電力系統(tǒng)信息安全漏洞運維管理的研究

婁一艇++嚴(yán)鈺君++葉明達++戚浩金

摘 要：漏洞管理流程的響應(yīng)速度，能否搶在攻擊者利用之前完成修補，是一個重要的衡量標(biāo)準(zhǔn)。基于電力行業(yè)系統(tǒng)的特性，論文實現(xiàn)了電力系統(tǒng)信息安全漏洞的運維管理，通過安全漏洞原理分析、漏洞誤報分析、漏洞風(fēng)險分析（是否能被利用）、切實有效的加固方法，形成安全漏洞閉環(huán)式管理。這種管理方式，改變了傳統(tǒng)的漏洞掃描、報告、修復(fù)、審核流程，通過引入漏洞情報和對資產(chǎn)的預(yù)先梳理和持續(xù)監(jiān)控，把漏洞管理流程向外擴展了漏洞分析環(huán)節(jié)的漏洞修復(fù)建議、漏洞修復(fù)環(huán)節(jié)的修復(fù)方案，以及對整個管理過程的評估、對比和優(yōu)化。

關(guān)鍵詞：漏洞；閉環(huán)式管理

Abstract： The speed of response of a vulnerability management process， whether it can be stolen before the attacker can use it， is an important measure. On the basis of the characteristics of electric power industry system， this paper implements the operations management of electric power system information security vulnerabilities， by principle analysisof security vulnerability、vulnerabilitymis-report analysis、vulnerability risk analysis （whether they can be used）、the effective reinforcement method to form a closed-loop type management of security holes. Change the traditional vulnerability scanning， report， repair， and audit process， by introducing vulnerabilities intelligence and advance for assets and continuous monitoring， expanding the vulnerability management process to vulnerability repair adviceof vulnerability analysis link and repair planof bug fix link， as well as to the evaluation、comparison and optimization of the whole process of management.

Key words： vulnerability； closed-loop type management

1 引言

隨著國家、上級監(jiān)管部門對安全要求的日益嚴(yán)格和信息安全行業(yè)整體的技術(shù)發(fā)展，同時因業(yè)務(wù)需求發(fā)展壯大以及互聯(lián)網(wǎng)資產(chǎn)暴露面隨之不斷擴大，信息安全風(fēng)險與日俱增，安全管理及運維工作風(fēng)險與挑戰(zhàn)并存。

近十年來互聯(lián)網(wǎng)大發(fā)展，電力公司的應(yīng)用越來越多、安全域不斷調(diào)整、設(shè)備數(shù)量種類不斷增加、業(yè)務(wù)邏輯越來越復(fù)雜。與此同時安全漏洞也多有發(fā)生，隨時威脅著系統(tǒng)、數(shù)據(jù)、業(yè)務(wù)的安全，安全漏洞的研究與管理勢在必行。眾所周知，信息安全領(lǐng)域涵蓋IT行業(yè)多個細分領(lǐng)域，對信息安全運維、管理工作者有著較高的技術(shù)、管理要求。因此本文主要探討安全漏洞的管理與如何提升安全管理效率，降低安全管理門檻。

2 安全漏洞的產(chǎn)生

安全漏洞的產(chǎn)生總的來說由于邏輯錯誤、安全策略等造成硬件（主板、CPU），軟件（Oracle、Java、PHP、OpenSSL等）、協(xié)議存在缺陷，非法訪問者或攻擊者可以在未經(jīng)授權(quán)的情況下越權(quán)訪問系統(tǒng)[2]。例如邏輯錯誤導(dǎo)致的安全漏洞：業(yè)務(wù)系統(tǒng)中經(jīng)常發(fā)現(xiàn)的萬能密碼，由于開發(fā)者在登錄查詢中SQL語句邏輯編寫不嚴(yán)謹(jǐn)，導(dǎo)致SQL注入漏洞，從而非法訪問者可通過任意密碼進行登錄系統(tǒng)。安全策略不嚴(yán)謹(jǐn)導(dǎo)致的安全漏洞：最容易安全加固但也是信息安全中危害最大之一的弱口令問題，就是由于密碼安全策略安全級別配置不夠?qū)е隆?/p>

3 安全漏洞的發(fā)現(xiàn)

