《一种基于病毒分析的网络信息安全支持平台的研究.doc》由会员分享,可在线阅读,更多相关《一种基于病毒分析的网络信息安全支持平台的研究.doc(14页珍藏版)》请在三一文库上搜索。
1、一种基于病毒分析的网络信息安全支持平台的研究A Method for Information Security Risk Based on Computer Virus AnalysisLiu Xudong Yu Haoxin Sun Yangyang Peng Bi (College of Information Science and Technology,Nanjing Agriculture University,Nanjing 210000,China) AbstractThis article based on the solution of information securit
2、y,summarized the methods used by former scholars,gave a method for information security risk based on computer virus analysis.The method collected the documents which noted the information of security software,then calculated the grade of information security.Finally,found the resolve measures of th
3、e problem and tell the users. Key wordsinformation security risk;computer virus analysis;security risk assessment 互联网的迅速发展使得信息的传输与加工可以在瞬间跨越地理位置的障碍而遍布世界各地,计算机网络已成为人们生活的重要组成部分,但是计算机网络的特点与局限决定了它将承受众多的安全威胁。中国互联网络信息中心(CNNIC)发布的第23次中国互联网络发展状况统计报告。报告显示,截至2008年底,中国网民数达到2.98亿,手机网民数超1亿达1.137亿�
4、5377; 艾瑞市场咨询根据公安部公共信息网络安全监察局统计数据显示,2006年中国(大陆)病毒造成的主要危害情况:“浏览器配置被修改”是用户提及率最高的选项,达20.9%,其次病毒造成的影响还表现为“数据受损或丢失”18%,“系统使用受限”16.1%,“密码被盗”13.1%,另外“受到病毒非法远程控制”提及率为6.1%“无影响”的只有4.2%1。从以上数据可以看出,目前网络信息安全问题已非常严重,病毒、木马、恶意代码、物理故障、人为破坏等等都无时无刻不威胁着网络的信息安全。人们开始不断探索和研究防止网络威胁的
5、手段和方法,并且很快在杀毒软件、防火墙技术、入侵检测技术等方面取得了迅猛的发展。然而,这并没有从根本上解决计算机网络的安全问题。来自计算机网络的威胁更加多样化和隐蔽化,越来越多的研究人员开始研究网络信息安全与风险评估问题。 从用户角度来说,信息作为信息系统的重要资产,是企业和组织进行正常商务运作和管理不可或缺的资源。保障信息安全能够防止信息受到威胁,以确保业务的连续,使业务风险最小化,投资回报和商业机遇最大化。信息安全的保障除了技术的完善与提高外,更重要的是管理体系的完善,正所谓“信息安全是三分靠
6、技术七分靠管理”。虽然信息安全技术经过了20多年的发展,有许多安全产品可以用来加强信息系统的安全,但安全事件还是经常出现,因此信息安全管理成为一个组织的整个管理体系中的一个重要环节,而信息安全风险评估又是信息安全管理的基础和关键环节。因此为现有的各类组织提供较为完整的网络信息安全管理解决方案,是非常有意义的。 1 目前主流的信息安全技术手段 1.1 病毒防范技术 计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒侵入,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和数据。当计算机系统或文件染
7、有计算机病毒时,需要检测和消除。但是,计算机病毒一旦破坏了没有副本的文件,便无法医治。隐性计算机病毒和多态性计算机病毒更使人难以检测。在与计算机病毒的对抗中,如果能采取有效的防范措施,就能使系统不染毒,或者染毒后能减少损失。目前,世界上每天有1350种新病毒出现,并且60%的病毒都是通过互联网来进行传播。为了能有效保护信息资源,要求杀毒软件能支持所有企业可能用到的互联网协议及邮件系统,能适应并及时跟上瞬息万变的时代步伐。 1.2 防火墙技术 网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手
8、段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。它所保护的对象是网络中有明确闭合边界的一个网块,而它所防范的对象是来自被保护网块外部的安全威胁。目前防火墙产品主要有如下几种:包过滤防火墙:通常安装在路由器上,根据网络管理员设定的访问控制清单对流经防火墙信息包的IP源地址,IP目标地址、封装协议(如TCP/IP等)和端口号等进行筛选。但包过滤技术的缺陷也是明显的&#
