序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了七篇網絡安全漏洞評估范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創作。

篇(1)

關鍵詞： 計算機網絡；安全漏洞檢測；攻擊圖構建；計算機技術

中圖分類號：TP393 文獻標識碼：A 文章編號：1006-4311（2014）05-0189-02

0 引言

當今計算機網絡已經完全普及，幾乎在每個角落，人們都能夠享受到網絡所帶來的便利，但也因其安全問題產生困擾。特別是在我國，計算機的主流操作系統并不能進行安全檢測驗證，所使用的計算機網絡通信協議也幾乎全是國外開發的產品，可靠性得不到很好的保證，安全漏洞隱患問題非常突出。因此，進行計算機網絡安全漏洞的檢測，是當今保護人們的計算機信息安全的主要途徑。

1 計算機網絡安全漏洞檢測的主要方法

1.1 配置文件的安全漏洞檢測方法 配置文件太復雜，或采取了缺省值，是造成系統存在漏洞的主要原因。系統的運行環境不安全，有絕大部分的原因都是配置文件所造成的。進行配置文件的檢測，可以讀取系統配置信息，并解釋配置信息可能帶來的系統漏洞現象，讓用戶在系統發生配置錯誤，導致系統出錯或者影響了系統的性能表現時，能夠及時發現漏洞和降低系統安全性的一些錯誤配置并加以糾正。

1.2 文件內容以及保護機制的安全漏洞檢測 系統中的命令文件以及系統工具是整個系統正常運行的關鍵，同樣也是許多木馬最容易入侵的地方。當木馬入侵了命令文件之后，會對文件內容進行篡改，從而影響了整個系統的正常運行。通常為了防止木馬對系統中命令文件的篡改，需要對文件保護機制中薄弱的地方進行檢測，對保護機制中存在的漏洞進行及時的處理，保證擁有權限的用戶才能夠更改命令文件的內容。比如對命令文件進行訪問控制設置方面的檢測，就是進行文件內容以及保護機制的安全漏洞檢測最為基礎的一步。

1.3 錯誤修正檢測方法 當操作系統發生錯誤時，一些擅闖系統權限的外界攻擊就會乘虛而入，造成嚴重的計算機信息安全問題。在一般情況下，用戶可以通過安裝修正錯誤的補丁程序來達到防止攻擊的目的，但很多用戶通常并不會在第一時間安裝補丁程序，就使得外界攻擊侵入系統。而通過錯誤修正檢測，則可以較好地解決系統中因發生錯誤而存在的漏洞問題。進行錯誤修正檢測，可以直接通過計算機檢驗程序來自動完成，檢測效率非常高。通常錯誤修正檢測可以分為兩種類型，一種稱之為主動型檢測，找出系統中存在的錯誤，并對系統漏洞做出一定的應對措施；另一種稱之為被動型檢測，這種檢測主要發生在安裝糾錯補丁程序時，作為判斷補丁程序是否安裝到位的一項依據。

1.4 差別檢測方法 差別檢測在系統中具有非常重要的作用，但也具有非常鮮明的特點。和其他檢測方法不同，差別檢測是一種被動型的檢測方法，對系統中的命令文件與工具起著監控保護的作用。這種檢測方法一方面不能對外界攻擊進行阻止，另一方面也不能對已經被修改的程序進行修正，但卻能夠非常準確地反映出程序是否發生了改變，對于判斷系統是否受到攻擊非常有效。為了增加檢測的準確度，可以將差別檢測相關的文件通過存放在脫離網絡的硬盤中，或者對其進行加密處理，代表性的文件包括校驗方法與結果等。

另外，在當今的計算機系統中，漏洞掃描技術得到了較為廣泛的應用。該技術通過對計算機中每一個部分的掃描，來達到及時發現漏洞，并修補漏洞的目的。目前進行漏洞掃描主要包括了兩種類型，一類是以計算機主機為基礎進行掃描，另一類是以計算機網絡為基礎進行掃描，用戶可以根據自身的需求以及計算機使用的實際情況來選擇不同的漏洞掃描方式。

2 攻擊圖構建的分析

攻擊圖的構建主要為了根據攻擊圖進行分析，判斷目標網絡所面臨的主要安全問題，從而分析計算網絡中存在的主要安全漏洞，并對網絡的安全采取一定的彌補措施。目前的攻擊圖種類非常多樣，不同類型攻擊圖所具有的分析攻擊行為的能力也有所不同。比如在一次對計算機網絡的攻擊行為中，可將攻擊行為用具體的邏輯攻擊圖表示出來。邏輯攻擊圖包括了推導規則、推導事實、以及原始事實三個類型的節點。由原始事實，經過推導規則，可以產生推導事實，由產生的推導事實，經過推導規則，又可以產生新的推導規則，并進而產生一系列的連鎖改變。具體的攻擊行為可以表示為如圖1所示的圖形。

在圖1中，空心圓代表推導事實的節點，實心圓代表原始事實的節點，方框表示推導規則的節點。在整個邏輯攻擊圖中，推導規則其實也就是原子攻擊工具。該圖能夠非常具體地表示出各個原子攻擊之間的依賴關系，但卻不是非常直觀明了，不便于對攻擊行為進行形象的理解。因此，業界又研發了狀態攻擊圖、屬性攻擊圖、滲透依賴攻擊圖、屬性依賴攻擊圖、聚合攻擊圖等多個不同的攻擊圖。其中，最具代表性的是聚合攻擊圖（如圖2所示）。這種攻擊圖構建方法的核心思想是提出多個聚合規則，對攻擊圖用不同的粒度進行抽象的聚合與展示。

通過構建攻擊圖，一方面可以對網絡安全的定量評估提供依據，另一方面，也可以應用于網絡安全問題的優化措施中，使網絡系統的抗攻擊能力得到改善。另外，構建攻擊圖還可以對網絡入侵進行及時的預警，避免系統受到嚴重的篡改。

3 結束語

安全漏洞檢測是防范計算機網絡風險的一項有效策略。目前除了一般的計算網絡安全漏洞檢測方法之外，構建網絡攻擊圖對于分析網絡漏洞也具有非常重要的意義，網絡攻擊圖能夠更加清晰地表現復雜的攻擊行為。另外，人們在充分享受著計算機網絡所帶來的便利的同時，也應該注意進行網絡安全的保護，才能夠使自身的利益不受到侵犯。

參考文獻：

[1]吳金宇.網絡安全風險評估關鍵技術研究[D].北京郵電大學，2013.

