1、信息安全技术教学课件 V2010.03 系统风险评估与脆弱性分析系统风险评估与脆弱性分析第第 8 章章共共 20 页 20 页第第 2 2 页页 /本章要点本章要点p针对信息系统,特别是网络系统,要先了解针对信息系统,特别是网络系统,要先了解系统的安全弱点,才能进行安全加固。系统的安全弱点,才能进行安全加固。p本章在系统风险评估的理念指导下,首先解本章在系统风险评估的理念指导下,首先解决系统的脆弱性检查,发现问题后再通过后决系统的脆弱性检查,发现问题后再通过后续章节介绍的具体技术解决安全问题。续章节介绍的具体技术解决安全问题。共共 20 页 20 页第第 3 3 页页 /一、一、系统风险评估系
2、统风险评估p1、风险评估的概念、风险评估的概念n通过风险评估能够清楚信息系统的安全需求,了解信息系通过风险评估能够清楚信息系统的安全需求,了解信息系统的脆弱性,从而达到信息安全建设的最终目的统的脆弱性,从而达到信息安全建设的最终目的满足满足信息系统的安全需求和降低信息系统的安全风险。信息系统的安全需求和降低信息系统的安全风险。n所谓风险评估,就是对信息所谓风险评估,就是对信息资产资产面临的面临的威胁威胁、存在的、存在的弱点弱点、造成的造成的影响影响,以及三者综合作用而带来风险的可能性的评,以及三者综合作用而带来风险的可能性的评估。估。n作为风险管理的基础,风险评估是组织确定信息安全需求作为风险
3、管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。的一个重要途径,属于组织信息安全管理体系策划的过程。共共 20 页 20 页第第 4 4 页页 /一、一、系统风险评估系统风险评估p2、风险评估目的和基本要素、风险评估目的和基本要素n风险评估的目的风险评估的目的(1)了解组织的安全现状)了解组织的安全现状(2)分析组织的安全需求)分析组织的安全需求(3)建立信息安全管理体系的要求)建立信息安全管理体系的要求(4)制订安全策略和实施安防措施的依据)制订安全策略和实施安防措施的依据(5)组织实现信息安全的必要的、重要的步骤)组织实现信息安全的必要的、重要
4、的步骤n风险评估的四大要素风险评估的四大要素(1)资产及其价值)资产及其价值(2)威胁)威胁(3)脆弱性)脆弱性(4)现有的和计划的控制措施)现有的和计划的控制措施共共 20 页 20 页第第 5 5 页页 /一、一、系统风险评估系统风险评估p3、风险评估标准和工具、风险评估标准和工具n风险评估的标准风险评估的标准(1)ISO 13335 信息安全管理方针信息安全管理方针(2)ISO 15408 信息技术安全性通用评估准则信息技术安全性通用评估准则(3)SSE-CMM 系统安全工程成熟度模型系统安全工程成熟度模型(4)SP800-30 信息系统安全风险管理信息系统安全风险管理(5)ISO 27
5、001 信息安全管理体系标准信息安全管理体系标准(6)GB 17859 安全保护等级划分准则安全保护等级划分准则 n风险评估的工具风险评估的工具(1)扫描工具)扫描工具(2)入侵检测系统()入侵检测系统(IDS)(3)渗透性测试工具)渗透性测试工具(4)主机安全性审计工具)主机安全性审计工具(5)安全管理评价系统)安全管理评价系统(6)风险综合分析系统)风险综合分析系统(7)评估支撑环境工具)评估支撑环境工具共共 20 页 20 页第第 6 6 页页 /一、一、系统风险评估系统风险评估p4、风险评估流程、风险评估流程n根据风险发生的可能性、风险发生后对系统产生的影响程度,对评估根据风险发生的可
