计算机网络安全评估简述

1、计算机网络安全评估概论作者:李英敏(华北电力大学,电子系,071003摘要本文阐述了保证网络安全的必要性和迫切性,描述了网络安全评估在网络安全措施中的作用、地位,简述了网络安全评估的主要步骤。把网络安全评估技术分为安全扫描和之后的评估两部分,其中对安全扫描的已经较为成熟的技术的原理和作用做了介绍,并列举了安全评估的主要方法。关键词网络安全网络安全评估步骤安全扫描评估AbstractThis paper expounds the necessity of network security, describes the urgency and network security assessment

2、 in network security measures on the role, status, this paper expounds the main steps in network security assessment. The network security assessment technical into security scanning and after two parts, including the assessment of security scanning has a mature technology principle and effect are i

3、ntroduced, and lists the main methods of safety assessment.Keywords:network security network security assessment steps security scanning evaluation1、引言随着计算机网络技术的快速发展,全球信息化已成为世界发展的大趋势。在当今的信息社会中,计算机网络在政治、经济、军事、日常生活中发挥着日益重要的作用,从而使人们对计算机网络的依靠性大大加强。现有的计算机网络在建立之初大都忽视安全问题,而且多数都采用TCP/IP协议,TCP/IP协议在设计上具有缺陷,因

4、为TCP/IP协议在设计上力求运行效率,其本身就是造成网络不安全的主要因素。网络安全问题越来越受到人们的普遍关注,它已经成为影响信息技术发展的重要因素。然而,传统的采用一些安全防护措施,并以某个问题的暂时解决为过程结束标志的系统安全建设已经远不能适应现在网络安全防护的发展要求。这种模式往往缺少系统的考虑,就事论事,带有很大盲目性,经常是花费不少、收效甚微,造成资金、人员的巨大浪费。计算机网络安全问题单凭技术是无法得到彻底解决的,它的解决涉及到政策法规、管理、标准、技术等方方面面,任何单一层次上的安全措施都不可能提供真正的全方位的安全,网络安全问题的解决更应该站在系统工程的角度来考虑。在这项系统

5、工程中,网络安全评估占有重要的地位,它是网络安全的基础和前提。本文就计算机网络安全评估技术进行一些初步研究。2、网络安全评估的必要性由于计算机网络具有连接形式多样性、开放性、互联性等特点,使网络很轻易受到各种各样的攻击,所以当人们充分享受网络所带来的方便和快捷的同时,也应该充分熟悉到网络安全所面临的严重考验。网络环境下的计算机系统存在很多安全问题,为了解决这些安全问题,各种安全机制、策略和工具被开发和应用。但是,即便是在这样的情况下,网络的安全依旧存在很大的隐患。随着信息通信技术的演进和发展,网络信息安全的内涵需要不断地延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进

6、而又发展为“攻(攻击、防(防范、测(检测、控(控制、管(管理、评(评估”等多方面的基础理论和实施技术。网络安全评估也就是网络风险评估,是指对网络信息和网络信息处理设施的威胁、影响和薄弱点及三者发生的可能性的评估。它是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的方法,确定网络信息资产的风险等级和优先风险控制顺序。网络信息安全风险评估是进行网络信息安全管理和安全保障的基础和手段,是网络信息提供者、使用者判定安全风险级别的过程,也是应否实施额外的安全控制以进一步降低安全风险的依据。加强信息安全保障工作的总体要求和主要原则,并对信息安全保障工作做了全面部署。其中信息安全风险评

7、估是信息安全保障的重要基础性工作之一。3、网络安全评估的主要技术(1网络安全评估技术综述网络安全评估技术包括安全扫描和之后的评估两部分,它能够检测远程或本地系统的安全脆弱性,并据此对系统总体的安全性进行评估。此技术把极为烦琐的安全检测,通过程序来自动完成,这不仅减轻了管理者的工作,而且缩短了检测时间,使问题发现的更快。总之,安全评估技术可以快速、深入地对网络或本地主机进行漏洞测试,并给出格式统一、容易参考和分析的测试、评估报告。网络安全扫描技术是一种基于Internet远程检测目标网络或本地主机安全性脆弱点的技术。通过网络安全扫描,系统管理员能够发现所维护的Web服务器的各种TCP/IP端口的

