信息安全:网络安全漏洞防护技术原理与应用.

news2024/11/24 10:27:51

信息安全:网络安全漏洞防护技术原理与应用.

网络安全漏洞又称为脆弱性,简称漏洞。漏洞一般是致使网络信息系统安全策略相冲突的缺陷,这种缺陷通常称为安全隐患。

安全漏洞的影响主要有机密性受损、完整性破坏、可用性降低、抗抵赖性缺失、可控制性下降、真实性不保等。

根据漏洞的补丁状况,可将漏洞分为普通漏洞和零日漏洞 。


目录

网络安全漏洞概述:

(1)网络安全漏洞威胁:

(2)网络安全漏洞问题现状:

网络安全漏洞分类与管理:

(1)网络安全漏洞来源:

(2)网络安全漏洞分类:

(3)网络安全漏洞发布:

(4)网络安全漏洞信息获取:

(5)网络安全漏洞管理过程:

网络安全淜洞扫描技术与应用:

(1)网络安全湍洞扫描:

网络安全漏洞处置技术与应用:

(1)网络安全漏洞发现技术:

(2)网络安全漏洞修补技术:

(3)网络安全漏洞利用防范技术:

网络安全漏洞防护主要产品与技术指标:

(1)网络安全漏洞扫描器:

(2)网络安全漏洞服务平台:

(3)网络安全漏洞防护网关:    


网络安全漏洞概述:

(1)网络安全漏洞威胁:

攻击者基于漏洞对网络系统安全构成的安全威胁主要有敏感信息泄露、非授权访问、 身份假冒、拒绝服务

漏洞时刻威胁着网络系统的安全,要实现网络系统安全,关键问题之一就是解决漏洞问题,包括漏洞检测、漏洞修补、漏洞预防等。


(2)网络安全漏洞问题现状:

网络信息系统的产品漏洞已是普遍性的安全问题

目前,我国相关部门针对安全漏洞管理问题,建立起国家信息安全漏洞库 CNNVD 、国家信息安全漏洞共享平台 CNVD,制定和颁发了一系列漏洞标准规范,主要有《信息安全技术安全漏洞分类 (GB/T 33561 2017) 》《信息安全技术安全漏洞等级划分指南 (GB/T30279 2013) 《信息安全技术安全漏洞标识与描述规范 (GB/T 28458—2012) 》 《信息安全技术信息安全漏洞管理规范 (GB/T 30276 2013)》

网络安全漏洞分类与管理:

(1)网络安全漏洞来源:

网络信息系统的漏洞主要来自两个方面: 方面是非技术性安全 漏洞,涉及管理组织结构、管理制度、管理流程、人员管理等;另一方面是技术性安全漏洞,主要涉及网络结构、通信协议、设备、软件产品、系统配置、应用系统等。

(2)网络安全漏洞分类:

1. CVE 漏洞分类:
   
CVE 是由美国 MITRE 公司建设和维护的安全漏洞字典。 CVE 给出已经公开的安全漏洞的统一标识和规范化描述,其目标是便于共享漏洞数据

2. cvss 漏洞分级标准 :

CVSS 是一个通用漏洞计分系统,分数计算依据由基本度量计分、时序度掀计分、环境度 量计分组成
  
基本度量计分由攻击向量、攻击复杂性、特权要求、用户交互、完整性影响、保密性影响、可用性影响、影响范围等参数决定
  
时序度量计分漏洞利用代码成熟度、修补级别、漏洞报告可信度等参数决定
   
环境度量计分完整性要求、保密性要求、可用性要求、修订基本得分等决定。

3. 我国信息安全漏洞分类:

国家信息安全漏洞库 (CNNVD) 漏洞分类:
   
CNNVD 将信息安全漏洞划分为:配置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SQL 注入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任管理、 加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、访问控制错误和资料不足。
   

国家信息安全漏洞共享平台 (CNVI)) 漏洞分类:

CNVD 根据漏洞产生原因,将漏洞分为 11 种类型:输入验证错误、访问验证错误、意外情况处理错误数目、边界条件错误数目、配置错误、竞争条件、环境错误、设计错误、缓冲区错误、其他错误、未知错误。

OWASP TOP 10 漏洞分类:
   
OW ASP (Open Web Application Security Program) 组织发布了有关 Web 应用程序的前十种安全漏洞。

(3)网络安全漏洞发布:

