1、第四章第四章 信息系统安全测评方法信息系统安全测评方法主要内容主要内容 4.1 测评流程及方法测评流程及方法 4.2 测评对象及内容测评对象及内容 4.3 测评工具与接入测试测评工具与接入测试 4.4 信息系统安全测评风险分析与规避信息系统安全测评风险分析与规避 4.5 常见问题及处置建议常见问题及处置建议测评分类测评分类 信息系统安全测评分为自测评(即自查)和检查测评两种:信息系统安全测评分为自测评(即自查)和检查测评两种:自查:由本单位自行开展,也可委托第三方机构进行。自查:由本单位自行开展,也可委托第三方机构进行。检查测评:需要由有信息系统安全测评资质和条件的测评机构检查测评:需要由有信
2、息系统安全测评资质和条件的测评机构完成,检查后要出具测评报告。完成,检查后要出具测评报告。根据管理办法和标准的要求,达到一定安全级别的信息系统根据管理办法和标准的要求,达到一定安全级别的信息系统(如等级保护三级以上系统)必须强制定期进行信息系统安全(如等级保护三级以上系统)必须强制定期进行信息系统安全测评。测评。4.1.1 4.1.1 测评流程测评流程 GB/T 284492012信息系统安全等级保护测评信息系统安全等级保护测评过程指南将等级测评过程分为四个基本测评活过程指南将等级测评过程分为四个基本测评活动:动:测评准备活动、测评准备活动、方案编制活动、方案编制活动、现场测评活动、现场测评活
3、动、分析及报告编制活动。分析及报告编制活动。测评准备活动:测评准备活动:测评准备活动是开展等级测评工作的前提和基础,测评准备活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。是整个等级测评过程有效性的保证。这一阶段的主要任务是掌握被测系统的详细情况,这一阶段的主要任务是掌握被测系统的详细情况,为实施测评做好文档及测试工具等方面的准备。为实施测评做好文档及测试工具等方面的准备。具体包括项目启动、信息收集与分析、工具和表具体包括项目启动、信息收集与分析、工具和表单准备三个过程。单准备三个过程。方案编制活动:方案编制活动:主要是整理测评准备活动中获取的信息系统主要是整理测评准备活动
4、中获取的信息系统相关资料,为现场测评活动提供最基本的文相关资料,为现场测评活动提供最基本的文档和指导方案。档和指导方案。主要包括确定测评对象、确定测评指标、确主要包括确定测评对象、确定测评指标、确定测试工具接入点、确定测试内容、测评实定测试工具接入点、确定测试内容、测评实施手册开发、测评方案制定。施手册开发、测评方案制定。现场测评活动:现场测评活动:与被测单位进行沟通和协调,依据测评方案与被测单位进行沟通和协调,依据测评方案实施现场测评工作,将测评方案和测评工具实施现场测评工作,将测评方案和测评工具等具体落实到现场测评活动中,取得分析与等具体落实到现场测评活动中,取得分析与报告编制活动所需的、
5、足够的证据和资料。报告编制活动所需的、足够的证据和资料。具体包括现场测评准备、现场测评和结果记具体包括现场测评准备、现场测评和结果记录、结果确认和资料归还。录、结果确认和资料归还。分析与报告编制活动:分析与报告编制活动:在现场测评工作结束后,测评机构应对现场测评在现场测评工作结束后,测评机构应对现场测评获得的测评结果(或称测评证据)进行汇总分析,获得的测评结果(或称测评证据)进行汇总分析,形成等级测评结论,并编制测评报告。形成等级测评结论,并编制测评报告。该阶段主要包括单项测评结果判定、单项测评结该阶段主要包括单项测评结果判定、单项测评结果汇总分析、系统整体测评分析、综合测评结论果汇总分析、系
6、统整体测评分析、综合测评结论形成及测评报告编制。形成及测评报告编制。4.1.2 4.1.2 测评方法测评方法 1访谈访谈 访谈是指测评人员通过引导信息系统相关人访谈是指测评人员通过引导信息系统相关人员进行有目的(有针对性)的交流,以帮助员进行有目的(有针对性)的交流,以帮助 测评人员理解、澄清或取得证据的过程。测评人员理解、澄清或取得证据的过程。访谈对象访谈对象 访谈的对象是被查信息系统的工作人员,典型的包括系访谈的对象是被查信息系统的工作人员,典型的包括系统三员,即统三员,即系统管理员、系统管理员、安全管理员、安全管理员、系统审计员。系统审计员。除此三员外,有的单位还设置了信息安全主管、网络
