù)信息等抵賴不承認(rèn)收到的信息和所作的操作、原發(fā)抵賴、接受抵賴、第三方抵賴等交易威脅賦值賦值標(biāo)識定義5很高出現(xiàn)的頻率很高（或不少于1次/周),或在大多數(shù)情況下幾乎不可避免，或可以證實經(jīng)常發(fā)生過4高出現(xiàn)的頻率較高（或不少于1次/月），或在大多數(shù)情況下很有可能會發(fā)生，或可以證實多次發(fā)生過3中等出現(xiàn)的頻率中等（或大于1次/半年),或在某種情況下可能會發(fā)生，或被證實曾經(jīng)發(fā)生過2低出現(xiàn)的頻率較小，或一般不太可能發(fā)生，或沒有被證實發(fā)生過1很低威脅幾乎不可能發(fā)生，或僅可能在非常罕見或例外的情況下發(fā)生六、網(wǎng)絡(luò)安全配置均衡性風(fēng)險評估6.1設(shè)備配置收集1、核心層交換機(jī)目前的網(wǎng)絡(luò)狀態(tài)正常，在配置上也針對某些安全方面的問題進(jìn)行布置，具體情況都做了詳細(xì)的說明，以下是核心層交換機(jī)配置上的一些安全防護(hù)措施:謝謝閱讀（1）核心交換機(jī)進(jìn)入特權(quán)模式需要密碼，對它進(jìn)行了密文的設(shè)置。謝謝閱讀（2)對核心交換機(jī)的虛擬線路進(jìn)行密碼的設(shè)置,遠(yuǎn)程登錄需要輸入密碼。感謝閱讀(3)使用UDLD對某些端口進(jìn)行鏈路的檢測,以減少丟包的概率。感謝閱讀（4）在核心交換機(jī)上全局下關(guān)閉禁用HttpServer，防止非法入侵謝謝閱讀（5)全局下開啟Bpdu—Guard，因為核心交換機(jī)在全局下開啟Portfast特性.謝謝閱讀2、核心層交換機(jī)的穩(wěn)定性直接關(guān)系到整個網(wǎng)絡(luò)數(shù)據(jù)流量能否正常通過，核心層交換機(jī)的安全性問題自然會影響到能否一直保持穩(wěn)定的狀態(tài)，起到至關(guān)的作用，保護(hù)好核心交換機(jī)的安全問題很大原因其實是在保護(hù)核心交換機(jī)的穩(wěn)定性，做好安全防護(hù)工作,保護(hù)好核心交換機(jī)的穩(wěn)定性成為我們規(guī)則的焦點，下面是對本核心層交換機(jī)的安全防護(hù)問題進(jìn)行完善,從而提高核心層交換機(jī)的安全性。謝謝閱讀3、使用SSH來作為遠(yuǎn)程的登錄，使用TELNET進(jìn)行遠(yuǎn)程登錄，Telnet會話中輸入的每個字符都將會被明文發(fā)送，這將被像Sniffer這樣的抓包軟件獲取它的用戶名、密碼等敏感信息。因此，使用安全性更高的SSH加密無疑比使用Telnet更加安全.感謝閱讀4、在虛擬線路中對遠(yuǎn)程登錄的最大連接數(shù)進(jìn)行限制，默認(rèn),一般情況下網(wǎng)絡(luò)設(shè)備會開放謝謝閱讀5-15個虛擬的連接線路，不過，不同廠商，不同型號，所開放的虛擬線路連接數(shù)也都不一精品文檔放心下載樣，可以通過登錄到此設(shè)備，可以用遠(yuǎn)程登陸或本地登陸，在該設(shè)備上對配置進(jìn)行查看，再精品文檔放心下載根據(jù)實際情況進(jìn)行修改；一般情況下，很多人都沒有對遠(yuǎn)程登陸范圍進(jìn)行限制，這樣使得每個人都有機(jī)會去TELNET,這多少給了惡意用戶提供攻擊的機(jī)會,比如可以使用SYNFlood攻擊;感謝閱讀它偽造一個SYN報文，偽造一個源地址或者不存在的地址，通過向服務(wù)器發(fā)起連接,服務(wù)器在收到報文后用SYN—ACK應(yīng)答，而此應(yīng)答發(fā)出去后，服務(wù)器就等待源發(fā)個ACK的確認(rèn)包過來后以完成三次握手，建立起連接，但是,攻擊者使用的源是一個不存在或是偽造的地址，服務(wù)器將永遠(yuǎn)不會收到攻擊者發(fā)送過來的ACK報文,這樣將造成一個半連接。