信息來源:企業(yè)網(wǎng)
國家重視網(wǎng)絡(luò)安全�,在以前多是喊喊口號(hào),并無實(shí)質(zhì)動(dòng)作�,可最近不一樣了,各級(jí)管理部門開始展開在網(wǎng)設(shè)備的安全檢查�,尤其是可能存在的安全漏洞,查出一例消除一例�,嚴(yán)厲程度前所未有�。一般流程是這樣:先由數(shù)據(jù)中心或企業(yè)自查,然后自己進(jìn)行整改�,然后接受上級(jí)管理部門的檢查,如果仍然被查出存在安全漏洞�,將給與行政和資金上的懲罰。網(wǎng)絡(luò)安全這回是要?jiǎng)诱娓竦牧耍@緣于當(dāng)前網(wǎng)絡(luò)安全的緊迫形勢�。在世界經(jīng)濟(jì)論壇《2018年全球風(fēng)險(xiǎn)報(bào)告》中,將網(wǎng)絡(luò)攻擊納入全球第三大風(fēng)險(xiǎn)因素�。隨著人們生產(chǎn)生活對網(wǎng)絡(luò)信息系統(tǒng)依賴性的增強(qiáng),網(wǎng)絡(luò)攻擊事件的數(shù)量仍不斷增多�,影響范圍也將更加廣泛,必須采取行動(dòng)遏制危及網(wǎng)絡(luò)安全的事件蔓延�。
我國在2017年6月頒布了《中華人民共和國網(wǎng)絡(luò)安全法》,為網(wǎng)絡(luò)安全執(zhí)法檢查提供了有力依據(jù)�,如果網(wǎng)絡(luò)安全工作做得不好,還有可能坐牢�,堅(jiān)決查處各種危及網(wǎng)絡(luò)安全的各種犯罪活動(dòng)。據(jù)統(tǒng)計(jì)�,2018年全國網(wǎng)絡(luò)安全信息系統(tǒng),依法約談過網(wǎng)站1497家�,對738家網(wǎng)站給予警告,暫停更新網(wǎng)站297家�。這些被處罰、約談的企業(yè)中�,不乏有一些巨頭互聯(lián)網(wǎng)企業(yè)和國資企事業(yè)單位,處罰手段越來越有威懾力�。那么,對于一個(gè)數(shù)據(jù)中心或者一個(gè)互聯(lián)網(wǎng)門戶網(wǎng)站�,如何進(jìn)行安全檢查呢?主要是進(jìn)行安全漏洞掃描�,掃描的對象是數(shù)據(jù)中心里的每一臺(tái)設(shè)備,交換機(jī)、路由器�、防火墻和服務(wù)器等等,都要進(jìn)行安全掃描�。掃描的工具往往是第三方中立的安全漏洞檢查軟件,比如綠盟�、天融信等。這些軟件監(jiān)測著全球發(fā)現(xiàn)的各種安全漏洞�,不斷地將這些安全漏洞注入到自己的安全庫中,然后對掃描對象設(shè)備進(jìn)行檢查�,看存在哪些安全漏洞,協(xié)助相關(guān)人員修復(fù)或采取必要的安全防護(hù)措施來消除這些漏洞�,進(jìn)而提升數(shù)據(jù)中心的安全性能。漏洞掃描分主動(dòng)和被動(dòng)式兩種�,主動(dòng)方式是數(shù)據(jù)中心對其所有的設(shè)備進(jìn)行自查,根據(jù)服務(wù)器的響應(yīng)可以了解和掌握主機(jī)操作系統(tǒng)�、服務(wù)以及程序中是否存在漏洞需要修復(fù),有的操作系統(tǒng)會(huì)經(jīng)常更新一些安全漏洞的防御補(bǔ)丁�,要及時(shí)安裝補(bǔ)丁,消除安全隱患�;另一種是被動(dòng)式,由第三方發(fā)起�,可能是數(shù)據(jù)中心請來的安全掃描公司,也可能是數(shù)據(jù)中心的上級(jí)部門安排下來的檢查�,對數(shù)據(jù)中心內(nèi)的多項(xiàng)內(nèi)容進(jìn)行掃描與檢測�,進(jìn)而生成檢測報(bào)告反饋給數(shù)據(jù)中心管理人員,供其分析與處理所發(fā)現(xiàn)的漏洞,對數(shù)據(jù)中心進(jìn)行整改�。
