信息安全漏洞閉環(huán)管理探討論文

　　摘要:信息安全漏洞是信息安全中最為常見(jiàn)的威脅之一。對于信息安全漏洞威脅的解決通常采用漏洞發(fā)現和漏洞修補的方式來(lái)解決，但在實(shí)際中存在諸多的問(wèn)題。本文研究分析了信息安全漏洞在管理上存在的問(wèn)題，分析了當前最新的安全漏洞閉環(huán)管理理念，并指出了其中一些不足和可行的改進(jìn)。

　　關(guān)鍵詞:信息安全；漏洞；管理

　　1緒論

　　在計算機世界，漏洞通常是三個(gè)因素的交集：即系統的脆弱性或缺陷，攻擊者可能訪(fǎng)問(wèn)的缺陷以及攻擊者利用缺陷的能力[1]。在本文中我們主要關(guān)注的是IT軟件或IT設備中內嵌操作系統應軟件編寫(xiě)缺陷而可能被攻擊者利用的安全漏洞。對于安全漏洞的認識和對其防護，企業(yè)和組織已不陌生，但是在具體實(shí)踐中仍存在一些實(shí)際操作的問(wèn)題。本文將針對國內外安全界針對安全漏洞管理提出的新思路進(jìn)行研究和分析，對其中存在問(wèn)題進(jìn)行闡述并提出相應可行的技術(shù)應對措施。

　　2漏洞管理目前存在的問(wèn)題

　　國外權威機構、相關(guān)國家機構和安全人員對安全漏洞的管理很早就提出了相關(guān)的理念，流程和管理思路。例如ParkForeman將漏洞管理分為漏洞識別、周期性實(shí)踐分類(lèi)、修復和減輕安全漏洞[2]。ISO組織和美國NIST組織在ISO/IECFIDIS27005：2008[3]和NISTSP800-30[4]標準中亦提出類(lèi)似的漏洞管理流程。但是目前在企業(yè)中針對安全漏洞的安全防護和安全管理多采用購買(mǎi)安全廠(chǎng)家的漏洞掃描產(chǎn)品進(jìn)行漏洞掃描，根據掃描結果進(jìn)行手工加固的方式。在這種實(shí)踐模式中，往往存在以下三個(gè)問(wèn)題。

　　2.1漏洞處置反應緩慢

　　從漏洞的公布到補丁的發(fā)布往往存在一個(gè)時(shí)間窗口期，而這個(gè)窗口期對于企業(yè)和組織而言是一個(gè)潛在而致命的時(shí)間窗。在這個(gè)時(shí)間窗內，攻擊者往往早于漏洞存在方研究出切實(shí)可行的攻擊技術(shù)并開(kāi)發(fā)出具體攻擊執行工具。此外由于地下社區的存在，攻擊工具很快將得以普及并被各類(lèi)攻擊者用于發(fā)起對漏洞的攻擊利用。在這種情況下，企業(yè)和組織在僅依靠單純漏洞掃描產(chǎn)品的情況下，是束手無(wú)策的。

　　2.2漏洞管理流程沒(méi)有量化

　　漏洞管理是一個(gè)安全管理流程，因此它不是應用、軟件和服務(wù)，需要企業(yè)和組織結合自身實(shí)際情況來(lái)建立和維護。在此過(guò)程中，企業(yè)和組織通常只關(guān)注了漏洞掃描發(fā)現和漏洞加固環(huán)節自身，而對流程中涵蓋的執行的優(yōu)先性、效率性、有效性和量化管控沒(méi)有進(jìn)行關(guān)注。

　　2.3漏洞修補的困難性

　　事實(shí)上，在實(shí)踐中，企業(yè)和組織往往可以獲得全面的漏洞掃描報告，但是這類(lèi)報告并沒(méi)有幫助解決諸如：漏洞危害程度和業(yè)務(wù)危害程度關(guān)聯(lián)性、漏洞修補優(yōu)先性、漏洞修補對業(yè)務(wù)影響性的實(shí)際問(wèn)題。因此管理者在漏洞修改環(huán)節中往往依采取兩種方式：①僅根據掃描報告就進(jìn)行加固，對業(yè)務(wù)安全可能帶來(lái)連帶附加影響。②對漏洞以可能影響業(yè)務(wù)安全運行的理由采取放任不管的方式。以上兩種方式顯然都不是最佳的漏洞加固實(shí)踐方式。

