某局計算機(jī)內(nèi)網(wǎng)安全漏洞特征分析

◆卿湘濤 卿晨雨 馮衛(wèi) 張清超 童中華米楚陽 何凱

某局計算機(jī)內(nèi)網(wǎng)安全漏洞特征分析

◆卿湘濤1卿晨雨2馮衛(wèi)1張清超1童中華1米楚陽1何凱1

（1.湘西州氣象局 湖南 416000；2.常寧市氣象局 湖南 4125001）

本文根據(jù)某網(wǎng)絡(luò)安全公司對某處級公益型事業(yè)單位計算機(jī)內(nèi)網(wǎng)安全檢查提交的《XX局漏洞掃描測試報告》，分析了網(wǎng)絡(luò)安全漏洞在該局（包括二級單位）的業(yè)務(wù)、辦公、視頻會議網(wǎng)絡(luò)段的分布特點，并對每個IP目標(biāo)的安全漏洞進(jìn)行了分析。結(jié)果表明，安全漏洞全部出現(xiàn)在視頻會議終端、GPS/MET站、服務(wù)器上，業(yè)務(wù)、辦公電腦未發(fā)現(xiàn)有安全漏洞。調(diào)研發(fā)現(xiàn)，由于視頻會議終端的維護(hù)權(quán)在上級單位或服務(wù)商，GPS/MET站的維護(hù)權(quán)在合作單，該局無法進(jìn)行安全漏洞修補(bǔ)；服務(wù)器上的安全漏洞是由于硬件、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)陳舊造成的。本文根據(jù)該局的安全漏洞分布特征及辦公業(yè)務(wù)工作特點，指出了網(wǎng)絡(luò)安全維護(hù)的重要性及緊迫性，提出了安全漏洞的修復(fù)方法與建議。

安全漏洞；內(nèi)網(wǎng)；修補(bǔ)；分析

保護(hù)計算機(jī)內(nèi)網(wǎng)系統(tǒng)安全，避免黑客利用系統(tǒng)漏洞來進(jìn)行攻擊是信息安全的一個重要環(huán)境。某局為公益性、科研型事業(yè)單位，日常辦公與業(yè)務(wù)工作非常依賴計算機(jī)網(wǎng)絡(luò)，其中部分內(nèi)網(wǎng)服務(wù)器同時充當(dāng)外網(wǎng)服務(wù)器，數(shù)據(jù)訪問量每天超過10G，該局的計算機(jī)內(nèi)網(wǎng)同時也是行業(yè)全國內(nèi)網(wǎng)的一部分。黑客可以利用安全漏洞通過外網(wǎng)、行業(yè)內(nèi)網(wǎng)實施各種危險的網(wǎng)絡(luò)攻擊，輕則造成網(wǎng)絡(luò)訪問出現(xiàn)嚴(yán)重障礙、重則造成數(shù)據(jù)損壞而無法開展公益服務(wù)造成嚴(yán)重的經(jīng)濟(jì)損失及社會影響。

由于人員編制的問題，該局沒有網(wǎng)絡(luò)專職管理員，日常辦公與業(yè)務(wù)電腦網(wǎng)絡(luò)的安全維護(hù)基本上交給免費的防火墻去完成，但重要服務(wù)器、各種內(nèi)、外網(wǎng)接口及各種網(wǎng)絡(luò)設(shè)備的維護(hù)需要很強(qiáng)的專業(yè)知識，兼職管理員無法勝任。上級單位會不定期委托“網(wǎng)絡(luò)安全公司”對本系統(tǒng)的計算機(jī)內(nèi)網(wǎng)進(jìn)行安全評估，并出具漏洞掃描測試報告。但由于被委托的“網(wǎng)絡(luò)安全公司”對該局的業(yè)務(wù)工作并不熟悉，提供漏洞掃描測試報告過于復(fù)雜零散，無法針對問題提出明確簡單的解決方案。本文對測試報告進(jìn)行了整理分析，盡可能分明類別地對報告列出的安全漏洞特點進(jìn)行分析，并根據(jù)分析結(jié)果對該局的計算機(jī)網(wǎng)絡(luò)維護(hù)工作提出建議。全省甚至全國范圍內(nèi)，與該局同級的單位的業(yè)務(wù)工作流程基本相同，計算機(jī)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)也基本相同，本文分析的結(jié)果及提供的網(wǎng)絡(luò)安全措施有明顯的示范作用。

