系统安全评估的三种有效技术手段

系统安全评估的三种有效技术手段

季萍

马钢集团招标咨询有限公司 安徽马鞍山 邮编： 243000

摘要：本文简要介绍了漏洞扫描、配置检查、渗透测试等技术手段在系统安全评估中应用的的方法与流程，以供用户根据实际情况选择采用。

关键词：漏洞扫描、配置检查、渗透测试、安全评估

Three effective technical means of system security assessment

Ji Ping

(Magang Group Tender Consulting Co.Ltd, Anhui Maanshan, postcode:243000)

Abstract: This paper briefly introduces the methods and processes of vulnerability scanning, configuration check, penetration test and other technical means used in system security assessment, so that users can choose to use them according to the actual situation.

Keywords: vulnerability scan, configuration check, penetration test, security assessment

1概述

近年来，信息化技术应用越来越广泛，信息安全的风险日益增大。为进一步保障统一认证系统、网上银行系统、手机银行系统、金融资产网络交易平台系统、即时通讯系统、办公系统（内网、外网）、邮件系统、门户网站系统的边界安全，降低信息安全风险，可在上线前（或重大版本改造前）进行安全评估，通过漏洞扫描、配置检查、渗透测试等技术手段评估系统安全措施的有效性及安全弱点，对于可能面临的风险及开发生命周期的安全设计提出建议，完成风险评估报告并提出整改方案。

2漏洞扫描

2.1服务概述

使用商用安全评估工具对评估范围内对象进行网络层、系统层、数据库层面的漏洞扫描，并人工验证所发现的操作系统漏洞、数据库漏洞、弱口令、信息泄露及配置不当等脆弱性问题。

2.2漏洞扫描用途

漏洞扫描是脆弱性识别的重要手段，能够帮助客户发现设备和系统中存在的严重漏洞，帮助客户了解技术措施是否有效执行，并通过及时修补完善，避免对信息系统造成严重影响。

2.3漏洞扫描内容

扫描设备检测规则库及知识库涵盖CVE、CNCVE、CNVD、CNNVD等标准，能够扫描发现网络设备、服务器（windows、linux、AIX）、防火墙、数据库、中间件、安全设备、应用开发软件中的安全漏洞。支持对不同厂商、不同版本设备及软件的识别和漏洞扫描。支持对主流厂商网络设备及防火墙的识别和扫描，包括锐捷、迈普、思科、华为等；支持对主流数据库的识别与扫描，包括：Oracle、SQL Server、DB2、MySQL等。能够全面发现信息系统存在的各种脆弱性问题，包括信息探测类、后门程序类、域名服务类、web安全类等安全漏洞、安全配置问题、应用系统安全漏洞，检查系统存在的弱口令，收集系统不必要开放的账号、服务、端口等；定位风险类型、区域、严重程度，直观展示安全风险。形成整体安全风险报告。报告包含漏洞详述和修补方案，对于常见补丁类漏洞能够提供相关的补丁下载链接。

2.4漏洞扫描流程

漏洞扫描流程图如下所示：

图2-1漏洞扫描流程图

3配置检查

3.1服务概述

通过权威安全专家数年安全经验与技术积累制作的checklist检查表对评估范围内的主机、数据库、中间件等进行系统的策略配置、服务配置、保护措施以及系统和软件升级、更新情况，是否存在后门等内容进行检查，发现潜在的配置隐患。

3.2检查内容

安全扫描是利用安全评估工具对绝大多数评估范围内的主机、网络设备等系统环境进行的漏洞扫描。但是，评估范围内的网络设备安全策略的弱点和部分主机的安全配置错误等并不能被扫描器全面发现，因此有必要对评估工具扫描范围之外的系统和设备进行配置检查。检测内容包括但不限于以下内容：

1主机安全检查

对9个业务应用系统涉及到的操作系统，如Windows、Linux、Aix、Unix等进行安全漏洞及安全配置缺陷的检查与评估。检查内容包括（但不限于）：身份鉴别方式、帐号安全设置、远程管理方式、多余帐号和空口令检查、默认共享检查、文件系统安、网络服务安全、系统访问控制、日志及监控审计、拒绝服务保护、补丁管理、病毒及恶意代码防护、系统备份与恢复、硬件冗余情况、硬盘分区格式等安全情况。

