基于“企業(yè)網安全評估與運維”項目的安全評估策略分析與實踐

楊 靜

(北京信息職業(yè)技術學院 計算機工程系， 北京 100081)

基于“企業(yè)網安全評估與運維”項目的安全評估策略分析與實踐

楊 靜

(北京信息職業(yè)技術學院 計算機工程系， 北京 100081)

各種病毒、網絡攻擊等安全事件頻繁發(fā)生，已經成為企業(yè)安全的一個重要威脅。只有構筑符合實際需要的企業(yè)網安全防護體系，才能為企業(yè)網安全提供保障。在完成企業(yè)網安全評估與運維的生產性實訓項目的過程中，為了提高學生的職業(yè)能力，讓學生零距離融入企業(yè)工作中，根據企業(yè)開展項目的實際過程設計完成項目的主要任務。鑒于評估環(huán)節(jié)的重要性，重點指導學生進行評估策略分析,并在合法的情況下進行評估環(huán)境的設計和評估軟件的應用。

企業(yè)網安全； 評估策略； 評估環(huán)境設計； 評估軟件

目前，各種病毒、網絡攻擊等安全事件頻繁發(fā)生，已經成為企業(yè)安全的一個重要威脅。技術的突破，已經使各種病毒具有了黑客工具的性質，一旦企業(yè)被病毒感染，會自動打開相應的端口或服務，使企業(yè)門戶大開，而病毒通過互聯網可以輕易地突破沒有經過嚴密防護的企業(yè)內部網絡，給企業(yè)帶來各種威脅：開放服務、發(fā)出大量垃圾郵件或帶病毒郵件等。黑客和帶黑客性質的病毒，不僅會破壞公司的運行環(huán)境，破壞機器上的數據，更有可能盜取機密的數據和信息，潛在的風險很難估計[1]。

1 “企業(yè)網安全評估與運維”項目的選題背景

斯諾登事件備受矚目，把網絡信息安全問題推到了風口浪尖，繼而一系列的竊聽門事件讓各國政府擔憂。據美國聯邦調查局(FBI)于公布的年度調查顯示，在涵蓋政府機關、企業(yè)、財務、醫(yī)療機構、大學等503家美國公司中，91%曾被電腦黑客入侵，但因害怕揭露后遭各界質疑該公司網絡安全，僅34%的企業(yè)向主管當局上報，而平均各企業(yè)因被入侵而損失約200萬美元[2]。

企業(yè)隨著企業(yè)網絡建設和信息化應用程度的不斷提高,企業(yè)網的安全性已成為制約公司信息化建設與發(fā)展的重要因素。只有構筑符合實際需要的企業(yè)網安全防護體系，才能為企業(yè)網安全提供保障[3]。在針對信息安全技術專業(yè)的畢業(yè)生進行的生產性實訓中，我們選擇了“企業(yè)網安全評估與運維”課題，指導學生進行實訓，進而提高學生對信息安全系統(tǒng)運行問題的主動預防能力[4]。

2 “企業(yè)網安全評估與運維”項目的主要任務

為了提高學生的職業(yè)能力，讓學生零距離融入企業(yè)工作中，我們根據企業(yè)開展項目的實際過程，設計了完成企業(yè)網安全評估與運維項目的主要任務，包括：安全評估和運維方案計劃，安全評估和運維方案需求分析報告，企業(yè)網物理網絡審計(評估)、滲透測試、加固方案實施報告，企業(yè)網操作系統(tǒng)審計(評估)、滲透測試、加固方案實施報告，企業(yè)網應用服務審計(評估)、滲透測試、加固方案實施報告及用戶培訓文檔[5]。

本項目中安全評估是非常關鍵的環(huán)節(jié)，是后續(xù)工作正確實施的保障。

3 企業(yè)網風險評估的原則

3.1 安全評估的重要性

風險評估是指在風險事件發(fā)生之后，對于風險事件給人們的生活、生命、財產等各個方面造成的影響和損失進行量化評估，是對信息資產面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用帶來風險的可能性評估。作為風險管理的基礎，風險評估是組織確定信息安全需求的一個重要途徑。信息安全風險評估是指從風險管理角度，依據國家有關信息安全技術標準和準則，運用科學的方法和手段，對信息系統(tǒng)及處理、傳輸和存儲信息的保密性、完整性、可用性等安全屬性進行全面科學的分析，對網絡與信息系統(tǒng)所面臨的威脅及存在的脆弱性進行系統(tǒng)的評價，對安全事件一旦發(fā)生可能造成的危害程度進行評估，并提出有針對性的抵御威脅的防護對策和整改措施[6]。

