【文章內(nèi)容簡介】 的版本缺陷和配置錯誤。隨后針對評估過程中發(fā)現(xiàn)的安全問題進行全方位加固。 . 網(wǎng)絡(luò)架構(gòu)分析 階段目標： 分析 AAA 集團 網(wǎng)絡(luò)現(xiàn)有架構(gòu)，提出網(wǎng)絡(luò)架構(gòu)調(diào)整建議及安全域規(guī)劃建議。 階段內(nèi)容： 我方將至少從下列方面對現(xiàn)有網(wǎng)絡(luò)架構(gòu)進行分析： 邊界安全：包括但不限于 L3 ACL、防火墻、 VLAN、物理隔離等； 網(wǎng)絡(luò)協(xié)議分析：包括但不限于路由、交換、 NAT、 IGMP、 IPv4 等； 第 14 頁 共 45 頁 設(shè)備自身安全：包括但不限于 SNMP、口令、設(shè)備版本、系統(tǒng)漏洞、端口等； 網(wǎng)絡(luò)流量分析：包括但不限于大帶寬流 量分析、異常流量分析、 DDOS 能力等； 網(wǎng)絡(luò)管理：包括但不限于網(wǎng)管系統(tǒng)、遠程登陸協(xié)議、日志審計、設(shè)備身份驗證等； 可靠性：包括但不限于網(wǎng)絡(luò)設(shè)備和鏈路冗余、設(shè)備處理能力及可擴展性； 網(wǎng)絡(luò)通信安全：包括但不限于通信監(jiān)控、通信加密、 VPN 分析等； 規(guī)范性：包括但不限于設(shè)備命名規(guī)范性、網(wǎng)絡(luò)架構(gòu)安全性等。 我方將在網(wǎng)絡(luò)架構(gòu)現(xiàn)狀分析的基礎(chǔ)上完成 AAA 集團 網(wǎng)絡(luò)架構(gòu)現(xiàn)狀分析、改進措施，并負責(zé)實施，完成 AAA 集團 網(wǎng)絡(luò)安全域規(guī)劃及實施，完成 AAA 集團 網(wǎng)絡(luò)集中管理規(guī)劃等。 . 網(wǎng)絡(luò)流量分析 階段目標： 分析 AAA 集團 網(wǎng)絡(luò)流量合理性與 安全性，并提出安全改善建議。 階段內(nèi)容： 我方將使用流量分析系統(tǒng)、 NetEye IDS 入侵檢測等設(shè)備，并結(jié)合 AAA 集團 網(wǎng)絡(luò)中已有的分析設(shè)備，對 AAA 集團 網(wǎng)絡(luò)的流量進行 半個 月的監(jiān)控，根據(jù)監(jiān)控數(shù)據(jù)分析 AAA 集團 網(wǎng)絡(luò)面臨的安全威脅，分析內(nèi)容包括但不限于： 流量安全性，分析病毒流量、掃描流量和攻擊流量（包括但不限于 DDOS、溢出攻擊等），提出改進措施，并負責(zé)改進措施的實施。 流量合理性，分析正常流量（包括但不限于 HTTP 頁面瀏覽、 FTP 下載）和異常流量（包括但不限于 bit torrent、 edonkey、 emule 等 P2P 流量），提出改進措施，并負責(zé)改進措施的實施。 第 15 頁 共 45 頁 . 網(wǎng)絡(luò)設(shè)備安全漏洞檢查 階段目標： 通過安全掃描發(fā)掘網(wǎng)絡(luò)設(shè)備存在的版本漏洞、不需要開放的服務(wù) /端口以及空 /弱口令帳戶，并提出安全改善建議。 階段內(nèi)容： 針對網(wǎng)絡(luò)設(shè)備和安全設(shè)備的安全評估主要通過安全工具檢查完成。我方將使用專業(yè)的安全掃描工具對設(shè)備進行，通過掃描至少發(fā)現(xiàn)設(shè)備在以下方面的安全隱患： 版本漏洞，包括但不限于 IOS 存在的漏洞，涉及設(shè)備包括 AAA 集團 所有在線網(wǎng)絡(luò)設(shè)備及安全設(shè)備，并實施加固。 