99热精品69堂国产-97超级碰在线精品视频-日韩欧美中文字幕在线视频-欧美日韩大尺码免费专区-最新国产三级在线不卡视频-在线观看成人免费视频-亚洲欧美国产精品完整版-色综久久天天综合绕视看-中文字幕免费在线看线人-久久国产精品99精品国产

歡迎來到優(yōu)發(fā)表網(wǎng)!

購物車(0)

期刊大全 雜志訂閱 SCI期刊 期刊投稿 出版社 公文范文 精品范文

網(wǎng)絡(luò)安全評估報告范文

時間:2022-12-19 07:00:56

序論:在您撰寫網(wǎng)絡(luò)安全評估報告時,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度。

網(wǎng)絡(luò)安全評估報告

第1篇

根據(jù)國內(nèi)一些網(wǎng)絡(luò)安全研究機構(gòu)的資料,國內(nèi)大部分的ISP、ICP、IT 公司、政府、教育和科研機構(gòu)等都沒有精力對網(wǎng)絡(luò)安全進行必要的人力和物力投入;很多重要站點的管理員都是Internet 的新手,一些操作系統(tǒng)如UNIX,在那些有經(jīng)驗的系統(tǒng)管理員的配置下尚且有缺陷,在這些新手的操作中更是漏洞百出。很多服務(wù)器至少有三種以上的漏洞可以使入侵者獲取系統(tǒng)的最高控制權(quán)。

為了使廣大用戶對自己的網(wǎng)絡(luò)系統(tǒng)安全現(xiàn)狀有一個清醒的認識,同時提高對信息安全概念的了解和認識,強化網(wǎng)絡(luò)系統(tǒng)安全性能,首創(chuàng)網(wǎng)絡(luò)近日向用戶推出免費安全掃描服務(wù)活動。

評估主機范圍

Capitalnet技術(shù)支持中心在開展此次活動之前得到了客戶的書面授權(quán)。活動中,根據(jù)客戶提供的IP地址,并按照客戶指定的時間,對包括網(wǎng)絡(luò)設(shè)備和應(yīng)用服務(wù)器等在內(nèi)的主機系統(tǒng)進行安全評估。

評估時間和方式

此次活動持續(xù)兩個月時間,由7月1日開始,到8月31日結(jié)束。在活動期間,首創(chuàng)網(wǎng)絡(luò)技術(shù)支持中心安全產(chǎn)品組的專家們在與用戶達成共識的前提下,利用專業(yè)的安全評估工具,對客戶網(wǎng)絡(luò)信息系統(tǒng)中的重點環(huán)節(jié)進行了全方位的安全掃描,并根據(jù)掃描結(jié)果產(chǎn)生了安全評估報告,提交給客戶??蛻艨梢愿鶕?jù)這一安全評估報告充分了解自己信息系統(tǒng)的安全情況,進而采取相應(yīng)的安全應(yīng)對措施,從而提高網(wǎng)絡(luò)系統(tǒng)安全性。

評估單位分布

此次評估活動共收到IP地址93個,分別來自不同行業(yè)的34家單位。這些單位分別屬于多種行業(yè)部門。

評估主機分類

93個IP地址基本代表93臺主機,分別為各個單位提供不同的信息化應(yīng)用。如:WEB、Datebase、Mail等常見應(yīng)用和防火墻等特殊應(yīng)用。

評估漏洞分布

在93臺主機提供的各種信息應(yīng)用中,都存在這樣或那樣的漏洞,此次評估都漏洞的風(fēng)險分為三種:高風(fēng)險漏洞、中風(fēng)險漏洞、低風(fēng)險漏洞。

參照標準為:

  高風(fēng)險漏洞代表該漏洞可以使攻擊者可以得到該主機的最高權(quán)限或中斷網(wǎng)絡(luò)服務(wù);

  中風(fēng)險漏洞代表該漏洞可以獲取主機信息,有助于攻擊者進一步攻擊,或存在潛在致命漏洞;

  低風(fēng)險漏洞代表該漏洞會間接影響系統(tǒng)服務(wù)的正常運行。

評估漏洞類型

本次掃描活動主要采用了三星信息安全公司的安全評估工具SecuiScan,但為了真實反映客戶的漏洞存在情況,也結(jié)合了其它著名的安全評估工具,為俄羅斯著名安全評估軟件Shadow Security Scanner和著名的自由軟件Nessus。在工具評估后,根據(jù)提供的分析報告來人工檢查證實漏洞的真實性,并在不破壞客戶主機正常運行的情況下得出令客戶信服的評估結(jié)果。

評估發(fā)現(xiàn),很多存在漏洞的主機都是一些常見的配置錯誤和已經(jīng)公布的漏洞,而且針對這些漏洞的攻擊工具很容易被惡意的攻擊者獲取。這些漏洞分布如下圖:

評估漏洞說明

1.   弱口令攻擊:不少網(wǎng)站的管理員賬號密碼、ftp 賬號密碼、Sql 賬號密碼等都使用很簡單的或是很容易猜測到的字母或數(shù)字,利用現(xiàn)有的家用PIII 機器配合編寫恰當(dāng)?shù)钠平廛浖阋栽诙虝r間內(nèi)輕松破解,一旦口令被破解,網(wǎng)站就意味著被攻破。

2.    Unicode 編碼漏洞攻擊:對于Windows NT4.0 和Windows 2000 來說都存在有該漏洞,利用該漏洞遠程用戶可以在服務(wù)器上以匿名賬號來執(zhí)行程序或命令,從而輕易就可達到遍歷硬盤、刪除文件、更換主頁和提升權(quán)限等目的,實施方法簡單,僅僅擁有一個瀏覽器就可實施。

3.    ASP 源碼泄漏和MS SQL Server 攻擊:通過向web 服務(wù)器請求精心構(gòu)造的特殊的url 就可以看到不應(yīng)該看到的asp 程序的全部或部分源代碼,進而取得諸如MS SQL Server 的管理員sa 的密碼,再利用存儲過程xp_cmdshell 就可遠程以SYSTEM 賬號在服務(wù)器上任意執(zhí)行程序或命令,事實上,MS SQL Server 默認安裝的管理員sa 的密碼為空,并且大多數(shù)系統(tǒng)管理員的確沒有重新設(shè)定為新的復(fù)雜密碼,這直接就留下了嚴重的安全隱患。

4.    IIS 緩沖溢出攻擊:對于IIS4.0 和IIS5.0 來說都存在有嚴重的緩沖溢出漏洞,利用該漏洞遠程用戶可以以具有管理員權(quán)限的SYSTEM 賬號在服務(wù)器上任意執(zhí)行程序或命令,極具危險性。實施較為復(fù)雜,但是可以獲得這種攻擊的傻瓜攻擊軟件。這種攻擊主要存在于Windows NT 和2000 系統(tǒng)中。

5.    BIND 緩沖溢出攻擊:在最新版本的Bind 以前的版本中都存在有嚴重的緩沖溢出漏洞,可以導(dǎo)致遠程用戶直接以root 權(quán)限在服務(wù)器上執(zhí)行程序或命令,極具危險性。但由于操作和實施較為復(fù)雜,一般也為黑客高手所用。這種攻擊主要存在于Linux、BSDI 和Solaris 等系統(tǒng)中。

6.    其他攻擊手法:還有利用Send- mail、Local Printer、CGI、Virus、Trojan、DOS、DDOS 等漏洞攻擊的手段,但在這次評估活動中表現(xiàn)的不是非常明顯。

整體安全評估報告

主機系統(tǒng)的安全評估主要在于分析主機系統(tǒng)存在的安全弱點和確定可能存在的威脅和風(fēng)險,并且針對這些弱點、威脅和風(fēng)險提出解決方案。

主機存在安全弱點

安全弱點和信息資產(chǎn)緊密相連,它可能被威脅利用、引起資產(chǎn)損失或傷害。但是,安全弱點本身不會造成損失,它只是一種條件或環(huán)境、可能導(dǎo)致被威脅利用而造成資產(chǎn)損失。安全弱點的出現(xiàn)有各種原因,例如可能是軟件開發(fā)過程中的質(zhì)量問題,也可能是系統(tǒng)管理員配置方面的,也可能是管理方面的。但是,它們的共同特性就是給攻擊者提供了對主機系統(tǒng)或者其他信息系統(tǒng)進行攻擊的機會。

經(jīng)過對這些主機系統(tǒng)和防火墻的掃描記錄分析,我們發(fā)現(xiàn)目前該網(wǎng)絡(luò)中的主機系統(tǒng)主要弱點集中在以下幾個方面:

1 .系統(tǒng)自身存在的弱點

對于商業(yè)UNIX 系統(tǒng)的補丁更新不及時,沒有安全配置過,系統(tǒng)還是運行在默認的安裝狀態(tài)非常危險。對NT/2000 的服務(wù)器系統(tǒng),雖然補丁更新的比及時,但是配置上存在很大安全隱患,用戶的密碼口令的強度非常低很多還在使用默認的弱口令,網(wǎng)絡(luò)攻擊者可以非常輕易的接管整個服務(wù)器。另外存在IPC$這樣的匿名共享會泄露很多服務(wù)器的敏感信息。

2 .系統(tǒng)管理存在的弱點

在系統(tǒng)管理上缺乏統(tǒng)一的管理策略,比如缺乏對用戶輪廓文件(Profile )的支持。在系統(tǒng)中存在空口令的Guest 組的用戶,這些用戶有的是系統(tǒng)默認的Guest用戶,有的是IIS 和SQL 服務(wù)器的默認安裝用戶。這些用戶有些是被系統(tǒng)禁用的,如Guest ,有些則沒有,沒有被禁用的這些賬號可能被利用進入系統(tǒng)。

3 .?dāng)?shù)據(jù)庫系統(tǒng)的弱點

數(shù)據(jù)庫系統(tǒng)的用戶權(quán)限和執(zhí)行外部系統(tǒng)指令是該系統(tǒng)最大的安全弱點,由于未對數(shù)據(jù)庫做明顯的安全措施,望進一步對數(shù)據(jù)庫做最新的升級補丁。

4 .來自周邊機器的威脅

手工測試發(fā)現(xiàn)部分周邊機器明顯存在嚴重安全漏洞,來自周邊機器的安全弱點(比如可能使用同樣的密碼等等)可能是影響網(wǎng)絡(luò)的最大威脅。

