信息系统已知漏洞分析与总结

信息系统已知漏洞分析与总结信息系统是指为了某些明确的目的而建立的，由人员、设备、程序和数据集合构成的统一整体。信息系统的主要功能是提供信息，以支持一个组织机构的运行、管理和决策。信息系统可分为数据处理系统EDP、管理信息系统MIS、决策支持系统DSS。MIS是利用数据库技术实现各级管理者的管理业务，在计算机上进行各种事务处理工作。DSS则为各级管理者提供辅助决策的能力。数据处理系统EDP:用计算机代替繁杂的手工事务处理工作，其目的是提高数据处理的准确性、及时性，节约人力、提高工作效率(如会计核算软件)管理信息系统MIS：是一个由人、计算机等组成的能进行信息的收集、传递、储存、加工、维护和使用的系统。(某企业管理信息系统由技术管理子系统、人事管理子系统)决策支持系统DSS：决策支持系统的本质是将多个广义模型有机组合起来，对数据库中的数据进行处理而形成决策模型。信息系统安全漏洞是各种安全威胁的主要根源之一，安全漏洞的大量出现和加速增长使网络安全总体形势趋于严峻，深入分析和研究安全漏洞对保障计算机系统与网络安全具有重要意义。本文围绕着安全漏洞信息系统展开，研究分析了安全漏洞领域的一些主要问题。(1)研究了安全漏洞关键技术，详细分析了漏洞分类法，对网上公开的漏洞数据库资源进行综述和评价，在此基础上设计了防范中心漏洞数据库结构CNNVD，定义了安全漏洞的属性特征，并负责漏洞数据库的升级和管理。(2)提出了一种完善的安全漏洞收集模型，通过引入漏洞自动收集思想，有效的解决了漏洞数据库信息更新不及时，以及漏洞收集效率低等问题。重点介绍了漏洞自动收集系统的结构框架和功能模块，并给出了系统的具体实现。(3)研究了漏洞描述语言OVAL和漏洞评估系统的现状与发展，旨在研究标准化的漏洞描述方法，实现漏洞描述、检测过程和评估的标准化。开发了一种基于OVAL的新型漏洞评估系统OVAS，以防范中心漏洞数据库CNNVD作为数据中心。OVAS缩短了漏洞评估时间，提高了检测精度。(4)为了提高安全产品的互操作性，国际上制定了很多安全漏洞相关标准和计划。详细分析了这些标准的内容和相互关系，总结了国际漏洞标准制定方案，并探讨了国内应该制定哪些漏洞标准以及制定流程。漏洞的概述漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。具体举例来说，比如在IntelPentium芯片中存在的逻辑错误，在Sendmail早期版本中的编程错误，在NFS协议中认证方式上的弱点，在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用，威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞。漏洞是指一个系统存在的弱点或缺陷，系统对特定威胁攻击或危险事件的敏感性，或进行攻击的威胁作用的可能性。漏洞可能来自应用软件或操作系统设计时的缺陷或编码时产生的错误，也可能来自业务在交互处理过程中的设计缺陷或逻辑流程上的不合理之处。这些缺陷、错误或不合理之处可能被有意或无意地利用，从而对一个组织的资产或运行造成不利影响，如信息系统被攻击或控制，重要资料被窃取，用户数据被篡改，系统被作为入侵其他主机系统的跳板。从目前发现的漏洞来看，应用软件中的漏洞远远多于操作系统中的漏洞，特别是WEB应用系统中的漏洞更是占信息系统漏洞中的绝大多数。漏洞发现是攻击者与防护者双方对抗的关键，防护者如果不能早于攻击者发现可被利用的漏洞，攻击者就有可能利用漏洞发起攻击。越早发现并修复漏洞，信息安全事件发生的可能性就越小。专业漏洞扫描系统是一种发现漏洞的重要手段，它能自动发现远程服务器端口分配，判断所提供服务，并检测远程或本地主机安全弱点的系统。发现漏洞后，还要进一步通过自动或手动的漏洞验证来检验漏洞扫描结果的准确性。信息系统的运行维护人员应定期进行漏洞扫描，及时发现并快速修复漏洞。漏洞会影响到很大范围的软硬件设备，包括作系统本身及其支撑软件，网络客户和服务器软件，网络路由器和安全防火墙等。