ch7网络安全检测与评估技术.ppt

第7章网络安全检测与评估技术 内容提要 网络安全漏洞网络安全漏洞检测技术网络安全评估标准网络安全评估方法网络安全检测评估系统简介小结 7 1网络安全漏洞 1 网络安全漏洞威胁 1 安全漏洞的定义漏洞是在硬件 软件 协议的具体实现或系统安全策略上存在的缺陷 可以使攻击者在未授权的情况下访问或破坏系统 漏洞的产生有其必然性 这是因为软件的正确性通常是通过检测来保障的 而 检测只能发现错误 证明错误的存在 不能证明错误的不存在 返回本章首页 2 安全威胁的定义安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性 可用性和完整性产生阻碍 破坏或中断的各种因素 安全威胁可以分为人为安全威胁和非人为安全威胁两大类 安全威胁与安全漏洞密切相关 安全漏洞的可度量性使得人们对系统安全的潜在影响有了更加直观的认识 返回本章首页 可以按照风险等级对安全漏洞进行归类 表7 1 7 2 7 3对漏洞分类方法进行了描述 返回本章首页 表7 1漏洞威胁等级分类 返回本章首页 表7 2漏洞威胁综合等级分类 表7 3漏洞威胁等级分类描述 2 网络安全漏洞的分类方法按漏洞可能对系统造成的直接威胁分类按漏洞的成因分类 返回本章首页 1 按漏洞可能对系统造成的直接威胁分类可以将漏洞分为 远程管理员权限 本地管理员权限 普通用户访问权限 权限提升 读取受限文件 远程拒绝服务 本地拒绝服务 远程非授权文件存取 口令恢复 欺骗 服务器信息泄露 其它漏洞 返回本章首页 2 按漏洞的成因分类可以分为 输入验证错误类 访问验证错误类 竞争条件类 意外情况处置错误类 设计错误类 配置错误类 环境错误类 返回本章首页 7 2网络安全漏洞检测技术 网络安全漏洞检测主要包括端口扫描 操作系统探测和安全漏洞探测 通过端口扫描可以掌握系统都开放了哪些端口 提供了哪些网络服务 通过操作系统探测可以掌握操作系统的类型信息 通过安全漏洞探测可以发现系统中可能存在的安全漏洞 返回本章首页 1 端口扫描技术端口扫描的原理是向目标主机的TCP IP端口发送探测数据包 并记录目标主机的响应 通过分析响应来判断端口是打开还是关闭等状态信息 端口扫描技术分为 TCP端口扫描技术UDP端口扫描技术 返回本章首页 1 TCP端口扫描技术TCP端口扫描技术主要有全连接扫描技术 半连接 SYN 扫描技术 间接扫描技术和秘密扫描技术等 全连接扫描技术全连接扫描的工作方式是 对目标主机上感兴趣的端口进行connect 连接试探 如果该端口被监听 则连接成功 否则表示该端口未开放或无法到达 返回本章首页 全连接扫描的最大优点是用户无须特殊权限 且探测结果最为准确 缺点是很容易被目标主机察觉并记录下来 半连接 SYN 端口扫描技术半连接端口扫描不建立完整的TCP连接 而是只发送一个SYN信息包 就如同正在打开一个真正的TCP连接 并等待对方的回应一样 返回本章首页 半连接扫描的优点在于即使日志中对扫描有所记录 但是尝试进行连接的记录也要比全连接扫描要少得多 缺点是在大部分操作系统下 发送主机需要构造适用于这种扫描的IP包 通常情况下 构造SYN数据包需要超级用户或者授权用户访问专门的系统调用 返回本章首页 2 UDP端口扫描技术UDP端口扫描主要用来确定在目标主机上有哪些UDP端口是开放的 其实现思想是发送零字节的UDP信息包到目标机器的各个端口 若收到一个ICMP端口不可达的回应 则表示该UDP端口是关闭的 否则该端口就是开放的 返回本章首页 2 操作系统探测技术由于操作系统的漏洞信息总是与操作系统的类型和版本相联系的 