系统程序漏洞扫描安全系统评估方案设计.docx

1、系统程序漏洞扫描安全系统评估方案设计一、项目概述1.1 评估范围针对网络、应用、服务器系统进行全面的风险评估。1.2 评估层次评估层次包括网络系统、主机系统、终端系统相关的安全措施，网络业务路由分配安全，管理策略与制度。其中网络系统包含路由器、交换机、防火墙、接入服务器、网络出口设备及相关网络配置信息和技术文件；主机系统包括各类UNIX、Windows等应用服务器；终端系统设备。1.3 评估方法安全评估工作内容： 管理体系审核； 安全策略评估； 顾问访谈； 安全扫描； 人工检查； 远程渗透测试； 遵循性分析；1.4 评估结果通过对管理制度、网络与通讯、主机和桌面系统、业务系统等方面的全面安全评

2、估，形成安全评估报告，其中应包含评估范围中信息系统环境的安全现状、存在安全问题、潜在威胁和改进措施。协助对列出的安全问题进行改进或调整，提供指导性的建设方案：安全现状分析报告安全解决方案1.5 风险评估手段在风险评估过程中，可以采用多种操作方法，包括基于知识（Knowledge-based）的分析方法、基于模型（Model-based）的分析方法、定性（Qualitative）分析和定量（Quantitative）分析，无论何种方法，共同的目标都是找出组织信息资产面临的风险及其影响，以及目前安全水平与组织安全需求之间的差距。1.5.1 基于知识的分析方法在基线风险评估时，组织可以采用基于知识的

3、分析方法来找出目前的安全状况和基线安全标准之间的差距。基于知识的分析方法又称作经验方法，它牵涉到对来自类似组织（包括规模、商务目标和市场等）的“最佳惯例”的重用，适合一般性的信息安全社团。采用基于知识的分析方法，组织不需要付出很多精力、时间和资源，只要通过多种途径采集相关信息，识别组织的风险所在和当前的安全措施，与特定的标准或最佳惯例进行比较，从中找出不符合的地方，并按照标准或最佳惯例的推荐选择安全措施，最终达到消减和控制风险的目的。基于知识的分析方法，最重要的还在于评估信息的采集，信息源包括： 会议讨论； 对当前的信息安全策略和相关文档进行复查； 制作问卷，进行调查； 对相关人员进行访谈；

4、进行实地考察；为了简化评估工作，组织可以采用一些辅助性的自动化工具，这些工具可以帮助组织拟订符合特定标准要求的问卷，然后对解答结果进行综合分析，在与特定标准比较之后给出最终的推荐报告。1.5.2 基于模型的分析方法2001 年1 月，由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开发了一个名为CORAS 的项目，即Platform for Risk Analysis of Security Critical Systems。该项目的目的是开发一个基于面向对象建模特别是UML 技术的风险评估框架，它的评估对象是对安全要求很高的一般性的系统，特别是IT 系统的安全。CORAS 考虑到

5、技术、人员以及所有与组织安全相关的方面，通过CORAS 风险评估，组织可以定义、获取并维护IT 系统的保密性、完整性、可用性、抗抵赖性、可追溯性、真实性和可靠性。与传统的定性和定量分析类似，CORAS 风险评估沿用了识别风险、分析风险、评价并处理风险这样的过程，但其度量风险的方法则完全不同，所有的分析过程都是基于面向对象的模型来进行的。CORAS 的优点在于：提高了对安全相关特性描述的精确性，改善了分析结果的质量；图形化的建模机制便于沟通，减少了理解上的偏差；加强了不同评估方法互操作的效率；等等。1.5.3 定量分析进行详细风险分析时，除了可以使用基于知识的评估方法外，最传统的还是定量和定性分

6、析的方法。定量分析方法的思想很明确：对构成风险的各个要素和潜在损失的水平赋予数值或货币金额，当度量风险的所有要素（资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等）都被赋值，风险评估的整个过程和结果就都可以被量化了。简单说，定量分析就是试图从数字上对安全风险进行分析评估的一种方法。定量风险分析中有几个重要的概念： 暴露因子（Exposure Factor，EF） 特定威胁对特定资产造成损失的百分比，或者说损失的程度。 单一损失期望（Single Loss Expectancy，SLE） 或者称作SOC（Single OccuranceCosts），即特定威胁可能造成的潜在损失总量。 年

