一種基于病毒分析的網絡信息安全支持平臺的研究

[摘 要]本文通過對目前信息安全現狀的背景分析，以及對前人信息安全解決策略的總結，提出了基于信息安全界主流的“三分技術，七分管理”理念的信息安全解決方案，基于對目前主流殺毒軟件產品的日志分析，從而評價信息安全現狀以此提出解決策略，并詳細介紹了根據以上理念而開發的信息安全支持平臺的構造及開發方法，為解決信息安全尤其是企業信息資產的安全問題提供了參考#65377;

[關鍵詞]信息安全;病毒分析;風險評估

[中圖分類號]G250.73 [文獻標識碼]B [文章編號]1008-0821(2010)03-0170-04

A Method for Information Security Risk Based on Computer Virus AnalysisLiu Xudong Yu Haoxin Sun Yangyang Peng Bi

(College of Information Science and Technology，Nanjing Agriculture University，Nanjing 210000，China)

[Abstract]This article based on the solution of information security，summarized the methods used by former scholars，gave a method for information security risk based on computer virus analysis.The method collected the documents which noted the information of security software，then calculated the grade of information security.Finally，found the resolve measures of the problem and tell the users.

[Key words]information security risk;computer virus analysis;security risk assessment

互聯網的迅速發展使得信息的傳輸與加工可以在瞬間跨越地理位置的障礙而遍布世界各地，計算機網絡已成為人們生活的重要組成部分，但是計算機網絡的特點與局限決定了它將承受眾多的安全威脅#65377;中國互聯網絡信息中心(CNNIC)發布的《第23次中國互聯網絡發展狀況統計報告》#65377;報告顯示，截至2008年底，中國網民數達到2.98億，手機網民數超1億達1.137億#65377;

艾瑞市場咨詢根據公安部公共信息網絡安全監察局統計數據顯示，2006年中國(大陸)病毒造成的主要危害情況:“瀏覽器配置被修改”是用戶提及率最高的選項，達20.9%，其次病毒造成的影響還表現為“數據受損或丟失”18%，“系統使用受限”16.1%，“密碼被盜”13.1%，另外“受到病毒非法遠程控制”提及率為6.1%“無影響”的只有4.2%[1]#65377;從以上數據可以看出，目前網絡信息安全問題已非常嚴重，病毒#65380;木馬#65380;惡意代碼#65380;物理故障#65380;人為破壞等等都無時無刻不威脅著網絡的信息安全#65377;人們開始不斷探索和研究防止網絡威脅的手段和方法，并且很快在殺毒軟件#65380;防火墻技術#65380;入侵檢測技術等方面取得了迅猛的發展#65377;然而，這并沒有從根本上解決計算機網絡的安全問題#65377;來自計算機網絡的威脅更加多樣化和隱蔽化，越來越多的研究人員開始研究網絡信息安全與風險評估問題#65377;

從用戶角度來說，信息作為信息系統的重要資產，是企業和組織進行正常商務運作和管理不可或缺的資源#65377;保障信息安全能夠防止信息受到威脅，以確保業務的連續，使業務風險最小化，投資回報和商業機遇最大化#65377;信息安全的保障除了技術的完善與提高外，更重要的是管理體系的完善，正所謂“信息安全是三分靠技術七分靠管理”#65377;雖然信息安全技術經過了20多年的發展，有許多安全產品可以用來加強信息系統的安全，但安全事件還是經常出現，因此信息安全管理成為一個組織的整個管理體系中的一個重要環節，而信息安全風險評估又是信息安全管理的基礎和關鍵環節#65377;因此為現有的各類組織提供較為完整的網絡信息安全管理解決方案，是非常有意義的#65377;

1 目前主流的信息安全技術手段

1.1 病毒防范技術

計算機病毒防范，是指通過建立合理的計算機病毒防范體系和制度，及時發現計算機病毒侵入，并采取有效的手段阻止計算機病毒的傳播和破壞，恢復受影響的計算機系統和數據#65377;當計算機系統或文件染有計算機病毒時，需要檢測和消除#65377;但是，計算機病毒一旦破壞了沒有副本的文件，便無法醫治#65377;隱性計算機病毒和多態性計算機病毒更使人難以檢測#65377;在與計算機病毒的對抗中，如果能采取有效的防范措施，就能使系統不染毒，或者染毒后能減少損失#65377;目前，世界上每天有13~50種新病毒出現，并且60%的病毒都是通過互聯網來進行傳播#65377;為了能有效保護信息資源，要求殺毒軟件能支持所有企業可能用到的互聯網協議及郵件系統，能適應并及時跟上瞬息萬變的時代步伐#65377;

