信息安全-网络安全漏洞防护技术原理与应用_虚拟补丁原理

一、网络安全漏洞概述

1.1 网络安全漏洞概念

网络安全漏洞：又称为脆弱性，简称漏洞。漏洞一般是致使网络信息系统安全策略相冲突的缺陷，这种缺陷通常称为安全隐患

安全漏洞的影响：主要有机密性受损、完整性破坏、可用性降低、抗抵赖性缺失、可控制性下降、真实性不保等

根据已经公开的漏洞信息，网络信息系统的硬件层、软硬协同层、系统层、网络层、数据层、应用层、业务层、人机交互层都已被发现存在安全漏洞

根据漏洞的补丁状况，可将漏洞分类：

• 普通漏洞：指相关漏洞信息已经广泛公开，安全厂商已经有了解决修补方案
• 零日漏洞：特指系统或软件中新发现的、尚未提供补丁的漏洞。零日漏洞通常被用来实施定向攻击( Targeted Attacks)

1.2 网络安全漏洞威胁

研究表明，网络信息系统漏洞的存在是网络攻击成功的必要条件之一，攻击者成功的关键在于早发现和利用目标的安全漏洞

攻击者基于漏洞对网络系统安全构成的安全威胁：主要有敏感信息泄露、非授权访问、身份假冒、
拒绝服务

漏洞时刻威胁着网络系统的安全，要实现网络系统安全，关键问题之一就是解决漏洞问题，包括漏洞检测、漏洞修补、漏洞预防等

1.3 网络安全漏洞问题现状

网络信息系统的产品漏洞已是普遍性的安全问题。人工智能(AI)、 区块链、5G等新领域的漏洞问题将成为研究重点和热点。网络安全漏洞分析与管理技术正向智能化方向发展。国内外网络安全专家正在开展基于机器学习和大数据来分析网络信息系统安全漏洞的研究

安全漏洞分析及漏洞管理是网络安全的基础性工作。针对安全漏洞问题的研究己成为网络安全的研
究热点，主要研究工作：包括漏洞信息搜集分析和网络安全威胁情报服务、漏洞度量、基于漏洞的攻击图自动化生成、漏洞利用自动化、漏洞发现等

网络安全漏洞事关国家安全，很多发达国家已将安全漏洞列为国家安全战略资源

目前，我国相关部门针对安全漏洞管理问题，建立起国家信息安全漏洞库CNNVD、国家信息安全漏洞共享平台CNVD，制定和颁发了一系列漏洞标准规范，主要有《信息安全技术安全漏洞分类》《信息安全技术安全漏洞等级划分指南》《信息安全技术安全漏洞标识与描述规范》《信息安全技术信息安全漏洞管理规范》 

二、网络安全漏洞分类与管理

2.1 网络安全漏洞来源

网络信息系统的漏洞主要来自两个方面

1. 非技术性安全漏洞：涉及管理组织结构、管理制度、管理流程、人员管理等
2. 技术性安全漏洞：主要涉及网络结构、通信协议、设备、软件产品、系统配置、应用系统等

1. 非技术性安全漏洞的主要来源

1. 网络安全责任主体不明确：组织中缺少针对网络安全负责任的机构，或者是网络安全机构不健全，导致网络安全措施缺少责任部门落实
2. 网络安全策略不完备：组织中缺少或者没有形成一套规范的网络信息安全策略
3. 网络安全操作技能不足：组织中缺少对工作人员的网络安全职责规范要求，没有制度化的安全意识和技能培训机制
4. 网络安全监督缺失：组织中缺少强有力的网络信息安全监督机制，网络信息安全策略的实施无法落实，无法掌握网络安全态势
5. 网络安全特权控制不完备：网络信息系统中存在特权账号，缺少对超级用户权限的审计和约束，从而引发内部安全威胁

2. 技术性安全漏洞的主要来源

1. 设计错误：由于系统或软件程序设计错误而导致的安全漏洞。例如，TCP/IP协议设计错误导致的IP地址可以伪造
2. 输入验证错误：由于未对用户输入数据的合法性进行验证，使攻击者非法进入系统
3. 缓冲区溢出：输入程序缓冲区的数据超过其规定长度，造成缓冲区溢出，破坏程序正常的堆栈，使程序执行其他代码
4. 意外情况处置错误：由于程序在实现逻辑中没有考虑到一些意外情况，而导致运行出错访问验证错误。由于程序的访问验证部分存在某些逻辑错误，使攻击者可以绕过访问控制进入系统
5. 配置错误：由于系统和应用的配置有误，或配置参数、访问权限、策略安装位置有误
6. 竞争条件：由于程序处理文件等实体在时序和同步方面存在问题，存在一个短暂的时机使攻击者能够施以外来的影响
7. 环境错误：由于一些环境变量的错误或恶意设置造成的安全漏洞

