◆卿湘濤 卿晨雨 馮衛(wèi) 張清超 童中華米楚陽(yáng) 何凱
某局計(jì)算機(jī)內(nèi)網(wǎng)安全漏洞特征分析
◆卿湘濤1卿晨雨2馮衛(wèi)1張清超1童中華1米楚陽(yáng)1何凱1
(1.湘西州氣象局 湖南 416000;2.常寧市氣象局 湖南 4125001)
本文根據(jù)某網(wǎng)絡(luò)安全公司對(duì)某處級(jí)公益型事業(yè)單位計(jì)算機(jī)內(nèi)網(wǎng)安全檢查提交的《XX局漏洞掃描測(cè)試報(bào)告》,分析了網(wǎng)絡(luò)安全漏洞在該局(包括二級(jí)單位)的業(yè)務(wù)、辦公、視頻會(huì)議網(wǎng)絡(luò)段的分布特點(diǎn),并對(duì)每個(gè)IP目標(biāo)的安全漏洞進(jìn)行了分析。結(jié)果表明,安全漏洞全部出現(xiàn)在視頻會(huì)議終端、GPS/MET站、服務(wù)器上,業(yè)務(wù)、辦公電腦未發(fā)現(xiàn)有安全漏洞。調(diào)研發(fā)現(xiàn),由于視頻會(huì)議終端的維護(hù)權(quán)在上級(jí)單位或服務(wù)商,GPS/MET站的維護(hù)權(quán)在合作單,該局無法進(jìn)行安全漏洞修補(bǔ);服務(wù)器上的安全漏洞是由于硬件、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)陳舊造成的。本文根據(jù)該局的安全漏洞分布特征及辦公業(yè)務(wù)工作特點(diǎn),指出了網(wǎng)絡(luò)安全維護(hù)的重要性及緊迫性,提出了安全漏洞的修復(fù)方法與建議。
安全漏洞;內(nèi)網(wǎng);修補(bǔ);分析
保護(hù)計(jì)算機(jī)內(nèi)網(wǎng)系統(tǒng)安全,避免黑客利用系統(tǒng)漏洞來進(jìn)行攻擊是信息安全的一個(gè)重要環(huán)境。某局為公益性、科研型事業(yè)單位,日常辦公與業(yè)務(wù)工作非常依賴計(jì)算機(jī)網(wǎng)絡(luò),其中部分內(nèi)網(wǎng)服務(wù)器同時(shí)充當(dāng)外網(wǎng)服務(wù)器,數(shù)據(jù)訪問量每天超過10G,該局的計(jì)算機(jī)內(nèi)網(wǎng)同時(shí)也是行業(yè)全國(guó)內(nèi)網(wǎng)的一部分。黑客可以利用安全漏洞通過外網(wǎng)、行業(yè)內(nèi)網(wǎng)實(shí)施各種危險(xiǎn)的網(wǎng)絡(luò)攻擊,輕則造成網(wǎng)絡(luò)訪問出現(xiàn)嚴(yán)重障礙、重則造成數(shù)據(jù)損壞而無法開展公益服務(wù)造成嚴(yán)重的經(jīng)濟(jì)損失及社會(huì)影響。
由于人員編制的問題,該局沒有網(wǎng)絡(luò)專職管理員,日常辦公與業(yè)務(wù)電腦網(wǎng)絡(luò)的安全維護(hù)基本上交給免費(fèi)的防火墻去完成,但重要服務(wù)器、各種內(nèi)、外網(wǎng)接口及各種網(wǎng)絡(luò)設(shè)備的維護(hù)需要很強(qiáng)的專業(yè)知識(shí),兼職管理員無法勝任。上級(jí)單位會(huì)不定期委托“網(wǎng)絡(luò)安全公司”對(duì)本系統(tǒng)的計(jì)算機(jī)內(nèi)網(wǎng)進(jìn)行安全評(píng)估,并出具漏洞掃描測(cè)試報(bào)告。但由于被委托的“網(wǎng)絡(luò)安全公司”對(duì)該局的業(yè)務(wù)工作并不熟悉,提供漏洞掃描測(cè)試報(bào)告過于復(fù)雜零散,無法針對(duì)問題提出明確簡(jiǎn)單的解決方案。本文對(duì)測(cè)試報(bào)告進(jìn)行了整理分析,盡可能分明類別地對(duì)報(bào)告列出的安全漏洞特點(diǎn)進(jìn)行分析,并根據(jù)分析結(jié)果對(duì)該局的計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)工作提出建議。全省甚至全國(guó)范圍內(nèi),與該局同級(jí)的單位的業(yè)務(wù)工作流程基本相同,計(jì)算機(jī)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)也基本相同,本文分析的結(jié)果及提供的網(wǎng)絡(luò)安全措施有明顯的示范作用。
