作者簡介：張哲旭，男，黑龍江齊齊哈爾人。本科在讀，齊齊哈爾工程學院信息系計科111班，方向：計算機信息安全。

摘要：在計算機當中有些攻擊和防御工具發(fā)布出來，從L0PhtCrack到Anti-Sniff，再到LLINT，還有一些個人和工作專用工具。保護備受關注的各種網(wǎng)絡，無論是大型的網(wǎng)絡，還是小型的網(wǎng)絡，都是很正常的事，受命侵入防御堅固的網(wǎng)絡更是平常，但是只是關注這些事情的本身并不能得到什么信息。通過堅持對更加全面情況的理解，可以制定出實際的目標，不管是攻擊擊還是防御者，都會遇到這個問題。

關鍵詞：什么是漏洞；漏洞評估；漏洞管理

1.引言

本文不是典型的介紹信息技能的書。但是本書還是主要將漏洞管理的技術融入到業(yè)務管理中。盡管熟悉最新的黑客技術是很重要的，但是只有當能夠把黑客所實施的威脅與對組織所造成的風險聯(lián)系在一起時，這些知識才是有價值的。

2.什么是漏洞？

2.1那么什么是漏洞呢？在過去，很多人把漏洞看作是有惡意的人能夠利用的軟件或硬件的缺陷。然而，在近幾年中，漏洞的定義發(fā)展為有惡意的人能夠利用的軟件硬件的缺陷及配置錯誤（misconfiguration）。補丁管理、配置管理和安全管理等常常相互競爭的學科，都已從單一的學科發(fā)展成為同一個信息技術（IT）方面的問題，那就是今天的漏洞管理。

2.2從表面上看，漏洞管理像是個簡單的工作。不幸的是，在大部分組織的網(wǎng)絡中，漏洞管理既困難又復雜。一個典型的組織中包含定制的應用、移動用戶及關鍵服務器，它們有不同的需要，不能只做簡單的保護，更不能置之不理。軟件廠商仍會發(fā)布不安全的代碼，加入這些必須遵守的規(guī)定使管理者感到緊張，并且處于一種高壓狀況下，容易導致犯嚴重的錯誤。

針對漏洞管理的情況，人們提出了“漏洞窗口”的概念。盡管這好像是一個聰明的文字游戲，把人們的注意力引向了最常用的Windows操作系統(tǒng)，但是它實際上指的是一個系統(tǒng)由于安全缺陷、配置問題或導致降低整個系統(tǒng)安全性的其他因素，而處于易受攻擊的狀態(tài)的時間有多長，漏洞窗口有以下兩種類型：

●未知漏洞窗口從發(fā)現(xiàn)一個漏洞到系統(tǒng)打上該漏洞的補丁所經(jīng)過的時間

●已知漏洞窗口從廠商發(fā)布一個漏洞補丁到系統(tǒng)打上該漏洞的補丁所經(jīng)過的時間。

大多數(shù)組織更關注第二種類型——已知漏洞窗口，但是當制定減輕風險策略時，計算未知漏洞窗口才是有價值的。

2.3理解漏洞造成的風險

不管一個漏洞是如何公開的，該漏洞都對一個組織造成了風險。漏洞帶來的風險大小取決于幾個因素：

●廠商對風險的評級

●一個組織中受影響系統(tǒng)的數(shù)量

●一個組織中受影響系統(tǒng)的危險程度

●組織中受影響暴露程度

滲透測試者和惡意攻擊者通常會首先試圖危害易被攻擊的系統(tǒng)，它們代表了被一個組織認為不是十分危險因而沒有及時修復的系統(tǒng)，這些系統(tǒng)就成為對內(nèi)部的基礎設施及更危險的系統(tǒng)進行進一步的攻擊的切入點。也就是說，如果一個組織的記賬系統(tǒng)是最危險的系統(tǒng)，那么如何對所有該系統(tǒng)相連的工作站進行評級。如果它們不是同等危險的，那么可能是易受攻擊的，并且會被用作真正危險的記賬系統(tǒng)的攻擊媒介。

3.漏洞評估

3.1如果擁有了一份網(wǎng)絡中系統(tǒng)的完整列表，最好執(zhí)行一項費時的任務——驗證工具妻現(xiàn)的數(shù)據(jù)。在理想的世界里，能夠跳過這一步，但是對漏洞評估來說，為了安全最好做這一步。漏掉一臺機器就意味著不一樣的結果：把一個黑客擋在了網(wǎng)絡之外還是讓一個黑客進入了網(wǎng)絡。要確保對每臺機器具有下面的數(shù)據(jù)：

