企業(yè)網(wǎng)絡(luò)安全管理：三招修補(bǔ)系統(tǒng)漏洞

申請免費(fèi)試用、咨詢電話：400-8352-114

漏洞管理是企業(yè)網(wǎng)絡(luò)安全管理工作中的一個非常重要的在組成部份。試想，我們?nèi)糇≡谝粋€千瘡百孔的破屋子里面，我們會感到安全嗎?企業(yè)網(wǎng)絡(luò)也是如此。一個千瘡百孔的網(wǎng)絡(luò)，怎么能夠保障企業(yè)信息與網(wǎng)絡(luò)應(yīng)用的安全呢？

不過，漏洞管理是一項(xiàng)比較復(fù)雜的工作，要把它做好確實(shí)不容易。筆者認(rèn)為，要把這項(xiàng)工作做到實(shí)處，以下內(nèi)容我們不得不考慮。

一、 網(wǎng)絡(luò)掃描還是主機(jī)稍描

若要做補(bǔ)好漏洞的話，則首先需要知道有哪些漏洞，我們才能夠下手進(jìn)行修補(bǔ)。所以，漏洞管理的第一項(xiàng)工作就是對現(xiàn)有主機(jī)進(jìn)行稍描，看看有哪些漏洞。

現(xiàn)在一般通行的有兩種稍描方式，一是從網(wǎng)絡(luò)中的一臺主機(jī)對網(wǎng)絡(luò)內(nèi)的全部主機(jī)進(jìn)行稍描，我們可以利用一些稍描工具，如流光，方便的對網(wǎng)絡(luò)內(nèi)的所有電腦進(jìn)行稍描，發(fā)現(xiàn)他們操作系統(tǒng)的漏洞。如可以里用流光稍描工具，輕松的發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)內(nèi)的哪些主機(jī)沒有設(shè)置管理員帳戶密碼或者對其只是設(shè)置簡單的密碼(例如123456);也可以利用這個工具稍描企業(yè)內(nèi)的主機(jī)哪些開著默認(rèn)共享，等等。

另外一種是主機(jī)稍描。就是在網(wǎng)絡(luò)內(nèi)的所有主機(jī)上安裝稍描工具，然后對主機(jī)進(jìn)行一一稍描。如現(xiàn)在有些殺毒軟件，像金山毒霸、瑞星等殺毒軟件，都自帶有漏洞稍描工具。利用這些工具，我們網(wǎng)絡(luò)安全管理員可以非常輕松的找出操作系統(tǒng)中存在的可能被攻擊的漏洞。

若利用這兩種稍描方式對同一臺主機(jī)進(jìn)行稍描，可能其掃描出來的信息不完全一致。為什么呢?其實(shí)，網(wǎng)絡(luò)稍描就好像是一個黑客，對我們的網(wǎng)絡(luò)進(jìn)行掃描一樣，其得到的信息可能只是一些比較簡單的信息，而且，由于其他種種方面的限制，其掃描到的可能不是所有的漏洞信息。而我們在主機(jī)端掃描的話，則會得到比較詳細(xì)的信息，也可能會發(fā)現(xiàn)已經(jīng)知道的所有系統(tǒng)漏洞?？梢姡裟軌蛟谥鳈C(jī)上掃描的話，我們管理員會知道更多的信息?？上У氖?，在主機(jī)上對每個操作系統(tǒng)進(jìn)行掃描，工作量非常的大。

