作者簡介：張哲旭，男，黑龍江齊齊哈爾人。本科在讀，齊齊哈爾工程學(xué)院信息系計(jì)科111班，方向：計(jì)算機(jī)信息安全。

摘要：在計(jì)算機(jī)當(dāng)中有些攻擊和防御工具發(fā)布出來，從L0PhtCrack到Anti-Sniff，再到LLINT，還有一些個(gè)人和工作專用工具。保護(hù)備受關(guān)注的各種網(wǎng)絡(luò)，無論是大型的網(wǎng)絡(luò)，還是小型的網(wǎng)絡(luò)，都是很正常的事，受命侵入防御堅(jiān)固的網(wǎng)絡(luò)更是平常，但是只是關(guān)注這些事情的本身并不能得到什么信息。通過堅(jiān)持對更加全面情況的理解，可以制定出實(shí)際的目標(biāo)，不管是攻擊擊還是防御者，都會遇到這個(gè)問題。

關(guān)鍵詞：什么是漏洞；漏洞評估；漏洞管理

1.引言

本文不是典型的介紹信息技能的書。但是本書還是主要將漏洞管理的技術(shù)融入到業(yè)務(wù)管理中。盡管熟悉最新的黑客技術(shù)是很重要的，但是只有當(dāng)能夠把黑客所實(shí)施的威脅與對組織所造成的風(fēng)險(xiǎn)聯(lián)系在一起時(shí)，這些知識才是有價(jià)值的。

2.什么是漏洞？

2.1那么什么是漏洞呢？在過去，很多人把漏洞看作是有惡意的人能夠利用的軟件或硬件的缺陷。然而，在近幾年中，漏洞的定義發(fā)展為有惡意的人能夠利用的軟件硬件的缺陷及配置錯(cuò)誤（misconfiguration）。補(bǔ)丁管理、配置管理和安全管理等常常相互競爭的學(xué)科，都已從單一的學(xué)科發(fā)展成為同一個(gè)信息技術(shù)（IT）方面的問題，那就是今天的漏洞管理。

2.2從表面上看，漏洞管理像是個(gè)簡單的工作。不幸的是，在大部分組織的網(wǎng)絡(luò)中，漏洞管理既困難又復(fù)雜。一個(gè)典型的組織中包含定制的應(yīng)用、移動用戶及關(guān)鍵服務(wù)器，它們有不同的需要，不能只做簡單的保護(hù)，更不能置之不理。軟件廠商仍會發(fā)布不安全的代碼，加入這些必須遵守的規(guī)定使管理者感到緊張，并且處于一種高壓狀況下，容易導(dǎo)致犯嚴(yán)重的錯(cuò)誤。

針對漏洞管理的情況，人們提出了“漏洞窗口”的概念。盡管這好像是一個(gè)聰明的文字游戲，把人們的注意力引向了最常用的Windows操作系統(tǒng)，但是它實(shí)際上指的是一個(gè)系統(tǒng)由于安全缺陷、配置問題或?qū)е陆档驼麄€(gè)系統(tǒng)安全性的其他因素，而處于易受攻擊的狀態(tài)的時(shí)間有多長，漏洞窗口有以下兩種類型：

●未知漏洞窗口從發(fā)現(xiàn)一個(gè)漏洞到系統(tǒng)打上該漏洞的補(bǔ)丁所經(jīng)過的時(shí)間

●已知漏洞窗口從廠商發(fā)布一個(gè)漏洞補(bǔ)丁到系統(tǒng)打上該漏洞的補(bǔ)丁所經(jīng)過的時(shí)間。

大多數(shù)組織更關(guān)注第二種類型——已知漏洞窗口，但是當(dāng)制定減輕風(fēng)險(xiǎn)策略時(shí)，計(jì)算未知漏洞窗口才是有價(jià)值的。

2.3理解漏洞造成的風(fēng)險(xiǎn)

不管一個(gè)漏洞是如何公開的，該漏洞都對一個(gè)組織造成了風(fēng)險(xiǎn)。漏洞帶來的風(fēng)險(xiǎn)大小取決于幾個(gè)因素：

●廠商對風(fēng)險(xiǎn)的評級

●一個(gè)組織中受影響系統(tǒng)的數(shù)量

●一個(gè)組織中受影響系統(tǒng)的危險(xiǎn)程度

●組織中受影響暴露程度

滲透測試者和惡意攻擊者通常會首先試圖危害易被攻擊的系統(tǒng)，它們代表了被一個(gè)組織認(rèn)為不是十分危險(xiǎn)因而沒有及時(shí)修復(fù)的系統(tǒng)，這些系統(tǒng)就成為對內(nèi)部的基礎(chǔ)設(shè)施及更危險(xiǎn)的系統(tǒng)進(jìn)行進(jìn)一步的攻擊的切入點(diǎn)。也就是說，如果一個(gè)組織的記賬系統(tǒng)是最危險(xiǎn)的系統(tǒng)，那么如何對所有該系統(tǒng)相連的工作站進(jìn)行評級。如果它們不是同等危險(xiǎn)的，那么可能是易受攻擊的，并且會被用作真正危險(xiǎn)的記賬系統(tǒng)的攻擊媒介。

3.漏洞評估

3.1如果擁有了一份網(wǎng)絡(luò)中系統(tǒng)的完整列表，最好執(zhí)行一項(xiàng)費(fèi)時(shí)的任務(wù)——驗(yàn)證工具妻現(xiàn)的數(shù)據(jù)。在理想的世界里，能夠跳過這一步，但是對漏洞評估來說，為了安全最好做這一步。漏掉一臺機(jī)器就意味著不一樣的結(jié)果：把一個(gè)黑客擋在了網(wǎng)絡(luò)之外還是讓一個(gè)黑客進(jìn)入了網(wǎng)絡(luò)。要確保對每臺機(jī)器具有下面的數(shù)據(jù)：

