第7章 网络安全检测与评估技术.ppt

第7章 网络安全检测与评估技术,内容提要： 网络安全漏洞 网络安全评估标准 网络安全评估方法 网络安全检测评估系统简介 小结,7.1 网络安全漏洞,1. 网络安全漏洞威胁 （1）安全漏洞的定义 漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可以使攻击者在未授权的情况下访问或破坏系统。 漏洞的产生有其必然性，这是因为软件的正确性通常是通过检测来保障的。而“检测只能发现错误，证明错误的存在，不能证明错误的不存在”。,返回本章首页,（2）安全威胁的定义 安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性、可用性和完整性产生阻碍、破坏或中断的各种因素。安全威胁可以分为人为安全威胁和非人为安全威胁两大类。安全威胁与安全漏洞密切相关，安全漏洞的可度量性使得人们对系统安全的潜在影响有了更加直观的认识。,返回本章首页,可以按照风险等级对安全漏洞进行归类，表7-1，7-2，7-3对漏洞分类方法进行了描述 。,返回本章首页,表7-1 漏洞威胁等级分类,返回本章首页,表7-2 漏洞威胁综合等级分类,表7-3 漏洞威胁等级分类描述,2. 网络安全漏洞的分类方法 按漏洞可能对系统造成的直接威胁分类 按漏洞的成因分类,返回本章首页,（1）按漏洞可能对系统造成的直接威胁分类 可以分为： 远程管理员权限；本地管理员权限；普通用户访问权限；权限提升；读取受限文件；远程拒绝服务；本地拒绝服务；远程非授权文件存取；口令恢复；欺骗；服务器信息泄露；其它漏洞。,返回本章首页,（2）按漏洞的成因分类 可以分为： 输入验证错误类；访问验证错误类；竞争条件类；意外情况处置错误类；设计错误类；配置错误类；环境错误类。,返回本章首页,3. 网络安全漏洞探测技术 按照网络安全漏洞的可利用方式来划分，漏洞探测技术可以分为：信息型漏洞探测和攻击型漏洞探测两种。 按照漏洞探测的技术特征，又可以划分为：基于应用的探测技术、基于主机的探测技术、基于目标的探测技术和基于网络的探测技术等。,返回本章首页,（1）信息型漏洞探测技术 信息型漏洞探测技术就是通过探测目标的型号、运行的操作系统版本及补丁安装情况、配置情况、运行服务及其服务程序版本等信息确定目标存在的安全漏洞的探测技术。 该技术具有实现方便、对目标不产生破坏性影响的特点。其不足之处是对于具体某个漏洞存在与否，难以做出确定性的结论。,返回本章首页,为提高信息型漏洞探测技术的准确率和效率，许多改进措施也不断地被引入: 顺序扫描技术 多重服务检测技术,返回本章首页,（2）攻击型漏洞探测技术 模拟攻击是最直接的漏洞探测技术，其探测结果的准确率也是最高的。 该探测技术的主要思想是模拟网络入侵的一般过程，对目标系统进行无恶意攻击尝试，若攻击成功则表明相应安全漏洞必然存在。,返回本章首页,（3）漏洞探测技术按其技术特征可分为： 基于应用的检测技术 基于主机的检测技术 基于目标的漏洞检测技术 基于网络的检测技术,返回本章首页,7.2 网络安全评估标准,1. 网络安全评估标准的发展历程 （1）首创而孤立的阶段 （2）普及而分散的阶段 （3）集中统一阶段,返回本章首页,返回本章首页,图7-1 测评标准的发展演变历程,返回本章首页,表7-7 各标准的等级划分对照表,2. TCSEC、ITSEC和CC的基本构成 （1）TCSEC的基本构成 TCSEC主要由以下四个方面进行描述： 安全策略模型（Security Policy Model） 可追究性（Accountability） 保证（Assurance） 文档（Documentation）,返回本章首页,返回本章首页,TCSEC的安全级别,TCSEC根据所采用的安全策略、系统所具备的安全功能将系统分为四类七个安全级别。,（2）ITSEC的基本构成 ITSEC也定义了7个安全级别，即: E6：形式化验证； E5：形式化分析； E4：半形式化分析； E3：数字化测试分析； E2：数字化测试； E1：功能测试； E0：不能充分满足保证。,返回本章首页,ITSEC的安全功能分类为：标识与鉴别、访问控制、可追究性、审计、客体重用、精确性、服务可靠性、数据交换。