◆劉海南

企業(yè)安全漏洞管理初探

◆劉海南

（廣西壯族自治區(qū)交通運輸信息管理中心 廣西 530000）

近年來各種安全漏洞層出不窮，危害程度逐級增加，對于已實現(xiàn)信息電子化的企業(yè)而言，無論外網(wǎng)系統(tǒng)或內(nèi)網(wǎng)系統(tǒng)均面臨著嚴峻的安全威脅。本文重點講述的是在遵循漏洞生命周期環(huán)境下，如何高效地、科學(xué)地管理漏洞，將著重從技術(shù)和管理兩方面進行敘述。

漏洞；生命周期；管理思路

1 背景介紹

在安全漏洞滿天下的信息時代，由于互聯(lián)網(wǎng)的普及，普通人能獲取漏洞信息的條件越來越容易，網(wǎng)絡(luò)攻擊也變得似一鍵觸發(fā)那樣簡單。對于企業(yè)而言，特別為中小企業(yè)，當受到網(wǎng)絡(luò)攻擊時，往往只能尋求專業(yè)的安全公司做應(yīng)急響應(yīng)，對于漏洞應(yīng)對措施大體為發(fā)現(xiàn)一個修補一個，沒有對漏洞進行有效監(jiān)控和管理，讓企業(yè)長期處于危險之中。

如何有效地、科學(xué)地管理好漏洞，成為眾多企業(yè)負責網(wǎng)絡(luò)安全領(lǐng)導(dǎo)特別關(guān)心的事，也是傳統(tǒng)網(wǎng)絡(luò)管理人員需要格外學(xué)習(xí)的方法和技術(shù)，不然未來的哪一天，可能就會因為一個安全漏洞導(dǎo)致企業(yè)信息泄露。

2 現(xiàn)狀

漏洞是客觀存在的，是IT系統(tǒng)軟件和硬件自身存在的缺陷，黑客能夠在非授權(quán)的情況下對IT系統(tǒng)的機密性、完整性、可用性造成不同程度的破壞，最終給企業(yè)和個人造成無法挽回的損失。傳統(tǒng)企業(yè)中，諸多網(wǎng)絡(luò)使用者非專業(yè)的IT安全從業(yè)者出身，缺乏安全意識，對企業(yè)信息安全并不關(guān)心，對安全問題也不重視。即便關(guān)心也無處下手，常用的應(yīng)對措施如前文提到的那樣，發(fā)現(xiàn)一個漏洞修補一個漏洞，并沒有對漏洞進行科學(xué)有效管理。

3 信息資產(chǎn)

概念及意義：

信息資產(chǎn)是一個知識體系，作為一個單一的實體來組織和管理，本文中指的信息資產(chǎn)是狹義的，所指的是人員、文檔、辦公終端、服務(wù)器、門戶網(wǎng)站等。

在漏洞管理中，我們引入生命周期，漏洞的生命周期如圖1：

圖1 安全漏洞生命周期

生命周期指一個對象的出現(xiàn)到消亡。本文中漏洞的生命周期從產(chǎn)生→發(fā)現(xiàn)→公開→管理→消亡，經(jīng)過了漏洞潛伏期、漏洞公開期、漏洞識別期、漏洞處置期四個階段。

在漏洞管理中，信息資產(chǎn)的完整性收集是整個漏洞管理的第一步。古話說知己知彼，方能百戰(zhàn)不殆，若企業(yè)連自己有幾臺服務(wù)器等信息資產(chǎn)都不清楚，那從何談起還要維護它的安全。

4 資產(chǎn)收集

4.1人工梳理

網(wǎng)絡(luò)管理員都會有一份資產(chǎn)清單，詳細記錄了資產(chǎn)的設(shè)備名稱、IP地址、物理地址、端口及服務(wù)、系統(tǒng)及應(yīng)用的版本信息和管理員聯(lián)系方式等，甚至還有一份寫有設(shè)備登錄賬號口令的清單。這些資產(chǎn)信息是在系統(tǒng)建設(shè)初期和長期維中逐漸形成的，信息安全人員若要對企業(yè)資產(chǎn)進行梳理，只需問網(wǎng)絡(luò)管理員提供即可。

當然也會存在有企業(yè)的資產(chǎn)清單中信息不齊全的情況，有些只記錄了IP地址和物理地址等簡單信息，網(wǎng)絡(luò)拓撲等信息都是很久之前老的版本。因此，我們需要采用工具來解決這個問題。

