一种网络安全漏洞类型分析、漏洞检测及信息保护的方法
文献发布时间:2023-06-19 18:37:28
技术领域
本发明涉及网络安全技术领域,更具体地说,本发明涉及一种网络安全漏洞类型分析、漏洞检测及信息保护的方法。
背景技术
前,由于互联网的快速发展以及应用,网络上各种软件系统成为黑客攻击的主要目标,大量网络安全事件的发生,给企业和用户造成了巨大损失,其中,重建的漏洞种类包括:操作系统漏洞、数据库漏洞以及网站中间件、网站程序漏洞OWASPTOP10以及广泛存在的漏洞缓冲区溢出等,目前在主动检测网络安全漏洞时及时检测出存在的漏洞依旧需要采用供应商提供的补丁进行修复,导致缺少对应不同漏洞的自主修复方案,难以主动对漏洞进行检测和防范。
发明内容
为了克服现有技术的上述缺陷,本发明提供了一种网络安全漏洞类型分析、漏洞检测及信息保护的方法,本发明所要解决的技术问题是:目前在主动检测网络安全漏洞时及时检测出存在的漏洞依旧需要采用供应商提供的补丁进行修复,导致缺少对应不同漏洞的自主修复方案,难以主动对漏洞进行检测和防范的问题。
为实现上述目的,本发明提供如下技术方案:一种网络安全漏洞类型分析、漏洞检测及信息保护的方法,所述检测系统的检测方法包括以下步骤:
漏洞扫描技术扫描主机漏洞、Web漏洞以及弱密码,通过对攻击漏洞进行模拟操作能够对计算机网络安全问题进行深入细致的分析,用户能够及时准确的了解系统存在的主要安全问题并实现快速处理,在进行漏洞扫描时具体可采用铳迅漏洞扫描系统对漏洞进行扫描。
在系统漏洞扫描完毕后则需要利用数据加密技术能够对计算机网络系统中的数据进行加密,通过加密处理后,在对数据进行压缩备份,数据备份通过U盘、百度网盘的实体存储方式或虚拟存储的方式进行备份。
当存在网络漏洞时则需要选择检测漏洞的方案,具体包括:
信息收集:信息收集是指通过各种方式获取目标系统的漏洞信息,直接关系到整个渗透测试工作的质量,信息收集方法包括,网络信息收集、端口扫描、应用扫描、系统扫描。
漏洞利用:综合利用信息收集步骤中获得的漏洞信息,制定模拟攻击方案并实施,可以利用一般漏洞,获得目标系统的一般权限,利用系统高级漏洞,提升权限等级,进而获得超级权限。
渗透测试报告:总结渗透结果并输出渗透测试报告,提出安全解决建议。
渗透测试工具:渗透测试工作可以依靠人工、思维和经验,利用安全工具实现渗透测试过程的自动化执行,提高工作效率,安全工具都可能存在误报,难以发现高层次、复杂的安全问题,所以二者相互结合。
漏洞防护方案:防止或减少网络漏洞的攻击,最好的方法是尽量避免主机端口被扫描和监听,并参照渗透测试报告和安全建议,采取有效措施进行防护,需采用漏洞防护方案。
作为本发明的进一步方案:对网络设备采用安全配置基本标准配置以提高安全性,安全配置基本的元素主要包括:
1)服务和应用程序设置。
2)操作系统组件配置。
3)权限和权利分配。
4)管理规则。
5)网络安全升级。
关闭或删除不必要的服务和组件,禁止与服务器功能无关的部分,包括服务协议、子系统和应用程序等,从而减少系统遭到攻击的可能性。
完善网站程序代码
对于网站程序漏洞的防护策略,要求开发人员完善网站程序代码。
网络安全升级
网络安全动态感知:在网络终端上加强对网络安全动态安全感知技术的应用,以加强对网络用户系统安全隐患的分析和感知,进而为安全威胁的及时识别和处理提供有效依据,并提供升级方案。
升级方案具体包括:获取最终成本度量、最终位置度量、最终可扩展性度量以及最终技能度量,并且其中为每个最终资源度量分配数字值,并且其中计算步骤进一步包括使用以下公式中的数字值来获取网络安全漏洞优先级:
