◆王志勇

?

基于風(fēng)險評估的企業(yè)內(nèi)網(wǎng)漏洞管理技術(shù)研究

◆王志勇

（中國空空導(dǎo)彈研究院 河南 471009）

隨著企業(yè)業(yè)務(wù)模式向數(shù)字化、網(wǎng)絡(luò)化、智能化方式的快速轉(zhuǎn)變，信息化與工業(yè)化已深度融合，對企業(yè)內(nèi)網(wǎng)安全提出了較高要求。企業(yè)網(wǎng)絡(luò)存在安全漏洞，是信息技術(shù)自身必存的。及時修復(fù)安全漏洞是確保企業(yè)內(nèi)網(wǎng)信息安全的關(guān)鍵措施。根據(jù)企業(yè)內(nèi)網(wǎng)的實際情況，分析了安全漏洞的由來、漏洞發(fā)現(xiàn)的途徑，提出了基于風(fēng)險評估理論的漏洞管理過程，建立了自動化和人工相結(jié)合的漏洞修復(fù)工具和管理平臺，保障了企業(yè)內(nèi)網(wǎng)各系統(tǒng)的安全運行。

安全漏洞；風(fēng)險評估；漏洞修復(fù)

0 引言

安全漏洞是計算機信息系統(tǒng)軟硬件自身和使用過程中存在的脆弱性，脆弱性被攻擊者利用對信息和信息系統(tǒng)的保密性、完整性或可用性造成損壞，從而影響信息系統(tǒng)及其服務(wù)的正常運行[1]。近幾年來不斷發(fā)生的重大網(wǎng)絡(luò)安全事件，多為黑客或內(nèi)部人員、惡意軟件利用信息系統(tǒng)存在的安全漏洞攻擊所致。如2010年發(fā)生的“震網(wǎng)”病毒導(dǎo)致伊朗核電站處理裝置損毀；2016年美國域名服務(wù)器遭受惡意軟件攻擊導(dǎo)致東海岸地區(qū)多家網(wǎng)站宕機；2017年包括中國、俄羅斯等國在內(nèi)的全球許多國家收到“永恒之藍(lán)”勒索病毒軟件攻擊，導(dǎo)致大量信息系統(tǒng)無法提供服務(wù)。安全漏洞的大量出現(xiàn)和快速增長是信息系統(tǒng)安全形勢嚴(yán)峻的重要原因之一。幾乎所有成功的攻擊者都是利用著名的漏洞，而且是在已經(jīng)存在補丁保護(hù)的情況下[2]，未及時利用補丁修復(fù)漏洞。

隨著信息化和工業(yè)化的深度融合以及中國制造2025、工業(yè)4.0等智能制造技術(shù)在企業(yè)研發(fā)、生產(chǎn)、管理等環(huán)節(jié)的全面應(yīng)用，信息技術(shù)已經(jīng)從傳統(tǒng)的信息系統(tǒng)應(yīng)用擴展到工業(yè)控制系統(tǒng)各個組成，支撐企業(yè)的網(wǎng)絡(luò)已經(jīng)有信息網(wǎng)擴展到工業(yè)互聯(lián)網(wǎng)，網(wǎng)絡(luò)系統(tǒng)日趨復(fù)雜，系統(tǒng)種類越來越多，導(dǎo)致系統(tǒng)存在的安全漏洞點越來越多。

企業(yè)內(nèi)網(wǎng)運行系統(tǒng)運行的業(yè)務(wù)系統(tǒng)多而復(fù)雜，很多系統(tǒng)已經(jīng)運行多年，均采用更新補丁方式可能對系統(tǒng)的運行安全造成新的安全隱患。本文結(jié)合企業(yè)這一情況，采用風(fēng)險評估方法，對發(fā)現(xiàn)的通用漏洞進(jìn)行評估，按照對業(yè)務(wù)的影響度采取不同的處理辦法。

