◆劉海南

企業(yè)安全漏洞管理初探

◆劉海南

（廣西壯族自治區(qū)交通運(yùn)輸信息管理中心 廣西 530000）

近年來(lái)各種安全漏洞層出不窮，危害程度逐級(jí)增加，對(duì)于已實(shí)現(xiàn)信息電子化的企業(yè)而言，無(wú)論外網(wǎng)系統(tǒng)或內(nèi)網(wǎng)系統(tǒng)均面臨著嚴(yán)峻的安全威脅。本文重點(diǎn)講述的是在遵循漏洞生命周期環(huán)境下，如何高效地、科學(xué)地管理漏洞，將著重從技術(shù)和管理兩方面進(jìn)行敘述。

漏洞；生命周期；管理思路

1 背景介紹

在安全漏洞滿天下的信息時(shí)代，由于互聯(lián)網(wǎng)的普及，普通人能獲取漏洞信息的條件越來(lái)越容易，網(wǎng)絡(luò)攻擊也變得似一鍵觸發(fā)那樣簡(jiǎn)單。對(duì)于企業(yè)而言，特別為中小企業(yè)，當(dāng)受到網(wǎng)絡(luò)攻擊時(shí)，往往只能尋求專業(yè)的安全公司做應(yīng)急響應(yīng)，對(duì)于漏洞應(yīng)對(duì)措施大體為發(fā)現(xiàn)一個(gè)修補(bǔ)一個(gè)，沒(méi)有對(duì)漏洞進(jìn)行有效監(jiān)控和管理，讓企業(yè)長(zhǎng)期處于危險(xiǎn)之中。

如何有效地、科學(xué)地管理好漏洞，成為眾多企業(yè)負(fù)責(zé)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)特別關(guān)心的事，也是傳統(tǒng)網(wǎng)絡(luò)管理人員需要格外學(xué)習(xí)的方法和技術(shù)，不然未來(lái)的哪一天，可能就會(huì)因?yàn)橐粋€(gè)安全漏洞導(dǎo)致企業(yè)信息泄露。

2 現(xiàn)狀

漏洞是客觀存在的，是IT系統(tǒng)軟件和硬件自身存在的缺陷，黑客能夠在非授權(quán)的情況下對(duì)IT系統(tǒng)的機(jī)密性、完整性、可用性造成不同程度的破壞，最終給企業(yè)和個(gè)人造成無(wú)法挽回的損失。傳統(tǒng)企業(yè)中，諸多網(wǎng)絡(luò)使用者非專業(yè)的IT安全從業(yè)者出身，缺乏安全意識(shí)，對(duì)企業(yè)信息安全并不關(guān)心，對(duì)安全問(wèn)題也不重視。即便關(guān)心也無(wú)處下手，常用的應(yīng)對(duì)措施如前文提到的那樣，發(fā)現(xiàn)一個(gè)漏洞修補(bǔ)一個(gè)漏洞，并沒(méi)有對(duì)漏洞進(jìn)行科學(xué)有效管理。

3 信息資產(chǎn)

概念及意義：

信息資產(chǎn)是一個(gè)知識(shí)體系，作為一個(gè)單一的實(shí)體來(lái)組織和管理，本文中指的信息資產(chǎn)是狹義的，所指的是人員、文檔、辦公終端、服務(wù)器、門戶網(wǎng)站等。

在漏洞管理中，我們引入生命周期，漏洞的生命周期如圖1：

圖1 安全漏洞生命周期

生命周期指一個(gè)對(duì)象的出現(xiàn)到消亡。本文中漏洞的生命周期從產(chǎn)生→發(fā)現(xiàn)→公開→管理→消亡，經(jīng)過(guò)了漏洞潛伏期、漏洞公開期、漏洞識(shí)別期、漏洞處置期四個(gè)階段。