所以，我們需要根據(jù)實(shí)際情況，在工作量與安全性之間取得一個均衡。

筆者建議：

筆者在實(shí)際工作中，這兩種方法都是采用的。如筆者對于一般用戶的操作系統(tǒng)，都是通過網(wǎng)絡(luò)掃描的方式，發(fā)現(xiàn)他們的漏洞并給與修復(fù)。而對于網(wǎng)絡(luò)應(yīng)用服務(wù)器，如公司的數(shù)據(jù)庫服務(wù)器、文件服務(wù)器等等，都是定期在本機(jī)上對他們進(jìn)行掃描。一方面，服務(wù)器一天24小時都在運(yùn)行，我們可以利用任務(wù)調(diào)度命令，讓其在空閑的時候，如深刻十二點(diǎn)對服務(wù)器進(jìn)行掃描，如此的話，掃描的工作不會影響服務(wù)器白天時的運(yùn)行;另一方面，服務(wù)器在企業(yè)內(nèi)部畢竟只是少數(shù)，所以，掃描起來的話，也不會很費(fèi)事。而且，服務(wù)器的安全性的話，比一般用戶的操作系統(tǒng)來說，重要的多。所以對于服務(wù)器來說，在主機(jī)端進(jìn)行掃描，是非常有必要的。

而對于一般用戶的操作系統(tǒng)，只需要進(jìn)行網(wǎng)絡(luò)遠(yuǎn)程掃描即可。我們只要通過網(wǎng)絡(luò)掃描，把一些黑客、木馬等可以掃描到的漏洞掃描出來，然后加以修復(fù)。如此的話，就可以減少用戶的操作系統(tǒng)受到木馬、病毒攻擊的幾率，提高企業(yè)網(wǎng)絡(luò)的安全性。

二、 什么時候掃描

我們該什么時候?qū)χ鳈C(jī)進(jìn)行掃描呢?是一天一次，還是一個星期一次，又或者是一個月一次呢?從理想的角度來講，當(dāng)然是頻率越高越好，如此的話，我們可以最早的發(fā)現(xiàn)漏洞。但是，我們也知道，無論是本機(jī)掃描還是網(wǎng)絡(luò)掃描，都比較消耗資源，會對主機(jī)以及網(wǎng)絡(luò)的性能產(chǎn)生很大的影響。如采用網(wǎng)絡(luò)掃描的話，則在掃描的過程中，會占用比較多的網(wǎng)絡(luò)帶寬，從而降低其他網(wǎng)絡(luò)應(yīng)用的效率。如筆者經(jīng)過一個測試，當(dāng)我在開啟網(wǎng)絡(luò)掃描的時候，同時向一個文件服務(wù)器復(fù)制一個5M左右大小的圖片，其必在沒有開啟網(wǎng)絡(luò)掃描時，要整整多花近一半的時間?？梢姡瑨呙杼^于頻繁的話，會大大影響企業(yè)其他網(wǎng)絡(luò)業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。為此，我們需要設(shè)置一個比較合理的掃描頻率，在滿足安全性的同時，把對正常業(yè)務(wù)的不良影響降低到最小的水平。

筆者建議：

筆者在這方面小有研究，現(xiàn)在把筆者的觀點(diǎn)分享出來，請大家多多指教。

1、在沒有例外的情況下，筆者兩個月對企業(yè)的電腦進(jìn)行一次漏洞掃描。一般都是定在雙月底最后一個周末，筆者會利用周五中午休息的時間，對公司的電腦進(jìn)行掃描。這大概有花費(fèi)兩個小時的時間。而我們企業(yè)的話，中午休息一個半小時，故對于用戶網(wǎng)絡(luò)速度影響也大概只有半個小時左右。跟用戶講明白其中的原因，他們也是可以接受的。

2、當(dāng)出現(xiàn)一些例外情況的話，就要特事特辦了。如我們可以在一些病毒網(wǎng)站上，如金山毒霸的網(wǎng)站上，看到最近流行什么病毒。此時，我們可以針對性的采取一些掃描。也就是說，此時掃描我們不需要多操作系統(tǒng)進(jìn)行從頭到尾的掃描，而是指需要掃描這些病毒或者木馬所攻擊的具體漏洞。如此的話，把掃描的范圍縮小，如此就可以提高掃描的效率，同時也可以把對用戶的影響降至道最低。

