某局計(jì)算機(jī)內(nèi)網(wǎng)安全漏洞特征分析

◆卿湘濤 卿晨雨 馮衛(wèi) 張清超 童中華米楚陽(yáng) 何凱

某局計(jì)算機(jī)內(nèi)網(wǎng)安全漏洞特征分析

◆卿湘濤1卿晨雨2馮衛(wèi)1張清超1童中華1米楚陽(yáng)1何凱1

（1.湘西州氣象局 湖南 416000；2.常寧市氣象局 湖南 4125001）

本文根據(jù)某網(wǎng)絡(luò)安全公司對(duì)某處級(jí)公益型事業(yè)單位計(jì)算機(jī)內(nèi)網(wǎng)安全檢查提交的《XX局漏洞掃描測(cè)試報(bào)告》，分析了網(wǎng)絡(luò)安全漏洞在該局（包括二級(jí)單位）的業(yè)務(wù)、辦公、視頻會(huì)議網(wǎng)絡(luò)段的分布特點(diǎn)，并對(duì)每個(gè)IP目標(biāo)的安全漏洞進(jìn)行了分析。結(jié)果表明，安全漏洞全部出現(xiàn)在視頻會(huì)議終端、GPS/MET站、服務(wù)器上，業(yè)務(wù)、辦公電腦未發(fā)現(xiàn)有安全漏洞。調(diào)研發(fā)現(xiàn)，由于視頻會(huì)議終端的維護(hù)權(quán)在上級(jí)單位或服務(wù)商，GPS/MET站的維護(hù)權(quán)在合作單，該局無法進(jìn)行安全漏洞修補(bǔ)；服務(wù)器上的安全漏洞是由于硬件、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)陳舊造成的。本文根據(jù)該局的安全漏洞分布特征及辦公業(yè)務(wù)工作特點(diǎn)，指出了網(wǎng)絡(luò)安全維護(hù)的重要性及緊迫性，提出了安全漏洞的修復(fù)方法與建議。

安全漏洞；內(nèi)網(wǎng)；修補(bǔ)；分析

保護(hù)計(jì)算機(jī)內(nèi)網(wǎng)系統(tǒng)安全，避免黑客利用系統(tǒng)漏洞來進(jìn)行攻擊是信息安全的一個(gè)重要環(huán)境。某局為公益性、科研型事業(yè)單位，日常辦公與業(yè)務(wù)工作非常依賴計(jì)算機(jī)網(wǎng)絡(luò)，其中部分內(nèi)網(wǎng)服務(wù)器同時(shí)充當(dāng)外網(wǎng)服務(wù)器，數(shù)據(jù)訪問量每天超過10G，該局的計(jì)算機(jī)內(nèi)網(wǎng)同時(shí)也是行業(yè)全國(guó)內(nèi)網(wǎng)的一部分。黑客可以利用安全漏洞通過外網(wǎng)、行業(yè)內(nèi)網(wǎng)實(shí)施各種危險(xiǎn)的網(wǎng)絡(luò)攻擊，輕則造成網(wǎng)絡(luò)訪問出現(xiàn)嚴(yán)重障礙、重則造成數(shù)據(jù)損壞而無法開展公益服務(wù)造成嚴(yán)重的經(jīng)濟(jì)損失及社會(huì)影響。

由于人員編制的問題，該局沒有網(wǎng)絡(luò)專職管理員，日常辦公與業(yè)務(wù)電腦網(wǎng)絡(luò)的安全維護(hù)基本上交給免費(fèi)的防火墻去完成，但重要服務(wù)器、各種內(nèi)、外網(wǎng)接口及各種網(wǎng)絡(luò)設(shè)備的維護(hù)需要很強(qiáng)的專業(yè)知識(shí)，兼職管理員無法勝任。上級(jí)單位會(huì)不定期委托“網(wǎng)絡(luò)安全公司”對(duì)本系統(tǒng)的計(jì)算機(jī)內(nèi)網(wǎng)進(jìn)行安全評(píng)估，并出具漏洞掃描測(cè)試報(bào)告。但由于被委托的“網(wǎng)絡(luò)安全公司”對(duì)該局的業(yè)務(wù)工作并不熟悉，提供漏洞掃描測(cè)試報(bào)告過于復(fù)雜零散，無法針對(duì)問題提出明確簡(jiǎn)單的解決方案。本文對(duì)測(cè)試報(bào)告進(jìn)行了整理分析，盡可能分明類別地對(duì)報(bào)告列出的安全漏洞特點(diǎn)進(jìn)行分析，并根據(jù)分析結(jié)果對(duì)該局的計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)工作提出建議。全省甚至全國(guó)范圍內(nèi)，與該局同級(jí)的單位的業(yè)務(wù)工作流程基本相同，計(jì)算機(jī)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)也基本相同，本文分析的結(jié)果及提供的網(wǎng)絡(luò)安全措施有明顯的示范作用。