主機存在的威脅和風(fēng)險

安全威脅是一種對系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞能力的可能性因素或者事件。產(chǎn)生安全威脅的主要因素可以分為人為因素和環(huán)境因素。人為因素包括有意的和無意的因素。環(huán)境因素包括自然界的不可抗力因素和其它物理因素。威脅可能源于對企業(yè)信息直接或間接的攻擊,例如非授權(quán)的泄露、篡改、刪除等,在機密性、完整性或可用性等方面造成損害。威脅也可能源于偶發(fā)的、或蓄意的事件。一般來說,威脅總是要利用企業(yè)網(wǎng)絡(luò)中的系統(tǒng)、應(yīng)用或服務(wù)的弱點才可能成功地對資產(chǎn)造成傷害。因此威脅分析是圍繞信息系統(tǒng)的可用性、保密性、完整性、可控性、可審查性、抗抵賴性進行的。

安全風(fēng)險則是一種可能性,是指某個威脅利用弱點引起某項信息資產(chǎn)或一組信息資產(chǎn)的損害,從而直接地或間接地引起企業(yè)或機構(gòu)的損害的可能性。

在這次評估中,主機系統(tǒng)存在的威脅和及其產(chǎn)生的安全風(fēng)險主要有以下幾個方面:

1.  針對主機的攻擊威脅

包括針對Windows NT 系統(tǒng)及其開放的系統(tǒng)服務(wù)的安全弱點攻擊威脅,攻擊者可能由此獲取系統(tǒng)的信息資源或者對系統(tǒng)信息進行破壞。

2.  針對數(shù)據(jù)庫的攻擊威脅

包括在對數(shù)據(jù)庫系統(tǒng)的攻擊行為,包括非法獲取、篡改、刪除數(shù)據(jù)庫信息資源和進行其他形式的服務(wù)攻擊。

3.   管理不當(dāng)所引起的安全威脅

包括由于用戶管理策略不當(dāng)使得攻擊者可能獲取某一級別的用戶的訪問權(quán)限,并由此提升用戶權(quán)限,造成用戶權(quán)限的濫用和信息資源的泄漏、損毀等;由于采用遠程管理而引發(fā)的威脅;缺乏足夠的安全審計致使對安全事件不敏感,無法發(fā)現(xiàn)攻擊行為等。

4.  配置不當(dāng)所引起的安全威脅

包括在主機系統(tǒng)上開放了未做安全防范的服務(wù)如IPC$共享所造成的安全威脅等。

網(wǎng)絡(luò)安全建議

建議把提供網(wǎng)絡(luò)服務(wù)的程序升級到最新版本,關(guān)注網(wǎng)絡(luò)安全通告,或由首創(chuàng)為客戶提供全面、周到、專業(yè)的網(wǎng)絡(luò)安全服務(wù)。

總  結(jié)

此次活動歷時兩個月時間,為34家客戶的93臺主機提供了全面的安全掃描服務(wù),并將最終的掃描結(jié)果提供給了客戶。

通過此次活動,我們發(fā)現(xiàn)所有的客戶主機都或多或少存在著各種風(fēng)險度的安全漏洞,安全現(xiàn)狀不容樂觀。其實在這些客戶所暴露出來的漏洞中,絕大多數(shù)都是已經(jīng)有了解決辦法的,只要做一些簡單的升級或安裝補丁就可以解決。另外,我們還發(fā)現(xiàn),有的客戶使用了一些安全產(chǎn)品,但卻由于使用不當(dāng),反而引入了更多的安全漏洞。另外,客戶的信息系統(tǒng)普遍也缺乏良好合理的安全規(guī)劃和管理,從而使得其自身的系統(tǒng)對外呈現(xiàn)了很多本不應(yīng)該出現(xiàn)的漏洞,給外界入侵提供了便利的條件。

我們認為出現(xiàn)這樣的問題主要有這樣一些原因:

客戶普遍還缺乏安全意識,不知道自己其實面臨很大的危險;專業(yè)知識不夠,不知如何解決安全問題;對安全產(chǎn)品的選擇、使用和設(shè)置不當(dāng);沒有合理的安全管理策略和機制。

針對這樣一些原因,有些相對容易解決,有些則要困難一些。在首創(chuàng)網(wǎng)絡(luò)通過自身的努力,在信息安全領(lǐng)域里不斷追求更高的技術(shù)水準和服務(wù)水準,力爭在競爭日益激烈的今天,面對不斷復(fù)雜的信息安全形勢,從容面對,為客戶提供更加完美的產(chǎn)品和服務(wù)。

(本報告由首創(chuàng)網(wǎng)絡(luò)提供,內(nèi)容有刪節(jié))

“首創(chuàng)網(wǎng)絡(luò)安全調(diào)查”帶來的啟示

本刊記者   曹  玫

近日,首創(chuàng)網(wǎng)絡(luò)針對我國企

業(yè)網(wǎng)絡(luò)安全現(xiàn)狀,對來自

34個不同行業(yè)用戶的93臺主機的網(wǎng)絡(luò)信息系統(tǒng)進行了抽樣調(diào)查,結(jié)果是100%的用戶的主機都存在不同程度的安全問題。這個數(shù)字不能不讓我們吃驚,網(wǎng)絡(luò)現(xiàn)狀讓人擔(dān)擾。

隨著企業(yè)信息化、電子政務(wù)的進一步推進,對網(wǎng)絡(luò)安全的要求與過去已不可同日而語。但信息化在我國剛剛起步,企業(yè)對網(wǎng)絡(luò)安全的意識和認知尚待培育。

本刊記者就首創(chuàng)的網(wǎng)絡(luò)安全評估活動采訪了中國國家信息安全測評認證中心計算機測評中心常務(wù)副主任翁正軍女士,她認為:“首創(chuàng)這次的評估活動值得肯定。這類的網(wǎng)絡(luò)安全評估如果經(jīng)常性的進行,對用戶了解自身的安全風(fēng)險非常有益”

另外,翁女士還提醒道:“針對網(wǎng)絡(luò)和系統(tǒng)的脆弱性評估,有可能對被測系統(tǒng)造成損害。當(dāng)然,不一定是測試本身的問題,而是被測系統(tǒng)太脆弱。但是不管怎么樣,都要讓用戶事先知道風(fēng)險的存在,并且通過恰當(dāng)?shù)陌才疟M力回避這些風(fēng)險”。

安全意識   攜手培育

網(wǎng)絡(luò)安全是“三分技術(shù),七分管理”,從首創(chuàng)的報告中可以看出,造成網(wǎng)絡(luò)漏洞的原因基本上是管理的忽視和疏漏。

已認識到IT系統(tǒng)重要性的大型企業(yè)和跨國企業(yè),雖有一些機房和系統(tǒng)的不很細化的管理制度,但大部分也只限于書面文字的約束而已,沒有強有力的監(jiān)督實施手段和相應(yīng)的管理人員;大部分的中小企業(yè)甚至沒有把網(wǎng)絡(luò)安全提升到管理的層面,還只是停留在購買一些低端的安全設(shè)備上,當(dāng)然對于國內(nèi)的中小企業(yè)采取何種安全模式仍是專家和安全服務(wù)提供商們爭論的熱點問題。

管理問題追溯其根源,還是企業(yè)的意識問題,安全意識的加強和培育是需要政府或行業(yè)主管單位、安全廠商和用戶自身共同努力來實現(xiàn)的。

如政府和行業(yè)主管要加大政策和法令的宣傳力度,改變政策和相關(guān)標準滯后的現(xiàn)狀,一方面,用戶有相關(guān)的政策和標準來衡量網(wǎng)絡(luò)安全廠商提供給他們的產(chǎn)品和服務(wù)是否符合國家標準,做到有據(jù)可依。另一方面,安全廠商有了相關(guān)條例和行業(yè)標準,在為用戶構(gòu)建網(wǎng)絡(luò)平臺和生產(chǎn)安全產(chǎn)品時,把各種安全隱患降減到最小程度,做到了有法必依。

安全廠商在培育用戶的安全意識方面,毫無疑問,充當(dāng)著主力軍的角色,目前,我國的網(wǎng)絡(luò)安全意識尚處于萌芽階段,因此對用戶意識的培育應(yīng)屬于安全廠商市場戰(zhàn)略和規(guī)劃的一部分,只有大家共同把這塊蛋糕做大,網(wǎng)絡(luò)安全廣闊的市場才會在短時間內(nèi)形成規(guī)模。 

從用戶自身的角度來講,“船到江心才補漏”是需要付出不可估量的代價的,網(wǎng)絡(luò)數(shù)據(jù)的迅速增長,單靠一些低端的安全設(shè)備已遠遠難以維護系統(tǒng)和網(wǎng)絡(luò)安全??偟膩碚f,要改善和加強管理力度,必須提高企業(yè)的安全意識.

網(wǎng)絡(luò)測試   謹慎評估 

做安全測試,一定要做非常細化的風(fēng)險評估策略,首先要確定企業(yè)哪些資源需要保護,并根據(jù)保護成本與如果事件發(fā)生前不采取行動需付出的代價之間的平衡制定評估方案,檢測后要確定企業(yè)具體環(huán)境下到底存在哪些安全漏洞和安全隱患,一旦這些漏洞被黑客利用會造成哪些風(fēng)險和破壞。

最后綜合對各種風(fēng)險因素的評價,明確網(wǎng)絡(luò)系統(tǒng)的安全現(xiàn)狀,確定網(wǎng)絡(luò)系統(tǒng)中安全的最薄弱環(huán)節(jié),從而改進網(wǎng)絡(luò)的安全性能。所以檢測之前與之后的評估是非常重要的。全面的網(wǎng)絡(luò)系統(tǒng)的漏洞評估應(yīng)該包括對網(wǎng)絡(luò)的漏洞評估、對系統(tǒng)主機的漏洞評估以及對數(shù)據(jù)庫系統(tǒng)的漏洞評估三個方面。首創(chuàng)的安全評估屬于對系統(tǒng)主機的漏洞的評估,測試的安全風(fēng)險相對要小一些。

測試不是目的,制定相應(yīng)的安全策略并徹底解決用戶存在的安全問題,才是我們的愿望。

首創(chuàng)的安全測試為我們敲醒了警鐘,加強安全意識已成為企業(yè)高層迫切需要正確對待的問題。

企業(yè)信息安全意識有待覺醒

本刊記者   陳  慧

為了解客戶的安全現(xiàn)狀,并

提高客戶的安全意識,首

創(chuàng)網(wǎng)絡(luò)在7月1日到8月31日為期兩個月的時間內(nèi)為34家客戶的93臺主機提供了免費遠程安全掃描服務(wù)。提交的報告結(jié)果表明,這些客戶所有的業(yè)務(wù)部門都或多或少存在著安全漏洞,其中高風(fēng)險漏洞占42%,中風(fēng)險漏洞占28%,低風(fēng)險漏洞達30%??梢娺@些客戶的信息安全現(xiàn)狀令人堪憂。

