計(jì)算機(jī)信息安全風(fēng)險(xiǎn)評估工具

1、 信息安全風(fēng)險(xiǎn)評估工具 信息安全風(fēng)險(xiǎn)評估工具是信息安全風(fēng)險(xiǎn)評估的輔助手段，是保證風(fēng)險(xiǎn)評估結(jié)果可信度的一個(gè)重要因素。信息安全風(fēng)險(xiǎn)評估工具的使用不但在一定程度上解決了手動(dòng)評估的局限性，最主要的是它能夠?qū)＜抑R進(jìn)行集中，使專家的經(jīng)驗(yàn)知識被廣泛的應(yīng)用。 本章主要介紹風(fēng)險(xiǎn)評估與管理工具、系統(tǒng)基礎(chǔ)平臺風(fēng)險(xiǎn)評估工具、風(fēng)險(xiǎn)評估輔助工具、信息安全風(fēng)險(xiǎn)評估工具的發(fā)展方向和最新成果。 1風(fēng)險(xiǎn)評估與管理工具風(fēng)險(xiǎn)評估與管理工具 風(fēng)險(xiǎn)評估與管理工具根據(jù)信息所面臨的威脅的不同分布進(jìn) 行全面考慮，主要從安全管理方面入手，評估信息資產(chǎn)所面臨 的威脅。 風(fēng)險(xiǎn)評估與管理工具主要分為3類： 1基于信息安全標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評估與管理工具

2、2基于知識的風(fēng)險(xiǎn)評估與管理工具 3基于模型的風(fēng)險(xiǎn)評估與管理工具 1.1 mbsa 1.1.1 mbsa簡介 操作系統(tǒng)是各種信息系統(tǒng)的核心，它自身的安全是影響整個(gè)信息系統(tǒng)安全的核心因素。作為 microsoft 戰(zhàn)略技術(shù)保護(hù)計(jì)劃（strategic technology protection program）的一部分，并為了 直接滿足用戶對于可識別安全方面的常見配置錯(cuò)誤的簡便方法的需求，microsoft 開發(fā)了 microsoft 基準(zhǔn)安全分析器mbsa（microsoft baseline security analyzer），可對windows系列操作系統(tǒng)進(jìn)行基線風(fēng)險(xiǎn)評估。 mbsa可以對

3、本機(jī)或者網(wǎng)絡(luò)上windows nt/2000/xp的系統(tǒng)進(jìn)行安全性檢測，還可以檢測其它的一些微軟產(chǎn)品，如sql7.0/2000、5.01以上版本的internet explorer、iis4.0/5.0/5.1和office2000/xp，是否缺少安全更新，并及時(shí)通過推薦的安全更新進(jìn)行修補(bǔ)。 1.1.2 mbsa風(fēng)險(xiǎn)評估過程 mbsa在運(yùn)行的時(shí)候需要有網(wǎng)絡(luò)連接，運(yùn)行后的界面如圖6-1所示，點(diǎn)擊“scan a computer”，然后在右邊窗口填寫要檢查的主機(jī)名或ip地址，定義安全報(bào)告名，設(shè)置選項(xiàng)定制本次檢查要檢測的內(nèi)容，之后按下“start scan”，開始進(jìn)行檢測。圖6-1 mbsa的開始界

4、面 檢測完成后，安全報(bào)告會立刻顯示出來，如圖6-2所示，表示一般性警告，表示嚴(yán)重警告，表示不存在漏洞。對于每一項(xiàng)掃描出漏洞的結(jié)果，基本上都提供了三個(gè)鏈接，其中“what was scanned”顯示了在這一步中掃描了哪些具體的操作；“result details”顯示了掃描的詳細(xì)結(jié)果；“how to correct this”顯示了建議用戶進(jìn)行的操作，以便能夠更好地解決這個(gè)問題。 圖6-2 安全報(bào)告 從掃描結(jié)果可以看出，mbsa對掃描的軟件全部進(jìn)行了可靠的安全評估。微軟的mbsa是免費(fèi)工具，下載地址： 1.2 cobra 1.2.1 cobra簡介 cobra（consultive,objec

5、tive and bi-functional risk analysis）是英國的c&a系統(tǒng)安全公司（c&a systems security ltd）推出的一套風(fēng)險(xiǎn)分析工具軟件，主要依據(jù)iso 17799進(jìn)行風(fēng)險(xiǎn)評估。cobra 1版本于1991年推出，用于風(fēng)險(xiǎn)管理評估。隨著cobra的發(fā)展，目前的產(chǎn)品不僅僅具有風(fēng)險(xiǎn)管理功能，還可以用于評估是否符合bs7799標(biāo)準(zhǔn)、是否符合組織自身制定的安全策略。cobra系列工具包括風(fēng)險(xiǎn)咨詢工具、iso17799/bs7799咨詢工具、策略一致性分析工具、數(shù)據(jù)安全性咨詢工具。 cobra是一個(gè)基于知識的定性風(fēng)險(xiǎn)評估工具，由3部分組成：問卷構(gòu)

6、建器、風(fēng)險(xiǎn)測量器、結(jié)果生成器。 最后針對每類風(fēng)險(xiǎn)形成文字評估報(bào)告、風(fēng)險(xiǎn)等級（得分），所指出的風(fēng)險(xiǎn)自動(dòng)與給系統(tǒng)造成的影響相聯(lián)系。其工作機(jī)理如圖6-3所示。圖6-3 cobra定性風(fēng)險(xiǎn)分析方法1.2.2 cobra風(fēng)險(xiǎn)評估過程cobra風(fēng)險(xiǎn) 評估過程主要包括3個(gè)步驟: 1.問題表構(gòu)建 2.風(fēng)險(xiǎn)評估 3.報(bào)告生成 c&a公司在網(wǎng)站http:/www.security-risk- 1.3 cramm 1.3 cramm 1.3.1 cramm 1.3.1 cramm簡介簡介 cramm（ccta risk analysis and management method）是由英國政府的中央計(jì)算機(jī)與

