安全漏洞帶來的挑戰(zhàn)

??? 隨著國(guó)家信息安全" title="信息安全">信息安全風(fēng)險(xiǎn)評(píng)估和國(guó)家安全等級(jí)保護(hù)工作的逐步展開和深入，信息安全建設(shè)和評(píng)估工作在一些行業(yè)中正在緊張地進(jìn)行中。在實(shí)際的網(wǎng)絡(luò)安全建設(shè)過程中，都會(huì)涉及到安全漏洞的風(fēng)險(xiǎn)分析及管理，也就再所難免的會(huì)涉及到漏洞檢測(cè)" title="漏洞檢測(cè)">漏洞檢測(cè)類產(chǎn)品的選型及部署。但是我們發(fā)現(xiàn)，在網(wǎng)絡(luò)安全建設(shè)中使用的傳統(tǒng)漏洞檢測(cè)類產(chǎn)品，由于只能單單完成檢測(cè)而不能實(shí)現(xiàn)真正意義上的漏洞修復(fù)和管理，已經(jīng)不能滿足日益變化的安全漏洞形勢(shì)。在進(jìn)行安全建設(shè)的過程中需要一套有效的管理機(jī)制并通過一定安全技術(shù)手段輔助自動(dòng)完成整個(gè)過程，才能有效地對(duì)漏洞進(jìn)行動(dòng)態(tài)地管理，實(shí)現(xiàn)對(duì)漏洞風(fēng)險(xiǎn)管理" title="風(fēng)險(xiǎn)管理">風(fēng)險(xiǎn)管理的閉環(huán)。

安全漏洞的管理方式

??? 目前，從技術(shù)和管理兩個(gè)角度來看，漏洞問題已經(jīng)有了較為成熟的解決方案。漏洞管理就是這樣一套能夠有效避免由漏洞攻擊導(dǎo)致的安全問題的解決方案，它從漏洞的整個(gè)生命周期著手，在周期的不同階段采取不同的措施，是一個(gè)循環(huán)、周期執(zhí)行的工作流程。一個(gè)相對(duì)完整的漏洞管理過程包含以下步驟：

1.對(duì)用戶網(wǎng)絡(luò)中的資產(chǎn)進(jìn)行自動(dòng)發(fā)現(xiàn)并按照資產(chǎn)重要性進(jìn)行分類；

2.自動(dòng)周期性地對(duì)網(wǎng)絡(luò)資產(chǎn)的漏洞進(jìn)行評(píng)估并將結(jié)果自動(dòng)發(fā)送和保存；

3.采用業(yè)界權(quán)威的分析模型對(duì)漏洞評(píng)估的結(jié)果進(jìn)行定性和定量的風(fēng)險(xiǎn)分析，并根據(jù)資產(chǎn)重要性給出可操作性強(qiáng)的漏洞修復(fù)方案；

4.根據(jù)漏洞修復(fù)方案，對(duì)網(wǎng)絡(luò)資產(chǎn)中存在的漏洞進(jìn)行合理的修復(fù)或者調(diào)整網(wǎng)絡(luò)的整體安全策略進(jìn)行規(guī)避；

5.對(duì)修復(fù)完畢的漏洞進(jìn)行修復(fù)確認(rèn)；

6.定期重復(fù)上述步驟1-5。

?? ?漏洞管理能夠?qū)︻A(yù)防已知安全漏洞的攻擊起到很好的作用，做到真正的“未雨綢繆”。相對(duì)于傳統(tǒng)的漏洞掃描產(chǎn)品而言，漏洞管理產(chǎn)品能夠?yàn)橛脩魩砀嗟膬r(jià)值。

?? ?漏洞管理產(chǎn)品從漏洞生命周期出發(fā)，提供一套有效的漏洞管理工作流程，實(shí)現(xiàn)了由漏洞掃描到漏洞管理的轉(zhuǎn)變，實(shí)現(xiàn)了“治標(biāo)”到“治本”的飛躍。

??? 通過漏洞管理產(chǎn)品，集中、及時(shí)找出漏洞并詳細(xì)了解漏洞相關(guān)信息，不需要用戶每天去關(guān)注不同廠商的漏洞公告，因?yàn)楦鱾€(gè)廠商的漏洞公告不會(huì)定期發(fā)布，即使發(fā)布了漏洞公告絕大多數(shù)用戶也不能夠及時(shí)地獲得相關(guān)信息。

