葉明達 黃智 張寒之

摘 要：隨著互聯(lián)網(wǎng)發(fā)展，企業(yè)信息資產(chǎn)數(shù)量不斷擴張，安全漏洞數(shù)量不斷增多，由于補丁升級、漏洞修復(fù)等操作具備較強的專業(yè)性及業(yè)務(wù)相關(guān)性，因此企業(yè)安全漏洞管理也面臨著諸多困難，比如漏洞掃描產(chǎn)品難以支撐管理要求；運維團隊人員缺失且安全知識不足。漏洞管理需結(jié)合漏洞風(fēng)險程度、漏洞利用性質(zhì)等，同時安全漏洞管理離不開實際生產(chǎn)環(huán)境，需分步治理，長期運營。

關(guān)鍵詞：信息安全；漏洞管理；系統(tǒng)漏洞；主機漏洞

中圖分類號：TP393.08 文獻標(biāo)識碼：A

1 引言

近10年來互聯(lián)網(wǎng)大發(fā)展，正逐漸改變?nèi)藗兊纳願蕵贩绞?，同時推動了生產(chǎn)系統(tǒng)的更新?lián)Q代和生產(chǎn)方式的變革。然而，生產(chǎn)力大大提高的同時，網(wǎng)絡(luò)的脆弱性也將生產(chǎn)系統(tǒng)暴露給別有用心者，甚至導(dǎo)致災(zāi)難性的破壞，各個互聯(lián)網(wǎng)公司的應(yīng)用也越來越多、安全域不斷調(diào)整、設(shè)備數(shù)量種類不斷增加、業(yè)務(wù)邏輯越來越復(fù)雜。與此同時，安全漏洞也層出不窮，隨時威脅著系統(tǒng)、數(shù)據(jù)、業(yè)務(wù)的安全，安全漏洞的研究與管理勢在必行。

信息安全領(lǐng)域涵蓋IT行業(yè)多個細(xì)分領(lǐng)域，對信息安全運維、管理工作者有著較高的技術(shù)、管理要求。因此，研究企業(yè)安全漏洞管理方法，搭建標(biāo)準(zhǔn)統(tǒng)一的漏洞管理系統(tǒng)，對于提高各廠商產(chǎn)品安全性、提升安全管理效率、降低安全管理門檻具有重要意義。

2 安全漏洞的定義

漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)，使受限制的計算機、組件、應(yīng)用程序或其他聯(lián)機資源的無意中留下的不受保護的入口點。常見的安全漏洞有幾種。

（1）代碼注入——包括SQL注入在內(nèi)的廣義攻擊，它取決于插入代碼并由應(yīng)用程序執(zhí)行。

（2）會話固定——這是一種會話攻擊，通過該漏洞攻擊者可以劫持一個有效的用戶會話。會話固定攻擊可以在受害者的瀏覽器上修改一個已經(jīng)建立好的會話，因此在用戶登錄前可以進行惡意攻擊。

（3）路徑訪問，或者“目錄訪問”——旨在訪問儲存在Web根文件外的文件或者目錄。

（4）弱密碼，字符少、數(shù)字長度短以及缺少特殊符號——這種密碼相對容易破解[3]。

3 企業(yè)安全漏洞管理面臨的困難

3.1 漏掃產(chǎn)品難以支撐管理要求

其實很多企業(yè)、組織混淆了漏洞管理工作和漏洞評估產(chǎn)品的概念，認(rèn)為買了漏洞掃描產(chǎn)品能解決所有問題。企業(yè)、組織內(nèi)部的漏洞管理要求，是圍繞著如何更好的使用漏洞掃描產(chǎn)品而制定。

但在國際著名咨詢機構(gòu)Gartner的觀點中，無論如何“漏洞管理”是不可能通過購買而獲得的，漏洞管理是在安全脆弱性被利用前，發(fā)現(xiàn)并作出修補的關(guān)鍵流程。這個流程包括定義安全策略、評估、防護、消減和監(jiān)控等環(huán)節(jié)。而安全流程不是應(yīng)用、軟件、服務(wù)，是不能買來的，需要組織或企業(yè)自發(fā)建立，并且要適合自身實際情況。

市場上現(xiàn)有的多數(shù)漏洞掃描產(chǎn)品，只能做到漏洞管理流程中的漏洞評估一個環(huán)節(jié)的工作，可以稱之為漏洞評估產(chǎn)品。漏洞評估產(chǎn)品只是管理流程中的一個環(huán)節(jié)，它應(yīng)該包括對設(shè)備、系統(tǒng)層面的漏洞發(fā)現(xiàn)，Web站點等應(yīng)用層面的漏洞發(fā)現(xiàn)，同時也要能夠人員操作層面的配置錯誤和疏忽。

而漏洞管理流程同時還需要完善的管理制度、自動化IT安全管理平臺、執(zhí)行制度的人等共同支撐流程的運轉(zhuǎn)，目前市場上充當(dāng)管理平臺角色的一般是大而全的SOC系統(tǒng)或SIME，應(yīng)用復(fù)雜缺少針對性。

