基于信息安全管理體系的技術(shù)脆弱性管理探討

魏為民 ，張運(yùn)琴 ，翟亞紅

(1.上海電力大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，上海 200090；2.中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心，北京 100020)

0 引言

2013 年10 月，國際標(biāo)準(zhǔn)化組織(International Organization for Standardization，ISO) 正式發(fā)布了ISO/IEC 27001：2013《Information technology—Security techniques—Information security management systems—Requirements》，取代使用了8 年之久的ISO/IEC 27001：2005。2016 年8 月，國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局與國家標(biāo)準(zhǔn)化管理委員會(huì)聯(lián)合發(fā)布了GB/T 22080-2016/ISO/IEC 27001:2013《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》，該標(biāo)準(zhǔn)使用翻譯法等同采用ISO/IEC 27001：2013，其中附錄A 包括14 個(gè)控制域、35 個(gè)控制目標(biāo)、114 項(xiàng)控制措施，并增加了資料性附錄NA 和NB[1]。按慣例，ISO 每5 年左右會(huì)對(duì)標(biāo)準(zhǔn)進(jìn)行一次升級(jí)，2019 年6 月，經(jīng)評(píng)審和確認(rèn)，ISO/IEC 27001：2013 標(biāo)準(zhǔn)維持現(xiàn)狀[2]。上述標(biāo)準(zhǔn)中信息安全管理體系(Information Security Management Systems，ISMS)是指“基于業(yè)務(wù)風(fēng)險(xiǎn)方法，建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的體系，是一個(gè)組織整個(gè)管理體系的一部分[3]”。本文將重點(diǎn)討論信息安全管理體系標(biāo)準(zhǔn)GB/T 22080-2016 附錄A 中的“A.12.6技術(shù)方面的脆弱性管理(Technical vulnerability management)”，包含“A.12.6.1 技術(shù)方面脆弱性的管理(Management of technical vulnerabilities)”和“A.12.6.2軟件安裝限制(Restrictions on software installation)”兩項(xiàng)控制措施，其目標(biāo)是“防止對(duì)技術(shù)脆弱性的利用(To prevent exploitation of technical vulnerabilities)”。

所謂脆弱性(vulnerability)，又稱弱點(diǎn)或漏洞，ISO/IEC 27000：2016 中將脆弱性定義為“可能被一個(gè)或多個(gè)威脅利用的資產(chǎn)或控制的弱點(diǎn)[3]”，而威脅是“可能對(duì)系統(tǒng)或組織造成危害的不期望事件的潛在原由[3]”。在GB/T 20984-2007 中的定義是“脆弱性是可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)[4]”。由此可見，脆弱性是資產(chǎn)或系統(tǒng)本身固有的，如果沒有被威脅所利用，僅僅脆弱性本身是不會(huì)對(duì)資產(chǎn)或系統(tǒng)造成損害的[4]。風(fēng)險(xiǎn)評(píng)估(risk assessment)是信息安全管理體系實(shí)施過程中最重要的一個(gè)活動(dòng)，脆弱性識(shí)別(vulnerability identification)是風(fēng)險(xiǎn)評(píng)估中最重要的一個(gè)環(huán)節(jié)。而有些資產(chǎn)或系統(tǒng)的脆弱性只能在滿足一定的條件和特定的環(huán)境下才能顯現(xiàn)，這正是脆弱性識(shí)別困難之所在[5]。

1 脆弱性識(shí)別

1.1 脆弱性識(shí)別內(nèi)容

資產(chǎn)或系統(tǒng)中脆弱性幾乎是無處不在的。脆弱性產(chǎn)生的原因多種多樣，其中主要的原因有計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)在硬件、軟件、協(xié)議設(shè)計(jì)和實(shí)現(xiàn)中存在缺陷或錯(cuò)誤(包括設(shè)計(jì)錯(cuò)誤、設(shè)置錯(cuò)誤、網(wǎng)絡(luò)協(xié)議自身的缺陷、輸入驗(yàn)證錯(cuò)誤、訪問驗(yàn)證錯(cuò)誤、意外情況處理錯(cuò)誤、競(jìng)爭(zhēng)條件、環(huán)境錯(cuò)誤等)，采取的安全策略存在不足和缺陷，用戶對(duì)系統(tǒng)的誤用、誤操作等。有時(shí)也把脆弱性稱為漏洞，一般意義上的漏洞是系統(tǒng)設(shè)計(jì)和開發(fā)過程中存在的缺陷，非法用戶能夠在未經(jīng)授權(quán)的情況下獲得訪問或提高其訪問權(quán)限甚至破壞系統(tǒng)，由此可見漏洞是某種形式的脆弱性，但很多時(shí)候不加區(qū)分地使用脆弱性或者漏洞。