開放服務(wù)，包括但不限于路由器開放的 Web 管理界面、其他管理方式 等，并實施加固。 空弱口令，例如空 /弱 tel 口令、 snmp 口令等，并實施加固。 . 網(wǎng)絡(luò)設(shè)備安全配置檢查 階段目標： 根據(jù)東軟公司《 2020 年網(wǎng)絡(luò)與信息安全檢查細則》與《安全配置規(guī)范》及其它系列安全規(guī)范文件要求，檢查網(wǎng)絡(luò)設(shè)備的配置安全符合性。 階段內(nèi)容： 我方將搜集網(wǎng)絡(luò)設(shè)備和安全設(shè)備的信息，包括但不限于： 基本信息：屬性、用途、機型、賬號口令 第 16 頁 共 45 頁 系統(tǒng)信息： IOS 及版本 網(wǎng)絡(luò)信息：管理地址、接口地址 配置文件 其他 通過檢查路由器、交換機等網(wǎng)絡(luò)設(shè)備配置是否最優(yōu)，是否配置了安全參數(shù)；對防火墻、入侵檢測等安全產(chǎn)品 安全策略及其日志進行分析。 根據(jù)東軟公司《 2020 年網(wǎng)絡(luò)與信息安全檢查細則》與《安全配置規(guī)范》及其它系列安全規(guī)范文件要求，對路由器、交換機的安全檢查項包括但不限于： ? CON 口、 VTY 口的訪問控制，是否設(shè)置登錄鑒權(quán)， VTY 是否限制登錄的允許地址范圍。 ? 遠程登陸啟用 SSH，禁用 tel 等明文傳送密碼的登陸方式。 ? 設(shè)備密碼使用加密模式存放，禁用明文存放密碼。 ? SNMP 服務(wù)的配置，禁止使用 public、 private 等公用 munity，如需提供 RW 權(quán)限的 munity，需保證 munity 的安全性 。 ? 未使用的端口需明確使用 shutdown 指令關(guān)閉，在用端口需描述用途。 ? 接入層設(shè)備需啟用訪問控制列表禁止進行非法源地址轉(zhuǎn)發(fā)。 對與互聯(lián)網(wǎng)連接防火墻設(shè)備的安全策略配置：檢查遠程登陸是否禁止 tel方式；檢查最后一條策略是否是拒絕一切流量；檢查是否存在允許 any to any 的策略；檢查是否設(shè)置了管理 IP，設(shè)備只能從管理 IP 登陸維護。 . 設(shè)備安全加固 階段目標： 通過實施安全加固彌補網(wǎng)絡(luò)設(shè)備和安全設(shè)備的安全漏洞。 階段內(nèi)容： 第 17 頁 共 45 頁 根據(jù)前期安全檢查的結(jié)果，我方將提交針對各設(shè)備的安全加固方案，與 AAA集團 討論通過后 予以實施。對設(shè)備的安全加固包括但不限于： ? 安全配置是否合理，路由、交換等網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)安全產(chǎn)品的不必要的服務(wù)、端口、協(xié)議是否關(guān)閉，網(wǎng)絡(luò)設(shè)備的安全漏洞及其脆弱的安全配置方面的優(yōu)化，如路由器的安全漏洞、訪問控制設(shè)置不嚴密、數(shù)據(jù)傳輸未加密、網(wǎng)絡(luò)邊界未完全隔離等。 ? 刪除不必要的測試賬號，最小化合法用戶的權(quán)限，最優(yōu)化系統(tǒng)配置。 ? 交換機配置管理、物理接口管理。 ? 制訂網(wǎng)絡(luò)設(shè)備用戶賬號口令配置策略、賬號權(quán)限及賬號管理策略。 ? 