信息系统已知漏洞分析与总结.docVIP

信息系统已知漏洞分析与总结 信息系统 是指为了某些明确的目的而建立的，由人员、设备、程序和数据集合构成的统一整体。信息系统的主要功能是提供信息，以支持一个组织机构的运行、管理和决策。 信息系统可分为数据处理系统EDP、管理信息系统MIS、决策支持系统DSS。 MIS是利用数据库技术实现各级管理者的管理业务，在计算机上进行各种事务处理工作。DSS则为各级管理者提供辅助决策的能力。 数据处理系统EDP:用计算机代替繁杂的手工事务处理工作，其目的是提高数据处理的准确性、及时性，节约人力、提高工作效率 (如会计核算软件) 管理信息系统MIS：是一个由人、计算机等组成的能进行信息的收集、传递、储存、加工、维护和使用的系统。(某企业管理信息系统由技术管理子系统、人事管理子系统 ) 决策支持系统DSS：决策支持系统的本质是将多个广义模型有机组合起来，对数据库中的数据进行处理而形成决策模型。 信息系统安全漏洞是各种安全威胁的主要根源之一，安全漏洞的大量出现和加速增长使网络安全总体形势趋于严峻，深入分析和研究安全漏洞对保障计算机系统与网络安全具有重要意义。本文围绕着安全漏洞信息系统展开，研究分析了安全漏洞领域的一些主要问题。 (1) 研究了安全漏洞关键技术，详细分析了漏洞分类法，对网上公开的漏洞数据库资源进行综述和评价，在此基础上设计了防范中心漏洞数据库结构CNNVD，定义了安全漏洞的属性特征，并负责漏洞数据库的升级和管理。 (2) 提出了一种完善的安全漏洞收集模型，通过引入漏洞自动收集思想，有效的解决了漏洞数据库信息更新不及时，以及漏洞收集效率低等问题。重点介绍了漏洞自动收集系统的结构框架和功能模块，并给出了系统的具体实现。 (3) 研究了漏洞描述语言OVAL和漏洞评估系统的现状与发展，旨在研究标准化的漏洞描述方法，实现漏洞描述、检测过程和评估的标准化。开发了一种基于OVAL的新型漏洞评估系统OVAS，以防范中心漏洞数据库CNNVD作为数据中心。OVAS缩短了漏洞评估时间，提高了检测精度。??????? (4) 为了提高安全产品的互操作性，国际上制定了很多安全漏洞相关标准和计划。详细分析了这些标准的内容和相互关系，总结了国际漏洞标准制定方案，并探讨了国内应该制定哪些漏洞标准以及制定流程。 漏洞的概述 漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。具体举例来说，比如在Intel Pentium芯片中存在的逻辑错误，在Sendmail早期版本中的编程错误，在NFS协议中认证方式上的弱点，在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用，威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞。 漏洞是指一个系统存在的弱点或缺陷，系统对特定威胁攻击或危险事件的敏感性，或进行攻击的威胁作用的可能性。漏洞可能来自应用软件或操作系统设计时的缺陷或编码时产生的错误，也可能来自业务在交互处理过程中的设计缺陷或逻辑流程上的不合理之处。这些缺陷、错误或不合理之处可能被有意或无意地利用，从而对一个组织的资产或运行造成不利影响，如信息系统被攻击或控制，重要资料被窃取，用户数据被篡改，系统被作为入侵其他主机系统的跳板。从目前发现的漏洞来看，应用软件中的漏洞远远多于操作系统中的漏洞，特别是WEB应用系统中的漏洞更是占信息系统漏洞中的绝大多数。 漏洞发现是攻击者与防护者双方对抗的关键，防护者如果不能早于攻击者发现可被利用的漏洞，攻击者就有可能利用漏洞发起攻击。越早发现并修复漏洞，信息安全事件发生的可能性就越小。专业漏洞扫描系统是一种发现漏洞的重要手段，它能自动发现远程服务器端口分配，判断所提供服务，并检测远程或本地主机安全弱点的系统。发现漏洞后，还要进一步通过自动或手动的漏洞验证来检验漏洞扫描结果的准确性。信息系统的运行维护人员应定期进行漏洞扫描，及时发现并快速修复漏洞。 漏洞会影响到很大范围的软硬件设备，包括作系统本身及其支撑软件，网络客户和服务器软件，网络路由器和安全防火墙等。换而言之，在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。在不同种类的软、硬件设备，同种设备的不同版本之间，由不同设备构成的不同系统之间，以及同种系统在不同的设置条件下，都会存在各自不同的安全漏洞问题。 漏洞问题是与时间紧密相关的。一个系统从发布的那一天起，随着用户的深入使用，系统中存在的漏洞会被不断暴露出来，这些早先被发现的漏洞也会不断被系统供应商发布的补丁软件修补，或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有漏洞的同时，也会引入一些新的漏洞和错误。因而随着时间的推移，旧的漏洞会不断消失，新的漏洞会不断出现。漏洞问题也会长期存在。 因而脱离具体的时间和具体的系统环境来讨