該單位是處級(jí)公益性、科研型事業(yè)單位,下屬8個(gè)二級(jí)單位。
局本級(jí)計(jì)算機(jī)內(nèi)網(wǎng)由3個(gè)D類網(wǎng)段組成:
(1)視頻會(huì)議網(wǎng)段:IP范圍:XX.XXX.179.1~XX.XXX. 179.254;子網(wǎng)掩碼255.255.255.192,網(wǎng)關(guān)XX.XXX.184.1。
(2)業(yè)務(wù)網(wǎng)段:IP范圍:XX.XXX.176.1~XX.XXX.176.254;子網(wǎng)掩碼255.255.255.0,網(wǎng)關(guān)XX.XXX.176.1。
(3)辦公網(wǎng)段:IP范圍:XX.XXX.177.1~XX.XXX.177.254;子網(wǎng)掩碼255.255.255.0,網(wǎng)關(guān)XX.XXX.177.1。
雷達(dá)站網(wǎng)段:IP范圍:XX.XXX.191.1~XX.XXX.191.254;子網(wǎng)掩碼255.255.255.0,網(wǎng)關(guān)XX.XXX.191.1。
所有二級(jí)單位的計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是完全相同的,以某二級(jí)單位為例,各網(wǎng)IP地址分配如下:
視頻會(huì)議網(wǎng)段:IP范圍:XX.XXX.184.4~XX.XXX.184.62;子網(wǎng)掩碼255.255.255.192,網(wǎng)關(guān)XX.XXX.184.1。
業(yè)務(wù)網(wǎng)段:IP范圍:XX.XXX.184.193~XX.XXX.184.251;子網(wǎng)掩碼:255.255.255.192;網(wǎng)關(guān):XX.XXX.184.254。
辦公網(wǎng)段:IP范圍:XX.XXX.184.132~XX.XXX.184.190;子網(wǎng)掩碼:255.255.255.192;網(wǎng)關(guān):XX.XXX.184.129。
目標(biāo)地址IP可能是一臺(tái)電腦、專用服務(wù)器、設(shè)備、終端,如果無法確定其承擔(dān)何種功能,就稱為“地址IP”。
上級(jí)部門于2019年委托“XX省電子信息產(chǎn)業(yè)研究院XX省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心”對(duì)該單位計(jì)算機(jī)內(nèi)網(wǎng)進(jìn)行全網(wǎng)掃描。測(cè)試目的:進(jìn)行漏洞掃描,檢查系統(tǒng)安全狀況,認(rèn)真查找系統(tǒng)的突出問題和薄弱環(huán)節(jié),全面排查安全隱患;檢測(cè)系統(tǒng):XX單位內(nèi)網(wǎng)系統(tǒng);檢測(cè)類別,漏洞掃描。
被委托單位于2019年11月20日提交《XX局漏洞掃描測(cè)試報(bào)告》。
漏洞掃描測(cè)試報(bào)告測(cè)試結(jié)果:本次漏洞掃描范圍包含292個(gè)目標(biāo)地址IP,通過對(duì)其進(jìn)行漏洞,共發(fā)現(xiàn)弱點(diǎn)總數(shù) 146 個(gè)。
測(cè)試報(bào)告共有74頁(yè),主要分兩部分,第1部分為“項(xiàng)目統(tǒng)計(jì)列表”(見表1),第2部分為“系統(tǒng)漏洞詳細(xì)報(bào)告”,對(duì)每個(gè)地址IP發(fā)現(xiàn)問題出以下清單(見表2)。
