網(wǎng)絡(luò)安全評估活動報告與解析

網(wǎng)絡(luò)安全評估活動報告與解析

活動背景
根據(jù)國內(nèi)一些網(wǎng)絡(luò)安全研究機構(gòu)的資料，國內(nèi)大部分的ISP、ICP、IT 公司、政府、教育和科研機構(gòu)等都沒有精力對網(wǎng)絡(luò)安全進行必要的人力和物力投入；很多重要站點的管理員都是Internet 的新手，一些操作系統(tǒng)如UNIX，在那些有經(jīng)驗的系統(tǒng)管理員的配置下尚且有缺陷，在這些新手的操作中更是漏洞百出。很多服務(wù)器至少有三種以上的漏洞可以使入侵者獲取系統(tǒng)的最高控制權(quán)。
為了使廣大用戶對自己的網(wǎng)絡(luò)系統(tǒng)安全現(xiàn)狀有一個清醒的認(rèn)識，同時提高對信息安全概念的了解和認(rèn)識，強化網(wǎng)絡(luò)系統(tǒng)安全性能，首創(chuàng)網(wǎng)絡(luò)近日向用戶推出免費安全掃描服務(wù)活動。
評估主機范圍
Capitalnet技術(shù)支持中心在開展此次活動之前得到了客戶的書面授權(quán)。活動中，根據(jù)客戶提供的IP地址，并按照客戶指定的時間，對包括網(wǎng)絡(luò)設(shè)備和應(yīng)用服務(wù)器等在內(nèi)的主機系統(tǒng)進行安全評估。
評估時間和方式
此次活動持續(xù)兩個月時間，由7月1日開始，到8月31日結(jié)束。在活動期間，首創(chuàng)網(wǎng)絡(luò)技術(shù)支持中心安全產(chǎn)品組的專家們在與用戶達成共識的前提下，利用專業(yè)的安全評估工具，對客戶網(wǎng)絡(luò)信息系統(tǒng)中的重點環(huán)節(jié)進行了全方位的安全掃描，并根據(jù)掃描結(jié)果產(chǎn)生了安全評估報告，提交給客戶。客戶可以根據(jù)這一安全評估報告充分了解自己信息系統(tǒng)的安全情況，進而采取相應(yīng)的安全應(yīng)對措施，從而提高網(wǎng)絡(luò)系統(tǒng)安全性。
評估單位分布
此次評估活動共收到IP地址93個，分別來自不同行業(yè)的34家單位。這些單位分別屬于多種行業(yè)部門。
評估主機分類
93個IP地址基本代表93臺主機，分別為各個單位提供不同的信息化應(yīng)用。如：WEB、Datebase、Mail等常見應(yīng)用和防火墻等特殊應(yīng)用。
評估漏洞分布
在93臺主機提供的各種信息應(yīng)用中，都存在這樣或那樣的漏洞，此次評估都漏洞的風(fēng)險分為三種：高風(fēng)險漏洞、中風(fēng)險漏洞、低風(fēng)險漏洞。
參照標(biāo)準(zhǔn)為：
●  高風(fēng)險漏洞代表該漏洞可以使攻擊者可以得到該主機的最高權(quán)限或中斷網(wǎng)絡(luò)服務(wù)；
●  中風(fēng)險漏洞代表該漏洞可以獲取主機信息，有助于攻擊者進一步攻擊，或存在潛在致命漏洞；
●  低風(fēng)險漏洞代表該漏洞會間接影響系統(tǒng)服務(wù)的正常運行。
評估漏洞類型
本次掃描活動主要采用了三星信息安全公司的安全評估工具SecuiScan，但為了真實反映客戶的漏洞存在情況，也結(jié)合了其它著名的安全評估工具，為俄羅斯著名安全評估軟件Shadow Security Scanner和著名的自由軟件Nessus。在工具評估后，根據(jù)提供的分析報告來人工檢查證實漏洞的真實性，并在不破壞客戶主機正常運行的情況下得出令客戶信服的評估結(jié)果。
評估發(fā)現(xiàn)，很多存在漏洞的主機都是一些常見的配置錯誤和已經(jīng)公布的漏洞，而且針對這些漏洞的攻擊工具很容易被惡意的攻擊者獲取。這些漏洞分布如下圖：
評估漏洞說明
