浅谈如何进行网络安全评估
网络安全评估
网络安全评估
成卫青;龚俭
【期刊名称】《计算机工程》
【年(卷),期】2003(029)002
【摘要】首先指出网络安全评估具有重要意义;然后给出参照CC的网络安全评估实施框架,重点讨论TOE评估依据--安全指标的建立,并给出EAL1级和EAL2级TOE评估的内容;最后说明实施评估还有很多问题有待考虑.
【总页数】4页(P182-184,186)
【作者】成卫青;龚俭
【作者单位】东南大学计算机科学系,南京,210096;南京邮电学院计算机科学与技术系,南京,210003;东南大学计算机科学系,南京,210096
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.地铁网络安全评估:网络—单线—网络 [J], 孙章
2.基于粒子优化神经网络的计算机网络安全评估模型 [J], 牛旭
3.基于银行网络系统浅谈信息网络系统安全评估 [J], 张春柳;宋巍;陆凌晨
4.基于神经网络的智慧校园网络安全评估 [J], 颜筱威;吴春旺;张力中;李毓轩
5.粒子优化神经网络在计算机网络安全评估中的应用 [J], 彭祥礼;王敬靖;刘芬;冯浩;代荡荡
因版权原因,仅展示原文概要,查看原文内容请购买。
浅谈对网络安全的认识
浅谈对网络安全的认识浅谈对网络安全的认识网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
从广义方面来看,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。
近年来,随着计算机网络的普及与发展,我们的生活和工作都越来越依赖于网络。
国家政府机构、各企事业单位不仅建立了自己的局域网系统,而且通过各种方式与互联网相连。
但是,我们不得不注意到,网络虽然功能强大,也有其脆弱易受到攻击的一面。
所以,我们在利用网络的同时,也应该关注网络安全问题,加强网络安全防范,防止网络的侵害,让网络更好的为人们服务。
简要的分析计算机网络存在的安全问题,并在此基础上提出几种有效防范网络安全的措施。
(一)配置防火墙。
防火墙将内部网和公开网分开,实质上是一种隔离技术。
它是网络安全的屏障,是保护网络安全最主要的手段之一。
利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客随意访问自己的网络。
防火墙是一种行之有效且应用广泛的网络安全机制,防止网络上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。
(二)安装防病毒网关软件。
防病毒网关放置在内部网络和互联网连接处。
当在内部网络发现病毒时,可能已经感染了很多计算机,防病毒网关可以将大部分病毒隔离在外部,它同时具有反垃圾邮件和反间谍软件的能力。
当出现新的病毒时,管理员只要将防病毒网关升级就可以抵御新病毒的攻击。
(三)应用入侵检测系统。
入侵检测技术是近20年来出现的一种主动保护自己免受黑客攻击的新型网络安全技术。
它能够检测那些来自网络的攻击,检测到超过授权的非法访问。
一个网络入侵检测系统不需要改变服务器等主机的配置。
由于它不会在业务系统的主机安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务的性能。
浅谈如何保障网络信息安全
浅谈如何保障网络信息安全浅谈如何保障网络信息安全网络信息安全是当今互联网时代面临的重大挑战之一。
随着互联网的普及和信息技术的迅猛发展,网络安全问题也逐渐受到人们的重视。
本文将从以下几个方面浅谈如何保障网络信息安全。
1. 加强用户教育和意识培养用户是网络信息安全的第一道防线。
加强用户的网络安全教育和意识培养对于保障网络信息安全至关重要。
用户应当了解网络信息安全的基本知识,如密码的设置与保护、不可疑、定期更新操作系统和防软件等。
同时,用户应该保持警惕,提高对网络信息安全风险的认知。
2. 建立健全的安全管理体系企业和组织应该建立健全的网络信息安全管理体系,制定相应的安全政策和规定,并确保其有效执行。
这包括制定合理的密码策略、访问控制策略、数据备份策略等。
同时,进行定期的安全风险评估和安全漏洞扫描,及时发现并修补系统或应用程序的安全漏洞。
