安全评估(风险评估)方向课件

1、安全评估(风险评估)方向,安全评估(风险评估)方向 2008届毕业设计的规划和设想 郑秋生 2007-9-15,安全评估(风险评估)方向,信息安全研究内容的发展,信息的保密性,信息的完整性 可用性 可控性 不可否认性,攻（攻击） 防（防御） 测（检测） 控（控制） 管（管理） 评（评估,CIA,安全评估(风险评估)方向,安全评估(风险评估)方向 2008届毕业设计的规划和设想,题目的划分 漏洞库的题目 /夏冰、裴斐等 基于主机的安全评估软件 /郑秋生等 基于网络的安全评估软件 /孙飞显等 相关的题目 网络攻防技术 / 攻击效果的评估 网络跟踪技术 HoneyNet/HoneyPot 技术 网络

2、协议分析 网络性能的测量和度量 /定量分析 各题目间的组织、协调工作,安全评估(风险评估)方向,漏洞库测试和系统管理,题目意义 安全评估两个版本（基于主机、基于网络）的重要基础工作 主要工作： 漏洞的扫描 漏洞的研究 漏洞的渗透 工作量大 一个一个收集、存在性测试、分析、写两个版本的测试代码（Plugin ） 有技术难度 耐着性子 一个一个的进行，统计、显示每个漏洞的工作进度状况，做到心里有数（作了什么？程度如何？还需要作什么,安全评估(风险评估)方向,漏洞库测试和系统管理,主要工作 （合计人数：14 21人） 按照漏洞库生命周期的几个阶段进行详细的研究 漏洞的发现、公布、利用、最终被修补的过

3、程 /参考 吴亚非 的书 建立漏洞库 （1人） 按照安全评估的需要，建立自己的漏洞库，有自己的独特字段与安全评估软件（基于主机、基于网络）、解决放案紧密相连 参考主要的公开漏洞源（CCERT、CERT、CVE、TRAQBUG 等） 05-08年漏洞信息的收集（2人） Windows（不同版本） 2005、06、07、08年的漏洞 与Windows 应用有关的各种服务、应用程序05-08年的主要漏洞,安全评估(风险评估)方向,漏洞库测试和系统管理,3. 漏洞库管理系统（基于ASP.NET的方式）（1-2人） 完善2007届毕业设计的内容 界面 漏洞库的记录录入（05-08年） 完善管理功能 输入

4、、编辑、修改、增加、删除、查询等 希望有基于Web Services的漏洞库可编程接口 4. 每个漏洞的存在性测试 （2-3人） 使用微软提供的MS*程序测试，05-08年 其它测试程序收集（特别是针对第三方软件的漏洞,安全评估(风险评估)方向,漏洞库测试和系统管理,5. 每个漏洞的原理、特征分析、解决方案（2-3人） 给出、整理05-08年漏洞库中每个漏洞的完整信息（可能需要建一个数据库表） 整理出每个漏洞的特征信息（基于主机和网络的测试可以使用） 分析每个漏洞的原理 给出每个漏洞的解决方案,安全评估(风险评估)方向,漏洞库测试和系统管理,6. 编写基于主机的测试代码插件（3-5人） 基于主

5、机扫描的技术 本地信息：注册表、系统文件、进程和服务、安全配置、管理策略等 根据漏洞特征，编写自己的漏洞扫描、监测代码（插件） 05-08年的漏洞 7. 编写基于网络的测试代码插件 （渗透攻击自动化脚本）（3-5人 ） 基于网络扫描的技术 攻击、渗透技术：远程攻击攻击脚本（自动化、多个攻击步骤） 根据漏洞特征，编写自己的漏洞扫描、监测代码（插件） 05-08年的漏洞,安全评估(风险评估)方向,基于主机的安全评估软件设计,主程序框架设计 单机版本 /先期完成 三层结构的分布式版本 Sensor/Agent Client Control Center Display 考虑两个版本的过渡,安全评估(

