◆王志勇
基于风险评估的企业内网漏洞管理技术研究
◆王志勇
(中国空空导弹研究院 河南 471009)
随着企业业务模式向数字化、网络化、智能化方式的快速转变,信息化与工业化已深度融合,对企业内网安全提出了较高要求。企业网络存在安全漏洞,是信息技术自身必存的。及时修复安全漏洞是确保企业内网信息安全的关键措施。根据企业内网的实际情况,分析了安全漏洞的由来、漏洞发现的途径,提出了基于风险评估理论的漏洞管理过程,建立了自动化和人工相结合的漏洞修复工具和管理平台,保障了企业内网各系统的安全运行。
安全漏洞;风险评估;漏洞修复
安全漏洞是计算机信息系统软硬件自身和使用过程中存在的脆弱性,脆弱性被攻击者利用对信息和信息系统的保密性、完整性或可用性造成损坏,从而影响信息系统及其服务的正常运行[1]。近几年来不断发生的重大网络安全事件,多为黑客或内部人员、恶意软件利用信息系统存在的安全漏洞攻击所致。如2010年发生的“震网”病毒导致伊朗核电站处理装置损毁;2016年美国域名服务器遭受恶意软件攻击导致东海岸地区多家网站宕机;2017年包括中国、俄罗斯等国在内的全球许多国家收到“永恒之蓝”勒索病毒软件攻击,导致大量信息系统无法提供服务。安全漏洞的大量出现和快速增长是信息系统安全形势严峻的重要原因之一。几乎所有成功的攻击者都是利用著名的漏洞,而且是在已经存在补丁保护的情况下[2],未及时利用补丁修复漏洞。
随着信息化和工业化的深度融合以及中国制造2025、工业4.0等智能制造技术在企业研发、生产、管理等环节的全面应用,信息技术已经从传统的信息系统应用扩展到工业控制系统各个组成,支撑企业的网络已经有信息网扩展到工业互联网,网络系统日趋复杂,系统种类越来越多,导致系统存在的安全漏洞点越来越多。
企业内网运行系统运行的业务系统多而复杂,很多系统已经运行多年,均采用更新补丁方式可能对系统的运行安全造成新的安全隐患。本文结合企业这一情况,采用风险评估方法,对发现的通用漏洞进行评估,按照对业务的影响度采取不同的处理办法。
企业内网一般由四部分组成,如图1所示:硬件设备层、操作系统层、数据库管理系统/中间件/web应用层、应用软件层。同时,保持企业内网作为一个系统安全需要,还需要有相关的管理制度、策略及操作来保障。
企业内网的四个组成部分一般要经历需求、设计、实现、部署、配置与运行等环节,由于人类认知水平的局限性和系统的复杂性,每个环节都会存在一定的瑕疵、缺陷。这些缺陷就是企业内网存在的漏洞,亦称脆弱性。
图1 企业内网组成图
漏洞是由于企业内网中的软件研发、硬件开发未能全盘考虑整个系统中的使用情形,未能充分考虑各种可能的输入、输出以及各种操作情况的处理而造成的。企业内网的各个组成部分和内网的管理服务流程都可能存在。漏洞主要来源于:
(1)操作系统、数据库管理系统、中间件以及应用软件的软件开发阶段
从用户需求分析到部署,任何环节出现问题,就会将问题传递并放大至后续环节,最终导致系统使用中出现问题。
据计算机科学家估计,在每千行软件代码中大约会出现5~29个bug[3]。随着“软件定义”技术的广泛应用和智能化技术的应用,软件代码量越来越大,软件存在漏洞的数量将越来越多。为解决安全运行问题,主要软件供应商均定期发布系统补丁,如:微软公司每月均定期发布自己产品的补丁,出现类似“永恒之蓝”这样影响范围和危害度巨大的漏洞问题,会紧急发布解决方案和软件补丁。
(2)计算机、网络设备等硬件开发阶段
计算机、网络设备包含硬件和固件,固件中安装驱动硬件的各种程序、专用系统。漏洞来源于硬件和固件中的程序存在的缺陷。近年来,出现了多起CPU、DSP芯片出现的安全漏洞,尤其是2017年底,Intel处理器重大安全漏洞被曝光。
