安全评估工具及方法介绍.ppt

,安全评估工具及方法介绍,议程,评估概述评估工具介绍Windows 2000安全评估Unix安全评估网络设备安全性评估网络架构安全评估,安全风险评估三要素,资产,“资产”定义电信网和互联网及相关系统资产是具有价值的资源，是安全防护体系保护的对象。它能够以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有服务、形象等。,资产识别资产是具有价值的资源，是安全策略保护的对象。风险评估中，首先需要将电信网和互联网及相关系统资产进行恰当的分类，以此为基础进行下一步的风险评估。,资产分类及示例,威胁,威胁是一种对资产构成潜在破坏的可能性因素，是客观存在的。威胁可以通过威胁主体、动机、途径等多种属性来描述。威胁可能导致对电信网和互联网及相关系统产生危害的不希望事件潜在起因，它可能是人为的，也可能是非人为的；可能是无意失误，也可能是恶意攻击。常见的网络威胁有盗取帐号密码、冒名顶替、病毒、特洛伊木马、错误路由、火灾、水灾等。,威胁赋值,威胁分类及示例,脆弱性,“脆弱性”定义脆弱性是电信网和互联网及相关系统资产中存在的弱点、缺陷与不足，不直接对资产造成危害，但可能被威胁所利用从而危及资产的安全。,脆弱性赋值,威胁利用脆弱性示例,风险值计算相乘法,风险值计算方法-相乘法,风险值 资产价值 威胁值 脆弱性值风险值的取值范围为1-125，风险值等级化处理，确定风险值对应的风险等级。,安全评估,网络安全,主机安全,应用安全,数据安全,物理安全,各层的安全需求：1、保证本层自身的安全；2、实现本层对上层的安全支撑；3、增强对上层安全侵害的抵抗能力；4、尽可能减少本层对下层的安全依赖；5、尽可能减少本层对下层的安全侵害；,单系统评估风险评估实施流程图,风险评估规范的依据,风险评估方法,工具评估人工检查资料分析访谈问卷调查渗透测试,工具评估,目的：以网络扫描的方式，发现易于被攻击者利用的安全风险；要求：尽可能和被扫描设备之间无访问控制扫描影响：对网络资源的影响在5%以下，对系统资源的影响在3%以下；,人工评估,目的：对工具评估结果进行分析；查找工具评估无法发现的安全漏洞；了解系统配置信息，为安全加固做准备；查看系统受攻击情况；要求：以系统管理员方式登陆系统评估影响：不对系统进行任何更改，没有影响；,风险规避措施,评估前要求对重要系统进行有效备份；扫描中不使用DoS扫描策略；对重要业务系统选择业务量比较小的时间段进行评估；双机热备系统分别扫描，确认工作正常后再继续扫描；发现问题，及时中止，确认问题解决后再继续扫描,议程,评估概述评估工具介绍Windows 2000安全评估Unix安全评估网络设备安全性评估网络架构安全评估,什么是扫描器,什么是扫描器黑客实施盗窃之前，最先进行的工作窥探，利用扫描器可以收集到：操作系统类型、开放端口、开放服务及版本号、共享目录，无疑扫描器成了黑客的帮凶！但扫描器无罪，关键看掌握在谁的手里；,什么是扫描器,安全管理者眼中的扫描器知己知彼，百战不殆。通过扫描器可以对己方的安全隐患了如指掌；利用扫描器提供的漏洞修补建议，完成系统的加固；防范未授权的扫描：部署防火墙、IDS等；与其它产品联动：防火墙阻断主机、IDS入侵事件过滤;,主流扫描器,ISSSSSWebRavorLinktrust Network ScannerXSCANSPUER-SCANNMAPNESSUS流光,X-Scan,X-Scan,NESSUS,NESSUS,议程,评估概述评估工具介绍Windows 2000安全评估Unix安全评估网络设备安全性评估网络架构安全评估,主要检查项,补丁与版本用户与口令服务状况安全配置系统日志主要应用软件被攻击情况检查,版本与补丁,版本查看办法“我的电脑”属性”开始菜单“管理工具”计算机管理系统信息系统摘要补丁查看办法通过在线Windows Update，检查有哪些安全更新需要安装通过“控制面板”添加/删除软件”查看已经安装了哪些补丁通过注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftUpdates通过其它工具,用户与口令,确保禁用Guest等账户；检查用户所属的组，关注administrators组；,用户与口令,C:winntrepairsam文件,服务状况,“管理工具”服务需要关注的服务Alerter、messenger、snmp、remote registry service、routing and