3. 强化网络设备和系统的安全防护网络设备和系统是信息流通的基础,其安全防护至关重要。
对于网络设备和系统,可以采取一系列措施保障其安全,如定期更新安全补丁、加强访问控制、启用防火墙、使用入侵检测和防御系统等。
通过事前和事中的安全防护措施,可以有效减少网络攻击和信息泄露的风险。
4. 构建高可用的数据备份和恢复方案数据备份是保障网络信息安全的一项重要措施。
在网络系统遭受攻击或意外灾害时,数据备份可以提供重要数据的恢复和恢复过程中的容错能力。
因此,建立高可用的数据备份和恢复方案对于保障网络信息的长期安全至关重要。
定期备份数据,并将备份数据存储在安全可靠的地方,同时进行定期的备份验证,确保备份数据的完整性和可用性。
5. 加强安全监控和事件响应能力加强安全监控和事件响应能力可以及时发现和应对网络安全威胁。
通过部署安全监控系统,及时发现异常行为和网络攻击,并采取相应的措施进行响应和处置。
建立完善的安全事件响应机制,包括明确责任人、建立响应流程、定期进行演练等,以提高对安全事件的响应能力。
浅谈网络安全的风险评估方法
浅 谈 网络 安 全 的 风 险评 估 方 法
毕 妍
( 中国人 民武 装警 察部 队 学院 消防 工程 系信 息工 程教研 室 河 北廊坊 0 6 5 0 0 )
【 摘
要 】 随着 网络 技术 的 日新 月异 , 网络 安全 越来 越成 为人 们 关注 的热点 问题 。 网络 安全 的风 险评 估 , 在 网络安 全
m a n a g
e c 吣 . B a s e  ̄ ∞n e 。 s e 咐 a s c . h e B a ∞ u g h n t , 0 9 . t h e b a s i s ft o b , e o v e w  ̄ w o f r , e , t w o ks r e e u 咐 a s ∞s s 帐 , a p r o b e s
i m p o r t a n t r o l e i n n e wo t r k s e c u r i y t t e c h n o l o g y , t i m e l y u n d e r s t a n d i n g o f t h e n e t w o r k s y s t e m s e c u r i t y s i t u a t i o n . D u r i n g t h e o p e r a t i o n o f t h e c o m p u t e r n e w t o r k , t h e n e wo t k r s y s t e m t o e v a l u a t e t h e o v e r a l l s a f e y t p e r f o r m a n e, c c a n p r o v i d e t h e b a s i s f o r t h e c o n s t r u c t i o n o f s e c u r i y t s y s t e m , o f r n e wo t r k s e c u r i t y r i s k
浅谈对网络安全的认识
浅谈对网络安全的认识随着互联网的快速发展,网络安全问题日益凸显。
黑客攻击、信息泄露、网络诈骗等威胁层出不穷,给个人、企业乃至整个社会造成了严重的损失。
因此,加强网络安全意识与技术防护措施的重要性不容忽视。
本文将就网络安全的现状和认识进行深入阐述。
一、网络安全的概念和重要性网络安全指的是在互联网环境下,防止黑客入侵、信息泄露、计算机病毒传播等危害,保护网络系统和用户信息的完整性、机密性和可用性的一种综合性保护措施。
网络安全问题的重要性主要体现在以下几个方面:1. 保护个人隐私:在互联网时代,个人信息安全受到了极大的挑战。
如果个人信息被不法分子获取,将面临身份盗窃、金融诈骗等风险,甚至会导致生活的破碎。
2. 维护国家安全:网络攻击已成为新型战争的一种形式,对国家的政治、经济甚至军事安全构成了严重威胁。
保障网络安全,是国家安全的重要方面。
3. 促进经济发展:网络经济已成为全球经济发展的重要引擎,但网络安全问题的存在往往会阻碍经济的发展。
在保障网络安全的前提下,人们才敢进行网上交易,推动电子商务的发展。
