网络安全评估活动报告与解析

活动背景。

根据国内一些网络安全研究机构的资料，国内大部分的isp、icp、it 公司、**、教育和科研机构等都没有精力对网络安全进行必要的人力和物力投入；很多重要站点的管理员都是internet 的新手，一些操作系统如unix，在那些有经验的系统管理员的配置下尚且有缺陷，在这些新手的操作中更是漏洞百出。很多服务器至少有三种以上的漏洞可以使入侵者获取系统的最高控制权。

为了使广大用户对自己的网络系统安全现状有一个清醒的认识，同时提高对信息安全概念的了解和认识，强化网络系统安全性能，首创网络近日向用户推出免费安全扫描服务活动。

评估主机范围。

capitalnet技术支持中心在开展此次活动之前得到了客户的书面授权。活动中，根据客户提供的ip地址，并按照客户指定的时间，对包括网络设备和应用服务器等在内的主机系统进行安全评估。

评估时间和方式。

此次活动持续两个月时间，由7月1日开始，到8月31日结束。在活动期间，首创网络技术支持中心安全产品组的专家们在与用户达成共识的前提下，利用专业的安全评估工具，对客户网络信息系统中的重点环节进行了全方位的安全扫描，并根据扫描结果产生了安全评估报告，提交给客户。客户可以根据这一安全评估报告充分了解自己信息系统的安全情况，进而采取相应的安全应对措施，从而提高网络系统安全性。

评估单位分布。

此次评估活动共收到ip地址93个，分别来自不同行业的34家单位。这些单位分别属于多种行业部门。

评估主机分类。

93个ip地址基本代表93台主机，分别为各个单位提供不同的信息化应用。如：web、datebase、mail等常见应用和防火墙等特殊应用。

评估漏洞分布。

在93台主机提供的各种信息应用中，都存在这样或那样的漏洞，此次评估都漏洞的风险分为三种：高风险漏洞、中风险漏洞、低风险漏洞。

参照标准为：

高风险漏洞代表该漏洞可以使攻击者可以得到该主机的最高权限或中断网络服务；

中风险漏洞代表该漏洞可以获取主机信息，有助于攻击者进一步攻击，或存在潜在致命漏洞；

低风险漏洞代表该漏洞会间接影响系统服务的正常运行。

评估漏洞类型。

本次扫描活动主要采用了三星信息安全公司的安全评估工具secuiscan，但为了真实反映客户的漏洞存在情况，也结合了其它著名的安全评估工具，为俄罗斯著名安全评估软件shadow security scanner和著名的自由软件nessus。在工具评估后，根据提供的分析报告来人工检查证实漏洞的真实性，并在不破坏客户主机正常运行的情况下得出令客户信服的评估结果。

评估发现，很多存在漏洞的主机都是一些常见的配置错误和已经公布的漏洞，而且针对这些漏洞的攻击工具很容易被恶意的攻击者获取。这些漏洞分布如下图：

评估漏洞说明。

1. 弱口令攻击：不少**的管理员账号密码、ftp 账号密码、sql 账号密码等都使用很简单的或是很容易猜测到的字母或数字，利用现有的家用piii 机器配合编写恰当的破解软件足以在短时间内轻松破解，一旦口令被破解，**就意味着被攻破。

2. unicode 编码漏洞攻击：对于windows nt4.

0 和windows 2000 来说都存在有该漏洞，利用该漏洞远程用户可以在服务器上以匿名账号来执行程序或命令，从而轻易就可达到遍历硬盘、删除文件、更换主页和提升权限等目的，实施方法简单，仅仅拥有一个浏览器就可实施。

3. asp 源码泄漏和ms sql server 攻击：通过向web 服务器请求精心构造的特殊的url 就可以看到不应该看到的asp 程序的全部或部分源**，进而取得诸如ms sql server 的管理员sa 的密码，再利用存储过程xp_cmdshell 就可远程以system 账号在服务器上任意执行程序或命令，事实上，ms sql server 默认安装的管理员sa 的密码为空，并且大多数系统管理员的确没有重新设定为新的复杂密码，这直接就留下了严重的安全隐患。

4. iis 缓冲溢出攻击：对于iis4.

0 和iis5.0 来说都存在有严重的缓冲溢出漏洞，利用该漏洞远程用户可以以具有管理员权限的system 账号在服务器上任意执行程序或命令，极具危险性。实施较为复杂，但是可以获得这种攻击的傻瓜攻击软件。

这种攻击主要存在于windows nt 和2000 系统中。

5. bind 缓冲溢出攻击：在最新版本的bind 以前的版本中都存在有严重的缓冲溢出漏洞，可以导致远程用户直接以root 权限在服务器上执行程序或命令，极具危险性。

但由于操作和实施较为复杂，一般也为黑客高手所用。这种攻击主要存在于linux、bsdi 和solaris 等系统中。

6. 其他攻击手法：还有利用send- mail、local printer、cgi、virus、trojan、dos、ddos 等漏洞攻击的手段，但在这次评估活动中表现的不是非常明显。