7、管除此三员外,有的单位还设置了信息安全主管、网络管理员、资产管理员等,这些人员也都是访谈对象。理员、资产管理员等,这些人员也都是访谈对象。2 2检查检查 检查是指测评人员通过对测评对象(如制度检查是指测评人员通过对测评对象(如制度文档、各类设备等)进行观察、查验、分析,文档、各类设备等)进行观察、查验、分析,以帮助测评人员理解、澄清或取得证据的过以帮助测评人员理解、澄清或取得证据的过程。程。以主机安全检查为例:以主机安全检查为例:在技术层面上,运用各种操作指令进行手工查看其访在技术层面上,运用各种操作指令进行手工查看其访问控制、身份鉴别、网络连接、防火墙、防病毒等安全问控制、身份鉴别、网络连接
8、、防火墙、防病毒等安全配置是否合理;配置是否合理;在管理层面上,主要是对终端、服务器等各类主机对在管理层面上,主要是对终端、服务器等各类主机对应的相关文档进行检查,对信息系统的相关管理制度、应的相关文档进行检查,对信息系统的相关管理制度、文档、记录进行有无及规范性检查。一般包括:管理职文档、记录进行有无及规范性检查。一般包括:管理职责、安全管理规章制度、安全知识、安全记录、安全报责、安全管理规章制度、安全知识、安全记录、安全报告等相关安全文件。告等相关安全文件。3 3测试测试 测试是指测评人员使用预定的方法或工具使测评测试是指测评人员使用预定的方法或工具使测评对象(各类设备或安全配置)产生特定
9、的结果,对象(各类设备或安全配置)产生特定的结果,将运行结果与预期结果进行对比的过程。将运行结果与预期结果进行对比的过程。测试一般仅用于技术层面的测评对象,对管理不测试一般仅用于技术层面的测评对象,对管理不要求采用测试这种方法。要求采用测试这种方法。功能性测试功能性测试 安全功能性测试是对系统的安全功能进行验安全功能性测试是对系统的安全功能进行验证性测试,主要有:标识鉴别,审计,通信,证性测试,主要有:标识鉴别,审计,通信,密码支持,用户数据保护,安全管理,安全密码支持,用户数据保护,安全管理,安全功能保护,资源利用,系统访问,可信路径功能保护,资源利用,系统访问,可信路径/信道安全。信道安全
10、。渗透测试渗透测试 渗透测试主要针对系统的脆弱点,通过扫描工具渗透测试主要针对系统的脆弱点,通过扫描工具对系统网络层、操作系统层、数据库和应用系统对系统网络层、操作系统层、数据库和应用系统进行脆弱性扫描,必要时由测试人员手工对系统进行脆弱性扫描,必要时由测试人员手工对系统进行穿透性测试。进行穿透性测试。4.2 4.2 测评对象及内容测评对象及内容 我国的安全测评标准主要包括测评基础、产我国的安全测评标准主要包括测评基础、产品测评和系统测评三个子类。品测评和系统测评三个子类。本节以基于等级保护的信息系统为例,介绍本节以基于等级保护的信息系统为例,介绍其安全测评对象及测评内容。其安全测评对象及测评
11、内容。测评标准测评标准GB/T284482012信息系统安全等级保护信息系统安全等级保护测评要求测评要求GB/T 284492012信息系统安全等级保护信息系统安全等级保护测评过程指南测评过程指南单元测评单元测评 单元测评是等级测评工作的基本活动单元测评是等级测评工作的基本活动 每个单元测评包括测评指标、测评实施和结每个单元测评包括测评指标、测评实施和结果判定三部分。果判定三部分。整体测评整体测评 整体测评是在单元测评的基础上,通过进一整体测评是在单元测评的基础上,通过进一步分析信息系统的整体安全性,对信息系统步分析信息系统的整体安全性,对信息系统实施的综合安全测评。实施的综合安全测评。整体测
12、评主要包括安全控制点间、层面间和整体测评主要包括安全控制点间、层面间和区域间相互作用的安全测评,以及系统结构区域间相互作用的安全测评,以及系统结构的安全测评等。的安全测评等。测评对象的确定是等保测评最基本的工作测评对象的确定是等保测评最基本的工作 在确定测评对象时,需遵循以下要求和方法:在确定测评对象时,需遵循以下要求和方法:恰当性,选择的设备、软件系统等应能满足相应等级的测评恰当性,选择的设备、软件系统等应能满足相应等级的测评强度要求;强度要求;重要性,应抽查对被测系统来说重要的服务器、数据库和网重要性,应抽查对被测系统来说重要的服务器、数据库和网络设备等;络设备等;安全性,应抽查对外暴露的