remote access、run as、telnet、ftp、smtp、nntp、terminal service、www其他远程服务、可疑的服务远程管理服务Terminal service、pcanywhere、netmeeting等共享服务C:net share“管理工具”计算机管理”共享”注意共享访问权限,安全配置,安全选项“管理工具”“本地安全策略”“安全设置/本地策略/安全选项”对匿名连接的额外限制；允许在未登录前关机；是否显示上次登录帐号；LAN Manager身份验证级别；发送未加密的密码以连接到第三方SMB服务器；允许弹出可移动NTFS媒体；在断开会话之前所需的空闲时间；如果无法记录安全审计则立即关闭系统；登录屏幕上不要显示上次登录的用户名；禁用按CTRL+ALT+DEL进行登录的设置；在关机时清理虚拟内存页面交换文件；,系统日志,系统日志设置,系统日志,日志审核设置,主要应用软件,MS SQL Server等数据库软件Seru-U等ftp软件Apache、IIS等WWW服务软件,被攻击情况检查,查看系统进程任务管理器查看系统开放服务查看系统端口和连接Netstat an结合fport工具查看系统日志系统日志、安全日志、应用日志、IIS等访问日志C:winntsystem32logfiles,被攻击情况检查,系统注册表HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun和HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce项下是否有异常程序 菜单程序启动Txt、exe等关联程序C:ftype txtfile等,议程,评估概述评估工具介绍Windows 2000安全评估Unix安全评估网络设备安全性评估网络架构安全评估,主要检查项,系统基本信息root用户安全配置系统服务启动状况关键服务配置用户与口令系统审计文件系统与文件权限其他,系统基本信息（补丁）,系统补丁信息使用oslevel确定系统版本补丁分为三类Recommended Maintenance Package(RM)Critical Fix(cfix)Emergence Fix(efix)推荐使用RPM安装系统补丁对于最新的漏洞，需要efix,系统基本信息（其他）,系统基本信息uname-a系统网卡信息ifconfig-a系统路由信息netstat-nr网络连接信息netstat-na系统进程信息ps-ef,root用户安全配置,是否允许root用户远程登录在/etc/security/user文件中设定使用lsuser可以查看使用chuser更改root用户的环境变量/etc/environment是全局的环境变量/etc/security/environ中可以设定单个用户的环境变量也可以通过启动文件设定环境变量,系统服务启动状况,初始的启动文件/etc/inittabpiobeqdaemonwritesrvhttpdlite通常服务在/etc/rc.*文件中启动rc.nfsrc.tcpiprc.d/inetd的启动文件/etc/inetd.conf,关键服务配置,R命令（rlogin,rsh）的配置情况CDE（dtlogin）是否设置访问控制Ftp服务是否限制系统用户访问（/etc/ftpusers）Cron服务NFS服务SNMP服务Sendmail服务DNS服务,用户与口令,删除无用用户查看是否存在空/弱口令口令策略设定在/etc/security/user文件中设定使用lsuser/chuser查看与修改登录策略设定在/etc/security/login.cfg文件中设定通用用户的环境变量设定在/etc/environment文件中设定,系统审计,syslog日志的配置状况记录失败登录：/etc/security/failedlogin使用who查看：who/etc/security/failedlogin记录最新登录：/etc/security/lastlog文本文件，使用more查看记录su的使用：/var/adm/sulog文本文件，使用more查看,文件系统与文件权限,以安全模式加载文件系统文件基本权限查找setuid,setgid与全局可写的文件find/-perm-4000-ls 查找所有setuid的文件find/-perm-2000-ls 查找所有setgid的文件find/-perm-0004-ls 查找所有全局可写的文件和目录,其他,修改banner信息在/etc/security/login.cfg中修改herald参数对网络连接设置访问控制,服务安全管理,尽可能少泄露系统信息更改telnetdftpdbindsendmail等的banner信息 编写安全的用户程序注意避免自己编写的用户程序中常见的安全漏洞，它们往往成为黑客攻击的突破口。