久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

對(duì)于計(jì)算機(jī)和互聯(lián)網(wǎng)來(lái)說(shuō)，安全漏洞是揮之不去的幽靈。去年4月份的心臟出血(Heartbleed)漏洞和Bash漏洞引發(fā)了互聯(lián)網(wǎng)的劇烈震蕩，Apache Struts2系列漏洞頻發(fā)讓無(wú)數(shù)Java應(yīng)用系統(tǒng)躺著中槍?zhuān)黝?lèi)網(wǎng)站CMS和論壇漏洞引發(fā)的諸多拖庫(kù)事件讓互聯(lián)網(wǎng)用戶(hù)隱私無(wú)所遁形。

安全漏洞分類(lèi)

安全漏洞是在軟件、硬件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未充分授權(quán)的情況下訪問(wèn)或改變?cè)邢到y(tǒng)功能和數(shù)據(jù)信息。由于種種原因，漏洞的存在是無(wú)法避免的。

從作用范圍來(lái)看，漏洞可以分為本地漏洞和遠(yuǎn)程漏洞。前者利用本機(jī)訪問(wèn)權(quán)限實(shí)施攻擊，比較典型的是本地權(quán)限提升漏洞，例如Linux的內(nèi)核本地提權(quán)。后者攻擊方可以通過(guò)網(wǎng)絡(luò)遠(yuǎn)程進(jìn)行利用，此類(lèi)漏洞危害較大，并且容易形成大范圍影響，例如很多蠕蟲(chóng)病毒都是利用遠(yuǎn)程漏洞進(jìn)行傳播擴(kuò)散。

從觸發(fā)條件來(lái)看，漏洞利用可分為主動(dòng)觸發(fā)和被動(dòng)觸發(fā)。前者，攻擊者可以主動(dòng)完全控制進(jìn)度，后者需要被攻擊者的交互，比如打開(kāi)了攻擊者發(fā)送的郵件附件，或者訪問(wèn)了攻擊者預(yù)置了惡意代碼的網(wǎng)站，例如APT里常見(jiàn)的水坑式攻擊。

從時(shí)間維度來(lái)看，漏洞可以分為老漏洞，新漏洞，0Day漏洞。老漏洞一般發(fā)現(xiàn)時(shí)間較久，各種利用方式都已被詳細(xì)討論，相應(yīng)的補(bǔ)丁和修復(fù)方法也已公開(kāi)。新漏洞一般剛發(fā)布不久，各種利用技巧正在被討論，相應(yīng)的補(bǔ)丁方案還不成熟或者尚未廣為人知。如果攻擊者利用自動(dòng)化的攻擊腳本，可以在較短時(shí)間內(nèi)成功入侵大量存在新漏洞的系統(tǒng)。0Day漏洞一般都尚未公開(kāi)，往往會(huì)通過(guò)地下途徑來(lái)交易。被攻擊目標(biāo)范圍狹小，但是對(duì)于被盯上的受害者，由于無(wú)法防備，可能會(huì)造成相當(dāng)大的威脅。普通互聯(lián)網(wǎng)用戶(hù)和網(wǎng)絡(luò)信息系統(tǒng)主要受前兩種漏洞影響更大。不過(guò)隨著時(shí)間的推移，同一個(gè)漏洞，身份也會(huì)發(fā)生0Day漏洞-新漏洞-老漏洞的變遷。漏洞掃描是基于已知漏洞數(shù)據(jù)庫(kù)，通過(guò)掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用的漏洞的一種安全檢測(cè)行為，漏洞掃描一般對(duì)老漏洞的發(fā)現(xiàn)比較有效。