7、電信局(central computer and telecommunications agency，ccta)于1985 年開發(fā)的一種定量風(fēng)險(xiǎn)分析工具，同時(shí)支持定性分析。 cramm 是一種可以評估信息系統(tǒng)風(fēng)險(xiǎn)并確定恰當(dāng)對策的結(jié)構(gòu)化方法，適用于各種類型的信息系統(tǒng)和網(wǎng)絡(luò)，也可以在信息系統(tǒng)生命周期的各個(gè)階段使用。 cramm包括全面的風(fēng)險(xiǎn)評估工具，并且完全遵循bs 7799規(guī)范，包括依靠資產(chǎn)的建模、商業(yè)影響評估、識別和評估威脅和弱點(diǎn)、評估風(fēng)險(xiǎn)等級、識別需求和基于風(fēng)險(xiǎn)評估調(diào)整控制等。 1.3.2 cramm風(fēng)險(xiǎn)評估過程 cramm的安全模型數(shù)據(jù)庫基于著名的“資產(chǎn)/威脅/弱點(diǎn)”模 型，評估過程主要包

8、括三個(gè)階段。 1定義研究范圍和邊界，識別和評價(jià)資產(chǎn) 2評估風(fēng)險(xiǎn)，即對威脅和弱點(diǎn)進(jìn)行評估 3選擇和推薦適當(dāng)?shù)膶Σ?1.4 asset asset（automated security self-evaluation tool）是美國國家標(biāo)準(zhǔn)技術(shù)協(xié)會nist以nist sp800-26（信息系統(tǒng)安全性自我評估向?qū)В闃?biāo)準(zhǔn)制定的，用于安全風(fēng)險(xiǎn)自我評估的軟件工具。 根據(jù)nist安全性自我評估向?qū)?，將安全級別分為五級：一般、策略、實(shí)施、測試、檢驗(yàn)。 asset采用典型的基于知識的分析方法，利用問卷方式來評估系統(tǒng)安全現(xiàn)狀與nist sp 800-26 指南之間的差距。 asset是一個(gè)免費(fèi)工具，可以從ni

9、st網(wǎng)站下載，網(wǎng)址是：/asset。 1.5 riskwatch 1.5 riskwatch 1.5.1 riskwatch簡介 美國riskwatch公司綜合各類相關(guān)標(biāo)準(zhǔn)，開發(fā)了風(fēng)險(xiǎn)分析自動(dòng)化軟件系統(tǒng)，進(jìn)行風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)管理，共包括五類產(chǎn)品，分別針對信息系統(tǒng)安全、物理安全、hipaa標(biāo)準(zhǔn)、rw17799標(biāo)準(zhǔn)、港口和海運(yùn)安全，分別分析信息系統(tǒng)安全風(fēng)險(xiǎn)、物理安全危險(xiǎn)、以hipaa為標(biāo)準(zhǔn)存在的安全風(fēng)險(xiǎn)、以rw17799為標(biāo)準(zhǔn)存在的安全風(fēng)險(xiǎn)、港口和海運(yùn)存在的安全風(fēng)險(xiǎn)。 riskwatch工具具有以下特點(diǎn)：友好的用戶界面；預(yù)先定義的風(fēng)險(xiǎn)分析模板，給用戶提供高效、省時(shí)的風(fēng)險(xiǎn)分析

10、和脆弱性評估；數(shù)據(jù)關(guān)聯(lián)功能；經(jīng)過證明的風(fēng)險(xiǎn)分析模型。 1.5.2 riskwatch風(fēng)險(xiǎn)評估 1riskwatch關(guān)于風(fēng)險(xiǎn)定義 風(fēng)險(xiǎn)=資產(chǎn)損失威脅脆弱性防護(hù)措施 即：當(dāng)組織有價(jià)值的資產(chǎn)受到某種形式威脅，形成系統(tǒng)脆弱性，并造成一定損失時(shí)，稱系統(tǒng)出現(xiàn)風(fēng)險(xiǎn)。 2風(fēng)險(xiǎn)分析應(yīng)該達(dá)到兩個(gè)目標(biāo) 確定目標(biāo)系統(tǒng)/設(shè)備當(dāng)前狀態(tài)下面臨的風(fēng)險(xiǎn)； 確定并推薦減少風(fēng)險(xiǎn)的防護(hù)控制措施，并證明這些措施是有效的。 3riskwatch9.0通過使用因素關(guān)聯(lián)功能和計(jì)算風(fēng)險(xiǎn)來達(dá)到上述風(fēng)險(xiǎn)分析目標(biāo) 1.6 1.6 其它風(fēng)險(xiǎn)評估與管理工具其它風(fēng)險(xiǎn)評估與管理工具 1.6.1 ra/sys1.6.1 ra/sys ra/sys（risk

11、analysis system）是一個(gè)定量的自動(dòng)化風(fēng)險(xiǎn)分析系統(tǒng)，包括50多個(gè)有關(guān)脆弱性和資產(chǎn)以及60多個(gè)有關(guān)威脅的交互文件，用于威脅和脆弱性的計(jì)算，用于成本效益、投資效益、損失的綜合評估，產(chǎn)生威脅等級和威脅頻率。 1.6.2 risk 1.6.2 risk risk是由美國palisade公司推出的風(fēng)險(xiǎn)分析工具，并不針對信息安全風(fēng)險(xiǎn)評估，主要用于商業(yè)風(fēng)險(xiǎn)分析。risk利用蒙特卡洛模擬法進(jìn)行定量的風(fēng)險(xiǎn)評估，允許在建立模型時(shí)應(yīng)用各種概率分布函數(shù)，對所有可能及其發(fā)生概率做出評估。risk加載到excel上，為excel增添了高級模型和風(fēng)險(xiǎn)分析功能，詳情可以參見palisade公司的網(wǎng)頁。 1.6.3

12、 bdss 1.6.3 bdssbdss（bayesian decision support system）是一個(gè)定量/定性相結(jié)合的風(fēng)險(xiǎn)分析工具，通過程序收集資產(chǎn)評估數(shù)據(jù)，依據(jù)系統(tǒng)提供的數(shù)據(jù)庫，確定系統(tǒng)存在的潛在風(fēng)險(xiǎn)。bdss使用靈活，除了提供定量的分析評估報(bào)告之外，還可以提供定性的、有關(guān)弱點(diǎn)及其防護(hù)措施的建議。 1.6.4 cc 1.6.4 cc cc評估工具有美國niap發(fā)布，cc評估系統(tǒng)依據(jù)cc標(biāo)準(zhǔn)進(jìn)行評估，評估被測信息系統(tǒng)達(dá)到cc標(biāo)準(zhǔn)的程度，共由兩部分組成：cc pkb（cc知識庫）和cc toolbox（cc評估工具集）。 cc pkb是進(jìn)行cc評估的支持?jǐn)?shù)據(jù)庫，基于access構(gòu)建

