婁一艇++嚴(yán)鈺君++葉明達(dá)++戚浩金

摘 要：漏洞管理流程的響應(yīng)速度，能否搶在攻擊者利用之前完成修補(bǔ)，是一個(gè)重要的衡量標(biāo)準(zhǔn)。基于電力行業(yè)系統(tǒng)的特性，論文實(shí)現(xiàn)了電力系統(tǒng)信息安全漏洞的運(yùn)維管理，通過(guò)安全漏洞原理分析、漏洞誤報(bào)分析、漏洞風(fēng)險(xiǎn)分析（是否能被利用）、切實(shí)有效的加固方法，形成安全漏洞閉環(huán)式管理。這種管理方式，改變了傳統(tǒng)的漏洞掃描、報(bào)告、修復(fù)、審核流程，通過(guò)引入漏洞情報(bào)和對(duì)資產(chǎn)的預(yù)先梳理和持續(xù)監(jiān)控，把漏洞管理流程向外擴(kuò)展了漏洞分析環(huán)節(jié)的漏洞修復(fù)建議、漏洞修復(fù)環(huán)節(jié)的修復(fù)方案，以及對(duì)整個(gè)管理過(guò)程的評(píng)估、對(duì)比和優(yōu)化。

關(guān)鍵詞：漏洞；閉環(huán)式管理

Abstract： The speed of response of a vulnerability management process， whether it can be stolen before the attacker can use it， is an important measure. On the basis of the characteristics of electric power industry system， this paper implements the operations management of electric power system information security vulnerabilities， by principle analysisof security vulnerability、vulnerabilitymis-report analysis、vulnerability risk analysis （whether they can be used）、the effective reinforcement method to form a closed-loop type management of security holes. Change the traditional vulnerability scanning， report， repair， and audit process， by introducing vulnerabilities intelligence and advance for assets and continuous monitoring， expanding the vulnerability management process to vulnerability repair adviceof vulnerability analysis link and repair planof bug fix link， as well as to the evaluation、comparison and optimization of the whole process of management.

Key words： vulnerability； closed-loop type management

1 引言

隨著國(guó)家、上級(jí)監(jiān)管部門(mén)對(duì)安全要求的日益嚴(yán)格和信息安全行業(yè)整體的技術(shù)發(fā)展，同時(shí)因業(yè)務(wù)需求發(fā)展壯大以及互聯(lián)網(wǎng)資產(chǎn)暴露面隨之不斷擴(kuò)大，信息安全風(fēng)險(xiǎn)與日俱增，安全管理及運(yùn)維工作風(fēng)險(xiǎn)與挑戰(zhàn)并存。

近十年來(lái)互聯(lián)網(wǎng)大發(fā)展，電力公司的應(yīng)用越來(lái)越多、安全域不斷調(diào)整、設(shè)備數(shù)量種類不斷增加、業(yè)務(wù)邏輯越來(lái)越復(fù)雜。與此同時(shí)安全漏洞也多有發(fā)生，隨時(shí)威脅著系統(tǒng)、數(shù)據(jù)、業(yè)務(wù)的安全，安全漏洞的研究與管理勢(shì)在必行。眾所周知，信息安全領(lǐng)域涵蓋IT行業(yè)多個(gè)細(xì)分領(lǐng)域，對(duì)信息安全運(yùn)維、管理工作者有著較高的技術(shù)、管理要求。因此本文主要探討安全漏洞的管理與如何提升安全管理效率，降低安全管理門(mén)檻。

