安全掃描就是對計算機系統或者其它網絡設備進行安全相關的檢測,以找出安全隱患和可被黑客利用的漏洞。顯然,安全掃描軟件是把雙刃劍,黑客利用它入侵系統,而系統管理員掌握它以後又可以有效的防范黑客入侵。因此,安全掃描是保證系統和網絡安全必不可少的手段,必須仔細研究利用。
安全掃描通常采用兩種策略,第一種是被動式策略,第二種是主動式策略。所謂被動式策略就是基於主機之上,對系統中不合適的設置,脆弱的口令以及其他同安全規則抵觸的對象進行檢查;而主動式策略是基於網絡的,它通過執行一些腳本文件模擬對系統進行攻擊的行為並記錄系統的反應,從而發現其中的漏洞。利用被動式策略掃描稱為系統安全掃描,利用主動式策略掃描稱為網絡安全掃描。
一、目前安全掃描主要涉及的檢測技術
相信讀者已經對安全掃描有了一個初步的認識,這裡進一步介紹安全掃描的四種檢測技術:
① 基於應用的檢測技術,它采用被動的,非破壞性的辦法檢查應用軟件包的設置,發現安全漏洞。
② 基於主機的檢測技術,它采用被動的,非破壞性的辦法對系統進行檢測。通常,它涉及到系統的內核,文件的屬性,操作系統的補丁等問題。這種技術還包括口令解密,把一些簡單的口令剔除。因此,這種技術可以非常准確的定位系統的問題,發現系統的漏洞。它的缺點是與平台相關,升級復雜。
③ 基於目標的漏洞檢測技術,它采用被動的,非破壞性的辦法檢查系統屬性和文件屬性,如數據庫,注冊號等。通過消息文摘算法,對文件的加密數進行檢驗。這種技術的實現是運行在一個閉環上,不斷地處理文件,系統目標,系統目標屬性,然後產生檢驗數,把這些檢驗數同原來的檢驗數相比較。一旦發現改變就通知管理員。
④ 基於網絡的檢測技術,它采用積極的,非破壞性的辦法來檢驗系統是否有可能被攻擊崩潰。它利用了一系列的腳本模擬對系統進行攻擊的行為,然後對結果進行分析。它還針對已知的網絡漏洞進行檢驗。網絡檢測技術常被用來進行穿透實驗和安全審記。這種技術可以發現一系列平台的漏洞,也容易安裝。但是,它可能會影響網絡的性能。
優秀的安全掃描產品應該是綜合了以上4種方法的優點,最大限度的增強漏洞識別的精度。
二、安全掃描在企業部署安全策略中處於重要地位
從前面的介紹可以看出安全掃描在維護計算機安全方面起到的重要作用,但僅僅裝備安全掃描軟件是不夠的。
現有的信息安全產品中主要包括以下幾個部分(安全掃描屬於評估部分):防火牆,反病毒,加強的用戶認證,訪問控制和認證,加密,評估,記錄報告和預警,安全固化的用戶認證,認證,物理安全。這樣,在部署安全策略時,有許多其它的安全基礎設施要考慮進來,如防火牆,病毒掃描器,認證與識別產品,訪問控制產品,加密產品,虛擬專用網等等。如何管理這些設備,是安全掃描系統和入侵偵測軟件(入侵偵測軟件往往包含在安全掃描系統中)的職責。通過監視事件日志,系統受到攻擊後的行為和這些設備的信號,作出反應。這樣,安全掃描系統就把這些設備有機地結合在一起。因此,而安全掃描是一個完整的安全解決方案中的一個關鍵部分,在企業部署安全策略中處於非常重要的地位。
大家可能已經注意到防火牆和安全掃描的同時存在,這是因為防火牆是不夠的。防火牆充當了外部網和內部網的一個屏障,但是並不是所有的外部訪問都是通過防火牆的。比如,一個未經認證的調制解調器把內部網連到了外部網,就對系統的安全構成了威脅。此外,安全威脅往往並不全來自外部,很大一部分來自內部。另外,防火牆本身也很有可能被黑客攻破。
結合了入侵偵測功能後,安全掃描系統具有以下功能:① 協調了其它的安全設備;② 使枯燥的系統安全信息易於理解,告訴了你系統發生的事情;③ 跟蹤用戶進入,在系統中的行為和離開的信息;④ 可以報告和識別文件的改動;⑤ 糾正系統的錯誤設置;⑥ 識別正在受到的攻擊;⑦ 減輕系統管理員搜索最近黑客行為的負擔;⑧ 使得安全管理可由普通用戶來負責;⑨ 為制定安全規則提供依據。不過必須注意,安全掃描系統不是萬能的。首先,它不能彌補由於認證機制薄弱帶來的問題,不能彌補由於協議本身的問題;此外,它也不能處理所有的數據包攻擊,當網絡繁忙時它也分析不了所有的數據流;當受到攻擊後要進行調查,離不開安全專家的參與。
三、網絡安全和系統安全主要薄弱環節