1 某局的計算機(jī)內(nèi)網(wǎng)概況

該單位是處級公益性、科研型事業(yè)單位，下屬8個二級單位。

1.1 局本級計算機(jī)內(nèi)網(wǎng)簡介

局本級計算機(jī)內(nèi)網(wǎng)由3個D類網(wǎng)段組成：

（1）視頻會議網(wǎng)段：IP范圍：XX.XXX.179.1～XX.XXX. 179.254；子網(wǎng)掩碼255.255.255.192，網(wǎng)關(guān)XX.XXX.184.1。

（2）業(yè)務(wù)網(wǎng)段：IP范圍：XX.XXX.176.1～XX.XXX.176.254；子網(wǎng)掩碼255.255.255.0，網(wǎng)關(guān)XX.XXX.176.1。

（3）辦公網(wǎng)段：IP范圍：XX.XXX.177.1～XX.XXX.177.254；子網(wǎng)掩碼255.255.255.0，網(wǎng)關(guān)XX.XXX.177.1。

雷達(dá)站網(wǎng)段：IP范圍：XX.XXX.191.1～XX.XXX.191.254；子網(wǎng)掩碼255.255.255.0，網(wǎng)關(guān)XX.XXX.191.1。

1.2 二級單位計算機(jī)內(nèi)網(wǎng)簡介

所有二級單位的計算機(jī)內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是完全相同的，以某二級單位為例，各網(wǎng)IP地址分配如下：

視頻會議網(wǎng)段：IP范圍：XX.XXX.184.4～XX.XXX.184.62；子網(wǎng)掩碼255.255.255.192，網(wǎng)關(guān)XX.XXX.184.1。

業(yè)務(wù)網(wǎng)段：IP范圍：XX.XXX.184.193～XX.XXX.184.251；子網(wǎng)掩碼：255.255.255.192；網(wǎng)關(guān)：XX.XXX.184.254。

辦公網(wǎng)段：IP范圍：XX.XXX.184.132～XX.XXX.184.190；子網(wǎng)掩碼：255.255.255.192；網(wǎng)關(guān)：XX.XXX.184.129。

2 漏洞掃描測試報告簡介

目標(biāo)地址IP可能是一臺電腦、專用服務(wù)器、設(shè)備、終端，如果無法確定其承擔(dān)何種功能，就稱為“地址IP”。

上級部門于2019年委托“XX省電子信息產(chǎn)業(yè)研究院XX省網(wǎng)絡(luò)與信息安全測評中心”對該單位計算機(jī)內(nèi)網(wǎng)進(jìn)行全網(wǎng)掃描。測試目的：進(jìn)行漏洞掃描，檢查系統(tǒng)安全狀況，認(rèn)真查找系統(tǒng)的突出問題和薄弱環(huán)節(jié)，全面排查安全隱患；檢測系統(tǒng)：XX單位內(nèi)網(wǎng)系統(tǒng)；檢測類別，漏洞掃描。

被委托單位于2019年11月20日提交《XX局漏洞掃描測試報告》。

漏洞掃描測試報告測試結(jié)果：本次漏洞掃描范圍包含292個目標(biāo)地址IP，通過對其進(jìn)行漏洞，共發(fā)現(xiàn)弱點總數(shù) 146 個。

測試報告共有74頁，主要分兩部分，第1部分為“項目統(tǒng)計列表”（見表1），第2部分為“系統(tǒng)漏洞詳細(xì)報告”，對每個地址IP發(fā)現(xiàn)問題出以下清單（見表2）。

表1 項目統(tǒng)計列表

表2 系統(tǒng)漏洞詳細(xì)報告

3 測試報告數(shù)據(jù)再分析

3.1 報告中存在問題及處理方法

重復(fù)記錄的處理：“XX省電子信息產(chǎn)業(yè)研究院XX省網(wǎng)絡(luò)與信息安全測評中心”對該單位的計算機(jī)安全漏洞測試可能由多人同時進(jìn)行測試，同一個地址IP的詳細(xì)報告中有多個重復(fù)記錄。把同一個地址IP的詳細(xì)報告中“CVE 編號、CVSS 評分、NVD編號”3項內(nèi)容相同的記錄全部列出來，發(fā)現(xiàn)漏洞名稱、漏洞等級、漏洞描述基本相同，但修復(fù)建議部分存在較大差異，有些提供了修復(fù)建議及下載地址，有些指明“無相應(yīng)的漏洞補(bǔ)救措施”。為了簡單起見，凡同一個地址IP的“CVE 編號、CVSS 評分、NVD編號”的漏洞相同的報告，不管其他幾項是否一致都認(rèn)為是同一個漏洞，“修復(fù)建議”不一致的以可以修補(bǔ)為準(zhǔn)。

