行業(yè)動態(tài)

網(wǎng)絡安全無小事,且看漏洞掃描

來源:聚銘網(wǎng)絡    發(fā)布時間:2019-04-17    瀏覽次數(shù):
 

信息來源:企業(yè)網(wǎng)

        國家重視網(wǎng)絡安全,在以前多是喊喊口號,并無實質動作,可最近不一樣了,各級管理部門開始展開在網(wǎng)設備的安全檢查,尤其是可能存在的安全漏洞,查出一例消除一例,嚴厲程度前所未有。一般流程是這樣:先由數(shù)據(jù)中心或企業(yè)自查,然后自己進行整改,然后接受上級管理部門的檢查,如果仍然被查出存在安全漏洞,將給與行政和資金上的懲罰。網(wǎng)絡安全這回是要動真格的了,這緣于當前網(wǎng)絡安全的緊迫形勢。在世界經(jīng)濟論壇《2018年全球風險報告》中,將網(wǎng)絡攻擊納入全球第三大風險因素。隨著人們生產生活對網(wǎng)絡信息系統(tǒng)依賴性的增強,網(wǎng)絡攻擊事件的數(shù)量仍不斷增多,影響范圍也將更加廣泛,必須采取行動遏制危及網(wǎng)絡安全的事件蔓延。

