软考-信息安全-网络安全漏洞防护技术原理与应用

13.1 网络安全漏洞概述

网络安全漏洞是构成网络安全威胁的重要因素，主要阐述网络安全漏洞的相关概念，网络安全漏洞的威胁途径及重大网络安全事件和介绍网络安全漏洞问题现状。

13.1.1 网络安全漏洞概念

网络安全漏洞又称为脆弱性，简称漏洞，漏洞一般是致使网络信息系统安全策略相冲突的缺陷，这种缺陷通常称为安全隐患。
安全漏洞的影响主要有 机密性受损，完整性破坏，可用性降低，抗抵赖性缺失，可控制性下降，真实性不保等
根据已经公开的漏洞信息，网络信息系统的硬件层，软硬协同层，系统层，网络层，数据层，应用层，业务层，人机交互层都被发现存在安全漏洞。
根据漏洞的补丁状况，可将漏洞分为 普通漏洞和零日漏洞（zero-day vulnerability)。
普通漏洞是指相关漏洞信息已经广泛公开，安全厂商已经有了解决修补方案。
零日漏洞特指系统或软件中新发现，尚未提供补丁的漏洞。
零日漏洞通常被用来实施定向攻击（Targeted Attacks）。

13.1.2 网络安全漏洞威胁

网络信息系统漏洞的存在是网络攻击成功的必要条件之一，攻击者成功的关键在于早发现早利用目标的安全漏洞。
漏洞时刻威胁着网络系统的安全，要实现网络系统安全，关键问题之一就是解决漏洞问题，包括漏洞检测，漏洞修补，漏洞预防等。

13.1.3 网络安全漏洞问题现状

由于软件及网络信息系统的复杂性，网络信息产品的安全漏洞问题还远未能解决。
安全漏洞分析及漏洞管理是网络安全的基础性工作。美国的MITRE公司开发了通用漏洞披露（Common Vulnerabilities and Exposures，CVE）来统一规范漏洞命名。
MITRE建立了一个通用缺陷列表（Common Weakness Enumeration，CWE），用于规范化地描述软件架构，设计以及编码存在的安全漏洞。
针对安全漏洞的危害性评估，事件响应与安全组织论坛（FIRST）制定和发布了通用漏洞评分系统（Common Vulnerability Scoring System，CVSS）。
CVSS采用十分制的方式对安全漏洞的严重性进行计分评估，分数越高则表明漏洞的危害性越大。
我国相关部门针对安全漏洞管理问题，建立起国家信息安全漏洞库CNNVD，国家信息安全漏洞共享平台CNVD。
漏洞标准规范，参考如下：
- 《信息安全技术安全漏洞分类（GB/T 33561-2017）》
- 《信息安全技术安全漏洞等级划分指南（GB/T 30279-2013）》
- 《信息安全技术安全漏洞标识与描述规范（GB/T 28458-2012）》
- 《信息安全技术信息安全漏洞管理规范（GB/T 30276-2013）》

13.2 网络安全漏洞分类与管理

网络安全漏洞是网络安全管理工作的重要内容，主要介绍网络安全漏洞来源，网络安全漏洞分类，网络安全漏洞发布，网络安全漏洞信息获取，网络安全漏洞管理过程。

13.2.1 网络安全漏洞来源

网络信息系统的漏洞主要来自两个方面
- 一方面是非技术性安全漏洞，涉及管理组织结构，管理制度，管理流程，人员管理等。
- 另一方面是技术性安全漏洞，主要涉及网络结构，通信协议，设备软件产品，系统配置，应用系统等。
1.非技术性安全漏洞的主要来源
- （1）网络安全责任主体不明确。组织中缺少针对网络安全负责任的机构，或者是网络安全机构不健全，导致网络安全措施缺少责任部门落实。
- （2）网络安全策略不完备。 组织中缺少或者没有形成一套规范的网络信息安全策略。例如：缺少笔记本电脑安全接入控制策略，有可能导致外部非安全电脑随意接入内部网络中，从而使得内部网络安全防护机制失去保护效果。
- （3）网络安全操作技能不足。 组织中缺少对工作人员的网络安全职责规范要求，没有制度化的安全意识和技能培训机制。例如：员工缺少新的网络信息安全威胁知识和预防能力，不知道如何防范垃圾邮件和设置安全口令。
- （4）网络安全监督缺失。 组织中缺少强有力的网络信息安全监督机制，网络信息安全策略的实施无法落实，无法掌握网络安全态势。例如：恶意代码防护策略缺少更新和维护。
- （5）网络安全特权控制不完备。 网络信息系统中存在特权账号，缺少对超级用户权限的审计和约束，从而引发内部安全威胁。
2.技术性安全漏洞的主要来源
- （1）设计错误（Design Error）。
- （2）输入验证错误（Input Validation Error）。
- （3）缓冲区溢出（Buffer Overflow）。
- （4）意外情况处置错误（Exceptional Condition Handling Error）。
- （5）访问验证错误（Access Validation Error）。
- （6）配置错误（Configuration Error）。
- （7）竞争条件（Race Condition）。
- （8）环境错误（Condition Error）。

