CH08系統(tǒng)風(fēng)險(xiǎn)評(píng)估與脆弱性分析-PPT課件

1、 系統(tǒng)風(fēng)險(xiǎn)評(píng)估與脆弱性分析第 8 章本章要點(diǎn)針對(duì)信息系統(tǒng)，特別是網(wǎng)絡(luò)系統(tǒng)，要先了解系統(tǒng)的安全弱點(diǎn)，才能進(jìn)行安全加固。本章在系統(tǒng)風(fēng)險(xiǎn)評(píng)估的理念指導(dǎo)下，首先解決系統(tǒng)的脆弱性檢查，發(fā)現(xiàn)問題后再通過后續(xù)章節(jié)介紹的具體技術(shù)解決安全問題。 2一、系統(tǒng)風(fēng)險(xiǎn)評(píng)估1、風(fēng)險(xiǎn)評(píng)估的概念通過風(fēng)險(xiǎn)評(píng)估能夠清楚信息系統(tǒng)的安全需求，了解信息系統(tǒng)的脆弱性，從而達(dá)到信息安全建設(shè)的最終目的滿足信息系統(tǒng)的安全需求和降低信息系統(tǒng)的安全風(fēng)險(xiǎn)。所謂風(fēng)險(xiǎn)評(píng)估，就是對(duì)信息資產(chǎn)面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者綜合作用而帶來風(fēng)險(xiǎn)的可能性的評(píng)估。作為風(fēng)險(xiǎn)管理的基礎(chǔ)，風(fēng)險(xiǎn)評(píng)估是組織確定信息安全需求的一個(gè)重要途徑，屬于組織信息安全管理體系

2、策劃的過程。3一、系統(tǒng)風(fēng)險(xiǎn)評(píng)估2、風(fēng)險(xiǎn)評(píng)估目的和基本要素風(fēng)險(xiǎn)評(píng)估的目的（1）了解組織的安全現(xiàn)狀（2）分析組織的安全需求（3）建立信息安全管理體系的要求（4）制訂安全策略和實(shí)施安防措施的依據(jù)（5）組織實(shí)現(xiàn)信息安全的必要的、重要的步驟風(fēng)險(xiǎn)評(píng)估的四大要素（1）資產(chǎn)及其價(jià)值（2）威脅（3）脆弱性（4）現(xiàn)有的和計(jì)劃的控制措施4一、系統(tǒng)風(fēng)險(xiǎn)評(píng)估3、風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和工具風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)（1）ISO 13335 信息安全管理方針（2）ISO 15408 信息技術(shù)安全性通用評(píng)估準(zhǔn)則（3）SSE-CMM 系統(tǒng)安全工程成熟度模型（4）SP800-30 信息系統(tǒng)安全風(fēng)險(xiǎn)管理（5）ISO 27001 信息安全管理體系標(biāo)準(zhǔn)（

3、6）GB 17859 安全保護(hù)等級(jí)劃分準(zhǔn)則 風(fēng)險(xiǎn)評(píng)估的工具（1）掃描工具（2）入侵檢測(cè)系統(tǒng)（IDS）（3）滲透性測(cè)試工具（4）主機(jī)安全性審計(jì)工具（5）安全管理評(píng)價(jià)系統(tǒng)（6）風(fēng)險(xiǎn)綜合分析系統(tǒng)（7）評(píng)估支撐環(huán)境工具5一、系統(tǒng)風(fēng)險(xiǎn)評(píng)估4、風(fēng)險(xiǎn)評(píng)估流程根據(jù)風(fēng)險(xiǎn)發(fā)生的可能性、風(fēng)險(xiǎn)發(fā)生后對(duì)系統(tǒng)產(chǎn)生的影響程度，對(duì)評(píng)估系統(tǒng)的各種對(duì)象進(jìn)行風(fēng)險(xiǎn)程度分析，將系統(tǒng)對(duì)象按發(fā)生風(fēng)險(xiǎn)的可能性大小、發(fā)生風(fēng)險(xiǎn)后對(duì)系統(tǒng)造成的影響及危害大小進(jìn)行評(píng)估和組織。風(fēng)險(xiǎn)分析矩陣風(fēng)險(xiǎn)控制流程6二、系統(tǒng)脆弱性分析概述1、脆弱性的概念脆弱性即vulnerability，國(guó)內(nèi)多稱“漏洞”，是指硬件、軟件或策略上存在的安全缺陷，從而使得攻擊者能夠在未