3.2 漏洞運維管理成本和專業(yè)性

漏洞運維管理成本和專業(yè)性主要表現(xiàn)在兩個方面。

（1）企業(yè)漏洞運維投入資源有限。實際漏洞的數(shù)量非常巨大，如果按照純?nèi)斯び嬎悖獙崿F(xiàn)有效的安全運維需要非常高昂的人工成本，這些高昂的成本往往是企業(yè)難以負(fù)擔(dān)也不愿負(fù)擔(dān)的。

（2）知識獲取困難。安全攻防知識體系包括很多內(nèi)容，一個合格的安全人員不但需要了解最新的安全漏洞前沿資訊或情報，具備深厚的安全專業(yè)技術(shù)功底，往往也需要對業(yè)務(wù)有這深刻的了解。在實際工作中，無論是安全情報，還是業(yè)務(wù)知識，這些信息的獲取都是非常困難的。

4 安全漏洞管理實施方案

安全漏洞管理離不開實際生產(chǎn)環(huán)境，根據(jù)等級保護、行業(yè)等相關(guān)要求，從公司實際安全性考慮，業(yè)務(wù)系統(tǒng)進行了分級分域管理，那么對于安全漏洞的管理也需要充分考慮安全漏洞歸屬資產(chǎn)的實際業(yè)務(wù)環(huán)境。再者，需要結(jié)合安全漏洞管理本身的性質(zhì)，例如上文所說是否屬于軟件版本漏洞，還是屬于原理掃描發(fā)現(xiàn)的安全漏洞。所以，從實際出發(fā)總結(jié)了一下漏洞管理的基本思路，分為三步，如圖1所示。

（1） 確定資產(chǎn)安全等級。根據(jù)“安全風(fēng)險模型”對業(yè)務(wù)系統(tǒng)相關(guān)資產(chǎn)進行安全定級。影響的定級的因素主要包含資產(chǎn)重要性（承載的業(yè)務(wù)及數(shù)據(jù)重要性）、面臨安全風(fēng)險大?。ㄊ欠裨试S外網(wǎng)訪問存在外部攻擊風(fēng)險）兩個方面。

（2） 確定漏洞整改優(yōu)先級。根據(jù)漏洞資產(chǎn)重要性、風(fēng)險值、易利用程度等方面對漏洞整改優(yōu)先級進行確定，如圖2所示。

（3） 分步治理，長期運營。確立漏洞修復(fù)計劃，優(yōu)先對安全等級高的業(yè)務(wù)系統(tǒng)資產(chǎn)中整改優(yōu)先級高的漏洞進行整改加固；針對不同安全等級資產(chǎn)設(shè)定不同的安全漏洞復(fù)查周期[2]。

4.1 方案總體流程

如圖3所示，該方案核心業(yè)務(wù)流由分散的能力項構(gòu)成，例如資產(chǎn)管理、情報管理、漏洞處置等。一連串的功能項構(gòu)成了整體業(yè)務(wù)，換言之，業(yè)務(wù)系統(tǒng)是操作人員對功能項的調(diào)用序列。一般的平臺系統(tǒng)由操作員自身記憶操作過程，具有主觀隨意性，不夠規(guī)范且容易遺漏。

在該方案中，通過流程來標(biāo)識和落實整體業(yè)務(wù)。業(yè)務(wù)流程為特定角色的特定業(yè)務(wù)操作流程，系統(tǒng)閉環(huán)業(yè)務(wù)鏈由有限條各用戶交織的流程所構(gòu)建。通過流程管理可支持系統(tǒng)靈活運營，有兩個特點。

（1）用戶維度：定義了完整的用戶操作端到端有序步驟，充分必要地約束了操作行為。

（2）業(yè)務(wù)維度：一條業(yè)務(wù)流程可貫穿多個角色與賬號，體現(xiàn)系統(tǒng)級別的協(xié)同性。

具體而言，該方案流程由流程策略單構(gòu)成，具體來說，一個業(yè)務(wù)流程是由一系列流程策略單組成，包括流程單生成策略、派發(fā)角色/賬號、任務(wù)內(nèi)容。

按照流程單生成策略，每個流程策略可以在特定條件下產(chǎn)生流程單，即操作任務(wù)單。操作任務(wù)單會在特定條件下發(fā)送給相應(yīng)的執(zhí)行對象（生成工作臺待辦），以在系統(tǒng)中自動地驅(qū)動管理流程。

4.2 方案實施步驟

4.2.1 資產(chǎn)核查

用于內(nèi)網(wǎng)的感知和監(jiān)控，流程分為三個環(huán)節(jié)，由系統(tǒng)管理員執(zhí)行三步驟。

（1）發(fā)起資產(chǎn)稽查，配置稽查的策略，啟動稽查任務(wù)。

（2）資產(chǎn)稽查掃描策略，對于稽查中資產(chǎn)發(fā)現(xiàn)掃描任務(wù)策略的配置。

（3）稽查報表，即結(jié)果的查看和報表導(dǎo)出，稽查結(jié)果分為綜述統(tǒng)計內(nèi)容和詳細(xì)對比內(nèi)容。

4.2.2 快速定位快速響應(yīng)