因此操作系统的类型信息是网络安全检测的一个重要内容 操作系统探测技术主要包括 获取标识信息探测技术基于TCP IP协议栈的指纹探测技术基于ICMP响应分析探测技术 返回本章首页 1 获取标识信息探测技术获取标识信息探测技术主要是指借助操作系统本身提供的命令和程序进行操作系统类型探测的技术 通常 可以利用telnet这个简单命令得到主机操作系统的类型 返回本章首页 2 基于TCP IP协议栈的指纹探测技术指纹探测实现依据是不同类型 不同版本的操作系统在协议栈实现上存在细微差别 操作系统指纹探测步骤为 形成一个全面的操作系统指纹特征库 向目标发送多种特意构造的信息包 检测其是否响应这些信息包以及其响应方式 把从目标返回的特征信息与指纹特征库进行匹配 判断目标机器的操作系统类型等信息 返回本章首页 3 基于ICMP响应分析探测技术ICMP响应分析探测技术是一种较新的操作系统探测技术 该技术通过发送UDP或ICMP的请求报文 然后分析各种ICMP应答信息来判断操作系统的类型及其版本信息 本质也是一种基于TCP IP协议栈的操作系统指纹探测技术 返回本章首页 3 安全漏洞探测技术安全漏洞探测是采用各种方法对目标可能存在的已知安全漏洞进行逐项检查 按照网络安全漏洞的可利用方式来划分 漏洞探测技术可以分为 信息型漏洞探测和攻击型漏洞探测两种 按照漏洞探测的技术特征 可以划分为 基于应用的探测技术 基于主机的探测技术 基于目标的探测技术和基于网络的探测技术等 返回本章首页 1 信息型漏洞探测技术信息型漏洞探测技术就是通过探测目标的型号 运行的操作系统版本及补丁安装情况 配置情况 运行服务及其服务程序版本等信息确定目标存在的安全漏洞的探测技术 该技术具有实现方便 对目标不产生破坏性影响的特点 其不足之处是对于具体某个漏洞存在与否 难以做出确定性的结论 返回本章首页 为提高信息型漏洞探测技术的准确率和效率 许多改进措施也不断地被引入 顺序扫描技术多重服务检测技术 返回本章首页 2 攻击型漏洞探测技术模拟攻击是最直接的漏洞探测技术 其探测结果的准确率也是最高的 该探测技术的主要思想是模拟网络入侵的一般过程 对目标系统进行无恶意攻击尝试 若攻击成功则表明相应安全漏洞必然存在 返回本章首页 3 漏洞探测技术按其技术特征可分为 基于应用的检测技术基于主机的检测技术基于目标的漏洞检测技术基于网络的检测技术 返回本章首页 7 3网络安全评估标准 1 网络安全评估标准的发展历程 1 首创而孤立的阶段 2 普及而分散的阶段 3 集中统一阶段 返回本章首页 返回本章首页 图7 1测评标准的发展演变历程 返回本章首页 表7 7各标准的等级划分对照表 2 TCSEC ITSEC和CC的基本构成 1 TCSEC的基本构成TCSEC主要由以下四个方面进行描述 安全策略模型 SecurityPolicyModel 可追究性 Accountability 保证 Assurance 文档 Documentation 返回本章首页 返回本章首页 TCSEC的安全级别 TCSEC根据所采用的安全策略 系统所具备的安全功能将系统分为四类七个安全级别 2 ITSEC的基本构成TSEC也定义了7个安全级别 即E6 形式化验证 E5 形式化分析 E4 半形式化分析 E3 数字化测试分析 E2 数字化测试 E1 功能测试 E0 不能充分满足保证 返回本章首页 ITSEC的安全功能分类为 标识与鉴别 访问控制 可追究性 审计 客体重用 精确性 服务可靠性 数据交换 其保证则分为 有效性 Effectiveness 和正确性 Correctness 返回本章首页 3 