第四章 网络安全防护

1.在前几章，我们对信息系统等级保护和关键信息基础设施保护的发展情况作了介绍。这一章主要针对我国网络安全防护工作的发展情况进行研究分析。

　　随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强，信息安全问题受到普遍关注。运用风险评估去识别安全风险，解决信息安全问题得到了广泛的认识和应用。信息安全分析评估就是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，为防范和化解信息安全风险，将风险控制在可接受的水平，最大限度地保障信息安全提供科学依据。

　　风险评估在我国有两个重要的标准文件，分别为《风险管理 风险评估技术》（GB/T 279210-2011）和《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007）。其中，《风险管理 风险评估技术》是参考ISO/IEC 31010:2009《风险管理 风险评估技术》编制而成。

　　网络安全防护，从技术角度来讲，可以认为是以风险评估技术作为主要技术内容的一项工作。具体来说，人员访谈、资料查阅、脆弱性评估、漏洞扫描、渗透测试、社会工程、源代码审计、基线审查、接口测试等都属于风险评估的主要工作内容。更严格来讲，风险评估就是技术人员利用各种工具和技术对信息资产和相关基础设施进行评估，从而识别和缓解由于架构问题、设计缺陷、配置错误、硬件和软件漏洞、代码错误，以及任何影响信息系统安全地交付其预期功能的其他缺陷所引起的风险。当然，对一个对象（单位或企业）信息安全计划、政策、流程和程序应用的持续性验证也包含在内。我们在这一章就只对风险评估的具体工作形式进行分析和研究。

2.人员访谈就是与被评估系统管理员进行谈话，了解系统网络情况的过程。这个过程在很多情况下都会被忽略掉，但其实际上是一个非常重要的内容。通过访谈，评估人员可以对被评估系统有一个系统的了解，并且由于对话的开展，在人与人之间的交流中，可以了解到很多在技术评估中无法发现的问题。访谈过程对于评估人员的要求非常高，它需要技术人员对系统有相当的了解，并对于谈话交流有很好的设计和方法。一般来说，被访谈人员都不想在谈话中暴露单位或企业在系统安全防护中的不足和缺点，并且访谈时间有限，这就需要技术人员具有良好的沟通力，足够的亲和力和扎实的技术积累，才能够在访谈中找到此次评估工作的重点和方向。可以这样说，一个良好的访谈过程对一次评估来说能够节约足够多的时间，毕竟时间往往是一次评估面临的主要问题。

　　访谈可以由表格填写和对话组成，ISO27001对安全管理员就有预评估访谈表，里面列举了22项需要回答的问题，评估技术人员一般都是在访谈表的基础上，与系统管理员进行一对一的对话交流，从而争取在最短的时间内了解被评估系统的真实情况。

　　除此之外，访谈还可以了解到单位或企业网络安全策略、流程与标准，来确定是否建立了正确的安全方针，是否为安全的计算机处理环境建立明确的责任归属和操作程序。同时，对知道网络安全责任和要求的安全管理人员的日常培训也是必不可少的。对日常培训和安全意识的提倡和宣传是一种预防性的控制方法，通过这种方式，使得员工能够意识到他们维护物理和逻辑安全的责任，通过访谈可以评估出网络安全人员的安全意识状况，从而了解单位或企业在安全培训方面的工作程度。

　　资料查阅可以和人员访谈同时进行，资料查阅能够更加直观、更加具体的了解单位或企业的安全状况。同时也是对访谈中相关问题的验证和深入了解的过程。资料查阅应事先通知被评估单位或企业准备好需要的相关材料，材料均需有相关部门印章或者是正式文件，毕竟伪造一份纸质文档并不会花费太多的功夫。

　　在资料查阅中，比较关键的资料应该是评估系统的设计文档、完工报告、资产列表、拓扑图、以往的评估报告、整改报告及更新情况等。

　　人员访谈和资料查阅结束以后，评估小组就可以正式开展技术性风险评估工作。在这一环节，往往是多个过程同时进行，但无论怎么安排，漏洞扫描基本上都是技术人员首先要做的工作。

2.漏洞扫描就是利用工具对目标系统进行资产探测和漏洞发现的过程。一般的工具包括硬件集成工具和软件工作。在国内，硬件工具主要是绿盟科技的极光扫描器、XXXX等，软件工具则多种多样，常用的包括nessus、WVS、sqlmap、sqltools等。漏洞扫描会占用整个评估过程不少的时间，这根据系统大小、系统设备种类、操作系统类型等有所不同。

　　漏洞扫描工作中将使用工具进行漏洞扫描和配置核查，包括：端口服务扫描；主机漏洞扫描；应用漏洞扫描。

　　通过漏洞扫描可以：确定主机是否在线；发现远程和当前主机开发的端口及服务；根据探测的版本，判断主机层是否存在已知漏洞；根据不同插件类型，判断web层面存在的漏洞，如SQL注入，XSS等；

　　在漏洞扫描结束后，检查评估方宜对漏洞扫描中发现的漏洞进行验证，确保漏扫结果的准确性，但对于某些容易对服务器或系统造成重大影响的漏洞，一般情况下不会进行验证操作，如远程溢出漏洞、拒绝攻击漏洞等。
　　
3.利用漏洞扫描的结果，风险评估人员就可以继续进行渗透测试工作。渗透测试指的是通过尽可能完整模拟黑客使用的漏洞发现技术和攻击手段，对目标网络、系统、主机、应用的安全性作深入的探测，发现系统最脆弱的环节。
　　
　　测试内容一般包括如下内容：
凭证验证缺陷：由于缺少对用户的登陆凭证的有效验证或者是验证存在设计缺陷等造成的系统安全隐患，如无需验证、越权问题、密码重置问题等；
接口调用缺陷：由于数据或者功能接口没有进行访问控制或者访问控制存在设计缺陷，造成接口滥用或数据泄露等安全隐患，如：用户无限制枚举、暴力攻击等；
数据验证缺陷：由于对业务处理中的业务数据缺乏完整性、一致性造成的系统缺陷，如数据一致性缺陷、业务数据任意修改等；
逻辑设计缺陷：由于业务程序逻辑设计或实现不当造成的缺陷，如逻辑处理错误、逻辑分支覆盖不全、任意跳转缺陷等；
其他业务安全测试：不能归类为以上类型的业务安全测试。

4.其他的风险评估技术手段还包括入侵检测、社会工程学测试、安全域检测、无线安全测试、安全意识测试等。在技术风险完成之后，就需要对风险进行分析评估。

　　风险分析中涉及资产、威胁、脆弱性三个基本要素。每个要素要有各自的属性，资产的属性是资产的价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。风险分析的主要内容有：
a)对资产进行识别，并对资产的价值进行赋值；
b)对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；
c)对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；
d)根据威胁及威胁利用的脆弱性的难易程度判断安全事件发生的可能性；
e)根据脆弱性的严重程度及安全事件所作用资产的价值分析安全事件造成的损失；
f)根据安全事件发生的可能性以及安全事件出现后损失，计算安全事件一旦发生对组织的影响，即风险值。
　　通过对关键属性、威胁和脆弱性进行综合分析，综合安全事件所作用的信息系统关键属性及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，分析出安全风险，依据风险分析结果确定信息系统整体安全状况。