首頁(yè) > 精品范文 > 網(wǎng)絡(luò)安全評(píng)估報(bào)告

網(wǎng)絡(luò)安全評(píng)估報(bào)告范文

時(shí)間：2022-12-19 07:00:56

序論：在您撰寫(xiě)網(wǎng)絡(luò)安全評(píng)估報(bào)告時(shí)，參考他人的優(yōu)秀作品可以開(kāi)闊視野，小編為您整理的7篇范文，希望這些建議能夠激發(fā)您的創(chuàng)作熱情，引導(dǎo)您走向新的創(chuàng)作高度。

網(wǎng)絡(luò)安全評(píng)估報(bào)告

第1篇

根據(jù)國(guó)內(nèi)一些網(wǎng)絡(luò)安全研究機(jī)構(gòu)的資料，國(guó)內(nèi)大部分的ISP、ICP、IT 公司、政府、教育和科研機(jī)構(gòu)等都沒(méi)有精力對(duì)網(wǎng)絡(luò)安全進(jìn)行必要的人力和物力投入；很多重要站點(diǎn)的管理員都是Internet 的新手，一些操作系統(tǒng)如UNIX，在那些有經(jīng)驗(yàn)的系統(tǒng)管理員的配置下尚且有缺陷，在這些新手的操作中更是漏洞百出。很多服務(wù)器至少有三種以上的漏洞可以使入侵者獲取系統(tǒng)的最高控制權(quán)。

為了使廣大用戶對(duì)自己的網(wǎng)絡(luò)系統(tǒng)安全現(xiàn)狀有一個(gè)清醒的認(rèn)識(shí)，同時(shí)提高對(duì)信息安全概念的了解和認(rèn)識(shí)，強(qiáng)化網(wǎng)絡(luò)系統(tǒng)安全性能，首創(chuàng)網(wǎng)絡(luò)近日向用戶推出免費(fèi)安全掃描服務(wù)活動(dòng)。

評(píng)估主機(jī)范圍

Capitalnet技術(shù)支持中心在開(kāi)展此次活動(dòng)之前得到了客戶的書(shū)面授權(quán)。活動(dòng)中，根據(jù)客戶提供的IP地址，并按照客戶指定的時(shí)間，對(duì)包括網(wǎng)絡(luò)設(shè)備和應(yīng)用服務(wù)器等在內(nèi)的主機(jī)系統(tǒng)進(jìn)行安全評(píng)估。

評(píng)估時(shí)間和方式

此次活動(dòng)持續(xù)兩個(gè)月時(shí)間，由7月1日開(kāi)始，到8月31日結(jié)束。在活動(dòng)期間，首創(chuàng)網(wǎng)絡(luò)技術(shù)支持中心安全產(chǎn)品組的專家們?cè)谂c用戶達(dá)成共識(shí)的前提下，利用專業(yè)的安全評(píng)估工具，對(duì)客戶網(wǎng)絡(luò)信息系統(tǒng)中的重點(diǎn)環(huán)節(jié)進(jìn)行了全方位的安全掃描，并根據(jù)掃描結(jié)果產(chǎn)生了安全評(píng)估報(bào)告，提交給客戶?？蛻艨梢愿鶕?jù)這一安全評(píng)估報(bào)告充分了解自己信息系統(tǒng)的安全情況，進(jìn)而采取相應(yīng)的安全應(yīng)對(duì)措施，從而提高網(wǎng)絡(luò)系統(tǒng)安全性。

評(píng)估單位分布

此次評(píng)估活動(dòng)共收到IP地址93個(gè)，分別來(lái)自不同行業(yè)的34家單位。這些單位分別屬于多種行業(yè)部門(mén)。

評(píng)估主機(jī)分類

93個(gè)IP地址基本代表93臺(tái)主機(jī)，分別為各個(gè)單位提供不同的信息化應(yīng)用。如：WEB、Datebase、Mail等常見(jiàn)應(yīng)用和防火墻等特殊應(yīng)用。

評(píng)估漏洞分布

在93臺(tái)主機(jī)提供的各種信息應(yīng)用中，都存在這樣或那樣的漏洞，此次評(píng)估都漏洞的風(fēng)險(xiǎn)分為三種：高風(fēng)險(xiǎn)漏洞、中風(fēng)險(xiǎn)漏洞、低風(fēng)險(xiǎn)漏洞。

參照標(biāo)準(zhǔn)為：

高風(fēng)險(xiǎn)漏洞代表該漏洞可以使攻擊者可以得到該主機(jī)的最高權(quán)限或中斷網(wǎng)絡(luò)服務(wù)；

中風(fēng)險(xiǎn)漏洞代表該漏洞可以獲取主機(jī)信息，有助于攻擊者進(jìn)一步攻擊，或存在潛在致命漏洞；

低風(fēng)險(xiǎn)漏洞代表該漏洞會(huì)間接影響系統(tǒng)服務(wù)的正常運(yùn)行。

評(píng)估漏洞類型

本次掃描活動(dòng)主要采用了三星信息安全公司的安全評(píng)估工具SecuiScan，但為了真實(shí)反映客戶的漏洞存在情況，也結(jié)合了其它著名的安全評(píng)估工具，為俄羅斯著名安全評(píng)估軟件Shadow Security Scanner和著名的自由軟件Nessus。在工具評(píng)估后，根據(jù)提供的分析報(bào)告來(lái)人工檢查證實(shí)漏洞的真實(shí)性，并在不破壞客戶主機(jī)正常運(yùn)行的情況下得出令客戶信服的評(píng)估結(jié)果。

