返回
企业网络安全设计:案例分析

企业网络安全设计:案例分析

ID:27403745

大小:2.29 MB

页数:66页

时间:2018-12-01

企业网络安全设计:案例分析_第1页
企业网络安全设计:案例分析_第2页
企业网络安全设计:案例分析_第3页
企业网络安全设计:案例分析_第4页
企业网络安全设计:案例分析_第5页
资源描述:

《企业网络安全设计:案例分析》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、企业网络安全设计:案例分析魏强广州市灵通新技术有限公司1内容案例介绍安全评估安全方案设计2案例介绍以下内容,均系虚构,如有雷同,纯属巧合。3伟达投资伟达(中国)投资有限公司是一家全球500强的跨国能源集团在华的独资企业,从事太阳能,电力,石油,化工,相关销售等项目等的公司。伟达(中国)投资有限公司总部设在上海外滩,上海总部有200名员工,并在北京拥有1家分公司,员工约100人。4伟达投资的组织结构上海总部(200人)行政部人力资源部管理部公共关系部固定资产部采购部IT总部市场部销售部北京分公司(100人)行政部财务部人力资源部管理部销售市场部IT管理部太阳能部质量控制部

2、法律事务部5伟达投资的发展伟达(中国)公司从1985年成立,经历了一个飞速的发展过程,特别是90年代起收购了多家国内知名的的公司,而且在中国一直与政府及大型能源企业都有全面的合作。公司营业额在5年间增长了10倍,目前在国内的主要大城市都有分公司和代表处,基于上述的业务增长,员工人数也增加了8倍。但是公司的急速扩张造成了公司IT管理部门的巨大工作压力,公司原有的IT管理构架早已不堪重负。于是在2001年初,公司对伟达(中国)的整个网络系统进行了一次重大升级,包括增加网络带宽,更换核心设备,并将整个系统从WindowsNT4平台全部迁移到了Windows2000平台并采用了

3、活动目录服务,以提高整个网络系统的可用性和可管理性。6伟达的网络拓扑结构7风险但是,由于太多的日常维护工作而忽略了系统策略及安全政策的制订及执行不力,管理员的日常维护工作又没有标准可循,系统及数据备份也是根本没有考虑到灾难恢复,经常会有一些系统安全问题暴露出来。8危机!该公司网站使用Windows2000上的IIS作为对外的WEB服务器,该网站WEB服务器负责公司的信息提供和电子商务。在外网上部署了硬件防火墙,只允许到服务器TCP80端口的访问。但是在12月21日上午,一个客户发邮件通知公司网站管理员李勇,说该公司网站的首页被人修改,同时被发布到国内的某黑客论坛,介绍入

4、侵的时间和内容。李勇立刻查看网站服务器,除了网站首页被更改,而且发现任务列表中存在未知可疑进程,并且不能杀死。同时发现网站数据库服务器有人正在拷贝数据!李勇及时断开数据服务器,利用备份程序及时恢复网站服务器内容,但是没有过了半小时,又出现类似情况,李勇紧急通知IT管理人员王勇,告知该情况,于是王勇联系总部指定的安全服务提供商维康安全有限公司9问题!经过初步安全检查,发现以下问题:邮件服务器没有防病毒扫描模块;客户端有W32/Mydoom@MM邮件病毒问题路由器密码缺省没有修改过,非常容易被人攻击;网站服务器系统没有安装最新微软补丁没有移除不需要的功能组件;用户访问没有设

5、置复杂密码验证,利用字典攻击,非常容易猜出用户名和密码,同时分厂员工对于网站访问只使用了简单密码验证,容易被人嗅听到密码。数据库系统SQL2000SA用户缺省没有设置密码;数据库系统SQL2000没有安装任何补丁程序10亡羊补牢王勇看到方明的报告非常吃惊,急忙上告公司CIO余鸣,介绍公司网络安全状况,同时提及如果不及时解决公司安全问题,可能会造成非常大的经济和声誉上的影响。12月22日上午,伟达公司立即召开紧急会议商讨此事,希望籍此吸取教训,彻底整改,在进行安全风险评估的基础上,全面提高企业网络安全性。11用户的目标“我们做了尽可能多的工作,努力提我们的响应速度,缩短解

6、决问题的时间,但是很多情况下我们总是在问题出现了之后才开始解决,在这种情况下我们很难及时解决问题,每次都会有一天到两天大部份系统不能使用,而且也无法对可能发生的问题做有效的估计”李杰,伟达(中国)的IT服务中心经理抱怨说。“我们在很多方面的工作都很成功,但是就是由于这些网络上令人讨厌的病毒,造成了我们还是经常收到来自个方面的投诉,显然这不是我们想看到的。我们需要严密的系统和严格的策略来保证我们业务系统的稳定性和可用性”伟达(中国)首席信息官(CIO)余鸣先生如是说。“我们需要一个可靠、稳定、安全,易于管理和维护的IT解决方案,以及基于此方案的优秀IT服务部门,用以支撑我

7、们公司的运营,以及未来的发展。”公司总裁(CEO)张其军解释。12风险评估13风险评估的一般过程只有经过全面的风险评估过程,才能够有针对性地制定安全实施放案,选择合适的安全技术和产品。在风险评估过程,需要:收集一切和网络安全相关的信息;使用安全评测工具进行脆弱点检查;分析收集到的信息,定义威胁级别。安全不是最终结果,而是一种过程或者一种状态。安全评估必须按照一定的周期不断进行,才能保证持续的安全。14需要搜集的基本信息企业信息:企业名称业务范围地理分布员工数量组织结构管理模式预期的增长或重组网络:物理拓扑结构网络设备逻辑网络划分(活动目录

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。