1. Descripción general de la evaluación de la seguridad de la red
La evaluación de la seguridad de la red es la garantía de calidad de la seguridad de los sistemas de información de la red y los productos de tecnología de TI.
La evaluación de la seguridad de la red se refiere a obtener la información del estado de seguridad de la red del objeto de evaluación a través de una serie de métodos de gestión técnica de acuerdo con ciertos estándares y especificaciones, y dar un juicio integral sobre la situación de seguridad de la red correspondiente. Los objetos de evaluación de la seguridad de la red generalmente incluyen información Los elementos constitutivos o el propio sistema de información, como se muestra en la figura.
2. Tipos de evaluación de la seguridad de la red
2.1 Clasificación basada en objetivos de evaluación
Según el objetivo de la evaluación, la evaluación de la seguridad de la red se puede dividir en los siguientes tres tipos:
( 1) La evaluación del nivel de seguridad del sistema de información de la red es la evaluación del estado de protección del nivel de seguridad del sistema de información que no involucra secretos de estado de acuerdo con las leyes y reglamentos pertinentes de la protección del nivel de seguridad de la red nacional, y de acuerdo con las normas de gestión y normas técnicas correspondientes Actividad. La evaluación del nivel de seguridad del sistema de información de la red detecta y evalúa principalmente si el sistema de información cumple con los requisitos del nivel de seguridad determinado en términos de tecnología de seguridad y gestión de seguridad. Para los sistemas de información que no cumplan con los requisitos, analice y evalúe sus amenazas potenciales, enlaces débiles y medidas de protección de seguridad existentes, considere de manera integral la importancia de los sistemas de información y las amenazas de seguridad que enfrentan, y presente las sugerencias de rectificación correspondientes, y después del sistema. rectificación Se realizan nuevas pruebas y confirmaciones para garantizar que las medidas de protección de seguridad del sistema de información de la red cumplen los requisitos básicos de seguridad del nivel de seguridad correspondiente. En la actualidad, la evaluación del nivel de seguridad del sistema de información de la red adopta el estándar de protección 2.0 del nivel de seguridad de la red.
(2) La evaluación de la aceptación de la seguridad del sistema de información de la red se basa en los requisitos de los documentos de política relevantes, siguiendo los principios de apertura, equidad y justicia, de acuerdo con los objetivos de aceptación del proyecto y el alcance de la aceptación aplicado por los usuarios, combinados con los objetivos de realización y la evaluación. indicadores del plan de construcción de seguridad del proyecto, para evaluar el proyecto Llevar a cabo pruebas y evaluaciones de seguridad sobre el estado de implementación para evaluar si el proyecto cumple con los diversos indicadores técnicos de seguridad y objetivos de evaluación de seguridad en los requisitos de aceptación de seguridad, y proporcionar referencia para el sistema general aceptación y planificación de seguridad del siguiente paso.
(3) La evaluación de riesgos de seguridad del sistema de información de la red es evaluar las amenazas que enfrenta el sistema y la posibilidad de incidentes de seguridad causados por vulnerabilidades desde la perspectiva de la gestión de riesgos, y juzgar el impacto en el sistema una vez que ocurre un incidente de seguridad en combinación con el valor de los activos involucrados en el incidente de seguridad Influir, presentar métodos y medidas específicos para resistir amenazas, controlar el riesgo dentro de un rango aceptable, lograr el objetivo de operación estable del sistema y proporcionar referencia técnica para garantizar la construcción segura y la operación estable del sistema de información. La evaluación de riesgos de seguridad del sistema de información de red se lleva a cabo desde dos aspectos: tecnología y gestión. Los contenidos principales incluyen investigación del sistema, análisis de activos, análisis de amenazas, análisis de vulnerabilidad de tecnología y gestión, prueba de función de seguridad, análisis de riesgos, etc., emitir una evaluación de riesgos. informar y presentar sugerencias de seguridad.