1 某局的計(jì)算機(jī)內(nèi)網(wǎng)概況

該單位是處級(jí)公益性、科研型事業(yè)單位，下屬8個(gè)二級(jí)單位。

1.1 局本級(jí)計(jì)算機(jī)內(nèi)網(wǎng)簡(jiǎn)介

局本級(jí)計(jì)算機(jī)內(nèi)網(wǎng)由3個(gè)D類網(wǎng)段組成：

（1）視頻會(huì)議網(wǎng)段：IP范圍：XX.XXX.179.1～XX.XXX. 179.254；子網(wǎng)掩碼255.255.255.192，網(wǎng)關(guān)XX.XXX.184.1。

（2）業(yè)務(wù)網(wǎng)段：IP范圍：XX.XXX.176.1～XX.XXX.176.254；子網(wǎng)掩碼255.255.255.0，網(wǎng)關(guān)XX.XXX.176.1。

（3）辦公網(wǎng)段：IP范圍：XX.XXX.177.1～XX.XXX.177.254；子網(wǎng)掩碼255.255.255.0，網(wǎng)關(guān)XX.XXX.177.1。

雷達(dá)站網(wǎng)段：IP范圍：XX.XXX.191.1～XX.XXX.191.254；子網(wǎng)掩碼255.255.255.0，網(wǎng)關(guān)XX.XXX.191.1。

1.2 二級(jí)單位計(jì)算機(jī)內(nèi)網(wǎng)簡(jiǎn)介

所有二級(jí)單位的計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是完全相同的，以某二級(jí)單位為例，各網(wǎng)IP地址分配如下：

視頻會(huì)議網(wǎng)段：IP范圍：XX.XXX.184.4～XX.XXX.184.62；子網(wǎng)掩碼255.255.255.192，網(wǎng)關(guān)XX.XXX.184.1。

業(yè)務(wù)網(wǎng)段：IP范圍：XX.XXX.184.193～XX.XXX.184.251；子網(wǎng)掩碼：255.255.255.192；網(wǎng)關(guān)：XX.XXX.184.254。

辦公網(wǎng)段：IP范圍：XX.XXX.184.132～XX.XXX.184.190；子網(wǎng)掩碼：255.255.255.192；網(wǎng)關(guān)：XX.XXX.184.129。

2 漏洞掃描測(cè)試報(bào)告簡(jiǎn)介

目標(biāo)地址IP可能是一臺(tái)電腦、專用服務(wù)器、設(shè)備、終端，如果無法確定其承擔(dān)何種功能，就稱為“地址IP”。

上級(jí)部門于2019年委托“XX省電子信息產(chǎn)業(yè)研究院XX省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心”對(duì)該單位計(jì)算機(jī)內(nèi)網(wǎng)進(jìn)行全網(wǎng)掃描。測(cè)試目的：進(jìn)行漏洞掃描，檢查系統(tǒng)安全狀況，認(rèn)真查找系統(tǒng)的突出問題和薄弱環(huán)節(jié)，全面排查安全隱患；檢測(cè)系統(tǒng)：XX單位內(nèi)網(wǎng)系統(tǒng)；檢測(cè)類別，漏洞掃描。

被委托單位于2019年11月20日提交《XX局漏洞掃描測(cè)試報(bào)告》。

漏洞掃描測(cè)試報(bào)告測(cè)試結(jié)果：本次漏洞掃描范圍包含292個(gè)目標(biāo)地址IP，通過對(duì)其進(jìn)行漏洞，共發(fā)現(xiàn)弱點(diǎn)總數(shù) 146 個(gè)。

測(cè)試報(bào)告共有74頁(yè)，主要分兩部分，第1部分為“項(xiàng)目統(tǒng)計(jì)列表”（見表1），第2部分為“系統(tǒng)漏洞詳細(xì)報(bào)告”，對(duì)每個(gè)地址IP發(fā)現(xiàn)問題出以下清單（見表2）。

