徐晓伟，陆生兵，张明乐

（国网浙江长兴县供电有限公司，浙江长兴 313100）

1 引言

近些年，随着电力企业针对“互联网+”“大数据”“云平台”等新技术的不断推广应用，网络信息技术迎来了一轮新革命，但随之而来的就是网络信息安全形势的日趋严峻。网络安全漏洞层出不穷、黑客技术花样百出，给电力企业的网络信息安全管理者和从业者带来了不小的挑战，因此对网络信息安全进行科学有效的管理势在必行。

而信息安全漏洞是造成网络信息安全问题的重要原因之一，是实施网络攻防的关键要素，要及时有效发现漏洞信息，并减少对社会、国家、企业信息安全的不利影响，因此对安全漏洞修补技术和补丁库的研究成为了网络信息安全领域的重点。信息安全漏洞的分类是漏洞研究的基础，安全加固是漏洞管理的闭环，其重要性均不言而喻，因此如何迅速准确的找到信息安全漏洞的修补方法，有效提升安全加固效率，避免加固过程中次生风险是本文探讨的主要问题。

2 漏洞成因分析及漏洞修补经验研究

2.1 安全漏洞的成因

安全漏洞的产生总的来说由于逻辑错误、安全策略等造成硬件、软件、协议存在缺陷，非法访问者或攻击者可以在未经授权的情况下越权访问系统。具体在几个方面体现出了其成因，恶意入侵攻击：主要是为了实现对内部网络的入侵而编写的程序，结合相应的工具，在网络中植入木马，进而来实现对网络的非法访问。安全策略不严谨，如弱口令问题，就是由于密码安全策略安全级别配置不够导致。此外，修改检测系统之后，会出现拒绝服务攻击，在此进程中，将会泄露出系统权限，在修改权限时，会分配这部分资源，此时也会导致安全漏洞的出现。但无论是何种因素的影响，出现网络信息系统安全漏洞，应在对其出现原因有充分把握的基础上，才可以开展修补、加固工作[1]。

2.2 安全漏洞的类别

根据业务、网络部署等实际情况，可以将安全漏洞分为操作系统漏洞、业务逻辑漏洞和网络安全漏洞。

在操作系统方面，如非法访问、系统陷门、溢出漏洞、远程命令执行等都是较为常见的。

在业务逻辑漏洞方面，用户盲目地输入信息，如果不能严格地对参数进行验证，对其合法性有所忽视、失误，病毒等就必然会破坏数据库，有可能为业务带来极为严重的影响。

在网络安全方面，如访问权限控制不严、网络设备漏洞、设备弱口令等都是较为常见的。

2.3 加固经验及补丁库分析

在日常的网络信息系统安全运维过程中，安全漏洞量级及安全加固情况已成为安全管理的重要指标。但安全漏洞是一个“动态”的事务，随着互联网技术的发展、黑客技术的提升、业务系统的价值等因素安全漏洞依旧层出不穷，同样安全漏洞加固由于其专业性、业务影响等重要因素不断困扰运维人员的修补和加固工作。因此，安全加固经验及补丁库研究需要从安全漏洞影响程度、可利用性、业务影响程度等多个方面开展，最终达到方便运维人员加固，实现快速修补和加固的目的。

3 安全漏洞的挖掘过程及基本防范措施

3.1 漏洞的挖掘过程

在日常运维工作中，安全漏洞的挖掘主要有两种途径。

一是通过安全产品进行漏洞扫描。

目前，主流的漏洞扫描产品扫描范围基本覆盖主机设备，如网络层（交换机、路由器、防火墙等），主机（Windows、Unix、Linux等），数据库（Oracle、DB2、Mysql、SQL Server等），中间件（WebLogic、JBoss、Apache、IIS等）等。漏洞扫描原理大致分为两类：第一类通过远程识别目标主机中服务的软件版本、类型，然后根据版本从漏洞库中搜索出相对应的版本漏洞，称之为版本扫描；第二类通过远程识别目标主机中服务的软件版本、类型，然后模拟黑客对服务漏洞的利用过程，称之为原理扫描，如图1所示。

