摘要:本文从计算机网络安全角度出发,总结和概述了国内外的研究现状。也分析了几种有名的扫描软件的优缺点,从而指出国内的主机安全问题还十分严重,重视和加快对其安全评估系统的研究也显得尤为迫切和关键。
关键词:主机;漏洞;威胁;安全研究;现状
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2011) 16-0000-03
Host Security Assessment System Analysis and the Need to Accelerate Research
Wang Huaining
(Blue Shannxi Message Electron Science&Technology Co.,Ltd.,Xi"an710068,China)
Abstract:This article from the perspective of computer network security,summary and overview of the status quo at home and abroad.Also analyzed several well-known advantages and disadvantages of scanning software,so that the host country"s security problems are very serious,attention and speed up its safety evaluation system research is particularly urgent and critical.
Keywords:Host;Vulnerability;Threats;Security Study;Status
随着科学技术的发展,互联网的普及,网络安全逐渐成为一个潜在的巨大问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。这就是信息保密问题。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。为了改变这种情况,人们用安全技术、安全策略和安全模型等措施来保证。网络安全评估研究是继防火墙、入侵检测系统之后的又一重点研究对象。其中最重要的是主机安全评估。
一、研究主机安全评估系统的意义
在复杂的网络环境中,如何保障主机系统和主机上的信息安全变得越来越重要,增强主机系统的安全性显得尤为重要。因此以管理员的身份来管理系统防护措施以及发现系统脆弱性、漏洞,还有修补方法、系统升级等成为应该注意的地方。
基于主机的安全评估产品就是对用户主机中的脆弱性、漏洞和配置、开放的端口及应用软件的设置等进行扫描、统计分析并提供相对应的修补方法的系统。通过这种产品可以对主机进行安全防护,使主机的自身有一定的自我保护性能,这样可以让一些非法攻击远离,实现真正的主机安全。
二、国内外研究现状综述
系统脆弱性是主机系统的不安全因素的总称。它包括操作系统、重要文件、目录、浏览器和Web服务器及其他服务的脆弱性。系统的不正确配置包括漏洞是指计算机软件(包括CMOS固化指令、操作系统、应用程序等)自身的固有缺陷或者使用不当造成的配置缺陷,这些缺陷可能被黑客利用对计算机系统进行入侵或者攻击。应用程序的不安全配置也可能让计算机处于很危险的处境。现在国内外都很重视这些问题,而且也在就这些问题进行研究,主要的研究情况笔者将在下面简单介绍。
(一)国外情况
美国前总统克林顿在签发《保护信息系统国家计划》的总统咨文中陈述道:“在不到一代人的时间里,信息革命以及电脑进入了社会的每一领域,这一现象改变了国家的经济运行和安全运作乃至人们的日常生活方式,然而,这种美好的新的代也带有它自身的风险。所有电脑驱动的系统都很容易受到侵犯和破坏。对重要的经济部门或政府机构的计算机进行任何有计划的攻击都可能产生灾难性的后果,这种危险是客观存在的。过去敌对力量和恐怖主义分子毫无例外地使用炸弹和子弹,现在他们可以把手提电脑变成有效武器,造成非常巨大的危害。如果人们想要继续享受信息时代的种种好处,继续使国家安全和经济繁荣得到保障,就必须保护计算机控制系统,使它们免受攻击。”在各领域的计算机犯罪和网络侵权方面,无论是数量、手段,还是性质、规模,已经到了令人咋舌的地步。据有关方面统计,目前美国每年由于网络安全问题而遭受的经济损失超过170亿美元,德国、英国也均在数十亿美元以上,法国为100亿法郎,日本、新加坡问题也很严重。在国际刑法界列举的现代社会新型犯罪排行榜上,计算机犯罪已名列榜首。