如果攻擊者發(fā)送大量這樣的報文，會在被攻擊主機(jī)上出現(xiàn)大量的半連接，消耗所有的資源，使得正常的用戶無法對其訪問。直到半連接超時，才會慢慢釋放所有的資源，簡單一點的說，SYNFlood利用TCP的三次握手來讓服務(wù)器保持N個半個連接數(shù)，以消耗掉服務(wù)器系統(tǒng)的內(nèi)存等資源;對遠(yuǎn)程登錄的范圍用訪問列表進(jìn)行控制，起到一定的安全性。感謝閱讀5、為了防范交換機(jī)上一些惡意攻擊行為,禁用所有未用的端口，以免因為一些無知行為或誤操作,導(dǎo)致一切都無法預(yù)料的后果；比如將交換機(jī)兩個端口用網(wǎng)線直接連接,這樣將導(dǎo)致整個交換機(jī)的配置數(shù)據(jù)被清除，交換機(jī)的配置一瞬間全清空，這樣將導(dǎo)致業(yè)務(wù)中斷,如果之前有對交換機(jī)的相關(guān)配置信息進(jìn)行備份，還可以在短時間內(nèi)還原,要是沒有,只能使得網(wǎng)絡(luò)中斷的時間加長，而且，關(guān)閉端口也能在一定程度上防范惡意用戶連接此端口并協(xié)商中繼模式，當(dāng)惡意用戶連接端口,冒充成另外一臺交換機(jī)發(fā)送虛假的DTP協(xié)商消息，真實的交換機(jī)收到這個DTP消息后，比較下參數(shù)，一旦協(xié)商成中斷模式后，惡意用戶通過探測信息流，當(dāng)有流量經(jīng)過時，所有通過此交換機(jī)上所有VLAN信息都會被發(fā)送到惡意用戶的電腦里。感謝閱讀6、為提高安全，最好把暫時不需要用到的服務(wù)都關(guān)閉掉，因為它們都很有可能成為安全漏洞，惡意用戶利用這些安全漏洞進(jìn)整個網(wǎng)絡(luò)實行攻擊等非法行為，以達(dá)到一定的目的；核心交換機(jī)的配置中已經(jīng)對HttpServer這個服務(wù)進(jìn)行禁用，下面是一些經(jīng)常被攻擊者利用的服務(wù)，以對其進(jìn)行攻擊。建議把下面的服務(wù)也都一一禁用掉：精品文檔放心下載禁用IP源路由-——noipsourceroute感謝閱讀禁用小的UDP服務(wù)-——noserviceudp-small-s感謝閱讀禁用小的TCP服務(wù)———noservicetcp-small-s感謝閱讀7、核心交換機(jī)的作用至關(guān)重要,因為它影響到整個網(wǎng)絡(luò)的正常運行，這里有兩種情況:第一種情況當(dāng)一臺新的交換機(jī)接入到這個網(wǎng)絡(luò)，因?qū)W(wǎng)絡(luò)拓?fù)洳皇煜?，配置錯誤，使得新交換機(jī)成為根網(wǎng)橋，新交換通過宣告VLAN信息讓整個域的其他交換機(jī)都能學(xué)習(xí)到，這將謝謝閱讀使得整網(wǎng)流量全導(dǎo)向新交換機(jī).第二種情況:交換機(jī)默認(rèn)都是SERVER模式，在這里以域中只有一臺SERVER模式，新交換機(jī)模式為CLIENT，當(dāng)新的交換機(jī)加入網(wǎng)絡(luò)中,因為它的修訂版本號比較高，這里的修訂版本號用來標(biāo)識交換機(jī)的更新信息，修改版本號越高，它的VLAN信息流越新，與交換機(jī)的模式無關(guān)，修訂版本號可以通過增加/刪除/修改VLAN信息等等來增加它的數(shù)值，交換機(jī)之間通過發(fā)送BPDU，比較它們的參數(shù)，包括修訂版本號，通過比較得出修訂版本號高的交換機(jī)，作為整個域中VLAN信息的標(biāo)配,當(dāng)新交換機(jī)的修訂版本號高于處在根網(wǎng)橋的交換機(jī)時，它不會去學(xué)習(xí)根網(wǎng)橋宣告過來的VLAN信息，當(dāng)SERVER通過BPDU包的交換后得知新交換機(jī)的修訂版本號比較高，它通過BPDU包學(xué)習(xí)到新交換機(jī)的VLAN信息,并在整個域中把此VLAN信息進(jìn)行宣告出去，整網(wǎng)中所有交換機(jī)的原來VLAN信息全被刪除，都學(xué)習(xí)到SERVER交換機(jī)發(fā)送過來的最新VLAN信息流.