安全漏洞測試基地共享聯動

隨著IT系統覆蓋面的不斷延伸發展，從傳統的網絡設備和服務器到B/S系統，單位內會建設越來越多的IT系統作為業務支撐，也因此存在了更多的安全漏洞風險。當單位內組織機構越復雜時，信息安全問題就會越突出，對于IT系統的漏洞風險處置也越來越困難。本文嘗試以單位復雜組織機構的漏洞風險處置作為切入點，介紹在跨組織、跨區域環境下的安全漏洞測試基地的應用。

傳統環境漏洞風險處置

當單位內部有多個組織機構建設的業務系統，或存在跨城市、省區域的分/子部門時，在安全漏洞處置上常常會處于各自為戰狀態，使得總部的信息安全管理部門無法及時有效的對分部門的IT安全風險進行管控。

在傳統環境下進行漏洞風險處置時，檢測到的安全漏洞常被分為三類：

較易整改漏洞：能夠比較容易就可以進行加固整改的漏洞；

疑難漏洞：加固整改存在一定技術難度或修復所需時間較長，有較高修復門檻的漏洞；

無法整改漏洞：因技術或業務原因導致無法進行加固整改的漏洞。

對于較易整改的漏洞，因為修復門檻較低，組織內部能夠在短時間內進行加固。但對于疑難漏洞就難以在短時間內加固修復，對于無法整改的漏洞更是無限延長了漏洞風險影響的窗口期，給單位信息安全帶來比較嚴重的影響，降低了其整體的安全水平。

圖1 傳統環境漏洞風險處置

從圖示1也不難發現，很多時候不同的組織內可能存在著通用的、甚至完全相同的安全漏洞，比如Struts2系列漏洞。通用的漏洞常常也具備較為通用的加固修復方式，能夠形成一致的加固方案和安全知識，但是由于不同組織間職責分工問題、安全技術水平側重度問題，在漏洞風險加固修復上較難做到及時有效的信息共享和聯動。

另外從成本和業務風險方面考慮，一些分組織也未必愿意做第一個漏洞修復的嘗試者，因此漏洞的加固修復更應該落實到愿意承擔加固測試任務和具有一定條件的分組織上。

安全漏洞測試基地

在復雜的組織機構環境下通過建立安全漏洞測試基地的方式，嘗試解決大、中型跨區域公司的IT漏洞風險問題。安全漏洞測試基地通過在總部從漏洞驗證、漏洞加固、知識共享三個方面對分/子部門進行督導管理。安全漏洞測試基地示意圖如圖2所示。

驗證任務：總部選擇某一分組織作為驗證某一漏洞是否存在并將驗證過程生成知識文檔的測試基地。測試基地接收到短信、E-Mail通知，登錄平臺查看詳情，并進行線下漏洞驗證。驗證完成后，填寫并上傳驗證結果報告，若存在此漏洞，則生成漏洞，狀態為確認，進入安全漏洞處置流程；

驗證方案：即分組織直接執行總部的驗證方案進行驗證漏洞是否存在。分組織接收到短信、E-Mail通知，登錄平臺查看詳情，并按照方案進行漏洞驗證。驗證完成后，填寫并上傳驗證結果，若存在此漏洞，則生成漏洞，狀態為確認，進入安全漏洞處置流程；

圖2 安全漏洞測試基地示意圖

加固任務：總部選擇某一分組織對某一漏洞的加固修復并將過程知識生成知識文檔。測試基地接收到短信、E-Mail通知，登錄平臺查看詳情，并進行加固實驗。加固完成后，填寫并上傳加固方案，若成功加固，漏洞狀態為加固完成；

加固方案：即分組織直接執行總部的加固方案進行加固并反饋加固結果。分組織接收到短信、E-Mail通知，登錄平臺查看詳情，并按照方案進行加固。加固完成后，填寫并上傳加固結果，若成功加固，漏洞狀態為加固完成；

漏洞消除：當漏洞狀態標識為加固完成后，漏洞即為完成，形成歸檔后的安全漏洞。

除了由以上的漏洞驗證、加固的兩級聯動形成的信息安全知識文檔，還會有上級對下級部門的管理規定要求，比如日常IT信息安全巡檢、重大活動保障等。無論是管理層面的文件要求，還是技術層面的知識文檔，都是單位IT信息安全的寶貴財產。可以在總部側建設信息安全知識庫，對這些知識文檔進行收納歸檔，并可以基于這個基礎進行管理和技術交流。

經驗及思考

針對于組織機構比較多的大中型企業，尤其是在IT系統建設比較復雜的環境，信息安全管理尤為重要。但在實際的操作環節中，又由于各分部門之間職責定位不同、信息安全認識方向不同等原因，會存在很多問題。通過建立安全漏洞測試基地的方式，由總部主管部門進行統一的、制度化的督導管理，輔以績效關聯，可以比較容易的推動疑難雜癥、治理周期長等問題的解決。