網(wǎng)絡(luò)安全評估活動報告與解析

1、活動背景根據(jù)國內(nèi)一些網(wǎng)絡(luò)安全研究機構(gòu)的資料，國內(nèi)大部分的isp 、icp 、it 公司、政府、教育和科研機構(gòu)等都沒有精力對網(wǎng)絡(luò)安全進行必要的人力和物力投入；很多重要站點的管理員都是internet 的新手，一些操作系統(tǒng)如unix ， 在那些有經(jīng)驗的系統(tǒng)管理員的配置下尚且有缺陷，在這些新手的操作中更是漏洞百出。很多服務(wù)器至少有三種以上的漏洞可以使入侵者獲取系統(tǒng)的最高控制權(quán)。為了使廣大用戶對自己的網(wǎng)絡(luò)系統(tǒng)安全現(xiàn)狀有一個清醒的認識，同時提高對信息安全概念的了解和認識，強化網(wǎng)絡(luò)系統(tǒng)安全性能，首創(chuàng)網(wǎng)絡(luò)近日向用戶推出免費安全掃描服務(wù)活動。評估主機范圍capitalnet技術(shù)支持中心在開展此次活動之前得到了

2、客戶的書面授權(quán)?；顒又?， 根據(jù)客戶提供的 ip 地址，并按照客戶指定的時間，對包括網(wǎng)絡(luò)設(shè)備和應(yīng)用服務(wù)器等在內(nèi)的主機系統(tǒng)進行安全評估。評估時間和方式此次活動持續(xù)兩個月時間，由 7 月 1 日開始， 到 8 月 31 日結(jié)束。 在活動期間， 首創(chuàng)網(wǎng)絡(luò)技術(shù)支持中心安全產(chǎn)品組的專家們在與用戶達成共識的前提下，利用專業(yè)的安全評估工具，對客戶網(wǎng)絡(luò)信息系統(tǒng)中的重點環(huán)節(jié)進行了全方位的安全掃描，并根據(jù)掃描結(jié)果產(chǎn)生了安全評估報告，提交給客戶。客戶可以根據(jù)這一安全評估報告充分了解自己信息系統(tǒng)的安全情況，進而采取相應(yīng)的安全應(yīng)對措施，從而提高網(wǎng)絡(luò)系統(tǒng)安全性。評估單位分布此次評估活動共收到ip 地址 93 個，分別來自不

3、同行業(yè)的34 家單位。 這些單位分別屬于多種行業(yè)部門。評估主機分類93 個 ip 地址基本代表93 臺主機，分別為各個單位提供不同的信息化應(yīng)用。如： web、 datebase 、mail 等常見應(yīng)用和防火墻等特殊應(yīng)用。評估漏洞分布在 93 臺主機提供的各種信息應(yīng)用中，都存在這樣或那樣的漏洞，此次評估都漏洞的風險分為三種：高風險漏洞、中風險漏洞、低風險漏洞。參照標準為：高風險漏洞代表該漏洞可以使攻擊者可以得到該主機的最高權(quán)限或中斷網(wǎng)絡(luò)服務(wù)；中風險漏洞代表該漏洞可以獲取主機信息，有助于攻擊者進一步攻擊，或存在潛在致命漏洞；低風險漏洞代表該漏洞會間接影響系統(tǒng)服務(wù)的正常運行。評估漏洞類型本次掃描活動

4、主要采用了三星信息安全公司的安全評估工具secuiscan ，但為了真實反映客戶的漏洞存在情況，也結(jié)合了其它著名的安全評估工具，為俄羅斯著名安全評估軟件shadow security scanner和著名的自由軟件nessus。在工具評估后，根據(jù)提供的分析報告來人工檢查證實漏洞的真實性，并在不破壞客戶主機正常運行的情況下得出令客戶信服的評估結(jié)果。評估發(fā)現(xiàn)，很多存在漏洞的主機都是一些常見的配置錯誤和已經(jīng)公布的漏洞，而且針對這些漏洞的攻擊工具很容易被惡意的攻擊者獲取。這些漏洞分布如下圖：評估漏洞說明1. 弱口令攻擊：不少網(wǎng)站的管理員賬號密碼、ftp 賬號密碼、 sql 賬號密碼等都使用很簡單的或是