1.   弱口令攻擊：不少網(wǎng)站的管理員賬號密碼、ftp 賬號密碼、Sql 賬號密碼等都使用很簡單的或是很容易猜測到的字母或數(shù)字，利用現(xiàn)有的家用PIII 機器配合編寫恰當(dāng)?shù)钠平廛浖�足以在短時間內(nèi)輕松破解，一旦口令被破解，網(wǎng)站就意味著被攻破。
2.    Unicode 編碼漏洞攻擊：對于Windows NT4.0 和Windows 2000 來說都存在有該漏洞，利用該漏洞遠程用戶可以在服務(wù)器上以匿名賬號來執(zhí)行程序或命令，從而輕易就可達到遍歷硬盤、刪除文件、更換主頁和提升權(quán)限等目的，實施方法簡單，僅僅擁有一個瀏覽器就可實施。
3.    ASP 源碼泄漏和MS SQL Server 攻擊：通過向web 服務(wù)器請求精心構(gòu)造的特殊的url 就可以看到不應(yīng)該看到的asp 程序的全部或部分源代碼，進而取得諸如MS SQL Server 的管理員sa 的密碼，再利用存儲過程xp_cmdshell 就可遠程以SYSTEM 賬號在服務(wù)器上任意執(zhí)行程序或命令，事實上，MS SQL Server 默認(rèn)安裝的管理員sa 的密碼為空，并且大多數(shù)系統(tǒng)管理員的確沒有重新設(shè)定為新的復(fù)雜密碼，這直接就留下了嚴(yán)重的安全隱患。
4.    IIS 緩沖溢出攻擊：對于IIS4.0 和IIS5.0 來說都存在有嚴(yán)重的緩沖溢出漏洞，利用該漏洞遠程用戶可以以具有管理員權(quán)限的SYSTEM 賬號在服務(wù)器上任意執(zhí)行程序或命令，極具危險性。實施較為復(fù)雜，但是可以獲得這種攻擊的傻瓜攻擊軟件。這種攻擊主要存在于Windows NT 和2000 系統(tǒng)中。
5.    BIND 緩沖溢出攻擊：在最新版本的Bind 以前的版本中都存在有嚴(yán)重的緩沖溢出漏洞，可以導(dǎo)致遠程用戶直接以root 權(quán)限在服務(wù)器上執(zhí)行程序或命令，極具危險性。但由于操作和實施較為復(fù)雜，一般也為黑客高手所用。這種攻擊主要存在于Linux、BSDI 和Solaris 等系統(tǒng)中。
6.    其他攻擊手法：還有利用Send- mail、Local Printer、CGI、Virus、Trojan、DOS、DDOS 等漏洞攻擊的手段，但在這次評估活動中表現(xiàn)的不是非常明顯。
整體安全評估報告
主機系統(tǒng)的安全評估主要在于分析主機系統(tǒng)存在的安全弱點和確定可能存在的威脅和風(fēng)險，并且針對這些弱點、威脅和風(fēng)險提出解決方案。
主機存在安全弱點
安全弱點和信息資產(chǎn)緊密相連，它可能被威脅利用、引起資產(chǎn)損失或傷害。但是，安全弱點本身不會造成損失，它只是一種條件或環(huán)境、可能導(dǎo)致被威脅利用而造成資產(chǎn)損失。安全弱點的出現(xiàn)有各種原因，例如可能是軟件開發(fā)過程中的質(zhì)量問題，也可能是系統(tǒng)管理員配置方面的，也可能是管理方面的。但是，它們的共同特性就是給攻擊者提供了對主機系統(tǒng)或者其他信息系統(tǒng)進行攻擊的機會。
經(jīng)過對這些主機系統(tǒng)和防火墻的掃描記錄分析，我們發(fā)現(xiàn)目前該網(wǎng)絡(luò)中的主機系統(tǒng)主要弱點集中在以下幾個方面：
1 ．系統(tǒng)自身存在的弱點
對于商業(yè)UNIX 系統(tǒng)的補丁更新不及時，沒有安全配置過，系統(tǒng)還是運行在默認(rèn)的安裝狀態(tài)非常危險。對NT/2000 的服務(wù)器系統(tǒng)，雖然補丁更新的比及時，但是配置上存在很大安全隱患，用戶的密碼口令的強度非常低很多還在使用默認(rèn)的弱口令，網(wǎng)絡(luò)攻擊者可以非常輕易的接管整個服務(wù)器。另外存在IPC$這樣的匿名共享會泄露很多服