1 安全漏洞的由來

1.1企業(yè)內(nèi)網(wǎng)組成

企業(yè)內(nèi)網(wǎng)一般由四部分組成，如圖1所示：硬件設(shè)備層、操作系統(tǒng)層、數(shù)據(jù)庫管理系統(tǒng)/中間件/web應(yīng)用層、應(yīng)用軟件層。同時，保持企業(yè)內(nèi)網(wǎng)作為一個系統(tǒng)安全需要，還需要有相關(guān)的管理制度、策略及操作來保障。

企業(yè)內(nèi)網(wǎng)的四個組成部分一般要經(jīng)歷需求、設(shè)計、實現(xiàn)、部署、配置與運行等環(huán)節(jié)，由于人類認(rèn)知水平的局限性和系統(tǒng)的復(fù)雜性，每個環(huán)節(jié)都會存在一定的瑕疵、缺陷。這些缺陷就是企業(yè)內(nèi)網(wǎng)存在的漏洞，亦稱脆弱性。

圖1 企業(yè)內(nèi)網(wǎng)組成圖

1.2安全漏洞存在分析

漏洞是由于企業(yè)內(nèi)網(wǎng)中的軟件研發(fā)、硬件開發(fā)未能全盤考慮整個系統(tǒng)中的使用情形，未能充分考慮各種可能的輸入、輸出以及各種操作情況的處理而造成的。企業(yè)內(nèi)網(wǎng)的各個組成部分和內(nèi)網(wǎng)的管理服務(wù)流程都可能存在。漏洞主要來源于：

（1）操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件以及應(yīng)用軟件的軟件開發(fā)階段

從用戶需求分析到部署，任何環(huán)節(jié)出現(xiàn)問題，就會將問題傳遞并放大至后續(xù)環(huán)節(jié)，最終導(dǎo)致系統(tǒng)使用中出現(xiàn)問題。

據(jù)計算機科學(xué)家估計，在每千行軟件代碼中大約會出現(xiàn)5～29個bug[3]。隨著“軟件定義”技術(shù)的廣泛應(yīng)用和智能化技術(shù)的應(yīng)用，軟件代碼量越來越大，軟件存在漏洞的數(shù)量將越來越多。為解決安全運行問題，主要軟件供應(yīng)商均定期發(fā)布系統(tǒng)補丁，如：微軟公司每月均定期發(fā)布自己產(chǎn)品的補丁，出現(xiàn)類似“永恒之藍(lán)”這樣影響范圍和危害度巨大的漏洞問題，會緊急發(fā)布解決方案和軟件補丁。

（2）計算機、網(wǎng)絡(luò)設(shè)備等硬件開發(fā)階段

計算機、網(wǎng)絡(luò)設(shè)備包含硬件和固件，固件中安裝驅(qū)動硬件的各種程序、專用系統(tǒng)。漏洞來源于硬件和固件中的程序存在的缺陷。近年來，出現(xiàn)了多起CPU、DSP芯片出現(xiàn)的安全漏洞，尤其是2017年底，Intel處理器重大安全漏洞被曝光。

（3）系統(tǒng)配置不當(dāng)

操作系統(tǒng)、應(yīng)用系統(tǒng)授權(quán)寬泛，未關(guān)閉非必需的服務(wù)；防病毒軟件、防火墻等安全產(chǎn)品配置不當(dāng)，造成病毒、惡意代碼或者其他攻擊者利用配置漏洞對企業(yè)內(nèi)網(wǎng)進(jìn)行攻擊，導(dǎo)致數(shù)據(jù)破壞、信息服務(wù)宕機等安全事件。

（4）策略、管理流程方面

策略與企業(yè)內(nèi)網(wǎng)面臨的安全形勢不匹配，未及時調(diào)整，管理流程存在漏洞不能保證安全措施落地執(zhí)行。

2 安全漏洞處理過程

2.1漏洞的發(fā)現(xiàn)

采用人工和自動化技術(shù)相結(jié)合的方式，在對企業(yè)內(nèi)網(wǎng)信息資產(chǎn)形成清單的基礎(chǔ)上，發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)存在的安全漏洞，形成漏洞清單。漏洞識別主要有三種途徑：