,主要应用软件安全性,服务的安全补丁除了操作系统的安全补丁外，各厂商的应用服务，也需要安装相应的安全补丁。比如sendmail、Bind、Apache、WUFTP、数据库、网管系统等等，都会不定期出现严重的安全漏洞，需要单独安装其安全补丁。,主要应用软件安全性,对服务的安全配置对主要的服务，比如snmpd、sendmail、bind、apache、NFS等，如果必须开放的话，也应该进行相应的安全配置。,入侵检查,基本理念了解后门的形式会有助于对攻击者入侵行为和后门的检查系统是否可信系统已经或者有可能受到攻击，那么许多信息已经不再完全可信通过lsnetstatpsfind等获得的信息不再可信，因为这些应用程序本身可能已经被入侵者篡改；syslog日志可能已经被删除或者篡改；文件或者目录的大小属性、时间戳等都可能被伪造。入侵痕迹入侵者往往会由于技术或者非技术的原因留下蛛丝马迹当攻击者多次登录、或者多台机器被入侵时，由于疏忽的原因，留下痕迹的可能性会更大,入侵检查,使用基本的系统命令ls命令：注意查看文件的ACLTime时间戳、权限位、大小、属主等；find命令：可以根据文件的ACLtime时间戳、权限、大小、属主、类型等特性进行查找；ps eaf或者/bin/ucb/ps aux查看进程信息；ldd查看命令所调用的动态库netstat an命令查看端口链接信息；lsof查看进程打开的端口、打开的文件等属性；strings和file命令查看文件信息；,入侵检查,使用基本的系统日志查看系统本身的相关日志，但它们被篡改的可能性较大；查看网络日志服务器的日志或者查看IDS系统日志等它们一般比较可靠，被篡改的可能性相对较小。使用其它工具（chkrootkit）,常见的后门形式,suid后门把重要的文件cp到隐藏的目录下，设置suid位，比如：cp/bin/ksh/tmp/.aachown root:root.aachmod 4755.aa,常见的后门形式,inetd后门选择一个不常被使用的服务，用可以产生某种后门的守护进程代替原先的守护进程,比如：将用于提供日期时间的服务 daytime 替换为能够产生一个 suid root 的 shell vi/etc/inetd.conf daytime stream tcp nowait/bin/sh sh-i.,常见的后门形式,rc等启动脚本后门在rc启动脚本中运行后门服务，比如在/sbin/rc3或者/etc/rc2.d/S69inet中增加：nc l p 9999 e/bin/sh&将会在tcp 9999端口监听。,常见的后门形式,更改/etc/passwd和/etc/shadow文件echo footq:x:0:0:/export/home/footq:/bin/sh/etc/passwdecho footq:/etc/shadow,常见的后门形式,攻击者可能在crontab或者at中增加定期运行的后门Crontab的语法为：几分几点几号几月周几命令10 3*0/usr/lib/newsyslogcrontab l aaa将当前用户的crontab内容导入到aaa文件crontab bbb将编辑好的crontab文件bbb加载到当前用户的crontab中，使之生效crontab e编辑当前的crontab文件,常见的后门形式,rootkit黑客的后门工具箱，比如lrk5、ark等，包括以下功能：自动清除日志中的登录记录的工具，比如wipe、zap2等；隐藏攻击者目录和文件、进程等的工具，如替换的netstat、ps、ls、ifconfig等；木马，比如替换的login、su等；后门程序，比如nc，或者其他的BindShell等；以太网的sniffer；它能伪装被替换文件的sum校验和，更改时间戳等，由于许多命令被替换更改，所以许多东西不再可信，比较难于检查，但是：往往也会存在纰漏和蛛丝马迹，能够被人工发现；tripwire等文件系统完整性检查工具、chkrootkit可以发现它。