导图社区 网络安全漏洞防护技术原理与应用
网络安全漏洞概念 网络安全漏洞:又称为脆弱性,简称漏洞。漏洞一般是致使网络信息系统安全策略相冲突的缺陷,这种缺陷通常称为安全隐患 安全漏洞的影响:主要有机密性受损、完整性破坏、可用性降低、抗抵赖性缺失、可控制... 2. 网络安全漏洞威胁 研究表明,网络信息系统漏洞的存在是网络攻击成功的必要条件之一,攻击者成功的关键在于早发现和利用目标的安全漏洞 ...
这是一个关于PMP第六版49个项目管理过程的思维导图,全面解析了项目启动、规划、执行、监控与收尾各阶段的关键步骤与要点。
大数据主要包括大规模数据分析处理,数据挖掘,分布式文件系统,分布式数据库,云计算平台,互联网和存储系统。 1.“数据集”安全边界日渐模糊,安全保护难度提升 多...
移动应用安全,网易易盾-专业的应用加固服务商,兼容性高,0损耗,安全性高,免费试用.移动应用安全,网易易盾提供防逆向,防篡改,防调试,防二次打包等一站式应用加固方案.
社区模板帮助中心,点此进入>>
互联网9大思维
组织架构-单商户商城webAPP 思维导图。
域控上线
python思维导图
css
CSS
计算机操作系统思维导图
计算机组成原理
IMX6UL(A7)
考试学情分析系统
13.网络安全漏洞防护技术原理与应用
1. 网络安全漏洞概述
网络安全漏洞又称为脆弱性,简称漏洞。漏洞一般是致使网络信息系统安全策略相冲突的缺陷,这种缺陷通常称为安全隐患。安全漏洞的影响主要有机密性受损、完整性破坏、可用性降低、抗抵赖性缺失、可控制性下降、真实性不保等。
根据漏洞的补丁状况,可将漏洞分为普通漏洞和零日漏洞(zero-dayvulnerability)。普通漏洞是指相关漏洞信息已经广泛公开,安全厂商已经有了解决修补方案。而零日漏洞特指系统或软件中新发现的、尚未提供补丁的漏洞。零日漏洞通常被用来实施定向攻击(Targeted Attacks)。
2. 网络安全漏洞威胁
网络信息系统漏洞的存在是网络攻击成功的必要条件之一
攻击者基于漏洞对网络系统安全构成的安全威胁主要有:敏感信息泄露、非授权访问、身份假冒、拒绝服务。
漏洞时刻威胁着网络系统的安全,要实现网络系统安全,关键问题之一就是解决漏洞问题,包括漏洞检测、漏洞修补、漏洞预防等。
3. 网络安全漏洞问题现状
人工智能(AI)、区块链、SG等新领域的漏洞问题将成为研究重点和热点。网络安全漏洞分析与管理技术正向智能化方向发展。国内外网络安全专家正在开展基于机器学习和大数据来分析网络信息系统安全漏洞的研究。
针对安全漏洞问题的研究己成为网络安全的研究热点,主要研究工作包括漏洞信息搜集分析和网络安全威胁情报服务、漏洞度量、基于漏洞的攻击图自动化生成、漏洞利用自动化、漏洞发现等。
我国相关部门针对安全漏洞管理问题,建立起国家信息安全漏洞库CNNVD、国家信息安全漏洞共享平台CNVD。
2. 网络安全漏洞分类与管理
1. 网络安全漏洞来源
网络信息系统的漏洞主要来自两个方面:一方面是非技术性安全漏洞,涉及管理组织结构、管理制度、管理流程、人员管理等;另一方面是技术性安全漏洞,主要涉及网络结构、通信协议、设备、软件产品、系统配置、应用系统等。
非技术性安全漏洞的主要来源
(1)网络安全责任主体不明确。组织中缺少针对网络安全负责任的机构...
(2)网络安全策略不完备。
(3)网络安全操作技能不足。
(4)网络安全监督缺失。
(5)网络安全特权控制不完备。网络信息系统中存在特权账号...
