网络安全检测与评估技术

1、第7章 网络平安检测与评价技术 内容提要：网络平安破绽 网络平安评价规范网络平安评价方法网络平安检测评价系统简介小结7.1 网络平安破绽 1. 网络平安破绽要挟1平安破绽的定义 破绽是在硬件、软件、协议的详细实现或系统平安战略上存在的缺陷，可以使攻击者在未授权的情况下访问或破坏系统。 破绽的产生有其必然性，这是由于软件的正确性通常是经过检测来保证的。而“检测只能发现错误，证明错误的存在，不能证明错误的不存在。前往本章首页2平安要挟的定义 平安要挟是指一切可以对计算机网络信息系统的网络效力和网络信息的性、可用性和完好性产生妨碍、破坏或中断的各种要素。平安要挟可以分为人为平安要挟和非人为平安要挟两

2、大类。平安要挟与平安破绽亲密相关，平安破绽的可度量性使得人们对系统平安的潜在影响有了更加直观的认识。 前往本章首页 可以按照风险等级对平安破绽进展归类，表7-1，7-2，7-3对破绽分类方法进展了描画 。 前往本章首页表7-1 破绽要挟等级分类严 重 度等级影响度低严重度: 漏洞难以利用，并且潜在的损失较少。1低影响度: 漏洞的影响较低，不会产生连带的其他安全漏洞。中等严重度: 漏洞难以利用，但是潜在的损失较大，或者漏洞易于利用，但是潜在的损失较少。2中等影响度: 漏洞可能影响系统的一个或多个模块，该漏洞的利用可能会导致其他漏洞可利用。高严重度: 漏洞易于利用，并且潜在的损失较大。3高影响度:

3、 漏洞影响系统的大部分模块，并且该漏洞的利用显著增加其他漏洞的可利用性。 前往本章首页表7-2 破绽要挟综合等级分类严重等级影响等级123112322343345表7-3 破绽要挟等级分类描画等级描 述1低影响度，低严重度2低影响度，中等严重度；中等影响度，低严重度3低影响度，高严重度；高影响度，低严重度；中等影响度，中等严重度4中等影响度，高严重度；高影响度，中等严重度5高影响度，高严重度2. 网络平安破绽的分类方法按破绽能够对系统呵斥的直接要挟分类按破绽的成因分类前往本章首页1按破绽能够对系统呵斥的直接要挟分类 可以分为： 远程管理员权限；本地管理员权限；普通用户访问权限；权限提升；读取受

4、限文件；远程回绝效力；本地回绝效力；远程非授权文件存取；口令恢复；欺骗；效力器信息泄露；其它破绽。前往本章首页2按破绽的成因分类 可以分为： 输入验证错误类；访问验证错误类；竞争条件类；不测情况处置错误类；设计错误类；配置错误类；环境错误类。前往本章首页3. 网络平安破绽探测技术 按照网络平安破绽的可利用方式来划分，破绽探测技术可以分为：信息型破绽探测和攻击型破绽探测两种。 按照破绽探测的技术特征，又可以划分为：基于运用的探测技术、基于主机的探测技术、基于目的的探测技术和基于网络的探测技术等。前往本章首页1信息型破绽探测技术 信息型破绽探测技术就是经过探测目的的型号、运转的操作系统版本及补丁安

5、装情况、配置情况、运转效力及其效力程序版本等信息确定目的存在的平安破绽的探测技术。 该技术具有实现方便、对目的不产生破坏性影响的特点。其缺乏之处是对于详细某个破绽存在与否，难以做出确定性的结论。 前往本章首页 为提高信息型破绽探测技术的准确率和效率，许多改良措施也不断地被引入:顺序扫描技术多重效力检测技术前往本章首页2攻击型破绽探测技术 模拟攻击是最直接的破绽探测技术，其探测结果的准确率也是最高的。 该探测技术的主要思想是模拟网络入侵的普经过程，对目的系统进展无恶意攻击尝试，假设攻击胜利那么阐明相应平安破绽必然存在。 前往本章首页3破绽探测技术按其技术特征可分为：基于运用的检测技术 基于主机的

6、检测技术基于目的的破绽检测技术基于网络的检测技术前往本章首页7.2 网络平安评价规范 1. 网络平安评价规范的开展历程1首创而孤立的阶段2普及而分散的阶段3集中一致阶段 前往本章首页前往本章首页图7-1 测评规范的开展演化历程前往本章首页表7-7 各规范的等级划分对照表CCTCSECFCITSECCTCPECGB17859-1999DE0T0EAL1T11：用户自主保护EAL2C1E1T22：系统审计保护EAL3C2T1E2T33：安全标记保护EAL4B1T2E3T44：结构变化保护T3T4EAL5B2T5E4T55：访问验证保护EAL6B3T6E5T6EAL7AT7E6T72. TCSEC、