7、度发生率（Annualized Rate of Occurrence，ARO） 即威胁在一年内估计会发生的频率。 年度损失期望（Annualized Loss Expectancy，ALE） 或者称作EAC（EstimatedAnnual Cost），表示特定资产在一年内遭受损失的预期值。考察定量分析的过程，从中就能看到这几个概念之间的关系：（1） 首先，识别资产并为资产赋值；（2） 通过威胁和弱点评估，评价特定威胁作用于特定资产所造成的影响，即EF（取值在0100%之间）；（3） 计算特定威胁发生的频率，即ARO；（4） 计算资产的SLE：SLE = Asset Value EF（5） 计算

8、资产的ALE：ALE = SLE ARO1.5.4 定性分析定性分析方法是目前采用最为广泛的一种方法，它带有很强的主观性，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素（资产价值，威胁的可能性，弱点被利用的容易度，现有控制措施的效力等）的大小或高低程度定性分级，例如“高”、“中”、“低”三级。定性分析的操作方法可以多种多样，包括小组讨论（例如Delphi 方法）、检查列表（Checklist）、问卷（Questionnaire）、人员访谈（Interview）、调查（Survey）等。定性分析操作起来相对容易，但也可能因为操作者经验和直觉的偏差而使分析结果失准。与定量分

9、析相比较，定性分析的准确性稍好但精确性不够，定量分析则相反；定性分析没有定量分析那样繁多的计算负担，但却要求分析者具备一定的经验和能力；定量分析依赖大量的统计数据，而定性分析没有这方面的要求；定性分析较为主观，定量分析基于客观；此外，定量分析的结果很直观，容易理解，而定性分析的结果则很难有统一的解释。组织可以根据具体的情况来选择定性或定量的分析方法。1.6评估标准1、计算机网络安全管理2、ISO15408 信息安全技术评估通用准则3、GB 17859-1999 计算机信息系统安全保护等级划分准则4、相关各方达成的协议二、网拓扑评估2.1 拓扑合理性分析目前网络都基本采取传统的三层架构，核心、汇

10、聚与接入，其他设备都围绕着这三层进行扩展，各设备之间的线路基本采用千兆光纤接入方式，实现高速数据传输，降低延时，减少干扰，设备间存在冗余，从而保证各数据间传输的可靠性，各业务之间的稳定性。2.2 可扩展性分析核心设备、汇聚设备是否都存在部分空模板、空接口，可以满足未来几年内的扩展核心设备的背板带宽在高峰期间业务流量能正常通过，从中可看出目前核心设备的带宽完全能承载当前的流量；背板带宽越大，各端口所分配到的可用带宽越大，性能越高，处理能力越快。三、网络安全管理机制评估3.1 调研访谈及数据采集1、整网对于核心层设备、汇聚层设备以及接入楼层设备，进行远程登录方式、本地登录模式、特权模式的用户名与密

11、码配置，密码都是以数字、大小写字母和字符一体化，防止非法用户的暴力破解，即便通过其它方式获取到配置清单，也无法知道这台设备的密码，密码都是以密文的形式显示在配置清单里，这样，无论是合法用户还是恶意用户，只要没有设备的用户名和密码都不能登录到该设备，自然也无法对设备的内容等相关配置信息进行修改，相当于给设备安装了一层保护墙，从而保护了设备的最基本的安全性。2、整个网络采用一种统一的安全制度对网络设备、服务器集进行有效的检查，管理，实时发现网络中是否存在的一些问题，如果发现问题的存在，都会采取制定的流程及时给予解决，使得网络设备能一直正常运行，可用性得到提高，业务流量保持稳定性状态，以下是安全制度

12、管理的部分选项。（1）定期扫描漏洞：定期对整网服务器进行扫描，检查是否有漏洞的存在，数据的来源，事件的分析，主机服务信息，是否存在高危险性事件，主机流量分析等，以确保网络的安全性。（2）检查版本升级：定期对整网服务器进行检查，各主机的系统版本是否最新，各主机的软件，特别是杀毒软件、防火墙、辅助软件有没及时的更新，特征库当前是否为最新。（3）策略：定期对整网服务器的密码进行检查，查看是否开启密码策略、帐户锁定策略、本地审核策略，并作了相应的设置。（4）关闭用户：定期对整网服务器进行周密的检查，是否对GUEST用户、长期未登录用户进行关闭。（5）关闭服务：定期对整网服务器进行松紧，是否对一些特殊的

13、服务，如Remote register、不需要远程登陆的主机Terminal services进行关闭。3.2 网络安全管理机制健全性检查1、以目前的网络设备完全能承载整网的业务流量，可以说目前的设备性能较强，未来，随着网络规模越来越大，业务流量越来越集中，对设备性能的要求也更加严格，但以目前的设备的处理能力，足以胜任未来几年内的扩展，并且具有一定的安全性；2、整网有统一的管理员，对网络设备进行相关的管理，每个管理员所管辖的范围不同；每个管理员负责每一部分，服务器有应用、数据库、测试、视频等 3、机房有门禁系统，机房有它制定的管理方式，进机房首先得找具有申请进机房资格的工作人员，接着，机房中心

