網(wǎng)絡(luò)系統(tǒng)安全分析與檢驗(yàn)檢測(cè)

◆王 蕊

（國(guó)家軟件產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心 江蘇 210012）

網(wǎng)絡(luò)系統(tǒng)安全分析與檢驗(yàn)檢測(cè)

◆王 蕊

（國(guó)家軟件產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心 江蘇 210012）

本文從第三方檢驗(yàn)檢測(cè)機(jī)構(gòu)的角度，分析整理網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題，并介紹相關(guān)檢測(cè)思路、檢測(cè)技術(shù)或所需檢測(cè)設(shè)備等，通過(guò)不斷的研究與實(shí)踐，規(guī)范網(wǎng)絡(luò)安全的檢驗(yàn)檢測(cè)工作。

系統(tǒng)安全；檢驗(yàn)檢測(cè)

1 網(wǎng)絡(luò)系統(tǒng)安全簡(jiǎn)介

1.1 概述

計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用管理控制和技術(shù)措施，保證在一個(gè)網(wǎng)絡(luò)環(huán)境里，信息數(shù)據(jù)的機(jī)密性、完整性及可使用性受到保護(hù)。從廣義來(lái)說(shuō)，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、不可否認(rèn)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。

要確保計(jì)算機(jī)網(wǎng)絡(luò)的安全，必須依靠先進(jìn)的技術(shù)、嚴(yán)格的管理和配套的法律。OSI安全體系結(jié)構(gòu)中定義了鑒別、訪問(wèn)控制、數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性和抗抵賴五種網(wǎng)絡(luò)安全服務(wù)，以及加密機(jī)制、數(shù)字簽名機(jī)制、訪問(wèn)控制機(jī)制、數(shù)據(jù)完整性機(jī)制、鑒別交換機(jī)制、通信業(yè)務(wù)流填充機(jī)制、路由控制、公證機(jī)制八種基本的安全機(jī)制。

1.2 計(jì)算機(jī)網(wǎng)絡(luò)威脅

1.2.1 計(jì)算機(jī)網(wǎng)絡(luò)中可能受到威脅的實(shí)體

（1）各類計(jì)算機(jī)（服務(wù)器、工作站等）；

（2）網(wǎng)絡(luò)通信設(shè)備（路由器、交換機(jī)、集線器、調(diào)制解調(diào)器、加密機(jī)等）；

（3）存放數(shù)據(jù)的媒體（磁帶、磁盤、光盤等）；

（4）傳輸線路、供配電系統(tǒng)；

（5）防雷系統(tǒng)和抗電磁干擾系統(tǒng)等。

1.2.2 網(wǎng)絡(luò)系統(tǒng)遇到安全威脅的主要表現(xiàn)

（1）主機(jī)或服務(wù)器受到非法入侵者的攻擊；

（2）網(wǎng)絡(luò)中的敏感數(shù)據(jù)可能泄露或被修改；

（3）從內(nèi)網(wǎng)向公網(wǎng)傳送的信息可能被他人竊聽(tīng)或篡改。

1.2.3 典型的網(wǎng)絡(luò)安全威脅

典型的網(wǎng)絡(luò)安全威脅如表1所示。

表1 典型的網(wǎng)絡(luò)安全威脅

拒絕服務(wù)攻擊攻擊者使系統(tǒng)響應(yīng)減慢甚至癱瘓，阻止合法用戶獲得服務(wù)。行為否認(rèn) 通訊實(shí)體否認(rèn)已經(jīng)發(fā)生的行為。旁路控制 攻擊者發(fā)掘系統(tǒng)的缺陷或安全脆弱性。電磁/射頻截獲攻擊者從電子或機(jī)電設(shè)備所發(fā)出的無(wú)線射頻或其它電磁輻射中提取信息。惡意程序威脅計(jì)算機(jī)病毒嚴(yán)重破壞程序和數(shù)據(jù)、使網(wǎng)絡(luò)的效率和作用大大降低、使許多功能無(wú)法正常使用、導(dǎo)致計(jì)算機(jī)系統(tǒng)癱瘓人員疏忽 授權(quán)的人為了利益或由于粗心將信息泄露給未授權(quán)人。

1.2.4 計(jì)算機(jī)網(wǎng)絡(luò)安全目標(biāo)

在經(jīng)過(guò)安全檢驗(yàn)檢測(cè)后，網(wǎng)絡(luò)應(yīng)達(dá)到如下的安全目標(biāo)：

（1）保密性

保密性指網(wǎng)絡(luò)中的保密信息只能供經(jīng)過(guò)允許的人員，以經(jīng)過(guò)允許的方式使用，信息不泄露給非授權(quán)用戶、實(shí)體或過(guò)程，或供其利用。

