基于風(fēng)險(xiǎn)評估的企業(yè)內(nèi)網(wǎng)漏洞管理技術(shù)研究

◆王志勇

?

基于風(fēng)險(xiǎn)評估的企業(yè)內(nèi)網(wǎng)漏洞管理技術(shù)研究

◆王志勇

（中國空空導(dǎo)彈研究院 河南 471009）

隨著企業(yè)業(yè)務(wù)模式向數(shù)字化、網(wǎng)絡(luò)化、智能化方式的快速轉(zhuǎn)變，信息化與工業(yè)化已深度融合，對企業(yè)內(nèi)網(wǎng)安全提出了較高要求。企業(yè)網(wǎng)絡(luò)存在安全漏洞，是信息技術(shù)自身必存的。及時(shí)修復(fù)安全漏洞是確保企業(yè)內(nèi)網(wǎng)信息安全的關(guān)鍵措施。根據(jù)企業(yè)內(nèi)網(wǎng)的實(shí)際情況，分析了安全漏洞的由來、漏洞發(fā)現(xiàn)的途徑，提出了基于風(fēng)險(xiǎn)評估理論的漏洞管理過程，建立了自動(dòng)化和人工相結(jié)合的漏洞修復(fù)工具和管理平臺，保障了企業(yè)內(nèi)網(wǎng)各系統(tǒng)的安全運(yùn)行。

安全漏洞；風(fēng)險(xiǎn)評估；漏洞修復(fù)

0 引言

安全漏洞是計(jì)算機(jī)信息系統(tǒng)軟硬件自身和使用過程中存在的脆弱性，脆弱性被攻擊者利用對信息和信息系統(tǒng)的保密性、完整性或可用性造成損壞，從而影響信息系統(tǒng)及其服務(wù)的正常運(yùn)行[1]。近幾年來不斷發(fā)生的重大網(wǎng)絡(luò)安全事件，多為黑客或內(nèi)部人員、惡意軟件利用信息系統(tǒng)存在的安全漏洞攻擊所致。如2010年發(fā)生的“震網(wǎng)”病毒導(dǎo)致伊朗核電站處理裝置損毀；2016年美國域名服務(wù)器遭受惡意軟件攻擊導(dǎo)致東海岸地區(qū)多家網(wǎng)站宕機(jī)；2017年包括中國、俄羅斯等國在內(nèi)的全球許多國家收到“永恒之藍(lán)”勒索病毒軟件攻擊，導(dǎo)致大量信息系統(tǒng)無法提供服務(wù)。安全漏洞的大量出現(xiàn)和快速增長是信息系統(tǒng)安全形勢嚴(yán)峻的重要原因之一。幾乎所有成功的攻擊者都是利用著名的漏洞，而且是在已經(jīng)存在補(bǔ)丁保護(hù)的情況下[2]，未及時(shí)利用補(bǔ)丁修復(fù)漏洞。

隨著信息化和工業(yè)化的深度融合以及中國制造2025、工業(yè)4.0等智能制造技術(shù)在企業(yè)研發(fā)、生產(chǎn)、管理等環(huán)節(jié)的全面應(yīng)用，信息技術(shù)已經(jīng)從傳統(tǒng)的信息系統(tǒng)應(yīng)用擴(kuò)展到工業(yè)控制系統(tǒng)各個(gè)組成，支撐企業(yè)的網(wǎng)絡(luò)已經(jīng)有信息網(wǎng)擴(kuò)展到工業(yè)互聯(lián)網(wǎng)，網(wǎng)絡(luò)系統(tǒng)日趨復(fù)雜，系統(tǒng)種類越來越多，導(dǎo)致系統(tǒng)存在的安全漏洞點(diǎn)越來越多。

企業(yè)內(nèi)網(wǎng)運(yùn)行系統(tǒng)運(yùn)行的業(yè)務(wù)系統(tǒng)多而復(fù)雜，很多系統(tǒng)已經(jīng)運(yùn)行多年，均采用更新補(bǔ)丁方式可能對系統(tǒng)的運(yùn)行安全造成新的安全隱患。本文結(jié)合企業(yè)這一情況，采用風(fēng)險(xiǎn)評估方法，對發(fā)現(xiàn)的通用漏洞進(jìn)行評估，按照對業(yè)務(wù)的影響度采取不同的處理辦法。

