安全评估(风险评估)方向.ppt

安全评估(风险评估)方向 2008届毕业设计的规划和设想郑秋生2007-9-15,信息安全研究内容的发展,信息的保密性,信息的完整性可用性可控性 不可否认性,攻（攻击）防（防御）测（检测）控（控制）管（管理）评（评估）,（CIA）,安全评估(风险评估)方向 2008届毕业设计的规划和设想,题目的划分漏洞库的题目/夏冰、裴斐等基于主机的安全评估软件/郑秋生等基于网络的安全评估软件/孙飞显等相关的题目网络攻防技术/攻击效果的评估网络跟踪技术HoneyNet/HoneyPot 技术网络协议分析网络性能的测量和度量/定量分析 各题目间的组织、协调工作,漏洞库测试和系统管理,题目意义安全评估两个版本（基于主机、基于网络）的重要基础工作主要工作：漏洞的扫描漏洞的研究漏洞的渗透工作量大一个一个收集、存在性测试、分析、写两个版本的测试代码（Plugin）有技术难度耐着性子 一个一个的进行，统计、显示每个漏洞的工作进度状况，做到心里有数（作了什么？程度如何？还需要作什么？）,漏洞库测试和系统管理,主要工作（合计人数：14 21人）按照漏洞库生命周期的几个阶段进行详细的研究漏洞的发现、公布、利用、最终被修补的过程/参考 吴亚非 的书建立漏洞库（1人）按照安全评估的需要，建立自己的漏洞库，有自己的独特字段与安全评估软件（基于主机、基于网络）、解决放案紧密相连参考主要的公开漏洞源（CCERT、CERT、CVE、TRAQBUG 等）05-08年漏洞信息的收集（2人）Windows（不同版本）2005、06、07、08年的漏洞与Windows 应用有关的各种服务、应用程序05-08年的主要漏洞,漏洞库测试和系统管理,3.漏洞库管理系统（基于ASP.NET的方式）（1-2人）完善2007届毕业设计的内容界面漏洞库的记录录入（05-08年）完善管理功能 输入、编辑、修改、增加、删除、查询等希望有基于Web Services的漏洞库可编程接口4.每个漏洞的存在性测试（2-3人）使用微软提供的MS*程序测试，05-08年其它测试程序收集（特别是针对第三方软件的漏洞）,漏洞库测试和系统管理,5.每个漏洞的原理、特征分析、解决方案（2-3人）给出、整理05-08年漏洞库中每个漏洞的完整信息（可能需要建一个数据库表）整理出每个漏洞的特征信息（基于主机和网络的测试可以使用）分析每个漏洞的原理给出每个漏洞的解决方案,漏洞库测试和系统管理,6.编写基于主机的测试代码插件（3-5人）基于主机扫描的技术本地信息：注册表、系统文件、进程和服务、安全配置、管理策略等根据漏洞特征，编写自己的漏洞扫描、监测代码（插件）05-08年的漏洞7.编写基于网络的测试代码插件（渗透攻击自动化脚本）（3-5人）基于网络扫描的技术攻击、渗透技术：远程攻击攻击脚本（自动化、多个攻击步骤）根据漏洞特征，编写自己的漏洞扫描、监测代码（插件）05-08年的漏洞,基于主机的安全评估软件设计,主程序框架设计单机版本/先期完成三层结构的分布式版本Sensor/Agent ClientControl CenterDisplay 考虑两个版本的过渡,基于主机的安全评估软件设计,参考的商业版软件CyberCop ScannerWindows基于主机美国网络协会公司ISS Internet ScannerWindows基于主机美国互联网安全系统公司RetinaWindows基于主机美国电子眼数字安全公司,基于主机的安全评估软件设计,程序的主要功能（合计 1116人）配置和初始化/仿造商业化的软件，看技术白皮书 2-3人（包括框架、主程序设计）扫描范围评估报告的形式、格式扫描的功能/看 3个国标文档，不仅仅是漏洞的扫描获取主机的基本信息（2-3人）恶意代码扫描（2-3人）按照漏洞扫描插件的扫描模块（2-3人）安全评估算法/参考 FIRST，希望创新（1人）CVSS评估报告/参考商业化软件的技术白皮书（1-2人）包括解决方案和安全等级 基于不同用户的报告有图形的统计显示，安全评估历史信息库，威胁的预测。软件的升级/参考 防病毒软件（McAfee、Norton）（1人）/评估算法、报告、升级三部分，可供 基于网络的评估软件用,基于主机的安全评估软件设计,扫描的功能获取主机的基本信息（2-3人）OS信息（旗标 Flag）(OS指纹 fingerprinting)已安装补丁的信息（需要建立一个补丁的数据库）已安装应用程序的信息已安装服务的信息（What、Flag）这些本地信息和漏洞库的记录对照，得到安全评估结果正在运行的信息进程、端口、服务,基于主机的安全评估软件设计,扫描的功能(续)2.