評(píng)估發(fā)現(xiàn)，很多存在漏洞的主機(jī)都是一些常見(jiàn)的配置錯(cuò)誤和已經(jīng)公布的漏洞，而且針對(duì)這些漏洞的攻擊工具很容易被惡意的攻擊者獲取。這些漏洞分布如下圖：

評(píng)估漏洞說(shuō)明

1. 弱口令攻擊：不少網(wǎng)站的管理員賬號(hào)密碼、ftp 賬號(hào)密碼、Sql 賬號(hào)密碼等都使用很簡(jiǎn)單的或是很容易猜測(cè)到的字母或數(shù)字，利用現(xiàn)有的家用PIII 機(jī)器配合編寫(xiě)恰當(dāng)?shù)钠平廛浖阋栽诙虝r(shí)間內(nèi)輕松破解，一旦口令被破解，網(wǎng)站就意味著被攻破。

2. Unicode 編碼漏洞攻擊：對(duì)于Windows NT4.0 和Windows 2000 來(lái)說(shuō)都存在有該漏洞，利用該漏洞遠(yuǎn)程用戶可以在服務(wù)器上以匿名賬號(hào)來(lái)執(zhí)行程序或命令，從而輕易就可達(dá)到遍歷硬盤(pán)、刪除文件、更換主頁(yè)和提升權(quán)限等目的，實(shí)施方法簡(jiǎn)單，僅僅擁有一個(gè)瀏覽器就可實(shí)施。

3. ASP 源碼泄漏和MS SQL Server 攻擊：通過(guò)向web 服務(wù)器請(qǐng)求精心構(gòu)造的特殊的url 就可以看到不應(yīng)該看到的asp 程序的全部或部分源代碼，進(jìn)而取得諸如MS SQL Server 的管理員sa 的密碼，再利用存儲(chǔ)過(guò)程xp_cmdshell 就可遠(yuǎn)程以SYSTEM 賬號(hào)在服務(wù)器上任意執(zhí)行程序或命令，事實(shí)上，MS SQL Server 默認(rèn)安裝的管理員sa 的密碼為空，并且大多數(shù)系統(tǒng)管理員的確沒(méi)有重新設(shè)定為新的復(fù)雜密碼，這直接就留下了嚴(yán)重的安全隱患。

4. IIS 緩沖溢出攻擊：對(duì)于IIS4.0 和IIS5.0 來(lái)說(shuō)都存在有嚴(yán)重的緩沖溢出漏洞，利用該漏洞遠(yuǎn)程用戶可以以具有管理員權(quán)限的SYSTEM 賬號(hào)在服務(wù)器上任意執(zhí)行程序或命令，極具危險(xiǎn)性。實(shí)施較為復(fù)雜，但是可以獲得這種攻擊的傻瓜攻擊軟件。這種攻擊主要存在于Windows NT 和2000 系統(tǒng)中。

5. BIND 緩沖溢出攻擊：在最新版本的Bind 以前的版本中都存在有嚴(yán)重的緩沖溢出漏洞，可以導(dǎo)致遠(yuǎn)程用戶直接以root 權(quán)限在服務(wù)器上執(zhí)行程序或命令，極具危險(xiǎn)性。但由于操作和實(shí)施較為復(fù)雜，一般也為黑客高手所用。這種攻擊主要存在于Linux、BSDI 和Solaris 等系統(tǒng)中。

6. 其他攻擊手法：還有利用Send- mail、Local Printer、CGI、Virus、Trojan、DOS、DDOS 等漏洞攻擊的手段，但在這次評(píng)估活動(dòng)中表現(xiàn)的不是非常明顯。

整體安全評(píng)估報(bào)告

主機(jī)系統(tǒng)的安全評(píng)估主要在于分析主機(jī)系統(tǒng)存在的安全弱點(diǎn)和確定可能存在的威脅和風(fēng)險(xiǎn)，并且針對(duì)這些弱點(diǎn)、威脅和風(fēng)險(xiǎn)提出解決方案。

主機(jī)存在安全弱點(diǎn)

安全弱點(diǎn)和信息資產(chǎn)緊密相連，它可能被威脅利用、引起資產(chǎn)損失或傷害。但是，安全弱點(diǎn)本身不會(huì)造成損失，它只是一種條件或環(huán)境、可能導(dǎo)致被威脅利用而造成資產(chǎn)損失。安全弱點(diǎn)的出現(xiàn)有各種原因，例如可能是軟件開(kāi)發(fā)過(guò)程中的質(zhì)量問(wèn)題，也可能是系統(tǒng)管理員配置方面的，也可能是管理方面的。但是，它們的共同特性就是給攻擊者提供了對(duì)主機(jī)系統(tǒng)或者其他信息系統(tǒng)進(jìn)行攻擊的機(jī)會(huì)。

經(jīng)過(guò)對(duì)這些主機(jī)系統(tǒng)和防火墻的掃描記錄分析，我們發(fā)現(xiàn)目前該網(wǎng)絡(luò)中的主機(jī)系統(tǒng)主要弱點(diǎn)集中在以下幾個(gè)方面：

1 ．系統(tǒng)自身存在的弱點(diǎn)

