信息安全漏洞閉環(huán)管理探討論文

　　摘要:信息安全漏洞是信息安全中最為常見的威脅之一。對(duì)于信息安全漏洞威脅的解決通常采用漏洞發(fā)現(xiàn)和漏洞修補(bǔ)的方式來解決，但在實(shí)際中存在諸多的問題。本文研究分析了信息安全漏洞在管理上存在的問題，分析了當(dāng)前最新的安全漏洞閉環(huán)管理理念，并指出了其中一些不足和可行的改進(jìn)。

　　關(guān)鍵詞:信息安全；漏洞；管理

　　1緒論

　　在計(jì)算機(jī)世界，漏洞通常是三個(gè)因素的交集：即系統(tǒng)的脆弱性或缺陷，攻擊者可能訪問的缺陷以及攻擊者利用缺陷的能力[1]。在本文中我們主要關(guān)注的是IT軟件或IT設(shè)備中內(nèi)嵌操作系統(tǒng)應(yīng)軟件編寫缺陷而可能被攻擊者利用的安全漏洞。對(duì)于安全漏洞的認(rèn)識(shí)和對(duì)其防護(hù)，企業(yè)和組織已不陌生，但是在具體實(shí)踐中仍存在一些實(shí)際操作的問題。本文將針對(duì)國(guó)內(nèi)外安全界針對(duì)安全漏洞管理提出的新思路進(jìn)行研究和分析，對(duì)其中存在問題進(jìn)行闡述并提出相應(yīng)可行的技術(shù)應(yīng)對(duì)措施。

　　2漏洞管理目前存在的問題

　　國(guó)外權(quán)威機(jī)構(gòu)、相關(guān)國(guó)家機(jī)構(gòu)和安全人員對(duì)安全漏洞的管理很早就提出了相關(guān)的理念，流程和管理思路。例如ParkForeman將漏洞管理分為漏洞識(shí)別、周期性實(shí)踐分類、修復(fù)和減輕安全漏洞[2]。ISO組織和美國(guó)NIST組織在ISO/IECFIDIS27005：2008[3]和NISTSP800-30[4]標(biāo)準(zhǔn)中亦提出類似的漏洞管理流程。但是目前在企業(yè)中針對(duì)安全漏洞的安全防護(hù)和安全管理多采用購(gòu)買安全廠家的漏洞掃描產(chǎn)品進(jìn)行漏洞掃描，根據(jù)掃描結(jié)果進(jìn)行手工加固的方式。在這種實(shí)踐模式中，往往存在以下三個(gè)問題。

　　2.1漏洞處置反應(yīng)緩慢

　　從漏洞的公布到補(bǔ)丁的發(fā)布往往存在一個(gè)時(shí)間窗口期，而這個(gè)窗口期對(duì)于企業(yè)和組織而言是一個(gè)潛在而致命的時(shí)間窗。在這個(gè)時(shí)間窗內(nèi)，攻擊者往往早于漏洞存在方研究出切實(shí)可行的攻擊技術(shù)并開發(fā)出具體攻擊執(zhí)行工具。此外由于地下社區(qū)的存在，攻擊工具很快將得以普及并被各類攻擊者用于發(fā)起對(duì)漏洞的攻擊利用。在這種情況下，企業(yè)和組織在僅依靠單純漏洞掃描產(chǎn)品的情況下，是束手無策的。

　　2.2漏洞管理流程沒有量化

　　漏洞管理是一個(gè)安全管理流程，因此它不是應(yīng)用、軟件和服務(wù)，需要企業(yè)和組織結(jié)合自身實(shí)際情況來建立和維護(hù)。在此過程中，企業(yè)和組織通常只關(guān)注了漏洞掃描發(fā)現(xiàn)和漏洞加固環(huán)節(jié)自身，而對(duì)流程中涵蓋的執(zhí)行的優(yōu)先性、效率性、有效性和量化管控沒有進(jìn)行關(guān)注。