5、很容易猜測到的字母或數(shù)字，利用現(xiàn)有的家用piii 機器配合編寫恰當?shù)钠平廛浖阋栽诙虝r間內(nèi)輕松破解，一旦口令被破解，網(wǎng)站就意味著被攻破。2. unicode 編碼漏洞攻擊： 對于 windows nt4.0 和 windows 2000 來說都存在有該漏洞，利用該漏洞遠程用戶可以在服務(wù)器上以匿名賬號來執(zhí)行程序或命令，從而輕易就可達到遍歷硬盤、刪除文件、更換主頁和提升權(quán)限等目的，實施方法簡單，僅僅擁有一個瀏覽器就可實施。3. asp 源碼泄漏和ms sql server 攻擊：通過向web 服務(wù)器請求精心構(gòu)造的特殊的url 就可以看到不應(yīng)該看到的asp 程序的全部或部分源代碼，進而取得諸如ms

6、sql server 的管理員 sa 的密碼，再利用存儲過程xp_cmdshell 就可遠程以system 賬號在服務(wù)器上任意執(zhí)行程序或命令，事實上，ms sql server 默認安裝的管理員sa 的密碼為空，并且大多數(shù)系統(tǒng)管理員的確沒有重新設(shè)定為新的復(fù)雜密碼，這直接就留下了嚴重的安全隱患。4. iis 緩沖溢出攻擊：對于iis4.0 和 iis5.0 來說都存在有嚴重的緩沖溢出漏洞，利用該漏洞遠程用戶可以以具有管理員權(quán)限的system 賬號在服務(wù)器上任意執(zhí)行程序或命令，極具危險性。實施較為復(fù)雜，但是可以獲得這種攻擊的傻瓜攻擊軟件。這種攻擊主要存在于 windows nt 和 2000 系統(tǒng)

7、中。5. bind 緩沖溢出攻擊： 在最新版本的bind 以前的版本中都存在有嚴重的緩沖溢出漏洞，可以導(dǎo)致遠程用戶直接以root 權(quán)限在服務(wù)器上執(zhí)行程序或命令，極具危險性。但由于操作和實施較為復(fù)雜，一般也為黑客高手所用。這種攻擊主要存在于linux、bsdi 和solaris 等系統(tǒng)中。6. 其他攻擊手法： 還有利用send- mail、local printer、cgi 、virus 、trojan、dos、ddos 等漏洞攻擊的手段，但在這次評估活動中表現(xiàn)的不是非常明顯。整體安全評估報告主機系統(tǒng)的安全評估主要在于分析主機系統(tǒng)存在的安全弱點和確定可能存在的威脅和風險，并且針對這些弱點、威脅和

8、風險提出解決方案。主機存在安全弱點安全弱點和信息資產(chǎn)緊密相連，它可能被威脅利用、引起資產(chǎn)損失或傷害。但是，安全弱點本身不會造成損失，它只是一種條件或環(huán)境、可能導(dǎo)致被威脅利用而造成資產(chǎn)損失。安全弱點的出現(xiàn)有各種原因，例如可能是軟件開發(fā)過程中的質(zhì)量問題，也可能是系統(tǒng)管理員配置方面的，也可能是管理方面的。但是，它們的共同特性就是給攻擊者提供了對主機系統(tǒng)或者其他信息系統(tǒng)進行攻擊的機會。經(jīng)過對這些主機系統(tǒng)和防火墻的掃描記錄分析，我們發(fā)現(xiàn)目前該網(wǎng)絡(luò)中的主機系統(tǒng)主要弱點集中在以下幾個方面：1 系統(tǒng)自身存在的弱點對于商業(yè)unix 系統(tǒng)的補丁更新不及時，沒有安全配置過，系統(tǒng)還是運行在默認的安裝狀態(tài)非常危險。對n