那么,這些安全漏洞從哪里得到的呢�?在國際上,主要的安全漏洞更新來自CVE (Common Vulnerabilities & Exposures�,通用漏洞披露)。CVE是國際著名的安全漏洞庫�,也是對已知漏洞和安全缺陷的標(biāo)準(zhǔn)化名稱的列表,它是一個(gè)由企業(yè)界�、政府界和學(xué)術(shù)界綜合參與的國際性組織,采取一種非盈利的組織形式�,其使命是為了能更加快速而有效地鑒別、發(fā)現(xiàn)和修復(fù)軟件產(chǎn)品的安全漏洞�,CVE上會(huì)不斷更新在全球各地發(fā)現(xiàn)的各種漏洞,以便大家可以及時(shí)更新自己的安全庫�,防止漏洞被黑客或不法分子利用,很多安全設(shè)備廠商都要參考CVE上通告的最新安全漏洞�,及時(shí)更新自己的病毒庫。在國內(nèi)�,有國家信息安全漏洞平臺(tái)(China National Vulnerability Database,簡稱CNVD)�,CNVD是由國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(中文簡稱國家互聯(lián)應(yīng)急中心,英文簡稱CNCERT)聯(lián)合國內(nèi)重要信息系統(tǒng)單位�、基礎(chǔ)電信運(yùn)營商、網(wǎng)絡(luò)安全廠商�、軟件廠商和互聯(lián)網(wǎng)企業(yè)共同建立的信息安全漏洞信息共享知識(shí)庫�。CNVD會(huì)實(shí)時(shí)公布國際和國內(nèi)出現(xiàn)的各種病毒和漏洞�,有時(shí)還給出了解決方案,是國內(nèi)安全廠商參考的重要平臺(tái)�。通過CNVD建立軟件安全漏洞統(tǒng)一收集驗(yàn)證、預(yù)警發(fā)布及應(yīng)急處置體系�,切實(shí)提升我國在安全漏洞方面的整體研究水平和及時(shí)預(yù)防能力。安全漏洞具體要掃描哪些漏洞�,主要就是CVE和CNVD公布出來的漏洞,成為安全漏洞掃描參考的主要標(biāo)準(zhǔn)�,還有小部分是漏洞掃描工具自己認(rèn)為存在風(fēng)險(xiǎn)的漏洞,及時(shí)通告出來�。其實(shí),不止有CVE和CNVD�,還有OSVDB、ISS XForce等�,國內(nèi)還有中國國家信息安全漏洞庫,國家安全漏洞庫等�,這些漏洞庫也收錄了不少安全漏洞,表1列出了幾乎全部有影響力的安全漏洞庫�。
|
漏洞庫
|
特點(diǎn)
|
數(shù)量
|
網(wǎng)址
|
|
SecurityFocus
|
全揭露,帶POC
|
大于6萬
|
http://www.securityfocus.com/bid/
|
|
OSVDB
|
數(shù)據(jù)最大�,索引豐富
|
大于10萬
|
http://www.osvdb.org/
|
|
Secunia
|
產(chǎn)品分類細(xì)
|
近6萬
|
http://secunia.com/community/advisories/
|
|
ISS XForce
|
描述信息專業(yè)
|
大于9萬
|
http://xforce.iss.net/
|
|
CVE
|
最全索引
|
大于6萬
|
http://cve.mitre.org/cve/cve.html
|
|
CNVD
|
國內(nèi)中文數(shù)據(jù)庫
|
大于6萬
|
http://www.cnvd.org.cn/flaw/list.htm
|
表1安全漏洞庫
這些漏洞也會(huì)劃分不同的等級(jí),有的分四個(gè)等級(jí)�,有的分三個(gè)等級(jí),級(jí)別越高�,危害越大�,以此來提醒大家�。同時(shí)�,為了鼓勵(lì)大家發(fā)現(xiàn)漏洞,有些被查出漏洞的軟件廠商還會(huì)給與一定的獎(jiǎng)勵(lì)�,比如微軟的MBB獎(jiǎng)勵(lì)計(jì)劃,如果微軟的操作系統(tǒng)被人發(fā)現(xiàn)存在新的漏洞�,并且滿足微軟要求的指標(biāo)和條件,即可獲得5000~6萬美金不等的獎(jiǎng)勵(lì)�,其它一些軟件和設(shè)備廠商也是這樣,對于自己未能發(fā)現(xiàn)�,而被其它人發(fā)現(xiàn)的漏洞,及時(shí)給與獎(jiǎng)勵(lì)�,并及時(shí)做修復(fù)。
從安全漏洞的性質(zhì)來講�,主要集中于密碼認(rèn)證、登錄方式�、系統(tǒng)漏洞等幾個(gè)方面,尤其是密碼認(rèn)證特別受到關(guān)注�。如果數(shù)據(jù)中心里的網(wǎng)絡(luò)設(shè)備或者服務(wù)器系統(tǒng)密碼認(rèn)證存在漏洞,就可能被人利用�,從而登錄到數(shù)據(jù)系統(tǒng)中竊取秘密資料,如果是個(gè)人隱私數(shù)據(jù)或者國家機(jī)密泄露�,將對個(gè)人甚至國家?guī)順O大損失,所以這類漏洞特別要引起注意�。密碼設(shè)置過于簡單�,加密算法存在漏洞�,都會(huì)給壞人可乘之機(jī),安全漏洞掃描就是要將這類漏洞找出來�,讓數(shù)據(jù)中心盡快改進(jìn)。