6、能性、风险发生后对系统产生的影响程度,对评估系统的各种对象进行风险程度分析,将系统对象按发生风险的可能性系统的各种对象进行风险程度分析,将系统对象按发生风险的可能性大小、发生风险后对系统造成的影响及危害大小进行评估和组织。大小、发生风险后对系统造成的影响及危害大小进行评估和组织。n风险分析风险分析矩阵矩阵n风险控制流程风险控制流程共共 20 页 20 页第第 7 7 页页 /二、二、系统脆弱性分析概述系统脆弱性分析概述p1、脆弱性的概念、脆弱性的概念n脆弱性即脆弱性即vulnerability,国内多称,国内多称“漏洞漏洞”,是指硬件、,是指硬件、软件或策略上存在的安全缺陷,从而使得攻击者能够
7、在未软件或策略上存在的安全缺陷,从而使得攻击者能够在未授权的情况下访问、控制系统。授权的情况下访问、控制系统。nCVE(Common Vulnerabilities and Exposures),漏洞,漏洞标准化组织。标准化组织。n对于一个信息系统来说,它的安全性不在于它是否采用了对于一个信息系统来说,它的安全性不在于它是否采用了最新的加密算法或最先进的设备,而是由系统本身最薄弱最新的加密算法或最先进的设备,而是由系统本身最薄弱之处,即漏洞所决定的。之处,即漏洞所决定的。-信息系统安全信息系统安全“木桶原则木桶原则”共共 20 页 20 页第第 8 8 页页 /二、二、系统脆弱性分析概述系统脆
8、弱性分析概述p2、漏洞的发现、漏洞的发现n网络的开放性、软件系统的自身缺陷和黑客攻击使得系统的脆弱性充网络的开放性、软件系统的自身缺陷和黑客攻击使得系统的脆弱性充分暴露。分暴露。n2019年安全应急响应小组论坛年安全应急响应小组论坛FIRST的专家指出,每千行程序中至的专家指出,每千行程序中至少有一个缺陷。少有一个缺陷。Windows XP有有35万行。万行。nCVE(Common Vulnerabilities and Exposures),漏洞标准,漏洞标准化组织。(化组织。(cve.mitre.org/)n对于一个信息系统来说,它的安全性不在于它是否采用了最新的加密对于一个信息系统来说,
9、它的安全性不在于它是否采用了最新的加密算法或最先进的设备,而是由系统本身最薄弱之处,即漏洞所决定的。算法或最先进的设备,而是由系统本身最薄弱之处,即漏洞所决定的。-信息系统安全信息系统安全“木桶原则木桶原则”nSANS(SysAdmin,Audit,Network,Security)的研究报告的研究报告(sans.org):):Windows最关键的十大安全隐患最关键的十大安全隐患共共 20 页 20 页第第 9 9 页页 /二、二、系统脆弱性分析概述系统脆弱性分析概述n漏洞的类型漏洞的类型(1)管理漏洞)管理漏洞(2)软件漏洞)软件漏洞(3)结构漏洞)结构漏洞(4)信任漏洞)信任漏洞n漏洞的
10、发现漏洞的发现p由以下三个组织之一来完成:由以下三个组织之一来完成:(1)黑客)黑客(2)破译者软件漏洞)破译者软件漏洞(3)安全服务商组织)安全服务商组织p管理者需要制定一个从新闻组、邮件列表、管理者需要制定一个从新闻组、邮件列表、Web站点、站点、FTP文档文档等收集、分析以及抽取漏洞信息的策略,以便获取有用的信息。等收集、分析以及抽取漏洞信息的策略,以便获取有用的信息。共共 20 页 20 页第第 1010 页页 /二、二、系统脆弱性分析概述系统脆弱性分析概述p3、漏洞对系统的威胁、漏洞对系统的威胁n漏洞对系统的威胁体现在恶意攻击行为对系统的威胁。漏洞对系统的威胁体现在恶意攻击行为对系统
11、的威胁。n只有利用硬件、软件和策略上最薄弱的环节,恶意攻击者只有利用硬件、软件和策略上最薄弱的环节,恶意攻击者才可以得手。才可以得手。n目前,互联网上已有几万个黑客站点,而且黑客技术不断目前,互联网上已有几万个黑客站点,而且黑客技术不断创新,基本的攻击手法已达上千种。创新,基本的攻击手法已达上千种。n多数情形下,计算机已经被网络入侵者完全控制,且被偷多数情形下,计算机已经被网络入侵者完全控制,且被偷走大量机密资料,而管理员却毫不知情。走大量机密资料,而管理员却毫不知情。共共 20 页 20 页第第 1111 页页 /二、二、系统脆弱性分析概述系统脆弱性分析概述p4、系统脆弱性的主要类型、系统脆
