计算机信息系统安全等级保护数据库安全技术要求
信息系统等级保护安全设计技术要求及安全建设总体设计(无重叠)_赵勇
1.1防护思想
1.1防护思想
我们的现实世界都是由实体组成,通过实体与实体之间发生关系进行演进,所以我们需要确保实体的可信, 控制实体与实体之间的关系,从而维持秩序,确保这是一个有序的世界。Fra bibliotek软件 系统
业务应用系统 操作系统
软件实体
硬件 系统
计算设备 存储设备
硬件实体
1.1防护思想
实体
关系
实体
实体可信
《设计技术要求》基于PPDR模型构建防御体系;
《设计技术要求》强调基于统一策略的安全管理, 以避免出现如下现象:1)有机制,无策略,安全 机制形同虚设;2)各产品策略之间缺乏互相配合, 也缺乏根据安全事件调整策略的响应流程,使得安 全机制难以真正发挥作用;
《设计技术要求》强调基于主动防御的控制保护机 制,以避免出现如下现象:只重视对已知威胁的检 测和漏洞的发现,不具备对新型攻击的防护能力, 从而出现攻击防护滞后的现象。
《基本要求》是在GB17859等标准基础上,根据现有技术的发展水平,提出和规定 了不同安全等级信息系统的最低保护要求,包括基本技术要求和基本管理要求。 《计算机信息系统安全保护等级划分准则》(GB17859-1999)是根据国务院147号 令要求制定的强制性标准,是等级保护的基础性标准,是其他标准制定的依据。 该标准以访问控制为核心构建基本保护环境和相关安全服务。
安全管理中心:对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制 实施统一管理的平台。
定级系统互联:通过安全互联部件和跨定级系统安全管理中心实现的相同或不同等级的定级系统安全 保护环境之间的安全连接。 跨定级系统安全管理中心:对相同或不同等级的定级系统之间互联的安全策略及安全互联部件上的安 全机制实施统一管理的平台。
信息系统安全等级保护定级要素
信息系统安全等级保护定级要素信息系统安全等级保护是指根据信息系统的重要性和敏感程度,将其划分为不同的安全等级,并采取相应的安全保护措施。
信息系统安全等级保护定级要素主要包括保护对象、保护标准、保护措施和保护责任。
一、保护对象保护对象是指需要进行安全保护的信息系统。
信息系统可以是计算机系统、通信系统、数据库系统等各种形式的信息处理系统。
在进行等级保护定级时,需要明确保护对象的边界,确定需要纳入保护范围的要素,如硬件设备、软件系统、网络设备、数据等。
二、保护标准保护标准是根据信息系统的特点和需求,确定信息系统安全等级的基本依据。
保护标准主要包括安全性、可用性、完整性和可控性等几个方面。
安全性是指信息系统在面临各种威胁和风险时能够保持不受损害的能力;可用性是指信息系统在需要时能够正常使用的能力;完整性是指信息系统的数据和功能能够保持完整和正确的能力;可控性是指信息系统能够按照规定的政策和流程进行管理和控制的能力。
三、保护措施保护措施是指采取的技术和管理手段来保障信息系统的安全。
保护措施主要包括物理安全、网络安全、系统安全和数据安全等方面。
物理安全是指通过门禁、监控等手段,保护信息系统的硬件设备免受物理攻击和破坏;网络安全是指通过防火墙、入侵检测系统等技术手段,保护信息系统的网络免受网络攻击和恶意访问;系统安全是指通过操作系统和应用软件的安全配置和漏洞修复,保护信息系统的软件系统免受恶意代码和攻击;数据安全是指通过加密、备份和权限控制等手段,保护信息系统中的数据不被非法获取和篡改。
四、保护责任保护责任是指各个相关方在信息系统安全等级保护中应承担的责任和义务。
保护责任主要包括政府责任、企业责任和个人责任。
政府在信息系统安全等级保护中应制定相应的法律法规和政策,对信息系统进行监管和管理;企业在信息系统安全等级保护中应建立健全的安全管理体系,为信息系统提供安全保障;个人在信息系统安全等级保护中应遵守相关规定,不泄露机密信息,不进行非法操作。
等级保护基本要求中安全技术要求包括
等级保护基本要求中安全技术要求包括
等级保护基本要求中安全技术要求包括以下内容:
1. 认证与授权:要求系统对用户进行身份认证,并按照其权限进行授权管理。
2. 安全审计:要求系统能够对所有访问和操作进行审计,并记录在审计日志中。
