网络安全设计第 1章 安全设计简介第 2章 创建网络安全计划第 3章 确定网络安全威胁第 4章 分析安全风险第 5章 创建物理资源安全设计第 6章 创建计算机安全设计第 7章 创建账户安全设计第 8章 创建身份验证安全设计第 9章 创建数据安全设计第 10章 创建数据传输安全设计第 11章 创建网络周边安全设计第 12章 设计安全事件应对措施附录 A 可接受使用策略的设计附录 B 网络管理策略的设计附录 C 安全管理的运营框架设计附录 D CHAP,MS-CHAP 和 MS-
CHAP v2 中的身份验证第 6章 创建计算机安全设计确定计算机面临的威胁并分析其风险计算机安全设计确定计算机面临的威胁并分析其风险计算机的安全生命周期计算机安全的重要性常见的计算机威胁课堂练习 分析计算机面临的风险
6.1 确定计算机面临的威胁并分析其风险计算机的安全生命周期初始安装 基准安全性 配置特定角色 应用安全更新 报废
6.1.1 计算机的安全生命周期计算机安全的重要性攻击者 威胁 举例外部一个病毒利用了操作系统的某个已知漏洞一台新计算机在安装安全更新之前就遭到蠕虫病毒的攻击。 此病毒在计算机上安装了特洛伊木马应用程序。 该计算机在带有特洛伊木马应用程序的情况下部署。
内部 管理员密码泄漏在网络安装过程中,本地管理员密码以明文形式发送。 攻击者使用该密码查看其经理的计算机。
公司总部内部攻击者病毒外部攻击者
6.1.2 计算机安全的重要性常见的计算机威胁阶段 威胁安装
安装过程中暴露管理员密码
在安装防毒软件之前,计算机已感染病毒
操作系统配置错误基准及配置
没有统一部署基准安全性
没有针对计算机角色进行相应的保护
计算机的角色改变时,没有更新安全配置安全更新
没有自始至终地应用 Service Pack 和热修复
Service pack 和热修复的安装没有经过审核
添加了一项服务后,没有重新应用热修复报废
报废计算机时,硬盘及其他存储介质上留有机密数据
6.1.3 常见的计算机威胁课堂练习 分析计算机面临的风险阅读场景信息回答问题全班一起讨论答案
1
2
3
分析
6.1.4 课堂练习 分析计算机面临的风险第 6章 创建计算机安全设计确定计算机面临的威胁并分析其风险计算机安全设计计算机安全设计保障初始安装安全的常见方法创建安全基准配置为特定的计算机角色设计安全性应用安全更新的常见方法评估计算机安全性的常见方法安全处理报废计算机课堂练习 风险和应对措施安全策略检查清单
6.2 计算机安全设计保障初始安装安全的常见方法方法 详细内容隔离网络?在安装及配置安全措施前,保护计算机免受攻击介质更新?要保证在初始安装时,安装了所有的安全更新和 Service Pack
自定义脚本
只安装计算机角色必须的服务
启用安全默认设置的配置硬盘映象?使用安全安装的复本,包括应用程序和安全措施的安装及配置
RIS?通过网络,集中地管理自定义脚本和硬盘映象的安装
6.2.1 保障初始安装安全的常用方法创建安全基准配置创建计算机基准安全策略1
创建自定义安全模板,强制执行基准安全性2
测试自定义安全模板3
部署自定义安全模板4
步骤:
6.2.2 创建安全基准配置为特定的计算机角色设计安全性预测针对特定计算机角色的威胁评估计算机上数据的价值使用基准过程来为每个计算机角色创建安全模板文件服务器
Web 服务器域控制器域控制器安全性 文件服务器安全性 IIS 安全性
6.2.3 为特定的计算机角色设计安全性应用安全更新的常见方法工具 使用对象 部署
Windows Update 家用计算机及小型办公室 面向个人计算机的操作系统Service Pack 及安全更新
Office Update 家用计算机及小型办公室面向个人计算机的 Office 2000
及 Office XP Service Pack 及安全更新组策略在 Active Directory 中运行