不明目標(biāo)地址IP：查看該局及二級單位的網(wǎng)絡(luò)拓?fù)鋱D，報告中的“項目統(tǒng)計列表”列出了部分不符合網(wǎng)絡(luò)拓?fù)鋱D規(guī)范的IP地址，現(xiàn)場排查時也未發(fā)現(xiàn)不符合網(wǎng)絡(luò)拓?fù)鋱D規(guī)范的目標(biāo)地址IP。此類地址IP報告有安全漏洞，但不影響該局的統(tǒng)計結(jié)果。

3.2 漏洞概況

去掉重復(fù)記錄后及無效IP地址后，按安全漏洞總數(shù)統(tǒng)計，共掃描該局287個地址IP，弱點總數(shù) 123 個；

漏洞等級為緊急的有11臺個，高危30臺個，中危70臺個，低危12臺個。

按安全漏洞分類統(tǒng)計，安全漏洞總數(shù)42個，漏洞等級為緊急的有7個，高危11個，中危17個，低危7個。

按目標(biāo)地址IP的功能分類統(tǒng)計，有19臺目標(biāo)地址IP有安全漏洞，單臺目標(biāo)地址IP最多有15個安全漏洞，見表3。

出現(xiàn)最多的安全漏洞為“CNNVD 編號-201601-249、CNNVD 編號-201601-250），有8臺目標(biāo)地址IP上出現(xiàn)此漏洞；有23個漏洞只出現(xiàn)在單臺目標(biāo)地址IP的上（表略）。

3.3 無法修復(fù)的安全漏洞

廠商還沒有提供此漏洞的相關(guān)補(bǔ)丁或者升級程序（簡稱：無法修復(fù)）的安全漏洞數(shù)為16個。按漏洞總數(shù)統(tǒng)計，漏洞等級為緊急的有1個，高危0個，中危9個，低危6個。

按漏洞分類統(tǒng)計，總數(shù)為8個，漏洞等級為緊急的有1個，高危0個，中危3個，低危4個。

按地址IP分類統(tǒng)計，無法修復(fù)的安全漏洞分布在8個地址IP上；其中“CNNVD 編號-201403-502”的安全漏洞出現(xiàn)次數(shù)最多，有7個目標(biāo)地址IP有此漏洞。無法修復(fù)的安全漏洞在IP為XX.XXX.176.2的服務(wù)器上出現(xiàn)最多，共有5個，見表3。

表3 有安全漏洞的IP、漏洞個數(shù)、不可修復(fù)情況及設(shè)備用途

數(shù)據(jù)來源：《XX局漏洞掃描測試報告》--詳細(xì)報告

3.4 有安全漏洞的地址IP的功能簡介

對《XX局漏洞掃描測試報告》的“系統(tǒng)漏洞詳細(xì)報告”進(jìn)行統(tǒng)計，現(xiàn)場排查每個地址IP承擔(dān)的功能，有安全漏洞的IP、漏洞個數(shù)、不可修復(fù)情況及設(shè)備用途見表3。

XX.XXX.176.2是數(shù)據(jù)庫服務(wù)器，2016年安裝，同時也是外網(wǎng)數(shù)據(jù)庫服務(wù)器。操作系統(tǒng)為Windows Server 2000，數(shù)據(jù)庫服務(wù)器為SQL Server 2000。該服務(wù)器安裝有很多業(yè)務(wù)系統(tǒng)，每天的數(shù)據(jù)訪問量很大（超過1GB）。報告顯示譔服務(wù)器有24個安全漏洞，去掉重復(fù)記錄后的有11個，漏洞等級為緊急的有3個，高危3個，中危3個，低危2個；無法修復(fù)的安全漏洞有5個，緊急1個，高危0個，中危2個，低危2個。

