網(wǎng)絡(luò)安全加固工作的分析與探討

◆李 俊

（陜西省網(wǎng)絡(luò)與信息安全測評中心 陜西 710077）

隨著通信技術(shù)與計算機技術(shù)的快速發(fā)展，特別是近些年來大數(shù)據(jù)和分布式計算技術(shù)的創(chuàng)新與演進，信息系統(tǒng)安全面臨嚴峻挑戰(zhàn)。對作為信息系統(tǒng)主要組成部分的服務(wù)器、操作系統(tǒng)等軟硬件的安全檢測已成為必不可少的工作。但是通過風險評估、等級測評等安全檢測工作對信息系統(tǒng)安全漏洞進行挖掘外，怎么對所發(fā)現(xiàn)的問題進行判斷和處置已成為其后網(wǎng)絡(luò)安全工作日益關(guān)注的重點，因此，本文結(jié)合安全加固工作實際經(jīng)驗，對信息系統(tǒng)網(wǎng)絡(luò)安全加固工作進行了分析和探討。

1 網(wǎng)絡(luò)安全加固技術(shù)簡述

一個組織的信息系統(tǒng)在運行過程中，必然會面臨各種各樣的內(nèi)部和外部威脅，雖然在信息系統(tǒng)網(wǎng)絡(luò)中可能會部署防火墻、入侵檢測設(shè)備等各類安全產(chǎn)品，但是其并不能真正徹底地消除隱藏在信息系統(tǒng)中的脆弱性問題。

信息系統(tǒng)中的各種軟硬件設(shè)備仍然存在著眾多的脆弱性問題。如在系統(tǒng)建設(shè)實施中，可能存在環(huán)境配置不當、組件配置不當、參數(shù)配置不符合安全需求等安全漏洞。在日常運維中，存在如安全補丁沒有及時更新，存在木馬病毒，應(yīng)用服務(wù)和應(yīng)用程序被非法濫用，開放了不必要的服務(wù)和端口，系統(tǒng)維護不符合安全需求等安全漏洞。這些脆弱性問題必然會成為后續(xù)各類安全問題的風險隱患。一旦信息系統(tǒng)所存在的安全漏洞被有意或無意的利用，則對信息系統(tǒng)的數(shù)據(jù)安全和業(yè)務(wù)連續(xù)性會造成不利影響，引起信息系統(tǒng)癱瘓、數(shù)據(jù)篡改、數(shù)據(jù)泄露乃至金錢和名譽上的損失。

為了盡量減少信息系統(tǒng)脆弱性的存在，安全加固工作應(yīng)運而生。通過安全加固技術(shù)，可對信息系統(tǒng)中的關(guān)鍵軟/硬件設(shè)備，如操作系統(tǒng)、服務(wù)器、路由器、交換機、防火墻、IPS 等的安全性以及漏洞進行了分析，通過補丁更新、參數(shù)配置更改、增加安全機制等方法，降低信息系統(tǒng)的脆弱性，提高信息系統(tǒng)應(yīng)對風險的能力。

2 網(wǎng)絡(luò)安全加固工作中面臨的問題

安全加固是一項復雜的系統(tǒng)化工作，實際工作中面臨著很多問題，主要可歸納為如下三點：（1）在完成風險評估、等級測評等檢測工作后所提交的安全報告中，可能會給出一個海量的安全漏洞問題報表，而這些報表往往是工具檢測后自動生成的結(jié)果，缺少必要的問題分析和歸類、統(tǒng)計，其給出漏洞問題的描述和整改建議在很多情況下也不能真正適用于問題整改和安全加固工作。（2）安全問題報表中，一般只根據(jù)安全漏洞的危害程度對其進行風險分級，缺少與信息系統(tǒng)相關(guān)資產(chǎn)的重要性的掛鉤，造成加固工作缺少重點以及加固后的工作效果不高。（3）信息系統(tǒng)相關(guān)安全檢測工作通常交由第三方進行，但檢測人員與加固人員有著不同的立場和觀點，對漏洞的判斷和理解也各不相同，從而導致安全漏洞在處置過程中存在著爭議。

3 網(wǎng)絡(luò)安全加固工作方法的分析

通過分析安全加固工作中面臨的問題，我們可以發(fā)現(xiàn)安全加固工作的難點不是如何找出安全漏洞，而是如何對所發(fā)現(xiàn)的安全漏洞進行分析和判斷，并提供基于實際情況的處置辦法。通過在實踐中的總結(jié)，面對安全加固工作，可以從安全漏洞的分類、安全漏洞利用的難易程度判定、安全加固實施三個方面改進和完善安全加固工作的方法。

