网路环境下之系统安全评估.ppt

1、網路環境下之系統安全評估System Security Evaluation for Computer Networks,指導教授：陳年興博士 研究生：林秉忠,報告大綱,研究背景 研究動機與目的 研究方法 系統安全漏洞分類方式 網路安全檢查方法,案例探討 結論與建議 研究貢獻 後續研究方向,研究背景,網路及網站安全之重要性 網際網路發達對電腦網路安全造成的衝擊 電子商務造成網站入侵更加有利可圖 政府電子化後使得網路安全與國家安全關係更加密切,電腦網路安全已經成為大家都必須正視的課題,研究動機與目的,解答網路系統管理者的三大問題 如何判別系統是否有漏洞，以及系統有哪些漏洞？ 如何藉由收集到的系統

2、漏洞資料評估網路系統的安全狀況？ 了解目前網路安全的弱點後，如何改善網路系統安全的現況,幫助網路系統管理者了解並改善現況,研究方法,研究範圍與假設 系統安全漏洞的分類 網路安全檢查方法 依照所提出的檢查方法及分類方式進行個案調查,系統安全漏洞分類方式,系統安全漏洞分類方式(續,網路安全檢查檢查方法,共有六大步驟 InterNIC 資訊之收集 DNS 資訊之收集 網路組態之探索 網際網路服務之探索 網路服務安全檢測 實地訪談，並提出結論及建議,網路安全檢查檢查方法,個案探討,個案探討中包括了三個不同環境之網路 Class C 網路為 Internet 構成之基本元件，探討網路上單一 Networ

3、k 應該注意之事項 Class B 為數個元件之所構成，探討點與點之間的互動關係 全國網站檢查探討國內網路安全的大致狀況,個案探討 高雄某機構,由於其業務處理與人民財產攸關之資料，所以特別注重網路安全 為一 Class C 網路，以 Windows 環境為要工作平台 其環境與一般中小企業相當類似,個案探討 高雄某機構,重大問題 DNS 可以任意進行 Zone Transfer，並且沒有設定備援之 DNS Router 上之 SNMP 採用預設密碼，並且沒有設定存取控制 ( Access Control List ) 採用之 IIS 4.0 伺服器有重大缺陷，使得入侵者可能獲得 Web 管理者權

4、限,個案探討 高雄某機構,建議事項 更動 Firewall 設定，將對外服務放置於 DMZ 修改 Router 上之 SNMP 密碼，並設定存取控制 修正 IIS 伺服器上之系統缺失 建議管理員注意最新之系統安全訊息,個案探討 中山大學,為一 Class B 網路，以 Unix 環境為主要工作平台 其環境較類似於一大型企業,個案探討 中山大學,重大問題 DNS 可以任意進行 Zone Transfer 系統管理者未注重安全，對於系統安全補漏之新訊息並未採用 系統管理員未審視系統紀錄 各子網路並未架設防火牆或者限制存取資源 系統設定不正確 絕大部分通訊 (telnet/ftp 等) 仍採用明碼方

5、式傳送,個案探討 中山大學,建議事項 各單位建置防火牆以控制不當存取 建議管理員關閉不必要之系統服務 建議管理員定期審視系統紀錄檔 各單位採用加密方式傳送資料 建議管理員注意最新之系統安全訊息,個案探討 全國 Web 網站,針對全國的 Web 網站進行安全檢查 擁有跨平台的特性 可以觀察到我國對網路安全的重視情形,個案探討 全國 Web 網站,重大問題 大部分的 Web 伺服器使用 Microsoft IIS 系列產品，有嚴重之安全問題 就伺服器端而言，存活率不到五成 有許多的伺服器上存在有問題的 CGI 程式，大部分問題出在系統內定的 CGI 上 絕大部分的問題來源，不論就伺服器端或是 CG

6、I 程式看來，都出現在使用 IIS 系列產品的伺服器上,個案探討 全國 Web 網站,建議事項 更新 Web 伺服器之版本 移除系統內定之 CGI 程式 建議管理員注意最新之系統安全訊息 政府應加強企業對網路安全之重視,結論與建議,對於網路上各個不同角色的個體建議採取以下措施以維護資訊安全 個人用戶 備份個人重要資料及檔案 安裝掃毒軟體 對於機密性資料運用加密軟體進行加密，或是存在無 Internet 連線之電腦之上 注意檔案權限之設定，以免遭人竊取 網路通訊採加密方式進行，如 SSH / SSLtelnet / ptelnet 等 攸關個人之重要資料，如身分證字號、姓名、住址、電話、信用卡號

7、等，盡量不要在網路上傳送,結論與建議(續,系統管理者 採用各種系統安全稽核工具，例如 Tripwire、COPS、TIGER 等 參考系統安全設定相關文獻，並關閉不必要之網路服務 定期檢視系統紀錄檔 定期進行系統備份 建立網路安全重大事件聯絡之管道 注意各網路系統安全研究相關機構發表之訊息,結論與建議(續,政府機關及企業 加強系統稽核及員工安全控管 採用網路安全加強機制，如防火牆、入侵偵測系統、網路安全掃描程式等 機密資料離線儲存，或運用加密技術進行加密 進行網路安全之風險分析，並採取適當之因應措施,結論與建議(續,ISP 業者 提供網路使用者加密通訊之機制 加強對網路基礎建設相關設施之保護 促成保護消費者隱私及個人相關資料相關機制之建立 建立網路危機及入侵事件因應機制,結論與建議(續,政府政策 加速網路犯罪相關法律之審查與推行 加強執法機關對網路犯罪偵查之能力 增加對網路安全相關處理單位之經費，如台灣電腦危機處理中心 鼓勵企業及 ISP 採取增進網路安全之措施,研究貢獻,本研究提出一個新的網路安全漏洞分類方式，並且證明此分類方式可以有效的表現出網路之安全特性 提出了一個具體且可行的網路安全檢查方法 ，幫助網路系統管理者了解並改善網路安全之現況,