4、授權(quán)的情況下訪問、控制系統(tǒng)。CVE(Common Vulnerabilities and Exposures)，漏洞標(biāo)準(zhǔn)化組織。對(duì)于一個(gè)信息系統(tǒng)來說，它的安全性不在于它是否采用了最新的加密算法或最先進(jìn)的設(shè)備，而是由系統(tǒng)本身最薄弱之處，即漏洞所決定的。 -信息系統(tǒng)安全“木桶原則” 7二、系統(tǒng)脆弱性分析概述2、漏洞的發(fā)現(xiàn)網(wǎng)絡(luò)的開放性、軟件系統(tǒng)的自身缺陷和黑客攻擊使得系統(tǒng)的脆弱性充分暴露。2019年安全應(yīng)急響應(yīng)小組論壇FIRST的專家指出，每千行程序中至少有一個(gè)缺陷。Windows XP有35萬行。CVE(Common Vulnerabilities and Exposures)，漏洞標(biāo)準(zhǔn)化組織。（

5、/）對(duì)于一個(gè)信息系統(tǒng)來說，它的安全性不在于它是否采用了最新的加密算法或最先進(jìn)的設(shè)備，而是由系統(tǒng)本身最薄弱之處，即漏洞所決定的。 -信息系統(tǒng)安全“木桶原則” SANS (SysAdmin, Audit, Network, Security) 的研究報(bào)告（）：Windows最關(guān)鍵的十大安全隱患8二、系統(tǒng)脆弱性分析概述漏洞的類型（1）管理漏洞（2）軟件漏洞（3）結(jié)構(gòu)漏洞（4）信任漏洞漏洞的發(fā)現(xiàn)由以下三個(gè)組織之一來完成：（1）黑客（2）破譯者軟件漏洞（3）安全服務(wù)商組織管理者需要制定一個(gè)從新聞組、郵件列表、Web站點(diǎn)、FTP文檔等收集、分析以及抽取漏洞信息的策略，以便獲取有用的信息。9二、系統(tǒng)脆弱性分

6、析概述3、漏洞對(duì)系統(tǒng)的威脅漏洞對(duì)系統(tǒng)的威脅體現(xiàn)在惡意攻擊行為對(duì)系統(tǒng)的威脅。只有利用硬件、軟件和策略上最薄弱的環(huán)節(jié)，惡意攻擊者才可以得手。目前，互聯(lián)網(wǎng)上已有幾萬個(gè)黑客站點(diǎn)，而且黑客技術(shù)不斷創(chuàng)新，基本的攻擊手法已達(dá)上千種。多數(shù)情形下，計(jì)算機(jī)已經(jīng)被網(wǎng)絡(luò)入侵者完全控制，且被偷走大量機(jī)密資料，而管理員卻毫不知情。10二、系統(tǒng)脆弱性分析概述4、系統(tǒng)脆弱性的主要類型漏洞類型多樣如DNS與FTP協(xié)議的安全性、緩沖區(qū)溢出問題、拒絕服務(wù)和后門等，通過各種應(yīng)用軟件表現(xiàn)。目前，“應(yīng)用層的不安全調(diào)用”已成為新的關(guān)注焦點(diǎn)，而又容易被技術(shù)人員忽視。應(yīng)用層中的漏洞才是最直接、最致命的，因?yàn)榛ヂ?lián)網(wǎng)的應(yīng)用必須開放端口，這時(shí)防火墻