14、工作人员对这条申请的信息进行审核，审核通过后，需要拿身份证去机房门口进行登记，这样，才能进入机房查看设备、或对设备进行相关的操作，这是进机房的基本流程。4、机房里有特定的系统专门对当前设备的温度进行测量，不管是白天还是晚上，每天24小时都会有保安和相关的工作人员对机房设备进行定期检查，如发生问题会及时通知相关的负责人，负责人收到消息后会及时对问题进行查看、分析、解决，最终保证整网上业务能正常运行。5、采用Host Monitor系统自动对所有设备、服务器以及主机进行检测，以PING的方式进行测试它的连通性，如果发现某台设备PING测试不通，它会及时产生报警，通过主机把相关设备的信息映射到大屏幕

15、液晶显示器上，以列表的模式显示，相关人员收到报警信息后，一般会采取三个步骤来解决：（1）通过打电话给服务厅，看看是否出现断电的情况；（2）通知代维工作人员，检查是否为线路问题。（3）如果都不是以上的问题，基本可以把问题锁在网络设备的本身或者配置上的问题，通知相关人员去检查。3.3 网络安全管理机制合理性检查机房的整体架构，各个核心层设备、汇聚层设备以及其他设备所摆放的物理位置，从消防、防潮、防雷、排气等安全措施都布置到位，布线整齐、合理、具有相当的专业水平，网线以不同的颜色来区分所在设备的重要性，比如在交换机与交换机的级连一般用蓝色来表示，交换机的端口与PC网卡相连接时用灰色，交换机与其他设备

16、相连除了有时用光纤外，一般用黄色来或绿色来表示，而且，对每个机架机架、设备以及连接的网线都打上标签，当某时候网络物理出现问题时，比如线松了，或是线掉了，线插反了等等，因为之前对相关的设备、网线都贴上标签，这样可以很方便的查找到故障点，并进行定位，容易排除故障；每一排机架集按大写英语字母来标记所在的行号，每一排机架集包括10来个机架，分别用所在的行号+数字来标记，比如我所要找的机架在第二行第5个位置，标记为B5，直接找到B5就可以了；室内温度调整适当，当设备温度过大时，会自动出现告警； 3.4 网络管理协议分析1、统一对整个网络所有设备进行监控、收集信息以及管理，其他的网络设备作为代理者，通过自

17、定的Trap类型向管理者发送最新的信息状况，以保持整网设备能正常运行。2、经过对SNMP配置进行分析，了解到目前SNMP在整网中的作用，以及SNMP在各种重要设备里都进行过哪些配置，在SNMP配置的共同体里，只限制某台主机对该设备进行读取MIB数据库的信息，除此之外，其他的网段是否都可以对该设备的MIB进行读取与修改MIB里的信息，如果可以这样将造成基本上在所有的网段里，每个网段的所有主机都可以对设备的MIB信息进行访问，甚至对该信息进行修改。四、脆弱性严重程度评估脆弱性评估，从技术脆弱性、管理脆弱性去评估途径实施：1）人员访谈2）现有文件调阅3）现场检查4）安全漏洞扫描5）人工安全检查4.1

18、 安全漏洞扫描在网络安全体系的建设中，安全扫描工具花费代、效果好、见效快，与网络的运行相对独立，安装运行简单，要以大规模减少安全管理的手工劳动，有利于保持全网安全政策的统一和稳定，是进行风险分析的有力工具。在项目中，安全扫描主要是通过评估工具以本地扫描的方式对评估范围内的系统和网络进行安全扫描，从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户帐号/口令等安全对像目标存在的安全风险、漏洞和威胁。安全扫描项目包括如下内容: 信息探测类 网络设备与防火墙 RPC服务 Web服务 CGI问题 文件服务 域名服务 Mail服务 Windows远程访问 数据库问题 后门程序 其他服务

19、网络拒绝服务（DOS） 其它问题从网络层次的角度来看，扫描项目涉及了如下三个层面的安全问题。（一）系统层安全该层的安全问题来自网络运行的操作系统：UNIX系列、Linux系列、Windows系列以及专用操作系统等。安全性问题表现在两方面：一是操作系统本身的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是操作系统的安全配置存在问题。身份认证：通过Telnet进行口令猜测等。访问控制：注册表普通用户可写，远程主机允许匿名FTP登录，FTP服务器存在匿名可写目录等。系统漏洞：Windows缓冲出溢出漏洞。安全配置问题：部分SMB用户存在弱口令，管理员帐号不需要密码等。（二）网络层安全该层的安

