《计算机网络安全7 网络安全检测与评估技术课件.ppt》由会员分享,可在线阅读,更多相关《计算机网络安全7 网络安全检测与评估技术课件.ppt(74页珍藏版)》请在三一办公上搜索。
1、第7章 网络安全检测与评估技术,内容提要:网络安全漏洞 网络安全检测技术网络安全评估标准网络安全评估方法网络安全检测评估系统简介小结,7.1 网络安全漏洞,1.网络安全漏洞威胁(1)安全漏洞的定义 漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,可以使攻击者在未授权的情况下访问或破坏系统。漏洞的产生有其必然性,这是因为软件的正确性通常是通过检测来保障的。而“检测只能发现错误,证明错误的存在,不能证明错误的不存在”。,返回本章首页,(2)安全威胁的定义 安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性、可用性和完整性产生阻碍、破坏或中断的各种因素。安全威胁可以分
2、为人为安全威胁和非人为安全威胁两大类。安全威胁与安全漏洞密切相关,安全漏洞的可度量性使得人们对系统安全的潜在影响有了更加直观的认识。,返回本章首页,可以按照风险等级对安全漏洞进行归类,表7-1,7-2,7-3对漏洞分类方法进行了描述。,返回本章首页,表7-1 漏洞威胁等级分类,返回本章首页,表7-2 漏洞威胁综合等级分类,表7-3 漏洞威胁等级分类描述,2.网络安全漏洞的分类方法按漏洞可能对系统造成的直接威胁分类按漏洞的成因分类,返回本章首页,(1)按漏洞可能对系统造成的直接威胁分类 可以将漏洞分为:远程管理员权限;本地管理员权限;普通用户访问权限;权限提升;读取受限文件;远程拒绝服务;本地拒
3、绝服务;远程非授权文件存取;口令恢复;欺骗;服务器信息泄露;其它漏洞。,返回本章首页,(2)按漏洞的成因分类 可以分为:输入验证错误类;访问验证错误类;竞争条件类;意外情况处置错误类;设计错误类;配置错误类;环境错误类。,返回本章首页,7.2 网络安全检测技术,网络安全检测主要包括端口扫描、操作系统探测和安全漏洞探测。通过端口扫描可以掌握系统都开放了哪些端口、提供了哪些网络服务;通过操作系统探测可以掌握操作系统的类型信息;通过安全漏洞探测可以发现系统中可能存在的安全漏洞。,返回本章首页,1.端口扫描技术 端口扫描的原理是向目标主机的TCP/IP端口发送探测数据包,并记录目标主机的响应。通过分析
4、响应来判断端口是打开还是关闭等状态信息。端口扫描技术分为:TCP端口扫描技术UDP端口扫描技术,返回本章首页,(1)TCP端口扫描技术 TCP端口扫描技术主要有全连接扫描技术、半连接(SYN)扫描技术、间接扫描技术和秘密扫描技术等。全连接扫描技术全连接扫描的工作方式是:对目标主机上感兴趣的端口进行connect()连接试探,如果该端口被监听,则连接成功,否则表示该端口未开放或无法到达。,返回本章首页,全连接扫描的最大优点是用户无须特殊权限,且探测结果最为准确。缺点是很容易被目标主机察觉并记录下来。半连接(SYN)端口扫描技术半连接端口扫描不建立完整的TCP连接,而是只发送一个SYN信息包,就如
5、同正在打开一个真正的TCP连接,并等待对方的回应一样。,返回本章首页,半连接扫描的优点在于即使日志中对扫描有所记录,但是尝试进行连接的记录也要比全连接扫描要少得多。缺点是在大部分操作系统下,发送主机需要构造适用于这种扫描的IP包,通常情况下,构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。,返回本章首页,(2)UDP端口扫描技术 UDP端口扫描主要用来确定在目标主机上有哪些UDP端口是开放的。其实现思想是发送零字节的UDP信息包到目标机器的各个端口,若收到一个ICMP端口不可达的回应,则表示该UDP端口是关闭的,否则该端口就是开放的。,返回本章首页,2.操作系统探测技术由于操作系统
6、的漏洞信息总是与操作系统的类型和版本相联系的,因此操作系统的类型信息是网络安全检测的一个重要内容。操作系统探测技术主要包括:获取标识信息探测技术TCP分段响应分析探测技术基于ICMP响应分析探测技术,返回本章首页,(1)获取标识信息探测技术 获取标识信息探测技术主要是指借助操作系统本身提供的命令和程序进行操作系统类型探测的技术。通常,可以利用telnet这个简单命令得到主机操作系统的类型。,返回本章首页,(2)TCP分段响应分析探测技术 TCP分段响应分析探测技术是依靠不同操作系统对特定分段的TCP数据报文的不同反应来区分不同的操作系统及其版本信息。NMAP(http:/insecure.or