表1 項(xiàng)目統(tǒng)計(jì)列表
表2 系統(tǒng)漏洞詳細(xì)報(bào)告
重復(fù)記錄的處理:“XX省電子信息產(chǎn)業(yè)研究院XX省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心”對(duì)該單位的計(jì)算機(jī)安全漏洞測(cè)試可能由多人同時(shí)進(jìn)行測(cè)試,同一個(gè)地址IP的詳細(xì)報(bào)告中有多個(gè)重復(fù)記錄。把同一個(gè)地址IP的詳細(xì)報(bào)告中“CVE 編號(hào)、CVSS 評(píng)分、NVD編號(hào)”3項(xiàng)內(nèi)容相同的記錄全部列出來,發(fā)現(xiàn)漏洞名稱、漏洞等級(jí)、漏洞描述基本相同,但修復(fù)建議部分存在較大差異,有些提供了修復(fù)建議及下載地址,有些指明“無相應(yīng)的漏洞補(bǔ)救措施”。為了簡(jiǎn)單起見,凡同一個(gè)地址IP的“CVE 編號(hào)、CVSS 評(píng)分、NVD編號(hào)”的漏洞相同的報(bào)告,不管其他幾項(xiàng)是否一致都認(rèn)為是同一個(gè)漏洞,“修復(fù)建議”不一致的以可以修補(bǔ)為準(zhǔn)。
不明目標(biāo)地址IP:查看該局及二級(jí)單位的網(wǎng)絡(luò)拓?fù)鋱D,報(bào)告中的“項(xiàng)目統(tǒng)計(jì)列表”列出了部分不符合網(wǎng)絡(luò)拓?fù)鋱D規(guī)范的IP地址,現(xiàn)場(chǎng)排查時(shí)也未發(fā)現(xiàn)不符合網(wǎng)絡(luò)拓?fù)鋱D規(guī)范的目標(biāo)地址IP。此類地址IP報(bào)告有安全漏洞,但不影響該局的統(tǒng)計(jì)結(jié)果。
去掉重復(fù)記錄后及無效IP地址后,按安全漏洞總數(shù)統(tǒng)計(jì),共掃描該局287個(gè)地址IP,弱點(diǎn)總數(shù) 123 個(gè);
漏洞等級(jí)為緊急的有11臺(tái)個(gè),高危30臺(tái)個(gè),中危70臺(tái)個(gè),低危12臺(tái)個(gè)。
按安全漏洞分類統(tǒng)計(jì),安全漏洞總數(shù)42個(gè),漏洞等級(jí)為緊急的有7個(gè),高危11個(gè),中危17個(gè),低危7個(gè)。
按目標(biāo)地址IP的功能分類統(tǒng)計(jì),有19臺(tái)目標(biāo)地址IP有安全漏洞,單臺(tái)目標(biāo)地址IP最多有15個(gè)安全漏洞,見表3。
出現(xiàn)最多的安全漏洞為“CNNVD 編號(hào)-201601-249、CNNVD 編號(hào)-201601-250),有8臺(tái)目標(biāo)地址IP上出現(xiàn)此漏洞;有23個(gè)漏洞只出現(xiàn)在單臺(tái)目標(biāo)地址IP的上(表略)。
廠商還沒有提供此漏洞的相關(guān)補(bǔ)丁或者升級(jí)程序(簡(jiǎn)稱:無法修復(fù))的安全漏洞數(shù)為16個(gè)。按漏洞總數(shù)統(tǒng)計(jì),漏洞等級(jí)為緊急的有1個(gè),高危0個(gè),中危9個(gè),低危6個(gè)。
按漏洞分類統(tǒng)計(jì),總數(shù)為8個(gè),漏洞等級(jí)為緊急的有1個(gè),高危0個(gè),中危3個(gè),低危4個(gè)。
按地址IP分類統(tǒng)計(jì),無法修復(fù)的安全漏洞分布在8個(gè)地址IP上;其中“CNNVD 編號(hào)-201403-502”的安全漏洞出現(xiàn)次數(shù)最多,有7個(gè)目標(biāo)地址IP有此漏洞。無法修復(fù)的安全漏洞在IP為XX.XXX.176.2的服務(wù)器上出現(xiàn)最多,共有5個(gè),見表3。