        我國在2017年6月頒布了《中華人民共和國網(wǎng)絡安全法》,為網(wǎng)絡安全執(zhí)法檢查提供了有力依據(jù),如果網(wǎng)絡安全工作做得不好,還有可能坐牢,堅決查處各種危及網(wǎng)絡安全的各種犯罪活動。據(jù)統(tǒng)計,2018年全國網(wǎng)絡安全信息系統(tǒng),依法約談過網(wǎng)站1497家,對738家網(wǎng)站給予警告,暫停更新網(wǎng)站297家。這些被處罰、約談的企業(yè)中,不乏有一些巨頭互聯(lián)網(wǎng)企業(yè)和國資企事業(yè)單位,處罰手段越來越有威懾力。那么,對于一個數(shù)據(jù)中心或者一個互聯(lián)網(wǎng)門戶網(wǎng)站,如何進行安全檢查呢?主要是進行安全漏洞掃描,掃描的對象是數(shù)據(jù)中心里的每一臺設備,交換機、路由器、防火墻和服務器等等,都要進行安全掃描。掃描的工具往往是第三方中立的安全漏洞檢查軟件,比如綠盟、天融信等。這些軟件監(jiān)測著全球發(fā)現(xiàn)的各種安全漏洞,不斷地將這些安全漏洞注入到自己的安全庫中,然后對掃描對象設備進行檢查,看存在哪些安全漏洞,協(xié)助相關人員修復或采取必要的安全防護措施來消除這些漏洞,進而提升數(shù)據(jù)中心的安全性能。漏洞掃描分主動和被動式兩種,主動方式是數(shù)據(jù)中心對其所有的設備進行自查,根據(jù)服務器的響應可以了解和掌握主機操作系統(tǒng)、服務以及程序中是否存在漏洞需要修復,有的操作系統(tǒng)會經(jīng)常更新一些安全漏洞的防御補丁,要及時安裝補丁,消除安全隱患;另一種是被動式,由第三方發(fā)起,可能是數(shù)據(jù)中心請來的安全掃描公司,也可能是數(shù)據(jù)中心的上級部門安排下來的檢查,對數(shù)據(jù)中心內的多項內容進行掃描與檢測,進而生成檢測報告反饋給數(shù)據(jù)中心管理人員,供其分析與處理所發(fā)現(xiàn)的漏洞,對數(shù)據(jù)中心進行整改。
        那么,這些安全漏洞從哪里得到的呢?在國際上,主要的安全漏洞更新來自CVE (Common Vulnerabilities & Exposures,通用漏洞披露)。CVE是國際著名的安全漏洞庫,也是對已知漏洞和安全缺陷的標準化名稱的列表,它是一個由企業(yè)界、政府界和學術界綜合參與的國際性組織,采取一種非盈利的組織形式,其使命是為了能更加快速而有效地鑒別、發(fā)現(xiàn)和修復軟件產品的安全漏洞,CVE上會不斷更新在全球各地發(fā)現(xiàn)的各種漏洞,以便大家可以及時更新自己的安全庫,防止漏洞被黑客或不法分子利用,很多安全設備廠商都要參考CVE上通告的最新安全漏洞,及時更新自己的病毒庫。在國內,有國家信息安全漏洞平臺(China National Vulnerability Database,簡稱CNVD),CNVD是由國家計算機網(wǎng)絡應急技術處理協(xié)調中心(中文簡稱國家互聯(lián)應急中心,英文簡稱CNCERT)聯(lián)合國內重要信息系統(tǒng)單位、基礎電信運營商、網(wǎng)絡安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)共同建立的信息安全漏洞信息共享知識庫。CNVD會實時公布國際和國內出現(xiàn)的各種病毒和漏洞,有時還給出了解決方案,是國內安全廠商參考的重要平臺。通過CNVD建立軟件安全漏洞統(tǒng)一收集驗證、預警發(fā)布及應急處置體系,切實提升我國在安全漏洞方面的整體研究水平和及時預防能力。安全漏洞具體要掃描哪些漏洞,主要就是CVE和CNVD公布出來的漏洞,成為安全漏洞掃描參考的主要標準,還有小部分是漏洞掃描工具自己認為存在風險的漏洞,及時通告出來。其實,不止有CVE和CNVD,還有OSVDB、ISS XForce等,國內還有中國國家信息安全漏洞庫,國家安全漏洞庫等,這些漏洞庫也收錄了不少安全漏洞,表1列出了幾乎全部有影響力的安全漏洞庫。
漏洞庫 特點 數(shù)量 網(wǎng)址
SecurityFocus 全揭露,帶POC 大于6萬 http://www.securityfocus.com/bid/
OSVDB 數(shù)據(jù)最大,索引豐富 大于10萬 http://www.osvdb.org/
Secunia 產品分類細 近6萬 http://secunia.com/community/advisories/
ISS XForce 描述信息專業(yè) 大于9萬 http://xforce.iss.net/
CVE 最全索引 大于6萬 http://cve.mitre.org/cve/cve.html
CNVD 國內中文數(shù)據(jù)庫 大于6萬 http://www.cnvd.org.cn/flaw/list.htm
                                               表1安全漏洞庫
        這些漏洞也會劃分不同的等級,有的分四個等級,有的分三個等級,級別越高,危害越大,以此來提醒大家。同時,為了鼓勵大家發(fā)現(xiàn)漏洞,有些被查出漏洞的軟件廠商還會給與一定的獎勵,比如微軟的MBB獎勵計劃,如果微軟的操作系統(tǒng)被人發(fā)現(xiàn)存在新的漏洞,并且滿足微軟要求的指標和條件,即可獲得5000~6萬美金不等的獎勵,其它一些軟件和設備廠商也是這樣,對于自己未能發(fā)現(xiàn),而被其它人發(fā)現(xiàn)的漏洞,及時給與獎勵,并及時做修復。
        從安全漏洞的性質來講,主要集中于密碼認證、登錄方式、系統(tǒng)漏洞等幾個方面,尤其是密碼認證特別受到關注。如果數(shù)據(jù)中心里的網(wǎng)絡設備或者服務器系統(tǒng)密碼認證存在漏洞,就可能被人利用,從而登錄到數(shù)據(jù)系統(tǒng)中竊取秘密資料,如果是個人隱私數(shù)據(jù)或者國家機密泄露,將對個人甚至國家?guī)順O大損失,所以這類漏洞特別要引起注意。密碼設置過于簡單,加密算法存在漏洞,都會給壞人可乘之機,安全漏洞掃描就是要將這類漏洞找出來,讓數(shù)據(jù)中心盡快改進。
 
 

上一篇:2019年04月16日 聚銘安全速遞

下一篇:卡巴斯基實驗室:win32k.sys 又曝出了新的零日漏洞