第十三章 网络安全漏洞防护技术原理与应用
网络安全漏洞概述
- 网络安全漏洞概念
- 又称为脆弱性,简称漏洞,致使网络信息系统安全策略相冲突的缺陷
- 根据漏洞补丁情况:分为普通漏洞和0day漏洞
- 网络安全漏洞危害
- 敏感信息泄露、权限提升、非授权访问、身份假冒、拒绝服务等
- 国家信息安全漏洞库(CNNVD)、国家信息安全漏洞共享平台(CNVD)
网络安全漏洞分类与管理
-
网络安全漏洞来源
- 非技术性安全漏洞:主要涉及管理组织结构、管理制度、管理流程、人员管理
- 网络安全责任主体不明确
- 网络安全策略不完备
- 网络安全操作技能不足
- 网络安全监督缺失
- 网络安全特权控制不完备
- 技术性安全漏洞:主要涉及网络结构、通信协议、设备、软件产品、系统配置、应用系统
- 设计错误
- 输入验证错误
- 缓冲区溢出
- 意外情况处置错误
- 访问验证错误
- 配置错误
- 竞争条件
- 环境错误
- 非技术性安全漏洞:主要涉及管理组织结构、管理制度、管理流程、人员管理
-
网络安全漏洞分类分级
-
国际上认可CVE漏洞分类和CVSS漏洞分级标准
-
CVE ID其格式由年份数字和其他数字组成
-
CVSS是一个通用漏洞计分系统
-
-
国内有CNNVD、CNVD
-
CNNVD漏洞分类框架
-
CNVD漏洞分类
- 11种漏洞类型:输入验证错误、访问验证错误、意外情况处理错误数目、边界条件错误数目、配置错误、竞争条件、环境错误、设计错误、缓冲区错误、其他错误、未知错误
- 漏洞分级:高、种、低
-
-
OWASP TOP10漏洞分类
- OWASP组织发布了有关Web应用程序的前十种安全漏洞
-
-
网络安全漏洞发布
- 发布形式:网站、电子邮件以及安全论坛
- 发布内容:漏洞编号、发布日期、安全危害级别、漏洞名称、漏洞影响平台、漏洞解决建议等
- 示例:
-
网络安全漏洞获取
- CERT:世界上第一个计算机安全应急响应组织
- Security Focus Vulnerability Database:漏洞信息库
- CNNVD:国家信息安全漏洞库
- CNVD:国家信息安全漏洞共享平台
- 厂商漏洞信息
-
网络安全漏洞管理过程
- 网络信息系统资产确认:资产确认
- 网络安全漏洞信息采集:资产收集
- 网络安全漏洞评估:安全评估
- 网络安全漏洞消除和控制:漏洞修复
- 网络安全漏洞变化跟踪:持续更新资产并监控已修复漏洞
网络安全漏洞扫描技术与应用
- 主机漏洞扫描技术
- 不需要建立网络连接就可进行扫描
- 原理:通过检查本地系统中关键性文件的内容及安全属性,来发现漏洞
- 常见扫描器:COPS,Tiger(UNIX),MBSA(Windows)
- 网络漏洞扫描技术
- 原理:与待扫描的目标机建立网络连接后,发送特定网络请求进行漏洞检查
- 常见扫描器:Nmap,Nessus,X-scan
- 专用漏洞扫描器
- Web漏洞扫描技术
- 数据库漏洞扫描技术
- 网络安全漏洞扫描应用
- 常用于网络信息系统安全检查和风险评估
网络安全漏洞处置技术与应用
-
网络安全漏洞发现技术
- 文本搜索、词法分析、范围检查、状态机检查、错误注入、模糊测试、动态污点分析、形式化验证等
-
网络安全漏洞修补技术
- 系统的、周而复始的工作
-
网络安全漏洞利用防范技术
- 地址空间随机化技术(ASLR)
- 数据执行阻止
- SEHOP
- 堆栈保护
- 虚拟补丁
网络安全漏洞防护主要技术指标与产品
- 网络安全漏洞扫描器
- 产品技术原理:
- 利用已公开的漏洞信息及特征,通过程序对目标系统进行自动化分析,确认目标系统是否存在相应的安全漏洞。
- 技术指标:
- 漏洞扫描主机数量:有无IP或域名限制
- 漏洞扫描并发数
- 漏洞扫描速度
- 漏洞检测能力:误报率
- 数据库漏洞检查功能:对不同数据库的支持程度
- Web应用漏洞检查功能
- 口令检查功能
- 标准兼容性
- 部署环境难易程度
- 产品技术原理:
- 网络安全漏洞服务平台
- 产品: 漏洞盒子,补天
- 网络安全漏洞防护网关
- 产品原理:通过从网络流量中提取和识别漏洞利用特征模式
- 技术指标:
- 阻断安全漏洞攻击的种类与数量
- 阻断安全漏洞攻击的准确率
- 阻断安全漏洞攻击的性能
- 支持网络带宽的能力