導(dǎo)語：信息安全漏洞閉環(huán)管理探討一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要:信息安全漏洞是信息安全中最為常見的威脅之一。對于信息安全漏洞威脅的解決通常采用漏洞發(fā)現(xiàn)和漏洞修補的方式來解決，但在實際中存在諸多的問題。本文研究分析了信息安全漏洞在管理上存在的問題，分析了當(dāng)前最新的安全漏洞閉環(huán)管理理念，并指出了其中一些不足和可行的改進。

關(guān)鍵詞:信息安全；漏洞；管理

1緒論

在計算機世界，漏洞通常是三個因素的交集：即系統(tǒng)的脆弱性或缺陷，攻擊者可能訪問的缺陷以及攻擊者利用缺陷的能力[1]。在本文中我們主要關(guān)注的是IT軟件或IT設(shè)備中內(nèi)嵌操作系統(tǒng)應(yīng)軟件編寫缺陷而可能被攻擊者利用的安全漏洞。對于安全漏洞的認(rèn)識和對其防護，企業(yè)和組織已不陌生，但是在具體實踐中仍存在一些實際操作的問題。本文將針對國內(nèi)外安全界針對安全漏洞管理提出的新思路進行研究和分析，對其中存在問題進行闡述并提出相應(yīng)可行的技術(shù)應(yīng)對措施。

2漏洞管理目前存在的問題

國外權(quán)威機構(gòu)、相關(guān)國家機構(gòu)和安全人員對安全漏洞的管理很早就提出了相關(guān)的理念，流程和管理思路。例如ParkForeman將漏洞管理分為漏洞識別、周期性實踐分類、修復(fù)和減輕安全漏洞[2]。ISO組織和美國NIST組織在ISO/IECFIDIS27005：2008[3]和NISTSP800-30[4]標(biāo)準(zhǔn)中亦提出類似的漏洞管理流程。但是目前在企業(yè)中針對安全漏洞的安全防護和安全管理多采用購買安全廠家的漏洞掃描產(chǎn)品進行漏洞掃描，根據(jù)掃描結(jié)果進行手工加固的方式。在這種實踐模式中，往往存在以下三個問題。

2.1漏洞處置反應(yīng)緩慢

從漏洞的公布到補丁的往往存在一個時間窗口期，而這個窗口期對于企業(yè)和組織而言是一個潛在而致命的時間窗。在這個時間窗內(nèi)，攻擊者往往早于漏洞存在方研究出切實可行的攻擊技術(shù)并開發(fā)出具體攻擊執(zhí)行工具。此外由于地下社區(qū)的存在，攻擊工具很快將得以普及并被各類攻擊者用于發(fā)起對漏洞的攻擊利用。在這種情況下，企業(yè)和組織在僅依靠單純漏洞掃描產(chǎn)品的情況下，是束手無策的。

2.2漏洞管理流程沒有量化

漏洞管理是一個安全管理流程，因此它不是應(yīng)用、軟件和服務(wù)，需要企業(yè)和組織結(jié)合自身實際情況來建立和維護。在此過程中，企業(yè)和組織通常只關(guān)注了漏洞掃描發(fā)現(xiàn)和漏洞加固環(huán)節(jié)自身，而對流程中涵蓋的執(zhí)行的優(yōu)先性、效率性、有效性和量化管控沒有進行關(guān)注。

2.3漏洞修補的困難性

事實上，在實踐中，企業(yè)和組織往往可以獲得全面的漏洞掃描報告，但是這類報告并沒有幫助解決諸如：漏洞危害程度和業(yè)務(wù)危害程度關(guān)聯(lián)性、漏洞修補優(yōu)先性、漏洞修補對業(yè)務(wù)影響性的實際問題。因此管理者在漏洞修改環(huán)節(jié)中往往依采取兩種方式：①僅根據(jù)掃描報告就進行加固，對業(yè)務(wù)安全可能帶來連帶附加影響。②對漏洞以可能影響業(yè)務(wù)安全運行的理由采取放任不管的方式。以上兩種方式顯然都不是最佳的漏洞加固實踐方式。

