企業(yè)網(wǎng)絡(luò)安全管理：三招修補(bǔ)系統(tǒng)漏洞

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

漏洞管理是企業(yè)網(wǎng)絡(luò)安全管理工作中的一個(gè)非常重要的在組成部份。試想，我們?nèi)糇≡谝粋€(gè)千瘡百孔的破屋子里面，我們會(huì)感到安全嗎?企業(yè)網(wǎng)絡(luò)也是如此。一個(gè)千瘡百孔的網(wǎng)絡(luò)，怎么能夠保障企業(yè)信息與網(wǎng)絡(luò)應(yīng)用的安全呢？

不過，漏洞管理是一項(xiàng)比較復(fù)雜的工作，要把它做好確實(shí)不容易。筆者認(rèn)為，要把這項(xiàng)工作做到實(shí)處，以下內(nèi)容我們不得不考慮。

一、 網(wǎng)絡(luò)掃描還是主機(jī)稍描

若要做補(bǔ)好漏洞的話，則首先需要知道有哪些漏洞，我們才能夠下手進(jìn)行修補(bǔ)。所以，漏洞管理的第一項(xiàng)工作就是對(duì)現(xiàn)有主機(jī)進(jìn)行稍描，看看有哪些漏洞。

現(xiàn)在一般通行的有兩種稍描方式，一是從網(wǎng)絡(luò)中的一臺(tái)主機(jī)對(duì)網(wǎng)絡(luò)內(nèi)的全部主機(jī)進(jìn)行稍描，我們可以利用一些稍描工具，如流光，方便的對(duì)網(wǎng)絡(luò)內(nèi)的所有電腦進(jìn)行稍描，發(fā)現(xiàn)他們操作系統(tǒng)的漏洞。如可以里用流光稍描工具，輕松的發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)內(nèi)的哪些主機(jī)沒有設(shè)置管理員帳戶密碼或者對(duì)其只是設(shè)置簡(jiǎn)單的密碼(例如123456);也可以利用這個(gè)工具稍描企業(yè)內(nèi)的主機(jī)哪些開著默認(rèn)共享，等等。

另外一種是主機(jī)稍描。就是在網(wǎng)絡(luò)內(nèi)的所有主機(jī)上安裝稍描工具，然后對(duì)主機(jī)進(jìn)行一一稍描。如現(xiàn)在有些殺毒軟件，像金山毒霸、瑞星等殺毒軟件，都自帶有漏洞稍描工具。利用這些工具，我們網(wǎng)絡(luò)安全管理員可以非常輕松的找出操作系統(tǒng)中存在的可能被攻擊的漏洞。

若利用這兩種稍描方式對(duì)同一臺(tái)主機(jī)進(jìn)行稍描，可能其掃描出來的信息不完全一致。為什么呢?其實(shí)，網(wǎng)絡(luò)稍描就好像是一個(gè)黑客，對(duì)我們的網(wǎng)絡(luò)進(jìn)行掃描一樣，其得到的信息可能只是一些比較簡(jiǎn)單的信息，而且，由于其他種種方面的限制，其掃描到的可能不是所有的漏洞信息。而我們?cè)谥鳈C(jī)端掃描的話，則會(huì)得到比較詳細(xì)的信息，也可能會(huì)發(fā)現(xiàn)已經(jīng)知道的所有系統(tǒng)漏洞?？梢?，若能夠在主機(jī)上掃描的話，我們管理員會(huì)知道更多的信息。可惜的是，在主機(jī)上對(duì)每個(gè)操作系統(tǒng)進(jìn)行掃描，工作量非常的大。