表3 有安全漏洞的IP、漏洞個(gè)數(shù)、不可修復(fù)情況及設(shè)備用途
數(shù)據(jù)來源:《XX局漏洞掃描測(cè)試報(bào)告》--詳細(xì)報(bào)告
對(duì)《XX局漏洞掃描測(cè)試報(bào)告》的“系統(tǒng)漏洞詳細(xì)報(bào)告”進(jìn)行統(tǒng)計(jì),現(xiàn)場(chǎng)排查每個(gè)地址IP承擔(dān)的功能,有安全漏洞的IP、漏洞個(gè)數(shù)、不可修復(fù)情況及設(shè)備用途見表3。
XX.XXX.176.2是數(shù)據(jù)庫(kù)服務(wù)器,2016年安裝,同時(shí)也是外網(wǎng)數(shù)據(jù)庫(kù)服務(wù)器。操作系統(tǒng)為Windows Server 2000,數(shù)據(jù)庫(kù)服務(wù)器為SQL Server 2000。該服務(wù)器安裝有很多業(yè)務(wù)系統(tǒng),每天的數(shù)據(jù)訪問量很大(超過1GB)。報(bào)告顯示譔服務(wù)器有24個(gè)安全漏洞,去掉重復(fù)記錄后的有11個(gè),漏洞等級(jí)為緊急的有3個(gè),高危3個(gè),中危3個(gè),低危2個(gè);無法修復(fù)的安全漏洞有5個(gè),緊急1個(gè),高危0個(gè),中危2個(gè),低危2個(gè)。
XX.XXX.176.3是XX.XXX.176.2的備份,2016年安裝,業(yè)務(wù)基本上處于停用狀態(tài),操作系統(tǒng)為Windows Server 2010,數(shù)據(jù)庫(kù)服務(wù)器(SQL Server 2000)。報(bào)告顯示該服務(wù)器有15安全漏洞,去掉重復(fù)記錄后的有5個(gè),漏洞等級(jí)為緊急的有2個(gè),高危1個(gè),中危1個(gè),低危1個(gè);所有漏洞都可以修復(fù)。
XX.XXX.176.7為局本級(jí)的FTP服務(wù)器,2014年安裝,操作系統(tǒng)Windows Server 2000。該服務(wù)器雖然每天都使用,但數(shù)據(jù)庫(kù)訪問量很低(低于1MB),偶爾也有大量的數(shù)據(jù)訪問量。報(bào)告顯示該服務(wù)器有5安全漏洞,漏洞等級(jí)為緊急的有2個(gè),高危1個(gè),中危1個(gè),低危1個(gè);所有漏洞都可以修復(fù)。
XX.XXX.176.16為局本級(jí)的文件服務(wù)器,是操作系統(tǒng)Linux,2012年安裝,每天的數(shù)據(jù)訪問量很大(超過1GB),報(bào)告顯示共有16個(gè)安全漏洞,等級(jí)為高危的有3個(gè),中危8個(gè)、低危3個(gè)。無法修復(fù)的安全漏洞有3個(gè),漏洞等級(jí)為緊急有0個(gè),高危0個(gè),中危1個(gè),低危2個(gè)。
XX.XXX.176.38局本級(jí)的局域網(wǎng)業(yè)務(wù)服務(wù)器,2012年的安裝,是操作系統(tǒng)Windows 2010,安裝有局本級(jí)業(yè)務(wù)應(yīng)用系統(tǒng),該服務(wù)器同時(shí)充當(dāng)外網(wǎng)服務(wù)器。該服務(wù)器的業(yè)務(wù)功能基本上轉(zhuǎn)到其他服務(wù)器,當(dāng)前處理空閑狀態(tài)。報(bào)告顯示該服務(wù)器有15安全漏洞,漏洞等級(jí)為緊急的有0個(gè),高危3個(gè),中危9個(gè),低危3個(gè);有3個(gè)安全漏洞無法修的,其中緊急的有0個(gè),高危0個(gè),中危0個(gè),低危3個(gè)。