（2）完整性

指網(wǎng)絡(luò)中的信息安全、精確與有效，不因種種不安全因素而改變信息原有的內(nèi)容、形式與流向。確保信息在存儲(chǔ)或傳輸過(guò)程中不被修改、不被破壞和丟失。

（3）可用性

指網(wǎng)絡(luò)資源在需要時(shí)即可使用，不因系統(tǒng)故障或誤操作等使資源丟失或妨礙對(duì)資源的使用，是被授權(quán)實(shí)體按需求訪問(wèn)的特性。

（4）不可否認(rèn)性

不可否認(rèn)性安全服務(wù)提供了向第三方證明該實(shí)體確實(shí)參與了通信的能力。

（5）可控性

指對(duì)信息的傳播及內(nèi)容具有控制能力，保證信息和信息系統(tǒng)的授權(quán)認(rèn)證和監(jiān)控管理，確保某個(gè)實(shí)體（人或系統(tǒng)）身份的真實(shí)性，也可以確保執(zhí)法者對(duì)社會(huì)的執(zhí)法管理行為。

2 網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的測(cè)試內(nèi)容

基本網(wǎng)絡(luò)安全防護(hù)系統(tǒng)有物理安全、防火墻、入侵檢測(cè)、漏洞掃描、安全審計(jì)、Web信息防篡改等基礎(chǔ)安全技術(shù)，以保障應(yīng)用系統(tǒng)的安全。在實(shí)際工作當(dāng)中，針對(duì)不同的安全技術(shù)，需要關(guān)注的檢驗(yàn)檢測(cè)內(nèi)容如下：

2.1 物理安全

物理安全是整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的前提，是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞的過(guò)程。

物理安全主要考慮的問(wèn)題是環(huán)境、場(chǎng)地和設(shè)備的安全及物理訪問(wèn)控制和應(yīng)急處置計(jì)劃等。物理安全在整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全中占有重要地位。它主要包括以下幾個(gè)檢測(cè)方面：

機(jī)房環(huán)境安全(防火，防盜，防雷，接地，防塵，防靜電，防震)；

通信線路安全(防竊聽(tīng)，防施工)；

設(shè)備安全 (電磁干擾，電源保護(hù)，物理?yè)p壞，意外事故等)；

電源安全(電源穩(wěn)定性，不間斷電源，備用電源）；

物理安全措施主要包括：安全制度、數(shù)據(jù)備份、輻射防護(hù)、屏幕口令保護(hù)、隱藏銷毀、狀態(tài)檢測(cè)、報(bào)警確認(rèn)、應(yīng)急恢復(fù)、加強(qiáng)機(jī)房管理、運(yùn)行管理、安全組織和人事管理等手段。

物理安全是相對(duì)的，在設(shè)計(jì)物理安全方案時(shí)，要綜合考慮需要保護(hù)的硬件、軟件及其信息價(jià)值，從而采用適當(dāng)?shù)奈锢肀Ｗo(hù)措施。

2.2 防火墻安全檢測(cè)

2.2.1 防火墻安全檢測(cè)點(diǎn)

防火墻的安全性，主要有如下幾個(gè)測(cè)試點(diǎn)：

（1）是否支持交換和路由兩種工作模式。

（2）是否支持對(duì)HTTP、FTP、SMTP等服務(wù)類型的訪問(wèn)控制。

（3）是否考慮到防火墻的冗余設(shè)計(jì)。

（4）是否支持對(duì)日志的統(tǒng)計(jì)分析功能，日志是否可以存儲(chǔ)在本地和網(wǎng)絡(luò)數(shù)據(jù)庫(kù)上。

（5）對(duì)防火墻本身或受保護(hù)網(wǎng)段的非法攻擊，是否提供多種告警方式以及多種級(jí)別的告警。

（6）防火墻規(guī)則分析。

（7）防火墻漏洞掃描。

2.2.2 防火墻安全測(cè)試工具

用于防火墻分析和審計(jì)的商業(yè)工具有：

（1）AlgoSec公司的Firewall Analyzer。

（2）RedSeal公司的Security Risk Manager。

（3）Skybox公司的Firewall Compliance Auditor。

其中，AlgoSec公司的 Firewall Analyzer(AFA)可以自動(dòng)探測(cè)防火墻策略中的安全漏洞?？梢酝瓿筛墓芾?、風(fēng)險(xiǎn)管理、自動(dòng)審核和策略優(yōu)化等功能。它可以發(fā)現(xiàn)未用的規(guī)則、重復(fù)規(guī)則、禁用規(guī)則和失效的規(guī)則。AFA可以備份防火墻策略，然后進(jìn)行離線分析，因此它不會(huì)影響防火墻的性能。AFA支持的防火墻廠商包括思科、Checkpoint和Juniper等業(yè)界知名廠商。

