ASP 的安全管理

Microsoft 企業服務白皮書

發佈日期：2000 年 9 月 1.0 版

摘要

本白皮書系有關 Microsoft© 企業服務 (ES) 框架的系列文章之一。要了解該系列出版物的完整清單，請訪問 ES Web 站點：http://www.microsoft.com/enterpriseservices/。

該白皮書介紹應用程序服務提供方 (ASP) 環境中安全管理的功能和關鍵問題。凡是閱讀本白皮書的人，均應首先閱讀“Microsoft Operations Framework Executive Overview”白皮書，其中包含有關該主題的重要背景信息。

引言

摘要

本白皮書論述並舉實例說明了 ASP 安全管理的最佳做法。其中着重闡述了應用程序服務提供方 (ASP) 面對的常見問題。其中包含了有關 Microsoft® Windows® 2000、Microsoft Internet Information Server 5.0、Microsoft Exchange 2000 Server 和 Microsoft SQL Server™ 7.0 方面的信息，但其中所論述的方法並不僅限於這些產品。

安全管理集中解決信息或信息處理的安全性。對於信息技術來說，信息是其存在的核心。任何威脅信息或信息處理的事情都會直接危及 ASP 的表現。不論那些威脅是否涉及機密性、完整性或信息的及時性、處理功能的可用性或機密性，安全都必須考慮那些形成風險的威脅。

讀者對象

本白皮書針對兩類讀者。其目的是爲安全管理員以及技術人員提供有效的幫助。本白皮書的開始部分以非技術方式定義安全管理。而其它部分則技術性非常強，專門針對 ASP 的開發人員及技術人員。儘管本白皮書面向兩種不同的讀者，但整個文檔對雙方都是很有價值的。

Microsoft 操作框架和企業服務

Microsoft 操作框架 (MOF) 是最佳做法、原則和模式的集合。它爲在 Microsoft 產品和技術上實現任務關鍵型產品系統的可靠性、可用性、支持性和管理性提供了全面的技術指導。

MOF 是組成企業服務框架的三個框架之一。每個 ES 框架都針對信息技術 (IT) 生命週期中的一個不同而必不可少的階段。每個框架對各自領域內成功執行所需要的人員、過程和技術，提供了有益和詳細的信息。其它兩個 ES 框架爲 Microsoft 準備工作框架 (MRF) 和 Microsoft 解決方案框架 (MSF)。下圖描述了各個框架如何用於企業服務。

企業服務框架

“Microsoft 準備工作框架”協助 IT 組織做好使用 Microsoft 產品和技術的個人和集體的準備工作。該指南包括評估和準備工作計劃工具、學習指導圖、與準備工作相關的白皮書、自我調節進度的培訓、課程、認證考試和準備工作事件。

Microsoft 解決方案框架爲項目生命週期的計劃、創建和部署階段提供指南。指南涉及企業結構、應用程序開發、組件設計和基本結構部署等各方面，其形式有：白皮書、部署指南、加速解決方案、解決方案工具包、案例分析以及課件。

Microsoft 操作框架包括一系列全面的操作指南，其形式包括白皮書、操作指南、評估工具、操作工具包、最佳做法、案例研究，以及在當今複雜的分佈式 IT 環境中爲有效的管理系統進行人員、進程和技術安排的支持工具。

Microsoft 操作框架概述

爲企業對消費者 (B2C) Web 站點提供高層次的可用性和可靠性不僅需要良好的技術，還需要完善的操作進程。Microsoft 在行業經驗和最佳做法基礎之上，創建了建立和運行這些進程所需的知識庫。本文檔是封裝在 MOF 中的知識庫的一部分。該框架基於兩個重要的概念：服務解決方案和 IT 服務管理。

服務解決方案

服務解決方案指 IT 爲其客戶提供的能力或業務功能。服務解決方案的示例如下：

應用程序託管
電子商務
消息傳遞
知識管理

基於當前應用程序託管和外購的趨勢，MOF 非常支持“將軟件作爲一種服務解決方案來提供”。

IT 服務管理

IT 服務管理由客戶維護特定服務解決方案所需的功能組成。IT 服務管理功能的示例包括：

幫助臺
問題管理
應急規劃

MOF 支持使用有明確定義的服務管理功能，以協助 IT 操作提供以業務爲中心的服務解決方案。這些服務管理功能提供一致的策略、步驟、標準和最佳做法，可在當今 IT 環境中所知的全套服務解決方案上應用。

MOF 過程模型（如下所示）顯示了服務管理功能可適用的方面。

marginwidth="1" marginheight="0" src="images/ASPSEC02.GIF" frameborder="0" width="95%" height="305">
如果您的瀏覽器不支持內嵌框，請單擊此處在單獨的頁中查看。

MOF 過程模型

在 MOF 模型的所有層面中都嵌入了安全管理。每個層面必須遵守設立的安全策略，包括 ASP 內部安全策略以及在 SLA 中與客戶約定的安全策略。對於每個層面，安全性必須涉及：

機密性
完整性
可用性

安全性的維護對 ASP 而言是一筆巨大的開銷，但是若沒有好的安全性，將會付出更大的代價，因爲這樣將使客戶失去信心。安全管理的目的是確保業務的連續性以及將破壞 ASP 安全的損害減至最小。

有關 Microsoft 操作框架過程模型的詳細信息，請參見 http://www.microsoft.com/enterpriseservices/MOF.htm 。

MOF 和 ITIL

MOF 認識到，英國中央計算機與電信局 (Central Computer and Telecommunications Agency, CCTA) 的 IT Infrastructure Library (ITIL) 中已很好地記錄了 IT 服務管理的當前行業最佳做法。

CCTA 是英國政府的一個行政部門，它針對服務管理和操作中信息技術的應用，開發和制訂最佳做法建議及指導方針。爲實現此目標，CCTA 在全球範圍內追蹤領先的 IT 公司的項目，以記錄和驗證 IT 服務管理方面的最佳做法。

MOF 將這些合作行業標準與運行在 Microsoft 平臺上的具體指導方針相結合，運用到多種商業方案中。MOF 擴展了 ITIL 操作規程，使其能支持分佈式 IT 環境和當前行業方向，如應用程序託管、移動設備計算和基於 Web 的事務性和電子商務系統。

ASP 安全管理概述

目標

安全管理的目標是在 ASP 的解決方案上管理一定級別的安全性，包括管理對安全事件的反應。通過這樣做，安全管理可確保連續性並保護 ASP 及其客戶的信息，還可幫助將破壞 ASP 安全的損害減至最小。

安全管理爲什麼對 ASP 非常重要？

提供客戶解決方案是 ASP 最重要的目標。沒有它，ASP 就無事可做。對 ASP 來說，安全地與客戶共享信息以及創建安全的解決方案是至關重要的。

傳遞和接收信息是 ASP 存在的關鍵。任何威脅信息或信息處理的事情都將直接危及 ASP。無論是涉及信息的機密性、正確性、適時性，還是涉及解決方案的可用性，那些會形成風險的威脅都必須通過安全措施來預防。這裏所談到的是 ASP 結構方面的問題。這意味着結構上的風險需要有結構上的對策來解決。

安全管理可幫助 ASP 確定和實施針對安全風險的對策。

選擇 ASP 的客戶越來越希望確信所選的 ASP 可以確保其解決方案的安全。Gartner Group 的 J.Pecatore（DF-10-0972，2000 年 2 月）已經明確提出了一些客戶可能向其 ASP 解決方案提供商詢問的問題。示例如下：

“ASP 是否爲防火牆及其它關鍵的安全因素提供冗餘和負載平衡服務？”
“ASP 至少按季度進行（或讓有經驗的諮詢公司來進行）外部滲透測試並且至少每年進行一次內部網絡安全性審覈嗎？”
“ASP 可否出示對客戶網絡安全的書面要求（以及 ASP 審覈步驟），以確保其它的 ASP 客戶不會危及 ASP 主幹的安全？”
“ASP 能提供鞏固 Web 和其它服務器的操作系統的書面策略嗎？如果 ASP 在物理服務器上配置客戶應用程序，它是否有書面記錄的控制步驟，用來確保客戶應用程序之間數據和安全信息的分離？”
“ASP 如何檢查添加到它所提供的商業應用程序中的腳本和集成代碼的安全性？”
“ASP 是否提供基於應用程序或事務的入侵檢測服務？”
“ASP 是否對可以管理員身份訪問服務器和應用程序的人員進行背景檢查？”
“ASP 是否可以出示書面記錄的流程，用於評估 OS 和應用程序供應商安全警報並安裝安全修補程序和服務包？”
“ASP 是否可以出示書面記錄的進行入侵檢測、事件響應和事件升級/調查的步驟？”
“ASP 是‘事件響應和安全小組論壇’的成員嗎？或它使用的安全服務提供商是該論壇的成員嗎？”
“ASP 安全管理的員工是否在信息/網絡安全方面有平均三年以上的經驗？”

對以上問題的肯定回答非常重要。能夠這麼做的 ASP 將具有競爭優勢。

有關本章主題的詳細信息，請參見 http://www.itil.co.uk/ 中 ITIL Library Security Management 部分或 ITIL Security Management 一書 (ISBN 0 11 330014 X)。

有關 Gartner Group 論文的詳細信息可在 Critical Security Questions to an ASP（DF-10-0972，J.Pecatore，Gartner Group，2000 年 2 月）中找到。

ASP 執行安全管理的時間

安全管理應是任何 ASP 永遠關注的問題。每當解決方案或環境變化時，ASP 應該花時間檢查一下所採用的安全措施。根據客戶要求，針對特定客戶解決方案的對策可能需要有所改變。應該始終考慮人員培訓和安全措施的測試。因爲在出現攻擊時，就沒有時間再來仔細考慮。

ASP 安全管理的基本概念

安全管理是根據對信息和 ASP 解決方案安全策略中的設定來管理已定義的安全級別的過程。其中包括管理對違反安全行爲的反應。可以控制攻擊而不用擔心 ASP 以及 ASP 客戶業務的持續性，能夠這樣來對付惡意方的攻擊可真是一門藝術。

安全管理在很大程度上依賴於安全策略。這些策略可從不同來源中產生。設計安全性時要考慮的策略有：

服務級別協議中定義的外部客戶需求
關於安全的外部法律要求
外部供應商安全策略
內部 ASP 安全策略
在 ASP 和客戶環境的集成情況下，內部/外部的安全策略

對於每個解決方案，ASP 必須定義安全策略。該策略應是基於上述各個方面的最可靠的組合。

根據客戶的需求，即使是基本結構的設計也會很不相同。通常使用三種安全設計：

專用。ASP 解決方案和安全措施完全由 ASP 進行端對端的控制。通常，這意味着 ASP 對所有的基本結構組件具有完全的控制，包括 ASP 和客戶之間的專用網絡連接。
公用。ASP 解決方案和安全措施由 ASP 部分控制。通常，這意味着 ASP 在自己的站點內具有控制權，但是不保證對用來提供解決方案的公用網絡具有控制權。然而，ASP 可使用像“虛擬專用網絡”(VPN) 這樣的技術來進行 ASP 和客戶安全之間的連接。
混合。該解決方案是前面兩種的組合。“專用”和“公用”解決方案都使用。在確保安全的解決方案時，同時涉及到 ASP 和客戶。