13、。 cc toolbox是進(jìn)行cc評估的主要工具，主要采用頁面調(diào)查形式，用戶通過依次填充每個(gè)頁面的調(diào)查項(xiàng)來完成評估，最后生成關(guān)于評估所進(jìn)行的詳細(xì)調(diào)查結(jié)果和最終評估報(bào)告。 1.6.5 1.6.5 cora coracora（cost-of-risk analysiscost-of-risk analysis）是由國際安全技術(shù)公）是由國際安全技術(shù)公司（司（international security technology, inc.international security technology, inc.）開發(fā)的一）開發(fā)的一種風(fēng)險(xiǎn)管理決策支持系統(tǒng)，它采用典型的定量分析方法，可種風(fēng)險(xiǎn)管理決策支持

14、系統(tǒng)，它采用典型的定量分析方法，可以方便地采集、組織、分析并存儲風(fēng)險(xiǎn)數(shù)據(jù)，為組織的風(fēng)險(xiǎn)以方便地采集、組織、分析并存儲風(fēng)險(xiǎn)數(shù)據(jù)，為組織的風(fēng)險(xiǎn)管理決策支持提供準(zhǔn)確的依據(jù)。網(wǎng)址是：管理決策支持提供準(zhǔn)確的依據(jù)。網(wǎng)址是：www.ist-www.ist- 1.6.6 msat msatmsat（microsoft security accessment toolmicrosoft security accessment tool）是微）是微軟的一個(gè)風(fēng)險(xiǎn)評估工具，與軟的一個(gè)風(fēng)險(xiǎn)評估工具，與mbsambsa直接掃描和評估系統(tǒng)不同，直接掃描和評估系統(tǒng)不同，m msatsat通過填寫的詳細(xì)的問卷以及相關(guān)信息，處理

15、問卷反饋，評通過填寫的詳細(xì)的問卷以及相關(guān)信息，處理問卷反饋，評估組織在諸如基礎(chǔ)結(jié)構(gòu)、應(yīng)用程序、操作和人員等領(lǐng)域中的估組織在諸如基礎(chǔ)結(jié)構(gòu)、應(yīng)用程序、操作和人員等領(lǐng)域中的安全實(shí)踐，然后提出相應(yīng)的安全風(fēng)險(xiǎn)管理措施和意見。安全實(shí)踐，然后提出相應(yīng)的安全風(fēng)險(xiǎn)管理措施和意見。 msatmsat是免費(fèi)工具，可以從微軟網(wǎng)站下載，但需要注冊。下是免費(fèi)工具，可以從微軟網(wǎng)站下載，但需要注冊。下載地址：載地址：http:/ 1.6.7 riskpac riskpac是cscj公司開發(fā)的，對組織進(jìn)行風(fēng)險(xiǎn)評估、業(yè)務(wù)影響分析的一個(gè)定量和定性風(fēng)險(xiǎn)評估工具。riskpac的風(fēng)險(xiǎn)評估過程是：確定風(fēng)險(xiǎn)評估范圍、確定對分析評估結(jié)果進(jìn)行

16、反應(yīng)的人員，選擇問卷調(diào)查表，進(jìn)行調(diào)查評估分析。riskpac將風(fēng)險(xiǎn)分為幾個(gè)級別，根據(jù)不同風(fēng)險(xiǎn)級別問題的構(gòu)建和回答，完成風(fēng)險(xiǎn)評估。1.7 常用風(fēng)險(xiǎn)評估與管理工具對比常用風(fēng)險(xiǎn)評估與管理工具對比情況如表6-1所示:表6-1 常用風(fēng)險(xiǎn)評估與管理工具對比 2 2 系統(tǒng)基礎(chǔ)平臺風(fēng)險(xiǎn)評估工具系統(tǒng)基礎(chǔ)平臺風(fēng)險(xiǎn)評估工具 系統(tǒng)基礎(chǔ)平臺風(fēng)險(xiǎn)評估工具包括脆弱性掃描工具和滲透測試工具。脆弱性評估工具也稱為安全掃描、漏洞掃描器，評估網(wǎng)絡(luò)或主機(jī)系統(tǒng)的安全性并且報(bào)告系統(tǒng)的脆弱點(diǎn)。這些工具能夠掃描網(wǎng)絡(luò)、服務(wù)器、防火墻、路由器和應(yīng)用程序，發(fā)現(xiàn)其中的漏洞。滲透測試工具是根據(jù)漏洞掃描工具提供的漏洞，進(jìn)行模擬黑客測試，判斷這些漏洞是否

17、能夠被他人利用。滲透測試的目的是檢測已發(fā)現(xiàn)的漏洞是否真正會給系統(tǒng)或網(wǎng)絡(luò)環(huán)境帶來威脅。通常在風(fēng)險(xiǎn)評估的脆弱性識別階段將脆弱性掃描工具和滲透測試工具一起使用，確定系統(tǒng)漏洞。 2.1 脆弱性掃描工具 2.1.1 脆弱性掃描概述 脆弱性也稱為漏洞(vulnerability)，是系統(tǒng)或保護(hù)機(jī)制內(nèi)的弱點(diǎn)或錯(cuò)誤，它們使信息暴露在攻擊或破壞之下，如：軟件包的缺陷，未受保護(hù)的系統(tǒng)端口，或沒有上鎖的門等。已驗(yàn)證、歸檔和公布的漏洞稱為公開漏洞。漏洞的種類有很多，主要包括：硬件漏洞、軟件漏洞和網(wǎng)絡(luò)漏洞。 脆弱性掃描的基本原理是采用模擬黑客攻擊的方式對目標(biāo)可能存在的脆弱性進(jìn)行逐項(xiàng)檢測，可以對工作站、服務(wù)器、交換機(jī)、數(shù)