13.2.2 网络安全漏洞分类

国际上较为认可的是CVE漏洞分类和CVSS漏洞分级标准。
1.CVE漏洞分类
- CVE是由美国MITRE公司建设和维护的安全漏洞字典。CVE给出已经公开的安全漏洞的统一标识和规范化描述，其目标是便于共享漏洞数据。
- CVE条目的包含内容是标识数字，安全漏洞简要描述，至少有一个公开参考。
- 标识数字简称CVE ID，其格式由年份数字和其他数字组成，例如：CVE-2019-1543为一个OpenSSL安全漏洞编号。
- CVE是国际上权威的网络安全漏洞发布组织，其成员包含众多全球知名的安全企业和研究机构。
2.CVSS
- CVSS是一个通用漏洞计分系统，分数计算依据由基本度量计分，时序度量计分，环境度量计分组成。
- 以CVSS3.0为例，讲述计算CVSS评分的计分维度。
  - 基本度量计分由攻击向量，攻击复杂性，特权要求，用户交互，完整性影响，保密性影响，可用性影响，影响范围等参数决定。
  - 时序度量计分由漏洞利用代码成熟度，修补级别，漏洞报告可信度等参数决定。
  - 环境度量计分由完整性要求，保密性要求，可用性要求，修订基本得分等决定。
  - CVSS得分=（可利用，范围，影响）。
3.我国信息安全漏洞分类
- 国家信息安全漏洞库（CNNVD）漏洞分类分级标准，国家信息安全漏洞共享平台（CNVD）漏洞分类分级标准。
- 1）国家信息安全漏洞库（CNNVD）漏洞分类。
- 2）国家信息安全漏洞共享平台（CNVD）漏洞分类。
- 3）OWASP TOP 10 漏洞分类。

13.2.3 网络安全漏洞发布

安全漏洞发布机制是一种向公众及用户公开漏洞信息的方法。
安全漏洞发布一般由软硬件开发商，安全组织等进行。
漏洞发布方式主要有三种形式：
- 网站，电子邮件以及安全论坛。

13.2.4 网络安全漏洞信息获取

无论是对攻击者还是防御者来说，网络安全漏洞信息获取都十分必要。
1.CERT
CERT（Computer Emergency Response Team）组织建立于1988年，是世界上第一个 计算机安全应急响应组织，主要的工作任务是提供入侵事件响应与处理。
2.Security Focus Vulnerability Databases
是由Security Focus公司开发维护的漏洞信息库，将许多原本零零散散的，与计算机安全相关的讨论结果加以结构化整理，组成了一个数据库。
3.国家信息安全漏洞库CNNVD
CNNVD是中国信息安全测评中心（以下简称“测评中心”）为切实履行漏洞分析和风险评估职能，负责建设运维的国家级信息安全漏洞数据管理平台，旨在为国家信息安全保障提供服务。
4.国家信息安全漏洞共享平台CNVD
国家信息安全漏洞共享平台CNVD是由国家计算机网络应急技术处理协调中心联合国内重要的信息系统单位，基础电信运营商，网络安全厂商，软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。
5.厂商漏洞信息
厂商漏洞信息是由厂商自己公布的其生产产品的安全漏洞信息。

13.2.5 网络安全漏洞管理过程

网络安全漏洞是网络信息系统的安全事故隐患所在。网络安全漏洞管理是把握网络信息系统安全态势的关键，是实施网络信息安全管理从被动向主动转变的标志性行动。
1.网络信息系统资产确认
- 对网络信息系统中资产进行摸底调查，建立信息资产档案。
2.网络安全漏洞信息采集
- 利用安全漏洞工具或人工方法收集整理信息系统的资产安全漏洞相关信息，包括安全漏洞类型，当前补丁级别，所影响到的资产。
3.网络安全漏洞评估
- 对网络安全漏洞进行安全评估，如安全漏洞对组织业务的影响，安全漏洞被利用的可能性，安全漏洞的修补级别，最后形成网络安全漏洞分析报告，给出网络安全漏洞威胁排序和解决方案。
- 网络安全漏洞安全威胁量化评估方法可使用国际较为通用的CVSS，CVSS漏洞计分最高为10分，漏洞的CVSS分数越高表示漏洞的安全威胁越高。
4.网络安全漏洞消除和控制
- 常见的消除和控制网络安全漏洞的方法是安装补丁包，升级系统，更新IPS和IDS特征库，变更管理流程。
5.网络安全漏洞变化跟踪
- 系统资产不断变化。
- 安全威胁手段层出不穷。

