版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、 系统风险评估与脆弱性分析第 8 章本章要点针对信息系统,特别是网络系统,要先了解系统的安全弱点,才能进行安全加固。本章在系统风险评估的理念指导下,首先解决系统的脆弱性检查,发现问题后再通过后续章节介绍的具体技术解决安全问题。 2一、系统风险评估1、风险评估的概念通过风险评估能够清楚信息系统的安全需求,了解信息系统的脆弱性,从而达到信息安全建设的最终目的满足信息系统的安全需求和降低信息系统的安全风险。所谓风险评估,就是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系
2、策划的过程。3一、系统风险评估2、风险评估目的和基本要素风险评估的目的(1)了解组织的安全现状(2)分析组织的安全需求(3)建立信息安全管理体系的要求(4)制订安全策略和实施安防措施的依据(5)组织实现信息安全的必要的、重要的步骤风险评估的四大要素(1)资产及其价值(2)威胁(3)脆弱性(4)现有的和计划的控制措施4一、系统风险评估3、风险评估标准和工具风险评估的标准(1)ISO 13335 信息安全管理方针(2)ISO 15408 信息技术安全性通用评估准则(3)SSE-CMM 系统安全工程成熟度模型(4)SP800-30 信息系统安全风险管理(5)ISO 27001 信息安全管理体系标准(
3、6)GB 17859 安全保护等级划分准则 风险评估的工具(1)扫描工具(2)入侵检测系统(IDS)(3)渗透性测试工具(4)主机安全性审计工具(5)安全管理评价系统(6)风险综合分析系统(7)评估支撑环境工具5一、系统风险评估4、风险评估流程根据风险发生的可能性、风险发生后对系统产生的影响程度,对评估系统的各种对象进行风险程度分析,将系统对象按发生风险的可能性大小、发生风险后对系统造成的影响及危害大小进行评估和组织。风险分析矩阵风险控制流程6二、系统脆弱性分析概述1、脆弱性的概念脆弱性即vulnerability,国内多称“漏洞”,是指硬件、软件或策略上存在的安全缺陷,从而使得攻击者能够在未
4、授权的情况下访问、控制系统。CVE(Common Vulnerabilities and Exposures),漏洞标准化组织。对于一个信息系统来说,它的安全性不在于它是否采用了最新的加密算法或最先进的设备,而是由系统本身最薄弱之处,即漏洞所决定的。 -信息系统安全“木桶原则” 7二、系统脆弱性分析概述2、漏洞的发现网络的开放性、软件系统的自身缺陷和黑客攻击使得系统的脆弱性充分暴露。2019年安全应急响应小组论坛FIRST的专家指出,每千行程序中至少有一个缺陷。Windows XP有35万行。CVE(Common Vulnerabilities and Exposures),漏洞标准化组织。(
5、/)对于一个信息系统来说,它的安全性不在于它是否采用了最新的加密算法或最先进的设备,而是由系统本身最薄弱之处,即漏洞所决定的。 -信息系统安全“木桶原则” SANS (SysAdmin, Audit, Network, Security) 的研究报告():Windows最关键的十大安全隐患8二、系统脆弱性分析概述漏洞的类型(1)管理漏洞(2)软件漏洞(3)结构漏洞(4)信任漏洞漏洞的发现由以下三个组织之一来完成:(1)黑客(2)破译者软件漏洞(3)安全服务商组织管理者需要制定一个从新闻组、邮件列表、Web站点、FTP文档等收集、分析以及抽取漏洞信息的策略,以便获取有用的信息。9二、系统脆弱性分
6、析概述3、漏洞对系统的威胁漏洞对系统的威胁体现在恶意攻击行为对系统的威胁。只有利用硬件、软件和策略上最薄弱的环节,恶意攻击者才可以得手。目前,互联网上已有几万个黑客站点,而且黑客技术不断创新,基本的攻击手法已达上千种。多数情形下,计算机已经被网络入侵者完全控制,且被偷走大量机密资料,而管理员却毫不知情。10二、系统脆弱性分析概述4、系统脆弱性的主要类型漏洞类型多样如DNS与FTP协议的安全性、缓冲区溢出问题、拒绝服务和后门等,通过各种应用软件表现。目前,“应用层的不安全调用”已成为新的关注焦点,而又容易被技术人员忽视。应用层中的漏洞才是最直接、最致命的,因为互联网的应用必须开放端口,这时防火墙
7、等设备已无能为力;网络应用连接着单位的核心数据,漏洞直接威胁着数据库中的数据;内部人员通过内网的应用安全也不受防火墙控制。据OWASP(Open Web Applications Security Project,开放网络应用安全计划)相关统计资料显示攻击者利用网站系统的代码漏洞,精心构造攻击代码,完成对网站系统的非法访问或控制,中国、美国、德国和俄罗斯是恶意代码最为活跃的地区。 常见的Web应用安全漏洞有:SQL注入(SQL injection)跨站脚本攻击恶意代码更改cookie输入信息控制缓冲区溢出直接访问浏览 。11三、脆弱性扫描器的类型和组成1、扫描技术与原理扫描是检测Interne
