◆李 俊

（陜西省網(wǎng)絡(luò)與信息安全測評中心 陜西 710077）

隨著通信技術(shù)與計(jì)算機(jī)技術(shù)的快速發(fā)展，特別是近些年來大數(shù)據(jù)和分布式計(jì)算技術(shù)的創(chuàng)新與演進(jìn)，信息系統(tǒng)安全面臨嚴(yán)峻挑戰(zhàn)。對作為信息系統(tǒng)主要組成部分的服務(wù)器、操作系統(tǒng)等軟硬件的安全檢測已成為必不可少的工作。但是通過風(fēng)險(xiǎn)評估、等級測評等安全檢測工作對信息系統(tǒng)安全漏洞進(jìn)行挖掘外，怎么對所發(fā)現(xiàn)的問題進(jìn)行判斷和處置已成為其后網(wǎng)絡(luò)安全工作日益關(guān)注的重點(diǎn)，因此，本文結(jié)合安全加固工作實(shí)際經(jīng)驗(yàn)，對信息系統(tǒng)網(wǎng)絡(luò)安全加固工作進(jìn)行了分析和探討。

1 網(wǎng)絡(luò)安全加固技術(shù)簡述

一個(gè)組織的信息系統(tǒng)在運(yùn)行過程中，必然會面臨各種各樣的內(nèi)部和外部威脅，雖然在信息系統(tǒng)網(wǎng)絡(luò)中可能會部署防火墻、入侵檢測設(shè)備等各類安全產(chǎn)品，但是其并不能真正徹底地消除隱藏在信息系統(tǒng)中的脆弱性問題。

信息系統(tǒng)中的各種軟硬件設(shè)備仍然存在著眾多的脆弱性問題。如在系統(tǒng)建設(shè)實(shí)施中，可能存在環(huán)境配置不當(dāng)、組件配置不當(dāng)、參數(shù)配置不符合安全需求等安全漏洞。在日常運(yùn)維中，存在如安全補(bǔ)丁沒有及時(shí)更新，存在木馬病毒，應(yīng)用服務(wù)和應(yīng)用程序被非法濫用，開放了不必要的服務(wù)和端口，系統(tǒng)維護(hù)不符合安全需求等安全漏洞。這些脆弱性問題必然會成為后續(xù)各類安全問題的風(fēng)險(xiǎn)隱患。一旦信息系統(tǒng)所存在的安全漏洞被有意或無意的利用，則對信息系統(tǒng)的數(shù)據(jù)安全和業(yè)務(wù)連續(xù)性會造成不利影響，引起信息系統(tǒng)癱瘓、數(shù)據(jù)篡改、數(shù)據(jù)泄露乃至金錢和名譽(yù)上的損失。

為了盡量減少信息系統(tǒng)脆弱性的存在，安全加固工作應(yīng)運(yùn)而生。通過安全加固技術(shù)，可對信息系統(tǒng)中的關(guān)鍵軟/硬件設(shè)備，如操作系統(tǒng)、服務(wù)器、路由器、交換機(jī)、防火墻、IPS 等的安全性以及漏洞進(jìn)行了分析，通過補(bǔ)丁更新、參數(shù)配置更改、增加安全機(jī)制等方法，降低信息系統(tǒng)的脆弱性，提高信息系統(tǒng)應(yīng)對風(fēng)險(xiǎn)的能力。

2 網(wǎng)絡(luò)安全加固工作中面臨的問題

安全加固是一項(xiàng)復(fù)雜的系統(tǒng)化工作，實(shí)際工作中面臨著很多問題，主要可歸納為如下三點(diǎn)：（1）在完成風(fēng)險(xiǎn)評估、等級測評等檢測工作后所提交的安全報(bào)告中，可能會給出一個(gè)海量的安全漏洞問題報(bào)表，而這些報(bào)表往往是工具檢測后自動(dòng)生成的結(jié)果，缺少必要的問題分析和歸類、統(tǒng)計(jì)，其給出漏洞問題的描述和整改建議在很多情況下也不能真正適用于問題整改和安全加固工作。（2）安全問題報(bào)表中，一般只根據(jù)安全漏洞的危害程度對其進(jìn)行風(fēng)險(xiǎn)分級，缺少與信息系統(tǒng)相關(guān)資產(chǎn)的重要性的掛鉤，造成加固工作缺少重點(diǎn)以及加固后的工作效果不高。（3）信息系統(tǒng)相關(guān)安全檢測工作通常交由第三方進(jìn)行，但檢測人員與加固人員有著不同的立場和觀點(diǎn)，對漏洞的判斷和理解也各不相同，從而導(dǎo)致安全漏洞在處置過程中存在著爭議。

