网络安全评估.docx
- 文档编号:18431337
- 上传时间:2023-08-16
- 格式:DOCX
- 页数:33
- 大小:426.75KB
网络安全评估.docx
《网络安全评估.docx》由会员分享,可在线阅读,更多相关《网络安全评估.docx(33页珍藏版)》请在冰点文库上搜索。
网络安全评估
网络安全评估
网络安全评估网络入侵检测解决方案
((Spacefor
OrganisationalLogo))
编纂:
北京立新圆计算机技术有限公司
地址:
北京海淀区蓟门里北甲四楼
邮编:
100088
电话:
8610-62367832
传真:
8610-62367835
后记
一安全评估
安全评估产品主要是静态对网络中的各种系统、设备和数据库进行漏洞扫描,找出整个网络系统中最容易受到攻击的地方,对网络进行有效的评估,最后提出建设性的解决方案。
目前ISS公司主要提供DatabaseScanner、InternetScanner和SystemScanner三种扫描器安全评估产品,分别可对数据库、网络和系统进行安全评估。
ISS的安全评估工具InternetScanner、SystemScanner和DatabaseScanner拥有目前业界最为丰富和完整的安全漏洞特征数据库。
目前,InternetScanner版本为6.0.1,可检测34类共543种安全漏洞;SystemScanner版本为4.0,可以检测759种WindowsNT安全漏洞和558种UNIX安全漏洞;DatabaseScanner版本为3.0,可以检测SybaseAdaptiveServer、MicrosoftSQLServer和OracleDatabase三种数据库的认证、授权、系统完整性三类共168种安全漏洞。
下面分别对其一一做简要介绍。
1InternetScanner
1.1简介
ISS的InternetScanner是网络安全工业首选的策略产品,它对网络漏洞进行分析和提供决策支持。
InternetScanner主要致力于某一非常重要的组织网络风险管理方面--识别和描述技术漏洞。
InternetScanner有计划和可选择性地对您的网络通信服务(WEB,E-mail,DNS)、操作系统、主要的应用系统以及路由器和防火墙进行探测扫描,查找最容易被用来攻击的漏洞,探测、调查和模拟攻击您的网络。
最后,InternetScanner对您的漏洞情况进行分析,同时提供一系列正确的所应采取的措施,提供趋势分析并可根据您的需要产生报告和数据。
InternetScanner包括三个完整的模块:
Scanningintranets(扫描内部网络),
Scanningfirewalls(评估防火墙),
Scanningwebservers(扫描Web服务器)。
InternetScanner已被公安部三所用来评测防火墙,确定某种防火墙是否能取得销售许可认证的依据。
InternetScanner产品特点
1、InternetScanner的优点:
可快速便捷地更新—互联网扫描的新X-press更新特点可以让用户自动接收新对策,来防范最新的漏洞和威胁,以保护他们的网络。
用户可自定义轻松的安全策略—用户能轻松的升级自己的“FlexChecks”或根据自己的独特环境自定义检测方法。
广泛的综合性—互联网扫描仍然是漏洞检测市场上最具合性解决方案的产品。
6.0版本包括新近内建的漏洞检测,以检查最近的安全风险包括超过24遍检测后门程序,例如BackOrifice2000。
集成性——ISS提供了业界第一个评估操作集成功能,通过将数据库扫描和互联网扫描的功能结合起来,让用户更有效的管理数据库与互联网相结合的安全风险
业界最完整的漏洞检查列表——大大减少了忽略一个重要漏洞的风险。
高度自动化,操作快速、简单——提供优先任务以减少风险的暴露。
此种任务包括为快速管理或消除安全隐患的详细描述,并让您在短时间内扫描多个系统。
结构化扫描——帮助管理员根据特定的需要提供相应层次的风险评估。
按照特定的时间、广度和细致的需求配置多个扫描。
技术细节给安全专家,高层次的趋势分析概要给行政主管。
快速易于管理的图形报告系统——通过加速审核过程节省时间和金钱。
规模化——系统扫描能够随着组织的增长而扩大,从小的网络到企业级的安装,轻松的执行企业网的安全扫描。