1 安全漏洞的由來

1.1企業(yè)內(nèi)網(wǎng)組成

企業(yè)內(nèi)網(wǎng)一般由四部分組成，如圖1所示：硬件設(shè)備層、操作系統(tǒng)層、數(shù)據(jù)庫管理系統(tǒng)/中間件/web應(yīng)用層、應(yīng)用軟件層。同時(shí)，保持企業(yè)內(nèi)網(wǎng)作為一個(gè)系統(tǒng)安全需要，還需要有相關(guān)的管理制度、策略及操作來保障。

企業(yè)內(nèi)網(wǎng)的四個(gè)組成部分一般要經(jīng)歷需求、設(shè)計(jì)、實(shí)現(xiàn)、部署、配置與運(yùn)行等環(huán)節(jié)，由于人類認(rèn)知水平的局限性和系統(tǒng)的復(fù)雜性，每個(gè)環(huán)節(jié)都會存在一定的瑕疵、缺陷。這些缺陷就是企業(yè)內(nèi)網(wǎng)存在的漏洞，亦稱脆弱性。

圖1 企業(yè)內(nèi)網(wǎng)組成圖

1.2安全漏洞存在分析

漏洞是由于企業(yè)內(nèi)網(wǎng)中的軟件研發(fā)、硬件開發(fā)未能全盤考慮整個(gè)系統(tǒng)中的使用情形，未能充分考慮各種可能的輸入、輸出以及各種操作情況的處理而造成的。企業(yè)內(nèi)網(wǎng)的各個(gè)組成部分和內(nèi)網(wǎng)的管理服務(wù)流程都可能存在。漏洞主要來源于：

（1）操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件以及應(yīng)用軟件的軟件開發(fā)階段

從用戶需求分析到部署，任何環(huán)節(jié)出現(xiàn)問題，就會將問題傳遞并放大至后續(xù)環(huán)節(jié)，最終導(dǎo)致系統(tǒng)使用中出現(xiàn)問題。

據(jù)計(jì)算機(jī)科學(xué)家估計(jì)，在每千行軟件代碼中大約會出現(xiàn)5～29個(gè)bug[3]。隨著“軟件定義”技術(shù)的廣泛應(yīng)用和智能化技術(shù)的應(yīng)用，軟件代碼量越來越大，軟件存在漏洞的數(shù)量將越來越多。為解決安全運(yùn)行問題，主要軟件供應(yīng)商均定期發(fā)布系統(tǒng)補(bǔ)丁，如：微軟公司每月均定期發(fā)布自己產(chǎn)品的補(bǔ)丁，出現(xiàn)類似“永恒之藍(lán)”這樣影響范圍和危害度巨大的漏洞問題，會緊急發(fā)布解決方案和軟件補(bǔ)丁。

（2）計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備等硬件開發(fā)階段

計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備包含硬件和固件，固件中安裝驅(qū)動(dòng)硬件的各種程序、專用系統(tǒng)。漏洞來源于硬件和固件中的程序存在的缺陷。近年來，出現(xiàn)了多起CPU、DSP芯片出現(xiàn)的安全漏洞，尤其是2017年底，Intel處理器重大安全漏洞被曝光。

（3）系統(tǒng)配置不當(dāng)

操作系統(tǒng)、應(yīng)用系統(tǒng)授權(quán)寬泛，未關(guān)閉非必需的服務(wù)；防病毒軟件、防火墻等安全產(chǎn)品配置不當(dāng)，造成病毒、惡意代碼或者其他攻擊者利用配置漏洞對企業(yè)內(nèi)網(wǎng)進(jìn)行攻擊，導(dǎo)致數(shù)據(jù)破壞、信息服務(wù)宕機(jī)等安全事件。

（4）策略、管理流程方面

策略與企業(yè)內(nèi)網(wǎng)面臨的安全形勢不匹配，未及時(shí)調(diào)整，管理流程存在漏洞不能保證安全措施落地執(zhí)行。

2 安全漏洞處理過程

2.1漏洞的發(fā)現(xiàn)

采用人工和自動(dòng)化技術(shù)相結(jié)合的方式，在對企業(yè)內(nèi)網(wǎng)信息資產(chǎn)形成清單的基礎(chǔ)上，發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)存在的安全漏洞，形成漏洞清單。漏洞識別主要有三種途徑：