XX.XXX.XXX.60 是該局二級(jí)單位的視頻會(huì)議終端(4個(gè)), XX.XXX.179.193為局本級(jí)視頻會(huì)議終端,《XX局漏洞掃描測(cè)試報(bào)告》顯示這5個(gè)終端有10個(gè)相間的安全漏洞,漏洞等級(jí)為高危的有3個(gè)、中危7個(gè);其中有1個(gè)中危安全漏洞無法修復(fù)。視頻會(huì)議終端每天至少使用2次。XX.XXX.184.218也是局二級(jí)單位的視頻會(huì)議終端,漏洞等級(jí)為高危的有2個(gè)、中危5個(gè);所有安全漏洞都可修補(bǔ)。
XX.XXX.XXX.200是國(guó)土部門與本局二級(jí)單位聯(lián)合安裝的 GPS/MET 站設(shè)備,總共6套設(shè)備,各有1個(gè)相同的安全漏洞數(shù),漏洞等級(jí)為中危,可以修復(fù)。設(shè)備的所有權(quán)為國(guó)土部門。每天的數(shù)據(jù)訪問量約在10-20MB。
IP地址為XX.XXX.176.222, XX.XXX.190.231的電腦各存在5個(gè)相同的安全漏洞,這兩臺(tái)電腦是臨時(shí)使用的電腦,調(diào)研時(shí)發(fā)現(xiàn)此兩個(gè)地址IP為停用狀態(tài)。
該局的局本級(jí)有4個(gè)D類網(wǎng)段(業(yè)務(wù)、辦公、視頻會(huì)商、713雷達(dá)站),每個(gè)二級(jí)單位是由4個(gè)E類網(wǎng)段組成的D類網(wǎng)段。根據(jù)《XX局漏洞掃描測(cè)試報(bào)告》的“項(xiàng)目統(tǒng)計(jì)列表”287個(gè)目標(biāo)地址IP按網(wǎng)段統(tǒng)計(jì),各網(wǎng)段的安全漏洞統(tǒng)計(jì)見表4。
表4 各單位安全漏洞統(tǒng)計(jì)安全漏洞數(shù)統(tǒng)計(jì)
局本級(jí)的業(yè)務(wù)段電腦共有15個(gè)目標(biāo)地址IP。業(yè)務(wù)段電腦終端分為兩類,第一類為服務(wù)器類,可細(xì)分為數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器、業(yè)務(wù)用服務(wù)器;第二類為業(yè)務(wù)工作用電腦。業(yè)務(wù)工作用電腦沒有發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞,所有安全漏洞都出現(xiàn)在服務(wù)器上?,F(xiàn)場(chǎng)排查發(fā)現(xiàn),大部分業(yè)務(wù)工作用電腦的使用率非常高,小部分業(yè)務(wù)工作用電腦在不同的季節(jié)的使用率有較大差別,業(yè)務(wù)段地址IP實(shí)際有上20個(gè)或更多。
局本級(jí)的辦公段有27個(gè)目標(biāo)地址IP,均未發(fā)現(xiàn)有網(wǎng)絡(luò)安全漏洞。需要說明的是有些辦公室由于網(wǎng)絡(luò)接口的有限,有多臺(tái)電腦需要接入辦公網(wǎng)絡(luò)時(shí),一般在辦公室安裝一個(gè)小路由器,兼作無線路由器,該辦公室的電腦IP由路由器提供?,F(xiàn)場(chǎng)統(tǒng)計(jì)局本級(jí)辦公電腦有55臺(tái)或更多。
局本級(jí)的視頻會(huì)議終端網(wǎng)段共有8個(gè)目標(biāo)地址IP,每個(gè)目標(biāo)地址IP的功能不詳,但只有視頻會(huì)議終端發(fā)現(xiàn)安全漏洞。
局本級(jí)713雷達(dá)在非汛期處于停用狀態(tài),實(shí)際使用的電腦也不多。
二級(jí)單位有12個(gè)目標(biāo)地址IP有安全漏洞,辦公用電腦、業(yè)務(wù)用電腦(不包括服務(wù)器)未報(bào)告有安全漏洞;有問題的目標(biāo)地址IP有5個(gè)為視頻會(huì)議終端、6個(gè)GPS/MET 站;另有1臺(tái)服務(wù)器發(fā)現(xiàn)有安全漏洞,該服務(wù)器為專用業(yè)務(wù)用服務(wù)器,2年前偶爾使用,目前已停止使用。
