网络空间安全技术与应用

张迪

目录

  • 1 第一单元 网络空间安全概述
    • 1.1 课程介绍
    • 1.2 信息与信息系统
    • 1.3 网络空间的概念
    • 1.4 网络空间安全
    • 1.5 网络空间安全知识体系和系统工程
  • 2 第二单元 网络空间安全体系和通用技术安全技术
    • 2.1 安全威胁
    • 2.2 网络攻击
    • 2.3 信息安全策略与模型
    • 2.4 安全服务与安全机制
    • 2.5 访问控制
  • 3 第三单元 现代密码体制与攻防对抗
    • 3.1 密码学回顾
    • 3.2 密码攻防对抗
  • 4 第四单元 安全漏洞和恶意代码
    • 4.1 漏洞的定义和描述
    • 4.2 漏洞挖掘与分析技术
    • 4.3 漏洞扫描技术
    • 4.4 常见漏洞
    • 4.5 恶意代码分类及特征
    • 4.6 病毒攻击和防范
    • 4.7 实验视频
  • 5 第五单元 防火墙和入侵检测系统
    • 5.1 防火墙的概念
    • 5.2 防火墙的分类
    • 5.3 防火墙的指标
    • 5.4 面向防火墙的攻防对抗方法
    • 5.5 下一代防火墙
  • 6 第六单元 网络安全协议
    • 6.1 网络安全协议概述
    • 6.2 安全多方计算协议
    • 6.3 比特承诺协议
    • 6.4 Kerberos认证协议
  • 7 第七单元 信任管理与可信计算
    • 7.1 信任管理和可信计算概述
    • 7.2 可信计算技术架构
    • 7.3 可信计算平台
    • 7.4 可信网络连接
  • 8 第八单元 网络内容安全和舆情控制
    • 8.1 网络不良信息及其分类
    • 8.2 网络信息的传播特点及安全问题
    • 8.3 网络内容监控技术
    • 8.4 网络不良信息监管技术
    • 8.5 网络舆情监控
  • 9 第九单元 信息安全风险评估和安全检测
    • 9.1 信息安全风险评估和安全检测概述
    • 9.2 信息安全风险评估
    • 9.3 信息系统安全测评
    • 9.4 风险评估与安全测评的方法和工具
    • 9.5 风险评估与安全测评发展趋势
  • 10 第十单元 存储备份和灾难恢复
    • 10.1 存储备份和灾难恢复概述
    • 10.2 信息存储设备与技术
    • 10.3 系统备份
    • 10.4 信息系统容灾与灾难恢复
  • 11 第十一单元 软件安全性和软件安全工程
    • 11.1 软件安全性和软件安全工程概述
    • 11.2 软件失效机理
    • 11.3 软件安全需求工程
    • 11.4 软件安全性的分析和设计
    • 11.5 软件安全编码
    • 11.6 软件安全测试
  • 12 第十二单元 信息安全管理、法律法规和标准
    • 12.1 信息安全管理
    • 12.2 信息安全法律法规
    • 12.3 信息安全标准
  • 13 第十三单元 网络空间的典型信息系统的安全防护与测评
    • 13.1 云计算系统的安全防护与测评
    • 13.2 移动智能终端的安全防护与测评
    • 13.3 工业控制网络的安全防护与测评
    • 13.4 物联网的安全防护与测评
漏洞扫描技术
  • 1 漏洞扫描技术
  • 2 主机漏洞扫描

漏洞扫描技术

  • 概念:漏洞扫描是对计算机系统和网络进行检查,发现其脆弱性,对其安全状况进行评估、风险分析、安全趋势分析,并对发现的安全隐患提出针对性的解决方案和建议,从而提高信息系统(含网络)的安全性。

  • 与漏洞挖掘技术对比:漏洞挖掘技术试图发现未知漏洞,而漏洞扫描技术更侧重于对已知漏洞的检测和修复。

  • 双刃剑特性:既可以作为信息系统安全评估工具来辅助构建信息系统安全保障体系,也可以被网络入侵者利用,作为收集信息系统信息的主要工具,是实施攻击或入侵的必要前提步骤。

网络漏洞扫描

  • 概念:网络漏洞扫描是指基于因特网的、探测远端网络或主机信息的一种扫描技术,通过执行一些脚本文件,模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。