美国是信息安全风险评价研究历史最长和研究成果最丰富的国家,随着安全事件的驱动和信息安全技术、信息安全管理概念的发展深化,美国对信息安全风险评价的认识也逐步加深,形成了与国家安全、反恐战略、国土安全等国家战略相配套的网络空间信息保障的国家战略,风险评价思想在其中得到了重要的贯彻。与此同时,英国、德国、澳大利亚等国家也制定了各自的风险评价国家标准,发布相关的技术文献。
(二)国内情况
我国的安全问题也日益突出。面对信息安全的严峻形势,我国的网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。据英国《简氏战略报告》和其它网络组织对各国信息防护能力的评估,我国被列入防护能力最低的国家之一,不仅大大低于美国、俄罗斯和以色列等信息安全强国,而且排在印度、韩国之后。近年来,国内与网络有关的各类违法行为以每年30%的速度递增。据某市信息安全管理部门统计,2003年第1季度内,该市共遭受近37万次黑客攻击、2.1万次以上病毒入侵和57次信息系统瘫痪。该市某公司的镜像网站在10月份1个月内,就遭到从外部100多个IP地址发起的恶意攻击。计算机系统遭受病毒感染和破坏的情况相当严重。据国家计算机病毒应急处理中心副主任张健介绍,从国家计算机病毒应急处理中心日常监测结果看来,计算机病毒呈现出异常活跃的态势。据2001年调查,我国约73%的计算机用户曾感染病毒,2003年上半年升至83%。其中,感染3次以上的用户高达59%,而且病毒的破坏性较大,被病毒破坏全部数据的占14%,破坏部分数据的占57%。目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。
随着我国对信息安全问题的认识逐步深化,安全风险评价作为信息系统安全评估的重要环节,成为了我国信息系统安全研究的重点之一。但是,由于我国在安全风险评价的理论和技术上的研究工作时间不长,同时比较缺乏实践的经验,因此还存在较多问题。虽然我国也发布了一些主机安全检验规范,比如《信息安全技术主机安全漏洞扫描产品检验规范》,但是还是没有形成系统的规范化标准,而且在信息安全的实际成果还很少。
三、当前常用扫描软件的现状分析
保障网络安全和主机安全是信息时代最重要的任务。虽然现在研究出来的安全成果不是很多,但是通过研究问题和分析产品,我们可以在一定程度上防护主机安全。下面笔者介绍几种有名的扫描软件。
(一)Ratina软件
根据《电子与电脑》2003年12月30号发布的信息,Retina在评测中,表现出超过所有其他同类软件(包括了基于Linux,Unix,Windows平台的其他同类网络安全扫描软件)的性能。Retina最有竞争力的优点在于能够自动矫正许多别检测出来的漏洞,并且提供了可以完全定制的助手工具。Retina的助手工具允许客户强制实施内部安全规则,比如防病毒部署和企业标准注册登记表的设置。“自动修复性能是Retina最吸引人的工具之一,在所有的同类型软件中,这个功能是独一无二的”,《电子与电脑》的编辑这样评价Retina。“同样给人深刻印象的是助手工具,它可以帮助你定制专门针对网络中你已经有所了解的漏洞的安全查询。”Retina已经被业界认为是最精确的非嵌入式网络安全扫描器,它包含有最全面的安全漏洞数据库,该数据库由eEye公司的研发队伍所维护。作为一个同时面向分布式企业用户和单机网络环境用户的专业安全软件,Retina已经被许多世界上最大的公司和政府部门使用。他们用于检测各个分公司/总公司/政府部门的网络安全,矫正网络中隐藏的漏洞和不安全的设置。
功能特点:Retina的主界面共分为三个部分,上部是菜单和工具栏,下部的左边是动态导航菜单,右边是与左边菜单相对应的内容显示窗口。Retina软件可以扫描主机操作系统的基本信息、审核信息、主机信息、开放的端口、服务、共享和主机存在的用户等信息。Retina的这些功能我们软件评估系统可以借鉴,但是Retina没有评估功能。
(二)X-Scan软件
采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能。扫描内容包括:远程服务类型、操作系统类型及版本,各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等几个大类。
