◆倪浩杰
(江苏省国际信托有限责任公司 江苏 210000)
随着互联网在社会各领域的广泛应用,企事业单位及各经济组织的网络问题受到高度关注。网络安全风险评估就是从风险管理角度,识别组织内部信息资产,全面地分析资产脆弱性,系统排查面临的威胁,综合评估组织的网络安全风险,为最大限度地保障信息安全提供科学依据。漏洞扫描器就是风险评估的重要工具。
漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定目标的脆弱性进行检测,发现可利用漏洞的一种安全检测设备。漏洞扫描器包括网络漏扫、主机漏扫、数据库漏扫等不同种类。网络漏洞扫描器可以根据不断完善的漏洞资料库,检测分析组织中工作站、服务器、数据库、防火墙等的漏洞,提出漏洞解决方案和修复建议,使得网络安全员能及时修复安全漏洞,在黑客攻击前进行防范,做到防患于未然。
当前市场上的漏洞扫描器,按照预先扫描任务,通过主机扫描、端口扫描、指纹库识别等技术手段,可有效发现组织内部漏洞,但它也存在不少问题。风险评估要综合资产、脆弱性和威胁三因素,漏洞扫描器一方面仅仅机械地执行用户设置的单项扫描任务,它没有组织整体的资产视角,割裂了资产、脆弱性和威胁三者之间的联系,为此不能评价组织面临的整体风险;二是漏洞扫描器漏洞发现功能强大,漏洞扫描效果较好,一般不具备漏洞处置功能。为此漏洞扫描器适合安全测评、安全咨询公司使用。企事业单位关心漏洞的发现,更关心漏洞消除和修复,以及漏洞处置过程的记录与留痕,以备后期信息审计。为此,漏洞扫描器不能满足现今企事业单位的需求,一种新型的漏洞管理工具呼之欲出。
漏洞管理按照生命周期,分为漏洞发现、漏洞处置、漏洞消除三个阶段。漏洞发现严重依赖清晰的资产清单,为了更有效地预警组织网络安全风险,资产漏洞风险实时展示也显得尤为重要,因此基于生命周期的新型漏洞管理平台就包括资产识别、漏洞发现、漏洞处置、漏洞消除和资产风险可视化五大模块,系统框图见图1。
图1 基于生命周期的新型漏洞管理平台系统框图
资产作为衍生出脆弱性的母体、威胁的作用对象,使得资产识别成为风险评估工作的重要环节。资产识别模块采用扫描技术发现资产,参考BS7799 和GB/20984 等标准,对识别资产进行分类,结合组织实际按业务类型、使用部门、等级划分、设备种类等要素标识资产,形成组织资产清单。
组织资产导入漏洞发现模块,利用主机、端口扫描等扫描技术发现组织内部漏洞。为了降低该模块的误报率,引入漏洞验证插件,筛选出真实漏洞,形成漏洞报告,发送漏洞处置模块,以待进一步处理(图2)。
漏洞处置模块是新型漏洞管理平台的核心,也是当前市场上漏洞扫描器所没有的功能模块。有部分漏洞管理平台有漏洞处置模块,但大部分仅作分发和验证,功能相对简单。漏洞处置模块工作流程有接受漏洞报告、漏洞验证、漏洞评估、漏洞修复方案制定、漏洞修复方案测试和漏洞修复方案部署6 个环节。
图2 漏洞发现模块工作流程
5.3.1 接受漏洞报告
接受漏洞报告是漏洞处置工作的流程起点。
5.3.2 漏洞验证
该模块的漏洞验证功能有别于漏洞发现模块中的漏洞验证。后者侧重于漏洞扫描阶段的漏洞误报消除,前者侧重于开发、配置等层面,即漏洞是否存在、漏洞可否复现以及漏洞利用的难易程度等,从而为漏洞评估提供依据。
5.3.3 漏洞评估
漏洞评估根据资产重要性、资产暴露情况、已有保护措施、漏洞评级、漏洞能否修复,结合实际业务需要、修复时间、消除成本等因素,制定漏洞修复清单和优先级排序表。对于不能修复的漏洞,做好补救措施,接受风险。对于不能修复的漏洞,不予处置,忽略风险。
5.3.4 漏洞修复方案制定
业务系统负责人根据漏洞报告,确定漏洞层面,分发漏洞处理人。若漏洞是由代码问题产生,分发给开发人员制定漏洞修复方案。若漏洞是属于配置问题,直接分发给运维人员制定漏洞修复方案。
5.3.5 漏洞修复方案测试
运维人员按照漏洞修复方案测试漏洞修复方案的有效性。
5.3.6 漏洞修复方案部署
漏洞修复方案测试验证后,由运维人员部署到生产环境(图3)。
图3 漏洞处置模块工作流程
漏洞处理模块处理结束后,流转到漏洞消除模块。由网络安全管理员,对漏洞进行复检,检查漏洞修复情况。确认漏洞修复后,记录漏洞处置要素,最后消除漏洞,关闭流程(图4)。
图4 漏洞消除模块工作流程
资产风险可视化模块,将采集资产、漏洞发现、漏洞处置和漏洞消除等数据,通过算法加工计算,直观在展示组织资产风险,实时投射在监控大屏上,实现风险管理的可视化。