二、网络安全面临的挑战和威胁1. 黑客攻击:黑客通过非法手段侵入他人计算机系统,窃取用户信息、篡改系统设置甚至进行勒索,给个人和组织造成极大的损失。
2. 病毒与恶意软件:计算机病毒的传播已经成为网络安全的一大隐患,恶意软件更是给用户的计算机带来了严重的安全风险。
3. 信息泄露:在互联网时代,大量的个人信息被存储在网络中,这些信息的泄露将造成无法估量的后果。
4. 社交网络风险:社交网络的流行使得用户信息暴露的风险大大增加,网络犯罪分子通过社交网络进行诈骗、谣言传播等活动。
5. 版权侵犯:在互联网上,音乐、电影、文学作品等的盗版问题屡禁不止,给创作者带来了巨大的损失,对版权保护形成了严重威胁。
三、提升网络安全的措施和方法1. 加强网络安全意识:培养人们的网络安全意识是保护网络安全的基础。
个人和企业应了解网络安全的重要性,学习防范网络威胁的知识和技能。
浅谈网络安全的风险分析方法
l 0 l l
维普资讯
e之 家言
一
一
息安全市场开始起跑
嗣l 唾
月的 北京 ,仍 然没有 太多 厂 家是 否 也 应 该 将 自己 的 产 品 做 的寒 意 , 气异 常的温和, 天 仿佛 预 的 更“ 民化 ” 些 呢 ? 平 一 市场 应 用就 示着夸年 的信息安全 市场 温度 不 应 当简单有效 ,把 消费者 当作傻 般 ,0 1 的信 息安 全 热将在 瓜 来看待 ,要知 道最好的技 术井 20 年 2O 02年持续 , 甚至丹温 . 这一 点从 不见得是 最成功的 ,被 消费者认 跨 国公 司近期 紧锣密鼓 动作 中便 同接 受 的才 是 最 好 的 。
在 华 能 国电 整 十 系统 进 行 的安 全 设计 、 招桎 标 以厦 随 后 的 网络 安全 系统 使 用过 程 中. 安 全 系境 的使 用 阻厦 技 术 发展 进 行 了 对
多方面的探讨, 本文蛄台 了华能 国电招标的 实例 , 对八侵检l 系统的应用情况以厦技术发展进行 了较为详尽的 阐述 。 驯
可看 出一 些 端倪 。
谈 到 信 息 安 全 ,不 可 避 免 的
带有一些神 秘 色彩 ,目为它涉厦 到国计 民生 ,所 阻在这 一产 业 的
发展 上 .各 国 政 府 普 遍 采 取 了保 护奉 国民族产业 的蕈略 ,而政府 需求也 正是选一产业发展 的原始 推动 力。在经历 了 “ 中美景客太 战” “ 色代码 ”等 一 系列事 件 、红 后 ,人们开 始真正关注信 息安 全 晓 这 一 领 域 , 政 府 、 融 之 外 , 聘 垒 盘 齐 业、个人逐渐 开始考 虑 自身 的信 惠 系统 风 险 。 商业应用的发展 正预示着 产 生发展的成熟 ,而 目前信 息安 全 产业还缺乏 逝够推动 市场快速发 展 的 产 品 和 技 术 。听 说 过 很 多特 防 火墙 、 1 D¥当摆 设 的倒 子 ,这 一 方 面说 明 市 场 目前 缺 乏信 息 安 全 类的专业人才 ,另一方 面我 们的
浅谈如何保障网络信息安全
浅谈如何保障网络信息安全网络信息安全是指保护网络系统、网络数据和网络用户身份信息不受非法、恶意活动的侵害和破坏,确保网络环境的安全、稳定和可靠。
随着网络的普及和发展,网络信息安全问题日益突出,我们需要采取一系列的措施来保障网络信息安全。
首先,网络信息安全的保障需要政府、企事业单位和个人共同参与。
政府应制定完善的法律法规来规范网络信息安全的管理,加强对网络安全的监督与管理。
企事业单位要建立健全的网络安全管理制度,加强对员工的安全培训,提高员工的信息安全意识。
个人应增强网络安全意识,提高自我保护能力,不随意点击不明链接,不相信不可靠的信息,注意个人隐私保护。
其次,加强网络技术防护是保障网络信息安全的重要手段。
网络系统应进行安全加固,及时打补丁、升级操作系统和应用软件,防止黑客通过漏洞进行攻击。
网络设备应进行入侵检测和防火墙的配置,及时发现和阻止恶意攻击。
同时,采用网络入侵检测和防护系统,实时监控网络流量,及时发现异常行为,对网络攻击进行及时阻止和响应。
第三,加强网络数据安全保护。
企事业单位要加强对网络数据的保护,制定数据存储和备份策略,定期备份数据,并进行加密存储,以防数据丢失和泄露。
同时,对重要数据要进行分类存储和访问控制,设置不同的权限和角色,确保数据的安全性和完整性。