13、网络边界;安全性,应抽查对外暴露的网络边界;共享性,应抽查共享设备和数据交换平台共享性,应抽查共享设备和数据交换平台/设备;设备;代表性,抽查应尽量覆盖系统各种设备类型、操作系统类型、代表性,抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统类型。数据库系统类型和应用系统类型。4.2.1 4.2.1 技术层安全测评对象及内容技术层安全测评对象及内容 信息系统安全等级保护技术测评对象包括信息系统安全等级保护技术测评对象包括五大类:五大类:物理安全、物理安全、主机安全、主机安全、网络安全、网络安全、应用安全应用安全数据安全数据安全备份恢复备份恢复1 1物理安全物理安全 身份鉴别
14、:身份鉴别:也称为身份认证,是对用户或其他实体(如进程等)进行确认,也称为身份认证,是对用户或其他实体(如进程等)进行确认,判断其是否就是所声称的用户或实体的过程。判断其是否就是所声称的用户或实体的过程。身份鉴别一般依据实体身份鉴别一般依据实体“所知所知”,“所有所有”或或“特征特征”三个因三个因素来判断是否是所声称的实体。素来判断是否是所声称的实体。“所知所知”如口令、密码等;如口令、密码等;“所有所有”如如U 盾,证书等;盾,证书等;“特征特征”如虹膜、指纹等。如虹膜、指纹等。在进行系统测评时,根据具体系统的身份鉴别的内容,通过在进行系统测评时,根据具体系统的身份鉴别的内容,通过“访谈访谈
15、”、“检查检查”、“测试测试”等手段测评该信息系统是否部等手段测评该信息系统是否部署了与系统等级相符的认证方法。署了与系统等级相符的认证方法。访问控制:访问控制:是指对用户的访问权进行管理,使得系统能是指对用户的访问权进行管理,使得系统能为合法用户提供授权服务,非法的用户不能为合法用户提供授权服务,非法的用户不能非授权使用资源或服务;同时,拒绝合法用非授权使用资源或服务;同时,拒绝合法用户越权使用服务或资源。户越权使用服务或资源。安全审计:安全审计:安全审计是对系统内重要用户行为、系统资安全审计是对系统内重要用户行为、系统资源的异常和重要系统命令的使用等重要的安源的异常和重要系统命令的使用等重
16、要的安全相关事件进行记录,以便于查看违规、破全相关事件进行记录,以便于查看违规、破坏等操作,防止系统被破坏。坏等操作,防止系统被破坏。剩余信息保护:剩余信息保护:剩余信息保护就是主机存储剩余信息保护就是主机存储“敏感信息敏感信息”的的空间被释放或再分配给其他用户前,原来存空间被释放或再分配给其他用户前,原来存储在该空间的重要信息需要得到完全清理。储在该空间的重要信息需要得到完全清理。恶意代码防范:恶意代码防范:通过采取恶意代码检测和查杀等方法,及时通过采取恶意代码检测和查杀等方法,及时查找和消灭对系统、应用及文件等造成破坏查找和消灭对系统、应用及文件等造成破坏的代码。的代码。资源控制:资源控制
17、:限定系统内用户对系统资源的最大或最小使用限限定系统内用户对系统资源的最大或最小使用限度,同时限定系统外部用户对系统资源的使用。度,同时限定系统外部用户对系统资源的使用。资源控制与访问控制的区别在于:对内,资源控资源控制与访问控制的区别在于:对内,资源控制更强调某个用户(或进程)所占用的资源不能制更强调某个用户(或进程)所占用的资源不能过多,同时控制其对外访问的能力;对外,防止过多,同时控制其对外访问的能力;对外,防止外部非法用户对系统实施拒绝服务攻击等强占系外部非法用户对系统实施拒绝服务攻击等强占系统资源的情况发生。统资源的情况发生。3 3网络安全网络安全 重点测评对象如下重点测评对象如下
18、整个系统的网络拓扑结构。整个系统的网络拓扑结构。安全设备,如防火墙、入侵检测设备和防病毒网关等。安全设备,如防火墙、入侵检测设备和防病毒网关等。边界网络设备,包括路由器、防火墙、认证网关和边边界网络设备,包括路由器、防火墙、认证网关和边界接入设备(如楼层交换机)等。界接入设备(如楼层交换机)等。对整个信息系统或其局部的安全性起作用的网络互连对整个信息系统或其局部的安全性起作用的网络互连设备,如核心交换机、汇聚层交换机、路由器等。设备,如核心交换机、汇聚层交换机、路由器等。网络安全测评网络安全测评 GB/T 284482012信息系统安全等级保护信息系统安全等级保护测评要求第三级网络安全测评对象
19、的具体测评要求第三级网络安全测评对象的具体 测评单元和内容包括:结构安全、访问控制、测评单元和内容包括:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等。意代码防范、网络设备防护等。结构安全:了解整个系统的网络拓扑结构,结构安全:了解整个系统的网络拓扑结构,从网络架构上把握网络基础设计建设是从网络架构上把握网络基础设计建设是 否合理、安全。否合理、安全。边界完整性检查:边界完整性检查:防止内部网络和外部网络之间的非法连接。防止内部网络和外部网络之间的非法连接。包括对非授权设备私自内部网络的行为,以包括对非授权设备私自内部
