网络安全无小事，且看漏洞扫描

国家重视网络安全，在以前多是喊喊口号，并无实质动作，可最近不一样了，各级管理部门开始展开在网设备的安全检查，尤其是可能存在的安全漏洞，查出一例消除一例，严厉程度前所未有。一般流程是这样：先由数据中心或企业自查，然后自己进行整改，然后接受上级管理部门的检查，如果仍然被查出存在安全漏洞，将给与行政和资金上的惩罚。

网络安全这回是要动真格的了，这缘于当前网络安全的紧迫形势。在世界经济论坛《2018年全球风险报告》中，将网络攻击纳入全球第三大风险因素。随着人们生产生活对网络信息系统依赖性的增强，网络攻击事件的数量仍不断增多，影响范围也将更加广泛，必须采取行动遏制危及网络安全的事件蔓延。

我国在2017年6月颁布了《中华人民共和国网络安全法》，为网络安全执法检查提供了有力依据，如果网络安全工作做得不好，还有可能坐牢，坚决查处各种危及网络安全的各种犯罪活动。据统计，2018年全国网络安全信息系统，依法约谈过网站1497家，对738家网站给予警告，暂停更新网站297家。这些被处罚、约谈的企业中，不乏有一些巨头互联网企业和国资企事业单位，处罚手段越来越有威慑力。

那么，对于一个数据中心或者一个互联网门户网站，如何进行安全检查呢？主要是进行安全漏洞扫描，扫描的对象是数据中心里的每一台设备，交换机、路由器、防火墙和服务器等等，都要进行安全扫描。扫描的工具往往是第三方中立的安全漏洞检查软件，这些软件监测着全球发现的各种安全漏洞，不断地将这些安全漏洞注入到自己的安全库中，然后对扫描对象设备进行检查，看存在哪些安全漏洞，协助相关人员修复或采取必要的安全防护措施来消除这些漏洞，进而提升数据中心的安全性能。

漏洞扫描分主动和被动式两种，主动方式是数据中心对其所有的设备进行自查，根据服务器的响应可以了解和掌握主机操作系统、服务以及程序中是否存在漏洞需要修复，有的操作系统会经常更新一些安全漏洞的防御补丁，要及时安装补丁，消除安全隐患；另一种是被动式，由第三方发起，可能是数据中心请来的安全扫描公司，也可能是数据中心的上级部门安排下来的检查，对数据中心内的多项内容进行扫描与检测，进而生成检测报告反馈给数据中心管理人员，供其分析与处理所发现的漏洞，对数据中心进行整改。

那么，这些安全漏洞从哪里得到的呢？在国际上，主要的安全漏洞更新来自CVE (Common Vulnerabilities & Exposures，通用漏洞披露)。CVE是国际着名的安全漏洞库，也是对已知漏洞和安全缺陷的标准化名称的列表，它是一个由企业界、政府界和学术界综合参与的国际性组织，采取一种非盈利的组织形式，其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞，CVE上会不断更新在全球各地发现的各种漏洞，以便大家可以及时更新自己的安全库，防止漏洞被黑客或不法分子利用，很多安全设备厂商都要参考CVE上通告的最新安全漏洞，及时更新自己的病毒库。

在国内，有国家信息安全漏洞平台(China National Vulnerability Database，简称CNVD)，CNVD是由国家计算机网络应急技术处理协调中心(中文简称国家互联应急中心，英文简称CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业共同建立的信息安全漏洞信息共享知识库。CNVD会实时公布国际和国内出现的各种病毒和漏洞，有时还给出了解决方案，是国内安全厂商参考的重要平台。通过CNVD建立软件安全漏洞统一收集验证、预警发布及应急处置体系，切实提升我国在安全漏洞方面的整体研究水平和及时预防能力。

安全漏洞具体要扫描哪些漏洞，主要就是CVE和CNVD公布出来的漏洞，成为安全漏洞扫描参考的主要标准，还有小部分是漏洞扫描工具自己认为存在风险的漏洞，及时通告出来。其实，不止有CVE和CNVD，还有OSVDB、ISS XForce等，国内还有中国国家信息安全漏洞库，国家安全漏洞库等，这些漏洞库也收录了不少安全漏洞。

这些漏洞也会划分不同的等级，有的分四个等级，有的分三个等级，级别越高，危害越大，以此来提醒大家。同时，为了鼓励大家发现漏洞，有些被查出漏洞的软件厂商还会给与一定的奖励，比如微软的MBB奖励计划，如果微软的操作系统被人发现存在新的漏洞，并且满足微软要求的指标和条件，即可获得5000~6万美金不等的奖励，其它一些软件和设备厂商也是这样，对于自己未能发现，而被其它人发现的漏洞，及时给与奖励，并及时做修复。

从安全漏洞的性质来讲，主要集中于密码认证、登录方式、系统漏洞等几个方面，尤其是密码认证特别受到关注。如果数据中心里的网络设备或者服务器系统密码认证存在漏洞，就可能被人利用，从而登录到数据系统中窃取秘密资料，如果是个人隐私数据或者国家机密泄露，将对个人甚至国家带来极大损失，所以这类漏洞特别要引起注意。密码设置过于简单，加密算法存在漏洞，都会给坏人可乘之机，安全漏洞扫描就是要将这类漏洞找出来，让数据中心尽快改进。

未经允许不得转载（声明：本文内容由互联网用户自发贡献自行上传，本网站不拥有所有权，未作人工编辑处理，也不承担相关法律责任。如果您发现有涉嫌版权的内容，欢迎发送邮件至：net-net@foxmail.com进行举报，并提供相关证据，工作人员会在10个工作日内联系你，一经查实，本站将立刻删除涉嫌侵权内容。）：策信智库资讯网 » 网络安全无小事，且看漏洞扫描