网络系统脆弱性评估

摘要:近年来不断发生的网络攻击事件使人们深刻地意识到网络安全的重要性。 脆弱性评估技术能够找出网络系统中存在的安全隐患和可能被入侵者利用的安全漏洞,可以在攻击事件发生之前发现问题并进行弥补,在很大程度上提高了网络系统的安全性。

关键词:网络 系统脆弱性 评估

1、脆弱性评估概述

计算机网络系统在设计、实施、操作和控制过程中存在的可能被攻击者利用从而造成系统安全危害的缺陷称为脆弱性(Vulnerability)。由于网络应用程序或者其他程序的瑕疵不可避免,入侵者很容易利用网络系统中存在的脆弱性实施攻击,获取被攻击系统的机密信息,甚至取得被攻击系统的超级权限为所欲为。以上这些行为都可能导致系统的保密性、完整性和可用性受到损害。网络系统存在的脆弱性是网络攻击发生的前提,没有脆弱性,也就不存在网络攻击。漏洞之间的关联性、主机之间的依赖性、服务的动态性及网络系统连接的复杂性决定了网络系统脆弱性评估是一项非常复杂的工作。

我国信息系统风险评估的研究是近几年才起步的,目前主要工作集中于组织架构和业务体系的建立,相应的标准体系和技术体系还处于研究阶段,但随着电子政务、电子商务的蓬勃发展,信息系统风险评估领域和以该领域为基础和前提的信息、系统安全工程在我国己经得到政府、军队、企业、科研机构的高度重视,具有广阔的研究和发展空间。

无论国外还是国内,安全模型的建立、标准的选择、要素的提取、方法的研究、实施的过程,一直都是研究的重点。信息安全风险评估过程中几个关键环节是:资产评估、威胁评估和脆弱性评估。所谓资产评估,就是对资产进行识别,并对资产的重要性进行赋值;所谓威胁评估,就是对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值。

脆弱性评估(vulnerability Assessment)是指依靠各种管理和技术手段对网络系统进行检测,找出安全隐患和可能被不法人员利用的系统缺陷,根据检测结果分析评估系统的安全状况,并且在此基础上根据评估结果制定恰当的安全策略,为安全体系的运行提供参考依据,使网络系统根据变化及时进行调整以保持风险等级始终处于可接受的范围之内。脆弱性评估的目的是通过识别和分析信息系统的脆弱性,找出信息系统中相对比较薄弱的部分,为安全策略的确定和控制措施的采取提供理论依据。

信息安全风险评估涉及四个主要因素是:资产,威胁,脆弱性,风险。资产是对组织具有价值的信启、资源,是安全策略保护的对象;威胁是可能对资产或组织造成损害的潜在原因;脆弱性是可能被威胁利用而对资产造成损害的薄弱环节;风险是人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件及其对组织造成的影响。

目前,从网络系统脆弱性评估的发展状况上来看,这个研究领域正处于发展期。在计算机网络系统脆弱性评估领域所要研究的问题很多,包括脆弱性因素提取、量化指标建立、评估方法确定、评估标准过程、数学模型建立、关键结点分析、关键路径分析、漏洞依赖关系、主机信任关系、评估辅助决策等各个方面。更为重要的是如何将上述各方面问题有机地结合起来,形成计算机网络系统脆弱性评估规范流程及系统框架。

归纳起来,针对计算机网络系统脆弱性评估的研究主要包括:①评估的目标;②评估的标准;③评估的规范流程;④评估技术及评估模型;⑤评估辅助决策。

2、脆弱性评估方法

网络系统的脆弱性评估就其操作方法来说可以分为以下四种:基于安全标准的方法、基于财产价值的方法、基于漏洞检测的方法以及基于安全模型的方法。其中的漏洞检测是目前比较成熟的技术,基于安全模型的方法一般都是建立在漏洞检测的评估方法之上。这种方法的优点在于模型的建立比规则的提取简单,能够全面地反映系统中存在的安全隐患,而且能够发现未知的攻击模式和系统脆弱性,因而特别适合于对系统进行全面的评估,这种方法己经逐步成为国内外许多研究机构和学者的重点研究方向。

在基于模型的脆弱性评估方法中,攻击图分析法是主流的评估方法,而攻击图分析法又分为两类:模型检测法和基于图论的方法。

2.1 模型检测法

指在一个给定自动机模型上,检测这个模型是否满足某个性质,如果满足则回答“是”,如果不满足则回答“否”并给出一个反例。纽约州立大学的Ramakrishnan和Sekar首先提出将模型检测的方法应用在主机弱点综合分析上。GMU的研究人员Ritchey和Ammann在其攻击图生成方法研究的最初阶段使用了模型检测方法及模型检测工具SMV。CMU的系统安全分析课题组改进了模型检测工具Mums,用来生成评估目标的网络攻击图,Sheyner通过这种方法构造出攻击图后,应用在了入侵检测系统(IDS)的警报关联,以及从单个攻击行为来预警攻击。使用模型检测方法面临的一个主要问题是系统状态空间过大。信息系统的状态由各个实体、弱点、主机连接、安全需求等各种信启、组成,在使用模型检测方法的分析过程中待考察的状态数量呈指数级增长,从而导致使用的存储空间巨大。