20 世紀(jì)90 年代，美國國家標(biāo)準(zhǔn)協(xié)會(huì)根據(jù)漏洞發(fā)現(xiàn)時(shí)間、漏洞產(chǎn)生的原因和漏洞所處的位置對(duì)漏洞進(jìn)行了分類。目前主要有CVE(Common Vulnerability Exposures)、NVD(U.S.National Vulnerability Database)、SecurityFocus、OSVDB(Open Sourced Vulnerability Database)等幾種針對(duì)漏洞的分類管理方式。其中CVE是由美國MITRE 公司負(fù)責(zé)維護(hù)的全球公認(rèn)安全漏洞索引標(biāo)準(zhǔn)[6]，其為每個(gè)確認(rèn)的公開披露的安全漏洞，提供作為安全領(lǐng)域標(biāo)識(shí)該漏洞的標(biāo)準(zhǔn)索引CVE編號(hào)，同時(shí)提供一段簡(jiǎn)單的漏洞描述信息。CVE 漏洞庫定期發(fā)布，方便全球相關(guān)組織共享漏洞信息。

漏洞可能存在于物理環(huán)境、組織、過程、人員、管理、配置、硬件、軟件和信息等各個(gè)方面。脆弱性一旦被威脅成功利用就可能對(duì)資產(chǎn)造成損害。脆弱性識(shí)別可從管理和技術(shù)兩個(gè)方面進(jìn)行，管理脆弱性包括與具體技術(shù)活動(dòng)相關(guān)的技術(shù)管理脆弱性，如物理和環(huán)境、通信、運(yùn)行、訪問控制、系統(tǒng)獲取、開發(fā)和維護(hù)、業(yè)務(wù)連續(xù)性等，以及與管理環(huán)境相關(guān)的組織管理脆弱性，如安全策略、信息安全組織、資產(chǎn)管理、人力資源、符合性等。技術(shù)脆弱性識(shí)別對(duì)象包括物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)軟件、應(yīng)用中間件、應(yīng)用系統(tǒng)等?？梢罁?jù)國際或國家安全標(biāo)準(zhǔn)、行業(yè)規(guī)范等進(jìn)行脆弱性識(shí)別。例如，對(duì)物理環(huán)境和操作系統(tǒng)、數(shù)據(jù)庫應(yīng)分別按GB/T 9361-2011 和GB 17859-1999中的技術(shù)指標(biāo)進(jìn)行脆弱性識(shí)別。對(duì)管理脆弱性識(shí)別可按照GB/T 22081-2016 的要求對(duì)組織的安全管理制度及其執(zhí)行情況進(jìn)行核查[5]。以數(shù)據(jù)脆弱性識(shí)別為例，其識(shí)別示例如表1 所示。

可以基于資產(chǎn)的損害程度、技術(shù)實(shí)現(xiàn)的難易等維度，并參考管理脆弱性的嚴(yán)重程度，采用等級(jí)方式對(duì)已識(shí)別的脆弱性嚴(yán)重程度進(jìn)行賦值[2]。例如等級(jí)1、2、3、4、5 分別表示，如果弱點(diǎn)被威脅利用將對(duì)資產(chǎn)造成可忽略的、較小的、一般的、重大的、完全的損害。此外還可以參考CVE、CNNVD 等提供的漏洞分級(jí)作為脆弱性賦值參考。

1.2 脆弱性識(shí)別方法

用于脆弱性識(shí)別的方法主要有問卷調(diào)查、手工核查、文檔查閱、工具檢測(cè)、滲透性測(cè)試等，其數(shù)據(jù)來源應(yīng)為資產(chǎn)或系統(tǒng)的所有者、使用者或者責(zé)任人，以及相關(guān)業(yè)務(wù)領(lǐng)域、軟硬件開發(fā)維護(hù)方面的專業(yè)人員，應(yīng)根據(jù)不同場(chǎng)景選擇合適的方法。