(3)系统配置不当
操作系统、应用系统授权宽泛,未关闭非必需的服务;防病毒软件、防火墙等安全产品配置不当,造成病毒、恶意代码或者其他攻击者利用配置漏洞对企业内网进行攻击,导致数据破坏、信息服务宕机等安全事件。
(4)策略、管理流程方面
策略与企业内网面临的安全形势不匹配,未及时调整,管理流程存在漏洞不能保证安全措施落地执行。
采用人工和自动化技术相结合的方式,在对企业内网信息资产形成清单的基础上,发现企业内网存在的安全漏洞,形成漏洞清单。漏洞识别主要有三种途径:
(1)部署专用漏洞扫描工具
通过企业内网部署国家有关部门认可的漏洞扫描工具,在梳理企业信息资产形成清单的基础上,对扫描对象、范围等参数进行设置,每月或每季度对全网进行扫描,发现企业内网存在的漏洞。按照扫描对象,漏洞扫描工具可分为普通的漏洞扫描工具和针对web应用系统的web漏洞扫描工具。
(2)关注国家互联网应急中心、国家保密局等官方机构发布的信息安全通报
专用漏洞扫描工具特征库更新由各扫描工具供应商维护,有一定的滞后性。针对重、特大安全漏洞,国家互联网应急中心、国家保密局等官方机构将及时发布安全通报,提出安全应对措施。企业安排专人及时从官方网站、渠道搜集相关信息。
(3)定期开展安全审计
通过企业建立的信息服务平台,收集企业内网各系统运行数据、用户提出的问题,分析系统是否存在影响安全运行的漏洞。
按照合规性要求,审计企业内网各系统的安全防护情况、运行维护情况,确认是否存在信息安全漏洞。
基于风险评估方法,根据漏洞对信息资产的威胁程度来确定漏洞的危害程度,确定漏洞修复次序。
业务系统的安全风险取决于其面临的威胁、漏洞被威胁利用的复杂度、漏洞的影响程度[1]。同一个漏洞,对不同的业务系统有不同的安全风险。利用复杂度是指在系统现有防护措施环境下漏洞被利用的难易程度,影响程度是指安全漏洞被利用后对业务系统造成的保密性、完整性和可用性方面问题的严重程度。
作为与国际互联网隔离的企业内网中,各系统面临的威胁基本上是相同的,由于防护措施的不同、业务的重要程度的不同,对业务造成的风险大小程度不同。基于此,我们对企业内网漏洞的危害性评估采取如下办法:
(1)现有安全防护措施评估
在形成漏洞清单的基础上,针对存在漏洞的信息资产,逐项分析其现有安全防护措施的有效性,评判漏洞被利用的复杂度。复杂度越大,漏洞被利用的可能性越小。
(2)评估漏洞对每个资产的影响程度
从假定漏洞被利用后,对信息资产在保密性、完整性和可用性三方面的危害度进行分析。一般采取百分制,其中保密性1~40,完整性1~30,可用性1~30。
经过上述两步工作,可以确定每个漏洞在企业内网可被利用的可能性和对信息资产的危害度。在基础上,首先按照对信息资产的危害程度对漏洞排序、再按照漏洞被利用难易程度进行排序,形成漏洞修复顺序表,明确哪些漏洞需要立即修复,哪些可以延迟或忽略。
参照ITIL框架,将漏洞修复纳入企业信息服务台流程管理,流程如图2所示:
(1)针对高危风险级别的漏洞,在信息服务平台中形成事件,安排人员处理;
(2)制定漏洞修复及系统变更方案。
更新补丁是修补漏洞最有效的方式。从操作系统、数据库系统等系统供应商官方获取系统补丁,对系统进行升级更新。对于自行或委托开发的应用软件,需要针对存在的漏洞开发补丁程序对软件进行更新。
对于由于影响系统的可用性或者无法更新补丁的系统,可采取如下两种方式:在不影响系统可用性的条件下,关闭存在漏洞的系统服务;通过在服务器边界部署防火墙、安全网关等安全产品,控制存在漏洞的服务访问范围,减少被攻击的风险。
