安全评估(风险评估)方向

安全评估(风险评估)方向2008届毕业设计的规划和设想郑秋生2007-9-15信息安全研究内容的发展信息的保密性信息的完整性可用性可控性不可否认性攻（攻击）防（防御）测（检测）控（控制）管（管理）评（评估）（CIA）安全评估(风险评估)方向2008届毕业设计的规划和设想题目的划分漏洞库的题目//夏冰、裴斐等基于主机的安全评估软件//郑秋生等基于网络的安全评估软件//孙飞显等相关的题目网络攻防技术//攻击效果的评估网络跟踪技术HoneyNet/HoneyPot技术网络协议分析网络性能的测量和度量//定量分析各题目间的组织、协调工作漏洞库测试和系统管理题目意义安全评估两个版本（基于主机、基于网络）的重要基础工作主要工作：漏洞的扫描漏洞的研究漏洞的渗透工作量大一个一个收集、存在性测试、分析、写两个版本的测试代码（Plugin）有技术难度耐着性子一个一个的进行，统计、显示每个漏洞的工作进度状况，做到心里有数（作了什么？程度如何？还需要作什么？）漏洞库测试和系统管理主要工作（合计人数：14—21人）按照漏洞库生命周期的几个阶段进行详细的研究漏洞的发现、公布、利用、最终被修补的过程//参考吴亚非的书1.建立漏洞库（1人）按照安全评估的需要，建立自己的漏洞库，有自己的独特字段与安全评估软件（基于主机、基于网络）、解决放案紧密相连参考主要的公开漏洞源（CCERT、CERT、CVE、TRAQBUG等）2.05-08年漏洞信息的收集（2人）Windows（不同版本）2005、06、07、08年的漏洞与Windows应用有关的各种服务、应用程序05-08年的主要漏洞漏洞库测试和系统管理3.漏洞库管理系统（基于ASP.NET的方式）（1-2人）完善2007届毕业设计的内容界面漏洞库的记录录入（05-08年）完善管理功能输入、编辑、修改、增加、删除、查询等希望有基于WebServices的漏洞库可编程接口4.每个漏洞的存在性测试（2-3人）使用微软提供的MS***程序测试，05-08年其它测试程序收集（特别是针对第三方软件的漏洞）漏洞库测试和系统管理5.每个漏洞的原理、特征分析、解决方案（2-3人）给出、整理05-08年漏洞库中每个漏洞的完整信息（可能需要建一个数据库表）整理出每个漏洞的特征信息（基于主机和网络的测试可以使用）分析每个漏洞的原理给出每个漏洞的解决方案漏洞库测试和系统管理6.编写基于主机的测试代码插件（3-5人）基于主机扫描的技术本地信息：注册表、系统文件、进程和服务、安全配置、管理策略等根据漏洞特征，编写自己的漏洞扫描、监测代码（插件）05-08年的漏洞7.编写基于网络的测试代码插件（渗透攻击自动化脚本）（3-5人）基于网络扫描的技术攻击、渗透技术：远程攻击攻击脚本（自动化、多个攻击步骤）根据漏洞特征，编写自己的漏洞扫描、监测代码（插件）05-08年的漏洞基于主机的安全评估软件设计主程序框架设计单机版本//先期完成三层结构的分布式版本Sensor/AgentClientControlCenterDisplay考虑两个版本的过渡基于主机的安全评估软件设计参考的商业版软件CyberCopScannerWindows基于主机美国网络协会公司ISSInternetScannerWindows基于主机美国互联网安全系统公司RetinaWindows基于主机美国电子眼数字安全公司基于主机的安全评估软件设计程序的主要功能（合计11—16人）1.配置和初始化//仿造商业化的软件，看技术白皮书2-3人（包括框架、主程序设计）扫描范围评估报告的形式、格式2.