表1 項(xiàng)目統(tǒng)計(jì)列表

表2 系統(tǒng)漏洞詳細(xì)報(bào)告

3 測(cè)試報(bào)告數(shù)據(jù)再分析

3.1 報(bào)告中存在問題及處理方法

重復(fù)記錄的處理：“XX省電子信息產(chǎn)業(yè)研究院XX省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心”對(duì)該單位的計(jì)算機(jī)安全漏洞測(cè)試可能由多人同時(shí)進(jìn)行測(cè)試，同一個(gè)地址IP的詳細(xì)報(bào)告中有多個(gè)重復(fù)記錄。把同一個(gè)地址IP的詳細(xì)報(bào)告中“CVE 編號(hào)、CVSS 評(píng)分、NVD編號(hào)”3項(xiàng)內(nèi)容相同的記錄全部列出來，發(fā)現(xiàn)漏洞名稱、漏洞等級(jí)、漏洞描述基本相同，但修復(fù)建議部分存在較大差異，有些提供了修復(fù)建議及下載地址，有些指明“無相應(yīng)的漏洞補(bǔ)救措施”。為了簡(jiǎn)單起見，凡同一個(gè)地址IP的“CVE 編號(hào)、CVSS 評(píng)分、NVD編號(hào)”的漏洞相同的報(bào)告，不管其他幾項(xiàng)是否一致都認(rèn)為是同一個(gè)漏洞，“修復(fù)建議”不一致的以可以修補(bǔ)為準(zhǔn)。

不明目標(biāo)地址IP：查看該局及二級(jí)單位的網(wǎng)絡(luò)拓?fù)鋱D，報(bào)告中的“項(xiàng)目統(tǒng)計(jì)列表”列出了部分不符合網(wǎng)絡(luò)拓?fù)鋱D規(guī)范的IP地址，現(xiàn)場(chǎng)排查時(shí)也未發(fā)現(xiàn)不符合網(wǎng)絡(luò)拓?fù)鋱D規(guī)范的目標(biāo)地址IP。此類地址IP報(bào)告有安全漏洞，但不影響該局的統(tǒng)計(jì)結(jié)果。

3.2 漏洞概況

去掉重復(fù)記錄后及無效IP地址后，按安全漏洞總數(shù)統(tǒng)計(jì)，共掃描該局287個(gè)地址IP，弱點(diǎn)總數(shù) 123 個(gè)；

漏洞等級(jí)為緊急的有11臺(tái)個(gè)，高危30臺(tái)個(gè)，中危70臺(tái)個(gè)，低危12臺(tái)個(gè)。

按安全漏洞分類統(tǒng)計(jì)，安全漏洞總數(shù)42個(gè)，漏洞等級(jí)為緊急的有7個(gè)，高危11個(gè)，中危17個(gè)，低危7個(gè)。

按目標(biāo)地址IP的功能分類統(tǒng)計(jì)，有19臺(tái)目標(biāo)地址IP有安全漏洞，單臺(tái)目標(biāo)地址IP最多有15個(gè)安全漏洞，見表3。

出現(xiàn)最多的安全漏洞為“CNNVD 編號(hào)-201601-249、CNNVD 編號(hào)-201601-250），有8臺(tái)目標(biāo)地址IP上出現(xiàn)此漏洞；有23個(gè)漏洞只出現(xiàn)在單臺(tái)目標(biāo)地址IP的上（表略）。

3.3 無法修復(fù)的安全漏洞

廠商還沒有提供此漏洞的相關(guān)補(bǔ)丁或者升級(jí)程序（簡(jiǎn)稱：無法修復(fù)）的安全漏洞數(shù)為16個(gè)。按漏洞總數(shù)統(tǒng)計(jì)，漏洞等級(jí)為緊急的有1個(gè)，高危0個(gè)，中危9個(gè)，低危6個(gè)。

按漏洞分類統(tǒng)計(jì)，總數(shù)為8個(gè)，漏洞等級(jí)為緊急的有1個(gè)，高危0個(gè)，中危3個(gè)，低危4個(gè)。

按地址IP分類統(tǒng)計(jì)，無法修復(fù)的安全漏洞分布在8個(gè)地址IP上；其中“CNNVD 編號(hào)-201403-502”的安全漏洞出現(xiàn)次數(shù)最多，有7個(gè)目標(biāo)地址IP有此漏洞。無法修復(fù)的安全漏洞在IP為XX.XXX.176.2的服務(wù)器上出現(xiàn)最多，共有5個(gè)，見表3。