《XX局漏洞掃描測(cè)試報(bào)告》顯示有146個(gè)(除去重復(fù)數(shù)為123個(gè))安全漏洞,其中有16個(gè)安全漏洞廠商還沒有提供此漏洞的相關(guān)補(bǔ)丁或者升級(jí)程序。
根據(jù)《XX局漏洞掃描測(cè)試報(bào)告》統(tǒng)計(jì),只有8個(gè)無法修復(fù)的安全漏洞出現(xiàn)在8個(gè)地址IP上。其中有6個(gè)目標(biāo)地址IP為視頻會(huì)議終端(局本級(jí)1個(gè),二級(jí)單位5個(gè))。該局有8個(gè)二級(jí)單位,所有二級(jí)單位都有視頻會(huì)議終端,型號(hào)與服務(wù)商也是一樣的,其中有4個(gè)視頻會(huì)議終端的漏洞完全相同,說明服務(wù)商對(duì)于此類安全漏洞有完整的解決方案。局本級(jí)視頻會(huì)議終端省內(nèi)同級(jí)單位有14套,型號(hào)應(yīng)該一致,服務(wù)商應(yīng)該有安全漏洞完整的解決方案。
XX.XXX.176.16為L(zhǎng)inux服務(wù)器,有3個(gè)無法修的漏洞。Windows Server 一般有免費(fèi)的軟件的防火墻,Linux系統(tǒng)是否有類似的第三方的防火墻,非專業(yè)人員并不熟悉,也不知道如何進(jìn)行安全維護(hù)。該服務(wù)器投入使用已有8年時(shí)間,建議對(duì)服務(wù)器在安放升級(jí)系統(tǒng)、購(gòu)置新服務(wù)器、功能由其他服務(wù)器替代、停用等方面進(jìn)行評(píng)估再采取措施。
XX.XXX.176.2為數(shù)據(jù)庫(kù)服務(wù)器,該服務(wù)器為2006年安裝,使用提WINDOWS 2000操作系統(tǒng),數(shù)據(jù)庫(kù)為SQL Server 2000,這種古董服務(wù)器沒必須進(jìn)行修復(fù),升級(jí)操作系統(tǒng)及數(shù)據(jù)庫(kù)即可。
XX.XXX.176.38是業(yè)務(wù)用服務(wù)器,業(yè)務(wù)功能已遷移到其他業(yè)務(wù)電腦(服務(wù)器)上,如無必要可以拆除。
二級(jí)單位有1臺(tái)服務(wù)器存在安全漏洞,現(xiàn)場(chǎng)排查其功能已取消或轉(zhuǎn)移到新系統(tǒng)上,該服務(wù)器已停用,建議拆除。
《XX局漏洞掃描測(cè)試報(bào)告》有19個(gè)目標(biāo)地址存在安全漏洞,除開6個(gè)視頻會(huì)議終端、6臺(tái)GPS/MET 站,實(shí)際上有安全漏洞的電腦數(shù)(包括服務(wù)器)為7臺(tái)。
查看IP地址可知,所有的辦公電腦辦公網(wǎng)段(局本級(jí)??.???.177.1 ~??.???.177.254,二級(jí)單位(??.???.???.132~??.???.???.190)辦公網(wǎng)段電腦(設(shè)備、終端)未發(fā)現(xiàn)有安全漏洞。一般來講辦公用電腦安裝有免費(fèi)的軟件防火墻(防病毒軟件),安全漏洞能及時(shí)修補(bǔ)。
業(yè)務(wù)電腦(不包括服務(wù)器)網(wǎng)段也沒有軟件安全漏洞(防病毒軟件),業(yè)務(wù)用電腦是多人共用的,大部分業(yè)務(wù)用電腦使用率也較高,一般安裝有免費(fèi)的防火墻,安全漏洞能及時(shí)修補(bǔ)。調(diào)查發(fā)現(xiàn)部分業(yè)務(wù)用電腦有專用功能,每年不同時(shí)期承擔(dān)的工作的重要性不一致,有時(shí)可能完全停用或關(guān)機(jī)。由外單位進(jìn)行行漏洞掃描時(shí)可能處于關(guān)機(jī)狀態(tài),不能準(zhǔn)確地反映安全漏洞是否已全部修補(bǔ)。
安全漏洞只存在業(yè)務(wù)用網(wǎng)段中的服務(wù)器、視頻會(huì)議終端、GPS/MET 站。