9、65377;包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。代理服务器防火墙:包过滤技术可以通过对IP地址的封锁来禁止未经授权者的访问。代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。代理服务器通常由服务端程序和客户端程序两部分构成,客
10、户端程序与中间节(Proxy Server)连接,这样,从外部网络就只能看到代理服务器而看不到任何的内部资源。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。状态监视防火墙:通过检测模块对相关数据的监测后,从中抽取部分数据,并将其动态地保存起来作为以后制定安全决策的参考。采用状态监视器技术后,当用户的访问到达网关操作系统之前,状态监视器要对访问请求抽取有关数据结合网络配置和安全规定进行分析,以做出接纳、拒绝、鉴定或给该通信加密等的决定。一旦某个访问违反了上述安全规定
11、,安全报警器就会拒绝该访问,并向系统管理器报告网络状态。但它的配置非常复杂,而且会降低网络信息的传输速度。网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,就其产品的主流趋势而言,大多数代理服务器(也称应用网关)也集成了包滤技术,这两种技术的混合应用显然比单独使用更具有大的优势2。 No.32010年3月第30卷第3期一种基于病毒分析的网络信息安全支持平台的研究Mar.,2010Vol.30 No.31.3 加密型技术 以数据加密为基础的网络安全系统的特征是:通过对网络数据的可靠加密来保护网络系统中的所有数据
12、流,从而在不对网络环境作任何特殊要求的前提下,从根本上解决了网络安全的两大要求。采用加密技术网络系统的优点在于:不仅不需要特殊网络拓扑结构的支持,而且在数据传输过程中也不会对所经过网络路径的安全程度作出要求,从而真正实现了网络通信过程端到端的安全保障。预计在未来35年内,采用加密技术的网络安全系统有希望成为网络安全的主要实现方式。加密技术按加密密钥与解密密钥的对称性可分为对称型加密、不对称型加密、不可逆加密。在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法
13、可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用
14、于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制3。 1.4 入侵检测技术 入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性�
15、5377;它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。入侵检测技术主要分成两大类型:异常入侵检测:是指能够根据异常行为和使用计算机资源情况检测出来的入侵。异常入侵检测试图用定量方式描述可接受的行为特征,以区分非正常的、潜在的入侵性行为。误用入侵检测:是指利用已知系统和应用软件的弱点攻击模式来检测入侵。
16、误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击,并可以通过捕获攻击及重新整理,确认入侵活动是基于同一弱点进行攻击的入侵方法的变种4。 1.5 网络安全扫描技术 安全扫描技术是一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防御手
17、段,那么安全扫描就是一种主动的防范措施,可以有效避免黑客攻击行为,做到防患于未然。安全扫描技术主要分为两类:主机安全扫描技术和网络安全扫描技术。网络安全扫描技术主要针对系统中不合适的设置脆弱的口令,以及针对其它同安全规则抵触的对象进行检查等;而主机安全扫描技术则是通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。除了以上介绍的几种网络安全技术之外,还有一些被广泛应用的安全技术,如身份验证、存取控制、安全协议等5。 上述技术存在的缺陷:随着研究的逐步深入,信息安全的管理的理念发生了
18、转变,从单纯的技术手段逐渐向管理方面转变,在安全程度的界定上从绝对安全到目前的相对安全,从全面的安全防御到后来的评估其信息资产的相对安全程度的界定,并针对存在安全漏洞或威胁的程度采取相应的措施。 2 项目的理论基础 2.1 风险评估(Risk Assessment,RA)简介 1S0明确定义:风险评估是整个风险分析和风险评价的过程。风险分析是指系统地使用信息以识别来源,并估计风险;风险评价是依据给定的风险准则比较已估计的风险,从而确定风险严重程度的过程。 信息安全风险评估是组织按照有关信息安全技术与管理标准,对其内部的信息系统及由这些系统进行处理�
19、5380;传输和存储的相关信息的安全属性(包括机密性、完整性和可用性)进行评价的一个过程。它要评估组织内重要信息资产面临的各类威胁,以及威胁利用薄弱点导致安全事件发生的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,即信息安全的风险。 信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法,其结果为信息安全风险管理提供依据。(图1)是对干资产、薄弱点、威胁、风险等凤险评估所涉及的要素及其关系的描述。 图1 风险及其要素之间的关系模型 1S0270
20、01中提出了风险评估的方法论,指出了组织实施风险评估的步骤,具体内容如下侧: (1)定义组织的风险评估方法:识别适用干ISMS和已经识别的业务信息安全法律和法规要求的风险评估方法;建立接受风险的准则并识别风险的可接受等级。 (2)识别凤险:识别侣MS控制范围内的资产以及这些资产的所有者;识别对这些资产的威胁;识别可能被威胁利用的薄弱点;识别保密性、完整性和可用性损失可能对资产造成的影响。 (3)分析并评价风险:评估安全失效可能导致的组织业务影响,考虑因资产保密性、完整性、可用性的损失而导致的后果;根据资产的主要威胁ʍ
21、80;薄弱点、有关的影响以及已经实施的安全控制,评估安全失效发生的现实可能性;评价风险的等级;根据己建立的准则,判断风险是否可接受或需要处理。 虽然标准没有提出实施风险评估的具体方法,但是我们将按照15027001中的大致步骤,参考相关的指南和方法,以举例的方式对数字图书馆的重要信息资产实施一次风险评估6。 2.2“三分技术,七分管理”理念的提出 中国的信息安全技术发展至今,大体可分为3个阶段,单机防病毒阶段、网络安全阶段和真正意义的信息安全管理阶段。 第一阶段为1995年以前,这个时期电脑刚刚在国内应用,主要为单机文档工作
22、,以打字为主,基本没有联网。这个时期主要威胁是DOS病毒,信息安全的内容比较简单,以单机防病毒为主,可称为单机防病毒阶段。 第二阶段以1995年开始的校园网建设及门户网络建设为标志,至1999年,称为网络安全阶段。这个阶段以防止外部攻击和黑客为主,防火墙、入侵检测、防病毒、桌面管理、文档加密等安全产品和技术大规模应用,特别是前3种产品,以至于很多人至今对信息安全的理解就是防火墙、入侵检测和防病毒这老三样,直到现在还有人认为信息安全就是网络安全,其实这种认识是很片面和局限的ᦉ
23、7; 第三阶段自1999年开始,在IT应用程度最高的金融和电信等行业都很明显地体会到越来越多的信息安全问题,是仅仅依靠产品和技术根本无法解决的。统计数字表明,这个时期企业70%的信息安全事件产生的原因并不是来自外界的病毒和黑客,而是来自内部的未授权访问,而解决这些问题的主要出路要依靠管理。所谓“三分技术七分管理”就是这个时期提出的口号,为了解决愈来愈多的信息安全问题,以BS7799为代表的国际信息安全管理标准开始引入中国。至此,产品、技术和标准决定信息安全管理水平的三要素全部到位。这时中国才进入了真正意义的信息安全管理阶段,
24、这个阶段将一直延伸到今后相当长的一段时间7。 3 平台开发方法及实现功能 本研究平台,利用了目前针对信息安全问题的主流思想“三分技术七分管理”,将信息资产安全问题与目前的信息安全产品加以拟合,对不同杀毒软件进行管理、集成,最终形成一个基于网络信息安全的管理支持平台,对远程用户的信息安全状况进行评估,更为系统地提供信息安全服务。 3.1 系统开发框架(图1) 图2 网络安全支持平台 3.2 各部分构成与功能 (1)客户端:主要负责收集客户使用的杀毒软件所产生的日志,并将其形成文件传送到Agent。 (2)服务器端:将Agent发送过来的杀毒
25、软件日志,进行分析,包括杀毒软件类型、日志中各部分的含义,形成分门别类的统计。 (3)漏洞评估系统:将服务器端前期解析的文件进行处理,运用自动算法得出信息安全危害权值,并将其数据传送至网上,供用户查看。 3.3 杀毒软件的拟合 本平台主要是通过获取存在于客户机器中杀毒软件(NOD32、瑞星、诺顿、趋势等)每次杀毒产生的日志,对其进行特征解析,获得病毒类型、软件产品种类、日志产生日期、病毒位置、病毒数量等信息,由Agent进行通信,并进入到漏洞评估系统中进行
26、安全性评估,并将结果告知用户,提供相应的解决策略。 3.4 系统工作流程介绍 (1)在用户安装了系统客户端之后,用户打开软件,系统开始获取用户的杀毒软件信息。 (2)基于软件信息,获取日志文件,发送服务器端。 (3)服务器端接收日志文件,并将其纳入漏洞评估系统进行评估,产生评估报告。 (4)将产生的评估报告,以网页的形式上传,供用户查看。 4 结 语 目前,网络信息安全问题一直是一个热点问题,也是一个一直都未能解决的问题,黑客攻击、各种病毒的制造、浏览挂码网页等时刻威胁着上网者的安全,尤其是在配置了诸多有用资产的公司中尤为重要,而目前主流的信息安全产品多半以技术见长,而且各家的水平和软件风格又各不相同,而多数用户杀毒软件产品品种单一并且差异性较大,本平台的尝试是本着管理的理念,覆盖众多用户,采用ISO27000标准的评估体系,系统全面地进行信息资产安全的评估,与当前信息安全产品形成了互补,具有较强的实用性和系统性,在信息安全问题的解决上迈出了重要的一步。