扫描的功能//看3个国标文档，不仅仅是漏洞的扫描①获取主机的基本信息（2-3人）②恶意代码扫描（2-3人）③按照漏洞扫描插件的扫描模块（2-3人）3.安全评估算法//参考FIRST，希望创新（1人）CVSS4.评估报告//参考商业化软件的技术白皮书（1-2人）包括解决方案和安全等级基于不同用户的报告有图形的统计显示，安全评估历史信息库，威胁的预测。5.软件的升级//参考防病毒软件（McAfee、Norton）（1人）//评估算法、报告、升级三部分，可供基于网络的评估软件用基于主机的安全评估软件设计扫描的功能1.获取主机的基本信息（2-3人）OS信息（旗标Flag）(OS指纹fingerprinting)已安装补丁的信息（需要建立一个补丁的数据库）已安装应用程序的信息已安装服务的信息（What、Flag）这些本地信息和漏洞库的记录对照，得到安全评估结果正在运行的信息进程、端口、服务基于主机的安全评估软件设计扫描的功能(续)2.恶意代码(威胁代理)扫描（2-3人）建立（06-08年）流行的恶意代码信息库（指纹库）有本地主机较严重安全隐患的恶意代码：病毒、木马等扫描的项目：仿造AutoRuns,SReng等软件收集注册表的扫描项（启动项、BHO等）其它的文件、进程、端口等特征的扫描有自动的校验（MD5Hash、MS签名）、报警（不同颜色）的功能给出本地的安全问题报告（与恶意代码有关）基于主机的安全评估软件设计扫描的功能(续)//其它扫描主机安全策略的扫描（操作系统安装后的缺省配置问题）注册表项（缺省的问题）启动密码策略缺省用户、组的修改安全加固的措施：防病毒、防火墙//基于管理方面的扫描动态的攻击（漏洞）本地扫描//暂时不开展工作根据端口和服务根据检查到的数据包、攻击分析常见攻击的监测（根据攻击指纹库）基于主机的安全评估软件设计扫描的功能(续)3.按照漏洞扫描插件的扫描模块（2-3人）扫描引擎设计，支持在线更新的扫描插件多线程扫描扫描进度显示扫描结果显示按照漏洞库的记录和本地信息的匹配结果，一个个漏洞扫描使用漏洞扫描的插件，与漏洞组（编写扫描插件）配合基于网络的安全评估软件设计应用程序的类型、主框架单机版分布式的网络版（Sensor）Web版（免费的版本）：Microsoft、Norton、瑞星等一般用于本机安全分析、漏洞扫描、安全等级主要功能基本考虑参见3个安全评估的文档和商业化软件的技术报告考虑跨路由的扫描和本地网段扫描的技术区别、测试。基于网络的安全评估软件设计参考的商业版软件NessusLinux/BSD/Unix基于网络开放源代码NetReconWindows基于网络商业产品Axent/Symantec公司SARALinux/BSD/Unix基于网络开放源代码SAINTLinux/BSD/Unix基于网络商业产品基于网络的安全评估软件设计主要功能（续）主要的实现功能1.初始化和配置模块2.主机/网络的存活性及指纹识别存活性、端口、服务（邮件、Web、FTP、Telnet、RPC、Windows特有的服务等）、应用程序的指纹识别仿照NMap软件（源代码、技术）建立指纹数据库秘密、隐蔽的扫描技术（用户可以选择、配置）扫描的策略模板有防火墙和跨路由的扫描技术问题基于网络的安全评估软件设计主要功能（续）主要的实现功能（续）3.根据漏洞库的扫描编写基于网络技术和漏洞库的漏洞扫描插件与漏洞组（编写扫描插件）配合网络渗透攻击的自动化脚本多进程扫描扫描进度显示扫描结果显示按照漏洞库的记录和扫描到的指纹信息的匹配结果，一个个漏洞扫描基于网络的安全评估软件设计主要功能（续）主要的实现功能（续）4.安全评估算法5.评估报告6.