栗勇兵 董啟雄 龔瀛

摘要:近年來不斷發(fā)生的網(wǎng)絡(luò)攻擊事件使人們深刻地意識到網(wǎng)絡(luò)安全的重要性。 脆弱性評估技術(shù)能夠找出網(wǎng)絡(luò)系統(tǒng)中存在的安全隱患和可能被入侵者利用的安全漏洞,可以在攻擊事件發(fā)生之前發(fā)現(xiàn)問題并進行彌補,在很大程度上提高了網(wǎng)絡(luò)系統(tǒng)的安全性。

關(guān)鍵詞:網(wǎng)絡(luò) 系統(tǒng)脆弱性 評估

1、脆弱性評估概述

計算機網(wǎng)絡(luò)系統(tǒng)在設(shè)計、實施、操作和控制過程中存在的可能被攻擊者利用從而造成系統(tǒng)安全危害的缺陷稱為脆弱性(Vulnerability)。由于網(wǎng)絡(luò)應(yīng)用程序或者其他程序的瑕疵不可避免,入侵者很容易利用網(wǎng)絡(luò)系統(tǒng)中存在的脆弱性實施攻擊,獲取被攻擊系統(tǒng)的機密信息,甚至取得被攻擊系統(tǒng)的超級權(quán)限為所欲為。以上這些行為都可能導(dǎo)致系統(tǒng)的保密性、完整性和可用性受到損害。網(wǎng)絡(luò)系統(tǒng)存在的脆弱性是網(wǎng)絡(luò)攻擊發(fā)生的前提,沒有脆弱性,也就不存在網(wǎng)絡(luò)攻擊。漏洞之間的關(guān)聯(lián)性、主機之間的依賴性、服務(wù)的動態(tài)性及網(wǎng)絡(luò)系統(tǒng)連接的復(fù)雜性決定了網(wǎng)絡(luò)系統(tǒng)脆弱性評估是一項非常復(fù)雜的工作。

我國信息系統(tǒng)風(fēng)險評估的研究是近幾年才起步的,目前主要工作集中于組織架構(gòu)和業(yè)務(wù)體系的建立,相應(yīng)的標準體系和技術(shù)體系還處于研究階段,但隨著電子政務(wù)、電子商務(wù)的蓬勃發(fā)展,信息系統(tǒng)風(fēng)險評估領(lǐng)域和以該領(lǐng)域為基礎(chǔ)和前提的信息、系統(tǒng)安全工程在我國己經(jīng)得到政府、軍隊、企業(yè)、科研機構(gòu)的高度重視,具有廣闊的研究和發(fā)展空間。

無論國外還是國內(nèi),安全模型的建立、標準的選擇、要素的提取、方法的研究、實施的過程,一直都是研究的重點。信息安全風(fēng)險評估過程中幾個關(guān)鍵環(huán)節(jié)是:資產(chǎn)評估、威脅評估和脆弱性評估。所謂資產(chǎn)評估,就是對資產(chǎn)進行識別,并對資產(chǎn)的重要性進行賦值;所謂威脅評估,就是對威脅進行識別,描述威脅的屬性,并對威脅出現(xiàn)的頻率賦值。

脆弱性評估(vulnerability Assessment)是指依靠各種管理和技術(shù)手段對網(wǎng)絡(luò)系統(tǒng)進行檢測,找出安全隱患和可能被不法人員利用的系統(tǒng)缺陷,根據(jù)檢測結(jié)果分析評估系統(tǒng)的安全狀況,并且在此基礎(chǔ)上根據(jù)評估結(jié)果制定恰當(dāng)?shù)陌踩呗?為安全體系的運行提供參考依據(jù),使網(wǎng)絡(luò)系統(tǒng)根據(jù)變化及時進行調(diào)整以保持風(fēng)險等級始終處于可接受的范圍之內(nèi)。脆弱性評估的目的是通過識別和分析信息系統(tǒng)的脆弱性,找出信息系統(tǒng)中相對比較薄弱的部分,為安全策略的確定和控制措施的采取提供理論依據(jù)。

信息安全風(fēng)險評估涉及四個主要因素是:資產(chǎn),威脅,脆弱性,風(fēng)險。資產(chǎn)是對組織具有價值的信啟、資源,是安全策略保護的對象;威脅是可能對資產(chǎn)或組織造成損害的潛在原因;脆弱性是可能被威脅利用而對資產(chǎn)造成損害的薄弱環(huán)節(jié);風(fēng)險是人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件及其對組織造成的影響。

