根据国内一些网络安全研究机构的资料,国内大部分的ISP、ICP、IT 公司、政府、教育和科研机构等都没有精力对网络安全进行必要的人力和物力投入;很多重要站点的管理员都是Internet 的新手,一些操作系统如UNIX,在那些有经验的系统管理员的配置下尚且有缺陷,在这些新手的操作中更是漏洞百出。很多服务器至少有三种以上的漏洞可以使入侵者获取系统的最高控制权。
为了使广大用户对自己的网络系统安全现状有一个清醒的认识,同时提高对信息安全概念的了解和认识,强化网络系统安全性能,首创网络近日向用户推出免费安全扫描服务活动。
评估主机范围
Capitalnet技术支持中心在开展此次活动之前得到了客户的书面授权。活动中,根据客户提供的IP地址,并按照客户指定的时间,对包括网络设备和应用服务器等在内的主机系统进行安全评估。
评估时间和方式
此次活动持续两个月时间,由7月1日开始,到8月31日结束。在活动期间,首创网络技术支持中心安全产品组的专家们在与用户达成共识的前提下,利用专业的安全评估工具,对客户网络信息系统中的重点环节进行了全方位的安全扫描,并根据扫描结果产生了安全评估报告,提交给客户。客户可以根据这一安全评估报告充分了解自己信息系统的安全情况,进而采取相应的安全应对措施,从而提高网络系统安全性。
评估单位分布
此次评估活动共收到IP地址93个,分别来自不同行业的34家单位。这些单位分别属于多种行业部门。
评估主机分类
93个IP地址基本代表93台主机,分别为各个单位提供不同的信息化应用。如:WEB、Datebase、Mail等常见应用和防火墙等特殊应用。
评估漏洞分布
在93台主机提供的各种信息应用中,都存在这样或那样的漏洞,此次评估都漏洞的风险分为三种:高风险漏洞、中风险漏洞、低风险漏洞。
参照标准为:
高风险漏洞代表该漏洞可以使攻击者可以得到该主机的最高权限或中断网络服务;
中风险漏洞代表该漏洞可以获取主机信息,有助于攻击者进一步攻击,或存在潜在致命漏洞;
低风险漏洞代表该漏洞会间接影响系统服务的正常运行。
评估漏洞类型
本次扫描活动主要采用了三星信息安全公司的安全评估工具SecuiScan,但为了真实反映客户的漏洞存在情况,也结合了其它著名的安全评估工具,为俄罗斯著名安全评估软件Shadow Security Scanner和著名的自由软件Nessus。在工具评估后,根据提供的分析报告来人工检查证实漏洞的真实性,并在不破坏客户主机正常运行的情况下得出令客户信服的评估结果。
评估发现,很多存在漏洞的主机都是一些常见的配置错误和已经公布的漏洞,而且针对这些漏洞的攻击工具很容易被恶意的攻击者获取。这些漏洞分布如下图:
评估漏洞说明
1. 弱口令攻击:不少网站的管理员账号密码、ftp 账号密码、Sql 账号密码等都使用很简单的或是很容易猜测到的字母或数字,利用现有的家用PIII 机器配合编写恰当的破解软件足以在短时间内轻松破解,一旦口令被破解,网站就意味着被攻破。
2. Unicode 编码漏洞攻击:对于Windows NT4.0 和Windows 2000 来说都存在有该漏洞,利用该漏洞远程用户可以在服务器上以匿名账号来执行程序或命令,从而轻易就可达到遍历硬盘、删除文件、更换主页和提升权限等目的,实施方法简单,仅仅拥有一个浏览器就可实施。
3. ASP 源码泄漏和MS SQL Server 攻击:通过向web 服务器请求精心构造的特殊的url 就可以看到不应该看到的asp 程序的全部或部分源代码,进而取得诸如MS SQL Server 的管理员sa 的密码,再利用存储过程xp_cmdshell 就可远程以SYSTEM 账号在服务器上任意执行程序或命令,事实上,MS SQL Server 默认安装的管理员sa 的密码为空,并且大多数系统管理员的确没有重新设定为新的复杂密码,这直接就留下了严重的安全隐患。
4. IIS 缓冲溢出攻击:对于IIS4.0 和IIS5.0 来说都存在有严重的缓冲溢出漏洞,利用该漏洞远程用户可以以具有管理员权限的SYSTEM 账号在服务器上任意执行程序或命令,极具危险性。实施较为复杂,但是可以获得这种攻击的傻瓜攻击软件。这种攻击主要存在于Windows NT 和2000 系统中。
5. BIND 缓冲溢出攻击:在最新版本的Bind 以前的版本中都存在有严重的缓冲溢出漏洞,可以导致远程用户直接以root 权限在服务器上执行程序或命令,极具危险性。但由于操作和实施较为复杂,一般也为黑客高手所用。这种攻击主要存在于Linux、BSDI 和Solaris 等系统中。
6. 其他攻击手法:还有利用Send- mail、Local Printer、CGI、Virus、Trojan、DOS、DDOS 等漏洞攻击的手段,但在这次评估活动中表现的不是非常明显。
整体安全评估报告
主机系统的安全评估主要在于分析主机系统存在的安全弱点和确定可能存在的威胁和风险,并且针对这些弱点、威胁和风险提出解决方案。
主机存在安全弱点
安全弱点和信息资产紧密相连,它可能被威胁利用、引起资产损失或伤害。但是,安全弱点本身不会造成损失,它只是一种条件或环境、可能导致被威胁利用而造成资产损失。安全弱点的出现有各种原因,例如可能是软件开发过程中的质量问题,也可能是系统管理员配置方面的,也可能是管理方面的。但是,它们的共同特性就是给攻击者提供了对主机系统或者其他信息系统进行攻击的机会。
经过对这些主机系统和防火墙的扫描记录分析,我们发现目前该网络中的主机系统主要弱点集中在以下几个方面:
1 .系统自身存在的弱点
对于商业UNIX 系统的补丁更新不及时,没有安全配置过,系统还是运行在默认的安装状态非常危险。对NT/2000 的服务器系统,虽然补丁更新的比及时,但是配置上存在很大安全隐患,用户的密码口令的强度非常低很多还在使用默认的弱口令,网络攻击者可以非常轻易的接管整个服务器。另外存在IPC$这样的匿名共享会泄露很多服务器的敏感信息。
2 .系统管理存在的弱点
在系统管理上缺乏统一的管理策略,比如缺乏对用户轮廓文件(Profile )的支持。在系统中存在空口令的Guest 组的用户,这些用户有的是系统默认的Guest用户,有的是IIS 和SQL 服务器的默认安装用户。这些用户有些是被系统禁用的,如Guest ,有些则没有,没有被禁用的这些账号可能被利用进入系统。
3 .数据库系统的弱点
数据库系统的用户权限和执行外部系统指令是该系统最大的安全弱点,由于未对数据库做明显的安全措施,望进一步对数据库做最新的升级补丁。
4 .来自周边机器的威胁
手工测试发现部分周边机器明显存在严重安全漏洞,来自周边机器的安全弱点(比如可能使用同样的密码等等)可能是影响网络的最大威胁。
主机存在的威胁和风险
安全威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件。产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素包括有意的和无意的因素。环境因素包括自然界的不可抗力因素和其它物理因素。威胁可能源于对企业信息直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性或可用性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。一般来说,威胁总是要利用企业网络中的系统、应用或服务的弱点才可能成功地对资产造成伤害。因此威胁分析是围绕信息系统的可用性、保密性、完整性、可控性、可审查性、抗抵赖性进行的。
安全风险则是一种可能性,是指某个威胁利用弱点引起某项信息资产或一组信息资产的损害,从而直接地或间接地引起企业或机构的损害的可能性。
在这次评估中,主机系统存在的威胁和及其产生的安全风险主要有以下几个方面:
1. 针对主机的攻击威胁
包括针对Windows NT 系统及其开放的系统服务的安全弱点攻击威胁,攻击者可能由此获取系统的信息资源或者对系统信息进行破坏。
2. 针对数据库的攻击威胁
包括在对数据库系统的攻击行为,包括非法获取、篡改、删除数据库信息资源和进行其他形式的服务攻击。
3. 管理不当所引起的安全威胁