2.2 网络安全漏洞分类

网络安全漏洞分类有利于漏洞信息的管理，但是目前还没有统一的漏洞分类标准

• 国际上：较为认可的是CVE漏洞分类和CVSS漏洞分级标准
• 我国：信息安全漏洞分类及OWSP漏洞分类

1. CVE漏洞分类

CVE是由美国MITRE公司建设和维护的安全漏洞字典。CVE给出已经公开的安全漏洞的统一标识和规范化描述，其目标是便于共享漏洞数据

CVE条目的包含内容是标识数字、安全漏洞简要描述、至少有一个公开参考。标识数字简称CVE ID， 其格式由年份数字和其他数字组成，如CVE-2019-1543为一个Open SSL安全漏洞编号

CVE是国际上权威的网络安全漏洞发布组织，其成员包含众多全球知名的安全企业和研究机构

2. CVSS

是一个通用漏洞计分系统

分数计算依据组成，以CVSS v3.0为例

• 基本度量计分：由攻击向量、攻击复杂性、特权要求、用户交互、完整性影响、保密性影响、可用性影响、影响范围等参数决定
• 时序度量计分：由漏洞利用代码成熟度、修补级别、漏洞报告可信度等参数决定
• 环境度量计分：由完整性要求、保密性要求、可用性要求、修订基本得分等决定

3. 我国信息安全漏洞分类

我国网络安全管理部门建立了国家信息安全漏洞库( CNNVD) 漏洞分类分级标准、国家信息安全漏洞共享平台(CNVD)漏洞分类分级标准

①国家信息安全漏洞库(CNNVD)漏洞分类

CNNVD将信息安全漏洞划分：配置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SQL注入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任管理、加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、访问控制错误和资料不足

②国家信息安全漏洞共享平台(CNVD)漏洞分类

CNVD根据漏洞产生原因，将漏洞分为11种类型：输入验证错误、访问验证错误、意外情况处理错误数目、边界条件错误数目、配置错误、竞争条件、环境错误、设计错误、缓冲区错误、其他错误、未知错误

CNVD依据行业划分安全漏洞，主要分为

• 行业漏洞：包括电信、移动互联网、工控系统
• 应用漏洞：包括Web应用、安全产品、应用程序、操作系统、数据库、网络设备等。在漏洞分级方面，将网络安全漏洞划分为高、中、低三种危害级别

4. OWASP TOP 10漏洞分类

OWASP (Open Web Application Security Program)组织发布了有关Web应用程序的前十
种安全漏洞

主要的漏洞类型：有注入、未验证的重定向和转发、失效的身份认证、XML外部实体(XXE)、敏感信息泄露、失效的访问控制、安全配置错误、跨站脚本(XSS)、不安全的反序列化、使用含有已知漏洞的组件、不足的日志记录和监控、非安全加密存储

2.3 网络安全漏洞发布

是一种向公众及用户公开漏洞信息的方法。及时将安全漏洞信息公布给用户，有利于帮助安全相关部门采取措施及时堵住漏洞，不让攻击者有机可乘，从而提高系统的安全性，减少漏洞带来的危害和损失

安全漏洞发布：一般由软硬件开发商、安全组织、黑客或用户来进行

漏洞发布方式三种形式：网站、电子邮伴以及安全论坛。网络管理员通过访问漏洞发布网站、安全论坛或订阅漏洞发布电子邮件就能及时获取漏洞信息

漏洞信息公布内容包括：漏洞编号、发布日期、安全危害级别、漏洞名称、漏洞影响平台、漏洞解决建议等

2.4 网络安全漏洞信息获取

无论是对攻击者还是防御者来说，网络安全漏洞信息获取都是十分必要的

• 攻击者：通过及时掌握新发现的安全漏洞，可以更有效地实施攻击
• 防御者：利用漏洞数据，做到及时补漏，堵塞攻击者的入侵途径

目前，国内外漏洞信息来源主要有四个方面:：

1. 一是网络安全应急响应机构
2. 二是网络安全厂商
3. 三是IT产品或系统提供商
4. 四是网络安全组织

国内外网络安全漏洞信息发布的主要来源，介绍如下

1. CERT组织建立于1988年，是世界上第一个计算机安全应急响应组织，其主要的工作任务是提供入侵事件响应与处理。目前，该组织也发布漏洞信息
2. Security Focus VuInerability Database 是由Security Focus公司开发维护的漏洞信息库，它将许多原本零零散散的、与计算机安全相关的讨论结果加以结构化整理，组成了一个数据库
3. 国家信息安全漏洞库CNNVD是中国信息安全测评中心(以下简称“测评中心”)为切实履行漏洞分析和风险评估职能，负责建设运维的国家级信息安全漏洞数据管理平台，旨在为国家信息安全保障提供服务
4. 国家信息安全漏洞共享平台CNVD是由国家计算机网络应急技术处理协调中心联合国内重要的信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库
5. 厂商漏洞信息是由厂商自己公布的其生产产品的安全漏洞信息