所以，我們需要根據(jù)實(shí)際情況，在工作量與安全性之間取得一個(gè)均衡。

筆者建議：

筆者在實(shí)際工作中，這兩種方法都是采用的。如筆者對(duì)于一般用戶的操作系統(tǒng)，都是通過網(wǎng)絡(luò)掃描的方式，發(fā)現(xiàn)他們的漏洞并給與修復(fù)。而對(duì)于網(wǎng)絡(luò)應(yīng)用服務(wù)器，如公司的數(shù)據(jù)庫服務(wù)器、文件服務(wù)器等等，都是定期在本機(jī)上對(duì)他們進(jìn)行掃描。一方面，服務(wù)器一天24小時(shí)都在運(yùn)行，我們可以利用任務(wù)調(diào)度命令，讓其在空閑的時(shí)候，如深刻十二點(diǎn)對(duì)服務(wù)器進(jìn)行掃描，如此的話，掃描的工作不會(huì)影響服務(wù)器白天時(shí)的運(yùn)行;另一方面，服務(wù)器在企業(yè)內(nèi)部畢竟只是少數(shù)，所以，掃描起來的話，也不會(huì)很費(fèi)事。而且，服務(wù)器的安全性的話，比一般用戶的操作系統(tǒng)來說，重要的多。所以對(duì)于服務(wù)器來說，在主機(jī)端進(jìn)行掃描，是非常有必要的。

而對(duì)于一般用戶的操作系統(tǒng)，只需要進(jìn)行網(wǎng)絡(luò)遠(yuǎn)程掃描即可。我們只要通過網(wǎng)絡(luò)掃描，把一些黑客、木馬等可以掃描到的漏洞掃描出來，然后加以修復(fù)。如此的話，就可以減少用戶的操作系統(tǒng)受到木馬、病毒攻擊的幾率，提高企業(yè)網(wǎng)絡(luò)的安全性。

二、 什么時(shí)候掃描

我們?cè)撌裁磿r(shí)候?qū)χ鳈C(jī)進(jìn)行掃描呢?是一天一次，還是一個(gè)星期一次，又或者是一個(gè)月一次呢?從理想的角度來講，當(dāng)然是頻率越高越好，如此的話，我們可以最早的發(fā)現(xiàn)漏洞。但是，我們也知道，無論是本機(jī)掃描還是網(wǎng)絡(luò)掃描，都比較消耗資源，會(huì)對(duì)主機(jī)以及網(wǎng)絡(luò)的性能產(chǎn)生很大的影響。如采用網(wǎng)絡(luò)掃描的話，則在掃描的過程中，會(huì)占用比較多的網(wǎng)絡(luò)帶寬，從而降低其他網(wǎng)絡(luò)應(yīng)用的效率。如筆者經(jīng)過一個(gè)測(cè)試，當(dāng)我在開啟網(wǎng)絡(luò)掃描的時(shí)候，同時(shí)向一個(gè)文件服務(wù)器復(fù)制一個(gè)5M左右大小的圖片，其必在沒有開啟網(wǎng)絡(luò)掃描時(shí)，要整整多花近一半的時(shí)間。可見，掃描太過于頻繁的話，會(huì)大大影響企業(yè)其他網(wǎng)絡(luò)業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。為此，我們需要設(shè)置一個(gè)比較合理的掃描頻率，在滿足安全性的同時(shí)，把對(duì)正常業(yè)務(wù)的不良影響降低到最小的水平。

筆者建議：

筆者在這方面小有研究，現(xiàn)在把筆者的觀點(diǎn)分享出來，請(qǐng)大家多多指教。

1、在沒有例外的情況下，筆者兩個(gè)月對(duì)企業(yè)的電腦進(jìn)行一次漏洞掃描。一般都是定在雙月底最后一個(gè)周末，筆者會(huì)利用周五中午休息的時(shí)間，對(duì)公司的電腦進(jìn)行掃描。這大概有花費(fèi)兩個(gè)小時(shí)的時(shí)間。而我們企業(yè)的話，中午休息一個(gè)半小時(shí)，故對(duì)于用戶網(wǎng)絡(luò)速度影響也大概只有半個(gè)小時(shí)左右。跟用戶講明白其中的原因，他們也是可以接受的。

2、當(dāng)出現(xiàn)一些例外情況的話，就要特事特辦了。如我們可以在一些病毒網(wǎng)站上，如金山毒霸的網(wǎng)站上，看到最近流行什么病毒。此時(shí)，我們可以針對(duì)性的采取一些掃描。也就是說，此時(shí)掃描我們不需要多操作系統(tǒng)進(jìn)行從頭到尾的掃描，而是指需要掃描這些病毒或者木馬所攻擊的具體漏洞。如此的話，把掃描的范圍縮小，如此就可以提高掃描的效率，同時(shí)也可以把對(duì)用戶的影響降至道最低。

