◆王志勇

?

基于風險評估的企業(yè)內(nèi)網(wǎng)漏洞管理技術研究

◆王志勇

（中國空空導彈研究院 河南 471009）

隨著企業(yè)業(yè)務模式向數(shù)字化、網(wǎng)絡化、智能化方式的快速轉(zhuǎn)變，信息化與工業(yè)化已深度融合，對企業(yè)內(nèi)網(wǎng)安全提出了較高要求。企業(yè)網(wǎng)絡存在安全漏洞，是信息技術自身必存的。及時修復安全漏洞是確保企業(yè)內(nèi)網(wǎng)信息安全的關鍵措施。根據(jù)企業(yè)內(nèi)網(wǎng)的實際情況，分析了安全漏洞的由來、漏洞發(fā)現(xiàn)的途徑，提出了基于風險評估理論的漏洞管理過程，建立了自動化和人工相結合的漏洞修復工具和管理平臺，保障了企業(yè)內(nèi)網(wǎng)各系統(tǒng)的安全運行。

安全漏洞；風險評估；漏洞修復

0 引言

安全漏洞是計算機信息系統(tǒng)軟硬件自身和使用過程中存在的脆弱性，脆弱性被攻擊者利用對信息和信息系統(tǒng)的保密性、完整性或可用性造成損壞，從而影響信息系統(tǒng)及其服務的正常運行[1]。近幾年來不斷發(fā)生的重大網(wǎng)絡安全事件，多為黑客或內(nèi)部人員、惡意軟件利用信息系統(tǒng)存在的安全漏洞攻擊所致。如2010年發(fā)生的“震網(wǎng)”病毒導致伊朗核電站處理裝置損毀；2016年美國域名服務器遭受惡意軟件攻擊導致東海岸地區(qū)多家網(wǎng)站宕機；2017年包括中國、俄羅斯等國在內(nèi)的全球許多國家收到“永恒之藍”勒索病毒軟件攻擊，導致大量信息系統(tǒng)無法提供服務。安全漏洞的大量出現(xiàn)和快速增長是信息系統(tǒng)安全形勢嚴峻的重要原因之一。幾乎所有成功的攻擊者都是利用著名的漏洞，而且是在已經(jīng)存在補丁保護的情況下[2]，未及時利用補丁修復漏洞。

隨著信息化和工業(yè)化的深度融合以及中國制造2025、工業(yè)4.0等智能制造技術在企業(yè)研發(fā)、生產(chǎn)、管理等環(huán)節(jié)的全面應用，信息技術已經(jīng)從傳統(tǒng)的信息系統(tǒng)應用擴展到工業(yè)控制系統(tǒng)各個組成，支撐企業(yè)的網(wǎng)絡已經(jīng)有信息網(wǎng)擴展到工業(yè)互聯(lián)網(wǎng)，網(wǎng)絡系統(tǒng)日趨復雜，系統(tǒng)種類越來越多，導致系統(tǒng)存在的安全漏洞點越來越多。

企業(yè)內(nèi)網(wǎng)運行系統(tǒng)運行的業(yè)務系統(tǒng)多而復雜，很多系統(tǒng)已經(jīng)運行多年，均采用更新補丁方式可能對系統(tǒng)的運行安全造成新的安全隱患。本文結合企業(yè)這一情況，采用風險評估方法，對發(fā)現(xiàn)的通用漏洞進行評估，按照對業(yè)務的影響度采取不同的處理辦法。

1 安全漏洞的由來

1.1企業(yè)內(nèi)網(wǎng)組成

企業(yè)內(nèi)網(wǎng)一般由四部分組成，如圖1所示：硬件設備層、操作系統(tǒng)層、數(shù)據(jù)庫管理系統(tǒng)/中間件/web應用層、應用軟件層。同時，保持企業(yè)內(nèi)網(wǎng)作為一個系統(tǒng)安全需要，還需要有相關的管理制度、策略及操作來保障。

企業(yè)內(nèi)網(wǎng)的四個組成部分一般要經(jīng)歷需求、設計、實現(xiàn)、部署、配置與運行等環(huán)節(jié)，由于人類認知水平的局限性和系統(tǒng)的復雜性，每個環(huán)節(jié)都會存在一定的瑕疵、缺陷。這些缺陷就是企業(yè)內(nèi)網(wǎng)存在的漏洞，亦稱脆弱性。

