安全漏洞測(cè)試基地共享聯(lián)動(dòng)

隨著IT系統(tǒng)覆蓋面的不斷延伸發(fā)展，從傳統(tǒng)的網(wǎng)絡(luò)設(shè)備和服務(wù)器到B/S系統(tǒng)，單位內(nèi)會(huì)建設(shè)越來(lái)越多的IT系統(tǒng)作為業(yè)務(wù)支撐，也因此存在了更多的安全漏洞風(fēng)險(xiǎn)。當(dāng)單位內(nèi)組織機(jī)構(gòu)越復(fù)雜時(shí)，信息安全問(wèn)題就會(huì)越突出，對(duì)于IT系統(tǒng)的漏洞風(fēng)險(xiǎn)處置也越來(lái)越困難。本文嘗試以單位復(fù)雜組織機(jī)構(gòu)的漏洞風(fēng)險(xiǎn)處置作為切入點(diǎn)，介紹在跨組織、跨區(qū)域環(huán)境下的安全漏洞測(cè)試基地的應(yīng)用。

傳統(tǒng)環(huán)境漏洞風(fēng)險(xiǎn)處置

當(dāng)單位內(nèi)部有多個(gè)組織機(jī)構(gòu)建設(shè)的業(yè)務(wù)系統(tǒng)，或存在跨城市、省區(qū)域的分/子部門(mén)時(shí)，在安全漏洞處置上常常會(huì)處于各自為戰(zhàn)狀態(tài)，使得總部的信息安全管理部門(mén)無(wú)法及時(shí)有效的對(duì)分部門(mén)的IT安全風(fēng)險(xiǎn)進(jìn)行管控。

在傳統(tǒng)環(huán)境下進(jìn)行漏洞風(fēng)險(xiǎn)處置時(shí)，檢測(cè)到的安全漏洞常被分為三類(lèi)：

較易整改漏洞：能夠比較容易就可以進(jìn)行加固整改的漏洞；

疑難漏洞：加固整改存在一定技術(shù)難度或修復(fù)所需時(shí)間較長(zhǎng)，有較高修復(fù)門(mén)檻的漏洞；

無(wú)法整改漏洞：因技術(shù)或業(yè)務(wù)原因?qū)е聼o(wú)法進(jìn)行加固整改的漏洞。

對(duì)于較易整改的漏洞，因?yàn)樾迯?fù)門(mén)檻較低，組織內(nèi)部能夠在短時(shí)間內(nèi)進(jìn)行加固。但對(duì)于疑難漏洞就難以在短時(shí)間內(nèi)加固修復(fù)，對(duì)于無(wú)法整改的漏洞更是無(wú)限延長(zhǎng)了漏洞風(fēng)險(xiǎn)影響的窗口期，給單位信息安全帶來(lái)比較嚴(yán)重的影響，降低了其整體的安全水平。

圖1 傳統(tǒng)環(huán)境漏洞風(fēng)險(xiǎn)處置

從圖示1也不難發(fā)現(xiàn)，很多時(shí)候不同的組織內(nèi)可能存在著通用的、甚至完全相同的安全漏洞，比如Struts2系列漏洞。通用的漏洞常常也具備較為通用的加固修復(fù)方式，能夠形成一致的加固方案和安全知識(shí)，但是由于不同組織間職責(zé)分工問(wèn)題、安全技術(shù)水平側(cè)重度問(wèn)題，在漏洞風(fēng)險(xiǎn)加固修復(fù)上較難做到及時(shí)有效的信息共享和聯(lián)動(dòng)。

另外從成本和業(yè)務(wù)風(fēng)險(xiǎn)方面考慮，一些分組織也未必愿意做第一個(gè)漏洞修復(fù)的嘗試者，因此漏洞的加固修復(fù)更應(yīng)該落實(shí)到愿意承擔(dān)加固測(cè)試任務(wù)和具有一定條件的分組織上。