防止数据被非法获取和篡改。
第四,加强网络安全监测和应急响应。
建立网络安全监测与应急响应机制,利用安全监测系统实时监测网络安全状况,发现网络攻击行为和异常流量,及时采取措施进行处置。
建立安全事件响应团队,制定安全事件演练方案,加强应急预案的制定和培训,做好安全事件应对工作。
最后,加强网络安全的国际合作。
网络安全是全球性的问题,各国应加强合作,共同应对网络安全挑战。
加强信息分享和交流,共同探讨网络安全问题,共同研究解决方案。
建立跨国合作机制,加强对网络攻击和恶意活动的追踪和打击,共同维护网络安全。
综上所述,保障网络信息安全需要政府、企事业单位和个人的共同努力,需要加强技术防护、数据安全、监测和应急响应等方面的工作,并需要加强国际合作。
浅谈公司计算机网络安全评估及发展思考
人员作用 , 有效减少 网络安全事故的发生 , 降低网
络非技术性故障。利 用网络技术手段和工具 , 努 力增强网络的安全 l、 生 可靠性是必须的, 也是最有 成效的。所以计算 机网络安全是对网管人员工作
台计算机可 以管理 全网中所有 的计算机 , 甚至可 以在家里通过 It nt对公司计算机进行远程实 n re, e
时管理 。我们在提高当前 网络利用率和性能的同
时, 也带来 了许多不容忽视 的计算机安全 、 管理 和 重要数据维护等新问题 。
11 安全问题 . 如果仅 1 O台计算机在 网上运行 , 可以采取分
理, 在于网管人员对整个计算机 网络系统所反映
公司局 域 网运 行 的应 用 系统 : 箱 系统 、 集 EI D、 费收、 公司 IA 船停 时/ O 、 吞吐量、 计量 能源、
金蝶 财务 、 人力资源 、 固定资产、 星网络版杀毒 瑞 软件 、 视频监控系统及内部网站等 。 通过二条电信专线 ( R 分别 与港航 E I F) D 中
・
1 ・ 5
维普资讯
港 口科技 ・ 息技 术 信
的考验 。
要数据也可 同时保存在磁带中。
2 公司计算机网络问题 的安全评估
许多用户认 为实施 了安全策略后 ( : 星 如 瑞
杀毒软件) ,自己的计算机速度变慢了, 影响了工
作进度。其实 大家应该 知道 “ 安全与速度” 是一 对矛盾 , 因为“ 网络上 的事业不分大小” 只要有 ,
网络安全是人们要追求 的 目标 , 但要达 到 目 标的过程是复杂的。这就要求人们不断地全方位 对计算机 网络的安全进行综合评 估 , 了解 网络的 缺陷在哪里 , 并采取相应 的技术措施。 网络信息安全事故 , 一般没有直接的设 备财 产损失 , 但是重要数据的丢失 、 损毁 、 被盗 , 同样会 产生巨大 的间接经 济损失 。网络 的安全 重在管
浅谈网络安全的几个表现形式
浅谈网络安全的几个表现形式■廉保东申永芳互联网对人类社会的介入越来越深,人类的生 产、生活越来越依赖网络,填报信息、交通出行、采 购支付、金融贸易、快递货运、新闻浏览、学习考试 等衣食住行各方面都依托于网络。
但随之而来是网络 应用中存在的风险,如:信息泄露、病毒、黑客、数 据库安全、数据丢失等,一旦出现以上情况,对生产 生活会带来巨大损失,严重情况影响国家安全,网络 安全问题不容忽视。
网络安全是指网络系统的硬件、软件及其系统中 的数据受到保护,信息和资源不被非法授权用户使用,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常运行,网络服务不中断。
网络安全的几个表现形式1.做到网络硬件安全网络硬件主要包括服务器、工作站、交换机、路由 器、网卡、传输介质和各种输入输出设备。
网络硬件设 备安全主要包括网络硬件冗余、网络机房建设与环境 安全、路由器交换机安全、服务器及工作站安全。
网络硬件冗余就是重复配置系统的一些部件,当系统某些部件发生故障时,冗余配置的其他部件介入 并承担故障部件的工作,由此提高系统的可靠性。
冗 余是将相同的功能设计在两个或两个以上设备中,如 果一个设备有问题,另一个设备就会自动承担起工作。
网络机房建设与环境安全是网络系统正常运行的 重要保障。
网络管理部门必须加强对机房环境的保护 和管理,以确保网络系统安全。
只有保证机房的安全 可靠,才能保障网络系统曰常业务工作正常运行。