面對安全漏洞,

視而不見還是立即行動

“此次掃描主要是針對黑客的攻擊行為,”首創(chuàng)網(wǎng)絡(luò)安全產(chǎn)品經(jīng)理鐘博向記者介紹說,“我們選擇這種遠程的網(wǎng)絡(luò)掃描的服務(wù)活動比較容易開展,類似于黑客攻擊的第一個階段,還未涉及到內(nèi)部攻擊。”在發(fā)現(xiàn)客戶漏洞之后,首創(chuàng)還可以針對客戶的要求為其提供相應(yīng)的修補、加固和優(yōu)化服務(wù)、專門的培訓(xùn)和分析,以及遠程管理和緊急響應(yīng)等多種全方位的安全服務(wù)。

在首創(chuàng)網(wǎng)絡(luò)掃描過程中發(fā)現(xiàn)的網(wǎng)絡(luò)安全漏洞主要涉及到底層的操作系統(tǒng)平臺和應(yīng)用系統(tǒng)兩個方面。漏洞可能是操作系統(tǒng)帶來的,比如采用Windows操作系統(tǒng)平臺的企業(yè)漏洞特別多;也有可能是應(yīng)用系統(tǒng)本身的問題,比如數(shù)據(jù)庫、Web系統(tǒng)和ERP應(yīng)用軟件等等。在應(yīng)用系統(tǒng)方面,數(shù)據(jù)庫的漏洞比較多,其中又以SQL Server數(shù)據(jù)庫的漏洞為甚。對于操作系統(tǒng)的漏洞,大多可通過從網(wǎng)上下載補丁程序的方法加以解決,有些客戶沒有下載補丁程序,因而容易被攻擊。也有客戶把用戶訪問口令設(shè)成了空的,也容易被攻擊。這些漏洞本都很容易避免,之所以出現(xiàn),主要因為應(yīng)用和管理人員本身安全意識淡薄所導(dǎo)致。

被掃描的首創(chuàng)網(wǎng)絡(luò)的IDC和專線客戶,都是經(jīng)常使用IT設(shè)備和網(wǎng)絡(luò)應(yīng)用的,其中,本身業(yè)務(wù)系統(tǒng)與安全結(jié)合不是很緊密的客戶比較容易產(chǎn)生安全漏洞,比如媒體的網(wǎng)站、制造業(yè)企業(yè)的網(wǎng)站等。在首創(chuàng)網(wǎng)絡(luò)的整個掃描服務(wù)期間中就出現(xiàn)過這樣的情況。一家傳媒機構(gòu)的網(wǎng)站被黑客攻擊,其主頁被篡改了??蛻粢笫讋?chuàng)對其遭到攻擊的主機進行掃描,了解其被攻擊的原因。通過掃描,發(fā)現(xiàn)主要原因在于這個傳媒機構(gòu)把操作系統(tǒng)裝好之后,采取了默認配置,并沒有做安全性增強方面的考慮和設(shè)置,其主機上的漏洞都是一些很常見也很容易彌補的。此外,制造業(yè)企業(yè)涉及到CRM和ERP這樣的系統(tǒng)。總部與分支機構(gòu)之間經(jīng)常有大量機密的數(shù)據(jù)需要交互,對于這樣的企業(yè),如果不做好全面的安全規(guī)劃并采取相應(yīng)的安全手段,也容易對外暴露很多安全漏洞。

面對送過來的掃描結(jié)果和漏洞分析,客戶的反應(yīng)五花八門:有的客戶一接到掃描的結(jié)果,發(fā)現(xiàn)自己的網(wǎng)絡(luò)安全存在這么多的問題,非常著急,立刻要求首創(chuàng)為其提供相應(yīng)的解決方案;有的客戶要求首創(chuàng)幫助把漏洞堵上;也有客戶說,賣我們一個防火墻吧;還有客戶沒有反應(yīng),好像在忙著理順自己的網(wǎng)絡(luò),無暇顧及安全問題。

安全防范,投入多少并采取哪些手段

有兩個問題需要企業(yè)考慮清楚,一是企業(yè)要保護的信息到底值得投入多少;二是采取什么手段。網(wǎng)絡(luò)時代,企業(yè)要連接到互聯(lián)網(wǎng)上與外部溝通。任何企業(yè)無論大小,總是有些信息是不希望被外界知道的,每一個企業(yè)都有必要采取一定的手段保護自己的信息,防止被別人竊取、篡改或者破壞。那么企業(yè)值得投入多少人力、物力和財力保護信息安全?

第2篇

第一條 為加強對具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)和相關(guān)新技術(shù)新應(yīng)用的安全管理,規(guī)范互聯(lián)網(wǎng)信息服務(wù)活動,維護國家安全、社會秩序和公共利益,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》,制訂本規(guī)定。

第二條 本規(guī)定所稱具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù),包括下列情形:

(一)開辦論壇、博客、微博客、聊天室、通訊群組、公眾賬號、短視頻、網(wǎng)絡(luò)直播、信息分享、小程序等信息服務(wù)或者附設(shè)相應(yīng)功能;

(二)開辦提供公眾輿論表達渠道或者具有發(fā)動社會公眾從事特定活動能力的其他互聯(lián)網(wǎng)信息服務(wù)。

第三條 互聯(lián)網(wǎng)信息服務(wù)提供者具有下列情形之一的,應(yīng)當(dāng)依照本規(guī)定自行開展安全評估,并對評估結(jié)果負責(zé):

(一)具有輿論屬性或社會動員能力的信息服務(wù)上線,或者信息服務(wù)增設(shè)相關(guān)功能的;

(二)使用新技術(shù)新應(yīng)用,使信息服務(wù)的功能屬性、技術(shù)實現(xiàn)方式、基礎(chǔ)資源配置等發(fā)生重大變更,導(dǎo)致輿論屬性或者社會動員能力發(fā)生重大變化的;

(三)用戶規(guī)模顯著增加,導(dǎo)致信息服務(wù)的輿論屬性或者社會動員能力發(fā)生重大變化的;

(四)發(fā)生違法有害信息傳播擴散,表明已有安全措施難以有效防控網(wǎng)絡(luò)安全風(fēng)險的;

(五)地市級以上網(wǎng)信部門或者公安機關(guān)書面通知需要進行安全評估的其他情形。

第四條 互聯(lián)網(wǎng)信息服務(wù)提供者可以自行實施安全評估,也可以委托第三方安全評估機構(gòu)實施。

第五條 互聯(lián)網(wǎng)信息服務(wù)提供者開展安全評估,應(yīng)當(dāng)對信息服務(wù)和新技術(shù)新應(yīng)用的合法性,落實法律、行政法規(guī)、部門規(guī)章和標準規(guī)定的安全措施的有效性,防控安全風(fēng)險的有效性等情況進行全面評估,并重點評估下列內(nèi)容:

(一)確定與所提供服務(wù)相適應(yīng)的安全管理負責(zé)人、信息審核人員或者建立安全管理機構(gòu)的情況;

(二)用戶真實身份核驗以及注冊信息留存措施;

(三)對用戶的賬號、操作時間、操作類型、網(wǎng)絡(luò)源地址和目標地址、網(wǎng)絡(luò)源端口、客戶端硬件特征等日志信息,以及用戶信息記錄的留存措施;

(四)對用戶賬號和通訊群組名稱、昵稱、簡介、備注、標識,信息、轉(zhuǎn)發(fā)、評論和通訊群組等服務(wù)功能中違法有害信息的防范處置和有關(guān)記錄保存措施;

(五)個人信息保護以及防范違法有害信息傳播擴散、社會動員功能失控風(fēng)險的技術(shù)措施;

(六)建立投訴、舉報制度,公布投訴、舉報方式等信息,及時受理并處理有關(guān)投訴和舉報的情況;

(七)建立為網(wǎng)信部門依法履行互聯(lián)網(wǎng)信息服務(wù)監(jiān)督管理職責(zé)提供技術(shù)、數(shù)據(jù)支持和協(xié)助的工作機制的情況;

(八)建立為公安機關(guān)、國家安全機關(guān)依法維護國家安全和查處違法犯罪提供技術(shù)、數(shù)據(jù)支持和協(xié)助的工作機制的情況。

第六條 互聯(lián)網(wǎng)信息服務(wù)提供者在安全評估中發(fā)現(xiàn)存在安全隱患的,應(yīng)當(dāng)及時整改,直至消除相關(guān)安全隱患。

經(jīng)過安全評估,符合法律、行政法規(guī)、部門規(guī)章和標準的,應(yīng)當(dāng)形成安全評估報告。安全評估報告應(yīng)當(dāng)包括下列內(nèi)容:

(一)互聯(lián)網(wǎng)信息服務(wù)的功能、服務(wù)范圍、軟硬件設(shè)施、部署位置等基本情況和相關(guān)證照獲取情況;

(二)安全管理制度和技術(shù)措施落實情況及風(fēng)險防控效果;

(三)安全評估結(jié)論;

(四)其他應(yīng)當(dāng)說明的相關(guān)情況。

第七條 互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)將安全評估報告通過全國互聯(lián)網(wǎng)安全管理服務(wù)平臺提交所在地地市級以上網(wǎng)信部門和公安機關(guān)。

具有本規(guī)定第三條第一項、第二項情形的,互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)在信息服務(wù)、新技術(shù)新應(yīng)用上線或者功能增設(shè)前提交安全評估報告;具有本規(guī)定第三條第三、四、五項情形的,應(yīng)當(dāng)自相關(guān)情形發(fā)生之日起30個工作日內(nèi)提交安全評估報告。

第八條 地市級以上網(wǎng)信部門和公安機關(guān)應(yīng)當(dāng)依據(jù)各自職責(zé)對安全評估報告進行書面審查。

發(fā)現(xiàn)安全評估報告內(nèi)容、項目缺失,或者安全評估方法明顯不當(dāng)?shù)模瑧?yīng)當(dāng)責(zé)令互聯(lián)網(wǎng)信息服務(wù)提供者限期重新評估。

發(fā)現(xiàn)安全評估報告內(nèi)容不清的,可以責(zé)令互聯(lián)網(wǎng)信息服務(wù)提供者補充說明。

第九條 網(wǎng)信部門和公安機關(guān)根據(jù)對安全評估報告的書面審查情況,認為有必要的,應(yīng)當(dāng)依據(jù)各自職責(zé)對互聯(lián)網(wǎng)信息服務(wù)提供者開展現(xiàn)場檢查。