對(duì)于商業(yè)UNIX 系統(tǒng)的補(bǔ)丁更新不及時(shí)，沒(méi)有安全配置過(guò)，系統(tǒng)還是運(yùn)行在默認(rèn)的安裝狀態(tài)非常危險(xiǎn)。對(duì)NT/2000 的服務(wù)器系統(tǒng)，雖然補(bǔ)丁更新的比及時(shí)，但是配置上存在很大安全隱患，用戶的密碼口令的強(qiáng)度非常低很多還在使用默認(rèn)的弱口令，網(wǎng)絡(luò)攻擊者可以非常輕易的接管整個(gè)服務(wù)器。另外存在IPC＄這樣的匿名共享會(huì)泄露很多服務(wù)器的敏感信息。

2 ．系統(tǒng)管理存在的弱點(diǎn)

在系統(tǒng)管理上缺乏統(tǒng)一的管理策略，比如缺乏對(duì)用戶輪廓文件（Profile ）的支持。在系統(tǒng)中存在空口令的Guest 組的用戶，這些用戶有的是系統(tǒng)默認(rèn)的Guest用戶，有的是IIS 和SQL 服務(wù)器的默認(rèn)安裝用戶。這些用戶有些是被系統(tǒng)禁用的，如Guest ，有些則沒(méi)有，沒(méi)有被禁用的這些賬號(hào)可能被利用進(jìn)入系統(tǒng)。

3 ．?dāng)?shù)據(jù)庫(kù)系統(tǒng)的弱點(diǎn)

數(shù)據(jù)庫(kù)系統(tǒng)的用戶權(quán)限和執(zhí)行外部系統(tǒng)指令是該系統(tǒng)最大的安全弱點(diǎn)，由于未對(duì)數(shù)據(jù)庫(kù)做明顯的安全措施，望進(jìn)一步對(duì)數(shù)據(jù)庫(kù)做最新的升級(jí)補(bǔ)丁。

4 ．來(lái)自周邊機(jī)器的威脅

手工測(cè)試發(fā)現(xiàn)部分周邊機(jī)器明顯存在嚴(yán)重安全漏洞，來(lái)自周邊機(jī)器的安全弱點(diǎn)（比如可能使用同樣的密碼等等）可能是影響網(wǎng)絡(luò)的最大威脅。

主機(jī)存在的威脅和風(fēng)險(xiǎn)

安全威脅是一種對(duì)系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞能力的可能性因素或者事件。產(chǎn)生安全威脅的主要因素可以分為人為因素和環(huán)境因素。人為因素包括有意的和無(wú)意的因素。環(huán)境因素包括自然界的不可抗力因素和其它物理因素。威脅可能源于對(duì)企業(yè)信息直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在機(jī)密性、完整性或可用性等方面造成損害。威脅也可能源于偶發(fā)的、或蓄意的事件。一般來(lái)說(shuō)，威脅總是要利用企業(yè)網(wǎng)絡(luò)中的系統(tǒng)、應(yīng)用或服務(wù)的弱點(diǎn)才可能成功地對(duì)資產(chǎn)造成傷害。因此威脅分析是圍繞信息系統(tǒng)的可用性、保密性、完整性、可控性、可審查性、抗抵賴性進(jìn)行的。

安全風(fēng)險(xiǎn)則是一種可能性，是指某個(gè)威脅利用弱點(diǎn)引起某項(xiàng)信息資產(chǎn)或一組信息資產(chǎn)的損害，從而直接地或間接地引起企業(yè)或機(jī)構(gòu)的損害的可能性。

在這次評(píng)估中，主機(jī)系統(tǒng)存在的威脅和及其產(chǎn)生的安全風(fēng)險(xiǎn)主要有以下幾個(gè)方面：

1. 針對(duì)主機(jī)的攻擊威脅

包括針對(duì)Windows NT 系統(tǒng)及其開(kāi)放的系統(tǒng)服務(wù)的安全弱點(diǎn)攻擊威脅，攻擊者可能由此獲取系統(tǒng)的信息資源或者對(duì)系統(tǒng)信息進(jìn)行破壞。

2. 針對(duì)數(shù)據(jù)庫(kù)的攻擊威脅

包括在對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的攻擊行為，包括非法獲取、篡改、刪除數(shù)據(jù)庫(kù)信息資源和進(jìn)行其他形式的服務(wù)攻擊。

3. 管理不當(dāng)所引起的安全威脅

包括由于用戶管理策略不當(dāng)使得攻擊者可能獲取某一級(jí)別的用戶的訪問(wèn)權(quán)限，并由此提升用戶權(quán)限，造成用戶權(quán)限的濫用和信息資源的泄漏、損毀等；由于采用遠(yuǎn)程管理而引發(fā)的威脅；缺乏足夠的安全審計(jì)致使對(duì)安全事件不敏感，無(wú)法發(fā)現(xiàn)攻擊行為等。

4. 配置不當(dāng)所引起的安全威脅

包括在主機(jī)系統(tǒng)上開(kāi)放了未做安全防范的服務(wù)如IPC＄共享所造成的安全威脅等。

網(wǎng)絡(luò)安全建議

建議把提供網(wǎng)絡(luò)服務(wù)的程序升級(jí)到最新版本，關(guān)注網(wǎng)絡(luò)安全通告，或由首創(chuàng)為客戶提供全面、周到、專業(yè)的網(wǎng)絡(luò)安全服務(wù)。