　　2.3漏洞修補(bǔ)的困難性

　　事實(shí)上，在實(shí)踐中，企業(yè)和組織往往可以獲得全面的漏洞掃描報(bào)告，但是這類報(bào)告并沒有幫助解決諸如：漏洞危害程度和業(yè)務(wù)危害程度關(guān)聯(lián)性、漏洞修補(bǔ)優(yōu)先性、漏洞修補(bǔ)對(duì)業(yè)務(wù)影響性的實(shí)際問題。因此管理者在漏洞修改環(huán)節(jié)中往往依采取兩種方式：①僅根據(jù)掃描報(bào)告就進(jìn)行加固，對(duì)業(yè)務(wù)安全可能帶來連帶附加影響。②對(duì)漏洞以可能影響業(yè)務(wù)安全運(yùn)行的理由采取放任不管的方式。以上兩種方式顯然都不是最佳的漏洞加固實(shí)踐方式。

　　3新的漏洞管理研究

　　根據(jù)以上面臨的問題和客戶的實(shí)際需求，信息安全界已開展了一些積極的研究。美國(guó)獨(dú)立研究機(jī)構(gòu)Gartner在2015年提出了一個(gè)新的漏洞管理解決框架流程圖，將漏洞管理分成3個(gè)管理階段。其中階段1定義計(jì)劃和目標(biāo)完成漏洞管理的范圍、流程和方法做出詳細(xì)的規(guī)定。階段2漏洞評(píng)估完成掃描目標(biāo)、范圍、設(shè)備部署等評(píng)估模型以及漏洞評(píng)估流程的執(zhí)行。階段三漏洞修補(bǔ)則執(zhí)行漏洞修補(bǔ)重掃和驗(yàn)證、漏洞的持續(xù)監(jiān)控和漏洞管理度量。一些安全研究人員和安全廠家提出在漏洞管理過程中引入安全威脅情報(bào)，通過威脅情報(bào)來驅(qū)動(dòng)漏洞管理。以往，威脅情報(bào)僅停留在研究機(jī)構(gòu)，而最終用戶在引入威脅情報(bào)后，將讓用戶以更好的安全事件提高看待風(fēng)險(xiǎn)的視覺，成為高效率和成功的安全管理過程[6]。在此過程中，企業(yè)和組織用戶和第三方建立安全威脅情報(bào)共享機(jī)制，將安全情報(bào)威脅通告納入到自身的安全漏洞管理，并通過其在最短時(shí)間內(nèi)獲知漏洞披露（如漏洞技術(shù)原理）、漏洞利用（如利用代碼的出現(xiàn)）和漏洞熱度（如漏洞關(guān)注度、可能/具體影響范圍）等情報(bào)。以上情報(bào)的獲知將降低企業(yè)和機(jī)構(gòu)對(duì)漏洞知曉的盲期，確認(rèn)加固的優(yōu)先性，減少遭受漏洞攻擊的可能性。此外，由于互聯(lián)網(wǎng)社區(qū)的廣泛存在，還有一些研究機(jī)構(gòu)提出將專業(yè)漏洞修補(bǔ)社區(qū)的情報(bào)信息將以整理和提煉，之后將其作為漏洞加固/修補(bǔ)的威脅情報(bào)對(duì)外提供[7]。幫助企業(yè)和組織解決在實(shí)際修補(bǔ)時(shí)擔(dān)心加固方法的可操作性以及加固對(duì)業(yè)務(wù)正常運(yùn)行風(fēng)險(xiǎn)影響的諸多問題。另外一些研究方向認(rèn)為完整的漏洞管理在技術(shù)環(huán)節(jié)的實(shí)現(xiàn)上除了傳統(tǒng)的安全漏洞掃描評(píng)估工具/系統(tǒng)外，還應(yīng)將威脅情報(bào)、資產(chǎn)管理、業(yè)務(wù)漏洞安全分析、漏洞運(yùn)維管理、評(píng)估度量一并納入，形成一整套的威脅漏洞管理平臺(tái)。國(guó)外安全分析師OliverRochford和NeilMacDonald[8]提出具備以上齊備功能的威脅和漏洞管理平臺(tái)（ThreatVulnerabilityManagementPlat-form）將傳統(tǒng)“如何發(fā)現(xiàn)漏洞”的漏洞安全管理模式變?yōu)椤霸鯓咏鉀Q漏洞”的模式并將在今后成為企業(yè)和組織安全中心的5大安全管控子平臺(tái)之一。

