網(wǎng)絡(luò)系統(tǒng)脆弱性評(píng)估

栗勇兵 董啟雄 龔瀛

摘要:近年來(lái)不斷發(fā)生的網(wǎng)絡(luò)攻擊事件使人們深刻地意識(shí)到網(wǎng)絡(luò)安全的重要性。 脆弱性評(píng)估技術(shù)能夠找出網(wǎng)絡(luò)系統(tǒng)中存在的安全隱患和可能被入侵者利用的安全漏洞,可以在攻擊事件發(fā)生之前發(fā)現(xiàn)問(wèn)題并進(jìn)行彌補(bǔ),在很大程度上提高了網(wǎng)絡(luò)系統(tǒng)的安全性。

關(guān)鍵詞:網(wǎng)絡(luò) 系統(tǒng)脆弱性 評(píng)估

1、脆弱性評(píng)估概述

計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)在設(shè)計(jì)、實(shí)施、操作和控制過(guò)程中存在的可能被攻擊者利用從而造成系統(tǒng)安全危害的缺陷稱(chēng)為脆弱性(Vulnerability)。由于網(wǎng)絡(luò)應(yīng)用程序或者其他程序的瑕疵不可避免,入侵者很容易利用網(wǎng)絡(luò)系統(tǒng)中存在的脆弱性實(shí)施攻擊,獲取被攻擊系統(tǒng)的機(jī)密信息,甚至取得被攻擊系統(tǒng)的超級(jí)權(quán)限為所欲為。以上這些行為都可能導(dǎo)致系統(tǒng)的保密性、完整性和可用性受到損害。網(wǎng)絡(luò)系統(tǒng)存在的脆弱性是網(wǎng)絡(luò)攻擊發(fā)生的前提,沒(méi)有脆弱性,也就不存在網(wǎng)絡(luò)攻擊。漏洞之間的關(guān)聯(lián)性、主機(jī)之間的依賴(lài)性、服務(wù)的動(dòng)態(tài)性及網(wǎng)絡(luò)系統(tǒng)連接的復(fù)雜性決定了網(wǎng)絡(luò)系統(tǒng)脆弱性評(píng)估是一項(xiàng)非常復(fù)雜的工作。

我國(guó)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的研究是近幾年才起步的,目前主要工作集中于組織架構(gòu)和業(yè)務(wù)體系的建立,相應(yīng)的標(biāo)準(zhǔn)體系和技術(shù)體系還處于研究階段,但隨著電子政務(wù)、電子商務(wù)的蓬勃發(fā)展,信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估領(lǐng)域和以該領(lǐng)域?yàn)榛A(chǔ)和前提的信息、系統(tǒng)安全工程在我國(guó)己經(jīng)得到政府、軍隊(duì)、企業(yè)、科研機(jī)構(gòu)的高度重視,具有廣闊的研究和發(fā)展空間。

無(wú)論國(guó)外還是國(guó)內(nèi),安全模型的建立、標(biāo)準(zhǔn)的選擇、要素的提取、方法的研究、實(shí)施的過(guò)程,一直都是研究的重點(diǎn)。信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程中幾個(gè)關(guān)鍵環(huán)節(jié)是:資產(chǎn)評(píng)估、威脅評(píng)估和脆弱性評(píng)估。所謂資產(chǎn)評(píng)估,就是對(duì)資產(chǎn)進(jìn)行識(shí)別,并對(duì)資產(chǎn)的重要性進(jìn)行賦值;所謂威脅評(píng)估,就是對(duì)威脅進(jìn)行識(shí)別,描述威脅的屬性,并對(duì)威脅出現(xiàn)的頻率賦值。

脆弱性評(píng)估(vulnerability Assessment)是指依靠各種管理和技術(shù)手段對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢測(cè),找出安全隱患和可能被不法人員利用的系統(tǒng)缺陷,根據(jù)檢測(cè)結(jié)果分析評(píng)估系統(tǒng)的安全狀況,并且在此基礎(chǔ)上根據(jù)評(píng)估結(jié)果制定恰當(dāng)?shù)陌踩呗?為安全體系的運(yùn)行提供參考依據(jù),使網(wǎng)絡(luò)系統(tǒng)根據(jù)變化及時(shí)進(jìn)行調(diào)整以保持風(fēng)險(xiǎn)等級(jí)始終處于可接受的范圍之內(nèi)。脆弱性評(píng)估的目的是通過(guò)識(shí)別和分析信息系統(tǒng)的脆弱性,找出信息系統(tǒng)中相對(duì)比較薄弱的部分,為安全策略的確定和控制措施的采取提供理論依據(jù)。