3、對(duì)于任何一次掃描記錄都要留下記錄，以備查詢。筆者每次掃描后，都會(huì)把掃描的記錄跟以前的記錄進(jìn)行對(duì)比。通過對(duì)比，我們可以知道哪些漏洞我們一直都沒有修補(bǔ)，是沒有找到合適的補(bǔ)丁呢，還是這個(gè)補(bǔ)丁跟現(xiàn)有的軟件有沖突，又或者這個(gè)漏洞對(duì)企業(yè)的危害不大等等。同時(shí)，我們?nèi)粲袉T工系統(tǒng)重裝以后，那么我們就不需要對(duì)其進(jìn)行重新掃描了。按照最近一次的掃描結(jié)果，把其漏洞修補(bǔ)即可。如此的話，就可以節(jié)省我們掃描的時(shí)間。同時(shí)，這些漏洞掃描記錄，還可以幫助我們解決網(wǎng)絡(luò)安全故障。如有一次，有用戶向筆者反映，有其他人登陸了他的郵箱。他郵箱里的有些郵件，他自己都沒有讀過，但是郵箱里標(biāo)示的已經(jīng)是已讀。筆者一查看他電腦最近一次的漏洞掃描記錄，發(fā)現(xiàn)有一個(gè)很嚴(yán)重的漏洞，不知道怎么沒有打上補(bǔ)丁。這個(gè)漏洞正式最近很流行得一個(gè)盜取用戶帳號(hào)與密碼的木馬所利用的一個(gè)漏洞。然后筆者利用這個(gè)木馬專殺工具，在其電腦上進(jìn)行查殺，果然發(fā)現(xiàn)這個(gè)木馬的蹤影。所以，我們?nèi)裟軌虺浞滞诰蜻@個(gè)掃描記錄的價(jià)值的話，他對(duì)于我們的安全工作，還是很有幫助的。

三、 修補(bǔ)前需要做好測(cè)試工作

當(dāng)我們發(fā)現(xiàn)漏洞后，我們是否發(fā)上可以為其打上補(bǔ)丁呢?其實(shí)不然。筆者認(rèn)為，我們?cè)跒槠浯蛏下┒吹臅r(shí)候，最好還是在局部電腦上進(jìn)行測(cè)試，看看這個(gè)漏洞的補(bǔ)丁會(huì)不會(huì)對(duì)電腦上的其他軟件有沖突。與其等到有沖突的時(shí)候進(jìn)行后悔，那我們還不如先做好測(cè)試工作呢

一般來說，微軟操作系統(tǒng)及其辦公軟件所公布的補(bǔ)丁，他們也會(huì)進(jìn)行一些測(cè)試。但是，他們測(cè)試的內(nèi)容可能不會(huì)涉及到企業(yè)現(xiàn)在在用的所有軟件。如筆者以前就遇到過，當(dāng)安裝了XP系統(tǒng)的SP2 補(bǔ)丁之后，筆者企業(yè)在用的一個(gè)開源的作圖軟件就運(yùn)行不了了。后來只好重新安裝系統(tǒng)，把操作系統(tǒng)直接升級(jí)到了2003。還好其硬件配置可以支持2003系統(tǒng)，不然的話，麻煩還很大的。

筆者建議：

筆者在這方面有著多次的教訓(xùn)，當(dāng)補(bǔ)丁打上去后，原來操作系統(tǒng)上運(yùn)行的軟件就無法再正常運(yùn)行，或者運(yùn)行的速度產(chǎn)生很大影響。說實(shí)話，筆者公司里也有幾臺(tái)是盜版的微軟操作系統(tǒng)，裝上了補(bǔ)丁以后，有時(shí)這盜版的操作系統(tǒng)就不能用了，或者出現(xiàn)用戶注冊(cè)等提示信息。

所以，為了避免我們好心辦壞事，筆者強(qiáng)烈建議，企業(yè)網(wǎng)絡(luò)安全管理員們，在安裝補(bǔ)丁的時(shí)候，需要進(jìn)行比較充分的測(cè)試，然后才能夠大規(guī)模的打補(bǔ)丁、修復(fù)漏洞。不然的話，漏洞雖然補(bǔ)上了，但是卻可能會(huì)對(duì)企業(yè)的當(dāng)前應(yīng)用產(chǎn)生很大的影響。那么我們就得不償失了。（來自互聯(lián)網(wǎng)）