基于信息安全管理體系的技術脆弱性管理探討

魏為民 ，張運琴 ，翟亞紅

(1.上海電力大學 計算機科學與技術學院，上海 200090；2.中國網絡安全審查技術與認證中心，北京 100020)

0 引言

2013 年10 月，國際標準化組織(International Organization for Standardization，ISO) 正式發布了ISO/IEC 27001：2013《Information technology—Security techniques—Information security management systems—Requirements》，取代使用了8 年之久的ISO/IEC 27001：2005。2016 年8 月，國家質量監督檢驗檢疫總局與國家標準化管理委員會聯合發布了GB/T 22080-2016/ISO/IEC 27001:2013《信息技術 安全技術 信息安全管理體系 要求》，該標準使用翻譯法等同采用ISO/IEC 27001：2013，其中附錄A 包括14 個控制域、35 個控制目標、114 項控制措施，并增加了資料性附錄NA 和NB[1]。按慣例，ISO 每5 年左右會對標準進行一次升級，2019 年6 月，經評審和確認，ISO/IEC 27001：2013 標準維持現狀[2]。上述標準中信息安全管理體系(Information Security Management Systems，ISMS)是指“基于業務風險方法，建立、實施、運行、監視、評審、保持和改進信息安全的體系，是一個組織整個管理體系的一部分[3]”。本文將重點討論信息安全管理體系標準GB/T 22080-2016 附錄A 中的“A.12.6技術方面的脆弱性管理(Technical vulnerability management)”，包含“A.12.6.1 技術方面脆弱性的管理(Management of technical vulnerabilities)”和“A.12.6.2軟件安裝限制(Restrictions on software installation)”兩項控制措施，其目標是“防止對技術脆弱性的利用(To prevent exploitation of technical vulnerabilities)”。

所謂脆弱性(vulnerability)，又稱弱點或漏洞，ISO/IEC 27000：2016 中將脆弱性定義為“可能被一個或多個威脅利用的資產或控制的弱點[3]”，而威脅是“可能對系統或組織造成危害的不期望事件的潛在原由[3]”。在GB/T 20984-2007 中的定義是“脆弱性是可能被威脅所利用的資產或若干資產的薄弱環節[4]”。由此可見，脆弱性是資產或系統本身固有的，如果沒有被威脅所利用，僅僅脆弱性本身是不會對資產或系統造成損害的[4]。風險評估(risk assessment)是信息安全管理體系實施過程中最重要的一個活動，脆弱性識別(vulnerability identification)是風險評估中最重要的一個環節。而有些資產或系統的脆弱性只能在滿足一定的條件和特定的環境下才能顯現，這正是脆弱性識別困難之所在[5]。

1 脆弱性識別

1.1 脆弱性識別內容

資產或系統中脆弱性幾乎是無處不在的。脆弱性產生的原因多種多樣，其中主要的原因有計算機或網絡系統在硬件、軟件、協議設計和實現中存在缺陷或錯誤(包括設計錯誤、設置錯誤、網絡協議自身的缺陷、輸入驗證錯誤、訪問驗證錯誤、意外情況處理錯誤、競爭條件、環境錯誤等)，采取的安全策略存在不足和缺陷，用戶對系統的誤用、誤操作等。有時也把脆弱性稱為漏洞，一般意義上的漏洞是系統設計和開發過程中存在的缺陷，非法用戶能夠在未經授權的情況下獲得訪問或提高其訪問權限甚至破壞系統，由此可見漏洞是某種形式的脆弱性，但很多時候不加區分地使用脆弱性或者漏洞。