現(xiàn)場(chǎng)調(diào)查發(fā)現(xiàn)有些服務(wù)器的操作系統(tǒng)還在使用Windows Server 2000,數(shù)據(jù)庫(kù)使用SQL Server 2000;調(diào)查還發(fā)現(xiàn)有些服務(wù)器兼作外網(wǎng)服務(wù)器,用戶通過外網(wǎng)IP直接訪問服務(wù)器。由于服務(wù)器承擔(dān)著很重要的業(yè)務(wù)工作,除非出現(xiàn)嚴(yán)重問題,就算是專業(yè)人員一般也不會(huì)隨便去更改服務(wù)器配置,部分安全漏洞未能及時(shí)修補(bǔ)。
該單位還有臺(tái)與XX.XXX.176.16類似Linux服務(wù)器,IP為XX.XXX.176.17,這兩臺(tái)服務(wù)器都是同時(shí)安裝并投入使用的,報(bào)告“項(xiàng)目統(tǒng)計(jì)列表”未見XX.XXX.176.17的信息,該服務(wù)器在網(wǎng)絡(luò)安全公司進(jìn)行漏洞掃描時(shí)可能處于關(guān)閉狀態(tài)。
局本級(jí)的視頻會(huì)議終端(??.???.179.193)及4個(gè)二級(jí)單位的視頻會(huì)議終端(??.???.???.60)都有10個(gè)相同的安全漏洞,其中有一個(gè)安全漏洞還是無法修復(fù)的,另有一個(gè)視頻會(huì)議終端XX.XXX.184.218也存在安全漏洞,但與其他二級(jí)單位的視頻會(huì)議終端的安全漏洞不一致。設(shè)備的網(wǎng)絡(luò)安全維護(hù)專業(yè)性較強(qiáng),上級(jí)機(jī)關(guān)也不支持基層單位直接進(jìn)行網(wǎng)絡(luò)安全維護(hù)。對(duì)于發(fā)現(xiàn)的網(wǎng)絡(luò)漏洞應(yīng)及時(shí)報(bào)告,統(tǒng)一維護(hù)。
本單位的網(wǎng)絡(luò)管理人員一般不參與維護(hù)GPS/MET 站的維護(hù)。由于GPS/MET 站需要讀取本地業(yè)務(wù)電腦中的數(shù)據(jù),對(duì)于出現(xiàn)的網(wǎng)絡(luò)安全漏洞應(yīng)引起足夠的重視,須及時(shí)向相關(guān)單位報(bào)告。
《XX局漏洞掃描測(cè)試報(bào)告》表明,看似292個(gè)目標(biāo)中只有19個(gè)目標(biāo)存在有安全漏洞,除專用設(shè)備外只有7個(gè)目標(biāo)存在有安全漏洞,看似問題并不嚴(yán)重,實(shí)際上這7個(gè)目標(biāo)全是服務(wù)器,分別承擔(dān)數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器、FTP服務(wù)器、業(yè)務(wù)工作服務(wù)器的功能,所以問題是非常嚴(yán)重的。有些服務(wù)器還承擔(dān)外網(wǎng)服務(wù)器的功能,外網(wǎng)服務(wù)器極易受到黑客攻擊,問題的嚴(yán)重性應(yīng)引起足夠的重視。有兩個(gè)服務(wù)器的安全漏洞數(shù)超過10個(gè),還有一些無法修復(fù)的安全漏洞,維護(hù)任務(wù)非常緊迫。
《XX局漏洞掃描測(cè)試報(bào)告》有74頁(yè),在287個(gè)目標(biāo)共發(fā)現(xiàn)有123個(gè)安全漏洞,其中有16個(gè)安全漏洞廠商還沒有提供此漏洞的相關(guān)補(bǔ)丁或者升級(jí)程序。此份報(bào)告極其詳盡,依此報(bào)告,安全維護(hù)工作量看似非常繁重,經(jīng)分析整理及現(xiàn)場(chǎng)排查后,總結(jié)如下
(1)辦公用網(wǎng)段的電腦由于有免費(fèi)的防火墻可用,網(wǎng)絡(luò)安全漏洞基本上及時(shí)修補(bǔ),報(bào)告顯示未發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞。但部分辦公電腦由于使用了路由器提供的IP地址連接網(wǎng)絡(luò),無法進(jìn)行掃描檢查,可能存在安全隱患。
