软考-网络安全漏洞防护技术原理与应用
本文为作者学习文章,按作者习惯写成,如有错误或需要追加内容请留言(不喜勿喷)
本文为追加文章,后期慢慢追加
by 2023年10月
网络安全漏洞概念
网络安全漏洞指的是网络系统或应用程序中存在的安全弱点,被黑客或攻击者利用来获取未经授权的访问权限或执行恶意活动的漏洞。这些漏洞可能是由于开发人员在编码时的错误、不当的配置或者系统上的未修复的漏洞所导致的。攻击者可以利用这些漏洞来执行各种攻击,如拒绝服务攻击、SQL注入攻击、跨站点脚本攻击等等。因此,及时发现和修补网络安全漏洞是系统管理员和企业管理者确保网络安全的重要措施。
漏洞管理平台
- 美国的MITRE 公司:通用漏洞披露(Common Vulnerabilities and Exposures, CVE)通用缺陷列表(CommonWeakness Enumeration, CWE)
- 事件响应与安全组织论坛(FIRST):通用漏洞评分系统(Common Vulnerability Scoring System,CVSS)
- 美国国家漏洞库(National Vulnerability Database, NVD)
- 中国国家信息安全漏洞库CNNVD
- 国家信息安全漏洞共享平台CNVD
网络安全漏洞来源
网络信息系统的漏洞主要来自两个方面
- 非技术性安全漏洞:管理组织结构、管理制度、管理流程、人员管理等
- 技术性安全漏洞:网络结构、通信协议、设备、软件产品、系统配置、应用系统等
非技术性安全漏洞的主要来源:
(1) 网络安全责任主体不明确。
(2) 网络安全策略不完备
(3) 网络安全操作技能不足
(4) 网络安全监督缺失
(5) 网络安全特权控制不完备。
技术性安全漏洞的主要来源
(1) 设计错误(Design Error)。
(2) 输入验证错误(lnput Validation Error) 。
(3) 缓冲区溢出(Buffer Overflow) 。
(4) 意外情况处置错误(Exceptional Condition Handling Error)。
(5) 访问验证错误(Access Validation Erron) 。
(6) 配错误(Configuration Error) 。
(7) 竞争条件(Race Condtion)。 (8) 环境错误(Condition Error)。
网络安全漏洞分类:国际上较为认可的是CVE 和CVSS。另外,还有我国信息安全漏分类及OWASP漏洞分类。
CVE漏洞分类:统一标识和规范化描述,VE 条目的包含内容是标识数字、安全漏洞简要描述。ID其格式由年份数字和其他数字组成,标识数字简称CVE如CVE(201941543 为一个Open SSL 安全漏洞编号。
CVSS:通用漏洞计分系统,分数计算依据由基本度量计分、时序度量计分、环境度量计分组成KNVD(国):将信息安全漏洞划分为: 配置错误、代码问题、资料不足
CNVD(网络应急技术处理协调中心):根据漏洞产生原因,将漏洞分为11 种类型,依据行业划分主要分为行业漏洞和应用漏洞。
在漏洞分级方面,将网络安全漏洞划分为高、中、低三种危害级别。
OWASP(开放式Web应用程序安全项目)组织发布有关Web 应用程序的前十种安全漏洞漏洞发布方式主要有三种形式:网站、电子邮件以及安全论坛国内外漏洞信息来源主要有四个方面:一是网络安全应急响应机构,二是网络安全厂商;三是IT 产品或系统提供商;四是网络安全组织。
网络安全漏洞管理过程:(1)资产确认(2)漏信息采集(3)评()漏消除和控制(5)漏化跟踪
网络安全漏洞扫描
具有漏洞扫描功能的软件或设备,简称为漏洞扫描器。漏洞扫描器通过远程或本地检查系统是否存在已知漏洞。
漏洞扫描器主要分为三种,即主机漏洞扫描器、网络漏洞扫描器、专用漏洞扫描器。
- 主机漏洞扫描器:通过检查本地系统中关键性文件的内容及安全属性来发现漏洞,主机漏洞扫描器的运行与目标系统在同一主机上,并且只能进行单机检测。主机漏洞扫描器有COPSMicrosoft BaselineTiger、Security Analyser (MBSA)等
- 网络漏洞扫描器:通过与待扫描的目标机建立网络连接后,发送特定网络请求进行漏洞检查。常见的网络漏洞扫描器有Nmap、Nessus 、X-scan 等。
- 专用漏洞扫描器:针对特定系统的安全漏洞检查工具,如数据库漏扫、网络设备漏扫、Web 漏扫、工控漏扫。
网络安全漏洞扫描常用于网络信息系统安全检查和风险评估。
网络安全漏洞修补技术:补管理是一个系统的、周而复始的工作 ,主要由六个环节组成,现状分析、补丁跟踪、补丁验证、补丁安装、应急处理和补丁检查。
网络安全漏洞利用防范技术:主要针对漏洞触发利用的条件进行干扰或拦截,以防止攻击者成功利用漏洞。
常见的网络安全漏洞利用防范技术
- (1)地址空间随机化技术ASLR:通过对程序加载到内存的地址进行随机化处理,使得攻击者不能事先确定程序的返回地址值,从而降低攻击成功的概率。
- (2)数据执行阻止:操作系统通过对特定的内存区域标注为非执行,使得代码不能够在指定的内存区域运行可以有效地保护应用程序的堆栈区域,防止被攻击者利用。
- (3)SEHOP:结构化异常处理覆盖保护的缩写,其原理是防止攻击者利用结构化异常处理(SEH)重写
- (4)堆栈保护:通过设置堆栈完整性标记以检测函数调用返回地址是否被篡改,阻止攻击者利用缓冲区漏洞。
- (5)虚拟补丁:对尚未进行漏洞永久补丁修复的目标系统程序,在不修改可执行程序的前提下,检测进入目标系统的网络流量而过滤掉漏洞攻击数据包,从而保护目标系统程序免受攻击。
网络安全漏洞扫描产品技术指标
(1)漏洞扫描主机数量。
(2)漏洞扫描并发数。
(3)漏洞扫描速度
(4)检测能力
(5)数据库漏洞检查功能
(6)Web应用漏洞检查功能
(7)口令检查功能
(8)标准容性
(9)部署环境难易程度