表3 有安全漏洞的IP、漏洞個(gè)數(shù)、不可修復(fù)情況及設(shè)備用途

數(shù)據(jù)來源：《XX局漏洞掃描測(cè)試報(bào)告》--詳細(xì)報(bào)告

3.4 有安全漏洞的地址IP的功能簡(jiǎn)介

對(duì)《XX局漏洞掃描測(cè)試報(bào)告》的“系統(tǒng)漏洞詳細(xì)報(bào)告”進(jìn)行統(tǒng)計(jì)，現(xiàn)場(chǎng)排查每個(gè)地址IP承擔(dān)的功能，有安全漏洞的IP、漏洞個(gè)數(shù)、不可修復(fù)情況及設(shè)備用途見表3。

XX.XXX.176.2是數(shù)據(jù)庫(kù)服務(wù)器，2016年安裝，同時(shí)也是外網(wǎng)數(shù)據(jù)庫(kù)服務(wù)器。操作系統(tǒng)為Windows Server 2000，數(shù)據(jù)庫(kù)服務(wù)器為SQL Server 2000。該服務(wù)器安裝有很多業(yè)務(wù)系統(tǒng)，每天的數(shù)據(jù)訪問量很大（超過1GB）。報(bào)告顯示譔服務(wù)器有24個(gè)安全漏洞，去掉重復(fù)記錄后的有11個(gè)，漏洞等級(jí)為緊急的有3個(gè)，高危3個(gè)，中危3個(gè)，低危2個(gè)；無法修復(fù)的安全漏洞有5個(gè)，緊急1個(gè)，高危0個(gè)，中危2個(gè)，低危2個(gè)。

XX.XXX.176.3是XX.XXX.176.2的備份，2016年安裝，業(yè)務(wù)基本上處于停用狀態(tài)，操作系統(tǒng)為Windows Server 2010，數(shù)據(jù)庫(kù)服務(wù)器（SQL Server 2000）。報(bào)告顯示該服務(wù)器有15安全漏洞，去掉重復(fù)記錄后的有5個(gè)，漏洞等級(jí)為緊急的有2個(gè)，高危1個(gè)，中危1個(gè)，低危1個(gè)；所有漏洞都可以修復(fù)。

XX.XXX.176.7為局本級(jí)的FTP服務(wù)器，2014年安裝，操作系統(tǒng)Windows Server 2000。該服務(wù)器雖然每天都使用，但數(shù)據(jù)庫(kù)訪問量很低（低于1MB），偶爾也有大量的數(shù)據(jù)訪問量。報(bào)告顯示該服務(wù)器有5安全漏洞，漏洞等級(jí)為緊急的有2個(gè)，高危1個(gè)，中危1個(gè)，低危1個(gè)；所有漏洞都可以修復(fù)。

XX.XXX.176.16為局本級(jí)的文件服務(wù)器，是操作系統(tǒng)Linux，2012年安裝，每天的數(shù)據(jù)訪問量很大（超過1GB），報(bào)告顯示共有16個(gè)安全漏洞，等級(jí)為高危的有3個(gè)，中危8個(gè)、低危3個(gè)。無法修復(fù)的安全漏洞有3個(gè)，漏洞等級(jí)為緊急有0個(gè)，高危0個(gè)，中危1個(gè)，低危2個(gè)。

XX.XXX.176.38局本級(jí)的局域網(wǎng)業(yè)務(wù)服務(wù)器，2012年的安裝，是操作系統(tǒng)Windows 2010，安裝有局本級(jí)業(yè)務(wù)應(yīng)用系統(tǒng)，該服務(wù)器同時(shí)充當(dāng)外網(wǎng)服務(wù)器。該服務(wù)器的業(yè)務(wù)功能基本上轉(zhuǎn)到其他服務(wù)器，當(dāng)前處理空閑狀態(tài)。報(bào)告顯示該服務(wù)器有15安全漏洞，漏洞等級(jí)為緊急的有0個(gè)，高危3個(gè)，中危9個(gè)，低危3個(gè)；有3個(gè)安全漏洞無法修的，其中緊急的有0個(gè)，高危0個(gè)，中危0個(gè)，低危3個(gè)。