謝謝閱讀這兩種方式都直接導(dǎo)致網(wǎng)絡(luò)流量的導(dǎo)向，使得網(wǎng)絡(luò)中交換機(jī)所學(xué)到的VLAN信息不全，網(wǎng)絡(luò)資源的浪費，網(wǎng)絡(luò)部分業(yè)務(wù)的中斷，甚至網(wǎng)絡(luò)的環(huán)路,為了防范以上的問題，需要布置根防護(hù)，當(dāng)根網(wǎng)橋在啟用根防護(hù)的端口上接收到其他交換機(jī)發(fā)送過來的BPDU，不管修訂版本號是多高，根網(wǎng)橋不對此包作處理,直接端將口進(jìn)入"不一致"的STP狀態(tài)，并且交換機(jī)不會從這個端口轉(zhuǎn)發(fā)流量;這種方法能夠有效地鞏固根網(wǎng)橋的位置，還能夠有效的避免第2層環(huán)路,它能將接口強(qiáng)制為指定端口，進(jìn)而能夠防止周圍的交換機(jī)成為根交換機(jī)。當(dāng)新交換機(jī)接入網(wǎng)絡(luò)時，先將交換機(jī)的模式設(shè)置為透明模式，再把它改為客戶模式，從而保證不會出現(xiàn)以上所說的情況。精品文檔放心下載6。2檢查各項HA配置1、核心層交換機(jī)上開啟了HSRP協(xié)議，在匯聚層華為設(shè)備上配置了VRRP協(xié)議，因為HSRP是思科私有，所以華為只能使用業(yè)界的VRRP，在兩臺核心交換機(jī)上,對VLAN的SVI口進(jìn)行配置;謝謝閱讀HSRP是一種熱備份路由網(wǎng)關(guān)協(xié)議，具有很高的可靠性，它通過雙方預(yù)先設(shè)定好的虛擬IP地址，發(fā)送HELLO數(shù)據(jù)包,經(jīng)過一系列的狀態(tài)比較，最終協(xié)商出誰是Active誰是Standby，HSRP相當(dāng)于是臺虛擬的路由器，有自己的虛擬IP地址及MAC地址，終端用戶將這虛擬的IP地址作為網(wǎng)關(guān);謝謝閱讀默認(rèn)情況下，只有Active路由器在工作，Standby路由器一直處在空閑狀態(tài)之中,雙方每3S會發(fā)送HELLO去偵測對方以確定對方是否存在,當(dāng)10S過后，還沒收到對方發(fā)送過來的HELLO包，Standby會認(rèn)為對方設(shè)備出現(xiàn)故障或者對方已經(jīng)不存在，這時它會把自己的狀態(tài)謝謝閱讀從standby變?yōu)閍ctive，這對于終端的用戶是透明的,保證終端用戶數(shù)據(jù)能得到可靠的傳輸,當(dāng)一臺設(shè)備鏈路出現(xiàn)問題,HSRP只需要經(jīng)過一個鄰居狀態(tài)standby—active，能快速的切換到另一臺設(shè)備,用戶的可用性得到保障；感謝閱讀HSRP還可以對整個網(wǎng)絡(luò)進(jìn)行負(fù)載分擔(dān)。VRRP是業(yè)界定義的一種類似于HSRP的網(wǎng)關(guān)冗余協(xié)議，功能與作用基本與HSRP相同，區(qū)別在于VRRP可以使用物理的IP地址作為虛擬IP地址，VRRP的狀態(tài)機(jī)相比起HSRP減少很多等.