18、據(jù)庫等各種對象進(jìn)行脆弱性檢測。按照掃描過程來分，掃描技術(shù)又可以分為四大類：ping掃描技術(shù)、端口掃描技術(shù)、操作系統(tǒng)探測掃描技術(shù)、習(xí)慣性以及已知脆弱性的掃描技術(shù)。 2.1.2 脆弱性掃描工具分類 目前對脆弱性掃描工具的研發(fā)主要分為以下幾種類型： 1 1基于網(wǎng)絡(luò)的掃描器：在網(wǎng)絡(luò)中運(yùn)行，能夠檢測如防火墻錯(cuò)誤配置或連接到網(wǎng)絡(luò)上的易受攻擊的網(wǎng)絡(luò)服務(wù)器的關(guān)鍵漏洞。 2基于主機(jī)的掃描器：發(fā)現(xiàn)主機(jī)的操作系統(tǒng)、特殊服務(wù)和配置的細(xì)節(jié)，發(fā)現(xiàn)潛在的用戶行為風(fēng)險(xiǎn)，如密碼強(qiáng)度不夠，也可實(shí)施對文件系統(tǒng)的檢查。 3 3分布式網(wǎng)絡(luò)掃描器：由遠(yuǎn)程掃描代理、對這些代理的即插即用更新機(jī)制、中心管理點(diǎn)三部分構(gòu)成，用于企業(yè)級網(wǎng)絡(luò)的脆弱性

19、評估，分布和位于不同的位置、城市甚至不同的國家。 4數(shù)據(jù)庫脆弱性掃描器：對數(shù)據(jù)庫的授權(quán)、認(rèn)證和完整性進(jìn)行詳細(xì)的分析，也可以識別數(shù)據(jù)庫系統(tǒng)中潛在的脆弱性。 2.2 流光（fluxay）脆弱性掃描工具 fluxay并不是單純的系統(tǒng)脆弱性掃描工具，而且是一個(gè)功能強(qiáng)大的滲透測試工具。其工作原理是：首先，獲得計(jì)算機(jī)系統(tǒng)在網(wǎng)絡(luò)服務(wù)、版本信息、web應(yīng)用等相關(guān)信息，采用模擬攻擊的方法，對目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如弱口令測試等。如果模擬攻擊成功，則視為系統(tǒng)脆弱性存在。其次，也可以根據(jù)系統(tǒng)事先定義的系統(tǒng)安全漏洞庫對可能存在的脆弱性進(jìn)行逐項(xiàng)檢測，按照規(guī)則匹配的原則將掃描結(jié)果與安全漏洞庫進(jìn)行比對，如果

20、滿足匹配條件，則視為脆弱性存在。最后，根據(jù)檢測結(jié)果向系統(tǒng)管理員提供安全性分析報(bào)告，作為系統(tǒng)和網(wǎng)絡(luò)安全整體水平的評估依據(jù)。圖6-4 流光工具啟動(dòng)界面 啟動(dòng)流光工具后可以看到它的主界面，如圖6-4所示: 單擊“文件”菜單下的“高級掃描向?qū)А边x項(xiàng)，將會有如圖6-5所示的界面。其中，“起始地址”和“結(jié)束地址”填寫本地ip，“目標(biāo)系統(tǒng)”可以選擇all/windows/linux/unix，“檢測項(xiàng)目”選擇對目標(biāo)主機(jī)的哪些服務(wù)進(jìn)行漏洞掃描。圖6-5 高級掃描向?qū)гO(shè)置 單擊“下一步”按鈕，出現(xiàn)如圖6-6所示的窗口。 圖6-6 端口設(shè)定 通過此窗口可以對掃描主機(jī)的端口進(jìn)行設(shè)置，其中自定端口掃描范a圍為0655

21、35。選擇“標(biāo)準(zhǔn)端口掃描”，并單擊“下一步”按鈕，將會彈出嘗試獲取pop3的版本信息和用戶密碼的對話框，獲取ftp的版本號、嘗試匿名登錄和嘗試猜解用戶的對話框，選擇這三項(xiàng)后單擊“下一步”按鈕，將彈出詢問獲取smtp的版本號、expn/vrfy掃描的對話框，獲得imap版本信息、嘗試猜解用戶賬號的對話框，以及獲取系統(tǒng)版本（telnet）、sunos login遠(yuǎn)程溢出和www版本信息的（cgi）對話框。選擇這些項(xiàng)后單擊“下一步”。 cgi rules顯示的是掃描web漏洞的信息，可按照事先定義的cgi漏洞列表選擇不同的漏洞對目標(biāo)主機(jī)進(jìn)行掃描。其中，默認(rèn)規(guī)則有2448條，如圖6-7所示。 單擊“下

22、一步”按鈕，出現(xiàn)在對ms sql 2000數(shù)據(jù)庫漏洞、sa密碼解密和版本信息進(jìn)行掃描的對話框，如圖6-8所示。 圖6-7 漏洞掃描設(shè)置 單擊sql對話框的“下一步”按鈕，出現(xiàn)對話框，如圖6-9所示，對計(jì)算機(jī)系統(tǒng)的ipc漏洞進(jìn)行掃描，查看是否有空連接、共享資源，獲得用戶列表并猜解用戶密碼。圖6-8 ms sql數(shù)據(jù)庫漏洞掃描設(shè)置 圖6-9 ipc漏洞掃描設(shè)置 選擇需要進(jìn)行掃描的選項(xiàng)，如果不選擇最后一項(xiàng)，則此軟件將對所有用戶的密碼進(jìn)行猜解，否則只對管理員用戶組的用戶密碼進(jìn)行猜解。單擊“下一步”按鈕，彈出如圖6-10所示的對話框。 圖6-10 iis漏洞掃描設(shè)置 在這個(gè)對話框中，將設(shè)置對iis漏洞的

23、掃描選項(xiàng)，包括unicode編碼漏洞、frontpage擴(kuò)展、嘗試獲取sam文件和嘗試獲取pcanywhere密碼文件。單擊“下一步”按鈕，彈出設(shè)置misc的對話框，其中包括：bind版本掃描、猜解mysql密碼和ssh版本掃描。單擊對話框中的“下一步”按鈕，彈出plugins對話框，如圖6-11所示。 圖6-11 插件漏洞掃描設(shè)置 流光軟件提供了對11個(gè)插件的漏洞掃描，可根據(jù)需要進(jìn)行選擇。單擊“下一步”按鈕，彈出如圖6-12所示的對話框，在這個(gè)對話框中，通過“猜解用戶名字典”嘗試暴力猜解，用于除了 ipc之外的項(xiàng)目。單擊“完成”按鈕，彈出“選擇流光主機(jī)”對話框，如圖6-13所示，可設(shè)置掃描引