工具檢測(cè)(包含定制的腳本)的效率要明顯高于手工核查，但是工具掃描可能會(huì)對(duì)被評(píng)估的生產(chǎn)系統(tǒng)造成可用性降低等不良影響。因此在執(zhí)行掃描前應(yīng)做好充分細(xì)致的計(jì)劃和準(zhǔn)備工作。掃描計(jì)劃至少應(yīng)包括：掃描對(duì)象或范圍、工具選擇和使用、掃描任務(wù)計(jì)劃、風(fēng)險(xiǎn)規(guī)避措施等。

盡管工具檢測(cè)有非常高的效率，但考慮到其風(fēng)險(xiǎn)性，對(duì)那些對(duì)可用性要求較高的重要系統(tǒng)還是采用手工核查方式進(jìn)行脆弱性識(shí)別。在檢查之前，需要事先準(zhǔn)備好設(shè)備、系統(tǒng)或應(yīng)用的檢查列表。在進(jìn)行具體的人工檢查活動(dòng)時(shí)，識(shí)別小組成員一般只負(fù)責(zé)記錄結(jié)果，而檢查所需的操作通常由相關(guān)管理員來完成。

表1 數(shù)據(jù)脆弱性識(shí)別示例

滲透性測(cè)試(penetration test)是在確保被檢測(cè)系統(tǒng)安全穩(wěn)定運(yùn)行的前提下，從攻擊者的角度，通過模擬惡意攻擊者的技術(shù)和攻擊手法，主動(dòng)利用安全漏洞，對(duì)目標(biāo)網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用的安全性進(jìn)行深入透析，以發(fā)現(xiàn)系統(tǒng)的薄弱環(huán)節(jié)，評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全程度。滲透測(cè)試方法有提供了背景和系統(tǒng)信息的白盒測(cè)試，和只提供基本信息或除公司名稱外不提供任何信息的黑盒測(cè)試，以及提供與審計(jì)人員共享的目標(biāo)有限知識(shí)的灰盒測(cè)試。滲透測(cè)試可以幫助組織發(fā)現(xiàn)系統(tǒng)安全漏洞、造成業(yè)務(wù)影響后果的攻擊途徑，并提出針對(duì)系統(tǒng)的薄弱環(huán)節(jié)進(jìn)行修補(bǔ)與升級(jí)的技術(shù)方案。例如，作為Web 應(yīng)用程序滲透測(cè)試(Web Application Testing，WAPT)的場(chǎng)景有：跨站點(diǎn)腳本(Cross Site Scripting，CSS)、SQL 注入(SQL Injection)、破損的認(rèn)證和會(huì)話管理(broken authentication and session management)、文件上載缺陷(file upload flaws)、緩存服務(wù)器攻擊(caching servers attacks)、安全錯(cuò)誤配置(security misconfigurations)、跨站點(diǎn)請(qǐng)求偽造(cross site request forgery)、密碼破解(password cracking)等。

1.3 管理脆弱性核查

管理脆弱性的檢測(cè)，一般采用問卷調(diào)查和管理記錄查閱等現(xiàn)場(chǎng)調(diào)查方式，檢測(cè)的內(nèi)容主要有：

機(jī)構(gòu)——安全管理機(jī)構(gòu)的存在能夠?qū)芾碇贫戎贫ê蛯?shí)施起到監(jiān)督的作用，機(jī)構(gòu)建設(shè)得不完全、不合理會(huì)給被評(píng)估系統(tǒng)的安全帶來風(fēng)險(xiǎn)。

制度——明確、系統(tǒng)的安全管理規(guī)章制度可減輕系統(tǒng)的安全風(fēng)險(xiǎn)。

運(yùn)行——網(wǎng)絡(luò)正常運(yùn)行、數(shù)據(jù)完整統(tǒng)一、業(yè)務(wù)連續(xù)運(yùn)轉(zhuǎn)。