謝謝閱讀2、通過對核心交換機(jī)HSRP協(xié)議的配置進(jìn)行分析,HSRP全都是在VLAN的SVI接口里進(jìn)行配置，在主核心交換機(jī)中設(shè)定一個共同的虛擬IP地址，并對它的優(yōu)先級進(jìn)行設(shè)定，開啟HSRP的搶占性；在另一臺核心交換機(jī)也是同樣的配置,只是優(yōu)先級不同,這樣，當(dāng)它們發(fā)送HEELO包選舉行，先比較優(yōu)先級，優(yōu)先級一樣再比較IP地址，IP地址較高的為Active，當(dāng)Active設(shè)備出現(xiàn)故障時,Standby會馬上切換過來變?yōu)锳ctive,，原來的核心交換機(jī)恢復(fù)正常時，會自動把Active的主動權(quán)搶占過來；感謝閱讀如果核心交換機(jī)的外口出現(xiàn)故障，因為沒有對外邊的接口進(jìn)行跟蹤的配置,這樣會造成黑洞的產(chǎn)生,數(shù)據(jù)包的丟失；在兩臺核心交換機(jī)中并沒有起到流量的負(fù)載分擔(dān),正常情況下,一臺路由器處在忙碌狀態(tài),另一臺路由器一直處在空閑狀態(tài)中，等待著監(jiān)測著Active路由器的工作狀態(tài)，在匯聚層兩臺華為設(shè)備的交換機(jī)中，配置VRRP，并沒有配置搶占性，對外口進(jìn)行追蹤，但發(fā)現(xiàn)故障時,優(yōu)先級會自動減少30，因為沒有配置搶占性，備份設(shè)備不會進(jìn)行搶占，使得主設(shè)備對外追蹤沒有多大的意義，反而又多了丟包率.謝謝閱讀3、在配置HSRP協(xié)議的兩臺交換機(jī)上，終端PC通過兩臺交換機(jī)去訪問內(nèi)部的資源時，終端PC的網(wǎng)關(guān)指向兩臺交換機(jī)協(xié)商設(shè)置的虛擬IP地址，在同一時間，兩臺交換機(jī)，只有一臺交換機(jī)處在Active狀態(tài),另一臺交換機(jī)一直處在Idle狀態(tài)，當(dāng)數(shù)據(jù)包穿越交換機(jī)去訪問網(wǎng)絡(luò)資源，把交換機(jī)與終端PC相連的接口線拔掉，處于Active的交換機(jī)突然因為接口松動而導(dǎo)致中斷,處在Idle狀態(tài)的交換機(jī)快速切換成Active，繼續(xù)讓鏈路保持不中斷的狀態(tài)，對于終端用戶，完全感覺不到剛剛鏈路已經(jīng)中斷，訪問網(wǎng)絡(luò)的資源沒有任何的影響;再把剛剛拔掉的接口再插回去，因為HSRP配置了搶占性，主設(shè)備通過發(fā)送HELLO比較,立馬Active的主動權(quán)搶占回來。精品文檔放心下載6.3設(shè)備日志分析通過對防火墻的日志導(dǎo)出,對日志進(jìn)行檢查,目前防火墻每天產(chǎn)生的日志信息條數(shù)過多，謝謝閱讀仔細(xì)分析日志的其中一部分，防火墻日志記錄了穿越它的流量信息，幾乎所有的流量都是屬謝謝閱讀于正常日志信息，正常日志信息占滿了整個防火墻的日志欄，日志記錄的信息包括本設(shè)備的精品文檔放心下載型號、IP地址、日期時間;日志開始的日期與時間,持續(xù)的時間段，源IP地址、源端口、目謝謝閱讀標(biāo)IP地址、目標(biāo)端口、Xlated以及發(fā)送與接收的數(shù)據(jù)包狀態(tài)等。正常的日志信息意味著網(wǎng)謝謝閱讀絡(luò)運行的狀態(tài)正常，沒有存在一些惡意的攻擊,下面是防火墻的一些日志信息,都屬于正常的謝謝閱讀日志：七、風(fēng)險級別認(rèn)定網(wǎng)絡(luò)安全管理是一項系統(tǒng)工程，要從根本上去規(guī)避安全風(fēng)險，則必須對整個網(wǎng)絡(luò)安全體系進(jìn)行系統(tǒng)化的分析，從管理和技術(shù)兩大方面入手,雙管齊下，必須變被動為主動，提早發(fā)現(xiàn)問題，解決問題,盡可能杜絕安全管理上的漏洞。