路由器交换机安全包括路由器交换机的配置合理,做好访问策略和控制,访问控制列表提供了一种机制,可以控制和过滤路由器交换机不同接口去往不同方向的信息流。
这种机制允许用户使用(ALC)来实现用户限制访问。
服务器是一种高性能计算机,再配以相应的服务 器软件就构成了网络服务器系统,网络服务器系统的数据存储和处理能力很强,是网络系统的灵魂。
工作站是用户终端,选配好的服务器和工作站对保障网络安全有重要意义。
2.防止病毒入侵、木马黑客攻击计算机病毒是指编写者将程序代码植人到计算机 系统中,并不断复制,不断损害计算机功能,占用计算机资源,影响网络传输,病毒具有传染性、破坏性和重复性,随着计算机网络技术的发展,病毒也在不断更新升级,木马程序是一种特殊的后门程序,它是一种基于远程控制的黑客工具,黑客一旦入侵,他能网络安全检查HINA NLi*;.; r A h ir.::中国核工业49网络安全知识考试非常隐蔽地控制你的计算机,造成计算机失控,数据 丢失。
浅谈网络安全
随着信息 时代 的迅猛 发展 , 其共 享性 、 开放性 、 互联程度的扩大 , 网 络对社会来说 , 越来越 重要 , 甚至已经成为了人们生活中不可缺少的一 部分 。而 网络安 全问题 就显得尤 为重要 了 。网络也有其 自身 的脆 弱 性, 而且会受 到一些威 胁。然 而风险分析 , 是建立网络防护系统与实施 风险管理 的程序所 开展的一项基 础性工作。网络的安全威胁和网络的 安全 防护措施是交 互出现 的。不 合适的 网络安全 防护措施 , 不 仅不能 减少 网络 的安 全风险 , 而且会浪费大量的资金 , 甚至可能招致更大的安 全威胁 。因此 , 周 密的 网络安 全分析制定 的必要 前提 , 是有效 的 、 可靠 的安全 防护措施 。网络风 险分 析应该在应用 程序 、 网络 系统 或信息数 据库 的设计 阶段进 行 , 这样可以从设计开始就明确网络安全的需求 , 进 步 确认潜在 的安全损失 。因为在最初 的设计 阶段 , 实现安 全控制远 远 比网络 系统 运行 后采取相同的控制要节约很多。即使当前的网络系 统分析建立得 很完善 , 但是在建立安全防护时 , 风险分析依然会存在安 全 问题 。 网 络安 全 缺 陷 在我们 的 日程生活中 , 网络是我们必不可少的生活必备品 , 但是 网 络也 会有其 自 身 的不足和缺 陷 , 也会受到外界 或者其他 因素 的一些威 胁, 例如 内部窃 密和破坏 , 截收、 窃听 与非法访 问 , 破坏 信息 的完整性 ( 通 过篡改 、 删 除和插 入等方式破坏信息 的完整性) , 冒充 ( 攻击者利用 冒 充手段 窃取 信息 、 入侵系统 、 破坏 网络正常通讯或欺骗合法主机和合法 用 户。) , 流量 分析攻击( 分析通信双方通信 流量的大小 , 以期 获得相关 信 息。) , 其他威 胁( 病毒 、 电磁泄漏 、 各种 自然灾害 、 战争 、 失窃 、 操作失 误等) 。另外一方面, 网络主要受到操作系统 、 网络协议 、 应用软件 、 用户 使用 和恶意程序的缺陷等六个方 面的物理安全威胁 。 T C P / I P也存在着一系列的安全缺陷 。有 的缺陷是 由于源地址 的认 证 问题造成 的 , 有 的缺 陷则来 自网络控制 机制和路 由协议 等。在开放 式网络环境 中, 网络通信技术会受到两种不 同方式 的攻击 , 一个是 主动 攻击另一个则为被动攻击 。主动攻击包括篡改用户信息 、 伪造及删除 , 冒充用户 身份和阻止合 法用户 的访 问。被 动攻击包括 窃取用户信息 , 对信息 流量 的分析等 。 因此 , 建立 网络安全体 系结构 , 以实 现数据加 密、 身份认证 、 数据完整性鉴别 、 数字签名 、 访 问控制等方面 的功能是很 有必要的。 二、 网 络 安 全 原 则 网络 的安全 性也会有其 自身的特定原则 , 例如 : 普遍 参与性 , 是 指 为了使安全 机制更有效 , 大部分 的安 全保护系统要求 站点人员普遍 参 入( 或至少没有反对者 ) 。 纵深 防御也 是一种基 本的安全原则 , 而且不光是 针对网络系统 而 言 的。纵深 防御是指 不能 只依赖单 一安全机 制 , 应 该建立 多种机制 。 系统可以通过使用大量 的不 同系统提供 纵深 防御 而获得额外 的安 全保 护。