换而言之，在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。在不同种类的软、硬件设备，同种设备的不同版本之间，由不同设备构成的不同系统之间，以及同种系统在不同的设置条件下，都会存在各自不同的安全漏洞问题。漏洞问题是与时间紧密相关的。一个系统从发布的那一天起，随着用户的深入使用，系统中存在的漏洞会被不断暴露出来，这些早先被发现的漏洞也会不断被系统供应商发布的补丁软件修补，或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有漏洞的同时，也会引入一些新的漏洞和错误。因而随着时间的推移，旧的漏洞会不断消失，新的漏洞会不断出现。漏洞问题也会长期存在。因而脱离具体的时间和具体的系统环境来讨论漏洞问题是毫无意义的。只能针对目标系统的作系统版本、其上运行的软件版本以及服务运行设置等实际环境来具体谈论其中可能存在的漏洞及其可行的解决办法。同时应该看到，对漏洞问题的研究必须要跟踪当前最新的计算机系统及其安全问题的最新发展动态。这一点如同对计算机病毒发展问题的研究相似。如果在工作中不能保持对新技术的跟踪，就没有谈论系统安全漏洞问题的发言权，即使是以前所作的工作也会逐渐失去价值。系统安全漏洞是在系统具体实现和具体使用中产生的错误，但并不是系统中存在的错误都是安全漏洞。只有能威胁到系统安全的错误才是漏洞。许多错误在通常情况下并不会对系统安全造成危害，只有被人在某些条件下故意使用时才会影响系统安全。漏洞虽然可能最初就存在于系统当中，但一个漏洞并不是自己出现的，必须要有人发现。在实际使用中，用户会发现系统中存在错误，而入侵者会有意利用其中的某些错误并使其成为威胁系统安全的工具，这时人们会认识到这个错误是一个系统安全漏洞。系统供应商会尽快发布针对这个漏洞的补丁程序，纠正这个错误。这就是系统安全漏洞从被发现到被纠正的一般过程。系统攻击者往往是安全漏洞的发现者和使用者，要对于一个系统进行攻击，如果不能发现和使用系统中存在的安全漏洞是不可能成功的。对于安全级别较高的系统尤其如此。系统安全漏洞与系统攻击活动之间有紧密的关系。因而不该脱离系统攻击活动来谈论安全漏洞问题。了解常见的系统攻击方法，对于有针对性的理解系统漏洞问题，以及找到相应的补救方法是十分必要的。（一）漏洞的分类和生命周期(二)漏洞研究的主体随着信息化的进步和互联网的飞速发展,由于漏洞自身的特殊性,多种不同的主体根据不同的需求参与到有关漏洞的研究、分析工作中,包括:政府机构、国际组织、大学/科研机构、信息技术公司、信息安全公司和黑客组织等,它们在漏洞研究中从不同的角度分析漏洞,起到了不同的作用。对于政府机构而言,他们主要关心的问题有信息系统中存在哪些漏洞,漏洞给信息系统带来的安全风险有多大,如何有效地处理漏洞,避免安全风险的增加,如何建立一套系统化、制度化、程序化的工作流程来处理漏洞等内容。对于国际组织,他们大多在安全事件接报和统计、安全漏洞收集和整理、安全建议和培训和系统安全提升办法等方面投入更多精力。大学和科研机构研究重点在:漏洞的分类方法、漏洞的描述和利用方法、漏洞带来安全风险的分析。信息技术公司则分析漏洞的产生原因,避免漏洞的出现和对漏洞开发补丁。信息安全公司从事漏洞的检测方法和漏洞的解决方案。黑客组织的主要兴趣在未知漏洞的发现和漏洞的利用程序开发。(三)漏洞研究的客体信息系统的构成是复杂的,从不同的角度来看,漏洞存在于不同的部分,例如从信息系统构成的纵向层次来看有部件、组件、产品、子系统、网络等,从信息系统的横向组成部分来看有操作系统、数据库、应用软件、路由器、交换机、智能终端等。根据美国国家漏洞库披露的数据显示,目前仅在软件产品中就存在29000个漏洞,涉及到14000个信息产品,而目前每天以20个漏洞左右数量增加。目前各大软件公司、国际组织、安全公司等都公布有数量不同的漏洞信息。