該過程有五個層面需要遵照 MOF 模型進行改進：

規劃。規劃活動包括在客戶要求、內部和外部策略以及合法要求的基礎上建立 SLA 安全部分的方式。在與客戶進行對話的同時，可能有必要確定或調整內部安全策略。當然要由 ASP 來決定是否這樣做。此層面的結果是產生一個安全規劃，其中包括安全策略和所有方面的設計（基本結構、人員、步驟、環境、基礎合同等等）。
實施。實施層面執行所有必要的安全措施，以遵守 SLA 中已經定義的安全部分。必要時，此階段還將實施更改過的內部安全策略。
評估。評估是結束安全管理過程所必不可少的。它涉及所採用措施和所確定策略的狀態和有效性。
維護。安全措施的維護建立在以下方面的基礎上：定期檢查的結果、對變化的風險狀況的洞察，以及 SLA 或其它條件的更改。
控制。控制活動可組織並指導安全管理過程本身。控制活動定義子進程、功能、角色、責任分配、組織結構和報告結構。它是過程的引擎並確保進行持續的改進。

安全管理過程必須不斷地進行自身改進。新解決方案、新技術、新人員、新步驟、疏忽都可能導致攻擊者攻破所安裝的安全解決方案。

下圖將安全性過程表示爲一個根據策略和協議不斷改進的過程。

marginwidth="1" marginheight="0" src="images/ASPSEC03.GIF" frameborder="0" width="95%" height="423">
如果您的瀏覽器不支持內嵌框，請單擊此處在單獨的頁中查看。

有關本章中論及的所有主題的詳細信息，請參見 ITIL Library 的“Security Management”部分： http://www.itil.co.uk/ 或 ITIL Security Management 一書 (ISBN 0 11 330014 X)。

與其它 MOF 層面的關係

安全管理功能與涉及安全問題的其它 MOF 層面關係密切。這些問題包括數據的機密性、完整性和可用性，以及硬件和軟件組件、文檔和步驟的安全性。主要的聯繫描述如下。

MOF 優化階段

可用性管理。安全問題會導致不可用。因此安全性和可用性管理有着同樣的目標並且彼此互相補充。
容量管理。容量管理過程中的所有活動實際上都和安全管理有關。資源性能的變化可能是違反安全的跡象。新資源的添加必須始終遵守安全管理所設定的策略。容量管理中必須計劃由於附加的或不同的容量需要而造成的額外安全開支。
應急規劃。嚴重的安全破壞可能是應急狀況的起因。應急規劃過程與安全管理有着密切的關係，它應當確保在這些情況下可以安全地恢復解決方案。應急規劃必須考慮到安全事件可能導致應急情況的發生。

MOF 更改階段

配置管理。配置項目 (CI) 的分類必須包含安全信息。對於每個 CI，進行分類必須考慮到 CI 所要求的機密性、完整性和可用性的級別。
更改管理。控制和管理所有與 CI 有關的更改。必須定義安全標準，並且使安全標準可供更改管理過程使用，以確保任何新情況都能遵守設定的安全策略。
版本管理。控制軟件版本管理和軟件分發。對於軟件的測試和接受階段，安全含義必須清楚。

MOF 操作階段

監視/測量。監視對安全的破壞是避免這些破壞造成損失的關鍵。應該特別注意必須監視什麼樣的事件。
系統、網絡和安全管理。確保以安全的方式執行管理活動可防止出現安全漏洞。應當特別注意安全管理本身，因爲它正是攻擊者所要尋找的信息。

MOF 支持階段

幫助臺和故障轉移及恢復（事件管理）。安全事件的主要聯繫點。安全事件需按照 SLA 安全要求來定義，因此它們可在事件管理過程中識別出來。
問題管理。必須識別、診斷和解決與安全相關的問題。

MOF 基本概念

服務級別管理。安全管理支持服務級別管理，以確保在安全方面滿足客戶需要（按照 SLA）。

分析 ASP 安全風險

安全管理目的是保證信息的安全。更具體地說，就是必須保護信息的價值。價值通過以下方面確定：

機密性。保護敏感信息不被非授權地公開或偵聽。
完整性。保護信息和軟件的準確性和完整性。
可用性。確保信息和 ASP 解決方案在需要的時候可用。

保護信息的價值要花錢，不保護也要花錢。若要確定保護的級別，則需要明確安全措施。因此，有效的安全管理取決於準確的風險分析，這樣可瞭解風險的影響以及避免風險所需的成本。風險在生活中是必然存在的，但只能允許存在可管理的風險。安全管理與某些活動相關，通過這些活動將風險保持在可管理的水平。

marginwidth="1" marginheight="0" src="images/ASPSEC04.GIF" frameborder="0" width="95%" height="200">
如果您的瀏覽器不支持內嵌框，請單擊此處在單獨的頁中查看。

頂部代表資產 — 如果 ASP 的資產很容易受到攻擊並且安全破壞的威脅很大並且影響嚴重，則安全的風險就很高。這樣，管理 ASP 風險的對策就可以採用保護資產的方法。

至少，應當進行下列風險評估活動：

確定安全風險，如對於支持 ASP 傳遞過程的特定 IT 服務組件（資產）的安全風險。典型的風險包括：

將安全威脅以及易受攻擊性級別分類 — 評估每個確定出的威脅。根據所涉及的資產，可在機密性、完整性和可用性的基礎上得出安全分類，此分類與確定的威脅有關。分類系統必須始終按照客戶組織的需要來具體制定。這些分類的示例如下：

機密性

完整性

可用性

關鍵 — 僅除了使命關鍵的操作（例如應急情況）以外
重要 — 在運營時間內幾乎不停機（高可用性）
必要 — 可以接受偶然的停機
非必要 — 無需保證（免費的 Internet 訪問）

關鍵 — 客戶和 ASP 商務流程要求無錯誤的信息（例如 ATM 和其它的銀行解決方案）
重要 — 可以允許很少數量的可檢測到的錯誤
必要 — ASP 和客戶商務流程允許一些錯誤
非必要 — 不需要額外的完整性保護

關鍵 — 如果被非授權方訪問，將嚴重損害 ASP 企業的利益（例如策略信息）。
重要 — 數據只能由直接涉及者訪問（帳戶信息、醫療記錄）
必要 — 數據只能由特定組查看
非必要 — 信息可以發佈

破壞客戶或用戶的隱私（如信用卡信息、個人配置文件、購物活動、帳戶數據）
破壞匿名（關於匿名信息源的信息，如密碼）
破壞可驗證性（例如不能驗證正在使用的數據是否安全）
客戶或內部數據的損失或數據完整性的損失
病毒（例如 Melissa 和 I Love You 病毒）
物理破壞（例如設備的偷盜以及設施的故意損壞）

評估安全風險的級別，這樣就能瞭解整體風險的大小。此項任務可以通過收集定量數據來進行測定，也可以通過主觀評估來進行定性測定，例如，低、中、高。

在風險的測量中可以藉助許多工具和方法。其中一種就是“CCTA 風險分析和管理方法”(CRAMM)。CRAMM 是一個結構化的、一致的方法，用於確定和評估信息系統和網絡的風險。它包括技術方面和非技術方面的方案（例如，IT 安全的物理方面），並提供分階段和嚴格的方法以執行正確安排的審覈。CRAMM 可以使用一些軟件工具。

有關詳細信息，請參見： http://www.crammusergroup.org.uk/ 。

在風險分析之後，可以確定適當的對策或風險降低措施來管理安全風險，即，使風險降低到可接受的最低級別或減輕風險的危害。

有關本章論及的所有主題的詳細信息，請參見 http://www.itil.co.uk/ ITIL Library “Availability and Security Management”部分、ITIL Availability Management 一書 (ISBN 0 11 330551 6) 以及 ITIL Security Management 一書 (ISBN 0 11 330014 X)。

ASP 的安全對策

對 ASP 來說，安全對策可以降低或消除與提供客戶解決方案相關的安全風險。下面是 ASP 的一些好的起點：

有一個明確的可積極投入使用和受到監視的安全策略
有一個安全組織，具有明確的責任和任務、指導方針、報告程序和措施，且這些能夠符合 ASP 及其客戶的要求
有物理上的安全措施，比如具有單獨的計算機房
有技術上的安全措施，可提供 ASP 的計算機系統和網絡的安全
有程序化的安全措施，描述 ASP 員工在特定情況下應當如何去做

在“最佳做法”一章中，更多地討論了技術方面的對策。

ASP 的安全策略

ASP 爲什麼需要安全策略？

在 ASP 的安全管理過程中，必須有一個通道來及時地傳遞任何一個給定點的現有狀態。安全策略充當了這一角色。它們是對 ASP 一貫使用的當前安全要求和指導方針以及步驟的書面表示。一致的策略將使 ASP 內部清楚在安全方面必須做什麼。如果 ASP 要看到在安全狀態上的迅速改進，則建立安全策略是評估之後的邏輯步驟，並且應當啓動而作爲安全規劃的一個輔助因素。

當安全管理的規劃展開時，環境中的特定因素將會改變。出現變化時，策略將被檢查並修改，以確保它們傳遞的是保護 ASP 環境的當前規劃。在六到十二個月之間必須至少對安全策略檢查一次，當然每當由於各種原因需要對策略進行更改時也要如此。因此，安全策略是一項持續進行的工作。

開發 ASP 安全策略的步驟

下列步驟是定義安全策略中的基本步驟。

瞭解安全策略由什麼組成。

理解安全策略必須要遵守什麼要求。

理解應如何考慮安全策略；確定要保護什麼。

確定安全策略指導方針。

開發一個雙級別的策略

安全策略必須以 ASP 客戶的實際條件爲基礎；它應當明確、一致、簡潔和易於理解。提供定期檢查和檢驗

高級別策略
從客戶的角度編寫

保持簡單

避免技術術語幷包含對它的解釋
低級別策略
爲實施者而編寫

有關如何執行的詳細技術說明

包括篩選規則等

計算機資源
關鍵系統
敏感系統
客戶和公司數據
關鍵數據
敏感數據
公用數據

在“服務級別協議”中定義的外部客戶要求
涉及安全性的外部法律要求
外部供應商安全策略
內部 ASP 安全策略
在 ASP 和客戶環境的集成情況下，內部/外部的安全策略

安全策略定義 ASP 如何管理、保護和分配敏感的信息和資源
在連接到 Internet 之前，任何 ASP 都應當開發出一個策略，其中要明確地指定將使用的解決方案以及如何使用這些解決方案
該策略應當明確、簡潔並易於理解，同時有更改策略的內置機制（靈活性）
默認策略：除非明確允許，否則不使用它

ASP 服務的管理

客戶關係管理

客戶關係管理的內容是發展及培養客戶和 ASP 之間良好的職業工作關係。客戶關係管理人員必須介入 MOF 的所有其它層面。例如，客戶關係管理人員在 SLA 協商期間促進 ASP 與客戶之間的互動，並參與解決客戶對所提供服務的不滿。如果客戶關係管理人員提供給客戶的解決方案確實安全，那麼這對客戶關係管理人員而言就是一個賣點。

與客戶的溝通是 CRM 進行安全管理的的主要方面。

服務管理

在安全管理過程中採取的所有操作都取決於“服務級別協議”中協商一致的服務級別。“服務等級管理”確保指定並實現有關提供給客戶的服務方面的協議。目的是創建最優的 IT 服務，使得客戶對 IT 服務的期望和要求都能得到滿足，並且能爲 ASP 和客戶雙方調整相關的成本。

因此 SLA 還必須包括一段內容，規定有關要採取的安全措施的協議（參見附錄中有關安全部分的框架）。從安全的角度來看，對於“服務等級管理”，需要檢查某些活動。

對客戶的安全要求和期望的認定。
對客戶的這些安全要求和期望的可行性驗證。
對建議和 IT 服務所需安全級別記錄的協商。
確定、起草和建立 IT 服務的安全標準。
監視這些安全標準。
報告所提供服務在安全方面的有效性和狀態。
獲得安全方面的反饋和評估。