XX.XXX.XXX.60 是該局二級(jí)單位的視頻會(huì)議終端（4個(gè)）， XX.XXX.179.193為局本級(jí)視頻會(huì)議終端，《XX局漏洞掃描測(cè)試報(bào)告》顯示這5個(gè)終端有10個(gè)相間的安全漏洞，漏洞等級(jí)為高危的有3個(gè)、中危7個(gè)；其中有1個(gè)中危安全漏洞無法修復(fù)。視頻會(huì)議終端每天至少使用2次。XX.XXX.184.218也是局二級(jí)單位的視頻會(huì)議終端，漏洞等級(jí)為高危的有2個(gè)、中危5個(gè)；所有安全漏洞都可修補(bǔ)。

XX.XXX.XXX.200是國(guó)土部門與本局二級(jí)單位聯(lián)合安裝的 GPS/MET 站設(shè)備，總共6套設(shè)備，各有1個(gè)相同的安全漏洞數(shù)，漏洞等級(jí)為中危，可以修復(fù)。設(shè)備的所有權(quán)為國(guó)土部門。每天的數(shù)據(jù)訪問量約在10-20MB。

IP地址為XX.XXX.176.222， XX.XXX.190.231的電腦各存在5個(gè)相同的安全漏洞，這兩臺(tái)電腦是臨時(shí)使用的電腦，調(diào)研時(shí)發(fā)現(xiàn)此兩個(gè)地址IP為停用狀態(tài)。

3.5 各單位安全漏洞數(shù)統(tǒng)計(jì)特點(diǎn)

該局的局本級(jí)有4個(gè)D類網(wǎng)段（業(yè)務(wù)、辦公、視頻會(huì)商、713雷達(dá)站），每個(gè)二級(jí)單位是由4個(gè)E類網(wǎng)段組成的D類網(wǎng)段。根據(jù)《XX局漏洞掃描測(cè)試報(bào)告》的“項(xiàng)目統(tǒng)計(jì)列表”287個(gè)目標(biāo)地址IP按網(wǎng)段統(tǒng)計(jì)，各網(wǎng)段的安全漏洞統(tǒng)計(jì)見表4。

表4 各單位安全漏洞統(tǒng)計(jì)安全漏洞數(shù)統(tǒng)計(jì)

局本級(jí)的業(yè)務(wù)段電腦共有15個(gè)目標(biāo)地址IP。業(yè)務(wù)段電腦終端分為兩類，第一類為服務(wù)器類，可細(xì)分為數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器、業(yè)務(wù)用服務(wù)器；第二類為業(yè)務(wù)工作用電腦。業(yè)務(wù)工作用電腦沒有發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞，所有安全漏洞都出現(xiàn)在服務(wù)器上?，F(xiàn)場(chǎng)排查發(fā)現(xiàn)，大部分業(yè)務(wù)工作用電腦的使用率非常高，小部分業(yè)務(wù)工作用電腦在不同的季節(jié)的使用率有較大差別，業(yè)務(wù)段地址IP實(shí)際有上20個(gè)或更多。

局本級(jí)的辦公段有27個(gè)目標(biāo)地址IP，均未發(fā)現(xiàn)有網(wǎng)絡(luò)安全漏洞。需要說明的是有些辦公室由于網(wǎng)絡(luò)接口的有限，有多臺(tái)電腦需要接入辦公網(wǎng)絡(luò)時(shí)，一般在辦公室安裝一個(gè)小路由器，兼作無線路由器，該辦公室的電腦IP由路由器提供?，F(xiàn)場(chǎng)統(tǒng)計(jì)局本級(jí)辦公電腦有55臺(tái)或更多。

局本級(jí)的視頻會(huì)議終端網(wǎng)段共有8個(gè)目標(biāo)地址IP，每個(gè)目標(biāo)地址IP的功能不詳，但只有視頻會(huì)議終端發(fā)現(xiàn)安全漏洞。

局本級(jí)713雷達(dá)在非汛期處于停用狀態(tài)，實(shí)際使用的電腦也不多。

二級(jí)單位有12個(gè)目標(biāo)地址IP有安全漏洞，辦公用電腦、業(yè)務(wù)用電腦（不包括服務(wù)器）未報(bào)告有安全漏洞；有問題的目標(biāo)地址IP有5個(gè)為視頻會(huì)議終端、6個(gè)GPS/MET 站；另有1臺(tái)服務(wù)器發(fā)現(xiàn)有安全漏洞，該服務(wù)器為專用業(yè)務(wù)用服務(wù)器，2年前偶爾使用，目前已停止使用。