安全保 护的基本 原则是链 的强度 取决它 的最 薄弱链 接 , 墙 的坚固 性取决于它的最弱点。 失效保 护状态及最 小特权与简单 化。最小特权 原则上 , 是指 一个 对象 ( 程序 、 人、 路 由器 或者其 他事 物) 应该只拥有为执行其分配的任务 所需要 的最小特权 , 并且绝不超越 此界限 。简单 化作为一个安全 保护 策略 , 则有两个原 因 : 一是让事情 简单使它们 易于理解 , 如果不 了解某 些事 , 就不能真 正了解它是 否是 安全的 。二是 复杂化会为所有类 型 的 事情提供 隐藏 的角落和缝 隙。 网络 安全还有 一套属于 自己的八大安全机制 , ( 1 ) 数据加 密机制 、 ( 2 ) 访 问控制机 制 、 ( 3 ) 数据 完整性机制 、 ( 4 ) 数 字签名机制 、 ( 5 ) 实体认 证机制 、 ( 6 ) 业务填 充机制 、 ( 7 ) 路 由控制机制 、 ( 8 ) 公证机制。 三、 网络 安 全 结构 体 系 机构 , 是 为了执行和实 现各种策略功 能的集合 。完善 的机构 的物 质 基础 , 是实施正确 的安全策 略, 所 以一般要求机构能实现各种不 同的 策略 , 以便 策略变动 的时候 , 无需更改 变换安全机构 。保 护机构 , 应负 责阻止一 切物理破坏 和用户的操作破 坏 , 后者则归结 为主体本身可 以 用哪种方式访 问哪些对象 。主体 、 访 问类 型 、 对 象是 我们要讨 论的保 护 机构 主要 成分 。人侵 检测系统根据 入侵检测 的行 为分 为两种模式 : 异
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
浅谈如何进行网络安全评估周连兵摘要:随着网络技术的发展,网络信息系统逐渐深入到各行各业,网络安全也成为人们关注的话题,一个组织的信息系统经常面临内部和外部威胁的风险,如果你没有一定的黑客技术的经验与知识,很难充分保护你的系统。
安全评估就是利用大量安全行业经验和漏洞扫描的最先进技术,从内部和外部两个角度,对一个组织的信息系统进行全面的评估。
该文主要通过论述怎样进行安全评估,使广大网管、网络安全技术人员及用户了解怎样找出网络信息系统的漏洞,并进行加固。
关键词:网络安全评估漏洞第一部分描述一个组织的信息系统经常会面临内部和外部威胁的风险。
随着黑客技术的日趋先进,没有这些黑客技术的经验与知识很难充分保护您的系统。
安全评估利用大量安全性行业经验和漏洞扫描的最先进技术,从内部和外部两个角度,对企业信息系统进行全面的评估。
由于各种平台、应用、连接与变更的速度和有限的资源组合在一起,因此采取所有必要措施保护组织的资产比以往任何时候都困难。
环境越复杂,就越需要这种措施和控制来保证组织业务流程的连续性。
第二部分目标在项目评估阶段,为了充分了解企业专用网络信息系统的当前安全状况(安全隐患),因此需要对网络系统进行安全状况分析。
经我系安全小组和该企业信息中心的双方确认,对如下被选定的项目进行评估。
·管理制度的评估·物理安全的评估·计算机系统安全评估·网络与通信安全的评估·日志与统计安全的评估·安全保障措施的评估·总体评估然后对其中的安全弱点进行分析,并写出报告,作为提高该企业网络系统整体安全性的重要参考依据。
第三部分需求及现状一、网络实际应用该企业网络系统是专门的网络结构,通过代理接入internet。
这次评估的企业网络系统是公司内部局域网,担负本公司的网络办公、通信和信息发布,及与总公司信息系统的通信等任务。
二、服务需求可根据具体情况列出该企业所需要的网络应用。
例如WEB应用,Internet 应用,网络通信,SQL server格式的数据库等。
第四部分评估步骤对公司的网络系统的安全评估,一般分五个步骤进行:第一步,进行实体的安全性评估。
第二步,对网络与通信的安全性进行评估。
第三步,对实际应用系统的安全性进行评估。
第四步,由评估小组的工程师亲自对评估的结果进行分析汇总,并对部分项目进行手动检测,消除漏报情况。
第五步,根据评估的结果,得出此次评估的评估报告。
一、管理制度管理制度是否健全是做好网络安全的有力保障,包括机房管理制度、文档设备管理制度、管理人员培训制度、系统使用管理制度等。
1、评估说明首先做好评估时间、评估地点、评估方式的详细说明。