9、t/2000 的服務(wù)器系統(tǒng)，雖然補丁更新的比及時，但是配置上存在很大安全隱患，用戶的密碼口令的強度非常低很多還在使用默認的弱口令，網(wǎng)絡(luò)攻擊者可以非常輕易的接管整個服務(wù)器。另外存在ipc$ 這樣的匿名共享會泄露很多服務(wù)器的敏感信息。2 系統(tǒng)管理存在的弱點在系統(tǒng)管理上缺乏統(tǒng)一的管理策略，比如缺乏對用戶輪廓文件（profile ）的支持。 在系統(tǒng)中存在空口令的guest 組的用戶， 這些用戶有的是系統(tǒng)默認的guest 用戶，有的是 iis 和sql 服務(wù)器的默認安裝用戶。這些用戶有些是被系統(tǒng)禁用的，如guest ，有些則沒有，沒有被禁用的這些賬號可能被利用進入系統(tǒng)。3 數(shù)據(jù)庫系統(tǒng)的弱

10、點數(shù)據(jù)庫系統(tǒng)的用戶權(quán)限和執(zhí)行外部系統(tǒng)指令是該系統(tǒng)最大的安全弱點，由于未對數(shù)據(jù)庫做明顯的安全措施，望進一步對數(shù)據(jù)庫做最新的升級補丁。4 來自周邊機器的威脅手工測試發(fā)現(xiàn)部分周邊機器明顯存在嚴重安全漏洞，來自周邊機器的安全弱點（比如可能使用同樣的密碼等等）可能是影響網(wǎng)絡(luò)的最大威脅。主機存在的威脅和風險安全威脅是一種對系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞能力的可能性因素或者事件。產(chǎn)生安全威脅的主要因素可以分為人為因素和環(huán)境因素。人為因素包括有意的和無意的因素。環(huán)境因素包括自然界的不可抗力因素和其它物理因素。威脅可能源于對企業(yè)信息直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在機密性、完整性或可用性等方面

11、造成損害。威脅也可能源于偶發(fā)的、或蓄意的事件。一般來說，威脅總是要利用企業(yè)網(wǎng)絡(luò)中的系統(tǒng)、應(yīng)用或服務(wù)的弱點才可能成功地對資產(chǎn)造成傷害。因此威脅分析是圍繞信息系統(tǒng)的可用性、保密性、完整性、可控性、可審查性、抗抵賴性進行的。安全風險則是一種可能性，是指某個威脅利用弱點引起某項信息資產(chǎn)或一組信息資產(chǎn)的損害，從而直接地或間接地引起企業(yè)或機構(gòu)的損害的可能性。在這次評估中，主機系統(tǒng)存在的威脅和及其產(chǎn)生的安全風險主要有以下幾個方面：1. 針對主機的攻擊威脅包括針對windows nt 系統(tǒng)及其開放的系統(tǒng)服務(wù)的安全弱點攻擊威脅，攻擊者可能由此獲取系統(tǒng)的信息資源或者對系統(tǒng)信息進行破壞。2. 針對數(shù)據(jù)庫的攻擊威脅包

12、括在對數(shù)據(jù)庫系統(tǒng)的攻擊行為，包括非法獲取、篡改、刪除數(shù)據(jù)庫信息資源和進行其他形式的服務(wù)攻擊。3. 管理不當所引起的安全威脅包括由于用戶管理策略不當使得攻擊者可能獲取某一級別的用戶的訪問權(quán)限，并由此提升用戶權(quán)限，造成用戶權(quán)限的濫用和信息資源的泄漏、損毀等； 由于采用遠程管理而引發(fā)的威脅；缺乏足夠的安全審計致使對安全事件不敏感，無法發(fā)現(xiàn)攻擊行為等。4. 配置不當所引起的安全威脅包括在主機系統(tǒng)上開放了未做安全防范的服務(wù)如ipc$ 共享所造成的安全威脅等。網(wǎng)絡(luò)安全建議建議把提供網(wǎng)絡(luò)服務(wù)的程序升級到最新版本，關(guān)注網(wǎng)絡(luò)安全通告， 或由首創(chuàng)為客戶提供全面、周到、專業(yè)的網(wǎng)絡(luò)安全服務(wù)?？偨Y(jié)此次活動歷時兩個月時間，為34 家客戶的93 臺主機提供了全面的安全掃描服務(wù)，并將最終的掃描結(jié)果提供給了客戶。通過此次活動，我們發(fā)現(xiàn)所有的客戶主機都或多