3. 加密传输:要求系统在网络传输过程中使用加密技术,确保数据传输的机密性和完整性。
4. 防病毒防恶意程序:要求系统具备防病毒和防恶意程序的能力,保障系统免受恶意攻击。
5. 操作系统安全:要求系统的操作系统具备一定的安全性能,能够抵御常见的攻击方式。
6. 数据库安全:要求系统的数据库具有一定的安全性能,能够保障数据的机密性和完整性。
7. 应用软件安全:要求系统的应用软件具有一定的安全性能,能够防范常见的攻击方式。
8. 网络安全:要求系统的网络设备具有一定的安全性能,能够抵御常见的攻击方式。
国家的信息安全系统等级第二级保护规章制度
国家信息安全等级保护制度(二级)一、技术要求1、物理安全1.1物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;1.2 物理访问控制(1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;(2)应批准进入机房的来访人员,限制和监控其活动范围。
1.3 防盗窃和防破坏(1)应将主要设备放置在物理受限的范围内;(2)应对设备或主要部件进行固定,并设置明显的不易除去的标记;(3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;(4)应对介质分类标识,存储在介质库或档案室中;(5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
1.4 防雷击(1)机房建筑应设置避雷装置;(2)应设置交流电源地线。
1.5 防火应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
1.6 防水和防潮(1)水管安装,不得穿过屋顶和活动地板下;(2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;(3)应采取措施防止雨水通过屋顶和墙壁渗透;(4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
1.7 防静电应采用必要的接地等防静电措施1.8 温湿度控制应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.9 电力供应(1)计算机系统供电应与其他供电分开;(2)应设置稳压器和过电压防护设备;(3)应提供短期的备用电力供应(如UPS设备)。
1.10 电磁防护(1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;(2)电源线和通信线缆应隔离,避免互相干扰。
2、网络安全2.1结构安全与网段划分(1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要;(2)应设计和绘制与当前运行情况相符的网络拓扑结构图;(3)应根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽;(4)应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径;(5)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;(6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
信息安全技术 网络安全等级保护安全设计技术要求
信息安全技术网络安全等级保护安全设计技术要求
一、重要说明
1、网络安全等级保护工作要建立健全的体系,强化安全管理,遵循以下基本原则:
(1)健全安全保护体系,优化维护和管理策略;
(2)制定安全技术规范,健全组织机构;
(3)完善安全措施,充分发挥安全技术的作用;
(4)提高犯罪惩戒的精准性和力度,防止重蹈覆辙;
(5)不断提升网络安全素质,提高系统信息安全水平。
2、在保障网络安全的同时,也要重视保护网络用户的个人信息安全,做到:(1)加强对客户信息的管理,确保客户信息安全;
(2)及时更新和审查数据库安全策略,保证信息安全;
(3)使用先进的安全技术,有效保护网络安全;
(4)提供安全的用户环境,加强安全防护;
