第16章 网络安全评估.pptx

第16章网络安全评估16.1网络安全评估概述16.2Nessus的安装与使用16.3X-Scan的安装与使用16.4网络安全评估方案设计案例一：企业网络安全的薄弱点 近期，来自专业实验室的安全专家针对欧洲一些组织进行了安全评估，研究了未修补漏洞的普遍性，目的是更好地了解全球IT安全状况。这次联合调查显示，即使针对企业网络发动并不复杂的攻击，成功率也相当高，而且不需要使用成本较高的0Day漏洞利用程序。尽管0Day攻击的数量在不断上升，但网络罪犯仍然大量使用已知的漏洞发动攻击。这并不奇怪，因为一般企业要修复安全漏洞，需要60—70天的时间，而这一段时间足以让网络罪犯入侵企业网络。安全专家团队进行的安全评估还显示，网络罪犯根本无需入侵整个企业系统，只需“破解”管理系统的人即可。 通常，企业的安全基准要求在三个月内解决所有高危漏洞。但是77%的漏洞不仅3个月期限后依然存在，甚至在发现一年后仍然存在于企业IT环境中。调查人员收集到早在2010年就发现的漏洞数据，还发现在过去3年中一直处于危险状态下的系统。这类未修补的漏洞非常危险，因为这些漏洞很容易被利用，并且会造成严重后果。有趣的是，调查人员甚至发现一些十年来从未修补漏洞的企业系统，而且企业还花钱采用相应服务监控其安全。 Outpost24的首席安全管MartinJartelius则表示：“目前很多企业浪费宝贵的资源预防未来威胁，同时又无法解决当今威胁以及更早的威胁造成的问题。我们应当从使用单独的安全工具转向在企业中引入集成的解决方案，使其成为企业流程的一部分，这一点非常重要。”案例二：民航信息安全风险评估项目启动 《中国民航报》2013年12月报道：近年来，国内外信息安全事故频发，信息安全的重要性日益突显。按照民航局的安排，中国民航大学信息安全管理与测评中心近日组织启动了行业内第一次风险测评项目，重庆机场集团有限公司成为本次信息安全风险评估的首家试点单位。 今年9月26日，民航大学信息安全管理与测评中心承办了由民航局人事科教司组织的“2013年民航信息安全风险评估工作启动会”，因重庆机场对信息安全的重视以及在信息安全上所取得的丰硕成果，使其被选定为2013年民航信息安全风险评估项目的首家试点单位。 为了高质量完成此次风险评估工作，信息安全管理与测评中心以《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于进一步坚强民航网络和信息安全工作的通知》等为政策依据，以《信息安全技术信息安全风险评估规范》等为技术依据，并结合重庆机场信息系统具体情况，采取工具评估、人工评估、访谈、渗透测试等多种方式，对重庆机场生产指挥调度系统、离港系统、门户网站开展风险评估，对全部服务器、网络设备以及抽样的系统终端设备进行测评。 信息安全作为一个庞大的系统工程，需要对信息系统的各个环节进行统一的综合考虑、规划和架构，时时兼顾不断发生的变化，任何环节上的安全缺陷都会对信息安全构成威胁。重庆机场希望通过此次风险评估，能查找出信息系统运行中存在的问题，整改问题，不断提升机场的信息安全保障水平。同时，也希望能为下一步全面开展民航系统信息安全评估打下良好的基础。思考1、企业网络存在大量安全薄弱点的根本原因是什么？如果你作为一名企业网管人员，应该采取哪些措施帮助企业提高网络安全水平？2、民航信息安全风险评估项目的启动背景是什么？为什么要在航空领域开展规模庞大的信息系统安全评估项目？16.1网络安全评估概述16.1.1网络安全评估的含义、内容和步骤16.1.2网络安全评估技术16.1.3网络安全评估常用工具16.1.1网络安全评估的含义、内容和步骤网络安全评估的含义网络安全评估主要是对用户的IT应用及所在的网络环境进行全面的安全分析与评估，包括操作系统、数据库、网络以及物理环境等其它各方面的要素，从而发现用户系统中存在的薄弱环节，比如高风险的操作系统、数据库、Web程序等漏洞，中等风险的用户弱密码、软件版本低等问题网络安全评估的内容网络安全评估的主要内容包括两大部分，首先是漏洞扫描，也就是通过扫描系统得到一些信息，通过这些信息和漏洞库中的信息相比较发现一些系统的漏洞或脆弱性；其次是评估，即根据上一步扫描的结果，通过一定的评估方法和规则对相应的计算机进行评估，最后根据相应的方法给出评估结果。16.1.1网络安全评估的含义、内容和步骤网络安全评估的步骤一般来说，网络安全评估主要有以下几个步骤：（1）利用信息采集系统（如各种脆弱性检测工具）进行网络中各台主机的外部和内部扫描，主要获取各种配置脆弱性信息、操作系统信息、服务程序信息及端口信息等。（2）将各种扫描信息转换为具有统一格式的安全脆弱性信息库，包括的字段有操作系统、操作系统版本号、服务、操作系统与服务之间关系及具体服务程序等。（3）将各种标准的脆弱性信息进行关联