　　4當(dāng)前安全漏洞管理的不足和解決思路

　　從以上研究分析可以看到，當(dāng)前的新的安全了漏洞管理已較好的覆蓋了漏洞管理的所有環(huán)節(jié)。但是在安全加固方面還是存在一點(diǎn)問題。從加固的實(shí)際情況來看，企業(yè)和組織目前更為關(guān)心的是加固是否會(huì)對(duì)業(yè)務(wù)正常運(yùn)行造成影響，是否會(huì)因加固而帶來業(yè)務(wù)安全的風(fēng)險(xiǎn)問題。因此作為新的的漏洞安全管理解決框架中應(yīng)增加用戶業(yè)務(wù)環(huán)境補(bǔ)丁加固驗(yàn)證的技術(shù)手段和能力，通過該技術(shù)手段/能力有效的解決前面用戶關(guān)注對(duì)系統(tǒng)和對(duì)業(yè)務(wù)的風(fēng)險(xiǎn)影響。在補(bǔ)丁修復(fù)中理論上作為最佳的補(bǔ)丁加固驗(yàn)證方式自然是在與真實(shí)業(yè)務(wù)環(huán)境完全一致的測(cè)試/備份環(huán)境中進(jìn)行。但實(shí)際情況中存在兩個(gè)問題：①企業(yè)和組織方尤其是中小型機(jī)構(gòu)受限于投資預(yù)算，完全不具備此類環(huán)境。②即便是大型機(jī)構(gòu)也不太可能對(duì)所有業(yè)務(wù)系統(tǒng)都設(shè)立測(cè)試/備份系統(tǒng)。因此需要另辟蹊徑。從目前來看，采取虛擬化技術(shù)是一種較為可行的解決思路。這里嘗試給出以下的設(shè)計(jì)實(shí)現(xiàn)方式。在該方式中，利用虛擬化備份技術(shù)（本地虛擬化化，或云虛擬化）來實(shí)現(xiàn)對(duì)業(yè)務(wù)系統(tǒng)操作系統(tǒng)、業(yè)務(wù)軟件、數(shù)據(jù)庫(kù)的整機(jī)虛擬化備份。然后在虛擬化備份上進(jìn)行補(bǔ)丁加固并驗(yàn)證其對(duì)業(yè)務(wù)運(yùn)行的安全影響。整個(gè)驗(yàn)證流程可以分成以下六個(gè)步驟：步驟1：威脅漏洞管理平臺(tái)向補(bǔ)丁加固驗(yàn)證系統(tǒng)下發(fā)驗(yàn)證任務(wù)；步驟2：補(bǔ)丁加固驗(yàn)證系統(tǒng)對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行鏡像仿真，仿真后在鏡像系統(tǒng)上進(jìn)行補(bǔ)丁加固；步驟3：威脅漏洞管理平臺(tái)向漏洞掃描系統(tǒng)下發(fā)補(bǔ)丁加固重驗(yàn)證任務(wù)；步驟4：漏洞掃描系統(tǒng)對(duì)補(bǔ)丁加固驗(yàn)證系統(tǒng)上的加固后鏡像進(jìn)行漏洞掃描并向威脅漏洞管理平臺(tái)反饋掃描結(jié)果；步驟5：威脅漏洞管理平臺(tái)根據(jù)驗(yàn)證結(jié)果向補(bǔ)丁加固驗(yàn)證系統(tǒng)發(fā)出刪除鏡像恢復(fù)初始指令。整體的流程如圖2所示。以上方式在實(shí)際實(shí)現(xiàn)中還有若干問題需要考慮并解決。這些問題包括：