2.2 Clasificación basada en el contenido de la evaluación
Según los elementos del sistema de información de la red, la evaluación de la seguridad de la red se puede dividir en dos tipos:Evaluación Técnica de SeguridadyAdministrar evaluaciones de seguridad. Entre ellos, la evaluación de seguridad técnica incluye principalmente pruebas de seguridad y evaluación del entorno físico, comunicación de red, sistema operativo, sistema de base de datos, sistema de aplicación, sistema de almacenamiento y datos y otras tecnologías relacionadas. La evaluación de seguridad de gestión incluye principalmente evaluaciones de seguridad de instituciones de gestión, sistemas de gestión, procesos de gestión, gestión de personal, construcción de sistemas y operación y mantenimiento de sistemas.
2.3 Clasificación basada en la implementación
De acuerdo con el método de implementación de la evaluación de seguridad de la red, la evaluación incluye principalmente pruebas de función de seguridad, pruebas de gestión de seguridad, pruebas de gestión de código, auditoría de seguridad de código, penetración de seguridad, prueba de ataque al sistema de información, etc.
(1) Detección de la función de seguridad , basada en los objetivos de seguridad y los requisitos de diseño del sistema de información de red, evaluar el estado de implementación de las funciones de seguridad del sistema de información y verificar si las funciones de seguridad cumplen con los objetivos y requisitos de diseño.
(2) Detección de gestión de seguridad : de acuerdo con los objetivos de gestión del sistema de información de la red, verifique y analice el estado de seguridad de los elementos y mecanismos de gestión, y evalúe si la gestión de seguridad cumple con los requisitos de los objetivos de gestión de seguridad del sistema de información. Los métodos principales son: investigación de entrevistas, inspección in situ, revisión de documentos, comparación de referencia de seguridad, ingeniería social, etc.
(3) La revisión de seguridad del código es el proceso de escaneo de seguridad estático y revisión del código fuente de la aplicación desarrollada a medida para identificar defectos de codificación y lagunas que pueden generar problemas de seguridad.
( 4) Pruebas de penetración de seguridad . Mediante la simulación de un pirata informático para realizar una prueba de penetración en el sistema de destino, descubra, analice y verifique los riesgos de seguridad, como vulnerabilidades de seguridad del host, fuga de información confidencial, vulnerabilidades de inyección SQL, vulnerabilidades de secuencias de comandos entre sitios y contraseñas débiles, evalúe la capacidad del sistema para resistir ataques y proponer sugerencias de refuerzo de seguridad.
( 5) Prueba de ataque al sistema de información . Analice el equipo de protección existente y la tecnología del sistema de aplicación de acuerdo con los diversos requisitos de prueba de ataque presentados por el usuario, determine el plan de prueba de ataque y el contenido de la prueba; use equipo de prueba especial y software de prueba para probar la capacidad antiataque de la aplicación sistema, y emitir el Informe de pruebas correspondiente. Los indicadores de prueba incluyen: tipos y capacidades de ataques defensivos, como ataques de denegación de servicio, ataques de código malicioso, etc.
2.4 Clasificación basada en la confidencialidad de los objetos de evaluación
- Evaluación del sistema de información relacionado con secretos : La evaluación del sistema de información relacionado con secretos se basa en estándares nacionales de confidencialidad, desde la perspectiva de la evaluación de riesgos, utilizando métodos de análisis científicos y medios técnicos efectivos, a través de las amenazas y vulnerabilidades existentes de los sistemas de información relacionados con secretos Conducta análisis para descubrir peligros ocultos y riesgos de seguridad y confidencialidad en el sistema, y al mismo tiempo proponer estrategias de protección específicas y salvaguardas para proporcionar una base científica para la aprobación administrativa de los sistemas de información confidencial por parte del departamento de trabajo de confidencialidad nacional.
- Evaluación del sistema de información no confidencial : la evaluación del sistema de información no confidencial se basa en estándares de seguridad de la información nacionales públicos, estándares de la industria, especificaciones de seguridad de la información o requisitos de seguridad de la información comercial, utilizando métodos y herramientas de tecnología de seguridad de la información de red para analizar la seguridad de la red que enfrenta el sistema de información Amenazas y posibles riesgos de seguridad, evaluación integral del estado de seguridad de la red y sugerencias de mejora se dan para guiar la construcción de seguridad de la información y garantizar el trabajo de los departamentos relevantes.
