企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)案例分析

企業(yè)網(wǎng)絡(luò)平安設(shè)計(jì)：案例分析1內(nèi)容案例介紹平安評(píng)估平安方案設(shè)計(jì)2偉達(dá)投資偉達(dá)〔中國〕投資是一家全球500強(qiáng)的跨國能源集團(tuán)在華的獨(dú)資企業(yè)，從事太陽能，電力，石油，化工，相關(guān)銷售等工程等的公司。偉達(dá)〔中國〕投資總部設(shè)在上海外灘，上?？偛坑?00名員工，并在北京擁有1家分公司，員工約100人。3偉達(dá)投資的組織結(jié)構(gòu)上?？偛?200人)行政部人力資源部管理部公共關(guān)系部固定資產(chǎn)部采購部IT總部市場(chǎng)部銷售部北京分公司〔100人〕行政部財(cái)務(wù)部人力資源部管理部銷售市場(chǎng)部IT管理部太陽能部質(zhì)量控制部法律事務(wù)部4偉達(dá)投資的開展偉達(dá)〔中國〕公司從1985年成立，經(jīng)歷了一個(gè)飛速的開展過程，特別是90年代起收購了多家國內(nèi)知名的的公司，而且在中國一直與政府及大型能源企業(yè)都有全面的合作。公司營(yíng)業(yè)額在5年間增長(zhǎng)了10倍，目前在國內(nèi)的主要大城市都有分公司和代表處，基于上述的業(yè)務(wù)增長(zhǎng)，員工人數(shù)也增加了8倍。但是公司的急速擴(kuò)張?jiān)斐闪斯綢T管理部門的巨大工作壓力，公司原有的IT管理構(gòu)架早已不堪重負(fù)。于是在2001年初，公司對(duì)偉達(dá)〔中國〕的整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行了一次重大升級(jí)，包括增加網(wǎng)絡(luò)帶寬，更換核心設(shè)備，并將整個(gè)系統(tǒng)從WindowsNT4平臺(tái)全部遷移到了Windows2000平臺(tái)并采用了活動(dòng)目錄效勞，以提高整個(gè)網(wǎng)絡(luò)系統(tǒng)的可用性和可管理性。5偉達(dá)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)6風(fēng)險(xiǎn)但是，由于太多的日常維護(hù)工作而忽略了系統(tǒng)策略及平安政策的制訂及執(zhí)行不力，管理員的日常維護(hù)工作又沒有標(biāo)準(zhǔn)可循，系統(tǒng)及數(shù)據(jù)備份也是根本沒有考慮到災(zāi)難恢復(fù)，經(jīng)常會(huì)有一些系統(tǒng)平安問題暴露出來。7危機(jī)！該公司網(wǎng)站使用Windows2000上的IIS作為對(duì)外的WEB效勞器，該網(wǎng)站W(wǎng)EB效勞器負(fù)責(zé)公司的信息提供和電子商務(wù)。在外網(wǎng)上部署了硬件防火墻，只允許到效勞器TCP80端口的訪問。但是在12月21日上午，一個(gè)客戶發(fā)郵件通知公司網(wǎng)站管理員李勇，說該公司網(wǎng)站的首頁被人修改，同時(shí)被發(fā)布到國內(nèi)的某黑客論壇，介紹入侵的時(shí)間和內(nèi)容。李勇立刻查看網(wǎng)站效勞器，除了網(wǎng)站首頁被更改，而且發(fā)現(xiàn)任務(wù)列表中存在未知可疑進(jìn)程，并且不能殺死。同時(shí)發(fā)現(xiàn)網(wǎng)站數(shù)據(jù)庫效勞器有人正在拷貝數(shù)據(jù)！李勇及時(shí)斷開數(shù)據(jù)效勞器，利用備份程序及時(shí)恢復(fù)網(wǎng)站效勞器內(nèi)容，但是沒有過了半小時(shí)，又出現(xiàn)類似情況，李勇緊急通知IT管理人員王勇，告知該情況，于是王勇聯(lián)系總部指定的平安效勞提供商維康平安8問題！