3新的漏洞管理研究

根據(jù)以上面臨的問題和客戶的實際需求，信息安全界已開展了一些積極的研究。美國獨立研究機構(gòu)Gartner在2015年提出了一個新的漏洞管理解決框架流程圖，將漏洞管理分成3個管理階段。其中階段1定義計劃和目標(biāo)完成漏洞管理的范圍、流程和方法做出詳細(xì)的規(guī)定。階段2漏洞評估完成掃描目標(biāo)、范圍、設(shè)備部署等評估模型以及漏洞評估流程的執(zhí)行。階段三漏洞修補則執(zhí)行漏洞修補重掃和驗證、漏洞的持續(xù)監(jiān)控和漏洞管理度量。一些安全研究人員和安全廠家提出在漏洞管理過程中引入安全威脅情報，通過威脅情報來驅(qū)動漏洞管理。以往，威脅情報僅停留在研究機構(gòu)，而最終用戶在引入威脅情報后，將讓用戶以更好的安全事件提高看待風(fēng)險的視覺，成為高效率和成功的安全管理過程[6]。在此過程中，企業(yè)和組織用戶和第三方建立安全威脅情報共享機制，將安全情報威脅通告納入到自身的安全漏洞管理，并通過其在最短時間內(nèi)獲知漏洞披露（如漏洞技術(shù)原理）、漏洞利用（如利用代碼的出現(xiàn)）和漏洞熱度（如漏洞關(guān)注度、可能/具體影響范圍）等情報。以上情報的獲知將降低企業(yè)和機構(gòu)對漏洞知曉的盲期，確認(rèn)加固的優(yōu)先性，減少遭受漏洞攻擊的可能性。此外，由于互聯(lián)網(wǎng)社區(qū)的廣泛存在，還有一些研究機構(gòu)提出將專業(yè)漏洞修補社區(qū)的情報信息將以整理和提煉，之后將其作為漏洞加固/修補的威脅情報對外提供[7]。幫助企業(yè)和組織解決在實際修補時擔(dān)心加固方法的可操作性以及加固對業(yè)務(wù)正常運行風(fēng)險影響的諸多問題。另外一些研究方向認(rèn)為完整的漏洞管理在技術(shù)環(huán)節(jié)的實現(xiàn)上除了傳統(tǒng)的安全漏洞掃描評估工具/系統(tǒng)外，還應(yīng)將威脅情報、資產(chǎn)管理、業(yè)務(wù)漏洞安全分析、漏洞運維管理、評估度量一并納入，形成一整套的威脅漏洞管理平臺。國外安全分析師OliverRochford和NeilMacDonald[8]提出具備以上齊備功能的威脅和漏洞管理平臺（ThreatVulnerabilityManagementPlat-form）將傳統(tǒng)“如何發(fā)現(xiàn)漏洞”的漏洞安全管理模式變?yōu)椤霸鯓咏鉀Q漏洞”的模式并將在今后成為企業(yè)和組織安全中心的5大安全管控子平臺之一。