務(wù)器的敏感信息。
2 ．系統(tǒng)管理存在的弱點
在系統(tǒng)管理上缺乏統(tǒng)一的管理策略，比如缺乏對用戶輪廓文件（Profile ）的支持。在系統(tǒng)中存在空口令的Guest 組的用戶，這些用戶有的是系統(tǒng)默認(rèn)的Guest用戶，有的是IIS 和SQL 服務(wù)器的默認(rèn)安裝用戶。這些用戶有些是被系統(tǒng)禁用的，如Guest ，有些則沒有，沒有被禁用的這些賬號可能被利用進入系統(tǒng)。
3 ．?dāng)?shù)據(jù)庫系統(tǒng)的弱點
數(shù)據(jù)庫系統(tǒng)的用戶權(quán)限和執(zhí)行外部系統(tǒng)指令是該系統(tǒng)最大的安全弱點，由于未對數(shù)據(jù)庫做明顯的安全措施，望進一步對數(shù)據(jù)庫做最新的升級補丁。
4 ．來自周邊機器的威脅
手工測試發(fā)現(xiàn)部分周邊機器明顯存在嚴(yán)重安全漏洞，來自周邊機器的安全弱點（比如可能使用同樣的密碼等等）可能是影響網(wǎng)絡(luò)的最大威脅。
主機存在的威脅和風(fēng)險
安全威脅是一種對系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞能力的可能性因素或者事件。產(chǎn)生安全威脅的主要因素可以分為人為因素和環(huán)境因素。人為因素包括有意的和無意的因素。環(huán)境因素包括自然界的不可抗力因素和其它物理因素。威脅可能源于對企業(yè)信息直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在機密性、完整性或可用性等方面造成損害。威脅也可能源于偶發(fā)的、或蓄意的事件。一般來說，威脅總是要利用企業(yè)網(wǎng)絡(luò)中的系統(tǒng)、應(yīng)用或服務(wù)的弱點才可能成功地對資產(chǎn)造成傷害。因此威脅分析是圍繞信息系統(tǒng)的可用性、保密性、完整性、可控性、可審查性、抗抵賴性進行的。
安全風(fēng)險則是一種可能性，是指某個威脅利用弱點引起某項信息資產(chǎn)或一組信息資產(chǎn)的損害，從而直接地或間接地引起企業(yè)或機構(gòu)的損害的可能性。
在這次評估中，主機系統(tǒng)存在的威脅和及其產(chǎn)生的安全風(fēng)險主要有以下幾個方面：
1.  針對主機的攻擊威脅
包括針對Windows NT 系統(tǒng)及其開放的系統(tǒng)服務(wù)的安全弱點攻擊威脅，攻擊者可能由此獲取系統(tǒng)的信息資源或者對系統(tǒng)信息進行破壞。
2.  針對數(shù)據(jù)庫的攻擊威脅
包括在對數(shù)據(jù)庫系統(tǒng)的攻擊行為，包括非法獲取、篡改、刪除數(shù)據(jù)庫信息資源和進行其他形式的服務(wù)攻擊。
3.   管理不當(dāng)所引起的安全威脅
包括由于用戶管理策略不當(dāng)使得攻擊者可能獲取某一級別的用戶的訪問權(quán)限，并由此提升用戶權(quán)限，造成用戶權(quán)限的濫用和信息資源的泄漏、損毀等；由于采用遠程管理而引發(fā)的威脅；缺乏足夠的安全審計致使對安全事件不敏感，無法發(fā)現(xiàn)攻擊行為等。
4.  配置不當(dāng)所引起的安全威脅
包括在主機系統(tǒng)上開放了未做安全防范的服務(wù)如IPC$共享所造成的安全威脅等。
網(wǎng)絡(luò)安全建議
建議把提供網(wǎng)絡(luò)服務(wù)的程序升級到最新版本，關(guān)注網(wǎng)絡(luò)安全通告，或由首創(chuàng)為客戶提供全面、周到、專業(yè)的網(wǎng)絡(luò)安全服務(wù)。
總  結(jié)
此次活動歷時兩個月時間，為34家客戶的93臺主機提供了全面的安全掃描服務(wù)，并將最終的掃描結(jié)果提供給了客戶。
通過此次活動，我們發(fā)現(xiàn)所有的客戶主機都或多或少存在著各種風(fēng)險度的安全漏洞，安全現(xiàn)狀不容樂觀。其實在這些客戶所暴露出來的漏洞中，絕大多數(shù)都是已經(jīng)有了解決辦法的，只要做一些簡單的升級或安裝補丁就可以解決。另外，我們還發(fā)現(xiàn)，有的客戶使用了一些安全產(chǎn)品，但卻由于使用不當(dāng)，反而引入了更多的安全漏洞。另外，客戶的信息系統(tǒng)普遍也缺乏良好合理的安全規(guī)劃和管理，從而使得其自身的系統(tǒng)對外呈現(xiàn)了很多本不應(yīng)該出現(xiàn)的漏洞，給外界入侵提供了便利的條件。
我們認(rèn)為出現(xiàn)這樣的問題主要有這樣一些原因：
客戶普遍還缺乏安全意識，不知道自己其實面臨很大的危險；專業(yè)知識不夠，不知如何解決安全問題；對安全產(chǎn)品的選擇、使用和設(shè)置不當(dāng)；沒有合理的安全管理策略和機制。
針對這樣一些原因，有些相對容易解決，有些則要困難一些。在首創(chuàng)網(wǎng)絡(luò)通過自身的努力，在信息安全領(lǐng)域里不斷追求更高的技術(shù)水準(zhǔn)和服務(wù)水準(zhǔn)，力爭在競爭日益激烈的今天，面對不斷復(fù)雜的信息安全形勢，從容面對，為客戶提供更加完美的產(chǎn)品和服務(wù)。