精品文檔放心下載通過將現(xiàn)有制度按體系分層歸類,找出現(xiàn)有制度及運作的存在問題，和國際標(biāo)準(zhǔn)ISO17799進(jìn)行對比，提出修補(bǔ)意見。根據(jù)現(xiàn)有的制度,建立安全管理指導(dǎo)的框架，方便各中心根據(jù)自身實際形成必要的安全指導(dǎo)制度。感謝閱讀《技術(shù)性的系統(tǒng)安全掃描報告》《技術(shù)性的系統(tǒng)安全加固方案》《關(guān)鍵系統(tǒng)基線檢查報告》《遠(yuǎn)程滲透測試報告》《ISO27001差距分析》《網(wǎng)絡(luò)安全機(jī)制評估報告》八、項目實施規(guī)劃表1項目實施規(guī)劃序號工作名稱詳細(xì)1項目準(zhǔn)備項目啟動會安全評估前的培訓(xùn)使用掃描工具進(jìn)行安全掃描遠(yuǎn)程滲透測試2安全評估對系統(tǒng)進(jìn)行基線檢查對系統(tǒng)相關(guān)人員進(jìn)行訪談對管理制度進(jìn)行審查技術(shù)上的工具掃描結(jié)果、遠(yuǎn)程滲透測試、基線檢查結(jié)果分析3企業(yè)安全現(xiàn)狀分析管理層面的漏洞分析差距分析，與ISO27001做比較在技術(shù)層面上使用技術(shù)手段對系統(tǒng)進(jìn)行安全加固4安全加固在管理層面上制定合理的管理制度5評估結(jié)束后的培訓(xùn)針對當(dāng)前企業(yè)存在的安全問題做一次有針對性的培訓(xùn)項目后期的宣傳工作通過FLASH、海報等方式加強(qiáng)安全方面的宣傳教育工作。精品文檔放心下載九、項目階段第一階段：前期準(zhǔn)備階段項目計劃需求調(diào)研確定項目目標(biāo)和詳細(xì)范圍完成詳細(xì)方案設(shè)計項目前期溝通與培訓(xùn)第二階段：評估實施技術(shù)評估策略文檔及規(guī)范審查第三階段:評估報告和解決方案數(shù)據(jù)整理和綜合分析安全現(xiàn)狀報告安全解決方案第四階段:支持和維護(hù)系統(tǒng)加固安全培訓(xùn)定期回復(fù)抽樣遠(yuǎn)程二次評估實施安全評估的整個過程如下圖所示十、交付的文檔及報告在實施階段，會產(chǎn)生各種報告工具掃描《網(wǎng)絡(luò)10.1中間評估文檔掃描報《網(wǎng)絡(luò)架構(gòu)整體安全分析評估報告》《人工人工評估評估報《系統(tǒng)漏洞掃描報告》（包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、PC機(jī)、安全設(shè)備等)《技術(shù)性弱點綜合評估報告》析需求《策略《安全《解分《安全策略文檔體系評估報告》歸納，整策略評估文檔評評估報決方理、分析10.2最終報告告》案建《安全安全審計《安全評估整體結(jié)果報告》;審計報《安全整體解決方案建議》；《網(wǎng)絡(luò)網(wǎng)絡(luò)架《構(gòu)系統(tǒng)安全加固建議方案》。架構(gòu)報十一、安全評估具體實施內(nèi)容《系統(tǒng)11。1網(wǎng)絡(luò)架構(gòu)評安估全報狀況評估11.1.1內(nèi)容描述網(wǎng)絡(luò)架構(gòu)安全評估主要涉及到以下幾個方面的內(nèi)容：網(wǎng)絡(luò)拓?fù)浜蛥f(xié)議：拓?fù)浣Y(jié)構(gòu)合理性分析、可擴(kuò)展性分析；對周邊接入的全面了解，安全域劃分的級別,信精品文檔放心下載任網(wǎng)絡(luò)或者不信任網(wǎng)絡(luò)之間是否有控制,控制本身帶來的安全程度以及是否有可以繞過控制感謝閱讀的途徑；所采用的路由協(xié)議，是否存在配置漏洞，冗余路由配置情況，路由協(xié)議的信任關(guān)系；感謝閱讀對網(wǎng)絡(luò)管理相關(guān)協(xié)議的分析整理；對業(yè)務(wù)應(yīng)用相關(guān)協(xié)議的分析整理；各網(wǎng)絡(luò)節(jié)點（包括接入精品文檔放心下載節(jié)點）的安全保障措施。