包括由于用户管理策略不当使得攻击者可能获取某一级别的用户的访问权限,并由此提升用户权限,造成用户权限的滥用和信息资源的泄漏、损毁等;由于采用远程管理而引发的威胁;缺乏足够的安全审计致使对安全事件不敏感,无法发现攻击行为等。
4. 配置不当所引起的安全威胁
包括在主机系统上开放了未做安全防范的服务如IPC$共享所造成的安全威胁等。
网络安全建议
建议把提供网络服务的程序升级到最新版本,关注网络安全通告,或由首创为客户提供全面、周到、专业的网络安全服务。
总 结
此次活动历时两个月时间,为34家客户的93台主机提供了全面的安全扫描服务,并将最终的扫描结果提供给了客户。
通过此次活动,我们发现所有的客户主机都或多或少存在着各种风险度的安全漏洞,安全现状不容乐观。其实在这些客户所暴露出来的漏洞中,绝大多数都是已经有了解决办法的,只要做一些简单的升级或安装补丁就可以解决。另外,我们还发现,有的客户使用了一些安全产品,但却由于使用不当,反而引入了更多的安全漏洞。另外,客户的信息系统普遍也缺乏良好合理的安全规划和管理,从而使得其自身的系统对外呈现了很多本不应该出现的漏洞,给外界入侵提供了便利的条件。
我们认为出现这样的问题主要有这样一些原因:
客户普遍还缺乏安全意识,不知道自己其实面临很大的危险;专业知识不够,不知如何解决安全问题;对安全产品的选择、使用和设置不当;没有合理的安全管理策略和机制。
针对这样一些原因,有些相对容易解决,有些则要困难一些。在首创网络通过自身的努力,在信息安全领域里不断追求更高的技术水准和服务水准,力争在竞争日益激烈的今天,面对不断复杂的信息安全形势,从容面对,为客户提供更加完美的产品和服务。
(本报告由首创网络提供,内容有删节)
“首创网络安全调查”带来的启示
本刊记者 曹 玫
近日,首创网络针对我国企
业网络安全现状,对来自
34个不同行业用户的93台主机的网络信息系统进行了抽样调查,结果是100%的用户的主机都存在不同程度的安全问题。这个数字不能不让我们吃惊,网络现状让人担扰。
随着企业信息化、电子政务的进一步推进,对网络安全的要求与过去已不可同日而语。但信息化在我国刚刚起步,企业对网络安全的意识和认知尚待培育。
本刊记者就首创的网络安全评估活动采访了中国国家信息安全测评认证中心计算机测评中心常务副主任翁正军女士,她认为:“首创这次的评估活动值得肯定。这类的网络安全评估如果经常性的进行,对用户了解自身的安全风险非常有益”
另外,翁女士还提醒道:“针对网络和系统的脆弱性评估,有可能对被测系统造成损害。当然,不一定是测试本身的问题,而是被测系统太脆弱。但是不管怎么样,都要让用户事先知道风险的存在,并且通过恰当的安排尽力回避这些风险”。
安全意识 携手培育
网络安全是“三分技术,七分管理”,从首创的报告中可以看出,造成网络漏洞的原因基本上是管理的忽视和疏漏。
已认识到IT系统重要性的大型企业和跨国企业,虽有一些机房和系统的不很细化的管理制度,但大部分也只限于书面文字的约束而已,没有强有力的监督实施手段和相应的管理人员;大部分的中小企业甚至没有把网络安全提升到管理的层面,还只是停留在购买一些低端的安全设备上,当然对于国内的中小企业采取何种安全模式仍是专家和安全服务提供商们争论的热点问题。
管理问题追溯其根源,还是企业的意识问题,安全意识的加强和培育是需要政府或行业主管单位、安全厂商和用户自身共同努力来实现的。
如政府和行业主管要加大政策和法令的宣传力度,改变政策和相关标准滞后的现状,一方面,用户有相关的政策和标准来衡量网络安全厂商提供给他们的产品和服务是否符合国家标准,做到有据可依。另一方面,安全厂商有了相关条例和行业标准,在为用户构建网络平台和生产安全产品时,把各种安全隐患降减到最小程度,做到了有法必依。
安全厂商在培育用户的安全意识方面,毫无疑问,充当着主力军的角色,目前,我国的网络安全意识尚处于萌芽阶段,因此对用户意识的培育应属于安全厂商市场战略和规划的一部分,只有大家共同把这块蛋糕做大,网络安全广阔的市场才会在短时间内形成规模。
从用户自身的角度来讲,“船到江心才补漏”是需要付出不可估量的代价的,网络数据的迅速增长,单靠一些低端的安全设备已远远难以维护系统和网络安全。总的来说,要改善和加强管理力度,必须提高企业的安全意识.
网络测试 谨慎评估
做安全测试,一定要做非常细化的风险评估策略,首先要确定企业哪些资源需要保护,并根据保护成本与如果事件发生前不采取行动需付出的代价之间的平衡制定评估方案,检测后要确定企业具体环境下到底存在哪些安全漏洞和安全隐患,一旦这些漏洞被黑客利用会造成哪些风险和破坏。
最后综合对各种风险因素的评价,明确网络系统的安全现状,确定网络系统中安全的最薄弱环节,从而改进网络的安全性能。所以检测之前与之后的评估是非常重要的。全面的网络系统的漏洞评估应该包括对网络的漏洞评估、对系统主机的漏洞评估以及对数据库系统的漏洞评估三个方面。首创的安全评估属于对系统主机的漏洞的评估,测试的安全风险相对要小一些。
测试不是目的,制定相应的安全策略并彻底解决用户存在的安全问题,才是我们的愿望。
首创的安全测试为我们敲醒了警钟,加强安全意识已成为企业高层迫切需要正确对待的问题。
企业信息安全意识有待觉醒
本刊记者 陈 慧
为了解客户的安全现状,并
提高客户的安全意识,首
创网络在7月1日到8月31日为期两个月的时间内为34家客户的93台主机提供了免费远程安全扫描服务。提交的报告结果表明,这些客户所有的业务部门都或多或少存在着安全漏洞,其中高风险漏洞占42%,中风险漏洞占28%,低风险漏洞达30%。可见这些客户的信息安全现状令人堪忧。
面对安全漏洞,
视而不见还是立即行动
“此次扫描主要是针对黑客的攻击行为,”首创网络安全产品经理钟博向记者介绍说,“我们选择这种远程的网络扫描的服务活动比较容易开展,类似于黑客攻击的第一个阶段,还未涉及到内部攻击。”在发现客户漏洞之后,首创还可以针对客户的要求为其提供相应的修补、加固和优化服务、专门的培训和分析,以及远程管理和紧急响应等多种全方位的安全服务。
在首创网络扫描过程中发现的网络安全漏洞主要涉及到底层的操作系统平台和应用系统两个方面。漏洞可能是操作系统带来的,比如采用Windows操作系统平台的企业漏洞特别多;也有可能是应用系统本身的问题,比如数据库、Web系统和ERP应用软件等等。在应用系统方面,数据库的漏洞比较多,其中又以SQL Server数据库的漏洞为甚。对于操作系统的漏洞,大多可通过从网上下载补丁程序的方法加以解决,有些客户没有下载补丁程序,因而容易被攻击。也有客户把用户访问口令设成了空的,也容易被攻击。这些漏洞本都很容易避免,之所以出现,主要因为应用和管理人员本身安全意识淡薄所导致。
被扫描的首创网络的IDC和专线客户,都是经常使用IT设备和网络应用的,其中,本身业务系统与安全结合不是很紧密的客户比较容易产生安全漏洞,比如媒体的网站、制造业企业的网站等。在首创网络的整个扫描服务期间中就出现过这样的情况。一家传媒机构的网站被黑客攻击,其主页被篡改了。客户要求首创对其遭到攻击的主机进行扫描,了解其被攻击的原因。通过扫描,发现主要原因在于这个传媒机构把操作系统装好之后,采取了默认配置,并没有做安全性增强方面的考虑和设置,其主机上的漏洞都是一些很常见也很容易弥补的。此外,制造业企业涉及到CRM和ERP这样的系统。总部与分支机构之间经常有大量机密的数据需要交互,对于这样的企业,如果不做好全面的安全规划并采取相应的安全手段,也容易对外暴露很多安全漏洞。
面对送过来的扫描结果和漏洞分析,客户的反应五花八门:有的客户一接到扫描的结果,发现自己的网络安全存在这么多的问题,非常着急,立刻要求首创为其提供相应的解决方案;有的客户要求首创帮助把漏洞堵上;也有客户说,卖我们一个防火墙吧;还有客户没有反应,好像在忙着理顺自己的网络,无暇顾及安全问题。
安全防范,投入多少并采取哪些手段
有两个问题需要企业考虑清楚,一是企业要保护的信息到底值得投入多少;二是采取什么手段。网络时代,企业要连接到互联网上与外部沟通。任何企业无论大小,总是有些信息是不希望被外界知道的,每一个企业都有必要采取一定的手段保护自己的信息,防止被别人窃取、篡改或者破坏。那么企业值得投入多少人力、物力和财力保护信息安全?