8、t上的计算机当前是否是活动的、提供了什么样的服务,以及更多的相关信息。主要使用的技术有Ping扫描、端口扫描和操作系统识别。扫描技术也是采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。它利用了一系列的脚本模拟对系统进行攻击的行为,并对结果进行分析。这种技术通常被用来进行模拟攻击实验和安全审计。网络安全扫描技术与防火墙、安全监控系统互相配合就能够为网络提供很高的安全性。12三、脆弱性扫描器的类型和组成1、扫描技术与原理网络安全扫描一般分三个阶段:第1阶段:发现目标主机或网络。第2阶段:发现目标后进一步搜集目标信息,包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络,还
9、可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息。第3阶段:根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞。扫描技术主要包括:PING扫射(Ping sweep)操作系统探测(Operating system identification)访问控制规则探测(firewalking)端口扫描(Port scan)漏洞扫描(vulnerability scan)这些技术在网络安全扫描的3个阶段中各有体现。13三、脆弱性扫描器的类型和组成2、扫描器的类型分主机扫描器和网络扫描器两大类。主机扫描器又称本地扫描器,与待检查系统运行于同一节点,执行对自身的检查。它的主要功能为分析各种系统文
10、件内容,查找可能存在的对系统安全造成威胁的漏洞或配置错误。网络扫描器又称远程扫描器,一般它和待检查系统运行于不同的节点上,通过网络远程探测目标节点,检查安全漏洞。远程扫描器检查网络和分布式系统的安全漏洞。与主机扫描器的扫描方法不同,网络扫描器通过执行一整套综合的扫描方法集,发送精心构造的数据包来检测目标系统是否存在安全隐患。14三、脆弱性扫描器的类型和组成3、扫描器的组成一般说来,扫描器由以下几个模块组成:用户界面、扫描引擎、扫描方法集、漏洞数据库、扫描输出报告等。扫描器的关键是要有一个组织良好的漏洞数据库和相应的扫描方法集。漏洞库是核心,一般含漏洞编号、分类、受影响系统、漏洞描述、修补方法等
11、内容。扫描方法集则要根据漏洞描述内容,提取出漏洞的主要特征,进一步转化出检测出这个漏洞的方法,这是一个技术实现的过程。整个扫描过程由用户界面驱动。15四、脆弱性检测评估工具借助一些工具软件来帮助分析当前系统存在的安全漏洞,以便及时地发现漏洞的存在,及时下载安全补丁。这些工具也常被攻击者所利用,使用时可能存在着一些风险。微软基准安全分析器(Microsoft Baseline Security Analyzer,即MBSA)扫描基于Windows的计算机,并检查操作系统和已安装的其他组件(如:IIS和SQL Server),以发现安全方面的配置错误,并及时通过推荐的安全更新进行修补。天镜脆弱性扫
12、描系统启明星辰产品,对网络和系统进行全方位、高密度的扫描。安恒扫描类产品应用层扫描检测产品,主要有MatriXay应用弱点扫描系统、DAS-DBScan应用弱点扫描系统和网上木马自动侦测溯源器等几种。通过深度扫描、渗透测试等技术对Web应作深入检测。 Shadow Security Scanner(SSS)NeXpose(漏洞评估)与Metasploit(攻击工具)的综合应用16五、解决网络安全的技术构想网络安全问题分类信息表17五、解决网络安全的技术构想网络安全技术针对各种网络安全问题,全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题,这些技术主要包括:访问控制技术识别和鉴别技术密码技术完整性控制技术审计和恢复技术防火墙系统计算机病毒防护操作系统安全数据库系统安全和抗抵赖协议相继陆续推出了包括防火墙、入侵检测、防病毒软件、CA系统、加密算法等在内的各类网络安全软件,这些技术和安全系统(软件)对网络系统提供了一定的安全防范,一定程度上解决了网络安全问题某一方面的问题。后续章节将陆续介绍其中的几种关键技术。 18本章小结漏洞是指硬件、软件
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 房地产开发管理新理念
- 2023年答案能源管理基础体系知识试题
- 金融行业高效办公用品招标
- 市场营销授权产品推广策略
- 共享服务器租赁合同范本
- 认识钟表课件大约几时
- 艺术区工作室租赁合同
- 雨水管道铺设施工合同
- 市政工程EPC合同管理策略
- 高端定制服装店设计师聘用书
- 论通信施工企业投标报价的策略与技巧
- 五年级上册英语试题-综合阅读(人教版PEP)含答案
- GB/T 18451.2-2003风力发电机组功率特性试验
- GB/T 12613.2-2011滑动轴承卷制轴套第2部分:外径和内径的检测数据
- 2020年三级综合医院现场评审纪律要求
- GB 19079.1-2013体育场所开放条件与技术要求第1部分:游泳场所
- GA 1517-2018金银珠宝营业场所安全防范要求
- 新能源简介课件
- 文印室行为规范及日常工作注意事项课件
- 欧派衣柜培训
- 人教版四年级上册数学期末测试卷(综合题)
评论
0/150
提交评论