在漏洞管理中，信息資產(chǎn)的完整性收集是整個(gè)漏洞管理的第一步。古話說(shuō)知己知彼，方能百戰(zhàn)不殆，若企業(yè)連自己有幾臺(tái)服務(wù)器等信息資產(chǎn)都不清楚，那從何談起還要維護(hù)它的安全。

4 資產(chǎn)收集

4.1人工梳理

網(wǎng)絡(luò)管理員都會(huì)有一份資產(chǎn)清單，詳細(xì)記錄了資產(chǎn)的設(shè)備名稱、IP地址、物理地址、端口及服務(wù)、系統(tǒng)及應(yīng)用的版本信息和管理員聯(lián)系方式等，甚至還有一份寫有設(shè)備登錄賬號(hào)口令的清單。這些資產(chǎn)信息是在系統(tǒng)建設(shè)初期和長(zhǎng)期維中逐漸形成的，信息安全人員若要對(duì)企業(yè)資產(chǎn)進(jìn)行梳理，只需問(wèn)網(wǎng)絡(luò)管理員提供即可。

當(dāng)然也會(huì)存在有企業(yè)的資產(chǎn)清單中信息不齊全的情況，有些只記錄了IP地址和物理地址等簡(jiǎn)單信息，網(wǎng)絡(luò)拓?fù)涞刃畔⒍际呛芫弥袄系陌姹?。因此，我們需要采用工具?lái)解決這個(gè)問(wèn)題。

4.2工具收集

工具收集是輔助人工梳理資產(chǎn)的手段之一，本文推薦一款開源免費(fèi)的網(wǎng)絡(luò)掃描和主機(jī)檢測(cè)的工具，可以在百度中搜索“Nmap”就能下載到，也有很多詳細(xì)的使用教程，本文則簡(jiǎn)單舉例：

（1） 主機(jī)發(fā)現(xiàn)，意義在于檢測(cè)網(wǎng)絡(luò)中主機(jī)的存活，可在WINDOWS下用CMD命令Nmap –A 192.168.1.0/24檢測(cè)該C網(wǎng)段；

（2） 端口發(fā)現(xiàn)，意義在于檢測(cè)目標(biāo)主機(jī)開放了哪些服務(wù)端口，可用CMD命令Nmap –p 1-65535 –Pn 192.168.10.1來(lái)實(shí)現(xiàn)（1和2可寫成一條命令）。

服務(wù)器版本探測(cè)，若不想登錄到服務(wù)器上查看版本?？捎妙愃苭hatweb或Nmap這樣開源的Web應(yīng)用程序指紋識(shí)別工具來(lái)探測(cè)，簡(jiǎn)單舉例：

（1） 服務(wù)器版本探測(cè)，可用Nmap來(lái)實(shí)現(xiàn)，Nmap –sV –p 1-65535 10.0.10.1或者指定端口、添加IP段或列表；

（2） 網(wǎng)站中間件的探測(cè)，可用whatweb來(lái)探測(cè)，命令whatweb www.123.com或者跟著檢測(cè)列表。

4.3比對(duì)整合

前文列舉的人工梳理和工具協(xié)助收集的辦法，將兩個(gè)途徑獲取的信息進(jìn)行比對(duì)，信息不一致找系統(tǒng)管理員確認(rèn)，如此方法一般就能基本摸清楚企業(yè)資產(chǎn)的信息。若有條件，大可以用python等主流的語(yǔ)言編寫一些探測(cè)工具，將這些方法固化下來(lái)。

比對(duì)完成之后將全新的資產(chǎn)進(jìn)行整合，一般用Excel表格記錄即可，也可以采用宏命令來(lái)實(shí)現(xiàn)對(duì)資產(chǎn)的整合。當(dāng)然，若有資產(chǎn)管理平臺(tái)是最好的。

5 漏洞管理

5.1潛伏期

安全漏洞的存在是信息系統(tǒng)在被開發(fā)時(shí)就存在，只是還未被安全人員發(fā)現(xiàn)。同時(shí)官方發(fā)布的新系統(tǒng)版本也會(huì)引入一些新的漏洞，所以漏洞是一直潛伏著，等著被發(fā)覺(jué)。

