13-网络安全漏洞防护技术原理与应用

13.1 概述

1）概念

网络安全漏洞又称为脆弱性，简称漏洞。

漏洞一般是致使网络信息系统安全策略相冲突的缺陷，这种缺陷通常称为安全隐患。

安全漏洞的影响主要有机密性受损、完整性破坏、可用性降低、抗抵赖性缺失、可控制性下降、真实性不保等。

根据漏洞的补丁状况，可将漏洞分为普通漏洞和零日漏洞 (zero-day vulnerability)

零日漏洞（Zero-Day Vulnerability），又称零时差攻击，是指软件或系统中未被公开、未被厂商知晓的安全漏洞。这些漏洞在被发现后，往往立即被黑客利用进行攻击，而受害者由于无法及时获得补丁或修复方案，因此难以防范。零日漏洞的存在时间极短，从发现到被利用往往只有很短的时间窗口，这也是其得名的原因。

2）威胁

攻击者基于漏洞对网络系统安全构成的安全威胁主要有：感信息泄露、非授权访问身份假冒、拒绝服务。

3）现状

国际上已经出现安全漏洞地下交易市场，将重要的零日漏洞以高价出售。

针对安全漏洞问题的研究已成为网络安全的研究热点，主要研究工作包括漏洞信息搜集分析和网络安全威胁情报服务、漏洞度量、基于漏洞的攻击图自动化生成、漏洞利用自动化、漏洞发现等。

13.2 分类与管理

1）来源

网络信息系统的漏洞主要来自两个方面：

• 一方面是非技术性安全漏洞,涉及管理组织结构管理制度、管理流程、人员管理等

  • 网络安全责任主体不明确
  • 网络安全策略不完备
  • 网络安全操作技能不足
  • 网络安全监督缺失
  • 网络安全特权控制不完备

• 另一方面是技术性安全漏洞，主要涉及网络结构、通信协议、设备、软件产品、系统配置、应用系统等。

  • 设计出错
  • 输入验证错误
  • 缓冲区溢出
  • 意外情况处置错误
  • 访问验证错误
  • 配置错误
  • 竞争条件
  • 环境错误

2）分类

• CVE 漏洞分类
  • CVE ID：年份数字+其他数字，比如 CVE-2019-1543 为一个 Open SSL 安全漏洞编号
• CVSS（通用漏洞计分系统）：由基本度量计分、时序度量计分、环境度量计分组成。
  • 基本度量计分：由攻击向量、攻击复杂性、特权要求用户交互、完整性影响、保密性影响、可用性影响、影响范围等参数决定。
  • 时序度量计分：由漏洞利用代码成熟度、修补级别、漏洞报告可信度等参数决定。
  • 环境度量计分：由完整性要求、保密性要求、可用性要求、修订基本得分等决定。
    
• 我国漏洞分类
  • 国家信息安全漏洞库（CNNVD）：配置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SOL注入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任管理加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、访问控制错误和资料不足
  • 国家信息安全漏洞共享平台（CNVD）
    • CNVD 根据漏洞产生原因，将漏洞分为11种类型：输入验证错误、访问验证错误、意外情况处理错误数目、边界条件错误数目、配置错误、竞争条件、环境错误、设计错误、缓冲区错误、其他错误、未知错误。此外，CNVD 依据行业划分安全漏洞，主要分为行业漏洞和应用漏洞。行业漏洞包括：电信、移动互联网、工控系统；应用洞包括Web 应用、安全产品、应用程序、操作系统、数据库、网络设备等。在漏洞分级方面，将网络安全洞划分为高、中、低三种危害级别。
• OWASP TOP 10 漏洞分类
  • 主要的漏洞类型有注入、未验证的重定向和转发、失效的身份认证、XML 外部实体(XXE)、敏感信息泄露、失效的访问控制、安全配置错误、跨站脚本(XSS)、不安全的反序列化、使用含有已知漏洞的组件、不足的日志记录和监控、非安全加密存储。

3）发布

发布内容一般包括：漏洞编号、发布日期、安全危害级别、漏洞名称、漏洞影响平台、漏洞解决建议等。

4）获取

漏洞来源：

• 网络安全应急响应机构
• 网络安全厂商
• IT 产品或系统供应商
• 网络安全组织

CERT、Security Focus Vulnerability Database、CNNVD、CNVD

5）管理过程

网络信息系统资产确认

信息采集

漏洞评估

漏洞消除和控制

漏洞变化跟踪

13.3 技术与应用

1）网络安全漏洞扫描

2）网络安全漏洞扫描应用

13.4 网络安全漏洞处置技术与应用

1）发现技术

漏洞发现技术主要有文本搜索、词法分析、范围检查、状态机检査、错误注入、模糊测试、动态污点分析、形式化验证等。

2）修补技术

补丁管理是一个系统的、周而复始的工作，主要由六个环节组成，分别是现状分析、补丁跟踪、补丁验证、补丁安装、应急处理和补丁检查。

3）防范技术

地址空间随机化技术

数据执行阻止（data execution prevention，DEP）

SEHOP（structured exception handler overwrite protection）:即结构化异常处理程序覆盖保护，是Windows操作系统中的一种安全机制，旨在防御针对覆盖Windows结构化异常处理程序的漏洞利用技术。

堆栈保护

虚拟补丁：通过入侵阻断、Web防火墙等相关技术来实现给目标系统程序“打补丁”

13.5 产品与技术指标

1）扫描器

常见技术指标：

• 漏洞扫描主机数量
• 并发数
• 速度
• 检测能力
• 检查功能
• web应用漏洞检查功能
• 口令检查功能
• 标准兼容性
• 部署环境难易程度

2）服务平台

3）防护网关

IPS（intrusion prevention system）

web 防火墙（WAF）

统一威胁管理（UTM）

常见技术指标：

• 阻断安全漏洞攻击的种类和数量
• 阻断安全漏洞攻击的准确率
• 阻断安全漏洞攻击的性能
• 支持网络带宽的能力