7、ITSEC和CC的根本构成 1TCSEC的根本构成 TCSEC主要由以下四个方面进展描画：平安战略模型Security Policy Model可清查性Accountability保证Assurance文档Documentation 前往本章首页前往本章首页TCSEC的平安级别类别级别名 称主要特征AA验证设计形式化的最高级描述和验证形式化的隐蔽通道分析非形式化的代码对应证明BB3安全区域访问控制高抗渗透能力B2结构化保护形式化模型/隐通道约束面向安全的体系结构较好的抗渗透能力B1标识的安全保护强访问控制安全标识CC2受控制的访问控制单独的可追究性广泛的审计踪迹C1自主安全保护自主访问控制DD

8、低级保护相当于无安全功能的个人微机TCSEC根据所采用的平安战略、系统所具备的平安功能将系统分为四类七个平安级别。2ITSEC的根本构成 TSEC也定义了7个平安级别，即 E6：方式化验证；E5：方式化分析；E4：半方式化分析；E3：数字化测试分析；E2：数字化测试；E1：功能测试；E0：不能充分满足保证。 前往本章首页 ITSEC的平安功能分类为：标识与鉴别、访问控制、可清查性、审计、客体重用、准确性、效力可靠性、数据交换。其保证那么分为：有效性Effectiveness和正确性Correctness。 前往本章首页3CC的根本构成 CC分为三部分，相互依存，缺一不可。其中第1部分是引见CC

9、的根本概念和根本原理，第2部分提出了平安功能要求，第3部分提出了非技术的平安保证要求 。前往本章首页 CC的功能要求和保证要求均以类-族-组件的构造表述。 功能要求包括11个功能类平安审计、通讯、密码支持、用户数据维护、标识和鉴别、平安管理、隐秘、TSF维护、资源利用、TOE访问、可信途径、信道 。 保证要求包括7个保证类配置管理、交付和运转、开发、指点性文件、生命周期支持、测试、脆弱性评定。 前往本章首页 CC的评价等级共分7级：EAL1到EAL7 ，分别为功能测试，构造测试，系统测试和检验，系统设计、测试和评审，半方式化设计和测试，半方式化验证的设计和测试，方式化验证的设计和测试。前往本章

10、首页前往本章首页CC构造关系图 7.3 网络平安评价方法 1. 基于通用评价方法(CEM)的网络平安评价模型 CC作为通用评价准那么，本身并不涉及详细的评价方法，信息技术的评价方法论主要由CEM给出。 CEM主要包括评价的普通性原那么，PP评价、ST评价和EAL1EAL4的评价。CEM与CC中的保证要求相对应。前往本章首页CEM由两部分组成： 第一部分为简介与普通模型，包括评价的普通原那么、评价过程中的角色、评价全过程概略和相关术语解释； 第二部分为评价方法，详细引见适于一切评价的通用评价义务、PP评价、ST评价、EALIEAL4评价及评价过程中运用的普通技术。 前往本章首页1CEM评价普通原

11、那么 CEM评价应该遵照适当、公正、客观的原那么，要求评价结果满足可反复和可再现的特点，且评价结果是可靠的。 CEM假定代价合理，方法可以不断演进，评价结果可重用。前往本章首页2CEM评价模型 CEM评价，都可用以下图的模型来表示。前往本章首页3CEM评价义务 CEM中一切的评价都具备的评价义务是评价输入义务和评价输出义务 。 评价输入义务包括配置控制、证据的维护、处置和严密四个义务，其中CEM对后两个义务无要求，留给评价体制处理。 评价输出义务包括书写察看报告OR和书写评价技术报告ETR两个子义务。 前往本章首页4CEM评价活动 任何一个信息技术平安产品或系统也可以是PP的评价，其中心是评价

12、人员展开的一组评价活动。每一项评价活动可进一步细分为子活动，子活动又进一步细分为动作，而每一个动作又由一个或多个确定的任务单元组成，如以下图所示： 前往本章首页前往本章首页评价活动的分解5评价结果 评价人员在评价过程中，需求作出不同层次的判决，评价人员的判决可以有三种不同的结果，分别为：不确定、经过或失败。 前往本章首页2. 基于目的分析的网络平安综合评价模型 1综合评价概要 为全面了解目的网络系统的平安性能的情况，需求对各个方面的目的或工程进展测试或评价，必需将全体评价工程的评价结果进展综合，才干得到关于目的网络信息系统的平安性能的最终评价。 前往本章首页 为完成网络系统平安情况的综合评价，