通過漏洞管理產(chǎn)品將網(wǎng)絡(luò)資產(chǎn)按照重要性進(jìn)行分類，自動(dòng)周期升級(jí)并對(duì)網(wǎng)絡(luò)資產(chǎn)進(jìn)行評(píng)估，最后自動(dòng)將風(fēng)險(xiǎn)評(píng)估結(jié)果自動(dòng)發(fā)送給相關(guān)責(zé)任人，大大降低人工維護(hù)成本。

??? 漏洞管理產(chǎn)品根據(jù)評(píng)估結(jié)果定性、定量分析網(wǎng)絡(luò)資產(chǎn)風(fēng)險(xiǎn)，反映用戶網(wǎng)絡(luò)安全問題，并把問題的重要性和優(yōu)先級(jí)進(jìn)行分類，方便用戶有效地落實(shí)漏洞修補(bǔ)和風(fēng)險(xiǎn)規(guī)避的工作流程，并為補(bǔ)丁管理產(chǎn)品提供相應(yīng)的接口。

??? 漏洞管理產(chǎn)品能夠提供完整的漏洞管理機(jī)制，方便管理者跟蹤、記錄和驗(yàn)證評(píng)估的成效。

分布式漏洞管理方案

??? 綠盟科技極光遠(yuǎn)程安全評(píng)估" title="安全評(píng)估">安全評(píng)估系統(tǒng)（V5）之漏洞管理系列產(chǎn)品，基于最新“漏洞管理”工作流程，把漏洞管理的循環(huán)過程劃分為漏洞預(yù)警、漏洞檢測(cè)、風(fēng)險(xiǎn)管理、漏洞修復(fù)、漏洞審計(jì)五個(gè)階段，在國(guó)內(nèi)首創(chuàng)了Open VM工作流程平臺(tái)。基于這個(gè)開放平臺(tái)，極光將漏洞管理理念貫穿于整個(gè)產(chǎn)品實(shí)現(xiàn)過程，實(shí)現(xiàn)了Open VM的絕大部分過程；同時(shí)，極光產(chǎn)品通過多種二次開發(fā)接口與其他安全產(chǎn)品協(xié)作來完全實(shí)現(xiàn)Open VM的整個(gè)工作流程。

對(duì)于電信運(yùn)營(yíng)商、金融、政府、軍工、電力以及一些規(guī)模較大的傳統(tǒng)企業(yè)，由于其組織結(jié)構(gòu)復(fù)雜、分布點(diǎn)多、數(shù)據(jù)相對(duì)分散等原因，采用的網(wǎng)絡(luò)拓?fù)浣Y(jié)果大多為樹形拓?fù)浠蛘呋旌闲屯負(fù)洹?duì)于一些大規(guī)模和分布式網(wǎng)絡(luò)用戶建議使用分布式部署方式。在大型網(wǎng)絡(luò)中多臺(tái)極光系統(tǒng)共同工作時(shí)，極光的分布部署支持能力可以使得各系統(tǒng)間的數(shù)據(jù)能共享并匯總，方便用戶對(duì)分布式網(wǎng)絡(luò)進(jìn)行集中管理。同時(shí)通過與WSUS補(bǔ)丁服務(wù)器的聯(lián)動(dòng)，能夠自動(dòng)的進(jìn)行漏洞修復(fù)。極光支持用戶進(jìn)行兩級(jí)和兩級(jí)以上的分布式、分層部署。使用兩級(jí)分布式部署結(jié)構(gòu)拓?fù)淙缦聢D所示：

?

?????????????

分布式部署的漏洞掃描網(wǎng)絡(luò)如果不能按照合理的工作流程使用，將可能會(huì)收效甚微。綠盟科技建議在漏洞掃描過程中啟用面向漏洞管理的工作流程，并在實(shí)際使用過程中逐步完善：

將資產(chǎn)與風(fēng)險(xiǎn)相結(jié)合

對(duì)所有信息資產(chǎn)設(shè)備進(jìn)行資產(chǎn)的風(fēng)險(xiǎn)管理。通過資產(chǎn)管理" title="資產(chǎn)管理">資產(chǎn)管理與用戶組織結(jié)構(gòu)或網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的緊密結(jié)合，掌握風(fēng)險(xiǎn)分布情況、定位風(fēng)險(xiǎn)，以實(shí)施風(fēng)險(xiǎn)降低或規(guī)避措施。

