13-网络安全漏洞防护技术原理与应用

news/2024/12/22 1:47:24/文章来源:https://www.cnblogs.com/lhxBlogs/p/18448917

13.1 概述

1)概念

网络安全漏洞又称为脆弱性,简称漏洞。

漏洞一般是致使网络信息系统安全策略相冲突的缺陷,这种缺陷通常称为安全隐患。

安全漏洞的影响主要有机密性受损、完整性破坏、可用性降低、抗抵赖性缺失、可控制性下降、真实性不保等。

根据漏洞的补丁状况,可将漏洞分为普通漏洞和零日漏洞 (zero-day vulnerability)

零日漏洞(Zero-Day Vulnerability),又称零时差攻击,是指软件或系统中未被公开、未被厂商知晓的安全漏洞。这些漏洞在被发现后,往往立即被黑客利用进行攻击,而受害者由于无法及时获得补丁或修复方案,因此难以防范。零日漏洞的存在时间极短,从发现到被利用往往只有很短的时间窗口,这也是其得名的原因。

2)威胁

image
攻击者基于漏洞对网络系统安全构成的安全威胁主要有:感信息泄露、非授权访问身份假冒、拒绝服务。

3)现状

国际上已经出现安全漏洞地下交易市场,将重要的零日漏洞以高价出售。

针对安全漏洞问题的研究已成为网络安全的研究热点,主要研究工作包括漏洞信息搜集分析和网络安全威胁情报服务、漏洞度量、基于漏洞的攻击图自动化生成、漏洞利用自动化、漏洞发现等。

13.2 分类与管理

1)来源

网络信息系统的漏洞主要来自两个方面:

  • 一方面是非技术性安全漏洞,涉及管理组织结构管理制度、管理流程、人员管理等

    • 网络安全责任主体不明确
    • 网络安全策略不完备
    • 网络安全操作技能不足
    • 网络安全监督缺失
    • 网络安全特权控制不完备
  • 另一方面是技术性安全漏洞,主要涉及网络结构、通信协议、设备、软件产品、系统配置、应用系统等。

    • 设计出错
    • 输入验证错误
    • 缓冲区溢出
    • 意外情况处置错误
    • 访问验证错误
    • 配置错误
    • 竞争条件
    • 环境错误

2)分类

  • CVE 漏洞分类
    • CVE ID:年份数字+其他数字,比如 CVE-2019-1543 为一个 Open SSL 安全漏洞编号
  • CVSS(通用漏洞计分系统):由基本度量计分、时序度量计分、环境度量计分组成。
    • 基本度量计分:由攻击向量、攻击复杂性、特权要求用户交互、完整性影响、保密性影响、可用性影响、影响范围等参数决定。
    • 时序度量计分:由漏洞利用代码成熟度、修补级别、漏洞报告可信度等参数决定。
    • 环境度量计分:由完整性要求、保密性要求、可用性要求、修订基本得分等决定。
      image
  • 我国漏洞分类
    • 国家信息安全漏洞库(CNNVD):配置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SOL注入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任管理加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、访问控制错误和资料不足
    • 国家信息安全漏洞共享平台(CNVD)
      • CNVD 根据漏洞产生原因,将漏洞分为11种类型:输入验证错误、访问验证错误、意外情况处理错误数目、边界条件错误数目、配置错误、竞争条件、环境错误、设计错误、缓冲区错误、其他错误、未知错误。此外,CNVD 依据行业划分安全漏洞,主要分为行业漏洞和应用漏洞。行业漏洞包括:电信、移动互联网、工控系统;应用洞包括Web 应用、安全产品、应用程序、操作系统、数据库、网络设备等。在漏洞分级方面,将网络安全洞划分为高、中、低三种危害级别。
  • OWASP TOP 10 漏洞分类
    • 主要的漏洞类型有注入、未验证的重定向和转发、失效的身份认证、XML 外部实体(XXE)、敏感信息泄露、失效的访问控制、安全配置错误、跨站脚本(XSS)、不安全的反序列化、使用含有已知漏洞的组件、不足的日志记录和监控、非安全加密存储。

3)发布

发布内容一般包括:漏洞编号、发布日期、安全危害级别、漏洞名称、漏洞影响平台、漏洞解决建议等。
image
image

4)获取

漏洞来源:

  • 网络安全应急响应机构
  • 网络安全厂商
  • IT 产品或系统供应商
  • 网络安全组织

CERT、Security Focus Vulnerability Database、CNNVD、CNVD

5)管理过程

网络信息系统资产确认

信息采集

漏洞评估

漏洞消除和控制

漏洞变化跟踪

13.3 技术与应用

1)网络安全漏洞扫描

2)网络安全漏洞扫描应用

13.4 网络安全漏洞处置技术与应用

1)发现技术

漏洞发现技术主要有文本搜索、词法分析、范围检查、状态机检査、错误注入、模糊测试、动态污点分析、形式化验证等。

2)修补技术

补丁管理是一个系统的、周而复始的工作,主要由六个环节组成,分别是现状分析、补丁跟踪、补丁验证、补丁安装、应急处理和补丁检查。
image

3)防范技术

地址空间随机化技术

数据执行阻止(data execution prevention,DEP)

SEHOP(structured exception handler overwrite protection):即结构化异常处理程序覆盖保护,是Windows操作系统中的一种安全机制,旨在防御针对覆盖Windows结构化异常处理程序的漏洞利用技术。

堆栈保护

虚拟补丁:通过入侵阻断、Web防火墙等相关技术来实现给目标系统程序“打补丁”

13.5 产品与技术指标

1)扫描器

常见技术指标:

  • 漏洞扫描主机数量
  • 并发数
  • 速度
  • 检测能力
  • 检查功能
  • web应用漏洞检查功能
  • 口令检查功能
  • 标准兼容性
  • 部署环境难易程度

2)服务平台

3)防护网关

IPS(intrusion prevention system)

web 防火墙(WAF)

统一威胁管理(UTM)

常见技术指标:

  • 阻断安全漏洞攻击的种类和数量
  • 阻断安全漏洞攻击的准确率
  • 阻断安全漏洞攻击的性能
  • 支持网络带宽的能力

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/808963.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

2024-2025-1 20241305 《计算机基础与程序设计》第二周学习总结

作业信息这个作业属于哪个课程 2024-2025-1-计算机基础与程序设计(https://edu.cnblogs.com/campus/besti/2024-2025-1-CFAP))这个作业要求在哪里 2024-2025-1计算机基础与程序设计第二周作业(https://edu.cnblogs.com/campus/besti/2024-2025-1-CFAP/homework/13276))这个作业…

2024-2025-1 20241318 《计算机基础与程序设计》第二周学习总结

这个作业属于哪个课程 <班级的链接>(如2024-2025-1-计算机基础与程序设计)这个作业要求在哪里 https://www.cnblogs.com/rocedu/p/9577842.html#WEEK02这个作业的目标 <数字化、信息安全、自学教材(计算机科学概论(第七版)第1章并完成云班课测试、《C语言程序设计…

【THM】The Marketplace练习

脚本小子是这样的,黑客只要写POC就可以,可是脚本小子要考虑的事情就多了。 学到了新知识:利用XSS漏洞进行钓鱼、通过Token获取管理员权限、利用docker提权【THM】The Marketplace练习 与本文相关的TryHackMe实验房间链接:TryHackMe | The Marketplace 简介:你能接管marke…

Windows计划任务出现0x1错误结果

Windows计划任务出现0x1错误结果现象 解决方法 结果 现象 参考不少的文章,基本上都是说因为权限的问题,但试了N次都不行,仍然报0x1的错误结果,亲测解决方法说明如下; 1.脚本本身没问题,手动本地可以执行; 2.系统版本 Windows 10 专业工作站版 版本号 21H2 解决方法 在设…

面相快速入门教程2转化智慧

2 转化智慧 你的脸是遗传、环境和生活经历的产物。它展现了你的身份、经历和未来;它揭示了你独特的潜能,以及你需要什么才能感到幸福。你特征中的信息可以成为帮助你创造真正有意义和充实生活的绝佳资源。你所要做的就是照镜子。 事实上,你不需要知道什么特别的事情,就能从…

P10678 『STA - R6』月 题解

Solution 看了别的大佬的题解,感觉都是数学证明然后用树和图做的,看不懂啊。。。萌新瑟瑟发抖 用 vector 模拟树,然后贪心摸索做出来了。注意到要求最深叶子结点和最浅叶子结点的距离最短时的情况,那么此时根节点应该是树中度数最大的点,把树尽可能的拓宽,深度换宽度。 那…

学期(如2024-2025-1) 20241304 《计算机基础与程序设计》第2周学习总结

学期(如2024-2025-1)20241304 《计算机基础与程序设计》第2周学习总结 作业信息这个作业属于哪个课程 <班级的链接>(2024-2025-1-计算机基础与程序设计)这个作业要求在哪里 <作业要求的链接>(如2024-2025-1计算机基础与程序设计第二周作业)这个作业的目标 <…

Cisco Firepower 1000 Series FTD Software 7.6.0 ASA Software 9.22.1

Cisco Firepower 1000 Series FTD Software 7.6.0 & ASA Software 9.22.1Cisco Firepower 1000 Series FTD Software 7.6.0 & ASA Software 9.22.1 Firepower Threat Defense (FTD) Software - 思科防火墙系统软件 请访问原文链接:https://sysin.org/blog/cisco-firep…

从零开始学机器学习——网络应用

首先给大家介绍一个很好用的学习地址:https://cloudstudio.net/columns 今天,我们的主要任务是按照既定的流程再次运行模型,并将其成功加载到 Web 应用程序中,以便通过 Web 界面进行调用。最终生成的模型将能够基于 UFO 目击事件的数据和经纬度信息,推断出事件发生的城市地…

Cisco Firepower 4100 Series FTD Software 7.6.0 ASA Software 9.22.1

Cisco Firepower 4100 Series FTD Software 7.6.0 & ASA Software 9.22.1Cisco Firepower 4100 Series FTD Software 7.6.0 & ASA Software 9.22.1 Firepower Threat Defense (FTD) Software - 思科防火墙系统软件 请访问原文链接:https://sysin.org/blog/cisco-firep…

Cisco Firepower 9300 Series FTD Software 7.6.0 ASA Software 9.22.1

Cisco Firepower 9300 Series FTD Software 7.6.0 & ASA Software 9.22.1Cisco Firepower 9300 Series FTD Software 7.6.0 & ASA Software 9.22.1 Firepower Threat Defense (FTD) Software - 思科防火墙系统软件 请访问原文链接:https://sysin.org/blog/cisco-firep…

读数据湖仓08数据架构的演化

读数据湖仓08数据架构的演化1. 数据目录 1.1. 需要将分析基础设施放置在数据目录(Data Catalogue)的结构中1.1.1. 元数据1.1.2. 数据模型1.1.3. 本体1.1.4. 分类标准1.2. 数据目录类似于图书馆的图书检索目录1.2.1. 先通过图书馆的图书检索目录进行查找,以便快速找到所需的图书…