和所隐藏的安全威胁也越来越复杂,越来越严重。
计算机网络应急技术处理协中心调查显示,其中涉及国内政府机构和重要信息系统部门的网页篡改类事件、涉及国内外商业机构的网络仿冒类事件和针对互联网企业的拒绝服务攻击类事件的影响最为严重,僵尸网络和木马的威胁依然非常严重,攻击者谋求非法利益的目的更加明确,行为更加嚣张,黑客地下产业链基本形成,而信息系统安全漏洞是各种安全威胁的主要根源之一。
1.2 信息安全理念
随着网络攻击数量的增加、攻击技术的进步,为了防范从外、从内发起的攻击保证网络安全,网络单位需要建立综合立体的防护体系。下面是著名的网络安全P2DR模型:
安全策略、防护、检测、响应涵盖了对现代信息系统保护的各个方面,构成了一个完整的体系,使信息安全建筑在更坚实的基础之上。信息运行平台发展到今天已极为复杂,数据安全、平台安全、服务安全要求用完整的信息保障体系来保障。
安全策略(Policy):安全策略是安全管理的核心。要想实施动态网络安全循环过程,必须首先制定企业的安全策略,如制定系统的安全目标和安全范围等,所有的防护、检测、响应都是依据安全策略实施的,企业安全策略为安全管理提供管理方向和支持手段。对于一个策略体系的建立包括:安全策略的制订、安全策略的评估、安全策略的执行等。
保护(Protection):保护包括传统安全概念的继承,用加解密技术、访问控制技术、
数字签名等技术,从数据静态存储、授权使用、可验证的信息交换过程等方面到对数据及其网上操作等加以保护。
福建榕基软件开发有限公司 TEL:0591-87860988 FAX:0591-87869595 6 地址:福建省福州市铜盘路软件大道89号15座 邮编:350003 网址:www.rj-itop.com
检测(Detection):检测的含义是,对信息传输内容的可控性检测,对信息平台访问过程的甄别检测,对违规与恶意攻击的检测,对系统与网络漏洞的检测等。检测使信息安全环境从单纯的被动防护演进到在对整体安全状态认知基础上的有针对性的对策,并为进行及时有效的安全响应以及更加精确的安全评估奠定了基础。
响应(Response):在复杂的信息环境中,保证在任何时候信息平台能高效正常运行,要求安全体系提供有力的响应机制。这包括在遇到攻击和紧急事件时及时采取措施,例如关闭受到攻击的服务器;反击进行攻击的网站;按系统的重要性加强和调整安全措施等等。
P2DR安全模型在整体安全策略Policy的控制和指导下,综合运用防护工具Protection(如防火墙、加密机、防病毒等手段)的同时,利用检测工具Detection(如隐患扫描、入侵检测等)了解和评估系统的安全状态,通过适当的安全响应Response将系统调整到“最安全”和“风险最低”的状态,构成一个动态自适应的综合防范体系。
1.3 网络隐患扫描系统的必要性
网络隐患扫描产品使用方便,简单高效,能够准确发现网络中各主机、设备存在的网络安全漏洞,并给出详细的描述和解决方案,从根本解决网络安全问题,起着评估整个系统安全的重要作用,是一个完整的安全解决方案中的一个关键部分。
让我们来看看现阶段网络上使用最多的安全设备防火墙和入侵检测。为了确保网络的安全使用,研究它们的局限性十分必要。
1.3.1 防火墙的局限性
防火墙是不同网络或网络安全域之间信息的唯一出入口,能根据我们的安全政策控制(允许、拒绝、监测)出入网络的信息流。我们认为防火墙是必要的,因为它能挡住绝大部分来自外部网络的攻击,但是它也存在很大的局限性:
(1)、防火墙不能防范不经过防火墙的攻击(如拨号上网等)。 (2)、不能解决来自内部网络的攻击和安全问题。 (3)、对服务器合法开放的端口的攻击大多无法阻止。 (4)、无法解决TCP/IP等协议本身的漏洞。
福建榕基软件开发有限公司 TEL:0591-87860988 FAX:0591-87869595 7 地址:福建省福州市铜盘路软件大道89号15座 邮编:350003 网址:www.rj-itop.com
(5)、不能防止本身安全漏洞的威胁。防火墙也是一个操作系统,也有着其硬件系统和软件,因此依然有着漏洞。所以其本身也可能受到攻击。
一般防火墙都只是在网络层过滤,对应用层数据包的检测较少,特别指出防火墙对内网用户发起的连接基本不加检测,现在的黑客也专门针对这点开发了一系列渗透技术,如端口反弹和HTTP tunnel等技术。
1.3.2 入侵检测系统的局限性
入侵检测系统(IDS)好比网络中不间断的摄像机,通过旁路监听的方式不间断的收取网络数据,判断其中是否含有攻击的企图,通过各种手段向管理员报警、执行响应。不但可以发现从外部的攻击,也可以发现内部的恶意行为。所以说入侵检测是网络安全的第二道闸门,是防火墙的必要补充。但是它也存在一定的局限性:
(1)、旁路在网络中,容易因网络流量太大和系统资源紧张造成丢包,而漏过检测。现在网络到桌面已经基本上是百兆、甚至千兆,骨干交换机流量10G以上,而目前绝大部分入侵检测产品还只是百兆、千兆级别,而且千兆级别以上入侵检测价格昂贵。