（本報告由首創(chuàng)網(wǎng)絡(luò)提供，內(nèi)容有刪節(jié)）

“首創(chuàng)網(wǎng)絡(luò)安全調(diào)查”帶來的啟示
本刊記者   曹  玫
近日，首創(chuàng)網(wǎng)絡(luò)針對我國企
業(yè)網(wǎng)絡(luò)安全現(xiàn)狀，對來自
34個不同行業(yè)用戶的93臺主機的網(wǎng)絡(luò)信息系統(tǒng)進行了抽樣調(diào)查，結(jié)果是100%的用戶的主機都存在不同程度的安全問題。這個數(shù)字不能不讓我們吃驚，網(wǎng)絡(luò)現(xiàn)狀讓人擔(dān)擾。
隨著企業(yè)信息化、電子政務(wù)的進一步推進，對網(wǎng)絡(luò)安全的要求與過去已不可同日而語。但信息化在我國剛剛起步，企業(yè)對網(wǎng)絡(luò)安全的意識和認(rèn)知尚待培育。
本刊記者就首創(chuàng)的網(wǎng)絡(luò)安全評估活動采訪了中國國家信息安全測評認(rèn)證中心計算機測評中心常務(wù)副主任翁正軍女士，她認(rèn)為：“首創(chuàng)這次的評估活動值得肯定。這類的網(wǎng)絡(luò)安全評估如果經(jīng)常性的進行，對用戶了解自身的安全風(fēng)險非常有益”
另外，翁女士還提醒道：“針對網(wǎng)絡(luò)和系統(tǒng)的脆弱性評估，有可能對被測系統(tǒng)造成損害。當(dāng)然，不一定是測試本身的問題，而是被測系統(tǒng)太脆弱。但是不管怎么樣，都要讓用戶事先知道風(fēng)險的存在，并且通過恰當(dāng)?shù)陌才疟M力回避這些風(fēng)險”。
安全意識   攜手培育
網(wǎng)絡(luò)安全是“三分技術(shù)，七分管理”，從首創(chuàng)的報告中可以看出，造成網(wǎng)絡(luò)漏洞的原因基本上是管理的忽視和疏漏。
已認(rèn)識到IT系統(tǒng)重要性的大型企業(yè)和跨國企業(yè)，雖有一些機房和系統(tǒng)的不很細化的管理制度，但大部分也只限于書面文字的約束而已，沒有強有力的監(jiān)督實施手段和相應(yīng)的管理人員；大部分的中小企業(yè)甚至沒有把網(wǎng)絡(luò)安全提升到管理的層面，還只是停留在購買一些低端的安全設(shè)備上，當(dāng)然對于國內(nèi)的中小企業(yè)采取何種安全模式仍是專家和安全服務(wù)提供商們爭論的熱點問題。
管理問題追溯其根源，還是企業(yè)的意識問題，安全意識的加強和培育是需要政府或行業(yè)主管單位、安全廠商和用戶自身共同努力來實現(xiàn)的。