安全漏洞发布一 般由软硬件开发商、安全组织、黑客或用户来进行
    
漏洞发布方式主要有 种形式:网站、电子邮件以及安全论坛
   
漏洞信息公布内容一般包括:漏洞编号、发布日期、安全危害级别、漏洞名称、漏洞影响平台、漏洞解决建议等

(4)网络安全漏洞信息获取:

国内外漏洞信息来源主要有四个方面: 一是网络安全应急响应机构;二是网络安全厂商;三是 IT 产品或系统提供商;四是网络安全组织
   
1. CERT :
    
世界上第一个计算机安全应急响应组织。

2. Security Focus Vulnerability

Security Focus Vulnerability Database 是由 Security Focus 公司开发维护的漏洞信息库, 它将许多原本零零散散的、与计算机安全相关的讨论结果加以结构化整理,组成了一个数据库。

3. 国家信息安全漏洞库 CNNVD

CNNVD 是中国信息安全测评中心(以下简称“测评中心”)为切实履行漏洞分析和风险评估职能,负责建设运维的国家级信息安全漏洞数据管理平台,旨在为国家信息安全保障提供服务。

4. 国家信息安全漏洞共享平台 CNVD

国家信息安全漏洞共享平台 (CNVD) 是由国家计算机网络应急技术处理协调中心联合国内重要的信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。

5. 厂商漏洞信息

厂商漏洞信息是由厂商自己公布的其生产产品的安全漏洞信息。


(5)网络安全漏洞管理过程:

1. 网络信息系统资产确认对网络信息系统中的资产进行摸底调查,建立信息资产档案。

2. 网络安全漏洞信息采集利用安全漏洞工具或人工方法收集整理信息系统的资产安全漏洞相关信息,包括安全漏洞类型、当前补丁级别、所影响到的资产。

3. 网络安全漏洞评估网络安全漏洞安全威胁量化评估方法可使用国际上较为通用的 CVSS,CVSS 漏洞计分最高为 10 分,漏洞的 CVSS 分数越高表示漏洞的安全威胁越高。

4. 网络安全漏洞消除和控制常见的消除和控制网络安全漏洞的方法是安装补丁包、升级系统、更新IPS IDS 的特征库、变更管理流程。

5. 网络安全漏洞变化跟踪安全管理员必须设法跟踪漏洞状态,持续修补信息系统中的漏洞。


网络安全淜洞扫描技术与应用:

(1)网络安全湍洞扫描:

网络安全漏洞扫描是一种用于检测系统中漏洞的技术,是具有漏洞扫描功能的软件或设备,简称为漏洞扫描器。漏洞扫描器通过远程或本地检查系统是否存在已知漏洞。漏洞扫描器一般包括用户界面、扫描引擎、漏洞扫描结果分析、漏洞信息及配置参数库等主要功能模块,具体模块功能介绍如下:
   
用户界面用户界面接受并处理用户输入、定制扫描策略、开始和终止扫描操作、分析扫描结果报告等。同时,显示系统扫描器 作状态。

扫描引擎扫描引擎响应处理用户界面操作指令,读取扫描策略及执行扫描任务,保存扫描结果。
  
漏洞扫描结果分析读取扫描结果信息,形成扫描报告。  
   
漏洞信息及配置参数库漏洞信息及配置参数库保存和管理网络安全漏洞信息,配置扫描策略,提供安全漏洞相关数据查询和管理功能。

漏洞扫描器主要分为三种,即主机漏洞扫描器、网络漏洞扫描器、专用漏洞扫描器

主机漏洞扫描器:

不需要通过建立网络接就可以进行,其技术原理一般是通过检查本地系统中关键性文件的内容及安全属性,来发现漏洞,如配置不当、用户弱口令、有漏洞的软件版本等。主机漏洞扫描器的运行与目标系统在同一主机上,并且只能进行单机检测

网络漏洞扫描器:
  
技术原理是通过与待扫描的目标机建立网络连接后,发送特定网络请求进行漏洞检查。网络漏洞扫描器与主机漏洞扫描的区别在千,网络漏洞扫描器需要与被扫描目标建立网络连接。网络漏洞扫描器便千远程检查联网的目标系统。但是,网络漏洞扫描器由于没有目标系统的本地访问权限,只能获得有限的目标信息,检查能力受限于各种网络服务中的漏洞检查,如 Web FTP Telnet SSH POP3 SMTP SNMP 等。
   
专用漏洞扫描器:
    