（1）部署專用漏洞掃描工具

通過企業(yè)內(nèi)網(wǎng)部署國家有關(guān)部門認(rèn)可的漏洞掃描工具，在梳理企業(yè)信息資產(chǎn)形成清單的基礎(chǔ)上，對掃描對象、范圍等參數(shù)進(jìn)行設(shè)置，每月或每季度對全網(wǎng)進(jìn)行掃描，發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)存在的漏洞。按照掃描對象，漏洞掃描工具可分為普通的漏洞掃描工具和針對web應(yīng)用系統(tǒng)的web漏洞掃描工具。

（2）關(guān)注國家互聯(lián)網(wǎng)應(yīng)急中心、國家保密局等官方機(jī)構(gòu)發(fā)布的信息安全通報(bào)

專用漏洞掃描工具特征庫更新由各掃描工具供應(yīng)商維護(hù)，有一定的滯后性。針對重、特大安全漏洞，國家互聯(lián)網(wǎng)應(yīng)急中心、國家保密局等官方機(jī)構(gòu)將及時(shí)發(fā)布安全通報(bào)，提出安全應(yīng)對措施。企業(yè)安排專人及時(shí)從官方網(wǎng)站、渠道搜集相關(guān)信息。

（3）定期開展安全審計(jì)

通過企業(yè)建立的信息服務(wù)平臺，收集企業(yè)內(nèi)網(wǎng)各系統(tǒng)運(yùn)行數(shù)據(jù)、用戶提出的問題，分析系統(tǒng)是否存在影響安全運(yùn)行的漏洞。

按照合規(guī)性要求，審計(jì)企業(yè)內(nèi)網(wǎng)各系統(tǒng)的安全防護(hù)情況、運(yùn)行維護(hù)情況，確認(rèn)是否存在信息安全漏洞。

2.2漏洞的危害性評估

基于風(fēng)險(xiǎn)評估方法，根據(jù)漏洞對信息資產(chǎn)的威脅程度來確定漏洞的危害程度，確定漏洞修復(fù)次序。

業(yè)務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)取決于其面臨的威脅、漏洞被威脅利用的復(fù)雜度、漏洞的影響程度[1]。同一個(gè)漏洞，對不同的業(yè)務(wù)系統(tǒng)有不同的安全風(fēng)險(xiǎn)。利用復(fù)雜度是指在系統(tǒng)現(xiàn)有防護(hù)措施環(huán)境下漏洞被利用的難易程度，影響程度是指安全漏洞被利用后對業(yè)務(wù)系統(tǒng)造成的保密性、完整性和可用性方面問題的嚴(yán)重程度。

作為與國際互聯(lián)網(wǎng)隔離的企業(yè)內(nèi)網(wǎng)中，各系統(tǒng)面臨的威脅基本上是相同的，由于防護(hù)措施的不同、業(yè)務(wù)的重要程度的不同，對業(yè)務(wù)造成的風(fēng)險(xiǎn)大小程度不同。基于此，我們對企業(yè)內(nèi)網(wǎng)漏洞的危害性評估采取如下辦法：

（1）現(xiàn)有安全防護(hù)措施評估

在形成漏洞清單的基礎(chǔ)上，針對存在漏洞的信息資產(chǎn)，逐項(xiàng)分析其現(xiàn)有安全防護(hù)措施的有效性，評判漏洞被利用的復(fù)雜度。復(fù)雜度越大，漏洞被利用的可能性越小。

（2）評估漏洞對每個(gè)資產(chǎn)的影響程度

從假定漏洞被利用后，對信息資產(chǎn)在保密性、完整性和可用性三方面的危害度進(jìn)行分析。一般采取百分制，其中保密性1～40，完整性1～30，可用性1～30。

經(jīng)過上述兩步工作，可以確定每個(gè)漏洞在企業(yè)內(nèi)網(wǎng)可被利用的可能性和對信息資產(chǎn)的危害度。在基礎(chǔ)上，首先按照對信息資產(chǎn)的危害程度對漏洞排序、再按照漏洞被利用難易程度進(jìn)行排序，形成漏洞修復(fù)順序表，明確哪些漏洞需要立即修復(fù)，哪些可以延遲或忽略。

2.3漏洞的修復(fù)

