某局计算机内网安全漏洞特征分析

◆卿湘涛 卿晨雨 冯卫 张清超 童中华米楚阳 何凯

某局计算机内网安全漏洞特征分析

◆卿湘涛1卿晨雨2冯卫1张清超1童中华1米楚阳1何凯1

（1.湘西州气象局 湖南 416000；2.常宁市气象局 湖南 4125001）

本文根据某网络安全公司对某处级公益型事业单位计算机内网安全检查提交的《XX局漏洞扫描测试报告》，分析了网络安全漏洞在该局（包括二级单位）的业务、办公、视频会议网络段的分布特点，并对每个IP目标的安全漏洞进行了分析。结果表明，安全漏洞全部出现在视频会议终端、GPS/MET站、服务器上，业务、办公电脑未发现有安全漏洞。调研发现，由于视频会议终端的维护权在上级单位或服务商，GPS/MET站的维护权在合作单，该局无法进行安全漏洞修补；服务器上的安全漏洞是由于硬件、操作系统、数据库系统陈旧造成的。本文根据该局的安全漏洞分布特征及办公业务工作特点，指出了网络安全维护的重要性及紧迫性，提出了安全漏洞的修复方法与建议。

安全漏洞；内网；修补；分析

保护计算机内网系统安全，避免黑客利用系统漏洞来进行攻击是信息安全的一个重要环境。某局为公益性、科研型事业单位，日常办公与业务工作非常依赖计算机网络，其中部分内网服务器同时充当外网服务器，数据访问量每天超过10G，该局的计算机内网同时也是行业全国内网的一部分。黑客可以利用安全漏洞通过外网、行业内网实施各种危险的网络攻击，轻则造成网络访问出现严重障碍、重则造成数据损坏而无法开展公益服务造成严重的经济损失及社会影响。

由于人员编制的问题，该局没有网络专职管理员，日常办公与业务电脑网络的安全维护基本上交给免费的防火墙去完成，但重要服务器、各种内、外网接口及各种网络设备的维护需要很强的专业知识，兼职管理员无法胜任。上级单位会不定期委托“网络安全公司”对本系统的计算机内网进行安全评估，并出具漏洞扫描测试报告。但由于被委托的“网络安全公司”对该局的业务工作并不熟悉，提供漏洞扫描测试报告过于复杂零散，无法针对问题提出明确简单的解决方案。本文对测试报告进行了整理分析，尽可能分明类别地对报告列出的安全漏洞特点进行分析，并根据分析结果对该局的计算机网络维护工作提出建议。全省甚至全国范围内，与该局同级的单位的业务工作流程基本相同，计算机网络拓扑结构也基本相同，本文分析的结果及提供的网络安全措施有明显的示范作用。

1 某局的计算机内网概况

该单位是处级公益性、科研型事业单位，下属8个二级单位。

1.1 局本级计算机内网简介

局本级计算机内网由3个D类网段组成：

（1）视频会议网段：IP范围：XX.XXX.179.1～XX.XXX. 179.254；子网掩码255.255.255.192，网关XX.XXX.184.1。

（2）业务网段：IP范围：XX.XXX.176.1～XX.XXX.176.254；子网掩码255.255.255.0，网关XX.XXX.176.1。

（3）办公网段：IP范围：XX.XXX.177.1～XX.XXX.177.254；子网掩码255.255.255.0，网关XX.XXX.177.1。

雷达站网段：IP范围：XX.XXX.191.1～XX.XXX.191.254；子网掩码255.255.255.0，网关XX.XXX.191.1。

1.2 二级单位计算机内网简介

所有二级单位的计算机内部网络拓扑结构是完全相同的，以某二级单位为例，各网IP地址分配如下：

视频会议网段：IP范围：XX.XXX.184.4～XX.XXX.184.62；子网掩码255.255.255.192，网关XX.XXX.184.1。

业务网段：IP范围：XX.XXX.184.193～XX.XXX.184.251；子网掩码：255.255.255.192；网关：XX.XXX.184.254。

办公网段：IP范围：XX.XXX.184.132～XX.XXX.184.190；子网掩码：255.255.255.192；网关：XX.XXX.184.129。

2 漏洞扫描测试报告简介

目标地址IP可能是一台电脑、专用服务器、设备、终端，如果无法确定其承担何种功能，就称为“地址IP”。

上级部门于2019年委托“XX省电子信息产业研究院XX省网络与信息安全测评中心”对该单位计算机内网进行全网扫描。测试目的：进行漏洞扫描，检查系统安全状况，认真查找系统的突出问题和薄弱环节，全面排查安全隐患；检测系统：XX单位内网系统；检测类别，漏洞扫描。