并行扫描——能够很容易地对大的网络同时执行多个扫描,检查并且报告企业网中设备如防火墙、路由器的一般性漏洞。
与DatabaseScanne紧密集成——与ISSDatabaseScanner协同工作,在网络环境中鉴别新的数据源,并在InternetScanner环境中运行数据库风险评估扫描。
从一个工具检测TCP/IP、UNIX和WindowsNT——最大化安全覆盖,控制消耗,简化培训和配置。
简化了大量网络安全问题——是网络安全投资的回报最大。
到提供补丁的供应商的链接——可加速和促进网络安全的改善。
安全策略依据——详细的帮助数据库帮助没有经验的管理员实现网络的安全,并且制定实际的、可强制执行的网络安全策略。
可升级性——InternetScanner可以和您的网络一起成长,从小的网络到企业级网络。
多层扫描允许管理员随意配置,在特定的时间、广度和细度。
自动安装的X-Press可升级InternetScanner的漏洞数据库和程序代码以保证网络所需的最新安全信息。
灵活的检测能力允许用户为自己的应用服务提供升级。
1.2InternetScanner扫描特征
BruteForcePassword-Guessing
为经常改变的帐号、口令和服务测试其安全性
Daemons
检测UNIX进程(Windows服务)
Network
检测SNMP和路由器及交换设备漏洞
DenialofService
检测中断操作系统和程序的漏洞,一些检测将暂停相应的服务
NFS/XWindows
检测网络网络文件系统和X-Windows的漏洞
RPC
检测特定的远程过程调用
SMTP/FTP
检测SMTP和FTP的漏洞
WebServerScanandCGI-Bin
检测Web服务器的文件和程序(如IIS,CGI脚本和HTTP)
NTUsers,Groups,andPasswords
检测NT用户,包括用户、口令策略、解锁策略
BrowserPolicy
检测IE和Netscape浏览器漏洞
SecurityZones
检测用于访问互联网安全区域的权限漏洞
PortScans
检测标准的网络端口和服务
Firewalls
检测防火墙设备,确定安全和协议漏洞
Proxy/DNS
检测代理服务或域名系统的漏洞
IPSpoofing
检测是否计算机接收到可疑信息
CriticalNTIssues
包含NT操作系统强壮性安全测试和与其相关的活动
NTGroups/Networking
检测用户组成员资格和NT网络安全漏洞
NetBIOSMisc
检测操作系统版本和补丁包、确认日志存取,列举、显示NetBIOS提供的信息
Shares/DCOM
检测NetBIOS共享和DCOM对象。
使用DCOM可以测试注册码、权限和缺省安全级别
NTRegistry
包括检测主机注册信息的安全性,保护SNMP子网的密匙
NTServices
包括检测NT正在运行的服务和与之相关安全漏洞
1.3扫描过程
如图所示,InternetScanner有计划和可选择性地对您的网络通信服务(WEB,E-mail,DNS)、操作系统、主要的应用系统以及路由器和防火墙进行探测扫描,查找最容易被用来攻击的漏洞,探测、调查和模拟攻击您的网络。
最后,InternetScanner对您的漏洞情况进行分析,同时提供一系列正确的所应采取的措施,提供趋势分析并可根据您的需要产生报告和数据。
带箭头线路代表InternetScanner的扫描过程。
SystemScanner
1.4简介
SystemScanner系统扫描器是一个基于主机的安全评估系统。
它和网络扫描器有所区别,它提供基于主机的安全评估,分析安全弱点。
网络扫描器是在网络层扫描各种设备来发现安全漏洞,系统扫描器是在系统层上通过依附于网络设备上的扫描器代理侦测主机内部的漏洞。
这些扫描器代理策略可以通过企业的某个控制台进行集中管理和配置。
系统扫描器在相当严格的基础上对安全风险级别进行划分。
在UNIX系统上,它对大量的安全问题能自动产生修补程序脚本。
一旦系统被确认处于安全的状态后,系统扫描器会用一种数字指纹锁定系统配置,以便更容易发现非法访问。
1.5系统扫描器结构
1、系统扫描器结构
系统扫描器采用Client/Server结构,由代理程序(客户端)和控制台(服务端)组成。
系统扫描器代理安装在被检查和监控的机器上,控制台安装在控制中心,可以和代理安装在同一台机器上或其它网络能与代理机器连接的主机上。