網(wǎng)信部門和公安機關(guān)開展現(xiàn)場檢查原則上應(yīng)當(dāng)聯(lián)合實施,不得干擾互聯(lián)網(wǎng)信息服務(wù)提供者正常的業(yè)務(wù)活動。

第十條 對存在較大安全風(fēng)險、可能影響國家安全、社會秩序和公共利益的互聯(lián)網(wǎng)信息服務(wù),省級以上網(wǎng)信部門和公安機關(guān)應(yīng)當(dāng)組織專家進行評審,必要時可以會同屬地相關(guān)部門開展現(xiàn)場檢查。

第十一條 網(wǎng)信部門和公安機關(guān)開展現(xiàn)場檢查,應(yīng)當(dāng)依照有關(guān)法律、行政法規(guī)、部門規(guī)章的規(guī)定進行。

第十二條 網(wǎng)信部門和公安機關(guān)應(yīng)當(dāng)建立監(jiān)測管理制度,加強網(wǎng)絡(luò)安全風(fēng)險管理,督促互聯(lián)網(wǎng)信息服務(wù)提供者依法履行網(wǎng)絡(luò)安全義務(wù)。

發(fā)現(xiàn)具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)提供者未按本規(guī)定開展安全評估的,網(wǎng)信部門和公安機關(guān)應(yīng)當(dāng)通知其按本規(guī)定開展安全評估。

第十三條 網(wǎng)信部門和公安機關(guān)發(fā)現(xiàn)具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)提供者拒不按照本規(guī)定開展安全評估的,應(yīng)當(dāng)通過全國互聯(lián)網(wǎng)安全管理服務(wù)平臺向公眾提示該互聯(lián)網(wǎng)信息服務(wù)存在安全風(fēng)險,并依照各自職責(zé)對該互聯(lián)網(wǎng)信息服務(wù)實施監(jiān)督檢查,發(fā)現(xiàn)存在違法行為的,應(yīng)當(dāng)依法處理。

第十四條 網(wǎng)信部門統(tǒng)籌協(xié)調(diào)具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)安全評估工作,公安機關(guān)的安全評估工作情況定期通報網(wǎng)信部門。

第十五條 網(wǎng)信部門、公安機關(guān)及其工作人員對在履行職責(zé)中知悉的國家秘密、商業(yè)秘密和個人信息應(yīng)當(dāng)嚴格保密,不得泄露、出售或者非法向他人提供。

第3篇

第一條 為加強對具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)和相關(guān)新技術(shù)新應(yīng)用的安全管理,規(guī)范互聯(lián)網(wǎng)信息服務(wù)活動,維護國家安全、社會秩序和公共利益,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》,制訂本規(guī)定。

第二條 本規(guī)定所稱具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù),包括下列情形:

(一)開辦論壇、博客、微博客、聊天室、通訊群組、公眾賬號、短視頻、網(wǎng)絡(luò)直播、信息分享、小程序等信息服務(wù)或者附設(shè)相應(yīng)功能;

(二)開辦提供公眾輿論表達渠道或者具有發(fā)動社會公眾從事特定活動能力的其他互聯(lián)網(wǎng)信息服務(wù)。

第三條 互聯(lián)網(wǎng)信息服務(wù)提供者具有下列情形之一的,應(yīng)當(dāng)依照本規(guī)定自行開展安全評估,并對評估結(jié)果負責(zé):

(一)具有輿論屬性或社會動員能力的信息服務(wù)上線,或者信息服務(wù)增設(shè)相關(guān)功能的;

(二)使用新技術(shù)新應(yīng)用,使信息服務(wù)的功能屬性、技術(shù)實現(xiàn)方式、基礎(chǔ)資源配置等發(fā)生重大變更,導(dǎo)致輿論屬性或者社會動員能力發(fā)生重大變化的;

(三)用戶規(guī)模顯著增加,導(dǎo)致信息服務(wù)的輿論屬性或者社會動員能力發(fā)生重大變化的;

(四)發(fā)生違法有害信息傳播擴散,表明已有安全措施難以有效防控網(wǎng)絡(luò)安全風(fēng)險的;

(五)地市級以上網(wǎng)信部門或者公安機關(guān)書面通知需要進行安全評估的其他情形。

第四條 互聯(lián)網(wǎng)信息服務(wù)提供者可以自行實施安全評估,也可以委托第三方安全評估機構(gòu)實施。

第五條 互聯(lián)網(wǎng)信息服務(wù)提供者開展安全評估,應(yīng)當(dāng)對信息服務(wù)和新技術(shù)新應(yīng)用的合法性,落實法律、行政法規(guī)、部門規(guī)章和標準規(guī)定的安全措施的有效性,防控安全風(fēng)險的有效性等情況進行全面評估,并重點評估下列內(nèi)容:

(一)確定與所提供服務(wù)相適應(yīng)的安全管理負責(zé)人、信息審核人員或者建立安全管理機構(gòu)的情況;

(二)用戶真實身份核驗以及注冊信息留存措施;

(三)對用戶的賬號、操作時間、操作類型、網(wǎng)絡(luò)源地址和目標地址、網(wǎng)絡(luò)源端口、客戶端硬件特征等日志信息,以及用戶信息記錄的留存措施;

(四)對用戶賬號和通訊群組名稱、昵稱、簡介、備注、標識,信息、轉(zhuǎn)發(fā)、評論和通訊群組等服務(wù)功能中違法有害信息的防范處置和有關(guān)記錄保存措施;

(五)個人信息保護以及防范違法有害信息傳播擴散、社會動員功能失控風(fēng)險的技術(shù)措施;

(六)建立投訴、舉報制度,公布投訴、舉報方式等信息,及時受理并處理有關(guān)投訴和舉報的情況;

(七)建立為網(wǎng)信部門依法履行互聯(lián)網(wǎng)信息服務(wù)監(jiān)督管理職責(zé)提供技術(shù)、數(shù)據(jù)支持和協(xié)助的工作機制的情況;

(八)建立為公安機關(guān)、國家安全機關(guān)依法維護國家安全和查處違法犯罪提供技術(shù)、數(shù)據(jù)支持和協(xié)助的工作機制的情況。

第六條 互聯(lián)網(wǎng)信息服務(wù)提供者在安全評估中發(fā)現(xiàn)存在安全隱患的,應(yīng)當(dāng)及時整改,直至消除相關(guān)安全隱患。

經(jīng)過安全評估,符合法律、行政法規(guī)、部門規(guī)章和標準的,應(yīng)當(dāng)形成安全評估報告。安全評估報告應(yīng)當(dāng)包括下列內(nèi)容:

(一)互聯(lián)網(wǎng)信息服務(wù)的功能、服務(wù)范圍、軟硬件設(shè)施、部署位置等基本情況和相關(guān)證照獲取情況;

(二)安全管理制度和技術(shù)措施落實情況及風(fēng)險防控效果;

(三)安全評估結(jié)論;

(四)其他應(yīng)當(dāng)說明的相關(guān)情況。

第七條 互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)將安全評估報告通過全國互聯(lián)網(wǎng)安全管理服務(wù)平臺提交所在地地市級以上網(wǎng)信部門和公安機關(guān)。

具有本規(guī)定第三條第一項、第二項情形的,互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)在信息服務(wù)、新技術(shù)新應(yīng)用上線或者功能增設(shè)前提交安全評估報告;具有本規(guī)定第三條第三、四、五項情形的,應(yīng)當(dāng)自相關(guān)情形發(fā)生之日起30個工作日內(nèi)提交安全評估報告。

第八條 地市級以上網(wǎng)信部門和公安機關(guān)應(yīng)當(dāng)依據(jù)各自職責(zé)對安全評估報告進行書面審查。

發(fā)現(xiàn)安全評估報告內(nèi)容、項目缺失,或者安全評估方法明顯不當(dāng)?shù)模瑧?yīng)當(dāng)責(zé)令互聯(lián)網(wǎng)信息服務(wù)提供者限期重新評估。

發(fā)現(xiàn)安全評估報告內(nèi)容不清的,可以責(zé)令互聯(lián)網(wǎng)信息服務(wù)提供者補充說明。

第九條 網(wǎng)信部門和公安機關(guān)根據(jù)對安全評估報告的書面審查情況,認為有必要的,應(yīng)當(dāng)依據(jù)各自職責(zé)對互聯(lián)網(wǎng)信息服務(wù)提供者開展現(xiàn)場檢查。

網(wǎng)信部門和公安機關(guān)開展現(xiàn)場檢查原則上應(yīng)當(dāng)聯(lián)合實施,不得干擾互聯(lián)網(wǎng)信息服務(wù)提供者正常的業(yè)務(wù)活動。

第十條 對存在較大安全風(fēng)險、可能影響國家安全、社會秩序和公共利益的互聯(lián)網(wǎng)信息服務(wù),省級以上網(wǎng)信部門和公安機關(guān)應(yīng)當(dāng)組織專家進行評審,必要時可以會同屬地相關(guān)部門開展現(xiàn)場檢查。

第十一條 網(wǎng)信部門和公安機關(guān)開展現(xiàn)場檢查,應(yīng)當(dāng)依照有關(guān)法律、行政法規(guī)、部門規(guī)章的規(guī)定進行。

第十二條 網(wǎng)信部門和公安機關(guān)應(yīng)當(dāng)建立監(jiān)測管理制度,加強網(wǎng)絡(luò)安全風(fēng)險管理,督促互聯(lián)網(wǎng)信息服務(wù)提供者依法履行網(wǎng)絡(luò)安全義務(wù)。

發(fā)現(xiàn)具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)提供者未按本規(guī)定開展安全評估的,網(wǎng)信部門和公安機關(guān)應(yīng)當(dāng)通知其按本規(guī)定開展安全評估。

第十三條 網(wǎng)信部門和公安機關(guān)發(fā)現(xiàn)具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)提供者拒不按照本規(guī)定開展安全評估的,應(yīng)當(dāng)通過全國互聯(lián)網(wǎng)安全管理服務(wù)平臺向公眾提示該互聯(lián)網(wǎng)信息服務(wù)存在安全風(fēng)險,并依照各自職責(zé)對該互聯(lián)網(wǎng)信息服務(wù)實施監(jiān)督檢查,發(fā)現(xiàn)存在違法行為的,應(yīng)當(dāng)依法處理。