6、风险评估)方向,基于主机的安全评估软件设计,参考的商业版软件 CyberCop Scanner Windows 基于主机 美国网络协会公司 ISS Internet Scanner Windows 基于主机 美国互联网安全系统公司 Retina Windows 基于主机 美国电子眼数字安全公司,安全评估(风险评估)方向,基于主机的安全评估软件设计,程序的主要功能 （合计 1116人 ） 配置和初始化 /仿造商业化的软件，看技术白皮书 2-3人（包括框架、主程序设计） 扫描范围 评估报告的形式、格式 扫描的功能 /看 3个国标文档，不仅仅是漏洞的扫描 获取主机的基本信息 （2-3人） 恶意代码扫

7、描 （2-3人） 按照漏洞扫描插件的扫描模块 （2-3人） 安全评估算法 /参考 FIRST ，希望创新 （1人） CVSS 评估报告 /参考商业化软件的技术白皮书 （1-2人） 包括解决方案和安全等级 基于不同用户的报告 有图形的统计显示，安全评估历史信息库，威胁的预测。 软件的升级 /参考 防病毒软件 （McAfee、Norton） （1人） /评估算法、报告、升级三部分，可供 基于网络的评估软件用,安全评估(风险评估)方向,基于主机的安全评估软件设计,扫描的功能 获取主机的基本信息 （2-3人） OS信息（旗标 Flag）(OS指纹 fingerprinting) 已安装补丁的信息（需要

8、建立一个补丁的数据库） 已安装应用程序的信息 已安装服务的信息（What、Flag） 这些本地信息和漏洞库的记录对照，得到安全评估结果 正在运行的信息 进程、端口、服务,安全评估(风险评估)方向,基于主机的安全评估软件设计,扫描的功能(续) 2. 恶意代码(威胁代理)扫描 （2-3人） 建立（06-08年）流行的恶意代码信息库（指纹库） 有本地主机较严重安全隐患的恶意代码：病毒、木马等 扫描的项目：仿造 AutoRuns, SReng 等软件 收集注册表的扫描项（启动项、BHO等） 其它的文件、进程、端口等特征的扫描 有自动的校验（MD5 Hash 、MS 签名）、报警（不同颜色）的功能 给出

9、本地的安全问题报告（与恶意代码有关,安全评估(风险评估)方向,基于主机的安全评估软件设计,扫描的功能(续) /其它扫描 主机安全策略的扫描 （操作系统安装后的缺省配置问题） 注册表项（缺省的问题） 启动密码策略 缺省用户、组的修改 安全加固的措施：防病毒、防火墙 /基于管理方面的扫描 动态的 攻击（漏洞）本地扫描 / 暂时不 开展工作 根据端口和服务 根据检查到的数据包、攻击分析 常见攻击的监测（根据攻击指纹库,安全评估(风险评估)方向,基于主机的安全评估软件设计,扫描的功能(续) 3. 按照漏洞扫描插件的扫描模块（2-3人） 扫描引擎设计，支持在线更新的扫描插件 多线程扫描 扫描进度显示 扫

10、描结果显示 按照漏洞库的记录和本地信息的匹配结果，一个个漏洞扫描 使用漏洞扫描的插件，与漏洞组（编写扫描插件）配合,安全评估(风险评估)方向,基于网络的安全评估软件设计,应用程序的类型、主框架 单机版 分布式的网络版 （Sensor） Web 版 （免费的版本）：Microsoft、 Norton、瑞星等 一般用于本机安全分析、漏洞扫描、安全等级 主要功能 基本考虑 参见 3个安全评估的文档和商业化软件的技术报告 考虑跨路由的扫描和本地网段扫描的技术区别、测试,安全评估(风险评估)方向,基于网络的安全评估软件设计,参考的商业版软件 Nessus Linux/BSD/Unix 基于网络 开放源代