24、擎。 圖6-12 猜解字典設(shè)置 圖6-13 選擇流光主機(jī) 選擇默認(rèn)的本地主機(jī)作為掃描引擎，可以設(shè)置掃描速度。速度越快就越容易單擊“開始”按鈕進(jìn)行掃描。 經(jīng)過一段時(shí)間后會在探測結(jié)果窗口中將出現(xiàn)掃描的結(jié)果，類似于圖6-14所示。 圖6-14 掃描結(jié)果 我們可以看到，示例的掃描結(jié)束后屏幕彈出檢測結(jié)果框，共檢測到14條結(jié)果。同時(shí)，流光還會生成掃描報(bào)告，以網(wǎng)頁的形式保存在預(yù)設(shè)目錄之下。示例的掃描結(jié)果顯示主機(jī)有7個(gè)端口開放并提供服務(wù)。在掃描報(bào)告當(dāng)中我們還可以看到主機(jī)的端口，smtp的版本信息和是否支持vrfy；還可以看到掃描成功的cgi漏洞和misc信息。 按照前面提出的步驟掃描主機(jī)，查

25、看掃描結(jié)果，了解各種系統(tǒng)漏洞和可能造成的危害。下載相應(yīng)的系統(tǒng)補(bǔ)丁，修補(bǔ)系統(tǒng)漏洞，從而構(gòu)造一個(gè)相對安全的操作系統(tǒng)。在安裝完補(bǔ)丁后，重新使用流光來掃描系統(tǒng)漏洞，檢查系統(tǒng)漏洞是否已經(jīng)修補(bǔ)。 2.3 nessus脆弱性掃描工具 nessus是一個(gè)功能強(qiáng)大的遠(yuǎn)程安全掃描器。它不僅免費(fèi)而且更新極快。安全掃描器的功能是對指定網(wǎng)絡(luò)進(jìn)行安全檢查，找出該網(wǎng)絡(luò)是否存在有導(dǎo)致對手攻擊的安全漏洞。 啟動(dòng)nessus的安裝文件，出現(xiàn)圖6-15。按照提示進(jìn)行安裝，安裝結(jié)束后將在目標(biāo)目錄處出現(xiàn)兩個(gè)快捷方式，如圖6-16所示。雙擊“nessus client”圖標(biāo)，進(jìn)入掃描界面，如圖6-17所示。圖6-15 安裝nessus界

26、面圖6-16 nessus安裝結(jié)果圖6-17 nusess的啟動(dòng)界面 單擊“connect”按鈕，選擇本地主機(jī)，進(jìn)行連接。連接成功后，“connect”按鈕變成了“disconnect”。單擊界面左側(cè)按鈕，向掃描工具添加編輯目標(biāo)，在這里以本地主機(jī)為例，如圖6-18所示。保存后回到主界面。單擊界面右側(cè)的添加一項(xiàng)新的掃描任務(wù)，如圖6-19所示。圖6-18 掃描目標(biāo)的設(shè)置圖6-19 對新掃描任務(wù)的設(shè)置 在這個(gè)界面當(dāng)中可以設(shè)置本次掃描任務(wù)的名稱，設(shè)置掃描端口的范圍，漏洞的選擇以及關(guān)于掃描網(wǎng)絡(luò)方面的設(shè)置等。添加完成后，單擊“scan now”開始進(jìn)行掃描。掃描結(jié)果如圖6-20所示。 圖6-20 掃描結(jié)果

27、 單擊左側(cè)的各個(gè)條目，可以查看具體的說明。掃描的結(jié)果還可以通過點(diǎn)擊“export”按鈕導(dǎo)出成html文件。在此網(wǎng)頁中可以查看詳細(xì)的掃描結(jié)果，它將列出掃描結(jié)果的id號，這些在網(wǎng)頁中均有詳細(xì)的說明。根據(jù)說明有無風(fēng)險(xiǎn)來進(jìn)行修復(fù)。 掃描結(jié)束后，可以將本次任務(wù)保存下來。點(diǎn)擊掃描界面下的“disconnet”按鈕，退出了此次連接。如有需要再次進(jìn)行連接即可。 nessus的優(yōu)點(diǎn)在于：它采用了基于多種安全漏洞的掃描，避免了掃描不完整的情況；它是一個(gè)免費(fèi)工具，比起商業(yè)的安全掃描工具如iss具有價(jià)格優(yōu)勢；它的擴(kuò)展性強(qiáng)、容易使用、功能強(qiáng)大，可以掃描出多種安全漏洞。 2.4 2

28、.4 極光遠(yuǎn)程安全評估系統(tǒng) .1 概述 綠盟科技自主研發(fā)了極光(aurora)遠(yuǎn)程安全評估系統(tǒng)，產(chǎn)品針對各類操作系統(tǒng)、網(wǎng)絡(luò)產(chǎn)品、數(shù)據(jù)庫產(chǎn)品等的安全漏洞進(jìn)行分析。該產(chǎn)品為嵌入式安全專用硬件掃描系統(tǒng)，基于瀏覽器的遠(yuǎn)程使用、分級用戶管理、強(qiáng)大的地址本、完善的日志、分布式部署能力，構(gòu)筑企業(yè)級安全評估應(yīng)用。 2.4.2 2.4.2 系統(tǒng)架構(gòu)系統(tǒng)架構(gòu)極光系統(tǒng)架構(gòu)如圖6-21所示。極光使用web管理方式，讓用戶使用瀏覽器通過ssl加密通道和系統(tǒng)web界面模塊交互，方便用戶管理。圖6-21 極光系統(tǒng)整體架構(gòu)圖 極光專用安全系統(tǒng)平臺是具有很高的安全性和穩(wěn)定性。包括如下主要功能模塊: 1 .掃描核