安全漏洞測(cè)試基地

在復(fù)雜的組織機(jī)構(gòu)環(huán)境下通過(guò)建立安全漏洞測(cè)試基地的方式，嘗試解決大、中型跨區(qū)域公司的IT漏洞風(fēng)險(xiǎn)問(wèn)題。安全漏洞測(cè)試基地通過(guò)在總部從漏洞驗(yàn)證、漏洞加固、知識(shí)共享三個(gè)方面對(duì)分/子部門(mén)進(jìn)行督導(dǎo)管理。安全漏洞測(cè)試基地示意圖如圖2所示。

驗(yàn)證任務(wù)：總部選擇某一分組織作為驗(yàn)證某一漏洞是否存在并將驗(yàn)證過(guò)程生成知識(shí)文檔的測(cè)試基地。測(cè)試基地接收到短信、E-Mail通知，登錄平臺(tái)查看詳情，并進(jìn)行線下漏洞驗(yàn)證。驗(yàn)證完成后，填寫(xiě)并上傳驗(yàn)證結(jié)果報(bào)告，若存在此漏洞，則生成漏洞，狀態(tài)為確認(rèn)，進(jìn)入安全漏洞處置流程；

驗(yàn)證方案：即分組織直接執(zhí)行總部的驗(yàn)證方案進(jìn)行驗(yàn)證漏洞是否存在。分組織接收到短信、E-Mail通知，登錄平臺(tái)查看詳情，并按照方案進(jìn)行漏洞驗(yàn)證。驗(yàn)證完成后，填寫(xiě)并上傳驗(yàn)證結(jié)果，若存在此漏洞，則生成漏洞，狀態(tài)為確認(rèn)，進(jìn)入安全漏洞處置流程；

圖2 安全漏洞測(cè)試基地示意圖

加固任務(wù)：總部選擇某一分組織對(duì)某一漏洞的加固修復(fù)并將過(guò)程知識(shí)生成知識(shí)文檔。測(cè)試基地接收到短信、E-Mail通知，登錄平臺(tái)查看詳情，并進(jìn)行加固實(shí)驗(yàn)。加固完成后，填寫(xiě)并上傳加固方案，若成功加固，漏洞狀態(tài)為加固完成；

加固方案：即分組織直接執(zhí)行總部的加固方案進(jìn)行加固并反饋加固結(jié)果。分組織接收到短信、E-Mail通知，登錄平臺(tái)查看詳情，并按照方案進(jìn)行加固。加固完成后，填寫(xiě)并上傳加固結(jié)果，若成功加固，漏洞狀態(tài)為加固完成；

漏洞消除：當(dāng)漏洞狀態(tài)標(biāo)識(shí)為加固完成后，漏洞即為完成，形成歸檔后的安全漏洞。

除了由以上的漏洞驗(yàn)證、加固的兩級(jí)聯(lián)動(dòng)形成的信息安全知識(shí)文檔，還會(huì)有上級(jí)對(duì)下級(jí)部門(mén)的管理規(guī)定要求，比如日常IT信息安全巡檢、重大活動(dòng)保障等。無(wú)論是管理層面的文件要求，還是技術(shù)層面的知識(shí)文檔，都是單位IT信息安全的寶貴財(cái)產(chǎn)?？梢栽诳偛總?cè)建設(shè)信息安全知識(shí)庫(kù)，對(duì)這些知識(shí)文檔進(jìn)行收納歸檔，并可以基于這個(gè)基礎(chǔ)進(jìn)行管理和技術(shù)交流。

經(jīng)驗(yàn)及思考

針對(duì)于組織機(jī)構(gòu)比較多的大中型企業(yè)，尤其是在IT系統(tǒng)建設(shè)比較復(fù)雜的環(huán)境，信息安全管理尤為重要。但在實(shí)際的操作環(huán)節(jié)中，又由于各分部門(mén)之間職責(zé)定位不同、信息安全認(rèn)識(shí)方向不同等原因，會(huì)存在很多問(wèn)題。通過(guò)建立安全漏洞測(cè)試基地的方式，由總部主管部門(mén)進(jìn)行統(tǒng)一的、制度化的督導(dǎo)管理，輔以績(jī)效關(guān)聯(lián)，可以比較容易的推動(dòng)疑難雜癥、治理周期長(zhǎng)等問(wèn)題的解決。