关注网络与数据安全
电子政务外网建设是当前政府信息化建设的重点内容,其以资源整合、平台共享、高效服务为目的。电子政务外网平台既是展示政府形象、服务百姓的便捷窗口,又承载了各级厅、局、委、办的电子政务外网应用,政务外网的建设加快了政府从行政管理职能向服务型职能的转变,也大大提升了政务效率,但如何不断优化电子政务外网平台,提供信息安全保障等级,防范信息安全风险,打造高效、稳定的政务外网仍然是各地政府不断努力的方向。
政务外网与内网不同,其作为政府部门与外界沟通的窗口,以互联网为承载平台,但是由于互联网的自由、开放等特性,政务外网由网内人员不当网络访问行为所带来的威胁与隐患日益凸显出来。例如:
...
挑战:数据库保护
近几年,许多公司为保护自己的IT基础设施所做的大部分努力主要集中在外部,即如何保护公司免遭外部入侵、黑客以及恶意攻击。目前,公司网络已经在安全上获得了一定的改善,获得了更深层次的保护。但是,数据层仍是公司IT基础设施的软肋。
数据库中包含很多敏感且宝贵的数据:例如有关客户、事务、财务业绩以及人力资源的信息。尽管如此,数据库仍是公司受保护最少的领域之一。虽然外部和网络安全措施对某些攻击类型起到了防御作用,但是仍有一些攻击类型能够利用数据库特有的漏洞进行攻击。
...
刚要的iiScan邀请码,速度测试……网址是:http://www.iiscan.com/
注册就不说了,填写邀请码即可,然后会给你发邮件,验证下就OK。
界面相对来说很简洁,一眼就看明白了:
FortiDB 系列产品提供集中管理、企业级、数据库自动坚固等功能,它具有快速实施、支持行业和政府的各种法规的特点,可以评估企业数据库的安全弱点,提高企业数据库的安全性。DBA可以快速掌握这些工具,安装容易,界面直观,满足各种法规(PCI-DSS, SOX, GLBA, HIPAA)的要求,可以直接生成报告。为FortiDB专门设计的硬件设备可以方便快速的部署在网络中,自动数据库发现功能可以跨过子网和广域网边界快速发现网络上的所有数据库,通过脚本的定时执行来发现数据库的漏洞和与法规相违背的部分。设备预先内置了几百条策略,这些策略涵盖了企业和政府的规范、数据库安全的最优方法、已知的数据库漏洞、与数据库安全相关的操作系统问题和数据库访问权限等。一套全面的基于标准的图形报告功能内置于系统中,可以迅速产生报告。
...
昨天游侠写过一篇文章 [关于几个免费在线挂马检测网站] ,说到了北京知道创宇公司的“知道网站安全体检中心”,他们的工作人员很及时的给我发了个内测账号,这里大体说下。当然网址是 http://www.scanv.com 大家可以去申请内测账号。
网上经常有朋友问游侠(www.youxia.org),有什么好的WEB应用安全扫描产品,这里大体的说下。
国内这类产品不算多,当然国外也不算多,数来数去,就那么几个,画个图看看:
商业产品*国外
·Acunetix Web Vulnerability Scanner 6:简称WVS,还是不错的扫描工具,不知道检查的太细致还是因为慢,总之经常评估一个网站的时候一晚上不关电脑都扫描不万……但是报表做的不错。一般用这个扫描的话,不用等那么久,像区县政府的,扫20分钟就差不多了。
·IBM Rational AppScan:这个是IBM旗下的产品,扫描速度中规中矩,报表功能相当强大,可以按照法规遵从生成不同的报表,如:ISO27001、OWASP等,界面也很商业化。
·HP WebInspect:没错,的确就是卖PC的HP公司旗下的产品,扫描速度比上面的2个都快得多,东西还算不错。不过这几天在和NOSEC(下面说的“诺赛科技”)掐架,愣是说NOSEC的iiScan免费扫描平台侵犯隐私,说NOSEC有国家背景……这市场了解的!