另外，開(kāi)源的安全工具Nessus，也可以用來(lái)判斷防火墻是否存在已知的安全漏洞。

2.3 入侵檢測(cè)系統(tǒng)IDS

2.3.1 入侵檢測(cè)原理

入侵檢測(cè)系統(tǒng)就是執(zhí)行入侵檢測(cè)任務(wù)的硬件或軟件產(chǎn)品。

入侵檢測(cè)系統(tǒng)原理如下圖1所示，入侵檢測(cè)是用于檢測(cè)任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性的一種網(wǎng)絡(luò)安全技術(shù)。它通過(guò)監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)，采用誤用檢測(cè)（Misuse Detection）或異常檢測(cè)（Anomaly Detection）的方式，發(fā)現(xiàn)非授權(quán)的或惡意的系統(tǒng)及網(wǎng)絡(luò)行為，為防范入侵行為提供有效的手段。

圖1 入侵檢測(cè)系統(tǒng)原理

從系統(tǒng)構(gòu)成上看，入侵檢測(cè)系統(tǒng)包括事件提取、入侵分析、入侵響應(yīng)和遠(yuǎn)程管理四大部分，能結(jié)合安全知識(shí)庫(kù)、數(shù)據(jù)存儲(chǔ)等功能模塊，提供更為完善的安全檢測(cè)及數(shù)據(jù)分析功能，如下圖2所示：

圖2 入侵檢測(cè)系統(tǒng)構(gòu)成

2.3.2 入侵檢測(cè)系統(tǒng)檢測(cè)點(diǎn)

入侵檢測(cè)系統(tǒng)有如下幾個(gè)測(cè)試點(diǎn)：

（1）能否在檢測(cè)到入侵事件時(shí)，自動(dòng)執(zhí)行切斷服務(wù)、記錄入侵過(guò)程、郵件報(bào)警等動(dòng)作。

（2）是否支持攻擊特征信息的集中式發(fā)布和攻擊取證信息的分布式上載。

（3）能否提供多種方式對(duì)監(jiān)視引擎和檢測(cè)特征的定期更新服務(wù)。

（4）內(nèi)置的網(wǎng)絡(luò)能否使用狀況監(jiān)控工具和網(wǎng)絡(luò)監(jiān)聽(tīng)工具。

2.4 漏洞掃描

漏洞掃描是一種基于網(wǎng)絡(luò)遠(yuǎn)程來(lái)檢測(cè)目標(biāo)網(wǎng)絡(luò)或本地主機(jī)安全性薄弱點(diǎn)的技術(shù)，可以被用來(lái)模擬攻擊實(shí)驗(yàn)和安全審計(jì)，是一種主動(dòng)的防范措施，可以有效避免黑客攻擊行為。

2.5 網(wǎng)絡(luò)漏洞掃描系統(tǒng)技術(shù)要求

（1）應(yīng)具備對(duì)操作系統(tǒng)（Windows、Unix、Linux等）、數(shù)據(jù)庫(kù)（Oracle、MS-Sql、MySql等）、網(wǎng)絡(luò)設(shè)備（路由器等）、安全設(shè)備（防火墻等）、特定應(yīng)用程序等多種系統(tǒng)進(jìn)行漏洞掃描評(píng)估的能力。

（2）漏洞掃描系統(tǒng)應(yīng)采用軟件形式，以便于在不同的場(chǎng)合中靈活使用。

（3）應(yīng)能夠自動(dòng)檢測(cè)目標(biāo)對(duì)象的操作系統(tǒng)并提供精確的端口掃描功能，掃描漏洞數(shù)量應(yīng)在1300個(gè)以上。

（4）漏洞掃描應(yīng)能夠?qū)崟r(shí)顯示掃描過(guò)程進(jìn)行狀態(tài)、被掃描對(duì)象信息、漏洞信息，便于管理員了解掃描進(jìn)展情況。

（5）支持直觀的圖形化中文界面，以方便掃描操作和對(duì)結(jié)果的評(píng)估。

（6）支持對(duì)每次掃描結(jié)果進(jìn)行保存，以便對(duì)歷史掃描記錄進(jìn)行調(diào)用。

（7）應(yīng)支持預(yù)約掃描功能，可以在計(jì)劃的時(shí)間按照定義的策略自動(dòng)執(zhí)行掃描任務(wù)。

（8）應(yīng)具備靈活的用戶自定義安全策略功能。提供不同策略模板供用戶使用，并支持細(xì)力度的掃描策略編輯功能，用戶可定義掃描范圍、掃描端口、服務(wù)類型等。

