今日頭條
官方微信
官方抖音
案例頻道1 引言
計算機網絡的出現使得獨立的計算機能夠相互進行通信,提高了工作效率。然而,人們在享受網絡帶來的種種方便、快捷服務的同時,也不得不面臨來自網絡的種種威脅――黑客入侵、計算機病毒和拒絕服務攻擊等等。由于網絡安全問題所產生的損失、影響不斷加劇,網絡安全問題越來越受到人們的普遍關注,它已經成為影響信息技術發展的重要因素。然而,傳統的采用一些安全防護措施,并以某個問題的暫時解決為過程結束標志的系統安全建設已經遠不能適應現代網絡安全防護的發展要求。這種模式往往缺少系統的考慮,就事論事,帶有很大盲目性,經常是花費不少、收效甚微,造成資金、人員的巨大浪費。
計算機網絡安全問題單憑技術是無法得到徹底解決的,它的解決涉及到政策法規、管理、標準、技術等方方面面,任何單一層次上的安全措施都不可能提供真正的全方位的安全,網絡安全問題的解決更應該站在系統工程的角度來考慮。在這項系統工程中,網絡安全評估占有重要的地位,它是網絡安全的基礎和前提。本文就計算機網絡安全評估技術進行一些初步研究。
2 計算機網絡安全評估技術
2.1 網絡安全評估技術概述
網絡安全評估也就是網絡風險評估,是指對網絡信息和網絡信息處理設施的威脅、影響和薄弱點及三者發生的可能性的評估。它是確認安全風險及其大小的過程,即利用適當的風險評估工具,包括定性和定量的方法,確定網絡信息資產的風險等級和優先風險控制順序。
網絡安全評估是網絡信息安全管理體系的基礎,是對現有網絡的安全性進行分析的第一手資料,也是網絡安全領域內最重要的內容之一,它為降低網絡的風險,實施風險管理及風險控制提供了直接的依據。
網絡安全評估技術包括安全掃描和之后的評估兩部分,它能夠檢測遠程或本地系統的安全脆弱性,并據此對系統總體的安全性進行評估。此技術把極為煩瑣的安全檢測,通過程序來自動完成,這不僅減輕了管理者的工作,而且縮短了檢測時間,使問題發現的更快。總之,安全評估技術可以快速、深入地對網絡或本地主機進行漏洞測試,并給出格式統一、容易參考和分析的測試、評估報告。
2.2 網絡安全評估技術原理
網絡安全評估包括兩部分,一部分是漏洞掃描,另一部分是安全評估。
安全掃描是自動探測遠程主機或本地主機安全脆弱性的技術,它一般采用兩種工作方式來收集目標主機的信息:一種是網絡掃描,也稱為外部掃描,它從外部通過一定的方式查詢網絡服務端口,根據其反饋信息來探測;另一種是主機掃描,也稱為內部掃描,它從內部收集本地主機的軟件的安裝與配置信息,然后將收集到的信息與已知的安全漏洞相比較,如果匹配,則找出了其中存在的安全隱患[1]。
目前安全掃描主要涉及的檢測技術有:
(1)基于應用的檢測技術,它采用被動的,非破壞性的辦法檢查應用軟件包的設置,發現安全漏洞。
(2)基于主機的檢測技術,它采用被動的,非破壞性的辦法對系統進行檢測。
(3)基于目標的漏洞檢測技術,它采用被動的,非破壞性的辦法檢查系統屬性和文件屬性,如數據庫,注冊號等。
(4)基于網絡的檢測技術,它采用積極的,非破壞性的辦法來檢驗系統是否有可能被攻擊崩潰。
安全評估就是根據漏洞掃描部分的結果,按照評估標準,采取一定的評估方法,對系統進行評估,最后給出一個評估的結果。
2.3 網絡安全評估技術的發展狀況
計算機網絡系統的安全評估最初是由入侵技術發展而來,日前仍是一個新興的研究領域。在對系統進行安全評估的初期,主要是通過從實際使用中總結經驗,然后用這些經驗去檢驗更多的計算機系統。這實際上是一個規則提取到規則匹配的過程,因此研究的重點也就在于如何產生更準確的規則和更完備的規則集[2]。
計算機網絡系統的安全評估技術經歷了從手動評估到自動評估的階段,目前正在由局部評估向整體評估發展,由基于規則的評估方法向基于模型的評估方法發展,由單機評估向分布式評估發展。
今后的發展趨勢有以下幾點:
(1)使用插件或者叫做功能模塊技術。每個插件都封裝一個或者多個漏洞的測試手段,主掃描程序通過調用插件的方法來執行掃描。
(2)使用專用腳本語言。這其實就是一種更高級的插件技術,用戶可以使用專用腳本語言來擴充軟件功能。
(3)由安全掃描程序到安全評估專家系統。
2.4 網絡安全評估技術的方法
網絡安全評估其實是解決兩類問題:一是檢驗系統是否存在己有的滲透變遷,一是發現新的未曾報告過的滲透變遷或者變遷序列。對于第一類問題,解決辦法通常是使用規則匹配。對于第二類問題,則使用模型分析的方法更為有利。因此安全評估方法可以分為兩類:基于規則的安全評估和基于模型的安全評估[3]。
基于規則的方法是從已知的案例中抽取特征,并歸納成規則表達,將目標系統與已有規則一一匹配。其關鍵之處在于規則的生成。對于單個的系統組件,生成規則可能并不困難,通常就是組件測試結果。然而在一個錯綜復雜的系統中,規則的生成需要專家對大量系統組件的交互關系有相當了解,而且事實上,即使專家也很難總結出所有漏洞的規則。因此,基于規則的方法主要適用于局部檢測,但對于整體檢測就有些力不從心。現有的安全評估工具,無論是基于主機的或者基于網絡的工具,絕大多數都是基于規則的。它們都擁有一個“插件庫”,每個插件定義一個規則,只能搜集一個已知類型的信息,或者檢查一個已知類型的漏洞。
