一種信息安全漏洞管理方案的實(shí)踐

葉明達(dá) 黃智 張寒之

摘 要：隨著互聯(lián)網(wǎng)發(fā)展，企業(yè)信息資產(chǎn)數(shù)量不斷擴(kuò)張，安全漏洞數(shù)量不斷增多，由于補(bǔ)丁升級(jí)、漏洞修復(fù)等操作具備較強(qiáng)的專業(yè)性及業(yè)務(wù)相關(guān)性，因此企業(yè)安全漏洞管理也面臨著諸多困難，比如漏洞掃描產(chǎn)品難以支撐管理要求；運(yùn)維團(tuán)隊(duì)人員缺失且安全知識(shí)不足。漏洞管理需結(jié)合漏洞風(fēng)險(xiǎn)程度、漏洞利用性質(zhì)等，同時(shí)安全漏洞管理離不開實(shí)際生產(chǎn)環(huán)境，需分步治理，長(zhǎng)期運(yùn)營(yíng)。

關(guān)鍵詞：信息安全；漏洞管理；系統(tǒng)漏洞；主機(jī)漏洞

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A

1 引言

近10年來互聯(lián)網(wǎng)大發(fā)展，正逐漸改變?nèi)藗兊纳願(yuàn)蕵贩绞剑瑫r(shí)推動(dòng)了生產(chǎn)系統(tǒng)的更新?lián)Q代和生產(chǎn)方式的變革。然而，生產(chǎn)力大大提高的同時(shí)，網(wǎng)絡(luò)的脆弱性也將生產(chǎn)系統(tǒng)暴露給別有用心者，甚至導(dǎo)致災(zāi)難性的破壞，各個(gè)互聯(lián)網(wǎng)公司的應(yīng)用也越來越多、安全域不斷調(diào)整、設(shè)備數(shù)量種類不斷增加、業(yè)務(wù)邏輯越來越復(fù)雜。與此同時(shí)，安全漏洞也層出不窮，隨時(shí)威脅著系統(tǒng)、數(shù)據(jù)、業(yè)務(wù)的安全，安全漏洞的研究與管理勢(shì)在必行。

信息安全領(lǐng)域涵蓋IT行業(yè)多個(gè)細(xì)分領(lǐng)域，對(duì)信息安全運(yùn)維、管理工作者有著較高的技術(shù)、管理要求。因此，研究企業(yè)安全漏洞管理方法，搭建標(biāo)準(zhǔn)統(tǒng)一的漏洞管理系統(tǒng)，對(duì)于提高各廠商產(chǎn)品安全性、提升安全管理效率、降低安全管理門檻具有重要意義。

2 安全漏洞的定義

漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)，使受限制的計(jì)算機(jī)、組件、應(yīng)用程序或其他聯(lián)機(jī)資源的無意中留下的不受保護(hù)的入口點(diǎn)。常見的安全漏洞有幾種。

（1）代碼注入——包括SQL注入在內(nèi)的廣義攻擊，它取決于插入代碼并由應(yīng)用程序執(zhí)行。

（2）會(huì)話固定——這是一種會(huì)話攻擊，通過該漏洞攻擊者可以劫持一個(gè)有效的用戶會(huì)話。會(huì)話固定攻擊可以在受害者的瀏覽器上修改一個(gè)已經(jīng)建立好的會(huì)話，因此在用戶登錄前可以進(jìn)行惡意攻擊。

（3）路徑訪問，或者“目錄訪問”——旨在訪問儲(chǔ)存在Web根文件外的文件或者目錄。

（4）弱密碼，字符少、數(shù)字長(zhǎng)度短以及缺少特殊符號(hào)——這種密碼相對(duì)容易破解[3]。

3 企業(yè)安全漏洞管理面臨的困難

3.1 漏掃產(chǎn)品難以支撐管理要求

其實(shí)很多企業(yè)、組織混淆了漏洞管理工作和漏洞評(píng)估產(chǎn)品的概念，認(rèn)為買了漏洞掃描產(chǎn)品能解決所有問題。企業(yè)、組織內(nèi)部的漏洞管理要求，是圍繞著如何更好的使用漏洞掃描產(chǎn)品而制定。