（9）支持DoS攻擊測(cè)試、提供字典（暴力遠(yuǎn)程破解）攻擊等功能。

（10）應(yīng)具備高速掃描能力，并發(fā)掃描多個(gè)系統(tǒng)，同時(shí)并發(fā)掃描200臺(tái)以上目標(biāo)系統(tǒng)。

（11）進(jìn)行掃描時(shí)，應(yīng)對(duì)網(wǎng)絡(luò)性能和被掃描對(duì)象主機(jī)性能不會(huì)產(chǎn)生明顯影響。

（12）應(yīng)提供用戶管理功能，只有通過(guò)身份認(rèn)證的用戶才可以使用漏洞掃描系統(tǒng)，防止漏洞掃描器的盜用和濫用，保證自身的安全；

（13）應(yīng)能夠?qū)呙杞Y(jié)果自動(dòng)通知管理員（例如電子郵件方式）。掃描結(jié)果以壓縮文件形式并設(shè)置口令的形式發(fā)送，以保護(hù)內(nèi)部機(jī)密信息。

（14）應(yīng)提供豐富的Crystal格式統(tǒng)計(jì)分析報(bào)表（10種或10種以上），包括基于主機(jī)的報(bào)表、基于漏洞危險(xiǎn)度的報(bào)表、基于服務(wù)的報(bào)表、漏洞及解決方案、漏洞趨勢(shì)報(bào)告、匯總報(bào)表等，以直觀、清晰的方式呈現(xiàn)漏洞分布，幫助管理員從多種角度進(jìn)行分析。

（15）報(bào)表中對(duì)漏洞的描述，應(yīng)自動(dòng)分類漏洞的危險(xiǎn)級(jí)別，并對(duì)所有發(fā)現(xiàn)的漏洞逐個(gè)解釋。漏洞信息應(yīng)包括漏洞的詳細(xì)說(shuō)明、補(bǔ)救方法、補(bǔ)丁文件的獲取方式、建議的配置策略、以及國(guó)際安全組織關(guān)于該漏洞的說(shuō)明或連接。

（16）掃描報(bào)告應(yīng)具有靈活的導(dǎo)出功能，支持HTML， Word，Excel， RTF， PDF ， TXT等文件格式，以滿足不同角色的人員的需要。

（17）應(yīng)提供掃描模塊和漏洞庫(kù)周期性的自動(dòng)升級(jí)功能，同時(shí)提供升級(jí)工具以支持按需即時(shí)升級(jí)，保證最新的安全問(wèn)題能被及時(shí)發(fā)現(xiàn)和修補(bǔ)。

（18）應(yīng)采用國(guó)際先進(jìn)的網(wǎng)絡(luò)漏洞掃描系統(tǒng)，漏洞庫(kù)應(yīng)與國(guó)際標(biāo)準(zhǔn)CVE、Bugtraq兼容，具有國(guó)內(nèi)和國(guó)外成功應(yīng)用案例的產(chǎn)品。

（19）應(yīng)取得公安部安全產(chǎn)品銷售許可。

2.6 網(wǎng)絡(luò)安全審計(jì)

2.6.1 概述

網(wǎng)絡(luò)安全審計(jì)從審計(jì)級(jí)別上可分為3種類型：系統(tǒng)級(jí)審計(jì)、應(yīng)用級(jí)審計(jì)和用戶級(jí)審計(jì)。

是按照一定的安全策略，利用記錄、系統(tǒng)活動(dòng)和用戶活動(dòng)等信息，檢查、審查和檢驗(yàn)操作事件的環(huán)境及活動(dòng)，從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能的過(guò)程。也是審查評(píng)估系統(tǒng)安全風(fēng)險(xiǎn)并采取相應(yīng)措施的一個(gè)過(guò)程。在不至于混淆情況下，簡(jiǎn)稱為安全審計(jì)，實(shí)際是記錄與審查用戶操作計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)活動(dòng)的過(guò)程，是提高系統(tǒng)安全性的重要舉措。系統(tǒng)活動(dòng)包括操作系統(tǒng)活動(dòng)和應(yīng)用程序進(jìn)程的活動(dòng)。用戶活動(dòng)包括用戶在操作系統(tǒng)和應(yīng)用程序中的活動(dòng)，如用戶所使用的資源、使用時(shí)間、執(zhí)行的操作等。安全審計(jì)對(duì)系統(tǒng)記錄和行為進(jìn)行獨(dú)立的審查和估計(jì)，其主要作用和目的包括5個(gè)方面：