,议程,评估概述评估工具介绍Windows 2000安全评估Unix安全评估网络设备安全性评估网络架构安全评估,主要检查项,设备负载访问安全账号和口令认证banner服务管理logacl防范DOS攻击功能,路由器负载,路由器的负载通常取决于下列因素:路由器在网络中所处的层次核心层,汇聚层,或者接入层 路由器执行的软件功能NAT,policy-route,加密等等都会加重设备负担命令show process memshow process cpu,IOS版本有无漏洞,系统漏洞,在非人为条件下,系统在特定网络环境中出现异常;安全性漏洞,破坏者借此控制设备或者造成设备运行异常;网络设备运行中断或者异常即可造成经济损失检测方式网络扫描工具如LinkTrust Network Scanner 检查版本号,版本过低即可能有漏洞命令show version,访问安全,Console,访问安全,auxiliary,访问安全,vty,vty,访问安全,vty,访问安全,Privilege从015默认是：1（exec）15（enable）可以自定义其他级别,访问安全,访问安全,账号和口令,应按照用户分配账号 Router#config tEnter configuration commands,one per line.End with CNTL/Z.Router(config)#service password-encryptionRouter(config)#username ruser1 password 3d-zirc0niaRouter(config)#username ruser1 privilege 1Router(config)#username ruser2 password 2B-or-3BRouter(config)#username ruser2 privilege 1Router(config)#end,账号和口令,Type 7Cisco的算法很容易被破解enable passwordusername*password*service password-encryption（可以保证不在屏幕上直接显示）Type 5MD5算法安全enable secret,账号和口令,Enable password和enable secret同时存在时，只有enable secret起作用应该禁止enable password，尤其注意二者不能相同,认证,认证系统联动 Router#configure terminal Enter configuration commands,one per line.End with CNTL/Z.Router(config)#aaa new-modelRouter(config)#aaa authentication login default group tacacs+Router(config)#aaa authentication enable default group tacacs+Router(config)#tacacsRouter(config)#tacacs-server key Ir31yh8n#w9swDRouter(config)#end,有些时候，缺省BANNER信息会为黑客提供入侵线索；,User Access VerificationPassword:,如上信息意味着该设备是Cisco设备。Router(config)#banner login This is secured device.Unauthorized use is prohibited by law.,修改缺省banner,HTTP 管理模式,HTTP管理模式可以使用户以WEB方式管理路由器，但是也带来安全隐患。router(config)#no ip http server 关闭HTTP模式router(config)#ip http access-class access-list 用ACL限制可以访问的地址router(config)#ip http authentication 验证方式：本机或者radius服务器,Router(config)#no access-list 11Router(config)#access Router(config)#access-list 11 deny any Router(config)#ip http access-class 11 Router(config)#ip http authentication local Router(config)#ip http server,HTTP 