漏洞扫描安全评估方法浅析

微信公众号：计算机与网络安全

ID：Computer-network

漏洞扫描作为网络安全防护中的重要技术，已得到了广泛应用。本文对漏洞扫描技术进行介绍，并以漏洞扫描技术为主要研究对象，综合分析该技术在网络安全评估方面的运用方法，对构建正确的网络安全评估模式具有一定的积极意义 。

随着社会信息化程度越来越高，用户所处的信息化环境也越来越复杂，各种网络安全问题接踵而来，主动的、被动的攻击每分每秒都在网络上发生，用户对信息安全的重视程度越来越高。在这场没有硝烟的战争中，攻防双方都在努力 寻找克敌制胜的方法，而漏洞扫描无疑是一把利剑，攻击者通过它可以寻找网络或系统的弱点进行攻击，防守者也能通过它来找出自身存在的弱点，消除安全隐患，防范攻击。基于漏洞扫描技术的网络安全评估，就是利用漏洞扫描技术主动的、非破坏性的特点，对系统进行自动检测并生成检测报告，通过对检测报告的分析判断，确定网络风险程度，生成网络安全评估报告提供给网络管理员，由网络管理员进行手动干预或通过安全防护设备联动机制消除网络风险，从而做到先敌一步，未雨绸缪，为网络安全防护工作助力护航 。

1. 漏洞扫描技术简介

（1）漏洞的定义

漏洞的定义方法很多，在网络安全领域，广泛公认的定义主要有两种：一种 是Vulnerability，即弱点，指因为操作系统和各种应用软件在顶层设计或者程序编码上客观存在的缺陷和大意，从而为攻击者提供了攻击的途径，另外一种是Exploit，除了弱点所包含的攻击途径外还包括了攻击者的入侵行为。比较常见的漏洞有 Windows操作系统漏洞，office安全漏洞、IE浏览器安全漏洞等 。从各种网络安全事件当中我们不难发现，黑客的攻击绝大多数都是利用被入侵系统的漏洞才能完成有效的攻击，所以作为网络安全防护一方就必须尽早的、主动地寻找网络存在的各种漏洞或者说弱点，及时进行防护 。

（2）漏洞扫描技术

目前安全产品主要有反病毒、防火墙、商用密码 、CA系统以及入侵检测与漏 洞扫描。其中反病毒、防火墙和入侵检测这三类与网络攻击相关的产品都是属于被动防御的范畴，而漏洞扫描产品则属于主动防御。它能够在可能的黑客攻击发生之前找出系统存在的漏洞，并提醒系统管理员将其修补。漏洞扫描技术，是基于网络的、探测目标网络或设备信息的技术，其原理是依靠TCP/IP探测，发现目标网络或设备的配置文件、端口的分配、所开放的网络服务类型、服务器的操作系统等各类有用信息，继而通过模拟黑客的攻击手段，对 系统可能存在的漏洞进行一一检测，最终确定系统存在的安全漏洞，提供给 网络管理员。漏洞扫描技术经过几十年的不断发展已经比较成熟，对其的分类也主要有两种方式，一是根据其工作过程，二是根据其工作原理。

根据其工作过程，可以分为确定目标存活技术，目标信息收集技术、目标漏洞扫描技术三个部分。确定目标存活是利用ping扫描，通过向目标系统发送各种TCP、UDP报文， 根据目标是否返回报文和返回的报文内容从而确定目标系统是否在线，其主要包括ICMP广播、ICMP扫射、ICMP非回显、TCP和 UDP扫射；目标信息收集是在确定目标系统在线的前提下，通过端口扫描 、操作系统判别和系统服务识别来确定目标系统所开放的端口，所运行的操作 系统和所提供的系统服务，其主要包括全（半）连接扫描、秘密扫描、欺骗扫描、主被动协议栈识别和旗标获取等等；目标漏洞扫描是根据掌握的目标信息对目标系统进行有选择的漏洞探测，选择的依据主要基于漏洞数据库和漏洞扫描插件。

根据其工作原理，可分为基于主机的扫描和基于网络的扫描技术。基于主机的扫描，一般在主机上安装代理软件，针对主机的操作系统进行扫描检测，涉及 系统内核、文件属性、系统补丁，也包括弱口令分析等。主要采用客户/服务端架构；基于网络的扫描是通过网络对远程目标进行漏洞探测，主要是基于漏洞特征库构造数据包发送给目标系统，或者通过插件对目标系统进行扫描，确定对方是否存在相应的漏洞 。

例如，检测Microsoft SQL Server中是否存在DDOS漏洞，可以向SQL Server建立连接，观察是否连接成功，然后发送连续字节数的0并关闭连接，等待数秒后再次向SQL Server发起建立连接请求，如果不能连接，则说明 Microsoft SQL Server中存在DDOS漏洞。

