計(jì)算機(jī)信息安全風(fēng)險(xiǎn)評(píng)估工具

1、信息安全風(fēng)險(xiǎn)評(píng)估工具是信息安全風(fēng)險(xiǎn)評(píng)估的輔助手段，是保證風(fēng)險(xiǎn)評(píng)估結(jié)果可信度的一個(gè)重要因素。信息安全風(fēng)險(xiǎn)評(píng)估工具的使用不但在一定程度上解決了手動(dòng)評(píng)估的局限性，最主要的是它能夠?qū)＜抑R(shí)進(jìn)行集中，使專家的經(jīng)驗(yàn)知識(shí)被廣泛的應(yīng)用。本章主要介紹風(fēng)險(xiǎn)評(píng)估與管理工具、系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具、風(fēng)險(xiǎn)評(píng)估輔助工具、信息安全風(fēng)險(xiǎn)評(píng)估工具的發(fā)展方向和最新成果。1風(fēng)險(xiǎn)評(píng)估與管理工具風(fēng)險(xiǎn)評(píng)估與管理工具根據(jù)信息所面臨的威脅的不同分布進(jìn)行全面考慮，主要從安全管理方面入手，評(píng)估信息資產(chǎn)所面臨的威脅。風(fēng)險(xiǎn)評(píng)估與管理工具主要分為3類：1. 基于信息安全標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估與管理工具2. 基于知識(shí)的風(fēng)險(xiǎn)評(píng)估與管理工具3. 基于模型的風(fēng)險(xiǎn)

2、評(píng)估與管理工具1. 1MBSA電1. 1.1MBSA簡(jiǎn)介J操作系統(tǒng)是各種信息系統(tǒng)的核心，它自身的安全是影響整個(gè)信息系統(tǒng)安全的核心因素。作為Microsoft戰(zhàn)略技術(shù)伊護(hù)計(jì)刻(StrategicTechnologyProtectionProgram)的一部分，并為了直接滿足用戶對(duì)于可識(shí)別安全方面的常見配置錯(cuò)誤的簡(jiǎn)便方法的需求，Microsoft開發(fā)了Microsoft基準(zhǔn)安全分析器MBSA(MicrosoftBaselineSecurityAnalyzer),可對(duì)Windows系列操作系統(tǒng)進(jìn)行基線風(fēng)險(xiǎn)存估。MBSA可以對(duì)本機(jī)或者網(wǎng)絡(luò)上WindowsNT/2000/XP的系統(tǒng)進(jìn)行安全性檢測(cè)，還可以

3、檢測(cè)其它的一些微軟產(chǎn)品，女DSQL7.0/2000.5.01以上版本的InternetExplorer>IIS4.0/5.0/5.1和Office2000/XP,是否缺少安全更新，并及時(shí)通過(guò)推薦的安全更新進(jìn)行修補(bǔ)。1.1.2MBSA風(fēng)險(xiǎn)評(píng)估過(guò)程MBSA在運(yùn)行的時(shí)候需要有網(wǎng)絡(luò)連接，運(yùn)行后的界面如圖6-1所示，點(diǎn)擊"Scanacomputer,然后在右邊窗口填寫要檢查的主機(jī)名或IP地址，定義安全報(bào)告名，設(shè)置選項(xiàng)定制本次檢查要檢測(cè)的內(nèi)容,之后按下"StartScan”,開始進(jìn)行檢測(cè)。iselineSecurityAnalyzer叭SuMiiAiHy血*上ibiWetco門疋

4、todieMicrosoftBdselin*SecurityAnalyzerTh»MetofiohB.drieS-ecuryAa*m<dw.tC£M¥XJ»dluvmgWrxfce真rm2W0WMwi：-.W«FMB.護(hù)Wn如q4JT*#Qduc-srwwfimecymifiLcrjoritYojmu“和丹古AdwtoihiMu切出:dMicontMnjflnui¥flrtW«anitlr5eibAKo MitiCri-NtAuMltacrH* AJmb*MwIafbvi衣中即 Mcroioti"b£

5、;ZndUvi2jttYnAdAndr*¥i«A域4nif知和匕Wnjflws；£«rvi&KKLWEtawi：42000.andW«cfcwiiliT40Wrtft如onc«TCfl/«ilurrogWoJcrfm淹arriuirpguwpteIteqhvmofhffk«iMFIG0Sconwn4unmedrtVuiBi或工肚釘2口04Hiw電膽UQrpar1自1旳皿Add苕吃©】?jī)襎*Hh刪1知1仏ixXAllnyheum«rvAd圖6-1MBSA的開始界H檢測(cè)完成后，安全報(bào)告會(huì)立刻

6、顯示出來(lái)，如圖6-2所示，表示一般性警告，表示嚴(yán)重警告，表示不存在漏洞。對(duì)于每一項(xiàng)掃描出漏洞的結(jié)果，基本上都提供了三個(gè)鏈接，其中"Whatwasscannedn顯示了在這一步中掃描了哪些具體的操作；uResultDetails”顯示了掃描的詳細(xì)結(jié)果；“Howtocorrectthis”顯示了建議用戶進(jìn)行的操作，以便能夠更好地解決這個(gè)問(wèn)題。圖6-2安全報(bào)告從掃描結(jié)果可以看出，MBSA對(duì)掃描的軟件全部進(jìn)行了可靠的安全評(píng)估。微軟的MBSA是免費(fèi)工具，下載地址：www.inicrosoftcoin/china/technet/security/tools/mbsahomeinspxornn1

7、.2 COBRA01.2.1COBRA簡(jiǎn)介®COBRA(Consultive,ObjectiveandBi-FunctionalRiskAnalysis)是英國(guó)的C&A系統(tǒng)安全公司(C&ASystemsSecurityLtd)推出的一套鳳B僉分僑工具軟枠，圭要依據(jù)ISO17799進(jìn)行風(fēng)險(xiǎn)評(píng)估。COBRA1版本于1991年推出，用于風(fēng)險(xiǎn)管理評(píng)估。隨著COBRA的發(fā)展，目前的產(chǎn)品不僅僅具有風(fēng)險(xiǎn)管理功能，還可以用于評(píng)估是否符合BS7799標(biāo)準(zhǔn)、是否符合組織自身制定的安全策略。COBRA系列工具包括風(fēng)險(xiǎn)咨詢工具、ISO17799/BS7799咨詢工具、策略一致性分析工具、數(shù)據(jù)

8、安全性咨詢工宜。COBRA崑一個(gè)基于知識(shí)的定性風(fēng)險(xiǎn)評(píng)估工具，由3部分組成：?jiǎn)柧順?gòu)建器、風(fēng)險(xiǎn)測(cè)量器、結(jié)果生成器。最后針對(duì)每類風(fēng)險(xiǎn)形成文字評(píng)估報(bào)告、風(fēng)險(xiǎn)等級(jí)（得分），所指出的風(fēng)險(xiǎn)自動(dòng)與給系統(tǒng)造成的影響相聯(lián)系。其工作機(jī)理如圖6-3所示。圖6-3COBRA定性風(fēng)險(xiǎn)分析方法1. 2.2COBRA風(fēng)險(xiǎn)評(píng)估過(guò)程COBRA風(fēng)險(xiǎn)評(píng)估過(guò)程主要包括3個(gè)步驟:1問(wèn)題表構(gòu)建2. 風(fēng)險(xiǎn)評(píng)估3. 報(bào)告生成C&A公司在網(wǎng)站http:/wwwseciirity-risk-analysis,coin/cobdown,htin中提供了COBRA的免費(fèi)試用版，但需要注冊(cè)。1.3 CRAMM'1.3.1CRAMM簡(jiǎn)介C

