杨 静

(北京信息职业技术学院 计算机工程系， 北京 100081)

基于“企业网安全评估与运维”项目的安全评估策略分析与实践

杨 静

(北京信息职业技术学院 计算机工程系， 北京 100081)

各种病毒、网络攻击等安全事件频繁发生，已经成为企业安全的一个重要威胁。只有构筑符合实际需要的企业网安全防护体系，才能为企业网安全提供保障。在完成企业网安全评估与运维的生产性实训项目的过程中，为了提高学生的职业能力，让学生零距离融入企业工作中，根据企业开展项目的实际过程设计完成项目的主要任务。鉴于评估环节的重要性，重点指导学生进行评估策略分析,并在合法的情况下进行评估环境的设计和评估软件的应用。

企业网安全； 评估策略； 评估环境设计； 评估软件

目前，各种病毒、网络攻击等安全事件频繁发生，已经成为企业安全的一个重要威胁。技术的突破，已经使各种病毒具有了黑客工具的性质，一旦企业被病毒感染，会自动打开相应的端口或服务，使企业门户大开，而病毒通过互联网可以轻易地突破没有经过严密防护的企业内部网络，给企业带来各种威胁：开放服务、发出大量垃圾邮件或带病毒邮件等。黑客和带黑客性质的病毒，不仅会破坏公司的运行环境，破坏机器上的数据，更有可能盗取机密的数据和信息，潜在的风险很难估计[1]。

1 “企业网安全评估与运维”项目的选题背景

斯诺登事件备受瞩目，把网络信息安全问题推到了风口浪尖，继而一系列的窃听门事件让各国政府担忧。据美国联邦调查局(FBI)于公布的年度调查显示，在涵盖政府机关、企业、财务、医疗机构、大学等503家美国公司中，91%曾被电脑黑客入侵，但因害怕揭露后遭各界质疑该公司网络安全，仅34%的企业向主管当局上报，而平均各企业因被入侵而损失约200万美元[2]。

企业随着企业网络建设和信息化应用程度的不断提高,企业网的安全性已成为制约公司信息化建设与发展的重要因素。只有构筑符合实际需要的企业网安全防护体系，才能为企业网安全提供保障[3]。在针对信息安全技术专业的毕业生进行的生产性实训中，我们选择了“企业网安全评估与运维”课题，指导学生进行实训，进而提高学生对信息安全系统运行问题的主动预防能力[4]。

2 “企业网安全评估与运维”项目的主要任务

为了提高学生的职业能力，让学生零距离融入企业工作中，我们根据企业开展项目的实际过程，设计了完成企业网安全评估与运维项目的主要任务，包括：安全评估和运维方案计划，安全评估和运维方案需求分析报告，企业网物理网络审计(评估)、渗透测试、加固方案实施报告，企业网操作系统审计(评估)、渗透测试、加固方案实施报告，企业网应用服务审计(评估)、渗透测试、加固方案实施报告及用户培训文档[5]。

本项目中安全评估是非常关键的环节，是后续工作正确实施的保障。

3 企业网风险评估的原则

3.1 安全评估的重要性

风险评估是指在风险事件发生之后，对于风险事件给人们的生活、生命、财产等各个方面造成的影响和损失进行量化评估，是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用带来风险的可能性评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径。信息安全风险评估是指从风险管理角度，依据国家有关信息安全技术标准和准则，运用科学的方法和手段，对信息系统及处理、传输和存储信息的保密性、完整性、可用性等安全属性进行全面科学的分析，对网络与信息系统所面临的威胁及存在的脆弱性进行系统的评价，对安全事件一旦发生可能造成的危害程度进行评估，并提出有针对性的抵御威胁的防护对策和整改措施[6]。

3.2 安全评估的依据

以美国为首的西方发达国家和前苏联及其盟国，早在20世纪50年代即着手开发用于政府和军队的信息安全产品，到20世纪末，美国信息安全产品产值已达500亿美元。随着产品研发，有关信息安全产品评估标准的制定也相应地开展起来[7]。

我国关于信息安全产品的标准从上世纪90年代中期开始制定，2000年开始有计划地研究、制定，至目前已经基本覆盖了信息安全产品的主要项目。

我国的信息安全管理标准，如GB/T 20984《信息安全风险评估规范》、GB/Z 24364《信息安全风险管理规范》、GB/Z 20985《信息安全事件管理指南》、GB/T 20988《信息安全灾难恢复规范》，是对企业网信息系统进行风险评估，按照风险评估的过程确定风险、编制风险评估报告和推荐安全控制措施，并对系统进行加固处理的主要依据。

3.3 企业网风险评估的原则

企业网风险评估的原则应该在国家或国际的相关标准下进行，即遵循标准化指导原则。在评估过程中，领导者在组织风险评估之前应该仔细地考虑评估小组的人员组成，除了日常的信息安全部门的人员外，还应该有其他部门专家或负责人，并且要求他们积极地配合评估人员的工作，即遵循评估人员的多样化原则。

