張晗

摘 要：隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，尤其是互聯(lián)網(wǎng)的快速發(fā)展，人們對(duì)網(wǎng)絡(luò)的依賴性打到了前所未有的成都，網(wǎng)絡(luò)安全越來越重要，最近幾年，網(wǎng)絡(luò)安全面臨嚴(yán)峻的考驗(yàn)，如何維持網(wǎng)絡(luò)安全越來越重要，網(wǎng)絡(luò)安全評(píng)估是保證網(wǎng)絡(luò)安全的一個(gè)重要環(huán)節(jié)。

關(guān)鍵詞：網(wǎng)絡(luò)安全；網(wǎng)絡(luò)安全評(píng)估；漏洞

一、網(wǎng)絡(luò)安全概述

說道網(wǎng)絡(luò)安全就離不開漏洞，熟悉黑客技術(shù)是很重要的，但是能理解黑客所實(shí)施的威脅與造成的風(fēng)險(xiǎn)聯(lián)系在一起，這些知識(shí)才最有價(jià)值。

二、漏洞概述

很多人把漏洞看成是有惡意的人能夠使用的軟件或者硬件的缺陷，但是最近幾年，漏洞的定義發(fā)展為有惡意的人能夠利用的軟硬件的缺陷及配置錯(cuò)誤補(bǔ)丁管理和安全管理等常?；ハ喔?jìng)爭(zhēng)的學(xué)科，都已經(jīng)從單一學(xué)科發(fā)展為同一個(gè)信息技術(shù)方面的問題，就是如今的漏洞管理。

三、漏洞造成的風(fēng)險(xiǎn)

不管漏洞是如何公開的，該漏洞都對(duì)一個(gè)組織造成了風(fēng)險(xiǎn)，漏洞帶來的風(fēng)險(xiǎn)大小取決于幾個(gè)因素：廠商對(duì)風(fēng)險(xiǎn)的評(píng)級(jí)；一個(gè)組織中受影響系統(tǒng)的數(shù)量；一個(gè)組織中受影響系統(tǒng)的危險(xiǎn)程度；組織中受影響系統(tǒng)的暴露程度。

一個(gè)組織可以用多種方法來計(jì)算奉獻(xiàn)，在更高的層次上，一種更合理的計(jì)算方式是使用下面的公式：

Risk=Vulnerability*Attacks*Threat*Exposure

V用來度量漏洞的問題，A度量攻擊和危險(xiǎn)，T度量潛在的危險(xiǎn)，E對(duì)惡組織受攻擊的脆弱程度的評(píng)估。

四、漏洞評(píng)估

漏洞評(píng)估是幫助企業(yè)人士，安全專家及黑客在網(wǎng)絡(luò)應(yīng)用和系統(tǒng)中確定安全責(zé)任的安全實(shí)踐。

（1）信息收集。信息收集和發(fā)現(xiàn)是個(gè)人或小組確定評(píng)估的范圍而執(zhí)行的步驟。信息收集分為兩個(gè)部分：非侵犯性的活動(dòng)和半侵犯性的活動(dòng)，活動(dòng)反映了對(duì)目標(biāo)信息的公開收集。通過對(duì)一個(gè)IP地址的查詢，可以得到以下信息：該公司地理位置；該公司聯(lián)系信息；該公司使用的IP地址范圍；負(fù)責(zé)該域的DNS服務(wù)器地址。

（2）列舉。用來判斷目標(biāo)系統(tǒng)運(yùn)行系統(tǒng)運(yùn)行的操作系統(tǒng)和位于目標(biāo)上的應(yīng)用程序的過程。端口列舉在漏洞評(píng)估中扮演了很關(guān)鍵的角色，因?yàn)樗_保講漏洞對(duì)應(yīng)到各自的應(yīng)用程序。

（3）檢測(cè)。檢測(cè)用來確定一個(gè)系統(tǒng)或應(yīng)用程序是否受到攻擊。這一步不是確定漏洞是否存在，漏洞是否存在有滲透測(cè)試來完成，檢測(cè)只是報(bào)告漏洞出現(xiàn)的可能性。首先需要一個(gè)漏洞評(píng)估工具，之后將該系統(tǒng)的反饋進(jìn)行比較，如果漏洞評(píng)估工具收到了一個(gè)認(rèn)為是壞的反饋，那么這臺(tái)機(jī)器就是易受攻擊。

