网络安全的评估分析

摘要：本项目主要是围绕用户网络的信息系统安全进行评估和分析。详细阐明了网络安全评估分析系统的必要性、系统的选型、分析系统的部署，同时给出了网关配置的指导性建议。

关键词：网络；安全；方案

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599 （2012） 17-0000-02

1 网络安全评估分析系统

1.1 网络安全评估分析系统的必要性

面对用户网络的复杂性和不断变化的情况，依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估，制定符合用户网络应用的安全策略显然是不现实的。解决的方案是，寻找一种能寻找网络安全漏洞、评估并提出修改建议的网络安全分析评估系统。

检测现有网络中的边界设备（如路由器交换机）、网络安全设备（防火墙、入侵检测系统）、服务器（包括内部网络系统的各种应用服务器）、主机、数据库等进行扫描，预先查找出存在的漏洞，从而进行及时的修补，对网络设备等存在的不安全配置重新进行安全配置。

目前大多数的病毒都已经不是简单的复制和占据资源的概念，其已经演变为通过利用系统漏洞和脆弱性，破坏和盗取信息为目的软件。所以，通过安全评估分析系统，在网络受到感染以前，及时地修补系统漏洞，从而更有效的保护局域网。

1.2 网络安全评估分析系统选型

安全评估系统（扫描对象包括网络设备、主机、数据库系统）使用户有机会在故障出现之前将其修复，而不是对一项已经进行的入侵或误用情况做出反应。漏洞扫描可以让用户首先防止入侵。漏洞扫描也许对那些没有很好的事件响应能力的用户会有帮助。

在用户网络系统中，部署一台百兆硬件网络安全评估分析系统，它通过对网络安全弱点全面和自主地检测与分析，能够迅速找到并修复安全漏洞。能同时对网络中的网络设备（如路由器、交换机、防火墙等）、小型机、PC SERVER和PC机操作系统（如Windows）和应用程序（如IIS）由于各种原因存在一些漏洞（包括系统漏洞、脆弱口令等），将风险分为高，中，低三个等级并且生成大范围的有意义的报表，从以管理者角度来分析的报告到为消除风险而给出的详尽的逐步指导方案均可以体现在报表中。

（1）全面的产品资质认定

网络安全评估系统具有如下的产品资质认证，为用户提供满意的产品：

公安部《计算机信息系统安全专用产品销售许可证》

国家保密局《科学技术成果鉴定证书》

国家信息安全测评认证中心《国家信息安全产品认证产品型号证书》

（2）易用性

网络安全评估分析系统应该充分考虑了中国人的使用习惯，具有良好的易用性。安装和使用界面全中文化，操作使用符合标准的WINDOWS风格，用户大部分只要通过电击鼠标就可以达到目的。管理工作更加方便，其输出也更加有价值。

（3）产品扩展性

网络安全评估分析系统的测试方法库采用插件方式，升级极为容易，添加新的插件就可以使软件增加新的功能，扫描更多漏洞。同时这种技术使软件的升级维护都变得相对简单，并具有非常强的扩展性。

1.3 网络安全评估分析系统部署

网络安全评估分析系统可以定期连入管理中心网络的网管交换机或者中心交换机上，对网络设备进行网络安全评估，比如小型机、PC SERVER、网络设备（交换机、路由器等）、安全设备（如防火墙）及内网各工作站系统，进行周期性的安全评估，得出安全评估分析报告，然后进行相应的漏洞修补或重新设计安全策略，以达到网络中硬件设备系统和应用平台的安全化。

1.4 网络安全评估分析系统部署后作用

（1）安全评估是本系统的主要功能，也称为“脆弱性分析”或者“网络安全扫描”，通过本网络安全评估分析系统的部署，可以对网络内计算机系统或者网络设备进行安全测试与评估，获得相关安全信息，找出安全隐患和可被黑客利用的漏洞。

（2）设备可以结合CVSS（通用脆弱性评级体系）和等级保护方法的理论，科学的给出相应的安全分析和可操作的修补处理建议，为网络管理人员提供修补漏洞的方法，使得管理可以及时修补网络隐患，做到防患于未然。

（3）自评估部分还可以协助管理员对设备进行问题的自动修补。

2 应用防护

2.1 Web应用防护系统的必要性

随着越来越多的应用系统以WEB的方式被部署，这些系统的敏感数据如用户信息等被黑客盗窃和篡改的潜在风险也越来越高。回顾当今成功的系统攻击，很多都是利用了WEB应用漏洞。实施这些攻击的人，既有来自外部的黑客，也有来自内部的不怀好意的用户。

因为基于WEB的应用系统可以通过任意浏览器进行访问，用户往往更容易访问到这些系统，从而在一定程度上可以通过这些系统绕过内部的安全控制。

对大多数公司来说，WEB应用系统已经成为安全的边界。使用WEB安全网关是确保这些系统安全的唯一途径。然而，考虑到WEB应用的多样性，WEB安全网关往往只有在针对具体的应用精心配置后才能有效地承担起应用保护的角色。没有正确部署的WEB安全网关往往会阻断合法用户对系统的正常访问，甚至没能起到应有的左右而让黑客长驱直入。