總結(jié)

此次活動(dòng)歷時(shí)兩個(gè)月時(shí)間，為34家客戶的93臺(tái)主機(jī)提供了全面的安全掃描服務(wù)，并將最終的掃描結(jié)果提供給了客戶。

通過(guò)此次活動(dòng)，我們發(fā)現(xiàn)所有的客戶主機(jī)都或多或少存在著各種風(fēng)險(xiǎn)度的安全漏洞，安全現(xiàn)狀不容樂(lè)觀。其實(shí)在這些客戶所暴露出來(lái)的漏洞中，絕大多數(shù)都是已經(jīng)有了解決辦法的，只要做一些簡(jiǎn)單的升級(jí)或安裝補(bǔ)丁就可以解決。另外，我們還發(fā)現(xiàn)，有的客戶使用了一些安全產(chǎn)品，但卻由于使用不當(dāng)，反而引入了更多的安全漏洞。另外，客戶的信息系統(tǒng)普遍也缺乏良好合理的安全規(guī)劃和管理，從而使得其自身的系統(tǒng)對(duì)外呈現(xiàn)了很多本不應(yīng)該出現(xiàn)的漏洞，給外界入侵提供了便利的條件。

我們認(rèn)為出現(xiàn)這樣的問(wèn)題主要有這樣一些原因：

客戶普遍還缺乏安全意識(shí)，不知道自己其實(shí)面臨很大的危險(xiǎn)；專業(yè)知識(shí)不夠，不知如何解決安全問(wèn)題；對(duì)安全產(chǎn)品的選擇、使用和設(shè)置不當(dāng)；沒(méi)有合理的安全管理策略和機(jī)制。

針對(duì)這樣一些原因，有些相對(duì)容易解決，有些則要困難一些。在首創(chuàng)網(wǎng)絡(luò)通過(guò)自身的努力，在信息安全領(lǐng)域里不斷追求更高的技術(shù)水準(zhǔn)和服務(wù)水準(zhǔn)，力爭(zhēng)在競(jìng)爭(zhēng)日益激烈的今天，面對(duì)不斷復(fù)雜的信息安全形勢(shì)，從容面對(duì)，為客戶提供更加完美的產(chǎn)品和服務(wù)。

（本報(bào)告由首創(chuàng)網(wǎng)絡(luò)提供，內(nèi)容有刪節(jié)）

“首創(chuàng)網(wǎng)絡(luò)安全調(diào)查”帶來(lái)的啟示

本刊記者曹玫

近日，首創(chuàng)網(wǎng)絡(luò)針對(duì)我國(guó)企

業(yè)網(wǎng)絡(luò)安全現(xiàn)狀，對(duì)來(lái)自

34個(gè)不同行業(yè)用戶的93臺(tái)主機(jī)的網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行了抽樣調(diào)查，結(jié)果是100%的用戶的主機(jī)都存在不同程度的安全問(wèn)題。這個(gè)數(shù)字不能不讓我們吃驚，網(wǎng)絡(luò)現(xiàn)狀讓人擔(dān)擾。

隨著企業(yè)信息化、電子政務(wù)的進(jìn)一步推進(jìn)，對(duì)網(wǎng)絡(luò)安全的要求與過(guò)去已不可同日而語(yǔ)。但信息化在我國(guó)剛剛起步，企業(yè)對(duì)網(wǎng)絡(luò)安全的意識(shí)和認(rèn)知尚待培育。

本刊記者就首創(chuàng)的網(wǎng)絡(luò)安全評(píng)估活動(dòng)采訪了中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心計(jì)算機(jī)測(cè)評(píng)中心常務(wù)副主任翁正軍女士，她認(rèn)為：“首創(chuàng)這次的評(píng)估活動(dòng)值得肯定。這類的網(wǎng)絡(luò)安全評(píng)估如果經(jīng)常性的進(jìn)行，對(duì)用戶了解自身的安全風(fēng)險(xiǎn)非常有益”

另外，翁女士還提醒道：“針對(duì)網(wǎng)絡(luò)和系統(tǒng)的脆弱性評(píng)估，有可能對(duì)被測(cè)系統(tǒng)造成損害。當(dāng)然，不一定是測(cè)試本身的問(wèn)題，而是被測(cè)系統(tǒng)太脆弱。但是不管怎么樣，都要讓用戶事先知道風(fēng)險(xiǎn)的存在，并且通過(guò)恰當(dāng)?shù)陌才疟M力回避這些風(fēng)險(xiǎn)”。

安全意識(shí) 攜手培育

網(wǎng)絡(luò)安全是“三分技術(shù)，七分管理”，從首創(chuàng)的報(bào)告中可以看出，造成網(wǎng)絡(luò)漏洞的原因基本上是管理的忽視和疏漏。

已認(rèn)識(shí)到IT系統(tǒng)重要性的大型企業(yè)和跨國(guó)企業(yè)，雖有一些機(jī)房和系統(tǒng)的不很細(xì)化的管理制度，但大部分也只限于書(shū)面文字的約束而已，沒(méi)有強(qiáng)有力的監(jiān)督實(shí)施手段和相應(yīng)的管理人員；大部分的中小企業(yè)甚至沒(méi)有把網(wǎng)絡(luò)安全提升到管理的層面，還只是停留在購(gòu)買一些低端的安全設(shè)備上，當(dāng)然對(duì)于國(guó)內(nèi)的中小企業(yè)采取何種安全模式仍是專家和安全服務(wù)提供商們爭(zhēng)論的熱點(diǎn)問(wèn)題。

