◆倪浩杰
(江蘇省國際信托有限責(zé)任公司 江蘇 210000)
隨著互聯(lián)網(wǎng)在社會各領(lǐng)域的廣泛應(yīng)用,企事業(yè)單位及各經(jīng)濟(jì)組織的網(wǎng)絡(luò)問題受到高度關(guān)注。網(wǎng)絡(luò)安全風(fēng)險評估就是從風(fēng)險管理角度,識別組織內(nèi)部信息資產(chǎn),全面地分析資產(chǎn)脆弱性,系統(tǒng)排查面臨的威脅,綜合評估組織的網(wǎng)絡(luò)安全風(fēng)險,為最大限度地保障信息安全提供科學(xué)依據(jù)。漏洞掃描器就是風(fēng)險評估的重要工具。
漏洞掃描是指基于漏洞數(shù)據(jù)庫,通過掃描等手段對指定目標(biāo)的脆弱性進(jìn)行檢測,發(fā)現(xiàn)可利用漏洞的一種安全檢測設(shè)備。漏洞掃描器包括網(wǎng)絡(luò)漏掃、主機(jī)漏掃、數(shù)據(jù)庫漏掃等不同種類。網(wǎng)絡(luò)漏洞掃描器可以根據(jù)不斷完善的漏洞資料庫,檢測分析組織中工作站、服務(wù)器、數(shù)據(jù)庫、防火墻等的漏洞,提出漏洞解決方案和修復(fù)建議,使得網(wǎng)絡(luò)安全員能及時修復(fù)安全漏洞,在黑客攻擊前進(jìn)行防范,做到防患于未然。
當(dāng)前市場上的漏洞掃描器,按照預(yù)先掃描任務(wù),通過主機(jī)掃描、端口掃描、指紋庫識別等技術(shù)手段,可有效發(fā)現(xiàn)組織內(nèi)部漏洞,但它也存在不少問題。風(fēng)險評估要綜合資產(chǎn)、脆弱性和威脅三因素,漏洞掃描器一方面僅僅機(jī)械地執(zhí)行用戶設(shè)置的單項(xiàng)掃描任務(wù),它沒有組織整體的資產(chǎn)視角,割裂了資產(chǎn)、脆弱性和威脅三者之間的聯(lián)系,為此不能評價組織面臨的整體風(fēng)險;二是漏洞掃描器漏洞發(fā)現(xiàn)功能強(qiáng)大,漏洞掃描效果較好,一般不具備漏洞處置功能。為此漏洞掃描器適合安全測評、安全咨詢公司使用。企事業(yè)單位關(guān)心漏洞的發(fā)現(xiàn),更關(guān)心漏洞消除和修復(fù),以及漏洞處置過程的記錄與留痕,以備后期信息審計(jì)。為此,漏洞掃描器不能滿足現(xiàn)今企事業(yè)單位的需求,一種新型的漏洞管理工具呼之欲出。
漏洞管理按照生命周期,分為漏洞發(fā)現(xiàn)、漏洞處置、漏洞消除三個階段。漏洞發(fā)現(xiàn)嚴(yán)重依賴清晰的資產(chǎn)清單,為了更有效地預(yù)警組織網(wǎng)絡(luò)安全風(fēng)險,資產(chǎn)漏洞風(fēng)險實(shí)時展示也顯得尤為重要,因此基于生命周期的新型漏洞管理平臺就包括資產(chǎn)識別、漏洞發(fā)現(xiàn)、漏洞處置、漏洞消除和資產(chǎn)風(fēng)險可視化五大模塊,系統(tǒng)框圖見圖1。
圖1 基于生命周期的新型漏洞管理平臺系統(tǒng)框圖
資產(chǎn)作為衍生出脆弱性的母體、威脅的作用對象,使得資產(chǎn)識別成為風(fēng)險評估工作的重要環(huán)節(jié)。資產(chǎn)識別模塊采用掃描技術(shù)發(fā)現(xiàn)資產(chǎn),參考BS7799 和GB/20984 等標(biāo)準(zhǔn),對識別資產(chǎn)進(jìn)行分類,結(jié)合組織實(shí)際按業(yè)務(wù)類型、使用部門、等級劃分、設(shè)備種類等要素標(biāo)識資產(chǎn),形成組織資產(chǎn)清單。
