張曉飛

（海門郵政局技術(shù)維護(hù) 江蘇 226100）

0 引言

網(wǎng)絡(luò)安全審計(jì)是近年來(lái)一個(gè)新興的名詞。隨著網(wǎng)絡(luò)上層出不窮的病毒傳播、木馬詐騙、信息竊取、0day爆發(fā)等事件的發(fā)生，以及“斯諾登泄密”事件的持續(xù)發(fā)酵影響。網(wǎng)絡(luò)安全越來(lái)越受到了人們的重視。網(wǎng)絡(luò)安全審計(jì)的重要性也因此得以逐漸體現(xiàn)。

1 網(wǎng)絡(luò)安全審計(jì)的概念

網(wǎng)絡(luò)安全審計(jì)。指的是在一定的授權(quán)條件下，以專業(yè)的人員和技術(shù)手段對(duì)相應(yīng)的網(wǎng)絡(luò)環(huán)境進(jìn)行系統(tǒng)、獨(dú)立的安全性檢查審計(jì)。從而發(fā)現(xiàn)系統(tǒng)漏洞、風(fēng)險(xiǎn)隱患、入侵行為或者事件追蹤。最后做出相應(yīng)的評(píng)估報(bào)告。供決策者與技術(shù)人員參閱。為后續(xù)的技術(shù)防范、策略制定、事件回溯、跟蹤取證提供及時(shí)的安全預(yù)警和有力的技術(shù)支持。

2 郵政企業(yè)網(wǎng)絡(luò)安全審計(jì)的必要性

信息技術(shù)的不斷發(fā)展使得郵政企業(yè)的網(wǎng)絡(luò)規(guī)模與日俱增。從內(nèi)部的生產(chǎn)網(wǎng)絡(luò)到外部的互聯(lián)服務(wù)，從門戶建設(shè)到電商平臺(tái)，從各類OA辦公到遠(yuǎn)程接入等等。郵政企業(yè)的每一步發(fā)展都加深著對(duì)網(wǎng)絡(luò)使用的依賴。日趨復(fù)雜的各類業(yè)務(wù)平臺(tái)與不同背景的用戶使用行為，給我們企業(yè)的網(wǎng)絡(luò)安全帶來(lái)了無(wú)數(shù)的潛在的風(fēng)險(xiǎn)。這種風(fēng)險(xiǎn)伴隨著計(jì)算機(jī)技術(shù)的普及，正呈現(xiàn)出爆發(fā)式的增長(zhǎng)。以較為代表性的國(guó)內(nèi)知名安全網(wǎng)站烏云漏洞提交平臺(tái)的統(tǒng)計(jì)。全國(guó)郵政企業(yè)在2012年度被提交的安全漏洞僅為12條。2013年約為65條。而2014年至7月底就多達(dá)84條。這個(gè)數(shù)字還在不斷的增長(zhǎng)中。從漏洞平臺(tái)提交的數(shù)據(jù)分析和企業(yè)的處理反饋，我們可以得出以下三點(diǎn)結(jié)論：

第一，大部分的漏洞技術(shù)含量并不是特別高深的；第二，我們的企業(yè)在網(wǎng)絡(luò)安全建設(shè)上的工作做的是不夠的；第三，郵政企業(yè)的網(wǎng)絡(luò)安全受到的社會(huì)關(guān)注度將越來(lái)越大。

因此，如何有效的做好郵政企業(yè)網(wǎng)絡(luò)安全防護(hù)，準(zhǔn)確掌握企業(yè)自身網(wǎng)絡(luò)安全狀況，及時(shí)發(fā)現(xiàn)安全漏洞，對(duì)安全事件準(zhǔn)確定位分析，乃至系統(tǒng)修復(fù)，追蹤取證，是我們郵政企業(yè)迫切需要重視面對(duì)的問(wèn)題。全面的系統(tǒng)分析、主動(dòng)的風(fēng)險(xiǎn)檢測(cè)、及時(shí)的危機(jī)預(yù)警、積極的安全防范。網(wǎng)絡(luò)安全審計(jì)為我們企業(yè)提供了一個(gè)很好的應(yīng)對(duì)和解決之道。