XX.XXX.176.3是XX.XXX.176.2的備份，2016年安裝，業(yè)務(wù)基本上處于停用狀態(tài)，操作系統(tǒng)為Windows Server 2010，數(shù)據(jù)庫服務(wù)器（SQL Server 2000）。報告顯示該服務(wù)器有15安全漏洞，去掉重復(fù)記錄后的有5個，漏洞等級為緊急的有2個，高危1個，中危1個，低危1個；所有漏洞都可以修復(fù)。

XX.XXX.176.7為局本級的FTP服務(wù)器，2014年安裝，操作系統(tǒng)Windows Server 2000。該服務(wù)器雖然每天都使用，但數(shù)據(jù)庫訪問量很低（低于1MB），偶爾也有大量的數(shù)據(jù)訪問量。報告顯示該服務(wù)器有5安全漏洞，漏洞等級為緊急的有2個，高危1個，中危1個，低危1個；所有漏洞都可以修復(fù)。

XX.XXX.176.16為局本級的文件服務(wù)器，是操作系統(tǒng)Linux，2012年安裝，每天的數(shù)據(jù)訪問量很大（超過1GB），報告顯示共有16個安全漏洞，等級為高危的有3個，中危8個、低危3個。無法修復(fù)的安全漏洞有3個，漏洞等級為緊急有0個，高危0個，中危1個，低危2個。

XX.XXX.176.38局本級的局域網(wǎng)業(yè)務(wù)服務(wù)器，2012年的安裝，是操作系統(tǒng)Windows 2010，安裝有局本級業(yè)務(wù)應(yīng)用系統(tǒng)，該服務(wù)器同時充當(dāng)外網(wǎng)服務(wù)器。該服務(wù)器的業(yè)務(wù)功能基本上轉(zhuǎn)到其他服務(wù)器，當(dāng)前處理空閑狀態(tài)。報告顯示該服務(wù)器有15安全漏洞，漏洞等級為緊急的有0個，高危3個，中危9個，低危3個；有3個安全漏洞無法修的，其中緊急的有0個，高危0個，中危0個，低危3個。

XX.XXX.XXX.60 是該局二級單位的視頻會議終端（4個）， XX.XXX.179.193為局本級視頻會議終端，《XX局漏洞掃描測試報告》顯示這5個終端有10個相間的安全漏洞，漏洞等級為高危的有3個、中危7個；其中有1個中危安全漏洞無法修復(fù)。視頻會議終端每天至少使用2次。XX.XXX.184.218也是局二級單位的視頻會議終端，漏洞等級為高危的有2個、中危5個；所有安全漏洞都可修補(bǔ)。

XX.XXX.XXX.200是國土部門與本局二級單位聯(lián)合安裝的 GPS/MET 站設(shè)備，總共6套設(shè)備，各有1個相同的安全漏洞數(shù)，漏洞等級為中危，可以修復(fù)。設(shè)備的所有權(quán)為國土部門。每天的數(shù)據(jù)訪問量約在10-20MB。

IP地址為XX.XXX.176.222， XX.XXX.190.231的電腦各存在5個相同的安全漏洞，這兩臺電腦是臨時使用的電腦，調(diào)研時發(fā)現(xiàn)此兩個地址IP為停用狀態(tài)。

3.5 各單位安全漏洞數(shù)統(tǒng)計特點

該局的局本級有4個D類網(wǎng)段（業(yè)務(wù)、辦公、視頻會商、713雷達(dá)站），每個二級單位是由4個E類網(wǎng)段組成的D類網(wǎng)段。根據(jù)《XX局漏洞掃描測試報告》的“項目統(tǒng)計列表”287個目標(biāo)地址IP按網(wǎng)段統(tǒng)計，各網(wǎng)段的安全漏洞統(tǒng)計見表4。

表4 各單位安全漏洞統(tǒng)計安全漏洞數(shù)統(tǒng)計

局本級的業(yè)務(wù)段電腦共有15個目標(biāo)地址IP。業(yè)務(wù)段電腦終端分為兩類，第一類為服務(wù)器類，可細(xì)分為數(shù)據(jù)庫服務(wù)器、文件服務(wù)器、業(yè)務(wù)用服務(wù)器；第二類為業(yè)務(wù)工作用電腦。業(yè)務(wù)工作用電腦沒有發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞，所有安全漏洞都出現(xiàn)在服務(wù)器上?，F(xiàn)場排查發(fā)現(xiàn)，大部分業(yè)務(wù)工作用電腦的使用率非常高，小部分業(yè)務(wù)工作用電腦在不同的季節(jié)的使用率有較大差別，業(yè)務(wù)段地址IP實際有上20個或更多。