4當(dāng)前安全漏洞管理的不足和解決思路

從以上研究分析可以看到，當(dāng)前的新的安全了漏洞管理已較好的覆蓋了漏洞管理的所有環(huán)節(jié)。但是在安全加固方面還是存在一點問題。從加固的實際情況來看，企業(yè)和組織目前更為關(guān)心的是加固是否會對業(yè)務(wù)正常運行造成影響，是否會因加固而帶來業(yè)務(wù)安全的風(fēng)險問題。因此作為新的的漏洞安全管理解決框架中應(yīng)增加用戶業(yè)務(wù)環(huán)境補丁加固驗證的技術(shù)手段和能力，通過該技術(shù)手段/能力有效的解決前面用戶關(guān)注對系統(tǒng)和對業(yè)務(wù)的風(fēng)險影響。在補丁修復(fù)中理論上作為最佳的補丁加固驗證方式自然是在與真實業(yè)務(wù)環(huán)境完全一致的測試/備份環(huán)境中進行。但實際情況中存在兩個問題：①企業(yè)和組織方尤其是中小型機構(gòu)受限于投資預(yù)算，完全不具備此類環(huán)境。②即便是大型機構(gòu)也不太可能對所有業(yè)務(wù)系統(tǒng)都設(shè)立測試/備份系統(tǒng)。因此需要另辟蹊徑。從目前來看，采取虛擬化技術(shù)是一種較為可行的解決思路。這里嘗試給出以下的設(shè)計實現(xiàn)方式。在該方式中，利用虛擬化備份技術(shù)（本地虛擬化化，或云虛擬化）來實現(xiàn)對業(yè)務(wù)系統(tǒng)操作系統(tǒng)、業(yè)務(wù)軟件、數(shù)據(jù)庫的整機虛擬化備份。然后在虛擬化備份上進行補丁加固并驗證其對業(yè)務(wù)運行的安全影響。整個驗證流程可以分成以下六個步驟：步驟1：威脅漏洞管理平臺向補丁加固驗證系統(tǒng)下發(fā)驗證任務(wù)；步驟2：補丁加固驗證系統(tǒng)對業(yè)務(wù)系統(tǒng)進行鏡像仿真，仿真后在鏡像系統(tǒng)上進行補丁加固；步驟3：威脅漏洞管理平臺向漏洞掃描系統(tǒng)下發(fā)補丁加固重驗證任務(wù)；步驟4：漏洞掃描系統(tǒng)對補丁加固驗證系統(tǒng)上的加固后鏡像進行漏洞掃描并向威脅漏洞管理平臺反饋掃描結(jié)果；步驟5：威脅漏洞管理平臺根據(jù)驗證結(jié)果向補丁加固驗證系統(tǒng)發(fā)出刪除鏡像恢復(fù)初始指令。整體的流程如圖2所示。以上方式在實際實現(xiàn)中還有若干問題需要考慮并解決。這些問題包括：（1）由于企業(yè)和組織的業(yè)務(wù)環(huán)境不盡相同，涉及業(yè)務(wù)主機、操作系統(tǒng)、業(yè)務(wù)軟件、數(shù)據(jù)庫、中間件等軟硬件。因此需要考慮補丁加固驗證系統(tǒng)對業(yè)務(wù)系統(tǒng)進行鏡像仿真的支持情況。此外如果業(yè)務(wù)系統(tǒng)龐大，則還需考慮仿真系統(tǒng)的仿真容量和運行性能；（2）業(yè)務(wù)系統(tǒng)的正常運行不僅是業(yè)務(wù)軟硬件還涉及業(yè)務(wù)數(shù)據(jù)流。因此僅仿真操作系統(tǒng)、業(yè)務(wù)軟件和后臺數(shù)據(jù)庫等并進行加固并不能模擬業(yè)務(wù)運行的真實情況；（3）一般情況下，對業(yè)務(wù)流的真實仿真較難實現(xiàn)，因此對于需要考慮業(yè)務(wù)安全并穩(wěn)定運行的全面驗證測試情況下，仍需要考慮如何引入表征真實應(yīng)用訪問的數(shù)據(jù)流進行測試。在引入業(yè)務(wù)流的在實際情況下，可能涉及到企業(yè)和組織內(nèi)部的多個部門，并需要進行多部門的溝通和協(xié)調(diào)。

5結(jié)束語

信息安全漏洞是駭客攻擊利用的主要對象之一，因此建設(shè)并實現(xiàn)漏洞安全管理是信息安全管理體系中重要的內(nèi)容之一。信息安全業(yè)界目前對漏洞管理已形成一致的看法，即漏洞管理不僅需要常規(guī)的安全掃描，還需要嵌入資產(chǎn)管理、業(yè)務(wù)安全關(guān)聯(lián)分析、運維度量并結(jié)合最新的安全威脅情報和可行的補丁加固與驗證環(huán)節(jié)與內(nèi)容最終形成一個整體統(tǒng)一的威脅漏洞閉環(huán)管理。但是在具體實現(xiàn)中還存在一些具體的技術(shù)實現(xiàn)難題，我們?nèi)赃€需要繼續(xù)對其進行關(guān)注，開展廣泛的理論研究和實踐。

作者:婁宇 單位:云南電網(wǎng)有限責(zé)任公司文山供電局