安全掃描通常采用兩種策略,第一種是被動(dòng)式策略,第二種是主動(dòng)式策略。所謂被動(dòng)式策略就是基于主機(jī)之上,對(duì)系統(tǒng)中不合適的設(shè)置,脆弱的口令以及其他同安全規(guī)則抵觸的對(duì)象進(jìn)行檢查;而主動(dòng)式策略是基于網(wǎng)絡(luò)的,它通過執(zhí)行一些腳本文件模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng),從而發(fā)現(xiàn)其中的漏洞。利用被動(dòng)式策略掃描稱為系統(tǒng)安全掃描,利用主動(dòng)式策略掃描稱為網(wǎng)絡(luò)安全掃描。
一、目前安全掃描主要涉及的檢測技術(shù)
相信讀者已經(jīng)對(duì)安全掃描有了一個(gè)初步的認(rèn)識(shí),這里進(jìn)一步介紹安全掃描的四種檢測技術(shù):
① 基于應(yīng)用的檢測技術(shù),它采用被動(dòng)的,非破壞性的辦法檢查應(yīng)用軟件包的設(shè)置,發(fā)現(xiàn)安全漏洞。
② 基于主機(jī)的檢測技術(shù),它采用被動(dòng)的,非破壞性的辦法對(duì)系統(tǒng)進(jìn)行檢測。通常,它涉及到系統(tǒng)的內(nèi)核,文件的屬性,操作系統(tǒng)的補(bǔ)丁等問題。這種技術(shù)還包括口令解密,把一些簡單的口令剔除。因此,這種技術(shù)可以非常準(zhǔn)確的定位系統(tǒng)的問題,發(fā)現(xiàn)系統(tǒng)的漏洞。它的缺點(diǎn)是與平臺(tái)相關(guān),升級(jí)復(fù)雜。
③ 基于目標(biāo)的漏洞檢測技術(shù),它采用被動(dòng)的,非破壞性的辦法檢查系統(tǒng)屬性和文件屬性,如數(shù)據(jù)庫,注冊(cè)號(hào)等。通過消息文摘算法,對(duì)文件的加密數(shù)進(jìn)行檢驗(yàn)。這種技術(shù)的實(shí)現(xiàn)是運(yùn)行在一個(gè)閉環(huán)上,不斷地處理文件,系統(tǒng)目標(biāo),系統(tǒng)目標(biāo)屬性,然后產(chǎn)生檢驗(yàn)數(shù),把這些檢驗(yàn)數(shù)同原來的檢驗(yàn)數(shù)相比較。一旦發(fā)現(xiàn)改變就通知管理員。
④ 基于網(wǎng)絡(luò)的檢測技術(shù),它采用積極的,非破壞性的辦法來檢驗(yàn)系統(tǒng)是否有可能被攻擊崩潰。它利用了一系列的腳本模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為,然后對(duì)結(jié)果進(jìn)行分析。它還針對(duì)已知的網(wǎng)絡(luò)漏洞進(jìn)行檢驗(yàn)。網(wǎng)絡(luò)檢測技術(shù)常被用來進(jìn)行穿透實(shí)驗(yàn)和安全審記。這種技術(shù)可以發(fā)現(xiàn)一系列平臺(tái)的漏洞,也容易安裝。但是,它可能會(huì)影響網(wǎng)絡(luò)的性能。
優(yōu)秀的安全掃描產(chǎn)品應(yīng)該是綜合了以上4種方法的優(yōu)點(diǎn),最大限度的增強(qiáng)漏洞識(shí)別的精度。
二、安全掃描在企業(yè)部署安全策略中處于重要地位
從前面的介紹可以看出安全掃描在維護(hù)計(jì)算機(jī)安全方面起到的重要作用,但僅僅裝備安全掃描軟件是不夠的。
現(xiàn)有的信息安全產(chǎn)品中主要包括以下幾個(gè)部分(安全掃描屬于評(píng)估部分):防火墻,反病毒,加強(qiáng)的用戶認(rèn)證,訪問控制和認(rèn)證,加密,評(píng)估,記錄報(bào)告和預(yù)警,安全固化的用戶認(rèn)證,認(rèn)證,物理安全。這樣,在部署安全策略時(shí),有許多其它的安全基礎(chǔ)設(shè)施要考慮進(jìn)來,如防火墻,病毒掃描器,認(rèn)證與識(shí)別產(chǎn)品,訪問控制產(chǎn)品,加密產(chǎn)品,虛擬專用網(wǎng)等等。如何管理這些設(shè)備,是安全掃描系統(tǒng)和入侵偵測軟件(入侵偵測軟件往往包含在安全掃描系統(tǒng)中)的職責(zé)。通過監(jiān)視事件日志,系統(tǒng)受到攻擊后的行為和這些設(shè)備的信號(hào),作出反應(yīng)。這樣,安全掃描系統(tǒng)就把這些設(shè)備有機(jī)地結(jié)合在一起。因此,而安全掃描是一個(gè)完整的安全解決方案中的一個(gè)關(guān)鍵部分,在企業(yè)部署安全策略中處于非常重要的地位。