管理模式,SNMP是否有安全隐患,尽可能禁用SNMP，如确实需要使用SNMP，必须：确保使用SNMP 版本3，因为SNMP V3使用了较强的MD5认证技术 必须确保MIB库的读写密码（Community String Password）必须设定为非缺省值（Public and Private）Community String Password必须为健壮口令，并定期更换；确保授权使用SNMP进行管理的主机限定在指定网段范围内（ACL）,Router(config)#no snmp community public Router(config)#no snmp community private Router(config)#accessRouter(config)#accessRouter(config)#access-list 8 deny anyRouter(config)#!make SNMP read-only and subject to access listRouter(config)#snmp-server community hello!#ro 8Router(config)#snmp-server host 172.22.66.18 maddogRouter(config)#snmp-server trap-source loopback 0Router(config)#snmp-server enable traps snmp,SNMP是否有安全隐患,关闭无用服务,很多服务目前Internet 上已经很少使用，而且这类服务服务往往存在可供黑客利用的缺陷。Small services(echo,discard,chargen,etc.):Router(config)#no service tcp-small-servers Router(config)#no service udp-small-servers BOOTP:Router(config)#no ip bootp server FingerRouter(config)#no ip finger Router(config)#no service finger,CDP是否构成隐患？,无必要时，关闭CDP协议，黑客通常可以借助CDP更快地了解网络拓扑结构,XXXX-NMSW-1#show cdp neiCapability Codes:R-Router,T-Trans Bridge,B-Source Route Bridge S-Switch,H-Host,I-IGMP,r-RepeaterDevice ID Local Intrfce Holdtme Capability Platform Port IDJAB032008YP(XXXX-Gig 4 155 T S WS-C4003 2/2JAB032008YP(XXXX-Gig 3 155 T S WS-C4003 2/1,LOG,Log类型Console loggingTerminal line loggingBuffered logging空间有限Syslog loggingSNMP trap logging,LOG,LOG,LOG,LOG,日志是否开启,确保路由器开启日志功能。若路由器没有足够的空间，需要将日志传送到日志服务器上保存；若边界路由器未配合防火墙、IDS、Sniffer等技术使用，必须支持详尽的日志信息；在日志文件中需要记录登录过该设备的用户名、时间和所作的命令操作等详细信息，为发现潜在攻击者的不良行为提供有力依据；,Router(config)#logging onRouter(configRouter(config)#logging buffered 16000 informationRouter(config)#logging console criticalRouter(config)#logging trap debugging,日志是否开启,SNMP,SNMP,访问控制列表,标准ACLInterface#access-group list-number in(out),访问控制列表,扩展ACLInterface#access-group list-number in(out),访问控制列表,基于name的扩展ACLInterface#access-group list-number in(out),访问控制列表,ACL匹配顺序默认是deny最少一个permit只是单向访问控制,是否需要和合理利用RPF功能？