12、弱性的主要类型n漏洞类型多样漏洞类型多样n如如DNS与与FTP协议的安全性、缓冲区溢出问题、拒绝服务和后门等,协议的安全性、缓冲区溢出问题、拒绝服务和后门等,通过各种应用软件表现。通过各种应用软件表现。n目前,目前,“应用层的不安全调用应用层的不安全调用”已成为新的关注焦点,而又容易被技已成为新的关注焦点,而又容易被技术人员忽视。术人员忽视。n应用层中的漏洞才是最直接、最致命的,因为互联网的应用必须开放应用层中的漏洞才是最直接、最致命的,因为互联网的应用必须开放端口,这时防火墙等设备已无能为力;网络应用连接着单位的核心数端口,这时防火墙等设备已无能为力;网络应用连接着单位的核心数据,漏洞直接威
13、胁着数据库中的数据;内部人员通过内网的应用安全据,漏洞直接威胁着数据库中的数据;内部人员通过内网的应用安全也不受防火墙控制。也不受防火墙控制。n据据OWASP(Open Web Applications Security Project,开放网络应用安全计划开放网络应用安全计划)相关统计资料显示攻击者利用网站系统的代)相关统计资料显示攻击者利用网站系统的代码漏洞,精心构造攻击代码,完成对网站系统的非法访问或控制,中码漏洞,精心构造攻击代码,完成对网站系统的非法访问或控制,中国、美国、德国和俄罗斯是恶意代码最为活跃的地区。国、美国、德国和俄罗斯是恶意代码最为活跃的地区。常见的常见的Web应用安全
14、漏洞有:应用安全漏洞有:SQL注入(注入(SQL injection)跨站脚本攻击跨站脚本攻击恶意代码恶意代码更改更改cookie输入信息控制输入信息控制缓冲区溢出缓冲区溢出直接访问浏览直接访问浏览 。共共 20 页 20 页第第 1212 页页 /三、三、脆弱性脆弱性扫描器的类型和组成扫描器的类型和组成p1、扫描技术与原理、扫描技术与原理n扫描是检测扫描是检测Internet上的计算机当前是否是活动的、提上的计算机当前是否是活动的、提供了什么样的服务,以及更多的相关信息。供了什么样的服务,以及更多的相关信息。n主要使用的技术有主要使用的技术有Ping扫描、端口扫描和操作系统识别。扫描、端口扫
15、描和操作系统识别。n扫描技术也是采用积极的、非破坏性的办法来检验系统是扫描技术也是采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。它否有可能被攻击崩溃。它利用了一系列的脚本模拟对系统利用了一系列的脚本模拟对系统进行攻击的行为,并对结果进行分析进行攻击的行为,并对结果进行分析。这种技术通常被用。这种技术通常被用来进行模拟攻击实验和安全审计。网络安全扫描技术与防来进行模拟攻击实验和安全审计。网络安全扫描技术与防火墙、安全监控系统互相配合就能够为网络提供很高的安火墙、安全监控系统互相配合就能够为网络提供很高的安全性。全性。共共 20 页 20 页第第 1313 页页 /三、三、脆弱性脆弱性
16、扫描器的类型和组成扫描器的类型和组成p1、扫描技术与原理、扫描技术与原理n网络安全扫描一般分三个阶段:网络安全扫描一般分三个阶段:p第第1阶段:发现目标主机或网络。阶段:发现目标主机或网络。p第第2阶段:发现目标后进一步搜集目标信息,包括操作系统类型、运行的阶段:发现目标后进一步搜集目标信息,包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络,还可以进一步发现服务以及服务软件的版本等。如果目标是一个网络,还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息。该网络的拓扑结构、路由设备以及各主机的信息。p第第3阶段:根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞。
