安全信息數(shù)據(jù)庫的設(shè)計

摘要：當今網(wǎng)絡(luò)技術(shù)飛速發(fā)展，在信息和資源共享需求的推動下，計算機網(wǎng)絡(luò)延伸到社會的各個角落，扮演著越來越重要的角色。在全球信息化步伐逐步加快的同時，伴隨而來的是日益嚴峻的網(wǎng)絡(luò)安全威脅，單純的被動響應型防御策略在層出不窮的攻擊手段面前已顯得勢單力薄。在這種情況下，構(gòu)建主動預知的新型安全機制成為當務之急。

關(guān)鍵詞：網(wǎng)絡(luò)安全 漏洞 數(shù)據(jù)庫

1 信息安全庫所面臨的挑戰(zhàn)

信息技術(shù)的發(fā)展帶動了全球信息化的發(fā)展，從而使信息基礎(chǔ)設(shè)施成為社會基礎(chǔ)設(shè)施中必不可少的關(guān)鍵所在。信息網(wǎng)絡(luò)技術(shù)的應用正日益普及和廣泛，應用領(lǐng)域也從傳統(tǒng)的、小型業(yè)務系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務系統(tǒng)擴展，典型的如企事業(yè)單位信息系統(tǒng)、金融業(yè)務系統(tǒng)、企業(yè)商務系統(tǒng)等。伴隨網(wǎng)絡(luò)的普及，安全日益成為影響網(wǎng)絡(luò)效能的重要問題，而Internet所具有的開放性、國際性和自由性在增加應用自由度的同時，對安全提出了更高的要求，這主要表現(xiàn)在：

1.1 開放性導致網(wǎng)絡(luò)的技術(shù)是全開放的，任何一個人、團體都可能獲得，因而網(wǎng)絡(luò)所面臨的破壞和攻擊可能是多方面的，例如：可能來自物理傳輸線路的攻擊，也可以對網(wǎng)絡(luò)通信協(xié)議和實現(xiàn)實施攻擊；可以是對軟件實施攻擊，也可以對硬件實施攻擊。

1.2 國際性意味著網(wǎng)絡(luò)的攻擊不僅僅來自本地網(wǎng)絡(luò)的用戶，它可以來自Internet上的任何一個機器，也就是說，網(wǎng)絡(luò)安全所面臨的是一個國際化的挑戰(zhàn)。

1.3 自由性意味著網(wǎng)絡(luò)最初對用戶的使用并沒有提供任何的技術(shù)約束，用戶可以自由地訪問網(wǎng)絡(luò)，自由地使用和發(fā)布各種類型的信息。

與此同時，層出不窮的病毒、蠕蟲和黑客攻擊給正常的網(wǎng)絡(luò)通信與信息資源帶來沉重的負荷和影響。

如近幾年來在全球肆虐的Code Red，Slammer，W32. Blaster等蠕蟲病毒，除了對受害站點進行DDos攻擊外，大量非正常數(shù)據(jù)包的泛洪還嚴重占用網(wǎng)絡(luò)帶寬，堵塞網(wǎng)絡(luò)，并使大量服務器工作異常，具有很強的危害性。

2 安全信息數(shù)據(jù)庫的設(shè)計

該子庫主要存儲來自于信息偵察代理所收集到的并支持人工修正的目標網(wǎng)絡(luò)的基本信息。其中，包含有配置信息表（CInfo）、服務信息表（SInfo）、漏洞信息表（VInfo）和安全依賴關(guān)系表(SDR)。

CInfo表的鍵是主機IP地址屬性；SInfo表的鍵是（主機IP地址、主機端口）；VInfo表的鍵是(主機IP地址、主機漏洞ID)；SDR表的鍵是(可能源主機IP，可能目的主機IP，主機漏洞ID)。CInfo與SInfo是一對多的關(guān)系，因為每臺主機可同時開放多個端口；CInfo與VInfo是一對多的關(guān)系，每個節(jié)點可能有多個漏洞；SInfo與VInfo也是一對多的關(guān)系，每個運行服務可能存在多個漏洞。CInfo與SDR，VInfo與SDR均是一對多的關(guān)系。

3 標準漏洞子庫設(shè)計

該子庫由漏洞信息表（VulInfo）和漏洞影響系統(tǒng)信息表（VulSys）組成。前者主要記錄了每個漏洞的BugID、發(fā)布/更新時間、漏洞類別、具體描述、修復方法等等；后者記錄了每條漏洞所影響的操作系統(tǒng)或應用軟件信息。

VulInfo表和VulSys的鍵值均是漏洞ID屬性，它們之間是一對多的關(guān)系，因為同一個漏洞可能影響多個系統(tǒng)。

在VulInfo表中，我們使用Bugtraq作為標識漏洞的唯一ID，是因為Bugtraq ID即將成為業(yè)界的統(tǒng)一標準，各個軟件供應商也已開始將自己的產(chǎn)品漏洞公告映射為Bugtraq編號，該編號提供了一個統(tǒng)一、一致、可比較的漏洞管理機制。

由于這兩個組織的漏洞數(shù)據(jù)庫都不提供直接的訪問，因此設(shè)計一個漏洞數(shù)據(jù)獲取插件。

根據(jù)各個漏洞信息的URL開啟多個線程，發(fā)送相應的HTTP GET請求，然后讀取Web Server端的響應。由于漏洞數(shù)量相當多，如果由每個線程同時完成讀取響應，分析數(shù)據(jù)并填寫數(shù)據(jù)庫，不但會消耗大量的系統(tǒng)資源，而且很可能導致大量GET請求失敗。因此，我們采取了實時線程獲取原始漏洞數(shù)據(jù)并以簡單的格式存儲，然后主線程進行離線的數(shù)據(jù)分析，并完成寫入數(shù)據(jù)庫的任務。另外，由于可能存在GET請求失效的情況，將導致某些漏洞的信息缺失或不完整。為了保證得到所有已有漏洞的信息，我們還采取了日志記錄機制，即，主線程開啟一批線程抓取信息并等待其全部結(jié)束后，根據(jù)每個線程錄入的日志找出需要重新抓取的漏洞，重新開啟一批線程，如此反復，直到所有漏洞數(shù)據(jù)都被成功獲取。

由于目前實際情況的限制，只能在國際安全組織站點上被動的更新漏洞庫。如果可以建立國內(nèi)統(tǒng)一的緊急相應中心漏洞數(shù)據(jù)庫，那么中心可以定期的向各個網(wǎng)絡(luò)風險評估管理系統(tǒng)的標準漏洞子庫發(fā)布漏洞更新數(shù)據(jù)。

可見，執(zhí)行相應的風險控制措施，使風險等級降低到可接受的水平。

參考文獻：

[1]Information Assurance Technical Framework. IATF Document [EB/OL].Release 3.1.

[2]National Computer Security Center，Department of Defense Trusted Computer System Evaluation Criteria，DoD 5200.28-STD，December 1985

[3]David Moore，Vern Paxson，Stefan Savage etc. The Spread of the Sapphire/Slammer Worm[EB/OL].2003.

作者簡介：

鄧志龍，（1976-）男，陜西寶雞人，講師，碩士，研究方向為軟件開發(fā)。