9、RAMM(CCTARiskAnalysisandManagementMethod)是由英國(guó)政府的中央計(jì)算機(jī)與電信局(CentralComputerandTelecommunicationsAgency,CCTA)于1985年開發(fā)的一種定量風(fēng)險(xiǎn)分析工具，同時(shí)支持定性分桁。CRAMM是一彳申可以評(píng)估信息系統(tǒng)風(fēng)險(xiǎn)并確定恰當(dāng)對(duì)策的結(jié)構(gòu)化方法，適用于各種類型的信息系統(tǒng)和網(wǎng)絡(luò)，也可以在信息系統(tǒng)生命周期的各個(gè)階段使用。CRAMM包括全面的風(fēng)險(xiǎn)評(píng)估工具，并且完全遵循BS7799規(guī)范，包括依靠資產(chǎn)的建模、商業(yè)影響評(píng)估、識(shí)別和評(píng)估威脅和弱點(diǎn)、評(píng)估風(fēng)險(xiǎn)等級(jí)、識(shí)別需求和基于風(fēng)險(xiǎn)評(píng)估調(diào)整控制等。A%1. 3.2CRAM

10、M風(fēng)險(xiǎn)評(píng)估過(guò)程CRAMM的安全模型數(shù)據(jù)庫(kù)基于著名的“資產(chǎn)/威脅/弱點(diǎn)”模型，評(píng)估過(guò)程主要包括三個(gè)階段。1. 定義研究范圍和邊界，識(shí)別和評(píng)價(jià)資產(chǎn)2. 評(píng)估風(fēng)險(xiǎn)，即對(duì)威脅和弱點(diǎn)進(jìn)行評(píng)估3. 選擇和推薦適當(dāng)?shù)膶?duì)策E1.4ASSET“ASSET(AutomatedSecuritySelf-EvaluationTool)是美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)NIST以NISTSP800-26(信息系統(tǒng)安全性自我評(píng)估向?qū)?為標(biāo)準(zhǔn)制定的，用于安全風(fēng)險(xiǎn)自我評(píng)估的軟件工具。根據(jù)NIST安全性自我評(píng)估向?qū)?，將安全?jí)別分為五級(jí)：一般、策略、實(shí)施、測(cè)試、檢驗(yàn)。ASSET采用典型的基于知識(shí)的分析方法，利用問(wèn)卷方式來(lái)評(píng)估系統(tǒng)安全現(xiàn)狀與N

11、ISTSP800-26指南之間的差距。ASSET是一個(gè)免費(fèi)工具，可以從NIST網(wǎng)站下載，網(wǎng)址是：csrcnistgov/asseto1.5 RiskWatch1.5.1RiskWatch簡(jiǎn)介美國(guó)RiskWatch公司綜合各類相關(guān)標(biāo)準(zhǔn)，開發(fā)了風(fēng)險(xiǎn)分析自動(dòng)化軟件系統(tǒng)，進(jìn)行風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理，共包括五類產(chǎn)品,分別針對(duì)信息系統(tǒng)安全、物理安全、HIPAA標(biāo)準(zhǔn)、RW17799標(biāo)準(zhǔn)、港口和海運(yùn)安全，分別分析信息系統(tǒng)安全風(fēng)險(xiǎn)、物理安全危險(xiǎn)、以HIPAA為標(biāo)準(zhǔn)存在的安全風(fēng)險(xiǎn)、以RW17799為標(biāo)準(zhǔn)存在的安全風(fēng)險(xiǎn)、港口和海運(yùn)存在的安全風(fēng)險(xiǎn)。RiskWatch工具具有以下特點(diǎn)：友好的用戶界面；預(yù)先定義的風(fēng)險(xiǎn)分析模板

12、，給用戶提供高效、省時(shí)的風(fēng)險(xiǎn)分析和脆弱性評(píng)估；數(shù)據(jù)關(guān)聯(lián)功能；經(jīng)過(guò)證明的風(fēng)險(xiǎn)分析模型。1. 5.2RiskWatch風(fēng)險(xiǎn)評(píng)估1. RiskWatch關(guān)于風(fēng)險(xiǎn)定義風(fēng)險(xiǎn)二資產(chǎn)損失。威脅。脆弱性。防護(hù)措施H即：當(dāng)組織有價(jià)值的資產(chǎn)受到某種形式威脅，形成系統(tǒng)脆弱性,并造成一定損失時(shí)，稱系統(tǒng)出現(xiàn)風(fēng)險(xiǎn)。2. 風(fēng)險(xiǎn)分析應(yīng)該達(dá)到兩個(gè)目標(biāo)確定目標(biāo)系統(tǒng)/設(shè)備當(dāng)前狀態(tài)下面臨的風(fēng)險(xiǎn)；確定并推薦減少風(fēng)險(xiǎn)的防護(hù)控制措施，并證明這些措施是有效的。3. RiskWatch9.0通過(guò)使用因素關(guān)聯(lián)功能和計(jì)算風(fēng)險(xiǎn)來(lái)達(dá)到上述風(fēng)險(xiǎn)分析目標(biāo)1.6其它風(fēng)險(xiǎn)評(píng)估與管理工具、1. &RA/SYSRA/SYS(RiskAnalysisSys

13、tem)是一個(gè)定量的自動(dòng)化風(fēng)險(xiǎn)分析系統(tǒng)，包括50多個(gè)有關(guān)脆弱性和資產(chǎn)以及60多個(gè)有關(guān)威脅的交互文件，用于威脅和脆弱性的計(jì)算，用于成本效益、投資效益、損失的綜合評(píng)估，產(chǎn)生威脅等級(jí)和威脅頻率。1.6.2©RISK“RISK是由美國(guó)Palisade公司推出的風(fēng)險(xiǎn)分析工具，并不針對(duì)信息安全風(fēng)險(xiǎn)評(píng)估，主要用于商業(yè)風(fēng)險(xiǎn)分析。RISK利用蒙特卡洛模擬法進(jìn)行定量的風(fēng)險(xiǎn)評(píng)估，允許在建立模型時(shí)應(yīng)用各種概率分布函數(shù)，對(duì)所有可能及其發(fā)生概率做出評(píng)估。RISK加載到Excel上，為Excel增添了高級(jí)模型和風(fēng)險(xiǎn)分析功能，詳情可以參見Palisade公司的網(wǎng)頁(yè)0A%1.6.3 BDSSBDSS(Bayesian

14、DecisionSupportSystem)是一個(gè)定量/定性相結(jié)合的風(fēng)險(xiǎn)分析工具，通過(guò)程序收集資產(chǎn)評(píng)估數(shù)據(jù)，依據(jù)系統(tǒng)提供的數(shù)據(jù)庫(kù)，確定系統(tǒng)存在的潛在風(fēng)險(xiǎn)。BDSS使用靈活，除了提供定量的分析評(píng)估報(bào)告之外，還可以提供定性的、有關(guān)弱點(diǎn)及其防護(hù)措施的建議。1.6.4CCCC評(píng)估工具有美國(guó)NIAP發(fā)布，CC評(píng)估系統(tǒng)依據(jù)CC標(biāo)準(zhǔn)進(jìn)行評(píng)估，評(píng)估被測(cè)信息系統(tǒng)達(dá)到CC標(biāo)準(zhǔn)的程度，共由兩部分組成:CCPKB（CC知識(shí)庫(kù)）和CCToolBox（CC評(píng)估工具集）。CCPKB是進(jìn)行CC評(píng)估的支持?jǐn)?shù)據(jù)庫(kù)，基于Access構(gòu)建。CCToolBox是進(jìn)行CC評(píng)估的主要工具，主要采用頁(yè)面調(diào)查形式，用戶通過(guò)依次填充每個(gè)頁(yè)面的調(diào)

