張晗

摘 要：隨著計算機和網(wǎng)絡技術的迅速發(fā)展，尤其是互聯(lián)網(wǎng)的快速發(fā)展，人們對網(wǎng)絡的依賴性打到了前所未有的成都，網(wǎng)絡安全越來越重要，最近幾年，網(wǎng)絡安全面臨嚴峻的考驗，如何維持網(wǎng)絡安全越來越重要，網(wǎng)絡安全評估是保證網(wǎng)絡安全的一個重要環(huán)節(jié)。

關鍵詞：網(wǎng)絡安全；網(wǎng)絡安全評估；漏洞

一、網(wǎng)絡安全概述

說道網(wǎng)絡安全就離不開漏洞，熟悉黑客技術是很重要的，但是能理解黑客所實施的威脅與造成的風險聯(lián)系在一起，這些知識才最有價值。

二、漏洞概述

很多人把漏洞看成是有惡意的人能夠使用的軟件或者硬件的缺陷，但是最近幾年，漏洞的定義發(fā)展為有惡意的人能夠利用的軟硬件的缺陷及配置錯誤補丁管理和安全管理等常?；ハ喔偁幍膶W科，都已經(jīng)從單一學科發(fā)展為同一個信息技術方面的問題，就是如今的漏洞管理。

三、漏洞造成的風險

不管漏洞是如何公開的，該漏洞都對一個組織造成了風險，漏洞帶來的風險大小取決于幾個因素：廠商對風險的評級；一個組織中受影響系統(tǒng)的數(shù)量；一個組織中受影響系統(tǒng)的危險程度；組織中受影響系統(tǒng)的暴露程度。

一個組織可以用多種方法來計算奉獻，在更高的層次上，一種更合理的計算方式是使用下面的公式：

Risk=Vulnerability*Attacks*Threat*Exposure

V用來度量漏洞的問題，A度量攻擊和危險，T度量潛在的危險，E對惡組織受攻擊的脆弱程度的評估。

四、漏洞評估

漏洞評估是幫助企業(yè)人士，安全專家及黑客在網(wǎng)絡應用和系統(tǒng)中確定安全責任的安全實踐。

（1）信息收集。信息收集和發(fā)現(xiàn)是個人或小組確定評估的范圍而執(zhí)行的步驟。信息收集分為兩個部分：非侵犯性的活動和半侵犯性的活動，活動反映了對目標信息的公開收集。通過對一個IP地址的查詢，可以得到以下信息：該公司地理位置；該公司聯(lián)系信息；該公司使用的IP地址范圍；負責該域的DNS服務器地址。

（2）列舉。用來判斷目標系統(tǒng)運行系統(tǒng)運行的操作系統(tǒng)和位于目標上的應用程序的過程。端口列舉在漏洞評估中扮演了很關鍵的角色，因為他確保講漏洞對應到各自的應用程序。

（3）檢測。檢測用來確定一個系統(tǒng)或應用程序是否受到攻擊。這一步不是確定漏洞是否存在，漏洞是否存在有滲透測試來完成，檢測只是報告漏洞出現(xiàn)的可能性。首先需要一個漏洞評估工具，之后將該系統(tǒng)的反饋進行比較，如果漏洞評估工具收到了一個認為是壞的反饋，那么這臺機器就是易受攻擊。

（4）漏洞評估小結(jié)。補丁管理，配置管理及安全管理已經(jīng)演變成漏洞管理中的一種功能，補丁管理和配置管理技術傳統(tǒng)上支持與安全無關的內(nèi)容，但是現(xiàn)在主要用來監(jiān)測和修復安全問題。

在現(xiàn)在的環(huán)境中，由于利用了安全，補丁和配置技術相混合的漏洞評估方法，使得能用最佳的效率獲得最大的利益。

五、漏洞評估工具

漏洞評估工具能夠為代表一個漏洞的特定條件進行系統(tǒng)探測，漏洞評估工具的工作就是識別這些缺陷和配置錯誤。

漏洞評估工具特征：低的誤報率；零漏報率；一個完整的監(jiān)測數(shù)據(jù)庫；帶有證書的檢測；無證書的檢測；對網(wǎng)絡流量的影響小；最小的系統(tǒng)影響；直觀的和可定制的報告引擎；可定制的檢測；企業(yè)的可伸縮性。

使用漏洞評估工具：識別網(wǎng)絡上的主機；把主機分組；創(chuàng)建一個審計策略；執(zhí)行掃描；分析報告；在必要的地方做出修復。

六、漏洞評估

漏洞評估時要對自己的網(wǎng)絡系統(tǒng)了解，不能漏掉任何一臺，確保每臺機器有以下數(shù)據(jù)：IP地址；MAC地址；操作系統(tǒng)；操作系統(tǒng)的補丁級別；服務；安全的軟件。漏洞評估是一個旅程，而不是一個目的地。