(C×R影响×R成本×R位置×R可扩展性),其中C表示非零常数值,R影响表示影响度量,R成本表示最终成本度量,R位置表示最终位置度量,R可扩展性表示最终可扩展性度量,而R技能表示最终技能度量。
在经过测量以及可扩转性计算后得到数据最后保护方案,通过数据通过对不同成本的数据及不同等级的数据进行数据加密以及防护墙建立。
数据加密:在网络数据传输前,先对其进行加密,待接收后再进行解密。
现有使用的网络数据库管理系统平台大部分是Windows NT或者Unix,它们的平台操作系统的安全评价级别通常为c1级或者C2级,故而计算机拥有相对来说仍然比较脆弱的存储系统和数据传输公共信道,一些保密数据以及各种密码容易被PC机之类的设备以各种方式窃取、篡改或破坏。
防火墙:在网络终端计算机和局域网边界部署防火墙可以有效防范非法入侵行为,此外,防火墙一般还带有对网络连接行为的记录功能,能分析本地应用程序是否存在私自连接网络的行为提供依据。
入侵检测:在计算机网络系统的关键位置布置入侵检测系统,并对系统中潜在违反安全策略的行为和入侵迹象加强监控和分析,侵检测系统可以实现同防火墙的联动功能,一旦检测出非法入侵行为,就立即对非法访问请求加以截断。
漏洞扫描:计算机定期对网络系统的漏洞进行扫描,并对扫描出来的漏洞打上补丁,同时可根据正规提供商定期发布补丁进行更新,这些更新中往往就包含着对当前一些漏洞的弥补措施,且需及时对系统和程序进行更新升级。
防病毒系统:要在计算机网络系统内部的每一台服务器和用户终端上都安装防病毒软件,不仅要运用防病毒软件对终端上活跃的系统文件和应用程序加强监控,而且还应定期进行全盘查杀,以保障网络终端系统的安全性,要对防病毒软件及时进行升级,及时更新其病毒库,以提升防病毒系统对最新型计算机病毒的防护能力。
漏洞的定义为有恶意的人能够利用的软件硬件的缺陷及配置错误(misconfigura-tinn)补丁管理、配置管理和安全管理等常常相互竞争的学科,都已从单一的学科发展成为同一个信息技术(IT)方面的问题,那就是今天的漏洞管理,
漏洞管理像是个简单的工作,在大部分组织的网络中,漏洞管理既困难又复杂,一个典型的组织中包含定制的应用、移动用户及关键服务器,它们有不同的需要,不能只做简单的保护,更不能置之不理,软件厂商仍会发布不安全的代码,加入这些必须遵守的规定使管理者感到紧张,并且处于一种高压状况下,容易导致犯严重的错误。
针对漏洞管理的情况,出了“漏洞窗口”概念,它实际上指的是一个系统由于安全缺陷、配置问题或导致降低整个系统安全性的其他因素,而处于易受攻击的状态的时间有多长,漏洞窗口有以下两种类型:
未知漏洞窗口:从发现一个漏洞到系统打上该漏洞的补丁所经过的时间。
已知漏洞窗口:从厂商发布一个漏洞补丁到系统打上该漏洞的补丁所经过的时间。
大多数组织更关注第二种类型为已知漏洞窗口,但是当制定减轻风险策略时,计算未知漏洞窗口才是有价值的。
本发明的有益效果在于:本发明通过加强网络安全技术以及对网络数据中重要文件进行加密以及追踪保护,同时针对性的加强在不同情况下所需应对的不同方案,从而在遇到不同的网络安全漏洞时,不仅仅能够将其找出,且可以通过其对应的漏洞类型从而针对性的对其进行处理,且通过实时的扫描以及对应的防护方案,及时处理避免出现损失扩大的情况,同时,该检测方法中提出的不同解决方案均可进一步提高网站以及网络中的安全,避免自主威胁以及外力威胁,不仅可以补充自主修复漏洞的方案,同时提高了对漏洞的防范以及检测效。
