在網上看到關於漏洞的文章,,平時的多留意這些文章對我今後從事網絡安全有益處。多吸收前輩的經驗。給大家也分享一下。
漏洞管理是企業網絡安全管理工作中的一個非常重要的在組成部份。試想,我們若住在一個千瘡百孔的破屋子裏面,我們會感到安全嗎?企業網絡也是如此。一個千瘡百孔的網絡,怎麼能夠保障企業信息與網絡應用的安全呢?
不過,漏洞管理是一項比較複雜的工作,要把它做好確實不容易。筆者認爲,要把這項工作做到實處,以下內容我們不得不考慮。
一、 網絡掃描還是主機稍描
若要做補好漏洞的話,則首先需要知道有哪些漏洞,我們才能夠下手進行修補。所以,漏洞管理的第一項工作就是對現有主機進行稍描,看看有哪些漏洞。
現在一般通行的有兩種稍描方式,一是從網絡中的一臺主機對網絡內的全部主機進行稍描,我們可以利用一些稍描工具,如流光,方便的對網絡內的所有電腦進行稍描,發現他們操作系統的漏洞。如可以裏用流光稍描工具,輕鬆的發現企業網絡內的哪些主機沒有設置管理員帳戶密碼或者對其只是設置簡單的密碼(例如123456);也可以利用這個工具稍描企業內的主機哪些開着默認共享,等等。
另外一種是主機稍描。就是在網絡內的所有主機上安裝稍描工具,然後對主機進行一一稍描。如現在有些殺毒軟件,像金山毒霸、瑞星等殺毒軟件,都自帶有漏洞稍描工具。利用這些工具,我們網絡安全管理員可以非常輕鬆的找出操作系統中存在的可能被***的漏洞。
若利用這兩種稍描方式對同一臺主機進行稍描,可能其掃描出來的信息不完全一致。爲什麼呢?其實,網絡稍描就好像是一個***,對我們的網絡進行掃描一樣,其得到的信息可能只是一些比較簡單的信息,而且,由於其他種種方面的限制,其掃描到的可能不是所有的漏洞信息。而我們在主機端掃描的話,則會得到比較詳細的信息,也可能會發現已經知道的所有系統漏洞。可見,若能夠在主機上掃描的話,我們管理員會知道更多的信息。可惜的是,在主機上對每個操作系統進行掃描,工作量非常的大。
所以,我們需要根據實際情況,在工作量與安全性之間取得一個均衡。
筆者建議:
筆者在實際工作中,這兩種方法都是採用的。如筆者對於一般用戶的操作系統,都是通過網絡掃描的方式,發現他們的漏洞並給與修復。而對於網絡應用服務器,如公司的數據庫服務器、文件服務器等等,都是定期在本機上對他們進行掃描。一方面,服務器一天24小時都在運行,我們可以利用任務調度命令,讓其在空閒的時候,如深刻十二點對服務器進行掃描,如此的話,掃描的工作不會影響服務器白天時的運行;另一方面,服務器在企業內部畢竟只是少數,所以,掃描起來的話,也不會很費事。而且,服務器的安全性的話,比一般用戶的操作系統來說,重要的多。所以對於服務器來說,在主機端進行掃描,是非常有必要的。
而對於一般用戶的操作系統,只需要進行網絡遠程掃描即可。我們只要通過網絡掃描,把一些***、***等可以掃描到的漏洞掃描出來,然後加以修復。如此的話,就可以減少用戶的操作系統受到***、病毒***的機率,提高企業網絡的安全性。
二、 什麼時候掃描