目前，“三分技术，七分管理”的理念已经在行业的信息安全管理部门得到了广泛的认同，所以，评估人员除了考虑技术上的风险，更应该了解管理上的措施或策略等，判断它们是否存在风险，即管理与技术评估相结合原则[8]。由于本身在风险评估能力上比较欠缺，不可能对所有方面都能考虑周到，必须选择对自身来说非常重要的资源进行评估，这样才能集中精力完成重点评估。当然，也应该在条件允许的情况下尽可能多地评估它所处的安全状态、安全流程和控制措施等，即强调重点评估兼顾全面评估原则。

4 企业网安全评估的策略

4.1 脆弱性识别

脆弱性是对一个或多个资产弱点的总称。脆弱性识别也称为弱点识别，弱点是资产本身存在的，如果没有相应的威胁发生，单纯的弱点本身不会对资产造成损害，另外，如果系统足够强健，再严重的威胁也不会导致安全事件，并造成损失。即威胁总是要利用资产的弱点才可能造成危害[9]。

脆弱性识别主要从技术和管理2个方面进行。技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理2方面，前者与具体技术活动相关，后者与管理环境相关。

4.2 企业网安全策略解析

企业网安全策略是指为规范企业网安全防护工作的具体实现而建立安全防护技术机制，保证企业网安全防护的整体性所制定的一系列安全防护技术目标和要求，包括物理、网络、主机、数据和应用等安全策略[10]。

网络安全策略包括能对用户进行访问控制，具有网络防病毒措施，具有网上事件监控和审计记录能力，能对包括网络安全在内的设备、设施和系统等资源进行管理等内容。

主机安全策略主要针对服务器等重要设备，包括具有监控和防范对主机系统访问控制、防病毒、防恶意代码、防恶意篡改和误操作功能及手段，具有日志审计、系统软件容错、存储介质的残余信息删除、主机状态检测和报警等功能。

应用安全策略包括应用系统软件根据需要及时安装补丁程序，应用系统具有完备的日志和对用户进行身份认证以及授权访问控制功能等内容。

5 实现企业网安全评估环境的设计

5.1 安全评估工具介绍

计算机系统的安全评估主要在于分析计算机系统存在的安全弱点和确定可能存在的威胁和风险，并针对这些弱点、威胁和风险提出解决方案，制定更有效的安全策略。

专业的评估工具可以有效地进行安全漏洞检测，可以对很大范围内的系统漏洞进行安全、高效、可靠的安全检测，对系统全部扫描后，可以对收集的信息进行分析，发现系统设置中容易被攻击的地方和可能的错误，得出对发现问题的可能的解决方法。

常用的安全评估工具有很多，这里简单介绍几款：

(1) Nmap是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端，是网络管理员必用的软件之一，以及用于评估网络系统安全。正如大多数被用于网络安全的工具，Nmap也是不少黑客及骇客(又称脚本小子)爱用的工具。系统管理员可以利用Nmap来探测工作环境中未经批准使用的服务器，但是黑客会利用Nmap来搜集目标电脑的网络设定，从而计划攻击的方法。

(2) Nikto是一款开源的(GPL)网页服务器扫描器，可以对网页服务器进行全面的多种扫描，包含超过3 300种有潜在危险的文件/CGIs、超过625种服务器版本、超过230种特定服务器问题。这是一款非常棒的工具，但其软件本身并不经常更新，对最新和最危险的可能检测不到。

(3) X-Scan是国内最著名的综合扫描器之一，它完全免费，是不需要安装的绿色软件，界面支持中文和英文2种语言，包括图形界面和命令行方式。目前的最新版本X-Scan 3.3-cn凝聚了国内众多信息安全工作者的心血。

(4) Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件，总共有超过75 000个机构使用它作为扫描该机构电脑系统的软件。Nessus提供完整的电脑漏洞扫描服务, 并随时更新其漏洞数据库；Nessus 针对每一个漏洞有一个对应的插件，这种利用漏洞插件的扫描技术，极大地方便了漏洞数据的维护和更新；Nessus 具有扫描任意端口任意服务的能力；Nessus以用户指定的格式(ASCII 文本、html 等)产生详细的输出报告，包括目标的脆弱点、怎样修补漏洞以防止黑客入侵及危险级别。

5.2 实现企业网安全评估环境的设计

在本项目实施过程中，对于确定要评估哪一个企业网是个难点，不经授权去评估和渗透某个企业的网络是违法的，要承担法律责任。因此我们实现企业网安全评估环境的具体设计思路是设计3个网络环境，第一个是攻击环境，第二个是被攻击环境，也是靶机环境，第三个是安装评估软件的环境。具体系统安装如下：