管理問(wèn)題追溯其根源，還是企業(yè)的意識(shí)問(wèn)題，安全意識(shí)的加強(qiáng)和培育是需要政府或行業(yè)主管單位、安全廠商和用戶自身共同努力來(lái)實(shí)現(xiàn)的。

如政府和行業(yè)主管要加大政策和法令的宣傳力度，改變政策和相關(guān)標(biāo)準(zhǔn)滯后的現(xiàn)狀，一方面，用戶有相關(guān)的政策和標(biāo)準(zhǔn)來(lái)衡量網(wǎng)絡(luò)安全廠商提供給他們的產(chǎn)品和服務(wù)是否符合國(guó)家標(biāo)準(zhǔn)，做到有據(jù)可依。另一方面，安全廠商有了相關(guān)條例和行業(yè)標(biāo)準(zhǔn)，在為用戶構(gòu)建網(wǎng)絡(luò)平臺(tái)和生產(chǎn)安全產(chǎn)品時(shí)，把各種安全隱患降減到最小程度，做到了有法必依。

安全廠商在培育用戶的安全意識(shí)方面，毫無(wú)疑問(wèn)，充當(dāng)著主力軍的角色，目前，我國(guó)的網(wǎng)絡(luò)安全意識(shí)尚處于萌芽階段，因此對(duì)用戶意識(shí)的培育應(yīng)屬于安全廠商市場(chǎng)戰(zhàn)略和規(guī)劃的一部分，只有大家共同把這塊蛋糕做大，網(wǎng)絡(luò)安全廣闊的市場(chǎng)才會(huì)在短時(shí)間內(nèi)形成規(guī)模。

從用戶自身的角度來(lái)講，“船到江心才補(bǔ)漏”是需要付出不可估量的代價(jià)的，網(wǎng)絡(luò)數(shù)據(jù)的迅速增長(zhǎng)，單靠一些低端的安全設(shè)備已遠(yuǎn)遠(yuǎn)難以維護(hù)系統(tǒng)和網(wǎng)絡(luò)安全?？偟膩?lái)說(shuō)，要改善和加強(qiáng)管理力度,必須提高企業(yè)的安全意識(shí).

網(wǎng)絡(luò)測(cè)試謹(jǐn)慎評(píng)估

做安全測(cè)試，一定要做非常細(xì)化的風(fēng)險(xiǎn)評(píng)估策略，首先要確定企業(yè)哪些資源需要保護(hù)，并根據(jù)保護(hù)成本與如果事件發(fā)生前不采取行動(dòng)需付出的代價(jià)之間的平衡制定評(píng)估方案，檢測(cè)后要確定企業(yè)具體環(huán)境下到底存在哪些安全漏洞和安全隱患，一旦這些漏洞被黑客利用會(huì)造成哪些風(fēng)險(xiǎn)和破壞。

最后綜合對(duì)各種風(fēng)險(xiǎn)因素的評(píng)價(jià)，明確網(wǎng)絡(luò)系統(tǒng)的安全現(xiàn)狀，確定網(wǎng)絡(luò)系統(tǒng)中安全的最薄弱環(huán)節(jié)，從而改進(jìn)網(wǎng)絡(luò)的安全性能。所以檢測(cè)之前與之后的評(píng)估是非常重要的。全面的網(wǎng)絡(luò)系統(tǒng)的漏洞評(píng)估應(yīng)該包括對(duì)網(wǎng)絡(luò)的漏洞評(píng)估、對(duì)系統(tǒng)主機(jī)的漏洞評(píng)估以及對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的漏洞評(píng)估三個(gè)方面。首創(chuàng)的安全評(píng)估屬于對(duì)系統(tǒng)主機(jī)的漏洞的評(píng)估，測(cè)試的安全風(fēng)險(xiǎn)相對(duì)要小一些。

測(cè)試不是目的，制定相應(yīng)的安全策略并徹底解決用戶存在的安全問(wèn)題，才是我們的愿望。

首創(chuàng)的安全測(cè)試為我們敲醒了警鐘，加強(qiáng)安全意識(shí)已成為企業(yè)高層迫切需要正確對(duì)待的問(wèn)題。

企業(yè)信息安全意識(shí)有待覺(jué)醒

本刊記者陳慧

為了解客戶的安全現(xiàn)狀，并

提高客戶的安全意識(shí)，首

創(chuàng)網(wǎng)絡(luò)在7月1日到8月31日為期兩個(gè)月的時(shí)間內(nèi)為34家客戶的93臺(tái)主機(jī)提供了免費(fèi)遠(yuǎn)程安全掃描服務(wù)。提交的報(bào)告結(jié)果表明，這些客戶所有的業(yè)務(wù)部門(mén)都或多或少存在著安全漏洞，其中高風(fēng)險(xiǎn)漏洞占42%，中風(fēng)險(xiǎn)漏洞占28%，低風(fēng)險(xiǎn)漏洞達(dá)30%?？梢?jiàn)這些客戶的信息安全現(xiàn)狀令人堪憂。

面對(duì)安全漏洞，

視而不見(jiàn)還是立即行動(dòng)

