信息系统应用脆弱性检测研究资料.pdfVIP

信息系统应用脆弱性检测研究1 孙婷婷，孙其博 北京邮电大学计算机科学与技术系，北京(100876) E-mail：sunting_111@163.com 摘 要：本文给出了信息系统脆弱性分类中应用脆弱性检测的一些指导方法，适用于信息系 统安全风险评估中的应用脆弱性检测与识别工作。本文主体分为两部分：应用脆弱性检测研 究方法和具体应用脆弱性检测的方法。在具体应用脆弱性检测部分，针对Web 应用服务风 险、FTP 服务风险、电子邮件服务风险、远程信息服务风险、远程维护服务风险、Windows 网络服务风险、Unix RPC 服务风险、OSA 应用风险、SIP 应用风险、Camel 服务环境的应 用风险和应用程序风险这几个方面展开。 关键词：信息系统，脆弱性，风险评估，脆弱性检测 中图分类号：TP393 1. 引 言 脆弱性检测是信息安全风险评估的重点。脆弱性检测一般以信息系统脆弱性的分类为切 入点，以脆弱性特征库的建立为工作的重点，以确定脆弱性采集方案为最终目标。脆弱性的 分类方法为特征库中的脆弱性提供了组织形式，特征库中包含的脆弱性的粒度将决定脆弱性 的采集方案[1] 。 在国际标准化组织(ISO)所制定的第 13335 号信息安全管理指南中，将脆弱性检测从资 产的角度进行分类，提出了物理层面、人员、管理等重要概念。在国家标准《信息安全风险 评估指南》中，明确将脆弱性分成物理、网络、系统、应用与管理五大方面，并提出从这五 个方面来识别脆弱性。本文对信息系统的应用脆弱性检测的方法进行研究，提出了应用脆弱 性检测的一些指导方法。 2. 应用脆弱性检测研究方法 由于应用的实现和使用都牵涉多个方面，因此脆弱性检测要考虑很多方面。应用服务种 类繁多，围绕应用脆弱性检测的研究工作分为以下几个方面[3] ： 2.1 基于已知脆弱性检测及局部分析方法 SATAN 是最早的网络脆弱性分析工具，也是该类研究的代表，由网络安全专家 Dan Farmer 和 Wietse Venema 研制，其基本的设计思路是模拟攻击者来尝试进入自己防守的系 统，SATAN 具有一种扩充性好的框架，只要掌握了扩充规则，就可以把自己的检测程序和 检测规则加入到这个框架中去，使它成为 SATAN 的一个有机成分。 正因为如此，当 SATAN 的作者放弃继续开发新版本之后，它能被别的程序员接手过去， 从魔鬼（SATAN）一跃变成了圣者（SAINT ）。SAINT 与 SATAN 相比，增加了许多新的 检测方法，但丝毫没有改变 SATAN 的体系结构。SATAN 系统只能运行在 Unix 系统上， 远程用户无法使用 SATAN 检测。SAINT 解决了 SATAN 远程用户问题，但是 SATAN 和 SAINT 都无法对一些远程主机的本地脆弱性进行采集，而且两者的脆弱信息分析方法停留 在低级别上，只能处理原始的脆弱信息。 1本课题得到国家高技术研究发展计划（863 计划）项目“面向下一代电信网的安全测试评估技术及工具” （课题编号：2006AA01Z448）的资助。 - 1 - Nessus 是一款免费、开放源代码和最新的网络脆弱性分析工具，可运行在 Linux 、BSD 、 Solaris 和其他平台上，实现多线程和插件功能，提供 GTK 界面，目前可检查多种远程安全 漏洞。但是，Nessus 只能从远程进行扫描获取脆弱性。许多脆弱性是本地的，不能通过网 络检测到或被利用，例如收集主机配置信息，信任关系和组的信息难以远程获取。 2.2 基于安全属性形式规范脆弱性检测方法 自动和系统地进行脆弱性分析是目前的研究重点，C.R.Ramakri-shnan 和 R.Sekar 提出了 一种基于模型的配置脆弱性分析方法，其基本原理是：首先以形式来规范目标的安全属性， 例如，普通用户不能够重写系统日志子文件；其次建立系统抽象模型描述安全相关行为，抽 象模型由系统的组件模型来组成，例如，文件系统、特权