漏洞之殇 被忽视的误区与盲区

漏洞是怎样形成的？

　　近年来，利用病毒、木马攻击网络漏洞、给网络用户造成巨大损失的安全威胁频频出现，而隐藏在企业网络庞大系统中的网络漏洞一旦被利用，会给企业造成更为致命和难以弥补的损失。

　　网络漏洞在层出不穷的网络隐患威胁和威胁攻击中，并不是最引人瞩目的，其中一个重要原因在于：导致漏洞产生的设计和实施错误，有可能出现软件或各个信息系统层中，这意味着网络漏洞潜伏深，对漏洞的发现也需要时间和专业技术。而如果漏洞隐患没有被攻击者利用，对于用户来说，也是很难意识到自己的系统中已经悄悄潜伏了危机。

　　一、 漏洞是怎样形成的？

　　关于网络漏洞，目前业界还没有准确而清晰的公认定义。有学者从访问控制的角度出发，认为：当对系统的各种操作与系统的安全策略发生冲突时，就产生了安全漏洞；也有专家认为：计算机系统是由若干描述实体配置的当前状态所组成，可分为授权状态和非授权状态、易受攻击状态和不易受攻击状态，漏洞就是状态转变过程中能导致系统受损的易受攻击状态的特征。

　　以上两种观点，都是从各自的专业角度对网络漏洞进行描述，并没有给出一个全面的准确定义。目前，较为通俗的网络漏洞的描述性定义是：存在于计算机网络系统中的、可能对系统中的组成和数据造成损害的一切因素。

　　网络漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏信息系统。那么漏洞又是如何形成的？

　　简单来说，我们众所周知的大型软件、系统的编写不是借助于某一个人的专业技能就可以完成的，而一个程序编写团队对于软件或系统的分工编写、汇总、测试、发布等一系列工作，就有可能在各部分工作汇总的中间地带或程序员为了测试方便而留下的"后门"中，形成"漏洞"。

程序“后门”也可为漏洞形成提供条件

　　除了以上的主观行为外，漏洞形成的另一客观原因就是网络协议。用于搜寻或传输信息的网络协议，也很有可能为漏洞的滋生"温床"，这些主观或客观原因也都可以造成系统中存在安全漏洞。

　　目前，常见的系统漏洞主要分为：操作系统漏洞、Web服务器漏洞、FTP服务器漏洞、数据库服务器漏洞和应用程序漏洞。

常见漏洞类型

　　1、 操作系统漏洞

　　操作系统漏洞是指计算机操作系统本身所存在的问题或技术缺陷，操作系统产品提供商通常会定期对已知漏洞发布补丁程序提供修复服务，这可以在很大程度上逐渐"填补"漏洞。

　　2、 Web服务器漏洞

　　Web服务器漏洞多种多样，主要包括：物理路径泄露、CGI源代码泄露、执行任意命令、缓冲区溢出、拒绝服务、SQL注入、条件竞争和跨站脚本执行漏洞。保障Web服务器的安全，就必须要考虑到与服务器相配合的操作系统。

　　3、 FTP服务器漏洞

　　FTP服务器是在互联网上提供存储空间、依照FTP协议提供服务的，有时候在一台服务器上不仅运行了WEB服务器，另外还会运行如FTP服务器之类的网络服务，在同一台服务器上应用多种网络服务，就很可能会造成服务之间的相互感染，这种情况下，攻击者只要攻击一种服务，就可以利用相关的技术作为平台，攻陷另一种应用。一般来说，从企业内部进行攻击，要比企业外部进行攻击更为方便。

　　4、 数据库服务器漏洞

　　数据库是企业内网依赖的重地，而很多别有用心的攻击者也同样非常"看重"这个基地。某些数据库服务器在处理请求数据时存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制服务器，向数据库服务器发送畸形请求触发漏洞，最终导致执行任意指令。

　　5、 应用程序漏洞

　　应用程序漏洞就是应用程序编写时的错误导致的程序异常。目前，大部分应用程序都有数百万行代码。但人们只需要几分钟就可以开启后门或者安放"定时炸弹"。

　　二、 利用网络漏洞进行恶意攻击的"步骤"

