榕基漏洞扫描技术白皮书.doc

-
. z.
榕 基 网 络 隐 患 扫 描 系 统
技 术 白 皮 书
榕基软件开发
说 明
本白皮书中的信息是为方便用户了解我公司产品而编写和印刷的，榕基软件开发对本书中略实施的，企业平安策略为平安管理提供管理方向和支持手段。对于一个策略体系的建立包括：平安策略的制订、平安策略的评估、平安策略的执行等。
保护〔Protection〕：保护包括传统平安概念的继承，用加解密技术、访问控制技术、数字签名等技术，从数据静态存储、授权使用、可验证的信息交换过程等方面到对数据及其网上操作等加以保护。
检测〔Detection〕：检测的含义是，对信息传输容的可控性检测，对信息平台访问过程的甄别检测，对违规与恶意攻击的检测，对系统与网络漏洞的检测等。检测使信息平安环境从单纯的被动防护演进到在对整体平安状态认知根底上的有针对性的对策，并为进展及时有效的平安响应以及更加准确的平安评估奠定了根底。
响应〔Response〕：在复杂的信息环境中，保证在任何时候信息平台能高效正常运行，要求平安体系提供有力的响应机制。这包括在遇到攻击和紧急事件时及时采取措施，例如关闭受到攻击的效劳器；还击进展攻击的；按系统的重要性加强和调整平安措施等等。
-
. z.
P2DR平安模型在整体平安策略Policy的控制和指导下，综合运用防护工具Protection〔如防火墙、加密机、防病毒等手段〕的同时，利用检测工具Detection〔如隐患扫描、入侵检测等〕了解和评估系统的平安状态，通过适当的平安响应Response将系统调整到“最平安〞和“风险最低〞的状态，构成一个动态自适应的综合防体系。
网络隐患扫描系统的必要性
网络隐患扫描产品使用方便，简单高效，能够准确发现网络中各主机、设备存在的网络平安漏洞，并给出详细的描述和解决方案，从根本解决网络平安问题，起着评估整个系统平安的重要作用，是一个完整的平安解决方案中的一个关键局部。
让我们来看看现阶段网络上使用最多的平安设备防火墙和入侵检测。为了确保网络的平安使用，研究它们的局限性十分必要。
防火墙的局限性
防火墙是不同网络或网络平安域之间信息的唯一出入口，能根据我们的平安政策控制〔允许、拒绝、监测〕出入网络的信息流。我们认为防火墙是必要的，因为它能挡住绝大局部来自外部网络的攻击，但是它也存在很大的局限性：
〔1〕、防火墙不能防不经过防火墙的攻击〔如拨号上网等〕。
〔2〕、不能解决来自部网络的攻击和平安问题。
〔3〕、对效劳器合法开放的端口的攻击大多无法阻止。
〔4〕、无法解决TCP/IP等协议本身的漏洞。
〔5〕、不能防止本身平安漏洞的威胁。防火墙也是一个操作系统，也有着其硬件系统和软件，因此依然有着漏洞。所以其本身也可能受到攻击。
-
. z.
一般防火墙都只是在网络层过滤，对应用层数据包的检测较少，特别指出防火墙对网用户发起的连接根本不加检测，现在的黑客也专门针对这点开发了一系列渗透技术，如端口反弹和HTTP tunnel等技术。
入侵检测系统的局限性
入侵检测系统〔IDS〕好比网络中不连续的摄像机，通过旁路监听的方式不连续的收取网络数据，判断其中是否含有攻击的企图，通过各种手段向管理员报警、执行响应。不但可以发现从外部的攻击，也可以发现部的恶意行为。所以说入侵检测是网络平安的第二道闸门，是防火墙的必要补充。但是它也存在一定的局限性：
〔1〕、旁路在网络中，容易因网络流量太大和系统资源紧造成丢包，而漏过检测。现在网络到桌面已经根本上是百兆、甚至千兆，骨干交换机流量10G以上，而目前绝大局部入侵检测产品还只是百兆、千兆级别，而且千兆级别以上入侵检测价格昂贵。
〔2〕、防御手段存在缺陷。对发现的攻击通常采用TCP重置和防火墙策略。TCP重置：当IDS判断出一个攻击发生和发送TCP重置有一时间段，而这时封包可能已经传送到目标地址，攻击可能已经完成；另外TCP重置只能针对TCP协议，对DNS等UDP协议无效。防火墙策略：可能影响正常业务使用，例如，攻击者用一个大的INTERNET效劳提供商的代理效劳器地址进展欺骗，IDS发现后，发信号到防火墙来阻止该IP地址，此时整个IP都被防火墙过滤了，其它正常访问也无法进展了。
〔3〕、对网管人员要求高。基于签名检测〔模式匹配〕和协议异常检测，检测精度可能不够，可能造成高误报率，每天可能发出成百上千的虚假报警信息。对警报的分析也对网管人员提出了更高的要求。
-
. z.
网络隐患扫描系统的必要性
目前的操作系统