网路环境下之系统安全评估幻灯片课件.pptVIP

網路環境下之系統安全評估System Security Evaluation for Computer Networks 指導教授：陳年興博士 研究生：林秉忠 報告大綱 研究背景 研究動機與目的 研究方法 系統安全漏洞分類方式 網路安全檢查方法 案例探討 結論與建議 研究貢獻 後續研究方向 研究背景 網路及網站安全之重要性 網際網路發達對電腦網路安全造成的衝擊 電子商務造成網站入侵更加有利可圖 政府電子化後使得網路安全與國家安全關係更加密切 電腦網路安全已經成為大家都必須正視的課題 研究動機與目的 解答網路系統管理者的三大問題 如何判別系統是否有漏洞，以及系統有哪些漏洞？ 如何藉由收集到的系統漏洞資料評估網路系統的安全狀況？ 了解目前網路安全的弱點後，如何改善網路系統安全的現況？ 幫助網路系統管理者了解並改善現況 研究方法 研究範圍與假設 系統安全漏洞的分類 網路安全檢查方法 依照所提出的檢查方法及分類方式進行個案調查 系統安全漏洞分類方式 系統安全漏洞分類方式(續) 網路安全檢查檢查方法 共有六大步驟 InterNIC 資訊之收集 DNS 資訊之收集 網路組態之探索 網際網路服務之探索 網路服務安全檢測 實地訪談，並提出結論及建議 網路安全檢查檢查方法 網路資訊收集 InterNIC 資訊收集 DNS 資訊收集 選擇測試對象 網路組態的探索 網路服務的探索 服務網路安全檢測 結論與建議 路由的追蹤 SNMP 資訊的收集 個案探討 個案探討中包括了三個不同環境之網路 Class C 網路為 Internet 構成之基本元件，探討網路上單一 Network 應該注意之事項 Class B 為數個元件之所構成，探討點與點之間的互動關係 全國網站檢查探討國內網路安全的大致狀況 個案探討 – 高雄某機構 由於其業務處理與人民財產攸關之資料，所以特別注重網路安全 為一 Class C 網路，以 Windows 環境為要工作平台 其環境與一般中小企業相當類似 個案探討 – 高雄某機構 重大問題 DNS 可以任意進行 Zone Transfer，並且沒有設定備援之 DNS Router 上之 SNMP 採用預設密碼，並且沒有設定存取控制 ( Access Control List ) 採用之 IIS 4.0 伺服器有重大缺陷，使得入侵者可能獲得 Web 管理者權限 個案探討 – 高雄某機構 建議事項 更動 Firewall 設定，將對外服務放置於 DMZ 修改 Router 上之 SNMP 密碼，並設定存取控制 修正 IIS 伺服器上之系統缺失 建議管理員注意最新之系統安全訊息 個案探討 – 中山大學 為一 Class B 網路，以 Unix 環境為主要工作平台 其環境較類似於一大型企業 個案探討 – 中山大學 重大問題 DNS 可以任意進行 Zone Transfer 系統管理者未注重安全，對於系統安全補漏之新訊息並未採用 系統管理員未審視系統紀錄 各子網路並未架設防火牆或者限制存取資源 系統設定不正確 絕大部分通訊 (telnet/ftp 等) 仍採用明碼方式傳送 個案探討 – 中山大學 建議事項 各單位建置防火牆以控制不當存取 建議管理員關閉不必要之系統服務 建議管理員定期審視系統紀錄檔 各單位採用加密方式傳送資料 建議管理員注意最新之系統安全訊息 個案探討 – 全國 Web 網站 針對全國的 Web 網站進行安全檢查 擁有跨平台的特性 可以觀察到我國對網路安全的重視情形 個案探討 – 全國 Web 網站 重大問題 大部分的 Web 伺服器使用 Microsoft IIS 系列產品，有嚴重之安全問題 就伺服器端而言，存活率不到五成 有許多的伺服器上存在有問題的 CGI 程式，大部分問題出在系統內定的 CGI 上 絕大部分的問題來源，不論就伺服器端或是 CGI 程式看來，都出現在使用 IIS 系列產品的伺服器上 個案探討 – 全國 Web 網站 建議事項 更新 Web 伺服器之版本 移除系統內定之 CGI 程式 建議管理員注意最新之系統安全訊息 政府應加強企業對網路安全之重視 * *