如政府和行業(yè)主管要加大政策和法令的宣傳力度，改變政策和相關(guān)標(biāo)準(zhǔn)滯后的現(xiàn)狀，一方面，用戶有相關(guān)的政策和標(biāo)準(zhǔn)來衡量網(wǎng)絡(luò)安全廠商提供給他們的產(chǎn)品和服務(wù)是否符合國家標(biāo)準(zhǔn)，做到有據(jù)可依。另一方面，安全廠商有了相關(guān)條例和行業(yè)標(biāo)準(zhǔn)，在為用戶構(gòu)建網(wǎng)絡(luò)平臺和生產(chǎn)安全產(chǎn)品時，把各種安全隱患降減到最小程度，做到了有法必依。
安全廠商在培育用戶的安全意識方面，毫無疑問，充當(dāng)著主力軍的角色，目前，我國的網(wǎng)絡(luò)安全意識尚處于萌芽階段，因此對用戶意識的培育應(yīng)屬于安全廠商市場戰(zhàn)略和規(guī)劃的一部分，只有大家共同把這塊蛋糕做大，網(wǎng)絡(luò)安全廣闊的市場才會在短時間內(nèi)形成規(guī)模。 
從用戶自身的角度來講，“船到江心才補漏”是需要付出不可估量的代價的，網(wǎng)絡(luò)數(shù)據(jù)的迅速增長，單靠一些低端的安全設(shè)備已遠遠難以維護系統(tǒng)和網(wǎng)絡(luò)安全。總的來說，要改善和加強管理力度,必須提高企業(yè)的安全意識.
網(wǎng)絡(luò)測試  &n

bsp;謹(jǐn)慎評估 
做安全測試，一定要做非常細化的風(fēng)險評估策略，首先要確定企業(yè)哪些資源需要保護，并根據(jù)保護成本與如果事件發(fā)生前不采取行動需付出的代價之間的平衡制定評估方案，檢測后要確定企業(yè)具體環(huán)境下到底存在哪些安全漏洞和安全隱患，一旦這些漏洞被黑客利用會造成哪些風(fēng)險和破壞。
最后綜合對各種風(fēng)險因素的評價，明確網(wǎng)絡(luò)系統(tǒng)的安全現(xiàn)狀，確定網(wǎng)絡(luò)系統(tǒng)中安全的最薄弱環(huán)節(jié)，從而改進網(wǎng)絡(luò)的安全性能。所以檢測之前與之后的評估是非常重要的。全面的網(wǎng)絡(luò)系統(tǒng)的漏洞評估應(yīng)該包括對網(wǎng)絡(luò)的漏洞評估、對系統(tǒng)主機的漏洞評估以及對數(shù)據(jù)庫系統(tǒng)的漏洞評估三個方面。首創(chuàng)的安全評估屬于對系統(tǒng)主機的漏洞的評估，測試的安全風(fēng)險相對要小一些。
測試不是目的，制定相應(yīng)的安全策略并徹底解決用戶存在的安全問題，才是我們的愿望。
首創(chuàng)的安全測試為我們敲醒了警鐘，加強安全意識已成為企業(yè)高層迫切需要正確對待的問題。