參照ITIL框架，將漏洞修復(fù)納入企業(yè)信息服務(wù)臺流程管理，流程如圖2所示：

（1）針對高危風(fēng)險(xiǎn)級別的漏洞，在信息服務(wù)平臺中形成事件，安排人員處理；

（2）制定漏洞修復(fù)及系統(tǒng)變更方案。

更新補(bǔ)丁是修補(bǔ)漏洞最有效的方式。從操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等系統(tǒng)供應(yīng)商官方獲取系統(tǒng)補(bǔ)丁，對系統(tǒng)進(jìn)行升級更新。對于自行或委托開發(fā)的應(yīng)用軟件，需要針對存在的漏洞開發(fā)補(bǔ)丁程序?qū)浖M(jìn)行更新。

對于由于影響系統(tǒng)的可用性或者無法更新補(bǔ)丁的系統(tǒng)，可采取如下兩種方式：在不影響系統(tǒng)可用性的條件下，關(guān)閉存在漏洞的系統(tǒng)服務(wù)；通過在服務(wù)器邊界部署防火墻、安全網(wǎng)關(guān)等安全產(chǎn)品，控制存在漏洞的服務(wù)訪問范圍，減少被攻擊的風(fēng)險(xiǎn)。

漏洞修復(fù)及變更方案一定確保系統(tǒng)的可用，可采取如下步驟：

（1）獲取/開發(fā)系統(tǒng)補(bǔ)丁

每月定期從操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等供應(yīng)商官方網(wǎng)站獲取其發(fā)布的系統(tǒng)補(bǔ)丁。對于自行或委托有關(guān)廠商定制開發(fā)的系統(tǒng)，組織力量分析安全漏洞，制定漏洞修復(fù)方案，進(jìn)行補(bǔ)丁開發(fā)。對于系統(tǒng)配置、策略方面的漏洞，設(shè)計(jì)配置變更、策略變更方案。

圖2 漏洞修復(fù)流程

（2）系統(tǒng)變更申請

開展修復(fù)漏洞引起的系統(tǒng)變更影響性分析，分析其影響范圍、后果以及需要開展的驗(yàn)證工作。

（3）驗(yàn)證補(bǔ)丁

建立與在用業(yè)務(wù)系統(tǒng)相同的測試環(huán)境，更新補(bǔ)丁，測試更新過程以及對系統(tǒng)可用性的影響。同時(shí)，利用漏洞掃描工具對修復(fù)后的測試系統(tǒng)進(jìn)行掃描，確認(rèn)是否達(dá)到預(yù)期目標(biāo)。

（4）發(fā)布補(bǔ)丁

通過驗(yàn)證、可以使用的補(bǔ)丁發(fā)布至軟件配置管理系統(tǒng)，對更新程序統(tǒng)一管理。

①執(zhí)行變更

普通用戶終端可通過補(bǔ)丁更新系統(tǒng)實(shí)現(xiàn)操作系統(tǒng)、辦公軟件補(bǔ)丁的自動(dòng)更新。

服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、Web應(yīng)用服務(wù)等服務(wù)器端服務(wù)，應(yīng)在確認(rèn)數(shù)據(jù)、系統(tǒng)備份完備的基礎(chǔ)上，采用人工方式更新補(bǔ)丁，以保證系統(tǒng)更新過程可控，確保在用系統(tǒng)的可用性、可恢復(fù)。

②掃描修復(fù)情況

啟動(dòng)漏洞掃描工具軟件，對采取修復(fù)措施的系統(tǒng)進(jìn)行掃描，根據(jù)掃描結(jié)果判斷系統(tǒng)漏洞是否已修復(fù)。若修復(fù)到位，關(guān)閉事件處理流程。若仍然存在漏洞，需要重復(fù)（2）～（4）步驟，直到漏洞修復(fù)到位。

3 技術(shù)實(shí)現(xiàn)

依據(jù)國家網(wǎng)絡(luò)安全法規(guī)、標(biāo)準(zhǔn)要求和企業(yè)信息化運(yùn)行需要，通過信息化、自動(dòng)化的手段實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)漏洞發(fā)現(xiàn)、修復(fù)以及修復(fù)后的監(jiān)控，實(shí)現(xiàn)漏洞的全過程管理，降低企業(yè)內(nèi)網(wǎng)的安全風(fēng)險(xiǎn)。具體實(shí)現(xiàn)過程如下：