但在國(guó)際著名咨詢機(jī)構(gòu)Gartner的觀點(diǎn)中，無論如何“漏洞管理”是不可能通過購(gòu)買而獲得的，漏洞管理是在安全脆弱性被利用前，發(fā)現(xiàn)并作出修補(bǔ)的關(guān)鍵流程。這個(gè)流程包括定義安全策略、評(píng)估、防護(hù)、消減和監(jiān)控等環(huán)節(jié)。而安全流程不是應(yīng)用、軟件、服務(wù)，是不能買來的，需要組織或企業(yè)自發(fā)建立，并且要適合自身實(shí)際情況。

市場(chǎng)上現(xiàn)有的多數(shù)漏洞掃描產(chǎn)品，只能做到漏洞管理流程中的漏洞評(píng)估一個(gè)環(huán)節(jié)的工作，可以稱之為漏洞評(píng)估產(chǎn)品。漏洞評(píng)估產(chǎn)品只是管理流程中的一個(gè)環(huán)節(jié)，它應(yīng)該包括對(duì)設(shè)備、系統(tǒng)層面的漏洞發(fā)現(xiàn)，Web站點(diǎn)等應(yīng)用層面的漏洞發(fā)現(xiàn)，同時(shí)也要能夠人員操作層面的配置錯(cuò)誤和疏忽。

而漏洞管理流程同時(shí)還需要完善的管理制度、自動(dòng)化IT安全管理平臺(tái)、執(zhí)行制度的人等共同支撐流程的運(yùn)轉(zhuǎn)，目前市場(chǎng)上充當(dāng)管理平臺(tái)角色的一般是大而全的SOC系統(tǒng)或SIME，應(yīng)用復(fù)雜缺少針對(duì)性。

3.2 漏洞運(yùn)維管理成本和專業(yè)性

漏洞運(yùn)維管理成本和專業(yè)性主要表現(xiàn)在兩個(gè)方面。

（1）企業(yè)漏洞運(yùn)維投入資源有限。實(shí)際漏洞的數(shù)量非常巨大，如果按照純?nèi)斯び?jì)算，要實(shí)現(xiàn)有效的安全運(yùn)維需要非常高昂的人工成本，這些高昂的成本往往是企業(yè)難以負(fù)擔(dān)也不愿負(fù)擔(dān)的。

（2）知識(shí)獲取困難。安全攻防知識(shí)體系包括很多內(nèi)容，一個(gè)合格的安全人員不但需要了解最新的安全漏洞前沿資訊或情報(bào)，具備深厚的安全專業(yè)技術(shù)功底，往往也需要對(duì)業(yè)務(wù)有這深刻的了解。在實(shí)際工作中，無論是安全情報(bào)，還是業(yè)務(wù)知識(shí)，這些信息的獲取都是非常困難的。

4 安全漏洞管理實(shí)施方案

安全漏洞管理離不開實(shí)際生產(chǎn)環(huán)境，根據(jù)等級(jí)保護(hù)、行業(yè)等相關(guān)要求，從公司實(shí)際安全性考慮，業(yè)務(wù)系統(tǒng)進(jìn)行了分級(jí)分域管理，那么對(duì)于安全漏洞的管理也需要充分考慮安全漏洞歸屬資產(chǎn)的實(shí)際業(yè)務(wù)環(huán)境。再者，需要結(jié)合安全漏洞管理本身的性質(zhì)，例如上文所說是否屬于軟件版本漏洞，還是屬于原理掃描發(fā)現(xiàn)的安全漏洞。所以，從實(shí)際出發(fā)總結(jié)了一下漏洞管理的基本思路，分為三步，如圖1所示。

（1） 確定資產(chǎn)安全等級(jí)。根據(jù)“安全風(fēng)險(xiǎn)模型”對(duì)業(yè)務(wù)系統(tǒng)相關(guān)資產(chǎn)進(jìn)行安全定級(jí)。影響的定級(jí)的因素主要包含資產(chǎn)重要性（承載的業(yè)務(wù)及數(shù)據(jù)重要性）、面臨安全風(fēng)險(xiǎn)大小（是否允許外網(wǎng)訪問存在外部攻擊風(fēng)險(xiǎn)）兩個(gè)方面。

（2） 確定漏洞整改優(yōu)先級(jí)。根據(jù)漏洞資產(chǎn)重要性、風(fēng)險(xiǎn)值、易利用程度等方面對(duì)漏洞整改優(yōu)先級(jí)進(jìn)行確定，如圖2所示。