软件的升级以上三部分与基于主机的安全评估相一致的方案其它相关的题目提出网络攻防技术//攻击效果的评估攻防策略、技术方法软件、工具攻击效果、测量,评估//国防科大安全加固工程防御策略、方案（软硬件）安全加固工程的文档、步骤//开展横向项目、安全顾问网络跟踪技术攻击源的跟踪（跨企业、路由）拓扑结构图显示（攻击路径显示）收集攻击的证据切断攻击源（阻击攻击）HoneyNet/HoneyPot技术建立工具、恶意代码收集系统数据分析、解决方案、预测网络协议分析网络性能的测量和度量//定量分析,解放军理工大学,陈鸣各题目间的组织、协调工作树立最终是一个题目的思想踏踏实实的开展工作，不可应付、浮躁日常工作每周学生每个小组开会、讨论（学生组长）每周指导老师开会：汇报进展情况，阶段总结讨论方案、实现、问题有孙飞显召集、协调，夏冰辅助必须坚持，人员可以不齐，时间可以机动、不固定大家理论的学习特别是老师，老资料、信息、资源大家分享利用我们的网站各题目间的组织、协调工作(续)注意软件的开发与创新点开发的功能要完善（鉴定时要进行正规的软件测试）软件的功能基于3个标准和技术白皮书，同时考虑实际的用户（公安厅）每一部分尽多的有创新点方案的完整、合理性，要有详细的文档大家要多些文档，便于交流毕业设计的学生和2、3年级的学生参加挑选一些MFC/C++编程能力强的学生进一步的工作考虑考虑如何将基于主机、基于网络两种技术的扫描结果的融合。更好的评估结果考虑与风险评估的关系一些国内外安全评估、风险评估、安全审计、漏洞扫描软件介绍企业级（商业版）免费版有些有源代码，可作为开发的基础、雏形这些软件的参考意义软件运行、技术白皮书程序实现的功能程序的结构、界面评估报告的形式软件升级的方法数据库的形式漏洞库的格式/内容风险评估管理工具天融信信息安全管理系统TopAnalyzer看技术白皮书漏洞库管理补丁库管理历史和实时的安全事件管理（预测用？）资产的价值识别风险分析、计算、报告、响应（实时的风险报警）风险仪表盘视图显示基于角色的用户认证和权限管理用户---角色---权限风险评估管理工具启明星辰风险评估管理系统RAMS//RiskAssessmentManagementSystem看技术白皮书以资产为核心的风险评估和风险管理分布、灵活部署基于角色的安全评估报告//分层次组织管理层安全报告//厂长、经理、董事长技术管理层安全报告//网管中心主任、总工技术人员安全报告//工程师安全趋势分析安全信息库安全弱点库支持主流的安全评估产品：启明星辰的“天镜”网络漏洞扫描系统Nessus网路扫描器绿盟“极光”网络安全评估系统IISInternetScanner安全威胁库安全控制库风险评估管理工具联想网御风险评估辅助工具资产管理部件TreeView资产视图拓扑视图补丁管理部件弱点管理部件事件管理部件问卷调查部件安全通告部件拓扑管理部件系统管理部件漏洞扫描分析工具（安全评估）绿盟科技的极光远程安全评估系统AURORA（NSFocus系列安全产品的一款）漏洞知识库CVEBUGTRAQ，NTBUGTRAQNSFOCUS//绿盟扫描调度模块//扫描引擎存活扫描端口扫描服务判断子模块操作系统类型识别子模块服务-规则索引子模块：负责根据服务类型、操作系统类型和补丁，到漏洞知识库中检索可能存在的漏洞项，并读入各漏洞项的检查规则规则解析子模块：负责对读入的规则进行解析，依靠规则解析结果对目标进行探测，最终将探测结果写入扫描结果数据库Profile摘要信息搜集模块：负责收集目标系统的多种信息，用来提高目标检测准确性和检测速度漏洞扫描分析工具（安全评估）启明星辰的天镜脆弱性扫描与管理系统提供10种默认的扫描策略符合CNCVE标准，兼容CVE,BUGTRAQ等灵活的部署单机式部署分布式部署//Ag