29、心模 掃描核心模塊是系統(tǒng)最重要的模塊之一，它負(fù)責(zé)完成目標(biāo)的探測評估工作，包括判定主機(jī)存活狀態(tài)、操作系統(tǒng)識別、規(guī)則解析匹配等。 2. 漏洞知識庫漏洞知識庫包含漏洞相關(guān)信息，是系統(tǒng)運(yùn)行的基礎(chǔ)，掃描調(diào)度模塊和web管理模塊都依賴它進(jìn)行工作。 3. 掃描結(jié)果庫掃描結(jié)果庫包含了掃描任務(wù)的結(jié)果信息，是掃描結(jié)果報(bào)告生成的基礎(chǔ)，也是查詢和分析結(jié)果的數(shù)據(jù)來源。 4. 匯總數(shù)據(jù)匯總數(shù)據(jù)是綜合分析、趨勢分析和報(bào)表合并的統(tǒng)計(jì)信息的數(shù)據(jù)來源，是任務(wù)合并、分布式數(shù)據(jù)匯總之后的結(jié)果。5. web界面模塊 web界面模塊負(fù)責(zé)和用戶進(jìn)行交互，配合用戶的請求完成管理工作。web管理模塊包含多個(gè)子模塊共同完成用戶的請求，其主要子模

30、塊有： 任務(wù)管理子模塊 報(bào)表子模塊 任務(wù)報(bào)表輔助管理子模塊 地址本管理子模塊 用戶和權(quán)限系統(tǒng)子模塊 系統(tǒng)日志和審計(jì)策略子模塊 常用工具子模塊 系統(tǒng)配置子模塊 6數(shù)據(jù)同步模塊 主要實(shí)現(xiàn)分布式部署中的任務(wù)分發(fā)、策略分發(fā)等功能；完成掃描結(jié)果數(shù)據(jù)向上級aurora系統(tǒng)的數(shù)據(jù)上傳，在數(shù)據(jù)上傳中使用ssl加密傳輸通道，保證了數(shù)據(jù)的保密性；匯總的數(shù)據(jù)可以進(jìn)行集中統(tǒng)一的分析。 7 7升級模塊 極光有網(wǎng)絡(luò)自動(dòng)升級和用戶手動(dòng)升級的策略，系統(tǒng)的各個(gè)模塊都可以通過升級模塊進(jìn)行升級。 2.4.3 系統(tǒng)應(yīng)用環(huán)境 1平坦式部署 小型網(wǎng)絡(luò)中，數(shù)據(jù)相對集中，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)也相對簡單，可采用平坦式部署方式，如圖6-22所示。 圖6

31、-22 極光的平坦式部署模式2分布式部署大型網(wǎng)絡(luò)中多臺極光系統(tǒng)共同工作時(shí)，極光的分布部署支持能力可以使得各系統(tǒng)間的數(shù)據(jù)能共享并匯總。網(wǎng)絡(luò)中使用分布式部署結(jié)構(gòu)如圖6-23所示。圖6-23 極光的分布式部署模式2.5 天鏡脆弱性掃描與管理系統(tǒng)2.5.1 概述 啟明星辰自主研發(fā)了天鏡脆弱性掃描與管理系統(tǒng)。它的任務(wù)是用實(shí)踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)，檢查系統(tǒng)中存在的弱點(diǎn)和漏洞并生成相應(yīng)的報(bào)告，適時(shí)提出修補(bǔ)方法和應(yīng)實(shí)施的安全策略，從而達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。2.5.2 系統(tǒng)構(gòu)成1產(chǎn)品組成 天鏡分布式產(chǎn)品組成包含以下幾個(gè)部分： 管理控制中心 綜合顯示中心 日志分析報(bào)表 掃描引擎軟件 掃描對象授權(quán) 數(shù)據(jù)庫2

32、 2產(chǎn)品部署產(chǎn)品部署 方案一：單機(jī)式部署圖6-24 天鏡單機(jī)式部署 方案二：分布式部署圖6-25 天鏡單機(jī)式部署 方案三：多級式部署圖6-26 天鏡多級式部署 3 3系統(tǒng)配置系統(tǒng)配置硬件環(huán)境： 本系統(tǒng)運(yùn)行在硬件環(huán)境為x86架構(gòu)的臺式機(jī)或筆記本電腦。 cpu：不低于pentium iv 2.2g。 內(nèi)存：不低于512m。 硬盤：不低于50m剩余空間，建議200m以上剩余空間。 網(wǎng)卡：至少一塊100mbps以太網(wǎng)卡。軟件環(huán)境： 操作系統(tǒng)：中文版windows 2000 sp4以上。 瀏覽器：ie5.0以上版本。2.5.3 系統(tǒng)功能1管理功能 分布管理、集中分析圖6-27 天鏡管理控制臺 多級管理

33、對于擁有不同地域、大規(guī)模網(wǎng)絡(luò)的用戶，各個(gè)地域的網(wǎng)絡(luò)安全管理員管理著本地域的網(wǎng)絡(luò)安全狀況，其上層的安全管理員可以上傳檢測結(jié)果、下達(dá)檢測策略、統(tǒng)一管理、統(tǒng)一分析、統(tǒng)一升級；實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)環(huán)境下的全局風(fēng)險(xiǎn)控制、降低管理成本。2策略管理 掃描計(jì)劃定制圖6-28 天鏡掃描計(jì)劃制定 系統(tǒng)使用授權(quán)限制 系統(tǒng)提供了硬件強(qiáng)制授權(quán)管理，以確保系統(tǒng)的使用安全、防止非法使用。 3自定義顯示功能 自定義分類結(jié)構(gòu)顯示 顯示自定義窗口 重點(diǎn)關(guān)注自定義 4掃描功能 端口服務(wù)智能識別 可識別的掃描對象 掃描漏洞分類 數(shù)據(jù)庫掃描 web掃描5報(bào)告功能6安全信息手冊圖6-29 安全信息手冊示例7用戶管理與審計(jì) 系統(tǒng)分用戶、分權(quán)限使

