安全测评分级文档EAL2——脆弱性分析

**系统脆弱性分析1 引言在GB 20278《网络脆弱性扫描产品技术要求》中对脆弱性(vulnerability )给出了如下定义：网络系统和设备中能被利用并造成危害的弱点。

由此可见，脆弱性是网络系统和设备本身存在的、由于某些安全需求未被满足而产生的。

但是值得注意的是，如果没有被相应的威胁利用，单纯的脆弱性本身不会对网络系统和设备的安全造成损害，而且如果通过一些其他安全措施的防护或在一定的网络环境下，某些脆弱性本身是很难被威胁所利用从而对网络系统和设备的安全造成影响的。

作为一种安全设备，部署于用户网络中被用户所使用，**系统自身安全性是我们始终关注并努力改进的。

下面我们将从多个角度分析**系统自身可能存在的脆弱性以及部署使用过程中可能面临的威胁，并说明我们采用了哪些有效的安全防范措施，使得可能存在的各种威胁无法利用这些脆弱性对**系统自身的安全性造成影响。

2 脆弱性分析2.1应用脆弱性分析2.1.1传输加密**系统采用B/S结构设计，管理员需通过浏览器登录扫描器的web管理控制台实现对扫描引擎的管理和操作，这种管理行为最终以数据包形式被扫描引擎接收并响应。

在数据包传输过程中可能面临着信息泄露和被篡改的威胁，为应对这一状况，我们使用https加密传输方式取代使用明文传输的http协议。

另外，**系统使用自定义的8888端口替代了https协议默认的443端口，从而进一步加大了恶意攻击者进行数据监听和篡改的难度，极大的保障了扫描器web管理控制台与扫描引擎之间通信的传输安全性。

2.1.2抗暴力破解暴力破解又称穷举法，是一种针对于密码的破译方法，即将密码进行逐个推算直到找出真正的密码为止。

扫描器管理员在对扫描器进行使用之前，首先需登录扫描器web 管理控制台，而这个登录过程就是一个身份鉴别的过程。

用户需输入正确的用户名和用户密码才能够登录web管理控制台，进行进一步的操作。

用户密码是有限长度的，如果密码长度较短并且足够简单就可能被恶意攻击者通过暴力破解方式猜解到，从而冒充合法用户登录扫描器web管理控制台，危害扫描器及其所在网络的安全。

分级文档编写指南EAL3版本：2.0©版权2008—中国信息安全测评中心二〇〇八年八月目录1安全目标 (1)1.1ST引言 (1)1.2TOE描述 (1)1.3TOE安全环境 (2)1.4安全目的 (4)1.5IT安全要求 (4)1.6TOE概要规范 (5)1.7PP声明 (6)1.8基本原理 (7)2配置管理 (8)2.1配置管理能力 (8)2.2配置管理范围 (8)3交付和运行 (9)3.1交付 (9)3.2安装、生成和启动程序 (9)4开发类文档 (10)4.1功能规范 (10)4.2高层设计 (10)4.3对应性分析文档 (10)5指导性文档 (11)5.1管理员指南 (11)5.2用户指南 (11)6测试相关文档 (12)6.1功能测试 (12)6.2测试范围分析 (12)6.3测试深度分析 (12)7生命周期支持相关文档 (13)7.1开发安全 (13)8脆弱性分析 (14)8.1误用分析 (14)8.2安全功能强度分析 (14)8.3脆弱性分析 (14)1安全目标（ST）一个ST包括特定的TOE的IT安全要求以及TOE提供的规定安全功能和保证措施，以满足所述的安全要求。

对一个TOE而言，ST是开发者、评估者、用户在TOE安全特性和评估范围之间达成一致的基础。

一个ST读者不限于对TOE制造和评估负有责任，但可能负有管理、营销、购买、安装、配置、操作和使用TOE的责任。

ST应是一个面向用户使用的文档，应尽可能少地引用用户不易得到的其他材料。

申请者提供的文档《安全目标》编写方法详见GB/Z 20283《信息安全技术保护轮廓和安全目标产生指南》，本文档只作概要性的描述。

1.1ST引言1.1.1ST标识1) 包括ST 标识信息，如：ST 标题、版本号、申请的保证级别、编写日期和作者；2) 包括此ST文档所描述的TOE 标识信息，如：TOE 名称、TOE 版本号。