從威脅級(jí)別來(lái)看，安全漏洞可以分為高中低三類(lèi)。高危漏洞影響范圍廣，發(fā)現(xiàn)利用難度低，較容易獲得高級(jí)系統(tǒng)權(quán)限。中危漏洞需要交互才能拿到部分系統(tǒng)信息，熟練的攻擊者才能利用，有一定利用門(mén)檻。低危漏洞影響范圍小，利用條件極為苛刻，泄露系統(tǒng)信息有限。不過(guò)實(shí)際攻擊滲透過(guò)程往往是一系列漏洞的組合，防御方首先需要盡可能提前發(fā)現(xiàn)各種安全漏洞的存在，再根據(jù)威脅等級(jí)對(duì)應(yīng)處理。

高危漏洞是需要嚴(yán)格杜絕的，一旦發(fā)現(xiàn)就需要無(wú)條件第一時(shí)間安排修復(fù)。雖然由于某些應(yīng)用業(yè)務(wù)客觀要求，個(gè)別高危漏洞可能無(wú)法及時(shí)修復(fù)，也需要采取多種加固方式來(lái)提高漏洞利用門(mén)檻，降低潛在威脅。中低危漏洞是普遍存在的，可以說(shuō)無(wú)法完全杜絕，我們也同樣需要掌握其具體數(shù)量和存在位置，并了解其可能產(chǎn)生的威脅，根據(jù)自身的防護(hù)等級(jí)要求做對(duì)應(yīng)修復(fù)和處理規(guī)劃。

這些年整體上的漏洞數(shù)量是在持續(xù)增加的，2014年更是達(dá)到了一個(gè)頂峰。從去年的7946個(gè)CVE漏洞來(lái)看，敏感信息泄露類(lèi)漏洞數(shù)量最多，超過(guò)了2000個(gè)，這說(shuō)明黑客對(duì)于用戶(hù)隱私信息的關(guān)注。拒絕服務(wù)類(lèi)(DOS)漏洞數(shù)量緊跟其后，超過(guò)了1500個(gè)。通過(guò)拒絕服務(wù)攻擊，可以破壞業(yè)務(wù)系統(tǒng)的可用性和穩(wěn)定性。此外，高危的遠(yuǎn)程代碼執(zhí)行漏洞數(shù)量也非常多，攻擊者可以利用此類(lèi)漏洞遠(yuǎn)程進(jìn)一步獲取系統(tǒng)控制權(quán)。

應(yīng)對(duì)安全漏洞

漏洞挖掘有多種方法和技巧。常規(guī)的有基于Fuzzing技術(shù)等的黑盒測(cè)試，基于源代碼審計(jì)等的白盒測(cè)試，基于逆向反編譯技術(shù)等的灰盒測(cè)試，基于動(dòng)靜態(tài)程序分析的的漏洞查找，以及基于補(bǔ)丁源碼或程序逆向比較的漏洞發(fā)現(xiàn)。針對(duì)Linux等開(kāi)源軟件的漏洞挖掘可以通過(guò)閱讀源代碼進(jìn)行，對(duì)于網(wǎng)絡(luò)型閉源程序使用Fuzzing則比較有效。除了有自動(dòng)化的工具和分析手段輔助，漏洞挖掘人員的多領(lǐng)域經(jīng)驗(yàn)積累和天馬行空的思路也非常重要。

新的漏洞不斷被挖掘和曝光，進(jìn)而被修復(fù)，對(duì)整個(gè)網(wǎng)絡(luò)信息系統(tǒng)的整體安全性提升是有顯著積極作用的。但是隨著漏洞數(shù)量的不斷增加，特別是高危漏洞的層出不窮，對(duì)高校信息化團(tuán)隊(duì)的壓力也越來(lái)越大。漏洞防護(hù)對(duì)高校安全運(yùn)維人員來(lái)說(shuō)有幾個(gè)關(guān)鍵點(diǎn)要注意：

1.對(duì)已有老漏洞情況是否已經(jīng)全面掌握并按威脅等級(jí)對(duì)應(yīng)整改處理，而且需要定期進(jìn)行復(fù)查。漏洞普查和消防安全普查一樣要經(jīng)常進(jìn)行，才能防患于未然。根據(jù)我們的實(shí)踐經(jīng)驗(yàn)，大部分攻擊入侵利用的都不是最新漏洞。