7、等設(shè)備已無能為力；網(wǎng)絡(luò)應(yīng)用連接著單位的核心數(shù)據(jù)，漏洞直接威脅著數(shù)據(jù)庫(kù)中的數(shù)據(jù)；內(nèi)部人員通過內(nèi)網(wǎng)的應(yīng)用安全也不受防火墻控制。據(jù)OWASP（Open Web Applications Security Project，開放網(wǎng)絡(luò)應(yīng)用安全計(jì)劃）相關(guān)統(tǒng)計(jì)資料顯示攻擊者利用網(wǎng)站系統(tǒng)的代碼漏洞，精心構(gòu)造攻擊代碼，完成對(duì)網(wǎng)站系統(tǒng)的非法訪問或控制，中國(guó)、美國(guó)、德國(guó)和俄羅斯是惡意代碼最為活躍的地區(qū)。 常見的Web應(yīng)用安全漏洞有：SQL注入（SQL injection）跨站腳本攻擊惡意代碼更改cookie輸入信息控制緩沖區(qū)溢出直接訪問瀏覽 。11三、脆弱性掃描器的類型和組成1、掃描技術(shù)與原理掃描是檢測(cè)Interne

8、t上的計(jì)算機(jī)當(dāng)前是否是活動(dòng)的、提供了什么樣的服務(wù)，以及更多的相關(guān)信息。主要使用的技術(shù)有Ping掃描、端口掃描和操作系統(tǒng)識(shí)別。掃描技術(shù)也是采用積極的、非破壞性的辦法來檢驗(yàn)系統(tǒng)是否有可能被攻擊崩潰。它利用了一系列的腳本模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為，并對(duì)結(jié)果進(jìn)行分析。這種技術(shù)通常被用來進(jìn)行模擬攻擊實(shí)驗(yàn)和安全審計(jì)。網(wǎng)絡(luò)安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)互相配合就能夠?yàn)榫W(wǎng)絡(luò)提供很高的安全性。12三、脆弱性掃描器的類型和組成1、掃描技術(shù)與原理網(wǎng)絡(luò)安全掃描一般分三個(gè)階段：第1階段：發(fā)現(xiàn)目標(biāo)主機(jī)或網(wǎng)絡(luò)。第2階段：發(fā)現(xiàn)目標(biāo)后進(jìn)一步搜集目標(biāo)信息，包括操作系統(tǒng)類型、運(yùn)行的服務(wù)以及服務(wù)軟件的版本等。如果目標(biāo)是一個(gè)網(wǎng)絡(luò)，還

9、可以進(jìn)一步發(fā)現(xiàn)該網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、路由設(shè)備以及各主機(jī)的信息。第3階段：根據(jù)搜集到的信息判斷或者進(jìn)一步測(cè)試系統(tǒng)是否存在安全漏洞。掃描技術(shù)主要包括：PING掃射（Ping sweep）操作系統(tǒng)探測(cè)（Operating system identification）訪問控制規(guī)則探測(cè)（firewalking）端口掃描（Port scan）漏洞掃描（vulnerability scan）這些技術(shù)在網(wǎng)絡(luò)安全掃描的3個(gè)階段中各有體現(xiàn)。13三、脆弱性掃描器的類型和組成2、掃描器的類型分主機(jī)掃描器和網(wǎng)絡(luò)掃描器兩大類。主機(jī)掃描器又稱本地掃描器，與待檢查系統(tǒng)運(yùn)行于同一節(jié)點(diǎn)，執(zhí)行對(duì)自身的檢查。它的主要功能為分析各種系統(tǒng)文

10、件內(nèi)容，查找可能存在的對(duì)系統(tǒng)安全造成威脅的漏洞或配置錯(cuò)誤。網(wǎng)絡(luò)掃描器又稱遠(yuǎn)程掃描器，一般它和待檢查系統(tǒng)運(yùn)行于不同的節(jié)點(diǎn)上，通過網(wǎng)絡(luò)遠(yuǎn)程探測(cè)目標(biāo)節(jié)點(diǎn)，檢查安全漏洞。遠(yuǎn)程掃描器檢查網(wǎng)絡(luò)和分布式系統(tǒng)的安全漏洞。與主機(jī)掃描器的掃描方法不同，網(wǎng)絡(luò)掃描器通過執(zhí)行一整套綜合的掃描方法集，發(fā)送精心構(gòu)造的數(shù)據(jù)包來檢測(cè)目標(biāo)系統(tǒng)是否存在安全隱患。14三、脆弱性掃描器的類型和組成3、掃描器的組成一般說來，掃描器由以下幾個(gè)模塊組成：用戶界面、掃描引擎、掃描方法集、漏洞數(shù)據(jù)庫(kù)、掃描輸出報(bào)告等。掃描器的關(guān)鍵是要有一個(gè)組織良好的漏洞數(shù)據(jù)庫(kù)和相應(yīng)的掃描方法集。漏洞庫(kù)是核心，一般含漏洞編號(hào)、分類、受影響系統(tǒng)、漏洞描述、修補(bǔ)方法等

