企業(yè)網(wǎng)絡(luò)安全管理：三招修補系統(tǒng)漏洞

申請免費試用、咨詢電話：400-8352-114

漏洞管理是企業(yè)網(wǎng)絡(luò)安全管理工作中的一個非常重要的在組成部份。試想，我們?nèi)糇≡谝粋€千瘡百孔的破屋子里面，我們會感到安全嗎?企業(yè)網(wǎng)絡(luò)也是如此。一個千瘡百孔的網(wǎng)絡(luò)，怎么能夠保障企業(yè)信息與網(wǎng)絡(luò)應(yīng)用的安全呢？

不過，漏洞管理是一項比較復(fù)雜的工作，要把它做好確實不容易。筆者認為，要把這項工作做到實處，以下內(nèi)容我們不得不考慮。

一、 網(wǎng)絡(luò)掃描還是主機稍描

若要做補好漏洞的話，則首先需要知道有哪些漏洞，我們才能夠下手進行修補。所以，漏洞管理的第一項工作就是對現(xiàn)有主機進行稍描，看看有哪些漏洞。

現(xiàn)在一般通行的有兩種稍描方式，一是從網(wǎng)絡(luò)中的一臺主機對網(wǎng)絡(luò)內(nèi)的全部主機進行稍描，我們可以利用一些稍描工具，如流光，方便的對網(wǎng)絡(luò)內(nèi)的所有電腦進行稍描，發(fā)現(xiàn)他們操作系統(tǒng)的漏洞。如可以里用流光稍描工具，輕松的發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)內(nèi)的哪些主機沒有設(shè)置管理員帳戶密碼或者對其只是設(shè)置簡單的密碼(例如123456);也可以利用這個工具稍描企業(yè)內(nèi)的主機哪些開著默認共享，等等。

另外一種是主機稍描。就是在網(wǎng)絡(luò)內(nèi)的所有主機上安裝稍描工具，然后對主機進行一一稍描。如現(xiàn)在有些殺毒軟件，像金山毒霸、瑞星等殺毒軟件，都自帶有漏洞稍描工具。利用這些工具，我們網(wǎng)絡(luò)安全管理員可以非常輕松的找出操作系統(tǒng)中存在的可能被攻擊的漏洞。

若利用這兩種稍描方式對同一臺主機進行稍描，可能其掃描出來的信息不完全一致。為什么呢?其實，網(wǎng)絡(luò)稍描就好像是一個黑客，對我們的網(wǎng)絡(luò)進行掃描一樣，其得到的信息可能只是一些比較簡單的信息，而且，由于其他種種方面的限制，其掃描到的可能不是所有的漏洞信息。而我們在主機端掃描的話，則會得到比較詳細的信息，也可能會發(fā)現(xiàn)已經(jīng)知道的所有系統(tǒng)漏洞。可見，若能夠在主機上掃描的話，我們管理員會知道更多的信息。可惜的是，在主機上對每個操作系統(tǒng)進行掃描，工作量非常的大。

所以，我們需要根據(jù)實際情況，在工作量與安全性之間取得一個均衡。

筆者建議：

筆者在實際工作中，這兩種方法都是采用的。如筆者對于一般用戶的操作系統(tǒng)，都是通過網(wǎng)絡(luò)掃描的方式，發(fā)現(xiàn)他們的漏洞并給與修復(fù)。而對于網(wǎng)絡(luò)應(yīng)用服務(wù)器，如公司的數(shù)據(jù)庫服務(wù)器、文件服務(wù)器等等，都是定期在本機上對他們進行掃描。一方面，服務(wù)器一天24小時都在運行，我們可以利用任務(wù)調(diào)度命令，讓其在空閑的時候，如深刻十二點對服務(wù)器進行掃描，如此的話，掃描的工作不會影響服務(wù)器白天時的運行;另一方面，服務(wù)器在企業(yè)內(nèi)部畢竟只是少數(shù)，所以，掃描起來的話，也不會很費事。而且，服務(wù)器的安全性的話，比一般用戶的操作系統(tǒng)來說，重要的多。所以對于服務(wù)器來說，在主機端進行掃描，是非常有必要的。

而對于一般用戶的操作系統(tǒng)，只需要進行網(wǎng)絡(luò)遠程掃描即可。我們只要通過網(wǎng)絡(luò)掃描，把一些黑客、木馬等可以掃描到的漏洞掃描出來，然后加以修復(fù)。如此的話，就可以減少用戶的操作系統(tǒng)受到木馬、病毒攻擊的幾率，提高企業(yè)網(wǎng)絡(luò)的安全性。