5.2公開期

漏洞被發(fā)現(xiàn)后，很快就會(huì)在官方或者權(quán)威的漏洞發(fā)布平臺(tái)公布出來(lái)。漏洞依據(jù)危害程度和被利用的難度可分為：危險(xiǎn)、高危、中危、低危等級(jí)別。漏洞的修復(fù)一般是整改、規(guī)避或者是接受，應(yīng)考慮到加固成本，業(yè)務(wù)影響等因素。

5.3識(shí)別期

漏洞識(shí)別是漏洞管理的重要一步，安全漏洞識(shí)別頻率最好為至少每季度開展一次，通過(guò)漏洞掃描工具或滲透測(cè)試，分別對(duì)服務(wù)器、前端Web等信息資產(chǎn)進(jìn)行漏洞識(shí)別。

漏洞掃描工具的漏洞庫(kù)應(yīng)更新為最新版本，根據(jù)漏洞庫(kù)與設(shè)備所開放的端口服務(wù)版本及指紋進(jìn)行匹配；滲透測(cè)試過(guò)程中可在安全網(wǎng)站上找到新出漏洞的利用代碼，或漏洞poc工具進(jìn)行檢查。另外一種方式為代碼審計(jì)，通過(guò)對(duì)系統(tǒng)或應(yīng)用源代碼安全檢測(cè)，發(fā)現(xiàn)漏洞；最后一個(gè)當(dāng)然是高級(jí)安全人員的手工測(cè)試。

漏洞識(shí)別之后是整理這些安全漏洞，結(jié)合信息安全資產(chǎn)進(jìn)行一對(duì)多或多對(duì)多等方式進(jìn)行關(guān)聯(lián)，將漏洞掃描（識(shí)別）報(bào)告交給系統(tǒng)管理員處置。

5.4處置期

安全漏洞的處置，第一步是將發(fā)現(xiàn)的漏洞進(jìn)行歸檔管理，從掃描器中導(dǎo)出漏洞報(bào)表，因漏洞識(shí)別工具的差異性，會(huì)存在如.doc、.csv和.html等形式的報(bào)告，有些掃描報(bào)告不方便直觀閱讀，如采用國(guó)外的掃描器，漏洞報(bào)告是全英文，還需要人工翻譯成中文，對(duì)于漏洞批量管理會(huì)存在一定局限性，目前也沒(méi)有一個(gè)漏洞掃描工具是可關(guān)聯(lián)前一次的掃描結(jié)果。

漏洞掃描結(jié)果需要和信息資產(chǎn)進(jìn)行關(guān)聯(lián)，所以需要轉(zhuǎn)化成符合企業(yè)實(shí)際漏洞管理需要的文檔格式。一般情況下企業(yè)采用Excel表格進(jìn)行儲(chǔ)存和管理，那么需要將各種格式的轉(zhuǎn)化成一個(gè)標(biāo)準(zhǔn)的格式，采用工具或腳本自動(dòng)化生成就很有必要了。推薦一個(gè)好的方法，寫一個(gè)宏腳本，根據(jù)企業(yè)用的掃描工具的報(bào)告格式生成一個(gè)通用的Excel表。

下面介紹下漏洞管理和漏洞跟蹤：

（1）應(yīng)用主機(jī)漏洞跟蹤管理

圖2為漏洞信息匯總表，該表中應(yīng)包括資產(chǎn)名稱、IP地址、漏洞信息等等，漏洞處置跟蹤表包括但不限于IP、端口、漏洞等，如圖2與圖3適用于應(yīng)用主機(jī)漏洞管理。