目前,從網(wǎng)絡(luò)系統(tǒng)脆弱性評估的發(fā)展?fàn)顩r上來看,這個研究領(lǐng)域正處于發(fā)展期。在計算機網(wǎng)絡(luò)系統(tǒng)脆弱性評估領(lǐng)域所要研究的問題很多,包括脆弱性因素提取、量化指標建立、評估方法確定、評估標準過程、數(shù)學(xué)模型建立、關(guān)鍵結(jié)點分析、關(guān)鍵路徑分析、漏洞依賴關(guān)系、主機信任關(guān)系、評估輔助決策等各個方面。更為重要的是如何將上述各方面問題有機地結(jié)合起來,形成計算機網(wǎng)絡(luò)系統(tǒng)脆弱性評估規(guī)范流程及系統(tǒng)框架。

歸納起來,針對計算機網(wǎng)絡(luò)系統(tǒng)脆弱性評估的研究主要包括:①評估的目標;②評估的標準;③評估的規(guī)范流程;④評估技術(shù)及評估模型;⑤評估輔助決策。

2、脆弱性評估方法

網(wǎng)絡(luò)系統(tǒng)的脆弱性評估就其操作方法來說可以分為以下四種:基于安全標準的方法、基于財產(chǎn)價值的方法、基于漏洞檢測的方法以及基于安全模型的方法。其中的漏洞檢測是目前比較成熟的技術(shù),基于安全模型的方法一般都是建立在漏洞檢測的評估方法之上。這種方法的優(yōu)點在于模型的建立比規(guī)則的提取簡單,能夠全面地反映系統(tǒng)中存在的安全隱患,而且能夠發(fā)現(xiàn)未知的攻擊模式和系統(tǒng)脆弱性,因而特別適合于對系統(tǒng)進行全面的評估,這種方法己經(jīng)逐步成為國內(nèi)外許多研究機構(gòu)和學(xué)者的重點研究方向。

在基于模型的脆弱性評估方法中,攻擊圖分析法是主流的評估方法,而攻擊圖分析法又分為兩類:模型檢測法和基于圖論的方法。

2.1 模型檢測法

指在一個給定自動機模型上,檢測這個模型是否滿足某個性質(zhì),如果滿足則回答“是”,如果不滿足則回答“否”并給出一個反例。紐約州立大學(xué)的Ramakrishnan和Sekar首先提出將模型檢測的方法應(yīng)用在主機弱點綜合分析上。GMU的研究人員Ritchey和Ammann在其攻擊圖生成方法研究的最初階段使用了模型檢測方法及模型檢測工具SMV。CMU的系統(tǒng)安全分析課題組改進了模型檢測工具Mums,用來生成評估目標的網(wǎng)絡(luò)攻擊圖,Sheyner通過這種方法構(gòu)造出攻擊圖后,應(yīng)用在了入侵檢測系統(tǒng)(IDS)的警報關(guān)聯(lián),以及從單個攻擊行為來預(yù)警攻擊。使用模型檢測方法面臨的一個主要問題是系統(tǒng)狀態(tài)空間過大。信息系統(tǒng)的狀態(tài)由各個實體、弱點、主機連接、安全需求等各種信啟、組成,在使用模型檢測方法的分析過程中待考察的狀態(tài)數(shù)量呈指數(shù)級增長,從而導(dǎo)致使用的存儲空間巨大。

2.2 基于圖論的方法

Sandia National Laboratories的Phillips和Swiler在1998年首先用圖論的思想生成了網(wǎng)絡(luò)攻擊圖,后來在DARPA的資助下完成了對攻擊圖的分析和去除冗余節(jié)點和邊的工作。Ammann及其同事放棄了模型檢測方法而使用基于圖論的方法生成攻擊圖,并在其中做了安全單調(diào)性假設(shè),用正向廣度搜索的方式生成了攻擊圖。哈爾濱工業(yè)大學(xué)的張濤博士也用類似的方法實現(xiàn)了一個安全性分析系統(tǒng)。這種方法具有良好的空間復(fù)雜性和時間復(fù)雜性,但其所建立的模型復(fù)雜,當(dāng)面對較大網(wǎng)絡(luò)時,對程序的運行效率影響比較大,而且生成的攻擊圖極為復(fù)雜。GMU的Ritchey和Steven Noel等人提出了拓撲脆弱性分析的概念,更加細致地描述了主機之間的連接關(guān)系對信息、系統(tǒng)安全的影響。

3、現(xiàn)有脆弱性評估系統(tǒng)分析對比

目前的脆弱性評估系統(tǒng)主要可以分為以下兩類:基于單機的局部脆弱性評估系統(tǒng)(簡稱局部評估)和基于網(wǎng)絡(luò)系統(tǒng)的整體脆弱性評估系統(tǒng)(簡稱整體評估)。

3.1 基于單機的局部脆弱性評估

局部評估側(cè)重于檢測并分析單一主機存在的脆弱性,比較典型的工具主要有以下兩種種:

(1)SAINT (security Administrators Integrated Network Tool)。全稱安全管理員集成網(wǎng)絡(luò)工具,它是在著名的脆弱性檢測工具SATAN的基礎(chǔ)上發(fā)展而來的。

SAINT可以幫助系統(tǒng)安全管理人員收集網(wǎng)絡(luò)主機信息,發(fā)現(xiàn)存在或者潛在的系統(tǒng)缺陷;提供主機安全性評估報告;進行主機安全策略測試。SAINT還具有非常友好的界面,用戶可以在本地或者遠程通過Netscape、Mozilla、Microsoft Internet Explorer等瀏覽器對其進行管理。

(2)ISS(Internet Security Systems)的SAFEsuite產(chǎn)品族。SAFEsulte主要包括三部分功能:安全評價、入侵檢測和安全管理方案,幫助用戶設(shè)計合理的安全策略。

安全評價平臺由三個安全評價應(yīng)用程序組成:Internet Scanner,Database Scanner和System Scanner。Internet Scanner鑒別和定位技術(shù)弱點,提供自動的、基于網(wǎng)絡(luò)的安全評價和策略一致性評估,通過定時或事件驅(qū)動探測網(wǎng)絡(luò)通信服務(wù)、OS、路由器、E-mail、Web服務(wù)器、防火墻和應(yīng)用程序,從而鑒別可能導(dǎo)致未授權(quán)網(wǎng)絡(luò)訪問的系統(tǒng)虛弱性,并提供關(guān)于風(fēng)險預(yù)測、風(fēng)險量化和風(fēng)險管理的信息。Database Scanner自動鑒別數(shù)據(jù)庫系統(tǒng)中的從弱口令到Trojan horse這些弱點,帶內(nèi)置的弱點知識庫,可用于Oracle,MS SQL Server, Sybase數(shù)據(jù)庫。System Scanner是一個可擴展的基于主機manager/agent的系統(tǒng),用于檢查和管理與安全策略的一致性,它檢測安全弱點、與安全相關(guān)的誤配置及策略不一致性,可用于單個服務(wù)器到大規(guī)模分布式網(wǎng)絡(luò)的系統(tǒng)的邏輯安全和系統(tǒng)完整性,對檢測到的弱點提供較詳細的解決和改正措施。

入侵檢測平臺Real secure包括Sensors(網(wǎng)絡(luò)Sensor和0S Sensor)和Managers組成,可檢測網(wǎng)絡(luò)中的攻擊和濫用。攻擊包括Dos(如Win Nuke, SYN Flood,LAND,停止服務(wù))、未授權(quán)的訪問企圖(如Back Orifice訪問和Brute Force登錄)、可疑活動(如TFTP包)、安全后門程序的企圖(如BO)、修改數(shù)據(jù)或Web內(nèi)容的企圖等。濫用檢測包括濫用管理特權(quán)、HTTP活動、Windows共享分析等。

安全管理方案SAFEsuite Decisions集成上面組件生成的安全數(shù)據(jù),簡化網(wǎng)絡(luò)安全管理。

3.2 基于網(wǎng)絡(luò)系統(tǒng)的整體脆弱性評估

整體評估以局部評估結(jié)果為基礎(chǔ),結(jié)合網(wǎng)絡(luò)系統(tǒng)從網(wǎng)絡(luò)整體的角度對網(wǎng)絡(luò)中存在的各種配置脆弱性、軟件脆弱性以及脆弱性之間關(guān)系進行關(guān)聯(lián)分析。

最早的整體評估思想是由Zerkle和Levitt提出的,其相應(yīng)工具為NetKuan,NetKuang分析不同UNIX主機上各種配置脆弱性之間的關(guān)聯(lián)關(guān)系,但不能分析其他操作系統(tǒng)和其他類型的脆弱性?？偟膩碚f,這個模型比較粗糙,但它的思想有很強的借鑒意義。

1997年Swiler等人提出了基于攻擊圖的整體評估模型。在該模型中,攻擊圖的一個結(jié)點代表一個可能的攻擊狀態(tài),結(jié)點內(nèi)容通常包括主機名、用戶權(quán)限、攻擊的影響等,每條弧代表攻擊者的一個攻擊行為引起的狀態(tài)改變。模型采用攻擊模版描述各種攻擊行為,初始時,給定一個目標狀態(tài),然后通過已有的攻擊模版,從目標狀態(tài)反向生成系統(tǒng)攻擊圖,如果生成成功,則表明系統(tǒng)存在相應(yīng)的脆弱性。

參考文獻:

【1】邢栩嘉、林闖、蔣屹新.計算機系統(tǒng)脆弱性評估研究.計算機學(xué)報,2004, 27(l):4-6頁

【2】夏陽、陸余良、楊國正.計算機網(wǎng)絡(luò)脆弱性評估技術(shù)研究.計算機工程, 2007,33(19):143-144頁