網(wǎng)絡(luò)安全管理機(jī)制：網(wǎng)絡(luò)的安全策略是否存在,以及是否和業(yè)務(wù)系統(tǒng)相互吻合,有無合理的安全制度作為保感謝閱讀障；網(wǎng)絡(luò)體系架構(gòu)是如何進(jìn)行管理的，是否有良好的機(jī)制和制度保障網(wǎng)絡(luò)架構(gòu)本身不被改變，精品文檔放心下載沒有非法的不符合安全策略的架構(gòu)改變；網(wǎng)絡(luò)設(shè)備BUG的檢查處理機(jī)制，即系統(tǒng)管理人員接精品文檔放心下載收到或者發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備存在BUG的時候，是否有一個流程可以處理;網(wǎng)絡(luò)安全事件緊急響應(yīng)感謝閱讀措施；網(wǎng)絡(luò)防黑常用配置的資料整理、分類和準(zhǔn)備；網(wǎng)絡(luò)故障的分析手段的資料整理、分類精品文檔放心下載和準(zhǔn)備；針對網(wǎng)絡(luò)架構(gòu)、協(xié)議和流量的安全審計制度和實施情況調(diào)查.精品文檔放心下載網(wǎng)絡(luò)認(rèn)證與授權(quán)機(jī)制：網(wǎng)絡(luò)服務(wù)本身提供的密碼和身份認(rèn)證手段，系統(tǒng)是否還要其它密碼和身份認(rèn)證體系；在謝謝閱讀相關(guān)的網(wǎng)絡(luò)隔離點，是否有恰當(dāng)?shù)脑L問控制規(guī)則設(shè)立,是否被有效的執(zhí)行；是否有集中的網(wǎng)謝謝閱讀絡(luò)設(shè)備認(rèn)證管理機(jī)制,是否被正確的配置和執(zhí)行；網(wǎng)絡(luò)加密與完整性保護(hù)機(jī)制：數(shù)據(jù)加密傳輸；完整性校驗的實現(xiàn)。網(wǎng)絡(luò)對抗與響應(yīng)機(jī)制：是否有漏洞的定期評估機(jī)制和入侵檢測和記錄系統(tǒng)的機(jī)制；網(wǎng)絡(luò)建設(shè)中是否良好的考慮精品文檔放心下載了網(wǎng)絡(luò)的高可用性和可靠性問題，是否被正確使用和良好的配置，是否有機(jī)制保障不被修改。感謝閱讀網(wǎng)絡(luò)安全配置均衡性分析:安全機(jī)制本身配置是否不合理或者存在脆弱性。11。1.2過程任務(wù)提交網(wǎng)絡(luò)拓?fù)鋱D，并對網(wǎng)絡(luò)流量、安全機(jī)制進(jìn)行說明；對相關(guān)人員進(jìn)行訪談，問題涉及網(wǎng)絡(luò)架構(gòu)與協(xié)議、網(wǎng)絡(luò)安全管理規(guī)定、網(wǎng)絡(luò)安全機(jī)制的使用等；精品文檔放心下載現(xiàn)場參觀和調(diào)查；編寫網(wǎng)絡(luò)架構(gòu)安全評估報告。11。1。3輸入指導(dǎo)目標(biāo)系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D必要的網(wǎng)絡(luò)運營記錄信息11.1。4輸出成果《網(wǎng)絡(luò)架構(gòu)整體安全分析評估報告》12.2系統(tǒng)安全狀態(tài)評估11.2。