20 世紀90 年代，美國國家標準協會根據漏洞發現時間、漏洞產生的原因和漏洞所處的位置對漏洞進行了分類。目前主要有CVE(Common Vulnerability Exposures)、NVD(U.S.National Vulnerability Database)、SecurityFocus、OSVDB(Open Sourced Vulnerability Database)等幾種針對漏洞的分類管理方式。其中CVE是由美國MITRE 公司負責維護的全球公認安全漏洞索引標準[6]，其為每個確認的公開披露的安全漏洞，提供作為安全領域標識該漏洞的標準索引CVE編號，同時提供一段簡單的漏洞描述信息。CVE 漏洞庫定期發布，方便全球相關組織共享漏洞信息。

漏洞可能存在于物理環境、組織、過程、人員、管理、配置、硬件、軟件和信息等各個方面。脆弱性一旦被威脅成功利用就可能對資產造成損害。脆弱性識別可從管理和技術兩個方面進行，管理脆弱性包括與具體技術活動相關的技術管理脆弱性，如物理和環境、通信、運行、訪問控制、系統獲取、開發和維護、業務連續性等，以及與管理環境相關的組織管理脆弱性，如安全策略、信息安全組織、資產管理、人力資源、符合性等。技術脆弱性識別對象包括物理環境、網絡結構、系統軟件、應用中間件、應用系統等。可依據國際或國家安全標準、行業規范等進行脆弱性識別。例如，對物理環境和操作系統、數據庫應分別按GB/T 9361-2011 和GB 17859-1999中的技術指標進行脆弱性識別。對管理脆弱性識別可按照GB/T 22081-2016 的要求對組織的安全管理制度及其執行情況進行核查[5]。以數據脆弱性識別為例，其識別示例如表1 所示。

可以基于資產的損害程度、技術實現的難易等維度，并參考管理脆弱性的嚴重程度，采用等級方式對已識別的脆弱性嚴重程度進行賦值[2]。例如等級1、2、3、4、5 分別表示，如果弱點被威脅利用將對資產造成可忽略的、較小的、一般的、重大的、完全的損害。此外還可以參考CVE、CNNVD 等提供的漏洞分級作為脆弱性賦值參考。

1.2 脆弱性識別方法

用于脆弱性識別的方法主要有問卷調查、手工核查、文檔查閱、工具檢測、滲透性測試等，其數據來源應為資產或系統的所有者、使用者或者責任人，以及相關業務領域、軟硬件開發維護方面的專業人員，應根據不同場景選擇合適的方法。

工具檢測(包含定制的腳本)的效率要明顯高于手工核查，但是工具掃描可能會對被評估的生產系統造成可用性降低等不良影響。因此在執行掃描前應做好充分細致的計劃和準備工作。掃描計劃至少應包括：掃描對象或范圍、工具選擇和使用、掃描任務計劃、風險規避措施等。

盡管工具檢測有非常高的效率，但考慮到其風險性，對那些對可用性要求較高的重要系統還是采用手工核查方式進行脆弱性識別。在檢查之前，需要事先準備好設備、系統或應用的檢查列表。在進行具體的人工檢查活動時，識別小組成員一般只負責記錄結果，而檢查所需的操作通常由相關管理員來完成。

表1 數據脆弱性識別示例

滲透性測試(penetration test)是在確保被檢測系統安全穩定運行的前提下，從攻擊者的角度，通過模擬惡意攻擊者的技術和攻擊手法，主動利用安全漏洞，對目標網絡、系統及應用的安全性進行深入透析，以發現系統的薄弱環節，評估計算機網絡系統的安全程度。滲透測試方法有提供了背景和系統信息的白盒測試，和只提供基本信息或除公司名稱外不提供任何信息的黑盒測試，以及提供與審計人員共享的目標有限知識的灰盒測試。滲透測試可以幫助組織發現系統安全漏洞、造成業務影響后果的攻擊途徑，并提出針對系統的薄弱環節進行修補與升級的技術方案。例如，作為Web 應用程序滲透測試(Web Application Testing，WAPT)的場景有：跨站點腳本(Cross Site Scripting，CSS)、SQL 注入(SQL Injection)、破損的認證和會話管理(broken authentication and session management)、文件上載缺陷(file upload flaws)、緩存服務器攻擊(caching servers attacks)、安全錯誤配置(security misconfigurations)、跨站點請求偽造(cross site request forgery)、密碼破解(password cracking)等。