依据国内1些网络安全钻研机构的资料,国内大部份的ISP、ICP、IT 公司、政府、教育以及科研机构等都没有精力对于网络安全进行必要的人力以及物力投入;良多首要站点的管理员都是Internet 的新手,1些操作系统如UNIX,在那些有经验的系统管理员的配置下尚且出缺陷,在这些新手的操作中更是漏洞百出。良多服务器至少有3种以上的漏洞可使入侵者获取系统的最高节制权。
为了使泛博用户对于自己的网络系统安全现状有1个苏醒的认识,同时提高对于信息安全概念的了解以及认识,强化网络系统安全机能,开创网络近日向用户推出免费安全扫描服务流动。
评估主机规模
Capitalnet技术支撑中心在展开此次流动以前患上到了客户的书面授权。流动中,依据客户提供的IP地址,并依照客户指定的时间,对于包含网络装备以及利用服务器等在内的主机系统进行安全评估。
评估时间以及方式
此次流动延续两个月时间,由七月一日开始,到八月三一日收场。在流动期间,开创网络技术支撑中心安全产品组的专家们在与用户达成共鸣的条件下,应用专业的安全评估工具,对于客户网络信息系统中的重点环节进行了全方位的安全扫描,并依据扫描结果发生了安全评估讲演,提交给客户。客户可以依据这1安全评估讲演充沛了解自己信息系统的安全情况,进而采用相应的安全应答措施,从而提高网络系统安全性。
评估单位散布
此次评估流动共收到IP地址九三个,分别来自不同行业的三四家单位。这些单位分别属于多种行业部门。
评估主机分类
九三个IP地址基本代表九三台主机,分别为各个单位提供不同的信息化利用。如:WEB、Datebase、Mail等常见利用以及防火墙等特殊利用。
评估漏洞散布
在九三台主机提供的各种信息利用中,都存在这样或者那样的漏洞,此次评估都漏洞的风险分为3种:高风险漏洞、中风险漏洞、低风险漏洞。
参照标准为:
高风险漏洞代表该漏洞可使袭击者可以患上到该主机的最高权限或者中止网络服务;
中风险漏洞代表该漏洞可以获取主机信息,有助于袭击者进1步袭击,或者存在潜伏致命漏洞;
低风险漏洞代表该漏洞会间接影响系统服务的正常运行。
评估漏洞类型
本次扫描流动主要采取了3星信息安全公司的安全评估工具SecuiScan,但为了真实反应客户的漏洞存在情况,也结合了其它著名的安全评估工具,为俄罗斯著名安全评估软件Shadow Security Scanner以及著名的自由软件Nessus。在工具评估后,依据提供的分析讲演来人工检查证实漏洞的真实性,并在不损坏客户主机正常运行的情况下患上出令客户佩服的评估结果。
评估发现,良多存在漏洞的主机都是1些常见的配置过错以及已经经公布的漏洞,而且针对于这些漏洞的袭击工具很容易被歹意的袭击者获取。这些漏洞散布如下图:
评估漏洞说明
一. 弱口令袭击:不少网站的管理员账号密码、ftp 账号密码、Sql 账号密码等都使用很简单的或者是很容易猜测到的字母或者数字,应用现有的家用PIII 机器配合编写恰当的破解软件足以在短期内轻松破解,1旦口令被破解,网站就象征着被攻破。
二. Unicode 编码漏洞袭击:对于于Windows NT四.0 以及Windows 二000 来讲都存在有该漏洞,应用该漏洞远程用户可以在服务器上以匿名账号来执行程序或者命令,从而等闲就可到达遍历硬盘、删除了文件、改换主页以及晋升权限等目的,施行法子简单,仅仅具有1个阅读器就可施行。
三. ASP 源码泄露以及MS SQL Server 袭击:通过向web 服务器要求精心构造的特殊的url 就能够看到不应当看到的asp 程序的全体或者部份源代码,进而获得诸如MS SQL Server 的管理员sa 的密码,再应用存储进程xp_cmdshell 就可远程以SYSTEM 账号在服务器上任意执行程序或者命令,事实上,MS SQL Server 默许安装的管理员sa 的密码为空,并且大多数系统管理员的确没有从新设定为新的繁杂密码,这直接就留下了严重的安全隐患。
四. IIS 缓冲溢出袭击:对于于IIS四.0 以及IIS五.0 来讲都存在有严重的缓冲溢出漏洞,应用该漏洞远程用户可以以拥有管理员权限的SYSTEM 账号在服务器上任意执行程序或者命令,极具危险性。施行较为繁杂,然而可以取得这类袭击的傻瓜袭击软件。这类袭击主要存在于Windows NT 以及二000 系统中。
五. BIND 缓冲溢出袭击:在最新版本的Bind 之前的版本中都存在有严重的缓冲溢出漏洞,可以致使远程用户直接以root 权限在服务器上执行程序或者命令,极具危险性。但因为操作以及施行较为繁杂,1般也为黑客高手所用。这类袭击主要存在于Linux、BSDI 以及Solaris 等系统中。
六. 其他袭击手法:还有益用Send- mail、Local Printer、CGI、Virus、Trojan、DOS、DDOS 等漏洞袭击的手腕,但在这次评估流动中表现的不是无比显明。
总体安全评估讲演
主机系统的安全评估主要在于分析主机系统存在的安全弱点以及肯定可能存在的要挟以及风险,并且针对于这些弱点、要挟以及风险提出解决方案。
主机存在安全弱点
安全弱点以及信息资产紧密相连,它可能被要挟应用、引发资产损失或者伤害。然而,安全弱点自身不会造成损失,它只是1种前提或者环境、可能致使被要挟应用而造成资产损失。安全弱点的呈现有各种缘由,例如多是软件开发进程中的质量问题,也多是系统管理员配置方面的,也多是管理方面的。然而,它们的共同特性就是给袭击者提供了对于主机系统或者者其他信息系统进行袭击的机会。
经由对于这些主机系统以及防火墙的扫描记录分析,咱们发现目前该网络中的主机系统主要弱点集中在下列几个方面:
一 .系统本身存在的弱点
对于于商业UNIX 系统的补钉更新不及时,没有安全配置过,系统仍是运行在默许的安装状况无比危险。对于NT/二000 的服务器系统,尽管补钉更新的比及时,然而配置上存在很大安全隐患,用户的密码口令的强度无比低良多还在使用默许的弱口令,网络袭击者可以无比等闲的接收整个服务器。此外存在IPC$这样的匿名同享会泄漏良多服务器的敏感信息。
二 .系统管理存在的弱点
在系统管理上缺少统1的管理策略,比如缺少对于用户轮廓文件(Profile )的支撑。在系统中存在空口令的Guest 组的用户,这些用户有的是系统默许的Guest用户,有的是IIS 以及SQL 服务器的默许安装用户。这些用户有些是被系统禁用的,如Guest ,有些则没有,没有被禁用的这些账号可能被应用进入系统。
三 .数据库系统的弱点
数据库系统的用户权限以及执行外部系统指令是该系统最大的安全弱点,因为未对于数据库做显明的安全措施,望进1步对于数据库做最新的进级补钉。
四 .来自周边机器的要挟
手工测试发现部份周边机器显明存在严重安全漏洞,来自周边机器的安全弱点(比如可能使用一样的密码等等)多是影响网络的最大要挟。
主机存在的要挟以及风险
安全要挟是1种对于系统、组织及其资产形成潜伏损坏能力的可能性因素或者者事件。发生安全要挟的主要因素可以分为人为因素以及环境因素。人为因素包含成心的以及无心的因素。环境因素包含自然界的不可抗力因素以及其它物理因素。要挟可能源于对于企业信息直接 或者间接的袭击,例如非授权的泄漏、篡改、删除了等,在秘要性、完全性或者可用性等方面造成侵害。要挟也可能源于偶发的、或者蓄意的事件。1般来讲,要挟老是要应用企业网络中的系统、利用或者服务的弱点才可能胜利地对于资产造成伤害。因而要挟分析是缭绕信息系统的可用性、保密性、完全性、可控性、可审查性、抗抵赖性进行的。
安全风险则是1种可能性,是指某个要挟应用弱点引发某项信息资产或者1组信息资产的侵害,从而直接地或者间接地引发企业或者机构的侵害的可能性。
在这次评估中,主机系统存在的要挟以及及其发生的安全风险主要有下列几个方面:
一. 针对于主机的袭击要挟
包含针对于Windows NT 系统及其开放的系统服务的安全弱点袭击要挟,袭击者可能由此获取系统的信息资源或者者对于系统信息进行损坏。
二. 针对于数据库的袭击要挟
包含在对于数据库系统的袭击行动,包含非法获取、篡改、删除了数据库信息资源以及进行其他情势的服务袭击。
三. 管理不当所引发的安全要挟
包含因为用户管理策稍不当使患上袭击者可能获取某1级别的用户的走访权限,并由此晋升用户权限,造成用户权限的滥用以及信息资源的泄露、损毁等;因为采取远程管理而引起的要挟;缺少足够的安全审计导致对于安全事件不敏感,没法发现袭击行动等。