漏洞修复及变更方案一定确保系统的可用,可采取如下步骤:
(1)获取/开发系统补丁
每月定期从操作系统、数据库管理系统等供应商官方网站获取其发布的系统补丁。对于自行或委托有关厂商定制开发的系统,组织力量分析安全漏洞,制定漏洞修复方案,进行补丁开发。对于系统配置、策略方面的漏洞,设计配置变更、策略变更方案。
图2 漏洞修复流程
(2)系统变更申请
开展修复漏洞引起的系统变更影响性分析,分析其影响范围、后果以及需要开展的验证工作。
(3)验证补丁
建立与在用业务系统相同的测试环境,更新补丁,测试更新过程以及对系统可用性的影响。同时,利用漏洞扫描工具对修复后的测试系统进行扫描,确认是否达到预期目标。
(4)发布补丁
通过验证、可以使用的补丁发布至软件配置管理系统,对更新程序统一管理。
①执行变更
普通用户终端可通过补丁更新系统实现操作系统、办公软件补丁的自动更新。
服务器操作系统、数据库系统、Web应用服务等服务器端服务,应在确认数据、系统备份完备的基础上,采用人工方式更新补丁,以保证系统更新过程可控,确保在用系统的可用性、可恢复。
②扫描修复情况
启动漏洞扫描工具软件,对采取修复措施的系统进行扫描,根据扫描结果判断系统漏洞是否已修复。若修复到位,关闭事件处理流程。若仍然存在漏洞,需要重复(2)~(4)步骤,直到漏洞修复到位。
依据国家网络安全法规、标准要求和企业信息化运行需要,通过信息化、自动化的手段实现企业内网漏洞发现、修复以及修复后的监控,实现漏洞的全过程管理,降低企业内网的安全风险。具体实现过程如下:
选择启明星辰公司的漏洞扫描工具作为发现企业内网服务器、计算机终端、网络打印机、数据库系统、应用系统等对象漏洞的主要工具,同时为提高对web应用漏洞的发现能力,部署了安恒公司的web漏扫专用工具,提升web应用漏洞的发现能力。按照保密法规要求,每月定期对内网进行扫描,自动形成漏洞清单。
同时,通过部署安全管理平台,将漏洞扫描工具发现的漏洞进行统一管理。
企业开发了网络化的信息服务平台,实现信息服务的流程化。将漏洞修复过程纳入该平台进行统一管理。
部署软件配置管理系统对各系统技术状态和验证后补丁进行管理,由配置管理员负责软件、补丁的出入库。并通过运维堡垒机等技术措施控制服务器及其运行的操作系统、数据库系统等系统补丁的更新。
根据企业内网情况,先后建立了基于北信源主机监控与审计系统、微软WSUS3.0(Windows Server Update Services)的补丁分发平台,分别实现Windows XP/ Windows Server2003、Windows 7以上系统补丁的自动更新。
漏洞管理关系企业内网的安全,修复漏洞是解决漏洞引起安全风险的根本措施。由于企业内网对象多、系统多,修复所有漏洞不仅成本高,也很难实现。采用风险评估法,找出风险较高的业务单元,按照风险等级和企业可以承受的风险,对漏洞进行排序修复。对于新部署的系统,在部署之前可以通过更新补丁将已发现的漏洞修复到位,降低业务系统的安全风险。随着时间的推移,新的漏洞会不断被发现,更新补丁可能对已在用系统的运行有一定影响。为减少修复漏洞对企业内网可用性的影响,一定要建立测试环境,制定系统回退方案,验证修复措施的有效性。但要减少补丁对系统的影响,需要进一步规范系统开发,降低各应用系统与其运行平台的耦合度、应用系统内部不同模块间的耦合度。
[1]刘奇旭,张翀斌,张玉清等.安全漏洞等级划分关键技术研究[J].通信学报,2012.
[2]华镕,华夏.制造区计算机补丁更新的重要性[J].中国仪器仪表,2012.
[3]华镕.漏洞管理一:了解漏洞管理的需求[J].中国仪器仪表,2015.