·N-Stealth:没装成功,不过很多地方在推荐这个
·Burp Suite:貌似是《黑客攻防技术宝典·WEB实战篇》作者公司搞的,安全界牛人。虽然工具没用过,但是这本书的确是不错……如果您做WEB安全,游侠强烈建议您读一下。
商业产品*国内
·智恒联盟 WebPecker 网站啄木鸟:程序做的不错,扫描速度很快。
·诺赛科技 Pangolin、Jsky:Pangolin做SQL注入扫描,Jsky全面评估,就是上文说的NOSEC,网上扫描平台是iiScan,后台的牛人是zwell。
·安域领创 WebRavor:记得流光(FluXay)否?是的,WebRavor就是小榕所写!小榕是谁?搜下……不用我介绍了吧?
·安恒 MatriXay 明鉴WEB应用弱点扫描器:还没用过,和NOSEC一样,也有网上扫描平台。
·绿盟 NSFOCUS RSAS 极光远程安全评估系统:极光扫描系统新增的WEB安全评估插件,在某客户处见到过扫描报告,不过没用过产品。依照绿盟的一贯风格和绿盟的实力,应该不错。
免费产品
·Nikto:很多地方都在推荐,但游侠本人实在不喜欢命令行产品……各位喜欢的Google或Baidu下吧
·Paros Proxy:基于Java搞的扫描工具,速度也挺快,在淘宝QA团队博客也看到在介绍这个软件。
·WebScarab:传说中很NB的OWASP出的产品,不过我看下载地址的时候貌似更新挺慢
·Sandcat:扫描速度很快,检查的项目也挺多。机子现在就装了这个。
------------
·NBSI:应该说是黑客工具更靠谱,国内最早的,可能也是地球上最早的一批SQL注入及后续工作利用工具,当年是黑站挂马必备……
·HDSI:教主所写,支持ASP和PHP注入,功能就不多说了,也是杀人越货必备!
·Domain:批量扫描的必备产品,通过whois扫描服务器上的服务器,在很长一段时间内风靡黑客圈。
------------
·Nessus:当然它有商业版,不过我们常用的是免费版。脆弱性评估工具,更擅长于主机、服务器、网络设备扫描。
·NMAP:主要倾向于端口等的评估。
·X-Scan:安全焦点出品,多少年过去了,依然是很强悍的产品。大成天下曾经做过商业版的“游刃”,但最近已经不更新了,很可惜。
其实能做评估的工具还有很多,如:
·Retina Network Security Scanner
·LANguard Network Security Scanner
·榕基RJ-iTop网络隐患扫描系统
不过和Nessus和NMAP一样,主要倾向于主机安全评估,而不是WEB应用安全评估。但我们在WEB安全评估的时候,不可避免的要对服务器做安全扫描,因此也是必然要用的工具。
好了,大体的也说了下,各位感兴趣的可以在网上找下相关资料或下载。看完感觉有点收获的,就转发给您的朋友吧。现在都凌晨了,刚敲完……游侠(www.youxia.org)在此谢过了!
作者:张百川(网路游侠)
网站:https://www.youxia.org
转载请注明来源!谢谢合作。
目前网络协议分析类产品火爆的很,游侠(www.youxia.org)其实在几年前就在关注这个市场,目前应该说已经做的如火如荼,但是貌似依然有很多人对这类产品认识有偏差,简单说几句:
网络协议分析类产品基本上就是三类:
从功能上来说,网络协议分析类产品基本上要做到:WHO、WHEN、WHERE、WHAT。不明白?看图就明白了:
1、行为管理
上网行为管理大家应该不陌生了,功能上来说:按照时间策略进行网络管理、按照IP/MAC策略进行网络管理、按照帐号策略进行网络管理,现在某些厂家大力推广其“千万级”URL分类库,相当有派头。
应用场景:
游侠是某公司网络管理员,某日BOSS说:N多人上班时间炒股票、玩游戏,200人每天浪费1小时就是200小时啊!我给他们发工资,这都是我的血汗,立刻把这些干掉!于是,于是……于是我只能祭出网络行为管理产品,让所有的人在上班时间无法登录股票网站、无法炒股软件、无法打开游戏网站、无法玩网络游戏……BOSS于是满意了……脸上洋溢着得意的笑容!