(1) 在物理机安装扫描工具Nessus。

(2) 启动虚拟机Windows server 2003作为靶机环境。

(3) 启动虚拟机BackBox，作为攻击机环境。BackBox是基于Ubuntu的发行，它被开发用于网络渗透测试及安全评估。它有自己的软件仓库，该仓库总是同步到最新版本的、最常用且以合乎道德而闻名的黑客工具[1]。

(4) 在物理机环境添加一条基础扫描策略。

(5) 在物理机环境再添加一次新的扫描，并设置相应参数，开始对Windows 2003虚拟机进行扫描。可以将扫描报告导出为Nessusdb格式，然后导入到Metasploit中。

(6) 为了方便，直接用攻击机进行渗透，先开启攻击机的msf 和postgresql服务，msf是BackBox中的攻击框架，postgresql服务是数据库服务，msf框架数据放在此数据库中，查找ms08-067的攻击模块，也可以查找其他漏洞模块，我们以查找ms08-067攻击模块为例演示。

(7) 使用这个模块，为了反弹回一个会话，需要设置一个反弹的payload(攻击载荷)，需要设置的参数是RHOST(是目标IP，RPORT是目标端口)和LHOST(是本地IP，LPORT是本地端口)， 必须未占用。

(8) 开始渗透，获得一个meterpreter(反弹会话)，成功地对目标完成渗透。获取到靶机的hash值，通过解密网站获得明文密码123123，然后登录服务器。

(9) 通过rdesktop命令，登录远程主机。

6 结论

本设计环境是项目组设计的一个理想的实现企业网安全评估环境，通过本环境的实施，学生可以更好地掌握虚拟机的应用、windows和Linux操作系统的安装和配置，以及学习经典评估软件Nessus的安装和使用，有效地实现漏洞扫描并对评估漏洞进行分析，进一步学习对扫描漏洞的渗透设置过程，学习攻击框架msf的配置和应用。在实际应用中，可以通过安装防火墙和打补丁实现以上评估漏洞的防范。

本项目不仅提高了信息安全技术专业学生分析问题、解决问题的能力，更重要的是培养了学生的综合创新能力、创新思维和创新意识，提高了学生在信息安全领域的主动预防能力。

References)

[1] 何泾沙.信息安全导论[M].北京：机械工业出版社，2012.

[2] 畅享网.全面评估企业网络安全的五大方面[EB/OL].(2008-01-08). http://www.vsharing.com/k/2008-1/606900.html.

[3] 耿杰.计算机网络安全技术案例教程[M].北京：清华大学出版社，2013.

[4] 李艳霞，张倩,齐芸芸，等.信息系统“主动式”运维保障工作的研究与实践[J].实验技术与管理，2015,32(2)：224-227.

[5] 秦娟娟.“双元制”企业参与培训模式对我国的启示[J].成人教育，2009(11):23-25.

[6] 田庚林，田华，张少芳.计算机网络安全与管理[M].北京：清华大学出版社，2013.

[7] 游声红.网络入侵检测系统的研究与分析[EB/OL].(2014-06-11). http://www.doc88.com/p-8995509799136.html.

[8] 蔡峰，薛安家，黄植.安全工程专业本科生实验教学改革与实践[J].实验技术与管理，2015,32(10)：171-174.

[9] 徐泽中. 信息系统连续性运行风险及应对策略分析[EB/OL].(2014-04). http://www.fcc.com.cn/magazine/financial-computer-of-china/201404/4792.shtml.

[10] 杨庆明，杜保东.桌面终端安全防护技术企业网管理中的应用研究[J].计算机安全， 2010 (10)：77-79.

Safety assessment strategy analysis and practice based on “Enterprise network security evaluation operation and maintenance”project

Yang Jing

(Department of Computer Engineering, Beijing Information Technology College, Beijing 100018, China)

Network security incidents are happening now and then caused by various kinds of viruses, network attacks, which has become a big threat to an enterprise network security. Only by setting up an enterprise network security protection system based on the actual enterprise requirements can the network security be guaranteed for the enterprise.During the practical training courses based on the enterprise network security evaluation, operation and maintenance, the main designing task was completed according to the enterprise actual process in order to improve our students’ occupational ability and let them meet the enterprise need as soon as possible. Considering the importance of the assessment, much more effort should be put to provide our students with guidance on the enterprise network safety assessment strategy analysis, and under the legal circumstances did the assessment condition designing and the related assessment software application, should be carried out.

enterprise network security; assessment strategy; assessment envornmental design; assessment software

2015- 09- 06

杨静(1972—)，女，内蒙古呼和浩特，理学硕士，副教授，主要从事计算机网络和信息安全技术的教学工作.

E-mail：yangjing_bitc@163.com

G642.0

A

1002-4956(2015)12- 0197- 03