2.5 网络安全漏洞管理过程

网络安全漏洞是网络信息系统的安全事故隐患所在。网络安全漏洞管理是把握网络信息系统安全态势的关键，是实施网络信息安全管理从被动向主动转变的标志性行动

网络安全漏洞管理主要环节

1. 网络信息系统资产确认：对网络信息系统中的资产进行摸底调查，建立信息资产档案
2. 网络安全漏洞信息采集：利用安全漏洞工具或人工方法收集整理信息系统的资产安全漏洞相关信息，包括安全漏洞类型、当前补丁级别、所影响到的资产
3. 网络安全漏洞评估：对网络安全漏洞进行安全评估，如安全漏洞对组织业务的影响、安全漏洞被利用的可能性(是否有公开工具、远程是否可利用等)、安全漏洞的修补级别，最后形成网络安全漏洞分析报告，给出网络安全漏洞威胁排序和解决方案
4. 网络安全漏洞消除和控制：常见的消除和控制网络安全漏洞的方法是安装补丁包、升级系统、更新IPS或IDS的特征库、变更管理流程
5. 网络安全漏洞变化跟踪：网络信息系统是一个开放的环境，系统中的资产不断出现变化，安全威胁手段层出不穷。安全管理员必须设法跟踪漏洞状态，持续修补信息系统中的漏洞

三、网络安全漏洞扫描技术与应用

3.1 网络安全漏洞扫描

是一种用于检测系统中漏洞的技术，是具有漏洞扫描功能的软件或设备，简称为漏洞扫描器。漏洞扫描器通过远程或本地检查系统是否存在己知漏洞

漏洞扫描器功能模块

1. 用户界面：定制扫描策略、开始和终止扫描操作、分析扫描结果报告等，同时，显示系统扫描器工作状态
2. 扫描引擎：响应处理用户界面操作指令，读取扫描策略及执行扫描任务，保存扫描结果
3. 漏洞扫描结果分析：读取扫描结果信息，形成扫描报告
4. 漏洞信息及配置参数库：保存和管理网络安全漏洞信息，配置扫描策略，提供安全漏洞相关数据查询和管理功能

漏洞扫描器是常用的网络安全工具，按照扫描器运行的环境及用途，漏洞扫描器主要分三种

1. 主机漏洞扫描器

不需要通过建立网络连接就可以进行，其技术原理：一般是通过检查本地系统中关键性文件的内容及安全属性，来发现漏洞，如配置不当、用户弱口令、有漏洞的软件版本等。主机漏洞扫描器的运行与目标系统在同一主机上，并且只能进行单机检测

2. 网络漏洞扫描器

通过与待扫描的目标机建立网络连接后，发送特定网络请求进行漏洞检查

与主机漏洞扫描的区别：在于网络漏洞扫描器需要与被扫描目标建立网络连接

• 优点：便于远程检查联网的目标系统
• 缺点：由于没有目标系统的本地访问权限，只能获得有限的目标信息，检查能力受限于各种网络服务中的漏洞检查，如Web、 FTP、TeInet、SSH、POP3、SMTP、SNMP等

3. 专用漏洞扫描器

是主要针对特定系统的安全漏洞检查工具，如数据库漏洞扫描器、网络设备漏洞扫描器、Web漏洞扫描器、工控漏洞扫描器

3.2 网络安全漏洞扫描应用

网络安全漏洞扫描常用于网络信息系统安全检查和风险评估。通常利用漏洞扫描器检查发现服务器、网站、网络设备、数据库等的安全隐患，以防止攻击者利用。同时，根据漏洞扫描器的结果，对扫描对象及相关的业务开展网络安全风险评估

四、网络安全漏洞处置技术与应用

4.1 网络安全漏洞发现技术

研究表明，攻击者要成功入侵，关键在于及早发现和利用目标信息系统的安全漏洞。目前，网络安全漏洞发现技术成为网络安全保障的关键技术。然而，对于软件系统而言，其功能性错误容易发现，但软件的安全性漏洞不容易发现