3、對于任何一次掃描記錄都要留下記錄，以備查詢。筆者每次掃描后，都會把掃描的記錄跟以前的記錄進(jìn)行對比。通過對比，我們可以知道哪些漏洞我們一直都沒有修補(bǔ)，是沒有找到合適的補(bǔ)丁呢，還是這個補(bǔ)丁跟現(xiàn)有的軟件有沖突，又或者這個漏洞對企業(yè)的危害不大等等。同時，我們?nèi)粲袉T工系統(tǒng)重裝以后，那么我們就不需要對其進(jìn)行重新掃描了。按照最近一次的掃描結(jié)果，把其漏洞修補(bǔ)即可。如此的話，就可以節(jié)省我們掃描的時間。同時，這些漏洞掃描記錄，還可以幫助我們解決網(wǎng)絡(luò)安全故障。如有一次，有用戶向筆者反映，有其他人登陸了他的郵箱。他郵箱里的有些郵件，他自己都沒有讀過，但是郵箱里標(biāo)示的已經(jīng)是已讀。筆者一查看他電腦最近一次的漏洞掃描記錄，發(fā)現(xiàn)有一個很嚴(yán)重的漏洞，不知道怎么沒有打上補(bǔ)丁。這個漏洞正式最近很流行得一個盜取用戶帳號與密碼的木馬所利用的一個漏洞。然后筆者利用這個木馬專殺工具，在其電腦上進(jìn)行查殺，果然發(fā)現(xiàn)這個木馬的蹤影。所以，我們?nèi)裟軌虺浞滞诰蜻@個掃描記錄的價值的話，他對于我們的安全工作，還是很有幫助的。

三、 修補(bǔ)前需要做好測試工作

當(dāng)我們發(fā)現(xiàn)漏洞后，我們是否發(fā)上可以為其打上補(bǔ)丁呢?其實(shí)不然。筆者認(rèn)為，我們在為其打上漏洞的時候，最好還是在局部電腦上進(jìn)行測試，看看這個漏洞的補(bǔ)丁會不會對電腦上的其他軟件有沖突。與其等到有沖突的時候進(jìn)行后悔，那我們還不如先做好測試工作呢

一般來說，微軟操作系統(tǒng)及其辦公軟件所公布的補(bǔ)丁，他們也會進(jìn)行一些測試。但是，他們測試的內(nèi)容可能不會涉及到企業(yè)現(xiàn)在在用的所有軟件。如筆者以前就遇到過，當(dāng)安裝了XP系統(tǒng)的SP2 補(bǔ)丁之后，筆者企業(yè)在用的一個開源的作圖軟件就運(yùn)行不了了。后來只好重新安裝系統(tǒng)，把操作系統(tǒng)直接升級到了2003。還好其硬件配置可以支持2003系統(tǒng)，不然的話，麻煩還很大的。

筆者建議：

筆者在這方面有著多次的教訓(xùn)，當(dāng)補(bǔ)丁打上去后，原來操作系統(tǒng)上運(yùn)行的軟件就無法再正常運(yùn)行，或者運(yùn)行的速度產(chǎn)生很大影響。說實(shí)話，筆者公司里也有幾臺是盜版的微軟操作系統(tǒng)，裝上了補(bǔ)丁以后，有時這盜版的操作系統(tǒng)就不能用了，或者出現(xiàn)用戶注冊等提示信息。

所以，為了避免我們好心辦壞事，筆者強(qiáng)烈建議，企業(yè)網(wǎng)絡(luò)安全管理員們，在安裝補(bǔ)丁的時候，需要進(jìn)行比較充分的測試，然后才能夠大規(guī)模的打補(bǔ)丁、修復(fù)漏洞。不然的話，漏洞雖然補(bǔ)上了，但是卻可能會對企業(yè)的當(dāng)前應(yīng)用產(chǎn)生很大的影響。那么我們就得不償失了。（來自互聯(lián)網(wǎng)）