第十四條 網(wǎng)信部門統(tǒng)籌協(xié)調(diào)具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)安全評估工作,公安機關(guān)的安全評估工作情況定期通報網(wǎng)信部門。

第十五條 網(wǎng)信部門、公安機關(guān)及其工作人員對在履行職責(zé)中知悉的國家秘密、商業(yè)秘密和個人信息應(yīng)當(dāng)嚴格保密,不得泄露、出售或者非法向他人提供。

第4篇

1.1系統(tǒng)功能

在網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)中,網(wǎng)絡(luò)服務(wù)評估系統(tǒng)的數(shù)據(jù)源是最重要的數(shù)據(jù)源之一。一方面,它能向上層管理者提供目標網(wǎng)絡(luò)的安全態(tài)勢評估。另一方面,服務(wù)數(shù)據(jù)源為其它傳感器(Log傳感器、SNMP傳感器、Netflow傳感器)的數(shù)據(jù)分析提供參考和依據(jù)[1]。

1.2主要功能

(1)風(fēng)險評估,根據(jù)國家安全標準并利用測試系統(tǒng)的數(shù)據(jù)和主要的風(fēng)險評估模型,獲取系統(tǒng)數(shù)據(jù),定義系統(tǒng)風(fēng)險,并提出應(yīng)對措施[2]。

(2)安全態(tài)勢評估與預(yù)測,利用得到的安全測試數(shù)據(jù),按照預(yù)測、隨機和綜合量化模型,對信息系統(tǒng)作出安全態(tài)勢評估與預(yù)測,指出存在的安全隱患并提出安全解決方案。

(3)建立數(shù)據(jù)庫支撐,包括評估模型庫、專家知識庫、標準規(guī)范庫等。

(4)輸出基于圖表樣式和數(shù)據(jù)文件格式的評估結(jié)果。

2系統(tǒng)組成和總體架構(gòu)

2.1系統(tǒng)組成

網(wǎng)絡(luò)安全評估系統(tǒng)態(tài)勢評估系統(tǒng)是在Windows7平臺下,采用C++builder2007開發(fā)的。它的數(shù)據(jù)交互是通過核心數(shù)據(jù)庫來運行的,為了使評估的計算速度和讀寫數(shù)據(jù)庫數(shù)據(jù)更快,應(yīng)將子系統(tǒng)與核心數(shù)據(jù)庫安裝在同一機器上。子系統(tǒng)之間的數(shù)據(jù)交互方式分別為項目數(shù)據(jù)交互和結(jié)果數(shù)據(jù)交互。前者分發(fā)采用移動存儲的形式進行,而后者的提交獲取是通過核心數(shù)據(jù)庫運行。

2.2總體架構(gòu)

系統(tǒng)包括人機交互界面、控制管理、數(shù)據(jù)整合、漏洞掃描、安全態(tài)勢評估和預(yù)測、本地數(shù)據(jù)庫等六個模塊組成。網(wǎng)絡(luò)安全評估系統(tǒng)中的漏洞掃描部分采用插件技術(shù)設(shè)計總體架構(gòu)。掃描目標和主控臺是漏洞掃描子系統(tǒng)的主要部分,后者是漏洞掃描子系統(tǒng)運行的中心,主控臺主要是在用戶打開系統(tǒng)之后,通過操作界面與用戶進行交流,按照用戶下達的命令及調(diào)用測試引擎對網(wǎng)絡(luò)上的主機進行漏洞測試,測試完成后調(diào)取所占用的資源,并取得掃描結(jié)果,最后形成網(wǎng)絡(luò)安全測試評估報告,通過這個測試,有利于管理人員發(fā)現(xiàn)主機有可能會被黑客利用的漏洞,在這些薄弱區(qū)被黑客攻擊之前對其進行加強整固,從而提高主機網(wǎng)絡(luò)系統(tǒng)的安全性。

3系統(tǒng)工作流程

本系統(tǒng)首先從管理控制子系統(tǒng)獲取評估任務(wù)文件[3],然后根據(jù)任務(wù)信息從中心數(shù)據(jù)庫獲取測試子系統(tǒng)的測試數(shù)據(jù),再對這些數(shù)據(jù)進行融合(加權(quán)、去重),接著根據(jù)評估標準、評估模型和支撐數(shù)據(jù)庫進行評估[4],評估得到網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險、安全態(tài)勢,并對網(wǎng)絡(luò)信息系統(tǒng)的安全態(tài)勢進行預(yù)測,最后將評估結(jié)果進行可視化展示,并生成相關(guān)評估報告,以幫助用戶進行最終的決策[5]。

4系統(tǒng)部分模塊設(shè)計

4.1網(wǎng)絡(luò)主機存活性識別的設(shè)計

“存活”是用于表述網(wǎng)絡(luò)主機狀態(tài)[6],在網(wǎng)絡(luò)安全評估系統(tǒng)中存活性識別流程對存活主機識別采用的方法是基于ARP協(xié)議。它的原理是當(dāng)主機或路由器正在尋找另外主機或路由器在此網(wǎng)絡(luò)上的物理地址的時候,就發(fā)出ARP查詢分組。由于發(fā)送站不知道接收站的物理地址,查詢便開始進行網(wǎng)絡(luò)廣播。所有在網(wǎng)絡(luò)上的主機和路由器都會接收和處理分組,但僅有意圖中的接收者才會發(fā)現(xiàn)它的IP地址,并響應(yīng)分組。

4.2網(wǎng)絡(luò)主機開放端口/服務(wù)掃描設(shè)計

端口是計算機與外界通訊交流的出口[7],軟件領(lǐng)域的端口一般指網(wǎng)絡(luò)中面向連接服務(wù)的通信協(xié)議端口,是一種抽象的軟件結(jié)構(gòu),包括一些數(shù)據(jù)結(jié)構(gòu)和FO(基本輸入輸出)緩沖區(qū)[8]。

4.3網(wǎng)絡(luò)安全評估系統(tǒng)的實現(xiàn)

該實現(xiàn)主要有三個功能,分別是打開、執(zhí)行和退出系統(tǒng)[9]。打開是指打開系統(tǒng)分發(fā)的評估任務(wù),顯示任務(wù)的具體信息;執(zhí)行任務(wù)指的是把檢測數(shù)據(jù)融合,存入數(shù)據(jù)庫;退出系統(tǒng)是指關(guān)閉系統(tǒng)。然后用戶在進行掃描前可以進行選擇掃描哪些項,對自己的掃描范圍進行設(shè)置。進入掃描后,界面左邊可以顯示掃描選項,即用戶選中的需要掃描的項[10]。界面右邊顯示掃描進程。掃描結(jié)束后,用戶可以點擊“生成報告”,系統(tǒng)生成用戶的網(wǎng)絡(luò)安全評估系統(tǒng)檢測報告,最終評定目標主機的安全等級[11]。

5結(jié)束語

(1)系統(tǒng)研究還不夠全面和深入。網(wǎng)絡(luò)安全態(tài)勢評估是一門新技術(shù)[12],很多問題如規(guī)劃和結(jié)構(gòu)還沒有解決。很多工作僅限于理論,設(shè)計方面存在爭論,沒有統(tǒng)一的安全態(tài)勢評估系統(tǒng)模型[13]。

(2)網(wǎng)絡(luò)安全狀況評估沒有一致的衡量標準。網(wǎng)絡(luò)安全是一個全面統(tǒng)一的概念[14],而網(wǎng)絡(luò)安全態(tài)勢的衡量到現(xiàn)在還沒有一個全面的衡量機制[15]。這就導(dǎo)致現(xiàn)在還沒有遵守的標準,無法判斷方法的優(yōu)劣。

第5篇

【 關(guān)鍵詞 】 網(wǎng)絡(luò)安全;評估;漏洞掃描

The Research of Network Security Evaluation

Wu Guo-qiang

(Institute of Geophysics, China Earthquake Administration Beijing 100085)

【 Abstract 】 at present, the network has brought great change to people's life, work and study. People in the enjoyment of the Internet brought not only convenience but also security influence. Due to the network with the sharing of resources, widely distributed and open features, to cyber criminals had to take advantage of the machine, to the society and the individual has brought incalculable harm. The network hacker attacks to network bu the use of network management and technical flaws, on the network security evaluation, targeted to network repair job, can fundamentally solve the problem of network security hidden danger, will put an end to. In the existing application level basis, establish and improve the network security assessment system for network, normal, safe and stable operation is of great value in the practical application.

【 Keywords 】 network security; assessment; vulnerability scanning

0 引言

隨著網(wǎng)絡(luò)用戶的增多,人們對網(wǎng)絡(luò)的依賴性越來越嚴重,網(wǎng)絡(luò)已經(jīng)成為人們生活中不可分割的一部分,但是,受到網(wǎng)絡(luò)危害的人數(shù)也在逐年增加。據(jù)不完全統(tǒng)計,我國超過一半以上的企事業(yè)單位受到過網(wǎng)絡(luò)安全事故的危害,而且這個數(shù)字還在逐年增加。其網(wǎng)絡(luò)安全的危害主要表現(xiàn)在:黑客攻擊、木馬侵襲和病毒傳染等。

當(dāng)前,我國的信息化安全建設(shè)也隨著技術(shù)的發(fā)展不斷進步,但是,由于網(wǎng)絡(luò)資源共享和分布不均勻的特性及相關(guān)法律不健全的影響,讓眾多網(wǎng)絡(luò)用戶受到網(wǎng)絡(luò)危害及損失之后,其個人名譽和財產(chǎn)無法得到有效地保護。因此,加強自身網(wǎng)絡(luò)的安全建設(shè),及時有效地網(wǎng)絡(luò)系統(tǒng)進行評估,是十分有必要的。

1 模型和算法

網(wǎng)絡(luò)安全評估主要從物理安全、究全控制、管理安全、數(shù)據(jù)安全和技術(shù)安全幾個層次進行評估。當(dāng)前,社會上存在的評估系統(tǒng),都是從某個方面入手進行評估驗證,只把握住了局部問題,而沒有從全局出發(fā),缺乏必要的合理性和科學(xué)性。綜合國內(nèi)外準則和技術(shù)指標,都是僅僅規(guī)定了體系和框架,對于具體的安全掃描操作沒有給出具體的步驟和過程。為了能夠設(shè)計出更加完善的網(wǎng)絡(luò)安全評估系統(tǒng),給出定性的安全保護策略和安全評級,首先需要做的是確定其評估模型。