(2)常用的業(yè)務(wù)用電腦也可使用免費(fèi)的防火墻,保證網(wǎng)絡(luò)安全漏洞及時(shí)得到修補(bǔ),未發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞。但部分業(yè)務(wù)電腦在不同季節(jié)的使用率不同的,在網(wǎng)絡(luò)安全公司進(jìn)行檢查時(shí),部分電腦可能處于關(guān)機(jī)狀態(tài),因而可能存在安全隱患。
(3)該局共有9個(gè)視頻會(huì)議終端,其中5個(gè)視頻會(huì)議終端發(fā)現(xiàn)有10個(gè)相同的安全漏洞,另有一個(gè)存在7個(gè)安全漏洞。該單位及二單位的視頻會(huì)議終端都是同一個(gè)服務(wù)商安裝的,使用相同型號(hào)的產(chǎn)品,有3個(gè)終端未發(fā)現(xiàn)安全漏洞,有5個(gè)終端有10個(gè)相同的安全漏洞,還有一個(gè)視頻會(huì)議終端的安全漏洞完全不同,說明服務(wù)商其實(shí)有安全維護(hù)方案。視頻會(huì)議終端的安全維護(hù)專業(yè)性比較強(qiáng),維護(hù)工作一般由服務(wù)商承擔(dān),上級(jí)單位也應(yīng)該主動(dòng)與服務(wù)商溝通及時(shí)完成安全漏洞修補(bǔ)。
(4)GPS/MET站是該單位與外單位合作開展業(yè)務(wù)手的設(shè)備,設(shè)備所有權(quán)及管理權(quán)都在外單位,二級(jí)單位共有6臺(tái)此種設(shè)備,都存在一個(gè)相同的安全漏洞。該單位應(yīng)主動(dòng)及時(shí)向外單位報(bào)告,一起解決這個(gè)網(wǎng)絡(luò)安全漏洞。所有GPS/MET站的安全漏洞是相同的,只要一個(gè)地方安全漏洞修補(bǔ)了,其他幾個(gè)單位的漏洞就可很快修補(bǔ)。
(5)服務(wù)器承擔(dān)很重要的辦公及業(yè)務(wù)工作。由于各種原因,部分服務(wù)器的還在使用古董級(jí)的操作系統(tǒng),操作系統(tǒng)升級(jí)后很多安全漏洞就不存在了。有安全漏洞的服務(wù)器保存的數(shù)據(jù)存在嚴(yán)重的安全隱患,必須有專業(yè)管理員維護(hù),該單位的網(wǎng)絡(luò)管理員下鄉(xiāng)扶貧后,網(wǎng)絡(luò)管理員職責(zé)由其他人兼職,兼職網(wǎng)絡(luò)管理員的工作任務(wù)必須明確,專業(yè)水平有待提高。
(1)《XX局漏洞掃描測(cè)試報(bào)告》并不嚴(yán)謹(jǐn),該局的網(wǎng)絡(luò)管理員應(yīng)及時(shí)將報(bào)告中存在的問題反饋給上級(jí)管理部門與相應(yīng)的網(wǎng)絡(luò)安全公司。
(2)該局應(yīng)配備一個(gè)高水平的專業(yè)或兼職的網(wǎng)絡(luò)管理員。管理員應(yīng)經(jīng)常對(duì)重要的服務(wù)器、設(shè)備、終端進(jìn)行檢查,經(jīng)常進(jìn)行安全檢查及時(shí)完成漏洞修補(bǔ),不能完全依賴上級(jí)部門的檢查報(bào)告。
(3)對(duì)古董級(jí)操作系統(tǒng)應(yīng)及時(shí)升級(jí),對(duì)服務(wù)功能已升遷的服務(wù)器應(yīng)及清理,可以撤走的應(yīng)及時(shí)撤走,停用空閑的服務(wù)器。
(4)一般認(rèn)為L(zhǎng)inux服務(wù)器比Windows 服務(wù)器安全,實(shí)際上Linux服務(wù)器也存在有網(wǎng)絡(luò)安全漏洞,必須及時(shí)進(jìn)行升級(jí)并安裝軟件防火墻。
網(wǎng)絡(luò)安全技術(shù)與應(yīng)用2020年11期