13.3 网络安全漏洞扫描技术与应用

13.3.1 网络安全漏洞扫描

网络安全漏洞扫描是一种用于检测系统中漏洞的技术，是具有漏洞扫描功能的软件或设备，简称为漏洞扫描器。
漏洞扫描器主要分为三种
- 主机漏洞扫描器
- 网络漏洞扫描器
- 专用漏洞扫描器
1.主机漏洞扫描器（基线配置核查系统）
- 主机漏洞扫描器不需要通过建立网络连接就可以进行，其技术原理一般是通过检查本地系统中关键性文件的内容及安全属性，来发现漏洞，如配置不当，弱口令，由漏洞的软件版本等。
- 主机漏洞扫描器的运行与目标系统在同一主机上，并且只能进行单机检查。
- 主机漏洞扫描器COPS，Tiger，Microsoft Baseline Security Analyser（MBSA）等。
- COPS用来检查UNIX系统的常见安全配置问题和系统缺陷。
- Tiger是一个基于shell脚本的漏洞检测程序，用于UNIX系统的配置漏洞检查。
- MBSA是Windows系统的安全基准分析工具。
2.网络漏洞扫描器
- 网络漏洞扫描器的技术原理是通过与待扫描的目标机建立网络连接后，发送特定网络请求进行漏洞检查。
- 网络漏洞扫描器与主机漏洞扫描的区别在于，网络漏洞扫描器需要与被扫描目标建立网络连接。
3.专用漏洞扫描器
- 专用漏洞扫描器是主要针对特定系统的安全漏洞检查工具，如数据库漏洞扫描器，网络设备漏洞扫描器，Web漏洞扫描器，工控漏洞扫描器。

13.3.2 网络安全漏洞扫描应用

13.4 网络安全漏洞处置技术与应用

网络信息系统难以避免地存在网络安全漏洞，因而网络安全漏洞处置是网络安全应急响应的重要工作之一。

13.4.1 网络安全漏洞发现技术

网络安全漏洞的发现方法主要依赖于人工安全性分析，工具自动化检测及人工智能辅助分析。
安全漏洞发现的通常方法是将已发现的安全漏洞进行总结，形成一个漏洞特征库，然后利用该漏洞库，通过人工安全分析或者程序智能化识别。
漏洞发现技术主要有文本搜索，词法分析，范围检查，状态机检查，错误注入，模糊测试，动态污点分析，形式化验证等。

13.4.2 网络安全漏洞修补技术

补丁管理是一个系统的，周而复始的工作，主要由六个环节组成，分别是现状分析，补丁跟踪，补丁验证，补丁安装，应急处理和补丁检查。
现状分析-补丁跟踪-补丁验证-补丁安装-应急处理-补丁检查
针对补丁管理的问题，许多研究机构和公司都提供了解决方案，典型的产品由CA公司的eTrust Vulnerability Manager，微软的Software Update Services（SUS），PathchLink，LANDesk，北信源内网安全管理及补丁分发系统（VRVEDP）等。

13.4.3 网络安全漏洞利用防范技术

网络安全漏洞利用防范技术主要针对漏洞触发利用的条件进行干扰或拦截，以防止攻击者成功利用漏洞。
1.地址空间随机化技术
- 缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动，会以shellcode地址来覆盖程序原有的返回地址。
- 地址空间随机化（Address Space Layout Randomization，ASLR）就是通过对程序加载到内存的地址进行随机化处理，使得攻击者不能事先确定程序的范围地址值，从而降低攻击成功的概率。
2.数据执行阻止
- 数据执行阻止（Data Execution Prevention，DEP）是指操作系统通过对特定的内存区域标注为非执行，使得代码不能够在指定的内存区域运行。
3.SEHOP
- SEHOP是Structured Exception Handler Overwrite Protection 的缩写，其原理是防止攻击者利用Structured Exception Handler（SEH）重写。
4.堆栈保护
- 堆栈保护（Stack Protection）的技术原理是通过设置堆栈完整性标记以检测函数调用返回地址是否被篡改。
5.虚拟补丁
- 虚拟补丁的工作原理是对尚未进行漏洞永久补丁修复的目标系统程序，在不修改可执行程序的前提下，检测进入目标系统的网络流量而过滤掉漏洞攻击数据包，从而保护目标系统程序免受攻击。
- 虚拟补丁通过入侵阻断，Web应用防火墙，数据库防火墙等相关技术来实现给目标系统程序“打补丁”。

13.5 网络安全漏洞防护主要产品与技术指标

网络安全漏洞防护是网络信息系统安全运维的日常工作，涉及网络安全漏洞扫描，网络安全漏洞发现和信息获取，网络安全漏洞利用拦截等。

13.5.1 网络安全漏洞扫描器

网络安全漏洞扫描器的产品技术原理是 利用已公开的漏洞信息及特征，通过程序对目标系统进行自动化分析，以确认目标系统是否存在相应的安全漏洞。
漏洞扫描器产品通常简称为“漏扫”。
漏洞扫描器既是攻击者的有力工具，又是防守者的必备工具。
各种类型漏洞扫描器产品有许多，具体如下：
- 国际是国际商业产品有，Appscan，Awvs，Nessus等。
- 国内有绿盟，天融信，启明星辰，安恒。
- 开源的有OpenVAS，Nmap等