20、网络的行为,以及内部用户私自外联到外部网络行为的监控及内部用户私自外联到外部网络行为的监控和有效阻断等。和有效阻断等。入侵防范:入侵防范:是指能够监视网络或网络设备的传输和运行是指能够监视网络或网络设备的传输和运行行为,能够及时中断、调整或隔离一些不正行为,能够及时中断、调整或隔离一些不正常或是具有伤害性的行为。常或是具有伤害性的行为。网络入侵防范的检测对象主要是入侵检测设网络入侵防范的检测对象主要是入侵检测设备,了解入侵防范措施,检查入侵检测设备备,了解入侵防范措施,检查入侵检测设备的防范范围是否恰当,配置是否合理,规则的防范范围是否恰当,配置是否合理,规则库是否最新,检测策略是否有效等。库
21、是否最新,检测策略是否有效等。4 4应用安全应用安全 GB/T 28448-2012信息系统安全等级保护测信息系统安全等级保护测评要求第三级应用安全测评单元包括:评要求第三级应用安全测评单元包括:身份鉴别、访问控制、安全审计、剩余信息身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、保护、通信完整性、通信保密性、抗抵赖、软件容错和资源控制。软件容错和资源控制。剩余信息保护:剩余信息保护:与主机安全测评原理相似,应用系统存储与主机安全测评原理相似,应用系统存储“敏感信息敏感信息”的空间被释放或再分配给其他用户前,原来存储在该空的空间被释放或再分配给其他用户前,原来存储在
22、该空间的重要信息需要得到完全清理。间的重要信息需要得到完全清理。特别是用户登录系统操作后,在该用户退出后用另一用特别是用户登录系统操作后,在该用户退出后用另一用户登录,试图操作(读取、修改或删除等)其他用户产户登录,试图操作(读取、修改或删除等)其他用户产生的文件、目录和数据库记录等资源,查看操作是否成生的文件、目录和数据库记录等资源,查看操作是否成功,验证系统提供的剩余信息保护功能是否正确。功,验证系统提供的剩余信息保护功能是否正确。资源控制:资源控制:其原理和思想与主机安全测评类似,但应用安全其原理和思想与主机安全测评类似,但应用安全中的资源控制主要针对应用系统,具体包括:限中的资源控制主
23、要针对应用系统,具体包括:限制单个账户的多重并发会话,限制系统的最大并制单个账户的多重并发会话,限制系统的最大并发会话连接数,根据安全策略设定主题的服务安发会话连接数,根据安全策略设定主题的服务安全优秀级,根据优先级分配系统资源,查看是否全优秀级,根据优先级分配系统资源,查看是否对一个访问账户或一个请求进程占用的资源分配对一个访问账户或一个请求进程占用的资源分配最大限额和最小限额等。最大限额和最小限额等。5 5数据安全及备份恢复数据安全及备份恢复 GB/T 284482012信息系统安全等级保护信息系统安全等级保护测评要求第三级数据安全及备份恢复测评测评要求第三级数据安全及备份恢复测评 单元包
24、括单元包括数据完整性、数据完整性、数据保密性、数据保密性、备份恢复。备份恢复。4.2.2 4.2.2 管理层安全测评对象及内容管理层安全测评对象及内容 根据根据GB/T 284482012信息系统安全等级信息系统安全等级保护测评要求,三级系统的安全管理测评保护测评要求,三级系统的安全管理测评类包括安全管理制度、安全管理机构、人员类包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理安全管理、系统建设管理、系统运维管理 五部分。五部分。测评对象测评对象 在整个管理层的测评对象都是两类,即人和在整个管理层的测评对象都是两类,即人和制度。制度。包括信息安全主管人员、各方面的负责人
25、员、包括信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人,具体负责安全管理的当事人、业务负责人,以及涉及信息系统安全的所有管理制度和记以及涉及信息系统安全的所有管理制度和记录。录。审核和检查审核和检查 组织人员定期对信息系统进行全面安全检查,组织人员定期对信息系统进行全面安全检查,包括系统日常运行、系统漏洞和数据备份等包括系统日常运行、系统漏洞和数据备份等情况,及时通报,并形成安全检查管理制度情况,及时通报,并形成安全检查管理制度文档。文档。3 3人员安全管理人员安全管理 人员安全管理的测评内容包括:人员安全管理的测评内容包括:人员录用、人员离岗、人员考核、安全意识人员
