远程漏洞评估方法和设计.docVIP

远程漏洞评估方法和设计 　　摘要：随着新型漏洞和攻击的不断增长，信息安全面临严峻挑战。在安全工作中，还在采用邮件、短信、通知等方式对下属单位进行漏洞和威胁情报通报，这对于信息系统安全防护是一个极大的安全隐患。漏洞评估验证分析技术及管理方法的引入，对于提升信息系统安全水平具有重要意义。 　　【关键词】信息安全漏洞 远程漏洞评估 漏洞模型POC 　　开展漏洞评估验证技术及管理方法的应用研究，从漏洞追踪、验证、预警、通报、响应、复核等多个方而，研究威胁管理，实现漏洞全周期管理，实时跟踪追溯各单位漏洞响应情况，在信息安全工作范围内，形成有效的联动防御平台。 　　1 国内外发展现状 　　随着新型漏洞和攻击的不断增长，信息安全而临严峻挑战。在信息安全工作中，还在采用邮件、短信、通知等方式对下属单位进行漏洞和威胁情报通报。但从近两年信息安全形势来看，各种漏洞频发，通报各单位响应时问周期较长，然而黑客利用漏洞的技术越来越成熟，时问短攻击快，利用通报过程中的时问窗口进行快速攻击，可造成不可估量的损失。并且下属单位由于技术力量薄弱等原因，不能及时、准确地对漏洞进行分析、验证和管理，导致黑客可以利用漏洞进行攻击等。这对于信息系统安全防护是一个极大的安全隐患。漏洞评估验证分析技术及管理方法的引入，对于提升信息系统安全水平具有重要意义。 　　2 漏洞评估验证模型 　　2.1 漏洞评估验证模型的设计思路 　　在设计漏洞评估验证模型之前，需要先了解安全漏洞的生命周期，一个典型的安全漏洞生命周期包括7个部分如图1所示。 　　漏洞应急是漏洞管理过程中各阶段的工作内容。在漏洞应急中，POC（Proof ofConcept（为观点提供证据））编写、分析验证、漏洞检测尤为关键，而且以上三个阶段的工作更是漏洞评估验证的关键，也是实现漏洞评估验证模型安全需求的主要工作内容，如图2所示。 　　这个过程f或者说是在编写POC的时候）需要做到安全、有效和无害，尽可能或者避免扫描过程对目标主机产生不可恢复的影响。 　　2.2 漏洞评估验证模型的设计 　　2.2.1 漏洞验证模型框架 　　如图3所示，漏洞评估验证模型设计采用模块化的理念，在基础库的基础上，提供了一些核心框架功能的支持。实现评估验证功能的主体代码则以模块化方式组织，通过功能程序提供给测试者进行使用。同时，为了满足评估验证的不同功能需求，在功能模块中支持对脚本库（script）、工具库（plugin）和资源库（data）的增加、修改、调用，使功能模块变成用户的可控区域。 　　2.2.2 漏洞评估验证过程 　　2.2.2.1 验证流程 　　在漏洞评估验证模型的基础上，设计出一个漏洞验证框架，通过框架只需要完成如下4步工作，即可完成漏洞评估验证。 　　（1）准备一个并发框架； 　　（2）将数据放入到框架中； 　　（3）将处理数据的逻辑放到框架中； 　　（4）运行，获取处理结果。 　　在漏洞验证框架中完成评估验证工作时，验证流程如图4所示。 　　验证时，通过验证命令，将流程中的每一个环节组织起来，编写一条验证命令，就可以完成漏洞评估验证工作。 　　2.2.2.2 并发处理 　　多线程，是指从软件或者硬件上实现多个线程并发执行的技术。使用多线程技术可以提高资源使用效率从而提高系统的效率。协程，与线程的抢占式调度不同，它是协作式调度。协程也是单线程，但是它能让原来要使用异步+回调方式的代码，用看似同步的方式写出来。 　　2.2.2.3 处理逻辑 　　在漏洞评估验证中，对于数据处理的逻辑，主要在于插件（POC）的加载以及结果验证两方而： 　　（1）插件（POC）加载。因为数据的获取方式不同，处理数据的逻辑也不同，因此需要根据不同的数据加载不同的插件。 　　设计漏洞评估验证模型时，需要支持不同路径的插件： 　　1.加载默认插件：插件存放在脚本库（script）中，通过“命令+插件名”，可加载script文件夹下的脚本； 　　2.加载任意路径插件：插件存放在其他路径下，通过“命令+/路径/插件名”，可加载任意径路下的脚本。 　　（2）结果判断。结果判断通常需要在POC中完成，在编写POC的结果判断时： 　　1.在代码中添加函数POC（）； 　　2.添加逻辑使验证成功（漏洞存在）时retum True，验证失败时retum False； 　　3.针对一些复杂的需求，POCO函数可以使用多种返回值来控制验证状态和输出。 　　2.2.2.4 ?稻莼袢? 　　设计漏洞评估验证模型时，数据来源需要考虑以下几方而： 　　（1）单一目标。验证单一目标时，可以在插件（POC）中定义需要验证目标的url或者IP，验证时直接调用该插件即可完成对应目标的验证。 　　（2）文件列