,RPF可以有效地防止基于地址欺骗的攻击手段，提供全网的抗攻击能力，的使用基于以下原则：路由器必须可以开启交换模式 如果路由器从某接口接收到的任何包，其回应包必定从该接口返回，则可以在该接口上使用RPF功能；尽可能在靠近接入用户的网络设备上使用；,Router(config)#ip cefRouter(config)#inter e0/0Router(config-if)#ip verify unicast reverse-path,访问控制列表,访问控制列表,访问控制列表,访问控制列表,议程,评估概述评估工具介绍Windows 2000安全评估Unix安全评估网络设备安全性评估网络架构安全评估,网络架构安全评估,安全域划分边界防护网络安全管理冗余、备份与恢复IP地址规划,安全域划分（1）,为什么要划分安全域？,组网方式随意性强，缺乏统一规划网络区域之间边界不清晰，互连互通没有统一控制规范安全防护手段部署原则不明确扩展性差,无法有效隔离不同业务领域，跨业务领域的非授权互访难于发现和控制无法有效控制网络病毒的发作区域和影响不能及时的发现安全事件和响应第三方维护人员缺乏访问控制和授权管理员密码和权限的难以管理关键服务器、信息资产的缺乏重点防护,安全域划分（2）,安全域划分的根本目的是把一个大规模复杂系统的安全问题，化解为更小区域的简单系统的安全保护问题。这也是实现大规模复杂信息的系统安全分等级保护的有效方法。,安全域是指具有相同或近似安全保护需求的一系列IT要素的逻辑集合。这些要素主要包括：业务应用网络区域主机/系统组织人员物理环境,主体、性质、安全目标和策略等元素的不同来划分的不同逻辑子网或网络，每一个逻辑区域有相同的安全保护需求，具有相同的安全访问控制和边界控制策略，区域间具有相互信任关系，而且相同的网络安全域共享同样的安全策略。,安全域划分,安全域划分（3）,安全域划分的基本步骤,作为实现信息系统安全等级保护的前提，首先应提出各信息系统组网、设备部署的基本原则，即进行安全域划分的原则。在明确安全域划分基本原则基础上，根据不同信息系统的价值和安全风险等级，确定各安全域不同的保护等级。结合冗余备份、提高数据传输效率等原则，明确组网的基本要求，并据此进行边界保护和基本安全防护手段的建设工作。,安全域划分（4）,安全域划分的原则,业务保障原则：安全域划分的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率。结构简化原则：安全域划分的直接目的和效果是要将整个网络变得更加简单，简单的网络结构便于设计防护体系。等级保护原则：安全域的划分要做到每个安全域的信息资产价值相近，具有相同或相近的安全等级、安全环境、安全策略等。生命周期原则：对于安全域的划分和布防不仅仅要考虑静态设计，还要考虑不断的变化；在安全域的建设和调整过程中要考虑工程化的管理。,安全域划分（5）,安全域划分方法,安全域的划分除了遵循上述根本原则外，安全域的划分还应考虑如下两个重要特征：安全域内的系统应具有相同或者相近的保护等级；属于同一安全域内的系统应互相信任，也就是说即使保护需求相同，如果属于不同的系统而且互不信任，也不应该纳入同一安全域进行保护，“信任”是一个相对的概念。应当根据业务逻辑、地域与管理模式、业务特点划分安全域、安全子域、安全区域。在安全域内部进一步划分安全区域时，如核心生产区、日常工作区、漫游区、DMZ区、第三方互联区等等，重点参考了IATF计算区域划分的理论，并考虑了不同区域和不同的威胁。,边界防护（1）,根据IATF等安全理论，安全域划分的原则明确以后，安全域的边界访问控制是关注的重点。安全域边界的保护原则是：应以通为主，以隔为辅，即在保证业务系统连通需求的前提下，根据各安全域的威胁等级、保护等级，部署支撑系统的保护方式。,边界防护（2）,安全域边界的保护方式,在边界整合基础上，结合安全域的威胁等级和保护等级，采用“重点防护、重兵把守”的原则，建立安全域互联边界的防护措施，以实施安全域互访的原则。目前的互联与保护方式主要有：单层防火墙控制下的直接互联双重异构防火墙控制下的直接互联接口服务器（如PORTAL）方式实现的服务器服务器的互联接口服务器结合物理隔离的互联等。确定防护方式主要考虑以下因素：技术安全性实施难度投资角度安全域的保护等级、威胁等级，,边界防护（3）,安全域边界的安全部署,在进行安全域边界部分、尤其是漫游区接入的安全部署时，除了采用上述的保护方式外，还要综合考虑病毒自动查杀的病毒墙、补丁管理、漏洞扫描、入侵检测、访问控制、双因素认证、信息加密等安全技术的统一部署，并实施集中的实时监控。