2数据库安全检查

对9个业务应用系统涉及到的数据库，如MySql、Oracle、DB2、sql等数据库系统进行安全漏洞及安全配置缺陷的检查。检查内容包括（但不限于）：身份认证方式、帐号安全设置、管理权限和角色设置、多余帐号和缺省口令检查、数据库目录和文件系统安全、监听器管理设置、日志及监控审计、数据库版本和补丁管理、数据库备份策略、硬件冗余情况等安全情况。

3网络设备配置与网络架构安全检查

对9个业务应用系统涉及到的网络设备，如的防火墙、入侵检测（入侵保护）系统、路由器、交换机等进行安全漏洞及安全配置缺陷的检查。检查内容包括（但不限于）：帐号安全设置、管理权限和角色设置、多余帐号和缺省口令检查、备份和升级情况、访问控制、路由协议、日志审核、网络攻击防护及端口开放、远程访问等安全情况。对数据中心网络架构安全性进行检查分析，检测内容包括区域划分合理性、业务类型及分布安全分析、高可用性、安全策略等。

以防火墙为例，检查内容包括但不限于以下内容：

a) 防火墙设备描述；

b) 防火墙系统版本信息；

c) 系统版本是否已经更新补丁；

d) 是否有修改防火墙配置的步骤；

e) 防火墙IP地址；

f) 有无备份防火墙；

g) 是否根据需要配备冗余链路；

h) 防火墙规则配置是否遵循“最小工作权限原则”；

i) 外开放服务的规则，是否细化到每个服务器的每个端口；

j) 对内规则，根据不同的用户级别设置不同权限；

k) 根据时间段对上网行为进行控制；

l) 防火墙控制策略，和企业安全上网的管理制度是否一致；

m) 对内规则，根据不同的用户级别设置不同权限；

n) 配置DMZ区策略时，是否细化到服务器；

o) 对于不使用的端口号，是否全部禁止；

p) 是否根据不同级别，划分不同区域；

q) 是否对重要服务器使用nat方式屏蔽内部的网络拓扑和真实的地址；

r) 防火墙有没有failover设置；

s) 是否开启安全审计功能；

t) 是否配置单独审计日志服务器；

u) 审计日志存储空间的大小；

v) 是否对物理链路状态改变进行报警；

w) 是否对远程攻击行为进行报警；

x) 是否对管理员登录管理行为进行审计；

y) 管理员远程管理使用何种工具；

z) 远程管理是否限制源IP；

4) 中间件安全检查

对9个业务应用系统涉及到的中间件，系统包括：weblogic、apache、IIS、WAS等进行安全漏洞及安全配置缺陷的评估。检查内容包括（但不限于）：系统和中间件的可用性、系统和中间件的完整性等。

3.3检查方法

安全配置检查方法一般可分为人工检测、脚本检测、工具自动化扫描等三种检测方法。

1工具自动化扫描

针对信息系统内众多资产，尤其是非核心业务资产和非核心网络资产，在避开业务高峰期的情况下，在基线扫描工具上配置扫描策略和扫描对象，和用户单位相关人员沟通确定后，开启基线扫描工具进行自动化扫描，获取扫描结果。工具自动化扫描的方法主要应用于用户单位内网系统和设备。

2脚本检测

从基线扫描工具上导出相应的脚本，提交用户单位相关人员进行风险分析和确认后，由用户单位相关人员登录相应资产设备，运行对应脚本，获取脚本运行结果记录文件。然后，将脚本运行结果记录文件导入基线扫描工具，生成相应的结果记录和报告文档。脚本检测的方法主要应用于工具自动化扫描未获取到相应结果记录以及用户确认需要脚本检测的检测对象。

3人工检测

根据安全基线检测要求和标准，确定检测工作内容，提交安全配置需求列表，和用户单位相关人员沟通确认后，由用户单位人员登录相应资产设备，根据安全配置需求列表，项目实施组人员一同逐项查看并记录实际配置情况。人工检测的方法主要应用于核心业务资产设备、核心网络资产设备以及用户确认需要人工检测的检测对象。