1.2 防火墻技術

網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備#65377;它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態#65377;它所保護的對象是網絡中有明確閉合邊界的一個網塊，而它所防范的對象是來自被保護網塊外部的安全威脅#65377;目前防火墻產品主要有如下幾種:①包過濾防火墻:通常安裝在路由器上，根據網絡管理員設定的訪問控制清單對流經防火墻信息包的IP源地址，IP目標地址#65380;封裝協議(如TCP/IP等)和端口號等進行篩選#65377;但包過濾技術的缺陷也是明顯的#65377;包過濾技術是一種完全基于網絡層的安全技術，只能根據數據包的來源#65380;目標和端口等網絡信息進行判斷，無法識別基于應用層的惡意侵入，如惡意的Java小程序以及電子郵件中附帶的病毒#65377;有經驗的黑客很容易偽造IP地址，騙過包過濾型防火墻#65377;②代理服務器防火墻:包過濾技術可以通過對IP地址的封鎖來禁止未經授權者的訪問#65377;代理型防火墻也可以被稱為代理服務器，它的安全性要高于包過濾型產品，并已經開始向應用層發展#65377;代理服務器位于客戶機與服務器之間，完全阻擋了二者間的數據交流#65377;代理服務器通常由服務端程序和客戶端程序兩部分構成，客戶端程序與中間節(Proxy Server)連接，這樣，從外部網絡就只能看到代理服務器而看不到任何的內部資源#65377;由于外部系統與內部服務器之間沒有直接的數據通道，外部的惡意侵害也就很難傷害到企業內部網絡系統#65377;③狀態監視防火墻:通過檢測模塊對相關數據的監測后，從中抽取部分數據，并將其動態地保存起來作為以后制定安全決策的參考#65377;采用狀態監視器技術后，當用戶的訪問到達網關操作系統之前，狀態監視器要對訪問請求抽取有關數據結合網絡配置和安全規定進行分析，以做出接納#65380;拒絕#65380;鑒定或給該通信加密等的決定#65377;一旦某個訪問違反了上述安全規定，安全報警器就會拒絕該訪問，并向系統管理器報告網絡狀態#65377;但它的配置非常復雜，而且會降低網絡信息的傳輸速度#65377;網絡防火墻技術的作為內部網絡與外部網絡之間的第一道安全屏障，是最先受到人們重視的網絡安全技術，就其產品的主流趨勢而言，大多數代理服務器(也稱應用網關)也集成了包濾技術，這兩種技術的混合應用顯然比單獨使用更具有大的優勢[2]#65377;

] No.32010年3月第30卷第3期一種基于病毒分析的網絡信息安全支持平臺的研究Mar.，2010Vol.30 No.31.3 加密型技術

以數據加密為基礎的網絡安全系統的特征是:通過對網絡數據的可靠加密來保護網絡系統中的所有數據流，從而在不對網絡環境作任何特殊要求的前提下，從根本上解決了網絡安全的兩大要求#65377;采用加密技術網絡系統的優點在于:不僅不需要特殊網絡拓撲結構的支持，而且在數據傳輸過程中也不會對所經過網絡路徑的安全程度作出要求，從而真正實現了網絡通信過程端到端的安全保障#65377;預計在未來3~5年內，采用加密技術的網絡安全系統有希望成為網絡安全的主要實現方式#65377;加密技術按加密密鑰與解密密鑰的對稱性可分為對稱型加密#65380;不對稱型加密#65380;不可逆加密#65377;在對稱加密技術中，對信息的加密和解密都使用相同的鑰，也就是說一把鑰匙開一把鎖#65377;這種加密方法可簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密算法#65377;如果在交換階段私有密鑰未曾泄露，那么機密性和報文完整性就可以得以保證#65377;對稱加密技術也存在一些不足，如果交換一方有N個交換對象，那么他就要維護N個私有密鑰，對稱加密存在的另一個問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對方的#65377;在非對稱加密體系中，密鑰被分解為一對(即公開密鑰和私有密鑰)#65377;這對密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開，而另一把作為私有密鑰(解密密鑰)加以保存#65377;公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對應于生成密鑰的交換方#65377;非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應用于身份認證#65380;數字簽名等信息交換領域#65377;非對稱加密體系一般是建立在某些已知的數學難題之上，是計算機復雜性理論發展的必然結果#65377;最具有代表性是RSA公鑰密碼體制[3]#65377;

1.4 入侵檢測技術

入侵檢測是防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力(包括安全審計#65380;監視#65380;進攻識別和響應)，提高了信息安全基礎結構的完整性#65377;它從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象#65377;入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊#65380;外部攻擊和誤操作的實時保護#65377;入侵檢測技術主要分成兩大類型:①異常入侵檢測:是指能夠根據異常行為和使用計算機資源情況檢測出來的入侵#65377;異常入侵檢測試圖用定量方式描述可接受的行為特征，以區分非正常的#65380;潛在的入侵性行為#65377;②誤用入侵檢測:是指利用已知系統和應用軟件的弱點攻擊模式來檢測入侵#65377;誤用入侵檢測的主要假設是具有能夠被精確地按某種方式編碼的攻擊，并可以通過捕獲攻擊及重新整理，確認入侵活動是基于同一弱點進行攻擊的入侵方法的變種[4]#65377;