15、查項(xiàng)來(lái)完成評(píng)估，最后生成關(guān)于評(píng)估所進(jìn)行的詳細(xì)調(diào)查結(jié)果和最終評(píng)估報(bào)告。1.6.5 CORA*CORA(Cost-of-RiskAnalysis)是由國(guó)際安全技亦公司(InternationalSecurityTechnology,Inc.)開發(fā)的一種風(fēng)險(xiǎn)管理決策支持系統(tǒng)，它采用典型的定量分析方法，可以方便地采集、組織、分析并存儲(chǔ)風(fēng)險(xiǎn)數(shù)據(jù)，為組織的風(fēng)險(xiǎn)管理決策文掙提供準(zhǔn)確的依據(jù)。網(wǎng)址是：WWW,ist-1.6.6 MSATMSAT(MicrosoftSecurityAccessmentTool)是微軟的一個(gè)風(fēng)險(xiǎn)評(píng)估工具，與MBSA直接掃描和評(píng)估系統(tǒng)不同,MSAT通過(guò)填寫的詳細(xì)的問(wèn)卷以及相關(guān)信息，處

16、理問(wèn)卷反饋,評(píng)估組織在諸如基礎(chǔ)結(jié)構(gòu)、應(yīng)用程序、操作和人員等領(lǐng)域中的安全實(shí)踐，然后提出相應(yīng)的安全風(fēng)險(xiǎn)管理措施和意見。MSAT是免費(fèi)工具，可以從微軟網(wǎng)站下載，但需要注冊(cè)。下載地址：1.6.7 RiskPACRiskPAC是CSCJ公司開發(fā)的，對(duì)組織進(jìn)行風(fēng)險(xiǎn)評(píng)估、業(yè)務(wù)影響分析的一個(gè)定量和定性風(fēng)險(xiǎn)評(píng)估工具。RiskPAC的風(fēng)險(xiǎn)評(píng)估過(guò)程是：確定風(fēng)險(xiǎn)評(píng)估范圍、確定對(duì)分析評(píng)估結(jié)果進(jìn)行反應(yīng)的人員，選擇問(wèn)卷調(diào)查表，進(jìn)行調(diào)查評(píng)估分析。RiskPAC將風(fēng)險(xiǎn)分為幾個(gè)級(jí)別，根據(jù)不同風(fēng)險(xiǎn)級(jí)別問(wèn)題的構(gòu)建和回答，完成風(fēng)險(xiǎn)評(píng)估。1.7常用風(fēng)險(xiǎn)評(píng)估與管理工具對(duì)比常用風(fēng)險(xiǎn)評(píng)估與管理工具對(duì)比情況如表6-1所示:表6-1常用風(fēng)險(xiǎn)評(píng)估與

17、管理工具對(duì)比工具名稱車國(guó)家/蛆織標(biāo)堆4定世/定星算法匚數(shù)據(jù)采集形式Y(jié)對(duì)使用人長(zhǎng)的要錄結(jié)果輸出瑋式?jīng)_美國(guó)/徽較Q定性Q不需要有.鳳險(xiǎn)評(píng)估的專業(yè)知識(shí)系績(jī)安全掃捲另析報(bào)告Q4COBRAS英國(guó)C&A全公司QISO17799+定性/定量結(jié)合調(diào)查河卷2不需要有JM險(xiǎn)評(píng)估的考業(yè)知識(shí)芒結(jié)果報(bào)告、JX險(xiǎn)等級(jí)、揑制措CRAMME英國(guó)/UUTjVBS7799hP走性/定星結(jié)合過(guò)程Q依靠評(píng)估人員的知識(shí)和經(jīng)驗(yàn)4JX險(xiǎn)等織、扭制措施滬|ASSETS美國(guó)/NJLSTNISTSF800-26+=-定性/走:呈結(jié)合調(diào)查同卷盧不需要有鞏險(xiǎn)評(píng)估的考業(yè)知識(shí)*提供揑制目標(biāo)和建諫Q美國(guó)/RiskWatch公司Q韓合各類相關(guān)標(biāo)準(zhǔn)亠

18、定性/定星結(jié)合調(diào)查冋巻Q不需要有鳳險(xiǎn)評(píng)估的專業(yè)知識(shí)Q鳳險(xiǎn)分析韓合報(bào)告QdRISKQ美國(guó)/FaliISO17799/BSTT99定星4Q調(diào)查冋卷盧不需要有.鳳險(xiǎn)評(píng)詁的專業(yè)知識(shí)Q決策支捋信息mC2美國(guó)/NIAF一CC<-*走性Q調(diào)查冋巻心不需要有.鳳險(xiǎn)評(píng)估茄專業(yè)知識(shí)Q評(píng)估報(bào)肯aCORAP國(guó)際信息妾全公司a護(hù)定星4Q調(diào)查冋卷心不需委有鳳險(xiǎn)評(píng)估的專業(yè)知識(shí)Q決策支持信息HMSAT5美國(guó)/徽較ISO17T99.HTST-8OO.x等R定性/定墾Q調(diào)查冋巻Q不需要有鳳險(xiǎn)評(píng)估茄專業(yè)知識(shí)Q安全鳳險(xiǎn)管理措施和意見aRiskPAC<美國(guó)/匚5匚工公司a定性/定呈4調(diào)查冋卷心不需要有鳳險(xiǎn)評(píng)詁的專業(yè)知識(shí)Q鳳

19、險(xiǎn)分析錄合報(bào)告Q12系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具於備系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具包括脆弱性掃描工具和滲透測(cè)試工具。脆弱性評(píng)估工具也稱為安全掃描、漏洞掃描器，評(píng)估網(wǎng)絡(luò)或主機(jī)系統(tǒng)的安全性并且報(bào)告系統(tǒng)的脆弱點(diǎn)。這些工具能夠掃描網(wǎng)絡(luò)、服務(wù)器、防火墻、路由器和應(yīng)用程序，發(fā)現(xiàn)其中的漏洞。滲透測(cè)試工具是根據(jù)漏洞掃描工具提供的漏洞，進(jìn)行模擬黑客測(cè)試，判斷這些漏洞是否能夠被他人利用。滲透測(cè)試的目的是檢測(cè)已發(fā)現(xiàn)的漏洞是否真正會(huì)給系統(tǒng)或網(wǎng)絡(luò)環(huán)境帶來(lái)威脅。通常在風(fēng)險(xiǎn)評(píng)估的脆弱性識(shí)別階段將脆弱性掃描工具和滲透測(cè)試工具一起使用，確定系統(tǒng)漏洞。2.1脆弱性掃描工具豈E2. 1.1脆弱性掃描概述脆弱性也稱為漏洞(Vulnerab訂i