四. 配置不当所引发的安全要挟
包含在主机系统上开放了未做安全防范的服务如IPC$同享所酿成的安全要挟等。
网络安全建议
建议把提供网络服务的程序进级到最新版本,关注网络安全通告,或者由开创为客户提供全面、周密、专业的网络安全服务。
总 结
此次流动用时两个月时间,为三四家客户的九三台主机提供了全面的安全扫描服务,并将终究的扫描结果提供给了客户。
通过此次流动,咱们发现所有的客户主机都或者多或者少存在着各种风险度的安全漏洞,安全现状不容乐观。其实在这些客户所暴露出来的漏洞中,绝大多数都是已经经有了解决办法的,只要做1些简单的进级或者安装补钉就能够解决。此外,咱们还发现,有的客户使用了1些安全产品,但却因为使用不当,反而引入了更多的安全漏洞。此外,客户的信息系统普遍也缺少优良公道的安全计划以及管理,从而使患上其本身的系统对于外出现了良多本不应当呈现的漏洞,给外界入侵提供了便利的前提。
咱们认为呈现这样的问题主要有这样1些缘由:
客户普遍还缺少安全意识,不知道自己其实面临很大的危险;专业知识不够,不知如何解决安全问题;对于安全产品的选择、使用以及设置不当;没有公道的安全管理策略以及机制。
针对于这样1些缘由,有些相对于容易解决,有些则要难题1些。在开创网络通过本身的努力,在信息安全领域里不断寻求更高的技术水准以及服务水准,力争在竞争日趋剧烈的今天,面对于不断繁杂的信息安全形势,从容面对于,为客户提供更为完善的产品以及服务。
(本讲演由开创网络提供,内容有删省)
“开创网络安全调查”带来的启示
本刊记者 曹 玫
近日,开创网络针对于我国企
业网络安全现状,对于来自
三四个不同行业用户的九三台主机的网络信息系统进行了抽样调查,结果是一00%的用户的主机都存在不同程度的安全问题。这个数字不得不让咱们吃惊,网络现状让人担扰。
跟着企业信息化、电子政务的进1步推动,对于网络安全的请求与过去已经不可同日而语。但信息化在我国刚刚起步,企业对于网络安全的意识以及认知尚待培养。
本刊记者就开创的网络安全评估流动采访了中国国家信息安全测评认证中心计算机测评中心常务副主任翁正军女士,她认为:“开创这次的评估流动值患上确定。这种的网络安全评估如果时常性的进行,对于用户了解本身的安全风险无比有利”
此外,翁女士还提示道:“针对于网络以及系统的懦弱性评估,有可能对于被测系统造成侵害。固然,不必定是测试自身的问题,而是被测系统太懦弱。然而无论怎样样,都要让用户事前知道风险的存在,并且通过恰当的支配尽力躲避这些风险”。
安全意识 携手培养
网络安全是“3分技术,7分管理”,从开创的讲演中可以看出,造成网络漏洞的缘由基本上是管理的忽视以及疏漏。
已经认识到IT系统首要性的大型企业以及跨国企业,虽有1些机房以及系统的不很细化的管理轨制,但大部份也只限于书面文字的束缚而已经,没有强有力的监督施行手腕以及相应的管理人员;大部份的中小企业乃至没有把网络安全晋升到管理的层面,还只是停留在购买1些低真个安全装备上,固然对于于国内的中小企业采用何种安全模式还是专家以及安全服务提供商们争论的热门问题。
管理问题追溯其本源,仍是企业的意识问题,安全意识的加强以及培养是需要政府或者行业主管单位、安全厂商以及用户本身共同努力来实现的。
如政府以及行业主管要加大政策以及法令的宣扬力度,扭转政策以及相干标准滞后的现状,1方面,用户有相干的政策以及标准来衡量网络安全厂商提供给他们的产品以及服务是不是相符国家标准,做到有据可依。另外一方面,安全厂商有了相干条例以及行业标准,在为用户构建网络平台以及出产安全产品时,把各种安全隐患降减到最小程度,做到了有法必依。
安全厂商在培养用户的安全意识方面,毫无疑难,充当着主力军的角色,目前,我国的网络安全意识尚处于萌芽阶段,因而对于用户意识的培养应属于安全厂商市场战略以及计划的1部份,只有大家共同把这块蛋糕做大,网络安全广阔的市场才会在短期内构成范围。
从用户本身的角度来说,“船到江心才补漏”是需要付出不可估计的代价的,网络数据的迅速增长,单靠1些低真个安全装备已经远远难以保护系统以及网络安全。总的来讲,要改善以及加强管理力度,必需提高企业的安全意识.
网络测试 小心评估
做安全测试,必定要做无比细化的风险评估策略,首先要肯定企业哪些资源需要维护,并依据维护本钱与如果事件产生前不采用行为需付出的代价之间的平衡制订评估方案,检测后要肯定企业具体环境下到底存在哪些安全漏洞以及安全隐患,1旦这些漏洞被黑客应用会造成哪些风险以及损坏。
最后综合对于各种风险因素的评价,明确网络系统的安全现状,肯定网络系统中安全的最薄弱环节,从而改良网络的安全机能。所以检测以前与以后的评估是无比首要的。全面的网络系统的漏洞评估应当包含对于网络的漏洞评估、对于系统主机的漏洞评估和对于数据库系统的漏洞评估3个方面。开创的安全评估属于对于系统主机的漏洞的评估,测试的安全风险相对于要小1些。
测试不是目的,制订相应的安全策略并彻底解决用户存在的安全问题,才是咱们的欲望。
开创的安全测试为咱们敲醒了警钟,加强安全意识已经成为企业高层迫切需要正确对于待的问题。
企业信息安全意识有待觉醒
本刊记者 陈 慧
为了解客户的安全现状,并
提高客户的安全意识,首
创网络在七月一日到八月三一日为期两个月的时间内为三四家客户的九三台主机提供了免费远程安全扫描服务。提交的讲演结果
表明,这些客户所有的业务部门都或者多或者少存在着安全漏洞,其中高风险漏洞占四二%,中风险漏洞占二八%,低风险漏洞达三0%。可见这些客户的信息安全现状使人堪忧。
面对于安全漏洞,
视若无睹仍是当即行为
“此次扫描主要是针对于黑客的袭击行动,”开创网络安全产品经理钟博向记者介绍说,“咱们选择这类远程的网络扫描的服务流动比较容易展开,相似于黑客袭击的第1个阶段,还未触及到内部袭击。”在发现客户漏洞以后,开创还可以针对于客户的请求为其提供相应的修补、加固以及优化服务、专门的培训以及分析,和远程管理以及紧迫响应等多种全方位的安全服务。
在开创网络扫描进程中发现的网络安全漏洞主要触及到底层的操作系统平台以及利用系统两个方面。漏洞多是操作系统带来的,比如采取Windows操作系统平台的企业漏洞尤其多;也有多是利用系统自身的问题,比如数据库、Web系统以及ERP利用软件等等。在利用系统方面,数据库的漏洞比较多,其中又以SQL Server数据库的漏洞为甚。对于于操作系统的漏洞,大多可通过从网上下载补钉程序的法子加以解决,有些客户没有下载补钉程序,因此容易被袭击。也有客户把用户走访口令设成为了空的,也容易被袭击。这些漏洞本都很容易防止,之所以呈现,主要由于利用以及管理人员自身安全意识稀薄所致使。
被扫描的开创网络的IDC以及专线客户,都是时常使用IT装备以及网络利用的,其中,自身业务系统与安全结合不是很紧密的客户比较容易发生安全漏洞,比如媒体的网站、制造业企业的网站等。在开创网络的整个扫描服务期间中就呈现过这样的情况。1祖传媒机构的网站被黑客袭击,其主页被篡改了。客户请求开创对于其受到袭击的主机进行扫描,了解其被袭击的缘由。通过扫描,发现主要缘由在于这个传媒机构把操作系统装好以后,采用了默许配置,并无做安全性增强方面的斟酌以及设置,其主机上的漏洞都是1些很常见也很容易填补的。另外,制造业企业触及到CRM以及ERP这样的系统。总部与分支机构之间时常有大量秘要的数据需要交互,对于于这样的企业,如果不做好全面的安全计划并采用相应的安全手腕,也容易对于外暴露良多安全漏洞。
面对于送过来的扫描结果以及漏洞分析,客户的反映5花8门:有的客户1接到扫描的结果,发现自己的网络安全存在这么多的问题,无比着急,立刻请求开创为其提供相应的解决方案;有的客户请求开创匡助把漏洞堵上;也有客户说,卖咱们1个防火墙吧;还有客户没有反映,好像在忙着理顺自己的网络,无暇顾及安全问题。
安全防范,投入多少并采用哪些手腕
有两个问题需要企业斟酌清楚,1是企业要维护的信息到底值患上投入多少;2是采用甚么手腕。网络时期,企业要连接到互联网上与外部沟通。任何企业不管大小,老是有些信息是不但愿被外界知道的,每一1个企业都有必要采用必定的手腕维护自己的信息,避免被他人盗取、篡改或者者损坏。那末企业值患上投入多少人力、物力以及财力维护信息安全?
