网络安全(network security)是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
漏洞(vulnerability)代表计算机的脆弱性。它是计算机系统在硬件、软件及协议的具体实现上存在的缺陷。漏洞一旦被发现,就可以被攻击者用以在未授权的情况下访问或破坏系统。
网络安全漏洞是指在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。它存在于计算机网络系统中的、可能对系统中的组成和数据造成损害的一切因素。
网络安全漏洞分类
网络安全漏洞形式多样,但究其承载来源来看,主要分为以下五类:
主机和网络设备安全漏洞
主机和网络设备承载了整个互联网的运行,相应的其存在的安全问题直接威胁整个互联网的安全。对于其中的安全问题可以通过专业的安全设备对自己所属的设备资产进行漏洞扫描,从而发现存在的安全隐患,可对探测出的漏洞下发相应责任人在指定期限内进行整改修复。
Web安全漏洞
随着基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码 ,使得网站访问者受到侵害,类似可被利用安全漏洞统称为WEB安全漏洞。
App安全漏洞
智能机的性能的飞跃使得互联网的大部分应用兼容手机应用,手机应用的安全性就显得尤为重要,手机应用的安全性主要从APP安装包、APP web应用的安全进行漏洞测试和漏洞修复。
新业务安全漏洞
新业务安全漏洞指的是业务上线之初,由于线上业务进行安全测试需要考虑到业务的稳定性,部分漏洞无法进行很好的安全测试,因此而产生的安全漏洞,需要在业务上线前进行全面测试,避免类似隐患。
源代码安全漏洞
源代码漏洞是指在程序设计之初,由于考虑不周等问题,导致写代码的时候,一些代码写的不完善,由此留下了可以被侵入的后门,从而产生的可能会对程序本身、系统或数据带来潜在危害的代码问题。源代码问题一旦被不法分子发现、利用,所造成的危害不可估量。代码漏洞可以表现在很多方面,算法本身或者代码本身的问题都可能会造成代码漏洞。
网络安全漏洞的发现与解决
主机和网络设备安全漏洞
主机和设备漏洞扫描可以通过评估工具以远程扫描的方式对评估范围内的系统和网络进行安全扫描。通过扫描发现网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁,并对检查出来的弱口令、高风险漏洞进行手工验证。系统安全扫描在完成扫描后提交扫描结果、汇总表和报告,由安全服务厂家技术人员将现场协助对扫描结果进行分析,并提供相应的技术建议,并追踪漏洞漏洞修复情况,漏洞修复之后进行再次扫描验证漏洞是否修复,通过周期性循环此环节解决主机和网络设备安全问题。
Web安全漏洞
Web安全可通过安全设备和人工渗透测试两种方式主动探测查找出安全漏洞,然后通知相关负责人进行漏洞修复进行解决。使用Web安全扫描设备对网站资产开展周期性安全扫描、对扫描出漏洞进行漏洞验证,确认漏洞是否存在。对漏洞整改提出可落地的漏洞修复建议。对网站资产开展定期渗透测试,深度全面发现各类网站漏洞,确保网站资产安全。Web渗透测试则遵循明确的测试方案,从主机设备、网络协议、web应用、手机APP、等方面进行全面的渗透测试,在确保覆盖年度owasptop10等主流类型的网站漏洞基础上检测出更多类型的漏洞。
App安全漏洞
APP安全采用安全专家与半智能化工具相结合的服务方式,主动发现应用(包括Android和IOS)存在的安全风险和漏洞,漏洞发现主要从源代码保护,身份鉴别,权限管理,会话管理、数据存储安全、敏感信息安全、数据传输安全、异常处理、日志审计等方面进行APP安全检测发现,针对发现的漏洞提出合理整改意见,协助开发厂商对应用进行加固与修复,持续优化移动应用安全风险管控体系。
新业务安全漏洞
上述安全测均是基于现有存在的业务的安全解决,由于线上业务在进行安全测试需要考虑到业务的稳定性,部分漏洞无法进行很好的安全测试,由此对于新上线的业务应从上线之前进行安全漏洞的彻底排除。新上线业务可将业务部署到执行的仿真业务测试环境中,有测试方提供较高权限的账号和权限进行全方位的安全测试,在此方案下解决上线之前解决安全问题,保护客户资产。
对新上线的业务系统及新上线设备进行以下安全检查方案:
1)安全漏洞检查并提供加固建议;
2)安全配置合规检查,依据集团安全配置规范,并提供相关系统的针对性加固规范书;
3)应用系统配置安全检查;
4)新上线业务如有互联网IP,须在互联网渗透测试;
5)新业务的安全域规划和边界访问控制策略;
6)网络改造协助提供安全审计、建议和整改方案;
7)新上线业务有Web网站,对网站程序全面检查,提供应用安全加固建议。
源代码安全漏洞
以上几种安全检测均属于黑盒模糊测试,该种测试依靠安全工具和安全人员的经验来进行安全测试,此过程中必定存在测试盲区。由此需要进行代码审计,代码审计以人工和工具相结合互补的方式进行审计,彻底解决安全存在代码中的根病问题。代码审计工作方法从以下三方面开展:
1)应用访谈:主要通过对开发人员的安全访谈,审计应用系统整个安全架构和相应安全防护措施,评估其是否符合国际主流的安全架构设计要求。
2)工具审计:主要对和安全相关的几大环节代码进行工具扫描,发现程序代码是否存在病毒、常见安全漏洞等问题。
3)人工审计:人工对关键环节的代码以及进行逐行代码审计,分析程序代码安全性,发现安全漏洞,并对工具审计和应用访谈结果进行核实和验证,保证检查的完整性和真实性。
总结
网络安全问题主要存在于网络协议、网络设备、操作系统、系统服务等方面,本文针对上述几类网络安全漏洞进行分析,并在此基础上剖析提炼容易出现网络安全漏洞的相关业务和设备,从网络安全漏洞的发现和解决两个维度进行探讨,通过设备主动探测主机、Web、App存在的漏洞,然后进行渗透测试和代码白盒审计补缺工具漏洞扫描的不足,最后通过监控平台进行实时漏洞发现与威胁感知,及时预警网络安全漏洞的存在,以便及时整改修复漏洞,避免产生更大的安全事故,确保业务和系统的网络安全、稳定,促进社会的和谐发展。
天磊卫士,网络信息安全服务供应商,专业且经验丰富的团队,提供基于自身核心竞争力的专业级网络安全产品、安全解决方案和安全运营服务,成为最受用户信赖的网络安全企业。
如发现本站有涉嫌抄袭侵权/违法违规等内容,请联系我们举报!一经查实,本站将立刻删除。