恶意代码(威胁代理)扫描（2-3人）建立（06-08年）流行的恶意代码信息库（指纹库）有本地主机较严重安全隐患的恶意代码：病毒、木马等扫描的项目：仿造 AutoRuns,SReng 等软件收集注册表的扫描项（启动项、BHO等）其它的文件、进程、端口等特征的扫描有自动的校验（MD5 Hash、MS 签名）、报警（不同颜色）的功能给出本地的安全问题报告（与恶意代码有关）,基于主机的安全评估软件设计,扫描的功能(续)/其它扫描主机安全策略的扫描（操作系统安装后的缺省配置问题）注册表项（缺省的问题）启动密码策略缺省用户、组的修改安全加固的措施：防病毒、防火墙/基于管理方面的扫描 动态的 攻击（漏洞）本地扫描/暂时不 开展工作根据端口和服务根据检查到的数据包、攻击分析常见攻击的监测（根据攻击指纹库）,基于主机的安全评估软件设计,扫描的功能(续)3.按照漏洞扫描插件的扫描模块（2-3人）扫描引擎设计，支持在线更新的扫描插件多线程扫描扫描进度显示扫描结果显示按照漏洞库的记录和本地信息的匹配结果，一个个漏洞扫描使用漏洞扫描的插件，与漏洞组（编写扫描插件）配合,基于网络的安全评估软件设计,应用程序的类型、主框架单机版分布式的网络版（Sensor）Web 版（免费的版本）：Microsoft、Norton、瑞星等一般用于本机安全分析、漏洞扫描、安全等级主要功能基本考虑参见 3个安全评估的文档和商业化软件的技术报告考虑跨路由的扫描和本地网段扫描的技术区别、测试。,基于网络的安全评估软件设计,参考的商业版软件Nessus Linux/BSD/Unix基于网络开放源代码NetReconWindows基于网络商业产品Axent/Symantec 公司SARALinux/BSD/Unix基于网络开放源代码SAINTLinux/BSD/Unix基于网络商业产品,基于网络的安全评估软件设计,主要功能（续）主要的实现功能 初始化和配置模块2.主机/网络的存活性及指纹识别存活性、端口、服务（邮件、Web、FTP、Telnet、RPC、Windows 特有的服务等）、应用程序的指纹识别仿照 NMap软件（源代码、技术）建立指纹数据库秘密、隐蔽的扫描技术（用户可以选择、配置）扫描的策略模板有防火墙和跨路由的扫描技术问题,基于网络的安全评估软件设计,主要功能（续）主要的实现功能（续）3.根据漏洞库的扫描编写基于网络技术和漏洞库的漏洞扫描插件 与漏洞组（编写扫描插件）配合 网络渗透攻击的自动化脚本多进程扫描扫描进度显示扫描结果显示按照漏洞库的记录和扫描到的指纹信息的匹配结果，一个个漏洞扫描,基于网络的安全评估软件设计,主要功能（续）主要的实现功能（续）4.安全评估算法5.评估报告6.软件的升级以上三部分与基于主机的安全评估相一致的方案,其它相关的题目提出,网络攻防技术/攻击效果的评估攻防策略、技术方法软件、工具攻击效果、测量,评估/国防科大安全加固工程防御策略、方案（软硬件）安全加固工程的文档、步骤/开展横向项目、安全顾问网络跟踪技术攻击源的跟踪（跨企业、路由）拓扑结构图显示（攻击路径显示）收集攻击的证据切断攻击源（阻击攻击）HoneyNet/HoneyPot 技术建立工具、恶意代码收集系统数据分析、解决方案、预测网络协议分析网络性能的测量和度量/定量分析,解放军理工大学,陈鸣,各题目间的组织、协调工作,树立最终是一个题目的思想踏踏实实的开展工作，不可应付、浮躁日常工作每周学生每个小组开会、讨论（学生组长）每周指导老师开会：汇报进展情况，阶段总结讨论方案、实现、问题有孙飞显召集、协调，夏冰辅助必须坚持，人员可以不齐，时间可以机动、不固定大家理论的学习特别是老师，老资料、信息、资源大家分享利用我们的网站,各题目间的组织、协调工作(续),注意软件的开发与创新点开发的功能要完善（鉴定时要进行正规的软件测试）软件的功能基于3个标准和技术白皮书，同时考虑实际的用户（公安厅）每一部分尽多的 有创新点方案的完整、合理性，要有详细的文档大家要多些文档，便于交流毕业设计的学生和2、3年级的学生参加挑选一些MFC/C+编程能力强的学生进一步的工作考虑考虑如何将基于主机、基于网络两种技术的扫描结果的融合。更好的评估结果考虑与风险评估的关系,一些国内外安全评估、风险评估、安全审计、漏洞扫描软件介绍企业级（商业版）免费版有些有源代码，可作为开发的基础、雏形这些软件的参考意义软件运行、技术白皮书程序实现的功能程序的结构、界面评估报告的形式软件升级的方法数据库的形式漏洞库的格式/内容,风险评估管理工具,天融信 信息安全管理系统Top Analyzer看技术白皮书漏洞库管理补丁库管理历史和实时的安全事件管理（预测用？）