有關 CRM 和“服務管理”之間關係方面的詳細信息，請參見 ITIL Library： http://www.itil.co.uk/

更改管理

管理更改是維護系統正常運行和完整性的重要方面。更改控制過程提供了批准更改並對請求的更改進行全面考慮的機會。這種分析可實現安全風險的評估。

已定義的更改和目的

對於所要進行的工作或要實現的更改，應當完成其成文的定義。這應包括更改的目的、更改將產生的結果以及預計對其它系統產生的影響。安全過程將通過該定義來確定安全的效果。

風險評估

對於將要進行的更改，需要完成有關的風險評估。此安全風險評估的範圍可以從無風險到高風險。作爲風險評估的一部分，安全風險也需要進行評估，並需確定其對 ASP 業務的影響。

批准過程

安全管理員負責批准更改的安全考慮事項。沒有他的批准，更改將被拒絕（除非定義了可以滿足應急條件的附加安全對策）。

驗證更改的步驟

需要用有關步驟的信息來驗證進行的更改是否具有所需的安全性。實施更改後，應當執行該步驟，並根據預先定義的結果採取措施。

安全事件管理

“安全事件管理”是常規“事件管理”的一個特殊部分。最重要的是 ASP 有一個安全事件的主要聯繫位置。這意味着必須要有一個位置，所有的安全事件都在該位置註冊，而且所有的 ASP 僱員和客戶（在必要情況下）都必須知道此位置，這樣他們可在該位置處理安全事件。必須要有一個針對安全事件的步驟，使人明白當宣稱出現安全事件出現時究竟發生了什麼情況。

事件控制員必須有一個任務報告腳本，其中描述安全事件問題。依照此任務報告腳本，事件控制員將得出結論：這是安全事件、不是安全事件或者他不能斷定該事件。在肯定或不能斷定安全事件的情況下，必須執行安全事件進程和步驟。涉及安全事件時，不要冒險。對安全事件進程和步驟的說明需要安全管理和事件管理的共同努力。

發現事件後需要採取的步驟爲：

註冊；需要對基本的事件細節進行註冊，並根據需要向專家組發出警報。
分類和初始支持；有必要獲得來自最新的“配置管理數據庫”(CMDB) 的信息，以確定正在發生的是何種類型的安全事件。還將執行對上次事件信息的檢查。
調查和診斷；如果較早的檢查沒有提供所需的信息，則開始對更新後的安全事件細節和配置細節進行更嚴格的調查，以確定這是什麼類型的安全事件。開始診斷，並且必須制定出明確的解決方案。
解決和恢復；此時必須要有一個解決方案。當解決安全事件需要進行任何更改時，“更改過程”必須對更改請求作出緊急響應。
事件結束；此時初始事件已經得到解決。有關該事件的信息已經正確地記錄下來，以備在該安全事件可能再次出現時使用。

此“安全事件管理過程”中涉及的人員（突發事件管理員、安全管理員、事件控制員、支持人員）必須都明白出現安全事件時需要如何去做。他們還必須意識到可用於解決安全事件的時限。在 ASP 和客戶規定的 SLA 中有這些時限（服務級別）的說明。

應急規劃

“應急規劃”過程負責制定災難恢復計劃。但是從安全的角度來看，ASP 希望確保出現災難時採取準確的行動。因此，需要定義一些內容，如應急規劃的安全方面、ASP 或客戶組織中有可能被災難摧毀的部分、組織中不允許被災難摧毀的部分（因爲這將意味着該組織不再存在）。SLA 對此有何規定？

該過程中關鍵是對應急過程中所涉及的所有員工進行培訓。危機當中，幾乎沒有時間作出決定，因此大家必須如熟悉日常工作一樣熟悉應急過程。

有關 ASP 應急規劃的白皮書更深入地介紹瞭如何管理應急過程。

ASP 安全方面的溝通與培訓

引言

沒有適當的溝通，安全方法和安全過程無疑將會失敗。安全溝通指的是與客戶、與 ASP 的內部人員、與供應商以及與其他第三方（如與 Forum for Incident Response and Security Teams（事件響應和安全小組論壇），FIRST）的溝通。在安全方法和策略的設計中以及執行過程中，溝通都是很重要的。

與客戶進行安全方面的溝通

就安全方面採取的措施進行溝通是必不可少的。正如已經談到的，CRM 和“服務等級管理”過程是溝通的關鍵過程。他們將與客戶溝通安全方面的問題。他們將確保 SLA 中包含了安全性。當出現安全問題時，正是由他們來通知客戶。

在執行過程中，溝通更加重要。當出現安全事件時，ASP 確保使用正確的溝通渠道非常重要，這樣可以使事件不造成更多不必要的損失，而且也不會在 ASP 或客戶組織中引起不必要的恐慌。最起碼安全管理員、事件管理員和服務級別管理員必須具有溝通計劃（誰和誰、關於什麼方面以及何時進行溝通）。其中每一個角色都將有自己關注的領域。

與供應商進行安全方面的溝通

某些安全措施必須在供應商的參與下執行。在沒有確信與供應商團體之間訂立（或將要訂立）必要合同的情況下，絕對不要對客戶作出承諾。

通報安全事件的時候，必須使用與供應商之間清楚的、確定的溝通渠道。這意味着與供應商的合同中也要包括一個安全部分，其中明確定義了溝通步驟。

與其他第三方進行安全方面的溝通

出現安全事件時，攻擊者通常進行多方位的進攻。與一些組織（如 Computer Emergency Response Team/Coordination Center (CERT/CC) 或 FIRST）進行信息溝通可使其它 ASP 和公司預先採取措施來應付這些攻擊。

CERT Coordination Center 研究 Internet 安全弱點、對已經成爲攻擊對象的站點提供事件響應服務、發佈各種各樣的安全警報、研究在廣域網計算中的安全性及生存性，並且開發可幫助改進站點安全性的信息。

FIRST 是一個會員組織，促進安全事件響應小組之間進行合作與協調，這些小組分佈在供應商、服務提供商、用戶、政府和學術組織中。

有關 CERT/CC 的詳細信息，請參見： http://www.cert.org/

有關 FIRST 的詳細信息，請參見： http://www.first.org/about/first-description.html

內部的安全溝通和培訓

必須和所有 ASP 人員進行安全策略和步驟方面的溝通，並使他們充分理解。爲了確保每個人都能明白出現破壞時如何去做，必須進行不斷的培訓和訓練。通過培訓讓員工瞭解攻擊。對於市場上安全問題的進展，必須不斷監視，並且能立即針對世界範圍內的攻擊警報採取措施。

溝通和升級

每當在事件過程中感覺時限不夠時，必須執行升級過程。舉例來說，解決某個事件可能需要用四個小時；在兩小時後，必須確定 ASP 是否能在給定的四個小時之內解決。如果不能，事件管理員將必須利用他的授權來求助其它的資源以滿足四個小時的要求。當解決安全事件超過 ASP 權限時，也需要進行升級。例如，拔掉網絡插座可能對客戶造成嚴重的後果。有關如何以及何時升級的規則必須清楚，而且過程中涉及的每個人都可以使用它。

ASP 的安全威脅、攻擊和易受攻擊性

引言

本節概述了 ASP 可能遇到的不同威脅、攻擊和易受攻擊性，以及對 ASP 的影響。

內部和外部安全威脅

內部或惡意以及不滿的僱員

這種內部的攻擊可影響到計算機安全的所有部分。通過瀏覽整個系統，僱員可進入保密的數據庫。與計算機有關的僱員進行惡意破壞一般包括：

更改數據
刪除數據
用邏輯炸彈破壞數據或程序
使系統崩潰
控制數據作爲抵押
毀壞硬件或設備
錯誤地輸入數據

外部非法闖入者和黑客

侵入系統的常用方法包括密碼破解、利用已知的安全弱點和網絡欺騙。一些攻擊的目的是入侵和刪除、複製、修改或偷竊敏感的數據信息以及破壞正常的 ASP 操作。攻擊者最常用來進入、破壞、和/或從系統偷竊信息的方法有：

電子郵件攻擊 — 最常用的電子郵件傳輸協議（SMTP、POP3、IMAP4）的核心協議一般都不包含可靠的身份驗證，致使電子郵件可被輕易地僞造。這些協議也不要求使用加密技術來確保電子郵件的隱私和保密性。儘管存在對這些基本協議的擴展，但是決定是否使用它們還應當作爲郵件服務器管理策略的一部分來確立。一些擴展使用以前建立的身份驗證方法，而另一些則允許客戶和服務器協商使用一種兩端都支持的身份驗證方法。
入侵攻擊 — 攻擊者使用衆所周知的技法侵入到許多 ASP 網絡中。這種情況的發生通常是攻擊者利用 ASP 網絡中已知的弱點。在可更新的系統中，管理員可能沒有時間或沒有花時間在大量的 ASP 主機上安裝所有必要的修補程序。另外，一般不可能將計算機使用方面的 ASP 安全策略完美地映射到它的訪問控制機制，於是授權的用戶經常可以執行非授權的操作。
拒絕服務 (DoS) 攻擊 — DoS 攻擊的目的在於阻止對服務的合法使用。攻擊者通過在網絡上充斥超過其處理能力的通信量來達到此目的。這樣的示例包括：
- 使網絡資源飽和，進而妨礙 ASP 客戶和 ASP 用戶使用網絡資源
- 破壞兩臺計算機之間的連接，妨礙 ASP 與其客戶之間的通訊
- 阻止特定的個人訪問服務某個訪問
- 破壞對特定系統或客戶的服務
DoS 攻擊中有一種是利用巨大數量的協議包充斥 ASP 網絡。路由器和服務器由於試圖路由或處理每個包而最終過載。在幾分鐘之內，網絡活動呈指數上升，網絡停止響應正常通信和來自客戶的服務請求。這也稱爲網絡飽和攻擊或帶寬消耗攻擊。
郵件炸彈/垃圾郵件殺手 — 郵件炸彈是一種基於電子郵件的攻擊。電子郵件充斥被攻擊的系統直到它停機。根據服務器的類型以及它的配置情況的不同，系統將以不同的方式停機。此處是一些典型的停機模式：
- 電子郵件服務器接受電子郵件，直到存儲電子郵件的磁盤充滿爲止。後面的電子郵件將無法接受。如果該電子郵件磁盤也是主系統磁盤，則可能致使系統崩潰。
- 傳入隊列中充滿等待轉發的郵件，直到該隊列達到其極限爲止。後面的郵件將無法排隊。
- 可能超過特定客戶服務器的磁盤限額。這妨礙後續郵件的接收，而且可能使客戶無法完成工作。恢復起來可能很困難，因爲客戶只是爲刪除電子郵件就可能需要用更多的磁盤空間。
病毒攻擊 — 計算機病毒是附帶在其它代碼條上的自我複製代碼。該代碼可能是無害的 — 例如，它可能顯示一條消息或播放一段樂曲。也可能有害並進一步刪除和修改文件。病毒代碼搜索客戶和/或內部文件，尋找未感染的可執行程序（客戶或用戶對該程序具有寫入的安全權限）。病毒通過在所選的程序文件中放入一條代碼來感染此文件。當執行感染了病毒的文件時，該病毒立即開始工作，尋找和感染其它程序和文件。
特洛伊木馬攻擊 — 特洛伊木馬是隱藏在某個程序（如遊戲或電子數據表）中的代碼，該程序看起來可安全運行，但實際隱藏着負面影響。當運行該程序時，表面上似乎運行正常，但實際上它正在後臺破壞、摧毀或修改信息。它本身是一個程序，不需要將自己嵌入到宿主程序中。
蠕蟲攻擊 — 蠕蟲是一種設計用來複制的程序。該程序也可以執行任何其它類的任務。第一隻網絡蠕蟲的設計目的是執行有用的網絡管理功能。它們利用系統屬性來執行有用的操作。但是，惡意的蠕蟲利用了同樣的系統屬性。允許這種程序進行復制的設備並不總能區分惡意的和好的代碼。蠕蟲利用操作系統中的缺陷（即錯誤）或不完備的系統管理來進行復制。釋放蠕蟲通常會導致在短時間內迅速蔓延，使整個網絡停機。