(5)提升网络用户安全意识,提供专业的咨询服务;
(6)对网络安全素质要求进行重视,提高安全保护技术水平。
信息安全技术信息系统安全等级保护测评要求
信息安全技术信息系统安全等级保护测评要求在当今数字化的时代,信息系统已经成为了各个组织和企业运营的核心支撑。
从金融机构的交易处理到政府部门的政务服务,从企业的生产管理到个人的社交娱乐,信息系统无处不在。
然而,随着信息系统的广泛应用,其面临的安全威胁也日益严峻。
为了保障信息系统的安全可靠运行,保护国家、社会和个人的利益,信息系统安全等级保护测评工作显得尤为重要。
信息系统安全等级保护测评是指依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。
其目的在于发现信息系统中存在的安全漏洞和风险,提出相应的整改建议,从而提高信息系统的安全防护能力。
那么,信息系统安全等级保护测评到底有哪些具体要求呢?首先,测评工作需要遵循一系列的法律法规和标准规范。
我国已经出台了《中华人民共和国网络安全法》等相关法律法规,明确了信息系统安全保护的责任和义务。
同时,还有一系列的国家标准和行业规范,如《信息安全技术信息系统安全等级保护基本要求》《信息安全技术信息系统安全等级保护测评要求》等,为测评工作提供了详细的指导和依据。
其次,测评工作需要对信息系统进行全面的调研和分析。
这包括了解信息系统的业务功能、网络拓扑结构、系统架构、安全设备部署、安全管理制度等方面的情况。
通过对这些信息的收集和整理,为后续的测评工作奠定基础。
在技术层面,测评要求涵盖了物理安全、网络安全、主机安全、应用安全和数据安全等多个方面。
物理安全方面,要确保信息系统所在的机房环境符合安全要求,如防火、防水、防潮、防盗、电力供应稳定等。
同时,机房的访问控制也要严格,只有授权人员能够进入。
网络安全方面,需要检查网络设备的配置是否合理,是否存在网络漏洞和攻击风险。
例如,防火墙的规则设置是否有效,入侵检测系统是否能够及时发现异常流量,网络访问控制策略是否严格等。
主机安全方面,要关注操作系统和数据库的安全配置,是否及时安装了补丁,是否存在默认账号和弱口令等问题。
等保三级技术要求
等保三级技术要求等保三级是指国家相关部门对信息系统安全等级保护的要求,是我国信息系统安全保护体系的最高等级。
按照等保三级的技术要求,需要从以下几个方面进行保护。
1.网络安全网络安全是等保三级中最关键的要求之一、主要包括构建安全稳定的网络架构、加强网络边界防护、实现入侵检测和防御、加强对敏感数据的加密传输等措施。
同时,需要定期进行安全评估、漏洞扫描和安全事件响应等工作。
2.主机安全主机是信息系统的核心组成部分,主机安全是很重要的一个环节。
需要进行系统安全加固,包括对操作系统进行合理配置、安装防病毒软件、做好基线配置、禁止不必要的系统服务等。
同时,还要加强对系统日志的监控和审计。
3.应用安全应用安全是保护信息系统的另一个关键方面。
需要加强对应用软件的开发过程中的安全性要求,对开发的应用软件进行静态和动态的安全测试,确保应用没有安全漏洞。
同时,对应用软件进行合理的权限控制,防止恶意用户进行非法操作。
4.数据库安全数据库是存储和管理信息系统中大量重要数据的核心组件。
数据库安全主要包括对数据库的访问控制、加密存储、备份和恢复、监控和审计等方面的要求。
需要加强对数据库的访问权限管理,确保只有合法用户可以访问数据库。
5.物理安全物理安全是信息系统安全中容易被忽视的一个方面。
需要保护信息系统所在的机房或服务器房的物理安全,避免未经授权的人员进入。
此外,还需要有合理的灾备措施,确保在灾害事件发生时能够及时恢复信息系统的正常运行。
6.安全管理安全管理是等保三级中的一个重要要求,需要建立完善的安全管理制度,包括信息安全政策、安全组织体系、安全培训和安全审计等。
同时,还需要建立健全的安全应急响应机制,能够及时处置安全事件,减少损失。
7.安全监测与响应等保三级还要求建立一套有效的安全监测和响应机制。
这包括加强对网络和主机的实时监测,及时发现和处置潜在的安全威胁。
同时,还需要建立应急响应组织,能够快速、有效地对安全事件进行响应和处置。
信息系统等级保护安全设计技术要求