3. Contenido y proceso de evaluación de la seguridad de la red
3.1 Proceso de evaluación y contenido de la protección del nivel de seguridad de la red
El contenido y el proceso de evaluación de la protección del nivel de seguridad de la red se muestran en la siguiente figura.
De acuerdo con la especificación estándar de protección de nivel de seguridad de red 2.0, el proceso de evaluación del nivel de seguridad del sistema de información de red incluye cuatro actividades básicas de evaluación: actividades de preparación de evaluación, actividades de preparación de programas, actividades de evaluación de subprocesos y actividades de preparación de informes.
3.2 Proceso y contenido de las pruebas de penetración de seguridad de la red
El proceso de prueba de penetración de seguridad de la red se puede dividir en cinco etapas: aceptación de la encomienda, preparación, implementación, evaluación integral y conclusión, como se muestra en la figura
4. Tecnología y herramientas de evaluación de la seguridad de la red
(1) Escaneo de vulnerabilidades
El escaneo de vulnerabilidades se usa a menudo para obtener información sobre vulnerabilidades de seguridad de los objetos de evaluación. Las herramientas de escaneo de vulnerabilidades comúnmente utilizadas incluyen escáneres de vulnerabilidades de seguridad de red, escáneres de vulnerabilidades de seguridad de host, escáneres de vulnerabilidades de seguridad de bases de datos y escáneres de vulnerabilidades de seguridad de aplicaciones web. Entre ellos, el escáner de vulnerabilidad de seguridad de la red obtiene la información de vulnerabilidad de seguridad del objeto de evaluación a través del acceso remoto a la red. Las herramientas comunes de escaneo de vulnerabilidades de red incluyen Nmap, Nessus y OpenVAS. Las herramientas típicas de análisis de vulnerabilidades del host incluyen Microsoft Security Baseline Analyzer, COPS, etc. Las herramientas de análisis de vulnerabilidades de bases de datos incluyen Anhuajin y el sistema de análisis de vulnerabilidades de bases de datos (producto comercial), THC-Hydra, SQLMap, etc. Los escáneres de vulnerabilidades de seguridad de aplicaciones web incluyen w3af (código abierto), NIkto, AppScan, AWVS, etc.
(2) Pruebas de penetración de seguridad
Las pruebas de penetración de seguridad utilizan piratas informáticos para realizar ataques de seguridad en el objeto de prueba para verificar la efectividad del mecanismo de protección de seguridad. De acuerdo con la información general del objeto de evaluación, las pruebas de penetración de seguridad se pueden dividir en tres categorías:
- Prueba de caja negra: solo necesita proporcionar la dirección de destino de la prueba y autorizar al equipo de prueba a realizar la prueba desde el punto de prueba designado. (Inicialmente solo se sabe quien es el target a testear)
- Pruebas de caja blanca: es necesario proporcionar la información más detallada posible sobre el objeto de prueba. Basándose en la información obtenida, el equipo de prueba formula un plan de penetración especial para realizar pruebas de seguridad de alto nivel en el sistema. Este método es adecuado para la simulación avanzada de actores de amenazas persistentes.
- Prueba de caja gris: se debe proporcionar parte de la información del objeto de prueba, y el equipo de prueba simula a los actores de amenazas de diferentes niveles para infiltrarse en función de la información obtenida. Este método es adecuado para la banca móvil y las pruebas de seguridad de códigos.
Las herramientas de prueba comúnmente utilizadas para las pruebas de penetración de seguridad incluyen Metasploit, generador de diccionarios, GDB, Backtrack4, Burpsuit, OllyDbg, IDA Pro, etc.
(3) Revisión de seguridad del código
La revisión de seguridad del código se refiere a la inspección de cumplimiento de seguridad del código fuente o código binario del objeto de evaluación de acuerdo con las especificaciones de programación de seguridad y las especificaciones de seguridad empresarial como C, Java y OWASP. Las herramientas de inspección de seguridad de código de uso común incluyen HP Fortify, FindBugs, PMD, 360 Code Guard, etc.