ASP 的安全弱點

弱點是安全中的薄弱點或漏洞，攻擊者可利用它獲得對 ASP 網絡或對該網絡上資源的訪問。弱點不是攻擊，而是可被利用的薄弱點。對於 ASP 而言，很重要的一點是明白常用網絡訪問協議和步驟非常容易受到攻擊。

沒有采取安全措施的 ASP 容易受到攻擊的一些示例包括：

標識截取 — 入侵者找到有效用戶的用戶名和密碼。這種攻擊產生的途徑很多，既可通過社會獲得，也可使用技術方法實現。
僞裝 — 非授權用戶假裝有效用戶。例如，用戶虛構一個可信系統的 IP 地址，然後使用該地址獲取已授予的對被假冒的設備或系統的訪問權限。
重放攻擊 — 入侵者記錄下客戶和服務器之間的一段網絡交換，然後將它重放以模仿該客戶。
數據截取 — 如果跨網絡移動純文本形式的數據，那麼未經授權的人員可以監視和獲取該數據。
操縱 — 入侵者造成網絡數據被修改或毀壞。非加密的網絡財務交易容易被操縱。病毒可以毀壞網絡數據。
發件人匿名 — 如果交易的接收方無法確定是誰發送的消息，則會危及基於網絡的業務和財務交易的安全。
宏病毒 — 針對特定應用程序的病毒可利用複雜文檔和電子數據表的宏語言。
拒絕服務 — 入侵者將消耗系統資源的請求充斥了服務器，使服務器崩潰或使有效的工作無法完成。使服務器崩潰有時可提供入侵系統的機會。
惡意移動代碼 — 指的是惡意的代碼，它在 Web 服務器上作爲自動執行的 ActiveX® 控件或上傳自 Internet 的 Java Applet 運行。
濫用權限 — 計算機系統的管理員有意或錯誤地使用對操作系統的完全權限來獲取私人數據。
社會工程攻擊 — 有時，侵佔一個網絡就象給一個新僱員打電話一樣簡單，告訴他們你是 ASP 組織中的人並讓他們驗證其密碼。
物理攻擊 — 有時候帶着設備走出大樓竟然容易得讓人吃驚。

ASP 的最佳安全做法

引言

安全管理的主要目標是保證 SLA 中規定的 ASP 和客戶之間的機密性、完整性和可用性的級別。最佳做法可向 ASP 展示如何確保實現安全目標。

Active Directory 的主要安全優勢

使用 Active Directory 服務，ASP 可更好地爲內部用戶和外部客戶提供適當的安全性。從根本上說，Active Directory 是 ASP 安全策略和帳戶信息的中心位置。

ASP 可用 Active Directory 安全功能來自定義 ASP 的安全策略，保護系統不被非授權訪問並避免可能的損失。Active Directory 可提供多方面的安全優勢。其中包括：

一次性登錄到域
支持標準的 Internet 安全協議
能夠將域中用戶和對象的管理委派給他人

一次性登錄

具有多目錄服務的 ASP 中，用戶和客戶訪問不同的網絡資源可能需要進行多次登錄。Active Directory 通過爲資源的訪問提供一次性登錄而改變了這種不必要的重複。一旦用戶登錄到域控制器，所有網絡資源都會根據這次登錄的結果而授權或拒絕訪問。一次性登錄提供了安全的身份驗證，用於加密與網絡之間的會話。登錄過程通常使用 Kerberos 身份驗證協議，我們將在文章的後面討論該協議。由於在客戶或用戶登錄時，數據安全就已啓動，所以一次性登錄減小了破壞安全的威脅，因爲客戶和用戶不需要去寫多個密碼。另外，由於所有的帳戶都統一在 Active Directory 中的一個地方，因此可對帳戶的管理具有更多的控制。

組策略繼承和本地設置

ASP 環境中的 AD 容器有一個層次結構。一些容器可認爲是其它容器的“父”容器。組策略具有繼承性，即它可以從父容器傳遞給下面的子容器。當爲父容器分配一個“組策略”時，該“組策略”也適用於父容器下面的所有容器。若更改子容器的設置，則可替代父容器傳遞下來的設置。如果子容器和父容器的“組策略”設置不兼容，則不繼承父容器的設置，並且用戶只接收子容器的“組策略”設置。

在繼承過程中，可以對特定容器進行更改，它會自動影響所有下級容器及其對象。爲了便於管理，推薦在高級別的容器（如高級別的文件夾）上定義權限。這樣，這些權限將自動傳遞給該文件夾內的對象。

支持 Internet 標準身份驗證協議

Active Directory 服務提供對幾種身份驗證方法的支持，如 Internet 標準協議 Kerberos、公鑰基本結構 (PKI) 以及加密套接字協議層 (SSL) 上的輕型目錄訪問協議 (LDAP)。對這些協議的支持意味着無論用戶是內部連接還是通過 Internet 連接，網絡資源都能得到保護。

安全的身份驗證和網絡協議

Windows 通常使用 Windows NT LAN Manager (NTLM) 協議來進行網絡身份驗證。ASP 可利用幾種增強的身份驗證方法和網絡協議（如 Internet 標準協議 Kerberos、公鑰基本結構、使用 Ipsec 的虛擬專用網絡 (VPN)、加密套接字協議層 (SSL)）來加強安全性。Windows 2000 提供對這些協議的支持。

Kerberos 身份驗證的優點：

快速連接。利用 Kerberos 身份驗證，服務器不必轉向域控制器。它可通過檢查客戶提供的憑據來驗證客戶的身份。客戶可一次獲得對特定服務器的憑據並在整個 ASP 登錄會話中重複使用。
相互身份驗證。NTLM 允許服務器驗證其客戶的身份。它不允許客戶驗證服務器的身份，也不允許一臺服務器驗證另一服務器的身份。NTLM 身份驗證是爲網絡環境設計的，假定該環境中的服務器是真實的。Kerberos 協議不做這種假設。網絡連接兩端的 ASP 和客戶可以知道另一端的一方聲稱是什麼人。
委派的身份驗證。當代表客戶機訪問資源時，Windows 服務就模擬成客戶機。許多情況下，服務可通過訪問本地計算機上的資源爲客戶機完成其工作。NTLM 和 Kerberos 都可提供服務在本地模擬其客戶機時需要的信息。但是，一些分佈式的應用程序是這樣設計的：當連接到其它計算機上的後端服務時，前端服務必須模擬客戶機。Kerberos 協議有一個代理機制，允許當某個服務連接到其它服務時模擬其客戶機。

公鑰基本結構 (PKI)

公鑰基本結構 (PKI) 是新出現的標準，適用於利用數字證書來驗證用戶的身份。PKI 使用三種技術來提供避免安全破壞的保護：數字信封、數字簽名和數字證書。這些技術經常用於 Extranet 和 ASP 解決方案。可使用 PKI 的例子有：

安全電子郵件

基於 PK 的安全電子郵件產品（包括 Microsoft Exchange），依靠 PK 技術完成：

數字簽名，用來證明電子郵件的來源和可靠性
沒有預先共享密碼的大量加密，用以保守通信者之間的機密

操作中，這些系統利用用戶的私鑰爲發出的電子郵件添加數字簽名。證書和電子郵件一起發送，這樣接收者可驗證該簽名。S/MIME 爲這些證書定義一個配置文件以確保互操作性，並採用一種層次模型來提供可伸縮的信任管理。若要對電子郵件加密，用戶可從以前的電子郵件或目錄服務中獲得接收方的加密證書。一旦驗證了該證書，用戶就可用所包含的公鑰對所用的密鑰加密，從而實現對電子郵件的加密。

確認/加密文件系統

Windows 2000 加密文件系統 (EFS) 支持 Windows NT 文件系統 (NTFS) 中在磁盤上存儲的文件的透明加密和解密。用戶可指定要加密的個別文件或需要對其內容保持加密格式的文件夾。應用程序可以像訪問非加密文件一樣訪問用戶的加密文件。但是，它們無法對任何其他用戶的加密文件進行解密。

PKI 和 UPN

Windows 2000 PKI 執行一項安全服務，該服務使用證書信息來映射到存儲於 Active Directory 中的帳戶，以便確定已驗證身份的客戶的訪問權限。該目錄操作可根據證書中的用戶主要名稱 (UPN) 來執行，或通過在目錄中搜索與客戶證書中的屬性、頒發者或頒發者和主題匹配的帳戶來執行。如果 UPN 都不匹配，或者頒發者未被授權頒發域身份驗證的證書，則用戶可以登錄。這樣，它就增強了登錄的安全性。

通過 SSL 的安全 Web

加密套接字協議層 (SSL) 協議依賴於基於 PK 的身份驗證技術，並使用基於 PK 的密鑰協商來爲每個客戶端/服務器會話生成唯一的加密密鑰。它們最常與基於 Web 的應用程序及 HTTP 協議（稱爲 HTTPS）相關聯。

ASP 可通過使用加密的安全 SSL 通道，利用 SSL 協議進行保密的網絡通訊。服務器和客戶端針對要使用的加密算法進行協商。它們還協商用於安全通訊的保密的共享會話密鑰。如果客戶沒有有效的受信任的身份驗證證書（它可以降低拒絕服務攻擊的風險），則 ASP 可用 SSL 來防止（可能的）客戶與 ASP 解決方案進行通訊。您還可以用 SSL 協議來保護所有 Web 通訊的通道，以保護機密信息，例如個人信息和信用卡號碼。

虛擬專用網絡 (VPN)

VPN 技術使用了隧道協議，該協議可使 ASP 在公用 Internet 上建立專用數據網。換句話說，通過“共享管道”進行安全的隧道客戶通信，VPN 能使 ASP 降低成本。

marginwidth="1" marginheight="0" src="images/ASPSEC05.GIF" frameborder="0" width="95%" height="347">
如果您的瀏覽器不支持內嵌框，請單擊此處在單獨的頁中查看。

VPN 技術允許 ASP 在保持安全通訊的同時，通過網絡（如 Internet）連接到客戶。它還使 ASP 的客戶可以利用本地 ISP 提供的路由基本結構在家中或在路上以安全的方式連接到 ASP 數據中心服務器。安全的 VPN 是客戶計算機和 ASP 在 Internet 上的 IPSec、PPTP 或 L2TP 連接。

下表概括了不同的 VPN 技術特徵的主要方面。

	PPTP	L2TP	IPSec
模式	客戶端 — 服務器	客戶端 — 服務器	主機 — 主機
用途	經由隧道的遠程訪問	經由隧道的遠程訪問	Intranet、Extranet、經由隧道的遠程訪問
OSI 層	第二層	第二層	第三層
封裝的協議	IP、IPX、Appletalk 等	IP、IPX、Appletalk 等	IP
安全性用戶身份驗證數據包身份驗證數據包加密密鑰管理	無（使用 PAP、CHAP、Kerberos、令牌 ID 等）無* 無* 無*	無（使用 PAP、CHAP、Kerberos、令牌 ID 等）無* 無* 無*	無（使用 PAP、CHAP、Kerberos、令牌 ID 等） AH 標頭 ESP 標頭 ISAKMP/Oakley、SKIP
隧道服務	單一的點對點隧道，沒有同時的 Internet 訪問	單一的點對點隧道，沒有同時的 Internet 訪問	多點隧道，同時的 VPN 和公用訪問