圖2 安全漏洞信息匯總表

圖3 安全漏洞跟蹤表

（2）Web漏洞跟蹤管理

Web漏洞的方式類似于應(yīng)用主機(jī)漏洞跟蹤表，圖4上的字段僅提供了一個(gè)參考，表頭的內(nèi)容根據(jù)實(shí)際需要而定，統(tǒng)計(jì)表的好處在于方便維護(hù)，另外一個(gè)是方便生成數(shù)據(jù)透視圖或餅圖、條形圖等。

圖4 Web安全漏洞跟蹤表

最后一步分為三小步來(lái)完成，一則為將漏洞發(fā)給系統(tǒng)維護(hù)人員去修復(fù)；二是將反饋的漏洞整改的信息填入表內(nèi)；三為定期或定量開展復(fù)查，確保漏洞已被修復(fù)。

5.5人才培養(yǎng)

本文中提到的人才培養(yǎng)，指的是專職安全人員培養(yǎng)和企業(yè)內(nèi)其他員工安全意識(shí)的培養(yǎng)。安全是個(gè)動(dòng)態(tài)的過(guò)程，管理和技術(shù)作為有效實(shí)現(xiàn)手段，事前有預(yù)防、事中有策略、事后可溯源。

作為企業(yè)專職安全人員能清楚的分辨漏洞的危害性，對(duì)漏洞的處置優(yōu)先級(jí)較為明確，對(duì)漏洞管理辦法和一些安全管理的制度建設(shè)起到重要作用。加強(qiáng)普通員工的安全意識(shí)，避免企業(yè)因?yàn)榘踩庾R(shí)疏忽給系統(tǒng)引入了其他安全漏洞。

5.6管理差距優(yōu)化

羅馬非一日建成的，企業(yè)漏洞管理也是一個(gè)從無(wú)到有的過(guò)程。所以本文的主導(dǎo)思想在于，呼吁企業(yè)高層領(lǐng)導(dǎo)重視信息安全，不要忽略一個(gè)小的安全漏洞，因?yàn)橐粋€(gè)小漏洞在適合的場(chǎng)景下有可能演變?yōu)橐粋€(gè)嚴(yán)重的漏洞，科學(xué)高效地開展漏洞管理才是硬道理。

對(duì)于安全漏洞管理，借助漏洞生命周期和管理的經(jīng)驗(yàn)，可以寫成一個(gè)漏洞管理系統(tǒng)，系統(tǒng)包括信息資產(chǎn)，漏洞信息等，對(duì)已經(jīng)修復(fù)的漏洞、整改超時(shí)的漏洞、緊急的漏洞分別進(jìn)行標(biāo)記和提醒，漏洞管理系統(tǒng)的字段可參見(jiàn)我們前邊漏出處置的表字段，可采取多線程模式，支持多人同時(shí)登錄管理，漏洞信息關(guān)聯(lián)等等。當(dāng)企業(yè)漏洞管理初見(jiàn)成效時(shí)，應(yīng)及時(shí)制定漏洞管理辦法，建立問(wèn)責(zé)機(jī)制。

6 結(jié)束語(yǔ)

本文重點(diǎn)講述的是漏洞的管理，力求將管理的方法分享給大家，希望對(duì)一些還未建立漏洞管理的企業(yè)起到拋磚引玉的作用。

最后對(duì)如何有效地進(jìn)行漏洞管理總結(jié)如下：

（1） 明確信息資產(chǎn)；

（2） 對(duì)漏洞進(jìn)行跟蹤管理；

（3） 信息安全人才培養(yǎng)，信息安全意識(shí)宣貫；

（4） 優(yōu)化漏洞管理方法、制定安全管理制度。

[1]付俊，馮運(yùn)波 ,楊光華 ,張峰，粟栗.信息安全漏洞全生命周期管理[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2012.

[2]吳世忠.信息安全漏洞分析回顧與展望[J].清華大學(xué)學(xué)報(bào)(自然科學(xué)版)，2009.

[3]蔣誠(chéng).信息安全漏洞等級(jí)定義標(biāo)準(zhǔn)及應(yīng)用[J].信息安全與通信保密，2007.