孫琳琳

華能吉林發(fā)電有限公司九臺電廠 吉林長春 130500

網(wǎng)絡(luò)設(shè)備是互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施，同時也是互聯(lián)網(wǎng)安全隱患之一，由于大量數(shù)據(jù)都是通過網(wǎng)絡(luò)設(shè)備來傳遞的，因此一旦設(shè)備存在安全漏洞，就有可能被不法分子入侵，獲取關(guān)鍵數(shù)據(jù)，無論是對于個人還是國家安全都構(gòu)成較大威脅。網(wǎng)絡(luò)設(shè)備最大的安全問題是漏洞，漏洞涉及很多方面，可具體分為不同的類型、不同的等級，構(gòu)成的威脅也有所不同，目前主要的解決措施是完善相關(guān)法規(guī)，加強(qiáng)監(jiān)管力度，提高網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備的管理水平。只有結(jié)合各種措施，才能將設(shè)備漏洞的風(fēng)險和危害降到最低[1]。

1 網(wǎng)絡(luò)設(shè)備安全漏洞的嚴(yán)峻形勢

根據(jù)國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心發(fā)布的中國互聯(lián)網(wǎng)安全報告，路由器和交換機(jī)等主要網(wǎng)絡(luò)設(shè)備漏洞的占比達(dá)到了60%以上，主要包括設(shè)備內(nèi)置后門、遠(yuǎn)程代碼控制等類型。國家CNVD平臺對漏洞類型進(jìn)行統(tǒng)計的結(jié)果：程序漏洞占62%，網(wǎng)絡(luò)設(shè)備漏洞占12%。

每年網(wǎng)絡(luò)設(shè)備安全漏洞的案例不勝枚舉，尤其是電信行業(yè)成為網(wǎng)絡(luò)設(shè)備入侵的主要對象。例如德國2016年11月份德國電信遭遇大面積的網(wǎng)絡(luò)故障，其中有90萬個路由器遭到黑客僵尸網(wǎng)絡(luò)的攻擊，根據(jù)調(diào)查發(fā)現(xiàn)是因為路由器界面本身的漏洞導(dǎo)致了這次攻擊事件。網(wǎng)絡(luò)安全工程師發(fā)現(xiàn)，僵尸網(wǎng)絡(luò)可以通過各種網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊，如攝像頭、路由器等等。

2 網(wǎng)絡(luò)設(shè)備安全漏洞態(tài)勢

根據(jù)過往的網(wǎng)絡(luò)設(shè)備漏洞安全和已經(jīng)收錄的安全漏洞數(shù)據(jù)，可以總結(jié)分析出設(shè)備漏洞的特點和態(tài)勢，主要從時間分布、類型、安全等級等多方面進(jìn)行分析。

2.1 網(wǎng)絡(luò)設(shè)備漏洞呈逐年上漲態(tài)勢

根據(jù)相關(guān)的漏洞數(shù)據(jù)庫統(tǒng)計，網(wǎng)絡(luò)設(shè)備漏洞逐年遞增，尤其是從2009年以后增長速度較快，漏洞數(shù)量從88個上漲了12倍，達(dá)到了998個。從互聯(lián)網(wǎng)發(fā)展來看，2009年移動互聯(lián)網(wǎng)開始崛起，網(wǎng)絡(luò)設(shè)備激增，寬帶互聯(lián)網(wǎng)普及度顯著提高，路由器設(shè)備大幅增長，因此帶動了漏洞數(shù)量的增加。

2.2 廠商設(shè)備差異化明顯

目前世界范圍內(nèi)知名的網(wǎng)絡(luò)設(shè)備生產(chǎn)商有思科、華為、D-LINK等，其中漏洞最對的思科，主要是交換機(jī)類等大型網(wǎng)絡(luò)設(shè)備市場占有量較高，主要面向的是企業(yè)用戶。而個人用戶主要是TP-link、D-link等品牌，如家庭路由器占據(jù)較大市場份額。但是不同廠商對安全漏洞的重視度是不一樣的，思科雖然漏洞較多，但具備健全的漏洞處理機(jī)制，不定期發(fā)布漏洞公告，漏洞入侵和造成損失的幾率較小。相比較來說一些低廉的產(chǎn)品成為了主要的黑客研究對象，往往成為入侵和攻擊的主要對象[2]。

2.3 設(shè)備漏洞類型呈現(xiàn)多樣化

網(wǎng)絡(luò)設(shè)備承載各種業(yè)務(wù)，涉及到不同類型的協(xié)議，如常見的HTTP/SSH等，這樣就給管理設(shè)備造成較大的難度，管理員可以通過協(xié)議進(jìn)行管理，攻擊者也可以通過協(xié)議漏洞來進(jìn)行操控設(shè)備，從某種角度來說管理協(xié)議的漏洞危害更大。從漏洞攻擊協(xié)議上來看，拒絕服務(wù)漏洞占據(jù)將近40%，是各種網(wǎng)絡(luò)設(shè)備主要攻擊類型，正是常說的“分布式攻擊”，往往針對服務(wù)器，可導(dǎo)致整個服務(wù)器癱瘓，后果非常嚴(yán)重。其他的類型還包括代碼執(zhí)行漏洞、注入漏洞（6%）、權(quán)限提升漏洞（6%）、跨站請求腳本（6%）、緩沖區(qū)溢出（7%）/信息泄露（13%）、安全繞過（13%）等類型。