1.1 評估模型分類

(1)定性評估方法

該方法的特點是預(yù)見性。模型在沒有建立以前,就要確定其漏洞及其危害性。對于漏洞的分析主要通過三個方面進行:一是性質(zhì)和成區(qū)(查看具體由操作系統(tǒng)、應(yīng)用軟件和端口哪一方面引起);二是危害程度(越級訪問、遠程控制、非法竊取、非法訪問、遠程欺騙和拒絕服務(wù));三是漏洞級別(一般、嚴重和非常嚴重)。

該評估模型的優(yōu)點是實現(xiàn)簡單、操作方便,最大的不足之處就是主觀性強,需要研發(fā)人員對網(wǎng)絡(luò)安全有足夠的經(jīng)驗和水平并且盡可能地多采集相關(guān)的信息。其代表方法有歷史比較法、因素分析法和德菲爾法等。

(2)定量的評估方法

該方法主要是通過判斷影響網(wǎng)絡(luò)安全的數(shù)值來進行的。其優(yōu)點是客觀公正、科學(xué),其缺點是由于要進行大量的數(shù)據(jù)比較,其實現(xiàn)相對復(fù)雜。其代表的方法有決策樹法、因子分解法和聚類分析法等。

(3)綜合的評估方法

該方法是結(jié)合了前兩種方法的優(yōu)點,其代表的方法有模糊數(shù)學(xué)法、威脅樹法和層次分析法等。

(4)基于模型的評估方法

該方法是目前最有效的方法,它所基于的模型都是建立在成熟的模型的基礎(chǔ)之上,所以設(shè)計簡單、發(fā)現(xiàn)漏洞的效率高、易發(fā)現(xiàn)未知的攻擊模式和脆弱的系統(tǒng)等,能夠從全局上對網(wǎng)絡(luò)進行評估。當(dāng)前,它所基于的模型主要有故障樹模型、信息流模型、訪問控制模型和基于角色的訪問控制模型等。

1.2 評估模型理論

什么是NKS?NKS的英文全名是A New Kind of Science,2002年,著名的數(shù)學(xué)軟件Mathematica的設(shè)計者Wolfram出版了一本書就叫這個名字,專門研究各種簡單程序,例如細胞自動機、圖靈機、替代系統(tǒng)等等,并得出了豐富的結(jié)論,他把這門科學(xué)叫做NKS。

評估模型建立的是一種層次化的網(wǎng)絡(luò)質(zhì)量度量方法NKS,其主要的評估要素由一系列小的質(zhì)量要素(:物理安全、技術(shù)安全、管理安全和管理策略等)組成,而小的質(zhì)量要素又是由網(wǎng)絡(luò)安全評估衡量標準(脆弱性、漏洞和各種弱口令等)組成,標準又通過安全度量元(脆弱性情況、漏洞嚴重程度和弱口令復(fù)雜度等)的特性來完成。通過一層層的遞進關(guān)系,來準確地評估出確切的評估要素值。

1.3 評估算法

在網(wǎng)絡(luò)安全評估中,只有通過具體的值才能在計算機中得到體現(xiàn),一般度量值有兩種類型,分別是邏輯型和數(shù)值型。邏輯型相對比較簡單,只需要根據(jù)對應(yīng)的值進行邏輯判斷即可;而數(shù)值型則需要通過復(fù)雜的數(shù)值計算才能夠得出具體的判定層次。

在此我們對數(shù)值型進行簡要的介紹。

首先,將評估要素設(shè)成兩元關(guān)系的集合,第一個參數(shù)代表評估的結(jié)果,第二個表示其結(jié)果在整個網(wǎng)絡(luò)中所起到的權(quán)重值。每一個模型所進行數(shù)值計算都是不同的,但不管哪一個,一般都通過采用以下幾個要素組合來取得最終的結(jié)果,它們是專家?guī)?、關(guān)系方程、概率分析和權(quán)重等。

2 網(wǎng)絡(luò)安全評估系統(tǒng)組成和功能

在上面理論的基礎(chǔ)之上,我們設(shè)計出NKS網(wǎng)絡(luò)安全評估系統(tǒng),以確保整個網(wǎng)絡(luò)的安全和對潛在威脅的及時發(fā)現(xiàn)。

2.1 系統(tǒng)組成簡介

整個系統(tǒng)主要由四個模塊組成,分別是評估結(jié)果管理模塊、安全性檢測與評估報告生成模塊、系統(tǒng)設(shè)置模塊和附加功能模塊。其結(jié)構(gòu)圖如圖1所示。

(1)評估結(jié)果管理模塊

模塊主要體現(xiàn)在結(jié)果的顯示和歷史記錄的查詢上面,由搜索掃描記錄、刪除掃描記錄和顯示評估結(jié)果組成。

(2)安全性檢測與評估報告生成模塊

在整個系統(tǒng)中,所有功能及模塊都是圍繞該模塊而運行,它是系統(tǒng)的核心。它首先進行主機存活性識別操作,假如該主機處于活躍狀態(tài),那么將對其操作系統(tǒng)進行探測,然后依次進行端口/服務(wù)掃描、漏洞掃描和弱口令探測等一系列活動,最后通過安全評估算法的合理運算,生成評估報告。

(3)系統(tǒng)設(shè)置及插件配置模塊

從系統(tǒng)的角度出發(fā),為了保證合法用戶的正確使用,防止非法用戶的入侵,必須設(shè)置必要的賬戶進行管理,合法用戶可以通過賬戶進行系統(tǒng)的管理。其主要的功能有添加、刪除賬戶及修改密碼等。插件配置子程序主要完成端口掃描、漏洞掃描和弱口令掃描等。

(4)附加功能模塊

提供SQL可注入性檢測功能的實現(xiàn)。

2.2 功能介紹

該系統(tǒng)的主要功能體現(xiàn)在九個方面。(1)目標主機存活性探測。通過遠程對目標主機的存活性進行探測。其具體的要求是速度盡可能地快、正確率盡可能高和穿越防火墻的能力盡可能地強。(2)網(wǎng)絡(luò)拓撲發(fā)現(xiàn)。能夠描述出目標主機所在的網(wǎng)絡(luò)拓撲圖。其具體的要求是圖形顯示網(wǎng)絡(luò)拓撲和區(qū)別各種網(wǎng)絡(luò)設(shè)備。(3)操作系統(tǒng)識別。能夠查出目標主機上所具體使用的操作系統(tǒng)的版本相關(guān)信息。其具體的要求是通過TCL/IP協(xié)議實現(xiàn)。(4)弱口令探測。能夠查出目標主機上常用的SQL數(shù)據(jù)庫、FTP和WEB服務(wù)的常用口令。(5)開放端口/服務(wù)掃描。要求是通過TCP、UDP端口進行掃描。(6)漏洞掃描。它能夠?qū)λ械腤indows操作系統(tǒng)和部分Linux操作系統(tǒng)進行分析,并對數(shù)據(jù)庫和文檔進行集成。(7)木馬檢查。(8)生成報告。其要求是要以文本和網(wǎng)頁兩種形式表現(xiàn)出來,并且報告要針對管理員和一般用戶進行區(qū)分。(9)用戶管理。其具體的要求是能夠添加、刪除用戶,并且對用戶的密碼進行修改主,并且用戶的界面要盡可能地人性化。

3 網(wǎng)絡(luò)安全評估系統(tǒng)詳細設(shè)計

根據(jù)以上的介紹,我們根據(jù)網(wǎng)絡(luò)安全評估系統(tǒng)的功能,對其主要的功能模塊進行實現(xiàn)。

3.1 獲取遠程本機的基本信息

要獲取本機的網(wǎng)絡(luò)安全評估指數(shù),首先要確定其本地的基本信息,如網(wǎng)卡的MAC地址、IP所屬的網(wǎng)絡(luò)段和操作系統(tǒng)基本信息等參數(shù)。

3.2 開放端口的判斷

端口的開放程度對主機的安全性影響巨大,如何判斷該機的哪些端口開放,哪些沒有開放,在整個系統(tǒng)的運行中是十分必要的。我們可以通過往某個端口發(fā)送其固定數(shù)據(jù),看是否接收,來進行判斷,其具體的代碼如下:

4 總結(jié)

針對網(wǎng)絡(luò)安全展開討論,首先詳細分析了網(wǎng)絡(luò)安全的模型和算法,對網(wǎng)絡(luò)安全評估的幾種常用方法進行了比較,其次分析了網(wǎng)絡(luò)安全評估系統(tǒng)的組成和功能,并給出了具體的模塊結(jié)構(gòu)圖,最后對整個系統(tǒng)的具體實現(xiàn)進行詳細的描述,重點介紹了主機常用信息的獲取和端口開放的判斷,對于其它的內(nèi)容由于篇幅所限,在此并沒有給出。

參考文獻

[1] 許曉.應(yīng)用系統(tǒng)的安全威脅及其防護.信息化研究,2009.

[2] 崔孝林.網(wǎng)絡(luò)安全評估系統(tǒng)的設(shè)計與實現(xiàn).安徽:中國科學(xué)技術(shù)大學(xué),2009.

[3] 邢栩嘉,林闖,蔣屹立.計算機系統(tǒng)脆弱性評估研究.計算機學(xué)報,2004.

[4] 陳冬雨.趨勢科技安全威脅評估報告.計算機安全,2009.

第6篇

關(guān)鍵詞:網(wǎng)絡(luò)安全;風(fēng)險評估;實施流程

中圖文分類號:TP393.08文獻標識碼:A文章編號:1009-3044(2008)29-0366-02

Research on Network Security Risk Assessment Appraisal Flow

XING Zhi-jun

(Railway Wagon Transport Branch Co. of China Shenhua Energy, Yulin 719316, China)

Abstract: Along with the network information age development, the Internet becomes people’s work gradually and lives the essential constituent, but also let the people face the multitudinous secret network threat at the same time. In the network security problem is not allow to neglect. This paper introduced the network security risk assessment appraisal flow in detail.