被委托单位于2019年11月20日提交《XX局漏洞扫描测试报告》。

漏洞扫描测试报告测试结果：本次漏洞扫描范围包含292个目标地址IP，通过对其进行漏洞，共发现弱点总数 146 个。

测试报告共有74页，主要分两部分，第1部分为“项目统计列表”（见表1），第2部分为“系统漏洞详细报告”，对每个地址IP发现问题出以下清单（见表2）。

表1 项目统计列表

表2 系统漏洞详细报告

3 测试报告数据再分析

3.1 报告中存在问题及处理方法

重复记录的处理：“XX省电子信息产业研究院XX省网络与信息安全测评中心”对该单位的计算机安全漏洞测试可能由多人同时进行测试，同一个地址IP的详细报告中有多个重复记录。把同一个地址IP的详细报告中“CVE 编号、CVSS 评分、NVD编号”3项内容相同的记录全部列出来，发现漏洞名称、漏洞等级、漏洞描述基本相同，但修复建议部分存在较大差异，有些提供了修复建议及下载地址，有些指明“无相应的漏洞补救措施”。为了简单起见，凡同一个地址IP的“CVE 编号、CVSS 评分、NVD编号”的漏洞相同的报告，不管其他几项是否一致都认为是同一个漏洞，“修复建议”不一致的以可以修补为准。

不明目标地址IP：查看该局及二级单位的网络拓扑图，报告中的“项目统计列表”列出了部分不符合网络拓扑图规范的IP地址，现场排查时也未发现不符合网络拓扑图规范的目标地址IP。此类地址IP报告有安全漏洞，但不影响该局的统计结果。

3.2 漏洞概况

去掉重复记录后及无效IP地址后，按安全漏洞总数统计，共扫描该局287个地址IP，弱点总数 123 个；

漏洞等级为紧急的有11台个，高危30台个，中危70台个，低危12台个。

按安全漏洞分类统计，安全漏洞总数42个，漏洞等级为紧急的有7个，高危11个，中危17个，低危7个。

按目标地址IP的功能分类统计，有19台目标地址IP有安全漏洞，单台目标地址IP最多有15个安全漏洞，见表3。

出现最多的安全漏洞为“CNNVD 编号-201601-249、CNNVD 编号-201601-250），有8台目标地址IP上出现此漏洞；有23个漏洞只出现在单台目标地址IP的上（表略）。

3.3 无法修复的安全漏洞

厂商还没有提供此漏洞的相关补丁或者升级程序（简称：无法修复）的安全漏洞数为16个。按漏洞总数统计，漏洞等级为紧急的有1个，高危0个，中危9个，低危6个。

按漏洞分类统计，总数为8个，漏洞等级为紧急的有1个，高危0个，中危3个，低危4个。

按地址IP分类统计，无法修复的安全漏洞分布在8个地址IP上；其中“CNNVD 编号-201403-502”的安全漏洞出现次数最多，有7个目标地址IP有此漏洞。无法修复的安全漏洞在IP为XX.XXX.176.2的服务器上出现最多，共有5个，见表3。

表3 有安全漏洞的IP、漏洞个数、不可修复情况及设备用途

数据来源：《XX局漏洞扫描测试报告》--详细报告

3.4 有安全漏洞的地址IP的功能简介

对《XX局漏洞扫描测试报告》的“系统漏洞详细报告”进行统计，现场排查每个地址IP承担的功能，有安全漏洞的IP、漏洞个数、不可修复情况及设备用途见表3。

XX.XXX.176.2是数据库服务器，2016年安装，同时也是外网数据库服务器。操作系统为Windows Server 2000，数据库服务器为SQL Server 2000。该服务器安装有很多业务系统，每天的数据访问量很大（超过1GB）。报告显示譔服务器有24个安全漏洞，去掉重复记录后的有11个，漏洞等级为紧急的有3个，高危3个，中危3个，低危2个；无法修复的安全漏洞有5个，紧急1个，高危0个，中危2个，低危2个。

