CH08系统风险评估与脆弱性分析-课件

系统风险评估与脆弱性分析第8章系统风险评估与脆弱性分析第8章本章要点针对信息系统，特别是网络系统，要先了解系统的安全弱点，才能进行安全加固。本章在系统风险评估的理念指导下，首先解决系统的脆弱性检查，发现问题后再通过后续章节介绍的具体技术解决安全问题。2本章要点针对信息系统，特别是网络系统，要先了解系统的安全弱点一、系统风险评估1、风险评估的概念通过风险评估能够清楚信息系统的安全需求，了解信息系统的脆弱性，从而达到信息安全建设的最终目的——满足信息系统的安全需求和降低信息系统的安全风险。所谓风险评估，就是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。3一、系统风险评估1、风险评估的概念3一、系统风险评估2、风险评估目的和基本要素风险评估的目的（1）了解组织的安全现状（2）分析组织的安全需求（3）建立信息安全管理体系的要求（4）制订安全策略和实施安防措施的依据（5）组织实现信息安全的必要的、重要的步骤风险评估的四大要素（1）资产及其价值（2）威胁（3）脆弱性（4）现有的和计划的控制措施4一、系统风险评估2、风险评估目的和基本要素4一、系统风险评估3、风险评估标准和工具风险评估的标准（1）ISO13335《信息安全管理方针》（2）ISO15408《信息技术安全性通用评估准则》（3）SSE-CMM《系统安全工程成熟度模型》（4）SP800-30《信息系统安全风险管理》（5）ISO27001《信息安全管理体系标准》（6）GB17859《安全保护等级划分准则》风险评估的工具（1）扫描工具（2）入侵检测系统（IDS）（3）渗透性测试工具（4）主机安全性审计工具（5）安全管理评价系统（6）风险综合分析系统（7）评估支撑环境工具5一、系统风险评估3、风险评估标准和工具5一、系统风险评估4、风险评估流程根据风险发生的可能性、风险发生后对系统产生的影响程度，对评估系统的各种对象进行风险程度分析，将系统对象按发生风险的可能性大小、发生风险后对系统造成的影响及危害大小进行评估和组织。风险分析矩阵风险控制流程6一、系统风险评估4、风险评估流程风险分析矩阵风险控制流程二、系统脆弱性分析概述1、脆弱性的概念脆弱性即vulnerability，国内多称“漏洞”，是指硬件、软件或策略上存在的安全缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统。CVE(CommonVulnerabilitiesandExposures)，漏洞标准化组织。对于一个信息系统来说，它的安全性不在于它是否采用了最新的加密算法或最先进的设备，而是由系统本身最薄弱之处，即漏洞所决定的。--信息系统安全“木桶原则”

7二、系统脆弱性分析概述1、脆弱性的概念7二、系统脆弱性分析概述2、漏洞的发现网络的开放性、软件系统的自身缺陷和黑客攻击使得系统的脆弱性充分暴露。2019年安全应急响应小组论坛FIRST的专家指出，每千行程序中至少有一个缺陷。WindowsXP有35万行。CVE(CommonVulnerabilitiesandExposures)，漏洞标准化组织。（/）对于一个信息系统来说，它的安全性不在于它是否采用了最新的加密算法或最先进的设备，而是由系统本身最薄弱之处，即漏洞所决定的。--信息系统安全“木桶原则”SANS(SysAdmin,Audit,Network,Security)的研究报告（）：Windows最关键的十大安全隐患8二、系统脆弱性分析概述2、漏洞的发现8二、系统脆弱性分析概述漏洞的类型（1）管理漏洞（2）软件漏洞（3）结构漏洞（4）信任漏洞漏洞的发现由以下三个组织之一来完成：（1）黑客（2）破译者软件漏洞（3）安全服务商组织管理者需要制定一个从新闻组、邮件列表、Web站点、FTP文档等收集、分析以及抽取漏洞信息的策略，以便获取有用的信息。9二、系统脆弱性分析概述漏洞的类型9二、系统脆弱性分析概述3、漏洞对系统的威胁漏洞对系统的威胁体现在恶意攻击行为对系统的威胁。只有利用硬件、软件和策略上最薄弱的环节，恶意攻击者才可以得手。目前，互联网上已有几万个黑客站点，而且黑客技术不断创新，基本的攻击手法已达上千种。多数情形下，计算机已经被网络入侵者完全控制，且被偷走大量机密资料，而管理员却毫不知情。10二、系统脆弱性分析概述3、漏洞对系统的威胁10二、系统脆弱性分析概述4、系统脆弱性的主要类型漏洞类型多样如DNS与FTP协议的安全性、缓冲区溢出问题、拒绝服务和后门等，通过各种应用软件表现。目前，“应用层的不安全调用”已成为新的关注焦点，而又容易被技术人员忽视。应用层中的漏洞才是最直接、最致命的，因为互联网的应用必须开放端口，这时防火墙等设备已无能为力；网络应用连接着单位的核心数据，漏洞直接威胁着数据库中的数据；内部人员通过内网的应用安全也不受防火墙控制。