信息系统基础安全加固体系研究.pdf

信息系统基础安全加固体系研究 文 I【中国农业银行数据中心(北京)温景容 李景刚 秦玮 ，J一息技术的发展改变了人们的生活 ，也改变着银 装代理程序，部署过程较为复杂 ，不适合网络复杂的 I口 行业的发展，银行的信息系统承载了大量的数 大型商业银行。 据信息，在给客户和员工带来便捷的同时也带来了信 基于网络的漏洞扫描则是通过网络远程检测 目标 息安全隐患。层出不穷的Struct2漏洞、0penSSL 网络或主机系统中的安全漏洞 。这种方式所获取的漏 心脏滴血漏洞、Java反序列化漏洞等都给传统安全防 洞信息不如基于主机的漏洞扫描全面 ，但由于其实现 护拉响了警钟 ，冲击着银行业的信息安全防线。 简单，可以实现远程检测，是目前最常用的漏洞扫描 技术，也是黑客最常使用的攻击手段。 信息系统基础安全加固技术分析 流程上来看 ，漏洞扫描工具首先发送一系列探测 1．漏洞扫描技术。漏洞扫描主要通过扫描工具进 包，探测 目标主机的存活性、开放端口、开启服务等 ； 行，从技术方式上可以分为基于主机的漏洞扫描和基 利用回送的响应包，根据协议指纹技术识别主机的操 于网络的漏洞扫描。 作系统和软件版本 ；针对 目标系统和软件调用漏洞特 基于主机的漏洞扫描是通过在主机上安装代理程 征库 ，发送漏洞检测数据包，对已知的各种漏洞进行 序 ，对主机的系统配置、漏洞特征、版本信息等信息 逐一检测 ；通过收到的响应数据包分析判断目标系统 进行扫描和搜集，然后和标准的漏洞特征库进行比较， 是否存在安全漏洞或其他脆弱性 ，如通过 SMB协议 图 1 信息 获得主机的漏洞信息和安全隐患。这种方式可以较准 系统 基 础 漏洞或暴力破解的方式检测到弱口令等。 安全 加 固 确地获得主机漏洞信息 ，但由于需要在每台主机上安 整体方案 基于网络的漏洞扫描需要注意两个问题 ：一是 如何隐藏发送探测包的攻击属性，因为漏扫工具会 向目标系统发送大量的探测包 ，容易被 目标系统或 网络 中的安全设备当做网络攻击而 阻断，所以具体 实施时需要对探测包的攻击属性进行隐藏 ，或在安 全设备中对漏洞扫描工具进行例外 ；二是漏洞特征 库的完整性和有效性 ，由于漏洞扫描是采用基于模 式特征 匹配的方式 ，所以漏洞库的质量直接影响着 漏洞扫描的效果 。 2．安全基线核查技术。安全基线核查要首先制定 各类操作系统、网络设备、Web服务中间件系统、数 据库等这些系统和设备最基本的统一安全配置要求 ，