信息的价值并不太好量化。钟博认为,那些有关产品出产的科研数据,如果被竞争对于手掌握,很快抢占市场,可能造成经济利益的巨大损失,那末可以说这些信息无比有价值;还有企业的人事信息以及财务信息,1般来讲也是需要保密的;也有1些信息可能被他人看到也没有太大问题。信息的价值是可以分级别的,针对于信息的价值企业斟酌是不是投入相应的人力、物力以及财力来做相应的维护。1般来讲,在1个企业的网络的建设中,在信息安全方面需要一五%~二0%的投入,对于于不同的行业,比例会有所不同,有的企业可能会更高,这主要取决于企业需要维护的信息价值有多大。
在肯定需要多少投入进行信息安全建设以外,还要斟酌如何来维护以及公道地分摊投入。主要有安全管理,安全技术以及产品这两个方面。企业1方面要与提供安全产品或者者解决方案的厂商共同制订1个公道的安全管理轨制,另外一方面,要很好地应用安全产品,让它在企业安全防范中施展作用。
安全管理就是制订安全策略,安全管理轨制。比如员工上机轨制,机房管理轨制等等,不同的企业具体情况不同,需要网络安全厂商或者者解决方案提供商同客户共同协商制订。如果客户对于此不太了解,就需要安全厂商先提出方案,然后由客户认可以后在企业内执行。而对于于安全技术以及产品来讲,良多企业认为,购买了1个防火墙、防病毒的产品,把它们加入到信息系统里面,就认为万事大吉了。但实际上,极可能因为管理方面的不当,不能够起到很好的维护的作用。
安全事件的发生源,分为内部以及外部的两种,如果是内部人员成心要损坏信息,可能要比来自外部的更驾轻就熟。首先要准确地区别甚么是内部以及外部。1个公司内外隔离的点,1般是企业内部网络与互联网的接入点,在这个点上可以做防火墙等设置。在整个企业实体的内部,还要做1些具体的划分,核心的部份要作为内部的内部,即便是内部员工也不可以随意走访。在内部解决安全问题常见的手腕就是入侵检测,避免入侵行动呈现。有首要的数据存储的部份,需要数据完全性的维护,需要防病毒、身份认证以及审计等等安全手腕。找准隔离以及维护的点在哪里,这样才知道相应的安全装备以及手腕应当用在甚么处所。
安全意识稀薄、无序竞争的现状有待改良
二00一年,安全产品的市场份额已经经到达四0亿,二00二年将会继续增长,安全市场成为整个IT业的1个亮点。国内的安全厂商也良多,然而存在无序竞争以及恶性降价的情况。在安全产品竞争中,有些处所存在处所维护主义。在产品与服务的意识上,中外企业也有差别。开创网络是1家网络安全解决方案提供商,在为客户服务的进程中,钟博觉患上外资客户更看重安全服务,比如安全扫描,入侵检测数据的讲演,和呈现某种问题的分析,乃至提出租用安全服务提供商的装备,而国内企业比较注重安全产品的具有。
目前,整个安全市场的发育不是很平衡,大多数客户认识到的安全产品只有防火墙以及防病毒产品。实际上,信息安全领域还有良多其它产品:比如身份认证、保密产品、VPN(虚拟私有网)、症结行业使用的防电磁泄漏、信息暗藏(数字水印)、政府部门需求比较多的物理隔离等等。
关键词:网络安全;风险评估;安全措施
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)06-11012-01
A Survey of Network Security Risk Assessment
CHEN Jun-wei
(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)
Abstract:To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.
Key words:Network security; risk assessment; security measures
1 引言
频频发生的信息安全事件正在日益引起全球的关注,列举的近年来的网络突发事件,不难发现,强化提升网络安全风险评估意识、强化信息安全保障为当务之急。所谓风险评估,是指网络安全防御中的一项重要技术,它的原理是,根据已知的安全漏洞知识库,对目标可能存在的安全隐患进行逐项检查。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告,为提高网络安全整体水平提供重要依据。完成一个信息安全系统的设计与实施并不足以代表该信息安全事务的完结。随着新技术、新应用的不断出现,以及所导致的信息技术环境的转变,信息安全工作人员要不断地评估当前的安全威胁,并不断对当前系统中的安全性产生认知。
2 网络安全风险评估的现状
2.1 风险评估的必要性
有人说安全产品就是保障网络安全的基础,但有了安全产品,不等于用户可以高枕无忧地应用网络。产品是没有生命的,需要人来管理与维护,这样才能最大程度地发挥其效能。病毒和黑客可谓无孔不入,时时伺机进攻。这就更要求对安全产品及时升级,不断完善,实时检测,不断补漏。网络安全并不是仅仅依靠网络安全产品就能解决的,它需要合适的安全体系和合理的安全产品组合,需要根据网络及网络用户的情况和需求规划、设计和实施一定的安全策略。通常,在一个企业中,对安全技术了如指掌的人员不多,大多技术人员停留在对安全产品的一般使用上,如果安全系统出现故障或者黑客攻击引发网络瘫痪,他们将束手无策。这时他们需要的是安全服务。而安全评估,便是安全服务的重要前期工作。网络信息安全,需要不断评估方可安全威胁。
2.2 安全评估的目标、原则及内容
安全评估的目标通常包括:确定可能对资产造成危害的威胁;通过对历史资料和专家的经验确定威胁实施的可能性;对可能受到威胁影响的资产确定其价值、敏感性和严重性,以及相应的级别,确定哪些资产是最重要的;准确了解企业网的网络和系统安全现状;明晰企业网的安全需求;制定网络和系统的安全策略;制定网络和系统的安全解决方案;指导企业网未来的建设和投入;通过项目实施和培训,培养用户自己的安全队伍。而在安全评估中必须遵循以下原则:标准性原则、可控性原则、整体性原则、最小影响原则、保密性原则。
安全评估的内容包括专业安全评估服务和主机系统加固服务。专业安全评估服务对目标系统通过工具扫描和人工检查,进行专业安全的技术评定,并根据评估结果提供评估报告。
目标系统主要是主流UNIX及NT系统,主流数据库系统,以及主流的网络设备。使用扫描工具对目标系统进行扫描,提供原始评估报告或由专业安全工程师提供人工分析报告。或是人工检查安全配置检查、安全机制检查、入侵追查及事后取证等内容。而主机系统加固服务是根据专业安全评估结果,制定相应的系统加固方案,针对不同目标系统,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。
系统加固报告服务选择使用该服务包,必须以选择ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出加固报告。系统加固报告增强服务选择使用该服务包,必须以选择ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出系统加固报告,并将系统加固报告、加固步骤、所需补丁程序以光盘形式提交客户。系统加固实施服务选择使用该服务包,必须以选择 ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出系统加固报告,并将系统加固报告、加固步骤、所需补丁程序以光盘形式提交客户,并由专业安全工程师实施加固工作。
3 网络安全风险评估系统
讨论安全评定的前提在于企业已经具有了较为完备的安全策略,这项工作主要检测当前的安全策略是否被良好的执行,从而发现系统中的不安全因素。当前计算机世界应用的主流网络协议是TCP/IP,而该协议族并没有内置任何安全机制。这意味着基于网络的应用程序必须被非常好的保护,网络安全评定的主要目标就是为修补全部的安全问题提供指导。
