信息化觀察網(wǎng)

根據(jù)國家信息安全漏洞共享平臺（China National Vulnerability Database，簡稱CNVD，）CNVD是由國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(中文簡稱國家互聯(lián)應(yīng)急中心，英文簡稱CNCERT)聯(lián)合國內(nèi)重要信息系統(tǒng)單位、基礎(chǔ)電信運(yùn)營商、網(wǎng)絡(luò)安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)共同建立的信息安全漏洞信息共享知識庫。CNVD會實(shí)時公布國際和國內(nèi)出現(xiàn)的各種病毒和漏洞，有時還給出了解決方案，是國內(nèi)安全廠商參考的重要平臺。通過CNVD建立軟件安全漏洞統(tǒng)一收集驗(yàn)證、預(yù)警發(fā)布及應(yīng)急處置體系，切實(shí)提升我國在安全漏洞方面的整體研究水平和及時預(yù)防能力。

隨著人們生產(chǎn)生活對網(wǎng)絡(luò)信息系統(tǒng)依賴性的增強(qiáng)，網(wǎng)絡(luò)攻擊事件的數(shù)量不斷增多，影響范圍也更加廣泛，必須采取行動遏制危及網(wǎng)絡(luò)安全的事件蔓延。具體有哪些網(wǎng)絡(luò)安全漏洞存在呢？和網(wǎng)度通信一起來了解一下吧。

安全漏洞主要就是CVE和CNVD公布出來的漏洞，成為安全漏洞掃描參考的主要標(biāo)準(zhǔn)，還有一部分是漏洞掃描工具自己認(rèn)為存在風(fēng)險的漏洞，及時通告出來。其實(shí)，不止有CVE和CNVD，還有OSVDB、ISS等，國內(nèi)還有中國國家信息安全漏洞庫，國家安全漏洞庫等，這些漏洞庫也收錄了不少安全漏洞。

這些漏洞也會劃分不同的等級，有的分四個等級，有的分三個等級，級別越高，危害越大，以此來提醒大家。同時，為了鼓勵大家發(fā)現(xiàn)漏洞，有些被查出漏洞的軟件廠商對于自己未能發(fā)現(xiàn)的，而被其他發(fā)現(xiàn)的漏洞，及時給予獎勵，并及時做修復(fù)。

漏洞掃描分主動和被動式兩種，主動方式是數(shù)據(jù)中心對其所有的設(shè)備進(jìn)行自查，根據(jù)服務(wù)器的響應(yīng)去了解和掌握主機(jī)操作系統(tǒng)、服務(wù)以及程序中是否存在漏洞需要修復(fù)，有的操作系統(tǒng)會經(jīng)常更新一些安全漏洞的防御補(bǔ)丁，要及時安裝補(bǔ)丁，消除安全隱患；另一種是被動式，由第三方發(fā)起，可能是數(shù)據(jù)中心請來的安全掃描公司，也可能是數(shù)據(jù)中心的上級部門安排下來的檢查，對數(shù)據(jù)中心內(nèi)的多項(xiàng)內(nèi)容進(jìn)行掃描與檢測，進(jìn)而生成檢測報告反饋給數(shù)據(jù)中心管理人員，供其分析與處理所發(fā)現(xiàn)的漏洞，對數(shù)據(jù)中心進(jìn)行整改。

從安全漏洞的性質(zhì)來講，主要集中于密碼認(rèn)證、登錄方式、系統(tǒng)漏洞等幾個方面，尤其是密碼認(rèn)證特別受到關(guān)注。如果數(shù)據(jù)中心里的網(wǎng)絡(luò)設(shè)備或者服務(wù)器系統(tǒng)密碼認(rèn)證存在漏洞，就可能被人利用，從而登錄到數(shù)據(jù)系統(tǒng)中竊取秘密資料，如果是個人隱私數(shù)據(jù)或者國家機(jī)密泄露，將對個人甚至國家?guī)順O大損失，所以這類漏洞特別要引起注意。密碼設(shè)置過于簡單，加密算法存在漏洞，都會給壞人可乘之機(jī)，安全漏洞掃描就是要將這類漏洞找出來，讓數(shù)據(jù)中心盡快改進(jìn)。

對于一個數(shù)據(jù)中心或者一個互聯(lián)網(wǎng)門戶網(wǎng)站，如何進(jìn)行安全檢查呢？主要是進(jìn)行安全漏洞掃描，掃描的對象是數(shù)據(jù)中心里的每一臺設(shè)備，交換機(jī)、路由器、防火墻和服務(wù)器等等，都要進(jìn)行安全掃描。掃描的工具主要是第三方中立的安全漏洞檢測軟件，這些軟件監(jiān)測著全球發(fā)現(xiàn)的各種安全漏洞，不斷地將這些安全漏洞注入到自己的安全庫中，然后對掃描對象設(shè)備進(jìn)行檢測，看存在哪些安全漏洞，協(xié)助數(shù)據(jù)中心管理人員去修復(fù)或采取必要的安全防護(hù)措施來消除這些漏洞，進(jìn)而提升數(shù)據(jù)中心的安全性能。