2、被管理和管理系统
运行代理程序的系统称之为被管理系统,运行控制台的系统称之为管理系统。
一旦代理程序和控制程序安装完毕,你就可以交互式地操作系统扫描器的代理程序进行系统安全漏洞扫描,包括系统错误配置或普通配置信息。
用户通过扫描结果对系统漏洞进行修补,直到扫描报告中不再出现任何警告,同时可以制定一个系统基线。
以后可以计划一个规则,让系统扫描器在没有任何监管情况下自动运行,一旦发现漏洞立即报警。
系统扫描器所实行的所有规则定义在每个代理的知识库里,它允许我们自己定义一个适合相应平台的规则。
它还允许我们对进行特殊定义,当网络不通时代理也可以进行工作。
1.6SystemScanner产品特点
宽阔的支持平台——系统扫描现在可以支持24种以上的平台,包括Unix平台的很多类型,例如Linux和WindowsNT,Netware等。
用户可自定义轻松的安全策略——用户能轻松的升级自己的“FlexChecks”或根据自己的独特环境自定义检测方法。
网上通讯加密——系统扫描器代理和控制台之间采用SSL(SecureSocketLayer)加密方法在网上进行信息交流,不会受到窃听的威胁。
丰富全面的安全规则——系统扫描器涵盖超过900Unix和NT系统的安全规则
1.7产品扫描特征
规则类别漏洞内容
UNIX
WindwsNT
系统
文件属组及权限,系统访问、主要系统配置和日志文件
合法标题的显示,Admin和Guest用户,系统配置,入侵检测,管理用户
用户和组
组名和成员,用户详细情况(用户名、用户ID、密码、路径和登录shells),/etc/group和/etc/passwd格式,管理和超级用户
登录地点、时间和期限,最后一次登录回顾,本地登录能力,禁止/睡眠用户帐号
密码
易猜的密码、密码影象,用户共享密码,uid0用户宿主路径,缺省登录环境
强制性密码更改,密码重新使用设置,最短密码期限和最长密码期限,密码要求和密码强度
文件
所有文件的不同规则,包括权限,所有者,硬/软连接,奇怪的名字或字符串,suid/sgid文件
N/A
正常/冻结文件
在冻结文件数据库中内容、所有者、文件连结的更改。
在冻结文件数据库中内容、所有者、文件连结的更改。
审记文件
系统扫描器审计文件的报告
审计策略,包括登录、退出、文件和对象、帐号管理、策略改变、启动和关机,进程跟踪
cron和at
任务所有者、配置文件、设备权限、lost+found目录内容
N/A
Coms
网络和后台进程的配置文件、NIS、所有者和TCP/IP配置文件
N/A
设备
可移动设备文件的文件权限,NFS配置和共享文件系统,nuucp登录shell
N/A
日志文件
报告记录在系统日志文件中有意义的事件,检查对UUCP配置的访问和UUCP数据文件
日志文件,系统,安全和应用的日志文件大小,事件日志。
权限
N/A
检查具有特定权限的用户,用户权限,驱动盘映射,网络访问,备份与恢复权限,系统时间设置,令牌对象和永久共享对象的创建,程序的调试,安全审计的产生,进程优先级,下载和上传设备驱动,内存中页的锁定,服务登录,审记和安全日志管理,软硬件的修改,系统性能配置,进程级别标记的更改,系统关闭,所有者,软盘和CD-ROM分配。
其他
N/A
检查UPS服务启动、关闭命令,电源警告延时,电源警告信息重复,OS/2子系统,自动登录,敏感的系统服务。
1.8SystemScanner扫描过程
如图所示,网络扫描器是在网络层扫描各种设备来发现安全漏洞,系统扫描器是在系统层上通过依附于网络设备上的扫描器代理侦测主机内部的漏洞。
这些扫描器代理策略可以通过企业的某个控制台进行集中管理和配置。
系统扫描器在相当严格的基础上对安全风险级别进行划分。
在UNIX系统上,它对大量的安全问题能自动产生修补程序脚本。
一旦系统被确认处于安全的状态后,系统扫描器会用一种数字指纹锁定系统配置,以便更容易发现非法访问。
带箭头线路代表SystemScanner的扫描过程。
2DatabaseScanner
2.1简介
数据库扫描器(DatabaseScanner)是世界上第一个针对数据库管理系统风险评估检测工具,提供广泛、强大的数据库扫描。
任何人都能利用它来建立数据库的安全规则,通过运行审核程序来提供有关安全风险和位置的简明报告。
DatabaseScanner™是第一个数据库漏洞和风险评估的一种产品,它通过指定相应的安全策略保护数据库。