3.2IP地址這似乎非常明顯，但是要注意有的系統(tǒng)可能有多個(gè)IP地址。一定要識別出哪些系統(tǒng)有多個(gè)連接具有多個(gè)IP地址。在有些情況下，這些系統(tǒng)可能在多個(gè)網(wǎng)絡(luò)上通信。

3.3MAC地址正如前面提到的，這對漏洞評估不是必要的，但是有很多原因使得具有全部系統(tǒng)的MAC地址是非常不錯(cuò)的。

3.4操作系統(tǒng)這是很顯然的。因?yàn)槁┒垂芾淼暮芏喾矫媸且匝a(bǔ)丁管理和配置管理為核心的，需要跟蹤所有機(jī)器上的操作系統(tǒng)。應(yīng)該把打印機(jī)、路由器及其他的網(wǎng)絡(luò)設(shè)備包含進(jìn)來。

3.5操作系統(tǒng)的補(bǔ)丁級別每個(gè)漏洞評估工具應(yīng)該能提供這個(gè)數(shù)據(jù)點(diǎn)的信息。

3.6服務(wù)（網(wǎng)站、數(shù)據(jù)庫、郵件等）關(guān)于每個(gè)系統(tǒng)為用戶提供服務(wù)要有一個(gè)列表，當(dāng)考慮安全配置時(shí)，這是很必須的。應(yīng)該檢查所有的系統(tǒng)并關(guān)閉不需要的任何服務(wù)。

3.7安裝的軟件要有一個(gè)系統(tǒng)中安裝的所有授權(quán)軟件的列表。可以使用一個(gè)工具來列出整個(gè)系統(tǒng)中所安裝的軟件的列表，然后用一個(gè)授權(quán)軟件的列表與這個(gè)列表相互對照。授權(quán)軟件的概念不只是與許可有關(guān)，而且關(guān)系到安全，因?yàn)槲词跈?quán)的軟件包的補(bǔ)丁等級和全部安全特征對IT來說是不知道的。

3.8這幾年中，人們把所有注意力都集中在操作系統(tǒng)中上——特別是Microsoft的操作系統(tǒng)，每個(gè)人似乎忘記了應(yīng)用程序。近來這變得更加顯示，因?yàn)閼?yīng)用程序級漏洞增加了更多。所以當(dāng)企業(yè)把注意集中在操作系統(tǒng)上時(shí)，則會受到應(yīng)用程序的攻擊。幸運(yùn)的是，大多數(shù)好的漏洞評估工具不但可以檢測操作系統(tǒng)漏洞，同時(shí)也可以檢測應(yīng)用程序漏洞。

4.漏洞管理

4.1昔日，漏洞管理的典型方法是讓安全小組確定威脅，然后“拋給”信息技術(shù)（IT）管理員來修復(fù)。這些年來，隨著安全威脅數(shù)量的增長，這種不負(fù)責(zé)任的方法已經(jīng)不再可行了。前面討論了通過使用漏洞評估掃描器、補(bǔ)丁管理和配置管理工具來發(fā)現(xiàn)漏洞，然后，漏洞管理根本不僅只利用前面所提到的工具。

4.2漏洞管理最好的定義為企業(yè)由于各種漏洞而存在著風(fēng)險(xiǎn)，不論這些漏洞是與軟件還是與硬件相關(guān)，漏洞管理就是一個(gè)管理風(fēng)險(xiǎn)的整個(gè)過程。漏洞管理在很多方面與漏洞發(fā)現(xiàn)和漏洞評估也有直接聯(lián)系，并且也非常依賴補(bǔ)丁管理過程。

4.3漏洞管理也包括安全實(shí)踐和安全過程編組，這有助于管理安全責(zé)任，允許把漏洞管理集成到現(xiàn)有的信息安全和IT工作流中。

4.4漏洞管理計(jì)劃同任何計(jì)計(jì)劃一樣，除非是書面的，受到當(dāng)?shù)刂С?，并且有效地被傳達(dá)，否則可能不會實(shí)現(xiàn)。對于一個(gè)漏洞管理計(jì)劃也是一樣，必須寫明計(jì)劃的目的、目標(biāo)和成功的標(biāo)準(zhǔn)。為了幫助計(jì)劃執(zhí)行下去，如果希望執(zhí)行得更有效，也必須得到領(lǐng)導(dǎo)的認(rèn)可和支持。如果沒有高層管理者的支持，將永遠(yuǎn)會阻礙漏洞管理的策略、過程及實(shí)踐的執(zhí)行效率。

5.總結(jié)

隨著漏洞管理計(jì)劃的完善與成熟，能夠?qū)M織造成影響的新漏洞的數(shù)量應(yīng)該減少，因?yàn)橐呀?jīng)制定了步驟和彌補(bǔ)控制來減少漏洞數(shù)量，并且建立了一個(gè)更成熟的漏洞風(fēng)險(xiǎn)評估方法。與此相關(guān)，研究表明未來幾年發(fā)布的漏洞數(shù)量將增長。正因如此，在環(huán)境吶修復(fù)的漏洞數(shù)不能表示度量的標(biāo)準(zhǔn)。隨著每年公布的漏洞數(shù)量的增加，自然應(yīng)該比以前修復(fù)更多的漏洞。我相信，隨著技術(shù)的完善，今后的網(wǎng)絡(luò)環(huán)境將更加安全。（作者單位：齊齊哈爾工程學(xué)院）

參考文獻(xiàn)：

[1]郭濤.內(nèi)核漏洞的利用與防范.