Key words: network security;risk assessment;appraisal flow

1 引言

網(wǎng)絡(luò)安全風(fēng)險評估就是通過對計算機網(wǎng)絡(luò)系統(tǒng)的安全狀況進行安全性分析,及時發(fā)現(xiàn)并指出存在的安全漏洞,以保證系統(tǒng)的安全。網(wǎng)絡(luò)安全風(fēng)險評估在網(wǎng)絡(luò)安全技術(shù)中具有重要的地位,其基本原理是采用多種方法對網(wǎng)絡(luò)系統(tǒng)可能存在的已知安全漏洞進行檢測,找出可能被黑客利用的安全隱患,并根據(jù)檢測結(jié)果向系統(tǒng)管理員提供詳細可靠的安全分析報告與漏洞修補建議,以便及早采取措施,保護系統(tǒng)信息資源。

風(fēng)險評估過程就是在評估標準的指導(dǎo)下,綜合利用相關(guān)評估技術(shù)、評估方法、評估工具,針對信息系統(tǒng)展開全方位的評估工作的完整歷程。對信息系統(tǒng)進行風(fēng)險評估,首先應(yīng)確保風(fēng)險分析的內(nèi)容與范圍應(yīng)該覆蓋信息系統(tǒng)的整個體系,應(yīng)包括:系統(tǒng)基本情況分析、信息系統(tǒng)基本安全狀況調(diào)查、信息系統(tǒng)安全組織、政策情況分析、信息系統(tǒng)弱點漏洞分析等。

2 風(fēng)險評估的準備

風(fēng)險評估的準備過程是組織進行風(fēng)險評估的基礎(chǔ),是整個風(fēng)險評估過程有效性的保證。機構(gòu)對自身信息及信息系統(tǒng)進行風(fēng)險評估是一種戰(zhàn)略性的考慮,其結(jié)果將受到機構(gòu)的業(yè)務(wù)需求及戰(zhàn)略目標、文化、業(yè)務(wù)流程、安全要求、規(guī)模和結(jié)構(gòu)的影響。不同機構(gòu)對于風(fēng)險評估的實施過程可能存在不同的要求,因此在風(fēng)險評估的準備階段,應(yīng)該完成以下工作。

1) 確定風(fēng)險評估的目標

首先應(yīng)該明確風(fēng)險評估的目標,為風(fēng)險評估的過程提供導(dǎo)向。支持機構(gòu)的信息、系統(tǒng)、應(yīng)用軟件和網(wǎng)絡(luò)是機構(gòu)重要的資產(chǎn)。資產(chǎn)的機密性、完整信和可用性對于維持競爭優(yōu)勢、獲利能力、法規(guī)要求和一個機構(gòu)的形象是必要的。機構(gòu)要面對來自四面八方日益增長的安全威脅。一個機構(gòu)的系統(tǒng)、應(yīng)用軟件和網(wǎng)絡(luò)可能是嚴重威脅的目標。同時,由于機構(gòu)的信息化程度不斷提高,對基于信息系統(tǒng)和服務(wù)技術(shù)的依賴日益增加,一個機構(gòu)則可能出現(xiàn)更多的脆弱性。機構(gòu)的風(fēng)險評估的目標基本上來源于機構(gòu)業(yè)務(wù)持續(xù)發(fā)展的需要、滿足相關(guān)方的要求、滿足法律法規(guī)的要求等方面。

2) 確定風(fēng)險評估的范圍

機構(gòu)進行風(fēng)險評估可能是由于自身業(yè)務(wù)要求及戰(zhàn)略目標的要求、相關(guān)方的要求或者其他原因。因此應(yīng)根據(jù)上述具體原因確定分險評估范圍。范圍可能是機構(gòu)全部的信息和信息系統(tǒng),可能是單獨的信息系統(tǒng),可能是機構(gòu)的關(guān)鍵業(yè)務(wù)流程,也可能是客戶的知識產(chǎn)權(quán)。

3) 建立適當(dāng)?shù)慕M織結(jié)構(gòu)

在風(fēng)險評估過程中,機構(gòu)應(yīng)建立適當(dāng)?shù)慕M織結(jié)構(gòu),以支持整個過程的推進,如成立由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)人員等組成的風(fēng)險評估小組。組織結(jié)構(gòu)的建立應(yīng)考慮其結(jié)構(gòu)和復(fù)雜程度,以保證能夠滿足風(fēng)險評估的目標、范圍。

4) 建立系統(tǒng)型的風(fēng)險評估方法

風(fēng)險評估方法應(yīng)考慮評估的范圍、目的、時間、效果、機構(gòu)文化、人員素質(zhì)以及具體開展的程度等因素來確定,使之能夠與機構(gòu)的環(huán)境和安全要求相適應(yīng)。

5) 獲得最高管理者對風(fēng)險評估策劃的批準

上述所有內(nèi)容應(yīng)得到機構(gòu)的最高管理者的批準,并對管理層和員工進行傳達。由于風(fēng)險評估活動涉及單位的不同領(lǐng)域和人員,需要多方面的協(xié)調(diào),必要的、充分的準備是風(fēng)險評估成功的關(guān)鍵。因此,評估前期準備工作中還應(yīng)簽訂合同和機密協(xié)議以及選擇評估模式。

3 信息資產(chǎn)識別

資產(chǎn)是企業(yè)、機構(gòu)直接賦予了價值因而需要保護的東西,它可能是以多種形式存在的,無形的、有形的,硬件、軟件,文檔、代碼,或者服務(wù)、企業(yè)形象等。在一般的評估體中,資產(chǎn)大多屬于不同的信息系統(tǒng),如OA系統(tǒng)、網(wǎng)管系統(tǒng)、業(yè)務(wù)生產(chǎn)系統(tǒng)等,而且對于提供多種業(yè)務(wù)的機構(gòu),業(yè)務(wù)生產(chǎn)系統(tǒng)的數(shù)量還可能會很多。

資產(chǎn)賦值是對資產(chǎn)安全價值的估價,不是以資產(chǎn)的帳面價格來衡量的。在對資產(chǎn)進行估價時,不僅要考慮資產(chǎn)的成本價格,更重要的是要考慮資產(chǎn)對于機構(gòu)業(yè)務(wù)的安全重要性,即由資產(chǎn)損失所引發(fā)的潛在的影響來決定。為確保資產(chǎn)估價時的一致性和準確定,機構(gòu)應(yīng)按照上述原則,建立一個資產(chǎn)價值尺度(資產(chǎn)評估標準),以明確如何對資產(chǎn)進行賦值。資產(chǎn)賦值包括機密性賦值、完整性賦值和可用性賦值。

4 威脅識別

安全威脅是一種對機構(gòu)及其資產(chǎn)構(gòu)成潛在破壞的可能性因素或者時間。無論對于多么安全的信息系統(tǒng),安全威脅是一個客觀存在的事物,它是風(fēng)險評估的重要因素之一。

5 脆弱性識別

脆弱性評估也稱為弱點評估,是風(fēng)險評估中的重要內(nèi)容。弱點是資產(chǎn)本身存在的,它可以被威脅利用、引起資產(chǎn)或商業(yè)目標的損害。弱點包括物理環(huán)境、機構(gòu)、過程、人員、管理、配置、硬件、軟件和信息等各種資產(chǎn)的脆弱性。

6 已有安全措施的確認

機構(gòu)應(yīng)對已采取的控制措施進行識別并對控制措施的有效性進行確認,將有效的安全控制措施繼續(xù)保持,以避免不必要的工作和費用,防止控制措施的重復(fù)實施。對于那些被認為不適當(dāng)?shù)目刂茟?yīng)核查是否應(yīng)被取消,或者用更合適的控制代替。安全控制可以分為預(yù)防性控制措施和保護性控制措施兩種。預(yù)防性控制措施可以降低威脅發(fā)生的可能性和減少安全脆弱性;而保護性控制措施可以減少因威脅發(fā)生所造成的影響。

7 風(fēng)險識別

根據(jù)策劃的機構(gòu),由評估的人員按照相應(yīng)的職責(zé)和程序進行資產(chǎn)評估、威脅評估、脆弱性評估,在考慮已有安全措施的情況下,利用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用資產(chǎn)脆弱性發(fā)生安全事件的可能性,并結(jié)合資產(chǎn)的安全屬性受到破壞后的影響來得出資產(chǎn)的安全風(fēng)險。

8 風(fēng)險評估結(jié)果記錄

根據(jù)評估實施情況和所搜集到的信息,如資產(chǎn)評估數(shù)據(jù)、威脅評估數(shù)據(jù)、脆弱性評估數(shù)據(jù)等,完成評估報告撰寫。評估報告是風(fēng)險評估結(jié)果的記錄文件,是機構(gòu)實施風(fēng)險管理的主要依據(jù),是對風(fēng)險評估活動進行評審和認可的基礎(chǔ)資料,因此,報告必須做到有據(jù)可查,報告內(nèi)容一般主要包括風(fēng)險評估范圍、風(fēng)險計算方法、安全問題歸納以及描述、風(fēng)險級數(shù)、安全建議等。風(fēng)險評估報告還可以包括風(fēng)險控制措施建議、參與風(fēng)險描述等。

由于信息系統(tǒng)及其所在環(huán)境的不斷變化,在信息系統(tǒng)的運行過程中,絕對安全的措施是不存在的。攻擊者不斷有新的方法繞過或擾亂系統(tǒng)中的安全措施,系統(tǒng)的變化會帶來新的脆弱點,實施的安全措施會隨著時間而過時等等,所有這些表明,信息系統(tǒng)的風(fēng)險評估過程是一個動態(tài)循環(huán)的過程,應(yīng)周期性的對信息系統(tǒng)安全進行重新評估。

參考文獻:

[1] Solomon D A, Russinovich M E. Inside Microsoft Windows 2000[M]. Microsoft Press, 2000.

第7篇

關(guān)鍵詞:網(wǎng)絡(luò)安全;風(fēng)險評估;安全措施

中圖分類號:TP393文獻標識碼:A 文章編號:1009-3044(2008)06-11012-01

A Survey of Network Security Risk Assessment

CHEN Jun-wei

(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)

Abstract:To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.