20、ty),是系統(tǒng)或保護(hù)機(jī)制內(nèi)的弱點(diǎn)或錯(cuò)誤，它們使信息暴露在攻擊或破壞之下，女口：軟件包的缺陷，未受保護(hù)的系統(tǒng)端口，或沒有丄鎖的門裁。已驗(yàn)證、歸檔和公希時(shí)漏洞稱為公開漏洞。漏洞的種類有很多，主要包括：硬件漏洞、軟件漏洞和網(wǎng)絡(luò)漏洞。脆弱性掃描的基本原理是采用模擬黑客攻擊的方式對(duì)目標(biāo)可能存在的脆弱性進(jìn)行逐項(xiàng)檢測(cè)，可以對(duì)工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫(kù)等各種對(duì)象進(jìn)行脆弱性檢測(cè)。按照掃描過(guò)程來(lái)分，掃描技術(shù)又可以分為四大類：Ping掃描技術(shù)、端口掃描技術(shù)、操作系統(tǒng)探測(cè)掃描技術(shù)、習(xí)慣性以及已知脆弱性的掃描技術(shù)。2. 1.2脆弱性掃描工具分類目前對(duì)脆弱性掃描工具的研發(fā)主要分為以下幾種類型：1.基于網(wǎng)絡(luò)的掃描器：在

21、網(wǎng)絡(luò)中運(yùn)行，能夠檢測(cè)如防火墻錯(cuò)誤配置或連接到網(wǎng)絡(luò)上的易受攻擊的網(wǎng)絡(luò)服務(wù)器的關(guān)鍵漏洞。2. 基于主機(jī)的掃描器：發(fā)現(xiàn)主機(jī)的操作系統(tǒng)、特殊服務(wù)和配置的細(xì)節(jié)，發(fā)現(xiàn)潛在的用戶行為風(fēng)險(xiǎn)，如密碼強(qiáng)度不夠,也可實(shí)施對(duì)文件系統(tǒng)的檢查。3. 分布式網(wǎng)絡(luò)掃描器：由遠(yuǎn)程掃描代理、對(duì)這些代理的即插即用更新機(jī)制、中心管理點(diǎn)三部分構(gòu)成，用于企業(yè)級(jí)網(wǎng)絡(luò)的脆弱性評(píng)估，分布和位于不同的位置、城市甚至不同的國(guó)家。4. 數(shù)據(jù)庫(kù)脆弱性掃描器：對(duì)數(shù)據(jù)庫(kù)的授權(quán)、認(rèn)證和完整性進(jìn)行詳細(xì)的分析，也可以識(shí)別數(shù)據(jù)庫(kù)系統(tǒng)中潛在的脆弱性。2.2流光（Fluxay）脆弱性掃描工具匸.Fluxay并不是單純的系統(tǒng)脆弱性掃描工具，而且是一個(gè)功能強(qiáng)大的滲透測(cè)試

22、工具。其工作原理是：首先，獲得計(jì)算機(jī)系統(tǒng)在網(wǎng)絡(luò)服務(wù)、版本信息、Web應(yīng)用等相關(guān)信息，采用模擬攻擊的方法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如弱口令測(cè)試等。如果模擬攻擊成功，則視為系統(tǒng)脆弱性存在。其次，也可以根據(jù)系統(tǒng)事先定義的系統(tǒng)安全漏洞庫(kù)對(duì)可能存在的脆弱性進(jìn)行逐項(xiàng)檢測(cè)，按照規(guī)則匹配的原則將掃描結(jié)果與安全漏洞庫(kù)進(jìn)行比對(duì)，如果滿足匹配條件，則視為脆弱性存在。最后，根據(jù)檢測(cè)結(jié)果向系統(tǒng)管理員提供安全性分析報(bào)告，作為系統(tǒng)和網(wǎng)絡(luò)安全整體水平的評(píng)估依據(jù)。啟動(dòng)流光工具后可以看到它的主界面，如圖6-4所示:hjiidl3iotflfll廠wM.rx<x«Ym.tonwiw.rKtxew.v

23、qocmftaBE*.camnffitQMd0鴻LLt鹿第的*>“"TH馭評(píng)於!，湛刖叩出測(cè)”"“舷知複尢左址議輕屯更ASX于卜詡btftW“獰+ifxtwrrg畑4llwis愴*+卄"S芒如審SWflDlowtJL匕#&的hueKrw*-flxswiF«4«.atvejrsfliwsw.山網(wǎng)wi閩此甬1：JfFWHPM5I5EG&ZTE何IM.冏ik醫(yī)萬(wàn)掛"EV1WMXC443nA»nM1TI童HIjllfflp圖6-4流光工具啟動(dòng)界面單擊“文件”菜單下的“高級(jí)掃描向?qū)А边x項(xiàng)，將會(huì)有如圖6-5所示的界

24、面。其中，“起始地址”和“結(jié)束地址”填寫本地IP,“目標(biāo)系統(tǒng)”可以選擇ALL/Windows/Linux/UNIX,“檢測(cè)項(xiàng)目”選擇對(duì)目標(biāo)主機(jī)的哪些服務(wù)進(jìn)行漏洞掃描。擔(dān)柬地址I邱嘰i|i2T.O0.1|127.0.0.!1*11tJFIHGS軸項(xiàng)目1J冊(cè)地址目掠磁=回FORTSF0P3£WTPg|<felWAFUTirSk-rvrwvr單擊“下一步”按鈕，出現(xiàn)如圖6-6所示的窗口。圖6-6端口設(shè)定通過(guò)此窗口可以對(duì)掃描主機(jī)的端口進(jìn)行設(shè)置，其中自定端口掃描范A圍為065535o選擇“標(biāo)準(zhǔn)端口掃描”，并單擊“下一步”按鈕，將會(huì)彈出嘗試獲取POP3的版本信息和用戶密碼的對(duì)話框，獲取FT

25、P的版本號(hào)、嘗試匿名登錄和嘗試猜解用戶的對(duì)話框，選擇這三項(xiàng)后單擊“下一步”按鈕，將彈出詢問(wèn)獲取SMTP的版本號(hào)、EXPN/VRFY掃描的對(duì)話框，獲得IMAP版本信息、嘗試猜解用戶賬號(hào)的對(duì)話框，以及獲取系統(tǒng)版本(TELNET)、SunOSLogin遠(yuǎn)程溢岀和WWW版本信息的(CGI)對(duì)話框。選擇這些項(xiàng)后單擊“下一CGIRules顯示的是掃描Web漏洞的信息，可按照事先定義臨CGI漏洞列表選擇不同的漏洞對(duì)目標(biāo)主機(jī)進(jìn)行掃描。其中認(rèn)E規(guī)則有2448條,如圖6-7所示。備單擊“下一步”按鈕，出現(xiàn)在對(duì)MSSQL2000數(shù)據(jù)庫(kù)漏洞、SA密碼解密和版本信息進(jìn)行掃描的對(duì)話框，如圖6-8所示。CCIRiikfTi

26、lridwsMT/2000ALLZJ共計(jì)W條規(guī)剛niKTHIHTJKTmaxinuxmaxumix3PiPYjJ%aLT*h13；斑/serverinfoQm/itirv«r*»t*4w回崎/TtWebElifilF.pl回說(shuō)F/*tc/h<tsllEISSLA*/.-Aic/hwtx全Mi®（反時(shí)遶捋<上一»釧卞1»®>|職71|韜爾上一歩|下一步Qj）|辿率I幫朋圖6-8MSSQL數(shù)據(jù)庫(kù)漏洞掃描設(shè)置單擊SQL對(duì)話框的“下一步”按鈕，出現(xiàn)對(duì)話框，如圖6-9所示，對(duì)計(jì)算機(jī)系統(tǒng)的IPC漏洞進(jìn)行掃描，查看是否有空連接、共