（3） 分步治理，長(zhǎng)期運(yùn)營(yíng)。確立漏洞修復(fù)計(jì)劃，優(yōu)先對(duì)安全等級(jí)高的業(yè)務(wù)系統(tǒng)資產(chǎn)中整改優(yōu)先級(jí)高的漏洞進(jìn)行整改加固；針對(duì)不同安全等級(jí)資產(chǎn)設(shè)定不同的安全漏洞復(fù)查周期[2]。

4.1 方案總體流程

如圖3所示，該方案核心業(yè)務(wù)流由分散的能力項(xiàng)構(gòu)成，例如資產(chǎn)管理、情報(bào)管理、漏洞處置等。一連串的功能項(xiàng)構(gòu)成了整體業(yè)務(wù)，換言之，業(yè)務(wù)系統(tǒng)是操作人員對(duì)功能項(xiàng)的調(diào)用序列。一般的平臺(tái)系統(tǒng)由操作員自身記憶操作過程，具有主觀隨意性，不夠規(guī)范且容易遺漏。

在該方案中，通過流程來標(biāo)識(shí)和落實(shí)整體業(yè)務(wù)。業(yè)務(wù)流程為特定角色的特定業(yè)務(wù)操作流程，系統(tǒng)閉環(huán)業(yè)務(wù)鏈由有限條各用戶交織的流程所構(gòu)建。通過流程管理可支持系統(tǒng)靈活運(yùn)營(yíng)，有兩個(gè)特點(diǎn)。

（1）用戶維度：定義了完整的用戶操作端到端有序步驟，充分必要地約束了操作行為。

（2）業(yè)務(wù)維度：一條業(yè)務(wù)流程可貫穿多個(gè)角色與賬號(hào)，體現(xiàn)系統(tǒng)級(jí)別的協(xié)同性。

具體而言，該方案流程由流程策略單構(gòu)成，具體來說，一個(gè)業(yè)務(wù)流程是由一系列流程策略單組成，包括流程單生成策略、派發(fā)角色/賬號(hào)、任務(wù)內(nèi)容。

按照流程單生成策略，每個(gè)流程策略可以在特定條件下產(chǎn)生流程單，即操作任務(wù)單。操作任務(wù)單會(huì)在特定條件下發(fā)送給相應(yīng)的執(zhí)行對(duì)象（生成工作臺(tái)待辦），以在系統(tǒng)中自動(dòng)地驅(qū)動(dòng)管理流程。

4.2 方案實(shí)施步驟

4.2.1 資產(chǎn)核查

用于內(nèi)網(wǎng)的感知和監(jiān)控，流程分為三個(gè)環(huán)節(jié)，由系統(tǒng)管理員執(zhí)行三步驟。

（1）發(fā)起資產(chǎn)稽查，配置稽查的策略，啟動(dòng)稽查任務(wù)。

（2）資產(chǎn)稽查掃描策略，對(duì)于稽查中資產(chǎn)發(fā)現(xiàn)掃描任務(wù)策略的配置。

（3）稽查報(bào)表，即結(jié)果的查看和報(bào)表導(dǎo)出，稽查結(jié)果分為綜述統(tǒng)計(jì)內(nèi)容和詳細(xì)對(duì)比內(nèi)容。

4.2.2 快速定位快速響應(yīng)

如圖4所示，此流程目的將使用者從漏洞管理流程，變?yōu)榭焖侔l(fā)現(xiàn)和響應(yīng)流程。流程分為四個(gè)環(huán)節(jié)，由運(yùn)維人員分四步執(zhí)行。

（1）使用者手動(dòng)錄入漏洞資產(chǎn)配置。

（2）資產(chǎn)預(yù)警策略配置，系統(tǒng)自動(dòng)按照漏洞策略篩選相關(guān)的可疑資產(chǎn)范圍。

（3）預(yù)警資產(chǎn)評(píng)估，給使用者展示預(yù)警資產(chǎn)以便認(rèn)為評(píng)估風(fēng)險(xiǎn)。

（4）預(yù)警資產(chǎn)掃描，當(dāng)掃描引擎支持策略漏洞后，提示使用者發(fā)起漏洞閉環(huán)流程。

4.2.3 漏洞閉環(huán)運(yùn)維管理

漏洞閉環(huán)是系統(tǒng)的基礎(chǔ)流程：通過它能夠?qū)⒃摲桨傅幕灸芰M織起來，實(shí)現(xiàn)標(biāo)準(zhǔn)的脆弱性/漏洞全生命周期管理，通過流程單與操作人員完成互動(dòng)，同時(shí)實(shí)現(xiàn)底層資源的調(diào)度分派，為使用者提供業(yè)務(wù)數(shù)據(jù)展示、存儲(chǔ)和輸出。此流程同時(shí)可為其他流程所調(diào)用，因此是構(gòu)成系統(tǒng)流程體系的基石[1]。