  • 用途:网络漏洞扫描技术不仅可以用来检测多种平台的漏洞,也可以对网络设备、整个网段进行检测。

  • 流程:一般分为 4 个步骤:信息收集,对目标进行扫描,对扫描结果进行评估分析,生成检测报告。

网络漏洞扫描原理

  • 网络漏洞的扫描工具是网络扫描器(Network Scanner),其通用架构由四大模块组成:界面、扫描引擎、结果评估分析、数据库。

  • 上图给出了网络扫描器的一种具体实现方式:用户首先通过客户端界面发出扫描命令,扫描引擎接到请求后,制定扫描策略,然后通过接口来启动相应的子功能模块(本例中为通过接口启动扫描插件),扫描目标网络。


网络漏洞扫描器各部分主要功能:

  • 界面:接受并处理用户输入,定制扫描策略,启动和停止扫描,定制评估分析报告,显示系统工作状态等。

  • 扫描引擎:响应界面指令;读取扫描策略数据库,并依此制定执行方案;执行扫描方案,启动扫描进程和线程,并与调度管理交互;将扫描结果存档保存。

  • 结果评估分析:对扫描结果进行评估分析,形成扫描报告。

  • 数据库:存放扫描结果、定制策略内容、脆弱性描述及其解决方法;提供数据查询和管理功能。数据库一般包含漏洞库、插件库以及修补库等。其中插件是提供给应用层用户的一种程序接口方式,用户籍此实现二次开发。一般有动态链接库和组件对象模型两种形式。 

 网络漏洞扫描部署方式

网络漏洞扫描器的部署方式:

1.部署在外部Internet:部署简单,缺点是扫描速度较慢。

2.将扫描器部署在防火墙之前:这种方式速度较快,并且可以检查防火墙功能。

3.将扫描器部署在DMZ区:可以测试内网安全漏洞。

4.直接部署在内网:可以最快速测试内网安全漏洞。

网络漏洞扫描功能

  1. 端口扫描:端口扫描根据使用的协议可分为 TCP 扫描和 UDP 扫描。其中,TCP 扫描又包括:1)全连接和半连接扫描。2)TCP 隐蔽扫描。

  2. 远程控制后门程序扫描:包括对 NetBus、Back Orifice 等远程控制后门程序的扫描。

  3. 系统安全扫描:包括对网络操作系统安全漏洞扫描测试,如对 Windows NT 的注册表、用户组、网络、用户及其密码、分布式对象组件模型(Distributed Component Object Model,DCOM)等的安全扫描测试。 

  4. 密码破解扫描:包括对 Windows、Linux、操作系统及应用服务(如 FTP、POP3 等)的密码破解扫描。 

  5. 应用程序扫描:包括对 FTP 服务、CGI-BIN、Web 服务等的漏洞扫描。 

  6. 阻断服务扫描:包括对拒绝服务(Denial of Service,DoS)攻击的测试扫描。

 网络漏洞扫描工具

  • 通用扫描器:国际上比较流行有Satan、ISS Internet Scanner、Nmap、Nessus 等。

  • 集成式扫描系统:OpenVAS(开放式漏洞评估系统)是一种包含相关工具的网络扫描器,其核心部件是一个包括网络漏洞测试程序组件的服务器,可以用来扫描远程系统和应用程序中的安全漏洞。

  • 工业控制系统网络漏洞扫描:PLCScan,用于扫描网上的可编程逻辑控制设备和其他 Modbus 设备的漏洞。我国绿盟科技公司于 2014 年 9 月发布了国内首款工控漏洞扫描系统NSFOCUS。



漏洞扫描技术的发展趋势

(1)支持以 CVE 为代表的各种主流漏洞标准 

漏洞扫描技术发展的一个瓶颈问题就是漏洞描述和标识的不统一。因此,需要加强国际国内知名的漏洞研究和发布机构(如 CVE、CWE、CNNVD等)相互协调,统一规范标识。

(2)降低漏洞扫描器自身及扫描带来的安全风险 

漏洞扫描的工作机理是采用模拟攻击的方式来实现的,这就对漏洞扫描器本身的安全性提出了很高的要求。

(3)支持分布式漏洞扫描 

目前的网络结构日趋复杂,很多网络划分了 VLAN。因此需要采用分布式扫描架构,穿透或者绕过防火墙,对各网络节点进行全面的扫描

(4)支持面向IPv6 协议的漏洞扫描 

(5)与其他安全产品的集成和联动 

信息安全保障体系的构建是一个复杂的系统工程,漏洞扫描、防火墙、入侵检测等技术既从不同的侧面来保障信息安全,又可以通过标准的、开放的接口来实现相互集成和联动。

(6)面向云计算、物联网、工业控制系统等新的安全领域 

云计算、物联网、工业控制系统面临着巨大的安全威胁,也存在着严重的安全漏洞问题。