(2)、防御手段存在缺陷。对发现的攻击通常采用TCP重置和防火墙策略。TCP重置:当IDS判断出一个攻击发生和发送TCP重置有一时间段,而这时封包可能已经传送到目标地址,攻击可能已经完成;另外TCP重置只能针对TCP协议,对DNS等UDP协议无效。防火墙策略:可能影响正常业务使用,例如,攻击者用一个大的INTERNET服务提供商的代理服务器地址进行欺骗,IDS发现后,发信号到防火墙来阻止该IP地址,此时整个IP都被防火墙过滤了,其它正常访问也无法进行了。
(3)、对网管人员要求高。基于签名检测(模式匹配)和协议异常检测,检测精度可能不够,可能造成高误报率,每天可能发出成百上千的虚假报警信息。对警报的分析也对网管人员提出了更高的要求。
1.3.3 网络隐患扫描系统的必要性
目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,由于其开发厂商的各种原因(软件开发者设计不完善、编码错误等)存在安全漏洞,这些安全漏洞有可能存在重大安全隐患(例如在极端测试下造成程序溢出,
福建榕基软件开发有限公司 TEL:0591-87860988 FAX:0591-87869595 8 地址:福建省福州市铜盘路软件大道89号15座 邮编:350003 网址:www.rj-itop.com
进而让攻击者取得权限)。因此,建立一个完全安全的没有漏洞的系统是不可能的,一个最佳方法是,建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统,漏洞扫描器就是这样一类系统。
漏洞扫描系统是一种主动检测本地或远程主机系统安全性弱点的程序,采用模仿黑客入侵的手法对目标网络中的工作站、服务器、数据库等各种系统以及路由器、交换机、防火墙等网络设备可能存在的安全漏洞进行逐项检查,测试该系统上有没有安全漏洞存在,然后将扫描结果向系统管理员提供周密可靠的安全性分析报告,从而让管理人员从扫描出来的安全漏洞报告中了解网络中服务器提供的各种服务及这些服务呈现在网络上的安全漏洞,在系统安全防护中做到\有的放矢\,及时修补漏洞,从根本上解决网络安全问题,有效地阻止入侵事件的发生。
漏洞扫描技术是网络安全防御中的一项重要技术,它的成功应用,在网络安全体系的建设中可以大规模减少安全管理员的负担,有利于保持整个网络安全政策的统一和稳定。虽然亡羊补牢可贵,未雨绸缪才是理想境界。
福建榕基软件开发有限公司 TEL:0591-87860988 FAX:0591-87869595 9 地址:福建省福州市铜盘路软件大道89号15座 邮编:350003 网址:www.rj-itop.com
第二章 网络隐患扫描简介
2.1 网络隐患无处不在
信息的应用从军事、科技、文化和商业渗透到当今社会的各个领域,在社会生产、生活中的作用日益显著。因此在任何情况下,必须保证信息的安全和可靠。Internet通过网络共享资源。自Internet问世以来,资源共享和信息安全一直作为一对矛盾体存在着。计算机网络资源共享的进一步加强随之而来的信息安全问题也日益突出,各种计算机病毒和网上黑客(Hackers)对Internet的攻击越来越激烈,许多网站遭受破坏的事例不胜枚举。那么,黑客的攻击为什么屡屡得手呢?主要有以下几个原因:
? 现有网络系统具有内在安全的脆弱性
软件业巨头微软的Windows xp的sp2去年刚发布没多久,微软的“安全服务”还没喊响之际,就爆出10多个IE漏洞。因此不断出现的操作系统安全漏洞也给我们的安全带来了很大的隐患。我们举出大家熟知的 “震荡波”、“冲击波”等病毒来说说安全漏洞的危害性。震荡波(Sasser)病毒在短短一个星期时间之内就感染了全球1800多万台电脑。它利用的就是微软公布的Lsass漏洞进行传播,可感染Windows 2000/XP等操作系统,开启上百个线程去攻击其他网上的用户,造成机器运行缓慢、网络堵塞。“震荡波”病毒在全球带来的损失超过5亿美元。据相关统计,“震荡波”造成的损害——73%需要防毒公司解救中毒的计算机,63%的中毒者工作被影响﹔30%的人说,为“震荡波”善后花了至少10个小时,而估计处理“震荡波”造成的计算机损害要花9.97亿美元。另外去年爆发的“冲击波”病毒正是利用了RPC接口相关漏洞在网络上发送攻击包,造成企业局域网瘫痪,电脑系统崩溃等情况,无数企业受到损失。 ? ? ? ?
网络和信息系统复杂性的增加使系统脆弱性降低 没有采取正确的安全策略和安全机制
缺乏先进的网络安全技术、工具、手段和产品 对网络的管理思想麻痹
主要表现在没有重视黑客攻击所造成的严重后果,舍不得投入必要的人力、财力、物力
福建榕基软件开发有限公司 TEL:0591-87860988 FAX:0591-87869595 10 地址:福建省福州市铜盘路软件大道89号15座 邮编:350003 网址:www.rj-itop.com