信息系统等级保护安全设计技术要求1.1信息系统应遵守安全保护原则,严格遵守《信息系统安全法》等法律、法规及有关管理办法的要求。
1.2信息系统应遵守"认证与授权"原则,严格控制访问权限,仅获得访问权限的用户才能访问信息系统。
1.3信息系统应采用全面的安全机制和安全技术,确保信息系统的安全性、可靠性、机密性和完整性。
1.4信息系统应采取全面的安全措施,确保信息系统的所有设备都受到良好的安全管理,包括硬件设备、操作系统、数据库、网络设备等。
1.5信息系统应采取加强安全管理措施,包括安全审计和安全评估,确保信息系统的安全、高效的运行。
2.1信息系统应实施等级保护安全设计,其中内容应包括:认证与授权、日志审计、安全审计、加密安全、网络安全、备份协调、安全隔离、软件安全、数据安全和情报安全等。
2.2信息系统应根据业务场景和安全等级,划分出不同的业务系统,实施等级保护安全设计,确保业务安全和数据安全。
2.3信息系统应实施认证授权,控制访问权限,按照安全等级划分并限制访问权限,强制访问者认证,防止用户擅自获取高权限。
2.4信息系统应实施日志审计,记录审计日志,安全审计,审核系统运行状态。
2.5信息系统应实施加密安全,采取单向摘要加密技术、双向密码加密技术等加密技术,保护信息安全。
2.6信息系统应实施网络安全,采用安全策略、主机访问控制、访问控制、弱点扫描、边界防火墙等技术,保护网络安全。
2.7信息系统应实施备份协调,为系统数据安全制定备份计划,保密等级越高,备份周期越短。
2.8信息系统应实施安全隔离,根据安全等级对信息系统分层设置隔离层,采用主机组、网络拆分、安全虚拟化等手段,将不同安全等级的信息系统隔离。
2.9信息系统应实施软件安全,应采用受限运行策略、防护预处理等技术对软件进行防护,确保软件安全可靠、且内容完整。
2.10信息系统治理要求应严格执行数据保护、身份认证和秘密保护的措施,加强数据安全管理,确保数据安全和完整性,保证每一项数据的安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《信息安全技术网络脆弱性扫描产品安全技术要求》修订说明1 工作简要过程1.1 任务来源近年来,随着黑客技术的不断发展以及网络非法入侵事件的激增,国内网络安全产品市场也呈现出良好的发展态势,各种品牌的防火墙产品、入侵检测产品等已经达到了相当可观的规模。
最近几年,网络脆弱性扫描产品的出现,为网络安全产品厂商提供了一个展现自身技术水平的更高层次舞台,市场上,各种实现脆弱性扫描功能的产品层出不穷,发展迅速,标准《GB/T 20278-2006 信息安全技术网络脆弱性扫描产品技术要求》已不能满足现在产品的发展需求,另一方面,为了更好地配合等级保护工作的开展,为系统等级保护在产品层面上的具体实施提供依据,需要对该标准进行合理的修订,通过对该标准的修订,将更加全面系统的阐述网络脆弱性扫描产品的安全技术要求,并对其进行合理的分级。
本标准编写计划由中国国家标准化管理委员会2010年下达,计划号20101497-T-469,由公安部第三研究所负责制定,具体修订工作由公安部计算机信息系统安全产品质量监督检验中心承担。
1.2 参考国内外标准情况该标准修订过程中,主要参考了:—GB 17859-1999 计算机信息系统安全保护等级划分准则—GB/T 20271-2006 信息安全技术信息系统安全通用技术要求—GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求—GB/T 18336.2-2008 信息技术安全技术信息技术安全性评估准则第二部分:安全功能要求—GB/T 18336.3-2008 信息技术安全技术信息技术安全性评估准则第三部分:安全保证要求—GA/T 404-2002 信息技术网络安全漏洞扫描产品技术要求—GB/T 20278-2006 信息安全技术网络脆弱性扫描产品技术要求—GB/T 20280-2006信息安全技术网络脆弱性扫描产品测试评价方法—MSTL_JGF_04-017 信息安全技术主机安全漏洞扫描产品检验规范1.3 主要工作过程1)成立修订组2010年11月在我中心成立了由顾建新具体负责的标准修订组,共由5人组成,包括俞优、顾建新、张笑笑、陆臻、顾健。