3 郵政企業(yè)網(wǎng)絡(luò)安全審計(jì)的范圍

郵政企業(yè)網(wǎng)絡(luò)安全審計(jì)范圍廣泛。涵蓋所有在網(wǎng)的計(jì)算機(jī)及各類網(wǎng)絡(luò)設(shè)備。簡(jiǎn)單來(lái)說(shuō)，按照使用環(huán)境，可分為內(nèi)部專用網(wǎng)絡(luò)和外部互聯(lián)網(wǎng)絡(luò)的安全審計(jì)。按照傳輸介質(zhì)又可劃分為有線網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)的安全審計(jì)。

內(nèi)部專用網(wǎng)絡(luò)是我們安全審計(jì)的重中之重。關(guān)系到企業(yè)核心業(yè)務(wù)的平穩(wěn)運(yùn)行。外部互聯(lián)網(wǎng)絡(luò)的安全審計(jì)主要包括各類服務(wù)查詢，網(wǎng)上銀行，電商平臺(tái)，OA辦公，以及網(wǎng)絡(luò)接入。在開放的互聯(lián)網(wǎng)環(huán)境下，它們極易產(chǎn)生各類網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。此類服務(wù)通常還需要關(guān)聯(lián)內(nèi)部專用網(wǎng)絡(luò)。因此，它是網(wǎng)絡(luò)安全審核計(jì)的核心部分。無(wú)線技術(shù)的極大發(fā)展在我們郵政企業(yè)的應(yīng)用上得以充份體現(xiàn)。但是人們往往容易忽視它所帶來(lái)的安全性問(wèn)題，它將不得不成為我們網(wǎng)絡(luò)安全審計(jì)長(zhǎng)期關(guān)注的一個(gè)方面。

4 郵政企業(yè)網(wǎng)絡(luò)安全審計(jì)的內(nèi)容

郵政企業(yè)網(wǎng)絡(luò)安全審計(jì)的主要內(nèi)容包涵以下幾個(gè)方面：

4.1 網(wǎng)絡(luò)環(huán)境審計(jì)

網(wǎng)絡(luò)環(huán)境審計(jì)主要針對(duì)網(wǎng)絡(luò)環(huán)境安全性，資源配置科學(xué)性，設(shè)備分布合理性，使用規(guī)程規(guī)范性等等進(jìn)行整體、系統(tǒng)性安全性檢測(cè)。網(wǎng)絡(luò)環(huán)境審計(jì)內(nèi)容點(diǎn)多面廣。涵蓋郵政企業(yè)容易產(chǎn)生網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的方方面面。

4.2 應(yīng)用服務(wù)審計(jì)

針對(duì)網(wǎng)絡(luò)應(yīng)用服務(wù)進(jìn)行的安全審計(jì)，主要檢查各類服務(wù)器或核心平臺(tái)的應(yīng)用服務(wù)所產(chǎn)生的問(wèn)題，檢查各類服務(wù)端口。例如存在 BUG或設(shè)計(jì)缺陷的數(shù)據(jù)庫(kù)，網(wǎng)絡(luò)應(yīng)用，系統(tǒng)進(jìn)程以及存在安全隱患的各類對(duì)外服務(wù)。特別是對(duì)于各類上傳、下載、交互等應(yīng)用應(yīng)當(dāng)著重檢查。

4.3 代碼審計(jì)

代碼審計(jì)顧名思義就是檢查源代碼中的缺點(diǎn)和錯(cuò)誤信息，分析并找到這些問(wèn)題引發(fā)的安全漏洞，并提供代碼修訂措施和建議。由于郵政企業(yè)開發(fā)技術(shù)力量的相對(duì)薄弱，企業(yè)相當(dāng)多網(wǎng)絡(luò)應(yīng)用，服務(wù)建設(shè)，腳本程序的開發(fā)都依賴于第三方公司。既便是自行開發(fā)的，也有不少是直接套用，拼接現(xiàn)成的網(wǎng)絡(luò)源代碼。設(shè)計(jì)開發(fā)人員的技術(shù)水平和安全意識(shí)，直接影響到了我們網(wǎng)絡(luò)的安全建設(shè)。比較流行的SQL注入、跨站腳本XSS、文件遍歷等漏洞，多數(shù)是因?yàn)榇a編寫中的疏漏而造成。應(yīng)當(dāng)嚴(yán)禁使用未經(jīng)安全審計(jì)的各類源代碼。

4.4 角色與權(quán)限審計(jì)