资产的价值识别风险分析、计算、报告、响应（实时的风险报警）风险仪表盘 视图显示基于角色的用户认证和权限管理用户-角色-权限,风险评估管理工具,启明星辰 风险评估管理系统RAMS/Risk Assessment Management System看技术白皮书 以资产为核心的风险评估和风险管理分布、灵活部署基于角色的安全评估报告/分层次组织管理层安全报告/厂长、经理、董事长技术管理层安全报告/网管中心主任、总工技术人员安全报告/工程师安全趋势分析安全信息库安全弱点库支持主流的安全评估产品：启明星辰的“天镜”网络漏洞扫描系统Nessus 网路扫描器绿盟“极光”网络安全评估系统IIS Internet Scanner安全威胁库安全控制库,风险评估管理工具,联想 网御风险评估 辅助工具资产管理部件Tree View 资产视图拓扑视图补丁管理部件弱点管理部件事件管理部件问卷调查部件安全通告部件拓扑管理部件系统管理部件,漏洞扫描分析工具（安全评估）,绿盟科技 的 极光远程安全评估系统AURORA（NSFocus系列安全产品的一款）漏洞知识库CVEBUGTRAQ，NT BUGTRAQNSFOCUS/绿盟扫描调度模块/扫描引擎存活扫描端口扫描服务判断子模块操作系统类型识别子模块服务-规则索引子模块：负责根据服务类型、操作系统类型和补丁，到漏洞知识库中检索可能存在的漏洞项，并读入各漏洞项的检查规则规则解析子模块：负责对读入的规则进行解析，依靠规则解析结果对目标进行探测，最终将探测结果写入扫描结果数据库Profile 摘要信息搜集模块：负责收集目标系统的多种信息，用来提高目标检测准确性和检测速度,漏洞扫描分析工具（安全评估）,启明星辰 的 天镜 脆弱性扫描与管理系统提供10种默认的扫描策略符合 CNCVE 标准，兼容CVE,BUGTRAQ等灵活的部署单机式部署分布式部署/Agent多级式部署/控制中心-子控中心产品的组成管理控制中心/扫描计划定制综合显示中心扫描引擎日志分析报表扫描对象授权/扫描的数量、IP 范围 数据库系统,漏洞扫描分析工具（安全评估）,ISS（Internet Security System）公司的安全漏洞扫描系统Internet Scanner 产品4个模块组成扫描引擎/5级扫描策略用户界面配置扫描信息设置信息/报表等报告模块不同级别（角色）等级的安全评估报告X-Focus 安全知识数据库提供基于由X-Focus 和ISS安全研发组织研究的超过700项与众不同的测试信息（ISS 的产品优势所在）,基本扫描、查询类软件（来自CIW）,Nmap：基于网络的方案，Linux/Windows/操作系统识别，各种网络扫描技术LSAT(Linux Security Auditing Tool):基于主机的方案WS_Ping ProPack:包含：Ping、TraceRoute、Lookup、Finger、Whois、Scan、Snmp、WinNet etc.XScan:Fluxay 流光SuperscanNetscan tools,基本扫描、查询类软件(来自CIW),Port Scanner 1.3RedButton/推荐SNMP 扫描Hp 的OpenViewWindows NT Resource Kit 中的SNMPUTIL其他网络工具包：Ping ProPackWinPcap+Ethereal/数据包的捕捉和分析（指纹s、攻击特征等）WinpCap.EXE:,企业级审核/评估软件(来自CIW),/下载软件运行、源代码、技术白皮书 Nessus基于网络的漏洞扫描工具提供Linux下的源代码/开发模拟的原型NetRecon/企业级Symantec（AXent）公司对象窗口的内容漏洞列表（攻击指纹）扫描结果的图、表分析CyberCop Scanner/企业级Network Associates 公司基于主机,企业级审核/评估软件(来自CIW),Retina基于网络评估的内容：/需要仔细研究每个评估的内容General（一般扫描），Audits（详细的漏洞、注册表、策略、配置），Machines，Ports，Services，Shares，Users。Miner，专业级的Web 服务器漏洞扫描WebTrends Security Analyzer基于网络Internet Security Systems ISS Internet Scanner/基于网络的软件ISS Security Scanner/基于主机的产品,企业级审核/评估软件（来自CIW）,Security Dynamics Kane Security Analys（）Microsoft MBSA（）微软的安全网站：文章、安全评估软件其他基于Web的本地扫描/一种流行的Free VersionMicrosoftNorton其它的防病毒公司的Web安全扫描/瑞星、金山国内几个安全评估的软件、公司/还有.绿盟科技启名星辰联想网御LANDesk,