如圖5所示，漏洞閉環(huán)流程由六個(gè)環(huán)節(jié)構(gòu)成，分別由業(yè)務(wù)管理員和平臺(tái)運(yùn)維人員完成。

資產(chǎn)管理：實(shí)現(xiàn)脆弱性評(píng)估目標(biāo)范圍的界定和選取。

資產(chǎn)掃描：配置脆弱性的監(jiān)測(cè)策略、時(shí)間策略等，掃描資產(chǎn)漏洞（發(fā)現(xiàn)資產(chǎn)和脆弱性的關(guān)系）。

風(fēng)險(xiǎn)評(píng)估：資產(chǎn)掃描環(huán)節(jié)所產(chǎn)生的漏洞，在本環(huán)節(jié)與該系統(tǒng)威脅情報(bào)結(jié)合，按照使用者定制的風(fēng)險(xiǎn)評(píng)估模型，計(jì)算風(fēng)險(xiǎn)優(yōu)先級(jí)并展示，由運(yùn)維人員選擇修復(fù)范圍。

漏洞修復(fù)：系統(tǒng)按運(yùn)維人員選擇的修復(fù)范圍每漏洞產(chǎn)生一個(gè)修復(fù)單，運(yùn)維人員按線下實(shí)際修復(fù)情況改變修復(fù)單的狀態(tài)，或?qū)崿F(xiàn)修復(fù)單流轉(zhuǎn)。

修復(fù)核查：對(duì)于運(yùn)維人員將其狀態(tài)變更為“已修復(fù)”的修復(fù)單，系統(tǒng)會(huì)為對(duì)應(yīng)目標(biāo)資產(chǎn)提供與該漏洞發(fā)現(xiàn)時(shí)檢測(cè)策略一致的掃描操作和結(jié)果審核接口，由運(yùn)維人員通過重掃完成是否修復(fù)的判斷。取決于實(shí)際修復(fù)狀態(tài)，修復(fù)核查與漏洞修復(fù)可以循環(huán)往復(fù)進(jìn)行。

報(bào)表輸出：整個(gè)漏洞閉環(huán)流程可以根據(jù)運(yùn)維人員的需要裁剪其中的環(huán)節(jié)，該系統(tǒng)提供可定制的報(bào)表輸出，例如報(bào)表可以僅覆蓋資產(chǎn)發(fā)現(xiàn)，或者覆蓋到風(fēng)險(xiǎn)評(píng)估環(huán)節(jié)的原始數(shù)據(jù)，或者輸出漏洞修復(fù)核查后的全流程風(fēng)險(xiǎn)處理結(jié)果。

5 結(jié)束語(yǔ)

通過漏洞管理可以分析安全漏洞的存在狀況，可以做歷史分析及跟蹤處理，實(shí)現(xiàn)安全風(fēng)險(xiǎn)的閉環(huán)管理。目前好多企業(yè)雖然開展了信息安全漏洞的檢測(cè)、整改工作，但是關(guān)于資產(chǎn)信息安全漏洞的生命周期管理都沒有建立，也沒有這方面的分析手段。數(shù)據(jù)記錄及數(shù)據(jù)分析對(duì)安全漏洞的管理會(huì)有重要的作用，所以通過本文提供的漏洞管理方案的實(shí)踐，使運(yùn)維人員對(duì)自己管理的資產(chǎn)中的安全漏洞可以了如指掌。

參考文獻(xiàn)

[1] 婁宇.信息安全漏洞閉環(huán)管理的研究[J].通訊世界，2016 （23）.

[2] 王世文，羅濱，等.基于動(dòng)態(tài)隱患庫(kù)的信息通信安全分級(jí)分類閉環(huán)管理研究[J].信息通信.2016年10期.

[3] 陳永峰，楊寧俠.淺析安全策略漏洞防范[J].無線互聯(lián)科技，2015（1）.