CC的基本构成CC分为三部分 相互依存 缺一不可 其中第1部分是介绍CC的基本概念和基本原理 第2部分提出了安全功能要求 第3部分提出了非技术的安全保证要求 返回本章首页 CC的功能要求和保证要求均以类 族 组件的结构表述 功能要求包括11个功能类 安全审计 通信 密码支持 用户数据保护 标识和鉴别 安全管理 隐秘 TSF保护 资源利用 TOE访问 可信路径 信道 保证要求包括7个保证类 配置管理 交付和运行 开发 指导性文件 生命周期支持 测试 脆弱性评定 返回本章首页 CC的评估等级共分7级 EAL1到EAL7 分别为功能测试 结构测试 系统测试和检验 系统设计 测试和评审 半形式化设计和测试 半形式化验证的设计和测试 形式化验证的设计和测试 返回本章首页 返回本章首页 CC结构关系图 7 4网络安全评估方法 1 基于通用评估方法 CEM 的网络安全评估模型CC作为通用评估准则 本身并不涉及具体的评估方法 信息技术的评估方法论主要由CEM给出 CEM主要包括评估的一般性原则 PP评估 ST评估和EAL1 EAL4的评估 CEM与CC中的保证要求相对应 返回本章首页 CEM由两部分组成 第一部分为简介与一般模型 包括评估的一般原则 评估过程中的角色 评估全过程概况和相关术语解释 第二部分为评估方法 详细介绍适于所有评估的通用评估任务 PP评估 ST评估 EALI EAL4评估及评估过程中使用的一般技术 返回本章首页 1 CEM评估一般原则CEM评估应该遵循适当 公正 客观的原则 要求评估结果满足可重复和可再现的特点 且评估结果是可靠的 CEM假定代价合理 方法可以不断演进 评估结果可重用 返回本章首页 2 CEM评估模型CEM评估 都可用下图的模型来表示 返回本章首页 3 CEM评估任务CEM中所有的评估都具备的评估任务是评估输入任务和评估输出任务 评估输入任务包括配置控制 证据的保护 处置和保密四个任务 其中CEM对后两个任务无要求 留给评估体制解决 评估输出任务包括书写观察报告 OR 和书写评估技术报告 ETR 两个子任务 返回本章首页 4 CEM评估活动任何一个信息技术安全产品或系统 也可以是PP 的评估 其核心是评估人员展开的一组评估活动 每一项评估活动可进一步细分为子活动 子活动又进一步细分为动作 而每一个动作又由一个或多个确定的工作单元组成 如下图所示 返回本章首页 返回本章首页 评估活动的分解 5 评估结果评估人员在评估过程中 需要作出不同层次的裁决 评估人员的裁决可以有三种不同的结果 分别为 不确定 通过或失败 返回本章首页 2 基于指标分析的网络安全综合评估模型 1 综合评估概要为全面了解目标网络系统的安全性能的状况 需要对各个方面的指标或项目进行测试或评估 必须将全体评估项目的评估结果进行综合 才能得到关于目标网络信息系统的安全性能的最终评价 返回本章首页 为完成网络系统安全状况的综合评估 首先要从最低层的项目入手 然后由低到高 确定出每个层次项目的评估结果 最后将第一层项目的评估结果综合在一起 得出目标网络系统安全状况的综合评估结果 对同一层次上的 局部的 评估项的评估结果的综合 可以有多种方法 如采用加权平均 模糊综合评价等 返回本章首页 2 归一化处理定量指标的归一化对定量指标进行归一化处理方法可分成三类 线段 折线 曲线 使用哪一种方法做归一化处理取决于具体的测试项的特点 适用于某一测试项的归一化方法不一定适用于其它项目 返回本章首页 定性评估项的量化和归一化定性评估项的结果通常以等级的形式给出 如 很差 较差 一般 较好 很好 对于定性评估项的最筒单的定性评估结果 即评估结果为 是 或 否 的情况 