1.3 管理脆弱性核查

管理脆弱性的檢測，一般采用問卷調查和管理記錄查閱等現場調查方式，檢測的內容主要有：

機構——安全管理機構的存在能夠對管理制度制定和實施起到監督的作用，機構建設得不完全、不合理會給被評估系統的安全帶來風險。

制度——明確、系統的安全管理規章制度可減輕系統的安全風險。

運行——網絡正常運行、數據完整統一、業務連續運轉。

人員——工作人員的管理和系統用戶管理。

2 脆弱性管理實踐指南

2016 年8 月，國家質量監督檢驗檢疫總局聯合國家標準化管理委員會同步發布了GB/T 22081-2016 ISO/IEC 27002:2013《信息技術 安全技術 信息安全控制實踐指南》[7]，同樣使用翻譯法等同采用ISO/IEC 27002:2013《Information technology—Security techniques—Code of practice for information security controls》及其相應的技術勘誤(ISO/IEC27002：2013/COR1：2014)，并增加了資料性附錄NA 和NB。該標準可作為組織基于GB/T 22080-2016/ISO/IEC 27001:2013 實現ISMS 過程中選擇控制時的參考，或作為組織在實現通用信息安全控制時的指南。本文重點討論與GB/T 22080-2016 中“A.12.6 技術方面的脆弱性管理”相對應的實踐指南。

2.1 技術方面脆弱性的管理實踐指南

ISO/IEC 27001 的“A.12.6.1 技術方面脆弱性的管理”，其控制為“應及時獲取在用的信息系統的技術方面的脆弱性信息，評價組織對這些脆弱性的暴露狀況并采取適當的措施來應對相關風險[7]。即主要通過以下三個步驟進行脆弱性管理：

(1)及時發現漏洞。越早發現漏洞，并及時向廠商上報，就越有充足時間對其進行修復，留給攻擊者利用漏洞的時間就越少。

(2)對組織的漏洞暴露情況進行評估。某個漏洞或一組漏洞對不同組織的影響可能不盡相同，需要進行風險評估，找出資產和業務的重要漏洞，并對其進行優先級排序。

(3)采取將相關風險考慮在內的適當措施。找出最嚴重的漏洞后，需考慮采取措施，然后分配資源處理漏洞，即制定風險處置計劃。

ISO/IEC 27002 定義了實現脆弱性管理目標的支撐行動，提供實施上述安全措施時需考慮的最佳實踐，建議采取以下行動：

(1)盤點資產。進行技術方面的脆弱性管理的先決條件是掌握當前完整的信息資產清單，包括軟件廠商、軟件版本、軟件安裝位置以及相關軟件責任人。

(2)明確職責。脆弱性管理需進行多項不同活動（如監視、風險評估和糾正等），因此，需明確角色和責任，確保對資產進行合理追蹤。

(3)明確參考資源。參考資料列表上應包含廠商站點、專業論壇和特別興趣小組，從而了解漏洞與修復措施相關的新聞，并及時更新。

(4)按照制定的流程處理漏洞。按照漏洞優先級，根據變更管理或事件響應規程采取相應的措施，如打補丁或應用其他控制。

(5)記錄并事后分析。記錄所發生的事件以及事件處理過程，并定期評審，確保可盡快改進和修復漏洞。

另外，如果有可用的補丁，宜評估漏洞引起的風險和安裝補丁帶來的風險。補丁在安裝之前，應進行測試和評價，確保是有效的且不會導致重大的負面影響。如果沒有可用的補丁，就應考慮其他控制措施，如關閉有漏洞的服務、調整訪問控制、加強監視、提高安全意識等。