其保证则分为：有效性（Effectiveness）和正确性（Correctness）。,返回本章首页,（3）CC的基本构成 CC分为三部分，相互依存，缺一不可。其中: 第1部分是介绍CC的基本概念和基本原理，第2部分提出了安全功能要求， 第3部分提出了非技术的安全保证要求 。,返回本章首页,CC的功能要求和保证要求均以类-族-组件的结构表述。 功能要求包括11个功能类（安全审计、通信、密码支持、用户数据保护、标识和鉴别、安全管理、隐秘、TSF保护、资源利用、TOE访问、可信路径、信道） 。 保证要求包括7个保证类（配置管理、交付和运行、开发、指导性文件、生命周期支持、测试、脆弱性评定）。,返回本章首页,CC的评估等级共分7级：EAL1到EAL7 ，分别为: 功能测试，结构测试，系统测试和检验，系统设计、测试和评审，半形式化设计和测试，半形式化验证的设计和测试，形式化验证的设计和测试。,返回本章首页,返回本章首页,CC结构关系图,7.3 网络安全评估方法,1. 基于通用评估方法(CEM)的网络安全评估模型 CC作为通用评估准则，本身并不涉及具体的评估方法，信息技术的评估方法论主要由CEM给出。 CEM主要包括评估的一般性原则，PP评估、ST评估和EAL1EAL4的评估。CEM与CC中的保证要求相对应。,返回本章首页,CEM由两部分组成： 第一部分为简介与一般模型，包括评估的一般原则、评估过程中的角色、评估全过程概况和相关术语解释； 第二部分为评估方法，详细介绍适于所有评估的通用评估任务、PP评估、ST评估、EALIEAL4评估及评估过程中使用的一般技术。,返回本章首页,（1）CEM评估一般原则 CEM评估应该遵循适当、公正、客观的原则，要求评估结果满足可重复和可再现的特点，且评估结果是可靠的。 CEM假定代价合理，方法可以不断演进，评估结果可重用。,返回本章首页,（2）CEM评估模型 CEM评估，都可用下图的模型来表示。,返回本章首页,出,（3）CEM评估任务 CEM中所有的评估都具备的评估任务是评估输入任务和评估输出任务 。 评估输入任务包括配置控制、证据的保护、处置和保密四个任务，其中CEM对后两个任务无要求，留给评估体制解决。 评估输出任务包括书写观察报告（OR）和书写评估技术报告（ETR）两个子任务。,返回本章首页,（4）CEM评估活动 任何一个信息技术安全产品或系统（也可以是PP）的评估，其核心是评估人员展开的一组评估活动。每一项评估活动可进一步细分为子活动，子活动又进一步细分为动作，而每一个动作又由一个或多个确定的工作单元组成，如下图所示：,返回本章首页,返回本章首页,评估活动的分解,（5）评估结果 评估人员在评估过程中，需要作出不同层次的裁决，评估人员的裁决可以有三种不同的结果，分别为：不确定、通过或失败。,返回本章首页,2. 基于指标分析的网络安全综合评估模型 （1）综合评估概要 为全面了解目标网络系统的安全性能的状况，需要对各个方面的指标或项目进行测试或评估，必须将全体评估项目的评估结果进行综合，才能得到关于目标网络信息系统的安全性能的最终评价。,返回本章首页,为完成网络系统安全状况的综合评估，首先要从最低层的项目入手，然后由低到高，确定出每个层次项目的评估结果，最后将第一层项目的评估结果综合在一起，得出目标网络系统安全状况的综合评估结果。 对同一层次上的（局部的）评估项的评估结果的综合，可以有多种方法，如采用加权平均，模糊综合评价等。,返回本章首页,（2）归一化处理 定量指标的归一化 对定量指标进行归一化处理方法可分成三类：线段，折线，曲线。使用哪一种方法做归一化处理取决于具体的测试项的特点，适用于某一测试项的归一化方法不一定适用于其它项目。,返回本章首页,定性评估项的量化和归一化 定性评估项的结果通常以等级的形式给出，如“很差、较差、一般、较好、很好”。 对于定性评估项的最筒单的定性评估结果，即评估结果为“是”或“否”的情况，量化和归一化可采用直截了当法，即“是”指定为“1”，“否”指定为“0”。,返回本章首页,当定性指标采用“很差、较差、一般、较好、很好”的方式描述时，可根据它们的次序粗略地分配一个整数来实现结果的量化，如使用“1、2、3、4、5”与之对应。