图1 漏洞扫描原理分类

二是人工渗透测试。

通过使用漏洞扫描和远程渗透等类型的工具，人工挖掘网络信息系统中存在的各类安全漏洞，采用黑盒测试的方式通过模拟黑盒攻击的行为验证漏洞真实存在情况，评估Web应用是否存在可以被攻击者利用的漏洞，重点关注SQL注入、跨站脚本、远程缓冲区溢出攻击、文件上传、本地提升权限和网站挂马等漏洞。通过此种方式，能够深层次地发现系统中存在的薄弱环节及系统漏洞[2]。

3.2 访问控制

访问控制具体采用的技术是防火墙技术。其中包括了服务代理、过滤等多种技术，在对上述技术进行有效的运用之后，能够防范网络攻击。这是在网络安全技术当中，极为常见和普遍且应用广泛的技术。作为一项重要的措施，实现了对资源安全性的保障，同时避免了非法访问和使用等现象的发生。在进行访问控制时，其控制的主要对象为非法用户，让网络资源不对其公开，也避免了对资源的非法使用以及修改。

3.3 定期安全评估

定期主机安全检查。要保证网络安全，进行网络安全建设，首先要全面了解系统，评估系统安全性，认识到自己的风险所在，从而可以迅速、准确地解决内网安全问题。

针对电力企业网络信息系统的实际情况，安全评估主要分为网络安全评估，主机、数据库和中间件安全评估，应用安全评估三个方面。其中，网络安全评估内容主要包括边界完整性、访问控制、网络的高可用性和冗余性、用户认证和信道加密和防病毒等方面。主机、数据库和中间件安全评估内容主要包括系统补丁、开放服务、弱口令、病毒木马、安全配置策略、针对发现的高危漏洞补丁、高风险服务、弱口令、防病毒软件病毒库未及时更新等问题进行评估。应用评估主要是通过渗透测试等方式，发现系统存在的漏洞和缺陷，同时在日常工作中, 加强应用系统上线前的安全评估工作。

3.4 计算机防病毒

如果计算机网络中有病毒，则会迅速发现系统中的漏洞，并借此实现对网络的攻击，在进入系统内部后，对系统将造成不同程度的干扰与破坏。因此，计算机网络安全漏洞的防范要注重对病毒的防范。目前，对病毒防范的措施主要为多层防卫。在计算机上安装防病毒软件，在查杀软件的作用下.对入侵病毒实现了防御。同时，软件能够对计算机网络环境进行定期的分析.从而实现了安全漏洞的修复。对病毒升级库进行定期更新，由于病毒具有多样性与动态性，因此要对病毒库进行升级，此时病毒库的作用才能够得到最大限度地发挥。最后切断病毒入侵途径，在软件应用过程中，要选择没有病毒风险的软件，防止恶意插件的入侵。

3.5 数据备份

数据备份就是将硬盘上的有用的文件、数据都拷贝到异地，如移动硬盘、优盘等介质。这样即使连续连接在网络上的计算机被攻击破坏，因为已经有备份，所以不用担心，再将需要的文件和数据拷贝回去就可以了。做好数据的备份是解决数据安全问题的最直接与最有效措施之一，数据备份方法有全盘备份，增量备份和差分备份。

4 安全漏洞修补策略及经验库累积

4.1 修补策略

安全漏洞形成存在多种因素，涉及各种信息资产，因此在建设安全漏洞加固经验库需考虑多种因素，包括业务系统影响、操作系统版本、软件版本、漏洞影响程度、信息资产价值等。通过综合评估的策略，建设并优化安全加固经验库。在安全加固策略方面主要分为两个方面：一方面是基于资产权重的风险计算；另一方面是基于安全漏洞实际加固经验的累积。