11、码 NetRecon Windows 基于网络 商业产品 Axent/Symantec 公司 SARA Linux/BSD/Unix 基于网络 开放源代码 SAINT Linux/BSD/Unix 基于网络 商业产品,安全评估(风险评估)方向,基于网络的安全评估软件设计,主要功能 （续） 主要的实现功能 初始化和配置模块 2. 主机/网络的存活性及指纹识别 存活性、端口、服务（邮件、Web、FTP、 Telnet、RPC、Windows 特有的服务等）、应用程序的指纹识别 仿照 NMap软件（源代码、技术） 建立指纹数据库 秘密、隐蔽的扫描技术（用户可以选择、配置） 扫描的策略模板 有防火墙和

12、跨路由的扫描技术问题,安全评估(风险评估)方向,基于网络的安全评估软件设计,主要功能 （续） 主要的实现功能（续） 3. 根据漏洞库的扫描 编写基于网络技术和漏洞库的漏洞扫描插件 与漏洞组（编写扫描插件）配合 网络渗透攻击的自动化脚本 多进程扫描 扫描进度显示 扫描结果显示 按照漏洞库的记录和扫描到的指纹信息的匹配结果，一个个漏洞扫描,安全评估(风险评估)方向,基于网络的安全评估软件设计,主要功能 （续） 主要的实现功能（续） 4. 安全评估算法 5. 评估报告 6. 软件的升级 以上三部分与基于主机的安全评估相一致的方案,安全评估(风险评估)方向,其它相关的题目提出,网络攻防技术/ 攻击效果

13、的评估 攻防策略、技术方法 软件、工具 攻击效果、测量,评估 /国防科大 安全加固工程 防御策略、方案（软硬件） 安全加固工程的文档、步骤 /开展横向项目、安全顾问 网络跟踪技术 攻击源的跟踪（跨企业、路由） 拓扑结构图显示（攻击路径显示） 收集攻击的证据 切断攻击源（阻击攻击） HoneyNet/HoneyPot 技术 建立工具、恶意代码收集系统 数据分析、解决方案、预测 网络协议分析 网络性能的测量和度量 /定量分析, 解放军理工大学,陈鸣,安全评估(风险评估)方向,各题目间的组织、协调工作,树立最终是一个题目的思想 踏踏实实的开展工作，不可应付、浮躁 日常工作 每周学生每个小组开会、讨论

14、（学生组长） 每周指导老师开会： 汇报进展情况，阶段总结 讨论方案、实现、问题 有孙飞显召集、协调，夏冰辅助 必须坚持，人员可以不齐，时间可以机动、不固定 大家理论的学习 特别是老师，老资料、信息、资源大家分享 利用我们的网站,安全评估(风险评估)方向,各题目间的组织、协调工作(续,注意软件的开发与创新点 开发的功能要完善（鉴定时要进行正规的软件测试） 软件的功能基于3个标准和技术白皮书，同时考虑实际的用户（公安厅） 每一部分尽多的 有创新点 方案的完整、合理性，要有详细的文档 大家要多些文档，便于交流 毕业设计的学生和2、3年级的学生参加 挑选一些MFC/C+ 编程能力强的学生 进一步的工作

15、考虑 考虑如何将基于主机、基于网络两种技术的扫描结果的融合。更好的评估结果 考虑与风险评估的关系,安全评估(风险评估)方向,一些国内外安全评估、风险评估、安全审计、漏洞扫描软件介绍 企业级（商业版） 免费版 有些有源代码，可作为开发的基础、雏形 这些软件的参考意义 软件运行、技术白皮书 程序实现的功能 程序的结构、界面 评估报告的形式 软件升级的方法 数据库的形式 漏洞库的格式/内容,安全评估(风险评估)方向,风险评估管理工具,天融信 信息安全管理系统 Top Analyzer 看技术白皮书 漏洞库管理 补丁库管理 历史和实时的安全事件管理（预测用？） 资产的价值识别 风险分析、计算、报告、响