（4）漏洞評(píng)估小結(jié)。補(bǔ)丁管理，配置管理及安全管理已經(jīng)演變成漏洞管理中的一種功能，補(bǔ)丁管理和配置管理技術(shù)傳統(tǒng)上支持與安全無關(guān)的內(nèi)容，但是現(xiàn)在主要用來監(jiān)測(cè)和修復(fù)安全問題。

在現(xiàn)在的環(huán)境中，由于利用了安全，補(bǔ)丁和配置技術(shù)相混合的漏洞評(píng)估方法，使得能用最佳的效率獲得最大的利益。

五、漏洞評(píng)估工具

漏洞評(píng)估工具能夠?yàn)榇硪粋€(gè)漏洞的特定條件進(jìn)行系統(tǒng)探測(cè)，漏洞評(píng)估工具的工作就是識(shí)別這些缺陷和配置錯(cuò)誤。

漏洞評(píng)估工具特征：低的誤報(bào)率；零漏報(bào)率；一個(gè)完整的監(jiān)測(cè)數(shù)據(jù)庫(kù)；帶有證書的檢測(cè)；無證書的檢測(cè)；對(duì)網(wǎng)絡(luò)流量的影響??；最小的系統(tǒng)影響；直觀的和可定制的報(bào)告引擎；可定制的檢測(cè)；企業(yè)的可伸縮性。

使用漏洞評(píng)估工具：識(shí)別網(wǎng)絡(luò)上的主機(jī)；把主機(jī)分組；創(chuàng)建一個(gè)審計(jì)策略；執(zhí)行掃描；分析報(bào)告；在必要的地方做出修復(fù)。

六、漏洞評(píng)估

漏洞評(píng)估時(shí)要對(duì)自己的網(wǎng)絡(luò)系統(tǒng)了解，不能漏掉任何一臺(tái)，確保每臺(tái)機(jī)器有以下數(shù)據(jù)：IP地址；MAC地址；操作系統(tǒng)；操作系統(tǒng)的補(bǔ)丁級(jí)別；服務(wù)；安全的軟件。漏洞評(píng)估是一個(gè)旅程，而不是一個(gè)目的地。

七、漏洞管理

漏洞管理定義為企業(yè)由于各種漏洞而存在著風(fēng)險(xiǎn)，不論這些漏洞是與軟件還是硬件相關(guān)，漏洞管理就是一個(gè)管理風(fēng)險(xiǎn)的整個(gè)過程。

漏洞管理計(jì)劃同認(rèn)為計(jì)劃一樣，除非是書面的，得到適當(dāng)?shù)闹С郑⑶矣行У谋粋鬟_(dá)，富哦則可能不會(huì)實(shí)現(xiàn)。必須寫明計(jì)劃的目的，目標(biāo)和成功的標(biāo)準(zhǔn)。為了幫助計(jì)劃執(zhí)行下去，必須得到領(lǐng)導(dǎo)的認(rèn)可和支持。不然會(huì)阻礙漏洞管理的策略過程和實(shí)踐的執(zhí)行效率。

漏洞管理計(jì)劃的步驟：第一步，獲得組織對(duì)風(fēng)險(xiǎn)的容忍性和貪婪性的理解；第二步，定義可接受的風(fēng)險(xiǎn)和時(shí)間表，在時(shí)間表中更高的風(fēng)險(xiǎn)等級(jí)將被修復(fù)；第三步，建立資產(chǎn)和漏洞分類方法。了解哪些資產(chǎn)對(duì)業(yè)務(wù)是重要的，并且提出一個(gè)漏洞分類系統(tǒng)將提高漏洞管理計(jì)劃的執(zhí)行效率；第四步，分配角色和責(zé)任。確定并寫明資產(chǎn)所有者，保管者及負(fù)責(zé)者的實(shí)體；第五步，開發(fā)一種度量計(jì)劃成功的方法。如果不能度量該計(jì)劃，那么就不能表明這個(gè)組織運(yùn)行在一個(gè)可接受的風(fēng)險(xiǎn)等級(jí)中。

漏洞管理的幾個(gè)階段：

1、確定。最關(guān)鍵的一步是確定，檢查，跟蹤網(wǎng)絡(luò)上的所有信息資產(chǎn)，包括以下內(nèi)容：為資產(chǎn)建立一個(gè)清單列表；確定并寫明資源所有者；建立一個(gè)更新資產(chǎn)管理系統(tǒng)的流程；每年至少驗(yàn)證一次清單確保正確性；確保每一筆資產(chǎn)分類都被記錄。