圖1 企業(yè)內(nèi)網(wǎng)組成圖

1.2安全漏洞存在分析

漏洞是由于企業(yè)內(nèi)網(wǎng)中的軟件研發(fā)、硬件開發(fā)未能全盤考慮整個系統(tǒng)中的使用情形，未能充分考慮各種可能的輸入、輸出以及各種操作情況的處理而造成的。企業(yè)內(nèi)網(wǎng)的各個組成部分和內(nèi)網(wǎng)的管理服務流程都可能存在。漏洞主要來源于：

（1）操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件以及應用軟件的軟件開發(fā)階段

從用戶需求分析到部署，任何環(huán)節(jié)出現(xiàn)問題，就會將問題傳遞并放大至后續(xù)環(huán)節(jié)，最終導致系統(tǒng)使用中出現(xiàn)問題。

據(jù)計算機科學家估計，在每千行軟件代碼中大約會出現(xiàn)5～29個bug[3]。隨著“軟件定義”技術的廣泛應用和智能化技術的應用，軟件代碼量越來越大，軟件存在漏洞的數(shù)量將越來越多。為解決安全運行問題，主要軟件供應商均定期發(fā)布系統(tǒng)補丁，如：微軟公司每月均定期發(fā)布自己產(chǎn)品的補丁，出現(xiàn)類似“永恒之藍”這樣影響范圍和危害度巨大的漏洞問題，會緊急發(fā)布解決方案和軟件補丁。

（2）計算機、網(wǎng)絡設備等硬件開發(fā)階段

計算機、網(wǎng)絡設備包含硬件和固件，固件中安裝驅(qū)動硬件的各種程序、專用系統(tǒng)。漏洞來源于硬件和固件中的程序存在的缺陷。近年來，出現(xiàn)了多起CPU、DSP芯片出現(xiàn)的安全漏洞，尤其是2017年底，Intel處理器重大安全漏洞被曝光。

（3）系統(tǒng)配置不當

操作系統(tǒng)、應用系統(tǒng)授權寬泛，未關閉非必需的服務；防病毒軟件、防火墻等安全產(chǎn)品配置不當，造成病毒、惡意代碼或者其他攻擊者利用配置漏洞對企業(yè)內(nèi)網(wǎng)進行攻擊，導致數(shù)據(jù)破壞、信息服務宕機等安全事件。

（4）策略、管理流程方面

策略與企業(yè)內(nèi)網(wǎng)面臨的安全形勢不匹配，未及時調(diào)整，管理流程存在漏洞不能保證安全措施落地執(zhí)行。

2 安全漏洞處理過程

2.1漏洞的發(fā)現(xiàn)

采用人工和自動化技術相結合的方式，在對企業(yè)內(nèi)網(wǎng)信息資產(chǎn)形成清單的基礎上，發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)存在的安全漏洞，形成漏洞清單。漏洞識別主要有三種途徑：

（1）部署專用漏洞掃描工具

通過企業(yè)內(nèi)網(wǎng)部署國家有關部門認可的漏洞掃描工具，在梳理企業(yè)信息資產(chǎn)形成清單的基礎上，對掃描對象、范圍等參數(shù)進行設置，每月或每季度對全網(wǎng)進行掃描，發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)存在的漏洞。按照掃描對象，漏洞掃描工具可分為普通的漏洞掃描工具和針對web應用系統(tǒng)的web漏洞掃描工具。

（2）關注國家互聯(lián)網(wǎng)應急中心、國家保密局等官方機構發(fā)布的信息安全通報

專用漏洞掃描工具特征庫更新由各掃描工具供應商維護，有一定的滯后性。針對重、特大安全漏洞，國家互聯(lián)網(wǎng)應急中心、國家保密局等官方機構將及時發(fā)布安全通報，提出安全應對措施。企業(yè)安排專人及時從官方網(wǎng)站、渠道搜集相關信息。

（3）定期開展安全審計

通過企業(yè)建立的信息服務平臺，收集企業(yè)內(nèi)網(wǎng)各系統(tǒng)運行數(shù)據(jù)、用戶提出的問題，分析系統(tǒng)是否存在影響安全運行的漏洞。