数据库扫描器自动识别数据库系统中潜在的安全漏洞,从密码的强度到2000年问题,特落伊木马,它利用内置已有的知识库,直接产生清晰的报告,对数据库系统中的漏洞或配置提出建设性的建议。
目前databaseScanner可扫描的数据库有OracleDatabase,SybaseDatabase,SQLSERVER。
可针对其认证、授权和系统完整性三类安全漏洞做扫描。
实行分布式管理的公司更加得益于数据库扫描器的强大功能。
位于BuffaloGrove。
IL,AZDatabase公司总裁AndrewZavevsky曾这样评价数据库扫描器:
“应用数据库扫描器,现在,公司可以用工业界最先进的安全检测技术,经济有效地保护他们的服务器。
通过运行数据库扫描器的检测报告程序,用户可以很容易地修补安全漏洞,因为该报告不仅产生对漏洞的描述,同时提供对漏洞的具体解决办法。
”
2.2DatabaseScanner特点
1、用于制定、开发、实现和强制实施数据库安全策略,主要是:
可用ISS安全知识向导(SKW)和经过实践检验的工业标准来开发、实现和保持适合的安全策略。
可检查数据库系统的公认的操作标准,包括策略违反、弱口令及任何恶意行为的迹象。
可协调帐户的创建、存取控制、帐户的终止和恢复。
可检查和监控重要的过程和设置。
可安装并应用所有最新的版本升级、补丁。
可检查数据库系统如SybaseAdaptiveServer的内部应用的安全。
2、深入分析理解所发现的问题
了解安全风险有关的认证、授权和系统完整性问题,以及其如何构成影响企业的风险。
准备一些报告并让所有人阅读,了解他们的数据库管理系统的环境。
向各级管理层和各部门提供直观易懂的报告,报告中有详细的图表分析及对所有发现的安全漏洞的建议补救方法。
协助企业数据灾难恢复计划的开发、实现和修改。
3、正确、高效、省时的工具
完全自动地对数据库管理系统进行信息收集、分析,使你能集中注意力于其它重要问题。
可在安全保护程序的开发中使用数据库系统的专业技术。
内嵌的知识库提供了数据库系统安全专家的能力。
定期扫描数据库管理系统服务器,发现新的安全问题和其它影响性能的问题。
自动调用当前设置,并记录设置改变的历史。
2.3扫描过程
说明:
如图所示,这是一个非常典型的网络结构,DatabaseScanner通过安全规则对网络上关键的数据库服务器进行漏洞扫描,找出数据库中的潜在的安全漏洞和数据库中错误的配置,最后产生详细直观报告,提出建设性的建议及修补漏洞的措施。
通过SAFESuite构架,还可以把信息传送给更高层次的网络和系统管理系统象OPENVIEW、NetManager、Tivoli和CAUnicenter,通知他们目前的网络状态和应采取的对策。
3ISS安全评估产品软硬件要求
ISS安全评估产品安装和运行的软硬件要求如下表所示:
InternetScanner6.0
SystemScanner4.0
DatabaseScanner3.0
控制台
代理
CPU
至少200MHzPentiumPro(扫描主机数很大时建议用300MHzPentiumII)
350mhzPentiumII以上
Pentium处理器
内存
80MB内存(扫描主机数很大时建议用128MB内存)
至少64MB内存
64MB内存
16MB每增加一个同步扫描要加15MB内存
硬盘空间
从压缩文件安装时需180MB;从光盘安装时需60MB;55MB用于程序运行,建议每增加100台被扫描主机要留出2.5MB。
100MB剩余磁盘空间
35MB剩余磁盘空间
至少60MB磁盘空间
网络
以太网或令牌环网卡
TCP/IP
显示器
至少800×600像素,256色分辨率
1024x768图形分辨率
OS
WindowsNT4.0Workstation(withServicePack4)。
WindowsNT4WorkstationorServerServicePack4or5
WindowsNT4Workstation,ServerorServerEnterpriseServicePack4or5
Windows95withInternetExplorer4.01SP1(以上)
Windows98
WindowsNT4.0ServicePack3orgreater,andInternetExplorer3.02(以上)
浏览器