1.5 網絡安全掃描技術

安全掃描技術是一類重要的網絡安全技術#65377;安全掃描技術與防火墻#65380;入侵檢測系統互相配合，能夠有效提高網絡的安全性#65377;通過對網絡的掃描，網絡管理員可以了解網絡的安全配置和運行的應用服務，及時發現安全漏洞，客觀評估網絡風險等級#65377;網絡管理員可以根據掃描的結果更正網絡安全漏洞和系統中的錯誤配置，在黑客攻擊前進行防范#65377;如果說防火墻和網絡監控系統是被動的防御手段，那么安全掃描就是一種主動的防范措施，可以有效避免黑客攻擊行為，做到防患于未然#65377;安全掃描技術主要分為兩類:主機安全掃描技術和網絡安全掃描技術#65377;網絡安全掃描技術主要針對系統中不合適的設置脆弱的口令，以及針對其它同安全規則抵觸的對象進行檢查等;而主機安全掃描技術則是通過執行一些腳本文件模擬對系統進行攻擊的行為并記錄系統的反應，從而發現其中的漏洞#65377;除了以上介紹的幾種網絡安全技術之外，還有一些被廣泛應用的安全技術，如身份驗證#65380;存取控制#65380;安全協議等[5]#65377;

上述技術存在的缺陷:隨著研究的逐步深入，信息安全的管理的理念發生了轉變，從單純的技術手段逐漸向管理方面轉變，在安全程度的界定上從絕對安全到目前的相對安全，從全面的安全防御到后來的評估其信息資產的相對安全程度的界定，并針對存在安全漏洞或威脅的程度采取相應的措施#65377;

2 項目的理論基礎

2.1 風險評估(Risk Assessment，RA)簡介

1S0明確定義:風險評估是整個風險分析和風險評價的過程#65377;風險分析是指系統地使用信息以識別來源，并估計風險;風險評價是依據給定的風險準則比較已估計的風險，從而確定風險嚴重程度的過程#65377;

信息安全風險評估是組織按照有關信息安全技術與管理標準，對其內部的信息系統及由這些系統進行處理#65380;傳輸和存儲的相關信息的安全屬性(包括機密性#65380;完整性和可用性)進行評價的一個過程#65377;它要評估組織內重要信息資產面臨的各類威脅，以及威脅利用薄弱點導致安全事件發生的可能性，并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響，即信息安全的風險#65377;

信息安全風險評估是信息系統安全保障機制建立過程中的一種評價方法，其結果為信息安全風險管理提供依據#65377;(圖1)是對干資產#65380;薄弱點#65380;威脅#65380;風險等鳳險評估所涉及的要素及其關系的描述#65377;

圖1 風險及其要素之間的關系模型 1S027001中提出了風險評估的方法論，指出了組織實施風險評估的步驟，具體內容如下側:

(1)定義組織的風險評估方法:①識別適用干ISMS和已經識別的業務信息安全法律和法規要求的風險評估方法;②建立接受風險的準則并識別風險的可接受等級#65377;

(2)識別鳳險:①識別侶MS控制范圍內的資產以及這些資產的所有者;②識別對這些資產的威脅;③識別可能被威脅利用的薄弱點;④識別保密性#65380;完整性和可用性損失可能對資產造成的影響#65377;

(3)分析并評價風險:①評估安全失效可能導致的組織業務影響，考慮因資產保密性#65380;完整性#65380;可用性的損失而導致的后果;②根據資產的主要威脅#65380;薄弱點#65380;有關的影響以及已經實施的安全控制，評估安全失效發生的現實可能性;③評價風險的等級;④根據己建立的準則，判斷風險是否可接受或需要處理#65377;

雖然標準沒有提出實施風險評估的具體方法，但是我們將按照15027001中的大致步驟，參考相關的指南和方法，以舉例的方式對數字圖書館的重要信息資產實施一次風險評估[6]#65377;

2.2“三分技術，七分管理”理念的提出

中國的信息安全技術發展至今，大體可分為3個階段，單機防病毒階段#65380;網絡安全階段和真正意義的信息安全管理階段#65377;

第一階段為1995年以前，這個時期電腦剛剛在國內應用，主要為單機文檔工作，以打字為主，基本沒有聯網#65377;這個時期主要威脅是DOS病毒，信息安全的內容比較簡單，以單機防病毒為主，可稱為單機防病毒階段#65377;

