会员中心
用户名:
密 码:
 
  忘记密码
通信管理
基于安全风险评估的自动化漏洞分析方法研究
文章来源:本站原创  发布时间:2014-10-31  浏览次数:655
作者:李  慧     
(中国移动通信集团辽宁有限公司,110179)
摘 要:通过构建基于安全风险评估的自动化漏洞分析平台,对各种类型的业务系统和设备进行漏洞预警、漏洞检测、风险管理、漏洞修复进行全方位的管理。进行系统安全项配置核查、安全域划分、系统漏洞及存在的安全威胁等问题深入跟踪和分析,并完成安全风险进行安全评估。本研究创新使用基于用户行为模式的管理架构,使用高效、智能的漏洞识别技术,使用Web应用扫描模块,实现漏洞和安全风险的多维度、细粒度的统计分析。最大程度地保证业务支撑系统信息安全,提升安全管理水平和安全防范能力。
关键字:安全风险评估 漏洞分析
1.背景
      业务支撑系统是移动核心生产系统,是其业务正常营运、发展的重要保证。随着时代的发展,业务支撑网中各系统也发生着一些变化,随着合作伙伴不断扩大,网络开放性越来越强,业务支撑系统其所受到攻击的途径、方式也越来越多;随着通信技术与IT技术的不断融合,系统的复杂性增加,所面临的风险也越来越大;并且增值业务所占业务比例不断扩大,增值业务大多依赖IT技术提供,并且还与众多合作伙伴网络相连,客户还可以使用多种终端(如计算机、手机等)、多种途径进行访问。运营商从仅提供逻辑通信信道开始向用户提供各种信息服务。随着黑客知识、技术、工具的 不断泛滥,以及许多IT技术存在的可被利用的脆弱性,信息安全形势日益严峻,如何有效地保障网络信息系统的安全、保障业务的连续性已成为各个运营商期待解决的问题。
      通过对业务支撑系统全网资产信息及网络架构进行梳理分析,统计表明,19.4%的攻击来自于利用管理配置错误,而利用已知的一个系统漏洞入侵成功的占到了15.3%。上述各业务系统都具有独立的安全管理机制和安全项配置,而全省各类管理员只有5名,随着系统规模的不断扩大及用户数量的增加,人工进行设备漏洞的排查这种传统管理方式处理效率低,容易产生遗漏从而为系统埋下安全隐患。此外,由于缺乏有效的技术手段,各设备的安全策略无法有效地按照管理规定进行落实,容易导致用户机密信息泄露、黑客攻击、蠕虫病毒传播等安全事件频发,对内网安全提出新的挑战。为充分了解业务支撑系统安全现状,及时发现业务系统中存在的安全威胁,本研究中建设基于安全风险评估的自动化漏洞分析平台,来确保完成业务系统的安全评估和加固,从而较好的控制安全风险,解决现存的安全问题。
2.自动化漏洞分析平台
      基于安全风险评估的自动化漏洞分析平台采用高效、智能的漏洞识别技术,第一时间主动对网络中的资产进行细致深入的漏洞检测、分析,并提出专业、有效的漏洞防护整改建议。该平台图1基于Web的管理方式,用户使用浏览器通过SSL加密通道和系统Web界面模块进行交互,平台内部采用模块化设计。
      自动化漏洞分析平台主要对业务系统当前安全措施、安全域划分情况、现有网络、设备及系统中存在的安全威胁等问题进行跟踪和分析【1-6】,对评估范围内的主机和网络设备进行安全评估,检测当前主机、网络设备中存在的漏洞,发现网络系统中的薄弱环节,进行网络及漏洞整改、系统安全加固,最大程度地保证网络安全,使业务系统的安全管理水平和安全防范能力得到提升。
3.多系统间协同技术整合通道
      平台基于 “漏洞管理”工作流程,把漏洞管理的循环过程划分为漏洞预警、漏洞检测、风险管理、漏洞修复、漏洞审计五个阶段。
3.1漏洞预警
      平台能够提供对系统漏洞发现、验证和提供应急响应服务的能力,对重要漏洞进行及时预警,对发现的网络资产的安全漏洞进行详细分析并采用权威的风险评估模型将风险量化,并给出具体解决方案。
3.2漏洞检测
      依靠强劲的底层扫描引擎,通过信息重整化技术、开放端口服务的智能识别、检测规则依赖关系的自动扫描等技术的运用,再加上准确的漏洞检测规则,平台拥有较高的准确性、扫描速度和覆盖度。
3.3风险管理
      平台采用“风险管理”模块对网络风险进行全方位管理和分析,管理员通过此模块可以对所有信息资产设备进行资产风险管理。对大规模网络用户,网络资产繁多,IP地址记忆非常繁琐,通过资产管理与用户组织结构或网络拓扑结构的紧密结合,以规范的命名方式统一对网络资产进行管理。风险管理模块的使用,方便掌握系统风险分布情况、定位风险和高效实施风险降低或规避措施。
3.4漏洞修复
      平台设计初期考虑到漏洞修复问题,在实现中提供了多种二次开发接口供漏洞修复产品或补丁管理产品使用,方便及时集中对资产漏洞进行修复。
3.5漏洞审计
      为确保在实际的漏洞修复过程中能够确认漏洞是否真正修复,平台提供了漏洞审计功能,能够通过发送邮件的方式来督促相应的资产管理员对漏洞进行修复,同时启动自动的定时任务对漏洞进行审计,提高了管理人员手工验证漏洞是否修复的效率。
4.多系统间协同技术整合通道
4.1 基于用户行为模式的管理架构
      平台具有“一键式”智能任务模式、快速结果报表、智能摘要技术等,最大限度的满足了易用性和高效性的需求。并且采用B/S管理架构,能够以SSL加密通讯方式通过浏览器来远程进行管理。平台能够保证任务的周期性自动处理,具体任务包括:评估任务下发、扫描结果自动分析、处理和发送、系统检测插件的自动升级等。同时,平台支持多用户管理模式,能够对用户的权限做出严格的限制,通过权限的划分可以实现一台设备多人的虚拟多机管理,并且提供了登录、操作和异常等日志审计功能,方便用户对系统的审计和控制。
4.2高效、智能的漏洞识别技术