13、首先要从最低层的工程入手，然后由低到高，确定出每个层次工程的评价结果，最后将第一层工程的评价结果综合在一同，得出目的网络系统平安情况的综合评价结果。 对同一层次上的部分的评价项的评价结果的综合，可以有多种方法，如采用加权平均，模糊综合评价等。 前往本章首页2归一化处置 定量目的的归一化 对定量目的进展归一化处置方法可分成三类：线段，折线，曲线。运用哪一种方法做归一化处置取决于详细的测试项的特点，适用于某一测试项的归一化方法不一定适用于其它工程。 前往本章首页 定性评价项的量化和归一化 定性评价项的结果通常以等级的方式给出，如“很差、较差、普通、较好、很好。 对于定性评价项的最筒单的定性评价结果

14、，即评价结果为“是或“否的情况，量化和归一化可采用直截了当法，即“是指定为“1，“否指定为“0。 前往本章首页 当定性目的采用“很差、较差、普通、较好、很好的方式描画时，可根据它们的次序粗略地分配一个整数来实现结果的量化，如运用“1、2、3、4、5与之对应。这些量化后的结果“ 1、2、3、4、5可分别采用“0.1、0.3、0.5、0.7、0.9或“a、b、c、d、e作为它们的归一化值，其中0a0.2，0.2b0.4，0.4c0.6，0.6d0.8，0.8e1。 前往本章首页3综合评价方法 一切评价项的评价结果经过综合便可得到对系统的总的评价。对于同一个层次上的评价项目的，综合评价过程是一个从多

15、维空间到一个线段中的点或评价等级论域中的等级的映射过程。前往本章首页 假设评价项之间是层次关系，那么综合评价过程的义务是将该层次构造中的全部评价项映射到上面的线段A，或等级论域L。即： f：(H)A或f：HL其中，H表示评价项之间的层次构造 前往本章首页典型的综合评价方法有： 加权算数平均加权几何平均混合平均 前往本章首页 在综合评价过程中，对某些评价项来说，运用加权算数平均对其进展综合比较适宜，而对另一些评价项来说，运用加权几何平均能够更好。这种情况是由评价项的固有性质决议的。某一评价项的评价值能够是决议性的，以致于根本上主要依托它作出最终评价，也能够不那么重要。 前往本章首页3. 基于模糊

16、评价的网络平安情况评价模型 在评价实际中，经常遇到一些评价项，它们的评价结果难于以定量的方式表达。模糊数学特别适宜于用来处置定性的评价工程。 例如：系统评价中的大部分工程根本都是定性的。模糊数学可用来处置这些评价结果，并构成总的评价。 前往本章首页7.4 网络平安检测评价系统简介 计算机网络信息系统平安检测评价系统的开展非常迅速，如今曾经成为计算机网络信息系统平安处理方案的重要组成部分。 我们以ISS公司的Internet Scanner为例来引见网络平安检测评价系统。 前往本章首页1. Internet Scanner 7.0简介 Internet Scanner是ISS公司开发的网络平安评

17、价工具，可以对网络破绽进展分析和提供决策支持。 Internet Scanner可以对计算机网络信息系统进展全面的检测和评价。 前往本章首页2. Internet Scanner的扫描评价过程 Internet Scanner 有方案和可选择性地对网络通讯效力、操作系统、主要的运用系统以及路由器和防火墙等进展探测扫描，查找最容易被用来攻击的破绽，探测、调查和模拟攻击网络。最后Internet Scanner 对破绽情况进展分析，同时提供一系列正确的应采取的措施，提供趋势分析并产生报告和数据。前往本章首页Internet Scanner的扫描评价过程前往本章首页1定义扫描会话Session In

18、ternet Scanner利用会话Session来定义哪些设备需求被扫描。创建了某个新的会话时，其中会包含以下三个属性：用来定义扫描测试内容的战略Policy；用来定义扫描范围的KEY文件；按IP地址定义的需求被扫描的设备组； 前往本章首页2定义扫描战略 扫描战略Policy是用来定义Internet Scanner扫描系统时利用攻击库里的哪些攻击方式来尝试攻击系统。 获得战略定义的方法有如下两种：直接利用Internet Scanner默许设置的战略定义；点击Add Policy按钮来自定义战略。 前往本章首页3确定被扫描评价的目的 确定被扫描主机的方法有如下三种： 利用某个曾经存在的主机文件。 利用行输入方式输入某个或多个IP地址或网段来确定扫描的主机。 ping一切key文件定义网段范围的一切IP