7、g/nmap)是一个典型的基于该探测技术的操作系统探测工具。,返回本章首页,(3)基于ICMP响应分析探测技术 ICMP响应分析探测技术是一种较新的操作系统探测技术。该技术通过发送UDP或ICMP的请求报文,然后分析各种ICMP应答信息来判断操作系统的类型及其版本信息。X-Probe(http:/projects/xprobe)就是采用该技术的操作系统探测工具。,返回本章首页,3.安全漏洞探测技术 安全漏洞探测是采用各种方法对目标可能存在的已知安全漏洞进行逐项检查。按照网络安全漏洞的可利用方式来划分,漏洞探测技术可以分为:信息型漏洞探测和攻击型漏洞探测两种。按照漏洞探测的技术特征,可以划分为:
8、基于应用的探测技术、基于主机的探测技术、基于目标的探测技术和基于网络的探测技术等。,返回本章首页,(1)信息型漏洞探测技术 信息型漏洞探测技术就是通过探测目标的型号、运行的操作系统版本及补丁安装情况、配置情况、运行服务及其服务程序版本等信息确定目标存在的安全漏洞的探测技术。该技术具有实现方便、对目标不产生破坏性影响的特点。其不足之处是对于具体某个漏洞存在与否,难以做出确定性的结论。,返回本章首页,为提高信息型漏洞探测技术的准确率和效率,许多改进措施也不断地被引入:顺序扫描技术多重服务检测技术,返回本章首页,(2)攻击型漏洞探测技术 模拟攻击是最直接的漏洞探测技术,其探测结果的准确率也是最高的。
9、该探测技术的主要思想是模拟网络入侵的一般过程,对目标系统进行无恶意攻击尝试,若攻击成功则表明相应安全漏洞必然存在。模拟攻击技术的局限性:首先模拟攻击行为难以做到面面俱到,其次模拟攻击过程不可能做到完全没有破坏性。,返回本章首页,(3)漏洞探测技术按其技术特征可分为:基于应用的检测技术 基于主机的检测技术基于目标的漏洞检测技术基于网络的检测技术,返回本章首页,7.3 网络安全评估标准,1.网络安全评估标准的发展历程(1)首创而孤立的阶段(2)普及而分散的阶段(3)集中统一阶段,返回本章首页,返回本章首页,图7-1 测评标准的发展演变历程,返回本章首页,表7-7 各标准的等级划分对照表,2.TCS
10、EC、ITSEC和CC的基本构成(1)TCSEC的基本构成 TCSEC主要由以下四个方面进行描述:安全策略模型(Security Policy Model)可追究性(Accountability)保证(Assurance)文档(Documentation),返回本章首页,返回本章首页,TCSEC的安全级别,TCSEC根据所采用的安全策略、系统所具备的安全功能将系统分为四类七个安全级别。,(2)ITSEC的基本构成 ITSEC也定义了7个安全级别,即 E6:形式化验证;E5:形式化分析;E4:半形式化分析;E3:数字化测试分析;E2:数字化测试;E1:功能测试;E0:不能充分满足保证。,返回本章
11、首页,ITSEC的安全功能分类为:标识与鉴别、访问控制、可追究性、审计、客体重用、精确性、服务可靠性、数据交换。其保证则分为:有效性(Effectiveness)和正确性(Correctness)。,返回本章首页,(3)CC的基本构成 CC分为三部分,相互依存,缺一不可。其中第1部分是介绍CC的基本概念和基本原理,第2部分提出了安全功能要求,第3部分提出了非技术的安全保证要求。,返回本章首页,CC的功能要求和保证要求均以类-族-组件的结构表述。功能要求包括11个功能类(安全审计、通信、密码支持、用户数据保护、标识和鉴别、安全管理、隐秘、TSF保护、资源利用、TOE访问、可信路径、信道)。保证要
12、求包括7个保证类(配置管理、交付和运行、开发、指导性文件、生命周期支持、测试、脆弱性评定)。,返回本章首页,CC的评估等级共分7级:EAL1到EAL7,分别为功能测试,结构测试,系统测试和检验,系统设计、测试和评审,半形式化设计和测试,半形式化验证的设计和测试,形式化验证的设计和测试。,返回本章首页,返回本章首页,CC结构关系图,7.4 网络安全评估方法,1.基于通用评估方法(CEM)的网络安全评估模型 CC作为通用评估准则,本身并不涉及具体的评估方法,信息技术的评估方法论主要由CEM给出。CEM主要包括评估的一般性原则,PP评估、ST评估和EAL1EAL4的评估。CEM与CC中的保证要求相对