据OWASP（OpenWebApplicationsSecurityProject，开放网络应用安全计划）相关统计资料显示攻击者利用网站系统的代码漏洞，精心构造攻击代码，完成对网站系统的非法访问或控制，中国、美国、德国和俄罗斯是恶意代码最为活跃的地区。常见的Web应用安全漏洞有：SQL注入（SQLinjection）跨站脚本攻击恶意代码更改cookie输入信息控制缓冲区溢出直接访问浏览。。。。。。11二、系统脆弱性分析概述4、系统脆弱性的主要类型常见的Web应三、脆弱性扫描器的类型和组成1、扫描技术与原理扫描是检测Internet上的计算机当前是否是活动的、提供了什么样的服务，以及更多的相关信息。主要使用的技术有Ping扫描、端口扫描和操作系统识别。扫描技术也是采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。它利用了一系列的脚本模拟对系统进行攻击的行为，并对结果进行分析。这种技术通常被用来进行模拟攻击实验和安全审计。网络安全扫描技术与防火墙、安全监控系统互相配合就能够为网络提供很高的安全性。12三、脆弱性扫描器的类型和组成1、扫描技术与原理12三、脆弱性扫描器的类型和组成1、扫描技术与原理网络安全扫描一般分三个阶段：第1阶段：发现目标主机或网络。第2阶段：发现目标后进一步搜集目标信息，包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络，还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息。第3阶段：根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞。扫描技术主要包括：PING扫射（Pingsweep）操作系统探测（Operatingsystemidentification）访问控制规则探测（firewalking）端口扫描（Portscan）漏洞扫描（vulnerabilityscan）这些技术在网络安全扫描的3个阶段中各有体现。13三、脆弱性扫描器的类型和组成1、扫描技术与原理13三、脆弱性扫描器的类型和组成2、扫描器的类型分主机扫描器和网络扫描器两大类。主机扫描器又称本地扫描器，与待检查系统运行于同一节点，执行对自身的检查。它的主要功能为分析各种系统文件内容，查找可能存在的对系统安全造成威胁的漏洞或配置错误。网络扫描器又称远程扫描器，一般它和待检查系统运行于不同的节点上，通过网络远程探测目标节点，检查安全漏洞。远程扫描器检查网络和分布式系统的安全漏洞。与主机扫描器的扫描方法不同，网络扫描器通过执行一整套综合的扫描方法集，发送精心构造的数据包来检测目标系统是否存在安全隐患。14三、脆弱性扫描器的类型和组成2、扫描器的类型14三、脆弱性扫描器的类型和组成3、扫描器的组成一般说来，扫描器由以下几个模块组成：用户界面、扫描引擎、扫描方法集、漏洞数据库、扫描输出报告等。扫描器的关键是要有一个组织良好的漏洞数据库和相应的扫描方法集。漏洞库是核心，一般含漏洞编号、分类、受影响系统、漏洞描述、修补方法等内容。扫描方法集则要根据漏洞描述内容，提取出漏洞的主要特征，进一步转化出检测出这个漏洞的方法，这是一个技术实现的过程。整个扫描过程由用户界面驱动。15三、脆弱性扫描器的类型和组成3、扫描器的组成15四、脆弱性检测评估工具借助一些工具软件来帮助分析当前系统存在的安全漏洞，以便及时地发现漏洞的存在，及时下载安全补丁。这些工具也常被攻击者所利用，使用时可能存在着一些风险。微软基准安全分析器（MicrosoftBaselineSecurityAnalyzer，即MBSA）扫描基于Windows的计算机，并检查操作系统和已安装的其他组件（如：IIS和SQLServer），以发现安全方面的配置错误，并及时通过推荐的安全更新进行修补。天镜脆弱性扫描系统启明星辰产品，对网络和系统进行全方位、高密度的扫描。安恒扫描类产品应用层扫描检测产品，主要有MatriXay应用弱点扫描系统、DAS-DBScan应用弱点扫描系统和网上木马自动侦测溯源器等几种。通过深度扫描、渗透测试等技术对Web应作深入检测。ShadowSecurityScanner（SSS）NeXpose（漏洞评估）与Metasploit（攻击工具）的综合应用16四、脆弱性检测评估工具借助一些工具软件来帮助分析当前系统存在五、解决网络安全的技术构想网络安全问题分类信息表17五、解决网络安全的技术构想网络安全问题分类信息表17五、解决网络安全的技术构想网络安全技术针对各种网络安全问题，全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题，这些技术主要包括：访问控制技术识别和鉴别技术密码技术完整性控制技术审计和恢复技术防火墙系统计算机病毒防护操作系统安全数据库系统安全和抗抵赖协议相继陆续推出了包括防火墙、入侵检测、防病毒软件、CA系统、加密算法等在内的各类网络安全软件，这些技术和安全系统（软件）对网络系统提供了一定的安全防范，一定程度上解决了网络安全问题某一方面的问题。