網(wǎng)絡設備安全漏洞發(fā)展趨勢研究

孫琳琳

華能吉林發(fā)電有限公司九臺電廠 吉林長春 130500

網(wǎng)絡設備是互聯(lián)網(wǎng)的基礎設施，同時也是互聯(lián)網(wǎng)安全隱患之一，由于大量數(shù)據(jù)都是通過網(wǎng)絡設備來傳遞的，因此一旦設備存在安全漏洞，就有可能被不法分子入侵，獲取關鍵數(shù)據(jù)，無論是對于個人還是國家安全都構成較大威脅。網(wǎng)絡設備最大的安全問題是漏洞，漏洞涉及很多方面，可具體分為不同的類型、不同的等級，構成的威脅也有所不同，目前主要的解決措施是完善相關法規(guī)，加強監(jiān)管力度，提高網(wǎng)絡和網(wǎng)絡設備的管理水平。只有結合各種措施，才能將設備漏洞的風險和危害降到最低[1]。

1 網(wǎng)絡設備安全漏洞的嚴峻形勢

根據(jù)國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心發(fā)布的中國互聯(lián)網(wǎng)安全報告，路由器和交換機等主要網(wǎng)絡設備漏洞的占比達到了60%以上，主要包括設備內(nèi)置后門、遠程代碼控制等類型。國家CNVD平臺對漏洞類型進行統(tǒng)計的結果：程序漏洞占62%，網(wǎng)絡設備漏洞占12%。

每年網(wǎng)絡設備安全漏洞的案例不勝枚舉，尤其是電信行業(yè)成為網(wǎng)絡設備入侵的主要對象。例如德國2016年11月份德國電信遭遇大面積的網(wǎng)絡故障，其中有90萬個路由器遭到黑客僵尸網(wǎng)絡的攻擊，根據(jù)調(diào)查發(fā)現(xiàn)是因為路由器界面本身的漏洞導致了這次攻擊事件。網(wǎng)絡安全工程師發(fā)現(xiàn)，僵尸網(wǎng)絡可以通過各種網(wǎng)絡設備進行攻擊，如攝像頭、路由器等等。

2 網(wǎng)絡設備安全漏洞態(tài)勢

根據(jù)過往的網(wǎng)絡設備漏洞安全和已經(jīng)收錄的安全漏洞數(shù)據(jù)，可以總結分析出設備漏洞的特點和態(tài)勢，主要從時間分布、類型、安全等級等多方面進行分析。

2.1 網(wǎng)絡設備漏洞呈逐年上漲態(tài)勢

根據(jù)相關的漏洞數(shù)據(jù)庫統(tǒng)計，網(wǎng)絡設備漏洞逐年遞增，尤其是從2009年以后增長速度較快，漏洞數(shù)量從88個上漲了12倍，達到了998個。從互聯(lián)網(wǎng)發(fā)展來看，2009年移動互聯(lián)網(wǎng)開始崛起，網(wǎng)絡設備激增，寬帶互聯(lián)網(wǎng)普及度顯著提高，路由器設備大幅增長，因此帶動了漏洞數(shù)量的增加。

2.2 廠商設備差異化明顯

目前世界范圍內(nèi)知名的網(wǎng)絡設備生產(chǎn)商有思科、華為、D-LINK等，其中漏洞最對的思科，主要是交換機類等大型網(wǎng)絡設備市場占有量較高，主要面向的是企業(yè)用戶。而個人用戶主要是TP-link、D-link等品牌，如家庭路由器占據(jù)較大市場份額。但是不同廠商對安全漏洞的重視度是不一樣的，思科雖然漏洞較多，但具備健全的漏洞處理機制，不定期發(fā)布漏洞公告，漏洞入侵和造成損失的幾率較小。相比較來說一些低廉的產(chǎn)品成為了主要的黑客研究對象，往往成為入侵和攻擊的主要對象[2]。