大家可能已經(jīng)注意到防火墻和安全掃描的同時(shí)存在,這是因?yàn)榉阑饓κ遣粔虻摹7阑饓Τ洚?dāng)了外部網(wǎng)和內(nèi)部網(wǎng)的一個(gè)屏障,但是并不是所有的外部訪問都是通過防火墻的。比如,一個(gè)未經(jīng)認(rèn)證的調(diào)制解調(diào)器把內(nèi)部網(wǎng)連到了外部網(wǎng),就對(duì)系統(tǒng)的安全構(gòu)成了威脅。此外,安全威脅往往并不全來自外部,很大一部分來自內(nèi)部。另外,防火墻本身也很有可能被黑客攻破。
結(jié)合了入侵偵測功能后,安全掃描系統(tǒng)具有以下功能:
① 協(xié)調(diào)了其它的安全設(shè)備;
② 使枯燥的系統(tǒng)安全信息易于理解,告訴了你系統(tǒng)發(fā)生的事情;
③ 跟蹤用戶進(jìn)入,在系統(tǒng)中的行為和離開的信息;
④ 可以報(bào)告和識(shí)別文件的改動(dòng);
⑤ 糾正系統(tǒng)的錯(cuò)誤設(shè)置;
⑥ 識(shí)別正在受到的攻擊;
⑦ 減輕系統(tǒng)管理員搜索最近黑客行為的負(fù)擔(dān);
⑧ 使得安全管理可由普通用戶來負(fù)責(zé);
⑨ 為制定安全規(guī)則提供依據(jù)。不過必須注意,安全掃描系統(tǒng)不是萬能的。首先,它不能彌補(bǔ)由于認(rèn)證機(jī)制薄弱帶來的問題,不能彌補(bǔ)由于協(xié)議本身的問題;此外,它也不能處理所有的數(shù)據(jù)包攻擊,當(dāng)網(wǎng)絡(luò)繁忙時(shí)它也分析不了所有的數(shù)據(jù)流;當(dāng)受到攻擊后要進(jìn)行調(diào)查,離不開安全專家的參與。
三、網(wǎng)絡(luò)安全和系統(tǒng)安全主要薄弱環(huán)節(jié)
要正確部署安全策略、有針對(duì)性的使用安全掃描產(chǎn)品,有必要了解一下安全的主要薄弱環(huán)節(jié)在哪里。下面提到的三個(gè)問題是產(chǎn)生安全漏洞的主要原因:
① 軟件自身安全性差。很多軟件在設(shè)計(jì)時(shí)忽略或者很少考慮安全性問題,考慮了安全性的軟件產(chǎn)品也往往因?yàn)殚_發(fā)人員缺乏安全培訓(xùn)、沒有安全經(jīng)驗(yàn)而造成了安全漏洞。這樣產(chǎn)生的安全漏洞分為兩類:第一類,是由于操作系統(tǒng)本省設(shè)計(jì)缺陷帶來的安全漏洞,這類漏洞將被運(yùn)行在該系統(tǒng)上的應(yīng)用程序所繼承;第二類是應(yīng)用軟件程序的安全漏洞。第二類漏洞更為常見,更需要得到廣泛的關(guān)注。
② 安全策略不當(dāng)。保證系統(tǒng)安全不是僅僅使用個(gè)別安全工具就能做到的,需要在對(duì)網(wǎng)絡(luò)進(jìn)行總體分析的前提下制定安全策略,并且用一系列的安全軟件來實(shí)現(xiàn)一個(gè)完整的安全解決方案。常見的錯(cuò)誤例子是使用了防火墻而忽略了掃描系統(tǒng),或者相反。
③ 人員缺乏安全意識(shí)。前面闡述的一切都是在技術(shù)層面上對(duì)網(wǎng)絡(luò)安全進(jìn)行分析和討論,所有這一切都需要人來完成。保證系統(tǒng)的安全,僅靠安全軟件是不夠的,同時(shí)要注重安全管理人才的培養(yǎng),提高安全防范意識(shí),最終做到安全有效的防范。而當(dāng)前人員安全意識(shí)的培養(yǎng)還遠(yuǎn)遠(yuǎn)不夠,在現(xiàn)在的網(wǎng)絡(luò)環(huán)境中,絕大多數(shù)漏洞存在的原因在于管理員對(duì)系統(tǒng)進(jìn)行了錯(cuò)誤的配置,或者沒有及時(shí)的升級(jí)系統(tǒng)軟件到最新的版本。
四、安全掃描技術(shù)的發(fā)展趨勢
安全掃描軟件從最初的專門為UNIX系統(tǒng)編寫的一些只具有簡單功能的小程序,發(fā)展到現(xiàn)在,已經(jīng)出現(xiàn)了多個(gè)運(yùn)行在各種操作系統(tǒng)平臺(tái)上的、具有復(fù)雜功能的商業(yè)程序。今后的發(fā)展趨勢,我們認(rèn)為有以下幾點(diǎn):