掃描策略管理

在明確了虛擬掃描網(wǎng)絡(luò)中涉及的漏洞管理的資產(chǎn)范圍之后，需要進(jìn)一步明確漏洞掃描策略和漏洞掃描周期。

在信息資產(chǎn)管理的基礎(chǔ)上，需要對(duì)不同的信息資產(chǎn)定義不同的安全策略，根據(jù)信息資產(chǎn)的設(shè)備類型、應(yīng)用類型、重要程度的不同來定義不同掃描策略（或者采用極光的自動(dòng)模板匹配功能）。針對(duì)不同的信息資產(chǎn)組定義極光的定時(shí)升級(jí)、定時(shí)掃描的周期、臨時(shí)檢測(cè)策略和結(jié)果自動(dòng)發(fā)送等相關(guān)策略（如對(duì)重要的網(wǎng)絡(luò)資產(chǎn)需要兩周甚至每周進(jìn)行定時(shí)掃描并將相應(yīng)的結(jié)果發(fā)送給對(duì)應(yīng)資產(chǎn)的管理人員，每季度對(duì)網(wǎng)絡(luò)中的資產(chǎn)進(jìn)行臨時(shí)抽檢）。

漏洞掃描和漏洞分析

在執(zhí)行掃描任務(wù)之前需要首先明確掃描網(wǎng)絡(luò)中不同設(shè)備的角色：

部署在總部掃描管理節(jié)點(diǎn)主要用來對(duì)總部的信息資產(chǎn)進(jìn)行定時(shí)周期性掃描（每?jī)芍芑蛎恐埽?

部署在分支的掃描子節(jié)點(diǎn)主要用來對(duì)分支的信息資產(chǎn)進(jìn)行定時(shí)周期性掃描（每?jī)芍芑蛎恐埽?

漏洞分析需要明確報(bào)告發(fā)送策略，制定不同的掃描設(shè)備在虛擬掃描網(wǎng)絡(luò)中的角色和掃描結(jié)果自動(dòng)上傳分析策略。

漏洞修補(bǔ)和驗(yàn)證

在漏洞掃描結(jié)果基礎(chǔ)上需要對(duì)網(wǎng)絡(luò)資產(chǎn)存在的漏洞風(fēng)險(xiǎn)進(jìn)行綜合的分析，主要從資產(chǎn)的重要性、漏洞的危害、漏洞對(duì)資產(chǎn)的威脅三個(gè)角度進(jìn)行綜合衡量，然后制定漏洞修補(bǔ)方案。

漏洞修補(bǔ)的工作可以由人工操作打補(bǔ)丁、人工安全配置增強(qiáng)、補(bǔ)丁管理系統(tǒng)自動(dòng)分發(fā)安裝（通過將極光與WSUS聯(lián)動(dòng)自動(dòng)完成補(bǔ)丁修復(fù)）等方式來完成。

在漏洞修補(bǔ)之后，通過極光掃描設(shè)備所特有的漏洞管理功能對(duì)漏洞進(jìn)行修補(bǔ)有效性的驗(yàn)證。

結(jié)束語(yǔ)

每年都有數(shù)以千計(jì)的網(wǎng)絡(luò)安全漏洞被發(fā)現(xiàn)和公布，再加上攻擊者手段的不斷變化，用戶的網(wǎng)絡(luò)安全狀況也在隨著被公布安全漏洞的增加在日益嚴(yán)峻。因此，安全評(píng)估對(duì)于絕大多數(shù)用戶都是不容忽視的，用戶必須比攻擊者更早掌握自己網(wǎng)絡(luò)安全漏洞并且做好適當(dāng)?shù)男扪a(bǔ)，才能夠有效地預(yù)防入侵事件的發(fā)生。

依托國(guó)內(nèi)最權(quán)威的中文漏洞知識(shí)庫(kù)和已在國(guó)際上享有盛名的綠盟科技安全研究機(jī)構(gòu)，極光遠(yuǎn)程安全評(píng)估系統(tǒng)漏洞管理系列近期通過了西海岸實(shí)驗(yàn)室的國(guó)際權(quán)威認(rèn)證，成為國(guó)際領(lǐng)先的六家漏洞管理產(chǎn)品之一，它能夠定期和持續(xù)地給用戶提供可靠的安全評(píng)估服務(wù)，并且提供完整的漏洞管理機(jī)制；能夠有效地降低用戶網(wǎng)絡(luò)風(fēng)險(xiǎn)，更大限度地保證用戶網(wǎng)絡(luò)安全性和穩(wěn)定性。