XX.XXX.176.3是XX.XXX.176.2的备份，2016年安装，业务基本上处于停用状态，操作系统为Windows Server 2010，数据库服务器（SQL Server 2000）。报告显示该服务器有15安全漏洞，去掉重复记录后的有5个，漏洞等级为紧急的有2个，高危1个，中危1个，低危1个；所有漏洞都可以修复。

XX.XXX.176.7为局本级的FTP服务器，2014年安装，操作系统Windows Server 2000。该服务器虽然每天都使用，但数据库访问量很低（低于1MB），偶尔也有大量的数据访问量。报告显示该服务器有5安全漏洞，漏洞等级为紧急的有2个，高危1个，中危1个，低危1个；所有漏洞都可以修复。

XX.XXX.176.16为局本级的文件服务器，是操作系统Linux，2012年安装，每天的数据访问量很大（超过1GB），报告显示共有16个安全漏洞，等级为高危的有3个，中危8个、低危3个。无法修复的安全漏洞有3个，漏洞等级为紧急有0个，高危0个，中危1个，低危2个。

XX.XXX.176.38局本级的局域网业务服务器，2012年的安装，是操作系统Windows 2010，安装有局本级业务应用系统，该服务器同时充当外网服务器。该服务器的业务功能基本上转到其他服务器，当前处理空闲状态。报告显示该服务器有15安全漏洞，漏洞等级为紧急的有0个，高危3个，中危9个，低危3个；有3个安全漏洞无法修的，其中紧急的有0个，高危0个，中危0个，低危3个。

XX.XXX.XXX.60 是该局二级单位的视频会议终端（4个）， XX.XXX.179.193为局本级视频会议终端，《XX局漏洞扫描测试报告》显示这5个终端有10个相间的安全漏洞，漏洞等级为高危的有3个、中危7个；其中有1个中危安全漏洞无法修复。视频会议终端每天至少使用2次。XX.XXX.184.218也是局二级单位的视频会议终端，漏洞等级为高危的有2个、中危5个；所有安全漏洞都可修补。

XX.XXX.XXX.200是国土部门与本局二级单位联合安装的 GPS/MET 站设备，总共6套设备，各有1个相同的安全漏洞数，漏洞等级为中危，可以修复。设备的所有权为国土部门。每天的数据访问量约在10-20MB。

IP地址为XX.XXX.176.222， XX.XXX.190.231的电脑各存在5个相同的安全漏洞，这两台电脑是临时使用的电脑，调研时发现此两个地址IP为停用状态。

3.5 各单位安全漏洞数统计特点

该局的局本级有4个D类网段（业务、办公、视频会商、713雷达站），每个二级单位是由4个E类网段组成的D类网段。根据《XX局漏洞扫描测试报告》的“项目统计列表”287个目标地址IP按网段统计，各网段的安全漏洞统计见表4。

表4 各单位安全漏洞统计安全漏洞数统计

局本级的业务段电脑共有15个目标地址IP。业务段电脑终端分为两类，第一类为服务器类，可细分为数据库服务器、文件服务器、业务用服务器；第二类为业务工作用电脑。业务工作用电脑没有发现网络安全漏洞，所有安全漏洞都出现在服务器上。现场排查发现，大部分业务工作用电脑的使用率非常高，小部分业务工作用电脑在不同的季节的使用率有较大差别，业务段地址IP实际有上20个或更多。

局本级的办公段有27个目标地址IP，均未发现有网络安全漏洞。需要说明的是有些办公室由于网络接口的有限，有多台电脑需要接入办公网络时，一般在办公室安装一个小路由器，兼作无线路由器，该办公室的电脑IP由路由器提供。现场统计局本级办公电脑有55台或更多。

