淺談黑客攻防

劉　熙

[摘要]安全掃描軟件是把雙刃劍，黑客利用它入侵系統，而系統管理員掌握它以后又可以有效的防范黑客入侵。因此，安全掃描是保證系統和網絡安全必不可少的手段，必須仔細研究利用。

[關鍵詞]安全掃描 策略 漏洞 安全策略 操作系統

中圖分類號：TP3 文獻標識碼：A 文章編號：1671-7597（2009）0110050-01

提到黑客的攻防就不得不提到安全掃描，安全掃描就是對計算機系統或者其它網絡設備進行安全相關的檢測，以找出安全隱患和可被黑客利用的漏洞。顯然，安全掃描軟件是把雙刃劍，黑客利用它入侵系統，而系統管理員掌握它以后又可以有效的防范黑客入侵。因此，安全掃描是保證系統和網絡安全必不可少的手段，必須仔細研究利用。

安全掃描通常采用兩種策略，第一種是被動式策略，第二種是主動式策略。所謂被動式策略就是基于主機之上，對系統中不合適的設置，脆弱的口令以及其他同安全規則抵觸的對象進行檢查；而主動式策略是基于網絡的，它通過執行一些腳本文件模擬對系統進行攻擊的行為并記錄系統的反應，從而發現其中的漏洞。利用被動式策略掃描稱為系統安全掃描，利用主動式策略掃描稱為網絡安全掃描。

一、目前安全掃描主要涉及的檢測技術

相信大家已經對安全掃描有了一個初步的認識，這里進一步介紹安全掃描的四種檢測技術：

1．基于應用的檢測技術，它采用被動的，非破壞性的辦法檢查應用軟件包的設置，發現安全漏洞。

2．基于主機的檢測技術，它采用被動的，非破壞性的辦法對系統進行檢測。通常，它涉及到系統的內核，文件的屬性，操作系統的補丁等問題。

3．基于目標的漏洞檢測技術，它采用被動的，非破壞性的辦法檢查系統屬性和文件屬性，如數據庫，注冊號等。

4．基于網絡的檢測技術，它采用積極的，非破壞性的辦法來檢驗系統是否有可能被攻擊崩潰。

5．優秀的安全掃描產品應該是綜合了以上4種方法的優點，最大限度的增強漏洞識別的精度。

二、安全掃描在企業部署安全策略中處于重要地位

從前面的介紹可以看出安全掃描在維護計算機安全方面起到的重要作用，但僅僅裝備安全掃描軟件是不夠的。

現有的信息安全產品中主要包括以下幾個部分：防火墻，反病毒，加強的用戶認證，訪問控制和認證，加密，評估，記錄報告和預警，安全固化的用戶認證，認證，物理安全。這樣，在部署安全策略時，有許多其它的安全基礎設施要考慮進來，如防火墻，病毒掃描器，認證與識別產品，訪問控制產品，加密產品，虛擬專用網等等。如何管理這些設備，是安全掃描系統和入侵偵測軟件的職責。通過監視事件日志，系統受到攻擊后的行為和這些設備的信號，作出反應。這樣，安全掃描系統就把這些設備有機地結合在一起。因此，而安全掃描是一個完整的安全解決方案中的一個關鍵部分，在企業部署安全策略中處于非常重要的地位。

大家可能已經注意到防火墻和安全掃描的同時存在，這是因為防火墻是不夠的。防火墻充當了外部網和內部網的一個屏障，但是并不是所有的外部訪問都是通過防火墻的。比如，一個未經認證的調制解調器把內部網連到了外部網，就對系統的安全構成了威脅。此外，安全威脅往往并不全來自外部，很大一部分來自內部。另外，防火墻本身也很有可能被黑客攻破

三、網絡安全和系統安全主要薄弱環節

要正確部署安全策略、有針對性的使用安全掃描產品，有必要了解一下安全的主要薄弱環節在哪里。下面提到的三個問題是產生安全漏洞的主要原因：

1．軟件自身安全性差。很多軟件在設計時忽略或者很少考慮安全性問題，考慮了安全性的軟件產品也往往因為開發人員缺乏安全培訓、沒有安全經驗而造成了安全漏洞。

2．安全策略不當。保證系統安全不是僅僅使用個別安全工具就能做到的，需要在對網絡進行總體分析的前提下制定安全策略，并且用一系列的安全軟件來實現一個完整的安全解決方案。常見的錯誤例子是使用了防火墻而忽略了掃描系統，或者相反。

3．人員缺乏安全意識。前面闡述的一切都是在技術層面上對網絡安全進行分析和討論，所有這一切都需要人來完成。

四、安全掃描技術的發展趨勢

安全掃描軟件從最初的專門為UNIX系統編寫的一些只具有簡單功能的小程序，發展到現在，已經出現了多個運行在各種操作系統平臺上的、具有復雜功能的商業程序。今后的發展趨勢，我們認為有以下幾點：

1．使用插件（plugin）或者叫做功能模塊技術。每個插件都封裝一個或者多個漏洞的測試手段，主掃描程序通過調用插件的方法來執行掃描。僅僅是添加新的插件就可以使軟件增加新功能，掃描更多漏洞。在插件編寫規范公布的情況下，用戶或者第三方公司甚至可以自己編寫插件來擴充軟件的功能。同時這種技術使軟件的升級維護都變得相對簡單，并具有非常強的擴展性。

2．使用專用腳本語言。這其實就是一種更高級的插件技術，用戶可以使用專用腳本語言來擴充軟件功能。這些腳本語言語法通常比較簡單易學，往往用十幾行代碼就可以定制一個簡單的測試，為軟件添加新的測試項。

3．由安全掃描程序到安全評估專家系統。最早的安全掃描程序只是簡單的把各個掃描測試項的執行結果羅列出來，直接提供給測試者而不對信息進行任何分析處理。而當前較成熟的掃描系統都能夠將對單個主機的掃描結果整理，形成報表，能夠并對具體漏洞提出一些解決方法，但對網絡的狀況缺乏一個整體的評估，對網絡安全沒有系統的解決方案。

五、用戶選擇安全掃描產品應注意的問題

談到這里，也許有些計算機安全管理人員開始考慮購買一套安全掃描系統，那么，購買此類產品需要考慮哪些方面呢？我們認為以下幾點是要注意的：

1．升級問題。在選擇產品時，首先要注意產品是否能直接從因特網升級、升級方法是否能夠被非專業人員掌握，同時要注意產品制造者有沒有足夠的技術力量來保證對新出現漏洞作出迅速的反應。

2．可擴充性。對具有比較深厚的網絡知識，并且希望自己擴充產品功能的用戶來說，應用了功能模塊或插件技術的產品應該是首選。

3．全面的解決方案。前面已經指出，網絡安全管理需要多種安全產品來實現，僅僅使用安全掃描系統是難以保證網絡的安全的。選擇安全掃描系統，要考慮產品制造商能否提供包括防火墻、網絡監控系統等完整產品線的全面的解決方案。

4．人員培訓。前面已經分析過，網絡安全中人是薄弱的一環，許多安全因素是與網絡用戶密切相關的，提高本網絡現有用戶、特別是網絡管理員的安全意識對提高網絡安全性能具有非同尋常的意義。因此，在選擇安全掃描產品時，要考慮制造商有無能力提供安全技術培訓。

最后有關安全掃描的知識就談到這里，希望能夠有助于讀者增加安全知識、提高安全意識，為我國的網絡安全建設貢獻一份自己的力量。