備註	1. 一些項目是隨廠商而不同的。 2. 請參閱具體手冊以瞭解詳細信息。

根據上面的比較，ASP 應當儘量使用 Ipsec，因爲它提供更多的安全方法來消除 TCP/IP 的弱點。

高度可靠和安全的 ASP 網絡設計

下面是一個高度可靠和安全的 ASP 網絡設計示例。

marginwidth="1" marginheight="0" src="images/ASPSEC06.GIF" frameborder="0" width="95%" height="382">
如果您的瀏覽器不支持內嵌框，請單擊此處在單獨的頁中查看。

該解決方案涉及到許多安全措施。

第一道防線是通過篩選路由器來保護放火牆。這可以阻止 IP 地址欺騙攻擊。其次，是由外部和內部防火牆組成的防火牆。外部防火牆配置成只允許 Internet 和非軍事區 (DMZ) 之間的通信。內部防火牆的配置是爲了保護內部網絡，使其與 DMZ（DMZ 是非信任網絡，例如用於公用 Web 頁的網絡等）分開。爲消除窺探性攻擊，使用了交換機。通過交換網絡上任何機器中的網絡界面，只能看到專門傳遞給它的那些幀。在 DMZ 和內部網絡之間，所有通訊都使用 IPSec。

在 DMZ 和內部網絡上都使用入侵檢測。當執行入侵檢測的機器識別出某種可疑模式時，它們將向管理員發出警報。

最後，爲了獲得高可用性，大多數機器都實施負載平衡。

完整的文章在附錄 C 中。

ASP 的安全配置工具

ASP 管理員應當對安全配置工具非常熟悉，因爲要獲得系統中與安全相關的所有方面的信息，這是必不可少的。

這些工具應當使您非常容易地回答以下問題：“我的計算機安全嗎？”，或者“我的網絡安全嗎？”。這些工具應當允許對已定義的安全策略所包含的所有方面進行配置和分析，例如：

帳號策略。設置或更改訪問策略，包括域或本地密碼策略、域或本地帳戶鎖定策略以及域 Kerberos 策略（在適用情況下）。
本地策略。配置本地審覈策略、用戶權限分配和各式各樣的安全選項，例如對軟盤、CD-ROM 等的控制。
受限制的組。對內置的組以及要進行配置的任何其它特定組指定或更改組成員（如 Administrators、Server Operators、Backup Operators、Power Users 等）。這不應作爲一般的成員管理工具來使用 — 只用來控制特定組（具有指定給他們的敏感功能）的成員。
系統服務。配置安裝在系統上不同服務（包括網絡傳輸服務如 TCP/IP、NetBIOS、CIFS 文件共享、打印等）的安全性。如果不使用，則會停止 TCP/IP 之外的服務。有關詳細信息，請參見 http://www.microsoft.com/technet/
文件或文件夾共享。配置文件系統和重定向器服務的設置。這包括訪問各種網絡文件共享時關閉匿名訪問以及啓用數據包簽名和安全性的選項。
系統註冊表。設置或更改有關係統註冊表項的安全性。
系統存儲。設置或更改本地系統文件卷和目錄樹的安全性。
準備。爲客戶和 ASP 準備一個安全的環境，以便安全地創建用戶、文件等。

這些工具還應當有助於監視安全策略中已定義的所有方面，例如：

帳號策略 — 密碼、鎖定以及 Kerberos 設置。
本地策略 — 審覈、用戶權限和安全選項。（“安全選項”主要包括與安全相關的註冊表值。）
事件日誌 — 系統、應用程序、安全和目錄服務日誌的設置。
受限制的組 — 有關組成員的策略。
系統服務 — 系統服務的啓動模式和訪問控制。
註冊表 — 註冊表項的訪問控制。
文件系統 — 文件夾和文件的訪問控制。
物理訪問系統 — 對設備的訪問、卡式鑰匙的使用、閉環視頻等。

這些工具還應當可以分析組策略，一直下行至用戶級。可以使用其它工具來分析監視過程中收集到的全部數據。這些工具通常特別依賴於統計技術。

使用 Windows 2000 的 ASP 管理員可用“Windows 2000 安全配置工具集”的下列組件來配置上述部分或全部的安全方面。

“安全模板”管理單元。“安全模板”管理單元是獨立的 Microsoft 管理控制檯 (MMC) 管理單元，它可以創建基於文本的模板文件，該文件包含所有安全方面的安全設置。
“安全配置和分析”管理單元。“安全配置和分析”管理單元是獨立的 MMC 管理單元，它可以配置或分析 Windows 2000 操作系統的安全性。其操作基於使用“安全模板”管理單元創建的安全模板的內容。
Secedit.exe。Secedit.exe 是“安全配置和分析”管理單元的命令行版本。它可以使安全配置和分析在沒有圖形用戶界面 (GUI) 的情況下執行。
對組策略的安全設置擴展。“安全配置工具集”還包括一個對組策略編輯器的擴展管理單元，用來配置本地安全策略以及域或組織單元 (OU) 的安全策略。本地安全策略只包括上述“帳號策略”和“本地策略”的安全範圍。爲域或 OU 定義的安全策略可包括所有的安全性範圍。

ASP 安全任務和方法介紹

創建網絡安全時，會用到許多策略、任務和方法。下面是對它們的簡要介紹。

安全通信和概念

介紹和解釋在 ASP 的策略規劃中針對風險的安全策略
提供安全概念和詞彙的背景材料，使讀者熟悉安全規劃
確定 ASP 網絡的安全風險。在安全規劃中將其列出並加以解釋
執行所有必要的安全措施（不要忘記物理方法）
嚴密監視安全性
審覈、評估、改進和培訓所有的步驟和策略

定義訪問控制

確定 ASP 的組織目前如何使用組和建立組名稱的規範，以及如何使用組類型
介紹用於對 ASP 範圍內資源進行廣泛安全訪問的頂層安全組。它們可能是客戶通用組
介紹訪問控制策略，特別是關於如何以一致的方式使用安全組
確定創建新組的步驟以及由誰負責管理組成員
確定代表管理員控制特定任務的條件，介紹什麼是客戶管理員的任務以及什麼是 ASP 管理員的任務
規定 ASP 策略以保護管理員帳戶和管理控制檯
審覈、評估、改進和培訓所有步驟及策略

遠程客戶或用戶訪問

描述支持客戶或用戶遠程訪問的 ASP 策略
建立一個規劃來傳遞遠程訪問步驟，包括連接方法
建立通過專用連接連接到客戶網絡的策略
審覈、評估、改進和培訓所有步驟及策略

身份驗證訪問

確保對網絡資源的所有訪問都需要使用域帳戶進行身份驗證
確定用戶羣（ASP 內部和客戶用戶）的哪一部分需要對交互式或遠程訪問登錄使用有效的身份驗證
如果需要有效的身份驗證，則確定部署公鑰安全以及（或）進行智能卡登錄的規劃
定義用戶帳戶的密碼長度、更改間隔以及複雜性要求
確定一個 ASP 策略來消除在任何網絡上純文本密碼的傳輸，並制定出支持一次性登錄或保護密碼傳輸的策略
審覈、評估、改進和培訓所有步驟及策略

代碼簽名和軟件簽名

規定下載的代碼所需要的安全級別
部署內部的 ASP 步驟，對所有公開分發的內部開發軟件實施代碼簽名
審覈、評估、改進和培訓所有步驟及策略

部署“安全應用程序”策略

建立測試規劃和單獨的測試環境來確認 ASP 應用程序是否在適當配置的安全系統下正常運行
確定還需要什麼樣的附加應用程序來加強安全功能以達到 ASP 的安全目標
進行適當的更改管理，包括在發佈之前對更改的認可和安全驗證
審覈、評估、改進和培訓所有步驟及策略

啓用數據保護

確定對敏感或保密客戶和內部信息進行識別和管理的 ASP 策略，並確定保護這些敏感數據的條件
確定存放敏感客戶（或內部）數據的 ASP 服務器，這些數據可能需要附加的數據保護以防止竊取
建立一個使用 IPSec 的部署規劃，以保護遠程訪問數據或訪問敏感的 ASP 數據服務器
審覈、評估、改進和培訓所有步驟及策略

加密文件系統

介紹“數據恢復策略”，包括“恢復代理”的角色
介紹用來實施數據恢復過程並驗證該過程有效的步驟
審覈、評估、改進和培訓所有步驟及策略

建立信任關係

介紹 ASP 域、域目錄樹和目錄林並明確規定它們之間的信任關係
確定對信任的客戶和廠商以及其它外部域的策略（信任其它域意味着也信任由該域的所有者確定的安全策略）
審覈、評估、改進和培訓所有步驟及策略

設置統一的安全策略

使用安全模板的方法來介紹對不同的計算機類實施的安全級別
確定域範圍內的帳號策略並將這些策略和指導方針傳遞給客戶和用戶羣
確定對網絡上不同類系統（例如桌面、文件和打印服務器、以及電子郵件服務器）的本地安全策略要求。確定對應於每個類別的組策略安全設置
確定這樣的應用程序服務器，在其中可用特定的安全模板來管理安全設置以及在整個組策略中考慮對它們的管理

案例研究：遭受攻擊

引言

一個很大的虛構銀行企業分了好多個部門，其中兩個分別爲外部銀行業務部門和內部支持部門。所有本地辦公室都屬於外部銀行業務部門。所有的支持活動（例如市場、銷售和 IT）都屬於內部支持部門。爲了使該企業贏利，這兩個部門需要在工作中緊密合作。

不久前，IT 部門與某個 ASP 達成了一項協議，幫助它們引進新的銀行解決方案。除了取錢和存錢外，客戶應該可通過 Internet 執行所有的銀行交易。而實際建立的解決方案甚至更加完善。因爲要執行第一個解決方案，就必須訪問所有客戶帳戶，同時將本地辦公室連接到 ASP 以便對涉及客戶帳戶的信息進行檢索和修改，似乎也是合乎邏輯的。

最後的網絡設置如下所示。

marginwidth="1" marginheight="0" src="images/ASPSEC07.GIF" frameborder="0" width="95%" height="356">
如果您的瀏覽器不支持內嵌框，請單擊此處在單獨的頁中查看。

在 ASP 和銀行企業之間有一個未來一年的服務級別協議 (SLA)。該 SLA 中包括所涉及的“服務管理”問題（事件管理、更改管理、容量管理、可用性管理、應急規劃和安全管理）。針對所有這些問題都規定了服務級別、報告時間以及 ASP 和銀行雙方的義務。

SLA 中的安全部分

在 SLA 的安全部分，銀行和 ASP 就安全策略是什麼以及在識別出安全事件時需要採取什麼步驟，達成了一致的協議。並一起確定了一個溝通規劃，以確保將以正確的方式通知所涉及到的每一個人。關於用什麼工具來保護銀行安全，還規定了一些技術問題。

