2021信息安全工程师学习笔记（十三）

网络安全漏洞防护技术原理与应用

1、网络安全漏洞概述

网络安全漏洞概念：又称为脆弱性，简称漏洞。一般是致使网络信息系统安全策略相冲突的缺陷，称为安全隐患。影响：机密性受损、完整性破坏、可用性降低、抗抵赖性缺失、可控性下降、真实性不保等。

漏洞分类：可分为普通漏洞和零日漏洞。

• 普通漏洞：相关漏洞信息已经广泛公开，安全厂商已经有了解决修补方案；
• 零日漏洞：系统或软件中新发现的、尚未提供补丁的漏洞。通常被用来实施定向攻击。

网络安全漏洞威胁：网络信息系统漏洞的存在是网络攻击成功的必要条件之一。

攻击者基于漏洞对网络系统安全构成的安全威胁：敏感信息泄露、非授权访问、身份假冒、拒绝服务。

要实现网络系统安全，关键问题：解决漏洞问题，包括漏洞检测、漏洞修补、漏洞预防等。

网络安全漏洞问题现状：人工智能（AI）、区块链、SG等领域的漏洞问题将成为研究重点和热点。网络安全漏洞分析与管理技术正向智能化方向发展。国内外网络安全专家正在开展基于机器学习和大数据来分析网络信息系统安全漏洞的研究。

安全漏洞分析及漏洞管理是网络安全的基础性工作，安全漏洞研究工作有：

• 漏洞信息搜集分析和网络安全威胁情报服务
• 漏洞度量
• 基于漏洞的攻击图自动化生成
• 漏洞利用自动化
• 漏洞发现

安全漏洞列为国家安全战略资源：国家信息安全漏洞库CNNVD、国家信息安全漏洞共享平台CNVD。

2、网络安全漏洞分类与管理

网络安全漏洞来源：

• 非技术性安全漏洞，涉及管理组织结构、管理制度、管理流程、人员管理；
• 技术性安全漏洞，主要涉及网络结构、通信协议、设备、软件产品、系统配置、应用系统。

非技术性安全漏洞的主要来源：

• 网络安全责任主体不明确；
• 网络安全策略不完备；
• 网络安全操作技能不足；
• 网络安全监督缺失；
• 网络安全特权控制不完备

技术性安全漏洞的主要来源：

• 设计错误；
• 输入验证错误；
• 缓冲区溢出
• 意外情况处置错误
• 访问验证错误
• 配置错误
• 竞争条件
• 环境错误

网络安全漏洞分类：

• CVE漏洞分类：美国MITRE公司。CVE给出已经公开的安全漏洞的统一标识和规范化描述，其目标是便于共享漏洞数据。
• CVSS是一个通用漏洞计分系统。
• 我国漏洞安全分类：国家信息安全漏洞库（CNNVD）漏洞分类分级标准、国家信息安全漏洞共享平台（CNVD）漏洞分类分级标准。
  
• OWASP TOP10漏洞分类：有关Web应用程序的前十种安全漏洞。

网络安全漏洞发布：安全漏洞发布机制是一种向公众及用户公开漏洞信息的方法。

安全漏洞发布一般由软硬件开发商、安全组织、黑客或用户来进行。

漏洞发布三种形式：网站、电子邮件以及安全论坛。

国内外漏洞信息来源：

• 网络安全应急响应机构；
• 网络安全厂商；
• IT产品或系统提供商；
• 网络安全组织。

国内外网络安全漏洞信息发布主要来源：

• CERT组织：提供入侵事件响应与处理；
• Security Focus Vulnerability Database：漏洞信息库；
• 国家信息安全漏洞库CNNVD是中国信息安全测评中心；
• 国家信息安全漏洞共享平台CNVD；
• 厂商漏洞；