3.2IP地址這似乎非常明顯，但是要注意有的系統(tǒng)可能有多個IP地址。一定要識別出哪些系統(tǒng)有多個連接具有多個IP地址。在有些情況下，這些系統(tǒng)可能在多個網(wǎng)絡上通信。

3.3MAC地址正如前面提到的，這對漏洞評估不是必要的，但是有很多原因使得具有全部系統(tǒng)的MAC地址是非常不錯的。

3.4操作系統(tǒng)這是很顯然的。因為漏洞管理的很多方面是以補丁管理和配置管理為核心的，需要跟蹤所有機器上的操作系統(tǒng)。應該把打印機、路由器及其他的網(wǎng)絡設備包含進來。

3.5操作系統(tǒng)的補丁級別每個漏洞評估工具應該能提供這個數(shù)據(jù)點的信息。

3.6服務（網(wǎng)站、數(shù)據(jù)庫、郵件等）關于每個系統(tǒng)為用戶提供服務要有一個列表，當考慮安全配置時，這是很必須的。應該檢查所有的系統(tǒng)并關閉不需要的任何服務。

3.7安裝的軟件要有一個系統(tǒng)中安裝的所有授權軟件的列表?？梢允褂靡粋€工具來列出整個系統(tǒng)中所安裝的軟件的列表，然后用一個授權軟件的列表與這個列表相互對照。授權軟件的概念不只是與許可有關，而且關系到安全，因為未授權的軟件包的補丁等級和全部安全特征對IT來說是不知道的。

3.8這幾年中，人們把所有注意力都集中在操作系統(tǒng)中上——特別是Microsoft的操作系統(tǒng)，每個人似乎忘記了應用程序。近來這變得更加顯示，因為應用程序級漏洞增加了更多。所以當企業(yè)把注意集中在操作系統(tǒng)上時，則會受到應用程序的攻擊。幸運的是，大多數(shù)好的漏洞評估工具不但可以檢測操作系統(tǒng)漏洞，同時也可以檢測應用程序漏洞。

4.漏洞管理

4.1昔日，漏洞管理的典型方法是讓安全小組確定威脅，然后“拋給”信息技術（IT）管理員來修復。這些年來，隨著安全威脅數(shù)量的增長，這種不負責任的方法已經(jīng)不再可行了。前面討論了通過使用漏洞評估掃描器、補丁管理和配置管理工具來發(fā)現(xiàn)漏洞，然后，漏洞管理根本不僅只利用前面所提到的工具。

4.2漏洞管理最好的定義為企業(yè)由于各種漏洞而存在著風險，不論這些漏洞是與軟件還是與硬件相關，漏洞管理就是一個管理風險的整個過程。漏洞管理在很多方面與漏洞發(fā)現(xiàn)和漏洞評估也有直接聯(lián)系，并且也非常依賴補丁管理過程。

4.3漏洞管理也包括安全實踐和安全過程編組，這有助于管理安全責任，允許把漏洞管理集成到現(xiàn)有的信息安全和IT工作流中。

4.4漏洞管理計劃同任何計計劃一樣，除非是書面的，受到當?shù)刂С?，并且有效地被傳達，否則可能不會實現(xiàn)。對于一個漏洞管理計劃也是一樣，必須寫明計劃的目的、目標和成功的標準。為了幫助計劃執(zhí)行下去，如果希望執(zhí)行得更有效，也必須得到領導的認可和支持。如果沒有高層管理者的支持，將永遠會阻礙漏洞管理的策略、過程及實踐的執(zhí)行效率。

5.總結

隨著漏洞管理計劃的完善與成熟，能夠對組織造成影響的新漏洞的數(shù)量應該減少，因為已經(jīng)制定了步驟和彌補控制來減少漏洞數(shù)量，并且建立了一個更成熟的漏洞風險評估方法。與此相關，研究表明未來幾年發(fā)布的漏洞數(shù)量將增長。正因如此，在環(huán)境吶修復的漏洞數(shù)不能表示度量的標準。隨著每年公布的漏洞數(shù)量的增加，自然應該比以前修復更多的漏洞。我相信，隨著技術的完善，今后的網(wǎng)絡環(huán)境將更加安全。（作者單位：齊齊哈爾工程學院）

參考文獻：

[1]郭濤.內(nèi)核漏洞的利用與防范.