后续章节将陆续介绍其中的几种关键技术。18五、解决网络安全的技术构想网络安全技术18本章小结漏洞是指硬件、软件或策略上存在的的安全缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统。本章在介绍风险评估的基础，特别针对系统脆弱性问题，简要说明了漏洞的威胁、后果及发现的方法。介绍漏洞扫描技术：端口扫描、Ping扫描、TCP扫描、UDP扫描等。最后介绍几种主流的脆弱性扫描系统产品。19本章小结漏洞是指硬件、软件或策略上存在的的安全缺陷，从而使得作业：三、名词解释风险评估漏洞注入攻击网络扫描四、简答题1．请简述风险评估的目的4．请简要介绍网络扫描的一般过程。20作业：三、名词解释20

系统风险评估与脆弱性分析第8章系统风险评估与脆弱性分析第8章本章要点针对信息系统，特别是网络系统，要先了解系统的安全弱点，才能进行安全加固。本章在系统风险评估的理念指导下，首先解决系统的脆弱性检查，发现问题后再通过后续章节介绍的具体技术解决安全问题。22本章要点针对信息系统，特别是网络系统，要先了解系统的安全弱点一、系统风险评估1、风险评估的概念通过风险评估能够清楚信息系统的安全需求，了解信息系统的脆弱性，从而达到信息安全建设的最终目的——满足信息系统的安全需求和降低信息系统的安全风险。所谓风险评估，就是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。23一、系统风险评估1、风险评估的概念3一、系统风险评估2、风险评估目的和基本要素风险评估的目的（1）了解组织的安全现状（2）分析组织的安全需求（3）建立信息安全管理体系的要求（4）制订安全策略和实施安防措施的依据（5）组织实现信息安全的必要的、重要的步骤风险评估的四大要素（1）资产及其价值（2）威胁（3）脆弱性（4）现有的和计划的控制措施24一、系统风险评估2、风险评估目的和基本要素4一、系统风险评估3、风险评估标准和工具风险评估的标准（1）ISO13335《信息安全管理方针》（2）ISO15408《信息技术安全性通用评估准则》（3）SSE-CMM《系统安全工程成熟度模型》（4）SP800-30《信息系统安全风险管理》（5）ISO27001《信息安全管理体系标准》（6）GB17859《安全保护等级划分准则》风险评估的工具（1）扫描工具（2）入侵检测系统（IDS）（3）渗透性测试工具（4）主机安全性审计工具（5）安全管理评价系统（6）风险综合分析系统（7）评估支撑环境工具25一、系统风险评估3、风险评估标准和工具5一、系统风险评估4、风险评估流程根据风险发生的可能性、风险发生后对系统产生的影响程度，对评估系统的各种对象进行风险程度分析，将系统对象按发生风险的可能性大小、发生风险后对系统造成的影响及危害大小进行评估和组织。风险分析矩阵风险控制流程26一、系统风险评估4、风险评估流程风险分析矩阵风险控制流程二、系统脆弱性分析概述1、脆弱性的概念脆弱性即vulnerability，国内多称“漏洞”，是指硬件、软件或策略上存在的安全缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统。CVE(CommonVulnerabilitiesandExposures)，漏洞标准化组织。对于一个信息系统来说，它的安全性不在于它是否采用了最新的加密算法或最先进的设备，而是由系统本身最薄弱之处，即漏洞所决定的。--信息系统安全“木桶原则”

27二、系统脆弱性分析概述1、脆弱性的概念7二、系统脆弱性分析概述2、漏洞的发现网络的开放性、软件系统的自身缺陷和黑客攻击使得系统的脆弱性充分暴露。2019年安全应急响应小组论坛FIRST的专家指出，每千行程序中至少有一个缺陷。WindowsXP有35万行。CVE(CommonVulnerabilitiesandExposures)，漏洞标准化组织。（/）对于一个信息系统来说，它的安全性不在于它是否采用了最新的加密算法或最先进的设备，而是由系统本身最薄弱之处，即漏洞所决定的。--信息系统安全“木桶原则”SANS(SysAdmin,Audit,Network,Security)的研究报告（）：Windows最关键的十大安全隐患28二、系统脆弱性分析概述2、漏洞的发现8二、系统脆弱性分析概述漏洞的类型（1）管理漏洞（2）软件漏洞（3）结构漏洞（4）信任漏洞漏洞的发现由以下三个组织之一来完成：（1）黑客（2）破译者软件漏洞（3）安全服务商组织管理者需要制定一个从新闻组、邮件列表、Web站点、FTP文档等收集、分析以及抽取漏洞信息的策略，以便获取有用的信息。