網(wǎng)絡安全漏洞的現(xiàn)狀及面臨問題分析

摘 要:“漏洞”一詞已越來越為使用信息系統(tǒng)的人們所熟悉，不僅因為它面目丑陋，更重要是，它的存在使各種威脅從四面八方蜂擁而至，致使信息系統(tǒng)遭受前所未有災難。先不提時間較遠些的“尼姆達”、“沖擊波”、“震蕩波”，就拿最近爆發(fā)的Conficker蠕蟲來說，深受其害的人沒有一個不對它們印象深刻。無一例外這些大名鼎鼎蠕蟲或惡意代碼，都是利用系統(tǒng)漏洞廣泛傳播，進而對信息系統(tǒng)造成危害。沒有及時識別并修補這些被利用的漏洞，是信息系統(tǒng)最終遭受危害的根本原因。

關鍵詞:漏洞網(wǎng)絡安全

中圖分類號:TP393文獻標識碼:A文章編號:1674-098X(2011)05(c)-0021-01

如今，越來越多的安全漏洞被發(fā)現(xiàn)，使得利用這些的安全事件數(shù)量日益上升。Gartner研究機構曾經預測:到2008年90％成功的黑客攻擊都會使用眾所周知的軟件漏洞。CNCERT/CC也始終認為，信息系統(tǒng)的安全漏洞是各種安全事件發(fā)生的主要根源之一。因此，在安全事件層出不窮的今天，漏洞問題更需要被特別關注。做好漏洞管理工作，也是用戶在構建信息安全體系時，需要重點考慮甚至優(yōu)先考慮的問題。

那么，如何做好漏洞管理工作呢？唯一有效途徑是:在漏洞被利用以及信息系統(tǒng)遭受危害之前，正確識別并修復漏洞和錯誤配置，預防安全事件發(fā)生。但是，信息系統(tǒng)復雜性和安全漏洞的多樣性給漏洞管理實踐帶來更大挑戰(zhàn)，將如何應對？

1 遭遇漏洞危機

隨著技術進步，漏洞發(fā)掘水平和速度一直在提高，而其利用技術也在不斷發(fā)展。目前正在遭遇一場前所未有漏洞危機，主要表現(xiàn):

(1)全球漏洞數(shù)量在持續(xù)快速增加。據(jù)CERT/CC統(tǒng)計，該組織2006年收到報告并確認信息系統(tǒng)安全漏洞8064個，平均每天超過22個，與2005年相比增長34.6%。1995年到2008Q3，報告安全漏洞總數(shù)達到44，074個，具體結果如圖1:

(2)應用軟件漏洞增勢明顯。在所有發(fā)現(xiàn)漏洞中，基于應用系統(tǒng)尤其是Web應用漏洞所占比重明顯上升，已占到70%左右。另外瀏覽器漏洞也在不斷增加，微軟IE和Mozilla Firefox瀏覽器是用戶常用網(wǎng)頁瀏覽器，其漏洞數(shù)量也位居所有瀏覽器之首。

(3)從發(fā)現(xiàn)漏洞到攻擊程序出現(xiàn)時間在不斷縮短。據(jù)權威機構統(tǒng)計，從發(fā)現(xiàn)漏洞到發(fā)布相關攻擊程序所需平均時間越來越短，現(xiàn)在僅為一周，“零日攻擊”現(xiàn)象也顯著增多。從另一方面統(tǒng)計來看，廠商在發(fā)現(xiàn)漏洞后，平均要50天發(fā)布相關修補程序。一旦漏洞公布但沒有被及時修補，用戶系統(tǒng)遭受攻擊可能性大大增加。

(4)漏洞可以被購買。漏洞可以被購買的報道并不少見，甚至在有些網(wǎng)站上公開叫賣。這表明漏洞已經跟利益集團聯(lián)系到一起，作為獲取非法收益的工具。一旦一個重要業(yè)務系統(tǒng)漏洞被非法分子利用，造成的損失難以估量。

綜上所述，漏洞數(shù)量在快速增加，種類越來越多，受到漏洞影響信息系統(tǒng)也越來越易遭受攻擊——我們正在遭受的漏洞危機在日益加劇。

2 面臨的挑戰(zhàn)

據(jù)一項“全球信息安全調查”數(shù)據(jù)，當前企業(yè)面臨的最大安全挑戰(zhàn)是“預防安全漏洞的出現(xiàn)”。信息系統(tǒng)管理員通常要借助漏洞管理工具來識別和修補漏洞，但在漏洞危機日益嚴峻形勢下，使用漏洞管理工具能否應對如下挑戰(zhàn):

(1)在漏洞數(shù)量每日劇增情況下，如何全面、準確識別各種信息系統(tǒng)漏洞？(2)在分析漏洞信息進行時，是否能夠保證內容完整性和權威性，并能夠有效指導漏洞修復？(3)在面臨種類繁多的各種漏洞時，如何對漏洞進行統(tǒng)一客觀評級，合理安排修復工作優(yōu)先級，以保證最危險漏洞最先被修復？(4)在企業(yè)進行風險監(jiān)控要求下，如何評估漏洞帶來脆弱性風險？(5)在階段性漏洞修復工作完成后，如何對修復工作成果進行檢驗進而對漏洞管理策略調整提供依據(jù)？(6)在面對具有多個網(wǎng)絡域、分布在不同地區(qū)大規(guī)模的信息系統(tǒng)，如何實現(xiàn)全網(wǎng)掃描部署和統(tǒng)一管理，并實施有效監(jiān)管？

3 結語

因此，在選用漏洞管理產品時，必須考慮以下方面:(1)廠商是否具備持續(xù)性的漏洞跟蹤及研究能力，以確保產品中漏洞知識庫的全面性、準確性和權威性，并且能夠做到及時更新，甚至能夠對重大突發(fā)漏洞事件應急;(2)廠商是否在漏洞檢測領域有長期積累，以保證產品應用成熟度;(3)產品是否能夠對不同軟件、系統(tǒng)類別的漏洞進行統(tǒng)一評級，并保證評級開放性和客觀性，為修復工作的優(yōu)先級提供指導，為漏洞評級的交流提供方便;(4)產品是否能夠實現(xiàn)對掃描資產的管理，并能夠結合漏洞評價，計算主機和網(wǎng)絡的脆弱性風險，為風險評估和風險監(jiān)控提供必要支撐;(5)產品是否能夠對歷次掃描結果中的漏洞情況、脆弱性風險的變化趨勢進行分析，以檢驗修復工作有效性，并為漏洞管理策略合理化調整提供決策依據(jù);(6)產品的部署應用是否足夠靈活，是否能夠適合各種規(guī)模的網(wǎng)絡，突破邏輯網(wǎng)絡域的界限，形成統(tǒng)一的漏洞管理體系。

參考文獻

[1]朱海虹.淺談網(wǎng)絡安全技術[J].科技創(chuàng)新導報，2007，32:32.