上网行为管理产品的难度也就在于URL分类库,即使是上面说到的千万级(可都是中文呢!)URL分类库,也经常有问题,如某误分类等。游侠在测试某上网行为管理产品的时候,发现我的www.youxia.org是属于“生活类”网站。
典型产品:网康、深信服、瑞达时代、网际思安、金盾、绿盟、陕西电信天御五行(本处只是随手举例,和市场份额无关、和厂家名气无关、和其人品无关……等等。比较谦虚,自家产品放在最后,有意者可以和游侠本人联系)
2、流量控制
流量控制产品在企业中也是需求非常多的,特别运营商、大学、大型企业,你在10M光纤的时候,上网很卡,升级到100M,发现快了十天半月之后又是很卡!于是BOSS开始发飙:网关!你丫花老子钱,一年十几万,为何比10M的时候快了一点点?!给哥解释!神啊,最见不得BOSS发飙了……
为什么10M到100M速率上×10,但是实际用的时候只感觉×2呢?——因为10M的时候他在土豆网掘土豆卡,100M的时候不卡了,并且普清换高清了;因为以前在单位下电影只有100K,在家下电影120K,他都在家下电影,现在公司100M,所以都在公司下周了;因为……啥?为何有十天半月的“蜜月期”?因为那些电影狂人还没买来新的1TB的超大移动硬盘!
网络流量控制难点在于应用协议分析,请注意我这里说的是“应用协议”分析,而不是“网络协议”分析。迅雷、eMule、百度下吧……等都是应用协议,而不是网络协议。并且这些都在一直变换、升级,如迅雷就有完整版、mini版、WEB迅雷等版本,都需要控制,并且会不定时更新。
典型产品:Allot、Cisco、L7、AceNet、QQSG、不得不说的NB产品Panabit……
3、协议审计
这里说的协议是彻底的网络协议,如:HTTP、FTP、SMTP、POP3、ARP、ICMP、UDP、ARP等。要做的事情是什么呢?当然HTTP、SMTP、POP3这块基本上和本文第一部分“行为管理”部分是很相似的。但是一般来说并不要求控制,仅要求审计。但……
大家知道,对于航空、航天、兵器、政府能纯内网而言,FTP等也是相当重要的部分,很多场景下需要对文件服务器操作进行审计,那么就需要FTP协议的审计;内网ARP病毒泛滥的时候,ARP协议审计就派上了用场!分级、等级保护等要求对邮件流向做控制,那就需要对SMTP、POP3协议做审计……
还有一些是比较偏门的,如管理员需要通过SecureCRT、SSH等管理Unix、Linux服务器,那么需要对SSH操作进行审计——什么?SSH加密?目前通过Cain就可以抓到SSH v1的内容,当然SSH v2还是比较保险的,但是如果需要操作审计,也是有办法进行审计的。另外管理员通过telnet管理交换机,也可以进行审计。
典型产品:启明星辰、绿盟、汉邦、天融信、联想网御、网御神州、帕拉迪、奇智……
其实目前很多产品都是综合型的,有些产品覆盖了上述1、2、3的所有部分功能,有的则是术业有专攻,大家可以根据自己的需求进行选择。另外请大家谨记:记录电子邮件内容、记录IM聊天内容等涉及个人隐私的“监控”行为(注意我用的是“监控”而不是“审计”)是与我国法律相悖的。
补充一下:
有些产品现在往往只注重一个功能,衍生出了产品,如:发帖审计系统、数据库审计系统、邮件审计系统等。另外本文只分析了硬件产品,软件产品没有分析。
版权声明:张百川(网路游侠)https://www.youxia.org
信息与网络安全从业者QQ群:53651293,可容纳500名专业网安从业者的超级QQ群欢迎您的加入!