26、录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理。教育和培训、外部人员访问管理。4 4系统建设管理系统建设管理 系统建设管理的测评内容包括系统建设全流程的系统建设管理的测评内容包括系统建设全流程的实施和文档管理,具体包括:实施和文档管理,具体包括:系统定级、安全方案设计、产品采购和使用、自系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、安全服务商选择。收、系统交付、系统备案、安全服务商选择。5 5系统运维管理系统运维管理 系统运维管理的测评内容包括:环境管理、系统运维管理的测评内
27、容包括:环境管理、资产管理、介质管理、设备管理、监控管理资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应管理、备份与恢复管理、安全事件处置、应急预案管理。急预案管理。4.2.3 4.2.3 不同安全等级的测评对象不同安全等级的测评对象 1第一级信息系统测评对象第一级信息系统测评对象 第一级信息系统的等级测评,测评对象的种类和第一级信息系统的等级测评,测评对象的种类和数量比较少,重点抽查关键的设备、设施、人员数量比较少
28、,重点抽查关键的设备、设施、人员和文档等。和文档等。4.2.4 4.2.4 不同安全等级测评指标对比不同安全等级测评指标对比4.2.5 4.2.5 不同安全等级测评强度对比不同安全等级测评强度对比4.3 4.3 测评工具与接入测试测评工具与接入测试 工具测评,就是根据测评指导书,利用技术工具对系统进行测工具测评,就是根据测评指导书,利用技术工具对系统进行测试,主要包括基于网络探测和基于主机审计的漏洞扫描、渗透试,主要包括基于网络探测和基于主机审计的漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等。性测试、性能测试、入侵检测和协议分析等。针对主机、服务器、网络设备、安全设备等设备,主要进行漏
29、针对主机、服务器、网络设备、安全设备等设备,主要进行漏洞扫描和性能测试;洞扫描和性能测试;针对应用系统的完整性和保密性要求,进行协议分析;针对应用系统的完整性和保密性要求,进行协议分析;针对一般脆弱性和来自内部与外部的威胁,进行渗透测试。针对一般脆弱性和来自内部与外部的威胁,进行渗透测试。因此,测评工具也称测试工具。因此,测评工具也称测试工具。4.3.1 4.3.1 测评工具测评工具 测试工具也可以从发现和解决问题的角度,分为测试工具也可以从发现和解决问题的角度,分为安全问题发现类工具(如漏洞扫描工具、木马扫安全问题发现类工具(如漏洞扫描工具、木马扫描工具)、描工具)、安全问题分析与定位类工具
30、(如网络协议分析工安全问题分析与定位类工具(如网络协议分析工具、源代码安全审计工具)、具、源代码安全审计工具)、安全问题验证类工具(如渗透测试工具)。安全问题验证类工具(如渗透测试工具)。测评中不能过于依赖测试工具测评中不能过于依赖测试工具 一是有些测试工作如果完全使用测试工具的批量自动化一是有些测试工作如果完全使用测试工具的批量自动化处理功能,会非常耗时,从而影响测评时间进度;处理功能,会非常耗时,从而影响测评时间进度;二是测试工具存在不同程度的误报、漏报和重报,特别二是测试工具存在不同程度的误报、漏报和重报,特别是误报和重报容易影响测评的可信度;是误报和重报容易影响测评的可信度;三是测试工
31、具一般都只针对通用问题,大量的业务类、三是测试工具一般都只针对通用问题,大量的业务类、逻辑类问题是无法靠测试工具自动发现和解决的。逻辑类问题是无法靠测试工具自动发现和解决的。测评工具除了作为技术手段的测试工具,还包括测评工具除了作为技术手段的测试工具,还包括安全配置检查工具、安全配置检查工具、测评过程管理测评过程管理辅助工具辅助工具、测评文档管理测评文档管理辅助工具、辅助工具、测评报告编写辅助工具。测评报告编写辅助工具。必配工具必配工具 根据公安部信息安全等级保护测评工具选用指引,测评根据公安部信息安全等级保护测评工具选用指引,测评工具分为必配工具和选配工具。工具分为必配工具和选配工具。必须配