組織資產(chǎn)導(dǎo)入漏洞發(fā)現(xiàn)模塊,利用主機(jī)、端口掃描等掃描技術(shù)發(fā)現(xiàn)組織內(nèi)部漏洞。為了降低該模塊的誤報率,引入漏洞驗(yàn)證插件,篩選出真實(shí)漏洞,形成漏洞報告,發(fā)送漏洞處置模塊,以待進(jìn)一步處理(圖2)。
漏洞處置模塊是新型漏洞管理平臺的核心,也是當(dāng)前市場上漏洞掃描器所沒有的功能模塊。有部分漏洞管理平臺有漏洞處置模塊,但大部分僅作分發(fā)和驗(yàn)證,功能相對簡單。漏洞處置模塊工作流程有接受漏洞報告、漏洞驗(yàn)證、漏洞評估、漏洞修復(fù)方案制定、漏洞修復(fù)方案測試和漏洞修復(fù)方案部署6 個環(huán)節(jié)。
圖2 漏洞發(fā)現(xiàn)模塊工作流程
5.3.1 接受漏洞報告
接受漏洞報告是漏洞處置工作的流程起點(diǎn)。
5.3.2 漏洞驗(yàn)證
該模塊的漏洞驗(yàn)證功能有別于漏洞發(fā)現(xiàn)模塊中的漏洞驗(yàn)證。后者側(cè)重于漏洞掃描階段的漏洞誤報消除,前者側(cè)重于開發(fā)、配置等層面,即漏洞是否存在、漏洞可否復(fù)現(xiàn)以及漏洞利用的難易程度等,從而為漏洞評估提供依據(jù)。
5.3.3 漏洞評估
漏洞評估根據(jù)資產(chǎn)重要性、資產(chǎn)暴露情況、已有保護(hù)措施、漏洞評級、漏洞能否修復(fù),結(jié)合實(shí)際業(yè)務(wù)需要、修復(fù)時間、消除成本等因素,制定漏洞修復(fù)清單和優(yōu)先級排序表。對于不能修復(fù)的漏洞,做好補(bǔ)救措施,接受風(fēng)險。對于不能修復(fù)的漏洞,不予處置,忽略風(fēng)險。
5.3.4 漏洞修復(fù)方案制定
業(yè)務(wù)系統(tǒng)負(fù)責(zé)人根據(jù)漏洞報告,確定漏洞層面,分發(fā)漏洞處理人。若漏洞是由代碼問題產(chǎn)生,分發(fā)給開發(fā)人員制定漏洞修復(fù)方案。若漏洞是屬于配置問題,直接分發(fā)給運(yùn)維人員制定漏洞修復(fù)方案。
5.3.5 漏洞修復(fù)方案測試
運(yùn)維人員按照漏洞修復(fù)方案測試漏洞修復(fù)方案的有效性。
5.3.6 漏洞修復(fù)方案部署
漏洞修復(fù)方案測試驗(yàn)證后,由運(yùn)維人員部署到生產(chǎn)環(huán)境(圖3)。
圖3 漏洞處置模塊工作流程
漏洞處理模塊處理結(jié)束后,流轉(zhuǎn)到漏洞消除模塊。由網(wǎng)絡(luò)安全管理員,對漏洞進(jìn)行復(fù)檢,檢查漏洞修復(fù)情況。確認(rèn)漏洞修復(fù)后,記錄漏洞處置要素,最后消除漏洞,關(guān)閉流程(圖4)。
圖4 漏洞消除模塊工作流程
資產(chǎn)風(fēng)險可視化模塊,將采集資產(chǎn)、漏洞發(fā)現(xiàn)、漏洞處置和漏洞消除等數(shù)據(jù),通過算法加工計(jì)算,直觀在展示組織資產(chǎn)風(fēng)險,實(shí)時投射在監(jiān)控大屏上,實(shí)現(xiàn)風(fēng)險管理的可視化。