1.1.2ST概述1）概括ST的文档结构及所包含的内容；2）概括介绍TOE 的类别、形态、主要组成、功能及应用环境。

分级文档EAL2 -- 脆弱性分析产品类别：信息安全产品产品名称：益盟操盘手网上证券交易系统1.0申请单位：上海益盟软件技术有限公司编写人：李晓东编写日期：2010年4月中国信息安全测评中心目录1网络风险 (3)2 黑客网络攻击手段 (4)2.1 捕捉口令 (4)2.2 屏幕监控 (5)2.3 窃取TCP连接 (5)2.4 驱动攻击 (5)2.5 系统弱点攻击 (5)2.6 根用户攻击 (6)2.7 趁火打劫攻击法 (6)2.8 虚假路径攻击法 (7)2.9 信息协议的弱点攻击法 (7)2.10系统管理员失误攻击法 (7)2.11 重放(Replay)攻击法 (7)2.12 ICMP报文的攻击法 (7)2.13 地址模报文攻击法 (8)2.14 源路径选项的弱点攻击法 (8)2.15 以太网的广播攻击法 (8)2.16 远交近攻 (8)3 益盟操盘手网上证券交易系统脆弱性分析 (9)网络安全问题一般可分为网络系统安全和数据安全两类。

网络系统安全问题是指网络系统遭到未经授权的非法攻击、存取或破坏；数据安全问题则指机要、敏感数据被窃取并非法复制、使用等。

诺方产品可为用户的数据安全保护提供完整的解决方案。

在现实世界中，网络系统一旦出现安全问题，其代价往往是惊人的。

因此，充分认识到网络应用所带来的风险并采取必要的安全防范措施是非常关键的。

1网络风险随着中国信息产业现代化进程的加快，网上的各种应用也随之发展起来。

如：电子银行、网上定票、各种费用查询及支付、人才中介、电子报税、工商信息、网上书店、预定饭店、电子黄页、网上展览会、展销会、招商洽谈会、实时交通信息、网上图书馆、网上博物馆、远程教学、远程医疗、电视会议等等。

众多的网上应用带来了网络开放的问题。

网络不开放不行，特别是一个商业网络，不开放意味着无法为客户提供更好的网络服务。

可是，一旦敞开网络大门，人们在欢欣鼓舞网络资源优势得以充分发挥、网络技术得到发展、应用日渐广泛、服务质量和效率大大提高的同时，网络安全问题也显得日益突出了。

产品脆弱性评估文档脆弱性检测是信息安全风险评估的重点。

脆弱性检测一般以信息系统脆弱性的分类为切入点，以脆弱性特征库的建立为工作的重点，以确定脆弱性采集方案为最终目标。

脆弱性的分类方法为特征库中的脆弱性提供了组织形式，特征库中包含的脆弱性的粒度将决定脆弱性的采集方案[1]。

在国际标准化组织(ISO)所制定的第13335 号信息安全管理指南中，将脆弱性检测从资产的角度进行分类，提出了物理层面、人员、管理等重要概念。

在国家标准《信息安全风险评估指南》中，明确将脆弱性分成物理、网络、系统、应用与管理五大方面，并提出从这五个方面来识别脆弱性。

本文对信息系统的应用脆弱性检测的方法进行研究，提出了应用脆弱性检测的一些指导方法。

1.隐蔽信道技术分析隐蔽信道是资源配置策略和资源管理执行结果的信道。

利用正常情况下不认为是数据客体的实体，从一个主体到另一个主体进行信息传输的信道，称为隐蔽信道。

因此，TCSEC定义隐蔽信道是一个通信信道，它允许进程以一种违反系统安全策略的方式传递信息:隐蔽信道只和非自主访问安全策略有关，与自主访问安全模型无关。

隐蔽信道是一种可用于在用户之间传递信息的机制，而这种机制是系统不允许的。

隐蔽信道又分为隐蔽存储信道和时间隐蔽信道。

隐蔽存储信道:如果一个进程直接或间接地写一个数据变量，另外一个进程直接或间接地读这个数据变量，这样形成的隐蔽信道就称为隐蔽存储信道。

时间隐蔽信道:如果一个进程通过调整它自己使用的系统资源(例如:CPU时间)的方法，从而影响到实际的响应时间，另一个进程通过观察这个响应时间，获取相应的信息。

这样形成的隐蔽信道就称为时间隐蔽信道。

不管是隐蔽存储信道还是时间隐蔽信道，发送者和接收者之间的信息必须有同步关系。

2.隐蔽信道标识隐蔽信道标识就是搜索系统中可能存在的隐蔽信道，并进行标识。

一个隐蔽信道可以用一个三元组表示:<V; PA, PV>，V 表示共享变量；PA表示对共享变量V进行写操作的TCB 原语；PV表示对共享变量V 进行读操作的TCB 原语。