27、享資源，獲得用戶列表并猜解用戶密碼。E共車貴液扌輜0養(yǎng)試我取用戶鳥因蕓試對(duì)寂SR的用戸若進(jìn)行漏第S僅對(duì)A4>mislrAotarsifliSfjSMff圖6-9IPC漏洞掃描設(shè)置選擇需要進(jìn)行掃描的選項(xiàng)，如果不選擇最后一項(xiàng),件將對(duì)所有用戶的密碼進(jìn)行猜解，否則只對(duì)管理員用戶組的用戶密碼進(jìn)行猜解。單擊“下一步”按鈕，彈出如圖6-10所示的對(duì)話框?？谝?；沁沁回Front擴(kuò)興S嘗減茯取SAJH丈件上一步|下一歩®另舉泊06-10IIS漏洞掃描設(shè)置y金吐JMpl在這個(gè)對(duì)話框中，將設(shè)置對(duì)IIS漏洞的掃描選項(xiàng)，包括令Unicode編碼漏洞、FrontPage擴(kuò)展、嘗試獲取SAM文件和嘗試獲取P

28、cAnyWhere密碼文件。單擊“下一步”按鈕，彈出設(shè)置MISC的對(duì)話框，其中包括：BIND版本掃描、猜解MySQL密碼和SSH版本掃描。單擊對(duì)話框中的“下一步”按鈕，彈出PLUGINS對(duì)話框，如圖6-11所示。Ill|全部邃擇3上一步取泊反同選揮老J2000ExUdsihExploitElFTPServer0IIS5.0VEBDAVExploitElIISSONULLPriitttrZxplilPltfLLSmgAvdLi<bl«EQ?OP¥<rifyUxtrsubgOSIJVinde-wsNT/2OOO姿PLUGINSZ1共計(jì)001門個(gè)仙件ALLS-3-二一

29、一一二>NTNTSTWTJrT枷腳NT圖6-11插件漏洞掃描設(shè)置流光軟件提供了對(duì)ii個(gè)插件的漏洞掃描，可根據(jù)需要洗選擇。單擊“下一步”按鈕，彈出如圖6-12所示的對(duì)話框，在這個(gè)對(duì)話框中，通過(guò)“猜解用戶名字典”嘗試暴力猜解，用于除了IPC之外的項(xiàng)目。單擊“完成”按鈕，彈出“選擇流光主機(jī)”對(duì)話框，如圖6-13所示，可設(shè)置掃描引擎。上一齒黯：W用戶名字典:廣；-.一|c；'FTocr審F訂die保存掃描報(bào)肯：幷發(fā)螂犧目:155_3I他敦）取消氏1*紅燭矽畑沖八、1絆0.0.：0習(xí)|主機(jī)；用尸若;選項(xiàng)®卑示擔(dān)翩8節(jié)鄒河茁魏在虛程I務(wù)器劇S合列S)后胡軾"扌描開始后無(wú)需

30、客F涓千預(yù)開貽艦消©圖6-13選擇流光主機(jī)選擇默認(rèn)的本地主機(jī)作為掃描引擎，可以設(shè)置掃描速度。速度越快就越容易單擊“開始”按鈕進(jìn)行掃描。圖6-12猜解字典設(shè)置rrH-E經(jīng)過(guò)一段時(shí)間后會(huì)在探測(cè)結(jié)果窗口中將岀現(xiàn)掃描的結(jié)果？類似于圖6-14所示。M畛杲(14)枷擁I27M1VRFY點(diǎn)特FORM議館皿1匍口恥PORTO制U27M1和8咖砸POR0邨U加山端口皿“酬P(guān)OR0預(yù)I加0.備口血,”賊CGI->啊酬帥?伽川仏血伽弼仏翩POR0曲U27,0仏誡口0080，併放卩眇>抑1加皿和州弭和POR2珂1加曲備北帕併曲CG"飆127,0.0.1/index,p

31、hp?p5ge=.J.J.jJetc/passwd“成勸«3>騷1加血1愀腳犧弭鵝融I加叫?5嘰就融翻如叫帕U崩CGI*>IS觸hM赫“成功我們可以看到，示例的掃描結(jié)束后屏幕彈出檢測(cè)結(jié)果框，共檢測(cè)到14條結(jié)果。同時(shí)，流光還會(huì)生成掃描報(bào)告，以網(wǎng)頁(yè)的形式保存在預(yù)設(shè)目錄之下。示例的掃描結(jié)果顯示主機(jī)有7個(gè)端口開放并提供服務(wù)。在掃描報(bào)告當(dāng)中我們還可以看到主機(jī)的端口，SMTP的版本信息和是否支持VRFY；還可以看到掃描成功的CGI漏洞和MISC信息。按照前面提出的步驟掃描主機(jī)，查看掃描結(jié)果，了解各種系統(tǒng)漏洞和可能造成的危害。下載相應(yīng)的系統(tǒng)補(bǔ)丁，修補(bǔ)

32、系統(tǒng)漏洞，從而構(gòu)造一個(gè)相對(duì)安全的操作系統(tǒng)。在安裝完補(bǔ)丁后，重新使用流光來(lái)掃描系統(tǒng)漏洞，檢查系統(tǒng)漏洞是否已經(jīng)修補(bǔ)。K2.3Nessus脆弱性掃描工具Nessus是一個(gè)功能強(qiáng)大的遠(yuǎn)程安全掃描器。它不僅免費(fèi)而且更新極快。安全掃描器的功能是對(duì)指定網(wǎng)絡(luò)進(jìn)行安全檢查，找出該網(wǎng)絡(luò)是否存在有導(dǎo)致對(duì)手攻擊的安全漏洞。啟動(dòng)Nessus的安裝文件，岀現(xiàn)圖6-150按照提示進(jìn)行安裝，安裝結(jié)束后將在目標(biāo)目錄處出現(xiàn)兩個(gè)快捷方式，如圖6-16所示。雙擊“NessusClientv圖標(biāo),進(jìn)入掃描界面，如圖6-17所示。K-L/zINgssusCliont快捷方式3SJ2J2KBHein”leiIvmIiIoNflituiVU

33、rvx«M4ySconnmUMtzgTHi停呷M手戶抄忖«E參啼岡卯杯屮EE叫ZhElbfAatUn»mrc4&cfe<«kr)dtna呻portion廿Lrwrc*<iqyih«n<drmnnWpnM,gwl|WtoiMimjMfHuw申undw心g圖6-15安裝Nessus界面NgssusSorvorConfiguration快捷方式2KB圖6-16Nessus安裝結(jié)果圖6-17Nusess的啟動(dòng)界面A%單擊“Connect”按鈕，選擇本地主機(jī)，進(jìn)行連接。連接成功后，“Connect”按鈕變成了"Disc