篇(2)

根據國內一些網絡安全研究機構的資料，國內大部分的ISP、ICP、IT 公司、政府、教育和科研機構等都沒有精力對網絡安全進行必要的人力和物力投入；很多重要站點的管理員都是Internet 的新手，一些操作系統如UNIX，在那些有經驗的系統管理員的配置下尚且有缺陷，在這些新手的操作中更是漏洞百出。很多服務器至少有三種以上的漏洞可以使入侵者獲取系統的最高控制權。

為了使廣大用戶對自己的網絡系統安全現狀有一個清醒的認識，同時提高對信息安全概念的了解和認識，強化網絡系統安全性能，首創網絡近日向用戶推出免費安全掃描服務活動。

評估主機范圍

Capitalnet技術支持中心在開展此次活動之前得到了客戶的書面授權。活動中，根據客戶提供的IP地址，并按照客戶指定的時間，對包括網絡設備和應用服務器等在內的主機系統進行安全評估。

評估時間和方式

此次活動持續兩個月時間，由7月1日開始，到8月31日結束。在活動期間，首創網絡技術支持中心安全產品組的專家們在與用戶達成共識的前提下，利用專業的安全評估工具，對客戶網絡信息系統中的重點環節進行了全方位的安全掃描，并根據掃描結果產生了安全評估報告，提交給客戶。客戶可以根據這一安全評估報告充分了解自己信息系統的安全情況，進而采取相應的安全應對措施，從而提高網絡系統安全性。

評估單位分布

此次評估活動共收到IP地址93個，分別來自不同行業的34家單位。這些單位分別屬于多種行業部門。

評估主機分類

93個IP地址基本代表93臺主機，分別為各個單位提供不同的信息化應用。如：WEB、Datebase、Mail等常見應用和防火墻等特殊應用。

評估漏洞分布

在93臺主機提供的各種信息應用中，都存在這樣或那樣的漏洞，此次評估都漏洞的風險分為三種：高風險漏洞、中風險漏洞、低風險漏洞。

參照標準為：

  高風險漏洞代表該漏洞可以使攻擊者可以得到該主機的最高權限或中斷網絡服務；

  中風險漏洞代表該漏洞可以獲取主機信息，有助于攻擊者進一步攻擊，或存在潛在致命漏洞；

  低風險漏洞代表該漏洞會間接影響系統服務的正常運行。

評估漏洞類型

本次掃描活動主要采用了三星信息安全公司的安全評估工具SecuiScan，但為了真實反映客戶的漏洞存在情況，也結合了其它著名的安全評估工具，為俄羅斯著名安全評估軟件Shadow Security Scanner和著名的自由軟件Nessus。在工具評估后，根據提供的分析報告來人工檢查證實漏洞的真實性，并在不破壞客戶主機正常運行的情況下得出令客戶信服的評估結果。

評估發現，很多存在漏洞的主機都是一些常見的配置錯誤和已經公布的漏洞，而且針對這些漏洞的攻擊工具很容易被惡意的攻擊者獲取。這些漏洞分布如下圖：

評估漏洞說明

1.   弱口令攻擊：不少網站的管理員賬號密碼、ftp 賬號密碼、Sql 賬號密碼等都使用很簡單的或是很容易猜測到的字母或數字，利用現有的家用PIII 機器配合編寫恰當的破解軟件足以在短時間內輕松破解，一旦口令被破解，網站就意味著被攻破。

2.    Unicode 編碼漏洞攻擊：對于Windows NT4.0 和Windows 2000 來說都存在有該漏洞，利用該漏洞遠程用戶可以在服務器上以匿名賬號來執行程序或命令，從而輕易就可達到遍歷硬盤、刪除文件、更換主頁和提升權限等目的，實施方法簡單，僅僅擁有一個瀏覽器就可實施。

3.    ASP 源碼泄漏和MS SQL Server 攻擊：通過向web 服務器請求精心構造的特殊的url 就可以看到不應該看到的asp 程序的全部或部分源代碼，進而取得諸如MS SQL Server 的管理員sa 的密碼，再利用存儲過程xp_cmdshell 就可遠程以SYSTEM 賬號在服務器上任意執行程序或命令，事實上，MS SQL Server 默認安裝的管理員sa 的密碼為空，并且大多數系統管理員的確沒有重新設定為新的復雜密碼，這直接就留下了嚴重的安全隱患。

4.    IIS 緩沖溢出攻擊：對于IIS4.0 和IIS5.0 來說都存在有嚴重的緩沖溢出漏洞，利用該漏洞遠程用戶可以以具有管理員權限的SYSTEM 賬號在服務器上任意執行程序或命令，極具危險性。實施較為復雜，但是可以獲得這種攻擊的傻瓜攻擊軟件。這種攻擊主要存在于Windows NT 和2000 系統中。

5.    BIND 緩沖溢出攻擊：在最新版本的Bind 以前的版本中都存在有嚴重的緩沖溢出漏洞，可以導致遠程用戶直接以root 權限在服務器上執行程序或命令，極具危險性。但由于操作和實施較為復雜，一般也為黑客高手所用。這種攻擊主要存在于Linux、BSDI 和Solaris 等系統中。

6.    其他攻擊手法：還有利用Send- mail、Local Printer、CGI、Virus、Trojan、DOS、DDOS 等漏洞攻擊的手段，但在這次評估活動中表現的不是非常明顯。

整體安全評估報告

主機系統的安全評估主要在于分析主機系統存在的安全弱點和確定可能存在的威脅和風險，并且針對這些弱點、威脅和風險提出解決方案。

主機存在安全弱點

安全弱點和信息資產緊密相連，它可能被威脅利用、引起資產損失或傷害。但是，安全弱點本身不會造成損失，它只是一種條件或環境、可能導致被威脅利用而造成資產損失。安全弱點的出現有各種原因，例如可能是軟件開發過程中的質量問題，也可能是系統管理員配置方面的，也可能是管理方面的。但是，它們的共同特性就是給攻擊者提供了對主機系統或者其他信息系統進行攻擊的機會。

經過對這些主機系統和防火墻的掃描記錄分析，我們發現目前該網絡中的主機系統主要弱點集中在以下幾個方面：

1 ．系統自身存在的弱點

對于商業UNIX 系統的補丁更新不及時，沒有安全配置過，系統還是運行在默認的安裝狀態非常危險。對NT/2000 的服務器系統，雖然補丁更新的比及時，但是配置上存在很大安全隱患，用戶的密碼口令的強度非常低很多還在使用默認的弱口令，網絡攻擊者可以非常輕易的接管整個服務器。另外存在IPC＄這樣的匿名共享會泄露很多服務器的敏感信息。

2 ．系統管理存在的弱點

在系統管理上缺乏統一的管理策略，比如缺乏對用戶輪廓文件（Profile ）的支持。在系統中存在空口令的Guest 組的用戶，這些用戶有的是系統默認的Guest用戶，有的是IIS 和SQL 服務器的默認安裝用戶。這些用戶有些是被系統禁用的，如Guest ，有些則沒有，沒有被禁用的這些賬號可能被利用進入系統。

3 ．數據庫系統的弱點

數據庫系統的用戶權限和執行外部系統指令是該系統最大的安全弱點，由于未對數據庫做明顯的安全措施，望進一步對數據庫做最新的升級補丁。

4 ．來自周邊機器的威脅

手工測試發現部分周邊機器明顯存在嚴重安全漏洞，來自周邊機器的安全弱點（比如可能使用同樣的密碼等等）可能是影響網絡的最大威脅。

主機存在的威脅和風險

安全威脅是一種對系統、組織及其資產構成潛在破壞能力的可能性因素或者事件。產生安全威脅的主要因素可以分為人為因素和環境因素。人為因素包括有意的和無意的因素。環境因素包括自然界的不可抗力因素和其它物理因素。威脅可能源于對企業信息直接或間接的攻擊，例如非授權的泄露、篡改、刪除等，在機密性、完整性或可用性等方面造成損害。威脅也可能源于偶發的、或蓄意的事件。一般來說，威脅總是要利用企業網絡中的系統、應用或服務的弱點才可能成功地對資產造成傷害。因此威脅分析是圍繞信息系統的可用性、保密性、完整性、可控性、可審查性、抗抵賴性進行的。

安全風險則是一種可能性，是指某個威脅利用弱點引起某項信息資產或一組信息資產的損害，從而直接地或間接地引起企業或機構的損害的可能性。

在這次評估中，主機系統存在的威脅和及其產生的安全風險主要有以下幾個方面：

1.  針對主機的攻擊威脅

包括針對Windows NT 系統及其開放的系統服務的安全弱點攻擊威脅，攻擊者可能由此獲取系統的信息資源或者對系統信息進行破壞。

2.  針對數據庫的攻擊威脅

包括在對數據庫系統的攻擊行為，包括非法獲取、篡改、刪除數據庫信息資源和進行其他形式的服務攻擊。

3.   管理不當所引起的安全威脅

包括由于用戶管理策略不當使得攻擊者可能獲取某一級別的用戶的訪問權限，并由此提升用戶權限，造成用戶權限的濫用和信息資源的泄漏、損毀等；由于采用遠程管理而引發的威脅；缺乏足夠的安全審計致使對安全事件不敏感，無法發現攻擊行為等。

4.  配置不當所引起的安全威脅

包括在主機系統上開放了未做安全防范的服務如IPC＄共享所造成的安全威脅等。

網絡安全建議

建議把提供網絡服務的程序升級到最新版本，關注網絡安全通告，或由首創為客戶提供全面、周到、專業的網絡安全服務。

總  結

此次活動歷時兩個月時間，為34家客戶的93臺主機提供了全面的安全掃描服務，并將最終的掃描結果提供給了客戶。

通過此次活動，我們發現所有的客戶主機都或多或少存在著各種風險度的安全漏洞，安全現狀不容樂觀。其實在這些客戶所暴露出來的漏洞中，絕大多數都是已經有了解決辦法的，只要做一些簡單的升級或安裝補丁就可以解決。另外，我們還發現，有的客戶使用了一些安全產品，但卻由于使用不當，反而引入了更多的安全漏洞。另外，客戶的信息系統普遍也缺乏良好合理的安全規劃和管理，從而使得其自身的系統對外呈現了很多本不應該出現的漏洞，給外界入侵提供了便利的條件。

我們認為出現這樣的問題主要有這樣一些原因：

客戶普遍還缺乏安全意識，不知道自己其實面臨很大的危險；專業知識不夠，不知如何解決安全問題；對安全產品的選擇、使用和設置不當；沒有合理的安全管理策略和機制。

針對這樣一些原因，有些相對容易解決，有些則要困難一些。在首創網絡通過自身的努力，在信息安全領域里不斷追求更高的技術水準和服務水準，力爭在競爭日益激烈的今天，面對不斷復雜的信息安全形勢，從容面對，為客戶提供更加完美的產品和服務。

（本報告由首創網絡提供，內容有刪節）

“首創網絡安全調查”帶來的啟示

本刊記者   曹  玫

近日，首創網絡針對我國企

業網絡安全現狀，對來自

34個不同行業用戶的93臺主機的網絡信息系統進行了抽樣調查，結果是100%的用戶的主機都存在不同程度的安全問題。這個數字不能不讓我們吃驚，網絡現狀讓人擔擾。

隨著企業信息化、電子政務的進一步推進，對網絡安全的要求與過去已不可同日而語。但信息化在我國剛剛起步，企業對網絡安全的意識和認知尚待培育。

本刊記者就首創的網絡安全評估活動采訪了中國國家信息安全測評認證中心計算機測評中心常務副主任翁正軍女士，她認為：“首創這次的評估活動值得肯定。這類的網絡安全評估如果經常性的進行，對用戶了解自身的安全風險非常有益”

另外，翁女士還提醒道：“針對網絡和系統的脆弱性評估，有可能對被測系統造成損害。當然，不一定是測試本身的問題，而是被測系統太脆弱。但是不管怎么樣，都要讓用戶事先知道風險的存在，并且通過恰當的安排盡力回避這些風險”。

安全意識   攜手培育

網絡安全是“三分技術，七分管理”，從首創的報告中可以看出，造成網絡漏洞的原因基本上是管理的忽視和疏漏。

已認識到IT系統重要性的大型企業和跨國企業，雖有一些機房和系統的不很細化的管理制度，但大部分也只限于書面文字的約束而已，沒有強有力的監督實施手段和相應的管理人員；大部分的中小企業甚至沒有把網絡安全提升到管理的層面，還只是停留在購買一些低端的安全設備上，當然對于國內的中小企業采取何種安全模式仍是專家和安全服務提供商們爭論的熱點問題。

管理問題追溯其根源，還是企業的意識問題，安全意識的加強和培育是需要政府或行業主管單位、安全廠商和用戶自身共同努力來實現的。

如政府和行業主管要加大政策和法令的宣傳力度，改變政策和相關標準滯后的現狀，一方面，用戶有相關的政策和標準來衡量網絡安全廠商提供給他們的產品和服務是否符合國家標準，做到有據可依。另一方面，安全廠商有了相關條例和行業標準，在為用戶構建網絡平臺和生產安全產品時，把各種安全隱患降減到最小程度，做到了有法必依。

安全廠商在培育用戶的安全意識方面，毫無疑問，充當著主力軍的角色，目前，我國的網絡安全意識尚處于萌芽階段，因此對用戶意識的培育應屬于安全廠商市場戰略和規劃的一部分，只有大家共同把這塊蛋糕做大，網絡安全廣闊的市場才會在短時間內形成規模。 

從用戶自身的角度來講，“船到江心才補漏”是需要付出不可估量的代價的，網絡數據的迅速增長，單靠一些低端的安全設備已遠遠難以維護系統和網絡安全。總的來說，要改善和加強管理力度,必須提高企業的安全意識.

網絡測試   謹慎評估 

做安全測試，一定要做非常細化的風險評估策略，首先要確定企業哪些資源需要保護，并根據保護成本與如果事件發生前不采取行動需付出的代價之間的平衡制定評估方案，檢測后要確定企業具體環境下到底存在哪些安全漏洞和安全隱患，一旦這些漏洞被黑客利用會造成哪些風險和破壞。

最后綜合對各種風險因素的評價，明確網絡系統的安全現狀，確定網絡系統中安全的最薄弱環節，從而改進網絡的安全性能。所以檢測之前與之后的評估是非常重要的。全面的網絡系統的漏洞評估應該包括對網絡的漏洞評估、對系統主機的漏洞評估以及對數據庫系統的漏洞評估三個方面。首創的安全評估屬于對系統主機的漏洞的評估，測試的安全風險相對要小一些。

測試不是目的，制定相應的安全策略并徹底解決用戶存在的安全問題，才是我們的愿望。

首創的安全測試為我們敲醒了警鐘，加強安全意識已成為企業高層迫切需要正確對待的問題。

企業信息安全意識有待覺醒

本刊記者   陳  慧

為了解客戶的安全現狀，并

提高客戶的安全意識，首

創網絡在7月1日到8月31日為期兩個月的時間內為34家客戶的93臺主機提供了免費遠程安全掃描服務。提交的報告結果表明，這些客戶所有的業務部門都或多或少存在著安全漏洞，其中高風險漏洞占42%，中風險漏洞占28%，低風險漏洞達30%。可見這些客戶的信息安全現狀令人堪憂。

面對安全漏洞，

視而不見還是立即行動

“此次掃描主要是針對黑客的攻擊行為，”首創網絡安全產品經理鐘博向記者介紹說，“我們選擇這種遠程的網絡掃描的服務活動比較容易開展，類似于黑客攻擊的第一個階段，還未涉及到內部攻擊。”在發現客戶漏洞之后，首創還可以針對客戶的要求為其提供相應的修補、加固和優化服務、專門的培訓和分析，以及遠程管理和緊急響應等多種全方位的安全服務。

在首創網絡掃描過程中發現的網絡安全漏洞主要涉及到底層的操作系統平臺和應用系統兩個方面。漏洞可能是操作系統帶來的，比如采用Windows操作系統平臺的企業漏洞特別多；也有可能是應用系統本身的問題，比如數據庫、Web系統和ERP應用軟件等等。在應用系統方面，數據庫的漏洞比較多，其中又以SQL Server數據庫的漏洞為甚。對于操作系統的漏洞，大多可通過從網上下載補丁程序的方法加以解決，有些客戶沒有下載補丁程序，因而容易被攻擊。也有客戶把用戶訪問口令設成了空的，也容易被攻擊。這些漏洞本都很容易避免，之所以出現，主要因為應用和管理人員本身安全意識淡薄所導致。

被掃描的首創網絡的IDC和專線客戶，都是經常使用IT設備和網絡應用的，其中，本身業務系統與安全結合不是很緊密的客戶比較容易產生安全漏洞，比如媒體的網站、制造業企業的網站等。在首創網絡的整個掃描服務期間中就出現過這樣的情況。一家傳媒機構的網站被黑客攻擊，其主頁被篡改了。客戶要求首創對其遭到攻擊的主機進行掃描，了解其被攻擊的原因。通過掃描，發現主要原因在于這個傳媒機構把操作系統裝好之后，采取了默認配置，并沒有做安全性增強方面的考慮和設置，其主機上的漏洞都是一些很常見也很容易彌補的。此外，制造業企業涉及到CRM和ERP這樣的系統。總部與分支機構之間經常有大量機密的數據需要交互，對于這樣的企業，如果不做好全面的安全規劃并采取相應的安全手段，也容易對外暴露很多安全漏洞。

面對送過來的掃描結果和漏洞分析，客戶的反應五花八門：有的客戶一接到掃描的結果，發現自己的網絡安全存在這么多的問題，非常著急，立刻要求首創為其提供相應的解決方案；有的客戶要求首創幫助把漏洞堵上；也有客戶說，賣我們一個防火墻吧；還有客戶沒有反應，好像在忙著理順自己的網絡，無暇顧及安全問題。

安全防范，投入多少并采取哪些手段

有兩個問題需要企業考慮清楚，一是企業要保護的信息到底值得投入多少；二是采取什么手段。網絡時代，企業要連接到互聯網上與外部溝通。任何企業無論大小，總是有些信息是不希望被外界知道的，每一個企業都有必要采取一定的手段保護自己的信息，防止被別人竊取、篡改或者破壞。那么企業值得投入多少人力、物力和財力保護信息安全？

篇(3)

1.1企業網絡環境的基本構架

企業網絡環境依其功能性的不同，可以分成兩個部分：辦公區域的工作站和各類數據、WEB、管理系統構成的服務器集群。其中部分工作站與服務器集群分布在不同地域，形成“公司總部-分公司-區域代表處”的整體網絡構架。目前企業的服務器端更新計算機安全性修補的程序是每一臺服務器均安裝WindowsUpdate，通過互聯網自動取得最新的安全性修補程序，保持服務器端安全漏洞都能得到及時的修補；工作站端則由工程師通過網絡取得最新安全性修補程序后，通過總控分發的形式逐一手動執行安裝。

1.2目前公司網絡安全管理的缺憾與不足

(1)無法快速地確定公司網絡上哪些主機具有安全性弱點。目前在系統安全漏洞方面，一般是網絡安全工程師在獲得網絡安全性公告時才掃描整個環境是否存在相關安全漏洞并更新計算機系統，事實證明，對于環境來說，是非常耗時并難以及時實現的，在理想狀態下，應該發展并實行一套機制來自動收集并分析在弱點掃描過程中所產生的安全信息報告，并針對安全性警訊作出回應，以有效維護工作中最基本的網絡安全。

(2)沒有足夠的時間可以安裝或部署安全性修補程序。依目前架構，每一臺服務器均自行通過互聯網自動取得最新的修補程序，若遇上網絡頻寬使用率較高時便會發生安全性修補程序更新失敗的問題(經實際評估失敗率約為15%)。另外，由于工作站總數量多達上千甚至達到萬臺，在系統漏洞更新需要一定的周期才能實現，工作過程中可能會發生安全性修補程式尚未更新完成前就已經遭受攻擊的問題。

(3)有些系統無法自動安裝安全性修補程序。某些獨立計算機或不受控制的非網絡成員計算機，由于不受系統管理員的維護控制，難以通過系統整體控制的形式完成安全性修補程序及相關工作。

(4)有些系統無法自動安裝安全性修補程序。訪客、行動和遠端使用者，如同辦公區中一般的客戶端一樣，這對于企業來說，這些客戶端也是潛在的攻擊來源，需另行處理。

2企業網絡系統安全修補程序的管理需求

(1)當采用新的硬件或軟件而造成環境的變更時，通常會執行設定，設定活動是支援順利且有效的安全性修補程序管理所必需的。包括：①取得庫存及建立環境的基準線：工作基準線包含的是讓生產環境中不同類型電腦都能安全運作的所有必要軟件。②訂閱安全性警訊及啟動網絡安全監測系統：網絡安全監測系統會自動識別新的產品缺點、對其新系統環境進行更新修補。③建立安全性報告以協助識別問題：識別環境中的病毒或入侵，指出需要盡速解決的進行中的各類攻擊。④設定及維護修補程序管理基礎架構：無論是任何大小的組織，都應利用自動化工具，讓系統管理員得知可用的更新，并部分掌控安全性修補程序的安裝情況。

(2)以每天或每周為執行基礎，定期檢閱網站、安全性通知以及安全性報告，以識別新的軟件更新及安全性問題，并判定更新與環境中問題的關聯性。①識別：判定環境是否需要修補程序，以及其來源是否有效。②關聯性：判定修補程序對于組織的信息技術基礎架構環境是否有意義。③隔離觀察：在一個或多個修補程序中查出可能會影響組織IT基礎架構的病毒或其他惡意程序碼時，隔離任何與修補程序相關的檔案。

(3)識別環境中新安全性弱點，并擬定發行安全性修補程序或相關的對策，包括：①變更管理，將變更分類及排定優先級，以及取得對生產環境進行變更之核準的程序。②檢閱變更，因為負面的商業影響或其他影響質量的原因而需要時，此步驟可以包括復原受損信息或數據。

(4)對組織環境中一些分散的系統管理層級。例如，多個擁有系統管理權限的群組或是在本身計算機上擁有系統管理權限的一般使用者。設置規范的系統管理員賬戶標準，例如，重新命名或停用賬戶以及設立虛擬賬戶等。

(5)定義安全性修補程序的強制方式以及相關的時間表。若系統漏洞或缺點仍無法在要求的時間之內成功解決，需采用更強烈的策略，例如：在違規者的組織中呈報這個問題、停用存取此計算機的主賬戶、在網絡里移除此計算機的網絡實體連線，或是重新設定網絡硬件等方式，以防止個別計算機系統的漏洞的擴散而引發系統整體的網絡安全問題。

3企業網絡系統安全性修補程序的架構設計

3.1工作站端計算機安全性修補程序系統架構

企業工作站端計算機安全修補程序的系統架構，該架構分為三個系統：安全測試系統、安全修補程序更新系統、系統安全漏洞自動偵測系統。第一個系統是安全測試系統，管理者使用此系統來驗證互聯網所取得的安全性修補程序，完成系統安全性測試分析與管理；第二個系統是安全性修補程序更新系統，管理者將經過驗證的安全性修補程序利用此系統完成工作站端的程序部署；第三個系統安全漏洞自動偵測系統，對于系統網絡安全漏洞進行偵測管理，對不受管理或是非標準網域的計算機，利用此系統移除此工作站的網絡連線。企業工作站端計算機安全修補程序的運作過程包括：

(1)訂閱安全性警訊及其他安全漏洞更新庫，系統安全漏洞自動偵測系統會識別新的產品缺點、過去的重要的系統更新，以及已被其他人發現的新病毒。

(2)根據安全需要，將存在安全隱患的計算機隔離于生產環境網絡之外，以便確保這些計算機不會對組織的IT基礎架構造成負面的影響。

3.2服務器端計算機安全性修補程序系統架構

企業服務器端計算機安全修補程序的系統架構如圖3所示。該架構分為兩個系統：安全管理系統、安全性修補程序更新系統。第一個系統安全管理系統，管理者使用此系統來實現企業服務器集群的安全管理與整體的安全防護；第二個系統是安全性修補程序更新系統，管理者將經過驗證的安全性修補程序利用此系統完成服務器端的程序部署。服務器端更新計算機安全性修補程序系統架構圖如圖3所示，服務器端計算機安全修補程序的運作過程包括：

(1)訂閱網絡服務器的安全性警訊及安全漏洞更新庫，借助安全性修補程序更新系統，完成服務器端系統的即時更新。

(2)根據安全需要，將存在安全隱患的服務器或工作機隔離于服務器集群的環境網絡之外，以便確保具有網絡安全隱患的服務器或工作機不會對組織的服務器集群架構造成威脅。

(3)信息中心人員在隔離環境下確認所有修補程序完成，并完成病毒檢測無問題后，隔離解除，由安全管理系統完成個別服務器的手動程序部署，并負責服務器管理者的進一步偵測追蹤管理。

4結束語

篇(4)

關鍵詞:Web;網絡安全;安全防護

中圖分類號:F49文獻標識碼:A

隨著Internet的發展,Web應用滲透到了人們生活中的各個角落。如今,Web業務平臺已經在電子商務、企業信息化中得到廣泛應用,很多企業都將應用架設在Web平臺上,Web業務的迅速發展也引起了黑客們的強烈關注,他們將注意力從以往對傳統網絡服務器的攻擊逐步轉移到了對Web業務的攻擊上。針對Web網站的攻擊呈現規模化、隱蔽化趨勢。Web威脅所具備的滲透性和利益驅動性,已經成為當前網絡中增長最快的風險因素。網絡罪犯已經逐漸將Web作為從事惡意活動的新途徑,Web安全威脅已經成為對企業來說最為猛烈的攻擊之一。

Web攻擊的最終目標是企業數據和獲取商業利益。對付Web威脅,傳統的防護模式已不能夠有效化解越來越多的Web攻擊者將合法網站做目標。盡管大多Web2.0網站自身都會采取防掛馬、防注入等保護措施,但研究結果顯示:社區驅動型安全工具在保護Web用戶避開不良內容以及安全風險方面是無效的。面對來勢洶洶的新型Web威脅,傳統安全措施無法跟上Web內容不斷變化的步伐。一方面惡意軟件也可能出現在聲譽良好、受到大家信任的網站上,就像出現在其他網站惡意上一樣容易;另一方面網絡應用程序越來越多,傳統的防護模式已經力不從心,即便是如今已經運用的非常成熟的“病毒特征碼查殺”技術,隨著病毒爆發的生命周期越來越短,其傳統的安全系統防御模型更是滯后于病毒的傳播,用戶只能處于預防威脅-檢測威脅-處理威脅-策略執行的循環之中。即使利用市場上現有最快速的反病毒系統和服務機制,企業仍然不能防范最新的威脅,因為服務方往往無法及早和完整地介入整個新病毒事件。

Web安全問題基本解決方案:

1、確定Web安全目標。根據網站所處的環境、網站本身的目標和風險程度等因素來確定Web安全目標。如,Web服務器是在Intranet中使用還是面向Internet, Web網站是否代表整個企業或組織?它是否用作電子商務或電子政務?

2、實施整體安全方案。由于Web安全涉及的因素較多,必須從整體安全的角度來解決Web安全問題,實現物理級、系統級、網絡級和應用級的安全。一般從以下幾方面實施:第一,提高操作系統的安全性,確保服務器本身的安全;第二,部署防火墻阻止外部非法訪問和入侵;第三,控制內部非法訪問和入侵;第四,Web服務器本身的安全配置;第五,Web應用程序和腳本編程安全;第六,后端數據庫的安全;第七,Web通信安全;第八,保護數據和應用的其他安全措施;第九,Web安全測試和評估。

為綜合檢測Web安全,需要使用漏洞掃描和風險評估工具定期對Web服務器進行掃描和測試,及時發現和解決安全問題。就目前情形來看,安全漏洞集合是導致Web服務器遭受攻擊的主要因素,因此應在攻擊者發動攻擊之前,及早發現網絡上可能存在的安全漏洞并加以彌補。

安全掃描和評估簡介:

1、安全掃描是對計算機系統或者其他網絡設備進行與安全相關的檢測,以找出安全隱患和可能被黑客利用的漏洞。安全掃描軟件是把雙刃劍,黑客利用它入侵系統,而系統管理員掌握它以后又可以有效地防范黑客入侵。安全掃描只是簡單將檢測結果羅列出來,直接提供給測試者,而不對信息進行任何分析處理。安全評估除了具備最基本的安全掃描功能外,還能夠對掃描結果進行說明,給出建議,對系統總體安全狀況作總體評價,同時以多種方式生成包括文字圖表等內容的評估報表。

2、掃描工具。從安全掃描范圍來看,此類工具可分為兩大類:專項掃描工具和綜合掃描評估工具。專項掃描工具有專門端口掃描工具、針對特定應用和服務的掃描工具(如掃描Web服務器及CGI安全漏洞的Stealth等、針對SQL Server的SqlExec)。綜合掃描評估工具的掃描內容非常廣泛,掃描結果報告翔實,并給出相應的解決辦法,非常適合管理員的系統評估測試。綜合掃描評估工具一般都是商用軟件。從安全評估技術來看,此類工具可分為兩大類:一類是基于網絡的掃描工具,如ISS公司的Internet Scanner、AXENT公司的NetRecon等,通過網絡遠程探測其他主機的安全風險漏洞,還可通過模擬攻擊測試系統的防護能力;另一類是基于主機的掃描工具,如ISS公司的System Scannet,AXENT公司的ESM,用于測試服務器本身的安全漏洞,一般需要在所測試的主機上安裝相應的軟件且實施起來不方便。對于Web服務器的安全測試評估來說,可以納入整個企業網絡的整體安全評估,也可以獨立地進行安全評估。由于Web安全所涉及的范圍較廣,除了Web服務器本身安全外,還有所在系統的安全,在選擇測試評估軟件時,應考慮測試內容的全面性。

對于中小企業的Web服務器,出于成本方面的考慮,可選擇一些免費的、具有綜合測試能力的工具軟件,如X-Scan。對于基于微軟產品的Web服務器來說,可選擇微軟公司提供的MBSA(Microsoft Baseline Security Analyzer,可譯為微軟基準安全分析器),該工具可以評估特定微軟產品中的任何漏洞和弱點,而且是免費的。

3、安全評估評價標準。在實現了對Web服務器的安全掃描后,便可根據掃描結果,對服務器的安全性能進行評估,給出服務器的安全狀況。下面給出一個大致的評價標準。需要特別注意的是:評價標準應該根據應用系統、應用背景的不同而有相應的改變,并不存在絕對的評估標準。

A級:掃描結果顯示沒有漏洞。雖然這并不表明沒有漏洞,因為有許多漏洞是尚未發現的,但我們只能針對已知的漏洞進行測試。

B級:具有一些泄漏服務器版本信息之類的不是很重要的漏洞,或者提供容易造成被攻擊的服務,如允許匿名登錄,這種服務可能會造成許多其他漏洞。

C級:具有危害級別較小的一些漏洞,如可以驗證某賬號的存在,可以造成列出一些頁面目錄、文件目錄等,不會造成嚴重后果的漏洞。

D級:具有一般危害程度的漏洞,如拒絕服務漏洞,造成服務器不能正常工作,可以讓黑客獲得重要文件的訪問權的漏洞等。

E級:具有嚴重危害程度的漏洞,如存在緩沖區溢出漏洞、存在木馬后門、存在可以讓黑客獲得根用戶權限或根用戶的shell漏洞以及根目錄被設置為一般用戶可寫等一些后果非常嚴重的漏洞。通過安全評估后,用戶則可以根據情況采取措施,包括給系統打補丁(從技術網站上下載)、關閉不需要的應用服務等來對系統進行加固。可以看出,漏洞掃描、安全評估、采取措施是一個循環迭代、前后相繼的流程,用戶可以在使用中多加揣摩,從而保證網絡系統的安全。

(作者單位:1.重慶大學軟件工程學院;2.東莞市公安局清溪分局)

主要參考文獻:

篇(5)

關鍵詞：計算機；網絡；信息；安全；漏洞掃描

中圖分類號：G718 文獻標識碼：B 文章編號：1672-1578（2017）04-0012-01

1.網絡安全簡述

網絡安全并沒有一個固定的范圍和固定的定義。隨著觀察角度的變化，對網絡安全的定義也不盡相同。例如，從網絡用戶個人或者單位來說。他們想要擁有的網絡安全，必然是個人隱私信息的安全、單位商業信息受到保護，避免因他人運用竊聽、篡改等手段，泄露信息，或者造成商業危害。從網絡運用以及管理者的角度來看，他們理解的網絡安全必然是希望在對本地網絡信息進行訪問、讀寫時，受到相應的保護。防止出現病毒入侵、拒絕服務或者網絡資源非法控制等威脅。從本質上來講，網絡安全屬于網絡上的信息安全范圍。指的是通過多網絡系統的強化管理，以及對硬件、軟件中的數據保護，防止其因有意的，或無意的破壞而出現信息泄露等狀況。保障系統連續可靠的運作，以及提供源源不斷的網絡服務。從宏觀上來看，凡是有關網絡上信息的隱私、完整、可用、真實等相關的技術研究，以及網絡安全管理全部屬于網絡安全需要研究的對象。網絡安全不僅僅是網絡使用硬件或軟件上的問題，也是信息管理上的問題。在二者的互相補充下，才能實現完善的信息保護。在硬件和軟件方面，主要側重點是防止外在非法行為對網絡的攻擊。對于管理上來講，主要的側重點在于對網絡管理人員的管理。對于網絡安全的基本要求主要有以下一個方面：

1.1 可靠性。可靠性的定義就是網絡信息系統能夠在目前具有的條件下，以及相應的時間范圍之內，保持預先想要其達到的功能性特征。可靠性是對于網絡系統安全的最基本的要求，如果連可靠性都保障不了，難么一切的網絡活動將無從談起。

1.2 可用性。可用性就是W絡經過設置之后，網絡信息可以被所授權實體進行訪問并按照需求使用的特性。即在經過許可之后，網絡信息服務在需要的時候，就會給予授權用戶或實體進行使用的特性；或者是網絡在受到部分的損壞及需要降級使用的時候，依舊為授權用戶提供最有效服務的特性。可用性就是網絡信息系統面向所有用戶的而最安全性能。網絡信息進系統最基礎的功能就是向用戶提供他們所需的服務，然而用戶的需求是隨機的、多方面的、甚至還會有時間和速度的要求。與此同時，可用性就會對系統的正常使用時間與整個工作時間的之比來進行度量。

1.3 保密性。對保密性的定義就是保障網絡信息能夠不受外界非法行為的影響，導致出現信息泄露、信息篡改等。保密性是建立在可靠性以及可用性的基礎之上的，是網絡安全保障的重點對象。

1.4 完整性。完整性就是網絡信息在沒有經過授權之前不能對其進行任何改變的特性。也就是說，網絡信息在儲存或傳輸的過程中保持其完整，不會偶然的失誤或蓄意地刪除、修改、偽造、插入等破壞的特性。完整性是網絡中面向信息的安全模式，無論經歷怎樣的阻撓和破壞，它要求必須保持信息的原版，換句話說，就是信息的正確生產及安全準確的存蓄和傳輸。

2.計算機網絡安全中的漏洞掃描技術分析

由于網絡會給人們帶來較多的不安全問題，導致計算機網絡的使用者必須要運用相應的安全保護措施，來實現個人或者單位的信息安全。在許多網絡安全研究者的共同努力下，推出的網絡安全保護技術能夠從不同的角度切實保障網絡信息的可靠性、可用性、保密性、完整性等。對安全技術進行分析，主要有：漏洞技術掃描、訪問控制技術、防火墻技術等。這些事比較常規的，對于一些稍微特殊的，在此就不一一列舉。以下主要分析的就是漏洞掃描技術。安全漏洞是計算機網絡系統當中的缺陷，它會導致外界非法授權者為獲取信息利用其進行不正當的訪問。

2.1 D級漏洞。D級漏洞允許遠程用戶獲取該計算機當中的某些信息，例如該計算機是否處于運行狀態，該計算機的操作系統類別等。例如，可以向一臺計算機的目標端口發送SYN分組，假如收到的是一個來自目標端口的SYN/ACK分組，那么我們可以確定此臺計算機正處于被監聽的狀態。從具體實踐來講，D級漏洞在其余漏洞當中，是對計算機危害最小的。但是它會為非法侵入者采取下一項行動奠定基礎。

2.2 C級漏洞。C級漏洞外在表現為允許拒絕服務。拒絕服務攻擊是一類個人或者多人運用ntIemct當中的某些特性，拒絕向其他的用戶提供合法訪問服務。這種漏洞最終導致的結果就是，受到攻擊的計算機反映速度減慢，從而導致合法授權者無法連接目標計算機。

2.3 B級漏洞。B級漏洞是允許本地用戶獲取非授權的訪問。此種漏洞常常在多種平臺應用程序當中出現。

2.4 A級漏洞A級漏洞主要是允許用戶未經授權訪問。這屬于這幾種漏洞當中危害最大的一種。許多情況下產生的A級漏洞，都是由于系統管理出現問題，或者系統內部參數設置錯誤導致的。

3.結語

總而言之，漏洞掃描技術就是在解決網絡安全問題的一門比較新穎的技術。通過市場調研，防火墻技術就是當病毒入侵時的被動防御，入侵檢測技術也是一門被動的檢測，然而，漏洞掃描技術則是在沒有別的病毒入侵之前就主動進行有關安全方面的全面檢測技術。所以，從網絡全面安全的角度出發，主動進行安全檢測，防范于未然的漏洞檢測越來越受人們的青睞。

參考文獻：

[1] 朱健華.淺析信息化建設中的安全漏洞掃描技術[J].中國科技投資，2012（27）.

[2] 趙燕.漏洞掃描技術淺析[J].內蒙古水利，2011（03）.

篇(6)

關鍵詞： 地市級； 門戶網站； 網絡安全； 保障對策

中圖分類號：TP393 文獻標志碼：A 文章編號：1006-8228（2017）02-31-03

0 引言

在政府部門信息化建設的初期，由于建設經驗不足，存在重建設、輕安全的問題，致使部分黨政機關重點門戶網站缺乏必要的安全防護措施，同時，網絡安全制度不健全、落實不到位、網絡安全意識薄弱等問題層出不窮。

1 研究背景與目的

據國內某網絡信息安全龍頭企業統計：2015年全年，該公司網站安全檢測平臺共掃描各類網站231.2萬個，其中，存在安全漏洞的網站為101.5萬個，占掃描網站總數的43.9%。其中存在高危安全漏洞的網站共有30.8萬個，占掃描網站總數的13.0%，與2014年的對比如圖1所示。

又據國內某網絡安全防護領先企業統計，2015年，共檢測發現我國境內網站被黑事件33，929，213次，相比2014年的28，898.261次，增長456.44%。

由上述數據可見我國網絡安全現狀不容樂觀。目前國內各信息安全機構對國家和省級層面的網站安全檢查研究較多，但地市級的重點門戶網站安全報告較為稀少，通過本次研究旨在實現以下三個目的。

⑴ 通過掃描，檢測當前地市級重點門戶網站的健康概況，查找問題網站清單，發現面臨的主要網絡漏洞風險。

⑵ 根據緊急、高危、中危等風險等級，對重點網站進行風險評估，摸清當前地市級重點門戶網站現狀。

⑶ 總結研究數據，分析主要問題，提出符合地市級網絡信息安全管理水平，較為普適的保障對策。

2 研究的對象及方法

2.1 研究對象

本次研究對象為浙江省某地級市105家重點門戶網站。其中市政府及區縣政府門戶網站13家，市經信委及縣（市、區）經信局門戶網站6家，結尾的市直黨政機關網站56家，直屬機構事業單位門戶網站30家，基本覆蓋改地級市網站類關鍵信息基礎設施。

2.2 研究實施過程

⑴ 2016年6月至9月上旬對該地級市市直部門、下轄區縣等單位共105個網站系統進行安全性檢測，檢測內容覆蓋網站掛馬、SQL注入、跨站腳本、表單繞過等高風險漏洞情況。

⑵ 2016年9月中下旬，對檢測的情況進行整理、匯總、歸納、分析，多維度評估事件及漏洞風險等級，綜合評定網站的安全現狀。

⑶ 2016年10月，對網站出現的問題進行研究，給出解決對策。

⑷ 2016年11月，對本次研究的過程和結果進行終結，認真分析問題，識別主要隱患，評價整改效果，提出下一步工作建議及保障對策。

3 研究結果

3.1 總體概況

檢測結果顯示，12家網站存在緊急及以下風險，5家網站存在高危及以下風險，11家網站存在中危及以下風險，77家網站處于低風險或較為安全的狀態，具體分布如圖2所示。

3.2 緊急風險漏洞情況

緊急風險漏洞為可以直接被利用的漏洞，且利用難度較低。被攻擊之后可能對網站或服務器的正常運行造成嚴重影響，或對用戶財產及個人信息造成重大損失，是網站安全防護的重中之重，此次檢測研究發現，主要存在緊急風險漏洞有以下。

⑴ SQL注入：SQL注入攻擊（SQL Injection），簡稱注入攻擊、SQL注入，被廣泛用于非法獲取網站控制權，是發生在應用程序的數據庫層上的安全漏洞。

⑵ 跨站腳本：跨站腳本攻擊（Cross-site scripting，通常簡稱為XSS）發生在客戶端，可被用于進行竊取隱私、釣魚欺騙、偷取密碼、傳播惡意代碼等攻擊行為。

檢測結果中緊急風險漏洞的分布如圖3所示。

從網站類型上看，緊急風險漏洞的分布情況如圖4所示。

區縣政府門戶網站中，有4家存在緊急風險，占31%。市直黨政機關門戶網站中，有4家存在o急風險，占7%。直屬機構及事業單位門戶網站中，有3家存在緊急風險，占10%。經信系統門戶網站中，有1家存在緊急風險，占16%。

由此可知，區縣政府門戶網站面臨較大風險，其次是直屬機構及事業單位的門戶網站。

3.3 問題解決對策

⑴ 加強網站對SQL注入和跨站腳本等主要風險的防范；

⑵ 加強對網站安全風險的監控和持續防護；

⑶ 加強對存在緊急風險漏洞網站的檢查力度。

4 研究建議

根據此次研究結果并結合地級市普遍存在的實際情況，對下一步網絡信息安全保障工作提出以下幾點建議，以供參考：

⑴ 加強網絡信息安全相關人員專業技術培訓。當前安全相關崗位人員專業技術水平還比較欠缺，網絡安全工作基本上處于完全依賴開發單位和安全服務單位的狀態。應組織專門的網絡信息安全基本技能培訓，進一步提高網絡安全工作人員的專業水平和責任擔當意識。

⑵ 進一步加強重點門戶網站的應急管理體系建設。研究建立全市重點門戶網站的的應急響應標準，須要求各單位落實責任制，明確應急響應的各個環節，根據事件的分級要求，保證網絡安全事件發生時的應急和處置能力。

⑶ 依托云計算、云防護等先進技術，加快政府網站集群建設。依托云技術、云防護技術的網站群模式能有效強化資源整合，規范建設運維標準，明顯提高安全短板，鞏固提升整體的安全防護能力。

⑷ 加快相關管理制度和規范的制定。目前保障網站安全的應對措施主要是靠技術手段，需要從政府層面對網站進行統一監管并制定一系列規范的數據管理條例，加強個人隱私保護、知識產權保護等方面的規范制度建設，明確處罰措施。

⑸ 集全市之智，組建專業可靠的專家智庫。嘗試在地市范圍內征集信息安全專家，不拘一格，通過考核選拔，成立網絡信息安全工作組或者專家智庫，負責對重點門戶網站安全狀況進行風險評估，指導監督網絡安全審查工作，對安全態勢進行感知和預判，為主管單位提供智力支撐。

⑹ 強化重點信息化項目系統生命周期的管理。對于涉及關鍵領域的大型信息化建設項目，可從立項設計、建設實施，到部署運維、升級變更等各個階段引入并實施相應級別的安全管理和技術檢測，落實等級保護，加強關鍵信息基礎設施的網絡信息安全。

5 結束語

安全是相對的，不是絕對的，隨著電子政務的快速發展，政府門戶網站的網絡信息安全任重道遠。文本中的案例和建議僅提供參考，下一步，信息系統審計、態勢感知平臺等新技術的應用將給主管部門帶來更廣闊的治理思路。

參考文獻（References）：

[1] 工業和信息化部電子科學技術研究所浙江省信息安全行業

協會.政府部門如何做好網絡信息安全檢查工作[J].中國信息化，2014.23：107-112

[2] 知道創宇有限公司.2015年中國互聯網網站安全報告.http：

//.cn/zxzx/xhdt/listinfo-31793，2016.4.3.

[3] 奇虎360科技有限公司.2015年中國網站安全報告http：//

/1101061855.php？dtid=1101062368&did=1101536490，2016.6.1.

[4] Ross Anderso著.齊寧韓志文劉國萍譯.信息安全工程（第2

版）.清華大學出版社，2012.

篇(7)

關鍵詞：通訊網絡信息系統;安全防護技術

3G通信技術和移動網絡通信技術的廣泛應用讓現在的人們充分體驗到了高新技術提供的便利。通訊網絡信息系統作為一個開放性較高的的通信技術應用平臺，對它的安全防護技術進行研究和探討具有重要的現實意義和價值。

1.通訊網絡信息系統的常見安全威脅

第一，主動捕獲用戶身份信息。惡意行為發動者將自己進行偽裝，而后以服務網絡的身份請求目標用戶進行身份驗證，進而獲取用戶的身份信息。第二，干擾正常服務。依照干擾等級的不同，可以分為：（1）物理等級干擾：即惡意行為發動者利用物理手段或者相關技術干擾系統的無線鏈路，導致用戶的相關數據以及信令數據不能傳輸；（2）協議等級干擾：即惡意行為發動者利用某種手段致使特定協議流程失敗，進而起到干擾通信的非法目的；（3）偽裝網絡實體：即惡意行為發動者把自己偽裝成為合法的網絡實體，迷惑用戶，并拒絕回答用戶的服務請求，進而起到干擾通信的非法目的。第三，非法訪問。即惡意行為發動者以“合法用戶”身份對網絡進行非法訪問，或者直接進行中間攻擊（潛入到用戶和網絡之間實施攻擊）。第四，數據竊取，惡意行為發動者利用各種手段來竊取用戶信息來達到非法目的。常用的竊取手段主要有：竊聽用戶業務、竊聽信令和控制數據、以網絡實體的身份竊取用戶信息、分析用戶流量等等。第五，攻擊數據完整性。惡意行為發動者利用特殊技術手段篡改（如修改、插入、刪除等）無線鏈路傳輸中的業務信息、信令、控制信息等。

2.通訊網絡信息系統的安全防護技術

2.1強化網絡漏洞的掃描和修補

與信息化程度不斷提升對應的是，網絡安全事件（黑客、蠕蟲、木馬、病毒等）的發生率也是急劇升高。比較的常見的安全防護措施主要有防火墻、殺毒軟件、入侵檢測等技術已經被廣泛應用，其重要性也得到社會的認可；但是根據Gartner Group公司（全球最具權威的IT研究與顧問咨詢公司）調查結果顯示，全面的漏洞管理過程能夠有效降低九成的成功入侵率，同時，絕大多數（接近99％）的入侵均是因為系統已知的安全漏洞或者配置錯誤造成的。對于安全漏洞問題，應該及時、全面、主動地進行評估，被動防御策略不能夠有效地防治網絡問題。

安全掃描是預評估和系統安全分析，是提高系統安全有效的一項重要措施。通常可以利用安全漏洞掃描系統，自動檢測遠程或本地主機硬件、軟件、協議的具體實現或系統安全策略方面的安全缺陷。通訊網絡安全漏洞存在于三個主要領域：網絡可以提供非授權物理機器訪問網絡接口缺陷和安全漏洞、不兼容軟件與捆綁軟件的漏洞等。對于“物理漏洞”，以加強網絡管理人員的網絡控制或阻止；軟件漏洞可以下載各種相應的補丁程序，以確保作業系統、內部網絡和應用服務器的安全性。

從底層技術來劃分，可以分為基于主機的掃描和基于網絡的掃描。第一，基于主機的漏洞掃描，通常在目標系統上安裝了一個(Agent)或者是服務(Services)，以便能夠訪問所有的文件與進程，這也使得基于主機的漏洞掃描器能夠掃描更多的漏洞。第二，基于網絡的漏洞掃描，可以將此看作為一種漏洞信息收集工具，根據不同漏洞的特性構造網絡數據包，通過網絡來掃描遠程計算機中，發給網絡中的一個或多個目標，以判斷某個特定的漏洞是否存在。

2.2信息加密策略

信息加密的本質就是利用各種加密算法對信息進行加密處理，加密成本較低，合法用戶的解密操作也非常簡便，因此頗受廣大用戶的青睞。常用的網絡加密手段主要有節點加密、端點加密以及鏈路加密等。節點加密主要是指為了保證源節點與目的節點之間的傳輸鏈路安全，為兩點之間的傳輸鏈路提供加密保護。端點加密主要是為了保證源端用戶與目的端用戶之間的數據傳輸安全，為兩個終端之間提供數據加密保護。鏈路加密主要是指為了確保網絡節點之間鏈路信息的傳輸安全，為鏈路傳輸的信息進行加密處理。根據加密級別的不同可以自由選擇以上一種或者幾種組合的加密方法。

2.3限制系統功能

可通過來取一些措施來限制系統可提供的服務功能和用戶對系統的操作權限，以減少黑客利用這些服務功能和權限攻擊系統的可能性。例如，通過增加軟硬件，或者對系統進行配置如增強日志、記賬等審計功能來保護系統的安全：限制用戶對一些資源的訪問權限，同時也要限制控制臺的登陸。可以通過使用網絡安全檢測儀發現那些隱藏著安全漏洞的網絡服務。或者采用數據加密的方式。加密指改變數據的表現形式。加密的目的是只讓特定的人能解讀密文，對一般人而言，其即使獲得了密文，也不解其義。因此，將數據加密后再傳送是進行秘密通信的最有效的方法。

2.4入網測試

入網測試的主要內容就是對入網的網絡設備以及相關安全產品進行安全水準、相關功能和設備性能進行測試。此舉可以有效保證產品或者設備入網時不攜帶未知的的安全隱患，保證被測試產品在入網后具有可控性、可用性以及可監督性；同時，嚴格測試系統的升級包和補丁包，避免因為升級給系統帶來更大的安全隱患。

2.5多通道技術

采用多通道技術就是為不同信息提供不同的傳輸通道，例如，專用通道A傳輸管理控制數據，專用通道B傳輸業務數據，通道之間不混用。多通道技術增加了惡意行為的攻擊對象，就像上例，惡意行為者必須同時攻擊A和B通道才可能獲得完整的信息，因此，信息的保密性相對較高，但是初期的投入成本較高。

2.6構建信息網絡的應急恢復系統

在通訊網絡信息安全方面必須始終奉行“安全第一，預防為主”的安全策略。建議成立專門機構對通訊網絡信息系統的安全問題全權負責、統一指揮、分工管理，同時，嚴格監控重要的通訊信息系統，做好應急預案；建立專業化的應急隊伍、整合應急資源，確保信息的安全傳輸；出現問題后能夠及時有效處置，盡力降低損失；安全工作應該突出重點，既注重預防處理，又重視發生問題后的實時處理能力。