企業(yè)信息安全意識有待覺醒

本刊記者   陳  慧

為了解客戶的安全現(xiàn)狀，并
提高客戶的安全意識，首
創(chuàng)網(wǎng)絡(luò)在7月1日到8月31日為期兩個月的時間內(nèi)為34家客戶的93臺主機提供了免費遠程安全掃描服務(wù)。提交的報告結(jié)果表明，這些客戶所有的業(yè)務(wù)部門都或多或少存在著安全漏洞，其中高風(fēng)險漏洞占42%，中風(fēng)險漏洞占28%，低風(fēng)險漏洞達30%。可見這些客戶的信息安全現(xiàn)狀令人堪憂。
面對安全漏洞，
視而不見還是立即行動
“此次掃描主要是針對黑客的攻擊行為，”首創(chuàng)網(wǎng)絡(luò)安全產(chǎn)品經(jīng)理鐘博向記者介紹說，“我們選擇這種遠程的網(wǎng)絡(luò)掃描的服務(wù)活動比較容易開展，類似于黑客攻擊的第一個階段，還未涉及到內(nèi)部攻擊。”在發(fā)現(xiàn)客戶漏洞之后，首創(chuàng)還可以針對客戶的要求為其提供相應(yīng)的修補、加固和優(yōu)化服務(wù)、專門的培訓(xùn)和分析，以及遠程管理和緊急響應(yīng)等多種全方位的安全服務(wù)。
在首創(chuàng)網(wǎng)絡(luò)掃描過程中發(fā)現(xiàn)的網(wǎng)絡(luò)安全漏洞主要涉及到底層的操作系統(tǒng)平臺和應(yīng)用系統(tǒng)兩個方面。漏洞可能是操作系統(tǒng)帶來的，比如采用Windows操作系統(tǒng)平臺的企業(yè)漏洞特別多；也有可能是應(yīng)用系統(tǒng)本身的問題，比如數(shù)據(jù)庫、Web系統(tǒng)和ERP應(yīng)用軟件等等。在應(yīng)用系統(tǒng)方面，數(shù)據(jù)庫的漏洞比較多，其中又以SQL Server數(shù)據(jù)庫的漏洞為甚。對于操作系統(tǒng)的漏洞，大多可通過從網(wǎng)上下載補丁程序的方法加以解決，有些客戶沒有下載補丁程序，因而容易被攻擊。也有客戶把用戶訪問口令設(shè)成了空的，也容易被攻擊。這些漏洞本都很容易避免，之所以出現(xiàn)，主要因為應(yīng)用和管理人員本身安全意識淡薄所導(dǎo)致。
被掃描的首創(chuàng)網(wǎng)絡(luò)的IDC和專線客戶，都是經(jīng)常使用IT設(shè)備和網(wǎng)絡(luò)應(yīng)用的，其中，本身業(yè)務(wù)系統(tǒng)與安全結(jié)合不是很緊密的客戶比較容易產(chǎn)生安全漏洞，比如媒體的網(wǎng)站、制造業(yè)企業(yè)的網(wǎng)站等。在首創(chuàng)網(wǎng)絡(luò)的整個掃描服務(wù)期間中就出現(xiàn)過這樣的情況。一家傳媒機構(gòu)的網(wǎng)站被黑客攻擊，其主頁被篡改了。客戶要求首創(chuàng)對其遭到攻擊的主機進行掃描，了解其被攻擊的原因。通過掃描，發(fā)現(xiàn)主要原因在于這個傳媒機構(gòu)把操作系統(tǒng)裝好之后，采取了默認(rèn)配置，并沒有做安全性增強方面的考慮和設(shè)置，其主機上的漏洞都是一些很常見也很容易彌補的。此外，制造業(yè)企業(yè)涉及到CRM和ERP這樣的系統(tǒng)。總部與分支機構(gòu)之間經(jīng)常有大量機密的數(shù)據(jù)需要交互，對于這樣的企業(yè)，如果不做好全面的安全規(guī)劃并采取相應(yīng)的安全手段，也容易對外暴露很多安全漏洞。
面對送過來的掃描結(jié)果和漏洞分析，客戶的反應(yīng)五花八門：有的客戶一接到掃描的結(jié)果，發(fā)現(xiàn)自己的網(wǎng)絡(luò)安全存在這么多的問題，非常著急，立刻要求首創(chuàng)為其提供相應(yīng)的解決方案；有的客戶要求首創(chuàng)幫助把漏洞堵上；也有客戶說，賣我們一個防火墻吧；還有客戶沒有反應(yīng)，好像在忙著理順自己的網(wǎng)絡(luò)，無暇顧及安全問題。
安全防范，投入多少并采取哪些手段