我們該什麼時候對主機進行掃描呢?是一天一次,還是一個星期一次,又或者是一個月一次呢?從理想的角度來講,當然是頻率越高越好,如此的話,我們可以最早的發現漏洞。但是,我們也知道,無論是本機掃描還是網絡掃描,都比較消耗資源,會對主機以及網絡的性能產生很大的影響。如採用網絡掃描的話,則在掃描的過程中,會佔用比較多的網絡帶寬,從而降低其他網絡應用的效率。如筆者經過一個測試,當我在開啓網絡掃描的時候,同時向一個文件服務器複製一個5M左右大小的圖片,其必在沒有開啓網絡掃描時,要整整多花近一半的時間。可見,掃描太過於頻繁的話,會大大影響企業其他網絡業務的正常運轉。爲此,我們需要設置一個比較合理的掃描頻率,在滿足安全性的同時,把對正常業務的不良影響降低到最小的水平。
筆者建議:
筆者在這方面小有研究,現在把筆者的觀點分享出來,請大家多多指教。
1、在沒有例外的情況下,筆者兩個月對企業的電腦進行一次漏洞掃描。一般都是定在雙月底最後一個週末,筆者會利用週五中午休息的時間,對公司的電腦進行掃描。這大概有花費兩個小時的時間。而我們企業的話,中午休息一個半小時,故對於用戶網絡速度影響也大概只有半個小時左右。跟用戶講明白其中的原因,他們也是可以接受的。
2、當出現一些例外情況的話,就要特事特辦了。如我們可以在一些病毒網站上,如金山毒霸的網站上,看到最近流行什麼病毒。此時,我們可以針對性的採取一些掃描。也就是說,此時掃描我們不需要多操作系統進行從頭到尾的掃描,而是指需要掃描這些病毒或者***所***的具體漏洞。如此的話,把掃描的範圍縮小,如此就可以提高掃描的效率,同時也可以把對用戶的影響降至道最低。
3、對於任何一次掃描記錄都要留下記錄,以備查詢。筆者每次掃描後,都會把掃描的記錄跟以前的記錄進行對比。通過對比,我們可以知道哪些漏洞我們一直都沒有修補,是沒有找到合適的補丁呢,還是這個補丁跟現有的軟件有衝突,又或者這個漏洞對企業的危害不大等等。同時,我們若有員工系統重裝以後,那麼我們就不需要對其進行重新掃描了。按照最近一次的掃描結果,把其漏洞修補即可。如此的話,就可以節省我們掃描的時間。同時,這些漏洞掃描記錄,還可以幫助我們解決網絡安全故障。如有一次,有用戶向筆者反映,有其他人登陸了他的郵箱。他郵箱裏的有些郵件,他自己都沒有讀過,但是郵箱裏標示的已經是已讀。筆者一查看他電腦最近一次的漏洞掃描記錄,發現有一個很嚴重的漏洞,不知道怎麼沒有打上補丁。這個漏洞正式最近很流行得一個盜取用戶帳號與密碼的***所利用的一個漏洞。然後筆者利用這個***專殺工具,在其電腦上進行查殺,果然發現這個***的蹤影。所以,我們若能夠充分挖掘這個掃描記錄的價值的話,他對於我們的安全工作,還是很有幫助的。
三、 修補前需要做好測試工作
當我們發現漏洞後,我們是否發上可以爲其打上補丁呢?其實不然。筆者認爲,我們在爲其打上漏洞的時候,最好還是在局部電腦上進行測試,看看這個漏洞的補丁會不會對電腦上的其他軟件有衝突。與其等到有衝突的時候進行後悔,那我們還不如先做好測試工作呢
一般來說,微軟操作系統及其辦公軟件所公佈的補丁,他們也會進行一些測試。但是,他們測試的內容可能不會涉及到企業現在在用的所有軟件。如筆者以前就遇到過,當安裝了XP系統的SP2 補丁之後,筆者企業在用的一個開源的作圖軟件就運行不了了。後來只好重新安裝系統,把操作系統直接升級到了2003。還好其硬件配置可以支持2003系統,不然的話,麻煩還很大的。
筆者建議:
筆者在這方面有着多次的教訓,當補丁打上去後,原來操作系統上運行的軟件就無法再正常運行,或者運行的速度產生很大影響。說實話,筆者公司裏也有幾臺是盜版的微軟操作系統,裝上了補丁以後,有時這盜版的操作系統就不能用了,或者出現用戶註冊等提示信息。