整体安全评估报告。

主机系统的安全评估主要在于分析主机系统存在的安全弱点和确定可能存在的威胁和风险，并且针对这些弱点、威胁和风险提出解决方案。

主机存在安全弱点。

安全弱点和信息资产紧密相连，它可能被威胁利用、引起资产损失或伤害。但是，安全弱点本身不会造成损失，它只是一种条件或环境、可能导致被威胁利用而造成资产损失。安全弱点的出现有各种原因，例如可能是软件开发过程中的质量问题，也可能是系统管理员配置方面的，也可能是管理方面的。

但是，它们的共同特性就是给攻击者提供了对主机系统或者其他信息系统进行攻击的机会。

经过对这些主机系统和防火墙的扫描记录分析，我们发现目前该网络中的主机系统主要弱点集中在以下几个方面：

1 ．系统自身存在的弱点。

对于商业unix 系统的补丁更新不及时，没有安全配置过，系统还是运行在默认的安装状态非常危险。对nt/2000 的服务器系统，虽然补丁更新的比及时，但是配置上存在很大安全隐患，用户的密码口令的强度非常低很多还在使用默认的弱口令，网络攻击者可以非常轻易的接管整个服务器。另外存在ipc$这样的匿名共享会泄露很多服务器的敏感信息。

2 ．系统管理存在的弱点。

在系统管理上缺乏统一的管理策略，比如缺乏对用户轮廓文件（profile ）的支持。在系统中存在空口令的guest 组的用户，这些用户有的是系统默认的guest用户，有的是iis 和sql 服务器的默认安装用户。这些用户有些是被系统禁用的，如guest ，有些则没有，没有被禁用的这些账号可能被利用进入系统。

3 ．数据库系统的弱点。

数据库系统的用户权限和执行外部系统指令是该系统最大的安全弱点，由于未对数据库做明显的安全措施，望进一步对数据库做最新的升级补丁。

4 ．来自周边机器的威胁。

手工测试发现部分周边机器明显存在严重安全漏洞，来自周边机器的安全弱点（比如可能使用同样的密码等等）可能是影响网络的最大威胁。

主机存在的威胁和风险。

安全威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件。产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素包括有意的和无意的因素。

环境因素包括自然界的不可抗力因素和其它物理因素。威胁可能源于对企业信息直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。

一般来说，威胁总是要利用企业网络中的系统、应用或服务的弱点才可能成功地对资产造成伤害。因此威胁分析是围绕信息系统的可用性、保密性、完整性、可控性、可审查性、抗抵赖性进行的。

安全风险则是一种可能性，是指某个威胁利用弱点引起某项信息资产或一组信息资产的损害，从而直接地或间接地引起企业或机构的损害的可能性。

在这次评估中，主机系统存在的威胁和及其产生的安全风险主要有以下几个方面：

1. 针对主机的攻击威胁。

包括针对windows nt 系统及其开放的系统服务的安全弱点攻击威胁，攻击者可能由此获取系统的信息资源或者对系统信息进行破坏。

2. 针对数据库的攻击威胁。

包括在对数据库系统的攻击行为，包括非法获取、篡改、删除数据库信息资源和进行其他形式的服务攻击。

3. 管理不当所引起的安全威胁。

包括由于用户管理策略不当使得攻击者可能获取某一级别的用户的访问权限，并由此提升用户权限，造成用户权限的滥用和信息资源的泄漏、损毁等；由于采用远程管理而引发的威胁；缺乏足够的安全审计致使对安全事件不敏感，无法发现攻击行为等。

4. 配置不当所引起的安全威胁。

包括在主机系统上开放了未做安全防范的服务如ipc$共享所造成的安全威胁等。

网络安全建议。

建议把提供网络服务的程序升级到最新版本，关注网络安全通告，或由首创为客户提供全面、周到、专业的网络安全服务。

总结。此次活动历时两个月时间，为34家客户的93台主机提供了全面的安全扫描服务，并将最终的扫描结果提供给了客户。

通过此次活动，我们发现所有的客户主机都或多或少存在着各种风险度的安全漏洞，安全现状不容乐观。其实在这些客户所暴露出来的漏洞中，绝大多数都是已经有了解决办法的，只要做一些简单的升级或安装补丁就可以解决。另外，我们还发现，有的客户使用了一些安全产品，但却由于使用不当，反而引入了更多的安全漏洞。

另外，客户的信息系统普遍也缺乏良好合理的安全规划和管理，从而使得其自身的系统对外呈现了很多本不应该出现的漏洞，给外界入侵提供了便利的条件。

网络安全评估活动报告与解析

网络安全自查评估报告

网络安全风险评估报告线路

校园网络安全评估报告

其他用户还读了

网络安全评估活动报告与解析

网络安全自查评估报告

网络安全风险评估报告 线路

校园网络安全评估报告

其他用户还读了

网络安全风险评估报告线路