按照合規(guī)性要求，審計企業(yè)內(nèi)網(wǎng)各系統(tǒng)的安全防護情況、運行維護情況，確認是否存在信息安全漏洞。

2.2漏洞的危害性評估

基于風險評估方法，根據(jù)漏洞對信息資產(chǎn)的威脅程度來確定漏洞的危害程度，確定漏洞修復次序。

業(yè)務系統(tǒng)的安全風險取決于其面臨的威脅、漏洞被威脅利用的復雜度、漏洞的影響程度[1]。同一個漏洞，對不同的業(yè)務系統(tǒng)有不同的安全風險。利用復雜度是指在系統(tǒng)現(xiàn)有防護措施環(huán)境下漏洞被利用的難易程度，影響程度是指安全漏洞被利用后對業(yè)務系統(tǒng)造成的保密性、完整性和可用性方面問題的嚴重程度。

作為與國際互聯(lián)網(wǎng)隔離的企業(yè)內(nèi)網(wǎng)中，各系統(tǒng)面臨的威脅基本上是相同的，由于防護措施的不同、業(yè)務的重要程度的不同，對業(yè)務造成的風險大小程度不同。基于此，我們對企業(yè)內(nèi)網(wǎng)漏洞的危害性評估采取如下辦法：

（1）現(xiàn)有安全防護措施評估

在形成漏洞清單的基礎上，針對存在漏洞的信息資產(chǎn)，逐項分析其現(xiàn)有安全防護措施的有效性，評判漏洞被利用的復雜度。復雜度越大，漏洞被利用的可能性越小。

（2）評估漏洞對每個資產(chǎn)的影響程度

從假定漏洞被利用后，對信息資產(chǎn)在保密性、完整性和可用性三方面的危害度進行分析。一般采取百分制，其中保密性1～40，完整性1～30，可用性1～30。

經(jīng)過上述兩步工作，可以確定每個漏洞在企業(yè)內(nèi)網(wǎng)可被利用的可能性和對信息資產(chǎn)的危害度。在基礎上，首先按照對信息資產(chǎn)的危害程度對漏洞排序、再按照漏洞被利用難易程度進行排序，形成漏洞修復順序表，明確哪些漏洞需要立即修復，哪些可以延遲或忽略。

2.3漏洞的修復

參照ITIL框架，將漏洞修復納入企業(yè)信息服務臺流程管理，流程如圖2所示：

（1）針對高危風險級別的漏洞，在信息服務平臺中形成事件，安排人員處理；

（2）制定漏洞修復及系統(tǒng)變更方案。

更新補丁是修補漏洞最有效的方式。從操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等系統(tǒng)供應商官方獲取系統(tǒng)補丁，對系統(tǒng)進行升級更新。對于自行或委托開發(fā)的應用軟件，需要針對存在的漏洞開發(fā)補丁程序?qū)浖M行更新。

對于由于影響系統(tǒng)的可用性或者無法更新補丁的系統(tǒng)，可采取如下兩種方式：在不影響系統(tǒng)可用性的條件下，關閉存在漏洞的系統(tǒng)服務；通過在服務器邊界部署防火墻、安全網(wǎng)關等安全產(chǎn)品，控制存在漏洞的服務訪問范圍，減少被攻擊的風險。

漏洞修復及變更方案一定確保系統(tǒng)的可用，可采取如下步驟：

（1）獲取/開發(fā)系統(tǒng)補丁

每月定期從操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等供應商官方網(wǎng)站獲取其發(fā)布的系統(tǒng)補丁。對于自行或委托有關廠商定制開發(fā)的系統(tǒng)，組織力量分析安全漏洞，制定漏洞修復方案，進行補丁開發(fā)。對于系統(tǒng)配置、策略方面的漏洞，設計配置變更、策略變更方案。

圖2 漏洞修復流程

（2）系統(tǒng)變更申請

開展修復漏洞引起的系統(tǒng)變更影響性分析，分析其影響范圍、后果以及需要開展的驗證工作。

（3）驗證補丁

建立與在用業(yè)務系統(tǒng)相同的測試環(huán)境，更新補丁，測試更新過程以及對系統(tǒng)可用性的影響。同時，利用漏洞掃描工具對修復后的測試系統(tǒng)進行掃描，確認是否達到預期目標。

（4）發(fā)布補丁

通過驗證、可以使用的補丁發(fā)布至軟件配置管理系統(tǒng)，對更新程序統(tǒng)一管理。

①執(zhí)行變更

普通用戶終端可通過補丁更新系統(tǒng)實現(xiàn)操作系統(tǒng)、辦公軟件補丁的自動更新。

服務器操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、Web應用服務等服務器端服務，應在確認數(shù)據(jù)、系統(tǒng)備份完備的基礎上，采用人工方式更新補丁，以保證系統(tǒng)更新過程可控，確保在用系統(tǒng)的可用性、可恢復。