20、全问题主要指网络信息的安全性，包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入、路由系统的安全、入侵检查的手段等。 网络资源的访问控制：检测到无线访问点。域名系统：ISC BIND SIG资源记录无效过期时间拒绝服务攻击漏洞，Windows DNS拒绝服务攻击。路由器：cisco IOS Web配置接口安全认证可绕过，路由器交换机采用默认密码或弱密码等。（三）应用层安全该层的安全考虑网络对用户提供服务器所采用的应用软件和数据的安全性，包括：数据库软件、WEB服务、电子邮件、域名系统、应用系统、业务应用软件以及其它网络服务系统等。数据库软件：Oracle Tnslsnr没

21、有配置口令，MSSQL 2000 sa帐号没有设置密码。WEB服务：SQL注入攻击、跨站脚本攻击、基于WEB的DOS攻击。电子邮件系统：Sendmail头处理远程溢出漏洞，Microsoft Windows 2000 SMTP服务认证错误漏洞。为了确保扫描的可靠性和安全性，首先制定扫描计划。计划主要包括扫描开始时间、扫描对象、预计结束时间、扫描项目、预期影响、需要对方提供的支持等等。在实际开始评估扫描时，评估方会正式通知项目组成员。奥怡轩按照预定计划，在规定时间内进行并完成评估工作。如遇到特殊情况（如设备问题、停电、网络中断等不可预知的状况）不能按时完成扫描计划或致使扫描无法正常进行时，由双方

22、召开临时协调会协商予以解决。4.2 人工安全检查安全扫描是使用风险评估工具对绝大多数评估范围内主机、网络设备等系统环境进行的漏洞扫描。但是，评估范围内的网络设备安全策略的弱点和部分主机的安全配置错误等并不能被扫描器全面发现，因此有必要对评估工具扫描范围之外的系统和设备进行手工检查。路由器的安全检查主要考虑以下几个方面： 帐号口令 网络与服务 访问控制策略 日志审核策略 空闲端口控制交换机的安全检查主要考虑以下几个方面： 帐号口令 网络与服务 VLAN的划分主机的安全检查主要考虑以下几个方面： 补丁安装情况 帐号、口令策略 网络与服务检查 文件系统检查 日志审核检查 安全性检查1） 安全扫描此阶

23、段通过技术手段评估系统中的漏洞。对撑握整个被评估系统的安全状态提供重要数据。被扫描的系统有： Windows系统 Linux系统 Unix客服热线系统在安全扫描阶段使用的主要工具有： Internet Scanner NESSUS Acunetix Web Vulnerability Scanner扫描过程中可能会导致某些服务中断，双方应该事先做好协调工作，并做好应急处理方案，在发现问题后及时上报，并及时恢复系统的运行。4.3 安全策略评估安全策略是对整个网络在安全控制、安全管理、安全使用等方面最全面、最详细的策略性描述，它是整个网络安全的依据。不同的网络需要不同的策略，它必须能回答整个网络中

24、与安全相关的所有问题，例如，如何在网络层实现安全性、如何控制远程用户访问的安全性、在广域网上的数据传输如何实现安全加密传输和用户的认证等。对这些问题帮出详细回答，并确定相应的防护手段和实施方法，就是针对整个网络的一份完整的安全策略。策略一旦制度，应做为整个网络行为的准则。这一步工作，就是从整体网络安全的角度对现有的网络安全策略进行全局的评估，它也包含了技术和管理方面的内容，具体包括：（1）安全策略是否全面覆盖了整体网络在各方面的安全性描述；（2）在安全策略中描述的所有安全控制、管理和使用措施是否正确和有效；（3）安全策略中的每一项内容是否都得到确认和具体落实。4.4 脆弱性识别 类型识别对象识

25、别内容技术脆弱性物理环境从机房场地、防火、供配电、防静电、接地与防雷、电磁防护、通信线路的保护、区域防护、设备管理等方面进行识别网络结构从网络架构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件从协议安全、交易完整性、数据完整性等方面进行识别应用系统从审计机制、审计存储、数据完整性、通信、鉴别机制、密码保护等方面进行识别管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行

