基于漏洞掃描技術的網絡安全評估方法研究

范海峰

南海艦隊指揮所 廣東 524001

0 引言

隨著社會信息化程度越來越高，用戶所處的信息化環境也越來越復雜，各種網絡安全問題接踵而來，主動的、被動的攻擊每分每秒都在網絡上發生，用戶對信息安全的重視程度越來越高。在這場沒有硝煙的戰爭中，攻防雙方都在努力尋找克敵制勝的方法，而漏洞掃描無疑是一把利劍，攻擊者通過它可以尋找網絡或系統的弱點進行攻擊，防守者也能通過它來找出自身存在的弱點，消除安全隱患，防范攻擊。基于漏洞掃描技術的網絡安全評估，就是利用漏洞掃描技術主動的、非破壞性的特點，對系統進行自動檢測并生成檢測報告，通過對檢測報告的分析判斷，確定網絡風險程度，生成網絡安全評估報告提供給網絡管理員，由網絡管理員進行手動干預或通過安全防護設備聯動機制消除網絡風險，從而做到先敵一步，未雨綢繆，為網絡安全防護工作助力護航。

1 漏洞掃描技術介紹

1.1 漏洞的定義

漏洞的定義方法很多，在計算機網絡安全領域，廣泛公認的定義主要有兩種：一種是 Vulnerability，即弱點，指因為操作系統和各種應用軟件在頂層設計或者程序編碼上客觀存在的缺陷和大意，從而為攻擊者提供了攻擊的途徑，另外一種是Exploit，除了弱點所包含的攻擊途徑外還包括了攻擊者的入侵行為。比較常見的漏洞有 Windows操作系統漏洞，office安全漏洞、IE瀏覽器安全漏洞等。從各種網絡安全事件當中我們不難發現，黑客的攻擊絕大多數都是利用被入侵系統的漏洞才能完成有效的攻擊，所以作為網絡安全防護一方就必須盡早的、主動地尋找網絡存在的各種漏洞或者說弱點，及時進行防護。

1.2 漏洞掃描技術概述

目前計算機安全產品主要有反病毒、防火墻、商用密碼、CA系統以及入侵檢測與漏洞掃描。其中反病毒、防火墻和入侵檢測這三類與網絡攻擊相關的產品都是屬于被動防御的范疇，而漏洞掃描產品則屬于主動防御。它能夠在可能的黑客攻擊發生之前找出系統存在的漏洞，并提醒系統管理員將其修補。漏洞掃描技術，是基于網絡的、探測目標網絡或設備信息的技術，其原理是依靠tcp/ip探測，發現目標網絡或設備的配置文件、端口的分配、所開放的網絡服務類型、服務器的操作系統等各類有用信息，繼而通過模擬黑客的攻擊手段，對系統可能存在的漏洞進行一一檢測，最終確定系統存在的安全漏洞，提供給網絡管理員。漏洞掃描技術經過幾十年的不斷發展已經比較成熟，對其的分類也主要有兩種方式，一是根據其工作過程，二是根據其工作原理。

根據其工作過程，可以分為確定目標存活技術，目標信息收集技術、目標漏洞掃描技術三個部分。確定目標存活是，利用 ping掃描，通過向目標系統發送各種 tcp、udp報文，根據目標是否返回報文和返回的報文內容從而確定目標系統是否在線，其主要包括ICMP廣播、ICMP掃射、ICMP非回顯、TCP和 UDP掃射；目標信息收集是在確定目標系統在線的前提下，通過端口掃描、操作系統判別和系統服務識別來確定目標系統所開放的端口，所運行的操作系統和所提供的系統服務，其主要包括全(半)連接掃描、秘密掃描、欺騙掃描、主被動協議棧識別和旗標獲取等等；目標漏洞掃描，是根據掌握的目標信息對目標系統進行有選擇的漏洞探測，選擇的依據主要基于漏洞數據庫和漏洞掃描插件。

根據其工作原理可分為基于主機的掃描和基于網絡的掃描技術。基于主機的掃描，一般在主機上安裝代理軟件，針對主機的操作系統進行掃描檢測，涉及系統內核、文件屬性、系統補丁，也包括弱口令分析等。主要采用客戶/服務端架構；基于網絡的掃描是通過網絡對遠程目標進行漏洞探測，主要是基于漏洞特征庫構造數據包發送給目標系統，或者通過插件隊目標系統進行掃描，確定對方是否存在相應的漏洞。

例如，檢測Microsoft sql server中是否存在Ddos漏洞，可以向sql server建立連接，觀察是否連接成功，然后發送連續字節數的0并關閉連接，等待數秒后再次向sql server發起建立連接請求，如果不能連接，則說明 Microsoft sql server中是存在Ddos漏洞。

2 漏洞掃描技術的風險評估應用

任何一種技術，如果沒有應用也就失去了其存在的價值，漏洞掃描技術也同樣如此。網絡管理員了解掌握了這種技術之后，關鍵是如何把它更合理、更有效地應用到網絡安全管理當中去，網絡風險評估正是漏洞掃描技術能夠大展身手的舞臺。