　　3新的漏洞管理研究

　　根據以上面臨的問(wèn)題和客戶(hù)的實(shí)際需求，信息安全界已開(kāi)展了一些積極的研究。美國獨立研究機構Gartner在2015年提出了一個(gè)新的漏洞管理解決框架流程圖，將漏洞管理分成3個(gè)管理階段。其中階段1定義計劃和目標完成漏洞管理的范圍、流程和方法做出詳細的規定。階段2漏洞評估完成掃描目標、范圍、設備部署等評估模型以及漏洞評估流程的執行。階段三漏洞修補則執行漏洞修補重掃和驗證、漏洞的持續監控和漏洞管理度量。一些安全研究人員和安全廠(chǎng)家提出在漏洞管理過(guò)程中引入安全威脅情報，通過(guò)威脅情報來(lái)驅動(dòng)漏洞管理。以往，威脅情報僅停留在研究機構，而最終用戶(hù)在引入威脅情報后，將讓用戶(hù)以更好的安全事件提高看待風(fēng)險的視覺(jué)，成為高效率和成功的安全管理過(guò)程[6]。在此過(guò)程中，企業(yè)和組織用戶(hù)和第三方建立安全威脅情報共享機制，將安全情報威脅通告納入到自身的安全漏洞管理，并通過(guò)其在最短時(shí)間內獲知漏洞披露（如漏洞技術(shù)原理）、漏洞利用（如利用代碼的出現）和漏洞熱度（如漏洞關(guān)注度、可能/具體影響范圍）等情報。以上情報的獲知將降低企業(yè)和機構對漏洞知曉的盲期，確認加固的優(yōu)先性，減少遭受漏洞攻擊的可能性。此外，由于互聯(lián)網(wǎng)社區的廣泛存在，還有一些研究機構提出將專(zhuān)業(yè)漏洞修補社區的情報信息將以整理和提煉，之后將其作為漏洞加固/修補的威脅情報對外提供[7]。幫助企業(yè)和組織解決在實(shí)際修補時(shí)擔心加固方法的可操作性以及加固對業(yè)務(wù)正常運行風(fēng)險影響的諸多問(wèn)題。另外一些研究方向認為完整的漏洞管理在技術(shù)環(huán)節的實(shí)現上除了傳統的安全漏洞掃描評估工具/系統外，還應將威脅情報、資產(chǎn)管理、業(yè)務(wù)漏洞安全分析、漏洞運維管理、評估度量一并納入，形成一整套的威脅漏洞管理平臺。國外安全分析師OliverRochford和NeilMacDonald[8]提出具備以上齊備功能的威脅和漏洞管理平臺（ThreatVulnerabilityManagementPlat-form）將傳統“如何發(fā)現漏洞”的漏洞安全管理模式變?yōu)椤霸鯓咏鉀Q漏洞”的模式并將在今后成為企業(yè)和組織安全中心的5大安全管控子平臺之一。