3.4工作流程

通过建立科学的信息安全配置检查工作机制，将配置检查过程阶段化、工作内容模式化、参与者角色和任务明确化，提高配置检查检查工作的可重用性。

配置检查检查工作一般分为三个阶段，分别是：准备阶段、检测实施阶段、分析阶段。

3.4.1准备阶段

本阶段的主要任务是：对信息系统进行基础性调研，根据调研结果确定检测对象、编制检测方案、准备检测相关表单和工具。具体的任务描述如下：

1对用户单位信息系统进行调研，了解用户单位信息系统的现状，获取各信息系统的系统名称、资产配置、部署结构，同时了解用户单位的网络结构和资产配置情况。

2确定基线标准。根据用户单位的实际情况和行业经验，共同讨论合适的基线标准作为本次基线检测的依据。

3根据调研情况和基线标准，准备相关检测表单和脚本，整理和准备所需工具。

4检测工具及脚本应事先在模拟环境调试演练，确保其可用性。当双方对基线检测工作计划和检测方案达成一致意见后，准备阶段工作结束。

3.4.2实施阶段

本阶段的主要任务是分步实施各项基线检测项目，具体如下：

1召开现场项目启动会议

现场召开信息系统安全基线检测项目启动会议，项目组人员介绍检测工作情况，明确工作计划和工作内容，说明基线检测过程中具体的实施工作内容，时间计划、人员安排等；确认基线检测现场需要的各种资源，确定配合人员和需要提供的检测条件；对相关人员进行简单的培训，增强相关人员的安全意识。

2梳理信息资产，确定工作方法

和用户确认前期调研情况，确认工作范围和内容，进行信息资产的梳理，确定应用系统数量和每个应用系统涉及的资产情况，使检测对象真正和信息系统现状一致，保证检测过程的准确和高效。

根据业务系统的重要程度、资产设备的重要程度以及用户对风险的控制程度等因素，将所有资产分为三大类，分别对应人工检测、脚本检测、工具自动化扫描等三种检测方案。

3开展现场实施工作，获取相关结果记录

和用户详细沟通工作计划（精确到半天），根据配合人员的实际情况进行适当调整和确认。

根据和用户确定的检测对象和检测方法，项目实施组人员分头开展现场实施工作，获取和确认相应的结果记录文档。

4召开现场总结会议

召开现场总结会议，项目组初步汇总现场检测结果记录，对漏掉和需要进一步验证的内容进行再次检测，对检测过程中发现的问题进行进一步确认。

3.4.3分析阶段

本阶段的主要工作是以应用系统为单位，针对每个应用系统以及应用系统所涉及的资产设备，对检测实施阶段所获得的各项结果记录进行汇总、分析、判定，并在此基础上，结合信息系统整体情况，依据相关规范和标准，分析每个应用系统存在的安全问题可能造成的影响，提出相应的整改建议。

3.5渗透测试

3.5.1服务概述

渗透测试是获取系统潜在脆弱性的重要途径，也是系统脆弱性人工审计的一个重要补充，作为安全评估中识别脆弱性的一种重要手段，通过渗透测试可以深入挖掘系统存在的漏洞。

3.5.2测试内容

3.5.3测试方法

1根据测试者在测试前掌握被测对象的信息多少可分为：

黑盒测试：渗透测试操作人员完全处于对系统一无所知的状态，通常这类测试的最初信息来自于DNS、Web、Email及各种公开对外的服务器，主要是模拟来自互联网的攻击者。

白盒测试：测试者可以通过正常渠道向被测者要求，取得各种包括网络拓扑、员工资料甚至网站或其他程序的代码片断等资料，这类测试的目的是模拟组织内部雇员的越权操作。

灰盒测试：对测试目标有一定的了解，主要是模拟离职的员工或合作伙伴，他们对组织的结构比较了解，但不在公司内部，没有访问权限。

2根据渗透者所处的位置可以分为：

内网测试：渗透测试人员由内部网络发起测试，这类测试能够模拟组织内部违规操作者的行为。最主要的“优势”是绕过了防火墙的保护。

外网测试：渗透测试人员完全处于外部网络（例如拨号、ADSL或外部光纤），模拟从组织外部发起的攻击行为，模拟可能来自于对组织内部信息一无所知的攻击者，或者对组织内部信息一清二楚的攻击者。

3.5.4测试流程

渗透测试流程分为：制定方案、客户授权、信息搜集与分析、渗透测试、生成报告等五个阶段。

渗透测试流程图如图所示：

图3-1渗透测试流程图

4 结束语

本文主要以漏洞扫描、配置检查、渗透测试等技术手段对系统安全进行评估，并提出具体操作方法、流程，由此生成的整改方案包括对风险评估结论进行整改可行性分析和操作方案指导建议，方案具备可操作性，不会带来日常生产维护的操作与技术使用风险。用户完成整改后，再针对安全评估报告中的问题进行二次评估，验证整改的有效性。

参考文献：

[1]周连兵。企业信息系统安全评估方案。计算机安全，2006.8。

[2]卢新德。论信息战和信息安全战略。东岳论丛，2002年第2期