國內某著名媒體公司安全審核報告

執行報告

綜述

一般的安全級別被發現比較低。具備管理員身份的對系統的初始滲透在不到十分鐘的時間裡就可完成。主要的安全問題在於缺乏好的安全過濾器和關鍵系統賬戶脆弱的口令選擇，這些弱點使得包探測器這樣的工具相當容易放置，包探測器准許對所有信息傳輸， 包括對置於防火牆後面的網絡中的信息傳輸進行檢查。

邊防安全

某傳媒公司的網絡沒有一個防火牆，不論偏軟還是偏硬。同時也沒有設置額外的規則。現有的規則需要為阻止更新的攻擊進行編輯。有關建議規則配置的詳細內容可在一份名為“防火牆規則建議”的文檔中找到。

內部安全

某傳媒公司的網絡主機沒有安裝入侵檢測或探針軟件。雖然需要增強某傳媒公司雇員的培訓策略，但是某傳媒公司的主機安全性是最充分的。將在附加文件中發現關於這些“雇員培訓建議”的討論。

滲透風險摘要

臨時攻擊者
在當前的安全性設置中，一個臨時的但是堅定的攻擊者滲透一個系統的時間估計在不到兩天的時間裡。

富有經驗的攻擊者
在當前的安全性設置中，一個富有經驗的攻擊者滲透安全系統的時間估計在不到一個小時的時間裡。

專業的攻擊者
在當前的安全性設置中，一個專業的攻擊者滲透安全系統的時間估計在不到15分鐘的時間裡。

為IT部門所做的細致的研究結果

安全評估過程

外部安全的評估包括多種措施確定有效的外部安全級別。為了從一個外部攻擊者的角度獲得一個真實的安全評估，我們使用的方法和工具與黑客所使用的相同。這個過程通常包括三個階段。

發展階段

在這個階段評價，我們使用多種工具確定目標網絡中系統可能發生的每個事件。這個信息是在逐一系統監測的基礎上得出的。一旦系統被定位，為了確定系統組件，每個系統都會被單獨掃描。這些系統組件包括：操作系統版本（某傳媒公司裡Windows操作系統就有win98，win2000，winXP不同的版本）和補丁軟件（在某傳媒公司裡有很少的機器上打了補丁程序，個別的只打了SP1），並且運行在操作系統上的多數軟件是網絡下載，在下載是沒有對軟件進行MD5軟件校驗，多數是免費版本。下載時沒有對下載的程序進行殺毒。對默認安裝後的操作系統沒有對有效的用戶進行設置，對系統賬戶也沒有進行相應的安全策略設置。致使黑客可以對默認安裝的系統賬戶進行復制，替用。完整的系統參數（如系統名，操作參數，目標網段中系統的角色和安全設置）始終沒有一個統一的設置，致使很多用戶分不清每個用戶的角色。打亂了網絡拓撲結構。使公司職員無法分清應用程序服務器，數據庫服務器等。

在確定應用程序服務器的同時也要測試其中的所有程序的完整性和可用性。

滲透階段

通過檢查發現階段得到的信息，尋找某傳媒公司網絡的弱點，這表示開始進入了滲透階段。所有操作系統和系統軟件根據已知的缺陷庫進行檢查。這些缺陷在目標系統上被單獨測試。這個階段的目的是了解目標系統的安全性。

控制階段

這個階段在成功的了解了系統安全性之後開始。在目標系統中會發生多種操作。全部的目標系統都會被訪問，並且所有相關的文件和信息都會被找出來。這些文件包括完整的安全設置和參數，日志文件和系統軟件配置文件。其他的一些操作系統包括在目標系統中建立後門和刪除滲透證據。一旦目標系統被全面破壞，它便被用做一個中間點，對其他子網中的系統安全進行滲透，在那裡又會執行相同的過程，而作為中間點全然不知發生的過程。
最終，為了測試全體系統工作人員的注意程度，我發起了大量的攻擊，從而確定員工的反應。但沒有一個人知道究竟發生了什麼。

結論
執行概覽中的這份結論基於下列發現：

1．  有效的安全過濾器沒有用在外部路由器上。
2．  強密碼沒有用在可訪問的系統中。
3．  多余的服務沒有被去除。
4．  Microsoft networking從外部可訪問。
5．  使用默認“public”團體名的SNMP信息可以被訪問。
6．  在可訪問系統上的安全審核沒有啟動。
7．  在可訪問系統上，文件系統安全保護沒有完全實施。
8．  DNS沒有受到保護。
9．  Windows 2000系統默認設置沒有被重新配置。
10．  關鍵的windows 2000注冊表樹沒有利用審核進行保護。
11．  系統審核日志可以被訪問。
12．  系統容易受到DOS（拒絕服務攻擊）和DDOS（分布式拒絕服務攻擊）。
13．  局域網網關最好采用Window 2000，因為網絡服務功能強大。