角色與權(quán)限審計(jì)的內(nèi)容廣泛，較為人們熟知。通常包括角色認(rèn)證，口令管理，授權(quán)范圍，使用者權(quán)限分配等等一些大家比較熟知的內(nèi)容。但越是熟知的東西往往越容易被忽視疏漏。角色與權(quán)限貫穿系統(tǒng)安全運(yùn)行的全過(guò)程。可以說(shuō)大部份的網(wǎng)絡(luò)安全隱患產(chǎn)生于這個(gè)方面的疏漏。嚴(yán)謹(jǐn)、適用、可控。應(yīng)當(dāng)是角色與權(quán)限審計(jì)的唯一標(biāo)準(zhǔn)。

4.5 日志與事件審計(jì)

日志與事件審計(jì)是針對(duì)各類系統(tǒng)的使用、發(fā)生、運(yùn)行、操作、更改、注銷等等事件信息。進(jìn)行實(shí)時(shí)或事后的詳細(xì)審核。它能夠使我們了解當(dāng)前或之前一段時(shí)間內(nèi)系統(tǒng)運(yùn)行的事件及狀態(tài)。及時(shí)調(diào)整優(yōu)化系統(tǒng)的相關(guān)配置，發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)。也能為事件的應(yīng)急響應(yīng)，事后的回溯和追蹤提供可靠的依據(jù)。

4.6 應(yīng)急響應(yīng)審計(jì)

介于目前網(wǎng)絡(luò)安全信息披露機(jī)制的欠缺。我們將不得不應(yīng)對(duì)隨時(shí)可能爆發(fā)的各種網(wǎng)絡(luò)安全危機(jī)。從Apache Struts2 漏洞到最近的的OpenSSL的Heartbleed漏洞。各種0DAY或Bypass的突然披露都在考驗(yàn)著企業(yè)的危機(jī)應(yīng)急響應(yīng)能力。是否能在安全風(fēng)險(xiǎn)暴發(fā)的第一時(shí)間及時(shí)的處理、化解危機(jī)。全面的審計(jì)企業(yè)可能存在的關(guān)聯(lián)風(fēng)險(xiǎn)。發(fā)出安全預(yù)警。是應(yīng)急響應(yīng)審計(jì)的關(guān)鍵任務(wù)。

4.7 滲透測(cè)試

滲透測(cè)試是一種有效的評(píng)估網(wǎng)絡(luò)系統(tǒng)安全性的老辦法。如今越來(lái)越多地被許多企業(yè)和組織用來(lái)檢驗(yàn)網(wǎng)絡(luò)安全的真實(shí)狀況。從而使安全隱患在完全暴露之前就得以修復(fù)。直觀的幫助企業(yè)理解實(shí)實(shí)在在將面對(duì)的風(fēng)險(xiǎn)。促使企業(yè)采取措施解決安全問(wèn)題，提高安全意識(shí)。需要值得注意的是對(duì)滲透測(cè)試團(tuán)隊(duì)的技術(shù)水平和職業(yè)操守應(yīng)當(dāng)作嚴(yán)格的要求與遴選。確保安全風(fēng)險(xiǎn)的有效可控。

5 結(jié)語(yǔ)

郵政企業(yè)在飛速發(fā)展的今天，網(wǎng)絡(luò)安全防范意識(shí)有了較大的提高。歷年來(lái)，在網(wǎng)絡(luò)安全防范方面，資金、人力、物力的投入是有目共睹的。各種Firewall，IDS，IPS等設(shè)備相繼投入使用。但一些思維觀念，思維方式仍需不斷轉(zhuǎn)變。設(shè)備的投入使用不足以完全替代人的作用。且不談各種設(shè)備良莠不齊技術(shù)性能與檢測(cè)規(guī)則的更新能力。現(xiàn)實(shí)中各種0Day，Bypass的涌現(xiàn)著實(shí)證明了在網(wǎng)絡(luò)技術(shù)突飛猛進(jìn)的當(dāng)下，今天的技術(shù)也許就會(huì)被明天淘汰。各種危機(jī)事件的爆發(fā)，不斷的證明著技術(shù)的發(fā)展總是領(lǐng)先于被動(dòng)的應(yīng)對(duì)。因此，積極主動(dòng)的網(wǎng)絡(luò)安全審計(jì)，在這種快速發(fā)展的潮流中孕育而生。它不僅能夠幫助我們找到網(wǎng)絡(luò)安全“木桶理論”中最短的那一塊板。更可為我們郵政企業(yè)的騰飛保駕護(hù)航！