网络信息安全：堵住漏洞是根本

　　随着国家信息安全风险评估和等级保护工作的逐步深入，如何管理漏洞，从而最大限度地降低其危害性成为安全人员最关心的话题。

　　众所周知，国内首款手持式漏洞扫描产品发端于8年前，即2001年的“榕基网络隐患扫描系统”，这一863成果曾获得中国科学院科技进步一等奖。

　　经过8年的发展，漏洞扫描技术的应用已越来越普及，与此同时该领域的技术发展也越来越深入，针对层出不穷的网络安全事件，“漏洞扫描”的技术体系也越来越完备。

　　早期的网络漏洞扫描系统侧重于漏洞评估，只开方子，不管疗效。它主要是对主流的网络设备、操作系统、应用程序和数据库四个方面进行实时、定时的漏洞检测，并指导性给出修补措施和安全建议。如今，对于漏洞的管理，已经遵循“漏洞生命周期”原理并将之划分为四个阶段，即漏洞预警、漏洞分析、漏洞修复、漏洞审计。

　　一、漏洞预警

　　根据美国计算机紧急事件响应小组协调中心CERT/CC的调查结果表明，计算机突发事件和漏洞数量正在逐年增长，该组织仅在2007年收到的安全漏洞报告就有7236个，平均每天公布的漏洞数量在20个以上。当新的高风险漏洞公告发布之际，在第一时间就可以通过邮件或者电话的方式向客户通告相应的预防措施。同时提供产品升级包，保证系统漏洞库的完备性。

　　二、漏洞分析

　　目前，不仅漏洞数量不断增长，而且漏洞被利用的时间也在不断缩短，从而导致信息系统受到攻击的可能性以及危害程度都大大增加。因此，一个自动化、全局性的网络漏洞管理系统对用户就显得十分必要。

　　以第二代榕基网络隐患扫描系统RJ-iTop为例，具备智能端口识别、安全优化扫描、SQL注入检测、系统递进扫描等先进扫描技术，与国际CVE标准兼容的检测脚本数量高达3000多条，在扫描准确率和速度等方面一直有领先优势。同时，漏洞分析能力增强，能够自动统计资产信息，并采用前沿的风险评估模型对这些资产和漏洞进行评估，进行优先级排序，给出针对性较强的漏洞修复方案，包括系统的安全配置建议和补丁的有效下载链接等。

　　三、漏洞修复

　　补丁是软件开发商用来修补漏洞的程序，是降低漏洞危害最直接的办法。根据美国软件工程研究所估算，如果系统能够及时安装合适的软件补丁，可以避免95%以上的网络入侵。要有效降低或规避这些风险，一是靠智能化、自动化的补丁管理功能，自动完成补丁的通知和安装。二要无缝关联漏洞检测结果，方便没有安装代理软件的终端进行安全加固。三要提供二次开发接口给IPS、SOC等其它安全产品进行联动。去年榕基推出的风险管理系统RJ-RMS，就是国内首款能与漏洞管理系统进行完全联动的产品，自动对各种主流操作系统和应用程序的软件缺陷，以及系统的错误配置进行修复。还可以对终端设备的外设使用、软件运行、接入和联网等进行全局监视，并提供报警及阻断机制，从而更加全面地提升信息系统的主动防御水平。

　　四、漏洞审计

　　漏洞管理还需要提供完整的审计机制，以方便管理者追踪、记录、验证漏洞管理的成效，可以通过发送邮件的方式，也可以通过其它报警机制，督促管理员对漏洞进行修复，同时启动定时扫描任务进行对比分析和成效验证。所有的这些过程全自动化，以保证IT 运维的整体工作效率。

　　2006年，美国CSI/FBI计算机犯罪与安全调查结果表明，安全事件所造成的总损失为52,494,290美元，其中大部分损失都与安全漏洞有关。只有“未雨绸缪”，才有可能“高枕无忧”。对于漏洞管理的整个流程，都需要用户提高安全意识，采用相关的产品和服务，构建一个持续不断的、螺旋式上升的循环，将已知的业务风险降低到可接受的水平，减少法规遵从和安全风险的压力，从而有效保护用户的前期投资。