基于漏洞扫描技术的网络安全评估方法研究

2012-03-19范海峰

网络安全技术与应用 2012年6期

范海峰

南海舰队指挥所广东 524001

0 引言

随着社会信息化程度越来越高，用户所处的信息化环境也越来越复杂，各种网络安全问题接踵而来，主动的、被动的攻击每分每秒都在网络上发生，用户对信息安全的重视程度越来越高。在这场没有硝烟的战争中，攻防双方都在努力寻找克敌制胜的方法，而漏洞扫描无疑是一把利剑，攻击者通过它可以寻找网络或系统的弱点进行攻击，防守者也能通过它来找出自身存在的弱点，消除安全隐患，防范攻击。基于漏洞扫描技术的网络安全评估，就是利用漏洞扫描技术主动的、非破坏性的特点，对系统进行自动检测并生成检测报告，通过对检测报告的分析判断，确定网络风险程度，生成网络安全评估报告提供给网络管理员，由网络管理员进行手动干预或通过安全防护设备联动机制消除网络风险，从而做到先敌一步，未雨绸缪，为网络安全防护工作助力护航。

1 漏洞扫描技术介绍

1.1 漏洞的定义

漏洞的定义方法很多，在计算机网络安全领域，广泛公认的定义主要有两种：一种是 Vulnerability，即弱点，指因为操作系统和各种应用软件在顶层设计或者程序编码上客观存在的缺陷和大意，从而为攻击者提供了攻击的途径，另外一种是Exploit，除了弱点所包含的攻击途径外还包括了攻击者的入侵行为。比较常见的漏洞有 Windows操作系统漏洞，office安全漏洞、IE浏览器安全漏洞等。从各种网络安全事件当中我们不难发现，黑客的攻击绝大多数都是利用被入侵系统的漏洞才能完成有效的攻击，所以作为网络安全防护一方就必须尽早的、主动地寻找网络存在的各种漏洞或者说弱点，及时进行防护。

1.2 漏洞扫描技术概述

目前计算机安全产品主要有反病毒、防火墙、商用密码、CA系统以及入侵检测与漏洞扫描。其中反病毒、防火墙和入侵检测这三类与网络攻击相关的产品都是属于被动防御的范畴，而漏洞扫描产品则属于主动防御。它能够在可能的黑客攻击发生之前找出系统存在的漏洞，并提醒系统管理员将其修补。漏洞扫描技术，是基于网络的、探测目标网络或设备信息的技术，其原理是依靠tcp/ip探测，发现目标网络或设备的配置文件、端口的分配、所开放的网络服务类型、服务器的操作系统等各类有用信息，继而通过模拟黑客的攻击手段，对系统可能存在的漏洞进行一一检测，最终确定系统存在的安全漏洞，提供给网络管理员。漏洞扫描技术经过几十年的不断发展已经比较成熟，对其的分类也主要有两种方式，一是根据其工作过程，二是根据其工作原理。

根据其工作过程，可以分为确定目标存活技术，目标信息收集技术、目标漏洞扫描技术三个部分。确定目标存活是，利用 ping扫描，通过向目标系统发送各种 tcp、udp报文，根据目标是否返回报文和返回的报文内容从而确定目标系统是否在线，其主要包括ICMP广播、ICMP扫射、ICMP非回显、TCP和 UDP扫射；目标信息收集是在确定目标系统在线的前提下，通过端口扫描、操作系统判别和系统服务识别来确定目标系统所开放的端口，所运行的操作系统和所提供的系统服务，其主要包括全(半)连接扫描、秘密扫描、欺骗扫描、主被动协议栈识别和旗标获取等等；目标漏洞扫描，是根据掌握的目标信息对目标系统进行有选择的漏洞探测，选择的依据主要基于漏洞数据库和漏洞扫描插件。

根据其工作原理可分为基于主机的扫描和基于网络的扫描技术。基于主机的扫描，一般在主机上安装代理软件，针对主机的操作系统进行扫描检测，涉及系统内核、文件属性、系统补丁，也包括弱口令分析等。主要采用客户/服务端架构；基于网络的扫描是通过网络对远程目标进行漏洞探测，主要是基于漏洞特征库构造数据包发送给目标系统，或者通过插件队目标系统进行扫描，确定对方是否存在相应的漏洞。

