如何降低网络安全漏洞被利用的风险

面对层出不穷的网络安全事件，如何降低漏洞被利用的风险，是网络安全厂商和客户比较头痛的事情。日前，国内专注于保密与非密领域的分级保护、等级保护、业务连续性安全和大数据安全产品解决方案与相关技术研究开发的领军企业——国联易安的产品市场专家给出了答案：

一是明白什么是网络安全漏洞。网络安全漏洞也称为脆弱性，是信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的可被威胁利用的缺陷，这些缺陷存在于件应用、软件模块、驱动甚至硬件设备等各个层次和环节之中。

漏洞按照危害程度分为严重、高危、中危、低危4种级别；按照漏洞被人掌握的情况，又可以分为已知漏洞、未知漏洞和0day等几种类型；CNNVD将信息安全漏洞划分为配置错误、代码问题、信息泄露、输入验证、缓冲区错误、跨站脚本、路径遍历、SQL注入等26种类型。

二是内网失陷服务器主动发现。失陷服务器是指被黑客攻破、被控制的服务器，可能被盗取数据、植入黑链，当做肉鸡成为攻击内网的工具，危害很大、后患无穷。为此，一方面开发单位搜索引擎查找暗链，定期用网页爬虫抓取存储单位的网页，用关键词进行查询，人工检验查询结果，经过不断的治理，暗链问题越来越少。

另一方面是搭建分布式蜜罐系统进行主动诱捕内网渗透的失陷主机，蜜罐作为一种主动防御工具，是防火墙、WAF、IPS等被动防御很好的补充，通过变换IP的方式，使攻击者真假难辨。

三是减少攻击面。攻击面是攻击者可能利用应用程序的所有方式，不仅包括软件、操作系统、网络服务和协议，还包括域名和SSL证书。减少攻击面就是关闭或限制对网络、系统、软件、服务的访问，应用“最小权限原则”，尽可能分层防御。

具体来讲，要做好数据中心安全规划。数据中心业务按功能可分为关键基础设施、运维监控、核心虚拟化、数据库、一卡通、等保测评、托管机房等区域，不同区域通过防火墙做好边界隔离，数据库区域采用白名单放行，即使有漏洞，一般人和黑客也无法访问，安全风险得到降低；要做好访问控制，根据业务和应用的安全级别制定相应的安全管理策略，比如运维、监控等重要业务推荐使用带外管理，专用VPN等方式，重要业务系统须通过堡垒机访问；做好特殊端口限制访问，规定带域名的系统仅开放80、8080、443端口，没有域名的只开非Web端口；关闭22、3389、135、139、445等容易被黑客攻击的端口。

国联统一系统脆弱性管理平台是由国联易安的研究团队自主研发的新一代漏洞扫描管理系统，涵盖了网络空间资产探测、系统漏洞扫描、虚拟机漏洞扫描、WEB漏洞扫描、网站安全监测、数据库安全扫描、安全基线核查、工控漏洞扫描、WIFI安全检测、APP安全扫描、大数据平台漏洞扫描、Windows安全加固、等保合规关联、分布式管理等功能。能全面、精准地检测信息系统中存在的各种脆弱性问题，提供专业、有效的漏洞分析和修补建议，并结合可信的漏洞管理流程对漏洞进行预警、扫描、修复、审计。

审核编辑 黄宇