32、置的测试工具包括:必须配置的测试工具包括:漏洞扫描探测工具,包括网络安全漏洞扫描系统和数漏洞扫描探测工具,包括网络安全漏洞扫描系统和数据库安全扫描系统;据库安全扫描系统;木马检查工具,包括专用木马检查工具和进程查看与木马检查工具,包括专用木马检查工具和进程查看与分析工具。分析工具。选用配置的测试工具包括:选用配置的测试工具包括:漏洞扫描探测工具漏洞扫描探测工具 软件代码安全分析工具;软件代码安全分析工具;安全攻击仿真工具;安全攻击仿真工具;网络协议分析工具;网络协议分析工具;系统性能压力测试工具,包括网络性能压力测系统性能压力测试工具,包括网络性能压力测试工具和应用软件性能压力测试工具;试工具
33、和应用软件性能压力测试工具;网络拓扑生成工具;网络拓扑生成工具;物理安全测试工具,包括接地电阻测试仪物理安全测试工具,包括接地电阻测试仪和电磁屏蔽性能测试仪;和电磁屏蔽性能测试仪;渗透测试工具;渗透测试工具;安全配置检查工具;安全配置检查工具;等级保护测评管理工具。等级保护测评管理工具。4.3.2 4.3.2 漏洞扫描工具漏洞扫描工具 包括包括主机漏洞扫描工具、主机漏洞扫描工具、远程系统扫描工具、远程系统扫描工具、网站安全检测工具、网站安全检测工具、数据库系统安全检测工具、数据库系统安全检测工具、应用安全检测工具、应用安全检测工具、恶意代码检测工具等恶意代码检测工具等世界主流漏洞库世界主流漏洞
34、库 美国国家漏洞数据库(美国国家漏洞数据库(National Vulnerability Database,NVD),),漏洞编号格式为漏洞编号格式为CVE-YYYY-XXXX,其中,其中YYYY 为年为年份,份,XXXX 为当年漏洞序号。为当年漏洞序号。如著名的如著名的MS08-067 NetAPI32.dll 远程缓冲区溢出远程缓冲区溢出漏洞,其漏洞,其CVE 编号为编号为 CVE-2008-4250。中国国家信息安全漏洞库(中国国家信息安全漏洞库(China National Vulnerability Database of Information Security,CNNVD),是由
35、中国信息安全),是由中国信息安全测评中心负责建设运维的国家级信息安全漏洞库。测评中心负责建设运维的国家级信息安全漏洞库。漏洞编号格式为漏洞编号格式为CNNVD-YYYYMM-XXX,其中,其中YYYY 为年为年份,份,MM 为月份,为月份,XXX 为当月漏洞编号。为当月漏洞编号。如如MS08-067 NetAPI32.dll 远程缓冲区溢出漏洞,远程缓冲区溢出漏洞,其其CNNVD 编号为编号为CNNVD-200810-406。国家信息安全漏洞共享平台(国家信息安全漏洞共享平台(China National Vulnerability Database,CNVD),是由国家计算机网络),是由国家
36、计算机网络应急技术处理协调中心(应急技术处理协调中心(CNCERT)联合国内重要信息系)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。互联网企业建立的信息安全漏洞信息共享知识库。漏洞编号格式为漏洞编号格式为CNVD-YYYY-XXXXX,其中,其中YYYY 为年份,为年份,XXXXX 为当年漏洞序号。为当年漏洞序号。微软通常有微软通常有2 个编号:安全公告个编号:安全公告MS 编号、编号、KB 编号。编号。安全公告是安全公告是MSxx-xxx 命名,具体细节可以到命名,具体细节可以到
37、http:/ 中查看。中查看。每个安全公告都对应一篇每个安全公告都对应一篇KB,就是,就是KBxxxxxx。KB 是是Knowledge Base(知识库)的简称。其指的是某个补丁对应微软知识库中(知识库)的简称。其指的是某个补丁对应微软知识库中哪一篇文章。例如,哪一篇文章。例如,KB888111 就是对应知识库中就是对应知识库中888111 号文章。号文章。1 1主机漏洞扫描工具主机漏洞扫描工具 这里所称的主机漏洞扫描工具,指运行在本地主这里所称的主机漏洞扫描工具,指运行在本地主机,并对本地主机的文件、进程、内存、本机开机,并对本地主机的文件、进程、内存、本机开放端口等进行安全扫描,以期发现