不同的时间评估时间,即使评估地点、评估方式相同也会有不同的测试结果;同样不同的评估方式,相同的时间、地点结果也大不相同。
所以在评估之前一定要对这些方面进行详细地说明。
2、评估内容评估内容包含以下几个方面,机房管理制度、文档设备管理制度、管理人员培训制度、系统使用管理制度等,可以通过类似下面的表格进行记录。
3、评估分析报告对公司的信息网络系统的各项管理制度进行细致的评估,并对各项评估的结果进行详细地分析,找出原因。
说明存在哪些漏洞,比如由于公司网络信息系统刚刚建立,各项管理规章制度均没有健全,为今后的管理留下了隐患,网络系统的管理上存在许多漏洞。
4、建议提出初步的意见,如健全各种管理规章制度。
当然具体的意见要在加固时提出。
二、物理安全物理安全是信息系统安全的基础,我们将依据实体安全国家标准,将实施过程确定为以下检测与优化项目。
1、评估说明与管理制度的评估说明类似,例如:评估时间:2003年03月29日上午评估地点:中心机房评估方式:人工分析2、评估内容物理安全一般包括场地安全、机房环境、建筑物安全、设备可靠性、辐射控制与防泄漏、通讯线路安全性、动力安全性、灾难预防与恢复措施等几方面。
可参考如下表格进行:3、评估分析报告通过对公司各节点的实地考察测量,看是否存在以下不安全因素。
l 场地安全措施是否得当。
l 建筑物安全措施是否完善。
l 机房环境好坏。
l 网络设备的可靠性。
l 辐射控制安全性有没有考虑。
l 通讯线路的安全性。
l 动力可靠性。
l 灾难预防与恢复的能力。
4、建议计算机机房的设计或改建应符合GB2887、GB9361和GJB322等现行的国家标准。
除参照上述有关标准外,还应注意满足下述各条要求:(1)机房主体结构应具有与其功能相适应的耐久性、抗震性和耐火等级。
变形缝和伸缩缝不应穿过主机房;(2)机房应设置相应的火灾报警和灭火系统;(3)机房应设置疏散照明设备和安全出口标志;(4)机房应采用专用的空调设备,若与其它系统共用时,应确保空调效果,采取防火隔离措施。
长期连续运行的计算机系统应有备用空调。
空调的制冷能力,要留有一定的余量(宜取15%-20%);(5)计算机的专用空调设备应与计算机联控,保证做到开机前先送风,停机后再停风;(6)机房应根据供电网的质量及计算机设备的要求,采用电源质量改善措施和隔离防护措施,如滤波、稳压、稳频及不间断电源系统等。
(7)计算机系统中使用的设备应符合GB4943中规定的要求,并是经过安全检查的合格产品。
三、计算机系统安全性平台安全泛指操作系统和通用基础服务安全,主要用于防范黑客攻击手段,目前市场上大多数安全产品均限于解决平台安全,我们以通用信息安全评估准则为依据,确定平台安全实施过程包括以下内容:1、评估说明与管理制度的评估说明类似,例如:评估时间:2003年03月30日评估地点:中心机房评估方式:软件检测(sss、x-scan等)和人工分析2、评估内容在这里分别对proxy server/web server/ printer server等各服务器,进行扫描检测,并作详细记录。
可参考如下表格:3、评估分析报告计算机系统的安全评估主要在于分析计算机系统存在的安全弱点和确定可能存在的威胁和风险,并且针对这些弱点、威胁和风险提出解决方案。
(1)计算机系统存在的安全弱点安全弱点和信息资产紧密相连,它可能被威胁利用、引起资产损失或伤害。
但是,安全弱点本身不会造成损失,它只是一种条件或环境、可能导致被威胁利用而造成资产损失。
安全弱点的出现有各种原因,例如可能是软件开发过程中的质量问题,也可能是系统管理员配置方面的,也可能是管理方面的。
但是,它们的共同特性就是给攻击者提供了对主机系统或者其他信息系统攻击的机会。
经过对这些计算机系统和防火墙的扫描记录分析,我们发现目前该公司网络中的计算机系统主要弱点集中在以下几个方面:①系统自身存在弱点对于商业windows2000 server系统的补丁更新不及时,没有安全配置过,系统还是运行在默认的安装状态非常危险。
有的win2000服务器系统,虽然补丁更新的比较及时,但是配置上存在很大安全隐患,用户的密码口令的强度非常低很多还在使用默认的弱口令,网络攻击者可以非常轻易的接管整个服务器。
另外存在ipc$这样的匿名共享会泄漏很多服务器的敏感信息。