如圖4所示，此流程目的將使用者從漏洞管理流程，變?yōu)榭焖侔l(fā)現(xiàn)和響應(yīng)流程。流程分為四個環(huán)節(jié)，由運維人員分四步執(zhí)行。

（1）使用者手動錄入漏洞資產(chǎn)配置。

（2）資產(chǎn)預(yù)警策略配置，系統(tǒng)自動按照漏洞策略篩選相關(guān)的可疑資產(chǎn)范圍。

（3）預(yù)警資產(chǎn)評估，給使用者展示預(yù)警資產(chǎn)以便認(rèn)為評估風(fēng)險。

（4）預(yù)警資產(chǎn)掃描，當(dāng)掃描引擎支持策略漏洞后，提示使用者發(fā)起漏洞閉環(huán)流程。

4.2.3 漏洞閉環(huán)運維管理

漏洞閉環(huán)是系統(tǒng)的基礎(chǔ)流程：通過它能夠?qū)⒃摲桨傅幕灸芰M織起來，實現(xiàn)標(biāo)準(zhǔn)的脆弱性/漏洞全生命周期管理，通過流程單與操作人員完成互動，同時實現(xiàn)底層資源的調(diào)度分派，為使用者提供業(yè)務(wù)數(shù)據(jù)展示、存儲和輸出。此流程同時可為其他流程所調(diào)用，因此是構(gòu)成系統(tǒng)流程體系的基石[1]。

如圖5所示，漏洞閉環(huán)流程由六個環(huán)節(jié)構(gòu)成，分別由業(yè)務(wù)管理員和平臺運維人員完成。

資產(chǎn)管理：實現(xiàn)脆弱性評估目標(biāo)范圍的界定和選取。

資產(chǎn)掃描：配置脆弱性的監(jiān)測策略、時間策略等，掃描資產(chǎn)漏洞（發(fā)現(xiàn)資產(chǎn)和脆弱性的關(guān)系）。

風(fēng)險評估：資產(chǎn)掃描環(huán)節(jié)所產(chǎn)生的漏洞，在本環(huán)節(jié)與該系統(tǒng)威脅情報結(jié)合，按照使用者定制的風(fēng)險評估模型，計算風(fēng)險優(yōu)先級并展示，由運維人員選擇修復(fù)范圍。

漏洞修復(fù)：系統(tǒng)按運維人員選擇的修復(fù)范圍每漏洞產(chǎn)生一個修復(fù)單，運維人員按線下實際修復(fù)情況改變修復(fù)單的狀態(tài)，或?qū)崿F(xiàn)修復(fù)單流轉(zhuǎn)。

修復(fù)核查：對于運維人員將其狀態(tài)變更為“已修復(fù)”的修復(fù)單，系統(tǒng)會為對應(yīng)目標(biāo)資產(chǎn)提供與該漏洞發(fā)現(xiàn)時檢測策略一致的掃描操作和結(jié)果審核接口，由運維人員通過重掃完成是否修復(fù)的判斷。取決于實際修復(fù)狀態(tài)，修復(fù)核查與漏洞修復(fù)可以循環(huán)往復(fù)進行。

報表輸出：整個漏洞閉環(huán)流程可以根據(jù)運維人員的需要裁剪其中的環(huán)節(jié)，該系統(tǒng)提供可定制的報表輸出，例如報表可以僅覆蓋資產(chǎn)發(fā)現(xiàn)，或者覆蓋到風(fēng)險評估環(huán)節(jié)的原始數(shù)據(jù)，或者輸出漏洞修復(fù)核查后的全流程風(fēng)險處理結(jié)果。

5 結(jié)束語

通過漏洞管理可以分析安全漏洞的存在狀況，可以做歷史分析及跟蹤處理，實現(xiàn)安全風(fēng)險的閉環(huán)管理。目前好多企業(yè)雖然開展了信息安全漏洞的檢測、整改工作，但是關(guān)于資產(chǎn)信息安全漏洞的生命周期管理都沒有建立，也沒有這方面的分析手段。數(shù)據(jù)記錄及數(shù)據(jù)分析對安全漏洞的管理會有重要的作用，所以通過本文提供的漏洞管理方案的實踐，使運維人員對自己管理的資產(chǎn)中的安全漏洞可以了如指掌。

參考文獻

[1] 婁宇.信息安全漏洞閉環(huán)管理的研究[J].通訊世界，2016 （23）.

[2] 王世文，羅濱，等.基于動態(tài)隱患庫的信息通信安全分級分類閉環(huán)管理研究[J].信息通信.2016年10期.

[3] 陳永峰，楊寧俠.淺析安全策略漏洞防范[J].無線互聯(lián)科技，2015（1）.