3.1部署漏洞發(fā)現(xiàn)工具和漏洞管理平臺

選擇啟明星辰公司的漏洞掃描工具作為發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)服務(wù)器、計(jì)算機(jī)終端、網(wǎng)絡(luò)打印機(jī)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)等對象漏洞的主要工具，同時(shí)為提高對web應(yīng)用漏洞的發(fā)現(xiàn)能力，部署了安恒公司的web漏掃專用工具，提升web應(yīng)用漏洞的發(fā)現(xiàn)能力。按照保密法規(guī)要求，每月定期對內(nèi)網(wǎng)進(jìn)行掃描，自動(dòng)形成漏洞清單。

同時(shí)，通過部署安全管理平臺，將漏洞掃描工具發(fā)現(xiàn)的漏洞進(jìn)行統(tǒng)一管理。

3.2基于ITIL建立企業(yè)信息服務(wù)平臺和軟件配置管理系統(tǒng)

企業(yè)開發(fā)了網(wǎng)絡(luò)化的信息服務(wù)平臺，實(shí)現(xiàn)信息服務(wù)的流程化。將漏洞修復(fù)過程納入該平臺進(jìn)行統(tǒng)一管理。

部署軟件配置管理系統(tǒng)對各系統(tǒng)技術(shù)狀態(tài)和驗(yàn)證后補(bǔ)丁進(jìn)行管理，由配置管理員負(fù)責(zé)軟件、補(bǔ)丁的出入庫。并通過運(yùn)維堡壘機(jī)等技術(shù)措施控制服務(wù)器及其運(yùn)行的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等系統(tǒng)補(bǔ)丁的更新。

3.3基于主機(jī)監(jiān)控與審計(jì)工具和微軟WSUS平臺建立企業(yè)內(nèi)網(wǎng)補(bǔ)丁分發(fā)平臺

根據(jù)企業(yè)內(nèi)網(wǎng)情況，先后建立了基于北信源主機(jī)監(jiān)控與審計(jì)系統(tǒng)、微軟WSUS3.0（Windows Server Update Services）的補(bǔ)丁分發(fā)平臺，分別實(shí)現(xiàn)Windows XP/ Windows Server2003、Windows 7以上系統(tǒng)補(bǔ)丁的自動(dòng)更新。

4 結(jié)論

漏洞管理關(guān)系企業(yè)內(nèi)網(wǎng)的安全，修復(fù)漏洞是解決漏洞引起安全風(fēng)險(xiǎn)的根本措施。由于企業(yè)內(nèi)網(wǎng)對象多、系統(tǒng)多，修復(fù)所有漏洞不僅成本高，也很難實(shí)現(xiàn)。采用風(fēng)險(xiǎn)評估法，找出風(fēng)險(xiǎn)較高的業(yè)務(wù)單元，按照風(fēng)險(xiǎn)等級和企業(yè)可以承受的風(fēng)險(xiǎn)，對漏洞進(jìn)行排序修復(fù)。對于新部署的系統(tǒng)，在部署之前可以通過更新補(bǔ)丁將已發(fā)現(xiàn)的漏洞修復(fù)到位，降低業(yè)務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)。隨著時(shí)間的推移，新的漏洞會不斷被發(fā)現(xiàn)，更新補(bǔ)丁可能對已在用系統(tǒng)的運(yùn)行有一定影響。為減少修復(fù)漏洞對企業(yè)內(nèi)網(wǎng)可用性的影響，一定要建立測試環(huán)境，制定系統(tǒng)回退方案，驗(yàn)證修復(fù)措施的有效性。但要減少補(bǔ)丁對系統(tǒng)的影響，需要進(jìn)一步規(guī)范系統(tǒng)開發(fā)，降低各應(yīng)用系統(tǒng)與其運(yùn)行平臺的耦合度、應(yīng)用系統(tǒng)內(nèi)部不同模塊間的耦合度。

[1]劉奇旭，張翀斌，張玉清等.安全漏洞等級劃分關(guān)鍵技術(shù)研究[J].通信學(xué)報(bào)，2012.

[2]華镕，華夏.制造區(qū)計(jì)算機(jī)補(bǔ)丁更新的重要性[J].中國儀器儀表，2012.

[3]華镕.漏洞管理一:了解漏洞管理的需求[J].中國儀器儀表，2015.