专用漏洞扫描器是主要针对特定系统的安全漏洞检查工具,如数据库漏洞扫描器、网络设备漏洞扫描器、 Web 漏洞扫描器、工控漏洞扫描器。

网络安全漏洞处置技术与应用:

(1)网络安全漏洞发现技术:

网络安全漏洞的发现方法主要依赖于:人工安全性分析、工具自动化检测及人工智能辅助分析。安全漏洞发现的通常方法是将已发现的安全漏洞进行总结,形成 个漏洞特征库,然后利用该漏洞库,通过人工安全分析或者程序智能化识别。
    
漏洞发现技术主要有:文本搜索、词法分析、范围检查、状态机检查、错误注入、模糊测试、动态污点分析、形式化验证等。

(2)网络安全漏洞修补技术:

补丁管理是一个系统的、周而复始的工作, 主要由六个环节组成,分别是现状分析、补丁跟踪、补丁验证、补丁安装、应急处理和补丁检查。

(3)网络安全漏洞利用防范技术:

网络安全漏洞利用防范技术主要针对漏洞触发利用的条件进行干扰或拦截,以防止攻击者成功利用漏洞。
   
(1)地址空间随机化技术:
   
缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动,会以 shellcode 地址来覆盖程序原有的返回地址。地址空间随机化 (Address Space Layout Randomization, ASLR) 就是通过对程序加载到内存的地址进行随机化处理,使得攻击者不能事先确定程序的返回地址值,从而降低攻击成功的概率
    
(2)数据执行阻止:
   
数据执行阻止 (Data Execution Prevention, DEP) 是指操作系统通过对特定的内存区域标注为非执行,使得代码不能够在指定的内存区域运行。利用 DEP, 可以有效地保护应用程序的堆栈区域,防止被攻击者利用。
(3)SEHOP
    
原理是防止攻击者利用 Structured Exception Handler (SEH) 重写
    
(4)堆栈保护
   
堆栈保护 (Stack Protection) 的技术原理是通过设置堆栈完整性标记以检测函数调用返回地址是否被篡改,从而阻止攻击者利用缓冲区漏洞。
   
(5)虚拟补丁
    
虚拟补丁的工作原理是对尚未进行漏洞永久补丁修复的目标系统程序,在不修改可执行程序的前提下,检测进入目标系统的网络流量而过滤掉漏洞攻击数据包,从而保护目标系统程序免受攻击。虚拟补丁通过入侵阻断、 Web 防火墙等相关技术来实现给目标系统程序“打补丁”, 使得黑客无法利用漏洞进行攻击。

网络安全漏洞防护主要产品与技术指标:

(1)网络安全漏洞扫描器:

网络安全漏洞扫描器的产品技术原理是利用已公开的漏洞信息及特征,通过程序对目标系统进行自动化分析,以确认目标系统是否存在相应的安全漏洞。
   
漏洞扫描器既是攻击者的有力工具,又是防守者的必备工具。利用漏洞扫描器可以自动检查信息系统的漏洞,以便及时消除安全隐患。
   
网络安全漏洞扫描产品常见的技术指标阐述如下:
    
1. 漏洞扫描主机数量产品扫描主机的数量,有无 1P 或域名限制。
   
2. 漏洞扫描并发数产品支持并发扫描任务的数量。
    
3. 漏洞扫描速度产品在单位时间内完成扫描漏洞任务的效率。
   
4. 漏洞检测能力产品检查漏洞的数量和类型,提供的漏洞知识库中是否覆盖主流操作系统、数据库、网络设备。
   
5.  数据库漏洞检查功能对 Oracle,MySQL,MS SQL,DB2,Sybase,PostgreSQL,Mongo DB 等数据库漏洞检查的支持程度。
   
6. Web 应用漏洞检查功能SQL 注入、跨站脚本、网站挂马、网页木马、 CGI 漏洞等的检查能力。
   
7. 口令检查功能产品支持的口令猜测方式类型,常见的口令猜测方式是利用 SMB Telnet FTP SSH POP3 Tomcat SQL Server MySQL Oracle Sybase DB2 SNMP 进行口令猜测。是否支持外挂用户提供的用户名字典、密码字典和用户名密码组合字典。
 
8. 标准兼容性:产品漏洞信息是否兼容 CVE CNNVD CNVD BugTraq 等主流标准,并提供 CVE 兼容 (CVE Compatible) 证书。
   
9. 部署环境难易程度产品对部署环境要求的复杂程度,是否支待虚拟化 VM 平台部署。

(2)网络安全漏洞服务平台:

网络安全产业界推出漏洞相关的产品与服务,如漏洞盒子、补天漏洞响应平台、网络威胁情报服等.