3.1 安全漏洞的分類

安全漏洞分類是安全加固工作最基礎(chǔ)的一環(huán)，通過對網(wǎng)絡(luò)系統(tǒng)中常見的關(guān)鍵軟/硬件設(shè)備，如操作系統(tǒng)、應(yīng)用軟件、服務(wù)器、路由器、交換機以及防火墻等設(shè)備的漏洞進行分析，可以把發(fā)現(xiàn)的安全漏洞和對應(yīng)的系統(tǒng)軟硬件資產(chǎn)相結(jié)合，從而確定安全加固工作的方向。

根據(jù)安全漏洞所影響對象的不同，可以將目前常見的安全漏洞問題進行如下分類：

（1）操作系統(tǒng)漏洞：指系統(tǒng)本身的安全漏洞問題，常見包括windows 安全漏洞、Linux 安全漏洞等。

（2）業(yè)務(wù)軟件漏洞：指數(shù)據(jù)庫、中間件、應(yīng)用框架等安全漏洞問題，如SQL Server 安全漏洞、oracle 安全漏洞，weblogic安全漏洞，struts2 安全漏洞等。

（3）網(wǎng)絡(luò)和安全設(shè)備漏洞：指交換機、路由器、防火墻等網(wǎng)絡(luò)設(shè)備中的安全漏洞問題，包括弱口令、協(xié)議漏洞、緩沖區(qū)溢出漏洞等。

（4）輔助程序漏洞：指保障信息系統(tǒng)運行和使用的一些必備工具的安全漏洞，如ftp 安全漏洞，openssh 安全漏洞、office安全漏洞、瀏覽器漏洞等。

3.2 安全漏洞利用的難易程度判定

對安全漏洞進行分類后，針對每類對象所存在的安全漏洞，可以從訪問路徑、觸發(fā)要求、權(quán)限要求、交互條件等方面對每個漏洞被利用的難易程度進行分析和判斷，確定安全加固工作的重點。

一般可將安全漏洞分為以下三種情況：（1）直接利用成功率高的漏洞：如弱口令、遠程代碼執(zhí)行漏洞等。觸發(fā)此類漏洞所需的資源很少，一般可以遠程觸發(fā)，對目標系統(tǒng)的配置參數(shù)、運行環(huán)境、版本等無特殊要求，在普通權(quán)限下，無須其他用戶或系統(tǒng)參與既能達到攻擊效果。如果這些漏洞存在，惡意攻擊者可以輕易地利用并入侵系統(tǒng)。（2）間接利用成功率高的漏洞：如瀏覽器漏洞、office 漏洞等。這些漏洞問題需要在本地或局域網(wǎng)范圍內(nèi)觸發(fā)，對目標系統(tǒng)的版本或系統(tǒng)運行環(huán)境有一定的要求，需要用到管理員權(quán)限或者必須有用戶或系統(tǒng)的參與才能完成攻擊。（3）利用成功率很低的漏洞：如一些溢出漏洞、特定程序的漏洞等。這些漏洞往往缺少詳細的公開信息和觸發(fā)工具，觸發(fā)漏洞需要一定的技術(shù)和資源投入，并且對目標系統(tǒng)的運行環(huán)境、參數(shù)配置等要求也比較苛刻。

3.3 安全加固實施

通過對安全漏洞進行分類以及對其被利用的難易程度進行判斷，最終可以確定安全加固工作的方向和重點。為了更好完成安全加固工作，在安全加固實施過程中，應(yīng)該根據(jù)安全漏洞利用的難易程度，優(yōu)先加固直接利用成功率高和間接利用成功率高的安全漏洞，大部分安全事件往往都是常見的且容易被利用的漏洞造成的，優(yōu)先處理此類安全漏洞，能及時降低信息系統(tǒng)安全風險，提高安全加固工作的效果。另外由于所處立場和角度的不同，安全加固人員不能盲目地根據(jù)安全漏洞報表進行問題整改，安全加固人員必須和信息系統(tǒng)檢測人員進行充分溝通，確認所發(fā)現(xiàn)安全漏洞的真實性和準確性，把安全檢測工作和安全加固工作相結(jié)合，從而才能真正降低信息系統(tǒng)脆弱性，抵御安全威脅。