8、分配、开放的服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。网络安全扫描技术也是采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。它利用了一系列的脚本模拟对系统进行攻击的行为,并对结果进行分析。这种技术通常被用来进行模拟攻击实验和安全审计。网络安全扫描技术与防火墙、安全监控系统互相配合就能够为网络提供很高的安全性。一次完整的网络安全扫描分为3个阶段:第1阶段:发现目标主机或网络。第2阶段:发现目标后进一步搜集目标信息,包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络,还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息。第3阶段:根

9、据搜集到的信息判断或者进一步测试系统是否存在安全漏洞。(2网络安全扫描主要技术网络安全扫描主要技术包括有PING扫射(Ping sweeP、操作系统探测(Operating system identification、如何探测访问控制规则(firewalking、端口扫描(Port scan以及漏洞扫描(vulnerability scan等。PING扫射PIN G扫射用于网络安全扫描的第1阶段,可以帮助我们识别系统是否处于活动状态。Ping扫射(ping sweep,也称为ICMP扫射(ICMP sweep是基本的网络安全扫描技术之一,用于探测多个主机地址是否存活。一个单独的ping可以帮助

10、我们识别某个主机是否在网络中活动,而ICMP扫射包含ICMP ECHO(ICMP响应请求报文数据包,会轮询多个主机地址。如果主机地址是活的,它就会对ICMP ECHO做出回应。ICMP扫射适用于小的或中等网络,对于一些大的网络这种扫描方法就显得比较慢。有很多工具可以进行ICMP扫射,如Unix系统的fping、gping、nmap, Rhino9的pinger软件,用于Windows系统的SolarWind的ICMP扫射。无论是pinger还是ICMP扫射都能同时送出多个数据包,并允许用户解析主机地址,把数据储存在文件里。管理员如果从外部阻止ICMP重复要求,ICMP扫射将会停止。但是你也能够

11、通过利用ICMP时间戳请求和地址屏蔽请求来探测主机。操作系统探测操作系统探测又称为Namp、Nmap最著名的功能之一是用TCP/IP协议栈fingerprinting进行远程操作系统探测。 Nmap发送一系列TCP 和UDP报文到远程主机,检查响应中的每一个比特。在进行一打测试如TCP ISN 采样,TCP选项支持和排序,IPID采样,和初始窗口大小检查之后, Nmap把结果和数据库nmap-os-fingerprints中超过1500个已知的操作系统的fingerprints进行比较,如果有匹配,就打印出操作系统的详细信息。每个fingerprint包括一个自由格式的关于OS的描述文本,和一

12、个分类信息,它提供供应商名称(如Sun,下面的操作系统(如Solaris,OS版本(如10,和设备类型(通用设备,路由器,switch,游戏控制台,等。如果Nmap不能猜出操作系统,并且有些好的已知条件(如至少发现了一个开放端口和一个关闭端口,Nmap会提供一个 URL,如果您确知运行的操作系统,您可以把fingerprint提交到那个URL。这样您就扩大了Nmap的操作系统知识库,从而让每个Nmap用户都受益。如何探测访问控制规则FireWall 成为近年来新兴的保护计算机网络安全技术性措施。它是一种隔离控制技术,在某个机构的网络和不安全的网络(如Internet之间设置屏障,阻止对信息资源

13、的非法访问,也可以使用防火墙阻止重要信息从企业的网络上被非法输出。作为Internet网的安全性保护软件,FireWall已经得到广泛的应用。通常企业为了维护内部的信息系统安全,在企业网和Internet间设立FireWall软件。企业信息系统对于来自Internet的访问,采取有选择的接收方式。它可以允许或禁止一类具体的IP 地址访问,也可以接收或拒绝TCP/IP上的某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户,则可以通过设置使用FireWall 过滤掉从该主机发出的包。如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息,那么就可以在FireW

14、all上设置使得只有这两类应用的数据包可以通过。这对于路由器来说,就要不仅分析IP层的信息,而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。FireWall一般安装在路由器上以保护一个子网,也可以安装在一台主机上,保护这台主机不受侵犯。操作系统检测可以进行其它一些测试,这些测试可以利用处理过程中收集到的信息。例如运行时间检测,使用TCP时间戳选项(RFC 1323 来估计主机上次重启的时间,这仅适用于提供这类信息的主机。另一种是TCP序列号预测分类,用于测试针对远程主机建立一个伪造的TCP连接的可能难度。这对于利用基于源IP地址的可信关系(rlogin,防火墙过滤等 或者隐含源地址的