(4) Análisis de protocolo
El análisis de protocolo se utiliza para detectar la seguridad del protocolo. Las herramientas comunes de análisis de protocolos incluyen TCPDump y Wireshark.
TCPDump proporciona un modo de línea de comandos, reglas de filtrado de paquetes flexibles y es una poderosa herramienta de análisis de protocolos de red. Las funciones del comando TCPDump son las siguientes.
En general, hay tres tipos de palabras clave en la expresión de TCPDUMP
(1) Escriba palabras clave, principalmente host, red, puerto
- host especifica el host.
host 192.168.1.1- net especifica la dirección de red (segmento de red).
net 192.168.1.0- puerto especifica el puerto.
port 23(Nota: si no se especifica ningún tipo, el tipo predeterminado es host)
(2) Palabras clave de dirección de transmisión, que incluyen principalmente src, dst, dst o src, dst y src, estas palabras clave indican la dirección de transmisión del contenido de comunicación fuerte. Por ejemplo:
src 192.168.1.1src seguido de la dirección de origendst net 192.168.1.0especificar la red de destino- Si no se especifica ninguna palabra clave de dirección, el valor predeterminado es
src or dstla palabra clave(3) Palabra clave de protocolo, que indica el contenido del protocolo del paquete de monitoreo, que incluye principalmente FDDI, IP, ARP, RARP, TCP, UDP y otros tipos.
#tcpdump的应用非常灵活,下面举例说明
#(1)截获 1.1.1.1 主机收到和发出的所有数据包
tcpdump host 1.1.1.1
#(2)截获主机1.1.1.1 和主机 1.1.1.2 或主机 1.1.1.3的通信(在命令中使用括号时,一定要在括号前加转义字符 "\")
tcpdump host anad \(1.1.1.2 or 1.1.1.3\)
#(3)监听主机1.1.1.1 与主机1.1.1.2 之外的其它所有主机通信的IP包
tcpdump ip host 1.1.1 and 1.1.1.2
#(4)获取主机1.1.1.1接收或发出的Telnet包
tcpdump tcp port 23 host 1.1.1.1
(5) prueba de rendimiento
Se utiliza para evaluar el estado de rendimiento del objeto de evaluación y verificar la presión de rendimiento del objeto de evaluación o el impacto de la seguridad en el rendimiento. Las herramientas de prueba de rendimiento comúnmente utilizadas incluyen herramientas de monitoreo de rendimiento (sistema operativo incorporado), Apache JMeter (código abierto), LoadRunner (comercial), SmartBits (comercial), etc.
5. Gestión de la calidad y estándares para la evaluación de la seguridad de la red
- La gestión de calidad de la evaluación de la seguridad de la red es el trabajo básico de la credibilidad de la evaluación.La gestión de la calidad de la evaluación de la seguridad de la red incluye principalmente el establecimiento del sistema de gestión de la calidad de las instituciones de evaluación , la gestión del personal de implementación de la evaluación, la gestión del equipo de implementación de la evaluación, la gestión de la implementación de la evaluación métodos, control de documentos de implementación de evaluación, control de evaluación de trabajos no conformes, supervisión de la operación del sistema y mejora continua . En la actualidad, los principales estándares internacionales para el establecimiento del sistema de gestión de la calidad de las instituciones de evaluación son
ISO 9000: El Servicio Nacional de Acreditación para la Evaluación de la Conformidad de China (CNAS, por sus siglas en inglés) es responsable de la acreditación de organismos de certificación, laboratorios, organismos de inspección y otras unidades relevantes, y confirma el sistema de gestión de calidad y las capacidades técnicas de las instituciones que solicitan la acreditación. - Los estándares de seguridad de la red son la base para el trabajo de evaluación. En la actualidad, los tipos de estándares de evaluación de seguridad de la información nacionales se pueden dividir en estándares de evaluación de protección del nivel de seguridad del sistema de información, estándares de evaluación de productos, estándares de evaluación de riesgos, seguridad de aplicación de contraseña, seguridad de la información del sistema de control industrial evaluación de la capacidad de protección, etc.