2.每當(dāng)新高危漏洞被曝光出來(lái)后，能否在第一時(shí)間獲得漏洞情報(bào)成為關(guān)鍵。需要建立順暢的漏洞信息通報(bào)渠道，消息靈通可以保證你和全球絕大多數(shù)的攻擊者保持在同一條起跑線上，不至于被動(dòng)挨打還一無(wú)所知。

3.需要快速準(zhǔn)確評(píng)估爆發(fā)的高危漏洞對(duì)學(xué)校內(nèi)部網(wǎng)絡(luò)、服務(wù)器以及應(yīng)用系統(tǒng)的影響程度，這直接決定了后繼處理的方向和力度。

4.確認(rèn)新高危漏洞對(duì)學(xué)校網(wǎng)絡(luò)和信息系統(tǒng)安全產(chǎn)生重大影響之后，就需要第一時(shí)間進(jìn)行修復(fù)。即使短期沒(méi)有完美的補(bǔ)丁方案，也要果斷采取限制訪問(wèn)等其他措施，和時(shí)間賽跑，晚處理幾個(gè)小時(shí)都有可能引發(fā)嚴(yán)重的安全事件。

5.除了通用型的漏洞利用，對(duì)于事件型的漏洞利用需要和第三方進(jìn)行合作。國(guó)內(nèi)目前較知名的有烏云漏洞報(bào)告平臺(tái)和補(bǔ)天漏洞響應(yīng)平臺(tái)，每天都接受大量的高校安全漏洞事件報(bào)告，需要引起各高校的重視和關(guān)注。

基于以上幾點(diǎn)，對(duì)每所高校來(lái)說(shuō)，需要有負(fù)責(zé)安全運(yùn)維的團(tuán)隊(duì)處理本地化的安全漏洞。對(duì)于教育行業(yè)來(lái)說(shuō)，全國(guó)需要有一支專(zhuān)業(yè)的安全研究隊(duì)伍，負(fù)責(zé)跟蹤和研究分析最新的漏洞資訊。當(dāng)一個(gè)高危漏洞剛被曝光時(shí)，安全研究人員需要迅速響應(yīng)，對(duì)漏洞進(jìn)行分析評(píng)估，匯集各方面情報(bào)，獲取漏洞攻擊利用的細(xì)節(jié)并給出應(yīng)對(duì)防護(hù)的通用方案。如果評(píng)估其對(duì)教育行業(yè)將產(chǎn)生重大影響，就需要通過(guò)郵件列表、內(nèi)部工作微信群、內(nèi)部QQ交流群等諸多途徑及時(shí)發(fā)布漏洞預(yù)警信息，提醒其他高校關(guān)注該漏洞的存在。對(duì)于事件型的漏洞，也同樣需要通過(guò)和國(guó)家有關(guān)安全監(jiān)管部門(mén)、民間安全機(jī)構(gòu)、商業(yè)安全公司的情報(bào)共享機(jī)制獲取高校安全漏洞事件信息。與此同時(shí)，為了驗(yàn)證這些漏洞在整個(gè)教育網(wǎng)的分布狀況，有必要進(jìn)行全網(wǎng)監(jiān)測(cè)和無(wú)害化安全掃描，及時(shí)發(fā)現(xiàn)存在該漏洞的學(xué)校，再有針對(duì)性地通知到位。這樣才能形成一套完整的漏洞監(jiān)測(cè)，評(píng)估，應(yīng)急和處置體系。

安全漏洞會(huì)長(zhǎng)期伴隨在我們身邊，如影隨形。面對(duì)日益嚴(yán)峻的安全形勢(shì)，我們唯有思想上高度重視，把全國(guó)高校有限的安全力量集中起來(lái)，形成一個(gè)分工協(xié)作的整體，真正了解掌握其發(fā)展規(guī)律和趨勢(shì)，才有可能控制其實(shí)際威脅和破壞程度。如果掩耳盜鈴，等到了身陷窘境的那一天就悔之晚矣。