3 網(wǎng)絡(luò)安全加固工作方法的分析

通過分析安全加固工作中面臨的問題，我們可以發(fā)現(xiàn)安全加固工作的難點(diǎn)不是如何找出安全漏洞，而是如何對所發(fā)現(xiàn)的安全漏洞進(jìn)行分析和判斷，并提供基于實(shí)際情況的處置辦法。通過在實(shí)踐中的總結(jié)，面對安全加固工作，可以從安全漏洞的分類、安全漏洞利用的難易程度判定、安全加固實(shí)施三個(gè)方面改進(jìn)和完善安全加固工作的方法。

3.1 安全漏洞的分類

安全漏洞分類是安全加固工作最基礎(chǔ)的一環(huán)，通過對網(wǎng)絡(luò)系統(tǒng)中常見的關(guān)鍵軟/硬件設(shè)備，如操作系統(tǒng)、應(yīng)用軟件、服務(wù)器、路由器、交換機(jī)以及防火墻等設(shè)備的漏洞進(jìn)行分析，可以把發(fā)現(xiàn)的安全漏洞和對應(yīng)的系統(tǒng)軟硬件資產(chǎn)相結(jié)合，從而確定安全加固工作的方向。

根據(jù)安全漏洞所影響對象的不同，可以將目前常見的安全漏洞問題進(jìn)行如下分類：

（1）操作系統(tǒng)漏洞：指系統(tǒng)本身的安全漏洞問題，常見包括windows 安全漏洞、Linux 安全漏洞等。

（2）業(yè)務(wù)軟件漏洞：指數(shù)據(jù)庫、中間件、應(yīng)用框架等安全漏洞問題，如SQL Server 安全漏洞、oracle 安全漏洞，weblogic安全漏洞，struts2 安全漏洞等。

（3）網(wǎng)絡(luò)和安全設(shè)備漏洞：指交換機(jī)、路由器、防火墻等網(wǎng)絡(luò)設(shè)備中的安全漏洞問題，包括弱口令、協(xié)議漏洞、緩沖區(qū)溢出漏洞等。

（4）輔助程序漏洞：指保障信息系統(tǒng)運(yùn)行和使用的一些必備工具的安全漏洞，如ftp 安全漏洞，openssh 安全漏洞、office安全漏洞、瀏覽器漏洞等。

3.2 安全漏洞利用的難易程度判定

對安全漏洞進(jìn)行分類后，針對每類對象所存在的安全漏洞，可以從訪問路徑、觸發(fā)要求、權(quán)限要求、交互條件等方面對每個(gè)漏洞被利用的難易程度進(jìn)行分析和判斷，確定安全加固工作的重點(diǎn)。

一般可將安全漏洞分為以下三種情況：（1）直接利用成功率高的漏洞：如弱口令、遠(yuǎn)程代碼執(zhí)行漏洞等。觸發(fā)此類漏洞所需的資源很少，一般可以遠(yuǎn)程觸發(fā)，對目標(biāo)系統(tǒng)的配置參數(shù)、運(yùn)行環(huán)境、版本等無特殊要求，在普通權(quán)限下，無須其他用戶或系統(tǒng)參與既能達(dá)到攻擊效果。如果這些漏洞存在，惡意攻擊者可以輕易地利用并入侵系統(tǒng)。（2）間接利用成功率高的漏洞：如瀏覽器漏洞、office 漏洞等。這些漏洞問題需要在本地或局域網(wǎng)范圍內(nèi)觸發(fā)，對目標(biāo)系統(tǒng)的版本或系統(tǒng)運(yùn)行環(huán)境有一定的要求，需要用到管理員權(quán)限或者必須有用戶或系統(tǒng)的參與才能完成攻擊。（3）利用成功率很低的漏洞：如一些溢出漏洞、特定程序的漏洞等。這些漏洞往往缺少詳細(xì)的公開信息和觸發(fā)工具，觸發(fā)漏洞需要一定的技術(shù)和資源投入，并且對目標(biāo)系統(tǒng)的運(yùn)行環(huán)境、參數(shù)配置等要求也比較苛刻。

3.3 安全加固實(shí)施

通過對安全漏洞進(jìn)行分類以及對其被利用的難易程度進(jìn)行判斷，最終可以確定安全加固工作的方向和重點(diǎn)。為了更好完成安全加固工作，在安全加固實(shí)施過程中，應(yīng)該根據(jù)安全漏洞利用的難易程度，優(yōu)先加固直接利用成功率高和間接利用成功率高的安全漏洞，大部分安全事件往往都是常見的且容易被利用的漏洞造成的，優(yōu)先處理此類安全漏洞，能及時(shí)降低信息系統(tǒng)安全風(fēng)險(xiǎn)，提高安全加固工作的效果。另外由于所處立場和角度的不同，安全加固人員不能盲目地根據(jù)安全漏洞報(bào)表進(jìn)行問題整改，安全加固人員必須和信息系統(tǒng)檢測人員進(jìn)行充分溝通，確認(rèn)所發(fā)現(xiàn)安全漏洞的真實(shí)性和準(zhǔn)確性，把安全檢測工作和安全加固工作相結(jié)合，從而才能真正降低信息系統(tǒng)脆弱性，抵御安全威脅。