34、onnectv。單擊界面左側(cè)按鈕，向掃描工具添加編輯目標(biāo)，在這里以本地主機(jī)為例，如圖6-18所示。保存后回到主界面。單擊界面右側(cè)的添加一項(xiàng)新的掃描任務(wù)，如圖6T9所示。FdftT<ar“*t¥廠X'SCUh:SinLl*：；IFR*ak«<2Sublet（二>M«s.tvbir«fil«Xdsv9.;t2*TOg,BSt-*3ft*&>：Bn<9»<ldLr-4s*；K*tviirlc:H£dk;FilF««Lh：S«l«cfil*C

35、«L&e«lSwv«Optionxy*j*b«T-of士*1*1in.t-bt<XL«1*wfek>*v:fdwechwon»«r«X1!>&.<axxr>M-r4U1C44FoLt«古O.dC»i<n«i««h""feyQh-LfDIB；C«Mad»rKmscmwh«4p«rr<6«sSaiV1b.«Aitieo-Pert3mg

36、kacfetceiptmreqFtl-unL«Cd*w»iXs<*iJh*sG*vanA«“*wir:rcnnercbooze:N«««!.«£3MF“XTCFS4sM4>xr-V-CM'iVreV-''P>Tt<*thr>gh»stsrraac«ew£rLBx«a.ttorpjli學(xué)AF$«*圖6-19對(duì)新掃描任務(wù)的設(shè)置在這個(gè)界面當(dāng)中可以設(shè)置本次掃描任務(wù)的名稱，設(shè)置掃翔端口的范圍，漏洞的選擇以及關(guān)于掃描網(wǎng)絡(luò)方面

37、的設(shè)置等。添加完成后，單擊“ScanNow”開始進(jìn)行掃描。掃描結(jié)果如圖6-20所示。FieMe<)DtltUEsper*127.0.01二327601aWon(TSOI/tcy>ChioAb，邯*Q(1K/Hf)Sfgtix:Sltrl:Tb0920：«：X2O»Zlia«:Tknlc.7OB20<8：<-42O»MwBtrifmlnagAiliuu-OjMinLovduClrieratiVkC療VatBXCBDK&WL4:(iftkawin)117S如圖6-20掃描結(jié)果單擊左側(cè)的各個(gè)條目，可以查看具體的說(shuō)明。掃描的結(jié)果還

38、可以通過(guò)點(diǎn)擊“Export”按鈕導(dǎo)出成HTML文件。在此網(wǎng)頁(yè)中可以查看詳細(xì)的掃描結(jié)果，它將列出掃描結(jié)果的ID號(hào)，這些在網(wǎng)頁(yè)中均有詳細(xì)的說(shuō)明。根據(jù)說(shuō)明有無(wú)風(fēng)險(xiǎn)來(lái)進(jìn)行修復(fù)。掃描結(jié)束后，可以將本次任務(wù)保存下來(lái)。點(diǎn)擊掃描界面下的“Disconnet”按鈕，退出了此次連接。如有需要再次進(jìn)行連接即可。Nessus的優(yōu)點(diǎn)在于：它采用了基于多種安全漏洞的掃描，避免了掃描不完整的情況；它是一個(gè)免費(fèi)工具，比起商業(yè)的安全掃描工具如ISS具有價(jià)格優(yōu)勢(shì)；它的擴(kuò)展性強(qiáng)、容易使用、功能強(qiáng)大，可以掃描出多種安全漏洞。2.4極光遠(yuǎn)程安全評(píng)估系統(tǒng)2. 4.1概述綠盟科技自主研發(fā)了極光(AU

39、RORA)遠(yuǎn)程安全評(píng)估系統(tǒng)，產(chǎn)品針對(duì)各類操作系統(tǒng)、網(wǎng)絡(luò)產(chǎn)品、數(shù)據(jù)庫(kù)產(chǎn)品等的安全漏洞進(jìn)行分析。該產(chǎn)品為嵌入式安全專用硬件掃描系統(tǒng)，基于瀏覽器的遠(yuǎn)程使用、分級(jí)用戶管理、強(qiáng)大的地址本、完善的日志、分布式部署能力，構(gòu)筑企業(yè)級(jí)安全評(píng)估應(yīng)用。數(shù)抵同步模塊掃描孩心枳塊2.4.2系統(tǒng)架構(gòu)極光系統(tǒng)架構(gòu)如圖6-21所示。極光使用Web管理方式，讓用戶使用瀏覽器通過(guò)SSL加密通道和系統(tǒng)Web界面模塊交互，方便用戶管理。Web界山1檢塊圖6-21極光系統(tǒng)整體架構(gòu)圖極光專用安全系統(tǒng)平臺(tái)是具有很高的安全性和穩(wěn)定性。包括如下主要功能模塊：1掃描核心模掃描核心模塊是系統(tǒng)最重要的模塊之一，它負(fù)責(zé)完成目標(biāo)的探測(cè)評(píng)估工作，包括判定

40、主機(jī)存活狀態(tài)、操作系統(tǒng)識(shí)別、規(guī)則解析匹配等。2. 漏洞知識(shí)庫(kù)漏洞知識(shí)庫(kù)包含漏洞相關(guān)信息，是系統(tǒng)運(yùn)行的基礎(chǔ)，掃描調(diào)度模塊和Web管理模塊都依賴它進(jìn)行工作。3. 掃描結(jié)果庫(kù)掃描結(jié)果庫(kù)包含了掃描任務(wù)的結(jié)果信息，是掃描結(jié)果報(bào)告生成的基礎(chǔ)，也是查詢和分析結(jié)果的數(shù)據(jù)來(lái)源。4. 匯總數(shù)據(jù)匯總數(shù)據(jù)是綜合分析、趨勢(shì)分析和報(bào)表合并的統(tǒng)計(jì)信息的數(shù)據(jù)來(lái)源，是任務(wù)合并、分布式數(shù)據(jù)匯總之后的結(jié)果。E5. Web界面模塊“Web界面模塊負(fù)責(zé)和用戶進(jìn)行交互，配合用戶的請(qǐng)求完成管理工作。Web管理模塊包含多個(gè)子模塊共同完成用戶的請(qǐng)求，其主要子模塊有：（1）任務(wù)管理子模塊報(bào)表子模塊（3）任務(wù)報(bào)表輔助管理子模塊（4）地址本管理子模

41、塊用戶和權(quán)限系統(tǒng)子模塊（6）系統(tǒng)日志和審計(jì)策略子模塊常用工具子模塊（8）系統(tǒng)配置子模塊A%6-數(shù)據(jù)同步模塊主要實(shí)現(xiàn)分布式部署中的任務(wù)分發(fā)、策略分發(fā)等功能；完成掃描結(jié)果數(shù)據(jù)向上級(jí)AURORA系統(tǒng)的數(shù)據(jù)上傳，在數(shù)據(jù)上傳中使用SSL加密傳輸通道，保證了數(shù)據(jù)的保密性；匯總的數(shù)據(jù)可以進(jìn)行集中統(tǒng)一的分析。7.升級(jí)模塊極光有網(wǎng)絡(luò)自動(dòng)升級(jí)和用戶手動(dòng)升級(jí)的策略，系統(tǒng)的各個(gè)模塊都可以通過(guò)升級(jí)模塊進(jìn)行升級(jí)。2. 4.3系統(tǒng)應(yīng)用環(huán)境1.平坦式部署AURORA躥理MMtI服觸個(gè)人眈齬庫(kù)肋掘I堆機(jī)圖6-22極光的平坦式部署模式小型網(wǎng)絡(luò)中，數(shù)據(jù)相對(duì)集中，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)也相對(duì)簡(jiǎn)單，可采用平坦式部署方式，如圖6-22所示。2.分

