http://www.x-only.net/Folder/7/Index.aspx zh-CN huan_zuo@x-only.net(Huan.Zuo) Thu, 28 Feb 2008 15:49:39 GMT Copyright 2007-2009. All rights reserved. Bitrac Free Version 私人Blog请勿涂鸦 http://www.x-only.net/Client/Banner.gif http://www.x-only.net/ 私人Blog请勿涂鸦 http://www.x-only.net/Article/52.aspx huan_zuo@x-only.net() 网安评估 Tue, 29 Jul 2008 20:11:08 GMT <p><span style="font-size: large; "><b>对</b></span>于一个黑客而言，闯入一个计算机系统从来就不是绝对不可能的，而只是有时候是不太可能的，或者说，时间总是不够！</p><p>　　当今的信息时代，基于网络的威胁潜伏在每一个角落。就当你们在看此文章的时候，无线网络正成为许多公司和组织的痛处----他们不知道该怎样提高其信息基础设施的安全性。网络正面临着来自各种威胁的包围，包括黑客通过Internet进行攻击、蠕虫、电话盗打以及无线攻击等。</p><p>　　在本博客中我们要详细研究和解决整个大的信息安全领域中的一个单独的范畴：用结构化的、逻辑化的方法进行IP网络的安全评估。这里所描述的安全评估方法学将描述一个执着的攻击者怎样急速穿行于Internet上的网络空间，以搜索那些易受攻击的组件（从网络层到应用层），同时也将告诉你怎样对你的网络进行行之有效的评估演练。当然不包含任何与保证你的IP网络安全性无关的其他信息，对于其它主题或不相关的那些技术，可以从那些可能厚达nnnn页的黑客书籍中去了解。</p><p>　　评估是任何一个试图正确管理安全风险的组织所应该进行的第一个步骤。通过采用与一个执着的攻击者相同的方法对网络进行评估，你将能够采用一种未雨绸缪的方法进行安全风险管理。这里包含了许多检查清单，这些清单包含了相当多的针对攻击者的应对措施，这些应对措施将指导你设计一个清晰的技术策略，并借助该策略在网络层和应用层对你的网络环境进行安全加固。</p> http://www.x-only.net/Article/52.aspx http://www.x-only.net/Article/52/Trackback.ashx http://www.x-only.net/Article/52.aspx#CommentPostAnchor http://www.x-only.net/Article/52/Feeds.ashx http://www.x-only.net/Article/36.aspx huan_zuo@x-only.net() 网安评估 Mon, 14 Apr 2008 08:32:42 GMT <p><span style="font-size: large; "><b>你</b></span>如果是一位网络及信息安全管理员的话，那么针对信息基础设施和应用程序的渗透测试的综合评估之后，就会意识到技术测试和提供信息安全保障的重要性。</p><p>　　大多情况下漏洞及其披露缘于系统管理不善、没有及时打补丁、弱口令策略、不完善的存取控制机制等等，所以进行渗透测试的评估的主要原因和目的应该是识别和纠正系统管理过程的失效和错误，也正是这些失效和错误的出现，才会在评估的过程中揭露出来。</p><p>常见的系统管理过程中失效内容包括：</p><ul><li>系统软件配制的失效</li><li>应用程序软件配制的失效</li><li>软件维护的失效</li><li>用户管理和系统管理的失效</li></ul><p>　　很多ＩＴ安全顾问仅仅提供特定测试所发现问题的详细列表，但从来不尝试进行更高层次的分析，以便回答“为什么会存在这些问题”。缺乏对那些系统管理失效（系统管理失效是引发测试中所发现的问题的本质原因）的识别和纠正所带来的后果，当ＩＴ顾问再一次对信息系统进行测试之后，新的问题又会出现。</p><p>　　如果你是一位负责的信息系统安全的专业人员，我们将帮助你评估你所负责管理的网络并有效的列出你的敌手所可能采取的攻击技术和工具；如果你是一位为客户进行安全评估的顾问，铭记我们讨论的那些可能引发系统漏洞的管理过程失效是至关重要的。</p><p>　　我们以过去为一大型的国际客户进行过一系列的渗透测试，该客户的业务系统是多区域性的，所执行的ＩＴ安全策略是集中发布、分区域执行的。可以把测试得到的技术结果反映出如下的一些管理范畴：</p><ul><li>操作系统配置</li></ul><p>　　由于不正确的配置操作系统软件引发的漏洞</p><ul><li>软件维护</li></ul><p>　　由于未对已知漏洞打补丁而引发的漏洞</p><ul><li>口令／存取（访问）控制</li></ul><p>　　由于不遵守口令策略和不正确的存取控制设置引发的漏洞</p><ul><li>恶意软件</li></ul><p>　　存在恶意软件（木马、蠕虫等）或至少有其存在的迹象</p><ul><li>危险的服务</li></ul><p>　　存在有漏洞的或易被攻击者渗透的服务或进程</p><ul><li>应用程序配置</li></ul><p>　　由于应用程序配置不当引发漏洞</p><p>根据评估所得到的结果，我们计算出了由安全评估过程所得到的安全漏洞数的平均值（以整个组织的每一百台被测试系统为基数单位），如图-1所示：根据管理范畴</p><p><span style="font-size: x-large"><img class="Image" height="161" alt="" src="http://www.x-only.net/Attach/month_0807/g2tr6g_NSA_P_1.jpg" width="505" /></span></p><p>在进行上述平均漏洞数的计算之后，为对整个组织内不同区域的信息安全状况进行分析，我们又对每个区域内存在的系统漏洞和整个组织存在的漏洞的均值进行了比较。结果是很明显的，入图-2所示（在均值以上被认为是“坏的”，说明该区域存在的漏洞高于整个组织的漏洞均值）。</p><p><span class="Apple-style-span" style="font-size: 24px"><img height="398" width="483" class="Image" alt="" src="http://www.x-only.net/Attach/month_0807/64zc3k_NSA_P_2.jpg" /></span></p><p>上图给出了由于各个区域所采取的安全管理措施不同而产生的可辨别的、可量化的漏洞差别。例如，区域3的IT管理者显然没有执行有效的软件维护和口令／存取控制管理措施，而区域1的IT管理者则没有从其所管理系统中去除不必要的服务。</p><p>　　请IT管理者要注意的重要一点是，你应该把漏洞及其披露划归到不同的范畴，并且以一种新的视角来对其进行研究。你可以给你的客户提供一份全面的总结归档了较底层面技术问题的报告，但根本性的高层管理失效问题解决之前，网络的安全性并不会得到真正的提高，同时相同的漏洞及其变种以后仍然会出现。我们将向你展示怎样执行基于Internet的安全评估，但至关重要的一点是，你要经常去想“这些漏洞为什么会出现？”</p> http://www.x-only.net/Article/36.aspx http://www.x-only.net/Article/36/Trackback.ashx http://www.x-only.net/Article/36.aspx#CommentPostAnchor http://www.x-only.net/Article/36/Feeds.ashx