X-Scan功能模块包括以下4种功能子模块:扫描模块、并发扫描、扫描报告以及其他设置。扫描模块列表了所要扫描的项目如:开放服务、NT-SERVER弱口令、NETBIOS信息、SNMP信息等等选项。并发扫描模块限制了并发扫描的主机数量以及并发线程数量。扫描报告模块是在完成扫描后,XScan将以什么样的形式反馈扫描报告。有4种文件参数:HTML,XML,TXT。默认的为localhost_report.HTML。其他设置功能可以帮助处理一些扫描过程种的问题,包括跳过没有响应主机,无条件扫描等等。插件设置项目包括了端口相关设置,SNMP相关设置,NETBIOS相关设置,漏洞检测脚本设置,CGI相关设置,字典文件设置这6项设置。X-Scan扫描方式有两种,一种是利用TCP检测,一种是利用SYN检测。
功能特点:X-SCAN采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能,提供了图形界面和命令行两种操作方式,扫描内容包括:远程操作系统类型及版本,标准端口状态及端口BANNER信息,CGI漏洞,IIS漏洞,RPC漏洞,SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用户,NT服务器NETBIOS信息等。X-SCAN提供了简单的插件开发包,便于有编程基础的朋友自己编写或将其他调试通过的代码修改为X-Scan插件。这十分值得我们借鉴。但其中的漏洞资料和整体功能都存在不足,各项功能的测试受时间及环境所限也不够全面。
(三)SATAN软件
安全管理员分析工具SATAN是一个端口扫描程序,1995年4月推出,运行在Unix环境下,扫描的目标是Unix系统,它对大多数己知的漏洞进行扫描,发现漏洞便提交报告给用户,说明如何利用该漏洞以及如何对该漏洞进行修补。SATAN采用了HTML技术,是第一个把扫描结果以用户友好的格式来显示的扫描工具。SATAN的推出引起了很大的轰动,与其他扫描工具相比,SATAN是受到公众关注最多的。
功能特点:SATAN软件可以让用户对子网浏览进行了解。当用户让SATAN对子网中的所有主机进行浏览时,SATAN利用Unix的fping工具来决定究竟哪些主机它可以浏览,SATAN中安装的fping工具是标准Unix中的fping的变体,它能有效地顺序浏览大量主机。SATAN利用fping节省了与并不存在和正退出的主机的信息交流的时间。同时,fping能发现未经管理员同意而附属于本网络的其他系统。
(四)NMAP软件
NMAP是当前较受欢迎的扫描工具,其特点是提供了比较全面的扫描方法及利用指纹技术的远程操作系统识别功能,NMAP扫描速度很快。它提供的扫描方法包括:Vanilla TCP Connect()扫描、TCP SYN扫描、TCP FIN扫描、TCP FTP Proxy扫描、利用IP Fragments的SYN/FIN扫描、TCP ACK和Window扫描、工CMP扫描、TCP Ping扫描。为提高扫描速度提供了并行扫描的功能,NMAP用C语言编码。
功能特点和使用方法:nmap运行通常会得到被扫描主机端口的列表。nmap总会给出well known端口的服务名(如果可能)、端口号、状态和协议等信息。每个端口的状态有:open、filtered、unfiltered。open状态意味着目标主机能够在这个端口使用accept()系统调用接受连接。filtered状态表示:防火墙、包过滤和其它的网络安全软件掩盖了这个端口,禁止nmap探测其是否打开。unfiltered表示:这个端口关闭,并且没有防火墙/包过滤软件来隔离nmap的探测企图。通常情况下,端口的状态基本都是unfiltered状态,只有在大多数被扫描的端口处于filtered状态下,才会显示处于unfiltered状态的端口。这十分值得我们借鉴。但其中的漏洞资料和整体功能都存在不足,各项功能的测试受时间及环境所限也不够全面。
(五)ISS软件
ISS的Internet Scanner(互联网扫描器)是一个用于分析网络上设备安全性的弱点评估产品。它检测路由器、Web服务器、Unix服务器、Windows NT服务器、桌面系统和防火墙的弱点,从而识别能被入侵者用来非法进入网络的漏洞。Internet Scanner以入侵者的行为方式通过检查网络设备、服务以及相互关系去发现漏洞。Internet Scanner的扫描策略是模拟黑客技术探测网络环境中的安全脆弱点,它向目标网络和设备发送各种探测数据包(如ICMP,TCP,UCP数据包等),侦听目标响应的情况,搜集信息,判断是否存在安全性弱点。Internet Scanner可以在同一时间执行多个扫描线程,即并行扫描,它也可以设置多个用于TCP服务扫描的专门线程,即实现了并行TCP服务扫描。ISS的系统扫描器System Scanner是一个基于主机的安全评估系统,它在系统层上通过依附于主机上的扫描器代理侦测主机内部的漏洞。System Scanner能够识别并报告系统中所存在的安全漏洞、弱点以及使用不当的策略,从而提供基于主机的安全评估。System Scanner由控制台(Console)和扫描代理(Agent)两部分组成,采用C/S(客户机/服务器)结构,通过在每个被管理系统上所安装的代理模块来检测安全漏洞、误配置以及使用不当的策略。