　　4當前安全漏洞管理的不足和解決思路

　　從以上研究分析可以看到，當前的新的安全了漏洞管理已較好的覆蓋了漏洞管理的所有環(huán)節。但是在安全加固方面還是存在一點(diǎn)問(wèn)題。從加固的實(shí)際情況來(lái)看，企業(yè)和組織目前更為關(guān)心的是加固是否會(huì )對業(yè)務(wù)正常運行造成影響，是否會(huì )因加固而帶來(lái)業(yè)務(wù)安全的風(fēng)險問(wèn)題。因此作為新的的漏洞安全管理解決框架中應增加用戶(hù)業(yè)務(wù)環(huán)境補丁加固驗證的技術(shù)手段和能力，通過(guò)該技術(shù)手段/能力有效的解決前面用戶(hù)關(guān)注對系統和對業(yè)務(wù)的風(fēng)險影響。在補丁修復中理論上作為最佳的補丁加固驗證方式自然是在與真實(shí)業(yè)務(wù)環(huán)境完全一致的測試/備份環(huán)境中進(jìn)行。但實(shí)際情況中存在兩個(gè)問(wèn)題：①企業(yè)和組織方尤其是中小型機構受限于投資預算，完全不具備此類(lèi)環(huán)境。②即便是大型機構也不太可能對所有業(yè)務(wù)系統都設立測試/備份系統。因此需要另辟蹊徑。從目前來(lái)看，采取虛擬化技術(shù)是一種較為可行的解決思路。這里嘗試給出以下的設計實(shí)現方式。在該方式中，利用虛擬化備份技術(shù)（本地虛擬化化，或云虛擬化）來(lái)實(shí)現對業(yè)務(wù)系統操作系統、業(yè)務(wù)軟件、數據庫的整機虛擬化備份。然后在虛擬化備份上進(jìn)行補丁加固并驗證其對業(yè)務(wù)運行的安全影響。整個(gè)驗證流程可以分成以下六個(gè)步驟：步驟1：威脅漏洞管理平臺向補丁加固驗證系統下發(fā)驗證任務(wù)；步驟2：補丁加固驗證系統對業(yè)務(wù)系統進(jìn)行鏡像仿真，仿真后在鏡像系統上進(jìn)行補丁加固；步驟3：威脅漏洞管理平臺向漏洞掃描系統下發(fā)補丁加固重驗證任務(wù)；步驟4：漏洞掃描系統對補丁加固驗證系統上的加固后鏡像進(jìn)行漏洞掃描并向威脅漏洞管理平臺反饋掃描結果；步驟5：威脅漏洞管理平臺根據驗證結果向補丁加固驗證系統發(fā)出刪除鏡像恢復初始指令。整體的流程如圖2所示。以上方式在實(shí)際實(shí)現中還有若干問(wèn)題需要考慮并解決。這些問(wèn)題包括：

　�。�1）由于企業(yè)和組織的業(yè)務(wù)環(huán)境不盡相同，涉及業(yè)務(wù)主機、操作系統、業(yè)務(wù)軟件、數據庫、中間件等軟硬件。因此需要考慮補丁加固驗證系統對業(yè)務(wù)系統進(jìn)行鏡像仿真的支持情況。此外如果業(yè)務(wù)系統龐大，則還需考慮仿真系統的仿真容量和運行性能；

　�。�2）業(yè)務(wù)系統的正常運行不僅是業(yè)務(wù)軟硬件還涉及業(yè)務(wù)數據流。因此僅仿真操作系統、業(yè)務(wù)軟件和后臺數據庫等并進(jìn)行加固并不能模擬業(yè)務(wù)運行的真實(shí)情況；

　�。�3）一般情況下，對業(yè)務(wù)流的真實(shí)仿真較難實(shí)現，因此對于需要考慮業(yè)務(wù)安全并穩定運行的全面驗證測試情況下，仍需要考慮如何引入表征真實(shí)應用訪(fǎng)問(wèn)的數據流進(jìn)行測試。在引入業(yè)務(wù)流的在實(shí)際情況下，可能涉及到企業(yè)和組織內部的多個(gè)部門(mén)，并需要進(jìn)行多部門(mén)的溝通和協(xié)調。

　　5結束語(yǔ)

　　信息安全漏洞是駭客攻擊利用的主要對象之一，因此建設并實(shí)現漏洞安全管理是信息安全管理體系中重要的內容之一。信息安全業(yè)界目前對漏洞管理已形成一致的看法，即漏洞管理不僅需要常規的安全掃描，還需要嵌入資產(chǎn)管理、業(yè)務(wù)安全關(guān)聯(lián)分析、運維度量并結合最新的安全威脅情報和可行的補丁加固與驗證環(huán)節與內容最終形成一個(gè)整體統一的威脅漏洞閉環(huán)管理。但是在具體實(shí)現中還存在一些具體的技術(shù)實(shí)現難題，我們仍還需要繼續對其進(jìn)行關(guān)注，開(kāi)展廣泛的理論研究和實(shí)踐。

【信息安全漏洞閉環(huán)管理探討論文】相關(guān)文章：

閉環(huán)管理承諾書(shū)12-07

職稱(chēng)檔案信息化建設探討論文12-11

信息安全管理論文06-20

信息安全管理論文11-10

閉環(huán)管理承諾書(shū)（精選13篇）11-23

閉環(huán)管理承諾書(shū)（精選14篇）11-27

閉環(huán)管理承諾書(shū) 15篇10-06

小學(xué)班級管理中情感教育探討論文11-18

企業(yè)電子商務(wù)風(fēng)險管理的探討論文10-14

信息安全管理論文(通用)06-14