經(jīng)過初步平安檢查，發(fā)現(xiàn)以下問題：郵件效勞器沒有防病毒掃描模塊；客戶端有W32/Mydoom@MM郵件病毒問題路由器密碼缺省沒有修改正，非常容易被人攻擊；網(wǎng)站效勞器系統(tǒng)沒有安裝最新微軟補(bǔ)丁沒有移除不需要的功能組件；用戶訪問沒有設(shè)置復(fù)雜密碼驗(yàn)證，利用字典攻擊，非常容易猜出用戶名和密碼，同時(shí)分廠員工對(duì)于網(wǎng)站訪問只使用了簡(jiǎn)單密碼驗(yàn)證，容易被人嗅聽到密碼。數(shù)據(jù)庫系統(tǒng)SQL2000SA用戶缺省沒有設(shè)置密碼；數(shù)據(jù)庫系統(tǒng)SQL2000沒有安裝任何補(bǔ)丁程序9亡羊補(bǔ)牢王勇看到方明的報(bào)告非常吃驚，急忙上告公司CIO余鳴，介紹公司網(wǎng)絡(luò)平安狀況，同時(shí)提及如果不及時(shí)解決公司平安問題，可能會(huì)造成非常大的經(jīng)濟(jì)和聲譽(yù)上的影響。12月22日上午，偉達(dá)公司立即召開緊急會(huì)議商討此事，希望籍此吸取教訓(xùn)，徹底整改，在進(jìn)行平安風(fēng)險(xiǎn)評(píng)估的根底上，全面提高企業(yè)網(wǎng)絡(luò)平安性。10用戶的目標(biāo)“我們做了盡可能多的工作，努力提我們的響應(yīng)速度，縮短解決問題的時(shí)間，但是很多情況下我們總是在問題出現(xiàn)了之后才開始解決，在這種情況下我們很難及時(shí)解決問題，每次都會(huì)有一天到兩天大部份系統(tǒng)不能使用，而且也無法對(duì)可能發(fā)生的問題做有效的估計(jì)〞李杰，偉達(dá)〔中國〕的IT效勞中心經(jīng)理抱怨說?！拔覀?cè)诤芏喾矫娴墓ぷ鞫己艹晒?，但是就是由于這些網(wǎng)絡(luò)上令人討厭的病毒，造成了我們還是經(jīng)常收到來自個(gè)方面的投訴，顯然這不是我們想看到的。我們需要嚴(yán)密的系統(tǒng)和嚴(yán)格的策略來保證我們業(yè)務(wù)系統(tǒng)的穩(wěn)定性和可用性〞偉達(dá)〔中國〕首席信息官〔CIO〕余鳴先生如是說?！拔覀冃枰粋€(gè)可靠、穩(wěn)定、平安，易于管理和維護(hù)的IT解決方案，以及基于此方案的優(yōu)秀IT效勞部門，用以支撐我們公司的運(yùn)營(yíng)，以及未來的開展。〞公司總裁(CEO)張其軍解釋。11風(fēng)險(xiǎn)評(píng)估12風(fēng)險(xiǎn)評(píng)估的一般過程只有經(jīng)過全面的風(fēng)險(xiǎn)評(píng)估過程，才能夠有針對(duì)性地制定平安實(shí)施放案，選擇適宜的平安技術(shù)和產(chǎn)品。在風(fēng)險(xiǎn)評(píng)估過程，需要：收集一切和網(wǎng)絡(luò)平安相關(guān)的信息；使用平安評(píng)測(cè)工具進(jìn)行脆弱點(diǎn)檢查；分析收集到的信息，定義威脅級(jí)別。平安不是最終結(jié)果，而是一種過程或者一種狀態(tài)。平安評(píng)估必須按照一定的周期不斷進(jìn)行，才能保證持續(xù)的平安。13需要搜集的根本信息企業(yè)信息：企業(yè)名稱業(yè)務(wù)范圍地理分布員工數(shù)量組織結(jié)構(gòu)管理模式預(yù)期的增長(zhǎng)或重組網(wǎng)絡(luò)：物理拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)設(shè)備邏輯網(wǎng)絡(luò)劃分〔活動(dòng)目錄結(jié)構(gòu)〕局域網(wǎng)結(jié)構(gòu)廣域網(wǎng)結(jié)構(gòu)遠(yuǎn)程訪問互聯(lián)網(wǎng)接入網(wǎng)絡(luò)協(xié)議類型主要網(wǎng)絡(luò)流量防火墻和入侵檢測(cè)系統(tǒng)主機(jī)：效勞器數(shù)量，名稱，用途，分布效勞器操作系統(tǒng)及版本用戶身份驗(yàn)證方式工作站數(shù)量，用途和分布工作站操作系統(tǒng)及版本操作系統(tǒng)補(bǔ)丁部署防病毒部署主機(jī)防火墻計(jì)算機(jī)平安管理平安管理：企業(yè)平安策略和聲明物理平安管理員工平安培訓(xùn)平安響應(yīng)機(jī)制平安需求和滿足程度14使用MBSA15評(píng)價(jià)風(fēng)險(xiǎn)16使用平安評(píng)測(cè)工具平安評(píng)測(cè)工具通過內(nèi)置的漏洞和風(fēng)險(xiǎn)庫，對(duì)指定的系統(tǒng)進(jìn)行全面的掃描平安評(píng)測(cè)工具可以快速定位漏洞和風(fēng)險(xiǎn)MBSA〔MicrosoftBaselineSecurityAnalyzer，基準(zhǔn)平安分析器〕是微軟提供的系統(tǒng)平安分析及解決工具。MBSA可以對(duì)本機(jī)或者網(wǎng)絡(luò)上的WindowsNT/2000/XP的系統(tǒng)進(jìn)行平安性檢測(cè)，還可以檢測(cè)其它的一些微軟產(chǎn)品，諸如SQL7.0/2000、5.01以上版本的InternetExplorer、IIS4.0/5.0/5.1和Office2000/XP，并給出相應(yīng)的解決方法。17整理結(jié)果:效勞器端18整理結(jié)果：工作站端19書寫平安評(píng)估報(bào)告平安評(píng)估報(bào)告應(yīng)該包含的局部：文檔版本，完成時(shí)間，撰寫和審核者；平安評(píng)估說明：平安審核的目的，客戶，平安參謀提供者；審核目標(biāo)：審核范圍和審核對(duì)象；審核過程：審核工作開始和結(jié)束時(shí)間，審核使用的工具和手段，參與者；審核結(jié)果——客戶根本信息；審核結(jié)果——客戶網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；審核結(jié)果——客戶效勞器信息；審核結(jié)果——客戶工作站信息；審核結(jié)果——按照嚴(yán)重級(jí)別排列的威脅；平安現(xiàn)狀綜合評(píng)價(jià)平安建議術(shù)語20平安方案設(shè)計(jì)21定義企業(yè)平安策略企業(yè)平安策略定義企業(yè)網(wǎng)絡(luò)平安的目標(biāo)和范圍，即平安策略所要求保護(hù)的信息資產(chǎn)的組成和平安策略所適用的范圍。企業(yè)平安策略作為行為標(biāo)準(zhǔn)，定義信息系統(tǒng)中用戶的行為和動(dòng)作是否可以接受。每一條具體的策略都由政策、目的、范圍、定義遵守和違背政策、違背策略的懲罰和結(jié)果等有關(guān)的局部組成。這些策略會(huì)被作為整個(gè)企業(yè)的政策分發(fā)到企業(yè)的所有組織，并且企業(yè)內(nèi)所有員工被強(qiáng)制要求必須內(nèi)遵守。22Internet訪問策略該策略用來明確每位員工在Internet訪問活動(dòng)中應(yīng)該擔(dān)負(fù)的責(zé)任，并不對(duì)企業(yè)造成危害。所有被允許能夠進(jìn)行Internet訪問的員工必須在該文檔上簽名，然后才能給予訪問權(quán)限。組成局部：1、定義什么是Internet訪問行為2、定義責(zé)任3、定義用戶可以做什么，不可以做什么4、如果用戶違反該策略，相關(guān)部門會(huì)采取的行動(dòng)23平安管理在制定平安策略的根底上，企業(yè)內(nèi)部應(yīng)該成立平安管理小組，包含相關(guān)人員，全面負(fù)責(zé)平安管理，主要職責(zé)包括：平安策略制定和推廣進(jìn)行定期的平安審核平安事件響應(yīng)平安技術(shù)選擇和產(chǎn)品選購員工平安培訓(xùn)取得行政和資金上的支持內(nèi)部和外部信息交流24平安風(fēng)險(xiǎn)分析根據(jù)平安評(píng)估階段提供的平安問題列表，按照嚴(yán)重級(jí)別進(jìn)行排序，然后進(jìn)行分析，步驟包括：分析平安問題面臨的風(fēng)險(xiǎn)；查找平安問題之間的關(guān)聯(lián)性；尋求解決方案。