在日常運維工作中，發(fā)現(xiàn)安全漏洞的主要途徑有兩種。

3.1 通過安全產(chǎn)品進行漏洞掃描

目前主流的漏洞掃描產(chǎn)品掃描范圍基本覆蓋主機設(shè)備，如網(wǎng)絡(luò)層（交換機、路由器、防火墻等），主機（Windows、Unix、Linux等），數(shù)據(jù)庫（Oracle、DB2、Mysql、SQL Server等），中間件（WebLogic、JBoss、Apache、IIS等）等。漏洞掃描原理大致分為兩類：第一類通過遠程識別目標(biāo)主機中服務(wù)的軟件版本、類型，然后根據(jù)版本從漏洞庫中搜索出相對應(yīng)的版本漏洞，稱之為版本掃描；第二類通過遠程識別目標(biāo)主機中服務(wù)的軟件版本、類型，然后模擬黑客對服務(wù)漏洞的利用過程，稱之為原理掃描[1]。

3.2 人工滲透測試

通過模擬惡意黑客的攻擊方法，來評估計算機網(wǎng)絡(luò)系統(tǒng)安全的一種評估方法。這個過程包括對系統(tǒng)的任何弱點、技術(shù)缺陷或漏洞的主動分析，這個分析是從一個攻擊者可能存在的位置來進行的，并且從這個位置有條件主動利用安全漏洞。滲透測試對人員的技術(shù)水平和經(jīng)驗要求很高，但是往往能發(fā)現(xiàn)系統(tǒng)架構(gòu)層面和邏輯層面的漏洞，這些漏洞一般是工具無法直接掃描出來的，但是對系統(tǒng)的危害性又非常大。所以，滲透測試是漏洞發(fā)掘工作重要一項內(nèi)容[1]。

總之，這兩種途徑對檢查信息系統(tǒng)漏洞都是至關(guān)重要的，工具掃描可以快速、大范圍地檢查漏洞，滲透測試可以重點、深入地發(fā)現(xiàn)漏洞，二者互為補充，成為目前發(fā)現(xiàn)漏洞的不可缺少環(huán)節(jié)。endprint

4 安全漏洞管理策略

安全漏洞管理離不開實際生產(chǎn)環(huán)境，根據(jù)等級保護、行業(yè)等相關(guān)要求，從電力公司實際安全性考慮，業(yè)務(wù)系統(tǒng)進行了分級分域管理，那么對于安全漏洞的管理也需要充分考慮安全漏洞歸屬資產(chǎn)的實際業(yè)務(wù)環(huán)境[3]。再者需要結(jié)合安全漏洞管理本身的性質(zhì)，例如是否屬于軟件版本漏洞，還是屬于原理掃描發(fā)現(xiàn)的安全漏洞。

4.1 漏洞管理的基本思路

4.1.1 確定資產(chǎn)安全等級

根據(jù)“安全風(fēng)險模型”對網(wǎng)管中心業(yè)務(wù)系統(tǒng)相關(guān)資產(chǎn)進行安全定級。影響定級的因素主要包含資產(chǎn)重要性（承載的業(yè)務(wù)及數(shù)據(jù)重要性）；面臨安全風(fēng)險大小（是否允許外網(wǎng)訪問，存在外部攻擊風(fēng)險）兩個方面。

4.1.2 定漏洞整改優(yōu)先級

根據(jù)資產(chǎn)重要性、漏洞風(fēng)險值、漏洞易利用程度等方面對漏洞整改優(yōu)先級進行確定。

4.1.3 分步治理長期運營

確立漏洞修復(fù)計劃，優(yōu)先對安全等級高的業(yè)務(wù)系統(tǒng)資產(chǎn)中整改優(yōu)先級高的漏洞進行整改加固；針對不同安全等級資產(chǎn)設(shè)定不同的安全漏洞復(fù)查周期。

根據(jù)以上的思路結(jié)合電力行業(yè)的特性，總結(jié)出三點漏洞管理的策略。

4.2 分級分域管理策略

分級分域管理主要針對不同安全域的資產(chǎn)劃分資產(chǎn)重要性，設(shè)置資產(chǎn)權(quán)重，目的就是為了對資產(chǎn)權(quán)重高的資產(chǎn)做重點管理[4]。例如電力公司劃分了DMZ區(qū)、辦公區(qū)、核心系統(tǒng)區(qū)。DMZ區(qū)的資產(chǎn)主要為了提供互聯(lián)網(wǎng)服務(wù)，那么這部分資產(chǎn)面臨的威脅主要來自于互聯(lián)網(wǎng)的攻擊，雖然DMZ區(qū)部署有各類安全設(shè)備但從保護業(yè)務(wù)安全性的角度考慮，一旦被非法攻擊直接影響業(yè)務(wù)生產(chǎn)，因此DMZ區(qū)的資產(chǎn)權(quán)重應(yīng)該為最高。