3.2 安全評估的依據

以美國為首的西方發(fā)達國家和前蘇聯及其盟國，早在20世紀50年代即著手開發(fā)用于政府和軍隊的信息安全產品，到20世紀末，美國信息安全產品產值已達500億美元。隨著產品研發(fā)，有關信息安全產品評估標準的制定也相應地開展起來[7]。

我國關于信息安全產品的標準從上世紀90年代中期開始制定，2000年開始有計劃地研究、制定，至目前已經基本覆蓋了信息安全產品的主要項目。

我國的信息安全管理標準，如GB/T 20984《信息安全風險評估規(guī)范》、GB/Z 24364《信息安全風險管理規(guī)范》、GB/Z 20985《信息安全事件管理指南》、GB/T 20988《信息安全災難恢復規(guī)范》，是對企業(yè)網信息系統(tǒng)進行風險評估，按照風險評估的過程確定風險、編制風險評估報告和推薦安全控制措施，并對系統(tǒng)進行加固處理的主要依據。

3.3 企業(yè)網風險評估的原則

企業(yè)網風險評估的原則應該在國家或國際的相關標準下進行，即遵循標準化指導原則。在評估過程中，領導者在組織風險評估之前應該仔細地考慮評估小組的人員組成，除了日常的信息安全部門的人員外，還應該有其他部門專家或負責人，并且要求他們積極地配合評估人員的工作，即遵循評估人員的多樣化原則。

目前，“三分技術，七分管理”的理念已經在行業(yè)的信息安全管理部門得到了廣泛的認同，所以，評估人員除了考慮技術上的風險，更應該了解管理上的措施或策略等，判斷它們是否存在風險，即管理與技術評估相結合原則[8]。由于本身在風險評估能力上比較欠缺，不可能對所有方面都能考慮周到，必須選擇對自身來說非常重要的資源進行評估，這樣才能集中精力完成重點評估。當然，也應該在條件允許的情況下盡可能多地評估它所處的安全狀態(tài)、安全流程和控制措施等，即強調重點評估兼顧全面評估原則。

4 企業(yè)網安全評估的策略

4.1 脆弱性識別

脆弱性是對一個或多個資產弱點的總稱。脆弱性識別也稱為弱點識別，弱點是資產本身存在的，如果沒有相應的威脅發(fā)生，單純的弱點本身不會對資產造成損害，另外，如果系統(tǒng)足夠強健，再嚴重的威脅也不會導致安全事件，并造成損失。即威脅總是要利用資產的弱點才可能造成危害[9]。

脆弱性識別主要從技術和管理2個方面進行。技術脆弱性涉及物理層、網絡層、系統(tǒng)層、應用層等各個層面的安全問題。管理脆弱性又可分為技術管理和組織管理2方面，前者與具體技術活動相關，后者與管理環(huán)境相關。

4.2 企業(yè)網安全策略解析

企業(yè)網安全策略是指為規(guī)范企業(yè)網安全防護工作的具體實現而建立安全防護技術機制，保證企業(yè)網安全防護的整體性所制定的一系列安全防護技術目標和要求，包括物理、網絡、主機、數據和應用等安全策略[10]。

網絡安全策略包括能對用戶進行訪問控制，具有網絡防病毒措施，具有網上事件監(jiān)控和審計記錄能力，能對包括網絡安全在內的設備、設施和系統(tǒng)等資源進行管理等內容。

主機安全策略主要針對服務器等重要設備，包括具有監(jiān)控和防范對主機系統(tǒng)訪問控制、防病毒、防惡意代碼、防惡意篡改和誤操作功能及手段，具有日志審計、系統(tǒng)軟件容錯、存儲介質的殘余信息刪除、主機狀態(tài)檢測和報警等功能。