      平台采用采用多种技术通过不同途径收集目标系统的多种信息,这些信息就是目标系统的Profile,在进行漏洞评估过程中,Profile不断地对中间的结果数据进行调整,保障了最后评估结果的准确性。通过开放端口服务的智能识别、检测规则依赖关系的自动扫描等技术的运用,再加上准确的漏洞检测规则,平台在检测速度和检测准确性之间找到了最佳的平衡点。平台加载全部检测规则,对同样的目标系统进行检测时,能保证误报率低于1%。
4.3集成专业的Web应用扫描模块
      平台应用扫描模块,是专门面向 Web 应用安全管理员进行专业安全评估及检测的自动化工具。通过传统系统扫描功能与Web应用扫描功能相结合,实现了一机多用的方式。模拟点击智能爬虫技术、主动挂马检测技术等多种先进技术手段,为Web应用安全管理员提供专业的应用安全检测工具;平台提供Web应用、Web?服务及支撑系统等多层次全方位的各种类型安全漏洞扫描、审计、渗透测试和辅助逻辑分析,全面发现各类安全隐患,提出针对性的修复建议;通过嵌入式安全操作系统、优化的扫描引擎以及高效智能爬虫技术,能够快速的对目标Web应用系统进行细粒度分析。
4.4基于实践的风险管理及展示
      平台将资产、漏洞和威胁紧密结合,提供了图形化的资产管理方式,并通过可量化的模型呈现,能够对网络中存在的风险有一个整体、直观的认识,做到真正意义上的风险量化。
在每次安全评估之前,需要业务系统确定需要进行评估的资产,并且划分资产的重要性。平台会自动在其内部对目标评估系统建立基于时间和基于风险等多种安全评估模型。在对目标完成评估之后,模型输出的结果数据不但有定性的趋势分析,而且有定量的风险分析,用户能够清楚地看到单个资产、整个网络的资产存在的风险,还能够看到网络中漏洞的分布情况、风险级别排名较高的资产、不同操作系统和不同应用漏洞分布等详细统计信息,用户能够很直观地了解自己网络安全状况。
4.5多维、细粒度的统计分析
      为方便使用平台提供强大的在线报表系统,能够生成基于不同角色、不同内容和不同格式的报表。宏观上,从多个视角深刻反映网络的整体安全状况,对漏洞分布、危害、主机信息等多视角信息进行了细粒度的统计分析,并通过柱状图、饼图等形式,直观、清晰的从总体上反映了网络资产的漏洞分布情况;微观上,对检测到的每个漏洞都提供了详细的解决方案,使得管理员可以快速准确地解决各种安全问题,同时支持用户自己输入关键字进行相关信息的检索,以便用户能够具体了解某台主机或者某个漏洞的详细信息。
此外平台从多个视角深刻反映网络的整体安全状况,还提供“历史数据搜索”与任意扫描任务之间的“汇总查看”和“对比分析”功能,不仅对单个扫描任务的漏洞分布、危害等进行了统计分析,还对多个扫描过程进行综合的风险变化和安全对比评定,为网络安全状况的评定和未来网络建设提供了强有力的决策支持。
5.结论
      本研究应用建设完成的时间里,各方面效益得到很大提高。信息安全风险存在于组织所采用的IT技术、环境、组织管理、人员、信息基础设施等各个方面,且随着威胁因素、组织业务流程的不断发展变化,风险也处在不断变化之中,只有通过风险评估,才能准确的掌握组织的风险状况。因此本研究中的漏洞分析平台能够客观、充分、准确的把握业务支撑系统面临的潜在风险,通过有针对性的安全加固措施,加强了系统自身的安全性,降低业务支撑系统的安全风险,确保客户信息的安全。
参考文献
[1]Harney H,Muckenhim C. Group key management protocol (GKMP) architecture[S]. RFC2094,IETF,July 1997.
[2]Wong C.K,Gouda, Lam S. Secure group communications using key graphs[A]. Proc. of ACM SIGCOM98[C],ACM, 1998: 68-79.
[3]Balenson D, McGrew D, Sherman A. Key management for large dynamic groups: one-way function trees and amortized initialization[Z]. IRTF, August 2000. draft-irtf-smug-groupkeymgmt-oft-00.txt
[4]Konstantinou E. Cluster-based group agreement for wireless ad hoc networks. Availability, Reliability and Security,2008,ARES 08.Third International Conference on 4-7 March 2008 Page(s):550-557
[5]Steiner M, Tsudik G, Waidner M. Diffie-Hellman key distribution extended to group communication. Proceedings of 3rd ACM Conference on Computer and Communications Security-CCS’96, ACM Press, 1996:31-37.
[6]Burmester M, Desmedt Y. A secure and efficient conference key distribution system.// Advances in Cryptology-EUROCRYPT 1994.Lecture Notes in Computer Science Vol, 950, Berlin: Springer-Verlag, 1994: 275-286.
网站首页 关于我们免责声明联系我们
版权所有:辽宁省通信学会  备案号:辽ICP备11005629
联系电话:024-22517766  地址:沈阳市沈河区北站路72号


网站建设:恒昊互联网络