29二、系统脆弱性分析概述漏洞的类型9二、系统脆弱性分析概述3、漏洞对系统的威胁漏洞对系统的威胁体现在恶意攻击行为对系统的威胁。只有利用硬件、软件和策略上最薄弱的环节，恶意攻击者才可以得手。目前，互联网上已有几万个黑客站点，而且黑客技术不断创新，基本的攻击手法已达上千种。多数情形下，计算机已经被网络入侵者完全控制，且被偷走大量机密资料，而管理员却毫不知情。30二、系统脆弱性分析概述3、漏洞对系统的威胁10二、系统脆弱性分析概述4、系统脆弱性的主要类型漏洞类型多样如DNS与FTP协议的安全性、缓冲区溢出问题、拒绝服务和后门等，通过各种应用软件表现。目前，“应用层的不安全调用”已成为新的关注焦点，而又容易被技术人员忽视。应用层中的漏洞才是最直接、最致命的，因为互联网的应用必须开放端口，这时防火墙等设备已无能为力；网络应用连接着单位的核心数据，漏洞直接威胁着数据库中的数据；内部人员通过内网的应用安全也不受防火墙控制。据OWASP（OpenWebApplicationsSecurityProject，开放网络应用安全计划）相关统计资料显示攻击者利用网站系统的代码漏洞，精心构造攻击代码，完成对网站系统的非法访问或控制，中国、美国、德国和俄罗斯是恶意代码最为活跃的地区。常见的Web应用安全漏洞有：SQL注入（SQLinjection）跨站脚本攻击恶意代码更改cookie输入信息控制缓冲区溢出直接访问浏览。。。。。。31二、系统脆弱性分析概述4、系统脆弱性的主要类型常见的Web应三、脆弱性扫描器的类型和组成1、扫描技术与原理扫描是检测Internet上的计算机当前是否是活动的、提供了什么样的服务，以及更多的相关信息。主要使用的技术有Ping扫描、端口扫描和操作系统识别。扫描技术也是采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。它利用了一系列的脚本模拟对系统进行攻击的行为，并对结果进行分析。这种技术通常被用来进行模拟攻击实验和安全审计。网络安全扫描技术与防火墙、安全监控系统互相配合就能够为网络提供很高的安全性。32三、脆弱性扫描器的类型和组成1、扫描技术与原理12三、脆弱性扫描器的类型和组成1、扫描技术与原理网络安全扫描一般分三个阶段：第1阶段：发现目标主机或网络。第2阶段：发现目标后进一步搜集目标信息，包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络，还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息。第3阶段：根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞。扫描技术主要包括：PING扫射（Pingsweep）操作系统探测（Operatingsystemidentification）访问控制规则探测（firewalking）端口扫描（Portscan）漏洞扫描（vulnerabilityscan）这些技术在网络安全扫描的3个阶段中各有体现。33三、脆弱性扫描器的类型和组成1、扫描技术与原理13三、脆弱性扫描器的类型和组成2、扫描器的类型分主机扫描器和网络扫描器两大类。主机扫描器又称本地扫描器，与待检查系统运行于同一节点，执行对自身的检查。它的主要功能为分析各种系统文件内容，查找可能存在的对系统安全造成威胁的漏洞或配置错误。网络扫描器又称远程扫描器，一般它和待检查系统运行于不同的节点上，通过网络远程探测目标节点，检查安全漏洞。远程扫描器检查网络和分布式系统的安全漏洞。与主机扫描器的扫描方法不同，网络扫描器通过执行一整套综合的扫描方法集，发送精心构造的数据包来检测目标系统是否存在安全隐患。34三、脆弱性扫描器的类型和组成2、扫描器的类型14三、脆弱性扫描器的类型和组成3、扫描器的组成一般说来，扫描器由以下几个模块组成：用户界面、扫描引擎、扫描方法集、漏洞数据库、扫描输出报告等。扫描器的关键是要有一个组织良好的漏洞数据库和相应的扫描方法集。漏洞库是核心，一般含漏洞编号、分类、受影响系统、漏洞描述、修补方法等内容。扫描方法集则要根据漏洞描述内容，提取出漏洞的主要特征，进一步转化出检测出这个漏洞的方法，这是一个技术实现的过程。整个扫描过程由用户界面驱动。35三、脆弱性扫描器的类型和组成3、扫描器的组成15四、脆弱性检测评估工具借助一些工具软件来帮助分析当前系统存在的安全漏洞，以便及时地发现漏洞的存在，及时下载安全补丁。这些工具也常被攻击者所利用，使用时可能存在着一些风险。微软基准安全分析器（MicrosoftBaselineSecurityAnal