（1）部署專用漏洞掃描工具

通過企業(yè)內(nèi)網(wǎng)部署國家有關(guān)部門認(rèn)可的漏洞掃描工具，在梳理企業(yè)信息資產(chǎn)形成清單的基礎(chǔ)上，對掃描對象、范圍等參數(shù)進(jìn)行設(shè)置，每月或每季度對全網(wǎng)進(jìn)行掃描，發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)存在的漏洞。按照掃描對象，漏洞掃描工具可分為普通的漏洞掃描工具和針對web應(yīng)用系統(tǒng)的web漏洞掃描工具。

（2）關(guān)注國家互聯(lián)網(wǎng)應(yīng)急中心、國家保密局等官方機構(gòu)發(fā)布的信息安全通報

專用漏洞掃描工具特征庫更新由各掃描工具供應(yīng)商維護(hù)，有一定的滯后性。針對重、特大安全漏洞，國家互聯(lián)網(wǎng)應(yīng)急中心、國家保密局等官方機構(gòu)將及時發(fā)布安全通報，提出安全應(yīng)對措施。企業(yè)安排專人及時從官方網(wǎng)站、渠道搜集相關(guān)信息。

（3）定期開展安全審計

通過企業(yè)建立的信息服務(wù)平臺，收集企業(yè)內(nèi)網(wǎng)各系統(tǒng)運行數(shù)據(jù)、用戶提出的問題，分析系統(tǒng)是否存在影響安全運行的漏洞。

按照合規(guī)性要求，審計企業(yè)內(nèi)網(wǎng)各系統(tǒng)的安全防護(hù)情況、運行維護(hù)情況，確認(rèn)是否存在信息安全漏洞。

2.2漏洞的危害性評估

基于風(fēng)險評估方法，根據(jù)漏洞對信息資產(chǎn)的威脅程度來確定漏洞的危害程度，確定漏洞修復(fù)次序。

業(yè)務(wù)系統(tǒng)的安全風(fēng)險取決于其面臨的威脅、漏洞被威脅利用的復(fù)雜度、漏洞的影響程度[1]。同一個漏洞，對不同的業(yè)務(wù)系統(tǒng)有不同的安全風(fēng)險。利用復(fù)雜度是指在系統(tǒng)現(xiàn)有防護(hù)措施環(huán)境下漏洞被利用的難易程度，影響程度是指安全漏洞被利用后對業(yè)務(wù)系統(tǒng)造成的保密性、完整性和可用性方面問題的嚴(yán)重程度。

作為與國際互聯(lián)網(wǎng)隔離的企業(yè)內(nèi)網(wǎng)中，各系統(tǒng)面臨的威脅基本上是相同的，由于防護(hù)措施的不同、業(yè)務(wù)的重要程度的不同，對業(yè)務(wù)造成的風(fēng)險大小程度不同。基于此，我們對企業(yè)內(nèi)網(wǎng)漏洞的危害性評估采取如下辦法：

（1）現(xiàn)有安全防護(hù)措施評估

在形成漏洞清單的基礎(chǔ)上，針對存在漏洞的信息資產(chǎn)，逐項分析其現(xiàn)有安全防護(hù)措施的有效性，評判漏洞被利用的復(fù)雜度。復(fù)雜度越大，漏洞被利用的可能性越小。

（2）評估漏洞對每個資產(chǎn)的影響程度

從假定漏洞被利用后，對信息資產(chǎn)在保密性、完整性和可用性三方面的危害度進(jìn)行分析。一般采取百分制，其中保密性1～40，完整性1～30，可用性1～30。

經(jīng)過上述兩步工作，可以確定每個漏洞在企業(yè)內(nèi)網(wǎng)可被利用的可能性和對信息資產(chǎn)的危害度。在基礎(chǔ)上，首先按照對信息資產(chǎn)的危害程度對漏洞排序、再按照漏洞被利用難易程度進(jìn)行排序，形成漏洞修復(fù)順序表，明確哪些漏洞需要立即修復(fù)，哪些可以延遲或忽略。

2.3漏洞的修復(fù)

參照ITIL框架，將漏洞修復(fù)納入企業(yè)信息服務(wù)臺流程管理，流程如圖2所示：

（1）針對高危風(fēng)險級別的漏洞，在信息服務(wù)平臺中形成事件，安排人員處理；

（2）制定漏洞修復(fù)及系統(tǒng)變更方案。

更新補丁是修補漏洞最有效的方式。從操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等系統(tǒng)供應(yīng)商官方獲取系統(tǒng)補丁，對系統(tǒng)進(jìn)行升級更新。對于自行或委托開發(fā)的應(yīng)用軟件，需要針對存在的漏洞開發(fā)補丁程序?qū)浖M(jìn)行更新。

對于由于影響系統(tǒng)的可用性或者無法更新補丁的系統(tǒng)，可采取如下兩種方式：在不影響系統(tǒng)可用性的條件下，關(guān)閉存在漏洞的系統(tǒng)服務(wù)；通過在服務(wù)器邊界部署防火墻、安全網(wǎng)關(guān)等安全產(chǎn)品，控制存在漏洞的服務(wù)訪問范圍，減少被攻擊的風(fēng)險。

漏洞修復(fù)及變更方案一定確保系統(tǒng)的可用，可采取如下步驟：

（1）獲取/開發(fā)系統(tǒng)補丁

每月定期從操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等供應(yīng)商官方網(wǎng)站獲取其發(fā)布的系統(tǒng)補丁。對于自行或委托有關(guān)廠商定制開發(fā)的系統(tǒng)，組織力量分析安全漏洞，制定漏洞修復(fù)方案，進(jìn)行補丁開發(fā)。對于系統(tǒng)配置、策略方面的漏洞，設(shè)計配置變更、策略變更方案。

圖2 漏洞修復(fù)流程

（2）系統(tǒng)變更申請

開展修復(fù)漏洞引起的系統(tǒng)變更影響性分析，分析其影響范圍、后果以及需要開展的驗證工作。

（3）驗證補丁

建立與在用業(yè)務(wù)系統(tǒng)相同的測試環(huán)境，更新補丁，測試更新過程以及對系統(tǒng)可用性的影響。同時，利用漏洞掃描工具對修復(fù)后的測試系統(tǒng)進(jìn)行掃描，確認(rèn)是否達(dá)到預(yù)期目標(biāo)。

（4）發(fā)布補丁

通過驗證、可以使用的補丁發(fā)布至軟件配置管理系統(tǒng)，對更新程序統(tǒng)一管理。

①執(zhí)行變更

普通用戶終端可通過補丁更新系統(tǒng)實現(xiàn)操作系統(tǒng)、辦公軟件補丁的自動更新。

服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、Web應(yīng)用服務(wù)等服務(wù)器端服務(wù)，應(yīng)在確認(rèn)數(shù)據(jù)、系統(tǒng)備份完備的基礎(chǔ)上，采用人工方式更新補丁，以保證系統(tǒng)更新過程可控，確保在用系統(tǒng)的可用性、可恢復(fù)。

②掃描修復(fù)情況

啟動漏洞掃描工具軟件，對采取修復(fù)措施的系統(tǒng)進(jìn)行掃描，根據(jù)掃描結(jié)果判斷系統(tǒng)漏洞是否已修復(fù)。若修復(fù)到位，關(guān)閉事件處理流程。若仍然存在漏洞，需要重復(fù)（2）～（4）步驟，直到漏洞修復(fù)到位。

3 技術(shù)實現(xiàn)

依據(jù)國家網(wǎng)絡(luò)安全法規(guī)、標(biāo)準(zhǔn)要求和企業(yè)信息化運行需要，通過信息化、自動化的手段實現(xiàn)企業(yè)內(nèi)網(wǎng)漏洞發(fā)現(xiàn)、修復(fù)以及修復(fù)后的監(jiān)控，實現(xiàn)漏洞的全過程管理，降低企業(yè)內(nèi)網(wǎng)的安全風(fēng)險。具體實現(xiàn)過程如下：