量化和归一化可采用直截了当法 即 是 指定为 1 否 指定为 0 返回本章首页 当定性指标采用 很差 较差 一般 较好 很好 的方式描述时 可根据它们的次序粗略地分配一个整数来实现结果的量化 如使用 1 2 3 4 5 与之对应 这些量化后的结果 1 2 3 4 5 可分别采用 0 1 0 3 0 5 0 7 0 9 或 a b c d e 作为它们的归一化值 其中0 a 0 2 0 2 b 0 4 0 4 c 0 6 0 6 d 0 8 0 8 e 1 返回本章首页 3 综合评估方法所有评估项的评估结果经过综合便可得到对系统的总的评价 对于同一个层次上的评估项 指标 综合评估过程是一个从多维空间到一个线段中的点或评价等级论域中的等级的映射过程 返回本章首页 如果评估项之间是层次关系 则综合评估过程的任务是将该层次结构中的全部评估项映射到上面的线段A 或等级论域L 即 f H A 或f H L 其中 H表示评估项之间的层次结构 返回本章首页 典型的综合评估方法有 加权算数平均加权几何平均混合平均 返回本章首页 在综合评估过程中 对某些评估项来说 使用加权算数平均对其进行综合比较合适 而对另一些评估项来说 使用加权几何平均可能更好 这种情况是由评估项的固有性质决定的 某一评估项的评估值可能是决定性的 以至于基本上主要依靠它作出最终评价 也可能不那么重要 返回本章首页 3 基于模糊评价的网络安全状况评估模型在评估实践中 经常遇到一些评估项 它们的评估结果难于以定量的方式表达 模糊数学特别适合于用来处理定性的评估项目 例如 系统评估中的大部分项目基本都是定性的 模糊数学可用来处理这些评估结果 并形成总的评价 返回本章首页 7 5网络安全检测评估系统简介 计算机网络信息系统安全检测评估系统的发展非常迅速 现在已经成为计算机网络信息系统安全解决方案的重要组成部分 我们以InternetScanner和Nessus为例来介绍网络安全检测评估系统 返回本章首页 1 InternetScanner7 0简介InternetScanner是ISS公司开发的网络安全评估工具 可以对网络漏洞进行分析和提供决策支持 InternetScanner可以对计算机网络信息系统进行全面的检测和评估 返回本章首页 2 InternetScanner的扫描评估过程InternetScanner有计划和可选择性地对网络通信服务 操作系统 主要的应用系统以及路由器和防火墙等进行探测扫描 查找最容易被用来攻击的漏洞 探测 调查和模拟攻击网络 最后InternetScanner对漏洞情况进行分析 同时提供一系列正确的应采取的措施 提供趋势分析并产生报告和数据 返回本章首页 InternetScanner的扫描评估过程 返回本章首页 1 定义扫描会话 Session InternetScanner利用会话 Session 来定义哪些设备需要被扫描 创建了某个新的会话时 其中会包含以下三个属性 用来定义扫描测试内容的策略 Policy 用来定义扫描范围的KEY文件 按IP地址定义的需要被扫描的设备组 返回本章首页 2 定义扫描策略扫描策略 Policy 是用来定义InternetScanner扫描系统时利用攻击库里的哪些攻击方式来尝试攻击系统 获得策略定义的方法有如下两种 直接利用InternetScanner默认设置的策略定义 点击AddPolicy按钮来自定义策略 返回本章首页 3 确定被扫描评估的目标确定被扫描主机的方法有如下三种 利用某个已经存在的主机文件 利用行输入方式输入某个或多个IP地址或网段来确定扫描的主机 ping所有key文件定义网段范围的所有I