具体实施方式
下面将对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1:
一种网络安全漏洞类型分析、漏洞检测及信息保护的方法,检测系统的检测方法包括以下步骤:
漏洞扫描技术扫描主机漏洞、Web漏洞以及弱密码,通过对攻击漏洞进行模拟操作能够对计算机网络安全问题进行深入细致的分析,用户能够及时准确的了解系统存在的主要安全问题并实现快速处理,在进行漏洞扫描时具体可采用铳迅漏洞扫描系统对漏洞进行扫描。
在系统漏洞扫描完毕后则需要利用数据加密技术能够对计算机网络系统中的数据进行加密,通过加密处理后,在对数据进行压缩备份,数据备份通过U盘、百度网盘的实体存储方式或虚拟存储的方式进行备份。
因采用加密技术处理系统数据,在网络系统传输过程中即使被黑客截取,由于设置了密码,黑客解密数据后只能获得乱码,无法获取正确的信息资源。
当存在网络漏洞时则需要选择检测漏洞的方案,具体包括:
信息收集:信息收集是指通过各种方式获取目标系统的漏洞信息,直接关系到整个渗透测试工作的质量,信息收集方法包括,网络信息收集、端口扫描、应用扫描、系统扫描。
漏洞利用:综合利用信息收集步骤中获得的漏洞信息,制定模拟攻击方案并实施,可以利用一般漏洞,获得目标系统的一般权限,利用系统高级漏洞,提升权限等级,进而获得超级权限。
渗透测试报告:总结渗透结果并输出渗透测试报告,提出安全解决建议。
渗透测试工具:渗透测试工作可以依靠人工、思维和经验,利用安全工具实现渗透测试过程的自动化执行,提高工作效率,安全工具都可能存在误报,难以发现高层次、复杂的安全问题,所以二者相互结合。
漏洞防护方案:防止或减少网络漏洞的攻击,最好的方法是尽量避免主机端口被扫描和监听,并参照渗透测试报告和安全建议,采取有效措施进行防护,需采用漏洞防护方案。
对网络设备采用安全配置基本标准配置以提高安全性,安全配置基本的元素主要包括:
2)服务和应用程序设置。
例如,只有指定用户才有权启动服务或运行应用程序。
2)操作系统组件配置。
例如,Internet信息服务(IIS)自带的所有样本文件必须从计算机上删除。
3)权限和权利分配。
例如,只有管理员才有权更改操作系统文件。
4)管理规则。
例如,计算机上的administrator密码每30天换一次。
5)网络安全升级。
关闭或删除不必要的服务和组件,禁止与服务器功能无关的部分,包括服务协议、子系统和应用程序等,从而减少系统遭到攻击的可能性。
完善网站程序代码
对于网站程序漏洞的防护策略,要求开发人员完善网站程序代码。
网络安全升级
网络安全动态感知:在网络终端上加强对网络安全动态安全感知技术的应用,以加强对网络用户系统安全隐患的分析和感知,进而为安全威胁的及时识别和处理提供有效依据,并提供升级方案。
升级方案具体包括:获取最终成本度量、最终位置度量、最终可扩展性度量以及最终技能度量,并且其中为每个最终资源度量分配数字值,并且其中计算步骤进一步包括使用以下公式中的数字值来获取网络安全漏洞优先级:
(C×R影响×R成本×R位置×R可扩展性),其中C表示非零常数值,R影响表示影响度量,R成本表示最终成本度量,R位置表示最终位置度量,R可扩展性表示最终可扩展性度量,而R技能表示最终技能度量。
在经过测量以及可扩转性计算后得到数据最后保护方案,通过数据通过对不同成本的数据及不同等级的数据进行数据加密以及防护墙建立
数据加密:在网络数据传输前,先对其进行加密,待接收后再进行解密。
