一、公司简介:
伟达(中国)投资****是一家全球500强的跨国能源集团在华的独资企业,从事太阳能,电力,石油,化工,相关销售等项目等的公司。 总部设在上海外滩,上海总部有200名员工,并在北京拥有1家分公司,员工约100人。
伟达投资的组织结构:
上海总部 (200人):行政部;人力资源部;管理部;公共关系部;固定资产部;采购部;
it总部;市场部;销售部。
北京分公司(100人):行政部;财务部;人力资源部;管理部;销售市场部;it管理部;
太阳能部;质量控制部;法律事务部 。
伟达投资的发展:
伟达(中国)公司从2023年成立,经历了一个飞速的发展过程,特别是90年代起收购了多家国内知名的的公司,而且在中国一直与**及大型能源企业都有全面的合作。公司营业额在5年间增长了10倍,目前在国内的主要大城市都有分公司和代表处,基于上述的业务增长,员工人数也增加了8倍。但是公司的急速扩张造成了公司it管理部门的巨大工作压力,公司原有的it管理构架早已不堪重负。
于是在2023年初,公司对伟达(中国)的整个网络系统进行了一次重大升级, 包括增加网络带宽,更换核心设备, 并将整个系统从windows nt4平台全部迁移到了windows2000平台并采用了活动目录服务, 以提高整个网络系统的可用性和可管理性。
2、网络配置:
三、风险:但是,由于太多的日常维护工作而忽略了系统策略及安全政策的制订及执行不力,管理员的日常维护工作又没有标准可循,系统及数据备份也是根本没有考虑到灾难恢复,经常会有一些系统安全问题暴露出来。
问题:经过初步安全检查,发现以下问题:
邮件服务器没有防病毒扫描模块;
客户端有w32/mydoom@mm邮件病毒问题。
路由器密码缺省没有修改过,非常容易被人攻击;
**服务器系统没有安装最新微软补丁。
没有移除不需要的功能组件;
用户访问没有设置复杂密码验证,利用字典攻击,非常容易猜出用户名和密码,同时分厂员工对于**访问只使用了简单密码验证,容易被人嗅听到密码。
数据库系统sql 2000 sa用户缺省没有设置密码;
数据库系统sql 2000 没有安装任何补丁程序。
四、风险评估:
1)风险评估的一般过程:
只有经过全面的风险评估过程,才能够有针对性地制定安全实施放案,选择合适的安全技术和产品。在风险评估过程,需要:收集一切和网络安全相关的信息;使用安全评测工具进行脆弱点检查;分析收集到的信息,定义威胁级别。
安全不是最终结果,而是一种过程或者一种状态。安全评估必须按照一定的周期不断进行,才能保证持续的安全。
2)需要搜集的基本信息:
企业信息:企业名称,业务范围,地理分布,员工数量,组织结构,管理模式,预期的增长或重组。
网络:物理拓扑结构,网络设备,逻辑网络划分(活动目录结构),局域网结构,广域网结构,远程访问,互联网接入,网络协议类型,主要网络流量,防火墙和入侵检测系统。
主机:服务器数量,名称,用途,分布;服务器操作系统及版本;用户身份验证方式;工作站数量,用途和分布;工作站操作系统及版本;操作系统补丁部署;防病毒部署;主机防火墙;计算机安全管理。
安全管理:企业安全策略和声明,物理安全管理,员工安全培训,安全响应机制,安全需求和满足程度。
3)使用安全评测工具:
安全评测工具通过内置的已知漏洞和风险库,对指定的系统进行全面的扫描;安全评测工具可以快速定位漏洞和风险mbsa(microsoft baseline security analyzer,基准安全分析器)是微软提供的系统安全分析及解决工具;mbsa可以对本机或者网络上的windows nt/2000/xp的系统进行安全性检测,还可以检测其它的一些微软产品,诸如sql.01以上版本的internet explorer、iis4.0/5.