功能特点:ISS Internet Scanner通过对网络安全弱点全面和自主地检测与分析并检查它们的弱点,将风险分为高中低三个等级,并且可以生成大范围的有意义的报表。这些评估功能我们软件评估系统可以借鉴。
四、安全专家评估应用情况
(一)安全专家系统
安全专家是集众多信息安全专家多年的信息安全经验,为客户计算机提供多种安全防护手段(防火墙、防病毒、安全评估、安全修复等等)。它能象一位安全专家一样,为客户计算机存在的安全威胁,进行“主动检测”、“综合治疗”,并能做到事前“自动免疫”通过在级升级功能长期保证客户计算机处在高等级的安全状态。安全评估专家的功能:
1.自检:安全评估功能
对用户主机自动进行全面的安全检测,发现系统存在的所有已知安全漏洞、病毒及木马后门程序,并向用户提交安全评估报告,告知主机安全等级。
2.自医:安全修复功能
针对检测中发现的安全隐患,对终端主机进行全面的修复。清除主机上存在的各种安全漏洞、病毒、蠕虫和恶意代码。
3.自疫:预先免疫功能
安全专家针对不同用户的安全需求提供了多种安全防护策略,通过安全策略可以实现端口的防护、系统安全漏洞及时修复,安全配置的完全优化,从而全面提高计算机的整体安全性,并能对未来的安全威胁起到很好的安全免疫,确保用户的计算机不被新的蠕虫病毒和黑客攻击程序的破坏。
4.自保:在线升级功能
安全专家产品实现了自动在线实时更新的功能,用户可以手动或设置时间定期升级安全专家程序,确保对新的出现病毒及黑客攻击技术的防范,实现长治久安的目的。
(二)主机安全评估套件(HRA)
黑龙江哈尔滨商务之窗在2007-08-12日写出了《国内首款计算机主机安全评估套件在哈问世,其技术国际领先》报道:作为国内知名的网络安全产品和解决方案供应商,哈尔滨安天公司近日研发出一款名为“安天主机安全评估套件”的高科技产品。这是国内主机安全评估方面唯一实现了自动化、定性、定量评估的相关系统,其产品全部核心技术均由安天公司自行开发,系统核心的AVL SDK反病毒引擎还曾因技术国际领先获得了国家科技部创新基金。该套件根据上百个自动化提取的关联因素对主机节点的风险等级进行准确评分、以及通过主机节点数据生成网络整体安全等级定量评定等产品创意,均为国内首创。它有本地评估和网络评估两种方式。只要将套件中的U盘或光盘插入主机,即可自动检测恶意代码、查找安全漏洞、做出安全分析,生成相关报告。不但能够高效准确地判定终端系统受恶意代码感染的情况,还能及时发现网络系统,特别是内网、涉密系统中由于违规安装软件、私自拨号上网、私自插入移动存储设备等带来的重大安全隐患。此外,该套件还能发现系统遭受入侵攻击的各种痕迹,对目前机器上存在的安全漏洞、面临的安全隐患和已经发生的安全问题做出系统化的评价,直观地呈现出来,并可根据评估结果自动对每个问题的解决方案提供相应的建议。
典型的应用方案如1-1图所示:
图1-1 主机安全评估套件的典型的应用方案
(三)瑞星2008安检
瑞星杀毒软件2008版,是基于新一代虚拟机脱壳引擎、采用三层主动防御策略开发的新一代信息安全产品。瑞星08独创的“账号保险柜”基于“主动防御”构架开发,可保护上百种流行软件的账号,包括70多款热门网游,30多种股票、网上银行类软件,QQ、MSN等常用聊天工具及下载软件等。同时,瑞星08采用“木马强杀”、“病毒DNA识别”、“主动防御”、“恶意行为检测”等大量核心技术,可有效查杀目前各种加壳、混合型及家族式木马病毒共约70万种。电脑安检也是瑞星2008版新增加的功能之一,非常方便用户使用。通过安检能够检查用户是否及时升级杀毒软件、是否进行过全盘杀毒、是否安装了所有的补丁程序、实时监控和主动防御是否都打开了等等。帮助用户更好地了解电脑的安全状况,提升电脑安全防护级别。
五、结语
通过了解国内外的情况及分析现状,我们知道国内的主机安全问题还十分严重,我们应该正确认识主机安全问题。通过分析并使用以上有名的软件,已清楚的知道它们的优缺点,我们在以后的方案设计中取长补短,为己所用。更关键是要重视对主机安全评估系统的研究。
[作者简介]王怀宁(1967-),男,陕西咸阳人,工程师,陕西蓝讯电子科技有限公司工程部经理。