專利名稱:一種面向等級保護(hù)的漏洞掃描方法
技術(shù)領(lǐng)域:
本發(fā)明屬于漏洞掃描方法,特別是面向等級保護(hù)的漏洞掃描方法。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)安全問題不僅成為了社會關(guān)注的熱點,也得到了政府的高度重視。2004年9月,由公安部、國家保密局、國家密碼管理委員會辦公室、國務(wù)院信息化工作辦公室聯(lián)合下發(fā)了《關(guān)于信息安全等級保護(hù)的實施意見》(公通字[2004]66號),明確了實施等級保護(hù)的基本做法。2007年6月,上述四單位又聯(lián)合下發(fā)了《信息安全等級保護(hù)管理辦法》(公通字[2007]43號),規(guī)范了等級保護(hù)的管理。大部分系統(tǒng)的安全評定首先需要通過檢查工具對系統(tǒng)進(jìn)行安全漏洞檢測來確定安全評估因素,對于系統(tǒng)安全漏洞的檢測,作為安全評估的重要環(huán)節(jié),對整個“等級保護(hù)”體系中具有極為重要的意義。將“等級保護(hù)”的概念與漏洞掃描系統(tǒng)進(jìn)行有機(jī)的結(jié)合,對于提高漏洞掃描的針對性。促進(jìn)“等級保護(hù)”的實施和發(fā)展,具有比較大的現(xiàn)實意義。等級保護(hù)是指導(dǎo)我國信息安全保障體系總體建設(shè)的基礎(chǔ)管理原則,是圍繞信息安全保障安全過程的一項基礎(chǔ)性管理制度,其核心內(nèi)容是對信息安全分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。
發(fā)明內(nèi)容
1、本發(fā)明的目的。本發(fā)明提供一種面向等級保護(hù)的漏洞掃描方法,通過對OpenVAS開源漏洞庫的規(guī)劃分類,使系統(tǒng)的掃描效率有了大幅的提升,加入等保匹配規(guī)則后,系統(tǒng)在基本不影響掃描速度的情況下做出了正確的匹配。2、本發(fā)明所采用的技術(shù)解決方案
面向等級保護(hù)的漏洞掃描方法,采用Client/Server模式,Server端負(fù)責(zé)運行安全掃描進(jìn)程,通過任務(wù)協(xié)商模塊、任務(wù)分析模塊分解、任務(wù)接收模塊來執(zhí)行的安全掃描,并由等保分類庫根據(jù)掃描對象等級的差異進(jìn)行漏洞腳本庫插件的加載;Client用來配置安全等級需求,提供友好的交互界面,通過任務(wù)提交模塊請求服務(wù)端進(jìn)程都指定的目標(biāo)對象進(jìn)行規(guī)定安全保護(hù)等級的掃描,最終得到分類漏洞的掃描報告及目標(biāo)系統(tǒng)的等級保護(hù)風(fēng)險分析手艮告。漏洞腳本庫按照等級保護(hù)劃分原則分為用戶、系統(tǒng)審計、安全標(biāo)記、結(jié)構(gòu)化、訪問驗證四大類,然后再針對每一大類的具體情況按照樹狀結(jié)構(gòu)將其下屬的漏洞腳本分為四十四個小類包括Remote file access、General、RPC等,并針對等級保護(hù)級別差異以及目標(biāo)對象自身特點加入特定的漏洞庫選擇規(guī)則。所述Client端包括任務(wù)管理模塊,對掃描任務(wù)進(jìn)行管理,包括新建掃描任務(wù)、刪除掃描任務(wù)、修改掃描任務(wù)、啟動、停止掃描任務(wù)。所述Server端包括掃描引擎,包括兩大部分:通信模塊和任務(wù)模塊;通信模塊主要完成與客戶端的數(shù)據(jù)交換,一方面從掃描客戶端接受各種控制命令和掃描請求,另一方面,將掃描結(jié)果向客戶端進(jìn)行傳送;掃描操作人員指明要執(zhí)行的掃描任務(wù),提交給Client的通信模塊,掃描引擎中的通信模塊接收到請求后再將任務(wù)傳遞給任務(wù)模塊進(jìn)行處理,后者通過漏洞掃描插件完成檢查,將所得信息返回Client并動態(tài)生成結(jié)果報告。