人員——工作人員的管理和系統(tǒng)用戶管理。

2 脆弱性管理實(shí)踐指南

2016 年8 月，國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局聯(lián)合國家標(biāo)準(zhǔn)化管理委員會(huì)同步發(fā)布了GB/T 22081-2016 ISO/IEC 27002:2013《信息技術(shù) 安全技術(shù) 信息安全控制實(shí)踐指南》[7]，同樣使用翻譯法等同采用ISO/IEC 27002:2013《Information technology—Security techniques—Code of practice for information security controls》及其相應(yīng)的技術(shù)勘誤(ISO/IEC27002：2013/COR1：2014)，并增加了資料性附錄NA 和NB。該標(biāo)準(zhǔn)可作為組織基于GB/T 22080-2016/ISO/IEC 27001:2013 實(shí)現(xiàn)ISMS 過程中選擇控制時(shí)的參考，或作為組織在實(shí)現(xiàn)通用信息安全控制時(shí)的指南。本文重點(diǎn)討論與GB/T 22080-2016 中“A.12.6 技術(shù)方面的脆弱性管理”相對(duì)應(yīng)的實(shí)踐指南。

2.1 技術(shù)方面脆弱性的管理實(shí)踐指南

ISO/IEC 27001 的“A.12.6.1 技術(shù)方面脆弱性的管理”，其控制為“應(yīng)及時(shí)獲取在用的信息系統(tǒng)的技術(shù)方面的脆弱性信息，評(píng)價(jià)組織對(duì)這些脆弱性的暴露狀況并采取適當(dāng)?shù)拇胧﹣響?yīng)對(duì)相關(guān)風(fēng)險(xiǎn)[7]。即主要通過以下三個(gè)步驟進(jìn)行脆弱性管理：

(1)及時(shí)發(fā)現(xiàn)漏洞。越早發(fā)現(xiàn)漏洞，并及時(shí)向廠商上報(bào)，就越有充足時(shí)間對(duì)其進(jìn)行修復(fù)，留給攻擊者利用漏洞的時(shí)間就越少。

(2)對(duì)組織的漏洞暴露情況進(jìn)行評(píng)估。某個(gè)漏洞或一組漏洞對(duì)不同組織的影響可能不盡相同，需要進(jìn)行風(fēng)險(xiǎn)評(píng)估，找出資產(chǎn)和業(yè)務(wù)的重要漏洞，并對(duì)其進(jìn)行優(yōu)先級(jí)排序。

(3)采取將相關(guān)風(fēng)險(xiǎn)考慮在內(nèi)的適當(dāng)措施。找出最嚴(yán)重的漏洞后，需考慮采取措施，然后分配資源處理漏洞，即制定風(fēng)險(xiǎn)處置計(jì)劃。

ISO/IEC 27002 定義了實(shí)現(xiàn)脆弱性管理目標(biāo)的支撐行動(dòng)，提供實(shí)施上述安全措施時(shí)需考慮的最佳實(shí)踐，建議采取以下行動(dòng)：

(1)盤點(diǎn)資產(chǎn)。進(jìn)行技術(shù)方面的脆弱性管理的先決條件是掌握當(dāng)前完整的信息資產(chǎn)清單，包括軟件廠商、軟件版本、軟件安裝位置以及相關(guān)軟件責(zé)任人。

(2)明確職責(zé)。脆弱性管理需進(jìn)行多項(xiàng)不同活動(dòng)（如監(jiān)視、風(fēng)險(xiǎn)評(píng)估和糾正等），因此，需明確角色和責(zé)任，確保對(duì)資產(chǎn)進(jìn)行合理追蹤。

(3)明確參考資源。參考資料列表上應(yīng)包含廠商站點(diǎn)、專業(yè)論壇和特別興趣小組，從而了解漏洞與修復(fù)措施相關(guān)的新聞，并及時(shí)更新。

(4)按照制定的流程處理漏洞。按照漏洞優(yōu)先級(jí)，根據(jù)變更管理或事件響應(yīng)規(guī)程采取相應(yīng)的措施，如打補(bǔ)丁或應(yīng)用其他控制。