34、用與管理； 支持雙因素身份認(rèn)證：口令、身份卡配合使用； 用戶、管理員的操作審計(jì)。 2.5.4 掃描技術(shù)特色1漸進(jìn)式掃描 根據(jù)被掃描主機(jī)的操作系統(tǒng)和主機(jī)應(yīng)用等信息智能確定進(jìn)一步的掃描流程。2授權(quán)掃描 系統(tǒng)支持用戶提供被掃描主機(jī)的權(quán)限信息，以獲取更深入、更全面的漏洞信息。3系統(tǒng)穩(wěn)定性高 掃描過程實(shí)時(shí)正確處理各種以外情況：如網(wǎng)卡故障、資源耗盡等。4掃描系統(tǒng)資源占用少、速度快、誤報(bào)低、漏報(bào)低、穩(wěn)定性高。2.6 滲透測試工具2.6.1滲透測試概述 滲透測試（penetration test）最簡單直接的解釋就是：完全站在攻擊者角度對目標(biāo)系統(tǒng)進(jìn)行的安全性測試過程，也就是完全模擬黑客可能使用的攻擊技術(shù)和漏洞

35、發(fā)現(xiàn)技術(shù)，對目標(biāo)系統(tǒng)的安全做深入的探測，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。滲透測試能夠直觀地讓管理人員知道自己網(wǎng)絡(luò)所面臨的問題，了解當(dāng)前系統(tǒng)的安全性，了解攻擊者可能利用的途徑，以便對危害性嚴(yán)重的漏洞及時(shí)修補(bǔ)，以免后患。 2.6.2 滲透測試分類滲透測試一般分為黑盒測試、白盒測試和隱秘測試。1. 1. 黑盒測試黑盒測試 黑盒測試意味著測試人員是在對目標(biāo)系統(tǒng)一無所知的狀態(tài)下進(jìn)行測試工作，目標(biāo)系統(tǒng)對測試人員來說就像一個(gè)“黑盒子”。除了知道目標(biāo)的基本范圍之外，所有的信息都依賴測試人員自行發(fā)掘。而目標(biāo)系統(tǒng)上往往會開啟監(jiān)控機(jī)制對滲透過程進(jìn)行記錄，以供測試結(jié)束后分析。也就是說雖然黑盒測試的范圍比較自由和寬泛，但是仍需要

36、遵循一定的規(guī)則和限制。2. 白盒測試 與黑盒測試不同，白盒測試開始之前測試人員就已經(jīng)從目標(biāo)公司獲得了足夠的初始信息，例如網(wǎng)絡(luò)地址段、使用的網(wǎng)絡(luò)協(xié)議、拓?fù)鋱D、應(yīng)用列表等等。相對來說，白盒測試更多的被應(yīng)用于審核內(nèi)部信息管理機(jī)制，測試人員可以利用掌握的資料進(jìn)行內(nèi)部探查，甚至與企業(yè)的員工進(jìn)行交互。對于發(fā)現(xiàn)現(xiàn)有管理機(jī)制漏洞以及檢驗(yàn)社交工程攻擊可能性來說，白盒測試具有非凡的意義。3. 隱秘測試 隱秘測試類似一種增強(qiáng)的黑盒測試，對于受測機(jī)構(gòu)來說該測試處于保密狀態(tài)，可以將其想象為特定管理部分雇傭了外部團(tuán)隊(duì)來進(jìn)行內(nèi)部調(diào)查。除了不開啟特定措施對測試過程進(jìn)行監(jiān)控和記錄之外，測試工作的進(jìn)行也不對員工進(jìn)行通知，甚至不向

37、信息安全管理部門進(jìn)行說明。這種測試完全的模擬了真實(shí)的攻擊，可以綜合的考察組織信息安全工作的運(yùn)轉(zhuǎn)情況，對信息安全工作人員在安全事件響應(yīng)和處理方面的成效很有幫助。2.7 metasploit滲透工具2.7.1 工具簡述 metasploit是一款開源的安全漏洞檢測工具。由于metasploit是免費(fèi)的工具，因此安全工作人員常用metasploit工具來檢測系統(tǒng)的安全性。metasploit framework (msf)是2003 年以開放源代碼方式發(fā)布、可自由獲取的開發(fā)框架，這個(gè)環(huán)境為滲透測試、shellcode 編寫和漏洞研究提供了一個(gè)可靠的平臺。它集成了各平臺上常見的溢出漏洞和流行的shel

38、lcode，并且不斷更新，最新版本的msf 包含了180多種當(dāng)前流行的操作系統(tǒng)和應(yīng)用軟件的exploit，以及100多 個(gè)shellcode。作為安全工具，它在安全檢測中起到不容忽視的作用，并為漏洞自動(dòng)化探測和及時(shí)檢測系統(tǒng)漏洞提供有力的保障。2.7.2 metasploit 3 metasploit 3的使用方法一的使用方法一 安裝完metasploit程序后，啟動(dòng)程序菜單如圖6-30所示，程序中包含metasploit的相關(guān)文檔、常用的一些小工具（netcat、putty、vncviewer、winvi）、cmd shell、metasploit 3的主程序、nasm shell、在線升級程

39、序、ruby shell等內(nèi)容。下面是使用metasploit進(jìn)行相關(guān)滲透工作的步驟。圖6-30 啟動(dòng)程序菜單 1.安裝完metasploit程序，運(yùn)行metasploit 3，啟動(dòng)web窗口界面，如圖6-31所示。界面中會出現(xiàn)exploits、auxiliaries、payloads、console、sessions、about等圖標(biāo)欄。圖6-31 metasploit 3窗口界面一2.點(diǎn)擊exploits圖標(biāo)，系統(tǒng)列出所有的exploits，如圖6-32所示。圖6-32 metasploit 3窗口界面二 3. 針對目的主機(jī)的信息查找相關(guān)漏洞利用程序，比如查找windows xp系統(tǒng)的相關(guān)

40、漏洞利用程序，如圖6-33所示。圖6-33 metasploit 3窗口界面三 4. 利用對主機(jī)掃描發(fā)現(xiàn)的漏洞信息，找到相關(guān)的漏洞利用程序，比如“microsoft rpc dcom interface overflow”的漏洞利用程序，如圖6-34所示，選擇目的操作系統(tǒng)的種類。圖6-34 metasploit 3窗口界面四 5. 選擇特定的shellcode程序，系統(tǒng)攻擊成功后，會執(zhí)行相關(guān)的shellcode的指令內(nèi)容。比如選擇綁定cmd shell的操作，如圖6-35所示。圖6-35 metasploit 3窗口界面五 6. 輸入目的主機(jī)的ip地址，比如，然后執(zhí)行“l(fā)