2)制定工作计划修订组首先制定了修订工作计划,并确定了修订组人员例会及时沟通交流工作情况。
3)确定修订内容经标准修订小组研究决定,以网络脆弱性扫描产品发展的动向为研究基础,以等级保护相关要求为标准框架,修订完成《信息安全技术网络脆弱性扫描产品安全技术要求》。
4)修订工作简要过程按照修订进度要求,修订组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解,并查阅有关资料,编写标准修订提纲。
在对提纲进行交流和修改的基础上,开始具体修订工作。
2010年11月至2011年1月,对国内外网络脆弱性扫描产品,相关技术文档以及有关标准进行前期基础调研。
在调研期间,我们主要对我中心历年检测产品的记录、报告以及各产品的技术文档材料进行了筛选、汇总、分析,对国内外网络脆弱性扫描产品的发展动向进行了研究,以及进行了对国内外相关产品的技术文档和标准分析理解等工作。
2011年1月至3月进行了草稿的编写工作。
以我修订组人员收集的资料为基础,依据修订提纲,在不断的讨论和研究中,完善内容,最终形成了本标准的草稿。
2011年3月至5月,我们收集了国内相关产品的主要生产厂家信息,以邮件形式向他们征求意见,包括北京神州绿盟信息安全科技股份有限公司、解放军信息安全研究中心等单位。
2011年5月,单位内部组织第一次标准讨论会,由标准修订组成员汇报标准的修订情况并接受其他同事的质询,会后根据本次讨论会的意见,对标准内容进行了修改。
2011年8月,单位内部组织第二次标准讨论会,由标准修订组成员汇报标准的修订情况并接受其他同事的质询,会后根据本次讨论会的意见,对标准内容进行了修改。
2011年12月,WG5专家评审会在上海组织召开了对标准征求意见稿的专家评审会,评审组由吉增瑞等多位专家组成,与会专家对草稿(第三稿)进行了讨论,并提出相关修改意见,会后修订组再次认真对专家意见进行了分析和处理,随后形成了草稿(第四稿)。
2012年6月,单位内部组织第三次标准讨论会,由标准修订组成员汇报标准的修订情况并接受其他同事的质询,会后根据本次讨论会的意见,对标准内容进行了修改,形成了草稿(第五稿),在本次讨论会中,做出了一个非常重要的修改,就是将标准名称改为《信息安全技术网络脆弱性扫猫产品安全技术要求》,同时对标准的整体结构也进行了调整,按照基本级和增强级分开描述的形式修订,以便于读者的阅读,并保持与其他同类国标一致。
2012年7月26日,WG5专家组在北京对标准草稿再次进行评审,与会专家包括赵战生、王立福、崔书昆、冯惠、袁文恭、卿斯汉、肖京华、杨建军、罗锋盈等。
专家组对草稿(第五稿)提出若干意见,并一致同意形成标准征求意见稿。
会后,按照专家意见,对标准内容进行了修改。
本次修改的主要内容包括:标准封面、目录、前言中的若干描述;标准排版;规范性引用文件中引用词汇标准更新;定义与术语。
通过本次修改完善后,形成征求意见稿(第一稿),2012年9月18日,收到WG5工作组投票意见,七家参与投票的单位中,有四家赞成,三家赞成但需要修改,根据中科网威、江南天安、中国信息安全认证中心三家单位提出的意见进行了修改,通过本次修改,将产品的术语定义“扫描”和“网络脆弱性扫描”进行了进一步的推敲和明确;删除了“可允许网络性能的少量降低”和“远程保密传输”这两项描述比较含糊的要求,形成征求意见稿(第二稿)。
2 确定标准主要内容的论据2.1 修订目标和原则2.1.1 修订目标本标准的修订目标是:对网络脆弱性扫描类产品提出产品功能要求、产品自身安全要求以及产品保证要求,使之适用于我国脆弱性扫描产品的研究、开发、测试、评估以及采购。
2.1.2 修订原则为了使我国网络脆弱性扫描产品的开发工作从一开始就与国家标准保持一致,本标准的编写参考了国家有关标准,主要有GA/T 698-2007、GB/T 17859-1999、GB/T 20271-2006、GB/T 22239-2008和GB/T 18336-2008第二、三部分。
本标准又要符合我国的实际情况,遵从我国有关法律、法规的规定。
具体原则与要求如下:1)先进性标准是先进经验的总结,同时也是技术的发展趋势。
目前,我国网络脆弱性扫描类产品种类繁多,功能良莠不齐,要制定出先进的信息安全技术标准,必须参考国内外先进技术和标准,吸收其精华,制定出具有先进水平的标准。