25效勞器平安問題〔1〕26效勞器平安問題〔2〕27效勞器平安問題〔3〕28工作站平安問題29平安設(shè)計(jì)30物理平安物理平安是整體平安策略的基石。保護(hù)企業(yè)效勞器所在地點(diǎn)的物理平安是首要任務(wù)。保護(hù)范圍包括在辦公樓內(nèi)的效勞器機(jī)房或整個(gè)數(shù)據(jù)中心。還應(yīng)該注意進(jìn)入辦公樓的入口。如果有人隨便可以進(jìn)入辦公樓內(nèi)，那么他們即使無法登錄到網(wǎng)絡(luò)，也會(huì)有許多時(shí)機(jī)發(fā)起攻擊。攻擊包括：拒絕效勞〔例如，將一臺(tái)膝上型電腦插入網(wǎng)絡(luò)作為一個(gè)DHCP效勞器，或者切斷效勞器電源〕數(shù)據(jù)竊取〔例如，偷竊膝上型電腦或嗅探內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包〕運(yùn)行惡意代碼〔例如在內(nèi)部啟動(dòng)蠕蟲程序，散播病毒〕竊取關(guān)鍵的平安信息〔例如備份磁帶、操作手冊(cè)和網(wǎng)絡(luò)圖，員工通信錄〕31防止信息泄露攻擊者總是要挖空心思找到有關(guān)企業(yè)網(wǎng)絡(luò)環(huán)境的信息。信息本身有時(shí)非常有用，但有的時(shí)候，它也是獲取進(jìn)一步信息和資源的一種手段。防范信息收集的關(guān)鍵是限制外界對(duì)您的資源進(jìn)行未經(jīng)授權(quán)的訪問。確保這種防范效果的方法包括〔但是不限于〕：確保網(wǎng)絡(luò)上只有那些已標(biāo)識(shí)的特定設(shè)備能夠建立遠(yuǎn)程訪問連接。在通過外部防火墻直接連接Internet的計(jì)算機(jī)上關(guān)閉TCP/IP上的NetBIOS，包括端口135、137、139和445。對(duì)于Web效勞器，在防火墻或者效勞器上僅啟用端口80和443。審查企業(yè)對(duì)外網(wǎng)站上的信息以確保：該站點(diǎn)上使用的電子郵件地址不是管理員帳戶。沒有透露網(wǎng)絡(luò)技術(shù)審查員工向新聞組和論壇張貼的內(nèi)容，防止暴露企業(yè)內(nèi)部信息，包括管理員在技術(shù)論壇上求助技術(shù)問題。審查為一般公眾提供的信息有沒有您的IP地址和域名注冊(cè)信息。確保攻擊者無法通過對(duì)DNS效勞器執(zhí)行區(qū)域傳輸。通過轉(zhuǎn)儲(chǔ)DNS中的所有記錄，攻擊者可以清楚地發(fā)現(xiàn)最易于攻擊的計(jì)算機(jī)。減少效勞器暴露的技術(shù)細(xì)節(jié)，修改Web效勞，SMTP效勞的旗標(biāo)。32規(guī)劃網(wǎng)絡(luò)平安將企業(yè)網(wǎng)絡(luò)劃分和定義為以下幾局部：內(nèi)部網(wǎng)絡(luò)需要被外部訪問的企業(yè)網(wǎng)絡(luò)〔停火區(qū)，DMZ〕商業(yè)伙伴的網(wǎng)絡(luò)遠(yuǎn)程訪問〔遠(yuǎn)程機(jī)構(gòu)或者用戶〕Internet在防火墻，路由器上進(jìn)行訪問控制和隔離使用基于網(wǎng)絡(luò)和基于主機(jī)的入侵監(jiān)測(cè)系統(tǒng)，提供預(yù)警機(jī)制，最好能夠和防火墻聯(lián)動(dòng)。