评定网络安全性的首要工作是了解网络拓扑结构,拓扑描述文档并不总能反映最新的网络状态,进行一些实际的检测是非常必要的。最简单的,可以通过Trackroute工具进行网络拓扑发现,但是一些网络节点可能会禁止Trackroute流量的通过。在了解了网络拓扑之后,应该获知所有计算机的网络地址和机器名。对于可以访问的计算机,还应该了解其正在运行的端口,这可以通过很多流行的端口发现工具实现。当对整个网络的架构获得了足够的认知以后,就可以针对所运行的网络协议和正在使用的端口发现网络层面的安全脆弱点了。通常使用的方法是对协议和端口所存在的安全漏洞逐项进行测试。
安全领域的很多专家都提出边界防御已经无法满足今天的要求,为了提高安全防御的质量,除了在网络边界防范外部攻击之外,还应该在网络内部对各种访问进行监控和管理。企业组织每天都会从信息应用环境中获得大量的数据,包括系统日志、防火墙日志、入侵检测报警等。是否能够从这些信息中有效的识别出安全风险,是风险管理中重要一环。目前的技术手段主要被应用于信息的收集、识别和分析,也有很多厂商开发出了整合式的安全信息管理平台,可以实现所有系统模块的信息整合与联动。
数据作为信息系统的核心价值,被直接攻击和盗取数据将对用户产生极大的危害。正因为如此,数据系统极易受到攻击。对数据库平台来说,应该验证是否能够从远程进行访问,是否存在默认用户名密码,密码的强度是否达到策略要求等。而除了数据库平台之外,数据管理机制也应该被仔细评估。不同级别的备份措施乃至完整的灾难备份机制都应该进行有效的验证,不但要检验其是否存在安全问题,还要确认其有效性。大部分数据管理产品都附带了足够的功能进行安全设定和数据验证,利用这些功能可以很好的完成安全评定工作并有效的与安全策略管理相集成。攻击者的一个非常重要目的在于无需授权访问某些应用,而这往往是获得系统权限和数据的跳板。事实上大部分的安全漏洞都来自于应用层面,这使得应用程序的安全评定成为整个工作体系中相当重要的一个部分。与更加规程化的面向体系底层的安全评定相比,应用安全评定需要工作人员具有丰富的安全知识和坚实的技术技能。
4 结束语
目前我国信息系统安全风险评估工作,在测试数据采集和处理方面缺乏实用的技术和工具的支持,已经成为制约我国风险评估水平的重要因素。需要研究用于评价信息安全评估效用的理论和方法,总结出一套适用于我国国情的信息安全效用评价体系,以保证信息安全风险评估结果准确可靠,可以为风险管理活动提供有价值的参考;加强我国信息安全风险评估队伍建设,促使我国信息安全评估水平得到持续改进。
参考文献:
[1] 陈晓苏,朱国胜,肖道举.TCP/IP协议族的安全架构[N].华中科技大学学报,2001,32-34.
[2] 贾颖禾.国务院信息化工作办公室网络与信息安全组.信息安全风险评估[J].网络安全技术与应用,2004(7),21-24.
[3] 刘恒,信息安全风险评估挑战[R],信息安全风险评估与信息安全保障体系建设研讨会,2004.10.12.
[4] [美]Thomas A Wadlow.网络安全实施方法.潇湘工作室译.北京:人民邮电出版社,2000.
[5] 张卫清,王以群.网络安全与网络安全文化[J].情报杂志,2006(1),40-45
[6] 赵战生,信息安全风险评估[R],第全国计算机学术交流会,2004.7.3.
第一条 为加强对具有舆论属性或社会动员能力的互联网信息服务和相关新技术新应用的安全管理,规范互联网信息服务活动,维护国家安全、社会秩序和公共利益,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》,制订本规定。
第二条 本规定所称具有舆论属性或社会动员能力的互联网信息服务,包括下列情形:
(一)开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能;
(二)开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。
第三条 互联网信息服务提供者具有下列情形之一的,应当依照本规定自行开展安全评估,并对评估结果负责:
(一)具有舆论属性或社会动员能力的信息服务上线,或者信息服务增设相关功能的;
(二)使用新技术新应用,使信息服务的功能属性、技术实现方式、基础资源配置等发生重大变更,导致舆论属性或者社会动员能力发生重大变化的;
(三)用户规模显著增加,导致信息服务的舆论属性或者社会动员能力发生重大变化的;
(四)发生违法有害信息传播扩散,表明已有安全措施难以有效防控网络安全风险的;
(五)地市级以上网信部门或者公安机关书面通知需要进行安全评估的其他情形。
第四条 互联网信息服务提供者可以自行实施安全评估,也可以委托第三方安全评估机构实施。
第五条 互联网信息服务提供者开展安全评估,应当对信息服务和新技术新应用的合法性,落实法律、行政法规、部门规章和标准规定的安全措施的有效性,防控安全风险的有效性等情况进行全面评估,并重点评估下列内容:
(一)确定与所提供服务相适应的安全管理负责人、信息审核人员或者建立安全管理机构的情况;
(二)用户真实身份核验以及注册信息留存措施;
(三)对用户的账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征等日志信息,以及用户信息记录的留存措施;
(四)对用户账号和通讯群组名称、昵称、简介、备注、标识,信息、转发、评论和通讯群组等服务功能中违法有害信息的防范处置和有关记录保存措施;
(五)个人信息保护以及防范违法有害信息传播扩散、社会动员功能失控风险的技术措施;
(六)建立投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关投诉和举报的情况;
(七)建立为网信部门依法履行互联网信息服务监督管理职责提供技术、数据支持和协助的工作机制的情况;
(八)建立为公安机关、国家安全机关依法维护国家安全和查处违法犯罪提供技术、数据支持和协助的工作机制的情况。
第六条 互联网信息服务提供者在安全评估中发现存在安全隐患的,应当及时整改,直至消除相关安全隐患。
经过安全评估,符合法律、行政法规、部门规章和标准的,应当形成安全评估报告。安全评估报告应当包括下列内容:
(一)互联网信息服务的功能、服务范围、软硬件设施、部署位置等基本情况和相关证照获取情况;
(二)安全管理制度和技术措施落实情况及风险防控效果;
(三)安全评估结论;
(四)其他应当说明的相关情况。
第七条 互联网信息服务提供者应当将安全评估报告通过全国互联网安全管理服务平台提交所在地地市级以上网信部门和公安机关。
具有本规定第三条第一项、第二项情形的,互联网信息服务提供者应当在信息服务、新技术新应用上线或者功能增设前提交安全评估报告;具有本规定第三条第三、四、五项情形的,应当自相关情形发生之日起30个工作日内提交安全评估报告。
第八条 地市级以上网信部门和公安机关应当依据各自职责对安全评估报告进行书面审查。
发现安全评估报告内容、项目缺失,或者安全评估方法明显不当的,应当责令互联网信息服务提供者限期重新评估。
发现安全评估报告内容不清的,可以责令互联网信息服务提供者补充说明。
第九条 网信部门和公安机关根据对安全评估报告的书面审查情况,认为有必要的,应当依据各自职责对互联网信息服务提供者开展现场检查。
网信部门和公安机关开展现场检查原则上应当联合实施,不得干扰互联网信息服务提供者正常的业务活动。
第十条 对存在较大安全风险、可能影响国家安全、社会秩序和公共利益的互联网信息服务,省级以上网信部门和公安机关应当组织专家进行评审,必要时可以会同属地相关部门开展现场检查。
第十一条 网信部门和公安机关开展现场检查,应当依照有关法律、行政法规、部门规章的规定进行。
第十二条 网信部门和公安机关应当建立监测管理制度,加强网络安全风险管理,督促互联网信息服务提供者依法履行网络安全义务。
发现具有舆论属性或社会动员能力的互联网信息服务提供者未按本规定开展安全评估的,网信部门和公安机关应当通知其按本规定开展安全评估。