2、評(píng)估。建立被評(píng)估資產(chǎn)的清單后，現(xiàn)在可以吧注意力轉(zhuǎn)移到評(píng)估企業(yè)資產(chǎn)漏洞上，作為評(píng)估的一部分，必須分類確定每個(gè)被發(fā)現(xiàn)漏洞的危險(xiǎn)等級(jí)，按低中高分類，將有助于以后開展修復(fù)工作。

3、修復(fù)。修復(fù)石管理計(jì)劃的關(guān)鍵部分。在修復(fù)階段，要制定針對(duì)在環(huán)境中被發(fā)現(xiàn)的漏洞的修復(fù)策略。這個(gè)過程體現(xiàn)了技術(shù)，方法，策略和訓(xùn)練的結(jié)合，因?yàn)槁┒从绊懻麄€(gè)組織。所以可能影響整個(gè)部門。

4、報(bào)告。為了能證明所付出努力的成都，漏洞管理報(bào)告能提供這種證明，他能幫助你和整個(gè)組織交流漏洞管理的重要性，如果沒有這樣的報(bào)告，那么評(píng)估該組織的安全姿態(tài)和相關(guān)風(fēng)險(xiǎn)等級(jí)將非常困難。

5、改進(jìn)。計(jì)劃不管剛開始還是已經(jīng)制定完，都可能有改進(jìn)。作為改進(jìn)和加強(qiáng)漏洞管理計(jì)劃的一部分，應(yīng)該回顧以前各個(gè)階段的寶貴數(shù)據(jù)，并且尋求機(jī)會(huì)更改組追的安全策略，實(shí)踐或者規(guī)程以提高計(jì)劃執(zhí)行效率，重要的是降低組織風(fēng)險(xiǎn)。

6、監(jiān)控。這一階段包括查明你的組織資產(chǎn)中可使用的漏洞。為了更有效監(jiān)控工作更積極。安全人員應(yīng)該通過安全顧問和漏洞信息源來跟蹤漏洞。

八、漏洞管理工具

漏洞管理工具包括資產(chǎn)管理，漏洞評(píng)估，配置管理，補(bǔ)丁管理，修復(fù)，報(bào)告和監(jiān)控，他們能夠在一起很好的工作，并且能和第三方的技術(shù)產(chǎn)品很好地結(jié)合。

漏洞管理工具的評(píng)估包含以下方面：資產(chǎn)管理；覆蓋范圍；漏洞數(shù)據(jù)聚合；第三方漏洞參考；優(yōu)化；修復(fù)策略執(zhí)行；修復(fù)；修復(fù)組管理；補(bǔ)丁管理。

九、漏洞和配置管理

打補(bǔ)丁是為了開啟新功能，減少發(fā)現(xiàn)的漏洞或者降低安全風(fēng)險(xiǎn)，解決穩(wěn)定性問題。一個(gè)補(bǔ)丁很可能影響另一個(gè)補(bǔ)丁主次功能的運(yùn)行。漏洞管理架構(gòu)中最關(guān)鍵部分就是補(bǔ)丁管理計(jì)劃的建立，包括系統(tǒng)分類，烯烴清單和補(bǔ)丁管理跟蹤系統(tǒng)，這都與變更控制，測(cè)試和部署機(jī)制能夠互操作。

1.補(bǔ)丁管理框架包括：系統(tǒng)清單，系統(tǒng)分類，系統(tǒng)基線，通告，減輕風(fēng)險(xiǎn)，策略，優(yōu)先級(jí)排序，補(bǔ)丁研究與測(cè)試，補(bǔ)丁分發(fā)與部署，日志與報(bào)告。

2.系統(tǒng)清單：系統(tǒng)名稱和物理位置，操作系統(tǒng)和應(yīng)用程序，現(xiàn)有的補(bǔ)丁等級(jí)，系統(tǒng)所有者與聯(lián)系信息，正在運(yùn)行的服務(wù)與開放端口，其他臨近系統(tǒng)，開放共享，處理器類型，網(wǎng)絡(luò)信息。

3.系統(tǒng)分類的重要性使分配風(fēng)險(xiǎn)權(quán)重更容易，不同風(fēng)險(xiǎn)與不用系統(tǒng)類型有關(guān)，基于系統(tǒng)角色有助于確定和分配優(yōu)先級(jí)。（作者單位：齊齊哈爾工程學(xué)院）