2. 漏洞扫描技术的风险评估应用

任何一种技术，如果没有应用也就失去了其存在的价值，漏洞扫描技术也同样如此 。网络管理员了解掌握了这种技术之后，关键是如何把它更合理、更有效地应用到网络安全管理当中去，网络风险评估正是漏洞扫描技术能够大展身手的舞台。

（1）网络风险评估

在网络安全领域，网络风险评估非常重要。在网络上连接的任何一台计算机 中存在的系统漏洞都可能让躲在网络上其它地方蠢蠢欲动的恶意攻击者获得侵 入计算机网络内部，破坏计算机网络信息数据的完整性、可用性、机密性。网络风险评估，是对网络自身存在的脆弱性状况，外界环境可能导致网络安全事件发生的可能性以及可能造成的影响进行评价，其最终目的是要指导系统管理员在“安全代价”和“侵入可能性”这两者之间找到平衡。网络风险评估方法主要经历了从手动评估到自动评估，由局部评估向整体评估，由基于规则的评估向基于模型的评估的发展过程。

（2）漏洞扫描技术的评估应用

漏洞扫描技术在网络风险评估中的应用，主要是采用基于规则的自动化的扫描技术，对网络系统进行漏洞检测，生成报表提供给网络管理员，报表中包括扫描的漏洞结果，并对扫描出来的漏洞提出解决方法或建议。在系统实现上可 以采用客户端/服务器的结构，也可以采用浏览器/服务器的架构。客户端/服务器的结构是通过在分布式网络的多个不同物理地点安装扫描代理，并在中央控制台进行集中管理的方式，实现漏洞扫描的策略下发、策略执行、策略制定和漏洞特征库的升级和插件的更新 。浏览器/服务器的架构是用户使用浏览器向服务器提出扫描申请，由服务器执行扫描，并以风险评估报告的形式向用户提供扫描处理结果。

在漏洞扫描技术的应用过程中，主要涉及到了三个主要的问题，一是漏洞特征库的更新，二是漏洞的匹配规则，三是漏洞的风险等级或影响程度的判断。

所谓漏洞特征库，是网络安全专家、网络管理员根据所发布的安全漏洞，结合黑客攻击案例和实际安全配置工作经验所制定出的漏洞检测匹配条件库。漏洞特征库的完整性，主要影响漏洞扫描的准确性。漏洞扫描的主要依据就是漏洞 特征库，安全评估系统将收集到目标信息与漏洞特征库进行匹配，如果匹配成功，则说明信息存在相应的漏洞。现在一个漏洞出现后，从漏洞确认到漏洞 可利用性判定只需要几个小时的时间，为了使所防护的网络不遭受最新的安全漏洞威胁，必须尽可能的缩短漏洞特征库的更新时间。漏洞特征库更新的主要来源是免费性来源和商业性来源，第一个免费漏洞来源是BugTraq的黑客邮 件列表，用户通过发送邮件的方式就可以免费获得。商业性来源是为机构提 供的需要购买的安全服务，相对免费来源，商业性来源的时效性更强，性价比 更高，网络管理员可以根据自身的防护要求进行取舍或者综合使用。

漏洞的匹配规则，是基于规则进行漏洞确认的基础，通过匹配规则的有效制定，可以提高漏洞扫描的工作效率，减少漏洞的误报率和漏报率。漏洞的匹配规则可以人为制定，也可以通过选择扫描软件内置的匹配规则内容来实施。随着漏洞特征库的升级，漏洞的匹配规则也需要不断的更新、扩充和修改。

漏洞风险等级或者影响程度的判断，在有效识别出系统存在的漏洞后就需要进 一步确定漏洞的风险等级，从而判断出哪些漏洞需要优先进行处理，哪些是可以忽略或者说非破坏性的漏洞。判断的依据主要是两点，一是漏洞对系统可能 造成的危害和影响有多大，二是所影响的资源有多重要。在进行相互的比较后，确定急需处理的系统资源和危害最大的漏洞，并最终体现在评估报告中。

3. 结语

作为网络风险评估工具，漏洞扫描在技术和应用方面已非常成熟。漏洞扫描技术能够适应复杂的网络环境，高效、自动地远程对目标网络和设备进行全面的风险评估，报告危险等级。通过采用漏洞扫描技术的网络风险评估，网络管理员可以根据评估报告采取相应的措施，例如给系统打补丁、关闭不需要的应用服务等来对系统进行加固。

↑↑↑长按图片识别二维码关註↑↑↑

原文始发于微信公众号（全栈网络空间安全）：漏洞扫描安全评估方法浅析