这些量化后的结果“ 1、2、3、4、5”可分别采用“0.1、0.3、0.5、0.7、0.9”或“a、b、c、d、e”作为它们的归一化值，其中0a0.2，0.2b0.4，0.4c0.6，0.6d0.8，0.8e1。,返回本章首页,（3）综合评估方法 所有评估项的评估结果经过综合便可得到对系统的总的评价。对于同一个层次上的评估项（指标），综合评估过程是一个从多维空间到一个线段中的点或评价等级论域中的等级的映射过程。,返回本章首页,如果评估项之间是层次关系，则综合评估过程的任务是将该层次结构中的全部评估项映射到上面的线段A，或等级论域L。即： f：(H)A（或f：（H）L） 其中，H表示评估项之间的层次结构,返回本章首页,典型的综合评估方法有： 加权算数平均 加权几何平均 混合平均,返回本章首页,在综合评估过程中，对某些评估项来说，使用加权算数平均对其进行综合比较合适，而对另一些评估项来说，使用加权几何平均可能更好。这种情况是由评估项的固有性质决定的。某一评估项的评估值可能是决定性的，以至于基本上主要依靠它作出最终评价，也可能不那么重要。,返回本章首页,3. 基于模糊评价的网络安全状况评估模型 在评估实践中，经常遇到一些评估项，它们的评估结果难于以定量的方式表达。模糊数学特别适合于用来处理定性的评估项目。 例如：系统评估中的大部分项目基本都是定性的。模糊数学可用来处理这些评估结果，并形成总的评价。,返回本章首页,7.4 网络安全检测评估系统简介,计算机网络信息系统安全检测评估系统的发展非常迅速，现在已经成为计算机网络信息系统安全解决方案的重要组成部分。 我们以ISS公司的Internet Scanner为例来介绍网络安全检测评估系统。,返回本章首页,1. Internet Scanner 7.0简介 Internet Scanner是ISS公司开发的网络安全评估工具，可以对网络漏洞进行分析和提供决策支持。 Internet Scanner可以对计算机网络信息系统进行全面的检测和评估。,返回本章首页,2. Internet Scanner的扫描评估过程 Internet Scanner 有计划和可选择性地对网络通信服务、操作系统、主要的应用系统以及路由器和防火墙等进行探测扫描，查找最容易被用来攻击的漏洞，探测、调查和模拟攻击网络。最后Internet Scanner 对漏洞情况进行分析，同时提供一系列正确的应采取的措施，提供趋势分析并产生报告和数据。,返回本章首页,Internet Scanner的扫描评估过程,返回本章首页,（1）定义扫描会话（Session） Internet Scanner利用会话（Session）来定义哪些设备需要被扫描。创建了某个新的会话时，其中会包含以下三个属性： 用来定义扫描测试内容的策略（Policy）； 用来定义扫描范围的KEY文件； 按IP地址定义的需要被扫描的设备组；,返回本章首页,（2）定义扫描策略 扫描策略（Policy）是用来定义Internet Scanner扫描系统时利用攻击库里的哪些攻击方式来尝试攻击系统。 获得策略定义的方法有如下两种： 直接利用Internet Scanner默认设置的策略定义； 点击Add Policy按钮来自定义策略。,返回本章首页,（3）确定被扫描评估的目标 确定被扫描主机的方法有如下三种： 利用某个已经存在的主机文件。 利用行输入方式输入某个或多个IP地址或网段来确定扫描的主机。 ping所有key文件定义网段范围的所有IP地址，只要是可以ping通的设备均会被扫描。,返回本章首页,（4）生成报告 Internet Scanner 提供多种类型的报告，报告的格式也有多种可选。 行政管理人员报告 技术管理人员报告 技术人员报告 用户定制报告,返回本章首页,7.5 小结,网络安全检测与评估是保证计算机网络系统安全的有效手段。网络安全检测与评估的目的是通过一定的技术手段先于攻击者发现计算机网络系统的安全漏洞，并对计算机网络系统的安全状况作出正确的评价。网络安全检测与评估的主要概念包括网络安全漏洞、网络安全评估标准、网络安全评估方法、网络安全检测评估系统等。,返回本章首页,