信息安全風(fēng)險(xiǎn)評(píng)估涉及四個(gè)主要因素是:資產(chǎn),威脅,脆弱性,風(fēng)險(xiǎn)。資產(chǎn)是對(duì)組織具有價(jià)值的信啟、資源,是安全策略保護(hù)的對(duì)象;威脅是可能對(duì)資產(chǎn)或組織造成損害的潛在原因;脆弱性是可能被威脅利用而對(duì)資產(chǎn)造成損害的薄弱環(huán)節(jié);風(fēng)險(xiǎn)是人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件及其對(duì)組織造成的影響。

目前,從網(wǎng)絡(luò)系統(tǒng)脆弱性評(píng)估的發(fā)展?fàn)顩r上來(lái)看,這個(gè)研究領(lǐng)域正處于發(fā)展期。在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)脆弱性評(píng)估領(lǐng)域所要研究的問(wèn)題很多,包括脆弱性因素提取、量化指標(biāo)建立、評(píng)估方法確定、評(píng)估標(biāo)準(zhǔn)過(guò)程、數(shù)學(xué)模型建立、關(guān)鍵結(jié)點(diǎn)分析、關(guān)鍵路徑分析、漏洞依賴(lài)關(guān)系、主機(jī)信任關(guān)系、評(píng)估輔助決策等各個(gè)方面。更為重要的是如何將上述各方面問(wèn)題有機(jī)地結(jié)合起來(lái),形成計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)脆弱性評(píng)估規(guī)范流程及系統(tǒng)框架。

歸納起來(lái),針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)脆弱性評(píng)估的研究主要包括:①評(píng)估的目標(biāo);②評(píng)估的標(biāo)準(zhǔn);③評(píng)估的規(guī)范流程;④評(píng)估技術(shù)及評(píng)估模型;⑤評(píng)估輔助決策。

2、脆弱性評(píng)估方法

網(wǎng)絡(luò)系統(tǒng)的脆弱性評(píng)估就其操作方法來(lái)說(shuō)可以分為以下四種:基于安全標(biāo)準(zhǔn)的方法、基于財(cái)產(chǎn)價(jià)值的方法、基于漏洞檢測(cè)的方法以及基于安全模型的方法。其中的漏洞檢測(cè)是目前比較成熟的技術(shù),基于安全模型的方法一般都是建立在漏洞檢測(cè)的評(píng)估方法之上。這種方法的優(yōu)點(diǎn)在于模型的建立比規(guī)則的提取簡(jiǎn)單,能夠全面地反映系統(tǒng)中存在的安全隱患,而且能夠發(fā)現(xiàn)未知的攻擊模式和系統(tǒng)脆弱性,因而特別適合于對(duì)系統(tǒng)進(jìn)行全面的評(píng)估,這種方法己經(jīng)逐步成為國(guó)內(nèi)外許多研究機(jī)構(gòu)和學(xué)者的重點(diǎn)研究方向。

在基于模型的脆弱性評(píng)估方法中,攻擊圖分析法是主流的評(píng)估方法,而攻擊圖分析法又分為兩類(lèi):模型檢測(cè)法和基于圖論的方法。

2.1 模型檢測(cè)法

指在一個(gè)給定自動(dòng)機(jī)模型上,檢測(cè)這個(gè)模型是否滿(mǎn)足某個(gè)性質(zhì),如果滿(mǎn)足則回答“是”,如果不滿(mǎn)足則回答“否”并給出一個(gè)反例。紐約州立大學(xué)的Ramakrishnan和Sekar首先提出將模型檢測(cè)的方法應(yīng)用在主機(jī)弱點(diǎn)綜合分析上。GMU的研究人員Ritchey和Ammann在其攻擊圖生成方法研究的最初階段使用了模型檢測(cè)方法及模型檢測(cè)工具SMV。CMU的系統(tǒng)安全分析課題組改進(jìn)了模型檢測(cè)工具M(jìn)ums,用來(lái)生成評(píng)估目標(biāo)的網(wǎng)絡(luò)攻擊圖,Sheyner通過(guò)這種方法構(gòu)造出攻擊圖后,應(yīng)用在了入侵檢測(cè)系統(tǒng)(IDS)的警報(bào)關(guān)聯(lián),以及從單個(gè)攻擊行為來(lái)預(yù)警攻擊。使用模型檢測(cè)方法面臨的一個(gè)主要問(wèn)題是系統(tǒng)狀態(tài)空間過(guò)大。信息系統(tǒng)的狀態(tài)由各個(gè)實(shí)體、弱點(diǎn)、主機(jī)連接、安全需求等各種信啟、組成,在使用模型檢測(cè)方法的分析過(guò)程中待考察的狀態(tài)數(shù)量呈指數(shù)級(jí)增長(zhǎng),從而導(dǎo)致使用的存儲(chǔ)空間巨大。