防火墙:在网络终端计算机和局域网边界部署防火墙可以有效防范非法入侵行为,此外,防火墙一般还带有对网络连接行为的记录功能,能分析本地应用程序是否存在私自连接网络的行为提供依据。
入侵检测:在计算机网络系统的关键位置布置入侵检测系统,并对系统中潜在违反安全策略的行为和入侵迹象加强监控和分析,侵检测系统可以实现同防火墙的联动功能,一旦检测出非法入侵行为,就立即对非法访问请求加以截断。
漏洞扫描:计算机定期对网络系统的漏洞进行扫描,并对扫描出来的漏洞打上补丁,同时可根据正规提供商定期发布补丁进行更新,这些更新中往往就包含着对当前一些漏洞的弥补措施,且需及时对系统和程序进行更新升级。
防病毒系统:要在计算机网络系统内部的每一台服务器和用户终端上都安装防病毒软件,不仅要运用防病毒软件对终端上活跃的系统文件和应用程序加强监控,而且还应定期进行全盘查杀,以保障网络终端系统的安全性,要对防病毒软件及时进行升级,及时更新其病毒库,以提升防病毒系统对最新型计算机病毒的防护能力。
漏洞管理像是个简单的工作,在大部分组织的网络中,漏洞管理既困难又复杂,一个典型的组织中包含定制的应用、移动用户及关键服务器,它们有不同的需要,不能只做简单的保护,更不能置之不理,软件厂商仍会发布不安全的代码,加入这些必须遵守的规定使管理者感到紧张,并且处于一种高压状况下,容易导致犯严重的错误。
针对漏洞管理的情况,出了“漏洞窗口”概念,它实际上指的是一个系统由于安全缺陷、配置问题或导致降低整个系统安全性的其他因素,而处于易受攻击的状态的时间有多长,漏洞窗口有以下两种类型:
未知漏洞窗口:从发现一个漏洞到系统打上该漏洞的补丁所经过的时间。
已知漏洞窗口:从厂商发布一个漏洞补丁到系统打上该漏洞的补丁所经过的时间。
大多数组织更关注第二种类型为已知漏洞窗口,但是当制定减轻风险策略时,计算未知漏洞窗口才是有价值的。
实施例2:
一种网络安全漏洞类型分析、漏洞检测及信息保护的方法,检测系统的检测方法包括以下步骤:
漏洞扫描技术扫描主机漏洞、Web漏洞以及弱密码,通过对攻击漏洞进行模拟操作能够对计算机网络安全问题进行深入细致的分析,用户能够及时准确的了解系统存在的主要安全问题并实现快速处理,在进行漏洞扫描时具体可采用铳迅漏洞扫描系统对漏洞进行扫描。
在系统漏洞扫描完毕后则需要利用数据加密技术能够对计算机网络系统中的数据进行加密,通过加密处理后,在对数据进行压缩备份,数据备份通过U盘、百度网盘的实体存储方式或虚拟存储的方式进行备份。
当存在网络漏洞时则需要选择检测漏洞的方案,具体包括:
信息收集:信息收集是指通过各种方式获取目标系统的漏洞信息,直接关系到整个渗透测试工作的质量,信息收集方法包括,网络信息收集、端口扫描、应用扫描、系统扫描。
漏洞利用:综合利用信息收集步骤中获得的漏洞信息,制定模拟攻击方案并实施,可以利用一般漏洞,获得目标系统的一般权限,利用系统高级漏洞,提升权限等级,进而获得超级权限。
渗透测试报告:总结渗透结果并输出渗透测试报告,提出安全解决建议。
渗透测试工具:渗透测试工作可以依靠人工、思维和经验,利用安全工具实现渗透测试过程的自动化执行,提高工作效率,安全工具都可能存在误报,难以发现高层次、复杂的安全问题,所以二者相互结合。
漏洞防护方案:防止或减少网络漏洞的攻击,最好的方法是尽量避免主机端口被扫描和监听,并参照渗透测试报告和安全建议,采取有效措施进行防护,需采用漏洞防护方案。
对网络设备采用安全配置基本标准配置以提高安全性,安全配置基本的元素主要包括:
3)服务和应用程序设置。
2)操作系统组件配置。
3)权限和权利分配。