WEB安全网关是一种新型的可以保护WEB系统免遭攻击的网络及应用安全设备。它通过执行非常细粒度的安全策略来保证WEB应用系统自身以及系统数据免遭各种攻击。得益于WEB安全网关所使用的突破性技术，这些安全策略能够非常容易地适应各种WEB应用系统，从而满足所有的安全需要。

WEB 安全网关为WEB应用提供了全面的应用层保护，它不但能抵御目前已知的攻击及其变种，还能抵御未知的攻击。

需要特别指出的是，WEB安全网关通过自己独特的WEB对象混淆技术，大大提高了攻击者的技术门槛，甚至能使大部分的普通攻击者无从下手；独创的安全令牌技术则能彻底防止WEB应用对象被篡改和伪造。由于攻击者无法篡改和伪造WEB请求数据，攻击便无法实施。此外，通过与WEB应用紧密相连的安全策略的配合，WEB安全网关能严格限制合法用户的行为，避免了对系统受限资源非法的访问。

融合可靠的应用层过滤技术和先进的数据加密技术， WEB安全网关完全能为企业级的WEB应用提供完整的安全解决方案。

2.2 Web安全网关的选型

根据用户网络的应用需求，推荐使用Web安全网关产品可以满足了网络需求，很好的解决了对Web服务器的防护和管理功能。

具体功能如下：

2.2.1 基于黑名单的攻击过滤器能阻断目前大部分的常见攻击

（1）SQL注入

（2）跨站脚本攻击

（3）已知的蠕虫和系统漏洞

（4）对敏感资源和数据的非法访问

（5）其他系统溢出攻击

2.2.2 基于白名单的防御引擎能阻断任何非法的攻击

（1）伪造用户输入数据

（2）非法的应用访问流程

（3）Cookie滥用

（4）HTTP请求劫持

2.2.3 完备的网络层安全和服务提供整体防御

（1）状态检测防火墙

（2）IP/端口过滤

（3）应用层DDOS防护

（4）SSL 加速

2.2.4 灵活多变的伪装技术使系统逃避探测和攻击

（1）防止对服务器操作系统和WEB服务器的指纹探测

（2）自定义错误页面防止敏感信息泄露

（3）删除网页开发工具信息以及代码注释，使黑客无法获取重要的信息

（4）防止服务器端代码泄露

2.2.5 丰富的日志提供强大的报表和审计功能

（1）详细的系统日志和访问控制日志

（2）丰富的WEB资源访问统计报表

（3）详细的攻击统计报表

（4）支持标准的syslog日志服务器

（5）基于XML的日志数据便于与外部系统集成

2.3 Web安全网关的部署

WEB安全网关能根据用户的需要采用多种部署方式。标准的设备部署在Web服务器前面，配置过程可以在几个小时内完成，WEB安全网关可以抵抗绝大部分常见的攻击。通过在标准部署基础上进行高级的安全策略调整，可以根据需要提供最高级别的安全，彻底杜绝攻击发生的可能。

2.4 Web安全网关的作用

2.4.1 最大可能地减少针对WEB的攻击

随着越来越多的基于WEB的应用系统投入使用，越来越多的敏感数据被暴露在当前的系统无法解决的安全威胁之下。一旦攻击得逞，损失便大的无法接受。使用WEB安全网关能最大可能地减少针对WEB应用的攻击。

2.4.2 避免敏感信息被盗，符合行业安全规范

当今很多行业如银行和电子商务等行业都有自己的安全规范，符合这些安全规范是业务正常开展的基础。目前WEB应用系统是黑客们为了获取诸如客户信息等敏感数据而寻找的最主要的攻击目标，每年因为针对应用层的攻击而导致的损失都高达己亿美元。WEB安全网关是解决敏感数据经由WEB系统被盗窃这一棘手的安全问题的最重要也是最有效的途径。

2.4.3 无须安全补丁，保护已有投资

因为知道应用系统容易遭受各种攻击，IT部门需要不间断地监控各站点并且安装各种最新的补丁。因为如前所述，WEB安全网关能阻止各种针对WEB应用和WEB服务器的攻击，从而大大降低了系统对补丁的依赖性。此外，对于存在安全漏洞但是因为其他原因无法进行升级的旧有系统，WEB安全网关也能保证系统能安全地运行，从而保护了客户的投资。

2.4.4 安全便捷，使用简单

WEB 防火墙部署非常容易，通过向导可以很快地完成设备的初次安装。因为WEB安全网关是网络层的设备，因此可以和任何WEB服务器配合使用，并且对WEB应用是透明的。

总之，WEB安全网关提供基于WEB的配置界面，操作简单明了，维护成本非常低。此外，WEB安全网关还提供了丰富的日志信息，为安全审计提供了便利。

[作者简介]郝维嘉（1962-），男，高级工程师，主要研究方向为计算机应用设计、软件开发。