41、aunch exploit”按鈕，如圖6-36所示。圖6-36 metasploit 3窗口界面六 7. 滲透攻擊成功后，系統(tǒng)返回cmd shell信息，獲取主機(jī)系統(tǒng)權(quán)限，可以做任何的操作了。 2.7.3 metasploit 3的使用方法二 除了使用web窗口模式來工作外，還可以使用msf的命令模式，以console平臺來工作。點(diǎn)擊主窗口中的console圖標(biāo)，如圖6-37所示。圖6-37 metasploit 3命令窗口一 1.輸入help命令，可以看到很多的操作命令，如圖6-38所示。常用的命令也就是show、info、use、set等幾個(gè)命令。 “show”:顯示規(guī)定類型的一種模塊或所

42、有模塊，比如:exploit/payload等。 “info”:顯示一種或更多模塊的信息。 “use”:選擇模塊的名字。 “set”:設(shè)置變量 。圖6-38 metasploit 3命令窗口二 2.通過輸入“show exploits”指令查看有哪些可用的exploit程序，如圖6-39所示。圖6-39 metasploit 3命令窗口三 3.輸入“show payloads”指令，查看有哪些可以加載的shellcode信息，如圖6-40所示。圖6-40 metasploit 3命令窗口四 4輸入“info exploit/windows/dcerpc/ms03_026_dcom”指令，了解m

43、s03_026_dcom利用程序的相關(guān)信息內(nèi)容，如圖6-41所示。圖6-41 metasploit 3命令窗口五根據(jù)了解的ms03_026_dcom的相關(guān)信息，使用漏洞利用程序。輸入：use exploit/windows/dcerpc/ms03_026_dcom查看利用程序需要設(shè)置的相關(guān)內(nèi)容。輸入：show options設(shè)置攻擊目的主機(jī)的ip地址。輸入：set rhost 1設(shè)置加載的shellcode程序。輸入：set payload generic/shell_bind_tcp執(zhí)行利用程序。輸入：exploit系統(tǒng)攻擊成功，并獲取遠(yuǎn)程主機(jī)的權(quán)限。metasploit會不

44、定期更新可利用的漏洞程序，可以通過onlineupdate來進(jìn)行升級。2.8 immunity canvas滲透測試工具2.8.1 工具簡述 canvas是aitels immunitysec出品的一款安全漏洞檢測工具。它包含150個(gè)以上的漏洞利用。對于滲透測試人員來說，canvas是比較專業(yè)的安全漏洞利用工具。canvas 也常被用于對ids和ips的檢測能力的測試。2.8.2 支持的平臺 canvas工具支持的安裝平臺有windows、linux、macosx、其它python環(huán)境（例如：移動(dòng)手機(jī)、商業(yè)unixs）。有些平臺下只能通過命令行的操作方式，有些可以通過gui界面來操作使用。ca

45、nvas工具在兼容性設(shè)計(jì)比較好，可以使用其它團(tuán)隊(duì)研發(fā)的漏洞利用工具，例如使用gleg, ltds vulndisco 、 the argeniss ultimate0day 漏洞利用包。2.8.3 升級升級 canvas目前已經(jīng)使用超過150個(gè)的漏洞利用。immunity公司會仔細(xì)選擇漏洞，從優(yōu)先級比較高的漏洞，比如遠(yuǎn)程執(zhí)行、認(rèn)證繞過或者主流軟件中新發(fā)現(xiàn)的漏洞，每個(gè)月會從中挑選出4個(gè)漏洞利用做為canvas的更新升級。2.8.4 使用方法使用方法第一步：安裝gtk http:/ http:/ http:/ http:/ immunity canvas工具界面 6.3 風(fēng)險(xiǎn)評估輔助工具 信息安全

46、風(fēng)險(xiǎn)評估輔助工具在風(fēng)險(xiǎn)評估過程中不可缺少，主要用于評估中所需要的數(shù)據(jù)和資料，幫助測試者完成現(xiàn)狀分析和趨勢分析。如入侵檢測系統(tǒng)，幫助檢測各種攻擊試探和誤操作，它可以作為一個(gè)警報(bào)器，提醒管理員發(fā)生的安全狀況。同時(shí)安全審計(jì)工具、安全漏洞庫、知識庫都是風(fēng)險(xiǎn)評估不可或缺的支持手段。 3.1 3.1 調(diào)查問卷調(diào)查問卷 風(fēng)險(xiǎn)評估者通過問卷形式對組織信息安全的各個(gè)方面進(jìn)行調(diào)查，問卷解答可以進(jìn)行手工分析，也可以輸入自動(dòng)化評估工具進(jìn)行分析，從問卷調(diào)查中，評估者能夠了解到組織的關(guān)鍵業(yè)務(wù)、關(guān)鍵資產(chǎn)、主要威脅、管理上的缺陷、采用的控制措施和安全策略的執(zhí)行情況。3.2 檢查列表 檢查列表通常是基于特定標(biāo)準(zhǔn)或基線建立的，對

47、特定系統(tǒng)進(jìn)行審查的項(xiàng)目條款，通過檢查列表，可以快速定位系統(tǒng)目前的安全狀況與基線要求之間的差距。3.3 人員訪談 風(fēng)險(xiǎn)評估者通過與組織內(nèi)關(guān)鍵人員的訪談，可以了解到組織的安全意識、業(yè)務(wù)操作、管理程序等重要信息。 3.4 3.4 入侵檢測工具 入侵檢測工具通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。它的主要功能包括：檢測并分析用戶和系統(tǒng)的活動(dòng)、識別已知的攻擊行為、統(tǒng)計(jì)分析異常行為等。在風(fēng)險(xiǎn)評估中，入侵檢測系統(tǒng)可以作為異常行為的收集工具，為風(fēng)險(xiǎn)評估提供可能存在的威脅信息。風(fēng)險(xiǎn)評估過程中也可以利用一段時(shí)間內(nèi)入侵檢測系統(tǒng)發(fā)現(xiàn)的入侵行為，進(jìn)行風(fēng)險(xiǎn)預(yù)測。3.5 安全審計(jì)工具 安全審計(jì)工具用于記錄網(wǎng)絡(luò)安全行為，分析系統(tǒng)或網(wǎng)絡(luò)安全現(xiàn)狀，包括系統(tǒng)配置、