13、应。,返回本章首页,CEM由两部分组成:第一部分为简介与一般模型,包括评估的一般原则、评估过程中的角色、评估全过程概况和相关术语解释;第二部分为评估方法,详细介绍适于所有评估的通用评估任务、PP评估、ST评估、EALIEAL4评估及评估过程中使用的一般技术。,返回本章首页,(1)CEM评估一般原则 CEM评估应该遵循适当、公正、客观的原则,要求评估结果满足可重复和可再现的特点,且评估结果是可靠的。CEM假定代价合理,方法可以不断演进,评估结果可重用。,返回本章首页,(2)CEM评估模型 CEM评估,都可用下图的模型来表示。,返回本章首页,(3)CEM评估任务 CEM中所有的评估都具备的评估任务
14、是评估输入任务和评估输出任务。评估输入任务包括配置控制、证据的保护、处置和保密四个任务,其中CEM对后两个任务无要求,留给评估体制解决。评估输出任务包括书写观察报告(OR)和书写评估技术报告(ETR)两个子任务。,返回本章首页,(4)CEM评估活动 任何一个信息技术安全产品或系统(也可以是PP)的评估,其核心是评估人员展开的一组评估活动。每一项评估活动可进一步细分为子活动,子活动又进一步细分为动作,而每一个动作又由一个或多个确定的工作单元组成,如下图所示:,返回本章首页,返回本章首页,评估活动的分解,(5)评估结果 评估人员在评估过程中,需要作出不同层次的裁决,评估人员的裁决可以有三种不同的结
15、果,分别为:不确定、通过或失败。,返回本章首页,2.基于指标分析的网络安全综合评估模型(1)综合评估概要 为全面了解目标网络系统的安全性能的状况,需要对各个方面的指标或项目进行测试或评估,必须将全体评估项目的评估结果进行综合,才能得到关于目标网络信息系统的安全性能的最终评价。,返回本章首页,为完成网络系统安全状况的综合评估,首先要从最低层的项目入手,然后由低到高,确定出每个层次项目的评估结果,最后将第一层项目的评估结果综合在一起,得出目标网络系统安全状况的综合评估结果。对同一层次上的(局部的)评估项的评估结果的综合,可以有多种方法,如采用加权平均,模糊综合评价等。,返回本章首页,(2)归一化处
16、理 定量指标的归一化 对定量指标进行归一化处理方法可分成三类:线段,折线,曲线。使用哪一种方法做归一化处理取决于具体的测试项的特点,适用于某一测试项的归一化方法不一定适用于其它项目。,返回本章首页,定性评估项的量化和归一化 定性评估项的结果通常以等级的形式给出,如“很差、较差、一般、较好、很好”。对于定性评估项的最筒单的定性评估结果,即评估结果为“是”或“否”的情况,量化和归一化可采用直截了当法,即“是”指定为“1”,“否”指定为“0”。,返回本章首页,当定性指标采用“很差、较差、一般、较好、很好”的方式描述时,可根据它们的次序粗略地分配一个整数来实现结果的量化,如使用“1、2、3、4、5”与
17、之对应。这些量化后的结果“1、2、3、4、5”可分别采用“0.1、0.3、0.5、0.7、0.9”或“a、b、c、d、e”作为它们的归一化值,其中0a0.2,0.2b0.4,0.4c0.6,0.6d0.8,0.8e1。,返回本章首页,(3)综合评估方法 所有评估项的评估结果经过综合便可得到对系统的总的评价。对于同一个层次上的评估项(指标),综合评估过程是一个从多维空间到一个线段中的点或评价等级论域中的等级的映射过程。,返回本章首页,如果评估项之间是层次关系,则综合评估过程的任务是将该层次结构中的全部评估项映射到上面的线段A,或等级论域L。即:f:(H)A(或f:(H)L)其中,H表示评估项之间
18、的层次结构,返回本章首页,典型的综合评估方法有:加权算数平均加权几何平均混合平均,返回本章首页,在综合评估过程中,对某些评估项来说,使用加权算数平均对其进行综合比较合适,而对另一些评估项来说,使用加权几何平均可能更好。这种情况是由评估项的固有性质决定的。某一评估项的评估值可能是决定性的,以至于基本上主要依靠它作出最终评价,也可能不那么重要。,返回本章首页,3.基于模糊评价的网络安全状况评估模型 在评估实践中,经常遇到一些评估项,它们的评估结果难于以定量的方式表达。模糊数学特别适合于用来处理定性的评估项目。例如:系统评估中的大部分项目基本都是定性的。模糊数学可用来处理这些评估结果,并形成总的评价
19、。,返回本章首页,7.5 网络安全检测评估系统简介,计算机网络信息系统安全检测评估系统的发展非常迅速,现在已经成为计算机网络信息系统安全解决方案的重要组成部分。我们以Tenable公司的Nessus和IBM公司的AppScan为例来介绍网络安全检测评估系统。,返回本章首页,1.Nessus简介 Nessus是一套功能强大的网络安全检测工具,被认为是目前使用人数最多的系统漏洞扫描与分析软件。当前Nessus的最新版本是Nessus 6.x系列。Nessus对个人用户是免费的,只需要在官方网站上通过邮箱申请注册序列号就可以使用。,返回本章首页,7.5.1 Nessus,Nessus的主要特点包括:
20、(1)支持多种操作系统(2)采用B/S架构(3)采用plug-in技术(4)调用外部程序增强测试能力(5)生成详细报告,返回本章首页,2.Nessus的安装Nessus在Windows系统上的安装较简单,直接下载相应版本的安装软件,然后安装即可。安装完打开浏览器,输入https:/localhost:8834/,根据提示来配置Nessus扫描器。然后在http:/www.nessus.org/register注册获得激活码,更新插件包。,返回本章首页,返回本章首页,3.Nessus的使用(1)登录在web浏览器中输入“https:/server IP:8834”,就可以进入Nessus登录界面
21、。,返回本章首页,使用安装阶段创建的管理帐户和密码,就可以进入主操作界面,主要包括管理策略(Policies)和扫描任务(Scans)菜单,返回本章首页,(2)基本设置在界面中点击当前的登录用户“admin”,可以对该用户的配置文件“User Profile”进行设置,也可以对Nessus系统配置“Setting”进行设置。,返回本章首页,“用户配置文件”设置界面可以设置账户信息、修改账户密码、设置Plugin插件规则等。其中,“插件规则”选项可以创建一套规则,规定插件的执行行为。,返回本章首页,(3)制定扫描策略Nessus扫描策略包括了与漏洞任务相关的各种配置选项。主要包括:控制类参数,如
22、超时、主机数目、端口类型、扫描方式等。本地扫描的身份验证凭据,如Windows、SSH、数据库扫描、HTTP、FTP、POP、IMAP或基于Kerberos身份验证。扫描插件选择。法规遵从性策略检查、报告的详细程度、服务检测扫描设置。对于网络设备,允许网络设备的安全检查,而无需直接扫描设备的脱机配置审核。Windows恶意软件扫描所比较的文件,已知良性和恶意文件的MD5校验和。,返回本章首页,Nessus策略分为两大类:默认策略和用户创建策略。,返回本章首页,(4)创建、启动和调度扫描任务在创建或配置一个新的扫描策略之后,将显示新的扫描“New Scan”界面。,返回本章首页,(5)查看扫描结
23、果单击列表中的一份扫描结果报告,即可对扫描结果进行浏览查看。扫描结果可以按照主机、漏洞、端口等方式进行组织。,返回本章首页,1.AppScan简介 AppScan的全称为IBM Security AppScan,是IBM公司面向Web应用的商用安全检测工具。AppScan早期的名称为IBM Rational AppScan,现在已改为IBM Security AppScan,最新版本为AppScan 9.x系列。,返回本章首页,7.5.2 AppScan,AppScan是业界领先的Web应用安全检测工具,提供了扫描、报告和修复建议等功能。AppScan采用三种彼此互补和增强的不同测试方法:(1
24、)动态分析(“黑盒扫描”)(2)静态分析(“白盒扫描”)(3)交互分析(“glass box扫描”),返回本章首页,2.AppScan的安装AppScan的安装过程比较简单,通过运行安装程序,然后根据向导提示就可以完成安装过程。AppScan 9.x的基本环境要求如下:(1)操作系统要求Microsoft Windows Server 2008或Windows 7以上。(2)浏览器要求要求Microsoft Internet Explorer 8以上。(3).NET框架要求Microsoft.NET Framework 4.5。,返回本章首页,3.AppScan的使用(1)创建扫描任务在默认配
25、置情况下,启动AppScan会弹出扫描任务创建向导界面。,返回本章首页,(2)执行扫描任务扫描任务创建后,可以在AppScan主界面上点击“扫描”工具栏菜单项启动任务。,返回本章首页,(3)查看扫描结果在扫描任务执行过程中,就可以查看扫描发现的问题。,返回本章首页,7.5 小结,网络安全检测与评估是保证计算机网络系统安全的有效手段,在计算机网络系统安全解决方案中占有重要地位。网络安全检测与评估的目的是通过一定的技术手段先于攻击者发现计算机网络系统存在的安全漏洞,并对计算机网络系统的安全状况作出正确的评价。网络安全检测与评估的主要概念包括网络安全漏洞、网络安全评估标准、网络安全评估方法、网络安全检测评估系统等。,返回本章首页,返回本章首页,本章到此结束,谢谢!,