任務(wù)協(xié)商模塊、任務(wù)分解模塊、任務(wù)接收模塊三個模塊組成的任務(wù)掃描模塊是單獨運行的模塊實體,其自身不受控于掃描線程,接收來自掃描器前段的指令,調(diào)度掃描任務(wù)的運行,調(diào)度是根據(jù)不同的等保策略調(diào)度不同的漏洞掃描插件。掃描代理模塊與對應(yīng)不同等級的插件信息獲取是核心,它提供一個擴(kuò)展的API接口,對用戶透明。與具體任務(wù)交互的功能以及對Client端發(fā)送的數(shù)據(jù)包的解析,及用戶界面的展現(xiàn)交由Server端任務(wù)進(jìn)程進(jìn)行處理。3、本發(fā)明的有益效果。本發(fā)明與現(xiàn)有技術(shù)相比,其顯著優(yōu)點:
1)對開源系統(tǒng)庫進(jìn)行了規(guī)劃分類,提高了掃描效率;
2)能夠增強(qiáng)針對性和擴(kuò)展性;
3)對漏洞庫腳本進(jìn)行了規(guī)劃,方便今后對漏洞庫系統(tǒng)組織與調(diào)用;
4)能夠適應(yīng)于不同級別的等級保護(hù)對象的安全弱點檢測。
圖1是系統(tǒng)結(jié)構(gòu)示意圖。圖2是漏洞庫分類結(jié)構(gòu)示意圖。
具體實施方式
實施例此方法采用Client/Server模式。Server端負(fù)責(zé)運行安全掃描進(jìn)程,通過任務(wù)協(xié)商、分解、接受模塊來執(zhí)行一個特定的安全掃描,并由等保分類庫根據(jù)掃描對象等級的差異進(jìn)行漏洞庫插件的加載;客戶端用來配置安全等級需求,提供友好的交互界面,通過任務(wù)提交模塊請求服務(wù)端進(jìn)程都指定的目標(biāo)對象進(jìn)行規(guī)定安全保護(hù)等級的掃描,最終得到分類漏洞的掃描報告及目標(biāo)系統(tǒng)的等級保護(hù)風(fēng)險分析報告。系統(tǒng)結(jié)構(gòu)示意圖如圖1所示,本方法的包括如下基本功能模塊:
任務(wù)管理。對掃描任務(wù)進(jìn)行管理,包括新建掃描任務(wù)、刪除掃描任務(wù)、修改掃描任務(wù)、啟動、停止掃描任務(wù)等;
報告管理。對服務(wù)器端返回的掃描結(jié)果進(jìn)行處理,包括生成分析報告、保存掃描結(jié)果
等;
掃描引擎。對通訊模塊接收的任務(wù)進(jìn)行執(zhí)行,對目標(biāo)對象進(jìn)行漏洞掃描,包括目標(biāo)對象的等級保護(hù)級別、工作狀態(tài)、系統(tǒng)信息、服務(wù)及端口狀態(tài)等;
系統(tǒng)配置。對C/S進(jìn)行配置,如等級保護(hù)分類庫、連接超時時間、通訊模塊讀取數(shù)據(jù)的超時時間、漏洞庫是否自動更新、是否創(chuàng)建日志文件等;
通信模塊。用于client端和Server端進(jìn)行任務(wù)的提交以及掃描結(jié)果的反饋。
漏洞庫管理。對漏洞庫中插件進(jìn)行管理。該框架中,掃描代理模塊與對應(yīng)不同等級的插件信息獲取是核心,它提供一個擴(kuò)展的API接口,對用戶透明。與具體任務(wù)交互的功能以及對Client端發(fā)送的數(shù)據(jù)包的解析,及用戶界面的展現(xiàn)交由Server端任務(wù)進(jìn)程進(jìn)行處理。對漏洞腳本庫進(jìn)行了規(guī)劃:先將整個漏洞腳本按照等級保護(hù)劃分原則分為用戶、系統(tǒng)審計、安全標(biāo)記、結(jié)構(gòu)化、訪問驗證四大類。然后再針對每一大類的具體情況按照樹狀結(jié)構(gòu)將其下屬的漏洞腳本分為四十四個小類,,包含Remote file access、General、RPC、NIS、Databases等。漏洞庫分類結(jié)構(gòu)示意圖如圖2所示。