七、漏洞管理

漏洞管理定義為企業(yè)由于各種漏洞而存在著風險，不論這些漏洞是與軟件還是硬件相關，漏洞管理就是一個管理風險的整個過程。

漏洞管理計劃同認為計劃一樣，除非是書面的，得到適當?shù)闹С?，并且有效的被傳達，富哦則可能不會實現(xiàn)。必須寫明計劃的目的，目標和成功的標準。為了幫助計劃執(zhí)行下去，必須得到領導的認可和支持。不然會阻礙漏洞管理的策略過程和實踐的執(zhí)行效率。

漏洞管理計劃的步驟：第一步，獲得組織對風險的容忍性和貪婪性的理解；第二步，定義可接受的風險和時間表，在時間表中更高的風險等級將被修復；第三步，建立資產(chǎn)和漏洞分類方法。了解哪些資產(chǎn)對業(yè)務是重要的，并且提出一個漏洞分類系統(tǒng)將提高漏洞管理計劃的執(zhí)行效率；第四步，分配角色和責任。確定并寫明資產(chǎn)所有者，保管者及負責者的實體；第五步，開發(fā)一種度量計劃成功的方法。如果不能度量該計劃，那么就不能表明這個組織運行在一個可接受的風險等級中。

漏洞管理的幾個階段：

1、確定。最關鍵的一步是確定，檢查，跟蹤網(wǎng)絡上的所有信息資產(chǎn)，包括以下內(nèi)容：為資產(chǎn)建立一個清單列表；確定并寫明資源所有者；建立一個更新資產(chǎn)管理系統(tǒng)的流程；每年至少驗證一次清單確保正確性；確保每一筆資產(chǎn)分類都被記錄。

2、評估。建立被評估資產(chǎn)的清單后，現(xiàn)在可以吧注意力轉(zhuǎn)移到評估企業(yè)資產(chǎn)漏洞上，作為評估的一部分，必須分類確定每個被發(fā)現(xiàn)漏洞的危險等級，按低中高分類，將有助于以后開展修復工作。

3、修復。修復石管理計劃的關鍵部分。在修復階段，要制定針對在環(huán)境中被發(fā)現(xiàn)的漏洞的修復策略。這個過程體現(xiàn)了技術，方法，策略和訓練的結(jié)合，因為漏洞影響整個組織。所以可能影響整個部門。

4、報告。為了能證明所付出努力的成都，漏洞管理報告能提供這種證明，他能幫助你和整個組織交流漏洞管理的重要性，如果沒有這樣的報告，那么評估該組織的安全姿態(tài)和相關風險等級將非常困難。

5、改進。計劃不管剛開始還是已經(jīng)制定完，都可能有改進。作為改進和加強漏洞管理計劃的一部分，應該回顧以前各個階段的寶貴數(shù)據(jù)，并且尋求機會更改組追的安全策略，實踐或者規(guī)程以提高計劃執(zhí)行效率，重要的是降低組織風險。

6、監(jiān)控。這一階段包括查明你的組織資產(chǎn)中可使用的漏洞。為了更有效監(jiān)控工作更積極。安全人員應該通過安全顧問和漏洞信息源來跟蹤漏洞。

八、漏洞管理工具

漏洞管理工具包括資產(chǎn)管理，漏洞評估，配置管理，補丁管理，修復，報告和監(jiān)控，他們能夠在一起很好的工作，并且能和第三方的技術產(chǎn)品很好地結(jié)合。

漏洞管理工具的評估包含以下方面：資產(chǎn)管理；覆蓋范圍；漏洞數(shù)據(jù)聚合；第三方漏洞參考；優(yōu)化；修復策略執(zhí)行；修復；修復組管理；補丁管理。

九、漏洞和配置管理

打補丁是為了開啟新功能，減少發(fā)現(xiàn)的漏洞或者降低安全風險，解決穩(wěn)定性問題。一個補丁很可能影響另一個補丁主次功能的運行。漏洞管理架構(gòu)中最關鍵部分就是補丁管理計劃的建立，包括系統(tǒng)分類，烯烴清單和補丁管理跟蹤系統(tǒng)，這都與變更控制，測試和部署機制能夠互操作。

1.補丁管理框架包括：系統(tǒng)清單，系統(tǒng)分類，系統(tǒng)基線，通告，減輕風險，策略，優(yōu)先級排序，補丁研究與測試，補丁分發(fā)與部署，日志與報告。

2.系統(tǒng)清單：系統(tǒng)名稱和物理位置，操作系統(tǒng)和應用程序，現(xiàn)有的補丁等級，系統(tǒng)所有者與聯(lián)系信息，正在運行的服務與開放端口，其他臨近系統(tǒng)，開放共享，處理器類型，網(wǎng)絡信息。

3.系統(tǒng)分類的重要性使分配風險權重更容易，不同風險與不用系統(tǒng)類型有關，基于系統(tǒng)角色有助于確定和分配優(yōu)先級。（作者單位：齊齊哈爾工程學院）