總之，由于市場需要更快速的軟件交付及更多特性，將會有更多漏洞出現[8]。因此，為確保組織的信息資產安全、維護企業形象以及保持競爭力，制定漏洞發現和處理計劃非常重要。同時，應該充分利用威脅情報信息，深度解讀漏洞利用細節、利用熱度、利用難度等，為IT 運維人員提供詳實的漏洞細節，便于他們結合企業實際情況分析漏洞影響，為漏洞修復提供決策依據，真正實現漏洞管理的閉環操作。

2.2 軟件安裝限制實踐指南

ISO/IEC 27001 的“A.12.6.2 軟件安裝限制”，其控制為“應建立并實現控制用戶安裝軟件的規則[7]。考慮到在計算機設備上安裝不受控制的軟件可能違反知識產權，甚至可能導致信息泄露、完整性損失或其他信息安全事件。ISO/IEC 27002 提供了如下實踐指南：

(1)制定軟件安裝策略。基本原則是軟件應該由專業人員或者IT 運維人員來安裝，普通員工應禁止從互聯網下載軟件。員工需要安裝特定的軟件應提出申請，IT 部門確認是否有該軟件的授權，若有則為相關人員安裝該軟件；若沒有授權，則應評估該軟件及類似功能軟件的必要性，如果是收費軟件，還應進行相應的財務審批。

(2)最小授權原則。應根據用戶所涉及的角色最小化授權，如果用戶獲得了某些特權，就有可能隨意安裝或刪除特定的軟件。組織宜建立軟件安裝白名單(允許安裝的軟件)和黑名單(禁止安裝的軟件)。以Windows 10 為例，可通過組策略編輯器(gpedit.msc)設置軟件安裝限制策略。路徑如下：計算機配置——Windows 設置——安全設置——軟件限制策略。

2.3 漏洞管理趨勢

大量數據和案例表明，雖然漏洞評估和管理工具日新月異，但漏洞管理始終是企業網絡安全的致命環節，近年來60%的企業數據泄露與安全漏洞未得到修補有關。基于合規性的要求，企業將不得不部署漏洞管理程序。漏洞管理重在“管理”，企業的漏洞管理或脆弱性風險相關管理依然存在很大的改進空間。與此同時，漏洞風險正隨著攻擊技術的快速升級而增加，例如攻擊者在利用機器學習/人工智能技術方面已經超越了防御者，企業用于預防、檢測、修補、記錄和報告的漏洞管理工作平均成本正在不斷上升。因為人員配備不足，或者擔心補丁修補過程導致關鍵應用程序和系統停機，補丁修補過程經常被延遲。在軟件中發現安全漏洞后，大多數企業都希望開發人員能夠迅速采取行動來解決問題，管理層對補丁延誤的容忍度在不斷降低，在增加人手的同時，通過自動執行補丁管理流程來縮短補丁時間將是應對補丁挑戰的重要方式。

3 脆弱性管理審核案例

3.1 審核案例背景

案例類型：信息安全管理體系（ISMS）

受審核方：XXXX 信息有限公司

審核類型：第一次監督審核

審核依據：GB/T 22080-2016/ISO/IEC 27001：2013，SOA 3.0

3.2 案例發生的主要過程

受審核方是國內領先的互聯網金融平臺，基于業務角度出發，認識到信息安全的重要性，依據GB/T 22080-2016/ISO/IEC 27001:2013 標準策劃和建立了信息安全管理體系，希望能做到規范管理體系，切實完善安全管理制度，執行安全控制措施，不斷提高信息安全風險管理水平。受審核方建立信息安全管理體系的總體方針“業務為核心；風險導向；持續改進；指導與參與；技術與管理并重；合規性”。該信息安全方針作為受審核方安全工作的總方向，為目標設定提供框架。《信息安全適用性聲明》版本為V3.0，選擇了標準附錄A 的所有控制措施。