局本级的视频会议终端网段共有8个目标地址IP，每个目标地址IP的功能不详，但只有视频会议终端发现安全漏洞。

局本级713雷达在非汛期处于停用状态，实际使用的电脑也不多。

二级单位有12个目标地址IP有安全漏洞，办公用电脑、业务用电脑（不包括服务器）未报告有安全漏洞；有问题的目标地址IP有5个为视频会议终端、6个GPS/MET 站；另有1台服务器发现有安全漏洞，该服务器为专用业务用服务器，2年前偶尔使用，目前已停止使用。

4 网络安全维护对策

4.1 无法修复的安全漏洞的问题

《XX局漏洞扫描测试报告》显示有146个（除去重复数为123个）安全漏洞，其中有16个安全漏洞厂商还没有提供此漏洞的相关补丁或者升级程序。

根据《XX局漏洞扫描测试报告》统计，只有8个无法修复的安全漏洞出现在8个地址IP上。其中有6个目标地址IP为视频会议终端（局本级1个，二级单位5个）。该局有8个二级单位，所有二级单位都有视频会议终端，型号与服务商也是一样的，其中有4个视频会议终端的漏洞完全相同，说明服务商对于此类安全漏洞有完整的解决方案。局本级视频会议终端省内同级单位有14套，型号应该一致，服务商应该有安全漏洞完整的解决方案。

XX.XXX.176.16为Linux服务器，有3个无法修的漏洞。Windows Server 一般有免费的软件的防火墙，Linux系统是否有类似的第三方的防火墙，非专业人员并不熟悉，也不知道如何进行安全维护。该服务器投入使用已有8年时间，建议对服务器在安放升级系统、购置新服务器、功能由其他服务器替代、停用等方面进行评估再采取措施。

XX.XXX.176.2为数据库服务器，该服务器为2006年安装，使用提WINDOWS 2000操作系统，数据库为SQL Server 2000，这种古董服务器没必须进行修复，升级操作系统及数据库即可。

XX.XXX.176.38是业务用服务器，业务功能已迁移到其他业务电脑（服务器）上，如无必要可以拆除。

二级单位有1台服务器存在安全漏洞，现场排查其功能已取消或转移到新系统上，该服务器已停用，建议拆除。

4.2 网络安全日常维护存在的问题及解决方案

《XX局漏洞扫描测试报告》有19个目标地址存在安全漏洞，除开6个视频会议终端、6台GPS/MET 站，实际上有安全漏洞的电脑数（包括服务器）为7台。

查看IP地址可知，所有的办公电脑办公网段（局本级??.???.177.1 ～??.???.177.254，二级单位（??.???.???.132～??.???.???.190）办公网段电脑（设备、终端）未发现有安全漏洞。一般来讲办公用电脑安装有免费的软件防火墙（防病毒软件），安全漏洞能及时修补。

业务电脑（不包括服务器）网段也没有软件安全漏洞（防病毒软件），业务用电脑是多人共用的，大部分业务用电脑使用率也较高，一般安装有免费的防火墙，安全漏洞能及时修补。调查发现部分业务用电脑有专用功能，每年不同时期承担的工作的重要性不一致，有时可能完全停用或关机。由外单位进行行漏洞扫描时可能处于关机状态，不能准确地反映安全漏洞是否已全部修补。

安全漏洞只存在业务用网段中的服务器、视频会议终端、GPS/MET 站。

现场调查发现有些服务器的操作系统还在使用Windows Server 2000，数据库使用SQL Server 2000；调查还发现有些服务器兼作外网服务器，用户通过外网IP直接访问服务器。由于服务器承担着很重要的业务工作，除非出现严重问题，就算是专业人员一般也不会随便去更改服务器配置，部分安全漏洞未能及时修补。

该单位还有台与XX.XXX.176.16类似Linux服务器，IP为XX.XXX.176.17，这两台服务器都是同时安装并投入使用的，报告“项目统计列表”未见XX.XXX.176.17的信息，该服务器在网络安全公司进行漏洞扫描时可能处于关闭状态。