Windows 2000 或 Windows
XP 的计算机打包成 msi 形式的 Service
Pack及安全更新(使用软件安装策略)
Microsoft 软件更新服务运行 Windows 2000 或
Windows XP 的计算机 基于组策略设置的安全更新
SMS 更新服务功能包网络中所有通过 SMS 管理的 SMS 客户端计算机使用特定 SMS 插件接口的
Service Pack 和安全更新
6.2.4 应用安全更新的常见方法多媒体 Microsoft 软件更新服务
6.2.5 多媒体 Microsoft 软件更新服务评估计算机安全性的常见方法方法 详细内容安全配置及分析工具?将计算机的安全配置和安全模板相比较
支持 Windows 2000 和 Windows XP
Microsoft 基准安全分析器?扫描网络中的计算机,检测常见的安全漏洞
支持 Windows NT 4.0 版,Windows 2000 和
Windows XP
用来漏洞检测的第三方软件?扫描计算机、应用程序和网络设备的安全漏洞
比较昂贵漏洞评估或穿透性测试?尝试攻击网络,以查找安全漏洞?需要高超的技巧
6.2.6 评估计算机安全性的常见方法安全处理报废计算机资源 建议计算机?清除闪存、专用 ROM 模块及硬盘上的所有数据存储设备?拿走介质可移除驱动器中的所有介质,包括 CD-ROM,磁带及软盘驱动器介质?要确保已销毁了存储介质上的所有数据,
其中存储介质包括硬盘、光盘、软盘和备份磁带
或直接销毁存储介质本身文档?从打印机拿走所有打印色带
销毁所有可能对攻击者有用的文件,如安全配置数据
6.2.7 安全处理报废计算机课堂练习 风险和应对措施场景阅读各场景信息选择最佳风险管理策略确定适当的安全应对措施全班一起讨论答案
1
2
3
4
6.2.8 课堂练习 风险和应对措施创建策略和过程来:
安全安装操作系统和软件
强制执行计算机基准安全性
保护网络中属于特定角色的计算机
应用安全更新
安全处理报废计算机安全策略检查清单 6.2.9 安全策略检查清单实验 A 计算机安全设计 实验 A 计算机安全设计回顾学习完本章后,将能够:
确定计算机面临的威胁并分析其风险掌握计算机安全设计的方法
CHAP v2 中的身份验证第 6章 创建计算机安全设计确定计算机面临的威胁并分析其风险计算机安全设计确定计算机面临的威胁并分析其风险计算机的安全生命周期计算机安全的重要性常见的计算机威胁课堂练习 分析计算机面临的风险
6.1 确定计算机面临的威胁并分析其风险计算机的安全生命周期初始安装 基准安全性 配置特定角色 应用安全更新 报废
6.1.1 计算机的安全生命周期计算机安全的重要性攻击者 威胁 举例外部一个病毒利用了操作系统的某个已知漏洞一台新计算机在安装安全更新之前就遭到蠕虫病毒的攻击。 此病毒在计算机上安装了特洛伊木马应用程序。 该计算机在带有特洛伊木马应用程序的情况下部署。
内部 管理员密码泄漏在网络安装过程中,本地管理员密码以明文形式发送。 攻击者使用该密码查看其经理的计算机。
公司总部内部攻击者病毒外部攻击者
6.1.2 计算机安全的重要性常见的计算机威胁阶段 威胁安装
安装过程中暴露管理员密码
在安装防毒软件之前,计算机已感染病毒
操作系统配置错误基准及配置
没有统一部署基准安全性
没有针对计算机角色进行相应的保护
计算机的角色改变时,没有更新安全配置安全更新
没有自始至终地应用 Service Pack 和热修复
Service pack 和热修复的安装没有经过审核
添加了一项服务后,没有重新应用热修复报废
报废计算机时,硬盘及其他存储介质上留有机密数据
6.1.3 常见的计算机威胁课堂练习 分析计算机面临的风险阅读场景信息回答问题全班一起讨论答案
1
2
3
分析