42、布式部署AURORA'第一級(jí)管理員數(shù)據(jù)同步司步第二級(jí)AUROAURO管理員管理員圖6-23極光的分布式部署模式大型網(wǎng)絡(luò)中多臺(tái)極光系統(tǒng)共同工作時(shí)，極光的分布部署支持能力可以使得各系統(tǒng)間的數(shù)據(jù)能共享并匯總。網(wǎng)絡(luò)中使用分布式部署結(jié)構(gòu)如圖6-23所示。2.5天鏡脆弱性掃描與管理系統(tǒng)2.5.1概述啟明星辰自主研發(fā)了天鏡脆弱性掃描與管理系統(tǒng)。它的任務(wù)是用實(shí)踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)，檢查系統(tǒng)中存在的弱點(diǎn)和漏洞并生成相應(yīng)的報(bào)告，適時(shí)提出修補(bǔ)方法和應(yīng)實(shí)施的安全策略，從而達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。2. 5.2系統(tǒng)構(gòu)成1. 產(chǎn)品組成天鏡分布式產(chǎn)品組成包含以下幾個(gè)部分:(1) 管理控制中心(2) 綜合顯示中

43、心(3) 日志分析報(bào)表(4) 掃描引擎軟件掃描對(duì)象授權(quán)(6)數(shù)據(jù)庫(kù)2. 產(chǎn)品部署方案一：?jiǎn)螜C(jī)式部署圖6-24天鏡單機(jī)式部署掃帶引擎0數(shù)據(jù)庫(kù)顯示中心/報(bào)表中心控制中柱被檢測(cè)網(wǎng)絡(luò)方案二：分布式部署圖6-25天鏡單機(jī)式部署（3）方案三：多級(jí)式部署圖6-26天鏡多級(jí)式部署nr甫k3. 系統(tǒng)配置硬件環(huán)境：本系統(tǒng)運(yùn)行在硬件環(huán)境為X86架構(gòu)的臺(tái)式機(jī)或筆記本電腦。CPU：不低于PentiuuiIV2.2G。內(nèi)存：不低于512Mo硬盤：不低于50M剩余空間，建議200M以上剩余空間。網(wǎng)卡：至少一塊100Mbps以太網(wǎng)卡。軟件環(huán)境：操作系統(tǒng)：中文版Windows2000SP4以上。瀏覽器：IE5.0以上版本。2.

44、5.3系統(tǒng)功能1.管理功能分布管理、集中分析EEE3ZO24LQihov00251Qa”Ctsc*n24242C252S.W他2&8弘11111應(yīng)應(yīng)102192192普&K?制中匕顯示屋歧擔(dān)Ji引手SffEW1?舊左引事2<U版送驪忖滋lte241251件數(shù)102JSi251J2J峑舸好n業(yè)務(wù)瞬rgp作百町血上上辺&無(wú)圖6-27天鏡管理控制臺(tái)rrKaE(2)多級(jí)管理對(duì)于擁有不同地域、大規(guī)模網(wǎng)絡(luò)的用戶，各個(gè)地域的網(wǎng)絡(luò)安全管理員管理著本地域的網(wǎng)絡(luò)安全狀況，其上層的安全管理員可以上傳檢測(cè)結(jié)果、下達(dá)檢測(cè)策略、統(tǒng)一管理、統(tǒng)一分析、統(tǒng)一升級(jí)；實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)環(huán)境下的全局風(fēng)險(xiǎn)控制

45、、降低管理成本。并刪冋翅：116.515-71圖6-28天鏡掃描計(jì)劃制定2.策略管理（1）掃描計(jì)劃定制*改任參】2T""（2）系統(tǒng)使用授權(quán)限制系統(tǒng)提供了硬件強(qiáng)制授權(quán)管理，以確保系統(tǒng)的使用安全、防止非法使用。3. 自定義顯示功能(1) 自定義分類結(jié)構(gòu)顯示(2) 顯示自定義窗口(3) 重點(diǎn)關(guān)注自定義4. 掃描功能(1) 端口服務(wù)智能識(shí)別(2) 可識(shí)別的掃描對(duì)象(3) 掃描漏洞分類數(shù)據(jù)庫(kù)掃描(5)Web掃描5. 報(bào)告功能K6-安全信息手冊(cè)文件®蠶上処_&0觸令令|國(guó)岡MSSQI戀碼攻擊類'&衛(wèi)MSSQI訪問(wèn)控制類B丄MSSQI存績(jī)過(guò)程校君E

46、63;3E5SQL擴(kuò)晨存您過(guò)堤隘住-丄M55Q系折配置k丄MSSQL葩鏈服務(wù)玫擊S囪Orade口令猜測(cè)類任丄IOrMleMOifl日3NT關(guān)鍵間題類J耒設(shè)譽(yù)屛幕保護(hù)口令J啟動(dòng)了POSIX子系撫T再在0Udmh工具J啟動(dòng)了LMJ啟動(dòng)目動(dòng)蚤錄功琵JJ啟動(dòng)了05/2孑系統(tǒng)J注冊(cè)表安全審計(jì)J注冊(cè)表項(xiàng)合理報(bào)權(quán)設(shè)JWinbgon注冊(cè)舉頂訪|J注冊(cè)表關(guān)鍵健值的取2安全補(bǔ)丁臉壹3匡礦5r區(qū)分大小不搜累安全信息卻(Sesstr.w)言蕩詢£蟲病垂栓測(cè)簡(jiǎn)單說(shuō)明詳擁說(shuō)明變作系城.檢測(cè)系紜是否恿棘蕩玻mS審切蛛蟲病暮袞蕩波OTorm.S時(shí)打)是和用L.濃沖區(qū)溢出進(jìn)行俺的如眼務(wù)舉身存在囲樞謚出漏洞E験遠(yuǎn)刪PS

47、tSew的超D變種繼用誦口5555SasserE：耒識(shí)別訥羿臺(tái)Vindws2W/XP/2QO3處期議；更新并垂軟件/糸餘震蕩波Go和咒匕)病靈，夙修補(bǔ)LSAlg務(wù)運(yùn)程鍍沖德宙岀漏嗣.圖6-29安全信息手冊(cè)示例7.用戶管理與審計(jì)(1) 系統(tǒng)分用戶、分權(quán)限使用與管理;(2) 支持雙因素身份認(rèn)證：口令、身份卡配合使用;(3) 用戶、管理員的操作審計(jì)。2.5.4掃描技術(shù)特色r*1. 漸進(jìn)式掃描口根據(jù)被掃描主機(jī)的操作系統(tǒng)和主機(jī)應(yīng)用等信息智能確定進(jìn)一步的掃描流程。2. 授權(quán)掃描系統(tǒng)支持用戶提供被掃描主機(jī)的權(quán)限信息，以獲取更深入、更全面的漏洞信息。3. 系統(tǒng)穩(wěn)定性高掃描過(guò)程實(shí)時(shí)正確處理各種以外情況：如網(wǎng)卡故