2018 年某日，審核組按照計劃審核人事行政部，該部門主要職責為：負責公司人事、行政、總務等綜合管理工作；負責打造符合公司戰略的人力資源體系，確保公司團隊升級、吸引和保留優秀人才，打造積極向上的企業文化。該部門人員基本穩定，所有入職員工簽署保密協議，管理崗位和核心技術崗位員工有背景調查，員工離職按照《離職流程》撤銷和復查相應的權限。審核發現該部門一臺用于薪酬數據備份的筆記本電腦未設置屏保，自2018 年1 月19日該機啟用以來從未安裝Windows 更新，未更新病毒和間諜防護軟件。

3.3 主要的審核發現、溝通過程及改進方法

人事行政部的這臺筆記本電腦配置為：Windows 7 Pro SP1；安裝內存(RAM)：4.0 GB；系統類型：64 位操作系統。從控制面板查看Windows Update 狀態：

最近檢查更新的時間：從未

安裝更新的時間：從未

接收更新：僅適用于Windows 產品和其他來自Microsoft Update 的產品。

查看Windows Update ：“C：WindowsWindows-Update.log”更新日志文件，結果與上述狀態一致。

該筆記本電腦貌似一臺“孤島”式的電腦，但由于該電腦除了主要用于薪酬數據備份外，偶爾還用于其他工作，存在數據之間的交換，因此極有可能感染計算機病毒，從而傳染到工作網絡，違反公司《信息系統使用安全制度》和《漏洞掃描管理流程》，據此開具不符合項，涉及的標準條款：

A.11.2.9 清理桌面和屏幕策略：應針對紙質和可移動存儲介質，采取清理桌面策略；應針對信息處理設施，采用清理屏幕策略。

A.12.6.1 技術方面脆弱性的管理：應及時獲取在用的信息系統的技術方面的脆弱性信息，評價組織對這些脆弱性的暴露狀況并采取適當的措施來應對相關風險。

受審核方高度重視本次審核結果，對不符合項進行原因分析如下：薪酬電腦由于斷網未在域控范圍內，因此未同步域策略，也未對該關鍵電腦人工定期進行安全策略的配置和更新。

采取的糾正措施為：該電腦屬于HR 部門專用電腦，單機不加域，已經設置了自動鎖屏及密碼，采用手動更新防病毒軟件的病毒庫以及Windows 關鍵更新，并每個季度檢查更新一次。

4 結論

目前，隨著工業互聯網、智能制造的深入發展，企業采用的主機操作系統、通信協議、應用軟件已大量采用通用技術，傳統的互聯網安全風險已可對企業生產端造成影響；工業企業打造工業互聯網過程中，不斷加強系統互聯互通，對部分安全風險和威脅滲透擴散提供了有利環境。而很多企業存在以下誤區：一是工業尤其是工控系統信息相對安全，缺乏推進工作的主動性；二是認為隔離的工業網絡就絕對安全，其內部網絡、主機和設備基本不作安全防范，一旦網絡隔離被突破將造成嚴重影響；三是工業主機、工控系統等的操作系統、軟件應用版本老舊，且認為進行補丁升級操作將帶來生產安全風險或無法得到生產廠商維保服務，而幾乎不作補丁升級，存在安全隱患；四是認為部署持續性的在線安全監測手段不必要，使得應對突發性的漏洞、病毒等事件不及時，應急措施嚴重缺乏。

建議企業注重發展過程中的信息安全風險，按照《中華人民共和國網絡安全法》要求，落實網絡安全主體責任和等級保護等基本安全制度；對照《工業控制系統信息安全防護指南》等的有關要求，對工業互聯網中的安全薄弱環節，重點加強工業網絡、主機、控制設備的安全軟件部署和安全配置，軟件補丁升級管理，生產網、辦公網等網絡隔離，互聯網遠程訪問控制，以及外連設備安全連入管理等有關工作。