① 使用插件(plugin)或者叫做功能模塊技術(shù)。每個(gè)插件都封裝一個(gè)或者多個(gè)漏洞的測試手段,主掃描程序通過調(diào)用插件的方法來執(zhí)行掃描。僅僅是添加新的插件就可以使軟件增加新功能,掃描更多漏洞。在插件編寫規(guī)范公布的情況下,用戶或者第三方公司甚至可以自己編寫插件來擴(kuò)充軟件的功能。同時(shí)這種技術(shù)使軟件的升級(jí)維護(hù)都變得相對(duì)簡單,并具有非常強(qiáng)的擴(kuò)展性。
② 使用專用腳本語言。這其實(shí)就是一種更高級(jí)的插件技術(shù),用戶可以使用專用腳本語言來擴(kuò)充軟件功能。這些腳本語言語法通常比較簡單易學(xué),往往用十幾行代碼就可以定制一個(gè)簡單的測試,為軟件添加新的測試項(xiàng)。腳本語言的使用,簡化了編寫新插件的編程工作,使擴(kuò)充軟件功能的工作變得更加容易,也更加有趣。
③ 由安全掃描程序到安全評(píng)估專家系統(tǒng)。最早的安全掃描程序只是簡單的把各個(gè)掃描測試項(xiàng)的執(zhí)行結(jié)果羅列出來,直接提供給測試者而不對(duì)信息進(jìn)行任何分析處理。而當(dāng)前較成熟的掃描系統(tǒng)都能夠?qū)?duì)單個(gè)主機(jī)的掃描結(jié)果整理,形成報(bào)表,能夠并對(duì)具體漏洞提出一些解決方法,但對(duì)網(wǎng)絡(luò)的狀況缺乏一個(gè)整體的評(píng)估,對(duì)網(wǎng)絡(luò)安全沒有系統(tǒng)的解決方案。未來的安全掃描系統(tǒng),應(yīng)該不但能夠掃描安全漏洞,還能夠智能化的協(xié)助網(wǎng)絡(luò)信息系統(tǒng)管理人員評(píng)估本網(wǎng)絡(luò)的安全狀況,給出安全建議,成為一個(gè)安全評(píng)估專家系統(tǒng)。
五、用戶選擇安全掃描產(chǎn)品應(yīng)注意的問題
談到這里,也許有些計(jì)算機(jī)安全管理人員開始考慮購買一套安全掃描系統(tǒng),那么,購買此類產(chǎn)品需要考慮哪些方面呢?我們認(rèn)為以下幾點(diǎn)是要注意的:
① 升級(jí)問題。由于當(dāng)今應(yīng)用軟件功能日趨復(fù)雜化、軟件公司在編寫軟件時(shí)很少考慮安全性等等多種原因,網(wǎng)絡(luò)軟件漏洞層出不窮,這使優(yōu)秀的安全掃描系統(tǒng)必須有良好的可擴(kuò)充性和迅速升級(jí)的能力。因此,在選擇產(chǎn)品時(shí),首先要注意產(chǎn)品是否能直接從因特網(wǎng)升級(jí)、升級(jí)方法是否能夠被非專業(yè)人員掌握,同時(shí)要注意產(chǎn)品制造者有沒有足夠的技術(shù)力量來保證對(duì)新出現(xiàn)漏洞作出迅速的反應(yīng)。
② 可擴(kuò)充性。對(duì)具有比較深厚的網(wǎng)絡(luò)知識(shí),并且希望自己擴(kuò)充產(chǎn)品功能的用戶來說,應(yīng)用了功能模塊或插件技術(shù)的產(chǎn)品應(yīng)該是首選。
③ 全面的解決方案。前面已經(jīng)指出,網(wǎng)絡(luò)安全管理需要多種安全產(chǎn)品來實(shí)現(xiàn),僅僅使用安全掃描系統(tǒng)是難以保證網(wǎng)絡(luò)的安全的。選擇安全掃描系統(tǒng),要考慮產(chǎn)品制造商能否提供包括防火墻、網(wǎng)絡(luò)監(jiān)控系統(tǒng)等完整產(chǎn)品線的全面的解決方案。
④ 人員培訓(xùn)。前面已經(jīng)分析過,網(wǎng)絡(luò)安全中人是薄弱的一環(huán),許多安全因素是與網(wǎng)絡(luò)用戶密切相關(guān)的,提高本網(wǎng)絡(luò)現(xiàn)有用戶、特別是網(wǎng)絡(luò)管理員的安全意識(shí)對(duì)提高網(wǎng)絡(luò)安全性能具有非同尋常的意義。因此,在選擇安全掃描產(chǎn)品時(shí),要考慮制造商有無能力提供安全技術(shù)培訓(xùn)。
有關(guān)安全掃描的知識(shí)就談到這里,希望能夠有助于讀者增加安全知識(shí)、提高安全意識(shí),在大家的共同的努力下,加強(qiáng)我國的網(wǎng)絡(luò)安全建設(shè)。
責(zé)任編輯 趙毅 zhaoyi#51cto.com TEL:(010)68476636-8001