4)管理规则。
5)网络安全升级。
关闭或删除不必要的服务和组件,禁止与服务器功能无关的部分,包括服务协议、子系统和应用程序等,从而减少系统遭到攻击的可能性。
完善网站程序代码
对于网站程序漏洞的防护策略,要求开发人员完善网站程序代码。
网络安全升级
网络安全动态感知:在网络终端上加强对网络安全动态安全感知技术的应用,以加强对网络用户系统安全隐患的分析和感知,进而为安全威胁的及时识别和处理提供有效依据,并提供升级方案。
升级方案具体包括:获取最终成本度量、最终位置度量、最终可扩展性度量以及最终技能度量,并且其中为每个最终资源度量分配数字值,并且其中计算步骤进一步包括使用以下公式中的数字值来获取网络安全漏洞优先级:
(C×R影响×R成本×R位置×R可扩展性),其中C表示非零常数值,R影响表示影响度量,R成本表示最终成本度量,R位置表示最终位置度量,R可扩展性表示最终可扩展性度量,而R技能表示最终技能度量。
在经过测量以及可扩转性计算后得到数据最后保护方案,通过数据通过对不同成本的数据及不同等级的数据进行数据加密以及防护墙建立
数据加密:在网络数据传输前,先对其进行加密,待接收后再进行解密。
防火墙:在网络终端计算机和局域网边界部署防火墙可以有效防范非法入侵行为,此外,防火墙一般还带有对网络连接行为的记录功能,能分析本地应用程序是否存在私自连接网络的行为提供依据。
入侵检测:在计算机网络系统的关键位置布置入侵检测系统,并对系统中潜在违反安全策略的行为和入侵迹象加强监控和分析,侵检测系统可以实现同防火墙的联动功能,一旦检测出非法入侵行为,就立即对非法访问请求加以截断。
漏洞扫描:计算机定期对网络系统的漏洞进行扫描,并对扫描出来的漏洞打上补丁,同时可根据正规提供商定期发布补丁进行更新,这些更新中往往就包含着对当前一些漏洞的弥补措施,且需及时对系统和程序进行更新升级。
防病毒系统:要在计算机网络系统内部的每一台服务器和用户终端上都安装防病毒软件,不仅要运用防病毒软件对终端上活跃的系统文件和应用程序加强监控,而且还应定期进行全盘查杀,以保障网络终端系统的安全性,要对防病毒软件及时进行升级,及时更新其病毒库,以提升防病毒系统对最新型计算机病毒的防护能力。
漏洞管理像是个简单的工作,在大部分组织的网络中,漏洞管理既困难又复杂,一个典型的组织中包含定制的应用、移动用户及关键服务器,它们有不同的需要,不能只做简单的保护,更不能置之不理,软件厂商仍会发布不安全的代码,加入这些必须遵守的规定使管理者感到紧张,并且处于一种高压状况下,容易导致犯严重的错误。
针对漏洞管理的情况,出了“漏洞窗口”概念,它实际上指的是一个系统由于安全缺陷、配置问题或导致降低整个系统安全性的其他因素,而处于易受攻击的状态的时间有多长,漏洞窗口有以下两种类型:
未知漏洞窗口:从发现一个漏洞到系统打上该漏洞的补丁所经过的时间。
已知漏洞窗口:从厂商发布一个漏洞补丁到系统打上该漏洞的补丁所经过的时间。
大多数组织更关注第二种类型为已知漏洞窗口,但是当制定减轻风险策略时,计算未知漏洞窗口才是有价值的。
最后应说明的几点是:虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明的基础上,以上各实施例仅用以说明本发明的技术方案,而非对其限制。尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换。而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。