降低系统脆弱性，提高网络环境自身健壮性

天霞

2021年 11 月22日，微软修复了一个“Windows安装程序特权提升漏洞”漏洞，该漏洞编号为 CVE-2021-41379。安全研究员 Abdelhamid Naceri在检查该漏洞修复情况后，发现了一个补丁绕过漏洞和一个更强大的新零日特权提升漏洞。并在推特公开披露了后者的漏洞利用代码项目，表示该漏洞适用于所有受支持的Windows版本，且目前暂未被修复。使用此漏洞，只需几秒便可在 Windows 10、Windows 11 和 Windows Server系统上直接提权到system最高权限。更让人感到震惊的是，该漏洞是基于微软的补丁而开发的。



而就目前情况来说，无论是何种系统都存在一定脆弱性，大部分企事业单位所使用的微软系统只是其中之一罢了。由此可见，几乎所有的网络办公环境都谈不上绝对安全。
那么，所谓计算机系统脆弱性到底是什么呢？计算机网络系统脆弱性主要表现在以下几个方面：

• 操作系统的安全脆弱性；
  
• 网络系统的安全脆弱性。①网络架构脆弱性；②计算机硬件系统故障；③软件本身预留的“后门”；④软件漏洞；
  
• 数据库管理系统安全脆弱性，DBMS 安全级别是 B2 级，那么操作系统的安全级别也应该是 B2 级，但实践中往往不是这样做的；
  
• 防火墙的局限性及自身脆弱性；
  
• 天灾人祸，如地震、雷击等。天灾轻则造成业务工作混乱，重则造成系统中断或造成无法估量的损失；
  
• 其他方面原因，如人员误操作的影响，计算机领域中任何重大技术进步都对安全性构成新的威胁等。
  

其中，操作系统不安全，是计算机不安全的重要原因。操作系统提供了很多管理功能，主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性，系统开发设计的不严谨不全面而留下的后门，都给网络安全留下隐患，正如这次的微软漏洞事件。
操作系统结构体系缺陷。操作系统包含有内存管理、CPU 管理、外设管理等，每个管理都涉及到一些模块或程序，如果在这些程序里面存在问题，比如内存管理问题，外部网络连接过来，刚好连接一个有缺陷的模块，可能会出现计算机系统因此崩溃的情况。所以，有些黑客往往会针对操作系统的不完善进行攻击，使计算机系统，特别是服务器系统立刻瘫痪。
操作系统支持在网络上传送文件、加载或安装程序，包括可执行文件，这些功能也会带来不安全因素。网络很重要的一个功能就是文件传输功能，比如FTP，这些安装程序经常会带一些可执行文件，这些可执行文件都是人为编写的程序，如果某个地方出现漏洞，那么可能就会造成系统崩溃。像这些远程调用、文件传输，如果生产厂家或个人在上面安装间谍程序，那么用户整个传输过程、使用过程都可能会被别人监视到，所有这些传输文件、加载程序、安装程序、执行文件等，都可能给操作系统带来重大安全隐患。所以，建议尽量少使用甚至不使用一些来历不明，或者无法证明它安全性的软件。



互联网是面向全球开放的网络，任何单位或个人都可以在网上方便地传输和获取各种信息，互联网这种开放性、共享性、国际性的特点就对计算机网络安全提出了很大挑战。
降低操作系统脆弱性，是提高网络环境自身健壮性的有效途径。但从操作系统开发层面入手，短期内很难凑效，因此，选择合适的脆弱性管理类产品就是最好的选择了。
为了找到合适的产品，我们对比了市场上几乎所有的漏洞扫描产品，其中国联易安的统一脆弱性管理平台在辅助系统健壮性提高方面表现尤为突出。
国联统一系统脆弱性管理平台是由国联易安研究团队自主研发的新一代漏洞扫描管理系统，涵盖了网络空间资产探测、系统漏洞扫描、虚拟机漏洞扫描、WEB漏洞扫描、网站安全监测、数据库安全扫描、安全基线核查、工控漏洞扫描、WIFI安全检测、APP安全扫描、大数据平台漏洞扫描、Windows安全加固、等保合规关联、分布式管理等功能。能全面、精准地检测信息系统中存在的各种脆弱性问题，提供专业、有效的漏洞分析和修补建议。并结合可信的漏洞管理流程对漏洞进行预警、扫描、修复、审计。
主要功能特点

• 多租户管理 不同租户间能设置符合各租户自身特点的漏洞扫描策略，并只能查看当前租户的漏洞分别情况；平台管理员能进行全局统一系统脆弱性管理和监控；
  
• 网络空间资产探测  遍历资产空间实现全网资产发现，识别网络环境中的存活主机、网络设备、数据库等相关设备及属性，自动生成网络拓扑，支持资产导出、导入以及资产数据的人工修正；
  
• 漏洞扫描  系统涵盖了空间资产探测、系统漏洞扫描、虚拟机漏洞扫描、WEB漏洞扫描、数据库安全扫描、安全基线核查、工控漏洞扫描、WIFI安全检测、APP安全扫描、大数据平台漏洞扫描、等保合规关联等漏洞扫描功能；
  
• windows安全加固  支持针对Windows操作系统的配置、网络、接入、日志、防护等方面的自动和手动安全加固。加固内容包括：配置管理（主机配置、用户策略、身份鉴别、补丁管理、软件管理），网络管理（服务端口、防火墙管理），接入管理（外设管理、自动播放、远程登录、无线网卡），日志审计，恶意代码防范（数据保护、防病毒软件）等；
  
• 报表关联  系统采用报表和图形的形式对扫描结果进行分析，可以预定义、自定义和多角度多层次的分析扫描结果。提供完善的漏洞风险级别、漏洞类别、漏洞描述、漏洞类型、漏洞解决办法；
  
• 分布式漏洞管理  全网分布式管理功能，系统支持分布式管理功能，系统能够向下级引擎下达扫描任务，接收下级引擎上传的扫描结果，进行统一分析，生成整体扫描报告；
  
• 一键升级  利用程序内置的产品升级模块，可以通过网络或者本地数据包，对漏洞库、软件进行在线升级、本地升级、定时升级。
  

面对持续增多增强的安全威胁，门嘉平博士表示，黑客发起攻击并不是盲目的，首先他们要做充分准备，比如找到可利用的系统脆弱性，也就是大家经常提起的0 DAY漏洞或者是已公开但没有采取弥补措施的已知漏洞，再利用一些针对性的利用工具，就可以发起真正意义上的破坏性攻击，而形成安全风险事件。因此，除了定期对系统进行升级和维护之外，使用脆弱性管理平台提高自身健壮性，也是保障网络安全必不可少的技术手段之一。