26、识别组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别脆弱性赋值赋值标识定义5很高如果被威胁利用，将对资产造成完全损害4高如果被威胁利用，将对资产造成重大损害3中等如果被威胁利用，将对资产造成一般损害2低如果被威胁利用，将对资产造成较小损害1很低如果被威胁利用，将对资产造成的损害可以忽略五、网络威胁响应机制评估防火墙称得上是安全防护的防线，防火墙对于企业网络的安全，已经无法实施100%的控制，对于合法内容中混入的可疑流量、DoS攻击、蠕虫病毒、间谍软件等威胁，几乎没有有效的反击措施，入侵检测与防御系统进行检测网络攻击，与防火墙进行联动。利用现有的入侵检测防御系统对网络

27、攻击进行测试，来检验针对网络威胁的能力。5.1远程渗透测试渗透测试是指在获取用户授权后，通过真实模拟黑客使用的工具、分析方法来进行实际的漏洞发现和利用的安全测试方法。这种测试方法可以非常有效地发现最严重的安全漏洞，尤其是与全面的代码审计相比，其使用的时间更短，也更有效率。在测试过程中，用户可以选择渗透测试的强度，例如不允许测试人员对某些服务器或者应用进行测试或影响其正常运行。通过对某些重点服务器进行准确、全面的测试，可以发现系统最脆弱的环节，以便对危害性严重的漏洞及时修补，以免后患。奥怡轩评估小组人员进行渗透测试都是在业务应用空闲的时候，或者在搭建的系统测试环境下进行。另外，评估方采用的测试工

28、具和攻击手段都在可控范围内，并同时充分准备完善的系统恢复方案。网络攻击利用工具或技术通过网络对信息系统进行攻击和入侵网络探测和信息采集、漏洞探测、嗅探、用户身份伪造和欺骗、用户或业务数据的窃取和破坏，系统运行的控制和破坏等物理攻击通过物理的接触造成对软件、硬件和数据的破坏等物理接触、物力破坏、盗窃等泄密信息泄露给不应该了解的他人内部信息泄露、外部信息泄露等篡改非法修改信息，破坏信息的完整性使系统的安全性降低或信息不可用篡改网络、系统、安全配置信息，篡改用户身份信息和业务数据信息等抵赖不承认收到的信息和所作的操作、交易原发抵赖、接受抵赖、第三方抵赖等威胁赋值赋值标识定义5很高出现的频率很高（或不

29、少于1次/周），或在大多数情况下几乎不可避免，或可以证实经常发生过4高出现的频率较高（或不少于1次/月），或在大多数情况下很有可能会发生，或可以证实多次发生过3中等出现的频率中等（或大于1次/半年），或在某种情况下可能会发生，或被证实曾经发生过2低出现的频率较小，或一般不太可能发生，或没有被证实发生过1很低威胁几乎不可能发生，或仅可能在非常罕见或例外的情况下发生六、网络安全配置均衡性风险评估6.1 设备配置收集1、核心层交换机目前的网络状态正常，在配置上也针对某些安全方面的问题进行布置，具体情况都做了详细的说明，以下是核心层交换机配置上的一些安全防护措施：（1）核心交换机进入特权模式需要密码，

30、对它进行了密文的设置。（2）对核心交换机的虚拟线路进行密码的设置，远程登录需要输入密码。（3）使用UDLD对某些端口进行链路的检测，以减少丢包的概率。（4）在核心交换机上全局下关闭禁用Http Server，防止非法入侵（5）全局下开启Bpdu-Guard，因为核心交换机在全局下开启Portfast特性.2、核心层交换机的稳定性直接关系到整个网络数据流量能否正常通过，核心层交换机的安全性问题自然会影响到能否一直保持稳定的状态，起到至关的作用，保护好核心交换机的安全问题很大原因其实是在保护核心交换机的稳定性，做好安全防护工作，保护好核心交换机的稳定性成为我们规则的焦点，下面是对本核心层交换机的安

31、全防护问题进行完善，从而提高核心层交换机的安全性。3、使用SSH来作为远程的登录，使用TELNET进行远程登录， Telnet会话中输入的每个字符都将会被明文发送，这将被像Sniffer这样的抓包软件获取它的用户名、密码等敏感信息。因此，使用安全性更高的SSH加密无疑比使用Telnet更加安全。4、在虚拟线路中对远程登录的最大连接数进行限制，默认，一般情况下网络设备会开放5-15个虚拟的连接线路，不过，不同厂商，不同型号，所开放的虚拟线路连接数也都不一样，可以通过登录到此设备，可以用远程登陆或本地登陆，在该设备上对配置进行查看，再根据实际情况进行修改；一般情况下，很多人都没有对远程登陆范围进行限制，这样使得每个人都有机会去TELNET，这多少给了恶意用户提供攻击的机会，比如可以使用SYN Flood攻击；它伪造一个SYN报文，伪造一个源地址或者不存在的地址，通过向