該漏洞庫存放所有的漏洞檢測腳本,系統(tǒng)自身內(nèi)部建有一套漏洞檢測腳本,對于每個漏洞,利用其相應(yīng)的模擬攻擊代碼都可以用該腳本編制一個掃描該屬性的插件,這些插件提供統(tǒng)一的結(jié)構(gòu)為掃描引擎所調(diào)用。腳本基于統(tǒng)一的格式,在屬性描述部分包含漏洞的各種屬性,在掃描代碼部分提供分類、高效的掃描代碼函數(shù),以提供給用戶基于掃描功能的插件配置和等級保護(hù)配置。在分類基礎(chǔ)上,針對等級保護(hù)級別差異以及目標(biāo)對象自身特點加入特定的漏洞庫選擇規(guī)則。以等級保護(hù)第三項中的一項“網(wǎng)絡(luò)訪問控制”為例,在其具體測評要求中包含如下幾條:1)應(yīng)檢查邊界的網(wǎng)絡(luò)設(shè)備,查看其是都對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾,實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制;2)應(yīng)檢查主要網(wǎng)絡(luò)設(shè)備,查看是否有訪問控制措施(如VLAN,訪問控制列表、MAC地址綁定)控制便攜式和移動式設(shè)備接入網(wǎng)絡(luò)。如圖1的結(jié)果圖所示,掃描引擎分為兩大部分:通信模塊和任務(wù)模塊。通信模塊主要完成與客戶端的數(shù)據(jù)交換,一方面從掃描客戶端接受各種控制命令和掃描請求,另一方面,將掃描結(jié)果向客戶端進(jìn)行傳送。掃描操作人員在n中指明要執(zhí)行的掃描任務(wù),提交給Client的通信模塊,掃描引擎中的通信模塊接收到請求后再將任務(wù)傳遞給任務(wù)模塊進(jìn)行處理,后者通過漏洞掃描插件完成檢查,將所得信息返回Client并動態(tài)生成結(jié)果報告。任務(wù)掃描模塊是實際執(zhí)行分布式加載和漏洞掃描的程序?qū)嶓w。主要分為三個部分:任務(wù)協(xié)商、任務(wù)分解、任務(wù)接受。三個模塊接受來自掃描器前段的指令,調(diào)度掃描任務(wù)的運行。調(diào)度是根據(jù)不同的等保策略調(diào)度不同的漏洞掃描插件。具體應(yīng)用方法是任務(wù)模塊為每一個掃描任務(wù)都聲稱一個IDL接口,并且對掃描任務(wù)的屬性、操作和之間的關(guān)系進(jìn)行轉(zhuǎn)換。以一個系統(tǒng)審計級的掃描任務(wù)(Scan_System_Audit)為例,該任務(wù)分割及轉(zhuǎn)換方法如下:
1)掃描定義轉(zhuǎn)換。IDL使用關(guān)鍵字interface定義接口,在任務(wù)分割中,Scan_System_Audit繼承IDL中任務(wù)定義IDE _System_Audit ,掃描任務(wù)定義轉(zhuǎn)換為:{private:1nterface Scan_System_Audit:1DE _System_Audit};
2)掃描屬性的轉(zhuǎn)換。IDL接口屬性字attribute表示。如Scan_System_Audit類屬性中IP轉(zhuǎn)換對應(yīng)IDL接口屬性為Attribute IP ;
3)掃描方法的轉(zhuǎn)換。Scan_SyStem_Audit中定義的掃描方法轉(zhuǎn)換對應(yīng)的IDL接口為:SystemConfig ();
4)掃描關(guān)系轉(zhuǎn)換。Scan_System_Audit和分級保護(hù)中的用戶級掃描ScanJJser之間存在多對多的關(guān)系,在接口中,這個關(guān)系通過生成Scan_User類型的屬性來描述,定義為:Typedef interface <Scan_User> Scan_System_Audit_def ; Attribute Scan_System_Audit_def Scan_System—Audit.上述實施例不以任何方式限制本發(fā)明,凡是采用等同替換或等效變換的方式獲得的技術(shù)方案均落在本發(fā)明的保護(hù)范圍內(nèi)。