二、 什么時候掃描

我們該什么時候?qū)χ鳈C進行掃描呢?是一天一次，還是一個星期一次，又或者是一個月一次呢?從理想的角度來講，當然是頻率越高越好，如此的話，我們可以最早的發(fā)現(xiàn)漏洞。但是，我們也知道，無論是本機掃描還是網(wǎng)絡(luò)掃描，都比較消耗資源，會對主機以及網(wǎng)絡(luò)的性能產(chǎn)生很大的影響。如采用網(wǎng)絡(luò)掃描的話，則在掃描的過程中，會占用比較多的網(wǎng)絡(luò)帶寬，從而降低其他網(wǎng)絡(luò)應(yīng)用的效率。如筆者經(jīng)過一個測試，當我在開啟網(wǎng)絡(luò)掃描的時候，同時向一個文件服務(wù)器復(fù)制一個5M左右大小的圖片，其必在沒有開啟網(wǎng)絡(luò)掃描時，要整整多花近一半的時間?？梢?，掃描太過于頻繁的話，會大大影響企業(yè)其他網(wǎng)絡(luò)業(yè)務(wù)的正常運轉(zhuǎn)。為此，我們需要設(shè)置一個比較合理的掃描頻率，在滿足安全性的同時，把對正常業(yè)務(wù)的不良影響降低到最小的水平。

筆者建議：

筆者在這方面小有研究，現(xiàn)在把筆者的觀點分享出來，請大家多多指教。

1、在沒有例外的情況下，筆者兩個月對企業(yè)的電腦進行一次漏洞掃描。一般都是定在雙月底最后一個周末，筆者會利用周五中午休息的時間，對公司的電腦進行掃描。這大概有花費兩個小時的時間。而我們企業(yè)的話，中午休息一個半小時，故對于用戶網(wǎng)絡(luò)速度影響也大概只有半個小時左右。跟用戶講明白其中的原因，他們也是可以接受的。

2、當出現(xiàn)一些例外情況的話，就要特事特辦了。如我們可以在一些病毒網(wǎng)站上，如金山毒霸的網(wǎng)站上，看到最近流行什么病毒。此時，我們可以針對性的采取一些掃描。也就是說，此時掃描我們不需要多操作系統(tǒng)進行從頭到尾的掃描，而是指需要掃描這些病毒或者木馬所攻擊的具體漏洞。如此的話，把掃描的范圍縮小，如此就可以提高掃描的效率，同時也可以把對用戶的影響降至道最低。

3、對于任何一次掃描記錄都要留下記錄，以備查詢。筆者每次掃描后，都會把掃描的記錄跟以前的記錄進行對比。通過對比，我們可以知道哪些漏洞我們一直都沒有修補，是沒有找到合適的補丁呢，還是這個補丁跟現(xiàn)有的軟件有沖突，又或者這個漏洞對企業(yè)的危害不大等等。同時，我們?nèi)粲袉T工系統(tǒng)重裝以后，那么我們就不需要對其進行重新掃描了。按照最近一次的掃描結(jié)果，把其漏洞修補即可。如此的話，就可以節(jié)省我們掃描的時間。同時，這些漏洞掃描記錄，還可以幫助我們解決網(wǎng)絡(luò)安全故障。如有一次，有用戶向筆者反映，有其他人登陸了他的郵箱。他郵箱里的有些郵件，他自己都沒有讀過，但是郵箱里標示的已經(jīng)是已讀。筆者一查看他電腦最近一次的漏洞掃描記錄，發(fā)現(xiàn)有一個很嚴重的漏洞，不知道怎么沒有打上補丁。這個漏洞正式最近很流行得一個盜取用戶帳號與密碼的木馬所利用的一個漏洞。然后筆者利用這個木馬專殺工具，在其電腦上進行查殺，果然發(fā)現(xiàn)這個木馬的蹤影。所以，我們?nèi)裟軌虺浞滞诰蜻@個掃描記錄的價值的話，他對于我們的安全工作，還是很有幫助的。

三、 修補前需要做好測試工作

當我們發(fā)現(xiàn)漏洞后，我們是否發(fā)上可以為其打上補丁呢?其實不然。筆者認為，我們在為其打上漏洞的時候，最好還是在局部電腦上進行測試，看看這個漏洞的補丁會不會對電腦上的其他軟件有沖突。與其等到有沖突的時候進行后悔，那我們還不如先做好測試工作呢

一般來說，微軟操作系統(tǒng)及其辦公軟件所公布的補丁，他們也會進行一些測試。但是，他們測試的內(nèi)容可能不會涉及到企業(yè)現(xiàn)在在用的所有軟件。如筆者以前就遇到過，當安裝了XP系統(tǒng)的SP2 補丁之后，筆者企業(yè)在用的一個開源的作圖軟件就運行不了了。后來只好重新安裝系統(tǒng)，把操作系統(tǒng)直接升級到了2003。還好其硬件配置可以支持2003系統(tǒng)，不然的話，麻煩還很大的。

筆者建議：

筆者在這方面有著多次的教訓(xùn)，當補丁打上去后，原來操作系統(tǒng)上運行的軟件就無法再正常運行，或者運行的速度產(chǎn)生很大影響。說實話，筆者公司里也有幾臺是盜版的微軟操作系統(tǒng)，裝上了補丁以后，有時這盜版的操作系統(tǒng)就不能用了，或者出現(xiàn)用戶注冊等提示信息。

所以，為了避免我們好心辦壞事，筆者強烈建議，企業(yè)網(wǎng)絡(luò)安全管理員們，在安裝補丁的時候，需要進行比較充分的測試，然后才能夠大規(guī)模的打補丁、修復(fù)漏洞。不然的話，漏洞雖然補上了，但是卻可能會對企業(yè)的當前應(yīng)用產(chǎn)生很大的影響。那么我們就得不償失了。（來自互聯(lián)網(wǎng)）