　　网络漏洞的存在及复杂性为网络恶意攻击者提供了机会，相对来说，由于企业网络服务器在企业网络中的重要作用，其安装的软件和开放的端口较多，因此遭到网络攻击的几率也就更大，更容易招致网络攻击。网络恶意攻击者利用企业网络漏洞进行攻击的步骤主要为：

　　1、确定攻击目标的位置；

　　2、利用公开协议和工具通过端口扫描、网络监听收集目标的系统类型、提供的服务等信息；

　　3、利用自编入侵程序或公开的工具扫描分析系统的安全漏洞；

　　4、针对发现的网络漏洞展开攻击。

　　三、 漏洞的危害

　　近日，国际知名IT厂商EMC公司因为受到Flash漏洞攻击而被黑客入侵。根据RSA高级管理人员的博客透露，木马传播的途径正是一个名为"2011年招聘计划"的Excel表格。据悉，Excel、Word、PPT等各种可嵌入Flash文件的文档，都可能成为木马的载体，威胁程度极高；

网络漏洞可以成为黑客利用的工具，危害极大（图片来自互联网）

　　微软公司也于本月向全球用户发布了4月补丁，一共修复了64个安全漏洞，其中包含一度引起网民恐慌的MHTML信息泄露漏洞；

如何防范漏洞

　　Sipera VIPER试验室目前已经确认了一个VoIP的详尽列表，漏洞可被用来破坏关键的企业通信，并且通过数据安全厂商基本上不能解决的一个安全漏洞窃取机密数据。

　　而据NSS实验室发表的《2011年网络防火墙对比测试结果》显示，多款常用防火墙都存在有黑客漏洞……

　　可见，网络漏洞的潜伏性高、危害性大，即使是安全意识极强的信息科技企业甚至专业的信息安全工具--防火墙也可能难逃其"魔手"。那么在面对"低调"潜伏，又难以寻觅的网络漏洞时，企业网络安全管理人员，就只能望而兴叹、束手无策了吗？

　　四、 如何防范漏洞

　　目前，对于漏洞的检测技术主要采用漏洞扫描，而通常的漏洞扫描采用两种策略：被动式和主动式。被动式策略是基于主机的，主动式策略是基于网络的，它通过网络对远程的目标主机建立连接，并发送请求，分析其返回信息，从而判断主机是否存在漏洞是否需要补救。

典型的漏洞扫描体系结构图

　　而漏洞补救的形式主要有两种：

　　1、 自身补救：这种漏洞防范主要是靠产品供应厂商的补丁或禁用服务来补救，即靠软件或系统升级来不断完善系统安全；

　　2、 借助补救：这种补救方式主要是借助第三方技术完成漏洞补救的，比如广泛使用的漏洞扫描工具。

　　在实施漏洞补救前，企业网络安全管理人员应该仔细查找漏洞，慎重进行补救处理。

用户应及时更新补丁、经常使用漏洞扫描工具检测系统

漏洞的解决方案

    一个完整的企业网络漏洞解决方案应该具备以下要素：

　　1、企业健全的漏洞管理机制

　　依托企业自上而下的制度规章，贯彻系统安全漏洞知识，完善漏洞管理流程及定期评估机制，建立基于主动防范的系统安全漏洞防范体系，保证办公网络和业务的安全运行。

　　2、减少权限，降低人为因素带来的风险

　　系统安全漏洞管理系统的建立有赖于专业人员的操作，最大程度的降低参与人员的权限，将最大程度的减少漏洞存在的条件。而必要的科学、有效和明确责任的分工，也需要通过管理手段不断完善。

减少权限，可以降低风险

　　3、全面提升系统安全漏洞安全审计和管理工作

　　通过部署系统安全漏洞管理工具实时、定期按照管理策略和标准进行系统安全漏洞审计，出具完整的安全状态报告，企业网络安全管理人员应该从多个角色、多角度验证系统安全设置，发现、分析、修复和验证系统安全漏洞，规避可能出现的风险。

　　4、满足合规性需求

　　通过系统安全漏洞系统的部署，企业网络系统可以提高漏洞分析、修复以及系统安全漏洞评估的能力，并及时掌握系统安全漏洞的安全状况，较好地满足合规性（国家风险评估、等级保护和保密测评等方面）需求。

　　企业内网漏洞扫描和排查是企业内网安全因子的一部分，任何网络系统中的漏洞，都是极为危险的。企业内网管理人员应该对网络漏洞给予充分的重视及安全管理。