38、本地主机脆弱放端口等进行安全扫描,以期发现本地主机脆弱性的测评工具。性的测评工具。扫描对象主要是本地操作系统和中间件等。扫描对象主要是本地操作系统和中间件等。基于主机的漏洞扫描工具通常采用基于主机的漏洞扫描工具通常采用C/S 结构。需要在目标系统上结构。需要在目标系统上安装了一个客户端(安装了一个客户端(Client),或称为代理(),或称为代理(Agent)或服务)或服务(Services),以便在目标主机开机时自动启动,并且能够访问),以便在目标主机开机时自动启动,并且能够访问目标系统所有的文件与进程。目标系统所有的文件与进程。每个目标系统上的客户端,都可以在出现安全警报时或定时向每个目标
39、系统上的客户端,都可以在出现安全警报时或定时向中央服务器反馈信息,也可以随时接受服务器的指令完成指定中央服务器反馈信息,也可以随时接受服务器的指令完成指定的扫描任务。中央服务器通过远程控制台对各目标主机及其客的扫描任务。中央服务器通过远程控制台对各目标主机及其客户端进行管理。户端进行管理。主机漏洞扫描工具需要安装部署到被测主机上,主机漏洞扫描工具需要安装部署到被测主机上,这通常不适合第三方测评人员使用,而更适合于这通常不适合第三方测评人员使用,而更适合于自测评,即信息系统的运行使用单位在自己的主自测评,即信息系统的运行使用单位在自己的主机上部署主机漏洞扫描工具,并配置为定时自动机上部署主机漏洞
40、扫描工具,并配置为定时自动扫描或根据需要进行扫描。扫描或根据需要进行扫描。2 2远程系统扫描工具远程系统扫描工具 这里所称的远程系统扫描工具,是指无须在目标系统上部署任这里所称的远程系统扫描工具,是指无须在目标系统上部署任何程序就可以实现对目标系统的存活性、开放端口、操作系统何程序就可以实现对目标系统的存活性、开放端口、操作系统类别及版本号、系统用途、存在的漏洞等进行扫描判断的工具。类别及版本号、系统用途、存在的漏洞等进行扫描判断的工具。远程系统扫描工具,简称远程扫描器,通常可以对多个远程系统扫描工具,简称远程扫描器,通常可以对多个IP 地址地址或网段进行批量扫描,并报告其中存活的主机、开放的
41、端口、或网段进行批量扫描,并报告其中存活的主机、开放的端口、系统类型等信息。系统类型等信息。典型的远程扫描工具是典型的远程扫描工具是Nmap。远程扫描器的工作原理是基于网络协议的,即通过向目远程扫描器的工作原理是基于网络协议的,即通过向目标系统发送定制的数据包并监测目标系统的反应,从而标系统发送定制的数据包并监测目标系统的反应,从而做出判断。做出判断。所以,远程扫描器的扫描结果实际上是一种猜测和推理。所以,远程扫描器的扫描结果实际上是一种猜测和推理。目标系统也可能会进行伪装欺骗,因而不可过于依赖远目标系统也可能会进行伪装欺骗,因而不可过于依赖远程扫描器的扫描结果。程扫描器的扫描结果。远程扫描器
42、不需要部署到目标系统上,这个特点使得它远程扫描器不需要部署到目标系统上,这个特点使得它非常适合测评人员使用。非常适合测评人员使用。测评人员可以利用远程扫描器进行系统网络拓扑结构、测评人员可以利用远程扫描器进行系统网络拓扑结构、网络边界、子网划分、开放网络端口等多种探测,可以网络边界、子网划分、开放网络端口等多种探测,可以验证网络设备、安全设备、主机系统等的配置是否正确。验证网络设备、安全设备、主机系统等的配置是否正确。3 3网站安全检测工具网站安全检测工具 这里所称的网站安全检测工具,是指对远程网站的这里所称的网站安全检测工具,是指对远程网站的Web 服务容器、中间件、服务容器、中间件、Web
43、 应用等可能存在的漏洞进行自应用等可能存在的漏洞进行自动化扫描并生成检测报告的软件工具。动化扫描并生成检测报告的软件工具。通过构造多种畸形通过构造多种畸形Web 访问请求,根据服务器反馈信息访问请求,根据服务器反馈信息来判断来判断Web 应用程序是否存在安全漏洞。应用程序是否存在安全漏洞。明鉴明鉴WEB WEB 应用弱点扫描器应用弱点扫描器 明鉴明鉴WEB 应用弱点扫描器(应用弱点扫描器(MatriXay)就是一款典型的)就是一款典型的网站安全检测工具。网站安全检测工具。MatriXay 6.0全面支持全面支持OWASP Top 10 检测,可以帮助用检测,可以帮助用户充分了解户充分了解Web
44、 应用存在的安全隐患,改善并提升应用应用存在的安全隐患,改善并提升应用系统抗各类系统抗各类Web 应用攻击的能力(如注入攻击、跨站脚应用攻击的能力(如注入攻击、跨站脚本、文件包含、钓鱼攻击、信息泄露、恶意编码、表单本、文件包含、钓鱼攻击、信息泄露、恶意编码、表单绕过等),协助用户满足等级保护、内控审计等规范要绕过等),协助用户满足等级保护、内控审计等规范要求。求。4 4数据库安全检测工具数据库安全检测工具 这里所称的数据库安全检测工具,主要是指由安全管理这里所称的数据库安全检测工具,主要是指由安全管理员或系统管理员对本地数据库系统进行的安全检测,以员或系统管理员对本地数据库系统进行的安全检测,
