張曉飛

（海門郵政局技術維護 江蘇 226100）

0 引言

網(wǎng)絡安全審計是近年來一個新興的名詞。隨著網(wǎng)絡上層出不窮的病毒傳播、木馬詐騙、信息竊取、0day爆發(fā)等事件的發(fā)生，以及“斯諾登泄密”事件的持續(xù)發(fā)酵影響。網(wǎng)絡安全越來越受到了人們的重視。網(wǎng)絡安全審計的重要性也因此得以逐漸體現(xiàn)。

1 網(wǎng)絡安全審計的概念

網(wǎng)絡安全審計。指的是在一定的授權條件下，以專業(yè)的人員和技術手段對相應的網(wǎng)絡環(huán)境進行系統(tǒng)、獨立的安全性檢查審計。從而發(fā)現(xiàn)系統(tǒng)漏洞、風險隱患、入侵行為或者事件追蹤。最后做出相應的評估報告。供決策者與技術人員參閱。為后續(xù)的技術防范、策略制定、事件回溯、跟蹤取證提供及時的安全預警和有力的技術支持。

2 郵政企業(yè)網(wǎng)絡安全審計的必要性

信息技術的不斷發(fā)展使得郵政企業(yè)的網(wǎng)絡規(guī)模與日俱增。從內部的生產網(wǎng)絡到外部的互聯(lián)服務，從門戶建設到電商平臺，從各類OA辦公到遠程接入等等。郵政企業(yè)的每一步發(fā)展都加深著對網(wǎng)絡使用的依賴。日趨復雜的各類業(yè)務平臺與不同背景的用戶使用行為，給我們企業(yè)的網(wǎng)絡安全帶來了無數(shù)的潛在的風險。這種風險伴隨著計算機技術的普及，正呈現(xiàn)出爆發(fā)式的增長。以較為代表性的國內知名安全網(wǎng)站烏云漏洞提交平臺的統(tǒng)計。全國郵政企業(yè)在2012年度被提交的安全漏洞僅為12條。2013年約為65條。而2014年至7月底就多達84條。這個數(shù)字還在不斷的增長中。從漏洞平臺提交的數(shù)據(jù)分析和企業(yè)的處理反饋，我們可以得出以下三點結論：

第一，大部分的漏洞技術含量并不是特別高深的；第二，我們的企業(yè)在網(wǎng)絡安全建設上的工作做的是不夠的；第三，郵政企業(yè)的網(wǎng)絡安全受到的社會關注度將越來越大。

因此，如何有效的做好郵政企業(yè)網(wǎng)絡安全防護，準確掌握企業(yè)自身網(wǎng)絡安全狀況，及時發(fā)現(xiàn)安全漏洞，對安全事件準確定位分析，乃至系統(tǒng)修復，追蹤取證，是我們郵政企業(yè)迫切需要重視面對的問題。全面的系統(tǒng)分析、主動的風險檢測、及時的危機預警、積極的安全防范。網(wǎng)絡安全審計為我們企業(yè)提供了一個很好的應對和解決之道。

3 郵政企業(yè)網(wǎng)絡安全審計的范圍

郵政企業(yè)網(wǎng)絡安全審計范圍廣泛。涵蓋所有在網(wǎng)的計算機及各類網(wǎng)絡設備。簡單來說，按照使用環(huán)境，可分為內部專用網(wǎng)絡和外部互聯(lián)網(wǎng)絡的安全審計。按照傳輸介質又可劃分為有線網(wǎng)絡和無線網(wǎng)絡的安全審計。

內部專用網(wǎng)絡是我們安全審計的重中之重。關系到企業(yè)核心業(yè)務的平穩(wěn)運行。外部互聯(lián)網(wǎng)絡的安全審計主要包括各類服務查詢，網(wǎng)上銀行，電商平臺，OA辦公，以及網(wǎng)絡接入。在開放的互聯(lián)網(wǎng)環(huán)境下，它們極易產生各類網(wǎng)絡安全風險。此類服務通常還需要關聯(lián)內部專用網(wǎng)絡。因此，它是網(wǎng)絡安全審核計的核心部分。無線技術的極大發(fā)展在我們郵政企業(yè)的應用上得以充份體現(xiàn)。但是人們往往容易忽視它所帶來的安全性問題，它將不得不成為我們網(wǎng)絡安全審計長期關注的一個方面。

4 郵政企業(yè)網(wǎng)絡安全審計的內容

郵政企業(yè)網(wǎng)絡安全審計的主要內容包涵以下幾個方面：

4.1 網(wǎng)絡環(huán)境審計

網(wǎng)絡環(huán)境審計主要針對網(wǎng)絡環(huán)境安全性，資源配置科學性，設備分布合理性，使用規(guī)程規(guī)范性等等進行整體、系統(tǒng)性安全性檢測。網(wǎng)絡環(huán)境審計內容點多面廣。涵蓋郵政企業(yè)容易產生網(wǎng)絡安全風險的方方面面。