1內(nèi)容描述技術(shù)評估旨在發(fā)掘目標(biāo)系統(tǒng)現(xiàn)有的技術(shù)性漏洞，評估方法主要有三種:自動化漏洞掃描、精品文檔放心下載滲透測試、本地安全審查。使用專用的掃描工具進(jìn)行漏洞掃描，可掃描的系統(tǒng)和漏洞類別如下：精品文檔放心下載Windows9X/NT/2000掃描后門BackOrifice，CDK等掃描RemoteControl程序NetBus等精品文檔放心下載掃描在NetBIOS服務(wù)上的各種漏洞通過獲取用戶目錄的登錄入侵掃描共享文件夾漏洞,共享權(quán)限等掃描RemoteRegistryAutoLogon等精品文檔放心下載掃描SNMP漏洞(CommunityName，讀/寫）精品文檔放心下載掃描FTP漏洞(Anonymous，guest)感謝閱讀掃描UNIXOrient服務(wù)（XWindow,TFTP等)感謝閱讀掃描Echo,Time,Chargen等不必要的服務(wù)謝謝閱讀UNIX/Linux掃描后門Trinoo,…掃描SMTP版本及各種漏洞掃描對Rcommand（rsh，rlogin，rexec),telnet的BruteforceAttack精品文檔放心下載掃描FTP,TFTP服務(wù)器的各種漏洞SNMP漏洞掃描（CommunityName，讀/寫)感謝閱讀掃描DNS服務(wù)（bind）的漏洞掃描RPC服務(wù)的各種漏洞,NFS共享/NIS等謝謝閱讀掃描XWindow服務(wù)器遠(yuǎn)程漏洞掃描Echo，Time,Chargen等不必要的服務(wù),還有Finger，Gopher，POP3,SSH等危險服務(wù)精品文檔放心下載網(wǎng)絡(luò)設(shè)備掃描通訊設(shè)備(Router，SwitchingHub，F(xiàn)/W)等的安全狀況謝謝閱讀掃描SNMP漏洞(CommunityName，讀/寫)感謝閱讀掃描ICMP漏洞（TimeStamp等)掃描測試各種StealthPort掃描默認(rèn)密碼的BruteForce攻擊應(yīng)用系統(tǒng)掃描Web服務(wù)器、FTP服務(wù)器等應(yīng)用系統(tǒng)IIS，Netscape等服務(wù)器漏洞RDS，Unicode等漏洞各種CGI漏洞掃描WebProxy服務(wù)器掃描數(shù)據(jù)庫Oracle，MS—SQL，MySQL服務(wù)器漏洞謝謝閱讀各種默認(rèn)密碼掃描登錄后，可否執(zhí)行各種StoredProcedure謝謝閱讀掃描網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)設(shè)備配置策略網(wǎng)絡(luò)設(shè)備特定漏洞在自動化漏洞掃描基礎(chǔ)上,奧怡軒技術(shù)顧問會對目標(biāo)系統(tǒng)進(jìn)行滲透測試。精品文檔放心下載滲透測試，是在授權(quán)情況下,利用安全掃描器和富有經(jīng)驗的安全工程師的人工經(jīng)驗對網(wǎng)精品文檔放心下載絡(luò)中的核心服務(wù)器及重要的網(wǎng)絡(luò)設(shè)備(包括服務(wù)器、交換機(jī)、防火墻等）進(jìn)行非破壞性質(zhì)的謝謝閱讀模擬黑客攻擊，目的是侵入系統(tǒng)并獲取機(jī)密信息并將入侵的過程和細(xì)節(jié)產(chǎn)生報告給用戶。謝謝閱讀滲透測試和工具掃描可以很好的互相補(bǔ)充。工具掃描具有很好的效率和速度，但是存在精品文檔放心下載一定的誤報率，不能發(fā)現(xiàn)高層次、復(fù)雜的安全問題；滲透測試需要投入的人力資源較大、對感謝閱讀測試者的專業(yè)技能要求很高（滲透測試報告的價值直接依賴于測試者的專業(yè)技能），但是非謝謝閱讀常準(zhǔn)