0/5.1和office2000/xp,并给出相应的解决方法。
4)使用mbsa:
5)风险评价:
5、结果整理:
1)服务器端:
2)工作站端:
六、安全设计:
1)物理安全:
物理安全是整体安全策略的基石。保护企业服务器所在地点的物理安全是首要任务。
保护范围包括在办公楼内的服务器机房或整个数据中心。还应该注意进入办公楼的入口。如果有人随便可以进入办公楼内,那么他们即使无法登录到网络,也会有许多机会发起攻击。
攻击包括: 拒绝服务(例如,将一台膝上型电脑插入网络作为一个 dhcp 服务器,或者切断服务器电源);数据窃取(例如,偷窃膝上型电脑或嗅探内部网络的数据包);运行恶意**(例如在内部启动蠕虫程序,散播病毒);窃取关键的安全信息(例如备份磁带、操作手册和网络图,员工通信录) 。
2)防止信息泄露:
攻击者总是要挖空心思找到有关企业网络环境的信息。信息本身有时非常有用,但有的时候,它也是获取进一步信息和资源的一种手段。 防范信息收集的关键是限制外界对您的资源进行未经授权的访问。
确保这种防范效果的方法包括(但是不限于): 确保网络上只有那些已标识的特定设备能够建立远程访问连接。在通过外部防火墙直接连接 internet 的计算机上关闭tcp/ip 上的 netbios,包括端口 和 445。
对于web服务器,在防火墙或者服务器上仅启用端口 80 和 443。
审查企业对外**上的信息以确保: 该站点上使用的电子邮件地址不是管理员帐户。没有透露网络技术。
审查员工向新闻组和论坛张贴的内容,避免暴露企业内部信息,包括管理员在技术论坛上求助技术问题。审查为一般公众提供的信息有没有您的 ip 地址和域名注册信息。确保攻击者无法通过对dns服务器执行区域传输。
通过转储 dns 中的所有记录,攻击者可以清楚地发现最易于攻击的计算机。减少服务器暴露的技术细节,修改web服务,smtp服务的旗标。
3)规划网络安全:
将企业网络划分和定义为以下几部分:内部网络;需要被外部访问的企业网络(停火区,dmz);商业伙伴的网络;远程访问(远程机构或者用户);internet在防火墙,路由器上进行访问控制和隔离;使用基于网络和基于主机的入侵监测系统,提供预警机制,最好能够和防火墙联动。
4)isa server:windows平台上的最佳防火墙:
防火墙:近乎线性的吞吐速度,在http吞吐量测试方面,isa server的吞吐量保持为每秒1.59 gb。
应用层性能最好的防火墙。单台服务器可以处理48,000个并发连接。
缓存:极大改善了带宽的利用效率和web内容的响应时间在最近由the measurement factory进行的缓存产品评比中,赢得了**/性能比项目的第一。应用层的精细控制上网行为和丰富的拓展,允许管理员控制上网行为和为紧急任务分配较高的带宽优先级。
网络安全作业
防火墙是建立在现代通信网络技术和信息安全技术之上并是一种应用最为广泛的安全技术。在构建网络安全环境的过程中,防火墙能够有效地限制了数据在网络内外的自由流动,它的网络安全保障作用已受到人们的广泛关注。提到防火墙,大多数人都会认为它是一个放置在网络中,去控制流量在网络分段中穿越的设备。实际上,防火墙也可...
网络安全作业
1 网络安全的目标时什么?常见的网络安全威胁有哪些?分析其原因,提出解决对策。2 简述数字签名的基本原理,数字签名与手工签名的区别是什么。3 对于一个刚装完系统的新机,在联网应用之前,你将如何对其进行管理及安全防护装置。网络安全作业 答 网络安全的目标是通过各种技术与管理手段实现网络信息系统的可控性...
网络安全作业
日期 2016年11月25日地点 现代教育中心204 姓名 马迪学号1411050116 实验环境 1 操作系统 microsoft windows 2000 professional with sp4 ubuntu jeos 8.04.3 lts 2.6.24 24 virtual 2 应用软件 ...