网络安全漏洞管理过程：是网络信息系统的安全事故隐患所在，是实施网络信息安全管理从被动向主动转变的标志性行动。网络安全漏洞管理主要包含以下环节：

• 网络信息系统资产确认；
• 网络安全漏洞信息采集；
• 网络安全漏洞评估；
• 网络安全漏洞消除和控制；
• 网络安全漏洞变化跟踪；

3、网络安全漏洞扫描技术与应用

网络安全漏洞扫描：检测系统中漏洞的技术，是具有漏洞扫描功能的软件或设备，简称为漏洞扫描器。通过远程或本地检查。一般包括用户界面，扫描引擎、漏洞扫描结果分析、漏洞信息及配置参数库等主要功能模块：

• 用户界面：接受并处理用户输入；
• 扫描引擎：响应处理用户界面操作指令；
• 漏洞扫描结果分析：读取扫描结果信息，形成扫描报告；
• 漏洞信息及配置参数库：保存和管理网络安全漏洞信息；

漏洞扫描器：

• 主机漏洞扫描器：不需要通过建立网络连接就可以进行。原理：检查本地系统中关键性文件的内容及安全属性。主机漏洞扫描器的运行与目标系统在同一主机上，并且只能进行单机检测；
• 网络漏洞扫描器：通过与待扫描的目标机建立网络连接。便于远程检查联网的目标系统。没有目标系统的本地访问权限，只能获得有限的目标信息，检查能力受限于各种网络服务中的漏洞检查。
• 专用漏洞扫描器：主要针对特点系统的安全漏洞检查工具；

网络安全漏洞扫描应用：常用于网络信息系统安全检查和风险评估。根据漏洞扫描器的结果，对扫描对象及相关的业务开展网络安全风险评估。

4、网络安全漏洞处置技术与应用

网络安全漏洞发现技术：攻击者要成功入侵，关键在于及早发现和利用目标信息系统的安全漏洞。

网络安全漏洞的发现：主要依赖于人工安全性分析、工具自动化检测及人工智能辅助分析。安全漏洞发现的通常方法：将已发现的安全漏洞进行总结，形成一个漏洞特征库，然后利用该漏洞库，通过人工安全分析或者程序智能化识别。

网络安全漏洞修补技术：补丁管理是一个系统的，周而复始的工作，有六个环节：

• 现状分析；
• 补丁跟踪；
• 补丁验证；
• 补丁安装；
• 应急处理；
• 补丁检查；

网络安全漏洞利用防范技术：针对漏洞触发利用的条件进行干扰或截获。常见的防范手段：

• 地址空间随机化技术：地址空间随机化（ASLR）通过对程序加载到内存的地址进行随机化处理，使得攻击者不能事先确定程序的返回地址值；
• 数据执行阻正（DEP）：通过对特定的内存区域标注为非执行，使得代码不能够在指定的内存区域运行；
• SEHOP：防止攻击者利用Structured Exception Handler（SEH）重写；
• 堆栈保护：通过设置堆栈完整性标记以检测函数调用返回地址是否被篡改；
• 虚拟补丁：对尚未进行漏洞永久补丁修复的目标系统程序，在不修改可执行程序的前提下，检测进入目标系统的网络流量而过滤掉漏洞攻击数据包。

5、网络安全漏洞防护主要产品与技术指标

网络安全漏洞扫描器：产品技术原理是利用已公开的漏洞信息及特征，通过程序对目标系统进行自动化分析，以确认目标系统是否存在相应的安全漏洞。

网络安全漏洞扫描产品常见的技术指标：

• 漏洞扫描主机数量；
• 漏洞扫描并发数；
• 漏洞扫描速度；
• 漏洞检测能力；
• 数据库漏洞检查功能；
• Web应用漏洞检查功能；
• 口令检查功能；
• 标准兼容性；
• 部署环境难易程度；

网络安全漏洞防护网关：

• 原理：从网络流量汇总提取和识别漏洞利用特征模式、阻止攻击者对目标系统的漏洞利用；
• 常见产品形式：IPS、Web防火墙（WAF）、统一威胁管理（UTM）；
• 产品常见的技术指标：
• 阻断安全漏洞攻击的种类与数量；
• 阻断安全漏洞攻击的准确率；
• 阻断安全漏洞攻击的性能；
• 支持网络带宽的能力；