InternetExplorerversion4(用于浏览帮助文件)
文件系统
NTFS
NTFS
备注
MDAC2.0.x
4ISS安全评估产品支持的平台:
4.1InternetScanner
ISS的InternetScanner是网络安全工业首选的策略产品,它对网络漏洞进行分析和提供决策支持。
InternetScanner可以扫描网络中任何拥有IP地址的设备,而不管其是路有器、打印机、个人计算机、防火墙还是工作站、服务器,更湟论其上运行哪种操作系统了。
所以可以说InternetScanner几乎支持所有的操作系统扫描。
4.2DatabaseScanner
ISS数据库扫描器(DatabaseScanner)是世界上第一个针对数据库管理系统风险评估检测工具。
可以利用它来建立数据库的安全规则,通过运行审核程序来提供有关安全风险和位置的简明报告。
目前ISS生产的数据库扫描包括DatabaseScannerforMicrosoftSQLServer(DBQL)、DatabaseScannerforSybaseAdaptiveServer(DBSY)和DatabaseScannerforOracleDatabase(DBOR)。
所以目前DatabaseScanner可扫描的数据库有OracleDatabase,SybaseDatabase,SQLSERVER。
4.3SystemScanner
ISS的SystemScanner提供基于主机的安全评估,分析安全弱点。
网络扫描器是在网络层扫描各种设备来发现安全漏洞,SystemScanner系统扫描器是在系统层上通过依附于网络设备上的扫描器代理侦测主机内部的漏洞。
这些扫描器代理策略可以通过SystemScanner控制台进行集中管理和配置。
SystemScanner控制台完全是一台单独的机器,而由系统扫描器代理决定可支持的操作系统。
目前系统扫描器代理支持和即将支持的操作系统如下表所示:
系统扫描器代理支持的操作系统
SystemScanner4.0Agents
WindowsNT(Intel)
NT4.0SP4,SP5
SystemScanner3.XAgents
DigitalUNIX(Tru64UNIX)
V3.2C,
DigitalUNIX(Tru64UNIX)
V4.0D
HPUX
9.x,
HPUX
10.10,10.20
IBMAIX3
3.2.5,
IBMAIX4
4.1,4.2
NCR(SVR4onIntel)
SVR4.0
SequentPTX/
2.x,
SequentPTX/
4.0,
SequentPTX/
4.2,4.2X(Largefiles)
WindowsNT(Intel)
3.51
SCOOpenserver
5.0
SCOUnixware
2.0,2.1
SIEMENSSINIX
5.43
SunSolaris1
1.x
ICLDRS/NX6(or/NX7)
NX6,NX7,7M+
系统扫描器代理即将支持的操作系统
SystemScanner4.0Agentsplannedfor
HP/UX
11.0
IBMAIX
4.3
CompaqTru64Unix(DigitalUNIX)
5.0
SCOUnixWareonIntel
7.0
SCOOpenServer
5.x
SiemensSINIX
5.44
SUNSolaris
7
Linux(RedHat)
6.0
NovellNetware
5.0
WindowsNT(Alpha)
NT4.0
Windows2000
Release1
5ISS安全评估产品对系统的影响
InternetScanner,SystemScanner,DatabaseScanner扫描器产品在进行扫描时不会明显增加网络的负担——在一个10BaseT的网络环境中一般占用3%左右的资源,还可以安装网络性能监控程序来监控网络状态。
6漏洞特征和扫描引擎的定期更新服务
ISS对于新出现的安全漏洞和黑客攻击手段,ISS经常对产品对进行升级,及时保护您的网络安全。
如果想详细了解最新安全信息、威胁、漏洞以及它们的严重性,可访问X-ForceKnowledgeBase(X-Force知识库).InternetScanner6.0版本和SystemScanner
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 评估