漏洞扫描可以执行预定的或事件驱动的网络探测,包括对网络通信服务、操作系统、路由器、电子邮件、Web服务器、防火墙和应用程序的检测,识别能被入侵者利用来进入网络的漏洞。网络漏洞扫描系统把极为繁琐的手工安全检测,通过程序来自动完成,这不仅减轻管理者的工作,而且缩短了检测时间,使安全问题更早被发现。通过漏洞扫描系统,可以把安全专家积累的安全评估知识和评估能力转移给系统管理员,让系统管理员轻松地了解网络的不安全因素、操作系统的安全漏洞、主机是否被安装了窃听程序、防火墙是否存在配置错误等等。及时发现网络漏洞,并在网络攻击者扫描和利用漏洞之前予以修补,有效提高网络的安全性。
产品特色
超强的扫描能力:支持Nessue的脚本库,支持超过12000种的网络安全隐患的探测能力
趋势内控堡垒主机具备强大的输入输出审计功能,不仅能够详细记录用户操作的每一条指令,而且能够将所有的输出信息全部记录下来,并且趋势内控堡垒主机具备审计回放的功能,能够模拟用户在线操作过程,大大丰富了内控审计的功能。趋势内控堡垒主机能够在自身记录审计信息的同时在外部某台计算机上做存储备份,可以大大增强审计信息的安全性,保证审计人员有据可查。
近年来,随着科学技术的不断进步,越来越多的涉密信息以数据的形式保存在计算机和服务器中, 这种存储方式大大提高了工作效率,但也增加了泄密的危险,网络、笔记本、U盘等移动存储介质的普及更让这种风险雪上加霜。面对严峻的安全形势,如何保证涉密信息安全,并有效防止泄密事件的发生,成为摆在每个网络管理人员面前的难题。俗话说:知己知彼,百战不殆,下面就让我们来分析一下涉密文件都存在哪几种泄密途径,从而找出相应的对策。
一、涉密存储介质管理失控:
2007年11月,英国税务及海关总署丢失两张重要数据光盘
去过很多单位,很多负责信息安全或安全保密的管理人员或技术人员对网络安全漏洞的危害并不清楚,不知道前一段的《密战》让多少人感觉必须增强保密意识?必须增强安全防范手段?
看到Nessus发布了最新版本:4.2.0,而我笔记本电脑安装的还是4.0.2,于是下载了个,装在虚拟机看看。
关于Nessus游侠就不多说了,作为这个星球上最知名的网络隐患扫描系统(并且可以免费使用),Nessus居然没有中文版……这一点……下面我简单的说下Nessus 4.2.0的安装、使用。
Nessus 4.2.0下载地址:http://www.nessus.org/download/
我下载的是Nessus 4.2.0 for Windows的版本,广泛适用于Windows XP, 2003, Vista, 2008 & 7,有32 bit和64 bit的可以用,按照自己需求下载就可以了,我下载的32 bit的。
安装不说了,相信看本文的都会,如果不会——建议找本Windows基础看看 🙂
装完后,在菜单选择:
当然,你需要获取一个“activation code”,这个在上图点击后的“主界面”获取就OK了。
下一步,需要“Update Plugins”,简单说就是升级插件,也就是漏洞库升级。需要周期较长,需要等待,淡定的等待……可以在论坛灌灌水、可以在农场偷偷菜!总之时间较长,需要淡定!
