2-3计算机安全评估

单击此处编辑母版标题样式,单击此处编辑正文,*,计算机网络系统安全评估,网络给人们带来很多便利，大大提高了人们的工作效率，因此应用越来越广泛。同时，随着各式邮件传播的病毒的出现，网络安全波及面越来越大。越来越多的用户希望对自己所用或将要用的网络产品或系统的安全性具有清晰的认识，但大多缺乏相关的知识、专家经验和资源，无法判定自己对网络产品或系统的安全性的置信度是否适当，而又不想在这方面完全依赖系统或产品的开发者，因此希望有,第三方,帮助分析其网络系统或产品的安全性，即进行安全评估。,1,1,概述,对网络系统或产品的安全性进行评估，要涉及以下几个方面：,1,、有效安全性方案应结合企业经营目标,2,、周详的计划,评估网络结构及弱点；,监督所有系统，以防遭受安全性入侵事件；,测试安全性方案；,2,3,、评估：找出威胁，以确保资产安全,评估包括下列几个步骤：,找出漏洞。,分析漏洞。,弥补漏洞，降低风险。,4,、做好万一遭安全性入侵的准备,5,、评估及再评估,3,2,内部网络安全性的测评策略,企业所遭受的安全泄密大约有,60%,来自于内部攻击，因此，内部网络安全评估应该是最值得重视的安全部分。,对内部网络进行安全评估的方法如下表所示：,4,方法步骤,简要说明,1,、枚举,通过收集信息和进行调查，枚举网络的内部资源。,2,、资产盘点,通过扫描主机获取内部网络的,IP,范围等信息。,3,、确定优先级别,根据风险程度和可用资源选择被评估的资源。,4,、评估,确定资源的漏洞并执行主机诊断扫描。,5,、弥补,弥补所发现的漏洞。,5,2.1,扫描简介,“扫描”和“查点”的工具和技术是资产盘点的基础。,1,、在线检测,ping,检测是基于,ICMP,协议,的。目前，多数路由器和防火墙禁止该协议数据包的通过，因此，应采用不受阻拦的,tcp ping,进行在线检测。,2,、端口扫描,端口扫描就是连接目标系统的,TCP,和,UDP,端口，确定哪些服务正在运行即处于监听状态的过程。作用有：,标识运行在目标系统上的,TCP,服务和,UDP,服务；,标识目标系统的操作系统类型；,标识特定的应用程序或特定服务的版本。,6,3,、扫描工具,扫描工具是一种自动检测远程或本地主机在安全性方面弱点的程序包，用户可以使用它发现远程或者本地主机的安全弱点。有品种众多的商用和免费扫描工具。,4,、操作系统判别,不同厂家的,IP,协议栈实现之间存在许多细微差别，即各个厂家在编写自己的,TCP/IP,协议栈时，通常对特定的,RFC,指南做出不同的解释。因此通过探测这些差异，就能对目标系统所用的操作系统加以猜测。为达到最大的可靠性，协议纹鉴别通常要求目标系统至少有一个监听端口。,7,2.2,查点,从系统中获取有效帐号或资源名的过程称为,查点,。一旦查点出一个有效用户名或共享资源，猜出对应的密码或标识与资源共享协议关联的某些脆弱点通常就是个时间问题。,查点的信息类型大体可归为以下几类：,网络资源和共享资源,用户和用户组,服务器程序及其旗标,8,2.2.1,空会话查点,“空会话”就是在一个,未经过认证的用户,和一个,NT/2000,系统之间,创建连接,。如果连接成功，就拥有了一条开放通道，通过这条通道，可以尝试采用各种技术并尽可能获取信息：网络信息、共享资源、用户、群组、注册表键等。,9,“空会话”漏洞产生原因：,Windows NT,的网络服务依赖于通用公共互联文件系统,/,服务器消息块（,CIFS/SMB,）和,NetBIOS,数据传输协议，可借此获得,NT/2000,的共享信息。,Windows NT/2000,对,CIFS/SMB,和,NetBIOS,的缺省信赖。,CIFS/SMB,和,NetBIOS,标准包括了一些,API,，这些,API,通过,TCP,端口,139,可以返回机器的大量信息。