除了实施必要的安全保障措施控制外，加强安全管理也是不可或缺的一个重要环节。,网络安全管理（1）,使用了何种网管系统？OpenView、Tivoli等使用了何种管理协议？telnet、snmp、http等是采用带内管理还是带外管理？带外管理，是否注意隔离？是否采用了Windows Domain或Unix NIS管理？,网络安全管理（2）,使用流量分析工具进行正常情况下的网络流量进行分析和建模，出现异常流量时立即触发告警并启动相关工单和响应流程；使用各类安全手段的集中管控系统（OMC），如防火墙的控制端、防病毒系统的集中控制端、IDS的集中日志分析系统等，进行较为集中的安全监控；利用部分网管系统，如IP数据网管，对各业务系统工作状态进行实时监控，出现安全相关异常时立即触发安全告警并启动相关工单和响应流程；建设安全运营中心（SOC），实现安全事件进行全局监控预警和响应。,网络安全管理（3）,对于安全告警监控的技术手段上，主要存在两种情况。第一、部署了多种专业安全技术手段，但并没有部署统一安全管理监控平台的情况，按照专业安全系统的分类，开展相对集中的安全监控工作。第二、已经部署了统一安全管理监控平台的情况，安全监控工作可以围绕安全管理平台进行，将各个专业安全系统的监控手段作为辅助手段。,Cisco防火墙安全监控,Cisco防火墙可以采用两种方式进行监控Syslog方式采用Kiwi作为syslog服务器将防火墙的日志配置指向syslog服务器ASDM方式安装ASDM客户端软件通过客户端软件登录到防火墙设备可以查看日志、流量、接口信息等,Netscreen防火墙监控,Netscreen防火墙可以通过三种方式进行安全监控。WEB管理界面监控通过web登录管理界面，查看 安全日志告警。通过Syslog服务器集中收集和保存部署Kiwi Syslog服务器将防火墙Syslog 指向服务器通过防火墙控制端NSM软件进行监控安装NSM控制软件统一管理防火墙监控日志、防火墙状态等。,华为防火墙监控,华为防火墙通过两种方式进行安全监控通过华为I2000控制软件进行管理和监控安装I2000控制软件，登录管理界面可以对日志、防火墙运行状态进行监控通过syslog服务器进行日志收集和保存安装Kiwi Syslog服务器配置防火墙，将syslog日志发送到服务器,安氏IDS安全监控,安氏IDS通过控制台进行设备状态监控、安全策略设置、安全事件实时监控。安全事件可以按照事件名称、传感器、源IP、目标IP进行分类.通过事件查询工具可以对历史事件进行查询分析。通过报表工具可以生成多种安全报表。,绿盟IDS安全监控,登录IDS控制台进行安全告警监控、设备状态监控。可以按照事件源、目的、设备、时间等进行分类，可以通过协议分布图监控网络协议分布情况。,启明IDS安全监控,登录IDS管理控制台，可以进行告警监控，将告警按照严重级别分为连接、低级、中级、高级。登录日志分析程序，可以进行历史事件查询和分析，查询得到的告警可以导出。,Symantec防病毒监控,Windows 任务栏上，单击“开始”“程序”“Symantec 系统中心控制台”“Symantec 系统中心控制台”通过 Symantec 系统中心控制台跟踪“发现威胁”警报，右键可以查看终端的风险情况，风如果险记录列表中有“隔离失败”、“不操作”，需要通过工单形式派发相关人员处理,趋势Officescan防病毒监控,通过IE浏览器登陆Officescan管理界面，显示防毒墙网络版的整体情况，可查看最近病毒事件、病毒码版本、病毒爆发警报等信息。选择左侧树状视图中“客户机”，右侧显示“客户机树视图”。右侧客户机列表框将以客户机所在域的形式分别列出，选定后，在右侧出现的列表框上部选择“查看病毒日志”，弹出病毒日志对话框，可查看目前病毒感染情况。,安全管理平台集中监控要求,已经部署了安全管理平台，可以围绕安全管理平台开展安全监控。安全管理平台的覆盖范围可以包含：网络设备、安全设备、主机等，对这些系统产生的安全告警进行集中收集、分析和风险计算，并围绕风险分析进行安全告警监控.,冗余、备份与恢复,核心网络设备是否进行了冗余？交换机、路由器等；链路冗余服务器冗余配置文件离线备份？,IP地址规划,使用何种IP地址规划？DHCP？/NAT？/私有地址还是公网地址？IP地址规划是否合理？是否利于路由收敛？是否有充足的扩展空间？,谢谢大家！,