攻擊

某個星期一的早晨，本地辦公室的一名職工發現獲取帳戶信息需要很長時間。因爲知道星期一早晨總是出現與 IT 相關的問題，所以該職工沒有太注意。他繼續做其它的工作。過了一些時候，他聽到同事們說他們在檢索信息中也遇到了同樣的問題。他們請教辦公室裏的 IT 高手，希望找到解決的辦法。當 IT 高手報告說他的所有嘗試都已失敗時，已經到中午了。此時，與幫助臺取得了聯繫。幫助臺詢問了一些必要的問題並記錄下這個電話。雙方都一致認爲該事件的影響似乎很小（因爲還可以檢索到帳戶信息），因此該事件只是被確定爲低優先級。這就是說沒人會馬上着手開始解決該事件。

一個小時後，從任何本地辦公室都無法檢索帳戶信息。測試還表明，客戶無法通過 Internet 訪問其帳戶。到銀行客戶的界面實際上是被關閉了。由於在本地辦公室中沒有處理這種情況的緊急步驟，因此這意味着無法對客戶提供服務。

銀行馬上與 ASP 取得聯繫，每個銀行和 ASP 專家都投入到解決系統中斷的工作中。一個小時之內，專家們找到了中斷的原因：一種病毒進入了內部的 ASP 應用程序。該病毒生成了很多的數據包，充斥了整個網絡，從而導致性能的下降。最後，ASP 的網絡由於溢出而癱瘓。ASP 花了兩個多小時來恢復帳戶系統並使它重新運行。該銀行由於這次事故損失了數百萬美元。

錯在哪裏？

儘管該銀行與 ASP 之間有一個 SLA，但是攻擊者達到了讓 ASP 的網絡死機的目的，實際上使銀行的運營癱瘓。

攻擊的檢測：由於星期一早晨發生了許多事件，所有的 ASP 管理員都忙於解決“重要的”問題而沒有警惕警告系統。並且由於該銀行組織中的用戶習慣了這些現象，他們沒有報告該事件，也許認爲其它人已經報告。所以，沒人意識到攻擊正在進行的事實。

事件管理：ASP 的事件員工和本地辦公室的職工都認爲該事件的影響不大（還可以檢索帳戶信息）。記錄該事件時，事件管理人員沒有從 CMDB 得到啓示，意識到該事件涉及到 CI（配置項目），它是該銀行核心業務的一部分。對該事件的分類不正確。

應急規劃：ASP 和銀行受到系統中斷的影響。也就是說兩個組織的正常運作都被破壞。但是，本地辦公室沒有處理這些情況的緊急步驟。ASP 也沒有執行緊急解決方案。

服務級別管理：由於系統中斷，服務級別沒有達到，這意味着是 ASP 要受到處罰。起草 SLA 時，ASP 沒有考慮到可能的攻擊以及這對商定的服務級別有什麼影響。因爲這種情況，該銀行轉向了另一個提供商。

如何改進？

ASP 需要改進他們向本地辦公室和 Internet 客戶提供的服務。由於星期一早晨經常出現有關 ASP 解決方案的事件，因此在這天中出現的任何事故都沒有得到認真的對待。

ASP 需要提早在檢測安全攻擊的工具中安裝更多的檢測工具。對於網絡性能超出正常情況的下降，必須立即進行分析。

銀行和 ASP 的職工需要意識到事件的重要性，因此他們要及時將每次 IT 服務的不正常情況通報給 ASP 的幫助臺。

ASP 的幫助臺需要最新的“配置管理數據庫”的支持，在該數據庫中每個 CI 都標有一個可能的安全分類。這樣，當關於某個 CI 的電話打來時，幫助臺的員工將明白對該電話的處理必須遵照事件管理的安全步驟。

與所有涉及到的各方（銀行、本地辦公室和 Internet 客戶）的溝通是倖免於這類攻擊的至關重要的因素。從技術上解決攻擊是一方面，從公衆的觀念上來解決要難得多。公衆可能會記住該銀行是“由於某種病毒而停止服務的公司”。應當建立良好的溝通規劃以抵禦這種損失。

需要採取安全措施來避免這樣的攻擊發生，或者至少在服務級別還沒有陷於危險的早期階段截斷攻擊的發展。可以選擇如下措施：

讓（職業的）黑客對安全措施進行測試，看它是否可以經受住各種各樣的攻擊
使用入侵檢測盒
實施對性能的被動監視
對傳入的數據包或郵件進行病毒或其它攻擊的測試

起草 SLA 時若不考慮被攻擊時應採取的措施，表明對現實很不瞭解。Gartner Group 的 J. Pescatore 在 2000 年 2 月做出了以下策略規劃設想：“到 2003 年，百分之三十的 ASP 客戶將經歷 ASP 方面的安全事件，其結果是導致對敏感數據的損害（概率爲 0.7）。” ASP 必須與客戶討論在這種情況下應該如何去做。他們需要明白可以達到什麼樣的服務級別，同時明白將會出現攻擊。他們必須知道可採取什麼對策使攻擊之後的損失更小。這樣做的時候，需要確定 ASP 和銀行在這種情況下的任務是什麼。

小結

保護客戶和 ASP 的數據不受到惡意攻擊（有意的或無意的）的損害是“安全管理”的全部內容。對安全管理是什麼以及 ASP 及其客戶可以採取的方法有一個清晰的瞭解非常關鍵，其中包括什麼是安全策略以及需要達到什麼樣的安全級別。需要確定 SLA 本身以及它提供的安全級別，並需要採取相應的安全措施。安全措施包括人員、過程和技術。過程涉及到溝通、升級以及圍繞安全管理的過程和步驟。人員需要進行培訓，並能夠理解和執行所有的安全措施以及與之伴隨的不斷變化的技術。

要對所有的方面進行綜合考慮以確保安全級別達到 ASP 的客戶要求。

其它信息

首字母縮寫詞

AD：	Active Directory
ASP：	應用程序服務提供方
CCTA：	英國中央計算機與電信局 (UK)
CI：	配置項目
CMDB：	配置管理數據庫
CRAMM：	CCTA 風險分析和管理方法
CRM：	客戶關係管理
EFS：	加密文件系統
ESf：	企業服務框架
ITIL：	IT Infrastructure Library
LDAP：	輕型目錄訪問協議
MOF：	Microsoft 操作框架
MRF：	Microsoft 準備工作框架
MSF：	Microsoft 解決方案框架
NTFS：	NT 文件系統
NTLM：	NT LAN 管理
PKI：	公鑰基本結構
SLA：	服務級別協議
SSL：	加密套接字協議層
UPN：	用戶主要名稱
VPN：	虛擬專用網絡

書目

下列書籍爲本白皮書的參考書目或推薦讀物，有助於進一步理解此處包含的概念：

Security Management，IT Service Management Forum/CCTA，ITIMF Ltd.，
ISBN 0 11 330014 X。

Contingency Planning，IT Service Management Forum/CCTA，ITIMF Ltd.，
ISBN 0 11 330524 9。

Capacity Management，IT Service Management Forum/CCTA，ITIMF Ltd.，
ISBN 0 11 330544 3。

Service Level Management，IT Service Management Forum/CCTA，ITIMF Ltd.，
ISBN 0 11 330521 4。

Availability Management，IT Service Management Forum/CCTA，ITIMF Ltd.，
ISBN 0 11 330551 6。

安全管理參考資料

這部分集中了本文主體部分的所有參考資料，並按照主題的字母順序列出。

Active Directory
http://www.microsoft.com/windows2000/guide/server/features/activedirectory.asp

ASP Industry Consortium
http://www.aspindustry.org/

Best practices（最佳做法）
http://www.aspindustry.org/members/BestPractices/DeliveryModel.cfm
http://www.microsoft.com/ISN/downloads/Best Practices Documentation for ASPs.zip

CCTA Risk Analysis and Management Method（CCTA 風險分析和管理方法）
http://www.crammusergroup.org.uk

Forum for Incident Response and Security Teams （事件響應和安全小組論壇，FIRST）
http://www.first.org/about/first-description.html

Gartner Group, J.Pescatore, "Critical Security Questions to as an ASP", DF-10-0972, February 2000
http://www.gartner.com/

International Information Systems Security Certification Consortium
http://www.sans.org/snap.htm

IT Infrastructure Library.
http://www.itil.co.uk/

Microsoft Operations Framework（Microsoft 操作架構）
http://www.microsoft.com/enterpriseservices/MOF.htm

Microsoft Telecommunications Consulting Practice, Steve Riley, "Network Security Best Practices", 7 August 2000
Http://www.microsoft.com/technet/

Microsoft Terminal Services Scaling（Microsoft 終端服務縮放）
http://www.microsoft.com/windows2000/library/technologies/terminal/tscaling.asp
http://www.microsoft.com/WINDOWS2000/library/resources/reskit/tools/hotfixes/tscpt-o.asp

Microsoft Windows 2000 Performance Tuning（Microsoft Windows 2000 性能調節）
http://www.microsoft.com/WINDOWS2000/guide/platform/performance/reports/perftune.asp

Microsoft .NET
http://www.microsoft.com/net/

Microsoft Windows Management Instrumentation（Microsoft Windows 管理規範）
http://www.microsoft.com/ISN/downloads/Operations for ASPs.zip

Microsoft Enterprise Services frameworks (ESf) publications（Microsoft 企業服務架構出版物）
http://www.microsoft.com/enterpriseservices/

撰稿人

Unisys Corporation：Jeroen Bom、Joe Helm、Hilda Willems、Tom Wu

Microsoft Corporation：Kathryn Rupchock、Kent Sarff

附錄 A：SLA 中的安全部分

在 SLA 的安全部分需要討論以下主題：

信息安全的一般策略
允許的訪問方法和用戶標識 (ID) 與密碼的管理和使用
ASP 保留被授權人列表的義務
關於審覈和日誌記錄的協議
記錄 ASP 與安全相關的管理活動的義務
解決方案有效的時間和日期（必要時可把回退的設備考慮在內）
客戶、廠商和 ASP 的義務（按照 ASP、客戶和廠商的責任）
保護 ASP 及客戶資產（包括信息）的步驟
對法律事務的責任
監督客戶和廠商活動的權利（以及取消該權利的權利）
安裝和維護設備及軟件的責任
檢查合同責任的權利
對信息複製和公開的限制
用來確保在 SLA 終止時信息或貨物被破壞或歸還的辦法
所需的任何物理安全措施
ASP 方面信息安全的管理過程
確保安全措施忠實有效的步驟
在安全策略、方法和步驟方面對用戶（內部和外部）的培訓
用來確保不擴散計算機病毒和其它攻擊的措施
對用戶訪問權限的授權步驟
關於報告和調查安全事件的協議。在出現安全事件的情況下要使用的溝通步驟（包括所涉及 ASP、客戶和/或廠商方面人員的電話號碼）

附錄 B：訪問策略最佳方案

ASP 的組策略對象 (GPO) 的最佳配置方案

在基於 Windows 2000 Active Directory 的 ASP 企業環境中工作時，認真設計策略非常重要，它可以最大程度地減少冗餘和重新定義，並最大程度地增加可管理性。遺憾的是，這兩個目標可能發生矛盾。要減少冗餘和重新定義，ASP 應當設法定義非常詳盡的 GPO。而增加可管理性，ASP 的 GPO 數目應當少。減少與各種範疇相關的 GPO 數對性能也很關鍵。要達到平衡，需花費一定的時間來設計 ASP 的基本結構中的策略規劃。

完成一個有組織規劃的步驟包括：

將策略進行邏輯分組。例如，帳號策略組成一個邏輯組。
用包含可能的策略值的不同策略設置，爲每個邏輯分組定義一個或多個 GPO。例如，可以有一個包含不同域的帳號策略的 GPO 和另一個針對服務器和桌面上本地帳戶的 GPO。
使用組織單元 (OU) 將計算機分到層次樹結構中。這種劃分應當依據角色 — 即各臺計算機的目的和功能。例如，默認情況下，所有域控制器應放在域控制器 OU 中，以使它們具有一致的策略。