4 網(wǎng)絡(luò)安全維護(hù)對(duì)策

4.1 無法修復(fù)的安全漏洞的問題

《XX局漏洞掃描測(cè)試報(bào)告》顯示有146個(gè)（除去重復(fù)數(shù)為123個(gè)）安全漏洞，其中有16個(gè)安全漏洞廠商還沒有提供此漏洞的相關(guān)補(bǔ)丁或者升級(jí)程序。

根據(jù)《XX局漏洞掃描測(cè)試報(bào)告》統(tǒng)計(jì)，只有8個(gè)無法修復(fù)的安全漏洞出現(xiàn)在8個(gè)地址IP上。其中有6個(gè)目標(biāo)地址IP為視頻會(huì)議終端（局本級(jí)1個(gè)，二級(jí)單位5個(gè)）。該局有8個(gè)二級(jí)單位，所有二級(jí)單位都有視頻會(huì)議終端，型號(hào)與服務(wù)商也是一樣的，其中有4個(gè)視頻會(huì)議終端的漏洞完全相同，說明服務(wù)商對(duì)于此類安全漏洞有完整的解決方案。局本級(jí)視頻會(huì)議終端省內(nèi)同級(jí)單位有14套，型號(hào)應(yīng)該一致，服務(wù)商應(yīng)該有安全漏洞完整的解決方案。

XX.XXX.176.16為L(zhǎng)inux服務(wù)器，有3個(gè)無法修的漏洞。Windows Server 一般有免費(fèi)的軟件的防火墻，Linux系統(tǒng)是否有類似的第三方的防火墻，非專業(yè)人員并不熟悉，也不知道如何進(jìn)行安全維護(hù)。該服務(wù)器投入使用已有8年時(shí)間，建議對(duì)服務(wù)器在安放升級(jí)系統(tǒng)、購(gòu)置新服務(wù)器、功能由其他服務(wù)器替代、停用等方面進(jìn)行評(píng)估再采取措施。

XX.XXX.176.2為數(shù)據(jù)庫(kù)服務(wù)器，該服務(wù)器為2006年安裝，使用提WINDOWS 2000操作系統(tǒng)，數(shù)據(jù)庫(kù)為SQL Server 2000，這種古董服務(wù)器沒必須進(jìn)行修復(fù)，升級(jí)操作系統(tǒng)及數(shù)據(jù)庫(kù)即可。

XX.XXX.176.38是業(yè)務(wù)用服務(wù)器，業(yè)務(wù)功能已遷移到其他業(yè)務(wù)電腦（服務(wù)器）上，如無必要可以拆除。

二級(jí)單位有1臺(tái)服務(wù)器存在安全漏洞，現(xiàn)場(chǎng)排查其功能已取消或轉(zhuǎn)移到新系統(tǒng)上，該服務(wù)器已停用，建議拆除。

4.2 網(wǎng)絡(luò)安全日常維護(hù)存在的問題及解決方案

《XX局漏洞掃描測(cè)試報(bào)告》有19個(gè)目標(biāo)地址存在安全漏洞，除開6個(gè)視頻會(huì)議終端、6臺(tái)GPS/MET 站，實(shí)際上有安全漏洞的電腦數(shù)（包括服務(wù)器）為7臺(tái)。

查看IP地址可知，所有的辦公電腦辦公網(wǎng)段（局本級(jí)??.???.177.1 ～??.???.177.254，二級(jí)單位（??.???.???.132～??.???.???.190）辦公網(wǎng)段電腦（設(shè)備、終端）未發(fā)現(xiàn)有安全漏洞。一般來講辦公用電腦安裝有免費(fèi)的軟件防火墻（防病毒軟件），安全漏洞能及時(shí)修補(bǔ)。

業(yè)務(wù)電腦（不包括服務(wù)器）網(wǎng)段也沒有軟件安全漏洞（防病毒軟件），業(yè)務(wù)用電腦是多人共用的，大部分業(yè)務(wù)用電腦使用率也較高，一般安裝有免費(fèi)的防火墻，安全漏洞能及時(shí)修補(bǔ)。調(diào)查發(fā)現(xiàn)部分業(yè)務(wù)用電腦有專用功能，每年不同時(shí)期承擔(dān)的工作的重要性不一致，有時(shí)可能完全停用或關(guān)機(jī)。由外單位進(jìn)行行漏洞掃描時(shí)可能處于關(guān)機(jī)狀態(tài)，不能準(zhǔn)確地反映安全漏洞是否已全部修補(bǔ)。

