网络安全评估活动报告与解析
安全风险则是一种可能性,是指某个威胁利用弱点引起某项信息资产或一组信息资产的损害,从而直接地或间接地引起企业或机构的损害的可能性。
在这次评估中,主机系统存在的威胁和及其产生的安全风险主要有以下几个方面:
1. 针对主机的攻击威胁
包括针对Windows NT 系统及其开放的系统服务的安全弱点攻击威胁,攻击者可能由此获取系统的信息资源或者对系统信息进行破坏。
2. 针对数据库的攻击威胁
包括在对数据库系统的攻击行为,包括非法获取、篡改、删除数据库信息资源和进行其他形式的服务攻击。
3. 管理不当所引起的安全威胁
包括由于用户管理策略不当使得攻击者可能获取某一级别的用户的访问权限,并由此提升用户权限,造成用户权限的滥用和信息资源的泄漏、损毁等;由于采用远程管理而引发的威胁;缺乏足够的安全审计致使对安全事件不敏感,无法发现攻击行为等。
4. 配置不当所引起的安全威胁
包括在主机系统上开放了未做安全防范的服务如IPC$共享所造成的安全威胁等。
网络安全建议
建议把提供网络服务的程序升级到最新版本,关注网络安全通告,或由首创为客户提供全面、周到、专业的网络安全服务。
总 结
此次活动历时两个月时间,为34家客户的93台主机提供了全面的安全扫描服务,并将最终的扫描结果提供给了客户。
通过此次活动,我们发现所有的客户主机都或多或少存在着各种风险度的安全漏洞,安全现状不容乐观。其实在这些客户所暴露出来的漏洞中,绝大多数都是已经有了解决办法的,只要做一些简单的升级或安装补丁就可以解决。另外,我们还发现,有的客户使用了一些安全产品,但却由于使用不当,反而引入了更多的安全漏洞。另外,客户的信息系统普遍也缺乏良好合理的安全规划和管理,从而使得其自身的系统对外呈现了很多本不应该出现的漏洞,给外界入侵提供了便利的条件。
我们认为出现这样的问题主要有这样一些原因:
客户普遍还缺乏安全意识,不知道自己其实面临很大的危险;专业知识不够,不知如何解决安全问题;对安全产品的选择、使用和设置不当;没有合理的安全管理策略和机制。
针对这样一些原因,有些相对容易解决,有些则要困难一些。在首创网络通过自身的努力,在信息安全领域里不断追求更高的技术水准和服务水准,力争在竞争日益激烈的今天,面对不断复杂的信息安全形势,从容面对,为客户提供更加完美的产品和服务。
(本报告由首创网络提供,内容有删节)
“首创网络安全调查”带来的启示
本刊记者 曹 玫
近日,首创网络针对我国企
业网络安全现状,对来自
34个不同行业用户的93台主机的网络信息系统进行了抽样调查,结果是100%的用户的主机都存在不同程度的安全问题。这个数字不能不让我们吃惊,网络现状让人担扰。
随着企业信息化、电子政务的进一步推进,对网络安全的要求与过去已不可同日而语。但信息化在我国刚刚起步,企业对网络安全的意识和认知尚待培育。
本刊记者就首创的网络安全评估活动采访了中国国家信息安全测评认证中心计算机测评中心常务副主任翁正军女士,她认为:“首创这次的评估活动值得肯定。这类的网络安全评估如果经常性的进行,对用户了解自身的安全风险非常有益”
另外,翁女士还提醒道:“针对网络和系统的脆弱性评估,有可能对被测系统造成损害。当然,不一定是测试本身的问题,而是被测系统太脆弱。但是不管怎么样,都要让用户事先知道风险的存在,并且通过恰当的安排尽力回避这些风险”。
安全意识 携手培育
网络安全是“三分技术,七分管理”,从首创的报告中可以看出,造成网络漏洞的原因基本上是管理的忽视和疏漏。
已认识到IT系统重要性的大型企业和跨国企业,虽有一些机房和系统的不很细化的管理制度,但大部分也只限于书面文字的约束而已,没有强有力的监督实施手段和相应的管理人员;大部分的中小企业甚至没有把网络安全提升到管理的层面,还只是停留在购买一些低端的安全设备上,当然对于国内的中小企业采取何种安全模式仍是专家和安全服务提供商们争论的热点问题。
管理问题追溯其根源,还是企业的意识问题,安全意识的加强和培育是需要政府或行业主管单位、安全厂商和用户自身共同努力来实现的。
如政府和行业主管要加大政策和法令的宣传力度,改变政策和相关标准滞后的现状,一方面,用户有相关的政策和标准来衡量网络安全厂商提供给他们的产品和服务是否符合国家标准,做到有据可依。另一方面,安全厂商有了相关条例和行业标准,在为用户构建网络平台和生产安全产品时,把各种安全隐患降减到最小程度,做到了有法必依。
安全厂商在培育用户的安全意识方面,毫无疑问,充当着主力军的角色,目前,我国的网络安全意识尚处于萌芽阶段,因此对用户意识的培育应属于安全厂商市场战略和规划的一部分,只有大家共同把这块蛋糕做大,网络安全广阔的市场才会在短时间内形成规模。
从用户自身的角度来讲,“船到江心才补漏”是需要付出不可估量的代价的,网络数据的迅速增长,单靠一些低端的安全设备已远远难以维护系统和网络安全。总的来说,要改善和加强管理力度,必须提高企业的安全意识.
网络测试 &n
bsp;谨慎评估
做安全测试,一定要做非常细化的风险评估策略,首先要确定企业哪些资源需要保护,并根据保护成本与如果事件发生前不采取行动需付出的代价之间的平衡制定评估方案,检测后要确定企业具体环境下到底存在哪些安全漏洞和安全隐患,一旦这些漏洞被黑客利用会造成哪些风险和破坏。
最后综合对各种风险因素的评价,明确网络系统的安全现状,确定网络系统中安全的最薄弱环节,从而改进网络的安全性能。所以检测之前与之后的评估是非常重要的。全面的网络系统的漏洞评估应该包括对网络的漏洞评估、对系统主机的漏洞评估以及对数据库系统的漏洞评估三个方面。首创的安全评估属于对系统主机的漏洞的评估,测试的安全风险相对要小一些。
测试不是目的,制定相应的安全策略并彻底解决用户存在的安全问题,才是我们的愿望。
首创的安全测试为我们敲醒了警钟,加强安全意识已成为企业高层迫切需要正确对待的问题。
企业信息安全意识有待觉醒
本刊记者 陈 慧
为了解客户的安全现状,并
提高客户的安全意识,首
创网络在7月1日到8月31日为期两个月的时间内为34家客户的93台主机提供了免费远程安全扫描服务。提交的报告结果表明,这些客户所有的业务部门都或多或少存在着安全漏洞,其中高风险漏洞占42%,中风险漏洞占28%,低风险漏洞达30%。可见这些客户的信息安全现状令人堪忧。
面对安全漏洞,
视而不见还是立即行动
“此次扫描主要是针对黑客的攻击行为,”首创网络安全产品经理钟博向记者介绍说,“我们选择这种远程的网络扫描的服务活动比较容易开展,类似于黑客攻击的第一个阶段,还未涉及到内部攻击。”在发现客户漏洞之后,首创还可以针对客户的要求为其提供相应的修补、加固和优化服务、专门的培训和分析,以及远程管理和紧急响应等多种全方位的安全服务。
在首创网络扫描过程中发现的网络安全漏洞主要涉及到底层的操作系统平台和应用系统两个方面。漏洞可能是操作系统带来的,
★读了本文的人也读了: