网络安全评估活动报告

活动背景
根据国内一些网络安全研究机构的资料，国内大部分的ISP、ICP、IT 公司、政府、教育和科研机构等都没有精力对网络安全进行必要的人力和物力投入；很多重要站点的管理员都是Internet 的新手，一些操作系统如UNIX，在那些有经验的系统管理员的配置下尚且有缺陷，在这些新手的操作中更是漏洞百出。很多服务器至少有三种以上的漏洞可以使入侵者获取系统的最高控制权。
为了使广大用户对自己的网络系统安全现状有一个清醒的认识，同时提高对信息安全概念的了解和认识，强化网络系统安全性能，首创网络近日向用户推出免费安全扫描服务活动。
评估主机范围
Capitalnet技术支持中心在开展此次活动之前得到了客户的书面授权。活动中，根据客户提供的IP地址，并按照客户指定的时间，对包括网络设备和应用服务器等在内的主机系统进行安全评估。
评估时间和方式
此次活动持续两个月时间，由7月1日开始，到8月31日结束。在活动期间，首创网络技术支持中心安全产品组的专家们在与用户达成共识的前提下，利用专业的安全评估工具，对客户网络信息系统中的重点环节进行了全方位的安全扫描，并根据扫描结果产生了安全评估报告，提交给客户。客户可以根据这一安全评估报告充分了解自己信息系统的安全情况，进而采取相应的安全应对措施，从而提高网络系统安全性。
评估单位分布
此次评估活动共收到IP地址93个，分别来自不同行业的34家单位。这些单位分别属于多种行业部门。
评估主机分类
93个IP地址基本代表93台主机，分别为各个单位提供不同的信息化应用。如：WEB、Datebase、Mail等常见应用和防火墙等特殊应用。
评估漏洞分布
在93台主机提供的各种信息应用中，都存在这样或那样的漏洞，此次评估都漏洞的风险分为三种：高风险漏洞、中风险漏洞、低风险漏洞。
参照标准为：
●  高风险漏洞代表该漏洞可以使攻击者可以得到该主机的最高权限或中断网络服务；
●  中风险漏洞代表该漏洞可以获取主机信息，有助于攻击者进一步攻击，或存在潜在致命漏洞；
●  低风险漏洞代表该漏洞会间接影响系统服务的正常运行。
评估漏洞类型
本次扫描活动主要采用了三星信息安全公司的安全评估工具SecuiScan，但为了真实反映客户的漏洞存在情况，也结合了其它著名的安全评估工具，为俄罗斯著名安全评估软件Shadow Security Scanner和著名的自由软件Nessus。在工具评估后，根据提供的分析报告来人工检查证实漏洞的真实性，并在不破坏客户主机正常运行的情况下得出令客户信服的评估结果。
评估发现，很多存在漏洞的主机都是一些常见的配置错误和已经公布的漏洞，而且针对这些漏洞的攻击工具很容易被恶意的攻击者获取。这些漏洞分布如下图：
评估漏洞说明
1.   弱口令攻击：不少网站的管理员账号密码、ftp 账号密码、Sql 账号密码等都使用很简单的或是很容易猜测到的字母或数字，利用现有的家用PIII 机器配合编写恰当的破解软件足以在短时间内轻松破解，一旦口令被破解，网站就意味着被攻破。
2.    Unicode 编码漏洞攻击：对于Windows NT4.0 和Windows 2000 来说都存在有该漏洞，利用该漏洞远程用户可以在服务器上以匿名账号来执行程序或命令，从而轻易就可达到遍历硬盘、删除文件、更换主页和提升权限等目的，实施方法简单，仅仅拥有一个浏览器就可实施。
3.    ASP 源码泄漏和MS SQL Server 攻击：通过向web 服务器请求精心构造的特殊的url 就可以看到不应该看到的asp 程序的全部或部分源代码，进而取得诸如MS SQL Server 的管理员sa 的密码，再利用存储过程xp_cmdshell 就可远程以SYSTEM 账号在服务器上任意执行程序或命令，事实上，MS SQL Server 默认安装的管理员sa 的密码为空，并且大多数系统管理员的确没有重新设定为新的复杂密码，这直接就留下了严重的安全隐患。
4.    IIS 缓冲溢出攻击：对于IIS4.0 和IIS5.0 来说都存在有严重的缓冲溢出漏洞，利用该漏洞远程用户可以以具有管理员权限的SYSTEM 账号在服务器上任意执行程序或命令，极具危险性。实施较为复杂，但是可以获得这种攻击的傻瓜攻击软件。这种攻击主要存在于Windows NT 和2000 系统中。
5.    BIND 缓冲溢出攻击：在最新版本的Bind 以前的版本中都存在有严重的缓冲溢出漏洞，可以导致远程用户直接以root 权限在服务器上执行程序或命令，极具危险性。但由于操作和实施较为复杂，一般也为黑客高手所用。这种攻击主要存在于Linux、BSDI 和Solaris 等系统中。
6.    其他攻击手法：还有利用Send- mail、Local Printer、CGI、Virus、Trojan、DOS、DDOS 等漏洞攻击的手段，但在这次评估活动中表现的不是非常明显。
整体安全评估报告
主机系统的安全评估主要在于分析主机系统存在的安全弱点和确定可能存在的威胁和风险，并且针对这些弱点、威胁和风险提出解决方案。
主机存在安全弱点
安全弱点和信息资产紧密相连，它可能被威胁利用、引起资产损失或伤害。但是，安全弱点本身不会造成损失，它只是一种条件或环境、可能导致被威胁利用而造成资产损失。安全弱点的出现有各种原因，例如可能是软件开发过程中的质量问题，也可能是系统管理员配置方面的，也可能是管理方面的。但是，它们的共同特性就是给攻击者提供了对主机系统或者其他信息系统进行攻击的机会。
经过对这些主机系统和防火墙的扫描记录分析，我们发现目前该网络中的主机系统主要弱点集中在以下几个方面：
1 ．系统自身存在的弱点
对于商业UNIX 系统的补丁更新不及时，没有安全配置过，系统还是运行在默认的安装状态非常危险。对NT/2000 的服务器系统，虽然补丁更新的比及时，但是配置上存在很大安全隐患，用户的密码口令的强度非常低很多还在使用默认的弱口令，网络攻击者可以非常轻易的接管整个服务器。另外存在IPC$这样的匿名共享会泄露很多服务器的敏感信息。
2 ．系统管理存在的弱点
在系统管理上缺乏统一的管理策略，比如缺乏对用户轮廓文件（Profile ）的支持。在系统中存在空口令的Guest 组的用户，这些用户有的是系统默认的Guest用户，有的是IIS 和SQL 服务器的默认安装用户。这些用户有些是被系统禁用的，如Guest ，有些则没有，没有被禁用的这些账号可能被利用进入系统。
3 ．数据库系统的弱点
数据库系统的用户权限和执行外部系统指令是该系统最大的安全弱点，由于未对数据库做明显的安全措施，望进一步对数据库做最新的升级补丁。
4 ．来自周边机器的威胁
手工测试发现部分周边机器明显存在严重安全漏洞，来自周边机器的安全弱点（比如可能使用同样的密码等等）可能是影响网络的最大威胁。
主机存在的威胁和风险
安全威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件。产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素包括有意的和无意的因素。环境因素包括自然界的不可抗力因素和其它物理因素。威胁可能源于对企业信息直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。一般来说，威胁总是要利用企业网络中的系统、应用或服务的弱点才可能成功地对资产造成伤害。因此威胁分析是围绕信息系统的可用性、保密性、完整性、可控性、可审查性、抗抵赖性进行的。
安全风险则是一种可能性，是指某个威胁利用弱点引起某项信息资产或一组信息资产的损害，从而直接地或间接地引起企业或机构的损害的可能性。
在这次评估中，主机系统存在的威胁和及其产生的安全风险主要有以下几个方面：
1.  针对主机的攻击威胁
包括针对Windows NT 系统及其开放的系统服务的安全弱点攻击威胁，攻击者可能由此获取系统的信息资源或者对系统信息进行破坏。
2.  针对数据库的攻击威胁
包括在对数据库系统的攻击行为，包括非法获取、篡改、删除数据库信息资源和进行其他形式的服务攻击。
3.   管理不当所引起的安全威胁
包括由于用户管理策略不当使得攻击者可能获取某一级别的用户的访问权限，并由此提升用户权限，造成用户权限的滥用和信息资源的泄漏、损毁等；由于采用远程管理而引发的威胁；缺乏足够的安全审计致使对安全事件不敏感，无法发现攻击行为等。
4.  配置不当所引起的安全威胁
包括在主机系统上开放了未做安全防范的服务如IPC$共享所造成的安全威胁等。
网络安全建议
建议把提供网络服务的程序升级到最新版本，关注网络安全通告，或由首创为客户提供全面、周到、专业的网络安全服务。
总  结
此次活动历时两个月时间，为34家客户的93台主机提供了全面的安全扫描服务，并将最终的扫描结果提供给了客户。
通过此次活动，我们发现所有的客户主机都或多或少存在着各种风险度的安全漏洞，安全现状不容乐观。其实在这些客户所暴露出来的漏洞中，绝大多数都是已经有了解决办法的，只要做一些简单的升级或安装补丁就可以解决。另外，我们还发现，有的客户使用了一些安全产品，但却由于使用不当，反而引入了更多的安全漏洞。另外，客户的信息系统普遍也缺乏良好合理的安全规划和管理，从而使得其自身的系统对外呈现了很多本不应该出现的漏洞，给外界入侵提供了便利的条件。
我们认为出现这样的问题主要有这样一些原因：
客户普遍还缺乏安全意识，不知道自己其实面临很大的危险；专业知识不够，不知如何解决安全问题；对安全产品的选择、使用和设置不当；没有合理的安全管理策略和机制。
针对这样一些原因，有些相对容易解决，有些则要困难一些。在首创网络通过自身的努力，在信息安全领域里不断追求更高的技术水准和服务水准，力争在竞争日益激烈的今天，面对不断复杂的信息安全形势，从容面对，为客户提供更加完美的产品和服务。

（本报告由首创网络提供，内容有删节）

“首创网络安全调查”带来的启示
本刊记者   曹  玫
近日，首创网络针对我国企
业网络安全现状，对来自
34个不同行业用户的93台主机的网络信息系统进行了抽样调查，结果是100%的用户的主机都存在不同程度的安全问题。这个数字不能不让我们吃惊，网络现状让人担扰。
随着企业信息化、电子政务的进一步推进，对网络安全的要求与过去已不可同日而语。但信息化在我国刚刚起步，企业对网络安全的意识和认知尚待培育。
本刊记者就首创的网络安全评估活动采访了中国国家信息安全测评认证中心计算机测评中心常务副主任翁正军女士，她认为：“首创这次的评估活动值得肯定。这类的网络安全评估如果经常性的进行，对用户了解自身的安全风险非常有益”
另外，翁女士还提醒道：“针对网络和系统的脆弱性评估，有可能对被测系统造成损害。当然，不一定是测试本身的问题，而是被测系统太脆弱。但是不管怎么样，都要让用户事先知道风险的存在，并且通过恰当的安排尽力回避这些风险”。
安全意识   携手培育
网络安全是“三分技术，七分管理”，从首创的报告中可以看出，造成网络漏洞的原因基本上是管理的忽视和疏漏。
已认识到IT系统重要性的大型企业和跨国企业，虽有一些机房和系统的不很细化的管理制度，但大部分也只限于书面文字的约束而已，没有强有力的监督实施手段和相应的管理人员；大部分的中小企业甚至没有把网络安全提升到管理的层面，还只是停留在购买一些低端的安全设备上，当然对于国内的中小企业采取何种安全模式仍是专家和安全服务提供商们争论的热点问题。
管理问题追溯其根源，还是企业的意识问题，安全意识的加强和培育是需要政府或行业主管单位、安全厂商和用户自身共同努力来实现的。
如政府和行业主管要加大政策和法令的宣传力度，改变政策和相关标准滞后的现状，一方面，用户有相关的政策和标准来衡量网络安全厂商提供给他们的产品和服务是否符合国家标准，做到有据可依。另一方面，安全厂商有了相关条例和行业标准，在为用户构建网络平台和生产安全产品时，把各种安全隐患降减到最小程度，做到了有法必依。
安全厂商在培育用户的安全意识方面，毫无疑问，充当着主力军的角色，目前，我国的网络安全意识尚处于萌芽阶段，因此对用户意识的培育应属于安全厂商市场战略和规划的一部分，只有大家共同把这块蛋糕做大，网络安全广阔的市场才会在短时间内形成规模。 
从用户自身的角度来讲，“船到江心才补漏”是需要付出不可估量的代价的，网络数据的迅速增长，单靠一些低端的安全设备已远远难以维护系统和网络安全。总的来说，要改善和加强管理力度,必须提高企业的安全意识.
网络测试   谨慎评估 
做安全测试，一定要做非常细化的风险评估策略，首先要确定企业哪些资源需要保护，并根据保护成本与如果事件发生前不采取行动需付出的代价之间的平衡制定评估方案，检测后要确定企业具体环境下到底存在哪些安全漏洞和安全隐患，一旦这些漏洞被黑客利用会造成哪些风险和破坏。
最后综合对各种风险因素的评价，明确网络系统的安全现状，确定网络系统中安全的最薄弱环节，从而改进网络的安全性能。所以检测之前与之后的评估是非常重要的。全面的网络系统的漏洞评估应该包括对网络的漏洞评估、对系统主机的漏洞评估以及对数据库系统的漏洞评估三个方面。首创的安全评估属于对系统主机的漏洞的评估，测试的安全风险相对要小一些。
测试不是目的，制定相应的安全策略并彻底解决用户存在的安全问题，才是我们的愿望。
首创的安全测试为我们敲醒了警钟，加强安全意识已成为企业高层迫切需要正确对待的问题。

企业信息安全意识有待觉醒

本刊记者   陈  慧

为了解客户的安全现状，并
提高客户的安全意识，首
创网络在7月1日到8月31日为期两个月的时间内为34家客户的93台主机提供了免费远程安全扫描服务。提交的报告结果表明，这些客户所有的业务部门都或多或少存在着安全漏洞，其中高风险漏洞占42%，中风险漏洞占28%，低风险漏洞达30%。可见这些客户的信息安全现状令人堪忧。
面对安全漏洞，
视而不见还是立即行动
“此次扫描主要是针对黑客的攻击行为，”首创网络安全产品经理钟博向记者介绍说，“我们选择这种远程的网络扫描的服务活动比较容易开展，类似于黑客攻击的第一个阶段，还未涉及到内部攻击。”在发现客户漏洞之后，首创还可以针对客户的要求为其提供相应的修补、加固和优化服务、专门的培训和分析，以及远程管理和紧急响应等多种全方位的安全服务。
在首创网络扫描过程中发现的网络安全漏洞主要涉及到底层的操作系统平台和应用系统两个方面。漏洞可能是操作系统带来的，比如采用Windows操作系统平台的企业漏洞特别多；也有可能是应用系统本身的问题，比如数据库、Web系统和ERP应用软件等等。在应用系统方面，数据库的漏洞比较多，其中又以SQL Server数据库的漏洞为甚。对于操作系统的漏洞，大多可通过从网上下载补丁程序的方法加以解决，有些客户没有下载补丁程序，因而容易被攻击。也有客户把用户访问口令设成了空的，也容易被攻击。这些漏洞本都很容易避免，之所以出现，主要因为应用和管理人员本身安全意识淡薄所导致。
被扫描的首创网络的IDC和专线客户，都是经常使用IT设备和网络应用的，其中，本身业务系统与安全结合不是很紧密的客户比较容易产生安全漏洞，比如媒体的网站、制造业企业的网站等。在首创网络的整个扫描服务期间中就出现过这样的情况。一家传媒机构的网站被黑客攻击，其主页被篡改了。客户要求首创对其遭到攻击的主机进行扫描，了解其被攻击的原因。通过扫描，发现主要原因在于这个传媒机构把操作系统装好之后，采取了默认配置，并没有做安全性增强方面的考虑和设置，其主机上的漏洞都是一些很常见也很容易弥补的。此外，制造业企业涉及到CRM和ERP这样的系统。总部与分支机构之间经常有大量机密的数据需要交互，对于这样的企业，如果不做好全面的安全规划并采取相应的安全手段，也容易对外暴露很多安全漏洞。
面对送过来的扫描结果和漏洞分析，客户的反应五花八门：有的客户一接到扫描的结果，发现自己的网络安全存在这么多的问题，非常着急，立刻要求首创为其提供相应的解决方案；有的客户要求首创帮助把漏洞堵上；也有客户说，卖我们一个防火墙吧；还有客户没有反应，好像在忙着理顺自己的网络，无暇顾及安全问题。
安全防范，投入多少并采取哪些手段
有两个问题需要企业考虑清楚，一是企业要保护的信息到底值得投入多少；二是采取什么手段。网络时代，企业要连接到互联网上与外部沟通。任何企业无论大小，总是有些信息是不希望被外界知道的，每一个企业都有必要采取一定的手段保护自己的信息，防止被别人窃取、篡改或者破坏。那么企业值得投入多少人力、物力和财力保护信息安全？