安全漏洞只存在業(yè)務(wù)用網(wǎng)段中的服務(wù)器、視頻會(huì)議終端、GPS/MET 站。

現(xiàn)場(chǎng)調(diào)查發(fā)現(xiàn)有些服務(wù)器的操作系統(tǒng)還在使用Windows Server 2000，數(shù)據(jù)庫(kù)使用SQL Server 2000；調(diào)查還發(fā)現(xiàn)有些服務(wù)器兼作外網(wǎng)服務(wù)器，用戶通過外網(wǎng)IP直接訪問服務(wù)器。由于服務(wù)器承擔(dān)著很重要的業(yè)務(wù)工作，除非出現(xiàn)嚴(yán)重問題，就算是專業(yè)人員一般也不會(huì)隨便去更改服務(wù)器配置，部分安全漏洞未能及時(shí)修補(bǔ)。

該單位還有臺(tái)與XX.XXX.176.16類似Linux服務(wù)器，IP為XX.XXX.176.17，這兩臺(tái)服務(wù)器都是同時(shí)安裝并投入使用的，報(bào)告“項(xiàng)目統(tǒng)計(jì)列表”未見XX.XXX.176.17的信息，該服務(wù)器在網(wǎng)絡(luò)安全公司進(jìn)行漏洞掃描時(shí)可能處于關(guān)閉狀態(tài)。

局本級(jí)的視頻會(huì)議終端（??.???.179.193）及4個(gè)二級(jí)單位的視頻會(huì)議終端（??.???.???.60）都有10個(gè)相同的安全漏洞，其中有一個(gè)安全漏洞還是無法修復(fù)的，另有一個(gè)視頻會(huì)議終端XX.XXX.184.218也存在安全漏洞，但與其他二級(jí)單位的視頻會(huì)議終端的安全漏洞不一致。設(shè)備的網(wǎng)絡(luò)安全維護(hù)專業(yè)性較強(qiáng)，上級(jí)機(jī)關(guān)也不支持基層單位直接進(jìn)行網(wǎng)絡(luò)安全維護(hù)。對(duì)于發(fā)現(xiàn)的網(wǎng)絡(luò)漏洞應(yīng)及時(shí)報(bào)告，統(tǒng)一維護(hù)。

本單位的網(wǎng)絡(luò)管理人員一般不參與維護(hù)GPS/MET 站的維護(hù)。由于GPS/MET 站需要讀取本地業(yè)務(wù)電腦中的數(shù)據(jù)，對(duì)于出現(xiàn)的網(wǎng)絡(luò)安全漏洞應(yīng)引起足夠的重視，須及時(shí)向相關(guān)單位報(bào)告。

4.3 網(wǎng)絡(luò)安全的嚴(yán)重性

《XX局漏洞掃描測(cè)試報(bào)告》表明，看似292個(gè)目標(biāo)中只有19個(gè)目標(biāo)存在有安全漏洞，除專用設(shè)備外只有7個(gè)目標(biāo)存在有安全漏洞，看似問題并不嚴(yán)重，實(shí)際上這7個(gè)目標(biāo)全是服務(wù)器，分別承擔(dān)數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器、FTP服務(wù)器、業(yè)務(wù)工作服務(wù)器的功能，所以問題是非常嚴(yán)重的。有些服務(wù)器還承擔(dān)外網(wǎng)服務(wù)器的功能，外網(wǎng)服務(wù)器極易受到黑客攻擊，問題的嚴(yán)重性應(yīng)引起足夠的重視。有兩個(gè)服務(wù)器的安全漏洞數(shù)超過10個(gè)，還有一些無法修復(fù)的安全漏洞，維護(hù)任務(wù)非常緊迫。

5 總結(jié)與建議

5.1 總結(jié)

《XX局漏洞掃描測(cè)試報(bào)告》有74頁(yè)，在287個(gè)目標(biāo)共發(fā)現(xiàn)有123個(gè)安全漏洞，其中有16個(gè)安全漏洞廠商還沒有提供此漏洞的相關(guān)補(bǔ)丁或者升級(jí)程序。此份報(bào)告極其詳盡，依此報(bào)告，安全維護(hù)工作量看似非常繁重，經(jīng)分析整理及現(xiàn)場(chǎng)排查后，總結(jié)如下