4.1.1 基于资产权重的风险管理策略

（1）基于业务系统影响，权重值高，如图2所示。在企业安全生产的情况下，安全运维就是保障网络信息系统安全稳定运行，保障公司利益，确保客户信息安全。在安全加固过程中首先要考虑的就是是否影响网络信息系统的正常运行，一般情况下对生产系统进行补丁升级需要经过测试环境、准生产环境等多重测试，还需要一套完善的应急处置方案做支撑，一切顺利通过方可加固生产系统[4]。

（2）基于安全域，权重值中高，如图3所示。可以将公司的安全域划分为互联网区、中立区、核心区三个区域。由于在安全域边界有不同的防护设备及网络设备，因此在不同的区域被攻击的风险是不一样，互联网区的资产一般可以直接被互联网用户访问，被攻击的风险最高，需要完成优先加固，而随着安全域越深入被攻击的风险相对越小，安全加固的级别也逐级降低。

图2 业务影响权重图

图3 安全域权重图

4.1.2 基于安全漏洞实际加固经验的累积

（1）基于误报漏洞的积累。在利用漏扫工具开展日常扫描过程中，由于漏洞扫描机制问题，经常会出现漏洞误报的情况，运维人员验证漏洞是否误报的工作本身就比较耗时且技术门槛较高，加固过程中需要将这部分漏洞进行单独处理，为避免重复的验证工作，把这部分漏洞做积累、分类和统计，在今后的日常运维工作中若出现类似问题，能够进行合理的处理，提高漏洞处理工作效率。

（2）基于白名单漏洞的积累。在某些情况下相同的安全漏洞，在相同的操作系统中，但版本不同的情况下，安全漏洞的影响是不一样的（操作系统官方会解释）。针对此类安全漏洞的加固就需要运维人员梳理漏洞的影响程度，此梳理的过程工作量较大且效率较低，因此需要自动化的工具来支撑人工梳理的工作。

（3）基于实际加固经验的积累。运维人员在安全加固过程中，首先需要根据漏洞情况寻找漏洞补丁或者解决方案，其次在测试环境进行补丁测试，最后将测试过程移植到生产环境。在这个环节中，需要验证补丁的可行性、业务的影响，专业性较强，再者如果工程师换岗或离职，如果有加固经验系统来支撑更容易得到传承[3]。

4.2 经验库和补丁库的建设

安全漏洞经验库最基础的途径就是常年累月经过实际运维人员经过加固之后的经验累积。加固经验库具备三个特性：一是符合实际业务情况；二是具备二次利用性；三是可维护性，加固经验库最重要的功能必须有补丁库的管理，补丁库与实际安全漏洞一对一对应管理。

综上所述，经验库的建设应包含三个方面。

（1）基础资产表：包含信息资产的IP、操作系统及版本、部署位置、业务系统、安全域、责任人等关联信息。

（2）补丁库：应包含漏洞名称、CVE编号、CNNVD编号、操作系统及版本、补丁下载地址或物理地址等。

（3）经验库：应包含漏洞名称、CVE编号、CNNVD编号、加固方法、注意事项、适用操作系统及版本、适用安全域、安全加固级别等内容。

针对以上几点要求，开发了漏洞自动匹配工具并建设了漏洞补丁库，系统能够实现自动分析HTML格式的漏洞扫描报告，将HTML 数据还原成数据库原始数据，并存储于后台，在补丁库中实现漏洞和补丁的自动匹配，同时根据漏洞的不同等级和影响程度，为运维人员提供漏洞的修补方案，大大提高了运维人员的工作效率和漏洞修补准确率，如图4所示。

图4 漏洞经验库

5 结束语

漏洞加固经验库是漏洞管理中最基础也是最重要的部分，漏洞加固效率直接影响安全事件应急响应效率、系统安全性等重要安全指标。安全漏洞加固经验库的建设也可以明显提升日常安全运维效率，避免安全运维人员不必要的重复工作，经验库的建设还可以减少由于人员流动带来的影响。因此，安全漏洞加固经验库的长期建设和维护可以有助于企业形成完善的安全漏洞管理体系，有效提升企业网络信息安全运行水平。