權(quán)利要求
1.一種面向等級保護(hù)的漏洞掃描方法,其特征在于:采用Client/Server模式,Server端負(fù)責(zé)運行安全掃描進(jìn)程,通過任務(wù)協(xié)商模塊、任務(wù)分析模塊分解、任務(wù)接收模塊來執(zhí)行的安全掃描,并由等保分類庫根據(jù)掃描對象等級的差異進(jìn)行漏洞腳本庫插件的加載;Client用來配置安全等級需求,提供友好的交互界面,通過任務(wù)提交模塊請求服務(wù)端進(jìn)程都指定的目標(biāo)對象進(jìn)行規(guī)定安全保護(hù)等級的掃描,最終得到分類漏洞的掃描報告及目標(biāo)系統(tǒng)的等級保護(hù)風(fēng)險分析報告。
2.根據(jù)權(quán)利要求1所述的面向等級保護(hù)的漏洞掃描方法,其特征在于:漏洞腳本庫按照等級保護(hù)劃分原則分為用戶、系統(tǒng)審計、安全標(biāo)記、結(jié)構(gòu)化、訪問驗證四大類,然后再針對每一大類的具體情況按照樹狀結(jié)構(gòu)將其下屬的漏洞腳本分為四十四個小類。
3.根據(jù)權(quán)利要求2所述的面向等級保護(hù)的漏洞掃描方法,其特征在于:漏洞腳本小類包括 Remote file access、General、RPC。
4.根據(jù)權(quán)利要求1所述的面向等級保護(hù)的漏洞掃描方法,其特征在于:所述Client端包括任務(wù)管理模塊,對掃描任務(wù)進(jìn)行管理,包括新建掃描任務(wù)、刪除掃描任務(wù)、修改掃描任務(wù)、啟動、停止掃描任務(wù)。
5.根據(jù)權(quán)利要求1所述的面向等級保護(hù)的漏洞掃描方法,其特征在于:所述Server端包括掃描引擎,包括兩大部分:通信模塊和任務(wù)模塊;通信模塊主要完成與客戶端的數(shù)據(jù)交換,一方面從掃描客戶端接受各種控制命令和掃描請求,另一方面,將掃描結(jié)果向客戶端進(jìn)行傳送;掃描操作人員指明要執(zhí)行的掃描任務(wù),提交給Client的通信模塊,掃描引擎中的通信模塊接收到請求后再將任務(wù)傳遞給任務(wù)模塊進(jìn)行處理,后者通過漏洞掃描插件完成檢查,將所得信息返回Client并動態(tài)生成結(jié)果報告。
6.根據(jù)權(quán)利要求1所述的面向等級保護(hù)的漏洞掃描方法,其特征在于:任務(wù)協(xié)商模塊、任務(wù)分解模塊、任務(wù)接收模塊三個模塊接收來自掃描器前段的指令,調(diào)度掃描任務(wù)的運行,調(diào)度是根據(jù)不同的等保策略調(diào)度不同的漏洞掃描插件。
全文摘要
本發(fā)明公開了一種面向等級保護(hù)的漏洞掃描方法,從等級保護(hù)的角度提出了一個系統(tǒng)安全漏洞的分類。本發(fā)明采用Client/Server模式,Server端負(fù)責(zé)運行安全掃描進(jìn)程,通過任務(wù)協(xié)商模塊、任務(wù)分析模塊分解、任務(wù)接收模塊來執(zhí)行的安全掃描,并由等保分類庫根據(jù)掃描對象等級的差異進(jìn)行漏洞腳本庫插件的加載;Client用來配置安全等級需求,提供友好的交互界面,通過任務(wù)提交模塊請求服務(wù)端進(jìn)程都指定的目標(biāo)對象進(jìn)行規(guī)定安全保護(hù)等級的掃描,最終得到分類漏洞的掃描報告及目標(biāo)系統(tǒng)的等級保護(hù)風(fēng)險分析報告。本發(fā)明對漏洞腳本庫按照等級保護(hù)劃分原則進(jìn)行了規(guī)劃,并在掃描引擎中加入了任務(wù)模塊,有效的提高了掃描效率。
文檔編號G06F21/57GK103106368SQ20131005903
公開日2013年5月15日 申請日期2013年2月26日 優(yōu)先權(quán)日2013年2月26日
發(fā)明者李千目, 汪歡, 夏斌, 戚湧, 侯君 申請人:南京理工大學(xué)常熟研究院有限公司