(5)記錄并事后分析。記錄所發(fā)生的事件以及事件處理過程，并定期評(píng)審，確?？杀M快改進(jìn)和修復(fù)漏洞。

另外，如果有可用的補(bǔ)丁，宜評(píng)估漏洞引起的風(fēng)險(xiǎn)和安裝補(bǔ)丁帶來的風(fēng)險(xiǎn)。補(bǔ)丁在安裝之前，應(yīng)進(jìn)行測(cè)試和評(píng)價(jià)，確保是有效的且不會(huì)導(dǎo)致重大的負(fù)面影響。如果沒有可用的補(bǔ)丁，就應(yīng)考慮其他控制措施，如關(guān)閉有漏洞的服務(wù)、調(diào)整訪問控制、加強(qiáng)監(jiān)視、提高安全意識(shí)等。

總之，由于市場(chǎng)需要更快速的軟件交付及更多特性，將會(huì)有更多漏洞出現(xiàn)[8]。因此，為確保組織的信息資產(chǎn)安全、維護(hù)企業(yè)形象以及保持競(jìng)爭(zhēng)力，制定漏洞發(fā)現(xiàn)和處理計(jì)劃非常重要。同時(shí)，應(yīng)該充分利用威脅情報(bào)信息，深度解讀漏洞利用細(xì)節(jié)、利用熱度、利用難度等，為IT 運(yùn)維人員提供詳實(shí)的漏洞細(xì)節(jié)，便于他們結(jié)合企業(yè)實(shí)際情況分析漏洞影響，為漏洞修復(fù)提供決策依據(jù)，真正實(shí)現(xiàn)漏洞管理的閉環(huán)操作。

2.2 軟件安裝限制實(shí)踐指南

ISO/IEC 27001 的“A.12.6.2 軟件安裝限制”，其控制為“應(yīng)建立并實(shí)現(xiàn)控制用戶安裝軟件的規(guī)則[7]?？紤]到在計(jì)算機(jī)設(shè)備上安裝不受控制的軟件可能違反知識(shí)產(chǎn)權(quán)，甚至可能導(dǎo)致信息泄露、完整性損失或其他信息安全事件。ISO/IEC 27002 提供了如下實(shí)踐指南：

(1)制定軟件安裝策略。基本原則是軟件應(yīng)該由專業(yè)人員或者IT 運(yùn)維人員來安裝，普通員工應(yīng)禁止從互聯(lián)網(wǎng)下載軟件。員工需要安裝特定的軟件應(yīng)提出申請(qǐng)，IT 部門確認(rèn)是否有該軟件的授權(quán)，若有則為相關(guān)人員安裝該軟件；若沒有授權(quán)，則應(yīng)評(píng)估該軟件及類似功能軟件的必要性，如果是收費(fèi)軟件，還應(yīng)進(jìn)行相應(yīng)的財(cái)務(wù)審批。

(2)最小授權(quán)原則。應(yīng)根據(jù)用戶所涉及的角色最小化授權(quán)，如果用戶獲得了某些特權(quán)，就有可能隨意安裝或刪除特定的軟件。組織宜建立軟件安裝白名單(允許安裝的軟件)和黑名單(禁止安裝的軟件)。以Windows 10 為例，可通過組策略編輯器(gpedit.msc)設(shè)置軟件安裝限制策略。路徑如下：計(jì)算機(jī)配置——Windows 設(shè)置——安全設(shè)置——軟件限制策略。

2.3 漏洞管理趨勢(shì)

大量數(shù)據(jù)和案例表明，雖然漏洞評(píng)估和管理工具日新月異，但漏洞管理始終是企業(yè)網(wǎng)絡(luò)安全的致命環(huán)節(jié)，近年來60%的企業(yè)數(shù)據(jù)泄露與安全漏洞未得到修補(bǔ)有關(guān)?；诤弦?guī)性的要求，企業(yè)將不得不部署漏洞管理程序。漏洞管理重在“管理”，企業(yè)的漏洞管理或脆弱性風(fēng)險(xiǎn)相關(guān)管理依然存在很大的改進(jìn)空間。與此同時(shí)，漏洞風(fēng)險(xiǎn)正隨著攻擊技術(shù)的快速升級(jí)而增加，例如攻擊者在利用機(jī)器學(xué)習(xí)/人工智能技術(shù)方面已經(jīng)超越了防御者，企業(yè)用于預(yù)防、檢測(cè)、修補(bǔ)、記錄和報(bào)告的漏洞管理工作平均成本正在不斷上升。因?yàn)槿藛T配備不足，或者擔(dān)心補(bǔ)丁修補(bǔ)過程導(dǎo)致關(guān)鍵應(yīng)用程序和系統(tǒng)停機(jī)，補(bǔ)丁修補(bǔ)過程經(jīng)常被延遲。在軟件中發(fā)現(xiàn)安全漏洞后，大多數(shù)企業(yè)都希望開發(fā)人員能夠迅速采取行動(dòng)來解決問題，管理層對(duì)補(bǔ)丁延誤的容忍度在不斷降低，在增加人手的同時(shí)，通過自動(dòng)執(zhí)行補(bǔ)丁管理流程來縮短補(bǔ)丁時(shí)間將是應(yīng)對(duì)補(bǔ)丁挑戰(zhàn)的重要方式。