16、应 （实时的风险报警） 风险仪表盘 视图显示 基于角色的用户认证和权限管理 用户 - 角色 - 权限,安全评估(风险评估)方向,风险评估管理工具,启明星辰 风险评估管理系统 RAMS /Risk Assessment Management System 看技术白皮书 以资产为核心的风险评估和风险管理 分布、灵活部署 基于角色的安全评估报告 /分层次 组织管理层安全报告 /厂长、经理、董事长 技术管理层安全报告 /网管中心主任、总工 技术人员安全报告 /工程师 安全趋势分析 安全信息库 安全弱点库 支持主流的安全评估产品： 启明星辰的“天镜”网络漏洞扫描系统 Nessus 网路扫描器 绿盟“极光

17、”网络安全评估系统 IIS Internet Scanner 安全威胁库 安全控制库,安全评估(风险评估)方向,风险评估管理工具,联想 网御风险评估 辅助工具 资产管理部件 Tree View 资产视图 拓扑视图 补丁管理部件 弱点管理部件 事件管理部件 问卷调查部件 安全通告部件 拓扑管理部件 系统管理部件,安全评估(风险评估)方向,漏洞扫描分析工具 （安全评估,绿盟科技 的 极光远程安全评估系统 AURORA （NSFocus系列安全产品的一款） 漏洞知识库 CVE BUGTRAQ ，NT BUGTRAQ NSFOCUS /绿盟 扫描调度模块 /扫描引擎 存活扫描 端口扫描 服务判断子模块

18、 操作系统类型识别子模块 服务-规则索引子模块：负责根据服务类型、操作系统类型和补丁，到漏洞知识库中检索可能存在的漏洞项，并读入各漏洞项的检查规则 规则解析子模块：负责对读入的规则进行解析，依靠规则解析结果对目标进行探测，最终将探测结果写入扫描结果数据库 Profile 摘要信息搜集模块：负责收集目标系统的多种信息，用来提高目标检测准确性和检测速度,安全评估(风险评估)方向,漏洞扫描分析工具 （安全评估,启明星辰 的 天镜 脆弱性扫描与管理系统 提供10种默认的扫描策略 符合 CNCVE 标准，兼容CVE, BUGTRAQ等 灵活的部署 单机式部署 分布式部署 /Agent 多级式部署 /控制

19、中心 -子控中心 产品的组成 管理控制中心 /扫描计划定制 综合显示中心 扫描引擎 日志分析报表 扫描对象授权 /扫描的数量、IP 范围 数据库系统,安全评估(风险评估)方向,漏洞扫描分析工具 （安全评估,ISS（Internet Security System）公司的安全漏洞扫描系统 Internet Scanner 产品 4个模块组成 扫描引擎 /5级扫描策略 用户界面 配置扫描信息 设置信息 /报表等 报告模块 不同级别（角色）等级的安全评估报告 X-Focus 安全知识数据库 提供基于由X-Focus 和ISS安全研发组织研究的超过700项与众不同的测试信息 （ISS 的产品优势所在,

20、安全评估(风险评估)方向,基本扫描、查询类软件（来自CIW,Nmap：基于网络的方案， Linux/Windows /操作系统识别，各种网络扫描技术 LSAT (Linux Security Auditing Tool): 基于主机的方案 WS_Ping ProPack: 包含：Ping、TraceRoute、 Lookup、Finger、Whois、Scan、Snmp、WinNet etc. XScan: Fluxay 流光 Superscan Netscan tools,安全评估(风险评估)方向,基本扫描、查询类软件(来自CIW,Port Scanner 1.3 RedButton /推荐 SNMP 扫描 Hp 的OpenView Windows NT Resource Kit 中的SNMPUTIL 其他网络工具包：Ping ProPack WinPcap+Ethereal /数据包的捕捉和分析（指纹s、攻击特征等） WinpCap.EXE : Ethereal 0.9.7,安全评估(风险评估)方向,企业级审核/评估软件(来自CIW,下