2 安全漏洞的產(chǎn)生

安全漏洞的產(chǎn)生總的來(lái)說(shuō)由于邏輯錯(cuò)誤、安全策略等造成硬件（主板、CPU），軟件（Oracle、Java、PHP、OpenSSL等）、協(xié)議存在缺陷，非法訪問(wèn)者或攻擊者可以在未經(jīng)授權(quán)的情況下越權(quán)訪問(wèn)系統(tǒng)[2]。例如邏輯錯(cuò)誤導(dǎo)致的安全漏洞：業(yè)務(wù)系統(tǒng)中經(jīng)常發(fā)現(xiàn)的萬(wàn)能密碼，由于開(kāi)發(fā)者在登錄查詢中SQL語(yǔ)句邏輯編寫(xiě)不嚴(yán)謹(jǐn)，導(dǎo)致SQL注入漏洞，從而非法訪問(wèn)者可通過(guò)任意密碼進(jìn)行登錄系統(tǒng)。安全策略不嚴(yán)謹(jǐn)導(dǎo)致的安全漏洞：最容易安全加固但也是信息安全中危害最大之一的弱口令問(wèn)題，就是由于密碼安全策略安全級(jí)別配置不夠?qū)е隆?/p>

3 安全漏洞的發(fā)現(xiàn)

在日常運(yùn)維工作中，發(fā)現(xiàn)安全漏洞的主要途徑有兩種。

3.1 通過(guò)安全產(chǎn)品進(jìn)行漏洞掃描

目前主流的漏洞掃描產(chǎn)品掃描范圍基本覆蓋主機(jī)設(shè)備，如網(wǎng)絡(luò)層（交換機(jī)、路由器、防火墻等），主機(jī)（Windows、Unix、Linux等），數(shù)據(jù)庫(kù)（Oracle、DB2、Mysql、SQL Server等），中間件（WebLogic、JBoss、Apache、IIS等）等。漏洞掃描原理大致分為兩類：第一類通過(guò)遠(yuǎn)程識(shí)別目標(biāo)主機(jī)中服務(wù)的軟件版本、類型，然后根據(jù)版本從漏洞庫(kù)中搜索出相對(duì)應(yīng)的版本漏洞，稱之為版本掃描；第二類通過(guò)遠(yuǎn)程識(shí)別目標(biāo)主機(jī)中服務(wù)的軟件版本、類型，然后模擬黑客對(duì)服務(wù)漏洞的利用過(guò)程，稱之為原理掃描[1]。

3.2 人工滲透測(cè)試

通過(guò)模擬惡意黑客的攻擊方法，來(lái)評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評(píng)估方法。這個(gè)過(guò)程包括對(duì)系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞的主動(dòng)分析，這個(gè)分析是從一個(gè)攻擊者可能存在的位置來(lái)進(jìn)行的，并且從這個(gè)位置有條件主動(dòng)利用安全漏洞。滲透測(cè)試對(duì)人員的技術(shù)水平和經(jīng)驗(yàn)要求很高，但是往往能發(fā)現(xiàn)系統(tǒng)架構(gòu)層面和邏輯層面的漏洞，這些漏洞一般是工具無(wú)法直接掃描出來(lái)的，但是對(duì)系統(tǒng)的危害性又非常大。所以，滲透測(cè)試是漏洞發(fā)掘工作重要一項(xiàng)內(nèi)容[1]。

總之，這兩種途徑對(duì)檢查信息系統(tǒng)漏洞都是至關(guān)重要的，工具掃描可以快速、大范圍地檢查漏洞，滲透測(cè)試可以重點(diǎn)、深入地發(fā)現(xiàn)漏洞，二者互為補(bǔ)充，成為目前發(fā)現(xiàn)漏洞的不可缺少環(huán)節(jié)。endprint

4 安全漏洞管理策略

安全漏洞管理離不開(kāi)實(shí)際生產(chǎn)環(huán)境，根據(jù)等級(jí)保護(hù)、行業(yè)等相關(guān)要求，從電力公司實(shí)際安全性考慮，業(yè)務(wù)系統(tǒng)進(jìn)行了分級(jí)分域管理，那么對(duì)于安全漏洞的管理也需要充分考慮安全漏洞歸屬資產(chǎn)的實(shí)際業(yè)務(wù)環(huán)境[3]。再者需要結(jié)合安全漏洞管理本身的性質(zhì)，例如是否屬于軟件版本漏洞，還是屬于原理掃描發(fā)現(xiàn)的安全漏洞。

4.1 漏洞管理的基本思路

4.1.1 確定資產(chǎn)安全等級(jí)