3 脆弱性管理審核案例

3.1 審核案例背景

案例類型：信息安全管理體系（ISMS）

受審核方：XXXX 信息有限公司

審核類型：第一次監(jiān)督審核

審核依據(jù)：GB/T 22080-2016/ISO/IEC 27001：2013，SOA 3.0

3.2 案例發(fā)生的主要過程

受審核方是國內(nèi)領(lǐng)先的互聯(lián)網(wǎng)金融平臺(tái)，基于業(yè)務(wù)角度出發(fā)，認(rèn)識(shí)到信息安全的重要性，依據(jù)GB/T 22080-2016/ISO/IEC 27001:2013 標(biāo)準(zhǔn)策劃和建立了信息安全管理體系，希望能做到規(guī)范管理體系，切實(shí)完善安全管理制度，執(zhí)行安全控制措施，不斷提高信息安全風(fēng)險(xiǎn)管理水平。受審核方建立信息安全管理體系的總體方針“業(yè)務(wù)為核心；風(fēng)險(xiǎn)導(dǎo)向；持續(xù)改進(jìn)；指導(dǎo)與參與；技術(shù)與管理并重；合規(guī)性”。該信息安全方針作為受審核方安全工作的總方向，為目標(biāo)設(shè)定提供框架。《信息安全適用性聲明》版本為V3.0，選擇了標(biāo)準(zhǔn)附錄A 的所有控制措施。

2018 年某日，審核組按照計(jì)劃審核人事行政部，該部門主要職責(zé)為：負(fù)責(zé)公司人事、行政、總務(wù)等綜合管理工作；負(fù)責(zé)打造符合公司戰(zhàn)略的人力資源體系，確保公司團(tuán)隊(duì)升級(jí)、吸引和保留優(yōu)秀人才，打造積極向上的企業(yè)文化。該部門人員基本穩(wěn)定，所有入職員工簽署保密協(xié)議，管理崗位和核心技術(shù)崗位員工有背景調(diào)查，員工離職按照《離職流程》撤銷和復(fù)查相應(yīng)的權(quán)限。審核發(fā)現(xiàn)該部門一臺(tái)用于薪酬數(shù)據(jù)備份的筆記本電腦未設(shè)置屏保，自2018 年1 月19日該機(jī)啟用以來從未安裝Windows 更新，未更新病毒和間諜防護(hù)軟件。

3.3 主要的審核發(fā)現(xiàn)、溝通過程及改進(jìn)方法

人事行政部的這臺(tái)筆記本電腦配置為：Windows 7 Pro SP1；安裝內(nèi)存(RAM)：4.0 GB；系統(tǒng)類型：64 位操作系統(tǒng)。從控制面板查看Windows Update 狀態(tài)：

最近檢查更新的時(shí)間：從未

安裝更新的時(shí)間：從未

接收更新：僅適用于Windows 產(chǎn)品和其他來自Microsoft Update 的產(chǎn)品。

查看Windows Update ：“C：WindowsWindows-Update.log”更新日志文件，結(jié)果與上述狀態(tài)一致。

該筆記本電腦貌似一臺(tái)“孤島”式的電腦，但由于該電腦除了主要用于薪酬數(shù)據(jù)備份外，偶爾還用于其他工作，存在數(shù)據(jù)之間的交換，因此極有可能感染計(jì)算機(jī)病毒，從而傳染到工作網(wǎng)絡(luò)，違反公司《信息系統(tǒng)使用安全制度》和《漏洞掃描管理流程》，據(jù)此開具不符合項(xiàng)，涉及的標(biāo)準(zhǔn)條款：