网络安全漏洞的发现方法主要依赖于人工安全性分析、工具自动化检测及人工智能辅助分析。

安全漏洞发现的通常方法：是将已发现的安全漏洞进行总结，形成一个漏洞特征库，然后利用该漏洞库，通过人工安全分析或者程序智能化识别

漏洞发现技术：主要有文本搜索、词法分析、范围检查、状态机检查、错误注入、模糊测试、动态污点分析、形式化验证等（匹配技术）

4.2 网络安全漏洞修补技术

补丁管理是一个系统的、周而复始的工作

主要由六个环节组成：分别是现状分析、补丁跟踪、补丁验证、补丁安装、应急处理和补丁检查

4.3 网络安全漏洞利用防范技术

主要针对漏洞触发利用的条件进行干扰或拦截，以防止攻击者成功利用漏洞

常见的网络安全漏洞利用防范技术如下

1. 地址空间随机化技术：缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动，会以shelIcode地址来覆盖程序原有的返回地址。地址空间随机化(ASLR)就是通过对程序加载到内存的地址进行随机化处理，使得攻击者不能事先确定程序的返回地址值，从而降低攻击成功的概率
2. 数据执行阻止(DEP)：是指操作系统通过对特定的内存区域标注为非执行，使得代码不能够在指定的内存区域运行。利用DEP，可以有效地保护应用程序的堆栈区域，防止被攻击者利用
3.  SEHOP：原理是防止攻击者利用Structured Exception Handler (SEH)重写
4. 堆栈保护：技术原理是通过设置堆栈完整性标记以检测函数调用返回地址是否被篡改，从而阻止攻击者利用缓冲区漏洞
5. 虚拟补丁：工作原理是对尚未进行漏洞永久补丁修复的目标系统程序，在不修改可执行程序的前提下，检测进入目标系统的网络流量而过滤掉漏洞攻击数据包，从而保护目标系统程序免受攻击。虚拟补丁通过入侵阻断、Web防火墙等相关技术来实现给目标系统程序“打补丁”，使得黑客无法利用漏洞进行攻击

五、网络安全漏洞防护主要产品与技术指标

5.1 网络安全漏洞扫描器

产品技术原理：是利用已公开的漏洞信息及特征，通过程序对目标系统进行自动化分析，以确认目标系统是否存在相应的安全漏洞。漏洞扫描器产品通常简称为“漏扫”

漏洞扫描器既是攻击者的有力工具，又是防守者的必备工具。利用漏洞扫描器可以自动检查信息系统的漏洞，以便及时消除安全隐患 

网络安全漏洞扫描产品技术指标

1. 漏洞扫描主机数量：产品扫描主机的数量，有无IP或域名限制
2. 漏洞扫描并发数：产品支持并发扫描任务的数量
3. 漏洞扫描速度：产品在单位时间内完成扫描漏洞任务的效率
4. 漏洞检测能力：产品检查漏洞的数量和类型，提供的漏洞知识库中是否覆盖主流操作系统、数据库、网络设备
5. 数据库漏洞检查功能：对0racle、 MySQL、 MS SQL、DB2、Sybase、 PostgreSQL、 Mongo DB等数据库漏洞检查的支持程度
6.  Web应用漏洞检查功能：对SQL注入、跨站脚本、网站挂马、网页木马、CGI 漏洞等的检查能力
7. 口令检查功能：产品支持的口令猜测方式类型，常见的口令猜测方式是利用SMB、TeInet、 FTP、SSH、POP3、Tomcat， SQL Server、 MySQL、 Oracle、 Sybase、 DB2、SNMP等进行口令猜测。是否支持外挂用户提供的用户名字典、密码字典和用户名密码组合字典
8. 标准兼容性：产品漏洞信息是否兼容CVE、CNNVD、CNVD、BugTraq等主流标准，并提供CVE兼容(CVE Compatible) 证书
9. 部署环境难易程度：产品对部署环境要求的复杂程度，是否支持虚拟化VM平台部署

5.3 网络安全漏洞防护网关

产品原理：通过从网络流量中提取和识别漏洞利用特征模式，阻止攻击者对目标系统的漏洞利用

常见产品形式：入侵防御系统（IPS）、Web防火墙( 简称WAF)、统一威胁管理(UTM)等

相关产品常见技术指标

• 阻断安全漏洞攻击的种类与数量：产品能够防御安全漏洞被攻击利用的类型及数量
• 阻断安全漏洞攻击的准确率：产品能够检测并有效阻止安全漏洞被攻击利用的正确程度
• 阻断安全漏洞攻击的性能：单位时间内，产品能够检测并有效阻止安全漏洞被攻击利用的数量
• 支持网络带宽的能力：产品对网络流量大小的控制能力

友情链接：http://xqnav.top/