　�。�1）由于企業(yè)和組織的業(yè)務(wù)環(huán)境不盡相同，涉及業(yè)務(wù)主機(jī)、操作系統(tǒng)、業(yè)務(wù)軟件、數(shù)據(jù)庫(kù)、中間件等軟硬件。因此需要考慮補(bǔ)丁加固驗(yàn)證系統(tǒng)對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行鏡像仿真的支持情況。此外如果業(yè)務(wù)系統(tǒng)龐大，則還需考慮仿真系統(tǒng)的仿真容量和運(yùn)行性能；

　�。�2）業(yè)務(wù)系統(tǒng)的正常運(yùn)行不僅是業(yè)務(wù)軟硬件還涉及業(yè)務(wù)數(shù)據(jù)流。因此僅仿真操作系統(tǒng)、業(yè)務(wù)軟件和后臺(tái)數(shù)據(jù)庫(kù)等并進(jìn)行加固并不能模擬業(yè)務(wù)運(yùn)行的真實(shí)情況；

　�。�3）一般情況下，對(duì)業(yè)務(wù)流的真實(shí)仿真較難實(shí)現(xiàn)，因此對(duì)于需要考慮業(yè)務(wù)安全并穩(wěn)定運(yùn)行的全面驗(yàn)證測(cè)試情況下，仍需要考慮如何引入表征真實(shí)應(yīng)用訪問的數(shù)據(jù)流進(jìn)行測(cè)試。在引入業(yè)務(wù)流的在實(shí)際情況下，可能涉及到企業(yè)和組織內(nèi)部的多個(gè)部門，并需要進(jìn)行多部門的溝通和協(xié)調(diào)。

　　5結(jié)束語

　　信息安全漏洞是駭客攻擊利用的主要對(duì)象之一，因此建設(shè)并實(shí)現(xiàn)漏洞安全管理是信息安全管理體系中重要的內(nèi)容之一。信息安全業(yè)界目前對(duì)漏洞管理已形成一致的看法，即漏洞管理不僅需要常規(guī)的安全掃描，還需要嵌入資產(chǎn)管理、業(yè)務(wù)安全關(guān)聯(lián)分析、運(yùn)維度量并結(jié)合最新的安全威脅情報(bào)和可行的補(bǔ)丁加固與驗(yàn)證環(huán)節(jié)與內(nèi)容最終形成一個(gè)整體統(tǒng)一的威脅漏洞閉環(huán)管理。但是在具體實(shí)現(xiàn)中還存在一些具體的技術(shù)實(shí)現(xiàn)難題，我們?nèi)赃�需要繼續(xù)對(duì)其進(jìn)行關(guān)注，開展廣泛的理論研究和實(shí)踐。

【信息安全漏洞閉環(huán)管理探討論文】相關(guān)文章：

藥學(xué)實(shí)驗(yàn)中心信息管理探討論文10-08

檔案信息安全的有效管理機(jī)制探討論文10-08

事業(yè)單位檔案信息安全管理探討論文10-09

關(guān)于網(wǎng)絡(luò)信息安全技術(shù)管理探討論文10-08

對(duì)檔案從實(shí)體管理、信息管理到知識(shí)管理的探討論文10-09

探討信息管理在護(hù)理管理中存在的問題與應(yīng)對(duì)措施論文10-08

淺談涉密企業(yè)檔案信息化管理探討論文10-11

對(duì)企業(yè)局域網(wǎng)信息安全管理的探討論文10-08

檔案信息化建設(shè)與檔案管理的探討論文10-05

關(guān)于電力信息安全的探討論文10-09