2-3计算机安全评估

计算机网络系统安全评估,网络给人们带来很多便利，大大提高了人们的工作效率，因此应用越来越广泛。同时，随着各式邮件传播的病毒的出现，网络安全波及面越来越大。越来越多的用户希望对自己所用或将要用的网络产品或系统的安全性具有清晰的认识，但大多缺乏相关的知识、专家经验和资源，无法判定自己对网络产品或系统的安全性的置信度是否适当，而又不想在这方面完全依赖系统或产品的开发者，因此希望有第三方帮助分析其网络系统或产品的安全性，即进行安全评估。,1概述,对网络系统或产品的安全性进行评估，要涉及以下几个方面：1、有效安全性方案应结合企业经营目标2、周详的计划评估网络结构及弱点；监督所有系统，以防遭受安全性入侵事件；测试安全性方案；,3、评估：找出威胁，以确保资产安全评估包括下列几个步骤：找出漏洞。分析漏洞。弥补漏洞，降低风险。4、做好万一遭安全性入侵的准备5、评估及再评估,2内部网络安全性的测评策略,企业所遭受的安全泄密大约有60%来自于内部攻击，因此，内部网络安全评估应该是最值得重视的安全部分。对内部网络进行安全评估的方法如下表所示：,2.1扫描简介,“扫描”和“查点”的工具和技术是资产盘点的基础。1、在线检测ping检测是基于ICMP协议的。目前，多数路由器和防火墙禁止该协议数据包的通过，因此，应采用不受阻拦的tcpping进行在线检测。2、端口扫描端口扫描就是连接目标系统的TCP和UDP端口，确定哪些服务正在运行即处于监听状态的过程。作用有：标识运行在目标系统上的TCP服务和UDP服务；标识目标系统的操作系统类型；标识特定的应用程序或特定服务的版本。,3、扫描工具扫描工具是一种自动检测远程或本地主机在安全性方面弱点的程序包，用户可以使用它发现远程或者本地主机的安全弱点。有品种众多的商用和免费扫描工具。4、操作系统判别不同厂家的IP协议栈实现之间存在许多细微差别，即各个厂家在编写自己的TCP/IP协议栈时，通常对特定的RFC指南做出不同的解释。因此通过探测这些差异，就能对目标系统所用的操作系统加以猜测。为达到最大的可靠性，协议纹鉴别通常要求目标系统至少有一个监听端口。,2.2查点,从系统中获取有效帐号或资源名的过程称为查点。一旦查点出一个有效用户名或共享资源，猜出对应的密码或标识与资源共享协议关联的某些脆弱点通常就是个时间问题。查点的信息类型大体可归为以下几类：网络资源和共享资源用户和用户组服务器程序及其旗标,2.2.1空会话查点,“空会话”就是在一个未经过认证的用户和一个NT/2000系统之间创建连接。如果连接成功，就拥有了一条开放通道，通过这条通道，可以尝试采用各种技术并尽可能获取信息：网络信息、共享资源、用户、群组、注册表键等。,“空会话”漏洞产生原因：WindowsNT的网络服务依赖于通用公共互联文件系统/服务器消息块（CIFS/SMB）和NetBIOS数据传输协议，可借此获得NT/2000的共享信息。WindowsNT/2000对CIFS/SMB和NetBIOS的缺省信赖。CIFS/SMB和NetBIOS标准包括了一些API，这些API通过TCP端口139可以返回机器的大量信息。,2.2.2NT/2000网络资源查点,一种是NetBIOS资源查点，另外一种是NT/2000系统提供的TCP/IP服务查点。1、NetBIOS查点利用netview查点NT/2000域使用nbtstat和nbtscan命令转储NetBIOS名字表查点NT/2000域控制器利用netview工具查点NetBIOS共享资源使用DumpSec查点NetBIOS共享资源使用Legion和NAT扫描共享资源其它NT/2000网络查点工具,2、NT/2000SNMP查点如果严格限制了对NetBIOS服务器的访问，则以上查点技术就失效。但是，如果NT/2000系统上的简单网络管理协议SNMP代理可以通过缺省的公共串（如public）访问，那敏感信息仍可能被泄露。3、Windows2000DNS服务查询,2.2.3NT/2K用户和用户组查点,在查点NT/2000用户和用户组时，许多查点技术都是在空会话基础上实现的。1、通过NetBIOS查点用户2、利用user2sid/sid2user来识别帐号3、利用SNMP查点用户帐号4、利用ldp的Windows2000活动目录查点,2.2.4NT/2K应用程序和旗标查点,网络和帐号的查点是在操作系统上的。利用安装NT/2000上的应用程序来获取更多的系统信息称为旗标攫取，至少可以确认服务器上运行的软件和版本。1、基本的旗标攫取：使用telnet登录。2、Web服务器旗标和版本查点3、NT/2000注册表查点,3寻找高危漏洞,信息收集是安全状况分析的基础，传统地手工收集信息耗时费力，于是扫描工具出现了，它能依照程序设定自动探测及发掘规则内的漏洞，是探测系统缺陷的安全工具。,3.1漏洞测评工具,1、扫描器分类主机扫描器：用于扫描本地主机，查找安全漏洞，查杀病毒，木马，蠕虫等危害系统安全的恶意程序。网络扫描器：通过网络来测试主机安全性，它检测主机当前可用的服务及其开放端口，查找可能被远程试图恶意访问者攻击的大量众所周知的漏洞，隐患及安全脆弱点。甚至许多扫描器封装了简单的密码探测，可自设定规则的密码生成器、后门自动安装装置以及其他一些常用的小东西。数据库扫描器：工作机制类似于网络扫描器，主要用于检测数据库系统的安全漏洞及各种隐患。,2、扫描器共性（1）主机侦测。多数扫描器都会综合运用ICMP、TCP和UDP协议扫描整个网络进行主机发现，即找出在线主机。（2）服务发现。扫描器采用端口扫描方式确定每台在线主机上开放着哪些端口，从而判断出开放哪些服务的。（3）漏洞检测。漏洞检测是扫描器的核心功能。漏洞检测大致有两种方式：应用程序版本检测和直接漏洞攻击。（4）测评结果。漏洞扫描器工作结果通常是以报表形式体现，报表可以有多种格式，如html或.doc等。,3、选择合适的扫描器目前有众多类型商用和免费的扫描器，首先要正确地选择。无论是商用还是免费扫描器并不完全相同，都有各自的强项和弱点，没有一种产品是完全能够适应每种网络的。因此，在选择扫描器时要注意以下三点：（1）性能扫描器的脆弱性特征集合的完备性、更新速度和便捷性是其性能的重要参考指标。另外，工作速度也应考虑。,（2）误报和漏报任何扫描器都不可避免地存在着这两个问题，但是误报率