通常，每個 OU 應當映射到對整個 OU 中所有計算機都適用的某個策略。這可能非常棘手，因爲 OU 可定義 ASP 的管理層次以及 ASP 的地理分佈。但是，ASP 的策略定義時常會覆蓋公司和地理分佈。

當 ASP 想要將策略應用到整個 ASP 組織的計算機子集時，ASP 可執行下列操作：

在 ASP 的不同部分創建子 OU，以便將特定的策略分配給這些子 OU 中的每一個。
如果 ASP 不想創建縱深的 OU，他可用 GPO 的基於權限的篩選機制來確定在給定的 OU 中特定的 GPO 適用於哪些計算機。

安全策略的優先順序

瞭解與 Active Directory 域和 OU 相關的安全策略的優先順序非常重要，因爲它們優先於本地級別建立的策略。與 Active Directory 域和 OU 相關的 ASP 安全策略的默認優先順序通常和組策略相同。從最低到最高的優先順序如下：

本地策略
域策略
OU 策略

本地策略（對計算機本身定義的策略）優先級最低，而與直接包含計算機的 OU 相關策略的優先級最高。

因此，域的策略優先於本地定義的策略。瞭解這一點很重要，因爲它所導致的結果與以前版本 Windows NT 中所看到的現象大不相同。例如，配置域 OU 的密碼策略時（如同默認情況），對該域中的每臺計算機都配置了這些密碼策略。這意味着域中的本地帳戶數據庫（個別工作站上）具有和域本身一樣的密碼策略。在 Windows NT 4.0 中，爲域定義的密碼策略不影響成員工作站和服務器上的本地帳戶數據庫的密碼策略。

訪問控制

Active Directory 可大大簡化在容器、組、用戶、計算機和其它資源對象的整個樹層次內分配權限和特權的分發工作。

要想充分利用這一點，需按下列常用規範操作：

在組的基礎上分配用戶權限。
依賴於組分配的繼承性。由於直接維護用戶帳戶效率不高，因而一般不在用戶的基礎上分配權限。
儘量在容器數的高處指定權限。這樣可以用最少的工作量獲得最好的效果。建立的權限應當適合多數安全規則。
應用繼承性在整個容器樹中傳播權限。就像在樹的較高級別應用訪問控制可提供範圍廣度一樣，繼承可提供深度訪問。ASP 可快速有效地將訪問控制應用到父對象的所有子對象。
將容器的管理委派給管理這些容器所在計算機的 ASP 和客戶管理員。通過委派授權來管理容器的權限，ASP 可分散管理操作和問題。這樣，通過分配離服務點更近的管理，可以降低總擁有成本。
在 ASP 中部署 Windows 2000 時，它們必須針對正在使用的默認安全級別。
Windows 2000 對全新安裝的系統定義三種安全級別 — Users、Power Users 和 Administrators。默認情況下，所有最終用戶（內部和客戶）都是“Users”組的成員，如果 ASP 只打算運行認證的 Windows 2000 的應用程序，這是可行的。但是，如果 ASP 需要支持未經 Windows 2000 認證的應用程序，則他們必須進行下列操作：
使所有最終用戶都成爲“Power Users”而不是“Users”。
修改默認的安全設置來增加授予“Users”的權限。

這些步驟中的任何一個都可作爲整個 ASP 安全策略的一部分來實施，或作爲安裝過程的一部分應用於個別計算機。與 Windows 2000 Server 一起提供了一個安全模板，它爲用戶“設立”適當的安全級別。

該模板位於：systemroot/security/templates/compatws.inf

對於從 Windows NT 升級到 Windows 2000 的計算機，還有其它方面的問題。

在升級期間不修改安全性，因此升級後，未經 Windows 2000 鑑定的應用程序無需修改即可繼續運行。
如果 ASP 想升級計算機來使用新的 Windows 2000 安全默認值，則在下列目錄中提供 Windows 2000 默認的安全設置：systemroot/security/templates/basicwk.inf.

附錄 C：網絡安全的最佳方案

Steve Riley，Microsoft Communications Industry Solutions Group Consulting Practice

2000 年 8 月 7 日

這篇短文論述了網絡設計和安全的最佳方案。儘管網絡的設計和安全保護方法很多，但只有某些方法和步驟深受許多業內人士的喜歡。

篩選路由器 — 第一道防線

應當使用篩選路由器來保護任何面向 Internet 的防火牆。這種路由器只有兩個接口：一個與 Internet 相連而另一個與外部防火牆（或必要時與負載平衡的防火牆羣集）相連。所有攻擊中，將近 90% 涉及到 IP 地址失竊，或改變源地址以使數據包看起來如同來自內部網絡。傳入數據包沒有什麼理由可以來自內部網絡。另外，由於一個網絡的安全性通常取決於所連接網絡的安全性，因此最好能避免您的網絡被用作假數據包的來源。篩選路由器是實現這些目的的理想方法。

應當將篩選路由器配置爲“allow all except that which is specifically denied”（允許通過特別拒絕以外的所有通信）狀態。這樣，ACL 就執行下列操作：

定義一個進入篩選器，它拒絕任何源地址爲內部網絡地址的傳入通信。
定義一個外出篩選器，它拒絕源地址非內部網絡的傳出通信。
拒絕 RFC 1918 中所確定的任何專用地址範圍內源地址或目標地址的所有傳入或傳出通信。
允許所有其它的傳入和傳出通信。

這可阻止大多數攻擊，因爲竊取內部地址幾乎是所有攻擊的基本條件。將篩選路由器後面的防火牆配置爲“deny all except that which is specifically allowed”（拒絕除特別允許之外的所有通信）狀態。

（這部分信息的依據爲 RFC 2267，“Network ingress filtering: Defeating denial of service attacks which employ IP source address spoofing”，1998 年 1 月。）

對可用性要求較高的環境，可使用兩個篩選路由器，並將二者連接到一對防火牆負載平衡設備上。

防火牆 — 分層保護

典型的非軍事區 (DMZ) 有兩個防火牆。外部防火牆配置爲只允許 Internet 和 DMZ 之間連接所需的通信。內部防火牆的配置要能夠保護內部網絡不受 DMZ 的影響 — DMZ 是非信任網絡，因此有必要對內部網絡實施保護。

什麼是 DMZ？看看世界上僅有的政治方面的 DMZ：南北朝鮮之間的區域。DMZ 由其保護邊界確定 — 在這種情況下，兩個地理邊界，分別由單獨的保護實體進行監視和保護。網絡中的 DMZ 與此非常類似：某單獨的網絡部分經過單獨的物理防火牆與（通常）兩個其它網絡相連。

DMZ 與屏蔽子網。常見的方法是使用具有多個接口的單一物理防火牆。一個接口連接 Internet，第二個接口連接到內部網絡，第三個接口連接到通常稱爲 DMZ 的區域。這種體系結構不是真正的 DMZ，因爲單個設備負責多個保護區域。這種方案的確切名稱是屏蔽子網。屏蔽子網具有嚴重缺陷 — 單個攻擊就可破壞整個網絡，因爲所有網絡段都與該防火牆相連。

DMZ 的優點。爲什麼部署 DMZ？網絡攻擊日趨增加 — 有些只是出於好玩、炫耀自己的惡作劇能力，還一些是嚴重的、有目的的公司間諜和破壞。有效的安全體系結構是攻擊的一道屏障，同時該結構具有可調整能力。真正的 DMZ 結構具有下列優點：

具有針對性的安全策略。每個防火牆實施與保護對象對應的策略。
深入防禦。在安全遭到破壞時，設備的多個物理構件爲安全管理員提供更多時間來做出反應。這是爲什麼要部署真正的 DMZ 而不是屏蔽子網的唯一、也是最重要的原因。
改進性能。兩設備間通信檢查的職責分開，每個特定保護區配置一臺設備。
可擴展性。可根據需要擴展防火牆 — 外部防火牆處理的負載通常必須比內部防火牆高很多。像 RadWare's FireProof 這樣的技術可以跨防火牆農場而平衡負載。

消除故障點。爲了獲得高可用性，應當至少部署與一對防火牆完全適用的一對防火牆負載平衡器。這樣防火牆即可與 DMZ 核心交換機完全匹配。

防火牆類型

目前有三種防火牆：

基本數據包篩選器。
狀態檢測數據包篩選器。
應用程序代理。

基本數據包篩選器。把簡單的數據包篩選作爲一種防火牆已不常見，因爲幾乎所有的路由器都可執行此功能。數據包篩選只是簡單地按照一組規則比較傳出和傳入數據包的端口、協議和地址。不符合規則的數據包被防火牆終止。基本的數據包篩選提供很少的安全性，因爲很多種攻擊可輕易地繞過它。

狀態檢測數據包篩選器。這些防火牆除檢查單獨的數據包外還對流程進行檢查。狀態檢查引擎跟蹤每個連接的啓動並確保啓動與某個先前登錄的連接相應的所有通信。符合防火牆規則但無法映射到任何連接的未經請求數據包將被終止。狀態檢查比基本數據包篩選更爲安全，但還是可能受到能夠通過防火牆可用協議（如 HTTP）的入侵的襲擊。兩類數據包篩選器都無法分析任何數據包的內容。另外，兩類數據包篩選防火牆幾乎都無法在按照規則集進行計算之前將碎片數據包重新組裝起來。於是，某些類型的攻擊得以用高超技巧製作的數據包碎片進行成功傳遞。

應用程序代理。應用程序代理提供最高的安全級別。連接不通過代理，而傳入連接在代理處被中截，並由代理實現與目標服務器的連接。應用程序代理檢查有效載荷並可確定它是否符合協議。例如，正常的 HTTP 請求有確定的特徵。通過 HTTP 傳遞的攻擊將與這些特徵有所出入（最顯著的是通過 HTTP 請求傳遞的通信具有過多傳入信息量），並將被終止。應用程序代理還不易受到碎片的攻擊。由於爲應用程序代理施加了負載，因此它在三類防火牆技術中速度最慢。

如此說來，哪種技術最好呢？答案取決於您所需的安全級別。一些狀態檢查防火牆開始加入應用程序代理功能；Checkpoint 的 Firewall-1 就是這樣的實例。

基於主機的防火牆保護。徹底防禦應當是任何安全方案的設計目標。篩選路由器和傳統的 DMZ 提供三層保護，它們通常足以保護大多數網絡服務。對於高度安全的環境，基於主機的防火牆還可提供另一層的保護。基於主機的防火牆允許安全管理員確定詳細周全的安全策略，以使服務器的 IP 棧只對該服務器上應用程序所要求的端口和協議開放。一些基於主機的防火牆還實施傳出保護，以幫助確保某臺遭到破壞的機器不會影響同一網絡上的其它機器。當然，基於主機的防火牆確實增加了普通系統管理的負擔。應考慮僅對那些包含至關重要數據的服務器增加基於主機的保護。

DMZ 體系結構 — 安全和性能

另一類常見的攻擊是從線路上窺探數據包。儘管有最近出現的防窺探工具（可能經常不可靠），但用簡單集線器構建的網絡還是很容易受到這種攻擊。（並且反防窺探工具也可能使它成爲一項重要議題。）使用交換機替代集線器可消除此弱點。在共享介質網絡（即用集線器構建的網絡）中，所有的設備可看見所有的通信。通常網絡接口對非發給它的數據幀不進行處理。混雜模式的接口將把每一幀的內容向上傳到計算機的協議棧。該信息對於有協議分析器的攻擊者可能非常有價值。