技术性安全漏洞的主要来源
(1)设计错误(Design Error)
(2)输入验证错误(Input Validation Error)...非法进入系统。
(3)缓冲区溢出(BufferOverflow)。
(4)意外情况处置错误(ExceptionalConditionHandlingError)。由于程序在实现逻辑中没有考虑到一些意外情况,而导致运行出错。
(5)访问验证错误(AccessValidationError)。由于程序的访问验证部分存在某些逻辑错误,使攻击者可以绕过访问控制进入系统。---缺容错机制
(6)配置错误(ConfigurationError)。由于系统和应用的配置有误,或配置参数、访问权限、策略安装位置有误。
(7)竞争条件(RaceCondition)。由于程序处理文件等实体在时序和同步方面存在问题,存在一个短暂的时机使攻击者能够施以外来的影响。---先后问题
(8)环境错误(ConditionError)。由于一些环境变量的错误
2. 网络安全漏洞分类
国际上较为认可的是CVE漏洞分类和CVSS漏洞分级标准。另外,还有我国信息安全漏洞分类及OWSP漏洞分类。
CVE
CVE,美国。CVE给出已经公开的安全漏洞的统一标识和规范化描述
CVSS
CVSS是一个通用漏洞计分系统(---给漏洞打分),分数计算依据由基本度量计分、时序度量计分、环境度量计分组成。
我国
CNNVD
CNNVD将信息安全漏洞划分为:配置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SQL注入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任管理、加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、访问控制错误和资料不足。
CNVD
CNVD根据漏洞产生原因,将漏洞分为11种类型:输入验证错误、访问验证错误、意外情况处理错误数目、边界条件错误数目、配置错误、竞争条件、环境错误、设计错误、缓冲区错误、其他错误、未知错误。此外,CNVD依据行业划分安全漏洞,主要分为行业漏洞和应用漏洞。;应用漏洞包括Web应用、安全产品、应用程序、操作系统、数据库、网络设备等。在漏洞分级方面,将网络安全漏洞划分为高、中、低三种危害级别。
OWASP TOP 10
有关Web应用程序的前十种安全漏洞
3. 网络安全漏洞发布
安全漏洞发布机制是一种向公众及用户公开漏洞信息的方法。
安全漏洞发布一般由软硬件开发商、安全组织、黑客或用户来进行。
漏洞发布方式主要有三种形式:网站、电子邮件以及安全论坛。
4. 网络安全漏洞信息获取
国内外漏洞信息来源主要有四个方面:一是网络安全应急响应机构;二是网络安全厂商;三是IT产品或系统提供商;四是网络安全组织。
①CERT组织,是世界上第一个计算机安全应急响应组织
②Security Focus Vulnerability Database,针对数据库。
③国家信息安全漏洞库CNNVD是中国信息安全测评中心(以下简称“测评中心”)为切实履行漏洞分析和风险评估职能,负责建设运维的国家级信息安全漏洞数据管理平台,旨在为国家信息安全保障提供服务。
④国家信息安全漏洞共享平台CNVD是由国家计算机网络应急技术处理协调中心联合国内重要的信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。
⑤厂商漏洞信息是由厂商自己公布的其生产产品的安全漏洞信息。
5. 网络安全漏洞管理过程
网络安全漏洞是网络信息系统的安全事故隐患所在。网络安全漏洞管理是把握网络信息系统安全态势的关键,是实施网络信息安全管理从被动向主动转变的标志性行动
漏洞管理环节
1||| 网络信息系统资产确认
2||| 网络安全漏洞信息采集
3||| 网络安全漏洞评估
4||| 网络安全漏洞消除和控制
5||| 网络安全漏洞变化跟踪
3. 网络安全漏洞扫描技术与应用
1. 网络安全湍洞扫描
网络安全漏洞扫描是一种用于检测系统中漏洞的技术,是具有漏洞扫描功能的软件或设备,简称为漏洞扫描器。漏洞扫描器一般包括用户界面、扫描引擎、漏洞扫描结果分析、漏洞信息及配置参数库等主要功能模块
(1)用户界面。
(2)扫描引擎。响应处理用户界面操作指令,读取扫描策略等
(3)漏洞扫描结果分析。
(4)漏洞信息及配置参数库。---配置扫描策略
漏洞扫描器主要分为三种,即主机漏洞扫描器、网络漏洞扫描器、专用漏洞扫描器
(1)主机漏洞扫描器。不需要通过建立网络连接就可以进行。一般是检查本地系统中关键性文件的内容及安全属性。主机漏洞扫描器的运行与目标系统在同一主机上,并且只能进行单机检测。
(2)网络漏洞扫描器。网络漏洞扫描器需要与被扫描目标建立网络连接。便于远程检查联网的目标系统。但是,由于没有目标系统的本地访问权限,只能获得有限的目标信息,检查能力受限于各种网络服务中的漏洞检查,如Web、FTP、Telnet、SSH、POP3、SMTP、SNMP等。
(3)专用漏洞扫描器:是主要针对特定系统的安全漏洞检查工具,如数据库漏洞扫描器、网络设备漏洞扫描器、Web漏洞扫描器、工控漏洞扫描器。
2. 网络安全漏洞扫描应用
网络安全漏洞扫描常用于网络信息系统安全检查和风险评估。
4. 网络安全漏洞处置技术与应用
1. 网络安全漏洞发现技术
攻击者要成功入侵,关键在于及早发现和利用目标信息系统的安全漏洞。
网络安全漏洞的发现方法主要依赖于人工安全性分析、工具自动化检测及人工智能辅助分析。安全漏洞发现的通常方法是将己发现的安全漏洞进行总结,形成一个漏洞特征库,然后利用该漏洞库,通过人工安全分析或者程序智能化识别。
2. 网络安全漏洞修补技术
补丁管理是一个系统的、周而复始的工作,主要由六个环节组成,分别是现状分析、补丁跟踪、补丁验证、补丁安装、应急处理和补丁检查。
3. 网络安全漏洞利用防范技术
主要针对漏洞触发利用的条件进行干扰或拦截,以防止攻击者成功利用漏洞
常见的网络安全漏洞利用防范技术
1||| 地址空间随机化技术。缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动,会以shell code地址来覆盖程序原有的返回地址。地址空间随机化(ASLR)就是通过对程序加载到内存的地址进行随机化处理,使得攻击者不能事先确定程序的返回地址值,从而降低攻击成功的概率。
2||| 数据执行阻正(DEP)。是指操作系统通过对特定的内存区域标注为非执行,使得代码不能够在指定的内存区域运行。利用DEP,可以有效地保护应用程序的堆栈区域,防止被攻击者利用。---比如设定100字节内存区域为“非自行”区域,代码只能在这个区域执行
3||| SEHOP。原理是防止攻击者利用Structured Exception Handler(SEH)重写。
4||| 堆栈保护。技术原理是通过设置堆栈完整性标记以检测函数调用返回地址是否被篡改,从而阻止攻击者利用缓冲区漏洞。
5||| 虚拟补丁。工作原理是对尚未进行漏洞永久补丁修复的目标系统程序,在不修改可执行程序的前提下,检测进入目标系统的网络流量而过滤掉漏洞攻击数据包,从而保护目标系统程序免受攻击。虚拟补丁通过入侵阻断、Web防火墙等相关技术来实现给目标系统程序“打补丁”,使得黑客无法利用漏洞进行攻击。
5. 网络安全漏洞防护主要产品与技术指
1. 网络安全漏洞扫描器
网络安全漏洞扫描器的产品技术原理是利用已公开的漏洞信息及特征,通过程序对目标系统进行自动化分析,以确认目标系统是否存在相应的安全漏洞。漏洞扫描器产品通常简称为“漏扫”。
漏洞扫描产品常见的技术指标
(1)漏洞扫描主机数量。
(2)漏洞扫描并发数。
(3)漏洞扫描速度。
(4)漏洞检测能力。
(5)数据库漏洞检查功能。
(6)Web应用漏洞检查功能。
(7)口令检查功能。
(8)标准兼容性。产品漏洞信息是否兼容CVE、CNNVD、CNVD、BugTraq等主流标准,并提供CVE兼容(CVECompatible)证书。
(9)部署环境难易程度。产品对部署环境要求的复杂程度,是否支持虚拟化VM平台部署。
2. 网络安全漏洞服务平台
网络安全漏洞防护网关:产品原理是通过从网络流量中提取和识别漏洞利用特征模式,阻止攻击者对目标系统的漏洞利用。常见产品的形式是IPS、Web防火墙(简称WAF)、统一威胁管理(UTM)等。
常见的技术指标
阻断安全漏洞攻击的种类与数量。
阻断安全漏洞攻击的准确率。
阻断安全漏洞攻击的性能。