2.2 基于图论的方法

Sandia National Laboratories的Phillips和Swiler在1998年首先用图论的思想生成了网络攻击图,后来在DARPA的资助下完成了对攻击图的分析和去除冗余节点和边的工作。Ammann及其同事放弃了模型检测方法而使用基于图论的方法生成攻击图,并在其中做了安全单调性假设,用正向广度搜索的方式生成了攻击图。哈尔滨工业大学的张涛博士也用类似的方法实现了一个安全性分析系统。这种方法具有良好的空间复杂性和时间复杂性,但其所建立的模型复杂,当面对较大网络时,对程序的运行效率影响比较大,而且生成的攻击图极为复杂。GMU的Ritchey和Steven Noel等人提出了拓扑脆弱性分析的概念,更加细致地描述了主机之间的连接关系对信息、系统安全的影响。

3、现有脆弱性评估系统分析对比

目前的脆弱性评估系统主要可以分为以下两类:基于单机的局部脆弱性评估系统(简称局部评估)和基于网络系统的整体脆弱性评估系统(简称整体评估)。

3.1 基于单机的局部脆弱性评估

局部评估侧重于检测并分析单一主机存在的脆弱性,比较典型的工具主要有以下两种种:

(1)SAINT (security Administrator’s Integrated Network Tool)。全称安全管理员集成网络工具,它是在著名的脆弱性检测工具SATAN的基础上发展而来的。

SAINT可以帮助系统安全管理人员收集网络主机信息,发现存在或者潜在的系统缺陷;提供主机安全性评估报告;进行主机安全策略测试。SAINT还具有非常友好的界面,用户可以在本地或者远程通过Netscape、Mozilla、Microsoft Internet Explorer等浏览器对其进行管理。

(2)ISS(Internet Security Systems)的SAFEsuite产品族。SAFEsulte主要包括三部分功能:安全评价、入侵检测和安全管理方案,帮助用户设计合理的安全策略。

安全评价平台由三个安全评价应用程序组成:Internet Scanner,Database Scanner和System Scanner。Internet Scanner鉴别和定位技术弱点,提供自动的、基于网络的安全评价和策略一致性评估,通过定时或事件驱动探测网络通信服务、OS、路由器、E-mail、Web服务器、防火墙和应用程序,从而鉴别可能导致未授权网络访问的系统虚弱性,并提供关于风险预测、风险量化和风险管理的信息。Database Scanner自动鉴别数据库系统中的从弱口令到Trojan horse这些弱点,带内置的弱点知识库,可用于Oracle,MS SQL Server, Sybase数据库。System Scanner是一个可扩展的基于主机manager/agent的系统,用于检查和管理与安全策略的一致性,它检测安全弱点、与安全相关的误配置及策略不一致性,可用于单个服务器到大规模分布式网络的系统的逻辑安全和系统完整性,对检测到的弱点提供较详细的解决和改正措施。

入侵检测平台Real secure包括Sensors(网络Sensor和0S Sensor)和Managers组成,可检测网络中的攻击和滥用。攻击包括Dos(如Win Nuke, SYN Flood,LAND,停止服务)、未授权的访问企图(如Back Orifice访问和Brute Force登录)、可疑活动(如TFTP包)、安全后门程序的企图(如BO)、修改数据或Web内容的企图等。滥用检测包括滥用管理特权、HTTP活动、Windows共享分析等。

安全管理方案SAFEsuite Decisions集成上面组件生成的安全数据,简化网络安全管理。

3.2 基于网络系统的整体脆弱性评估

整体评估以局部评估结果为基础,结合网络系统从网络整体的角度对网络中存在的各种配置脆弱性、软件脆弱性以及脆弱性之间关系进行关联分析。

最早的整体评估思想是由Zerkle和Levitt提出的,其相应工具为NetKuan,NetKuang分析不同UNIX主机上各种配置脆弱性之间的关联关系,但不能分析其他操作系统和其他类型的脆弱性。总的来说,这个模型比较粗糙,但它的思想有很强的借鉴意义。

1997年Swiler等人提出了基于攻击图的整体评估模型。在该模型中,攻击图的一个结点代表一个可能的攻击状态,结点内容通常包括主机名、用户权限、攻击的影响等,每条弧代表攻击者的一个攻击行为引起的状态改变。模型采用攻击模版描述各种攻击行为,初始时,给定一个目标状态,然后通过已有的攻击模版,从目标状态反向生成系统攻击图,如果生成成功,则表明系统存在相应的脆弱性。

参考文献:

【1】邢栩嘉、林闯、蒋屹新.计算机系统脆弱性评估研究.计算机学报,2004, 27(l):4-6页

【2】夏阳、陆余良、杨国正.计算机网络脆弱性评估技术研究.计算机工程, 2007,33(19):143-144页