局本級的辦公段有27個目標(biāo)地址IP，均未發(fā)現(xiàn)有網(wǎng)絡(luò)安全漏洞。需要說明的是有些辦公室由于網(wǎng)絡(luò)接口的有限，有多臺電腦需要接入辦公網(wǎng)絡(luò)時，一般在辦公室安裝一個小路由器，兼作無線路由器，該辦公室的電腦IP由路由器提供。現(xiàn)場統(tǒng)計局本級辦公電腦有55臺或更多。

局本級的視頻會議終端網(wǎng)段共有8個目標(biāo)地址IP，每個目標(biāo)地址IP的功能不詳，但只有視頻會議終端發(fā)現(xiàn)安全漏洞。

局本級713雷達(dá)在非汛期處于停用狀態(tài)，實際使用的電腦也不多。

二級單位有12個目標(biāo)地址IP有安全漏洞，辦公用電腦、業(yè)務(wù)用電腦（不包括服務(wù)器）未報告有安全漏洞；有問題的目標(biāo)地址IP有5個為視頻會議終端、6個GPS/MET 站；另有1臺服務(wù)器發(fā)現(xiàn)有安全漏洞，該服務(wù)器為專用業(yè)務(wù)用服務(wù)器，2年前偶爾使用，目前已停止使用。

4 網(wǎng)絡(luò)安全維護(hù)對策

4.1 無法修復(fù)的安全漏洞的問題

《XX局漏洞掃描測試報告》顯示有146個（除去重復(fù)數(shù)為123個）安全漏洞，其中有16個安全漏洞廠商還沒有提供此漏洞的相關(guān)補(bǔ)丁或者升級程序。

根據(jù)《XX局漏洞掃描測試報告》統(tǒng)計，只有8個無法修復(fù)的安全漏洞出現(xiàn)在8個地址IP上。其中有6個目標(biāo)地址IP為視頻會議終端（局本級1個，二級單位5個）。該局有8個二級單位，所有二級單位都有視頻會議終端，型號與服務(wù)商也是一樣的，其中有4個視頻會議終端的漏洞完全相同，說明服務(wù)商對于此類安全漏洞有完整的解決方案。局本級視頻會議終端省內(nèi)同級單位有14套，型號應(yīng)該一致，服務(wù)商應(yīng)該有安全漏洞完整的解決方案。

XX.XXX.176.16為Linux服務(wù)器，有3個無法修的漏洞。Windows Server 一般有免費的軟件的防火墻，Linux系統(tǒng)是否有類似的第三方的防火墻，非專業(yè)人員并不熟悉，也不知道如何進(jìn)行安全維護(hù)。該服務(wù)器投入使用已有8年時間，建議對服務(wù)器在安放升級系統(tǒng)、購置新服務(wù)器、功能由其他服務(wù)器替代、停用等方面進(jìn)行評估再采取措施。

XX.XXX.176.2為數(shù)據(jù)庫服務(wù)器，該服務(wù)器為2006年安裝，使用提WINDOWS 2000操作系統(tǒng)，數(shù)據(jù)庫為SQL Server 2000，這種古董服務(wù)器沒必須進(jìn)行修復(fù)，升級操作系統(tǒng)及數(shù)據(jù)庫即可。

XX.XXX.176.38是業(yè)務(wù)用服務(wù)器，業(yè)務(wù)功能已遷移到其他業(yè)務(wù)電腦（服務(wù)器）上，如無必要可以拆除。

二級單位有1臺服務(wù)器存在安全漏洞，現(xiàn)場排查其功能已取消或轉(zhuǎn)移到新系統(tǒng)上，該服務(wù)器已停用，建議拆除。

4.2 網(wǎng)絡(luò)安全日常維護(hù)存在的問題及解決方案

《XX局漏洞掃描測試報告》有19個目標(biāo)地址存在安全漏洞，除開6個視頻會議終端、6臺GPS/MET 站，實際上有安全漏洞的電腦數(shù)（包括服務(wù)器）為7臺。

查看IP地址可知，所有的辦公電腦辦公網(wǎng)段（局本級??.???.177.1 ～??.???.177.254，二級單位（??.???.???.132～??.???.???.190）辦公網(wǎng)段電腦（設(shè)備、終端）未發(fā)現(xiàn)有安全漏洞。一般來講辦公用電腦安裝有免費的軟件防火墻（防病毒軟件），安全漏洞能及時修補(bǔ)。

