|
|
一、网络安全漏洞概述
1、网络安全漏洞概念
网络安全漏洞=脆弱性=漏洞=安全隐患
是致使网络信息系统安全策略相冲突的缺陷(安全隐患)
影响:机密性受损、完整性破坏、可用性降低、抗抵赖性缺失、可控制性下降、真实性不保
根据漏洞补丁状况,漏洞分为:
- 普通漏洞:信息已广泛公开,安全厂商已有解决修补方案
- 零日漏洞 zero-day vulnerability:系统/软件中新发现的、尚未提供补丁的漏洞。通常被用来实施定向攻击Targeted Attacks
2、网络安全漏洞威胁
基于漏洞的安全威胁:敏感信息泄露、非授权访问、身份假冒、拒绝服务
解决:漏洞检测、漏洞修补、漏洞预防
3、网络安全漏洞问题现状
人工智能、区块链、SG等新领域的漏洞问题将成为研究重点和热点
正向智能化方向发展,正开展基于机器学习和大数据来分析网络信息系统安全漏洞的研究
漏洞分析、管理包括:漏洞信息搜集分析和网络安全威胁情报服务、漏洞度量、基于漏洞的攻击图自动化生成、漏洞利用自动化、漏洞发现
网络安全漏洞=国家安全战略资源:国家信息安全漏洞库CNNVD、国家信息安全漏洞共享平台CNVD
CNNVD=China National Vulnerability Database of Information Security
CNVD=China National Vulnerability Database
二、网络安全漏洞分类与管理
☆1、网络安全漏洞来源
1、非技术性安全漏洞的主要来源:【管理】管理组织结构、管理制度、管理流程、人员管理
- 网络安全责任主体不明确
- 网络安全策略不完备
- 网络安全操作技能不足
- 网络安全监督缺失
- 网络安全特权控制不完备
2、技术性安全漏洞的主要来源:网络结构、通信协议、设备、软件产品、系统配置、应用系统
- 设计错误
- 输入验证错误(:未验证)
- 缓冲区溢出
- 意外情况处置错误(无容错机制)
- 访问验证错误
- 配置错误
- 竞争条件
- 环境错误
2、网络安全漏洞分类
1、CVE漏洞分类:
Common Vulnerabilities & Exposures=通用漏洞披露
给出已公开的安全漏洞的统一标识和规范化描述,便于共享漏洞数据
2、CVSS漏洞分级标准:
Common Vulnerability Scoring System=通用漏洞评分系统
分数计算依据:基本度量计分、时序度量计分、环境度量计分
3、我国信息安全漏洞分类
国家信息安全漏洞库CNNVD漏洞分类分级标准
国家信息安全漏洞共享平台CNVD漏洞分类分级标准
CNNVD=China National Vulnerability Database of Information Security=国家信息安全漏洞库
CNVD=China National Vulnerability Database =国家信息安全漏洞共享平台
CNVD根据行业划分漏洞:行业、应用漏洞,分级:高、中、低
4、OWASP TOP 10 漏洞分类
OWASP=Open Web Application Security Project=开放式Web应用程序安全项目
OWASP组织发布有关Web应用程序的前十种安全漏洞
3、网络安全漏洞发布
向公众、用户公开漏洞信息的方法
来源:软硬件开发商、安全组织、黑客、用户
形式:网站、电子邮件、安全论坛
4、网络安全漏洞信息获取
来源:网络安全应急响应机构、网络安全厂商、IT产品/系统提供商、网络安全组织
组织:CERT、CNNVD、CNVD
1、CERT=Computer Emergency Response Team=计算机安全应急响应组=提供入侵事件响应与处理
2、Security Focus Vulnerability Database=漏洞信息库
3、国家信息安全漏洞库CNNVD=中国信息安全测评中心
4、国家信息安全漏洞共享平台CNVD
5、厂商漏洞信息
☆5、网络安全漏洞管理过程