建議

首先是在外部路由器上過濾具體的易受攻擊的服務。其次是正確地保護個人WIN2000/XP系統。這包括在各自的機器上正確地保護賬戶和服務。第三，需要在主機上安裝基於網絡的IDS（入侵檢測系統）。基於主機的入侵檢測應該在218.30.*. * , 218.30.*.* , 218.30.*. *, 219.145.*.* 系統上采用。

  安全分析的下一個階段是現場檢查系統，軟件和配置。另外，應該會見主要的系統人員，確定當前的業務過程，因為安全最重要的原則是在不能影響業務的基礎上對現有的網絡和系統做出調整和配置。

直接建議（中到高風險）

在外部路由器上執行信息包過濾：
1．  TCP/UDP 135 （RPC）
2．  UDP 137，138；TCP 139（Microsoft Networking）
3．  UDP 161，162（SNMP）
說明：過濾器執行前兩項時，將會阻止超過80%的對windows 2000進行攻擊的有效工具。

將所有的系統賬戶密碼改變為強密碼（所謂強密碼是指大小寫字母，數字，字符混合使用的密碼，例：Hevvn83-=/\LiU ）。

在所有的機器上啟動Windows 的安全審核。如果可能，執行下面的操作：
1．  審核所有的失敗。
2．  審核成功的登陸。
3．  審核成功的安全策略變化。
4．  審核系統的成功啟動和關機。
5．  不准日志覆蓋。
6．  定期地存儲審核日志。

對windows 系統啟動強密碼需求。

限制匿名登陸。

控制對注冊表的遠程訪問。

限制對調度程序（scheduler）服務的訪問。

啟動賬戶外殼程序來鎖定賬戶，並且強迫刷新密碼。

啟動管理員賬戶鎖定。

重命名Windows中的管理員賬戶（例如：超級管理員賬戶administrator 可重命名為fashion）

適當的用Authenticated Users 組替換Everyone組。

適當的關閉不必要地服務Disable unneeded services as appropriate:
1.  RAS
2.  多余的網絡協議。
3.  Server
4.  Alerter
5.  Messenger

保護IIS ，包括將FTP文件放在一個單獨的分區上。你在運行匿名FTP並配有全讀訪問權限。雖然這種安排比需要密碼保護更好，但是你應該確保服務器不准許它自己成為一個可能危及root用戶的拒絕服務攻擊的一部分。

網絡和主機級的安全

運行一個ACL報告工具。

加密SAM密碼數據庫。

需要管理員賬戶在本地登陸。

不要准許最終用戶啟動系統。

利用NTFS保護/WINNT/SYSTEM32 。

長期建議

實施一個有效的安全監控系統（如snort, Symantec intruder alert , ISS realsecure 或 eTrust Intrusion detection）.一個基於網絡的和基於主機的IDS 將會是理想的應用。

安裝對付黑客的絆網。

建立一個傀儡管理員賬戶，並對其實大量的審核和可以激活警告的登陸外殼。如果可能，安裝一個應用程序系統地分散，甚至懲罰黑客的行為。

執行BS 7799 反病毒管理的建議。網絡裡沒有一個適於對全部系統調節和系統化病毒更新的系統。主機192.168.0.1 根本沒有任何病毒保護。

沒有一個WINDOWS服務器被 eEye IIS 5.0 緩沖區溢出攻擊軟件修補過。可以安裝服務軟件包的版本2（或一個發行的服務軟件包的熱修復）來解決這個問題。

配置某傳媒公司的防火牆來處理IP 哄騙和Smurf攻擊。同樣，由於某傳媒公司沒有防火牆無意中成為一個Smurf攻擊的一部分，而不知。

某傳媒公司的Web服務器易於受到中間人攻擊和拒絕服務攻擊的危害。可以將WEB服務器放入一個DMZ（非軍事化區）中，進一步保護它。同樣，你需要更徹底地監控它的執行處理，以確定它是否已成為發現和滲透攻擊的受害者。

 

網絡安全方案總體設計

安全方案設計原則

在對這個企業局域網網絡系統安全方案設計、規劃時，應遵循以下原則：

綜合性、整體性原則：應用系統工程的觀點、方法，分析網絡的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護保障制度等）以及專業措施（識別技術、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產品等）。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網絡，包括個人、設備、軟件、數據等。這些環節在網絡中的地位和影響作用，也只有從系統綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網絡安全應遵循整體安全性原則，根據規定的安全策略制定出合理的網絡安全體系結構。

需求、風險、代價平衡的原則：對任一網絡，絕對安全難以達到，也不一定是必要的。對一個網絡進行實際額研究（包括任務、性能、結構、可靠性、可維護性等），並對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然後制定規范和措施，確定本系統的安全策略。