2.2 基于圖論的方法

Sandia National Laboratories的Phillips和Swiler在1998年首先用圖論的思想生成了網(wǎng)絡(luò)攻擊圖,后來(lái)在DARPA的資助下完成了對(duì)攻擊圖的分析和去除冗余節(jié)點(diǎn)和邊的工作。Ammann及其同事放棄了模型檢測(cè)方法而使用基于圖論的方法生成攻擊圖,并在其中做了安全單調(diào)性假設(shè),用正向廣度搜索的方式生成了攻擊圖。哈爾濱工業(yè)大學(xué)的張濤博士也用類(lèi)似的方法實(shí)現(xiàn)了一個(gè)安全性分析系統(tǒng)。這種方法具有良好的空間復(fù)雜性和時(shí)間復(fù)雜性,但其所建立的模型復(fù)雜,當(dāng)面對(duì)較大網(wǎng)絡(luò)時(shí),對(duì)程序的運(yùn)行效率影響比較大,而且生成的攻擊圖極為復(fù)雜。GMU的Ritchey和Steven Noel等人提出了拓?fù)浯嗳跣苑治龅母拍?更加細(xì)致地描述了主機(jī)之間的連接關(guān)系對(duì)信息、系統(tǒng)安全的影響。

3、現(xiàn)有脆弱性評(píng)估系統(tǒng)分析對(duì)比

目前的脆弱性評(píng)估系統(tǒng)主要可以分為以下兩類(lèi):基于單機(jī)的局部脆弱性評(píng)估系統(tǒng)(簡(jiǎn)稱(chēng)局部評(píng)估)和基于網(wǎng)絡(luò)系統(tǒng)的整體脆弱性評(píng)估系統(tǒng)(簡(jiǎn)稱(chēng)整體評(píng)估)。

3.1 基于單機(jī)的局部脆弱性評(píng)估

局部評(píng)估側(cè)重于檢測(cè)并分析單一主機(jī)存在的脆弱性,比較典型的工具主要有以下兩種種:

(1)SAINT (security Administrators Integrated Network Tool)。全稱(chēng)安全管理員集成網(wǎng)絡(luò)工具,它是在著名的脆弱性檢測(cè)工具SATAN的基礎(chǔ)上發(fā)展而來(lái)的。

SAINT可以幫助系統(tǒng)安全管理人員收集網(wǎng)絡(luò)主機(jī)信息,發(fā)現(xiàn)存在或者潛在的系統(tǒng)缺陷;提供主機(jī)安全性評(píng)估報(bào)告;進(jìn)行主機(jī)安全策略測(cè)試。SAINT還具有非常友好的界面,用戶(hù)可以在本地或者遠(yuǎn)程通過(guò)Netscape、Mozilla、Microsoft Internet Explorer等瀏覽器對(duì)其進(jìn)行管理。

(2)ISS(Internet Security Systems)的SAFEsuite產(chǎn)品族。SAFEsulte主要包括三部分功能:安全評(píng)價(jià)、入侵檢測(cè)和安全管理方案,幫助用戶(hù)設(shè)計(jì)合理的安全策略。