17、阶段:根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞。n扫描技术主要包括:扫描技术主要包括:pPING扫射(扫射(Ping sweep)p操作系统探测(操作系统探测(Operating system identification)p访问控制规则探测(访问控制规则探测(firewalking)p端口扫描(端口扫描(Port scan)p漏洞扫描(漏洞扫描(vulnerability scan)n这些技术在网络安全扫描的这些技术在网络安全扫描的3个阶段中各有体现。个阶段中各有体现。共共 20 页 20 页第第 1414 页页 /三、三、脆弱性脆弱性扫描器的类型和组成扫描器的类型和组成p2、
18、扫描器的类型、扫描器的类型n分主机扫描器和网络扫描器两大类。分主机扫描器和网络扫描器两大类。n主机扫描器主机扫描器p又称本地扫描器,又称本地扫描器,与待检查系统运行于同一节点与待检查系统运行于同一节点,执行,执行对自身的对自身的检查检查。它的主要功能为分析各种系统文件内容,查找可能存在的。它的主要功能为分析各种系统文件内容,查找可能存在的对系统安全造成威胁的漏洞或配置错误。对系统安全造成威胁的漏洞或配置错误。n网络扫描器网络扫描器p又称远程扫描器,一般它又称远程扫描器,一般它和待检查系统运行于不同的节点上和待检查系统运行于不同的节点上,通,通过网络远程探测目标节点,检查安全漏洞。过网络远程探测
19、目标节点,检查安全漏洞。p远程扫描器远程扫描器检查网络和分布式系统的安全漏洞检查网络和分布式系统的安全漏洞。p与主机扫描器的扫描方法不同,网络扫描器通过执行一整套综合与主机扫描器的扫描方法不同,网络扫描器通过执行一整套综合的扫描方法集,发送精心构造的数据包来检测目标系统是否存在的扫描方法集,发送精心构造的数据包来检测目标系统是否存在安全隐患。安全隐患。共共 20 页 20 页第第 1515 页页 /三、三、脆弱性脆弱性扫描器的类型和组成扫描器的类型和组成p3、扫描器的组成、扫描器的组成n一般说来,扫描器由以下几个模块组成:用户界面、扫描一般说来,扫描器由以下几个模块组成:用户界面、扫描引擎、扫
20、描方法集、漏洞数据库、扫描输出报告等。引擎、扫描方法集、漏洞数据库、扫描输出报告等。n扫描器的关键是要有一个组织良好的漏洞数据库和相应的扫描器的关键是要有一个组织良好的漏洞数据库和相应的扫描方法集。扫描方法集。n漏洞库是核心,一般含漏洞编号、分类、受影响系统、漏漏洞库是核心,一般含漏洞编号、分类、受影响系统、漏洞描述、修补方法等内容。洞描述、修补方法等内容。n扫描方法集则要根据漏洞描述内容,提取出漏洞的主要特扫描方法集则要根据漏洞描述内容,提取出漏洞的主要特征,进一步转化出检测出这个漏洞的方法,这是一个技术征,进一步转化出检测出这个漏洞的方法,这是一个技术实现的过程。实现的过程。n整个扫描过程
21、由用户界面驱动。整个扫描过程由用户界面驱动。共共 20 页 20 页第第 1616 页页 /四、四、脆弱性检测评估工具脆弱性检测评估工具p借助一些工具软件来帮助分析当前系统存在的安全漏洞,以借助一些工具软件来帮助分析当前系统存在的安全漏洞,以便及时地发现漏洞的存在,及时下载安全补丁。便及时地发现漏洞的存在,及时下载安全补丁。p这些工具也常被攻击者所利用,使用时可能存在着一些风险。这些工具也常被攻击者所利用,使用时可能存在着一些风险。n微软基准安全分析器微软基准安全分析器(Microsoft Baseline Security Analyzer,即,即MBSA)p扫描基于扫描基于Windows的