業(yè)務(wù)電腦（不包括服務(wù)器）網(wǎng)段也沒有軟件安全漏洞（防病毒軟件），業(yè)務(wù)用電腦是多人共用的，大部分業(yè)務(wù)用電腦使用率也較高，一般安裝有免費的防火墻，安全漏洞能及時修補(bǔ)。調(diào)查發(fā)現(xiàn)部分業(yè)務(wù)用電腦有專用功能，每年不同時期承擔(dān)的工作的重要性不一致，有時可能完全停用或關(guān)機(jī)。由外單位進(jìn)行行漏洞掃描時可能處于關(guān)機(jī)狀態(tài)，不能準(zhǔn)確地反映安全漏洞是否已全部修補(bǔ)。

安全漏洞只存在業(yè)務(wù)用網(wǎng)段中的服務(wù)器、視頻會議終端、GPS/MET 站。

現(xiàn)場調(diào)查發(fā)現(xiàn)有些服務(wù)器的操作系統(tǒng)還在使用Windows Server 2000，數(shù)據(jù)庫使用SQL Server 2000；調(diào)查還發(fā)現(xiàn)有些服務(wù)器兼作外網(wǎng)服務(wù)器，用戶通過外網(wǎng)IP直接訪問服務(wù)器。由于服務(wù)器承擔(dān)著很重要的業(yè)務(wù)工作，除非出現(xiàn)嚴(yán)重問題，就算是專業(yè)人員一般也不會隨便去更改服務(wù)器配置，部分安全漏洞未能及時修補(bǔ)。

該單位還有臺與XX.XXX.176.16類似Linux服務(wù)器，IP為XX.XXX.176.17，這兩臺服務(wù)器都是同時安裝并投入使用的，報告“項目統(tǒng)計列表”未見XX.XXX.176.17的信息，該服務(wù)器在網(wǎng)絡(luò)安全公司進(jìn)行漏洞掃描時可能處于關(guān)閉狀態(tài)。

局本級的視頻會議終端（??.???.179.193）及4個二級單位的視頻會議終端（??.???.???.60）都有10個相同的安全漏洞，其中有一個安全漏洞還是無法修復(fù)的，另有一個視頻會議終端XX.XXX.184.218也存在安全漏洞，但與其他二級單位的視頻會議終端的安全漏洞不一致。設(shè)備的網(wǎng)絡(luò)安全維護(hù)專業(yè)性較強(qiáng)，上級機(jī)關(guān)也不支持基層單位直接進(jìn)行網(wǎng)絡(luò)安全維護(hù)。對于發(fā)現(xiàn)的網(wǎng)絡(luò)漏洞應(yīng)及時報告，統(tǒng)一維護(hù)。

本單位的網(wǎng)絡(luò)管理人員一般不參與維護(hù)GPS/MET 站的維護(hù)。由于GPS/MET 站需要讀取本地業(yè)務(wù)電腦中的數(shù)據(jù)，對于出現(xiàn)的網(wǎng)絡(luò)安全漏洞應(yīng)引起足夠的重視，須及時向相關(guān)單位報告。

4.3 網(wǎng)絡(luò)安全的嚴(yán)重性

《XX局漏洞掃描測試報告》表明，看似292個目標(biāo)中只有19個目標(biāo)存在有安全漏洞，除專用設(shè)備外只有7個目標(biāo)存在有安全漏洞，看似問題并不嚴(yán)重，實際上這7個目標(biāo)全是服務(wù)器，分別承擔(dān)數(shù)據(jù)庫服務(wù)器、文件服務(wù)器、FTP服務(wù)器、業(yè)務(wù)工作服務(wù)器的功能，所以問題是非常嚴(yán)重的。有些服務(wù)器還承擔(dān)外網(wǎng)服務(wù)器的功能，外網(wǎng)服務(wù)器極易受到黑客攻擊，問題的嚴(yán)重性應(yīng)引起足夠的重視。有兩個服務(wù)器的安全漏洞數(shù)超過10個，還有一些無法修復(fù)的安全漏洞，維護(hù)任務(wù)非常緊迫。

5 總結(jié)與建議

5.1 總結(jié)