(3)网络安全漏洞防护网关:    

从网络流量中提取和识别漏洞利用特征模式 止攻击者对目标系统的漏洞利用。
    
常见产品的形式是 IPS , Web 防火墙(简称 WAF) 、统一 威胁管理 (UTM) 等.
  
   
   
   
  
  
学习书籍:信息安全工程师教程.

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1043373.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

中睿天下精彩亮相2023国家网络安全宣传周河南省活动

9月11日,2023年国家网络安全宣传周河南省活动正式拉开帷幕,开幕式在八朝古都开封举行。中睿天下受邀参与本次盛会并亮相网络安全产品展,重点展示在网络安全攻击溯源领域的前沿技术、创新方案及实践应用,为与会嘉宾带来了一场独具优…

STL算术生成和集合算法

目录 算术生成算法accumulate 算术生成算法file 常用集合算法 常用集合算法 常用集合算法set_difference 算术生成算法accumulate 算术生成算法属于小型算法&#xff0c;使用时包含的头文件为 include <numeric> accumulate(iterator beg, iterator end, value); …

13:STM32----PWR

目录 一:PWR 1:简历 2:电源框图 3:低功耗模式 4:模式选择 5:低功耗模式注意事项 A:睡眠模式 B:停止模式 C:待机模式 二 : 案例 A:修改主频 1:连接图 2:代码 B:睡眠模式串口发送接收 1:连接图 2:代码 C:停止模式对射式红外传感器计次 1:连接图 2:函数介绍​…

C++入门(前言、命名空间、缺省参数、重载)

该篇博客主要讲述关于C发展前言&#xff0c;以及C祖师爷对C进行改造提升后的新语法进行解释说明&#xff0c;具体内容为&#xff1a;发展历程、命名空间、输入\输出、缺省参数、函数的重载 目录 文章目录 前言 1.什么是C 2.C的发展史 3.关于C的学习 一、关于命名空间 1.含义 2.…

JMeter测试Web服务

Web服务简介 什么是Web服务 【Web服务】即Web Service。Web服务是一种服务导向架构的技术&#xff0c;通过标准的Web协议提供服务&#xff0c;目的是保证不同平台的应用服务可以互操作。根据W3C的定义&#xff0c;Web服务&#xff08;Web service&#xff09;应当是一个软件系统…

ElasticSearch - 基于 “黑马旅游” 案例,实现搜索框、分页、条件过滤、附近酒店、广告置顶功能

目录 一、黑马旅游案例 1.1、实现 搜索框 和 分页 功能 1.1.1、需求分析 a&#xff09;首先搜索框需求 b&#xff09;分页需求 1.1.2、定义实体类 1.1.2、定义 controller 1.1.3、注入 RestHighLevelClient 1.1.4、实现 IHotelService 接口的 search 方法 1.1.5、功能…

【OLSR路由协议】链路状态路由(OLSR)协议中选择多点中继节点算法研究(Matlab代码实现)

&#x1f4a5;&#x1f4a5;&#x1f49e;&#x1f49e;欢迎来到本博客❤️❤️&#x1f4a5;&#x1f4a5; &#x1f3c6;博主优势&#xff1a;&#x1f31e;&#x1f31e;&#x1f31e;博客内容尽量做到思维缜密&#xff0c;逻辑清晰&#xff0c;为了方便读者。 ⛳️座右铭&a…

AIGC 绘画Stable Diffusion工具的安装与使用

我们先让ChatGPT来帮我们回答一下,什么是Stable Diffusion Stable Diffusion 是一种基于概率模型的图像生成技术。它通过对图像空间中每个像素的颜色值进行推断,从而生成具有高度真实感和细节的图像。 Stable Diffusion 使用一种称为扩散过程的方法来生成图像。在生成过程中…

Gd-DOTA,CAS:72573-82-1,钆特酸

产品简介&#xff1a;螯合剂是金属原子或离头子与樤含有两个或连两个以上配位原子的配位体作用&#xff0c;生成具有环状结构的络合物&#xff0c;该络合物叫做螯合物。能生成螯合物的这种配体物质叫螯合剂&#xff0c;也成为络合剂。 CAS号&#xff1a;72573-82-1 中文名&am…