48、障、資源耗盡等。4. 掃描系統(tǒng)資源占用少、速度快、誤報(bào)低、漏報(bào)低、穩(wěn)定性高。nr甫e2.6滲透測(cè)試工具J*2.6.1滲透測(cè)試概述滲透測(cè)試(PenetrationTest)最簡(jiǎn)單直接的解釋就是：完全站在攻擊者角度對(duì)目標(biāo)系統(tǒng)進(jìn)行的安全性測(cè)試過(guò)程，也就是完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對(duì)目標(biāo)系統(tǒng)的安全做深入的探測(cè)，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。滲透測(cè)試能夠直觀地讓管理人員知道自己網(wǎng)絡(luò)所面臨的問(wèn)題，了解當(dāng)前系統(tǒng)的安全性，了解攻擊者可能利用的途徑，以便對(duì)危害性嚴(yán)重的漏洞及時(shí)修補(bǔ)，以免后患。2.6.2滲透測(cè)試分類滲透測(cè)試一般分為黑盒測(cè)試、白盒測(cè)試和隱秘測(cè)試。黑盒測(cè)試意味著測(cè)試人員是在對(duì)目標(biāo)系統(tǒng)一無(wú)所

49、知的狀態(tài)下進(jìn)行測(cè)試工作，目標(biāo)系統(tǒng)對(duì)測(cè)試人員來(lái)說(shuō)就像一個(gè)“黑盒子”。除了知道目標(biāo)的基本范圍之外，所有的信息都依賴測(cè)試人員自行發(fā)掘。而目標(biāo)系統(tǒng)上往往會(huì)開啟監(jiān)控機(jī)制對(duì)滲透過(guò)程進(jìn)行記錄，以供測(cè)試結(jié)束后分析。也就是說(shuō)雖然黑盒測(cè)試的范圍比較自由和寬泛，但是仍需要遵循一定的規(guī)則和限制。2.白盒測(cè)試與黑盒測(cè)試不同，白盒測(cè)試開始之前測(cè)試人員就已經(jīng)從目標(biāo)公司獲得了足夠的初始信息，例如網(wǎng)絡(luò)地址段、使用的網(wǎng)絡(luò)協(xié)議、拓?fù)鋱D、應(yīng)用列表等等。相對(duì)來(lái)說(shuō)，白盒測(cè)試更多的被應(yīng)用于審核內(nèi)部信息管理機(jī)制，測(cè)試人員可以利用掌握的資料進(jìn)行內(nèi)部探查，甚至與企業(yè)的員工進(jìn)行交互。對(duì)于發(fā)現(xiàn)現(xiàn)有管理機(jī)制漏洞以及檢驗(yàn)社交工程攻擊可能性來(lái)說(shuō)，白盒測(cè)試

50、具有非凡的意義。3. 隱秘測(cè)試隱秘測(cè)試類似一種增強(qiáng)的黑盒測(cè)試，對(duì)于受測(cè)機(jī)構(gòu)來(lái)說(shuō)該測(cè)試處于保密狀態(tài)，可以將其想象為特定管理部分雇傭了外部團(tuán)隊(duì)來(lái)進(jìn)行內(nèi)部調(diào)查。除了不開啟特定措施對(duì)測(cè)試過(guò)程進(jìn)行監(jiān)控和記錄之外，測(cè)試工作的進(jìn)行也不對(duì)員工進(jìn)行通知，甚至不向信息安全管理部門進(jìn)行說(shuō)明。這種測(cè)試完全的模擬了真實(shí)的攻擊，可以綜合的考察組織信息安全工作的運(yùn)轉(zhuǎn)情況，對(duì)信息安全工作人員在安全事件響應(yīng)和處理方面的成效很有幫助。.-沁廣中H2. 7Metasploit滲透工具2.7.1工具簡(jiǎn)述Metasploit是一款開源的安全漏洞檢測(cè)工具。由于Metasploit是免費(fèi)的工具，因此安全工作人員常用Metasploit工具

51、耒檢測(cè)系統(tǒng)白勺安全性。MetasploitFramework(MSF)是2003年以開放源代碼方式發(fā)布、可自由獲取的開發(fā)框架，這個(gè)環(huán)境為滲透測(cè)試、shellcode編寫和漏洞研究提供了一個(gè)可靠的平臺(tái)。它集成了各平臺(tái)上常見的溢出漏洞和流行的shellcode,并且不斷更新，最新版本的MSF包含了180多種當(dāng)前流行的操作系統(tǒng)和血用軟件的exploit,以及100多個(gè)shellcodeo作為安全工具，它在安全檢測(cè)中起到不容忽視的作用,并為漏洞自動(dòng)化探測(cè)和及時(shí)檢測(cè)系統(tǒng)漏洞提供有力的保薩。A%2.7.2Metasploit3的使用方法一安裝完Metasploit程序后,啟動(dòng)程序菜單如圖6-30所示,程序

52、中包含Metasploit的相關(guān)文檔、常用的一些小工具(Netcat.Putty.VNCViewer.WinVI)、CMDShell、Metasploit3的主程序、NASMShell.在線升級(jí)程序、RUBYShell等內(nèi)容。下面是使用Metasploit進(jìn)行相關(guān)滲透工作的步驟。DocummtationMatcatCMDShellFuttyMetasploit3VlICViewerWin1/!ModxilesNASHShell匸InlineUpdateRUBYShellUninstall圖6-30啟動(dòng)程序菜單1. 安裝完Metasploit程序，運(yùn)行Metasploit3,啟動(dòng)窗口界面，如圖6

53、-31所示。界面中會(huì)出現(xiàn)Exploits、AuxiliariesPayloads>Console>Sessions>About等圖標(biāo)欄。電JUMtiploiiUbCmol#30.*NiwwAIhHrMi伽1倬秋戈悴鋼強(qiáng)査著W收戲Q)IMCL)棺助©駝0®總?；'；/*丄恤真G命琴用U地畑爸MwMo.ai：sg8/_卜J3轉(zhuǎn)到湘|燼ExploitIAiixibtneifayloadsSHiaeiii0AbouimBGaSP|piG2點(diǎn)擊Exploits圖標(biāo)，系統(tǒng)列出所有的Exploits,如圖6-32所示。3.針對(duì)目的主機(jī)的信息查找相關(guān)漏洞利用程序，

54、比如晝找WindowsXP系統(tǒng)的相關(guān)漏洞利用程序，如圖6-33所示。©£»<&電JN«ltspl>oktFrumrkCmjLol3,0UierwftIftttrretExplwr文件(I)嘶收住xmod幫肋®離蘇喚©智”SEARCHwindowsXPMatched12modulesfarlermwindwvsXPInternetExplorerVMLFillMethodCodeExecutionThiismodulewloissacodeexecutionvulnarabiWinMlcrosoflInternetE

55、xplorerusingabufferoverflowineheVML|irchcess.ingcode(VOXdii)Thismodui&bentailedonWindows2000SP4.WindowsXPSPOfandWinawsXPSPZInternetExplorerWebViewFolderkortsetSliceQOverflow*ThismoduliExploitsAflaw泊1h&W&bVi白wfoldalttmActiveXCOiibOlincludedMttlWcndCrwS2000.WindowsXP,andWindows2003ThisflawwaspublishedduringtneHonitioffirowserBugsprojectinternetExplorercreateTextRanaeftCodeExecution衛(wèi)Intern>t4.利用對(duì)主機(jī)掃描發(fā)現(xiàn)的漏洞信息，找到相關(guān)的漏洞利角程序，比如I"MicrosoftRPCDCOMInterfaceOverflown的漏洞利用程序，如圖6-34所示，選擇目的操作系統(tǒng)的種類。M