隨著IT系統(tǒng)覆蓋面的不斷延伸發(fā)展，從傳統(tǒng)的網(wǎng)絡(luò)設(shè)備和服務(wù)器到B/S系統(tǒng)，單位內(nèi)會建設(shè)越來越多的IT系統(tǒng)作為業(yè)務(wù)支撐，也因此存在了更多的安全漏洞風(fēng)險。當(dāng)單位內(nèi)組織機(jī)構(gòu)越復(fù)雜時，信息安全問題就會越突出，對于IT系統(tǒng)的漏洞風(fēng)險處置也越來越困難。本文嘗試以單位復(fù)雜組織機(jī)構(gòu)的漏洞風(fēng)險處置作為切入點，介紹在跨組織、跨區(qū)域環(huán)境下的安全漏洞測試基地的應(yīng)用。

傳統(tǒng)環(huán)境漏洞風(fēng)險處置

當(dāng)單位內(nèi)部有多個組織機(jī)構(gòu)建設(shè)的業(yè)務(wù)系統(tǒng)，或存在跨城市、省區(qū)域的分/子部門時，在安全漏洞處置上常常會處于各自為戰(zhàn)狀態(tài)，使得總部的信息安全管理部門無法及時有效的對分部門的IT安全風(fēng)險進(jìn)行管控。

在傳統(tǒng)環(huán)境下進(jìn)行漏洞風(fēng)險處置時，檢測到的安全漏洞常被分為三類：

較易整改漏洞：能夠比較容易就可以進(jìn)行加固整改的漏洞；

疑難漏洞：加固整改存在一定技術(shù)難度或修復(fù)所需時間較長，有較高修復(fù)門檻的漏洞；

無法整改漏洞：因技術(shù)或業(yè)務(wù)原因?qū)е聼o法進(jìn)行加固整改的漏洞。

對于較易整改的漏洞，因為修復(fù)門檻較低，組織內(nèi)部能夠在短時間內(nèi)進(jìn)行加固。但對于疑難漏洞就難以在短時間內(nèi)加固修復(fù)，對于無法整改的漏洞更是無限延長了漏洞風(fēng)險影響的窗口期，給單位信息安全帶來比較嚴(yán)重的影響，降低了其整體的安全水平。

圖1 傳統(tǒng)環(huán)境漏洞風(fēng)險處置

從圖示1也不難發(fā)現(xiàn)，很多時候不同的組織內(nèi)可能存在著通用的、甚至完全相同的安全漏洞，比如Struts2系列漏洞。通用的漏洞常常也具備較為通用的加固修復(fù)方式，能夠形成一致的加固方案和安全知識，但是由于不同組織間職責(zé)分工問題、安全技術(shù)水平側(cè)重度問題，在漏洞風(fēng)險加固修復(fù)上較難做到及時有效的信息共享和聯(lián)動。

另外從成本和業(yè)務(wù)風(fēng)險方面考慮，一些分組織也未必愿意做第一個漏洞修復(fù)的嘗試者，因此漏洞的加固修復(fù)更應(yīng)該落實到愿意承擔(dān)加固測試任務(wù)和具有一定條件的分組織上。

安全漏洞測試基地

在復(fù)雜的組織機(jī)構(gòu)環(huán)境下通過建立安全漏洞測試基地的方式，嘗試解決大、中型跨區(qū)域公司的IT漏洞風(fēng)險問題。安全漏洞測試基地通過在總部從漏洞驗證、漏洞加固、知識共享三個方面對分/子部門進(jìn)行督導(dǎo)管理。安全漏洞測試基地示意圖如圖2所示。

驗證任務(wù)：總部選擇某一分組織作為驗證某一漏洞是否存在并將驗證過程生成知識文檔的測試基地。測試基地接收到短信、E-Mail通知，登錄平臺查看詳情，并進(jìn)行線下漏洞驗證。驗證完成后，填寫并上傳驗證結(jié)果報告，若存在此漏洞，則生成漏洞，狀態(tài)為確認(rèn)，進(jìn)入安全漏洞處置流程；

驗證方案：即分組織直接執(zhí)行總部的驗證方案進(jìn)行驗證漏洞是否存在。分組織接收到短信、E-Mail通知，登錄平臺查看詳情，并按照方案進(jìn)行漏洞驗證。驗證完成后，填寫并上傳驗證結(jié)果，若存在此漏洞，則生成漏洞，狀態(tài)為確認(rèn)，進(jìn)入安全漏洞處置流程；

圖2 安全漏洞測試基地示意圖

加固任務(wù)：總部選擇某一分組織對某一漏洞的加固修復(fù)并將過程知識生成知識文檔。測試基地接收到短信、E-Mail通知，登錄平臺查看詳情，并進(jìn)行加固實驗。加固完成后，填寫并上傳加固方案，若成功加固，漏洞狀態(tài)為加固完成；

加固方案：即分組織直接執(zhí)行總部的加固方案進(jìn)行加固并反饋加固結(jié)果。分組織接收到短信、E-Mail通知，登錄平臺查看詳情，并按照方案進(jìn)行加固。加固完成后，填寫并上傳加固結(jié)果，若成功加固，漏洞狀態(tài)為加固完成；

漏洞消除：當(dāng)漏洞狀態(tài)標(biāo)識為加固完成后，漏洞即為完成，形成歸檔后的安全漏洞。

除了由以上的漏洞驗證、加固的兩級聯(lián)動形成的信息安全知識文檔，還會有上級對下級部門的管理規(guī)定要求，比如日常IT信息安全巡檢、重大活動保障等。無論是管理層面的文件要求，還是技術(shù)層面的知識文檔，都是單位IT信息安全的寶貴財產(chǎn)?？梢栽诳偛總?cè)建設(shè)信息安全知識庫，對這些知識文檔進(jìn)行收納歸檔，并可以基于這個基礎(chǔ)進(jìn)行管理和技術(shù)交流。

經(jīng)驗及思考

針對于組織機(jī)構(gòu)比較多的大中型企業(yè)，尤其是在IT系統(tǒng)建設(shè)比較復(fù)雜的環(huán)境，信息安全管理尤為重要。但在實際的操作環(huán)節(jié)中，又由于各分部門之間職責(zé)定位不同、信息安全認(rèn)識方向不同等原因，會存在很多問題。通過建立安全漏洞測試基地的方式，由總部主管部門進(jìn)行統(tǒng)一的、制度化的督導(dǎo)管理，輔以績效關(guān)聯(lián)，可以比較容易的推動疑難雜癥、治理周期長等問題的解決。