33防火墻近乎線性的吞吐速度，在HTTP吞吐量測(cè)試方 面，ISAServer的吞吐量保持為每秒1.59GB應(yīng)用層性能最好的防火墻 (數(shù)據(jù)來源：)單臺(tái)效勞器可以處理48,000個(gè)并發(fā)連接緩存極大改善了帶寬的利用效率和Web內(nèi)容的響應(yīng)時(shí)間在最近由TheMeasurementFactory進(jìn)行的緩存產(chǎn)品評(píng)比中，贏得了價(jià)格/性能比工程的第一(數(shù)據(jù)來源：)應(yīng)用層的精細(xì)控制上網(wǎng)行為和豐富的拓展允許管理員控制上網(wǎng)行為和為緊急任務(wù)分配較高的帶寬優(yōu)先級(jí)ISAServer：Windows平臺(tái)上的最正確防火墻34FirewallInternet應(yīng)用案例

-小型網(wǎng)絡(luò)或分公司的配置企業(yè)內(nèi)部網(wǎng)絡(luò)AccessPolicyrules-IP包,應(yīng)用程序,用戶,組等的訪問策略Bandwidthrules-不同Internetrequest所分配不同帶寬的規(guī)那么Publishingrules-將Internet效勞(如web,ftp,mail)透過防火墻 的保護(hù)發(fā)布給外網(wǎng)用戶IntrusionDetection-防火墻入侵監(jiān)測(cè)MonitorandLogging–進(jìn)出流量分析與報(bào)表Web緩存-所有放火墻的平安策存內(nèi)容略會(huì)被自動(dòng)應(yīng)用到緩存內(nèi)容之上35實(shí)施案例

——北京市環(huán)保局InternetISAServer100臺(tái)工作站ISAServer2000TrendMicroInterScan36DMZ方式1:一個(gè)防火墻連接3個(gè)網(wǎng)絡(luò)(3-homed)Internet內(nèi)部網(wǎng)絡(luò)DMZ區(qū)ISA效勞器37實(shí)施案例

----新晨集團(tuán)

()ISAServer2000InternetInternalNetworkPerimeterNetworkMailServer&DNSWebServer38應(yīng)用范例

–廣域網(wǎng)絡(luò)的配置總部分支機(jī)構(gòu)ISAISP加速分支機(jī)構(gòu)的訪問速度(chain的部署〕實(shí)現(xiàn)內(nèi)部的平安控制〔不同部門和網(wǎng)絡(luò)之間部署防火墻)統(tǒng)一的策略管理39DMZ方式2:“背靠背〞模式Internet內(nèi)部網(wǎng)DMZ區(qū)Web效勞器數(shù)據(jù)庫效勞器ISA效勞器ISA效勞器40InternetISAServer陣列FireWall(硬件)DMZ內(nèi)部網(wǎng)(2000+工作站)實(shí)施案例

——中國農(nóng)業(yè)部信息中心41復(fù)雜網(wǎng)絡(luò)中ISA的配置多個(gè)VLAN,基于第三層交換ISAServer作為交換機(jī)的默認(rèn)網(wǎng)關(guān)設(shè)置靜態(tài)路由擴(kuò)大LAT范圍42實(shí)施案例

----北京許繼電氣43ISA和VPN在遠(yuǎn)程網(wǎng)絡(luò)的部署Internet遠(yuǎn)程客戶端VPN服務(wù)器遠(yuǎn)程網(wǎng)絡(luò)ISA服務(wù)器Web服務(wù)器可以選擇讓VPN效勞器和ISA安裝在同一臺(tái)機(jī)器上或分開44實(shí)施案例