例如，检测Microsoft sql server中是否存在Ddos漏洞，可以向sql server建立连接，观察是否连接成功，然后发送连续字节数的0并关闭连接，等待数秒后再次向sql server发起建立连接请求，如果不能连接，则说明 Microsoft sql server中是存在Ddos漏洞。

2 漏洞扫描技术的风险评估应用

任何一种技术，如果没有应用也就失去了其存在的价值，漏洞扫描技术也同样如此。网络管理员了解掌握了这种技术之后，关键是如何把它更合理、更有效地应用到网络安全管理当中去，网络风险评估正是漏洞扫描技术能够大展身手的舞台。

2.1 网络风险评估概述

在计算机网络安全领域，网络风险评估非常重要。在网络上连接的任何一台计算机中存在的系统漏洞都可能让躲在网络上其它地方蠢蠢欲动的恶意攻击者获得侵入计算机网络内部，破坏计算机网络信息数据的完整性、可用性、机密性。网络风险评估，是对网络自身存在的脆弱性状况，外界环境可能导致网络安全事件发生的可能性以及可能造成的影响进行评价，其最终目的是要指导系统管理员在“安全代价”和“侵入可能性”这两者之间找到平衡。网络风险评估方法主要经历了从手动评估到自动评估，由局部评估向整体评估，由基于规则的评估向基于模型的评估的发展过程。

2.2 漏洞扫描技术的评估应用

漏洞扫描技术在网络风险评估中的应用，主要是采用基于规则的自动化的扫描技术，对网络系统进行漏洞检测，生成报表提供给网络管理员，报表中包括扫描的漏洞结果，并对扫描出来的漏洞提出解决方法或建议。在系统实现上可以采用了客户端／服务器的结构，也可以采用浏览器/服务器的架构。客户端／服务器的结构是通过在分布式网络的多个不同物理地点安装扫描代理，并在中央控制台进行集中管理的方式，实现漏洞扫描的策略下发、策略执行、策略制定和漏洞特征库的升级和插件的更新。浏览器/服务器的架构使用户使用浏览器向服务器提出扫描申请，由服务器执行扫描，并以风险评估报告的形式向用户提供扫描处理结果。

在漏洞扫描技术的应用过程中，主要涉及到了三个主要的问题，一是漏洞特征库的更新，二是漏洞的匹配规则，三是漏洞的风险等级或影响程度的判断。

所谓漏洞特征库，是网络安全专家、网络管理员根据所发布的安全漏洞，结合黑客攻击案例和实际安全配置工作经验所制定出的漏洞检测匹配条件库。漏洞特征库的完整性，主要影响漏洞扫描的准确性。漏洞扫描的主要依据就是漏洞特征库，安全评估系统将收集到目标信息与漏洞特征库进行匹配，如果匹配成功，则说明信息存在相应的漏洞。现在一个漏洞出现后，从漏洞确认到漏洞可利用性判定只需要几天的时间，为了使所防护的网络不遭受最新的安全漏洞威胁，必须尽可能的缩短漏洞特征库的更新时间。漏洞特征库的更新的主要来源是免费性来源和商业性来源，第一个免费漏洞来源是BugTraq的黑客邮件列表，用户通过发送邮件的方式就可以免费获得。商业性来源是为机构提供的需要购买的安全服务，相对免费来源，商业性来源的时效性更强，性价比更高，网络管理员可以根据自身的防护要求进行取舍或者综合使用。

漏洞的匹配规则，是基于规则进行漏洞确认的基础，通过匹配规则的有效制定，可以提高漏洞扫描的工作效率，减少漏洞的误报率和漏报率。漏洞的匹配规则可以人为制定，也可以通过选择扫描软件内置的匹配规则内容来实施。随着漏洞特征库的升级，漏洞的匹配规则也需要不断的更新、扩充和修改。

漏洞风险等级或者影响程度的判断，在有效识别出系统存在的漏洞后就需要进一步确定漏洞的风险等级，从而判断出哪些漏洞需要优先进行处理，哪些是可以忽略或者说非破坏性的漏洞。判断的依据主要是两点，一是漏洞对系统可能造成的危害和影响有多大，二是所影响的资源有多重要。在进行相互的比较后，确定急需处理的系统资源和危害最大的漏洞，并最终体现在评估报告中。