3.1部署漏洞發(fā)現(xiàn)工具和漏洞管理平臺

選擇啟明星辰公司的漏洞掃描工具作為發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)服務(wù)器、計算機終端、網(wǎng)絡(luò)打印機、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)等對象漏洞的主要工具，同時為提高對web應(yīng)用漏洞的發(fā)現(xiàn)能力，部署了安恒公司的web漏掃專用工具，提升web應(yīng)用漏洞的發(fā)現(xiàn)能力。按照保密法規(guī)要求，每月定期對內(nèi)網(wǎng)進(jìn)行掃描，自動形成漏洞清單。

同時，通過部署安全管理平臺，將漏洞掃描工具發(fā)現(xiàn)的漏洞進(jìn)行統(tǒng)一管理。

3.2基于ITIL建立企業(yè)信息服務(wù)平臺和軟件配置管理系統(tǒng)

企業(yè)開發(fā)了網(wǎng)絡(luò)化的信息服務(wù)平臺，實現(xiàn)信息服務(wù)的流程化。將漏洞修復(fù)過程納入該平臺進(jìn)行統(tǒng)一管理。

部署軟件配置管理系統(tǒng)對各系統(tǒng)技術(shù)狀態(tài)和驗證后補丁進(jìn)行管理，由配置管理員負(fù)責(zé)軟件、補丁的出入庫。并通過運維堡壘機等技術(shù)措施控制服務(wù)器及其運行的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等系統(tǒng)補丁的更新。

3.3基于主機監(jiān)控與審計工具和微軟WSUS平臺建立企業(yè)內(nèi)網(wǎng)補丁分發(fā)平臺

根據(jù)企業(yè)內(nèi)網(wǎng)情況，先后建立了基于北信源主機監(jiān)控與審計系統(tǒng)、微軟WSUS3.0（Windows Server Update Services）的補丁分發(fā)平臺，分別實現(xiàn)Windows XP/ Windows Server2003、Windows 7以上系統(tǒng)補丁的自動更新。

4 結(jié)論

漏洞管理關(guān)系企業(yè)內(nèi)網(wǎng)的安全，修復(fù)漏洞是解決漏洞引起安全風(fēng)險的根本措施。由于企業(yè)內(nèi)網(wǎng)對象多、系統(tǒng)多，修復(fù)所有漏洞不僅成本高，也很難實現(xiàn)。采用風(fēng)險評估法，找出風(fēng)險較高的業(yè)務(wù)單元，按照風(fēng)險等級和企業(yè)可以承受的風(fēng)險，對漏洞進(jìn)行排序修復(fù)。對于新部署的系統(tǒng)，在部署之前可以通過更新補丁將已發(fā)現(xiàn)的漏洞修復(fù)到位，降低業(yè)務(wù)系統(tǒng)的安全風(fēng)險。隨著時間的推移，新的漏洞會不斷被發(fā)現(xiàn)，更新補丁可能對已在用系統(tǒng)的運行有一定影響。為減少修復(fù)漏洞對企業(yè)內(nèi)網(wǎng)可用性的影響，一定要建立測試環(huán)境，制定系統(tǒng)回退方案，驗證修復(fù)措施的有效性。但要減少補丁對系統(tǒng)的影響，需要進(jìn)一步規(guī)范系統(tǒng)開發(fā)，降低各應(yīng)用系統(tǒng)與其運行平臺的耦合度、應(yīng)用系統(tǒng)內(nèi)部不同模塊間的耦合度。

[1]劉奇旭，張翀斌，張玉清等.安全漏洞等級劃分關(guān)鍵技術(shù)研究[J].通信學(xué)報，2012.

[2]華镕，華夏.制造區(qū)計算機補丁更新的重要性[J].中國儀器儀表，2012.

[3]華镕.漏洞管理一:了解漏洞管理的需求[J].中國儀器儀表，2015.