15、攻击非常重要。这一类哄骗攻击现在很少见,但一些主机仍然存在这方面的漏洞。实际的难度值基于统计采样,因此可能会有一些波动。通常采用英国的分类较好,如“worthy challenge”或者“trivial joke”。在详细模式(-v下只以普通的方式输出,如果同时使用-O,还报告IPID序列产生号。很多主机的序列号是“增加”类别,即在每个发送包的IP头中增加ID域值,这对一些先进的信息收集和哄骗攻击来说是个漏洞。端口扫描一个端口就是一个潜在的通信通道,也就是一个入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息。进行扫描的方法很多,可以是手工进行扫描,也可以用端口扫描软件进行。在手工进行扫

16、描时,需要熟悉各种命令。对命令执行后的输出进行分析。用扫描软件进行扫描时,许多扫描器软件都有分析数据的功能。端口扫描就是一种检查目标系统开放的TCP或者UDP端口的信息收集技术。他的基本方法是向目标机器的各个端口发送连接的请求,根据返回的响应,判断在目标机器上是否开放了这个端口。通过端口扫描,可以得到许多有用的信息,从而发现系统的安全漏洞。漏洞扫描漏洞扫描工作原理采用模拟攻击的形式对网络系统组成元素可能存在的安全漏洞进行逐项检查,根据检查结果提供详细的漏洞描述和修补方案,形成系统安全性分析报告。按照工作模式,漏洞扫描器分为主机漏洞扫描器和网络漏洞扫描器。其中前者基于主机,通过在主机系统本地运行

17、代理程序来检测系统漏洞,例如操作系统扫描器和数据库扫描器。后者基于网络,通过请求/应答方式远程检测目标网络和主机系统的安全漏洞。利用漏洞扫描工具,用户能够进行定期的安全检测、评估,消除安全隐患,尽早发现安全漏洞并进行修补。(3主要安全评估方法现有的科学性、合理性评估方法有很多。本文将对常用几种方法进行简要的介绍。IDS抽样为了充分了解信息系统面临的网络安全威胁,需要利用入侵检测系统对系统可能存在的安全威胁进行实时采样收集。大多数入侵IDS采取基于网络的或基于主机的办法辨认躲避威胁。在任何一种情况下,这种系统都要寻找“攻击标记”,一旦检测到了攻击行为,IDS响应模块就提供多种选项以通知、警告并对

18、攻击采取相应的反应。网络构架分析网络构架分析师通过对评估范围内信息系统的网络拓扑及网络层面细节构架的评估,主要包括网络建设的规范性,网络可靠性,网络边界安全,网络协议分析,网络流量分析等方面。人工安全检查评估范围内的网络设备安全策略的弱点和部分主机的安全配置错误等比不能被扫描器全面发现,因此有必要对评估工具扫描范围之外的系统和设备进行人工安全检查。主要包括以下方面:是否最优化的划分了VLAN和不同的网段;内外网之间、重要的网段之间是否保证了用户的最小权限原则;路由器、交换机等网络设备的配置是否最优;安全设备的接入方式是否正确;主机服务器的安全配置策略是否严禁有效等。4、总结网络安全风险评估是一个系统工程,其评估体系受到主观和客观、确定和不确定、自身和外界等多。种因素的影响.尤其当网络中承载了用户极为重要的信息资产时,这些安全风险将会给国家、社会、企业和个人带来极大的安全隐患。网络安全评估作为网络信息系统安全工程重要组成部分,已经成为关系到国民经济的每一方面的重大问题,它将逐渐走上规范化和法制化的轨道上来,国家对各种配套的安全标准和法规的制定将会更加健全,评估模型、评估方法、评估工具的研究、开发将更加活跃,网络信息系统及相关产品的安全评估认证将成为必需环节本文只是对保障网络安全的一个重要方面做了系统的介绍。若要最大程度的保证网络安全,除了把每一个环节做好之外更重要的是各个环节的相