网络安全漏洞管理是把握网络信息系统安全态势的关键,是实施网络信息安全管理从被动向主动转变的标志性行动
1、网络信息系统资产确认
2、网络安全漏洞信息采集
3、网络安全漏洞评估
4、网络安全漏洞消除和控制
5、网络安全漏洞变化跟踪
☆三、网络安全漏洞扫描技术与应用
1、网络安全漏洞扫描
是检测系统中漏洞的技术,是具有漏洞扫描功能的软件/设备,=漏洞扫描器
可远程,可本地
☆漏洞扫描器功能模块:
- 用户界面:接受、处理用户输入,定制扫描策略,开始、终止扫描操作,分析扫描结果报告,显示系统扫描器工作状态
- 扫描引擎:响应处理用户界面操作指令,读取扫描策略、执行扫描任务,保存扫描结果
- 漏洞扫描结果分析:读取扫描件结果信息,形成扫描报告
- 漏洞信息及配置参数库:保存、管理网络安全漏洞信息,配置扫描策略,提供安全漏洞相关数据查询、管理功能
☆分类:
1、主机漏洞扫描
不需建立网络连接
检查本地系统中的关键性文件的内容及安全属性
与目标系统在同一主机上,只能进行单机检测
2、网络漏洞扫描
需建立网络连接
远程检查,∵没有目标系统的本地访问权限,只能获得信息,能力受限于各种网络服务中的漏洞检查
3、专用漏洞扫描器
针对特定系统:数据库、网络设备、Web、工控 漏洞扫描器
2、网络安全漏洞扫描应用
常用于网络信息系统安全检查和风险评估
根据结果,对扫描对象及相关业务开展网络安全风险评估
☆四、网络安全漏洞处置技术与应用
处置→解决漏洞
1、网络安全漏洞发现技术
及早发现、利用
依赖于:人工安全性分析、工具自动化检测、人工智能服务分析
方法:【匹配】将已发现的安全漏洞进行总结,形成一个漏洞特征库,利用该漏洞库,通过人工安全分析/程序智能化识别
2、网络安全漏洞修补技术
补丁管理环节:现状分析、补丁跟踪、补丁验证、补丁安装、应急处理、补丁检查(+循环往复)
3、网络安全漏洞利用防范技术
针对漏洞触发利用的条件进行干扰/拦截
☆1、地址空间随机化技术=Address Space Layout Randomization=ASLR
缓冲区溢出攻击:利用缓冲区溢出漏洞进行的攻击行为,以shellcode地址覆盖程序原有的返回地址
ASLR通过对程序加载到内存的地址进行随机化处理,使攻击者不能事先确定程序的返回地址值,降低攻击成功的概率
2、数据执行阻正=Data Execution Prevention=DEP
操作系统通过对特定的内存区域标注为非执行,使代码不能在指定的内存区域运行。能有效保护应用程序的堆栈区域,以防被利用
3、SEHOP=Structured Exception Handler Overwrite Protection=结构化异常处理覆盖保护
防止攻击者利用SEH(=Structured Exception Handling=结构化异常处理=栈溢出)重写
4、堆栈保护
通过设置堆栈完整性标记以检测函数调用返回地址是否被篡改,从而阻止攻击者利用缓冲区漏洞
5、虚拟补丁
对尚未进行漏洞永久补丁修复的目标系统程序,在不修改可执行程序的前提下,检测进入目标系统的网络流量二过滤掉漏洞攻击数据包
五、网络安全漏洞防护主要产品与技术指标
1、网络安全漏洞扫描器
利用已公开的漏送信息+特征,通过程序对目标系统进行自动化分析,确认目标系统是否存在相应的安全漏洞
技术指标:
- 漏洞扫描主机数量
- 漏洞扫描并发数
- 漏洞扫描速度
- 漏洞检测能力
- 数据库漏洞检查功能
- Web应用漏洞检查功能
- 口令检查功能
- 标准兼容性
- 部署环境难易程度
2、网络安全漏洞服务平台
3、网络安全漏洞防护网关
从网络流量中提取、识别漏洞利用特征模式,阻止攻击者对目标系统的漏洞利用
产品形式:IPS、Web防火墙(WAF)、统一威胁管理(UTM)
技术指标:
- 阻断安全漏洞攻击的种类与数量
- 阻断安全漏洞攻击的准确率
- 阻断安全漏洞攻击的性能
- 支持网络带宽的能力
|
|
发表于 2023-1-8 14:02:05