2.3 設備漏洞類型呈現(xiàn)多樣化

網(wǎng)絡設備承載各種業(yè)務，涉及到不同類型的協(xié)議，如常見的HTTP/SSH等，這樣就給管理設備造成較大的難度，管理員可以通過協(xié)議進行管理，攻擊者也可以通過協(xié)議漏洞來進行操控設備，從某種角度來說管理協(xié)議的漏洞危害更大。從漏洞攻擊協(xié)議上來看，拒絕服務漏洞占據(jù)將近40%，是各種網(wǎng)絡設備主要攻擊類型，正是常說的“分布式攻擊”，往往針對服務器，可導致整個服務器癱瘓，后果非常嚴重。其他的類型還包括代碼執(zhí)行漏洞、注入漏洞（6%）、權限提升漏洞（6%）、跨站請求腳本（6%）、緩沖區(qū)溢出（7%）/信息泄露（13%）、安全繞過（13%）等類型。

3 網(wǎng)絡設備安全漏洞發(fā)展趨勢分析

3.1 網(wǎng)絡設備持續(xù)增長態(tài)勢不會變

隨著移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算以及大數(shù)據(jù)概念的誕生和應用，將會極大的依賴互聯(lián)網(wǎng)設備，因此互聯(lián)網(wǎng)設備的數(shù)量將會持續(xù)增長，尤其是擁有智能技術的網(wǎng)絡設備更是將會成為主流。因此，無論是使用者還是攻擊者都將會對網(wǎng)絡設備產(chǎn)生研究的興趣，勢必會增加網(wǎng)絡設備漏洞的數(shù)量。

3.2 網(wǎng)絡設備漏洞的入侵攻擊態(tài)勢將會持續(xù)

盡管現(xiàn)代網(wǎng)絡設備的安全系數(shù)越來越高，各種防火墻技術也不斷完善，但不能完全阻止漏洞攻擊。設備技術在發(fā)展，攻擊的技術也在不斷發(fā)展，從互聯(lián)網(wǎng)誕生以來，各種入侵技術層出不窮，如UDP、ACK、DNS、HTTP泛洪攻擊等，而且可以預測的是未來將會誕生各種新的技術，新的漏洞將會被攻擊者加以利用。

3.3 網(wǎng)絡管理協(xié)議將會成為主要攻擊方向

從近幾年的漏洞攻擊方向來看，網(wǎng)絡設備的管理協(xié)議將會成為主要的攻擊方向，由于管理協(xié)議的復雜性以及開放性，使得其必然成為漏洞高發(fā)的方向。除了管理協(xié)議外，還要特別警惕NTP漏洞，從最初2001年開始，目前已經(jīng)記錄的此類型漏洞呈現(xiàn)幾何態(tài)勢增長，主要是因為NTP作為基礎協(xié)議，各種設備都會運行，一旦該管理協(xié)議出現(xiàn)漏洞，將會帶來嚴重后果[3]。

4 網(wǎng)絡設備安全漏洞安全防護策略

針對網(wǎng)絡設備漏洞的安全問題，應該分為三步走：

4.1 廠商應保障設備的安全系數(shù)

設備在出廠前應對設備進行安全評測，勢必要求廠商擁有健全的評測機制和成熟的檢測技術，從源頭上減少安全漏洞。

4.2 使用過程中的定期安全檢查

管理員在使用互聯(lián)網(wǎng)設備的同時，應定期開展設備的安全檢查，合理的進行配置，確保管理安全。應關注設備安全的態(tài)勢，對互聯(lián)網(wǎng)上的各種漏洞攻擊要提高警惕，發(fā)現(xiàn)漏洞時應及時修補。

4.3 漏洞發(fā)生后的處理方案

一旦發(fā)現(xiàn)網(wǎng)絡設備存在被攻擊的情況，應及時采取安全防護措施，建立相應機制，面要修補漏洞，將損失降到最低。對于網(wǎng)絡設備廠商在發(fā)現(xiàn)漏洞后應及時公布，并且修補漏洞，并為使用者提供技術支持。

5 結語

面對網(wǎng)絡設備數(shù)量和規(guī)模越來越大，網(wǎng)絡攻擊越來越頻繁的態(tài)勢，提高網(wǎng)絡設備的安全性，減少漏洞數(shù)量是目前急需要做的工作，這需要設備生產(chǎn)商、設備使用者相互配合，從設計、生產(chǎn)、使用等多個環(huán)節(jié)加強網(wǎng)絡設備的管理，并且要不斷完善網(wǎng)絡設備安全漏洞的檢查、處理機制，從而有效針對各種設備安全漏洞，將損失減到最低。