科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道找到自身漏洞 信息安全脆弱性分析技术

找到自身漏洞 信息安全脆弱性分析技术

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

信息安全所涉及的内容越来越多,从最初的信息保密性,发展到现在的信息的完整性、可用性、可控性和不可否认性,信息技术在一步步走向成熟。

作者:赛迪网 来源:赛迪网 2007年10月10日

关键字: SOA 信息安全 Tva 系统安全

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共5页)

信息安全所涉及的内容越来越多,从最初的信息保密性,发展到现在的信息的完整性、可用性、可控性和不可否认性,信息技术在一步步走向成熟。

据国外Securityfocus公司的安全脆弱性统计数据表明,绝大部分操作系统存在安全脆弱性。一些应用软件面临同样的问题。再加上管理、软件复杂性等问题,信息产品的安全脆弱性还远未能解决。由于安全脆弱性分析事关重大,安全脆弱性发现技术细节一般不对外公布,例如最近Windows平台上Rpc安全脆弱性,尽管国外安全组织已经报告,但安全脆弱性分析过程及利用始终未透露。

信息系统安全脆弱性分析技术

当前安全脆弱性时刻威胁着网络信息系统的安全。要保障网络信息安全,关键问题之一是解决安全脆弱性问题,包括安全脆弱性扫描、安全脆弱性修补、安全脆弱性预防等。

网络系统的可靠性、健壮性、抗攻击性强弱也取决于所使用的信息产品本身是否存在安全隐患。围绕安全脆弱性分析的研究工作分为以下几个方面:

第一类,基于已知脆弱性检测及局部分析方法

Satan是最早的网络脆弱性分析工具,也是该类研究的代表,由网络安全专家Dan farmer和Wietse venema研制,其基本的设计思路是模拟攻击者来尝试进入自己防守的系统,Satan具有一种扩充性好的框架,只要掌握了扩充规则,就可以把自己的检测程序和检测规则加入到这个框架中去,使它成为Satan的一个有机成分。

正因为如此,当Satan的作者放弃继续开发新版本之后,它能被别的程序员接手过去,从魔鬼(Satan)一跃变成了圣者(Saint)。Saint与Satan相比,增加了许多新的检测方法,但丝毫没有改变Satan的体系结构。Satan 系统只能运行在Unix系统上,远程用户无法使用Satan检测。Saint解决了Satan远程用户问题,但是Satan和Saint都无法对一些远程主机的本地脆弱性进行采集,而且两者的脆弱信息分析方法停留在低级别上,只能处理原始的脆弱信息。

Nessus是一款免费、开放源代码和最新的网络脆弱性分析工具,可运行在Linux、Bsd、Solaris和其他平台上,实现多线程和插件功能,提供gtk界面,目前可检查多种远程安全漏洞。但是,Nessus只能从远程进行扫描获取脆弱性。许多脆弱性是本地的,不能通过网络检测到或被利用,例如收集主机配置信息,信任关系和组的信息难以远程获取。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章