第8章漏洞评估产品概述.pptVIP

第 8章 漏洞评估产品 本章概要 8.1 漏洞评估的概念 a.预知性：网络安全扫描具备可以根据完整的安全漏洞集合，进行全盘检测的功能；而这些安全漏洞集合也正是导致网络遭受破坏的主要因素。因此，网络安全扫描可以在网络骇客动作之前，协助管理者及早发现网络上可能存在的安全漏洞。通过漏洞评估，网络管理人员能提前发现网络系统的弱点和漏洞，防患于未然。 b.重点防护：漏洞和风险评估工具，用于发现、发掘和报告网络安全漏洞。一个出色的风险管理系统不仅能够检测和报告漏洞，而且还能证明漏洞发生在什么地方以及发生的原因。它就像一个老虎队一样质询网络和系统，在系统间分享信息并继续探测各种漏洞直到发现所有的安全漏洞。还可以通过发掘漏洞以提供更高的可信度以确保被检测出的漏洞是真正的漏洞。这就使得风险分析更加精确，并确保管理员可以把风险程度最高的漏洞放在优先考虑的位置。 正是由于该技术可预知主体受攻击的可能性，以及能够指证将要发生的行为和产生的后果，因而受到网络安全业界的重视。这一技术的应用可帮助识别检测对象的系统资源，分析这一资源被攻击的可能指数，了解支撑系统本身的脆弱性，评估所有存在的安全风险。 8.2漏洞评估产品的分类 从Internet端扫描速度较慢，所以可以把扫描器放在防火墙之前去做扫描，由得出的报告了解防火墙帮企业把关了多少非法封包，也可以由此知道防火墙设定的是否良好。通常，即使有防火墙把关，还是可以扫描出不少的漏洞，因为除了人为设定的疏失外，最重要的是防火墙还是会打开一些特定的端口，让封包流进来HTTP、FTP等，而这些都是防火墙所允许的应用与服务，所以还必须由入侵侦测系统来把关。 还可以在DMZ区及企业内部去做扫描，以了解在没有防火墙把关下，主机的漏洞有多少？因为企业内部的人员也可能是黑客，而且更容易得逞。同样，除了用扫描去减少自己企业内部主机的漏洞外，还可以在企业内部装置入侵检测系统帮助企业对内部进行监控，因此可以知道安全漏洞扫描器和入侵检测系统是相辅相成的。 网络型安全漏洞扫描器的功能： a. 服务扫描监测：提供well－knownportservice的扫描监测及well－knownport以外的ports扫描监测。 b. 后门程序扫描监测：提供NetBus、Backorifice、BackOrifice2000(BackdoorBo2k)等远程控制程序(后门程序)的扫描监测。 c. 密码破解扫描监测：提供密码破解的扫描功能，包括操作系统及程序密码破解扫描，如FTP、POP3、Telnet......。 d. 应用程序扫描监测：提供已知的破解程序执行扫描侦测，包括CGI－BIN、WebServer漏洞、FTPServer等的扫描监测。 e. 阻断服务扫描测试：提供阻断服务(DenialOfService)的扫描攻击测试。 f. 系统安全扫描监测：如NT的Registry、NTGroups、NTNetworking、NTUser、NTPasswords、DCOM(DistributedComponentObjectModel)、安全扫描监测。 g. 分析报表：产生分析报表，并告诉管理者如何去修补漏洞。 h. 安全知识库的更新：所谓安全知识库就是黑客入侵手法的知识库，必须时常更新，才能落实扫描。 主机型安全漏洞评估产品 主机型安全漏洞扫描器最主要是针对操作系统的漏洞做更深入的扫描，比如Unix、NT、Linux等系统，它可弥补网络型安全漏洞扫描器只从外面通过网络检查系统安全的不足。一般采用Client/Server的架构。具体可归结为以下几个方面： a. 重要资料锁定：利用安全的Checksum(SHA－I)来监控重要资料或程序的完整性及真实性，如Index.html档。 b. 密码检测：采用结合系统信息、字典和词汇组合的规则来检测易猜的密码。 c. 系统日志文件和文字文件分析：能够针对系统日志文件，如Unix的syslogs，NT的事件检视(eventlog)，及其他文字文件(Textfiles)的内容做分析。 d. 动态式的警讯：当遇到违反扫描政策或安全弱点时提供实时警讯并利用email、SNMPtraps、呼叫应用程序等方式报告给管理者。