信息的价值其实不太好量化。钟博认为，那些有关产品生产的科研数据，如果被竞争对手掌握，很快抢占市场，可能造成经济利益的巨大损失，那么可以说这些信息非常有价值；还有企业的人事信息和财务信息，一般来说也是需要保密的；也有一些信息可能被别人看到也没有太大问题。信息的价值是可以分级别的，针对信息的价值企业考虑是否投入相应的人力、物力和财力来做相应的保护。一般来说，在一个企业的网络的建设中，在信息安全方面需要15%～20%的投入，对于不同的行业，比例会有所不同，有的企业可能会更高，这主要取决于企业需要保护的信息价值有多大。
在确定需要多少投入进行信息安全建设之外，还要考虑如何来保护和合理地分摊投入。主要有安全管理，安全技术和产品这两个方面。企业一方面要与提供安全产品或者解决方案的厂商共同制定一个合理的安全管理制度，另一方面，要很好地利用安全产品，让它在企业安全防范中发挥作用。
安全管理就是制定安全策略，安全管理制度。比如员工上机制度，机房管理制度等等，不同的企业具体情况不同，需要网络安全厂商或者解决方案提供商同客户共同协商制定。如果客户对此不太了解，就需要安全厂商先提出方案，然后由客户认可之后在企业内执行。而对于安全技术和产品来说，很多企业认为，购买了一个防火墙、防病毒的产品，把它们加入到信息系统里面，就认为万事大吉了。但实际上，很可能由于管理方面的不当，不能够起到很好的保护的作用。
安全事件的产生源，分为内部和外部的两种，如果是内部人员有意要破坏信息，可能要比来自外部的更轻车熟路。首先要准确地区分什么是内部和外部。一个公司内外隔离的点，一般是企业内部网络与互联网的接入点，在这个点上可以做防火墙等设置。在整个企业实体的内部，还要做一些具体的划分，核心的部分要作为内部的内部，即使是内部员工也不可以随便访问。在内部解决安全问题常见的手段就是入侵检测，防止入侵行为出现。有重要的数据存储的部分，需要数据完整性的保护，需要防病毒、身份认证和审计等等安全手段。找准隔离和保护的点在哪里，这样才知道相应的安全设备和手段应该用在什么地方。
安全意识淡薄、无序竞争的现状有待改进
2001年，安全产品的市场份额已经达到40亿，2002年将会继续增长，安全市场成为整个IT业的一个亮点。国内的安全厂商也很多，但是存在无序竞争和恶性降价的情况。在安全产品竞争中，有些地方存在地方保护主义。在产品与服务的意识上，中外企业也有差别。首创网络是一家网络安全解决方案提供商，在为客户服务的过程中，钟博觉得外资客户更看重安全服务，比如安全扫描，入侵检测数据的报告，以及出现某种问题的分析，甚至提出租用安全服务提供商的设备，而国内企业比较重视安全产品的拥有。
目前，整个安全市场的发育不是很平衡，大多数客户认识到的安全产品只有防火墙和防病毒产品。实际上，信息安全领域还有很多其它产品：比如身份认证、保密产品、VPN（虚拟私有网）、关键行业使用的防电磁泄露、信息隐藏（数字水印）、政府部门需求比较多的物理隔离等等。
在首创网络的这次安全评估报告总结中，我们可以看到，企业普遍缺乏安全意识，不知道自己其实面临很大的危险，专业知识不够，对安全产品的选择、使用和设置不当，没有合理的安全管理策略和机制。如何提高企业的安全意识呢？钟博认为必须要让企业有切身的面临危机的感受。通过首创网络的这次扫描活动，让客户意识到，他的网络中肯定是存在这样那样的漏洞，并且有具体的描述，这样多多少少都会引起客户注意。这其实也是首创网络在积极地提醒市场的一种行为。
企业在考虑信息安全问题的时候，如果信息系统正在建设的过程之中，这时需要把相关安全问题考虑进去。如果信息系统已经建好了，只是做安全增强的工作，这时可能就比较困难，可能需要对整个系统的参数配置做一些修改，客户有时会为了避免麻烦而放弃安全方面的考虑。对于信息系统已经建好的企业，最好是能够及时地意识自己的安全问题，尽量做一些相关的调整.