A.11.2.9 清理桌面和屏幕策略：應(yīng)針對(duì)紙質(zhì)和可移動(dòng)存儲(chǔ)介質(zhì)，采取清理桌面策略；應(yīng)針對(duì)信息處理設(shè)施，采用清理屏幕策略。

A.12.6.1 技術(shù)方面脆弱性的管理：應(yīng)及時(shí)獲取在用的信息系統(tǒng)的技術(shù)方面的脆弱性信息，評(píng)價(jià)組織對(duì)這些脆弱性的暴露狀況并采取適當(dāng)?shù)拇胧﹣響?yīng)對(duì)相關(guān)風(fēng)險(xiǎn)。

受審核方高度重視本次審核結(jié)果，對(duì)不符合項(xiàng)進(jìn)行原因分析如下：薪酬電腦由于斷網(wǎng)未在域控范圍內(nèi)，因此未同步域策略，也未對(duì)該關(guān)鍵電腦人工定期進(jìn)行安全策略的配置和更新。

采取的糾正措施為：該電腦屬于HR 部門專用電腦，單機(jī)不加域，已經(jīng)設(shè)置了自動(dòng)鎖屏及密碼，采用手動(dòng)更新防病毒軟件的病毒庫以及Windows 關(guān)鍵更新，并每個(gè)季度檢查更新一次。

4 結(jié)論

目前，隨著工業(yè)互聯(lián)網(wǎng)、智能制造的深入發(fā)展，企業(yè)采用的主機(jī)操作系統(tǒng)、通信協(xié)議、應(yīng)用軟件已大量采用通用技術(shù)，傳統(tǒng)的互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)已可對(duì)企業(yè)生產(chǎn)端造成影響；工業(yè)企業(yè)打造工業(yè)互聯(lián)網(wǎng)過程中，不斷加強(qiáng)系統(tǒng)互聯(lián)互通，對(duì)部分安全風(fēng)險(xiǎn)和威脅滲透擴(kuò)散提供了有利環(huán)境。而很多企業(yè)存在以下誤區(qū)：一是工業(yè)尤其是工控系統(tǒng)信息相對(duì)安全，缺乏推進(jìn)工作的主動(dòng)性；二是認(rèn)為隔離的工業(yè)網(wǎng)絡(luò)就絕對(duì)安全，其內(nèi)部網(wǎng)絡(luò)、主機(jī)和設(shè)備基本不作安全防范，一旦網(wǎng)絡(luò)隔離被突破將造成嚴(yán)重影響；三是工業(yè)主機(jī)、工控系統(tǒng)等的操作系統(tǒng)、軟件應(yīng)用版本老舊，且認(rèn)為進(jìn)行補(bǔ)丁升級(jí)操作將帶來生產(chǎn)安全風(fēng)險(xiǎn)或無法得到生產(chǎn)廠商維保服務(wù)，而幾乎不作補(bǔ)丁升級(jí)，存在安全隱患；四是認(rèn)為部署持續(xù)性的在線安全監(jiān)測(cè)手段不必要，使得應(yīng)對(duì)突發(fā)性的漏洞、病毒等事件不及時(shí)，應(yīng)急措施嚴(yán)重缺乏。

建議企業(yè)注重發(fā)展過程中的信息安全風(fēng)險(xiǎn)，按照《中華人民共和國網(wǎng)絡(luò)安全法》要求，落實(shí)網(wǎng)絡(luò)安全主體責(zé)任和等級(jí)保護(hù)等基本安全制度；對(duì)照《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》等的有關(guān)要求，對(duì)工業(yè)互聯(lián)網(wǎng)中的安全薄弱環(huán)節(jié)，重點(diǎn)加強(qiáng)工業(yè)網(wǎng)絡(luò)、主機(jī)、控制設(shè)備的安全軟件部署和安全配置，軟件補(bǔ)丁升級(jí)管理，生產(chǎn)網(wǎng)、辦公網(wǎng)等網(wǎng)絡(luò)隔離，互聯(lián)網(wǎng)遠(yuǎn)程訪問控制，以及外連設(shè)備安全連入管理等有關(guān)工作。