網絡安全審計在郵政企業中的應用

張曉飛

（海門郵政局技術維護 江蘇 226100）

0 引言

網絡安全審計是近年來一個新興的名詞。隨著網絡上層出不窮的病毒傳播、木馬詐騙、信息竊取、0day爆發等事件的發生，以及“斯諾登泄密”事件的持續發酵影響。網絡安全越來越受到了人們的重視。網絡安全審計的重要性也因此得以逐漸體現。

1 網絡安全審計的概念

網絡安全審計。指的是在一定的授權條件下，以專業的人員和技術手段對相應的網絡環境進行系統、獨立的安全性檢查審計。從而發現系統漏洞、風險隱患、入侵行為或者事件追蹤。最后做出相應的評估報告。供決策者與技術人員參閱。為后續的技術防范、策略制定、事件回溯、跟蹤取證提供及時的安全預警和有力的技術支持。

2 郵政企業網絡安全審計的必要性

信息技術的不斷發展使得郵政企業的網絡規模與日俱增。從內部的生產網絡到外部的互聯服務，從門戶建設到電商平臺，從各類OA辦公到遠程接入等等。郵政企業的每一步發展都加深著對網絡使用的依賴。日趨復雜的各類業務平臺與不同背景的用戶使用行為，給我們企業的網絡安全帶來了無數的潛在的風險。這種風險伴隨著計算機技術的普及，正呈現出爆發式的增長。以較為代表性的國內知名安全網站烏云漏洞提交平臺的統計。全國郵政企業在2012年度被提交的安全漏洞僅為12條。2013年約為65條。而2014年至7月底就多達84條。這個數字還在不斷的增長中。從漏洞平臺提交的數據分析和企業的處理反饋，我們可以得出以下三點結論：

第一，大部分的漏洞技術含量并不是特別高深的；第二，我們的企業在網絡安全建設上的工作做的是不夠的；第三，郵政企業的網絡安全受到的社會關注度將越來越大。

因此，如何有效的做好郵政企業網絡安全防護，準確掌握企業自身網絡安全狀況，及時發現安全漏洞，對安全事件準確定位分析，乃至系統修復，追蹤取證，是我們郵政企業迫切需要重視面對的問題。全面的系統分析、主動的風險檢測、及時的危機預警、積極的安全防范。網絡安全審計為我們企業提供了一個很好的應對和解決之道。

3 郵政企業網絡安全審計的范圍

郵政企業網絡安全審計范圍廣泛。涵蓋所有在網的計算機及各類網絡設備。簡單來說，按照使用環境，可分為內部專用網絡和外部互聯網絡的安全審計。按照傳輸介質又可劃分為有線網絡和無線網絡的安全審計。

內部專用網絡是我們安全審計的重中之重。關系到企業核心業務的平穩運行。外部互聯網絡的安全審計主要包括各類服務查詢，網上銀行，電商平臺，OA辦公，以及網絡接入。在開放的互聯網環境下，它們極易產生各類網絡安全風險。此類服務通常還需要關聯內部專用網絡。因此，它是網絡安全審核計的核心部分。無線技術的極大發展在我們郵政企業的應用上得以充份體現。但是人們往往容易忽視它所帶來的安全性問題，它將不得不成為我們網絡安全審計長期關注的一個方面。

4 郵政企業網絡安全審計的內容

郵政企業網絡安全審計的主要內容包涵以下幾個方面：

4.1 網絡環境審計

網絡環境審計主要針對網絡環境安全性，資源配置科學性，設備分布合理性，使用規程規范性等等進行整體、系統性安全性檢測。網絡環境審計內容點多面廣。涵蓋郵政企業容易產生網絡安全風險的方方面面。

4.2 應用服務審計

針對網絡應用服務進行的安全審計，主要檢查各類服務器或核心平臺的應用服務所產生的問題，檢查各類服務端口。例如存在 BUG或設計缺陷的數據庫，網絡應用，系統進程以及存在安全隱患的各類對外服務。特別是對于各類上傳、下載、交互等應用應當著重檢查。

4.3 代碼審計

代碼審計顧名思義就是檢查源代碼中的缺點和錯誤信息，分析并找到這些問題引發的安全漏洞，并提供代碼修訂措施和建議。由于郵政企業開發技術力量的相對薄弱，企業相當多網絡應用，服務建設，腳本程序的開發都依賴于第三方公司。既便是自行開發的，也有不少是直接套用，拼接現成的網絡源代碼。設計開發人員的技術水平和安全意識，直接影響到了我們網絡的安全建設。比較流行的SQL注入、跨站腳本XSS、文件遍歷等漏洞，多數是因為代碼編寫中的疏漏而造成。應當嚴禁使用未經安全審計的各類源代碼。

4.4 角色與權限審計

角色與權限審計的內容廣泛，較為人們熟知。通常包括角色認證，口令管理，授權范圍，使用者權限分配等等一些大家比較熟知的內容。但越是熟知的東西往往越容易被忽視疏漏。角色與權限貫穿系統安全運行的全過程。可以說大部份的網絡安全隱患產生于這個方面的疏漏。嚴謹、適用、可控。應當是角色與權限審計的唯一標準。

4.5 日志與事件審計

日志與事件審計是針對各類系統的使用、發生、運行、操作、更改、注銷等等事件信息。進行實時或事后的詳細審核。它能夠使我們了解當前或之前一段時間內系統運行的事件及狀態。及時調整優化系統的相關配置，發現潛在的安全風險。也能為事件的應急響應，事后的回溯和追蹤提供可靠的依據。

4.6 應急響應審計

介于目前網絡安全信息披露機制的欠缺。我們將不得不應對隨時可能爆發的各種網絡安全危機。從Apache Struts2 漏洞到最近的的OpenSSL的Heartbleed漏洞。各種0DAY或Bypass的突然披露都在考驗著企業的危機應急響應能力。是否能在安全風險暴發的第一時間及時的處理、化解危機。全面的審計企業可能存在的關聯風險。發出安全預警。是應急響應審計的關鍵任務。

4.7 滲透測試

滲透測試是一種有效的評估網絡系統安全性的老辦法。如今越來越多地被許多企業和組織用來檢驗網絡安全的真實狀況。從而使安全隱患在完全暴露之前就得以修復。直觀的幫助企業理解實實在在將面對的風險。促使企業采取措施解決安全問題，提高安全意識。需要值得注意的是對滲透測試團隊的技術水平和職業操守應當作嚴格的要求與遴選。確保安全風險的有效可控。

5 結語

郵政企業在飛速發展的今天，網絡安全防范意識有了較大的提高。歷年來，在網絡安全防范方面，資金、人力、物力的投入是有目共睹的。各種Firewall，IDS，IPS等設備相繼投入使用。但一些思維觀念，思維方式仍需不斷轉變。設備的投入使用不足以完全替代人的作用。且不談各種設備良莠不齊技術性能與檢測規則的更新能力。現實中各種0Day，Bypass的涌現著實證明了在網絡技術突飛猛進的當下，今天的技術也許就會被明天淘汰。各種危機事件的爆發，不斷的證明著技術的發展總是領先于被動的應對。因此，積極主動的網絡安全審計，在這種快速發展的潮流中孕育而生。它不僅能夠幫助我們找到網絡安全“木桶理論”中最短的那一塊板。更可為我們郵政企業的騰飛保駕護航！