有人的地方就有江湖，有網際網路的地方就有漏洞，網際網路上漏洞的爆發速度正在以我們想象不到的速度增加。對於組織來說，安全的目標是把風險降低到一個可以接受的水平，而風險是由威脅和脆弱性構成。漏洞就是脆弱性的一部分，如果不好好管理的話，很難有把握把企業面臨的風險降低到可以接受的水平，甚至可能連面臨什麼風險都未必完全掌握。

上圖是綠盟君透過CNVD的資料整理出的2年內漏洞增加的數量趨勢和種類分類。

透過日常積累的資料分析發現，組織內單個主機平均漏洞數量達到了13.33個，而組織漏洞等級高中低的比例大概是1:1:3。也就是說，在不影響業務的情況下梳理資產漏洞的工作量為大概每1W資產需要3個月的時間。

​綠盟君把組織可能面對的漏洞按照不同的層次進行了分類彙總。

網路層漏洞

版本漏洞，包括但不限於IOS存在的漏洞，所有線上網路裝置及安全裝置

開放服務，包括但不限於路由器開放的Web管理介面、其他管理方式等

空弱口令，例如空/弱telnet口令、snmp口令等

域名系統：ISC BIND SIG資源記錄無效過期時間拒絕服務攻擊漏洞，Microsoft Windows DNS拒絕服務攻擊等

作業系統層漏洞

作業系統（包括Windows、AIX和Linux、HPUX、Solaris、VMware等）的系統補丁、漏洞、病毒等各類異常缺陷等

訪問控制：登錄檔 HKEY_LOCAL_MACHINE 普通使用者可寫，遠端主機允許匿名FTP登入，ftp伺服器存在匿名可寫目錄等

安全配置問題：部分SMB使用者存在薄弱口令，試圖使用rsh登入進入遠端系統等

應用層漏洞

應用程式（包括但不限於資料庫Oracle、DB2、MS SQL，Web服務，如Apache、WebSphere、Tomcat、IIS等，其他SSH、FTP等）缺失補丁或版本漏洞檢測等

資料庫軟體：Oracle tnslsnr沒有設定口令，Microsoft SQL Server 2000 Resolution服務多個安全漏洞等

Web伺服器：Apache Mod_SSL/Apache-SSL遠端緩衝區溢位漏洞，Microsoft IIS 5.0 .printer ISAPI遠端緩衝區溢位，Sun ONE/iPlanet Web服務程式分塊編碼傳輸漏洞等

那麼，從發現漏洞到修復漏洞，會涉及到哪些操作呢？聽綠盟君給您詳細分解：

漏洞發現

主動掃描

定期掃描：生產環境年度/季度掃描

非定期掃描：新上線系統安全評估及網際網路突發高危漏洞主動排查

被動發現

合規要求：監管機構、上級主管部門，國家有關部門的安全評估要求

漏洞通告：合作廠商、監管機構、國家有關部門、網際網路眾測平臺等通告的已存在的安全漏洞

漏洞驗證

誤報驗證

針對外部或內網發現的漏洞，判斷是否為誤報，常見為：掃描器原理誤報、安全裝置防護、產品自身安全機制、業務系統自身安全機制

影響驗證

主要是針對外部通告的高風險漏洞，企業內部進行自查，判斷是否存在受漏洞影響的產品或版本

漏洞處置

漏洞風險評估

漏洞自身風險等級

企業自身環境因素

升級、臨時防護

漏洞處置優先順序

根據風險評估結果確認漏洞處置優先順序

評估修復影響

由運維部門、研發部門及相關第三方廠商確認漏洞修復可能帶來的影響

指定修復計劃

由漏洞修復執行方制定漏洞修復計劃，包括漏洞修復時間、修復方案等

補丁驗證

尋找漏洞修復方案在測試環境中進行補丁升級，已驗證補丁可能對業務帶來的影響

不論是從數量上來說，還是本身受到環境的限制，漏洞是不可能修復完的，漏洞也不能被全部修復。那麼如何有針對性的區別對待已發現的漏洞就成為了一件重要的事情，這就涉及到對漏洞的評估模型了。一般建議從以下幾個方面來進行評估：

針對漏洞本身

掃描方式：遠端掃描、本地掃描

掃描原理：原理掃描、版本掃描

利用方式：自動化利用工具、已知利用方法/程式碼、未知利用方法/程式碼

風險級別：超高風險、高風險、中風險、低風險

針對漏洞對應的業務

開放程度：對外網開放、對全部內網開放、對部分內網開放

修復難度：自行修復、廠商支援、無法修復

業務影響：沒有影響、影響較小、影響較大

透過以上多種維度進行漏洞庫建模，把那些一定要處理的漏洞消滅掉，企業網路暢通、安全地執行就會多一份保障。