面對層出不窮的網(wǎng)絡(luò)安全事件，如何降低漏洞被利用的風(fēng)險，是網(wǎng)絡(luò)安全廠商和客戶比較頭痛的事情。日前，國內(nèi)專注于保密與非密領(lǐng)域的分級保護(hù)、等級保護(hù)、業(yè)務(wù)連續(xù)性安全和大數(shù)據(jù)安全產(chǎn)品解決方案與相關(guān)技術(shù)研究開發(fā)的領(lǐng)軍企業(yè)——國聯(lián)易安的產(chǎn)品市場專家給出了答案：

一是明白什么是網(wǎng)絡(luò)安全漏洞。網(wǎng)絡(luò)安全漏洞也稱為脆弱性，是信息系統(tǒng)在需求、設(shè)計、實(shí)現(xiàn)、配置、運(yùn)行等過程中，有意或無意產(chǎn)生的可被威脅利用的缺陷，這些缺陷存在于件應(yīng)用、軟件模塊、驅(qū)動甚至硬件設(shè)備等各個層次和環(huán)節(jié)之中。

漏洞按照危害程度分為嚴(yán)重、高危、中危、低危4種級別；按照漏洞被人掌握的情況，又可以分為已知漏洞、未知漏洞和0day等幾種類型；CNNVD將信息安全漏洞劃分為配置錯誤、代碼問題、信息泄露、輸入驗(yàn)證、緩沖區(qū)錯誤、跨站腳本、路徑遍歷、SQL注入等26種類型。

二是內(nèi)網(wǎng)失陷服務(wù)器主動發(fā)現(xiàn)。失陷服務(wù)器是指被黑客攻破、被控制的服務(wù)器，可能被盜取數(shù)據(jù)、植入黑鏈，當(dāng)做肉雞成為攻擊內(nèi)網(wǎng)的工具，危害很大、后患無窮。為此，一方面開發(fā)單位搜索引擎查找暗鏈，定期用網(wǎng)頁爬蟲抓取存儲單位的網(wǎng)頁，用關(guān)鍵詞進(jìn)行查詢，人工檢驗(yàn)查詢結(jié)果，經(jīng)過不斷的治理，暗鏈問題越來越少。

另一方面是搭建分布式蜜罐系統(tǒng)進(jìn)行主動誘捕內(nèi)網(wǎng)滲透的失陷主機(jī)，蜜罐作為一種主動防御工具，是防火墻、WAF、IPS等被動防御很好的補(bǔ)充，通過變換IP的方式，使攻擊者真假難辨。

三是減少攻擊面。攻擊面是攻擊者可能利用應(yīng)用程序的所有方式，不僅包括軟件、操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)和協(xié)議，還包括域名和SSL證書。減少攻擊面就是關(guān)閉或限制對網(wǎng)絡(luò)、系統(tǒng)、軟件、服務(wù)的訪問，應(yīng)用“最小權(quán)限原則”，盡可能分層防御。

具體來講，要做好數(shù)據(jù)中心安全規(guī)劃。數(shù)據(jù)中心業(yè)務(wù)按功能可分為關(guān)鍵基礎(chǔ)設(shè)施、運(yùn)維監(jiān)控、核心虛擬化、數(shù)據(jù)庫、一卡通、等保測評、托管機(jī)房等區(qū)域，不同區(qū)域通過防火墻做好邊界隔離，數(shù)據(jù)庫區(qū)域采用白名單放行，即使有漏洞，一般人和黑客也無法訪問，安全風(fēng)險得到降低；要做好訪問控制，根據(jù)業(yè)務(wù)和應(yīng)用的安全級別制定相應(yīng)的安全管理策略，比如運(yùn)維、監(jiān)控等重要業(yè)務(wù)推薦使用帶外管理，專用VPN等方式，重要業(yè)務(wù)系統(tǒng)須通過堡壘機(jī)訪問；做好特殊端口限制訪問，規(guī)定帶域名的系統(tǒng)僅開放80、8080、443端口，沒有域名的只開非Web端口；關(guān)閉22、3389、135、139、445等容易被黑客攻擊的端口。

國聯(lián)統(tǒng)一系統(tǒng)脆弱性管理平臺是由國聯(lián)易安的研究團(tuán)隊自主研發(fā)的新一代漏洞掃描管理系統(tǒng)，涵蓋了網(wǎng)絡(luò)空間資產(chǎn)探測、系統(tǒng)漏洞掃描、虛擬機(jī)漏洞掃描、WEB漏洞掃描、網(wǎng)站安全監(jiān)測、數(shù)據(jù)庫安全掃描、安全基線核查、工控漏洞掃描、WIFI安全檢測、APP安全掃描、大數(shù)據(jù)平臺漏洞掃描、Windows安全加固、等保合規(guī)關(guān)聯(lián)、分布式管理等功能。能全面、精準(zhǔn)地檢測信息系統(tǒng)中存在的各種脆弱性問題，提供專業(yè)、有效的漏洞分析和修補(bǔ)建議，并結(jié)合可信的漏洞管理流程對漏洞進(jìn)行預(yù)警、掃描、修復(fù)、審計。

審核編輯 黃宇