網(wǎng)絡(luò)管理及協(xié)議采取強口令認證，如 SNMP 字串、 VTP 認證密碼、動態(tài)路由協(xié)議認證口令等，其口令強度應(yīng)大 于 12 位，并由數(shù)字、大小寫字母和特殊字符共同組成。 ? 設(shè)置網(wǎng)絡(luò)登錄連接超時，例如，超過 60秒無操作應(yīng)自動退出。 ? 采用帶加密保護的遠程訪問方式。如用 SSH 代替 tel。 網(wǎng)絡(luò)安全評估與加固實施流程： 第 18 頁 共 45 頁 . 系統(tǒng)安全評估與加固 系統(tǒng)安全評估與加固的對象是項目范圍內(nèi)的所有服務(wù)器。安全評估的目標是通過對主機的安全檢查發(fā)掘主機在系統(tǒng)層的安全缺陷和配置錯誤。隨后針對評估過程中發(fā)現(xiàn)的安全問題進行加固。 . 主機安全檢查 階段目標： 通過安全檢查發(fā)掘主機的系統(tǒng)漏洞以及空弱口令系統(tǒng)帳戶，并提出安全改善建議。 遞交服務(wù)申請 （附實施方案） 輸出報告 用戶簽收 網(wǎng)絡(luò)流量分析 設(shè)備漏洞檢查 設(shè)備配置檢查 實施設(shè)備安全加固 網(wǎng)絡(luò)架構(gòu)分析 制定設(shè)備安全加固方案 Yes 用戶確認 No Yes 用戶確認 No 第 19 頁 共 45 頁 階段內(nèi)容： 對主機進行安全檢查，發(fā)掘各主機在系統(tǒng)層的補丁漏洞與脆弱的空弱口令系統(tǒng)帳戶。安全掃描服務(wù)的內(nèi)容包括但不限于： 操作系統(tǒng)（包括 Windows、 AIX 和 Linux、 HPUX、 Solaris、 VMware 等）的系統(tǒng)補丁、漏洞、病毒等各類異常缺陷； 空 /弱口令系統(tǒng)帳戶檢測。 主機安全檢查的內(nèi)容包括兩部分，一是信息搜集，二是配置檢查。 在對主機信息進行搜集時，我方將統(tǒng)計以下主機信息： 基本信息：屬性、用途、機型、賬號口令 系統(tǒng)信息： OS 及版本 防病毒軟件：型號、病毒定義日期 端系統(tǒng)防火墻：名稱、版本、配置 其他軟件信息 網(wǎng)絡(luò)信息： IP 地址、網(wǎng)關(guān)及 DNS 信息、開放端口 其他 通過檢查，分析主機系統(tǒng)的安全配置策略是否最優(yōu)，是否進行了安全增強。 Unix 系統(tǒng)檢查項： 針對 Unix 和 Linux 系統(tǒng)（ AIX、 HPUX、 Solaris、 Redhat、 Suse）檢查項包括但不限于： 基本信息檢查 系統(tǒng)版本、補丁檢查及漏洞檢查 用戶賬號及口令清查 第 20 頁 共 45 頁 系統(tǒng)授權(quán)驗證 日志檢查 檢查用戶登錄日志設(shè)置、登錄失敗日志和各種操作日志 系統(tǒng)網(wǎng)絡(luò)應(yīng)用配置檢查 Windows 系統(tǒng)檢查項： 針對 Windows2020 Server 系統(tǒng)檢查項包括但不限于： 系統(tǒng)基本信息 操作系統(tǒng)版本補丁檢查、各分區(qū)文件格式檢查、自動更新檢查、系統(tǒng)時鐘檢查 用戶身份檢查 用戶登錄和密碼檢查 系統(tǒng)授權(quán)檢查 日志檢查 系統(tǒng)網(wǎng)絡(luò)應(yīng)用配置檢查 防火墻和防病毒軟件檢查 我方將參考東軟公司下發(fā)的《 2020 年網(wǎng)絡(luò)與信息安全檢查細則》與《安全配置規(guī)范》等系列安全規(guī)范制定符合 AAA 集團 實際情況的系統(tǒng)安全檢查項，并經(jīng)甲方審核通過后，交由乙方負責(zé)實施。 . 