4.2工具收集

工具收集是輔助人工梳理資產(chǎn)的手段之一，本文推薦一款開源免費的網(wǎng)絡(luò)掃描和主機檢測的工具，可以在百度中搜索“Nmap”就能下載到，也有很多詳細的使用教程，本文則簡單舉例：

（1） 主機發(fā)現(xiàn)，意義在于檢測網(wǎng)絡(luò)中主機的存活，可在WINDOWS下用CMD命令Nmap –A 192.168.1.0/24檢測該C網(wǎng)段；

（2） 端口發(fā)現(xiàn)，意義在于檢測目標主機開放了哪些服務(wù)端口，可用CMD命令Nmap –p 1-65535 –Pn 192.168.10.1來實現(xiàn)（1和2可寫成一條命令）。

服務(wù)器版本探測，若不想登錄到服務(wù)器上查看版本?？捎妙愃苭hatweb或Nmap這樣開源的Web應(yīng)用程序指紋識別工具來探測，簡單舉例：

（1） 服務(wù)器版本探測，可用Nmap來實現(xiàn)，Nmap –sV –p 1-65535 10.0.10.1或者指定端口、添加IP段或列表；

（2） 網(wǎng)站中間件的探測，可用whatweb來探測，命令whatweb www.123.com或者跟著檢測列表。

4.3比對整合

前文列舉的人工梳理和工具協(xié)助收集的辦法，將兩個途徑獲取的信息進行比對，信息不一致找系統(tǒng)管理員確認，如此方法一般就能基本摸清楚企業(yè)資產(chǎn)的信息。若有條件，大可以用python等主流的語言編寫一些探測工具，將這些方法固化下來。

比對完成之后將全新的資產(chǎn)進行整合，一般用Excel表格記錄即可，也可以采用宏命令來實現(xiàn)對資產(chǎn)的整合。當然，若有資產(chǎn)管理平臺是最好的。

5 漏洞管理

5.1潛伏期

安全漏洞的存在是信息系統(tǒng)在被開發(fā)時就存在，只是還未被安全人員發(fā)現(xiàn)。同時官方發(fā)布的新系統(tǒng)版本也會引入一些新的漏洞，所以漏洞是一直潛伏著，等著被發(fā)覺。

5.2公開期

漏洞被發(fā)現(xiàn)后，很快就會在官方或者權(quán)威的漏洞發(fā)布平臺公布出來。漏洞依據(jù)危害程度和被利用的難度可分為：危險、高危、中危、低危等級別。漏洞的修復(fù)一般是整改、規(guī)避或者是接受，應(yīng)考慮到加固成本，業(yè)務(wù)影響等因素。

5.3識別期

漏洞識別是漏洞管理的重要一步，安全漏洞識別頻率最好為至少每季度開展一次，通過漏洞掃描工具或滲透測試，分別對服務(wù)器、前端Web等信息資產(chǎn)進行漏洞識別。

漏洞掃描工具的漏洞庫應(yīng)更新為最新版本，根據(jù)漏洞庫與設(shè)備所開放的端口服務(wù)版本及指紋進行匹配；滲透測試過程中可在安全網(wǎng)站上找到新出漏洞的利用代碼，或漏洞poc工具進行檢查。另外一種方式為代碼審計，通過對系統(tǒng)或應(yīng)用源代碼安全檢測，發(fā)現(xiàn)漏洞；最后一個當然是高級安全人員的手工測試。

漏洞識別之后是整理這些安全漏洞，結(jié)合信息安全資產(chǎn)進行一對多或多對多等方式進行關(guān)聯(lián)，將漏洞掃描（識別）報告交給系統(tǒng)管理員處置。

5.4處置期

安全漏洞的處置，第一步是將發(fā)現(xiàn)的漏洞進行歸檔管理，從掃描器中導(dǎo)出漏洞報表，因漏洞識別工具的差異性，會存在如.doc、.csv和.html等形式的報告，有些掃描報告不方便直觀閱讀，如采用國外的掃描器，漏洞報告是全英文，還需要人工翻譯成中文，對于漏洞批量管理會存在一定局限性，目前也沒有一個漏洞掃描工具是可關(guān)聯(lián)前一次的掃描結(jié)果。