第十三条 网信部门和公安机关发现具有舆论属性或社会动员能力的互联网信息服务提供者拒不按照本规定开展安全评估的,应当通过全国互联网安全管理服务平台向公众提示该互联网信息服务存在安全风险,并依照各自职责对该互联网信息服务实施监督检查,发现存在违法行为的,应当依法处理。
第十四条 网信部门统筹协调具有舆论属性或社会动员能力的互联网信息服务安全评估工作,公安机关的安全评估工作情况定期通报网信部门。
第十五条 网信部门、公安机关及其工作人员对在履行职责中知悉的国家秘密、商业秘密和个人信息应当严格保密,不得泄露、出售或者非法向他人提供。
第一条 为加强对具有舆论属性或社会动员能力的互联网信息服务和相关新技术新应用的安全管理,规范互联网信息服务活动,维护国家安全、社会秩序和公共利益,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》,制订本规定。
第二条 本规定所称具有舆论属性或社会动员能力的互联网信息服务,包括下列情形:
(一)开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能;
(二)开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。
第三条 互联网信息服务提供者具有下列情形之一的,应当依照本规定自行开展安全评估,并对评估结果负责:
(一)具有舆论属性或社会动员能力的信息服务上线,或者信息服务增设相关功能的;
(二)使用新技术新应用,使信息服务的功能属性、技术实现方式、基础资源配置等发生重大变更,导致舆论属性或者社会动员能力发生重大变化的;
(三)用户规模显著增加,导致信息服务的舆论属性或者社会动员能力发生重大变化的;
(四)发生违法有害信息传播扩散,表明已有安全措施难以有效防控网络安全风险的;
(五)地市级以上网信部门或者公安机关书面通知需要进行安全评估的其他情形。
第四条 互联网信息服务提供者可以自行实施安全评估,也可以委托第三方安全评估机构实施。
第五条 互联网信息服务提供者开展安全评估,应当对信息服务和新技术新应用的合法性,落实法律、行政法规、部门规章和标准规定的安全措施的有效性,防控安全风险的有效性等情况进行全面评估,并重点评估下列内容:
(一)确定与所提供服务相适应的安全管理负责人、信息审核人员或者建立安全管理机构的情况;
(二)用户真实身份核验以及注册信息留存措施;
(三)对用户的账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征等日志信息,以及用户信息记录的留存措施;
(四)对用户账号和通讯群组名称、昵称、简介、备注、标识,信息、转发、评论和通讯群组等服务功能中违法有害信息的防范处置和有关记录保存措施;
(五)个人信息保护以及防范违法有害信息传播扩散、社会动员功能失控风险的技术措施;
(六)建立投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关投诉和举报的情况;
(七)建立为网信部门依法履行互联网信息服务监督管理职责提供技术、数据支持和协助的工作机制的情况;
(八)建立为公安机关、国家安全机关依法维护国家安全和查处违法犯罪提供技术、数据支持和协助的工作机制的情况。
第六条 互联网信息服务提供者在安全评估中发现存在安全隐患的,应当及时整改,直至消除相关安全隐患。
经过安全评估,符合法律、行政法规、部门规章和标准的,应当形成安全评估报告。安全评估报告应当包括下列内容:
(一)互联网信息服务的功能、服务范围、软硬件设施、部署位置等基本情况和相关证照获取情况;
(二)安全管理制度和技术措施落实情况及风险防控效果;
(三)安全评估结论;
(四)其他应当说明的相关情况。
第七条 互联网信息服务提供者应当将安全评估报告通过全国互联网安全管理服务平台提交所在地地市级以上网信部门和公安机关。
具有本规定第三条第一项、第二项情形的,互联网信息服务提供者应当在信息服务、新技术新应用上线或者功能增设前提交安全评估报告;具有本规定第三条第三、四、五项情形的,应当自相关情形发生之日起30个工作日内提交安全评估报告。
第八条 地市级以上网信部门和公安机关应当依据各自职责对安全评估报告进行书面审查。
发现安全评估报告内容、项目缺失,或者安全评估方法明显不当的,应当责令互联网信息服务提供者限期重新评估。
发现安全评估报告内容不清的,可以责令互联网信息服务提供者补充说明。
第九条 网信部门和公安机关根据对安全评估报告的书面审查情况,认为有必要的,应当依据各自职责对互联网信息服务提供者开展现场检查。
网信部门和公安机关开展现场检查原则上应当联合实施,不得干扰互联网信息服务提供者正常的业务活动。
第十条 对存在较大安全风险、可能影响国家安全、社会秩序和公共利益的互联网信息服务,省级以上网信部门和公安机关应当组织专家进行评审,必要时可以会同属地相关部门开展现场检查。
第十一条 网信部门和公安机关开展现场检查,应当依照有关法律、行政法规、部门规章的规定进行。
第十二条 网信部门和公安机关应当建立监测管理制度,加强网络安全风险管理,督促互联网信息服务提供者依法履行网络安全义务。
发现具有舆论属性或社会动员能力的互联网信息服务提供者未按本规定开展安全评估的,网信部门和公安机关应当通知其按本规定开展安全评估。
第十三条 网信部门和公安机关发现具有舆论属性或社会动员能力的互联网信息服务提供者拒不按照本规定开展安全评估的,应当通过全国互联网安全管理服务平台向公众提示该互联网信息服务存在安全风险,并依照各自职责对该互联网信息服务实施监督检查,发现存在违法行为的,应当依法处理。
第十四条 网信部门统筹协调具有舆论属性或社会动员能力的互联网信息服务安全评估工作,公安机关的安全评估工作情况定期通报网信部门。
第十五条 网信部门、公安机关及其工作人员对在履行职责中知悉的国家秘密、商业秘密和个人信息应当严格保密,不得泄露、出售或者非法向他人提供。
1.1需求分析
通过德尔菲法、访谈法、SWOT分析等风险管理技术,向学院各职能部门和其它渠道收集风险信息,分类总结,然后列出风险系统开发的大功能模块,每个大功能模块有哪些小功能模块;描述实现具体模块所涉及到的主要算法、数据结构、类的层次结构及调用关系,需要说明软件系统各个层次中每个模块或子程序的设计考虑,以便进行编码测试。系统平台可以实现以下功能:自动输出风险评估报告和建议报告,有效监控预防风险;对风险进行定量分析,实现以图表直观形式输出显示,并展示相应的数据指标;用户以个人账户或部门账户,登录到风险评估输入列表,选择相应的职能部门、行业类型、风险级别指标、以问答的形式选择相应的内置风险条目,根据登陆权限,可自拟增加、删除风险条目;可实现日常工作重要环节和重点风险过程的时间提醒功能,通过手机短信或网页提示窗提示等手段,提醒重点工作的正常开展,防范工作疏忽引起的风险;风险级别指标制定,可参考相应的国家或行业标准,也可自拟;系统平台内有评估标准,根据评估标准设计评估模型,利用评估模型对风险评估报告进行评估,得出评估结果供风险决策者参考;校领导和各职能部门负责人可根据管理权限查询相应的风险数据;B/S架构,实现新闻即时,可及时更新各高校风险管理中的经验交流文章、理论知识。
1.2程序编码实现
开始具体的编写程序工作,分别实现各模块的功能,从而实现对目标系统的功能、性能、接口、界面等方面的要求;开发过程中,边开发边测试,系统完工后,通过内部外部测试、模块测试、整体联调等测试方法,验证系统的整体稳定性,不断完善。
1.3具体应用
软件开发完成,做成相关的技术文档,系统上线;在具体应用中发现问题及时登记到问题记录册,反馈到开发人员,为以后的系统平台升级提供依据。
2平台功能模块
信息安全风险评估平台的开发环境为/MSSQL,基于SOA软件系统架构解决学院各信息系统集成,通过PDCA循环模型具体实施。信息安全风险评估系统平台建设主要包括评估公告、用户管理、指标设置、综合评估、综合查询、报表系统,数据导出七大模块。