網絡安全掃描技術就是一種基于規則的計算機主機安全評估方法,其中使用的技術幾乎全部是基于規則的。一次完整的網絡安全掃描主要分為目標發現、信息攫取和漏洞檢測三個階段。在目標發現階段,掃描者通過發送不同類型的TCP/UDP/ICMP請求,從多種不同的方面檢測目標主機是否存活。這一階段的規則生成源自網絡上計算機對不同網絡協議數據的不同響應。在信息攫取階段,用到的技術主要是端口掃描和操作系統探測。端口掃描技術包括TCP connect掃描、TCP SYN掃描、TCP ACK掃描、TCP FIN掃描、XMAS掃描、NULL掃描、RESET掃描、FTP彈射掃描、UDP掃描、域查詢應答等[4],其規則的生成源自網絡協議中對不同協議數據的響應進行的規定。在漏洞檢測階段,主要使用直接測試、推斷和帶憑證的測試。這三種方法檢驗系統是否存在己知的漏洞。這也是網絡安全掃描最重要的一個階段。這個階段規則的生成主要源自軟件測試的結果,規則可能是具體的滲透方法,也可能是能夠被滲透的系統的某些特征信息。
網絡安全掃描技術基于規則的特點決定了它只能對網絡上單個的計算機主機進行安全評估。要對整個計算機網絡進行有效的安全評估,最終必然使用基于模型的評估技術。
基于模型的方法為整個系統建立模型,通過模型可獲得系統所有可能的行為和狀態,利用模型分析工具產生測試例,對系統整體的安全進行評估。這種方法的優點在于,模型的建立比規則的抽取簡單,而且能夠發現未知的攻擊模式和系統脆弱性,因而特別適合于對系統進行整體評估。基于模型的方法關鍵之處在于模型的建立。模型如果太簡單,沒有描述清楚系統可能的行為,則可能導致評估結果不全面。相反,模型如果太復雜,又可能導致評估不可進行。但不管使用何種方法建立何種模型,建模之前都必須首先使用工具對單個系統組件進行檢測,獲得單個組件的相關信息,這樣才能夠使建立的系統模型更準確。因此,基于模型的安全評估步驟通常是先進行局部評估,再利用模型分析工具和方法進行整體評估。
2.5 安全評估技術的標準
自1967年美國國防科學委員會提出計算機安全保護問題后,1970年美國國防部(DOD)在國家安全局(NSA)建立了一個計算機安全評估中心(NCSC)開始從事計算機安全評估的研究。1983年底,美國國防部發布了《可信計算機系統評估標準(Trusted Computer System Evaluation Criteria)》縮寫為TCSEC,即所謂的桔皮書、黃皮書和綠皮書。其中桔皮書是國防部“可信計算機系統安全標準”,黃皮書是“特殊環境下應用桔皮書標準”;紅皮書是“可信網絡安全評估標準”,即對桔皮書在網絡安全評估方面應用的解釋和說明;綠皮書是關于口令管理的標準。
1991年6月歐共體發布了《信息技術安全評估標準(Information Technology Security Evaluation Criteria)》簡稱ITSEC 。ITSEC是在法、荷、德、英四國各自的安全評估標準的基礎上改進而成,又稱歐洲白皮書。該標準首次對信息安全要求進行定義和描述,用于評估信息系統的安全等級。除吸收、參考了TCSEC的成功經驗外,還首次提出了信息安全的保密性、完整性和可行性三要素,不僅成為歐共體信息安全計劃的基礎,而且對國際信息安全領域產生了方向性的影響。
我國在信息安全評估標準制定工作中,雖然基礎較弱,起步較晚,但十分重視。以科學的態度,高起點、高水平向國際標準看齊。信息技術安全產品評估的基礎依據是國家標準《信息技術安全性評估準則》( GB/T 18336 ),該標準等同于國際標準ISO/IEC 15408,即Common Criteria (CC )。
3 結束語
網絡安全評估作為網絡信息系統安全工程重要組成部分,已經成為關系到國民經濟的每一方面的重大問題,它將逐漸走上規范化和法制化的軌道上來,國家對各種配套的安全標準和法規的制定將會更加健全,評估模型、評估方法、評估工具的研究、開發將更加活躍,網絡信息系統及相關產品的安全評估認證將成為必需環節[5]。
參考文獻:
[1] 閆強,陳鐘等.信息安全評估標準、技術及其進展.計算機工程.2003(4)
[2] Mingo Kim. Application of Computational Intelligence to Power System Vulnerability Assessment and Adaptive Protection Using High-speed Communication. University of Washington.2002
[3]邢栩嘉,林闖等.計算機系統脆弱性評估研究.計算機學報.2004(1)
[4]單國棟,戴英俠等.計算機漏洞分類研究.計算機工程.2002(10)
[5]馮登國,張陽等.信息安全風險評估綜述.通信學報.2004(7)
[6]陳秀真,鄭慶華等.網絡化系統安全態勢評估的研究.西安交通大學學報.2004(4)
北京市公安局海淀分局備案號:11010802023656號