（1）對(duì)可能存在的潛在攻擊者起到威懾和警示作用，核心是風(fēng)險(xiǎn)評(píng)估。

（2）測(cè)試系統(tǒng)的控制情況，及時(shí)進(jìn)行調(diào)整，保證與安全策略和操作規(guī)程協(xié)調(diào)一致。

（3）對(duì)已出現(xiàn)的破壞事件，做出評(píng)估并提供有效的災(zāi)難恢復(fù)和追究責(zé)任的依據(jù)。

（4）對(duì)系統(tǒng)控制、安全策略與規(guī)程中的變更進(jìn)行評(píng)價(jià)和反饋，以便修訂決策和部署。

（5）協(xié)助系統(tǒng)管理員及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)入侵或潛在的系統(tǒng)漏洞及隱患。

2.6.2 安全審計(jì)檢測(cè)點(diǎn)

（1）能否進(jìn)行系統(tǒng)數(shù)據(jù)收集，統(tǒng)一存儲(chǔ)，集中進(jìn)行安全審計(jì)。

（2）是否支持基于PKI的應(yīng)用審計(jì)。

（3）是否支持基于XML的審計(jì)數(shù)據(jù)采集協(xié)議。

（4）是否提供靈活的自定義審計(jì)規(guī)則。

2.7 Web信息防篡改系統(tǒng)

2.7.1 概述

隨著 Web 應(yīng)用越來(lái)越廣泛，Web 安全威脅日益凸顯。黑客利用網(wǎng)站操作系統(tǒng)的漏洞和 Web 服務(wù)程序的 SQL 注入漏洞等得到 Web服務(wù)器的控制權(quán)限，輕則篡改網(wǎng)頁(yè)內(nèi)容，重則竊取重要內(nèi)部數(shù)據(jù)，更為嚴(yán)重的則是在網(wǎng)頁(yè)中植入惡意代碼，使得網(wǎng)站訪問(wèn)者受到侵害。這也使得越來(lái)越多的用戶關(guān)注應(yīng)用層的安全問(wèn)題，對(duì) Web 應(yīng)用安全的關(guān)注度也逐漸升溫。

2.7.2 Web防篡改系統(tǒng)檢測(cè)點(diǎn)

Web防篡改系統(tǒng)檢測(cè)點(diǎn)如下：

（1）是否支持多種操作系統(tǒng)。

（2）是否具有集成發(fā)布與監(jiān)控功能，使系統(tǒng)能夠區(qū)分合法更新與非法篡改，并可以防止非法篡改和破壞。

（3）是否可以實(shí)時(shí)發(fā)布和備份。

（4）是否具備自動(dòng)監(jiān)控、自動(dòng)恢復(fù)、自動(dòng)報(bào)警的能力。

（5）是否提供日志管理、掃描策略管理和更新管理。

2.7.3 Web安全檢測(cè)工具

除了常用的 HP WebInspect和綠盟的遠(yuǎn)程安全評(píng)估系統(tǒng)RSAS外，還有如下幾個(gè)實(shí)用且免費(fèi)的Web安全測(cè)試工具：

N-Stalker Web：應(yīng)用程序安全2012免費(fèi)版本能夠?yàn)槟腤eb應(yīng)用程序清除該環(huán)境中大量常見(jiàn)的漏洞，包括跨站腳本（XSS）、SQL 注入（SQL injection）、緩存溢出（Buffer Overflow）、參數(shù)篡改 （Parameter Tampering）等等。

Netsparker Community Edition：一款 SQL 注入掃描工具，是Netsparker的社區(qū)免費(fèi)版本，提供了基本的漏洞檢測(cè)功能。使用友好，靈活。

Websecurify：是一款開(kāi)源的跨平臺(tái)網(wǎng)站安全檢查工具，能夠幫助你精確的檢測(cè) Web 應(yīng)用程序安全問(wèn)題。

Wapiti：Web 應(yīng)用程序漏洞檢查工具。它具有“暗箱操作”掃描，即它不關(guān)心 Web 應(yīng)用程序的源代碼，但它會(huì)掃描網(wǎng)頁(yè)的部署，尋找使其能夠注入數(shù)據(jù)的腳本和格式。

[1]楊初長(zhǎng).計(jì)算機(jī)網(wǎng)絡(luò)安全及其防范策略研究[J].科技資訊，2012.