要正確部署安全策略、有針對性的使用安全掃描產品,有必要了解一下安全的主要薄弱環節在哪裡。下面提到的三個問題是產生安全漏洞的主要原因:
① 軟件自身安全性差。很多軟件在設計時忽略或者很少考慮安全性問題,考慮了安全性的軟件產品也往往因為開發人員缺乏安全培訓、沒有安全經驗而造成了安全漏洞。這樣產生的安全漏洞分為兩類:第一類,是由於操作系統本省設計缺陷帶來的安全漏洞,這類漏洞將被運行在該系統上的應用程序所繼承;第二類是應用軟件程序的安全漏洞。第二類漏洞更為常見,更需要得到廣泛的關注。
② 安全策略不當。保證系統安全不是僅僅使用個別安全工具就能做到的,需要在對網絡進行總體分析的前提下制定安全策略,並且用一系列的安全軟件來實現一個完整的安全解決方案。常見的錯誤例子是使用了防火牆而忽略了掃描系統,或者相反。
③ 人員缺乏安全意識。前面闡述的一切都是在技術層面上對網絡安全進行分析和討論,所有這一切都需要人來完成。保證系統的安全,僅靠安全軟件是不夠的,同時要注重安全管理人才的培養,提高安全防范意識,最終做到安全有效的防范。而當前人員安全意識的培養還遠遠不夠,在現在的網絡環境中,絕大多數漏洞存在的原因在於管理員對系統進行了錯誤的配置,或者沒有及時的升級系統軟件到最新的版本。
四、安全掃描技術的發展趨勢
安全掃描軟件從最初的專門為UNIX系統編寫的一些只具有簡單功能的小程序,發展到現在,已經出現了多個運行在各種操作系統平台上的、具有復雜功能的商業程序。今後的發展趨勢,我們認為有以下幾點:
① 使用插件(plugin)或者叫做功能模塊技術。每個插件都封裝一個或者多個漏洞的測試手段,主掃描程序通過調用插件的方法來執行掃描。僅僅是添加新的插件就可以使軟件增加新功能,掃描更多漏洞。在插件編寫規范公布的情況下,用戶或者第三方公司甚至可以自己編寫插件來擴充軟件的功能。同時這種技術使軟件的升級維護都變得相對簡單,並具有非常強的擴展性。
② 使用專用腳本語言。這其實就是一種更高級的插件技術,用戶可以使用專用腳本語言來擴充軟件功能。這些腳本語言語法通常比較簡單易學,往往用十幾行代碼就可以定制一個簡單的測試,為軟件添加新的測試項。腳本語言的使用,簡化了編寫新插件的編程工作,使擴充軟件功能的工作變得更加容易,也更加有趣。
③ 由安全掃描程序到安全評估專家系統。最早的安全掃描程序只是簡單的把各個掃描測試項的執行結果羅列出來,直接提供給測試者而不對信息進行任何分析處理。而當前較成熟的掃描系統都能夠將對單個主機的掃描結果整理,形成報表,能夠並對具體漏洞提出一些解決方法,但對網絡的狀況缺乏一個整體的評估,對網絡安全沒有系統的解決方案。未來的安全掃描系統,應該不但能夠掃描安全漏洞,還能夠智能化的協助網絡信息系統管理人員評估本網絡的安全狀況,給出安全建議,成為一個安全評估專家系統。
五、用戶選擇安全掃描產品應注意的問題
談到這裡,也許有些計算機安全管理人員開始考慮購買一套安全掃描系統,那麼,購買此類產品需要考慮哪些方面呢?我們認為以下幾點是要注意的:
① 升級問題。由於當今應用軟件功能日趨復雜化、軟件公司在編寫軟件時很少考慮安全性等等多種原因,網絡軟件漏洞層出不窮,這使優秀的安全掃描系統必須有良好的可擴充性和迅速升級的能力。因此,在選擇產品時,首先要注意產品是否能直接從因特網升級、升級方法是否能夠被非專業人員掌握,同時要注意產品制造者有沒有足夠的技術力量來保證對新出現漏洞作出迅速的反應。
② 可擴充性。對具有比較深厚的網絡知識,並且希望自己擴充產品功能的用戶來說,應用了功能模塊或插件技術的產品應該是首選。
③ 全面的解決方案。前面已經指出,網絡安全管理需要多種安全產品來實現,僅僅使用安全掃描系統是難以保證網絡的安全的。選擇安全掃描系統,要考慮產品制造商能否提供包括防火牆、網絡監控系統等完整產品線的全面的解決方案。
④ 人員培訓。前面已經分析過,網絡安全中人是薄弱的一環,許多安全因素是與網絡用戶密切相關的,提高本網絡現有用戶、特別是網絡管理員的安全意識對提高網絡安全性能具有非同尋常的意義。因此,在選擇安全掃描產品時,要考慮制造商有無能力提供安全技術培訓。
有關安全掃描的知識就談到這裡,希望能夠有助於讀者增加安全知識、提高安全意識,在大家的共同的努力下,加強我國的網絡安全建設。