脆弱性评估文档GAT_390-2002_计算机信息系统安全等级保护通用技术要求5.2.7.1 隐蔽信道分析应确定并标识出TCB 中非预期的信号通道的存在性，及其潜在的容量。

通道容量的估计是基于非形式化的工程度量和实际的测量。

隐蔽信道分析所基于的假设可以包括处理器速度、系统或网络配置、内存大小和缓存大小等。

隐蔽信道分析是建立在TCB 的实现、管理员指南、用户指南以及完整定义的外部接口等基础上的。

隐蔽信道分析可以是一般性的，也可以是系统化的，或者是严格的，其要求如下：a）一般性的隐蔽信道分析，应通过对隐蔽信道的非形式化搜索，标识出可标识的隐蔽信道，为此要求：——对每个信息流控制策略都应搜索隐蔽信道，并提供隐蔽信道分析的文档；——分析文档应标识出隐蔽信道并估计它们的容量；——分析文档应描述用于确定隐蔽信道存在的过程，以及进行隐蔽信道分析所需要的信息；——分析文档应描述隐蔽信道分析期间所作的全部假设；——分析文档应当描述最坏的情况下对通道容量进行估计的方法；——分析文档应当为每个可标识的隐蔽信道描述其最坏的利用情形。

b）系统化的隐蔽信道分析，应通过对隐蔽信道的系统化搜索，标识出可标识的隐蔽信道。

为此，要求开发者以结构化、可重复的方式标识出隐蔽信道。

除上述一般性隐蔽信道分析要求外，还要求分析文档提供证据证明用于标志隐蔽信道的方法是系统化的。

c）彻底的隐蔽信道分析，应通过对隐蔽信道的穷举搜索，标识出可标识的隐蔽信道。

为此，要求开发者提供额外的证据，证明对隐蔽信道的所有可能的搜索方法都已执行。

其具体要求与系统化隐蔽信道分析要求相同。

5.2.7.2 防止误用应防止对TCB 以不安全的方式进行使用或配置而不为人们所察觉。

为此，应使对TCB 的无法检测的不安全配置和安装，操作中人为的或其它错误造成的安全功能解除、无效或者无法激活，以及导致进入无法检测的不安全状态的风险达到最小。

要求提供指导性文档，以防止提供冲突、误导、不完备或不合理的指南。

脆弱性识别内容脆弱性是资产本身存在的，如果没有被相应的威胁利用，单纯的脆弱性本身不会对资产造成损害。

而且如果系统足够强健，严重的威胁也不会导致安全事件发生，并造成损失。

即，威胁总是要利用资产的脆弱性才可能造成危害。

资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现，这是脆弱性识别中最为困难的部分。

不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性。

脆弱性识别是风险评估中最重要的一个环节。

脆弱性识别可以以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估；也可以从物理、网络、系统、应用等层次进行识别，然后与资产、威胁对应起来。

脆弱性识别的依据可以是国际或国家安全标准，也可以是行业规范、应用流程的安全要求。

对应用在不同环境中的相同的弱点，其脆弱性严重程度是不同的，评估者应从组织安全策略的角度考虑、判断资产的脆弱性及其严重程度。

信息系统所采用的协议、应用流程的完备与否、与其他网络的互联等也应考虑在内。

脆弱性识别时的数据应来自于资产的所有者、使用者，以及相关业务领域和软硬件方面的专业人员等。

脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。

脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。

管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面，前者与具体技术活动相关，后者与管理环境相关。

对不同的识别对象，其脆弱性识别的具体要求应参照相应的技术或管理标准实施。

例如，对物理环境的脆弱性识别应按GB/T 9361中的技术指标实施；对操作系统、数据库应按GB 17859—1999中的技术指标实施；对网络、系统、应用等信息技术安全性的脆弱性识别应按GB/T 18336—2001中的技术指标实施；对管理脆弱性识别方面应按GB/T 19716—2005的要求对安全管理制度及其执行情况进行检查，发现管理脆弱性和不足。