安全評(píng)價(jià)平臺(tái)由三個(gè)安全評(píng)價(jià)應(yīng)用程序組成:Internet Scanner,Database Scanner和System Scanner。Internet Scanner鑒別和定位技術(shù)弱點(diǎn),提供自動(dòng)的、基于網(wǎng)絡(luò)的安全評(píng)價(jià)和策略一致性評(píng)估,通過(guò)定時(shí)或事件驅(qū)動(dòng)探測(cè)網(wǎng)絡(luò)通信服務(wù)、OS、路由器、E-mail、Web服務(wù)器、防火墻和應(yīng)用程序,從而鑒別可能導(dǎo)致未授權(quán)網(wǎng)絡(luò)訪問(wèn)的系統(tǒng)虛弱性,并提供關(guān)于風(fēng)險(xiǎn)預(yù)測(cè)、風(fēng)險(xiǎn)量化和風(fēng)險(xiǎn)管理的信息。Database Scanner自動(dòng)鑒別數(shù)據(jù)庫(kù)系統(tǒng)中的從弱口令到Trojan horse這些弱點(diǎn),帶內(nèi)置的弱點(diǎn)知識(shí)庫(kù),可用于Oracle,MS SQL Server, Sybase數(shù)據(jù)庫(kù)。System Scanner是一個(gè)可擴(kuò)展的基于主機(jī)manager/agent的系統(tǒng),用于檢查和管理與安全策略的一致性,它檢測(cè)安全弱點(diǎn)、與安全相關(guān)的誤配置及策略不一致性,可用于單個(gè)服務(wù)器到大規(guī)模分布式網(wǎng)絡(luò)的系統(tǒng)的邏輯安全和系統(tǒng)完整性,對(duì)檢測(cè)到的弱點(diǎn)提供較詳細(xì)的解決和改正措施。

入侵檢測(cè)平臺(tái)Real secure包括Sensors(網(wǎng)絡(luò)Sensor和0S Sensor)和Managers組成,可檢測(cè)網(wǎng)絡(luò)中的攻擊和濫用。攻擊包括Dos(如Win Nuke, SYN Flood,LAND,停止服務(wù))、未授權(quán)的訪問(wèn)企圖(如Back Orifice訪問(wèn)和Brute Force登錄)、可疑活動(dòng)(如TFTP包)、安全后門(mén)程序的企圖(如BO)、修改數(shù)據(jù)或Web內(nèi)容的企圖等。濫用檢測(cè)包括濫用管理特權(quán)、HTTP活動(dòng)、Windows共享分析等。

安全管理方案SAFEsuite Decisions集成上面組件生成的安全數(shù)據(jù),簡(jiǎn)化網(wǎng)絡(luò)安全管理。

3.2 基于網(wǎng)絡(luò)系統(tǒng)的整體脆弱性評(píng)估

整體評(píng)估以局部評(píng)估結(jié)果為基礎(chǔ),結(jié)合網(wǎng)絡(luò)系統(tǒng)從網(wǎng)絡(luò)整體的角度對(duì)網(wǎng)絡(luò)中存在的各種配置脆弱性、軟件脆弱性以及脆弱性之間關(guān)系進(jìn)行關(guān)聯(lián)分析。

最早的整體評(píng)估思想是由Zerkle和Levitt提出的,其相應(yīng)工具為NetKuan,NetKuang分析不同UNIX主機(jī)上各種配置脆弱性之間的關(guān)聯(lián)關(guān)系,但不能分析其他操作系統(tǒng)和其他類(lèi)型的脆弱性?？偟膩?lái)說(shuō),這個(gè)模型比較粗糙,但它的思想有很強(qiáng)的借鑒意義。

1997年Swiler等人提出了基于攻擊圖的整體評(píng)估模型。在該模型中,攻擊圖的一個(gè)結(jié)點(diǎn)代表一個(gè)可能的攻擊狀態(tài),結(jié)點(diǎn)內(nèi)容通常包括主機(jī)名、用戶(hù)權(quán)限、攻擊的影響等,每條弧代表攻擊者的一個(gè)攻擊行為引起的狀態(tài)改變。模型采用攻擊模版描述各種攻擊行為,初始時(shí),給定一個(gè)目標(biāo)狀態(tài),然后通過(guò)已有的攻擊模版,從目標(biāo)狀態(tài)反向生成系統(tǒng)攻擊圖,如果生成成功,則表明系統(tǒng)存在相應(yīng)的脆弱性。

參考文獻(xiàn):

【1】邢栩嘉、林闖、蔣屹新.計(jì)算機(jī)系統(tǒng)脆弱性評(píng)估研究.計(jì)算機(jī)學(xué)報(bào),2004, 27(l):4-6頁(yè)

【2】夏陽(yáng)、陸余良、楊國(guó)正.計(jì)算機(jī)網(wǎng)絡(luò)脆弱性評(píng)估技術(shù)研究.計(jì)算機(jī)工程, 2007,33(19):143-144頁(yè)