《XX局漏洞掃描測試報告》有74頁，在287個目標(biāo)共發(fā)現(xiàn)有123個安全漏洞，其中有16個安全漏洞廠商還沒有提供此漏洞的相關(guān)補(bǔ)丁或者升級程序。此份報告極其詳盡，依此報告，安全維護(hù)工作量看似非常繁重，經(jīng)分析整理及現(xiàn)場排查后，總結(jié)如下

（1）辦公用網(wǎng)段的電腦由于有免費的防火墻可用，網(wǎng)絡(luò)安全漏洞基本上及時修補(bǔ)，報告顯示未發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞。但部分辦公電腦由于使用了路由器提供的IP地址連接網(wǎng)絡(luò)，無法進(jìn)行掃描檢查，可能存在安全隱患。

（2）常用的業(yè)務(wù)用電腦也可使用免費的防火墻，保證網(wǎng)絡(luò)安全漏洞及時得到修補(bǔ)，未發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞。但部分業(yè)務(wù)電腦在不同季節(jié)的使用率不同的，在網(wǎng)絡(luò)安全公司進(jìn)行檢查時，部分電腦可能處于關(guān)機(jī)狀態(tài)，因而可能存在安全隱患。

（3）該局共有9個視頻會議終端，其中5個視頻會議終端發(fā)現(xiàn)有10個相同的安全漏洞，另有一個存在7個安全漏洞。該單位及二單位的視頻會議終端都是同一個服務(wù)商安裝的，使用相同型號的產(chǎn)品，有3個終端未發(fā)現(xiàn)安全漏洞，有5個終端有10個相同的安全漏洞，還有一個視頻會議終端的安全漏洞完全不同，說明服務(wù)商其實有安全維護(hù)方案。視頻會議終端的安全維護(hù)專業(yè)性比較強(qiáng)，維護(hù)工作一般由服務(wù)商承擔(dān)，上級單位也應(yīng)該主動與服務(wù)商溝通及時完成安全漏洞修補(bǔ)。

（4）GPS/MET站是該單位與外單位合作開展業(yè)務(wù)手的設(shè)備，設(shè)備所有權(quán)及管理權(quán)都在外單位，二級單位共有6臺此種設(shè)備，都存在一個相同的安全漏洞。該單位應(yīng)主動及時向外單位報告，一起解決這個網(wǎng)絡(luò)安全漏洞。所有GPS/MET站的安全漏洞是相同的，只要一個地方安全漏洞修補(bǔ)了，其他幾個單位的漏洞就可很快修補(bǔ)。

（5）服務(wù)器承擔(dān)很重要的辦公及業(yè)務(wù)工作。由于各種原因，部分服務(wù)器的還在使用古董級的操作系統(tǒng)，操作系統(tǒng)升級后很多安全漏洞就不存在了。有安全漏洞的服務(wù)器保存的數(shù)據(jù)存在嚴(yán)重的安全隱患，必須有專業(yè)管理員維護(hù)，該單位的網(wǎng)絡(luò)管理員下鄉(xiāng)扶貧后，網(wǎng)絡(luò)管理員職責(zé)由其他人兼職，兼職網(wǎng)絡(luò)管理員的工作任務(wù)必須明確，專業(yè)水平有待提高。

5.2 建議

（1）《XX局漏洞掃描測試報告》并不嚴(yán)謹(jǐn)，該局的網(wǎng)絡(luò)管理員應(yīng)及時將報告中存在的問題反饋給上級管理部門與相應(yīng)的網(wǎng)絡(luò)安全公司。

（2）該局應(yīng)配備一個高水平的專業(yè)或兼職的網(wǎng)絡(luò)管理員。管理員應(yīng)經(jīng)常對重要的服務(wù)器、設(shè)備、終端進(jìn)行檢查，經(jīng)常進(jìn)行安全檢查及時完成漏洞修補(bǔ)，不能完全依賴上級部門的檢查報告。

（3）對古董級操作系統(tǒng)應(yīng)及時升級，對服務(wù)功能已升遷的服務(wù)器應(yīng)及清理，可以撤走的應(yīng)及時撤走，停用空閑的服務(wù)器。

（4）一般認(rèn)為Linux服務(wù)器比Windows 服務(wù)器安全，實際上Linux服務(wù)器也存在有網(wǎng)絡(luò)安全漏洞，必須及時進(jìn)行升級并安裝軟件防火墻。