②系统管理存在弱点在系统管理上缺乏统一的管理策略,比如缺乏对用户轮廓文件(profile)的支持。
③数据库系统的弱点数据库系统的用户权限和执行外部系统指令是该系统最大的安全弱点,由于未对数据库做明显的安全措施,望进一步对数据库做最新的升级补丁。
④来自周边机器的威胁手工测试发现部分周边机器明显存在严重安全漏洞,来自周边机器的安全弱点(比如可能是用同样的密码等等)可能是影响网络的最大威胁。
(2)主机存在的威胁和风险安全威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件。
产生安全威胁的主要因素可以分为人为因素和环境因素。
人为因素包括有意的和无意的因素。
环境因素包括自然界的不可抗力因素和其他物理因素。
安全风险则是一种可能性,是指某个威胁利用弱点引起某项信息资产或一组信息资产的损害,从而直接地或间接地引起企业或机构的损害的可能性。
(3)数据的安全性包括SCSI热插拔硬盘没有安全锁,人员杂,硬盘很容易取走;数据的存储的冗余备份机制;数据的访问工作组方式,是否需验证;有没有备份措施,硬盘损坏能不能恢复。
4、建议(1)主机安全系统增强配置(2)MS-SQL服务器安全管理和配置建议①更改用户弱口令;安装最新的SQL服务器补丁SP3;尽可能删除所有数据库中的Guest账号;在服务器的特性中,设定比较高的审计等级;限制只有sysadmin的等级用户才可以进行CmdExec任务;选择更强的认证方式;设定合适的数据库备份策略;设定确切的扩展存贮进程权限;设定statement权限;设定合适的组、用户权限;设定允许进行连接的主机范围;限制对sa用户的访问,分散用户权限。
②支持多种验证方式。
(3)媒体管理与安全要求①媒体分类根据媒体上记录内容将媒体分为A、B、C三种基本类别。
A类媒体:媒体上的记录内容对系统、设备功能来说是最重要的,不能替代的,毁坏后不能立即恢复的。
B类媒体:媒体上的记录内容在不影响系统主要功能的前提下可能进行复制,但这些数据记录复制过程较困难或价格较昂贵。
C类媒体:媒体上的记录内容在系统调试及应用过程中容易得到的。
②媒体的保护要求保留在机房内的媒体数量应是系统有效运行所需的最小数量。
A、B类媒体应放入防火,防水,防震,防潮、防腐蚀、防静电及防电磁场的保护设备中,且必须作备份,像主服务器必须有备份域服务器。
C类媒体应放在密闭金属文件箱或柜中。
A、B类媒体应采取防复制及信息加密措施。
媒体的传递与外借应有审批手续、传递记录。
重要数据的处理过程中,被批准使用数据人员以外的其它人员不应进入机房工作。
处理结束后,应清除不能带走的本作业数据。
应妥善处理打印结果,任何记有重要信息的废弃物在处理前应进行粉碎。
③媒体的管理要求媒体应造册登记,编制目录,集中分类管理。
根据需要与存贮环境,记录要定期进行循环复制(每周/每月/半年)备份。
新的网络设备或系统应有完整的归档记录。
各种记录应定期复制到媒体上,送媒体库进行保管。
未用过的媒体应定期检查,情况应例行登记。
报废的媒体在进行销毁之前,庆进行消磁或清除数据,并应确保销毁的执行。
媒体未经审批,不得随意外借。
④建立媒体库媒体库的选址应选在水、火等灾害影响不到的地方。
媒体库应设库管理员,负责库的管理工作,并核查媒体使用人员的身份与权限。
媒体库内所有媒体,应统一编目,集中分类管理。
四、网络与通信安全网络与通信的安全性在很大程度上决定着整个网络系统的安全性,因此网络与通信安全的评估是真个网络系统安全性评估的关键。
可以从以下几个方面对网络与通信安全性进行详细地测试。
1、评估说明与管理制度的评估说明类似,例如:评估时间:2003年03月30日下午评估地点:中心机房及下设结点评估方式:软件测试(h0les,superscan,code red,backhole,binghe等)和人工分析2、评估内容(1)扫描测试从PC上用任意扫描工具(例如superscan)对目标主机进行扫描,目标主机应根据用户定义的参数采取相应动作(忽略,切断)(2)攻击测试A.Buffer Overflow攻击:从PC上用Buffer Overflow攻击程序(例如snmpxdmid)对目标主机进行攻击,目标主机应采取相应动作-永久切断该PC到它的网络连接。