(四)漏洞研究的行为与内容从漏洞的个体来看,每一个漏洞的出现、被发现、公布等状态都是由相关的主体来操作的,这就必然使得漏洞个体研究或者管理存在一系列的行为过程和研究内容,主要包括:1．制造：漏洞是被有意或者无意地制造出来的,对于大多数情况来讲,漏洞是在无意中产生的,但是有些条件下,并不排除被有意产生。在此阶段,主要研究漏洞产生的特定环境、条件和原因,分析不同漏洞的来源、平台、时间、分布位置等多种因素,发现漏洞产生的场景模式和规律,找到其中可重用的模式,为漏洞相关研究环节提供研究基础。2．发现：漏洞作为客观对象存在于信息产品之中,被不断地挖掘出来。针对未知漏洞存在而又不为人所知的情况,在此阶段研究者主要研究利用各种方法、技术、理论来发现未知漏洞并且分析由于模块化设计、代码重用等方式带来的漏洞在不同位置出现的关联性和依赖性。所使用的方法主要有:基于静态分析的漏洞发现技术、基于动态分析的漏洞发现技术等:信息系统安全漏洞研究静态、动态分析相结合的漏洞发现技术。3．验证：在公布的漏洞中,由于信息来源的不确定性,需要对公布的漏洞进行仔细的分析,以确定漏洞是否存在,相关信息是否准确,并对其相关特征进行深入分析。在此阶段,主要研究漏洞触发条件和利用规则的分析和描述、漏洞攻击模拟与验证。4．评估：分析漏洞的危害性、利用方法和危害等级等,对漏洞可能对信息系统造成的安全危害进行分析。并且通过分析漏洞利用和攻击的条件、境、可能等特点,研究信息系统中利用漏洞危害系统安全的风险传播模型。5．检测：在役系统中存在大量的、已公布的漏洞,研究如何标示漏洞的特征,以便进行有效的检查,主要研究漏洞检测特征的知识表达,主要手段有基于主机的漏洞检测和基于网络的漏洞检测。6．公布：讨论漏洞相关信息的搜集、发布、管理、统计、分析等,以形成有效的信息发布机制和相关知识框架,以便有策略或分类别地发布漏洞信息,并发布相应的安全建议。7．消除：针对信息系统中存在的漏洞,研究如何有效地消除以及避免其危害的方法和途径,例如软件公司通过开发针对漏洞的补丁或软件升级,并且分析一旦漏洞被利用带来攻击时,如何有效地和其他安全措施联动,防止更大的危害产生。（五）漏洞分析漏洞分析是风险评估里面的六大环节的一个最重要的环节，我们在这给大家简要的回顾一下六大环节里面最重要的漏洞分析，这还包括对对象的描述和威胁的分析，以及后面影响分析，同时分析出有效性分析，以及综合的评估。漏洞分析无疑是整个风险评估里面重中之重，现在的风险评估我们是从三个方面来进行的，包括技术风险，业务风险和国家安全的影响中的分析。在威胁分析里面看到不仅来自人的因素，也来自自然的因素，今天是一个特别的日子，像地震之类的自然灾害也是一类威胁。还有就是人的，人的威胁有一些个人的行为，还有敌对组织的行为，甚至于敌对国家的行为。我们对国家层面的威胁在重要信息系统里面必须特别关注，实际上大家很多来自媒体以及研究机构，我也看到很多信息安全老专家。为什么在这和大家交流国家重要信息系统的话题，实际上国家重要信息系统离不开机构，他们要进行运行维护，我们应该更多的在平时的保证业务连续性，对信息安全的认识层次能够更提高一个层次，对他的影响分析有的是涉及到社会稳定甚至于影响到民生。对于安全分析平时做技术方案的时候有可能关注的不够，实际上看到在这张图上面有底向上的过程就是威胁源和威胁能力不断增大的过程，还有普通个人以及敌对的活动，甚至于国家资助的国家能力，这的出现的可能性和出现威胁之间的关系。我们看到从2000年开始是完全递增的关系，这种威胁看到了敌对势力的藏独势力，台独势力，邪教组织，以及去年新疆发生的7.5事件。我们看一个很典型的敌对势力——法轮功，他们开发队伍很专业，开发能力也很强，他们的经费通过所谓非政府组织的资助也是很有保障的，另外他的能力无论是破网能力，我们在国家边境口岸上面，在信息系统和互联网边境口岸上监控、审查有一些通过加密手段进行破网，他们自己的安全防范能力都是非常强的。风险评估的第二个环节，就是漏洞分析，也是我说的最重要的环节。我们要对漏洞看看产生的根源，以及能分析它的发生机理，危害的程度。在漏洞分析这一块，这个难度和技术的要求都是非