根據(jù)“安全風(fēng)險(xiǎn)模型”對(duì)網(wǎng)管中心業(yè)務(wù)系統(tǒng)相關(guān)資產(chǎn)進(jìn)行安全定級(jí)。影響定級(jí)的因素主要包含資產(chǎn)重要性（承載的業(yè)務(wù)及數(shù)據(jù)重要性）；面臨安全風(fēng)險(xiǎn)大?。ㄊ欠裨试S外網(wǎng)訪問(wèn)，存在外部攻擊風(fēng)險(xiǎn)）兩個(gè)方面。

4.1.2 定漏洞整改優(yōu)先級(jí)

根據(jù)資產(chǎn)重要性、漏洞風(fēng)險(xiǎn)值、漏洞易利用程度等方面對(duì)漏洞整改優(yōu)先級(jí)進(jìn)行確定。

4.1.3 分步治理長(zhǎng)期運(yùn)營(yíng)

確立漏洞修復(fù)計(jì)劃，優(yōu)先對(duì)安全等級(jí)高的業(yè)務(wù)系統(tǒng)資產(chǎn)中整改優(yōu)先級(jí)高的漏洞進(jìn)行整改加固；針對(duì)不同安全等級(jí)資產(chǎn)設(shè)定不同的安全漏洞復(fù)查周期。

根據(jù)以上的思路結(jié)合電力行業(yè)的特性，總結(jié)出三點(diǎn)漏洞管理的策略。

4.2 分級(jí)分域管理策略

分級(jí)分域管理主要針對(duì)不同安全域的資產(chǎn)劃分資產(chǎn)重要性，設(shè)置資產(chǎn)權(quán)重，目的就是為了對(duì)資產(chǎn)權(quán)重高的資產(chǎn)做重點(diǎn)管理[4]。例如電力公司劃分了DMZ區(qū)、辦公區(qū)、核心系統(tǒng)區(qū)。DMZ區(qū)的資產(chǎn)主要為了提供互聯(lián)網(wǎng)服務(wù)，那么這部分資產(chǎn)面臨的威脅主要來(lái)自于互聯(lián)網(wǎng)的攻擊，雖然DMZ區(qū)部署有各類安全設(shè)備但從保護(hù)業(yè)務(wù)安全性的角度考慮，一旦被非法攻擊直接影響業(yè)務(wù)生產(chǎn)，因此DMZ區(qū)的資產(chǎn)權(quán)重應(yīng)該為最高。

核心系統(tǒng)區(qū)安全策略復(fù)雜，且嚴(yán)格控制其他安全域的訪問(wèn)控制，因此核心系統(tǒng)區(qū)的資產(chǎn)權(quán)重相對(duì)較低。辦公區(qū)的多數(shù)為個(gè)人使用終端各類敏感數(shù)據(jù)較多，一旦被非法攻擊影響較大，因此辦公區(qū)的權(quán)重介于DMZ與核心系統(tǒng)區(qū)之間。假設(shè)權(quán)重分為1～5分，那么DMZ的權(quán)重分為5，辦公區(qū)的權(quán)重為4，核心系統(tǒng)區(qū)的權(quán)重為3。通俗來(lái)說(shuō)，權(quán)重的劃分主要依據(jù)相關(guān)安全域資產(chǎn)一旦被非法攻擊之后的影響程度。如圖1所示。

4.3 根據(jù)安全漏洞性質(zhì)管理策略

對(duì)于具體漏洞的管理可分為兩個(gè)維度綜合來(lái)管理，一是漏洞的可利用情況，二是漏洞類型（版本漏洞還是邏輯漏洞）?？捎眯则?yàn)證需要通過(guò)手工或者第三方工具來(lái)驗(yàn)證漏洞是否真實(shí)可以利用。版本驗(yàn)證可通過(guò)漏洞掃描報(bào)告中對(duì)目標(biāo)資產(chǎn)的探測(cè)信息進(jìn)行分析，分析是否利用端口探測(cè)發(fā)現(xiàn)的安全漏洞，還是通過(guò)軟件版本探測(cè)發(fā)現(xiàn)的安全漏洞。

