安全評估問題收集與整理

我見過的一份非常不錯的安全方案，很多内容在做安全評估時非常有用，對其進行總結，如下：

（1）安全意識不足，幾乎沒有進行過安全政策規劃

導緻後果 ：安全意識的缺乏，導緻了安全建設的全面缺位。各類安全隐患逐日積累，終将千裡之堤，毀于蟻穴

（2）實體安全建設，實體安全是資訊系統本身存在的前提。但許多學校的實體安全建設程度嚴重不足

導緻後果：裝置損壞、資料丢失，資訊系統完全癱瘓

（3）對網絡運維管理不足，各學校基本沒有統一的網絡管理手段

導緻後果：無法對網絡的運作情況實時把握，不能對裝置故障環節及時判斷并響應

（4）對外部邊界的入侵防護不足，許多學校并未考慮在網絡出口設立入侵防護機制

導緻後果：

無法對内部及外部的通路進行分類通路控制，無法針對入侵進行過濾、報警、響應，無法有限度地将特定部分有選擇地向外開放

（5）對外部邊界的惡性資料防範不足，　沒有針對病毒、木馬、蠕蟲、惡性郵件在網絡邊界部署任何防護措施

無法抑制Internet病毒進入校園網，無法針對外部郵件進行篩選過濾

（6）對核心資源的保護不足，伺服器群是學校核心資料所在，但是，大多數學校幾乎沒有任何防護機制

WEB被篡改，資料庫被入侵，題庫、課件庫洩露

（7）對部門資訊資源的保護不足，各院系、圖書館具備獨立而彼此關聯的資訊系統，對于這些資料資源，目前同樣幾乎沒有任何防護措施

電子圖書館業務中斷、資料庫被删除，各院系資料檔案被竊取、删除

（8）對系統漏洞的檢測不足，目前幾乎沒有一所學校配備了專門的漏洞檢查工具或引入相關檢測服務

系統漏洞無法被發現，入侵者利用系統漏洞進行攻擊破壞

（9）對系統漏洞的修複不足，即使能發現系統漏洞，但管理者缺乏面向整個網絡的漏洞機制，無法保證将校園網内每台計算機的系統漏洞彌補完畢

系統漏洞無法被統一修複，大量的個人更新行為造成了帶寬的浪費

（10）對校園網病毒的防護不足，病毒是日常網絡應用中最直接出現的問題。但是目前真正将網絡版防病毒軟體部署到位的學校寥寥無幾

難以保障系統能免疫于病毒，難以徹底清除全網病毒

（11）對應用系統安全考慮不足

　各學校使用的系統在開發時往往未考慮系統本身的安全性，也對應用系統與其資料庫間的通信安全考慮不足

導緻後果

攻擊者直接利用系統漏洞或後門進入系統，攻擊者以系統合法使用者身份，篡改應用系統資料庫内容

（12）資料的安全存儲備份，資料的安全存儲和可靠備份，是安全體系存在的前提。如果資料本身的安全存在都不能保障，那麼一切資訊系統和安全系統建設将失去意義。目前，許多學校并未建立起完善的整體存儲備份架構體系。

資料完全丢失，資訊系統癱瘓

（13）對使用者網絡行為的基本認證缺乏，大多數學校未采取相應措施對使用者實名認證

無法将網絡行為與真實個人對應，對使用者網絡行為的審計不足

（14）各學校幾乎沒有針對反動、色情、敏感的網絡行為部署專門的審計工具

無法對各類資訊的始作俑者進行追蹤，無法對網絡的使用情況進行監控、掌握

（15）針對網絡安全的行政制度不足，目前各院校制訂的計算機相關制度，很少細化到網絡安全層面

無法讓安全技術配套落實，埋藏了許多管理上的安全隐患

（16）缺乏網絡安全事件的應急響應機制，目前各學校基本沒有一套全面的應急響應預案

無法盡快恢複網絡系統的正常運作，無法找出安全事件的原因并進行彌補