“此次掃描主要是針對(duì)黑客的攻擊行為，”首創(chuàng)網(wǎng)絡(luò)安全產(chǎn)品經(jīng)理鐘博向記者介紹說(shuō)，“我們選擇這種遠(yuǎn)程的網(wǎng)絡(luò)掃描的服務(wù)活動(dòng)比較容易開(kāi)展，類似于黑客攻擊的第一個(gè)階段，還未涉及到內(nèi)部攻擊?！痹诎l(fā)現(xiàn)客戶漏洞之后，首創(chuàng)還可以針對(duì)客戶的要求為其提供相應(yīng)的修補(bǔ)、加固和優(yōu)化服務(wù)、專門(mén)的培訓(xùn)和分析，以及遠(yuǎn)程管理和緊急響應(yīng)等多種全方位的安全服務(wù)。

在首創(chuàng)網(wǎng)絡(luò)掃描過(guò)程中發(fā)現(xiàn)的網(wǎng)絡(luò)安全漏洞主要涉及到底層的操作系統(tǒng)平臺(tái)和應(yīng)用系統(tǒng)兩個(gè)方面。漏洞可能是操作系統(tǒng)帶來(lái)的，比如采用Windows操作系統(tǒng)平臺(tái)的企業(yè)漏洞特別多；也有可能是應(yīng)用系統(tǒng)本身的問(wèn)題，比如數(shù)據(jù)庫(kù)、Web系統(tǒng)和ERP應(yīng)用軟件等等。在應(yīng)用系統(tǒng)方面，數(shù)據(jù)庫(kù)的漏洞比較多，其中又以SQL Server數(shù)據(jù)庫(kù)的漏洞為甚。對(duì)于操作系統(tǒng)的漏洞，大多可通過(guò)從網(wǎng)上下載補(bǔ)丁程序的方法加以解決，有些客戶沒(méi)有下載補(bǔ)丁程序，因而容易被攻擊。也有客戶把用戶訪問(wèn)口令設(shè)成了空的，也容易被攻擊。這些漏洞本都很容易避免，之所以出現(xiàn)，主要因?yàn)閼?yīng)用和管理人員本身安全意識(shí)淡薄所導(dǎo)致。

被掃描的首創(chuàng)網(wǎng)絡(luò)的IDC和專線客戶，都是經(jīng)常使用IT設(shè)備和網(wǎng)絡(luò)應(yīng)用的，其中，本身業(yè)務(wù)系統(tǒng)與安全結(jié)合不是很緊密的客戶比較容易產(chǎn)生安全漏洞，比如媒體的網(wǎng)站、制造業(yè)企業(yè)的網(wǎng)站等。在首創(chuàng)網(wǎng)絡(luò)的整個(gè)掃描服務(wù)期間中就出現(xiàn)過(guò)這樣的情況。一家傳媒機(jī)構(gòu)的網(wǎng)站被黑客攻擊，其主頁(yè)被篡改了?？蛻粢笫讋?chuàng)對(duì)其遭到攻擊的主機(jī)進(jìn)行掃描，了解其被攻擊的原因。通過(guò)掃描，發(fā)現(xiàn)主要原因在于這個(gè)傳媒機(jī)構(gòu)把操作系統(tǒng)裝好之后，采取了默認(rèn)配置，并沒(méi)有做安全性增強(qiáng)方面的考慮和設(shè)置，其主機(jī)上的漏洞都是一些很常見(jiàn)也很容易彌補(bǔ)的。此外，制造業(yè)企業(yè)涉及到CRM和ERP這樣的系統(tǒng)?？偛颗c分支機(jī)構(gòu)之間經(jīng)常有大量機(jī)密的數(shù)據(jù)需要交互，對(duì)于這樣的企業(yè)，如果不做好全面的安全規(guī)劃并采取相應(yīng)的安全手段，也容易對(duì)外暴露很多安全漏洞。

面對(duì)送過(guò)來(lái)的掃描結(jié)果和漏洞分析，客戶的反應(yīng)五花八門(mén)：有的客戶一接到掃描的結(jié)果，發(fā)現(xiàn)自己的網(wǎng)絡(luò)安全存在這么多的問(wèn)題，非常著急，立刻要求首創(chuàng)為其提供相應(yīng)的解決方案；有的客戶要求首創(chuàng)幫助把漏洞堵上；也有客戶說(shuō)，賣我們一個(gè)防火墻吧；還有客戶沒(méi)有反應(yīng)，好像在忙著理順自己的網(wǎng)絡(luò)，無(wú)暇顧及安全問(wèn)題。

安全防范，投入多少并采取哪些手段

有兩個(gè)問(wèn)題需要企業(yè)考慮清楚，一是企業(yè)要保護(hù)的信息到底值得投入多少；二是采取什么手段。網(wǎng)絡(luò)時(shí)代，企業(yè)要連接到互聯(lián)網(wǎng)上與外部溝通。任何企業(yè)無(wú)論大小，總是有些信息是不希望被外界知道的，每一個(gè)企業(yè)都有必要采取一定的手段保護(hù)自己的信息，防止被別人竊取、篡改或者破壞。那么企業(yè)值得投入多少人力、物力和財(cái)力保護(hù)信息安全？

第2篇

第一條為加強(qiáng)對(duì)具有輿論屬性或社會(huì)動(dòng)員能力的互聯(lián)網(wǎng)信息服務(wù)和相關(guān)新技術(shù)新應(yīng)用的安全管理，規(guī)范互聯(lián)網(wǎng)信息服務(wù)活動(dòng)，維護(hù)國(guó)家安全、社會(huì)秩序和公共利益，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》，制訂本規(guī)定。