本标准的编写始终遵循这一原则。
2)实用性标准必须是可用的,才有实际意义。
因此本标准的编写是在对国内外标准的相关技术内容消化、吸收的基础上,结合我国的实际情况,制定出符合我国国情的、可操作性强的标准。
3)兼容性本标准既要与国际接轨,更要与我国现有的政策、法规、标准、规范等相一致。
修订组在对标准起草过程中始终遵循此原则,其内容符合我国已经发布的有关政策、法律和法规。
2.2 对网络脆弱性扫描类产品的理解2.2.1 网络脆弱性扫描产品脆弱性扫描是一项重要的安全技术,它采用模拟攻击的形式对网络系统组成元素(服务器、工作站、路由器和防火墙等)可能存在的安全漏洞进行逐项检查,根据检查结果提供详细的脆弱性描述和修补方案,形成系统安全性分析报告,从而为网络管理员完善网络系统提供依据。
通常,我们将完成脆弱性扫描的软件、硬件或软硬一体的组合称为脆弱性扫描产品。
脆弱性扫描产品的分类根据工作模式,脆弱性扫描产品分为主机脆弱性扫描产品和网络脆弱性扫描产品。
其中前者基于主机,通过在主机系统本地运行代理程序来检测系统脆弱性,例如针对操作系统和数据库的扫描产品。
后者基于网络,通过请求/应答方式远程检测目标网络和主机系统的安全脆弱性。
例如Satan 和ISS Internet Scanner等。
针对检测对象的不同,脆弱性扫描产品还可分为网络扫描产品、操作系统扫描产品、WWW 服务扫描产品、数据库扫描产品以及无线网络扫描产品。
脆弱性扫描产品通常以三种形式出现:单一的扫描软件,安装在计算机或掌上电脑上,例如ISS Internet Scanner;基于客户机(管理端)/服务器(扫描引擎)模式或浏览器/服务器模式,通常为软件,安装在不同的计算机上,也有将扫描引擎做成硬件的,例如Nessus;也有作为其他安全产品的组件,例如防御安全评估就是防火墙的一个组件。
网络脆弱性扫描产品通过远程检测目标主机TCP/IP不同端口的服务,记录目标给予的应答,来搜集目标主机上的各种信息,然后与系统的漏洞库进行匹配,如果满足匹配条件,则认为安全漏洞存在;或者通过模拟黑客的攻击手法对目标主机进行攻击,如果模拟攻击成功,则认为安全漏洞存在。
主机脆弱性扫描产品则通过在主机本地的代理程序对系统配置、注册表、系统日志、文件系统或数据库活动进行监视扫描,搜集他们的信息,然后与系统的漏洞库进行比较,如果满足匹配条件,则认为安全漏洞存在。
在匹配原理上,目前脆弱性扫描产品大都采用基于规则的匹配技术,即通过对网络系统安全脆弱性、黑客攻击案例和网络系统安全配置的分析,形成一套标准安全脆弱性的特征库,在此基础上进一步形成相应的匹配规则,由扫描产品自动完成扫描分析工作。
端口扫描技术网络脆弱性扫描是建立在端口扫描的基础上的,支持TCP/IP协议的主机和设备,都是以开放端口来提供服务,端口可以说是系统对外的窗口,安全漏洞也往往通过端口暴露出来。
因此,网络脆弱性扫描产品为了提高扫描效率,首先需要判断系统的哪些端口是开放的,然后对开放的端口执行某些扫描脚本,进一步寻找安全漏洞。
扫描产品一般集成了以下几种主要的端口扫描技术。
TCP SYN扫描通常称为“半打开”扫描,这是因为扫描程序不必要打开一个完全的TCP连接。
扫描程序发送的是一个SYN数据包,好象准备打开一个实际的连接并等待反应一样(参考TCP的三次握手建立一个TCP连接的过程)。
一个SYN/ACK的返回信息表示端口处于侦听状态。
一个RST返回,表示端口没有处于侦听状态。
TCP FIN扫描TCP FIN扫描的思路是关闭的端口使用适当的RST来回复FIN数据包,而打开的端口会忽略对FIN 数据包的回复。
这种方法与系统实现有一定的关系,有的系统不管端口是否打开,都回复RST,在这种情况下,该扫描方法就不适用了,但可以区分Unix和Windows NTTCP connect()扫描这是最基本的TCP扫描。
操作系统提供的connect()系统调用,用来与每一个感兴趣的目标计算机的端口进行连接。
如果端口处于侦听状态,那么connect()就能成功。
否则,这个端口是不能用的,即没有提供服务。
FIN+URG+PUSH扫描向目标主机发送一个FIN、URG和PUSH 分组,根据RFC793,如果目标主机的相应端口是关闭的,那么应该返回一个RST标志。