3 網(wǎng)絡(luò)設(shè)備安全漏洞發(fā)展趨勢分析

3.1 網(wǎng)絡(luò)設(shè)備持續(xù)增長態(tài)勢不會變

隨著移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算以及大數(shù)據(jù)概念的誕生和應(yīng)用，將會極大的依賴互聯(lián)網(wǎng)設(shè)備，因此互聯(lián)網(wǎng)設(shè)備的數(shù)量將會持續(xù)增長，尤其是擁有智能技術(shù)的網(wǎng)絡(luò)設(shè)備更是將會成為主流。因此，無論是使用者還是攻擊者都將會對網(wǎng)絡(luò)設(shè)備產(chǎn)生研究的興趣，勢必會增加網(wǎng)絡(luò)設(shè)備漏洞的數(shù)量。

3.2 網(wǎng)絡(luò)設(shè)備漏洞的入侵攻擊態(tài)勢將會持續(xù)

盡管現(xiàn)代網(wǎng)絡(luò)設(shè)備的安全系數(shù)越來越高，各種防火墻技術(shù)也不斷完善，但不能完全阻止漏洞攻擊。設(shè)備技術(shù)在發(fā)展，攻擊的技術(shù)也在不斷發(fā)展，從互聯(lián)網(wǎng)誕生以來，各種入侵技術(shù)層出不窮，如UDP、ACK、DNS、HTTP泛洪攻擊等，而且可以預(yù)測的是未來將會誕生各種新的技術(shù)，新的漏洞將會被攻擊者加以利用。

3.3 網(wǎng)絡(luò)管理協(xié)議將會成為主要攻擊方向

從近幾年的漏洞攻擊方向來看，網(wǎng)絡(luò)設(shè)備的管理協(xié)議將會成為主要的攻擊方向，由于管理協(xié)議的復(fù)雜性以及開放性，使得其必然成為漏洞高發(fā)的方向。除了管理協(xié)議外，還要特別警惕NTP漏洞，從最初2001年開始，目前已經(jīng)記錄的此類型漏洞呈現(xiàn)幾何態(tài)勢增長，主要是因為NTP作為基礎(chǔ)協(xié)議，各種設(shè)備都會運行，一旦該管理協(xié)議出現(xiàn)漏洞，將會帶來嚴(yán)重后果[3]。

4 網(wǎng)絡(luò)設(shè)備安全漏洞安全防護(hù)策略

針對網(wǎng)絡(luò)設(shè)備漏洞的安全問題，應(yīng)該分為三步走：

4.1 廠商應(yīng)保障設(shè)備的安全系數(shù)

設(shè)備在出廠前應(yīng)對設(shè)備進(jìn)行安全評測，勢必要求廠商擁有健全的評測機(jī)制和成熟的檢測技術(shù)，從源頭上減少安全漏洞。

4.2 使用過程中的定期安全檢查

管理員在使用互聯(lián)網(wǎng)設(shè)備的同時，應(yīng)定期開展設(shè)備的安全檢查，合理的進(jìn)行配置，確保管理安全。應(yīng)關(guān)注設(shè)備安全的態(tài)勢，對互聯(lián)網(wǎng)上的各種漏洞攻擊要提高警惕，發(fā)現(xiàn)漏洞時應(yīng)及時修補(bǔ)。

4.3 漏洞發(fā)生后的處理方案

一旦發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備存在被攻擊的情況，應(yīng)及時采取安全防護(hù)措施，建立相應(yīng)機(jī)制，面要修補(bǔ)漏洞，將損失降到最低。對于網(wǎng)絡(luò)設(shè)備廠商在發(fā)現(xiàn)漏洞后應(yīng)及時公布，并且修補(bǔ)漏洞，并為使用者提供技術(shù)支持。

5 結(jié)語

面對網(wǎng)絡(luò)設(shè)備數(shù)量和規(guī)模越來越大，網(wǎng)絡(luò)攻擊越來越頻繁的態(tài)勢，提高網(wǎng)絡(luò)設(shè)備的安全性，減少漏洞數(shù)量是目前急需要做的工作，這需要設(shè)備生產(chǎn)商、設(shè)備使用者相互配合，從設(shè)計、生產(chǎn)、使用等多個環(huán)節(jié)加強(qiáng)網(wǎng)絡(luò)設(shè)備的管理，并且要不斷完善網(wǎng)絡(luò)設(shè)備安全漏洞的檢查、處理機(jī)制，從而有效針對各種設(shè)備安全漏洞，將損失減到最低。