有兩個問題需要企業(yè)考慮清楚，一是企業(yè)要保護的信息到底值得投入多少；二是采取什么手段。網(wǎng)絡(luò)時代，企業(yè)要連接到互聯(lián)網(wǎng)上與外部溝通。任何企業(yè)無論大小，總是有些信息是不希望被外界知道的，每一個企業(yè)都有必要采取一定的手段保護自己的信息，防止被別人竊取、篡改或者破壞。那么企業(yè)值得投入多少人力、物力和財力保護信息安全？
信息的價值其實不太好量化。鐘博認(rèn)為，那些有關(guān)產(chǎn)品生產(chǎn)的科研數(shù)據(jù)，如果被競爭對手掌握，很快搶占市場，可能造成經(jīng)濟利益的巨大損失，那么可以說這些信息非常有價值；還有企業(yè)的人事信息和財務(wù)信息，一般來說也是需要保密的；也有一些信息可能被別人看到也沒有太大問題。信息的價值是可以分級別的，針對信息的價值企業(yè)考慮是否投入相應(yīng)的人力、物力和財力來做相應(yīng)的保護。一般來說，在一個企業(yè)的網(wǎng)絡(luò)的建設(shè)中，在信息安全方面需要15%～20%的投入，對于不同的行業(yè)，比例會有所不同，有的企業(yè)可能會更高，這主要取決于企業(yè)需要保護的信息價值有多大。
在確定需要多少投入進行信息安全建設(shè)之外，還要考慮如何來保護和合理地分?jǐn)偼度搿Ｖ饕�有安全管理，安全技術(shù)和產(chǎn)品這兩個方面。企業(yè)一方面要與提供安全產(chǎn)品或者解決方案的廠商共同制定一個合理的安全管理制度，另一方面，要很好地利用安全產(chǎn)品，讓它在企業(yè)安全防范中發(fā)揮作用。
安全管理就是制定安全策略，安全管理制度。比如員工上機制度，機房管理制度等等，不同的企業(yè)具體情況不同，需要網(wǎng)絡(luò)安全廠商或者解決方案提供商同客戶共同協(xié)商制定。如果客戶對此不太了解，就需要安全廠商先提出方案，然后由客戶認(rèn)可之后在企業(yè)內(nèi)執(zhí)行。而對于安全技術(shù)和產(chǎn)品來說，很多企業(yè)認(rèn)為，購買了一個防火墻、防病毒的產(chǎn)品，把它們加入到信息系統(tǒng)里面，就認(rèn)為萬事大吉了。但實際上，很可能由于管理方面的不當(dāng)，不能夠起到很好的保護的作用。
安全事件的產(chǎn)生源，分為內(nèi)部和外部的兩種，如果是內(nèi)部人員有意要破壞信息，可能要比來自外部的更輕車熟路。首先要準(zhǔn)確地區(qū)分什么是內(nèi)部和外部。一個公司內(nèi)外隔離的點，一般是企業(yè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)的接入點，在這個點上可以做防火墻等設(shè)置。在整個企業(yè)實體的內(nèi)部，還要做一些具體的劃分，核心的部分要作為內(nèi)部的內(nèi)部，即使是內(nèi)部員工也不可以隨便訪問。在內(nèi)部解決安全問題常見的手段就是入侵檢測，防止入侵行為出現(xiàn)。有重要的數(shù)據(jù)存儲的部分，需要數(shù)據(jù)完整性的保護，需要防病毒、身份認(rèn)證和審計等等安全手段。找準(zhǔn)隔離和保護的點在哪里，這樣才知道相應(yīng)的安全設(shè)備和手段應(yīng)該用在什么地方。
安全意識淡薄、無序競爭的現(xiàn)狀有待改進
2001年，安全產(chǎn)品的市場份額已經(jīng)達到40億，2002年將會繼續(xù)增長，安全市場成為整個IT業(yè)的一個亮點。國內(nèi)的安全廠商也很多，但是存在無序競爭和惡性降價的情況。在安全產(chǎn)品競爭中，有些地方存在地方保護主義。在產(chǎn)品與服務(wù)的意識上，中外企業(yè)也有差別。首創(chuàng)網(wǎng)絡(luò)是一家網(wǎng)絡(luò)安全解決方案提供商，在為客戶服務(wù)的過程中，鐘博覺得外資客戶更看重安全服務(wù)，比如安全掃描，入侵檢測數(shù)據(jù)的報告，以及出現(xiàn)某種問題的分析，甚至提出租用安全服務(wù)提供商的設(shè)備，而國內(nèi)企業(yè)比較重視安全產(chǎn)品的擁有。
目前，整個安全市場的發(fā)育不是很平衡，大多數(shù)客戶認(rèn)識到的安全產(chǎn)品只有防火墻和防病毒產(chǎn)品。實際上，信息安全領(lǐng)域還有很多其它產(chǎn)品：比如身份認(rèn)證、保密產(chǎn)品、