基于VR元宇宙技术搭建林业生态模拟仿真教学系统

随着科技的飞速发展&#xff0c;教学方式也正在经历着巨大的变革。林业经济学元宇宙虚拟教学系统作为一种新兴的教学方式&#xff0c;为学生和教师提供了一个全新的、沉浸式的学习和教学环境。 森林管理和监测 元宇宙技术可以用于森林管理和监测。通过无人机、传感器和虚拟现实…

缓冲区溢出漏洞分析

一、实验目的 熟悉软件安全需求分析方法&#xff0c;掌握软件安全分析技术。 二、实验软硬件要求 1、操作系统&#xff1a;windows 7/8/10等 2、开发环境&#xff1a;VS 6.0&#xff08;C&#xff09;、OllyDbg 三、实验预习 《软件安全技术》教材第3章 四、实验内容&#…

中间相遇法(分治类问题非等大分治的平衡做法)

分治&#xff0c;如果分成两半大小不一样&#xff0c;很容易被卡到 O ( n 2 ) O(n^2) O(n2) 在某些题目中&#xff0c;利用中间相遇法&#xff0c;我们可以优化这个过程 其优化的前提是分治的大头在找分界点 复杂度不用证&#xff0c;很好理解吧 这层找地越久&#xff0c;下…

常识判断 --- 科技常识

目录 力与热 光和声 航空成就 垃圾分类 百科知识 血型 二十四节气歌 春雨惊春清谷天 夏满忙夏暑相连 秋处露秋寒霜降 冬雪雪冬小大寒 力与热 光和声 航空成就 垃圾分类 百科知识 血型

机器人中的数值优化|【四】L-BFGS理论推导与延伸

机器人中的数值优化|【四】L-BFGS理论推导与延伸 往期内容回顾 机器人中的数值优化|【一】数值优化基础 机器人中的数值优化|【二】最速下降法&#xff0c;可行牛顿法的python实现&#xff0c;以Rosenbrock function为例 机器人中的数值优化|【三】无约束优化&#xff0c;拟牛…

丰田的国际化与转型困境:对中国车企的欧洲策略启示

摘要&#xff1a;欧洲市场的消费者汽车偏好多样,中国车企进军欧洲时,需考虑产品设计和当地法规。回顾历史,丰田汽车通过其独特管理理念,在美国从廉价品牌形象成功转型为高质量、受信赖的全球品牌。但进入电动汽车时代&#xff0c;日本车企因深度共生的传统供应链而转型坎坷。中…

如何使用ES6+特性进行现代前端开发?

聚沙成塔每天进步一点点 ⭐ 专栏简介⭐ 使用ES6 特性进行现代前端开发1. 使用 let 和 const2. 使用箭头函数3. 使用模板字符串4. 使用解构赋值5. 使用类和模块6. 使用扩展运算符和剩余参数7. 异步编程8. 使用模块打包工具9. 使用现代浏览器 ⭐ 写在最后 ⭐ 专栏简介 前端入门之…

ChatGPT推出全新功能,引发人工智能合成声音担忧|百能云芯

人工智能AI科技企业OpenAI公司25日宣布&#xff0c;其聊天应用程序ChatGPT如今具备「看、听、说」能力&#xff0c;至少能够理解口语、用合成语音回应并且处理图像&#xff1b;但专家忧心&#xff0c;以假乱真与深度伪造的乱象可能变本加厉。 国家广播公司新闻网(NBC News)报导…

1.算法——数据结构学习

算法是解决特定问题求解步骤的描述。 从1加到100的结果 # include <stdio.h> int main(){ int i, sum 0, n 100; // 执行1次for(i 1; i < n; i){ // 执行n 1次sum sum i; // 执行n次} printf("%d", sum); // 执行1次return 0; }高斯求和…

孙哥Spring源码第26集

第26集、AnnotationAwareAspectJAutoProxyCreator源码 【视频来源于&#xff1a;B站up主孙帅suns Spring源码视频】【微信号&#xff1a;suns45】 26.1、postProcessAfterInitialization分析 26.2、wrapIfNecessary分析 26.3、createProxy分析 26.4、getProxy 26.5、BeanPost…

xxl-job分布式调度框架

课程目标 1、 掌握xxl-job部署以及开发的方式 2、 掌握xxl-job特性以及架构设计 3、 掌握xxl-job运行原理 内容定位 适合已经掌握了Quartz的同学 quartz这节课是本节课的基础&#xff0c;这个要求大家一定掌握&#xff0c;因为xxl-job早期就是使用quartz改造的&#xff0…