基于安全风险评估的自动化漏洞分析方法研究.pdfVIP

基于安全风险评估的自动化漏洞分析方法研究 李慧 (中国移动通信集团辽宁有限公司110179) 摘 要 通过构建基于安全风险评估的自动化漏洞分析平台，对各种类型的业务系统 和设备进行漏洞预警、漏洞检测、风险管理、漏洞修复进行全方位的管理。进行系统安全 项配置核查、安全域划分、系统漏洞及存在的安全威胁等问题深入跟踪和分析，并对安全 风险进行安全评估。本研究创新使用基于用户行为模式的管理架构，使用高效、智能的漏 洞识别技术，使用Web应用扫描模块，实现漏洞和安全风险的多维度、细粒度的统计分 析。最大程度地保证业务支撑系统信息安全，提升安全管理水平和安全防范能力。 关键词 安全风险评估；漏洞分析 1 背景 业务支撑系统是移动核心生产系统，是其业务正常营运、发展的重要保证。随着时 代的发展，业务支撑网中各系统也发生着一些变化，随着合作伙伴不断扩大，网络开放 性越来越强，业务支撑系统其所受到攻击的途径、方式也越来越多；随着通信技术与IT 技术的不断融合，系统的复杂性增加，所面临的风险也越来越大；并且增值业务所占业 务比例不断扩大，增值业务大多依赖IT技术提供，并且还与众多合作伙伴网络相连，客 户还可以使用多种终端(如计算机、手机等)、多种途径进行访问。运营商从仅提供逻辑 通信信道开始向用户提供各种信息服务。随着黑客知识、技术、工具的不断泛滥，以及 许多IT技术存在的可被利用的脆弱性，信息安全形势日益严峻，如何有效地保障网络信 息系统的安全、保障业务的连续性已成为各个运营商期待解决的问题。 通过对业务支撑系统全网资产信息及网络架构进行梳理分析，统计表明，19．4％的攻 击来自于利用管理配置错误，而利用已知的一个系统漏洞入侵成功的占到了15．3％。上述 各业务系统都具有独立的安全管理机制和安全项配置，而全省各类管理员只有5名，随着 系统规模的不断扩大及用户数量的增加，人工进行设备漏洞的排查这种传统管理方式处 理效率低，容易产生遗漏从而为系统埋下安全隐患。此外，由于缺乏有效的技术手段， 各设备的安全策略无法有效地按照管理规定进行落实，容易导致用户机密信息泄露、黑 客攻击、蠕虫病毒传播等安全事件频发，对内网安全提出新的挑战。为充分了解业务支 撑系统安全现状，及时发现业务系统中存在的安全威胁，本研究中建设基于安全风险评 估的自动化漏洞分析平台，来确保完成业务系统的安全评估和加固，从而较好的控制安 全风险，解决现存的安全问题。 2 自动化漏洞分析平台 基于安全风险评估的自动化漏洞分析平台采用高效、智能的漏洞识别技术，第一时 间主动对网络中的资产进行细致深入的漏洞检测、分析，并提出专业、有效的漏洞防护 整改建议。该平台(图1)基于Web的管理方式，用户使用浏览器通过SSL力I密通道和系 统Web界面模块进行交互，平台内部采用模块化设计。 需一嘲 图1 基于自动化安全风险评估的漏洞分析平台整体架构图 自动化漏洞分析平台主要对业务系统当前安全措施、安全域划分情况、现有网络、 设备及系统中存在的安全威胁等问题进行跟踪和分析，对评估范围内的主机和网络设备 进行安全评估，检测当前主机、网络设备中存在的漏洞，发现网络系统中的薄弱环节， 进行网络及漏洞整改、系统安全加固，最大程度地保证网络安全，使业务系统的安全管 理水平和安全防范能力得到提升。 3多系统间协同技术整合通道 平台基于“漏洞管理”工作流程，把漏洞管理的循环过程划分为漏洞预警、漏洞检 测、风险管理、漏洞修复、漏洞审计五个阶段。 3．1漏洞预警 平台能够提供对系统漏洞发现、验证和提供应急响应服务的能力，对重要漏洞进行 及时预警，对发现的网络资产的安全漏洞进行详细分析并采用权威的风险评估模型将风 险量化，并给出具体解决方案。 3．2漏洞检测 依靠强劲的底层扫描引擎，通过信息重整化技术、开放端口服务的智能识别、检测 规则依赖关系的自动扫描等技术的运用，再加上准确的漏洞检测规则，平台拥有较高的 准确性、扫描速度和覆盖度。 14 3．3风险管理 平台采用“风险管理”模块对网络风险进行全方位管理和分析，管理员通过此模块 可以对所有信息资产设备进行资产风险管理。对大规模网络用户，网络资产繁多，IP地 址记忆非常繁琐，通过资产管理与用户组织结构或网络拓扑结构的紧密结合，以规范的 命名方式统一对网络资产进行管理。风