Key words:Network security; risk assessment; security measures

1 引言

頻頻發(fā)生的信息安全事件正在日益引起全球的關(guān)注,列舉的近年來的網(wǎng)絡(luò)突發(fā)事件,不難發(fā)現(xiàn),強化提升網(wǎng)絡(luò)安全風(fēng)險評估意識、強化信息安全保障為當(dāng)務(wù)之急。所謂風(fēng)險評估,是指網(wǎng)絡(luò)安全防御中的一項重要技術(shù),它的原理是,根據(jù)已知的安全漏洞知識庫,對目標可能存在的安全隱患進行逐項檢查。然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報告,為提高網(wǎng)絡(luò)安全整體水平提供重要依據(jù)。完成一個信息安全系統(tǒng)的設(shè)計與實施并不足以代表該信息安全事務(wù)的完結(jié)。隨著新技術(shù)、新應(yīng)用的不斷出現(xiàn),以及所導(dǎo)致的信息技術(shù)環(huán)境的轉(zhuǎn)變,信息安全工作人員要不斷地評估當(dāng)前的安全威脅,并不斷對當(dāng)前系統(tǒng)中的安全性產(chǎn)生認知。

2 網(wǎng)絡(luò)安全風(fēng)險評估的現(xiàn)狀

2.1 風(fēng)險評估的必要性

有人說安全產(chǎn)品就是保障網(wǎng)絡(luò)安全的基礎(chǔ),但有了安全產(chǎn)品,不等于用戶可以高枕無憂地應(yīng)用網(wǎng)絡(luò)。產(chǎn)品是沒有生命的,需要人來管理與維護,這樣才能最大程度地發(fā)揮其效能。病毒和黑客可謂無孔不入,時時伺機進攻。這就更要求對安全產(chǎn)品及時升級,不斷完善,實時檢測,不斷補漏。網(wǎng)絡(luò)安全并不是僅僅依靠網(wǎng)絡(luò)安全產(chǎn)品就能解決的,它需要合適的安全體系和合理的安全產(chǎn)品組合,需要根據(jù)網(wǎng)絡(luò)及網(wǎng)絡(luò)用戶的情況和需求規(guī)劃、設(shè)計和實施一定的安全策略。通常,在一個企業(yè)中,對安全技術(shù)了如指掌的人員不多,大多技術(shù)人員停留在對安全產(chǎn)品的一般使用上,如果安全系統(tǒng)出現(xiàn)故障或者黑客攻擊引發(fā)網(wǎng)絡(luò)癱瘓,他們將束手無策。這時他們需要的是安全服務(wù)。而安全評估,便是安全服務(wù)的重要前期工作。網(wǎng)絡(luò)信息安全,需要不斷評估方可安全威脅。

2.2 安全評估的目標、原則及內(nèi)容

安全評估的目標通常包括:確定可能對資產(chǎn)造成危害的威脅;通過對歷史資料和專家的經(jīng)驗確定威脅實施的可能性;對可能受到威脅影響的資產(chǎn)確定其價值、敏感性和嚴重性,以及相應(yīng)的級別,確定哪些資產(chǎn)是最重要的;準確了解企業(yè)網(wǎng)的網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀;明晰企業(yè)網(wǎng)的安全需求;制定網(wǎng)絡(luò)和系統(tǒng)的安全策略;制定網(wǎng)絡(luò)和系統(tǒng)的安全解決方案;指導(dǎo)企業(yè)網(wǎng)未來的建設(shè)和投入;通過項目實施和培訓(xùn),培養(yǎng)用戶自己的安全隊伍。而在安全評估中必須遵循以下原則:標準性原則、可控性原則、整體性原則、最小影響原則、保密性原則。

安全評估的內(nèi)容包括專業(yè)安全評估服務(wù)和主機系統(tǒng)加固服務(wù)。專業(yè)安全評估服務(wù)對目標系統(tǒng)通過工具掃描和人工檢查,進行專業(yè)安全的技術(shù)評定,并根據(jù)評估結(jié)果提供評估報告。

目標系統(tǒng)主要是主流UNIX及NT系統(tǒng),主流數(shù)據(jù)庫系統(tǒng),以及主流的網(wǎng)絡(luò)設(shè)備。使用掃描工具對目標系統(tǒng)進行掃描,提供原始評估報告或由專業(yè)安全工程師提供人工分析報告。或是人工檢查安全配置檢查、安全機制檢查、入侵追查及事后取證等內(nèi)容。而主機系統(tǒng)加固服務(wù)是根據(jù)專業(yè)安全評估結(jié)果,制定相應(yīng)的系統(tǒng)加固方案,針對不同目標系統(tǒng),通過打補丁、修改安全配置、增加安全機制等方法,合理進行安全性加強。

系統(tǒng)加固報告服務(wù)選擇使用該服務(wù)包,必須以選擇ISMR/SSMR/HME服務(wù)包為前提,針對評估分析報告,提出加固報告。系統(tǒng)加固報告增強服務(wù)選擇使用該服務(wù)包,必須以選擇ISMR/SSMR/HME服務(wù)包為前提,針對評估分析報告,提出系統(tǒng)加固報告,并將系統(tǒng)加固報告、加固步驟、所需補丁程序以光盤形式提交客戶。系統(tǒng)加固實施服務(wù)選擇使用該服務(wù)包,必須以選擇 ISMR/SSMR/HME服務(wù)包為前提,針對評估分析報告,提出系統(tǒng)加固報告,并將系統(tǒng)加固報告、加固步驟、所需補丁程序以光盤形式提交客戶,并由專業(yè)安全工程師實施加固工作。

3 網(wǎng)絡(luò)安全風(fēng)險評估系統(tǒng)

討論安全評定的前提在于企業(yè)已經(jīng)具有了較為完備的安全策略,這項工作主要檢測當(dāng)前的安全策略是否被良好的執(zhí)行,從而發(fā)現(xiàn)系統(tǒng)中的不安全因素。當(dāng)前計算機世界應(yīng)用的主流網(wǎng)絡(luò)協(xié)議是TCP/IP,而該協(xié)議族并沒有內(nèi)置任何安全機制。這意味著基于網(wǎng)絡(luò)的應(yīng)用程序必須被非常好的保護,網(wǎng)絡(luò)安全評定的主要目標就是為修補全部的安全問題提供指導(dǎo)。

評定網(wǎng)絡(luò)安全性的首要工作是了解網(wǎng)絡(luò)拓撲結(jié)構(gòu),拓撲描述文檔并不總能反映最新的網(wǎng)絡(luò)狀態(tài),進行一些實際的檢測是非常必要的。最簡單的,可以通過Trackroute工具進行網(wǎng)絡(luò)拓撲發(fā)現(xiàn),但是一些網(wǎng)絡(luò)節(jié)點可能會禁止Trackroute流量的通過。在了解了網(wǎng)絡(luò)拓撲之后,應(yīng)該獲知所有計算機的網(wǎng)絡(luò)地址和機器名。對于可以訪問的計算機,還應(yīng)該了解其正在運行的端口,這可以通過很多流行的端口發(fā)現(xiàn)工具實現(xiàn)。當(dāng)對整個網(wǎng)絡(luò)的架構(gòu)獲得了足夠的認知以后,就可以針對所運行的網(wǎng)絡(luò)協(xié)議和正在使用的端口發(fā)現(xiàn)網(wǎng)絡(luò)層面的安全脆弱點了。通常使用的方法是對協(xié)議和端口所存在的安全漏洞逐項進行測試。

安全領(lǐng)域的很多專家都提出邊界防御已經(jīng)無法滿足今天的要求,為了提高安全防御的質(zhì)量,除了在網(wǎng)絡(luò)邊界防范外部攻擊之外,還應(yīng)該在網(wǎng)絡(luò)內(nèi)部對各種訪問進行監(jiān)控和管理。企業(yè)組織每天都會從信息應(yīng)用環(huán)境中獲得大量的數(shù)據(jù),包括系統(tǒng)日志、防火墻日志、入侵檢測報警等。是否能夠從這些信息中有效的識別出安全風(fēng)險,是風(fēng)險管理中重要一環(huán)。目前的技術(shù)手段主要被應(yīng)用于信息的收集、識別和分析,也有很多廠商開發(fā)出了整合式的安全信息管理平臺,可以實現(xiàn)所有系統(tǒng)模塊的信息整合與聯(lián)動。

數(shù)據(jù)作為信息系統(tǒng)的核心價值,被直接攻擊和盜取數(shù)據(jù)將對用戶產(chǎn)生極大的危害。正因為如此,數(shù)據(jù)系統(tǒng)極易受到攻擊。對數(shù)據(jù)庫平臺來說,應(yīng)該驗證是否能夠從遠程進行訪問,是否存在默認用戶名密碼,密碼的強度是否達到策略要求等。而除了數(shù)據(jù)庫平臺之外,數(shù)據(jù)管理機制也應(yīng)該被仔細評估。不同級別的備份措施乃至完整的災(zāi)難備份機制都應(yīng)該進行有效的驗證,不但要檢驗其是否存在安全問題,還要確認其有效性。大部分數(shù)據(jù)管理產(chǎn)品都附帶了足夠的功能進行安全設(shè)定和數(shù)據(jù)驗證,利用這些功能可以很好的完成安全評定工作并有效的與安全策略管理相集成。攻擊者的一個非常重要目的在于無需授權(quán)訪問某些應(yīng)用,而這往往是獲得系統(tǒng)權(quán)限和數(shù)據(jù)的跳板。事實上大部分的安全漏洞都來自于應(yīng)用層面,這使得應(yīng)用程序的安全評定成為整個工作體系中相當(dāng)重要的一個部分。與更加規(guī)程化的面向體系底層的安全評定相比,應(yīng)用安全評定需要工作人員具有豐富的安全知識和堅實的技術(shù)技能。

4 結(jié)束語

目前我國信息系統(tǒng)安全風(fēng)險評估工作,在測試數(shù)據(jù)采集和處理方面缺乏實用的技術(shù)和工具的支持,已經(jīng)成為制約我國風(fēng)險評估水平的重要因素。需要研究用于評價信息安全評估效用的理論和方法,總結(jié)出一套適用于我國國情的信息安全效用評價體系,以保證信息安全風(fēng)險評估結(jié)果準確可靠,可以為風(fēng)險管理活動提供有價值的參考;加強我國信息安全風(fēng)險評估隊伍建設(shè),促使我國信息安全評估水平得到持續(xù)改進。

參考文獻:

[1] 陳曉蘇,朱國勝,肖道舉.TCP/IP協(xié)議族的安全架構(gòu)[N].華中科技大學(xué)學(xué)報,2001,32-34.

[2] 賈穎禾.國務(wù)院信息化工作辦公室網(wǎng)絡(luò)與信息安全組.信息安全風(fēng)險評估[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2004(7),21-24.

[3] 劉恒,信息安全風(fēng)險評估挑戰(zhàn)[R],信息安全風(fēng)險評估與信息安全保障體系建設(shè)研討會,2004.10.12.

[4] [美]Thomas A Wadlow.網(wǎng)絡(luò)安全實施方法.瀟湘工作室譯.北京:人民郵電出版社,2000.

[5] 張衛(wèi)清,王以群.網(wǎng)絡(luò)安全與網(wǎng)絡(luò)安全文化[J].情報雜志,2006(1),40-45

[6] 趙戰(zhàn)生,信息安全風(fēng)險評估[R],第全國計算機學(xué)術(shù)交流會,2004.7.3.