45、以便发现数据库的脆弱点、不安全配置、弱口令、未安装便发现数据库的脆弱点、不安全配置、弱口令、未安装的补丁等。的补丁等。通过授权或非授权模式,自动、深入地识别数据库系统通过授权或非授权模式,自动、深入地识别数据库系统中存在的多种安全隐患。中存在的多种安全隐患。明鉴数据库漏洞扫描系统(明鉴数据库漏洞扫描系统(DAS-DBScan)是一款典型的数据库)是一款典型的数据库安全检测工具。主要功能和特点如下。安全检测工具。主要功能和特点如下。提供全面、准确和最新的弱点知识库。提供全面、准确和最新的弱点知识库。提供对数据库提供对数据库“弱点、不安全配置、弱口令、补丁弱点、不安全配置、弱口令、补丁”深层次深层
46、次安全检测。安全检测。支持主流的数据库包括支持主流的数据库包括Oracle、Misowsoft SQL Server、DB2、Informix、MySQL、Sybase、PostgreSQL、达梦、人大金仓等。、达梦、人大金仓等。敏感数据探测敏感数据探测 丰富的扫描报告丰富的扫描报告5 5应用安全检测工具应用安全检测工具 这里所称的应用安全检测工具,主要是指用这里所称的应用安全检测工具,主要是指用于检测安装在本地的浏览器、办公软件、媒于检测安装在本地的浏览器、办公软件、媒 体播放软件、社交软件等操作系统之外的第体播放软件、社交软件等操作系统之外的第三方应用软件安全漏洞的检测工具三方应用软件安全
47、漏洞的检测工具6 6恶意代码检测工具恶意代码检测工具 对病毒、木马、流氓软件等恶意代码的检测对病毒、木马、流氓软件等恶意代码的检测功能,通常也包含在主机安全检测工具或者功能,通常也包含在主机安全检测工具或者 防病毒软件中。防病毒软件中。7 7等保综合检查工具等保综合检查工具 除了上述的除了上述的专门工具以外,针对等级保护安全检专门工具以外,针对等级保护安全检测的需要,市场上出现了测的需要,市场上出现了“等级保护安全检查工等级保护安全检查工具箱具箱”这样的一体化产品。这样的一体化产品。如明鉴信息安全等级保护检查工具箱,是一款面如明鉴信息安全等级保护检查工具箱,是一款面向信息安全等级保护监管单位、
48、测评机构、信息向信息安全等级保护监管单位、测评机构、信息系统运营使用运营单位推出的用于等级保护合规系统运营使用运营单位推出的用于等级保护合规监管、测评、自查专用软硬一体移动便携式装备。监管、测评、自查专用软硬一体移动便携式装备。明鉴信息安全等级保护检查工具箱明鉴信息安全等级保护检查工具箱 Windows 主机配置检查、主机配置检查、Linux 主机配置检查、主机配置检查、主机病毒检查、主机木马检查、网站恶意代码检查、主机病毒检查、主机木马检查、网站恶意代码检查、网络设备与安全设备配置检查、网络设备与安全设备配置检查、弱口令检查、数据库安全检查、网站安全检查、系统漏洞检查、弱口令检查、数据库安全
49、检查、网站安全检查、系统漏洞检查、SQL 注入验证检查、注入验证检查、网络设备信息侦测检查、网络设备信息侦测检查、Wi-Fi 安全检查工具、安全检查工具、网站监测预警平台等。网站监测预警平台等。4.3.3 4.3.3 协议分析工具协议分析工具 网络协议分析工具可用于分析网络数据包、网络协议分析工具可用于分析网络数据包、了解相关数据包在产生和传输过程中的行为。了解相关数据包在产生和传输过程中的行为。常用工具有常用工具有tcpdump、Sniffer Pro、Wireshark、福禄克分析仪等。福禄克分析仪等。WiresharkWireshark Wireshark 是非常流行的网络封包分析软件,
50、功能是非常流行的网络封包分析软件,功能十分强大,可以捕获各种网络封包,显示网络封十分强大,可以捕获各种网络封包,显示网络封包的详细信息。包的详细信息。为了安全考虑,为了安全考虑,Wireshark 只能查看封包,而不能只能查看封包,而不能修改封包的内容,或者发送封包。修改封包的内容,或者发送封包。4.3.4 4.3.4 渗透测试工具渗透测试工具 渗透测试是指渗透人员在不同的位置(比如从内渗透测试是指渗透人员在不同的位置(比如从内网、从外网等位置)利用各种手段对某个特定网网、从外网等位置)利用各种手段对某个特定网络进行测试,以期发现和挖掘系统中存在的漏洞,络进行测试,以期发现和挖掘系统中存在的漏