6.1.4 课堂练习 分析计算机面临的风险第 6章 创建计算机安全设计确定计算机面临的威胁并分析其风险计算机安全设计计算机安全设计保障初始安装安全的常见方法创建安全基准配置为特定的计算机角色设计安全性应用安全更新的常见方法评估计算机安全性的常见方法安全处理报废计算机课堂练习 风险和应对措施安全策略检查清单
6.2 计算机安全设计保障初始安装安全的常见方法方法 详细内容隔离网络?在安装及配置安全措施前,保护计算机免受攻击介质更新?要保证在初始安装时,安装了所有的安全更新和 Service Pack
自定义脚本
只安装计算机角色必须的服务
启用安全默认设置的配置硬盘映象?使用安全安装的复本,包括应用程序和安全措施的安装及配置
RIS?通过网络,集中地管理自定义脚本和硬盘映象的安装
6.2.1 保障初始安装安全的常用方法创建安全基准配置创建计算机基准安全策略1
创建自定义安全模板,强制执行基准安全性2
测试自定义安全模板3
部署自定义安全模板4
步骤:
6.2.2 创建安全基准配置为特定的计算机角色设计安全性预测针对特定计算机角色的威胁评估计算机上数据的价值使用基准过程来为每个计算机角色创建安全模板文件服务器
Web 服务器域控制器域控制器安全性 文件服务器安全性 IIS 安全性
6.2.3 为特定的计算机角色设计安全性应用安全更新的常见方法工具 使用对象 部署
Windows Update 家用计算机及小型办公室 面向个人计算机的操作系统Service Pack 及安全更新
Office Update 家用计算机及小型办公室面向个人计算机的 Office 2000
及 Office XP Service Pack 及安全更新组策略在 Active Directory 中运行
Windows 2000 或 Windows
XP 的计算机打包成 msi 形式的 Service
Pack及安全更新(使用软件安装策略)
Microsoft 软件更新服务运行 Windows 2000 或
Windows XP 的计算机 基于组策略设置的安全更新
SMS 更新服务功能包网络中所有通过 SMS 管理的 SMS 客户端计算机使用特定 SMS 插件接口的
Service Pack 和安全更新
6.2.4 应用安全更新的常见方法多媒体 Microsoft 软件更新服务
6.2.5 多媒体 Microsoft 软件更新服务评估计算机安全性的常见方法方法 详细内容安全配置及分析工具?将计算机的安全配置和安全模板相比较
支持 Windows 2000 和 Windows XP
Microsoft 基准安全分析器?扫描网络中的计算机,检测常见的安全漏洞
支持 Windows NT 4.0 版,Windows 2000 和
Windows XP
用来漏洞检测的第三方软件?扫描计算机、应用程序和网络设备的安全漏洞
比较昂贵漏洞评估或穿透性测试?尝试攻击网络,以查找安全漏洞?需要高超的技巧
6.2.6 评估计算机安全性的常见方法安全处理报废计算机资源 建议计算机?清除闪存、专用 ROM 模块及硬盘上的所有数据存储设备?拿走介质可移除驱动器中的所有介质,包括 CD-ROM,磁带及软盘驱动器介质?要确保已销毁了存储介质上的所有数据,
其中存储介质包括硬盘、光盘、软盘和备份磁带
或直接销毁存储介质本身文档?从打印机拿走所有打印色带
销毁所有可能对攻击者有用的文件,如安全配置数据
6.2.7 安全处理报废计算机课堂练习 风险和应对措施场景阅读各场景信息选择最佳风险管理策略确定适当的安全应对措施全班一起讨论答案
1
2
3
4
6.2.8 课堂练习 风险和应对措施创建策略和过程来:
安全安装操作系统和软件
强制执行计算机基准安全性
保护网络中属于特定角色的计算机
应用安全更新
安全处理报废计算机安全策略检查清单 6.2.9 安全策略检查清单实验 A 计算机安全设计 实验 A 计算机安全设计回顾学习完本章后,将能够:
确定计算机面临的威胁并分析其风险掌握计算机安全设计的方法