第二條本規(guī)定所稱具有輿論屬性或社會(huì)動(dòng)員能力的互聯(lián)網(wǎng)信息服務(wù)，包括下列情形：

（一）開(kāi)辦論壇、博客、微博客、聊天室、通訊群組、公眾賬號(hào)、短視頻、網(wǎng)絡(luò)直播、信息分享、小程序等信息服務(wù)或者附設(shè)相應(yīng)功能；

（二）開(kāi)辦提供公眾輿論表達(dá)渠道或者具有發(fā)動(dòng)社會(huì)公眾從事特定活動(dòng)能力的其他互聯(lián)網(wǎng)信息服務(wù)。

第三條互聯(lián)網(wǎng)信息服務(wù)提供者具有下列情形之一的，應(yīng)當(dāng)依照本規(guī)定自行開(kāi)展安全評(píng)估，并對(duì)評(píng)估結(jié)果負(fù)責(zé)：

（一）具有輿論屬性或社會(huì)動(dòng)員能力的信息服務(wù)上線，或者信息服務(wù)增設(shè)相關(guān)功能的；

（二）使用新技術(shù)新應(yīng)用，使信息服務(wù)的功能屬性、技術(shù)實(shí)現(xiàn)方式、基礎(chǔ)資源配置等發(fā)生重大變更，導(dǎo)致輿論屬性或者社會(huì)動(dòng)員能力發(fā)生重大變化的；

（三）用戶規(guī)模顯著增加，導(dǎo)致信息服務(wù)的輿論屬性或者社會(huì)動(dòng)員能力發(fā)生重大變化的；

（四）發(fā)生違法有害信息傳播擴(kuò)散，表明已有安全措施難以有效防控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的；

（五）地市級(jí)以上網(wǎng)信部門(mén)或者公安機(jī)關(guān)書(shū)面通知需要進(jìn)行安全評(píng)估的其他情形。

第四條互聯(lián)網(wǎng)信息服務(wù)提供者可以自行實(shí)施安全評(píng)估，也可以委托第三方安全評(píng)估機(jī)構(gòu)實(shí)施。

第五條互聯(lián)網(wǎng)信息服務(wù)提供者開(kāi)展安全評(píng)估，應(yīng)當(dāng)對(duì)信息服務(wù)和新技術(shù)新應(yīng)用的合法性，落實(shí)法律、行政法規(guī)、部門(mén)規(guī)章和標(biāo)準(zhǔn)規(guī)定的安全措施的有效性，防控安全風(fēng)險(xiǎn)的有效性等情況進(jìn)行全面評(píng)估，并重點(diǎn)評(píng)估下列內(nèi)容：

（一）確定與所提供服務(wù)相適應(yīng)的安全管理負(fù)責(zé)人、信息審核人員或者建立安全管理機(jī)構(gòu)的情況；

（二）用戶真實(shí)身份核驗(yàn)以及注冊(cè)信息留存措施；

（三）對(duì)用戶的賬號(hào)、操作時(shí)間、操作類型、網(wǎng)絡(luò)源地址和目標(biāo)地址、網(wǎng)絡(luò)源端口、客戶端硬件特征等日志信息，以及用戶信息記錄的留存措施；

（四）對(duì)用戶賬號(hào)和通訊群組名稱、昵稱、簡(jiǎn)介、備注、標(biāo)識(shí)，信息、轉(zhuǎn)發(fā)、評(píng)論和通訊群組等服務(wù)功能中違法有害信息的防范處置和有關(guān)記錄保存措施；

（五）個(gè)人信息保護(hù)以及防范違法有害信息傳播擴(kuò)散、社會(huì)動(dòng)員功能失控風(fēng)險(xiǎn)的技術(shù)措施；

（六）建立投訴、舉報(bào)制度，公布投訴、舉報(bào)方式等信息，及時(shí)受理并處理有關(guān)投訴和舉報(bào)的情況；

（七）建立為網(wǎng)信部門(mén)依法履行互聯(lián)網(wǎng)信息服務(wù)監(jiān)督管理職責(zé)提供技術(shù)、數(shù)據(jù)支持和協(xié)助的工作機(jī)制的情況；

（八）建立為公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)依法維護(hù)國(guó)家安全和查處違法犯罪提供技術(shù)、數(shù)據(jù)支持和協(xié)助的工作機(jī)制的情況。

第六條互聯(lián)網(wǎng)信息服務(wù)提供者在安全評(píng)估中發(fā)現(xiàn)存在安全隱患的，應(yīng)當(dāng)及時(shí)整改，直至消除相關(guān)安全隱患。

經(jīng)過(guò)安全評(píng)估，符合法律、行政法規(guī)、部門(mén)規(guī)章和標(biāo)準(zhǔn)的，應(yīng)當(dāng)形成安全評(píng)估報(bào)告。安全評(píng)估報(bào)告應(yīng)當(dāng)包括下列內(nèi)容：