②掃描修復情況

啟動漏洞掃描工具軟件，對采取修復措施的系統(tǒng)進行掃描，根據(jù)掃描結果判斷系統(tǒng)漏洞是否已修復。若修復到位，關閉事件處理流程。若仍然存在漏洞，需要重復（2）～（4）步驟，直到漏洞修復到位。

3 技術實現(xiàn)

依據(jù)國家網(wǎng)絡安全法規(guī)、標準要求和企業(yè)信息化運行需要，通過信息化、自動化的手段實現(xiàn)企業(yè)內(nèi)網(wǎng)漏洞發(fā)現(xiàn)、修復以及修復后的監(jiān)控，實現(xiàn)漏洞的全過程管理，降低企業(yè)內(nèi)網(wǎng)的安全風險。具體實現(xiàn)過程如下：

3.1部署漏洞發(fā)現(xiàn)工具和漏洞管理平臺

選擇啟明星辰公司的漏洞掃描工具作為發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)服務器、計算機終端、網(wǎng)絡打印機、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)等對象漏洞的主要工具，同時為提高對web應用漏洞的發(fā)現(xiàn)能力，部署了安恒公司的web漏掃專用工具，提升web應用漏洞的發(fā)現(xiàn)能力。按照保密法規(guī)要求，每月定期對內(nèi)網(wǎng)進行掃描，自動形成漏洞清單。

同時，通過部署安全管理平臺，將漏洞掃描工具發(fā)現(xiàn)的漏洞進行統(tǒng)一管理。

3.2基于ITIL建立企業(yè)信息服務平臺和軟件配置管理系統(tǒng)

企業(yè)開發(fā)了網(wǎng)絡化的信息服務平臺，實現(xiàn)信息服務的流程化。將漏洞修復過程納入該平臺進行統(tǒng)一管理。

部署軟件配置管理系統(tǒng)對各系統(tǒng)技術狀態(tài)和驗證后補丁進行管理，由配置管理員負責軟件、補丁的出入庫。并通過運維堡壘機等技術措施控制服務器及其運行的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等系統(tǒng)補丁的更新。

3.3基于主機監(jiān)控與審計工具和微軟WSUS平臺建立企業(yè)內(nèi)網(wǎng)補丁分發(fā)平臺

根據(jù)企業(yè)內(nèi)網(wǎng)情況，先后建立了基于北信源主機監(jiān)控與審計系統(tǒng)、微軟WSUS3.0（Windows Server Update Services）的補丁分發(fā)平臺，分別實現(xiàn)Windows XP/ Windows Server2003、Windows 7以上系統(tǒng)補丁的自動更新。

4 結論

漏洞管理關系企業(yè)內(nèi)網(wǎng)的安全，修復漏洞是解決漏洞引起安全風險的根本措施。由于企業(yè)內(nèi)網(wǎng)對象多、系統(tǒng)多，修復所有漏洞不僅成本高，也很難實現(xiàn)。采用風險評估法，找出風險較高的業(yè)務單元，按照風險等級和企業(yè)可以承受的風險，對漏洞進行排序修復。對于新部署的系統(tǒng)，在部署之前可以通過更新補丁將已發(fā)現(xiàn)的漏洞修復到位，降低業(yè)務系統(tǒng)的安全風險。隨著時間的推移，新的漏洞會不斷被發(fā)現(xiàn)，更新補丁可能對已在用系統(tǒng)的運行有一定影響。為減少修復漏洞對企業(yè)內(nèi)網(wǎng)可用性的影響，一定要建立測試環(huán)境，制定系統(tǒng)回退方案，驗證修復措施的有效性。但要減少補丁對系統(tǒng)的影響，需要進一步規(guī)范系統(tǒng)開發(fā)，降低各應用系統(tǒng)與其運行平臺的耦合度、應用系統(tǒng)內(nèi)部不同模塊間的耦合度。

[1]劉奇旭，張翀斌，張玉清等.安全漏洞等級劃分關鍵技術研究[J].通信學報，2012.

[2]華镕，華夏.制造區(qū)計算機補丁更新的重要性[J].中國儀器儀表，2012.

[3]華镕.漏洞管理一:了解漏洞管理的需求[J].中國儀器儀表，2015.