11、內(nèi)容。掃描方法集則要根據(jù)漏洞描述內(nèi)容，提取出漏洞的主要特征，進(jìn)一步轉(zhuǎn)化出檢測(cè)出這個(gè)漏洞的方法，這是一個(gè)技術(shù)實(shí)現(xiàn)的過程。整個(gè)掃描過程由用戶界面驅(qū)動(dòng)。15四、脆弱性檢測(cè)評(píng)估工具借助一些工具軟件來幫助分析當(dāng)前系統(tǒng)存在的安全漏洞，以便及時(shí)地發(fā)現(xiàn)漏洞的存在，及時(shí)下載安全補(bǔ)丁。這些工具也常被攻擊者所利用，使用時(shí)可能存在著一些風(fēng)險(xiǎn)。微軟基準(zhǔn)安全分析器（Microsoft Baseline Security Analyzer，即MBSA）掃描基于Windows的計(jì)算機(jī)，并檢查操作系統(tǒng)和已安裝的其他組件（如：IIS和SQL Server），以發(fā)現(xiàn)安全方面的配置錯(cuò)誤，并及時(shí)通過推薦的安全更新進(jìn)行修補(bǔ)。天鏡脆弱性掃

12、描系統(tǒng)啟明星辰產(chǎn)品，對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行全方位、高密度的掃描。安恒掃描類產(chǎn)品應(yīng)用層掃描檢測(cè)產(chǎn)品，主要有MatriXay應(yīng)用弱點(diǎn)掃描系統(tǒng)、DAS-DBScan應(yīng)用弱點(diǎn)掃描系統(tǒng)和網(wǎng)上木馬自動(dòng)偵測(cè)溯源器等幾種。通過深度掃描、滲透測(cè)試等技術(shù)對(duì)Web應(yīng)作深入檢測(cè)。 Shadow Security Scanner（SSS）NeXpose（漏洞評(píng)估）與Metasploit（攻擊工具）的綜合應(yīng)用16五、解決網(wǎng)絡(luò)安全的技術(shù)構(gòu)想網(wǎng)絡(luò)安全問題分類信息表17五、解決網(wǎng)絡(luò)安全的技術(shù)構(gòu)想網(wǎng)絡(luò)安全技術(shù)針對(duì)各種網(wǎng)絡(luò)安全問題，全世界的網(wǎng)絡(luò)安全廠商都試圖發(fā)展了各種安全技術(shù)來防范這些問題，這些技術(shù)主要包括：訪問控制技術(shù)識(shí)別和鑒別技術(shù)密碼技術(shù)完整性控制技術(shù)審計(jì)和恢復(fù)技術(shù)防火墻系統(tǒng)計(jì)算機(jī)病毒防護(hù)操作系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)安全和抗抵賴協(xié)議相繼陸續(xù)推出了包括防火墻、入侵檢測(cè)、防病毒軟件、CA系統(tǒng)、加密算法等在內(nèi)的各類網(wǎng)絡(luò)安全軟件，這些技術(shù)和安全系統(tǒng)（軟件）對(duì)網(wǎng)絡(luò)系統(tǒng)提供了一定的安全防范，一定程度上解決了網(wǎng)絡(luò)安全問題某一方面的問題。后續(xù)章節(jié)將陸續(xù)介紹其中的幾種關(guān)鍵技術(shù)。 18本章小結(jié)漏洞是指硬件、軟件