2.1 網絡風險評估概述

在計算機網絡安全領域，網絡風險評估非常重要。在網絡上連接的任何一臺計算機中存在的系統漏洞都可能讓躲在網絡上其它地方蠢蠢欲動的惡意攻擊者獲得侵入計算機網絡內部，破壞計算機網絡信息數據的完整性、可用性、機密性。網絡風險評估，是對網絡自身存在的脆弱性狀況，外界環境可能導致網絡安全事件發生的可能性以及可能造成的影響進行評價，其最終目的是要指導系統管理員在“安全代價”和“侵入可能性”這兩者之間找到平衡。 網絡風險評估方法主要經歷了從手動評估到自動評估，由局部評估向整體評估，由基于規則的評估向基于模型的評估的發展過程。

2.2 漏洞掃描技術的評估應用

漏洞掃描技術在網絡風險評估中的應用，主要是采用基于規則的自動化的掃描技術，對網絡系統進行漏洞檢測，生成報表提供給網絡管理員，報表中包括掃描的漏洞結果，并對掃描出來的漏洞提出解決方法或建議。在系統實現上可以采用了客戶端／服務器的結構，也可以采用瀏覽器/服務器的架構。客戶端／服務器的結構是通過在分布式網絡的多個不同物理地點安裝掃描代理，并在中央控制臺進行集中管理的方式，實現漏洞掃描的策略下發、策略執行、策略制定和漏洞特征庫的升級和插件的更新。瀏覽器/服務器的架構使用戶使用瀏覽器向服務器提出掃描申請，由服務器執行掃描，并以風險評估報告的形式向用戶提供掃描處理結果。

在漏洞掃描技術的應用過程中，主要涉及到了三個主要的問題，一是漏洞特征庫的更新，二是漏洞的匹配規則，三是漏洞的風險等級或影響程度的判斷。

所謂漏洞特征庫，是網絡安全專家、網絡管理員根據所發布的安全漏洞，結合黑客攻擊案例和實際安全配置工作經驗所制定出的漏洞檢測匹配條件庫。漏洞特征庫的完整性，主要影響漏洞掃描的準確性。漏洞掃描的主要依據就是漏洞特征庫，安全評估系統將收集到目標信息與漏洞特征庫進行匹配，如果匹配成功，則說明信息存在相應的漏洞。現在一個漏洞出現后，從漏洞確認到漏洞可利用性判定只需要幾天的時間，為了使所防護的網絡不遭受最新的安全漏洞威脅，必須盡可能的縮短漏洞特征庫的更新時間。漏洞特征庫的更新的主要來源是免費性來源和商業性來源，第一個免費漏洞來源是BugTraq的黑客郵件列表，用戶通過發送郵件的方式就可以免費獲得。商業性來源是為機構提供的需要購買的安全服務，相對免費來源，商業性來源的時效性更強，性價比更高，網絡管理員可以根據自身的防護要求進行取舍或者綜合使用。

漏洞的匹配規則，是基于規則進行漏洞確認的基礎，通過匹配規則的有效制定，可以提高漏洞掃描的工作效率，減少漏洞的誤報率和漏報率。漏洞的匹配規則可以人為制定，也可以通過選擇掃描軟件內置的匹配規則內容來實施。隨著漏洞特征庫的升級，漏洞的匹配規則也需要不斷的更新、擴充和修改。

漏洞風險等級或者影響程度的判斷，在有效識別出系統存在的漏洞后就需要進一步確定漏洞的風險等級，從而判斷出哪些漏洞需要優先進行處理，哪些是可以忽略或者說非破壞性的漏洞。判斷的依據主要是兩點，一是漏洞對系統可能造成的危害和影響有多大，二是所影響的資源有多重要。在進行相互的比較后，確定急需處理的系統資源和危害最大的漏洞，并最終體現在評估報告中。

3 結束語

作為網絡風險評估工具，漏洞掃描在技術和應用方面已非常成熟。漏洞掃描技術能夠適應復雜的網絡環境，高效、自動地遠程對目標網絡和設備進行全面的風險評估，報告危險等級。通過采用漏洞掃描技術的網絡風險評估，網絡管理員可以根據評估報告采取相應的措施，例如給系統打補丁、關閉不需要的應用服務等來對系統進行加固。

[1]張玉清,戴祖鋒,謝崇斌.安全掃描技術.北京:清華大學出版社.

[2]劉健,曹耀欽,網絡隱蔽掃描技術的研究.計算機工程與設計.2004.

[3]葉安新.網絡安全與防火墻技術[J].大眾標準化.2005.

[4]王群.計算機網絡安全技術.清華大學出版社.2008.

[5]胡道元,閔京華.網絡安全.清華大學出版社.2008.

[6]洪宏,張玉清,胡予浪等.網絡安全掃描技術研究.計算機工程.2004.