当前位置:文档之家 > 第6章 网络安全

第6章 网络安全

第6章网络安全

6.3 漏洞扫描与网络隔离技术

随着计算机技术和互联网的迅速发展,来自网络的攻击每年呈几何级数增多。这些攻击中的大多数是利用计算机操作系统或其他软件系统的漏洞(vulnerability)而实施的。针对层出不穷的系统安全漏洞,微软等软件厂商都会定期发布漏洞报告并提供补丁,但由于用户群的数量巨大,分布很广,很多情况下不能及时对系统进行更新,使得攻击者有可乘之机。

而随着操作系统、数据库等软件系统的越来越复杂,出现漏洞的数量逐年增多,频率也比以前大大增加了。下表是来自美国卡内基梅隆大学计算机应急响应小组(CERT/CC)的统计数字,显示了1998年以来该组织收到的计算机漏洞报告的数量。

表6-3 CERT/CC历年漏洞报告数量统计

从表中可以看出,2000年以后,每年新发现的漏洞数量已经数以百计,远远高于2000年以前的情况。而这还只是官方的统计,还有很多漏洞在民间发现后未报告给官方组织,也没有相应的安全补丁。

随着攻击技术的发展,漏洞不但数量上呈爆发式增加,而且每个漏洞被首次发现和此漏洞被成功利用形成攻击的时间间隔也越来越短,从几个月、几周缩小到几天,甚至出现了所谓“零日攻击”,即漏洞公开和攻击形成之间几乎没有以“天”计算
的时间间隔。例如,2004年3月份出现的维迪(Worm_Witty.A)病毒,利用美国ISS公司产品的安全漏洞感染破坏使用运行该公司产品的主机,该病毒是在漏洞公布的第二天就出现了,几近于“零日攻击”。这给信息系统的安全带来了十分严峻的挑战。

随着攻击技术的发展,漏洞不但数量上呈爆发式增加,而且每个漏洞被首次发现和此漏洞被成功利用形成攻击的时间间隔也越来越短,从几个月、几周缩小到几天,甚至出现了所谓“零日攻击”,即漏洞公开和攻击形成之间几乎没有以“天”计算的时间间隔。例如,2004年3月份出现的维迪(Worm_Witty.A)病毒,利用美国ISS公司产品的安全漏洞感染破坏使用运行该公司产品的主机,该病毒是在漏洞公布的第二天就出现了,几近于“零日攻击”。这给信息系统的安全带来了十分严峻的挑战。

本节将从漏洞介绍人手,首先介绍漏洞的概念和漏洞的分类,然后在简要描述漏洞扫描技术的基础上,对目前流行的几种商用和非商用漏洞扫描器产品给予介绍,最后介绍网络隔离技术。

6.3.1 漏洞及其分类

1. 漏洞的概念

漏洞,也叫脆弱点,英文叫做vulnerability,是指在计算机硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。例如,在Intel Pentium芯片中存在的逻辑错误,在Sendmail早期版本中的编程错误,在NFS

下载Word文档免费下载:

第6章 网络安全下载

(共22页)