交換網絡可以實際杜絕這種情況的發生。交換網絡中任何機器的網絡接口將只能看到特別發給該接口的那些幀。在這裏混雜模式沒有什麼不同，因爲 NIC 不識別其它任何網絡通信。攻擊者窺探交換網絡的唯一已知方法是：攻擊者破壞交換機本身並更改其操作，這樣交換機至少在一個端口充斥了所有通信。破壞交換機很難，並且很快會被網絡管理員發現。

交換網絡還免去了使用雙主機 DMZ 服務器的必要。雙主機提供不了更多的附加保護；附加的 NIC 不能防止來自已破壞計算機的攻擊。但是在需要高可用性或高性能情況下，使用兩個 NIC 可能更加適合。

消除故障點。在需要高可用性的環境中有必要使用兩個 NIC。一種切實可行的設計方案是在覈心部分包括兩臺交換機，並在每臺服務器中包括兩個 NIC。一個 NIC 連接到一臺交換機，另一個 NIC 連接到另一臺交換機。

內部網絡的情況如何？出於同樣的原因，內部網絡也應當用交換機來構建。如果需要高可用性，請遵照 DMZ 中同樣的原則。

羣集互連。無論在 DMZ 還是在內部網絡中，都使用集線器連接所有羣集。Microsoft 不建議使用跨接電纜，因爲它們不能提供確保介質敏感型操作正常工作所需的電子信號。

IPSec — 信任 DMZ 的一種更安全的選擇

如果所有的服務器都在運行 Windows 2000，則應當使用 Internet 協議安全 (IPSec) 來保護 DMZ 和內部網絡之間所有通訊的安全。IPSec 提供下列功能：

身份驗證。 可以確定這樣的策略，使得只有那些需要彼此通訊的計算機纔可以互相通訊。
加密。 已經侵入到 DMZ 的入侵者無法將通信解釋進或解釋出內部網絡。
保護。 IPSec 保護網絡避免重放攻擊、人爲干預攻擊以及通過標準協議（如 ICMP 或 HTTP）進行的攻擊（這些攻擊可通過基本防火牆和狀態檢查數據包篩選器防火牆）。

啓用 IPSec 後，內部防火牆必須只允許 IPSec、IKE、Kerberos 以及 DNS 通信，這樣進一步加強了內部網絡的安全性。內部防火牆中不會有其它漏洞。對於各種應用程序有漏洞的標準防火牆規則，入侵者可以通過 Firewalk 這樣的工具確定防火牆的策略；而將所有通信封裝在 IPSec 中並只許使用該協議，可隱藏對攻擊者可能有用的實施細節（但是還應參見下面的“可能的安全含意”）。下表列出了應當在防火牆中開啓的服務：

服務	位置	說明
Domain	端口 53/tcp 和 53/udp	域名服務
kerberos	端口 88/tcp 和 88/udp	Kerberos v.5 身份驗證
isakmp	端口 500/udp	Internet 密鑰交換
esp	協議 50	IPSec 封裝的安全有效載荷
ah	協議 51	IPSec 驗證的標頭

請注意不需要證書授權；IPSec 策略將用 Kerberos （本機的 Windows 2000 身份驗證機制）作爲建立 IKE 主模式安全關聯的基礎。

可能的安全含意。如前所述，對 DMZ 和內部網絡之間的通信加密後不可能再檢查內部防火牆中的通信。並非所有的網絡或安全管理員都對此方法滿意。ESP 的加密提供了進入內部網絡的封裝路徑，一旦某臺 DMZ 機器被破壞，它就可能被利用。使用 IPSec AH 替代 ESP 將使較爲簡單的防火牆配置顯示其優勢，同時由於 AH 數據包有效載荷未經加密，還可進行通信檢查。

入侵檢測 — 早期的警告系統

入侵檢測系統正在成爲與 Internet 連接的任何網絡的必要組件。儘管它不能替代防火牆詳細不間斷的檢查和服務器日誌，但是入侵檢測系統能夠提早識別潛在入侵，爲您提供更多的時間以對事故採取相應措施。請在 DMZ 中安裝入侵檢測系統。

入侵檢測系統和防病毒實用程序相似，它們都是在檢測到它們識別的東西時向管理員發出警報。入侵檢測系統包含一個攻擊特徵數據庫，但是並非所有的入侵檢測系統都同樣可以識別不同類型的攻擊或保持最新狀態（各個 IDS 廠商都將他們的特徵數據庫和更新機制當作商業機密）。目前有兩種值得關注的檢測系統，它們是：RealSecure by Internet Security Systems (http://www.iss.net) 和 Network Flight Recorder ( http://www.nfr.net )。

基於主機的入侵檢測。大多數入侵檢測系統在網絡級別工作，在網絡被破壞後向管理員發出警報。最近出現了一種新的入侵檢測系統類型：基於主機的入侵檢測系統。這些工具本身在服務器上運行，並在特定計算機遭到破壞時向管理員發出警報。這種警報機制對於包含有重要操作數據的計算機（如後端數據庫服務器）尤爲重要。

將基於網絡的入侵檢測系統和基於主機的入侵檢測系統結合起來，並且讓訓練有素的安全專家定期檢查系統日誌是保護網絡、收集證據和處理安全事故的最有效方法。

DNS — 確保客戶到達正確的地方

常見的 DNS 實施（包括如圖所示的實施）稱爲拆分 DNS 實施。外部服務器用來解決 Internet 對 DMZ 中計算機的查詢，並解決 DMZ 計算機對其它 DMZ 計算機的查詢。內部服務器用來解決內部網絡對內部計算機的查詢，對 DMZ 中或 Internet 上計算機的查詢將被轉發到外部服務器。但是拆分 DNS 不能保護 DNS 高速緩存免受攻擊。

在 DNS 高速緩存的侵害中，攻擊者會破壞另一網絡的 DNS 高速緩存。當受害者試圖在破壞的網絡中確定地址時，該高速緩存返回攻擊者在高速緩存中放入的無效信息。通常攻擊者這樣做是爲了把受害者重新定向到攻擊者的計算機。

最安全的 DNS 實施稱爲 拆分 — 拆分 DNS 實施。在 DMZ 中有兩臺 DNS 服務器。一臺服務器（例如 DMZDNS-IN）只接受對 DMZ 中計算機的傳入查詢 — 並只接受 Internet 上計算機的查詢。另一臺服務器（如 DMZDNS-OUT）只允許解決對 Internet 的傳出查詢，以及 DMZ 計算機對其它 DMZ 計算機的查詢。DMZDNS-IN 是 DMZ 的 DNS 區域的主 DNS 服務器，DMZDNS-OUT 是輔助 DNS 服務器，使用 IPSec 進行區域傳輸。內部網絡中的 DNS 服務器僅是內部網絡的主 DNS 服務器，並且將對 DMZ 或 Internet 的請求轉發到 DMZDNS-OUT。這消除了使網絡易於受到已被襲擊的 DNS 高速緩存攻擊的條件。

來自 Internet 的 DNS 查詢不可能通過 DMZ 進入內部網絡來獲取答案。一些近期的攻擊使用 DNS 來傳遞其有效載荷。Internet 上的用戶沒有必要對內部網絡上的服務器進行查詢。

消除故障點。在高可用性環境中，只需簡單倍增 DNS 服務器的數量即可。

硬件負載平衡 — 保持服務器的最佳性能

Windows 2000 Advanced Server 包括一種稱爲“網絡負載平衡服務”或 NLBS 的功能。NLBS 爲 Web 站點管理員提供了在相同配置的服務器農場中進行服務器負載分配的方法。NLBS 對不需要複雜狀態維護或性能監視的應用程序來說非常適用。但對於需要這些工作的應用程序來說，則應選擇硬件負載平衡。這些設備有時稱爲第 7 層交換機。

像 F5 網絡的 BigIP Content Switch（非官方認可，只是行業中認同它是最好產品之一）這樣的設備在 OSI 模型的第 2 到第 7 層工作。BigIP Content Switch 檢測應用程序的狀態和運行情況，在 Web 服務器之間提供負載平衡和真實容錯。若要消除任何單一的故障點，需使用兩個與所有 Web 服務器完全相符的負載平衡設備。F5 還提供了支持加密套接字協議層 (SSL) 的 BigIP Content Switch 版本。SSL 會話在 BigIP SSL Accelerator中終止，然後確定由哪臺 Web 服務器執行該工作。BigIP Accelerator 進行下列操作：

卸載 Web 服務器的 SSL 處理，提高其性能。
集中管理證書。將證書安裝在 SSL 加速器上，而不是每一臺 Web 服務器上。它還可使多個 BigIP 控制器之間的證書同步。
啓用 HTTP 主機標頭。
解決 AOL 客戶端 IP 地址共享問題。

消除故障點。如果目標僅僅是平衡服務器的負載，一臺負載平衡設備足矣。但是若要提供真實容錯功能，則需多臺配置完全匹配的設備。

存儲區域網絡 — 對內部網絡的集中存儲

存儲區域網絡技術已非常成熟，只要是配備有大存儲容量的地方都可使用。SAN 將存儲功能從通用服務器移到爲傳輸大量數據而特別設計的高速網絡上。這有助於：

通過將磁盤陣列移出機櫃來優化服務器機櫃空間。
通過將數據存儲在單獨的、不易遭受目前所知類型攻擊的網絡中，增加數據的安全性。
通過在數據網絡之外保留通信備份，提供不受 LAN 約束的備份。

最初，使用光纖通道仲裁環 (FC-AL) 來建立 SAN。較新的光纖通道交換機提供更高水平的吞吐量，並使管理員可以設計沒有單一故障點的 SAN。

交換光纖通道 SAN 至少包括：

兩臺位於核心相互連接的 FC 交換機。
幾臺位於外圍的交換機 — 每個 LAN 有一臺與 SAN 連接的交換機。每臺外圍交換機都與兩臺核心交換機連接。
每臺服務器中的 FC 接口與其本地的 SAN 交換機相連。
SAN 磁盤羣集有一臺交換機與兩臺核心交換機連接。
SAN 備份設備的一臺交換機，與兩臺核心交換機連接。

消除故障點。倍增核心以外的所有設備：在每臺服務器中使用兩個光纖通道適配器、每個 LAN 中使用兩臺外圍交換機、對 SAN 磁盤羣集使用兩臺外圍交換機，以及對 SAN 備份設備使用兩臺外圍交換機。始終將兩臺外圍交換機與兩臺核心交換機相連。

網絡附加存儲的有關情況？Microsoft 不支持 NAS 存儲 Exchange 文件。Exchange 要求所有的文件都保存本地設備上。Exchange 在光纖連接的 SAN 設備上運行良好，這些設備對 Windows 2000 表現爲本地設備。

本文檔所包含的信息代表了在發佈之日，Microsoft Corporation 對所討論問題的當前看法。因爲 Microsoft 必須順應不斷變化的市場條件，故該文檔不應理解爲 Microsoft 一方的承諾，Microsoft 不保證所給信息在發佈之日以後的準確性。

本文檔僅供參考。在本文檔中，MICROSOFT 不做任何明示的或默示的保證。

Microsoft、BackOffice、MS-DOS、Outlook、PivotTable、PowerPoint、Microsoft Press、Visual Basic、Windows、Windows NT 和 Office 徽標是 Microsoft 在美國和/或其它國家（或地區）的註冊商標或商標。

Asp的安全管理

摘要

引言

摘要