----北京市某旅游部門IDC機(jī)房/固定IPVPNVPNOffice-1Office-2Office-3撥號(hào)線路InternetInternetInternet45規(guī)劃系統(tǒng)平安操作系統(tǒng)加固去除非必要效勞和組件去除非必要網(wǎng)絡(luò)協(xié)議應(yīng)用預(yù)定義平安模板軟硬件供給商對(duì)于自己的產(chǎn)品，一般都提供了平安配置文檔。微軟提供了豐富和翔實(shí)的產(chǎn)品平安配置指南，管理員只需遵照?qǐng)?zhí)行，即能提供高應(yīng)用系統(tǒng)的平安性。technet/security/prodtech/default.asp46用戶帳號(hào)策略幾乎所有的企業(yè)都通過用戶帳戶名稱和賬戶口令的方法來提供身份驗(yàn)證和訪問限制。因此帳戶平安性是企業(yè)平安的根底。一定要設(shè)定口令最低長(zhǎng)度，復(fù)雜性要求，口令定期修改，帳號(hào)鎖定策略。管理員帳戶和口令策略：不要為防止自己的帳戶被鎖定，而額外創(chuàng)立高權(quán)限帳戶來作為后門不要在IT人員之間共享密碼，如果允許多個(gè)用戶使用管理員帳戶，那么一旦發(fā)生涉及該帳戶的平安事件，審計(jì)和責(zé)任區(qū)分就變得非常困難不要在外部網(wǎng)站上使用單位內(nèi)部的密碼。比方注冊(cè)Internet上的論壇和網(wǎng)上商店的會(huì)員時(shí)。因?yàn)橛脩裘艽a往往會(huì)與其電子郵件地址存儲(chǔ)在一起。只要利用這種存儲(chǔ)組合，攻擊者就可以確定用戶所在的工作單位、使用的用戶名〔特別是如果用戶名是SMTP地址的前綴〕及密碼。

47防病毒系統(tǒng)病毒已經(jīng)成為最大的平安威脅，為此有必要在企業(yè)內(nèi)全面部署防病毒系統(tǒng)。構(gòu)建有效的防病毒機(jī)制，需要遵循以下原那么：建立網(wǎng)關(guān)，效勞器，工作站立體防病毒體系；及時(shí)更新防病毒軟件本身和病毒特征碼；格外關(guān)注使用筆記本電腦的用戶的防病毒軟件更新情況；通過在防火墻和路由器上設(shè)置，及時(shí)阻止通過網(wǎng)絡(luò)擴(kuò)散的病毒；安裝專門針對(duì)ExchangeServer的病毒掃描系統(tǒng)，直接從用戶的郵箱里發(fā)現(xiàn)和去除病毒；培訓(xùn)用戶不要為了加快計(jì)算機(jī)運(yùn)行速度而禁用防病毒系統(tǒng)，如果有可能，從防病毒軟件設(shè)置中禁止用戶這么做培訓(xùn)用戶不要隨意翻開不明內(nèi)幕的電子郵件附件，不要隨意下載和安裝應(yīng)用軟件。48修補(bǔ)程序管理只有及時(shí)修補(bǔ)操作系統(tǒng)和應(yīng)用系統(tǒng)的漏洞，才能從根本上保證平安。修補(bǔ)程序主要有3類：ServicePack即時(shí)修復(fù)程序或QFE，QuickFixEngineering〔快速修補(bǔ)工程組，QFE〕是Microsoft的一個(gè)小組，專門負(fù)責(zé)編制即時(shí)修復(fù)程序，針對(duì)產(chǎn)品的代碼修補(bǔ)程序。即時(shí)修復(fù)程序經(jīng)過更嚴(yán)格測(cè)試之后被定期添加到ServicePack中，然后提供給所有用戶。平安修補(bǔ)程序：平安修補(bǔ)程序是為消除平安漏洞而設(shè)計(jì)的。部署修補(bǔ)程序的方法主要有：WindowsUpdate和AutomaticUpdateSUS軟件更新效勞〔SUS〕可以安裝在企業(yè)內(nèi)部的某臺(tái)效勞器上，讓后SUS效勞器從微軟的站點(diǎn)下載最新的修補(bǔ)程序，企業(yè)網(wǎng)絡(luò)的計(jì)算機(jī)將自動(dòng)從SUS下載并自動(dòng)安裝。腳本通過組策略部署計(jì)算機(jī)開機(jī)腳本，使計(jì)算機(jī)在啟動(dòng)時(shí)自動(dòng)運(yùn)行腳本，安裝修補(bǔ)程序組策略組策略具有軟件分發(fā)的能力，如果得到的修補(bǔ)程序是*.msi類型，可以通過組策略將該修補(bǔ)程序指派給指定范圍內(nèi)的計(jì)算機(jī)，如果不是，需要編寫相應(yīng)的*.zap文件SMS49審核策略通過審核，記錄訪問者的行為，以發(fā)現(xiàn)異常動(dòng)作并作為證據(jù)保存。