4.2 應用服務審計

針對網(wǎng)絡應用服務進行的安全審計，主要檢查各類服務器或核心平臺的應用服務所產生的問題，檢查各類服務端口。例如存在 BUG或設計缺陷的數(shù)據(jù)庫，網(wǎng)絡應用，系統(tǒng)進程以及存在安全隱患的各類對外服務。特別是對于各類上傳、下載、交互等應用應當著重檢查。

4.3 代碼審計

代碼審計顧名思義就是檢查源代碼中的缺點和錯誤信息，分析并找到這些問題引發(fā)的安全漏洞，并提供代碼修訂措施和建議。由于郵政企業(yè)開發(fā)技術力量的相對薄弱，企業(yè)相當多網(wǎng)絡應用，服務建設，腳本程序的開發(fā)都依賴于第三方公司。既便是自行開發(fā)的，也有不少是直接套用，拼接現(xiàn)成的網(wǎng)絡源代碼。設計開發(fā)人員的技術水平和安全意識，直接影響到了我們網(wǎng)絡的安全建設。比較流行的SQL注入、跨站腳本XSS、文件遍歷等漏洞，多數(shù)是因為代碼編寫中的疏漏而造成。應當嚴禁使用未經(jīng)安全審計的各類源代碼。

4.4 角色與權限審計

角色與權限審計的內容廣泛，較為人們熟知。通常包括角色認證，口令管理，授權范圍，使用者權限分配等等一些大家比較熟知的內容。但越是熟知的東西往往越容易被忽視疏漏。角色與權限貫穿系統(tǒng)安全運行的全過程。可以說大部份的網(wǎng)絡安全隱患產生于這個方面的疏漏。嚴謹、適用、可控。應當是角色與權限審計的唯一標準。

4.5 日志與事件審計

日志與事件審計是針對各類系統(tǒng)的使用、發(fā)生、運行、操作、更改、注銷等等事件信息。進行實時或事后的詳細審核。它能夠使我們了解當前或之前一段時間內系統(tǒng)運行的事件及狀態(tài)。及時調整優(yōu)化系統(tǒng)的相關配置，發(fā)現(xiàn)潛在的安全風險。也能為事件的應急響應，事后的回溯和追蹤提供可靠的依據(jù)。

4.6 應急響應審計

介于目前網(wǎng)絡安全信息披露機制的欠缺。我們將不得不應對隨時可能爆發(fā)的各種網(wǎng)絡安全危機。從Apache Struts2 漏洞到最近的的OpenSSL的Heartbleed漏洞。各種0DAY或Bypass的突然披露都在考驗著企業(yè)的危機應急響應能力。是否能在安全風險暴發(fā)的第一時間及時的處理、化解危機。全面的審計企業(yè)可能存在的關聯(lián)風險。發(fā)出安全預警。是應急響應審計的關鍵任務。

4.7 滲透測試

滲透測試是一種有效的評估網(wǎng)絡系統(tǒng)安全性的老辦法。如今越來越多地被許多企業(yè)和組織用來檢驗網(wǎng)絡安全的真實狀況。從而使安全隱患在完全暴露之前就得以修復。直觀的幫助企業(yè)理解實實在在將面對的風險。促使企業(yè)采取措施解決安全問題，提高安全意識。需要值得注意的是對滲透測試團隊的技術水平和職業(yè)操守應當作嚴格的要求與遴選。確保安全風險的有效可控。

5 結語

郵政企業(yè)在飛速發(fā)展的今天，網(wǎng)絡安全防范意識有了較大的提高。歷年來，在網(wǎng)絡安全防范方面，資金、人力、物力的投入是有目共睹的。各種Firewall，IDS，IPS等設備相繼投入使用。但一些思維觀念，思維方式仍需不斷轉變。設備的投入使用不足以完全替代人的作用。且不談各種設備良莠不齊技術性能與檢測規(guī)則的更新能力。現(xiàn)實中各種0Day，Bypass的涌現(xiàn)著實證明了在網(wǎng)絡技術突飛猛進的當下，今天的技術也許就會被明天淘汰。各種危機事件的爆發(fā)，不斷的證明著技術的發(fā)展總是領先于被動的應對。因此，積極主動的網(wǎng)絡安全審計，在這種快速發(fā)展的潮流中孕育而生。它不僅能夠幫助我們找到網(wǎng)絡安全“木桶理論”中最短的那一塊板。更可為我們郵政企業(yè)的騰飛保駕護航！