應用安全策略包括應用系統(tǒng)軟件根據需要及時安裝補丁程序，應用系統(tǒng)具有完備的日志和對用戶進行身份認證以及授權訪問控制功能等內容。

5 實現企業(yè)網安全評估環(huán)境的設計

5.1 安全評估工具介紹

計算機系統(tǒng)的安全評估主要在于分析計算機系統(tǒng)存在的安全弱點和確定可能存在的威脅和風險，并針對這些弱點、威脅和風險提出解決方案，制定更有效的安全策略。

專業(yè)的評估工具可以有效地進行安全漏洞檢測，可以對很大范圍內的系統(tǒng)漏洞進行安全、高效、可靠的安全檢測，對系統(tǒng)全部掃描后，可以對收集的信息進行分析，發(fā)現系統(tǒng)設置中容易被攻擊的地方和可能的錯誤，得出對發(fā)現問題的可能的解決方法。

常用的安全評估工具有很多，這里簡單介紹幾款：

(1) Nmap是一個網絡連接端掃描軟件，用來掃描網上電腦開放的網絡連接端，是網絡管理員必用的軟件之一，以及用于評估網絡系統(tǒng)安全。正如大多數被用于網絡安全的工具，Nmap也是不少黑客及駭客(又稱腳本小子)愛用的工具。系統(tǒng)管理員可以利用Nmap來探測工作環(huán)境中未經批準使用的服務器，但是黑客會利用Nmap來搜集目標電腦的網絡設定，從而計劃攻擊的方法。

(2) Nikto是一款開源的(GPL)網頁服務器掃描器，可以對網頁服務器進行全面的多種掃描，包含超過3 300種有潛在危險的文件/CGIs、超過625種服務器版本、超過230種特定服務器問題。這是一款非常棒的工具，但其軟件本身并不經常更新，對最新和最危險的可能檢測不到。

(3) X-Scan是國內最著名的綜合掃描器之一，它完全免費，是不需要安裝的綠色軟件，界面支持中文和英文2種語言，包括圖形界面和命令行方式。目前的最新版本X-Scan 3.3-cn凝聚了國內眾多信息安全工作者的心血。

(4) Nessus 是目前全世界最多人使用的系統(tǒng)漏洞掃描與分析軟件，總共有超過75 000個機構使用它作為掃描該機構電腦系統(tǒng)的軟件。Nessus提供完整的電腦漏洞掃描服務, 并隨時更新其漏洞數據庫；Nessus 針對每一個漏洞有一個對應的插件，這種利用漏洞插件的掃描技術，極大地方便了漏洞數據的維護和更新；Nessus 具有掃描任意端口任意服務的能力；Nessus以用戶指定的格式(ASCII 文本、html 等)產生詳細的輸出報告，包括目標的脆弱點、怎樣修補漏洞以防止黑客入侵及危險級別。

5.2 實現企業(yè)網安全評估環(huán)境的設計

在本項目實施過程中，對于確定要評估哪一個企業(yè)網是個難點，不經授權去評估和滲透某個企業(yè)的網絡是違法的，要承擔法律責任。因此我們實現企業(yè)網安全評估環(huán)境的具體設計思路是設計3個網絡環(huán)境，第一個是攻擊環(huán)境，第二個是被攻擊環(huán)境，也是靶機環(huán)境，第三個是安裝評估軟件的環(huán)境。具體系統(tǒng)安裝如下：

(1) 在物理機安裝掃描工具Nessus。

(2) 啟動虛擬機Windows server 2003作為靶機環(huán)境。

(3) 啟動虛擬機BackBox，作為攻擊機環(huán)境。BackBox是基于Ubuntu的發(fā)行，它被開發(fā)用于網絡滲透測試及安全評估。它有自己的軟件倉庫，該倉庫總是同步到最新版本的、最常用且以合乎道德而聞名的黑客工具[1]。

(4) 在物理機環(huán)境添加一條基礎掃描策略。

(5) 在物理機環(huán)境再添加一次新的掃描，并設置相應參數，開始對Windows 2003虛擬機進行掃描?？梢詫呙鑸蟾鎸С鰹镹essusdb格式，然后導入到Metasploit中。

(6) 為了方便，直接用攻擊機進行滲透，先開啟攻擊機的msf 和postgresql服務，msf是BackBox中的攻擊框架，postgresql服務是數據庫服務，msf框架數據放在此數據庫中，查找ms08-067的攻擊模塊，也可以查找其他漏洞模塊，我們以查找ms08-067攻擊模塊為例演示。