核心系統(tǒng)區(qū)安全策略復(fù)雜，且嚴(yán)格控制其他安全域的訪問控制，因此核心系統(tǒng)區(qū)的資產(chǎn)權(quán)重相對較低。辦公區(qū)的多數(shù)為個人使用終端各類敏感數(shù)據(jù)較多，一旦被非法攻擊影響較大，因此辦公區(qū)的權(quán)重介于DMZ與核心系統(tǒng)區(qū)之間。假設(shè)權(quán)重分為1～5分，那么DMZ的權(quán)重分為5，辦公區(qū)的權(quán)重為4，核心系統(tǒng)區(qū)的權(quán)重為3。通俗來說，權(quán)重的劃分主要依據(jù)相關(guān)安全域資產(chǎn)一旦被非法攻擊之后的影響程度。如圖1所示。

4.3 根據(jù)安全漏洞性質(zhì)管理策略

對于具體漏洞的管理可分為兩個維度綜合來管理，一是漏洞的可利用情況，二是漏洞類型（版本漏洞還是邏輯漏洞）。可用性驗證需要通過手工或者第三方工具來驗證漏洞是否真實可以利用。版本驗證可通過漏洞掃描報告中對目標(biāo)資產(chǎn)的探測信息進行分析，分析是否利用端口探測發(fā)現(xiàn)的安全漏洞，還是通過軟件版本探測發(fā)現(xiàn)的安全漏洞。

驗證完漏洞的性質(zhì)就需要對漏洞在安全加固中處于個什么樣的級別進行劃分。例如可利用的原理掃描漏洞，這類漏洞屬于風(fēng)險級別較高的漏洞，在安全加固過程中需要優(yōu)先進行加固。例如不可利用的版本掃描，這類漏洞風(fēng)險級別較低，在安全加固過程中可酌情加固或者無需加固。

具體事例：弱口令漏洞屬于可利用原理掃描的安全漏洞，在加固過程匯總就需要優(yōu)先加固。Oracle版本漏洞在系統(tǒng)中經(jīng)常被發(fā)現(xiàn)，但是綜合考慮Oracle的域環(huán)境和在加固過程中帶來的加固風(fēng)險，可能影響正常業(yè)務(wù)運行，因此類似Oracle的這類漏洞無需加固，可通過訪問控制策略進行訪問限制。

漏洞的性質(zhì)管理需要在日常安全運維過程中，做大量的漏洞樣本測試，為了提升漏洞管理效率，還需要形成公司自身的安全加固經(jīng)驗庫。一旦系統(tǒng)中再出相同的安全漏洞，便可在加固經(jīng)驗庫中搜索結(jié)果、引用結(jié)果。同時對于安全漏洞的驗證、管理專業(yè)性要求較高，因此經(jīng)驗的累計必不可少。如圖2所示。

4.3 漏洞生命周期管理策略

通過漏洞的具體環(huán)境及漏洞性質(zhì)管理策略，基本上可以把90%以上的安全漏洞進行分類劃分，如何針對漏洞的生命周期管理，就需要在日常安全運維過程中對漏洞掃描報告、滲漏測試報告進行統(tǒng)一管理，統(tǒng)一分析。同時，形成單一資產(chǎn)、單一漏洞的歷史記錄，通過歷史記錄和直觀反應(yīng)出漏洞大致出現(xiàn)日期，再可通過安全漏洞管理策略分析出漏洞形成的原因，這時可以引用歷史加固策略對單一漏洞進行有效的處理[4]。

5 結(jié)束語

安全漏洞的驗證、管理、加固是系統(tǒng)基礎(chǔ)安全防御的重要組成部分，但由于其專業(yè)性導(dǎo)致日常運維部門面對安全漏洞時束手復(fù)查。同時安全漏洞管理需要結(jié)合具體的業(yè)務(wù)生產(chǎn)環(huán)境，因此日常運維過程中需要付出大量的加固論證及可行性驗證。一句話來說，安全漏洞管理是以技術(shù)為依托，不斷地累計漏洞處理經(jīng)驗的過程，最終形成完善的漏洞管理體系。

參考文獻

[1] 吳世忠，劉暉，郭濤，易錦，著.信息安全漏洞分析基礎(chǔ)[M].北京：科學(xué)出版社，2013.

[2] 王雨晨.系統(tǒng)漏洞原理與常見攻擊方法[D].華北計算技術(shù)研究所.

[3] http：//www.cnki.com.cn/Article/CJFDTotal-TXSJ201623003.htm.

[4] （美）Park Foreman著.吳世忠，郭濤，董國偉，張普含，譯.漏洞管理[M].北京：機械工業(yè)出版社，2013.endprint