（一）互聯(lián)網(wǎng)信息服務(wù)的功能、服務(wù)范圍、軟硬件設(shè)施、部署位置等基本情況和相關(guān)證照獲取情況；

（二）安全管理制度和技術(shù)措施落實(shí)情況及風(fēng)險(xiǎn)防控效果；

（三）安全評(píng)估結(jié)論；

（四）其他應(yīng)當(dāng)說(shuō)明的相關(guān)情況。

第七條互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)將安全評(píng)估報(bào)告通過(guò)全國(guó)互聯(lián)網(wǎng)安全管理服務(wù)平臺(tái)提交所在地地市級(jí)以上網(wǎng)信部門(mén)和公安機(jī)關(guān)。

具有本規(guī)定第三條第一項(xiàng)、第二項(xiàng)情形的，互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)在信息服務(wù)、新技術(shù)新應(yīng)用上線或者功能增設(shè)前提交安全評(píng)估報(bào)告；具有本規(guī)定第三條第三、四、五項(xiàng)情形的，應(yīng)當(dāng)自相關(guān)情形發(fā)生之日起30個(gè)工作日內(nèi)提交安全評(píng)估報(bào)告。

第八條地市級(jí)以上網(wǎng)信部門(mén)和公安機(jī)關(guān)應(yīng)當(dāng)依據(jù)各自職責(zé)對(duì)安全評(píng)估報(bào)告進(jìn)行書(shū)面審查。

發(fā)現(xiàn)安全評(píng)估報(bào)告內(nèi)容、項(xiàng)目缺失，或者安全評(píng)估方法明顯不當(dāng)?shù)?，?yīng)當(dāng)責(zé)令互聯(lián)網(wǎng)信息服務(wù)提供者限期重新評(píng)估。

發(fā)現(xiàn)安全評(píng)估報(bào)告內(nèi)容不清的，可以責(zé)令互聯(lián)網(wǎng)信息服務(wù)提供者補(bǔ)充說(shuō)明。

第九條網(wǎng)信部門(mén)和公安機(jī)關(guān)根據(jù)對(duì)安全評(píng)估報(bào)告的書(shū)面審查情況，認(rèn)為有必要的，應(yīng)當(dāng)依據(jù)各自職責(zé)對(duì)互聯(lián)網(wǎng)信息服務(wù)提供者開(kāi)展現(xiàn)場(chǎng)檢查。

網(wǎng)信部門(mén)和公安機(jī)關(guān)開(kāi)展現(xiàn)場(chǎng)檢查原則上應(yīng)當(dāng)聯(lián)合實(shí)施，不得干擾互聯(lián)網(wǎng)信息服務(wù)提供者正常的業(yè)務(wù)活動(dòng)。

第十條對(duì)存在較大安全風(fēng)險(xiǎn)、可能影響國(guó)家安全、社會(huì)秩序和公共利益的互聯(lián)網(wǎng)信息服務(wù)，省級(jí)以上網(wǎng)信部門(mén)和公安機(jī)關(guān)應(yīng)當(dāng)組織專家進(jìn)行評(píng)審，必要時(shí)可以會(huì)同屬地相關(guān)部門(mén)開(kāi)展現(xiàn)場(chǎng)檢查。

第十一條網(wǎng)信部門(mén)和公安機(jī)關(guān)開(kāi)展現(xiàn)場(chǎng)檢查，應(yīng)當(dāng)依照有關(guān)法律、行政法規(guī)、部門(mén)規(guī)章的規(guī)定進(jìn)行。

第十二條網(wǎng)信部門(mén)和公安機(jī)關(guān)應(yīng)當(dāng)建立監(jiān)測(cè)管理制度，加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理，督促互聯(lián)網(wǎng)信息服務(wù)提供者依法履行網(wǎng)絡(luò)安全義務(wù)。

發(fā)現(xiàn)具有輿論屬性或社會(huì)動(dòng)員能力的互聯(lián)網(wǎng)信息服務(wù)提供者未按本規(guī)定開(kāi)展安全評(píng)估的，網(wǎng)信部門(mén)和公安機(jī)關(guān)應(yīng)當(dāng)通知其按本規(guī)定開(kāi)展安全評(píng)估。

第十三條網(wǎng)信部門(mén)和公安機(jī)關(guān)發(fā)現(xiàn)具有輿論屬性或社會(huì)動(dòng)員能力的互聯(lián)網(wǎng)信息服務(wù)提供者拒不按照本規(guī)定開(kāi)展安全評(píng)估的，應(yīng)當(dāng)通過(guò)全國(guó)互聯(lián)網(wǎng)安全管理服務(wù)平臺(tái)向公眾提示該互聯(lián)網(wǎng)信息服務(wù)存在安全風(fēng)險(xiǎn)，并依照各自職責(zé)對(duì)該互聯(lián)網(wǎng)信息服務(wù)實(shí)施監(jiān)督檢查，發(fā)現(xiàn)存在違法行為的，應(yīng)當(dāng)依法處理。

第十四條網(wǎng)信部門(mén)統(tǒng)籌協(xié)調(diào)具有輿論屬性或社會(huì)動(dòng)員能力的互聯(lián)網(wǎng)信息服務(wù)安全評(píng)估工作，公安機(jī)關(guān)的安全評(píng)估工作情況定期通報(bào)網(wǎng)信部門(mén)。

第十五條網(wǎng)信部門(mén)、公安機(jī)關(guān)及其工作人員對(duì)在履行職責(zé)中知悉的國(guó)家秘密、商業(yè)秘密和個(gè)人信息應(yīng)當(dāng)嚴(yán)格保密，不得泄露、出售或者非法向他人提供。

第3篇