一般的審核策略包括：對(duì)于重要的文件開啟刪除和修改審核，對(duì)敏感文件開啟讀取審核；在域上開啟賬戶登錄事件審核，記錄用戶登錄域的活動(dòng)；在重要效勞器上開啟登錄事件審核，記錄從網(wǎng)絡(luò)上訪問該效勞器的活動(dòng)；在SQLServer中審計(jì)登錄事件；定期對(duì)審核記錄進(jìn)行檢查。50日志管理日志系統(tǒng)保存了操作系統(tǒng)和應(yīng)用程序的信息記錄，其中包括與平安相關(guān)的信息。做為檢測(cè)入侵的重要證據(jù)，日志需要進(jìn)行妥善的管理。一般的日志管理策略包括：足夠大的日志存儲(chǔ)空間，以記錄足夠多的日志信息；不應(yīng)啟用日志覆蓋；定期的日志轉(zhuǎn)儲(chǔ)，轉(zhuǎn)儲(chǔ)的日志需要放置在不能被再次修改的存儲(chǔ)介質(zhì)上，如只能寫入一次的光盤，并放置在平安位置，同時(shí)按照企業(yè)平安策略的要求i，保存足夠長(zhǎng)的時(shí)間；除了操作系統(tǒng)日志外，根據(jù)需要開啟應(yīng)用系統(tǒng)的日志，如數(shù)據(jù)庫效勞器，郵件效勞器等訪問日志；保證在日志中記錄足夠的信息，如用戶帳戶，計(jì)算機(jī)名，IP地址等；保證計(jì)算機(jī)之間的時(shí)間同步，以準(zhǔn)確記錄時(shí)間發(fā)生時(shí)間；從軟件供給商處獲取日志代碼含義解讀文檔；使用日志分析工具協(xié)助管理員快速獲取有價(jià)值的信息51容錯(cuò)管理對(duì)故障和災(zāi)難的抵御能力，稱為容錯(cuò)。容錯(cuò)管理的目標(biāo)是盡可能減少各種意外事故造成的企業(yè)信息損害。一般的容錯(cuò)管理策略包括：使用不間斷電源設(shè)備，建立后備供電線路；使用磁盤冗余陣列〔RAID〕，提高數(shù)據(jù)可能性；使用效勞器群集技術(shù)，防止效勞器失效；對(duì)重要的效勞器建立后備或輔助效勞器，例如建立多臺(tái)域控制器，通過日志傳送建立SQLServer后備效勞器等；對(duì)局域網(wǎng)網(wǎng)絡(luò)提供冗余；選擇多個(gè)ISP，建立外部連接冗余；對(duì)網(wǎng)絡(luò)設(shè)備〔交換機(jī)，路由器〕和防火墻提供冗余。52備份管理備份是企業(yè)信息平安的最后一道防線一般的備份策略包括：設(shè)計(jì)備份方案，在兼顧性能的同時(shí)，盡可能縮短備份周期；定期測(cè)試備份設(shè)備，備份存儲(chǔ)介質(zhì)的可靠性，檢查已備份數(shù)據(jù)的完整性和可用性；劃分需要備份數(shù)據(jù)的優(yōu)先級(jí)；保存同一數(shù)據(jù)的多個(gè)備份；備份磁帶遠(yuǎn)離數(shù)據(jù)原始位置，防止災(zāi)害發(fā)生造成同時(shí)損失；備份磁帶應(yīng)存儲(chǔ)在平安位置，防止非授權(quán)訪問；制定備份恢復(fù)方案，并進(jìn)行演練。53抵御技術(shù)性攻擊攻擊者會(huì)企圖利用企業(yè)網(wǎng)絡(luò)中的技術(shù)漏洞，以獲取對(duì)系統(tǒng)的訪問并設(shè)法提升其權(quán)限。主要的技術(shù)攻擊方法有：會(huì)話監(jiān)聽和劫持DNS毒化和竊取URL字符串攻擊攻擊平安帳戶管理器文件緩沖區(qū)溢出拒絕效勞攻擊后門攻擊惡意代碼54抵御社會(huì)工程攻擊社會(huì)工程攻擊指利用非技術(shù)手段對(duì)企業(yè)信息平安造成破壞，比方：偽裝成快遞公司，物業(yè)管理公司等人員進(jìn)入企業(yè)，獲取企業(yè)內(nèi)部信息，比方貼