1.1.2 漏洞扫描
1.安全漏洞
漏洞扫描的对象是安全漏洞,那么什么是安全漏洞呢?安全漏洞是指信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中,由操作实体有意或无意制造的缺陷,这些缺陷以不同形式存在于信息系统的各个层次和环节中,随着信息系统的变化而改变。这些缺陷一旦被恶意主体利用,就会对信息系统的安全造成损害,从而影响构建其上正常服务的运行,危害信息系统及信息的安全性。
下面我们以漏洞CNVD-2020-10493为例,介绍由CNVD(国家信息安全漏洞共享平台)发布的安全漏洞信息中的主要内容,如表1-1所示。
表1-1 安全漏洞信息
2.漏洞库
在了解了安全漏洞的基本概念后,紧接着需要解决的问题就是“企业怎样才能知道安全漏洞都有哪些”和“在什么地方能够查到所有的安全漏洞”。这两个问题的答案都可以归结到漏洞库上。下面将介绍几个非常重要的漏洞库。
(1)CVE
CVE(Common Vulnerabilities & Exposures)是国际知名的安全漏洞库,也是已知漏洞和安全缺陷的标准化名称的列表,它是一个由企业界、政府界和学术界综合参与的非营利性国际项目,其使命是更加快速、有效地鉴别、发现和修复软件产品的安全漏洞。
(2)CNNVD
CNNVD(China National Vulnerability Database of Information Security,国家信息安全漏洞库)于2009年10月18日正式成立,是中国信息安全测评中心为切实履行漏洞分析和风险评估职能,负责建设并且运维的国家信息安全漏洞库。它面向企、事业单位及安全厂商等,提供灵活多样的信息安全数据服务,为我国信息安全保障提供基础服务。
(3)CNVD
CNVD(China National Vulnerability Database,国家信息安全漏洞共享平台)是由国家计算机网络应急技术处理协调中心(国家互联网应急中心,CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。建立CNVD的主要目标是与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞的统一收集验证、预警发布以及应急处置体系。切实提升我国在安全漏洞方面的整体研究水平和预防能力,提高我国信息系统及国产软件的安全性,进而带动国内相关安全产品的发展。
3.漏洞扫描
通过漏洞库,我们可以了解所有已经发现的安全漏洞的信息,但这并不能解决企业所面临的问题。企业在解决自身安全问题时,不仅需要知道全世界有哪些已经发布的漏洞,更重要的是要了解这些安全漏洞对企业有哪些影响。也就是说,企业需要清楚在漏洞库中发布的漏洞哪些是和自身相关的,哪些是和自身无关的,例如上文介绍的CNVD-2020-10493漏洞,对于那些已经部署了IBM Tivoli Monitoring的企业是有意义的,而对于那些没有使用IBM Tivoli Monitoring的企业是没有意义的,这些企业也就不需要关注这些了。其实,帮助企业解决这个问题,就是我们经常讲的漏洞扫描或漏洞发现的过程。
图1-3描述了一个漏洞扫描的过程。其中,在完成资产发现后,输出了资产信息,剩下就是一个基于漏洞库的漏洞匹配过程,也就是根据每个漏洞的相关属性(例如影响产品、漏洞描述等),结合企业自身的资产信息,逐一进行比对和匹配,进而得到企业相对完整的漏洞信息。当然,这只是企业在漏洞管理(Vulnerability Management,VM)中的第一步,后面还有一系列其他工作,例如漏洞验证、漏洞评估、漏洞修复等。
图1-3 漏洞扫描流程
至此,相信大家对漏洞扫描已经有了一个初步的了解,至于漏洞管理、漏洞生命周期管理等方面的详细内容,可以参考其他相关的书籍进行更深入的了解,此处不再赘述。