22、计算机,并检查操作系统和已安装的其他组件的计算机,并检查操作系统和已安装的其他组件(如:(如:IIS和和SQL Server),以发现安全方面的配置错误,并及时通),以发现安全方面的配置错误,并及时通过推荐的安全更新进行修补。过推荐的安全更新进行修补。n天镜脆弱性扫描系统天镜脆弱性扫描系统p启明星辰产品,对网络和系统进行全方位、高密度的扫描。启明星辰产品,对网络和系统进行全方位、高密度的扫描。n安恒扫描类产品安恒扫描类产品p应用层扫描检测产品,主要有应用层扫描检测产品,主要有MatriXay应用弱点扫描系统、应用弱点扫描系统、DAS-DBScan应用弱点扫描系统和网上木马自动侦测溯源器等几种。
23、通过深应用弱点扫描系统和网上木马自动侦测溯源器等几种。通过深度扫描、渗透测试等技术对度扫描、渗透测试等技术对Web应作深入检测。应作深入检测。nShadow Security Scanner(SSS)nNeXpose(漏洞评估)与(漏洞评估)与Metasploit(攻击工具)的综合应用(攻击工具)的综合应用共共 20 页 20 页第第 1717 页页 /五、五、解决网络安全的技术构想解决网络安全的技术构想p网络安全问题分类信息表网络安全问题分类信息表共共 20 页 20 页第第 1818 页页 /五、五、解决网络安全的技术构想解决网络安全的技术构想p网络安全技术网络安全技术n针对各种网络安全问
24、题,全世界的网络安全厂商都试图发展了各种安针对各种网络安全问题,全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题,这些技术主要包括:全技术来防范这些问题,这些技术主要包括:p访问控制技术访问控制技术p识别和鉴别技术识别和鉴别技术p密码技术密码技术p完整性控制技术完整性控制技术p审计和恢复技术审计和恢复技术p防火墙系统防火墙系统p计算机病毒防护计算机病毒防护p操作系统安全操作系统安全p数据库系统安全和抗抵赖协议数据库系统安全和抗抵赖协议n相继陆续推出了包括防火墙、入侵检测、防病毒软件、相继陆续推出了包括防火墙、入侵检测、防病毒软件、CA系统、加系统、加密算法等在内的各类网络安全软件,这
25、些技术和安全系统(软件)对密算法等在内的各类网络安全软件,这些技术和安全系统(软件)对网络系统提供了一定的安全防范,一定程度上解决了网络安全问题某网络系统提供了一定的安全防范,一定程度上解决了网络安全问题某一方面的问题。一方面的问题。n后续章节将陆续介绍其中的几种关键技术。后续章节将陆续介绍其中的几种关键技术。共共 20 页 20 页第第 1919 页页 /本章小结本章小结p漏洞是指硬件、软件或策略上存在的的安全缺陷,漏洞是指硬件、软件或策略上存在的的安全缺陷,从而使得攻击者能够在未授权的情况下访问、控制从而使得攻击者能够在未授权的情况下访问、控制系统。系统。p本章在介绍风险评估的基础,特别针
26、对系统脆弱性本章在介绍风险评估的基础,特别针对系统脆弱性问题,简要说明了漏洞的威胁、后果及发现的方法。问题,简要说明了漏洞的威胁、后果及发现的方法。p介绍漏洞扫描技术:端口扫描、介绍漏洞扫描技术:端口扫描、Ping扫描、扫描、TCP扫扫描、描、UDP扫描等。扫描等。p最后介绍几种主流的脆弱性扫描系统产品。最后介绍几种主流的脆弱性扫描系统产品。共共 20 页 20 页第第 2020 页页 /作业:作业:p三、名词解释三、名词解释n风险评估风险评估 漏洞漏洞 注入攻击注入攻击 网络扫描网络扫描p四、简答题四、简答题1请简述风险评估的目的请简述风险评估的目的4请简要介绍网络扫描的一般过程。请简要介绍网络扫描的一般过程。