2.1评估公告模块
评估公告模块实现新闻即时,可及时更新各高校风险管理中的经验交流文章、理论知识;可实现日常工作重要环节和重点风险过程的时间提醒功能,提醒重点工作的正常开展,防范工作疏忽引起的信息系统风险。
2.2用户管理模块
用户管理模块的功能是管理用户信息,主要包括用户的用户名、密码和权限,同时支持显示所有注册用户信息和删除用户功能;模块可以添加系统管理员、评估人和评估单位,评估人员可以设置不同的权限,限制评估范围;用户以个人账户或部门账户,登录到风险评估输入列表,选择相应的职能部门、行业类型、风险级别指标、以问答的形式选择相应的内置风险条目;不同的用户登录系统显示的模块不一样,根据登陆权限,可自拟增加、删除风险条目。
3.3指标设置模块
指标设置模块主要是依据国家有关信息安全风险评估指标,实现信息系统风险评估的指标体系设置,划分两级指标细化评估体系,一级指标划分为信息资产、威胁性、脆弱性,二级指标从硬件、软件、风险识别等细化指标体系;实现指标库的设置,可以分配不同的被评估单位相应的评价指标。
2.4综合评估模块
综合评估模块包括评估列表、评估历史。评估列表显示所有被评估单位,某一单位用户登录以后,系统自动调用相应的指标库,回答相应的信息系统安全问题,系统自动给出指标分数;评估历史是不同的账户登录,显示的列表不同,管理员能查询所有的用户评估历史,单位用户只能查询本系部的评估历史。
2.5综合查询模块
综合查询模块实现不同单位评估次数、评估成绩、各评估对象不同时间段等的评估查询。
2.6报表系统模块
报表模块实现了不同单位评估次数、评估成绩、各评估对象的柱状图的形式直观展示。
2.7数据导出模块
数据导出模块实现了评估单位当前总成绩或历史评估成绩的数据导出功能,支持PDF、Word、Excel文档格式。
3系统评估操作流程
系统管理员首先在系统后台对不同的用户设置相应的评估指标库;用户通过用户名和密码登录系统后台;登录成功后系统会自动调用相应的评价指标,用户回答相应的问题;回答结束后,用户点击提交,系统自动给出相应的评估分值;用户打印或存储评估数据报告。
4平台应用效果
4.1为我国高校的信息系统风险预防和应急处理提供建设性的意见
目前关于我国高校风险评估研究的大多停留在某些具体领域,主要是对宏观风险管理和财务风险状况进行探讨,对信息系统安全的研究较少。信息安全风险评估系统平台对高校信息安全风险进行定量分析评估,为我国高校信息系统风险评估提供了一个重要平台,为高校的信息系统风险预防和应急处理提供一些建设性的意见。
4.2为高校各级信息系统管理者提供了处理信息系统
风险的决策依据系统实现各级信息系统管理者可实时查询部门风险评估,针对高校日常管理中可能面临的各类信息系统安全风险、建议应对措施、突发事件、应急预案、法律法规等相关风险管理文档查询,为科学决策提供依据。
4.3信息系统安全风险处理更迅速
信息系统安全风险评估平台与学院网络安全教育平台、运维网站数据整合,当网络遭受攻击、病毒肆虐时,能第一时间获得相关信息,为快速解决信息系统安全风险创造了条件。
4.4提高了全校师生网络安全防范和参与意识
通过信息系统安全风险评估平台,全院师生提高了网络安全防范和参与意识,为河南牧业经济学院网络信息化建设出谋划策,促进学校领导和有关职能部门制定和完善网络有关管理制度。
4.5规范了全校师生的上网行为,减少了网络攻击
全校师生通过平台了解学校网络管理相关制度和管理方式,认识到自己的上网行为在学校监督管理中,从而自觉规范自身的上网行为。平台为引导师生正确使用网络、规避风险,保障校园网网络良好正常运转起到了积极的作用。通过信息系统风险评估的漏洞查找,各系部加强了网络安全知识普及、全员参与、相关规章制度的约束,一直困扰我院网管人员的网络非法攻击,特别是破坏后果更难预测的内部网络攻击得到了有效的遏制。
5结束语
1.1系统功能
在网络安全态势感知系统中,网络服务评估系统的数据源是最重要的数据源之一。一方面,它能向上层管理者提供目标网络的安全态势评估。另一方面,服务数据源为其它传感器(Log传感器、SNMP传感器、Netflow传感器)的数据分析提供参考和依据[1]。
1.2主要功能
(1)风险评估,根据国家安全标准并利用测试系统的数据和主要的风险评估模型,获取系统数据,定义系统风险,并提出应对措施[2]。
(2)安全态势评估与预测,利用得到的安全测试数据,按照预测、随机和综合量化模型,对信息系统作出安全态势评估与预测,指出存在的安全隐患并提出安全解决方案。
(3)建立数据库支撑,包括评估模型库、专家知识库、标准规范库等。
(4)输出基于图表样式和数据文件格式的评估结果。
2系统组成和总体架构
2.1系统组成
网络安全评估系统态势评估系统是在Windows7平台下,采用C++builder2007开发的。它的数据交互是通过核心数据库来运行的,为了使评估的计算速度和读写数据库数据更快,应将子系统与核心数据库安装在同一机器上。子系统之间的数据交互方式分别为项目数据交互和结果数据交互。前者分发采用移动存储的形式进行,而后者的提交获取是通过核心数据库运行。
2.2总体架构
系统包括人机交互界面、控制管理、数据整合、漏洞扫描、安全态势评估和预测、本地数据库等六个模块组成。网络安全评估系统中的漏洞扫描部分采用插件技术设计总体架构。扫描目标和主控台是漏洞扫描子系统的主要部分,后者是漏洞扫描子系统运行的中心,主控台主要是在用户打开系统之后,通过操作界面与用户进行交流,按照用户下达的命令及调用测试引擎对网络上的主机进行漏洞测试,测试完成后调取所占用的资源,并取得扫描结果,最后形成网络安全测试评估报告,通过这个测试,有利于管理人员发现主机有可能会被黑客利用的漏洞,在这些薄弱区被黑客攻击之前对其进行加强整固,从而提高主机网络系统的安全性。
3系统工作流程
本系统首先从管理控制子系统获取评估任务文件[3],然后根据任务信息从中心数据库获取测试子系统的测试数据,再对这些数据进行融合(加权、去重),接着根据评估标准、评估模型和支撑数据库进行评估[4],评估得到网络信息系统的安全风险、安全态势,并对网络信息系统的安全态势进行预测,最后将评估结果进行可视化展示,并生成相关评估报告,以帮助用户进行最终的决策[5]。
4系统部分模块设计
4.1网络主机存活性识别的设计
“存活”是用于表述网络主机状态[6],在网络安全评估系统中存活性识别流程对存活主机识别采用的方法是基于ARP协议。它的原理是当主机或路由器正在寻找另外主机或路由器在此网络上的物理地址的时候,就发出ARP查询分组。由于发送站不知道接收站的物理地址,查询便开始进行网络广播。所有在网络上的主机和路由器都会接收和处理分组,但仅有意图中的接收者才会发现它的IP地址,并响应分组。
4.2网络主机开放端口/服务扫描设计
端口是计算机与外界通讯交流的出口[7],软件领域的端口一般指网络中面向连接服务的通信协议端口,是一种抽象的软件结构,包括一些数据结构和FO(基本输入输出)缓冲区[8]。
4.3网络安全评估系统的实现
该实现主要有三个功能,分别是打开、执行和退出系统[9]。打开是指打开系统分发的评估任务,显示任务的具体信息;执行任务指的是把检测数据融合,存入数据库;退出系统是指关闭系统。然后用户在进行扫描前可以进行选择扫描哪些项,对自己的扫描范围进行设置。进入扫描后,界面左边可以显示扫描选项,即用户选中的需要扫描的项[10]。界面右边显示扫描进程。扫描结束后,用户可以点击“生成报告”,系统生成用户的网络安全评估系统检测报告,最终评定目标主机的安全等级[11]。
5结束语
(1)系统研究还不够全面和深入。网络安全态势评估是一门新技术[12],很多问题如规划和结构还没有解决。很多工作仅限于理论,设计方面存在争论,没有统一的安全态势评估系统模型[13]。
(2)网络安全状况评估没有一致的衡量标准。网络安全是一个全面统一的概念[14],而网络安全态势的衡量到现在还没有一个全面的衡量机制[15]。这就导致现在还没有遵守的标准,无法判断方法的优劣。