局本级的视频会议终端（??.???.179.193）及4个二级单位的视频会议终端（??.???.???.60）都有10个相同的安全漏洞，其中有一个安全漏洞还是无法修复的，另有一个视频会议终端XX.XXX.184.218也存在安全漏洞，但与其他二级单位的视频会议终端的安全漏洞不一致。设备的网络安全维护专业性较强，上级机关也不支持基层单位直接进行网络安全维护。对于发现的网络漏洞应及时报告，统一维护。

本单位的网络管理人员一般不参与维护GPS/MET 站的维护。由于GPS/MET 站需要读取本地业务电脑中的数据，对于出现的网络安全漏洞应引起足够的重视，须及时向相关单位报告。

4.3 网络安全的严重性

《XX局漏洞扫描测试报告》表明，看似292个目标中只有19个目标存在有安全漏洞，除专用设备外只有7个目标存在有安全漏洞，看似问题并不严重，实际上这7个目标全是服务器，分别承担数据库服务器、文件服务器、FTP服务器、业务工作服务器的功能，所以问题是非常严重的。有些服务器还承担外网服务器的功能，外网服务器极易受到黑客攻击，问题的严重性应引起足够的重视。有两个服务器的安全漏洞数超过10个，还有一些无法修复的安全漏洞，维护任务非常紧迫。

5 总结与建议

5.1 总结

《XX局漏洞扫描测试报告》有74页，在287个目标共发现有123个安全漏洞，其中有16个安全漏洞厂商还没有提供此漏洞的相关补丁或者升级程序。此份报告极其详尽，依此报告，安全维护工作量看似非常繁重，经分析整理及现场排查后，总结如下

（1）办公用网段的电脑由于有免费的防火墙可用，网络安全漏洞基本上及时修补，报告显示未发现网络安全漏洞。但部分办公电脑由于使用了路由器提供的IP地址连接网络，无法进行扫描检查，可能存在安全隐患。

（2）常用的业务用电脑也可使用免费的防火墙，保证网络安全漏洞及时得到修补，未发现网络安全漏洞。但部分业务电脑在不同季节的使用率不同的，在网络安全公司进行检查时，部分电脑可能处于关机状态，因而可能存在安全隐患。

（3）该局共有9个视频会议终端，其中5个视频会议终端发现有10个相同的安全漏洞，另有一个存在7个安全漏洞。该单位及二单位的视频会议终端都是同一个服务商安装的，使用相同型号的产品，有3个终端未发现安全漏洞，有5个终端有10个相同的安全漏洞，还有一个视频会议终端的安全漏洞完全不同，说明服务商其实有安全维护方案。视频会议终端的安全维护专业性比较强，维护工作一般由服务商承担，上级单位也应该主动与服务商沟通及时完成安全漏洞修补。

（4）GPS/MET站是该单位与外单位合作开展业务手的设备，设备所有权及管理权都在外单位，二级单位共有6台此种设备，都存在一个相同的安全漏洞。该单位应主动及时向外单位报告，一起解决这个网络安全漏洞。所有GPS/MET站的安全漏洞是相同的，只要一个地方安全漏洞修补了，其他几个单位的漏洞就可很快修补。

（5）服务器承担很重要的办公及业务工作。由于各种原因，部分服务器的还在使用古董级的操作系统，操作系统升级后很多安全漏洞就不存在了。有安全漏洞的服务器保存的数据存在严重的安全隐患，必须有专业管理员维护，该单位的网络管理员下乡扶贫后，网络管理员职责由其他人兼职，兼职网络管理员的工作任务必须明确，专业水平有待提高。

5.2 建议

（1）《XX局漏洞扫描测试报告》并不严谨，该局的网络管理员应及时将报告中存在的问题反馈给上级管理部门与相应的网络安全公司。

（2）该局应配备一个高水平的专业或兼职的网络管理员。管理员应经常对重要的服务器、设备、终端进行检查，经常进行安全检查及时完成漏洞修补，不能完全依赖上级部门的检查报告。

（3）对古董级操作系统应及时升级，对服务功能已升迁的服务器应及清理，可以撤走的应及时撤走，停用空闲的服务器。

（4）一般认为Linux服务器比Windows 服务器安全，实际上Linux服务器也存在有网络安全漏洞，必须及时进行升级并安装软件防火墙。