（1）辦公用網(wǎng)段的電腦由于有免費(fèi)的防火墻可用，網(wǎng)絡(luò)安全漏洞基本上及時(shí)修補(bǔ)，報(bào)告顯示未發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞。但部分辦公電腦由于使用了路由器提供的IP地址連接網(wǎng)絡(luò)，無法進(jìn)行掃描檢查，可能存在安全隱患。

（2）常用的業(yè)務(wù)用電腦也可使用免費(fèi)的防火墻，保證網(wǎng)絡(luò)安全漏洞及時(shí)得到修補(bǔ)，未發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞。但部分業(yè)務(wù)電腦在不同季節(jié)的使用率不同的，在網(wǎng)絡(luò)安全公司進(jìn)行檢查時(shí)，部分電腦可能處于關(guān)機(jī)狀態(tài)，因而可能存在安全隱患。

（3）該局共有9個(gè)視頻會(huì)議終端，其中5個(gè)視頻會(huì)議終端發(fā)現(xiàn)有10個(gè)相同的安全漏洞，另有一個(gè)存在7個(gè)安全漏洞。該單位及二單位的視頻會(huì)議終端都是同一個(gè)服務(wù)商安裝的，使用相同型號(hào)的產(chǎn)品，有3個(gè)終端未發(fā)現(xiàn)安全漏洞，有5個(gè)終端有10個(gè)相同的安全漏洞，還有一個(gè)視頻會(huì)議終端的安全漏洞完全不同，說明服務(wù)商其實(shí)有安全維護(hù)方案。視頻會(huì)議終端的安全維護(hù)專業(yè)性比較強(qiáng)，維護(hù)工作一般由服務(wù)商承擔(dān)，上級(jí)單位也應(yīng)該主動(dòng)與服務(wù)商溝通及時(shí)完成安全漏洞修補(bǔ)。

（4）GPS/MET站是該單位與外單位合作開展業(yè)務(wù)手的設(shè)備，設(shè)備所有權(quán)及管理權(quán)都在外單位，二級(jí)單位共有6臺(tái)此種設(shè)備，都存在一個(gè)相同的安全漏洞。該單位應(yīng)主動(dòng)及時(shí)向外單位報(bào)告，一起解決這個(gè)網(wǎng)絡(luò)安全漏洞。所有GPS/MET站的安全漏洞是相同的，只要一個(gè)地方安全漏洞修補(bǔ)了，其他幾個(gè)單位的漏洞就可很快修補(bǔ)。

（5）服務(wù)器承擔(dān)很重要的辦公及業(yè)務(wù)工作。由于各種原因，部分服務(wù)器的還在使用古董級(jí)的操作系統(tǒng)，操作系統(tǒng)升級(jí)后很多安全漏洞就不存在了。有安全漏洞的服務(wù)器保存的數(shù)據(jù)存在嚴(yán)重的安全隱患，必須有專業(yè)管理員維護(hù)，該單位的網(wǎng)絡(luò)管理員下鄉(xiāng)扶貧后，網(wǎng)絡(luò)管理員職責(zé)由其他人兼職，兼職網(wǎng)絡(luò)管理員的工作任務(wù)必須明確，專業(yè)水平有待提高。

5.2 建議

（1）《XX局漏洞掃描測(cè)試報(bào)告》并不嚴(yán)謹(jǐn)，該局的網(wǎng)絡(luò)管理員應(yīng)及時(shí)將報(bào)告中存在的問題反饋給上級(jí)管理部門與相應(yīng)的網(wǎng)絡(luò)安全公司。

（2）該局應(yīng)配備一個(gè)高水平的專業(yè)或兼職的網(wǎng)絡(luò)管理員。管理員應(yīng)經(jīng)常對(duì)重要的服務(wù)器、設(shè)備、終端進(jìn)行檢查，經(jīng)常進(jìn)行安全檢查及時(shí)完成漏洞修補(bǔ)，不能完全依賴上級(jí)部門的檢查報(bào)告。

（3）對(duì)古董級(jí)操作系統(tǒng)應(yīng)及時(shí)升級(jí)，對(duì)服務(wù)功能已升遷的服務(wù)器應(yīng)及清理，可以撤走的應(yīng)及時(shí)撤走，停用空閑的服務(wù)器。

（4）一般認(rèn)為L(zhǎng)inux服務(wù)器比Windows 服務(wù)器安全，實(shí)際上Linux服務(wù)器也存在有網(wǎng)絡(luò)安全漏洞，必須及時(shí)進(jìn)行升級(jí)并安裝軟件防火墻。