《网路环境下之系统安全评估.ppt》由会员分享,可在线阅读,更多相关《网路环境下之系统安全评估.ppt(26页珍藏版)》请在金锄头文库上搜索。
1、網路環境下之系統安全評估System Security Evaluation for Computer Networks指導教授:陳年興博士研究生:林秉忠報告大綱研究背景研究動機與目的研究方法系統安全漏洞分類方式網路安全檢查方法案例探討結論與建議研究貢獻後續研究方向研究背景網路及網站安全之重要性網際網路發達對電腦網路安全造成的衝擊電子商務造成網站入侵更加有利可圖政府電子化後使得網路安全與國家安全關係更加密切電腦網路安全已經成為大家都必須正視的課題研究動機與目的解答網路系統管理者的三大問題l如何判別系統是否有漏洞,以及系統有哪些漏洞? l如何藉由收集到的系統漏洞資料評估網路系統的安全狀況? l了
2、解目前網路安全的弱點後,如何改善網路系統安全的現況?幫助網路系統管理者了解並改善現況研究方法研究範圍與假設系統安全漏洞的分類 網路安全檢查方法依照所提出的檢查方法及分類方式進行個案調查系統安全漏洞分類方式系統安全漏洞分類方式(續)網路安全檢查檢查方法共有六大步驟lInterNIC 資訊之收集 lDNS 資訊之收集 l網路組態之探索 l網際網路服務之探索 l網路服務安全檢測 l實地訪談,並提出結論及建議 網路安全檢查檢查方法網路資訊收集InterNIC資訊收集DNS資訊收集選擇測試對象網路組態的探索網路服務的探索服務網路安全檢測結論與建議路由的追蹤SNMP資訊的收集個案探討個案探討中包括了三個不
3、同環境之網路Class C 網路為 Internet 構成之基本元件,探討網路上單一 Network 應該注意之事項Class B 為數個元件之所構成,探討點與點之間的互動關係全國網站檢查探討國內網路安全的大致狀況個案探討 高雄某機構由於其業務處理與人民財產攸關之資料,所以特別注重網路安全為一 Class C 網路,以 Windows 環境為要工作平台其環境與一般中小企業相當類似個案探討 高雄某機構重大問題lDNS 可以任意進行 Zone Transfer,並且沒有設定備援之 DNSlRouter 上之 SNMP 採用預設密碼,並且沒有設定存取控制 ( Access Control List
4、)l採用之 IIS 4.0 伺服器有重大缺陷,使得入侵者可能獲得 Web 管理者權限個案探討 高雄某機構建議事項l更動 Firewall 設定,將對外服務放置於 DMZl修改 Router 上之 SNMP 密碼,並設定存取控制l修正 IIS 伺服器上之系統缺失l建議管理員注意最新之系統安全訊息個案探討 中山大學為一 Class B 網路,以 Unix 環境為主要工作平台其環境較類似於一大型企業個案探討 中山大學重大問題lDNS 可以任意進行 Zone Transferl系統管理者未注重安全,對於系統安全補漏之新訊息並未採用l系統管理員未審視系統紀錄l各子網路並未架設防火牆或者限制存取資源l系統
5、設定不正確l絕大部分通訊 (telnet/ftp 等) 仍採用明碼方式傳送個案探討 中山大學建議事項l各單位建置防火牆以控制不當存取l建議管理員關閉不必要之系統服務l建議管理員定期審視系統紀錄檔l各單位採用加密方式傳送資料l建議管理員注意最新之系統安全訊息個案探討 全國 Web 網站針對全國的 Web 網站進行安全檢查擁有跨平台的特性可以觀察到我國對網路安全的重視情形個案探討 全國 Web 網站重大問題l大部分的 Web 伺服器使用 Microsoft IIS 系列產品,有嚴重之安全問題l就伺服器端而言,存活率不到五成l有許多的伺服器上存在有問題的 CGI 程式,大部分問題出在系統內定的 CG
6、I 上l絕大部分的問題來源,不論就伺服器端或是 CGI 程式看來,都出現在使用 IIS 系列產品的伺服器上個案探討 全國 Web 網站建議事項l更新 Web 伺服器之版本l移除系統內定之 CGI 程式l建議管理員注意最新之系統安全訊息l政府應加強企業對網路安全之重視結論與建議對於網路上各個不同角色的個體建議採取以下措施以維護資訊安全個人用戶l備份個人重要資料及檔案 l安裝掃毒軟體l對於機密性資料運用加密軟體進行加密,或是存在無 Internet 連線之電腦之上 l注意檔案權限之設定,以免遭人竊取 l網路通訊採加密方式進行,如 SSH / SSLtelnet / ptelnet 等l攸關個人之重
7、要資料,如身分證字號、姓名、住址、電話、信用卡號等,盡量不要在網路上傳送 結論與建議(續)系統管理者 l採用各種系統安全稽核工具,例如 Tripwire、COPS、TIGER 等 l參考系統安全設定相關文獻,並關閉不必要之網路服務 l定期檢視系統紀錄檔 l定期進行系統備份 l建立網路安全重大事件聯絡之管道 l注意各網路系統安全研究相關機構發表之訊息 結論與建議(續)政府機關及企業 l加強系統稽核及員工安全控管 l採用網路安全加強機制,如防火牆、入侵偵測系統、網路安全掃描程式等 l機密資料離線儲存,或運用加密技術進行加密 l進行網路安全之風險分析,並採取適當之因應措施 結論與建議(續)ISP 業
8、者l提供網路使用者加密通訊之機制 l加強對網路基礎建設相關設施之保護 l促成保護消費者隱私及個人相關資料相關機制之建立 l建立網路危機及入侵事件因應機制 結論與建議(續)政府政策 l加速網路犯罪相關法律之審查與推行 l加強執法機關對網路犯罪偵查之能力 l增加對網路安全相關處理單位之經費,如台灣電腦危機處理中心 l鼓勵企業及 ISP 採取增進網路安全之措施 研究貢獻本研究提出一個新的網路安全漏洞分類方式,並且證明此分類方式可以有效的表現出網路之安全特性 提出了一個具體且可行的網路安全檢查方法 ,幫助網路系統管理者了解並改善網路安全之現況後續研究方向針對其他網路服務,如 Mail、pop3、ftp 等進行抽樣調查 針對本研究所提出之分類方式進行檢討及修正 針對網路安全漏洞之嚴重性評估,建立評估模式 針對網路安全漏洞之補漏,建立安全之流通管道 針對駭客之行為及文化進行調查及研究