升级完后,点上图的“Manage Users”,添加一个属于你的账户。添加界面如下图:
Nessus 4.2.0和上一个版本4.0.2最大的区别就是从C/S模式改为了B/S模式,就是说你访问系统的时候可以直接通过浏览器,而不必要再安装一个可执行文件,远程的计算机也可以访问。在上面的帐号添加好之后,打开浏览器,输入你安装Nessus主机的地址,主要是https方式而不是http方式访问,端口是8834,如我的访问地址就是:https://192.168.1.121:8834/,输入刚添加的帐号和密码就Ok了。
主界面上面有4个按钮,分别是:Reports(报表)、Scans(扫描)、Policies(策略)、User(用户),其实也很简单,一眼就能看出来有什么作用。在User我们能进行用户的管理,增加、修改、删除账号,如:User→Add则会提示:
输入相关信息即可,当然你可以选择这个账号是否是Administrator(管理员)。
要进行安全评估,则首先要制定扫描策略,然后添加扫描范围,才能进行扫描,扫描完毕可以查看报表。就是上面说的几个按钮的用途。下面我们增加扫描策略:Policies→Add
基本上只要写“Name”即可,如果选择了Visibility为Shared,则别人也可以利用你这个策略进行扫描。填好后“Next”即可看到下面的界面:
我现在要扫描Windows主机,则在最上面选择“Windows Credentials”即可,下面的可以为空。然后“Next”
选择“Families”即可,就是你要扫描什么设备,实际上如果只扫描跑WEB服务的Windows主机,选择下面四个就可以了。选择好后“Next”,下一步可以设置数据库信息,不写了,直接“Submit”就完成。
添加完策略后,增加一个扫描任务,ScanS→Add
输入扫描任务的名称、选择我们刚才建立的策略、输入扫描目标(IP或域名)后点“Launch Scan”,扫描任务就开始了!亲爱的,我们现在就正在扫描了!新手激动?嘿嘿
一会儿就扫描完了,扫描过程中可以在“Scans”和“Reports”查看状态,扫描完后就可以在Reports下面看到Status为“Completed”。
这时候双击“WEB Server -- YouXia”就可以查看报告了。
左侧的“Download Report”可以下载评估报告;“Show Filters”可以设置过滤器,比如只显示高级别报警,这样就可以按照威胁级别进行准确筛选。
双击“Host”可以列出详细的漏洞评估报告。如哪个端口存在威胁,级别是多少。你在这里依然可以双击,双击某个端口就可以显示详细信息。我在这里选择1433。双击后可以列出有3个高级别报警。
双击某一个可以显示详情。
概要、描述、方案、CVSS、CVE编号等,当然你可以选择“Download Report”导出你生成的日志到本机保存,这样更便于分析。
好了,各位,Nessus 4.2.0就说到这里,主要是和上个版本相比,评估人员控制台从C/S变成了B/S,更适合大项目多人协作评估,界面也更加友好。是不是跃跃欲试了?
现场直播到此结束,网路游侠(www.youxia.org)感谢各位的收看……再见!
计算机安全保密管理检查工具是针对各级保密局和各级党政机关、科研院所、大中型企业、军工企业等基层保密干部,进行安全保密检查与防范工作的安全产品。该产品可以方便、快捷、准确、全面地提供被检查计算机的违规及其它安全信息。重点检查涉密计算机是否违规上互联网和非涉密计算是否违规处理涉密信息,提供数据恢复与分析的深入检查,提供当前系统用户、口令、共享文件、开放端口、漏洞、系统是否有可疑病毒以及是否被后门病
当今的企业和组织在IT信息安全领域面临比以往更为复杂的局面。这既有来自于企业和组织外部的层出不穷的入侵和攻击,也有来自于企业和组织内部的违规和泄漏。
为了不断应对新的安全挑战,企业和组织先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、网闸,等等。这些安全系统都仅仅防堵来自某个方面的安全威胁,形成了一个个安全防御孤岛,无法产生协同效应。更为严重地,这些复杂的IT计算环境及其安全防
数据及涉密信息交换存在的安全问题
以USB 盘、移动硬盘为代表的无保护移动存储介质的出现,在极大的方便了数据交换、提高了数据存储便利性的同时也带来了极大的数据移动通道安全风险,面临问题如下:
·如何有效解决移动存储介质随意接入问题
·如何有效解决移动存储介质丢失出现的信息泄密问题
·如何有效解决移动存储介质使用跟踪和日志审计问题
“游侠安全网”微信公众号