(7) 使用這個模塊，為了反彈回一個會話，需要設置一個反彈的payload(攻擊載荷)，需要設置的參數是RHOST(是目標IP，RPORT是目標端口)和LHOST(是本地IP，LPORT是本地端口)， 必須未占用。

(8) 開始滲透，獲得一個meterpreter(反彈會話)，成功地對目標完成滲透。獲取到靶機的hash值，通過解密網站獲得明文密碼123123，然后登錄服務器。

(9) 通過rdesktop命令，登錄遠程主機。

6 結論

本設計環(huán)境是項目組設計的一個理想的實現企業(yè)網安全評估環(huán)境，通過本環(huán)境的實施，學生可以更好地掌握虛擬機的應用、windows和Linux操作系統(tǒng)的安裝和配置，以及學習經典評估軟件Nessus的安裝和使用，有效地實現漏洞掃描并對評估漏洞進行分析，進一步學習對掃描漏洞的滲透設置過程，學習攻擊框架msf的配置和應用。在實際應用中，可以通過安裝防火墻和打補丁實現以上評估漏洞的防范。

本項目不僅提高了信息安全技術專業(yè)學生分析問題、解決問題的能力，更重要的是培養(yǎng)了學生的綜合創(chuàng)新能力、創(chuàng)新思維和創(chuàng)新意識，提高了學生在信息安全領域的主動預防能力。

References)

[1] 何涇沙.信息安全導論[M].北京：機械工業(yè)出版社，2012.

[2] 暢享網.全面評估企業(yè)網絡安全的五大方面[EB/OL].(2008-01-08). http://www.vsharing.com/k/2008-1/606900.html.

[3] 耿杰.計算機網絡安全技術案例教程[M].北京：清華大學出版社，2013.

[4] 李艷霞，張倩,齊蕓蕓，等.信息系統(tǒng)“主動式”運維保障工作的研究與實踐[J].實驗技術與管理，2015,32(2)：224-227.

[5] 秦娟娟.“雙元制”企業(yè)參與培訓模式對我國的啟示[J].成人教育，2009(11):23-25.

[6] 田庚林，田華，張少芳.計算機網絡安全與管理[M].北京：清華大學出版社，2013.

[7] 游聲紅.網絡入侵檢測系統(tǒng)的研究與分析[EB/OL].(2014-06-11). http://www.doc88.com/p-8995509799136.html.

[8] 蔡峰，薛安家，黃植.安全工程專業(yè)本科生實驗教學改革與實踐[J].實驗技術與管理，2015,32(10)：171-174.

[9] 徐澤中. 信息系統(tǒng)連續(xù)性運行風險及應對策略分析[EB/OL].(2014-04). http://www.fcc.com.cn/magazine/financial-computer-of-china/201404/4792.shtml.

[10] 楊慶明，杜保東.桌面終端安全防護技術企業(yè)網管理中的應用研究[J].計算機安全， 2010 (10)：77-79.

Safety assessment strategy analysis and practice based on “Enterprise network security evaluation operation and maintenance”project

Yang Jing

(Department of Computer Engineering, Beijing Information Technology College, Beijing 100018, China)

Network security incidents are happening now and then caused by various kinds of viruses, network attacks, which has become a big threat to an enterprise network security. Only by setting up an enterprise network security protection system based on the actual enterprise requirements can the network security be guaranteed for the enterprise.During the practical training courses based on the enterprise network security evaluation, operation and maintenance, the main designing task was completed according to the enterprise actual process in order to improve our students’ occupational ability and let them meet the enterprise need as soon as possible. Considering the importance of the assessment, much more effort should be put to provide our students with guidance on the enterprise network safety assessment strategy analysis, and under the legal circumstances did the assessment condition designing and the related assessment software application, should be carried out.

enterprise network security; assessment strategy; assessment envornmental design; assessment software

2015- 09- 06

楊靜(1972—)，女，內蒙古呼和浩特，理學碩士，副教授，主要從事計算機網絡和信息安全技術的教學工作.

E-mail：yangjing_bitc@163.com

G642.0

A

1002-4956(2015)12- 0197- 03