|
1)从网络结构来看,面临的外部威胁包括:
a) 黑客的攻击入侵,造成信息泄露,或者破坏网络、应用和服务器系统,造成网络、应用和服务器系统瘫痪;
b) 蠕虫病毒通过网络、Email和网络文件共享等多种方式传播,植入OA网络计算机后为黑客攻击留下后门,同时造成网络拥塞,甚至中断;
c) 蠕虫利用操作系统、应用、Web服务器和邮件系统的弱点进行传播,植入计算机系统后为黑客攻击留下后门,同样,在传播过程中,产生大量的TCP、UDP或ICMP垃圾信息,造成网络拥塞,如Sql Slammer、Nimda、“冲击波”和Nachi蠕虫病毒。
d)面临Internet的黑客攻击,包括DOS/DDOS攻击,造成网络服务中断。
e)管理网用户文件拷贝,Internet访问带来:病毒、蠕虫、间谍程序、后门程序和特洛伊木马的威胁
f)来自Internet的Spyware的威胁,对于XXX系统来说,很多时候Spyware带来的可能损失要比蠕虫等的威胁更大。
2)虽然生产网络和Internet间有多层防火墙,和XXX管理网做缓冲,但是生产网络一样面临着外部威胁,包括:
a)来自Internet和外网的黑客攻击,可以通过穿透管理网络上的计算机,让后通过对防火墙的端口扫描,网络访问测试或者“社会工程”的方法,获得管理网路中可以访问生产网的计算机信息,包括IP、端口,加密方式等,然后再通过“穿透”这些计算机,以这些计算机为“跳板”,最终能够访问生产网计算机。
b)通过Spyware窃取生产网主机系统口令,因为很多生产网的系统管理员通常在OA网络上有自己的计算机,黑客最常用的方法是通过Spyware截获这些管理员在OA网络计算机上的键盘输入,然后用截获的键盘输入作为对生产系统服务器字典攻击的“字典”,通过字典攻击最终获取生产系统的password。
c)生产网上的蠕虫病毒,造成网络瘫痪,甚至导致生产中断;
d)来自管理网络内部人员的恶意攻击和破坏,由于这些人员在OA网络上有自己的计算机,他们可以通过网络扫描或者社会工程的方法,获得哪些计算机可以访问生产网,然后通过IP Spoofing访问生产网,造成生产网数据破坏或被窃取,甚至造成业务中断。
3)生产网面临的内部威胁
FBI统计,40%的安全威胁都源自于内部,常见的有:
- 系统管理员离职前或者离职后恶意的破坏,如恶意的数据删除,数据修改
- 恶意的窃取更高权限口令,常见的是每天进行口令猜测,同时又不触发报警,如,若知道口令规则是出错三次报警,则每天进行两次口令猜解。
- 恶意的扫描,用来发现开放的端口、网络和系统中的漏洞
- 恶意的针对存在漏洞的攻击
从上面我们可以看到当前XXX的网络面临的威胁,因此,需要采取措施消除这些威胁,因此,安全需求可以归纳为以下几方面:
- 首先,最重要的是能够发现网络中的安全风险,其次通过量化的安全风险监控及时发现风险的变化和了解安全风险变化的原因;
- 及时识别网络中的安全弱点,并且获得具体的安全弱点的修补建议,并且能够跟踪修补过程、验证修补结果,以便及时了解弱点是不是真正被消除;
- 发现的新的弱点和新的威胁时,能够有手段在Internet入口阻止这些威胁,为补丁安装赢得时间;
- 对于桌面计算机、服务器需要实时的病毒防护,以阻止感染病毒;
- 在Internet边界,阻止黑客攻击、蠕虫、间谍程序、后门程序等;
- 阻挡来自Internet的对XXX网络和计算机的DOS/DDOS攻击;
- 能够监控和记录OA网络上的活动:包括端口扫描、漏洞扫描、异常流量,特别是针对生产网络的非法访问和攻击;
- 监控OA网络上Spyware间谍程序的活动;
- 能够监控和记录生产网络上的端口扫描、漏洞扫描、异常网络流量。
- 监控生产网络上的Spyware间谍程序活动。
- 管理网上的威胁会影响到生产网,所以管理网必须有有效的网络访问控制,以确保感染了病毒的计算机、有威胁的计算机能够被有效的隔离。
|