漏洞掃描結(jié)果需要和信息資產(chǎn)進行關(guān)聯(lián)，所以需要轉(zhuǎn)化成符合企業(yè)實際漏洞管理需要的文檔格式。一般情況下企業(yè)采用Excel表格進行儲存和管理，那么需要將各種格式的轉(zhuǎn)化成一個標準的格式，采用工具或腳本自動化生成就很有必要了。推薦一個好的方法，寫一個宏腳本，根據(jù)企業(yè)用的掃描工具的報告格式生成一個通用的Excel表。

下面介紹下漏洞管理和漏洞跟蹤：

（1）應(yīng)用主機漏洞跟蹤管理

圖2為漏洞信息匯總表，該表中應(yīng)包括資產(chǎn)名稱、IP地址、漏洞信息等等，漏洞處置跟蹤表包括但不限于IP、端口、漏洞等，如圖2與圖3適用于應(yīng)用主機漏洞管理。

圖2 安全漏洞信息匯總表

圖3 安全漏洞跟蹤表

（2）Web漏洞跟蹤管理

Web漏洞的方式類似于應(yīng)用主機漏洞跟蹤表，圖4上的字段僅提供了一個參考，表頭的內(nèi)容根據(jù)實際需要而定，統(tǒng)計表的好處在于方便維護，另外一個是方便生成數(shù)據(jù)透視圖或餅圖、條形圖等。

圖4 Web安全漏洞跟蹤表

最后一步分為三小步來完成，一則為將漏洞發(fā)給系統(tǒng)維護人員去修復(fù)；二是將反饋的漏洞整改的信息填入表內(nèi)；三為定期或定量開展復(fù)查，確保漏洞已被修復(fù)。

5.5人才培養(yǎng)

本文中提到的人才培養(yǎng)，指的是專職安全人員培養(yǎng)和企業(yè)內(nèi)其他員工安全意識的培養(yǎng)。安全是個動態(tài)的過程，管理和技術(shù)作為有效實現(xiàn)手段，事前有預(yù)防、事中有策略、事后可溯源。

作為企業(yè)專職安全人員能清楚的分辨漏洞的危害性，對漏洞的處置優(yōu)先級較為明確，對漏洞管理辦法和一些安全管理的制度建設(shè)起到重要作用。加強普通員工的安全意識，避免企業(yè)因為安全意識疏忽給系統(tǒng)引入了其他安全漏洞。

5.6管理差距優(yōu)化

羅馬非一日建成的，企業(yè)漏洞管理也是一個從無到有的過程。所以本文的主導(dǎo)思想在于，呼吁企業(yè)高層領(lǐng)導(dǎo)重視信息安全，不要忽略一個小的安全漏洞，因為一個小漏洞在適合的場景下有可能演變?yōu)橐粋€嚴重的漏洞，科學(xué)高效地開展漏洞管理才是硬道理。

對于安全漏洞管理，借助漏洞生命周期和管理的經(jīng)驗，可以寫成一個漏洞管理系統(tǒng)，系統(tǒng)包括信息資產(chǎn)，漏洞信息等，對已經(jīng)修復(fù)的漏洞、整改超時的漏洞、緊急的漏洞分別進行標記和提醒，漏洞管理系統(tǒng)的字段可參見我們前邊漏出處置的表字段，可采取多線程模式，支持多人同時登錄管理，漏洞信息關(guān)聯(lián)等等。當企業(yè)漏洞管理初見成效時，應(yīng)及時制定漏洞管理辦法，建立問責機制。

6 結(jié)束語

本文重點講述的是漏洞的管理，力求將管理的方法分享給大家，希望對一些還未建立漏洞管理的企業(yè)起到拋磚引玉的作用。

最后對如何有效地進行漏洞管理總結(jié)如下：

（1） 明確信息資產(chǎn)；

（2） 對漏洞進行跟蹤管理；

（3） 信息安全人才培養(yǎng)，信息安全意識宣貫；

（4） 優(yōu)化漏洞管理方法、制定安全管理制度。

[1]付俊，馮運波 ,楊光華 ,張峰，粟栗.信息安全漏洞全生命周期管理[J].電信工程技術(shù)與標準化，2012.

[2]吳世忠.信息安全漏洞分析回顧與展望[J].清華大學(xué)學(xué)報(自然科學(xué)版)，2009.

[3]蔣誠.信息安全漏洞等級定義標準及應(yīng)用[J].信息安全與通信保密，2007.