網絡安全漏洞的現狀及面臨問題分析

摘 要:“漏洞”一詞已越來越為使用信息系統的人們所熟悉，不僅因為它面目丑陋，更重要是，它的存在使各種威脅從四面八方蜂擁而至，致使信息系統遭受前所未有災難。先不提時間較遠些的“尼姆達”、“沖擊波”、“震蕩波”，就拿最近爆發的Conficker蠕蟲來說，深受其害的人沒有一個不對它們印象深刻。無一例外這些大名鼎鼎蠕蟲或惡意代碼，都是利用系統漏洞廣泛傳播，進而對信息系統造成危害。沒有及時識別并修補這些被利用的漏洞，是信息系統最終遭受危害的根本原因。

關鍵詞:漏洞網絡安全

中圖分類號:TP393文獻標識碼:A文章編號:1674-098X(2011)05(c)-0021-01

如今，越來越多的安全漏洞被發現，使得利用這些的安全事件數量日益上升。Gartner研究機構曾經預測:到2008年90％成功的黑客攻擊都會使用眾所周知的軟件漏洞。CNCERT/CC也始終認為，信息系統的安全漏洞是各種安全事件發生的主要根源之一。因此，在安全事件層出不窮的今天，漏洞問題更需要被特別關注。做好漏洞管理工作，也是用戶在構建信息安全體系時，需要重點考慮甚至優先考慮的問題。

那么，如何做好漏洞管理工作呢？唯一有效途徑是:在漏洞被利用以及信息系統遭受危害之前，正確識別并修復漏洞和錯誤配置，預防安全事件發生。但是，信息系統復雜性和安全漏洞的多樣性給漏洞管理實踐帶來更大挑戰，將如何應對？

1 遭遇漏洞危機

隨著技術進步，漏洞發掘水平和速度一直在提高，而其利用技術也在不斷發展。目前正在遭遇一場前所未有漏洞危機，主要表現:

(1)全球漏洞數量在持續快速增加。據CERT/CC統計，該組織2006年收到報告并確認信息系統安全漏洞8064個，平均每天超過22個，與2005年相比增長34.6%。1995年到2008Q3，報告安全漏洞總數達到44，074個，具體結果如圖1:

(2)應用軟件漏洞增勢明顯。在所有發現漏洞中，基于應用系統尤其是Web應用漏洞所占比重明顯上升，已占到70%左右。另外瀏覽器漏洞也在不斷增加，微軟IE和Mozilla Firefox瀏覽器是用戶常用網頁瀏覽器，其漏洞數量也位居所有瀏覽器之首。

(3)從發現漏洞到攻擊程序出現時間在不斷縮短。據權威機構統計，從發現漏洞到發布相關攻擊程序所需平均時間越來越短，現在僅為一周，“零日攻擊”現象也顯著增多。從另一方面統計來看，廠商在發現漏洞后，平均要50天發布相關修補程序。一旦漏洞公布但沒有被及時修補，用戶系統遭受攻擊可能性大大增加。

(4)漏洞可以被購買。漏洞可以被購買的報道并不少見，甚至在有些網站上公開叫賣。這表明漏洞已經跟利益集團聯系到一起，作為獲取非法收益的工具。一旦一個重要業務系統漏洞被非法分子利用，造成的損失難以估量。

綜上所述，漏洞數量在快速增加，種類越來越多，受到漏洞影響信息系統也越來越易遭受攻擊——我們正在遭受的漏洞危機在日益加劇。

2 面臨的挑戰

據一項“全球信息安全調查”數據，當前企業面臨的最大安全挑戰是“預防安全漏洞的出現”。信息系統管理員通常要借助漏洞管理工具來識別和修補漏洞，但在漏洞危機日益嚴峻形勢下，使用漏洞管理工具能否應對如下挑戰:

(1)在漏洞數量每日劇增情況下，如何全面、準確識別各種信息系統漏洞？(2)在分析漏洞信息進行時，是否能夠保證內容完整性和權威性，并能夠有效指導漏洞修復？(3)在面臨種類繁多的各種漏洞時，如何對漏洞進行統一客觀評級，合理安排修復工作優先級，以保證最危險漏洞最先被修復？(4)在企業進行風險監控要求下，如何評估漏洞帶來脆弱性風險？(5)在階段性漏洞修復工作完成后，如何對修復工作成果進行檢驗進而對漏洞管理策略調整提供依據？(6)在面對具有多個網絡域、分布在不同地區大規模的信息系統，如何實現全網掃描部署和統一管理，并實施有效監管？

3 結語

因此，在選用漏洞管理產品時，必須考慮以下方面:(1)廠商是否具備持續性的漏洞跟蹤及研究能力，以確保產品中漏洞知識庫的全面性、準確性和權威性，并且能夠做到及時更新，甚至能夠對重大突發漏洞事件應急;(2)廠商是否在漏洞檢測領域有長期積累，以保證產品應用成熟度;(3)產品是否能夠對不同軟件、系統類別的漏洞進行統一評級，并保證評級開放性和客觀性，為修復工作的優先級提供指導，為漏洞評級的交流提供方便;(4)產品是否能夠實現對掃描資產的管理，并能夠結合漏洞評價，計算主機和網絡的脆弱性風險，為風險評估和風險監控提供必要支撐;(5)產品是否能夠對歷次掃描結果中的漏洞情況、脆弱性風險的變化趨勢進行分析，以檢驗修復工作有效性，并為漏洞管理策略合理化調整提供決策依據;(6)產品的部署應用是否足夠靈活，是否能夠適合各種規模的網絡，突破邏輯網絡域的界限，形成統一的漏洞管理體系。

參考文獻

[1]朱海虹.淺談網絡安全技術[J].科技創新導報，2007，32:32.