VPN（虛擬私有網(wǎng)）、關(guān)鍵行業(yè)使用的防電磁泄露、信息隱藏（數(shù)字水印）、政府部門需求比較多的物理隔離等等。
在首創(chuàng)網(wǎng)絡(luò)的這次安全評估報告總結(jié)中，我們可以看到，企業(yè)普遍缺乏安全意識，不知道自己其實面臨很大的危險，專業(yè)知識不夠，對安全產(chǎn)品的選擇、使用和設(shè)置不當(dāng)，沒有合理的安全管理策略和機制。如何提高企業(yè)的安全意識呢？鐘博認(rèn)為必須要讓企業(yè)有切身的面臨危機的感受。通過首創(chuàng)網(wǎng)絡(luò)的這次掃描活動，讓客戶意識到，他的網(wǎng)絡(luò)中肯定是存在這樣那樣的漏洞，并且有具體的描述，這樣多多少少都會引起客戶注意。這其實也是首創(chuàng)網(wǎng)絡(luò)在積極地提醒市場的一種行為。
企業(yè)在考慮信息安全問題的時候，如果信息系統(tǒng)正在建設(shè)的過程之中，這時需要把相關(guān)安全問題考慮進去。如果信息系統(tǒng)已經(jīng)建好了，只是做安全增強的工作，這時可能就比較困難，可能需要對整個系統(tǒng)的參數(shù)配置做一些修改，客戶有時會為了避免麻煩而放棄安全方面的考慮。對于信息系統(tǒng)已經(jīng)建好的企業(yè)，最好是能夠及時地意識自己的安全問題，盡量做一些相關(guān)的調(diào)整. 
 

【網(wǎng)絡(luò)安全評估活動報告與解析】相關(guān)文章：

婚育新風(fēng)進萬家活動的評估報告08-12

樓盤竣工驗收評估報告08-24

評估實習(xí)報告7篇08-25

心理健康評估報告01-10

評估自查報告01-30

教育督導(dǎo)評估述職報告-述職報告08-15

學(xué)校評估自我檢查報告08-15

供電局質(zhì)量評估報告08-23

制度漏洞評估分析報告08-24