主機安全加固 階段目標： 通過實施安全加固彌補主機的安全漏洞。 第 21 頁 共 45 頁 階段內(nèi)容： 本工程涵蓋范圍為項目內(nèi)的所有在線或離線（使用率較高的）服務(wù)器。具體的數(shù)量為 200 臺左右。 我方將對上述范圍內(nèi)的主機及操作系統(tǒng)等進行安全加固。 根據(jù)前期安全檢查的結(jié)果，我方將提交針對主機的安全加固方案，與甲方討論并認可后由我方負責(zé)實施。對主機的安全加固應(yīng)參考以下加固項： Windows 操作系統(tǒng)安全加固： Windows 操作系統(tǒng)包括但不限于 Windows NT、 Windows 2020 Server、 Windows 2020 Professional、 Windows 2020 Server、 Windows 2020 professional， Windows Me、Windows XP、 Windows Vista 等。 ? 使用 Windows update 安裝最新補丁； ? 系統(tǒng)賬號口令管理； ? 卸載不需要的服務(wù)，將暫時不需要開放的服務(wù)停止，關(guān)閉不必要的端口； ? 設(shè)置主機審核策略及系統(tǒng)日志策略； ? 調(diào)整事件日志的大小、覆蓋策略； ? 禁止匿名用戶連接； ? 刪除主機管理共享； ? 限制 Guest 用戶權(quán)限； ? 安裝個人防火墻。 UNIX 系統(tǒng)加固： ? 補丁管理策略 ? 安裝系統(tǒng)最新補??； ? 升級服務(wù)至最新版本。 ? 帳戶與口令策略 ? 所有帳戶均應(yīng)設(shè) 置口令； ? 去除不需要的帳戶、修改默認帳號的 shell 變量； 第 22 頁 共 45 頁 ? 除 root 外，不應(yīng)存在其他 uid=0 的帳戶； ? 設(shè)置超時自動注銷登陸，減少安全隱患； ? 禁止 root 遠程登陸； ? 網(wǎng)絡(luò)服務(wù)策略 ? 盡可能減少網(wǎng)絡(luò)服務(wù)，關(guān)閉不必要的服務(wù)； ? 啟用 id 進站連接日志記錄，增強審計功能； ? 調(diào)整優(yōu)化 TCP/IP 參數(shù)，來提高系統(tǒng)抵抗 DoS 攻擊的能力； ? 調(diào)整 TCP/IP 參數(shù)，禁止 IP 源路由； ? 限制使用 SNMP 服務(wù)。如果的確需要，應(yīng)使用 V3 版本替代 V V2 版本，并啟用 MD5 校驗等功能 ； ? 調(diào)整內(nèi)核參數(shù)打開“ TCP 隨機序列號”功能。 ? 日志策略 ? 對 ssh、 su 登陸日志進行記錄 ； ? 除日志服務(wù)器外，禁止 syslogd 網(wǎng)絡(luò)監(jiān)聽 514 端口； ? 對于重要主機設(shè)備，建立集中的日志管理服務(wù)器，實現(xiàn)對重要主機設(shè)備日志的統(tǒng)一管理，以利于對主機設(shè)備日志的審查分析。 我方將參考東軟公司下發(fā)的《 2020 年網(wǎng)絡(luò)與信息安全檢查細則》與《安全配置規(guī)范》系列安全規(guī)范制定符合 AAA 集團 實際情況的系統(tǒng)安全檢查項，并經(jīng)甲方審核通過后使用。 系統(tǒng)安全評估與加固實施流程： 第 23 頁 共 45 頁 . 應(yīng)用安全評估與加固 應(yīng)用安全評估的目標是通過工具掃描或人工分析等方式發(fā)掘 web 應(yīng)用、數(shù)據(jù)庫及常規(guī)網(wǎng)絡(luò)服務(wù)在應(yīng)