驗(yàn)證完漏洞的性質(zhì)就需要對(duì)漏洞在安全加固中處于個(gè)什么樣的級(jí)別進(jìn)行劃分。例如可利用的原理掃描漏洞，這類漏洞屬于風(fēng)險(xiǎn)級(jí)別較高的漏洞，在安全加固過(guò)程中需要優(yōu)先進(jìn)行加固。例如不可利用的版本掃描，這類漏洞風(fēng)險(xiǎn)級(jí)別較低，在安全加固過(guò)程中可酌情加固或者無(wú)需加固。

具體事例：弱口令漏洞屬于可利用原理掃描的安全漏洞，在加固過(guò)程匯總就需要優(yōu)先加固。Oracle版本漏洞在系統(tǒng)中經(jīng)常被發(fā)現(xiàn)，但是綜合考慮Oracle的域環(huán)境和在加固過(guò)程中帶來(lái)的加固風(fēng)險(xiǎn)，可能影響正常業(yè)務(wù)運(yùn)行，因此類似Oracle的這類漏洞無(wú)需加固，可通過(guò)訪問(wèn)控制策略進(jìn)行訪問(wèn)限制。

漏洞的性質(zhì)管理需要在日常安全運(yùn)維過(guò)程中，做大量的漏洞樣本測(cè)試，為了提升漏洞管理效率，還需要形成公司自身的安全加固經(jīng)驗(yàn)庫(kù)。一旦系統(tǒng)中再出相同的安全漏洞，便可在加固經(jīng)驗(yàn)庫(kù)中搜索結(jié)果、引用結(jié)果。同時(shí)對(duì)于安全漏洞的驗(yàn)證、管理專業(yè)性要求較高，因此經(jīng)驗(yàn)的累計(jì)必不可少。如圖2所示。

4.3 漏洞生命周期管理策略

通過(guò)漏洞的具體環(huán)境及漏洞性質(zhì)管理策略，基本上可以把90%以上的安全漏洞進(jìn)行分類劃分，如何針對(duì)漏洞的生命周期管理，就需要在日常安全運(yùn)維過(guò)程中對(duì)漏洞掃描報(bào)告、滲漏測(cè)試報(bào)告進(jìn)行統(tǒng)一管理，統(tǒng)一分析。同時(shí)，形成單一資產(chǎn)、單一漏洞的歷史記錄，通過(guò)歷史記錄和直觀反應(yīng)出漏洞大致出現(xiàn)日期，再可通過(guò)安全漏洞管理策略分析出漏洞形成的原因，這時(shí)可以引用歷史加固策略對(duì)單一漏洞進(jìn)行有效的處理[4]。

5 結(jié)束語(yǔ)

安全漏洞的驗(yàn)證、管理、加固是系統(tǒng)基礎(chǔ)安全防御的重要組成部分，但由于其專業(yè)性導(dǎo)致日常運(yùn)維部門(mén)面對(duì)安全漏洞時(shí)束手復(fù)查。同時(shí)安全漏洞管理需要結(jié)合具體的業(yè)務(wù)生產(chǎn)環(huán)境，因此日常運(yùn)維過(guò)程中需要付出大量的加固論證及可行性驗(yàn)證。一句話來(lái)說(shuō)，安全漏洞管理是以技術(shù)為依托，不斷地累計(jì)漏洞處理經(jīng)驗(yàn)的過(guò)程，最終形成完善的漏洞管理體系。

參考文獻(xiàn)

[1] 吳世忠，劉暉，郭濤，易錦，著.信息安全漏洞分析基礎(chǔ)[M].北京：科學(xué)出版社，2013.

[2] 王雨晨.系統(tǒng)漏洞原理與常見(jiàn)攻擊方法[D].華北計(jì)算技術(shù)研究所.

[3] http：//www.cnki.com.cn/Article/CJFDTotal-TXSJ201623003.htm.

[4] （美）Park Foreman著.吳世忠，郭濤，董國(guó)偉，張普含，譯.漏洞管理[M].北京：機(jī)械工業(yè)出版社，2013.endprint