第二階段以1995年開始的校園網建設及門戶網絡建設為標志，至1999年，稱為網絡安全階段#65377;這個階段以防止外部攻擊和黑客為主，防火墻#65380;入侵檢測#65380;防病毒#65380;桌面管理#65380;文檔加密等安全產品和技術大規模應用，特別是前3種產品，以至于很多人至今對信息安全的理解就是防火墻#65380;入侵檢測和防病毒這老三樣，直到現在還有人認為信息安全就是網絡安全，其實這種認識是很片面和局限的#65377;

第三階段自1999年開始，在IT應用程度最高的金融和電信等行業都很明顯地體會到越來越多的信息安全問題，是僅僅依靠產品和技術根本無法解決的#65377;統計數字表明，這個時期企業70%的信息安全事件產生的原因并不是來自外界的病毒和黑客，而是來自內部的未授權訪問，而解決這些問題的主要出路要依靠管理#65377;所謂“三分技術七分管理”就是這個時期提出的口號，為了解決愈來愈多的信息安全問題，以BS7799為代表的國際信息安全管理標準開始引入中國#65377;至此，產品#65380;技術和標準——決定信息安全管理水平的三要素全部到位#65377;這時中國才進入了真正意義的信息安全管理階段，這個階段將一直延伸到今后相當長的一段時間[7]#65377;

3 平臺開發方法及實現功能

本研究平臺，利用了目前針對信息安全問題的主流思想“三分技術七分管理”，將信息資產安全問題與目前的信息安全產品加以擬合，對不同殺毒軟件進行管理#65380;集成，最終形成一個基于網絡信息安全的管理支持平臺，對遠程用戶的信息安全狀況進行評估，更為系統地提供信息安全服務#65377;

3.1 系統開發框架(圖1)

圖2 網絡安全支持平臺 3.2 各部分構成與功能

(1)客戶端:主要負責收集客戶使用的殺毒軟件所產生的日志，并將其形成文件傳送到Agent#65377;

(2)服務器端:將Agent發送過來的殺毒軟件日志，進行分析，包括殺毒軟件類型#65380;日志中各部分的含義，形成分門別類的統計#65377;

(3)漏洞評估系統:將服務器端前期解析的文件進行處理，運用自動算法得出信息安全危害權值，并將其數據傳送至網上，供用戶查看#65377;

3.3 殺毒軟件的擬合

本平臺主要是通過獲取存在于客戶機器中殺毒軟件(NOD32#65380;瑞星#65380;諾頓#65380;趨勢等)每次殺毒產生的日志，對其進行特征解析，獲得病毒類型#65380;軟件產品種類#65380;日志產生日期#65380;病毒位置#65380;病毒數量等信息，由Agent進行通信，并進入到漏洞評估系統中進行安全性評估，并將結果告知用戶，提供相應的解決策略#65377;

3.4 系統工作流程介紹

(1)在用戶安裝了系統客戶端之后，用戶打開軟件，系統開始獲取用戶的殺毒軟件信息#65377;

(2)基于軟件信息，獲取日志文件，發送服務器端#65377;

(3)服務器端接收日志文件，并將其納入漏洞評估系統進行評估，產生評估報告#65377;

(4)將產生的評估報告，以網頁的形式上傳，供用戶查看#65377;

4 結 語

目前，網絡信息安全問題一直是一個熱點問題，也是一個一直都未能解決的問題，黑客攻擊#65380;各種病毒的制造#65380;瀏覽掛碼網頁等時刻威脅著上網者的安全，尤其是在配置了諸多有用資產的公司中尤為重要，而目前主流的信息安全產品多半以技術見長，而且各家的水平和軟件風格又各不相同，而多數用戶殺毒軟件產品品種單一并且差異性較大，本平臺的嘗試是本著管理的理念，覆蓋眾多用戶，采用ISO27000標準的評估體系，系統全面地進行信息資產安全的評估，與當前信息安全產品形成了互補，具有較強的實用性和系統性，在信息安全問題的解決上邁出了重要的一步#65377;

參考文獻

[1]王渝寧.網絡信息安全的現狀與防御[J].現代商貿工業，2008，(1):269-270.

[2]陳峰.信息安全的研究現狀及發展[J].中國人民公安大學學報，2009，(2):77-81.

[3]孟揚.網絡信息加密技術分析[J].信息網絡安全，2009，(4):7-9.

[4]龔星宇，劉志生，張建華.基于網絡入侵檢測的分析與研究[J].電子設計工程，2009，(5):84-86.

[5]李蓬，鄭延斌.基于網絡綜合掃描的信息安全風險評估研究[J].計算機安全，2009，(3):18-20，23.

[6]張宏，韓碩祥.淺談ISO17799《信息安全管理體系》標準的產生與應用[J].信息技術與標準化，2002，(6):47-51.

[7]牛志軍.再談“三分技術七分管理”[J].軟件世界，2006，(9):36-37.