,10,2.2.2 NT/2000,网络资源查点,一种是,NetBIOS,资源查点,，另外一种是,NT/2000,系统提供的,TCP/IP,服务查点,。,1,、,NetBIOS,查点,利用,net view,查点,NT/2000,域,使用,nbtstat,和,nbtscan,命令转储,NetBIOS,名字表,查点,NT/2000,域控制器,利用,net view,工具查点,NetBIOS,共享资源,使用,DumpSec,查点,NetBIOS,共享资源,使用,Legion,和,NAT,扫描共享资源,其它,NT/2000,网络查点工具,11,2,、,NT/2000 SNMP,查点,如果严格限制了对,NetBIOS,服务器的访问，则以上查点技术就失效。,但是，如果,NT/2000,系统上的简单网络管理协议,SNMP,代理可以通过缺省的公共串（如,public,）访问，那敏感信息仍可能被泄露。,3,、,Windows 2000 DNS,服务查询,12,2.2.3 NT/2K,用户和用户组查点,在查点,NT/2000,用户和用户组时，许多查点技术都是在空会话基础上实现的。,1,、通过,NetBIOS,查点用户,2,、利用,user2sid / sid2user,来识别帐号,3,、利用,SNMP,查点用户帐号,4,、利用,ldp,的,Windows 2000,活动目录查点,13,2.2.4 NT/2K,应用程序和旗标查点,网络和帐号的查点是在操作系统上的。利用安装,NT/2000,上的应用程序来获取更多的系统信息称为旗标攫取，至少可以确认服务器上运行的软件和版本。,1,、基本的旗标攫取：使用,telnet,登录。,2,、,Web,服务器旗标和版本查点,3,、,NT/2000,注册表查点,14,3,寻找高危漏洞,信息收集是安全状况分析的基础，传统地手工收集信息耗时费力，于是扫描工具出现了，它能依照程序设定自动探测及发掘规则内的漏洞，是探测系统缺陷的安全工具。,15, 3.1,漏洞测评工具,1,、扫描器分类,主机扫描器,：用于扫描本地主机，查找安全漏洞，查杀病毒，木马，蠕虫等危害系统安全的恶意程序。,网络扫描器,：通过网络来测试主机安全性，它检测主机当前可用的服务及其开放端口，查找可能被远程试图恶意访问者攻击的大量众所周知的漏洞，隐患及安全脆弱点。甚至许多扫描器封装了简单的密码探测，可自设定规则的密码生成器、后门自动安装装置以及其他一些常用的小东西。,数据库扫描器,：工作机制类似于网络扫描器，主要用于检测数据库系统的安全漏洞及各种隐患。,16,2,、扫描器共性,（,1,）,主机侦测,。多数扫描器都会综合运用,ICMP,、,TCP,和,UDP,协议扫描整个网络进行主机发现，即找出在线主机。,（,2,）,服务发现,。扫描器采用端口扫描方式确定每台在线主机上开放着哪些端口，从而判断出开放哪些服务的。,（,3,）,漏洞检测,。漏洞检测是扫描器的核心功能。漏洞检测大致有两种方式：应用程序版本检测和直接漏洞攻击。,（,4,）,测评结果,。漏洞扫描器工作结果通常是以报表形式体现，报表可以有多种格式，如,html,或,.doc,等。,17,3,、选择合适的扫描器,目前有众多类型商用和免费的扫描器，首先要正确地选择。无论是商用还是免费扫描器并不完全相同，都有各自的强项和弱点，没有一种产品是完全能够适应每种网络的。,因此，在选择扫描器时要注意以下三点：,（,1,）,性能,扫描器的脆弱性特征集合的完备性、更新速度和便捷性是其性能的重要参考指标。另外，工作速度也应考虑。,18,（,2,）,误报和漏报,任何扫描器都不可避免地存在着这两个问题，但是误报率和漏报率都过高的扫描器是用户不能容忍的，最终使得用户失去对扫描器的信任。因此建议不要仅使用某一种扫描器。,（,3,）,弥补功能,检测漏洞只是发现问题，而解决缩发现问题即弥补漏洞才是最为重要的。因此，,修补漏洞的能力,，无论是自动修补还是指导使用者手工修补，是衡量扫描器可用性的一个重要指标。,19,