企業安全漏洞管理初探

◆劉海南

企業安全漏洞管理初探

◆劉海南

（廣西壯族自治區交通運輸信息管理中心 廣西 530000）

近年來各種安全漏洞層出不窮，危害程度逐級增加，對于已實現信息電子化的企業而言，無論外網系統或內網系統均面臨著嚴峻的安全威脅。本文重點講述的是在遵循漏洞生命周期環境下，如何高效地、科學地管理漏洞，將著重從技術和管理兩方面進行敘述。

漏洞；生命周期；管理思路

1 背景介紹

在安全漏洞滿天下的信息時代，由于互聯網的普及，普通人能獲取漏洞信息的條件越來越容易，網絡攻擊也變得似一鍵觸發那樣簡單。對于企業而言，特別為中小企業，當受到網絡攻擊時，往往只能尋求專業的安全公司做應急響應，對于漏洞應對措施大體為發現一個修補一個，沒有對漏洞進行有效監控和管理，讓企業長期處于危險之中。

如何有效地、科學地管理好漏洞，成為眾多企業負責網絡安全領導特別關心的事，也是傳統網絡管理人員需要格外學習的方法和技術，不然未來的哪一天，可能就會因為一個安全漏洞導致企業信息泄露。

2 現狀

漏洞是客觀存在的，是IT系統軟件和硬件自身存在的缺陷，黑客能夠在非授權的情況下對IT系統的機密性、完整性、可用性造成不同程度的破壞，最終給企業和個人造成無法挽回的損失。傳統企業中，諸多網絡使用者非專業的IT安全從業者出身，缺乏安全意識，對企業信息安全并不關心，對安全問題也不重視。即便關心也無處下手，常用的應對措施如前文提到的那樣，發現一個漏洞修補一個漏洞，并沒有對漏洞進行科學有效管理。

3 信息資產

概念及意義：

信息資產是一個知識體系，作為一個單一的實體來組織和管理，本文中指的信息資產是狹義的，所指的是人員、文檔、辦公終端、服務器、門戶網站等。

在漏洞管理中，我們引入生命周期，漏洞的生命周期如圖1：

圖1 安全漏洞生命周期

生命周期指一個對象的出現到消亡。本文中漏洞的生命周期從產生→發現→公開→管理→消亡，經過了漏洞潛伏期、漏洞公開期、漏洞識別期、漏洞處置期四個階段。

在漏洞管理中，信息資產的完整性收集是整個漏洞管理的第一步。古話說知己知彼，方能百戰不殆，若企業連自己有幾臺服務器等信息資產都不清楚，那從何談起還要維護它的安全。

4 資產收集

4.1人工梳理

網絡管理員都會有一份資產清單，詳細記錄了資產的設備名稱、IP地址、物理地址、端口及服務、系統及應用的版本信息和管理員聯系方式等，甚至還有一份寫有設備登錄賬號口令的清單。這些資產信息是在系統建設初期和長期維中逐漸形成的，信息安全人員若要對企業資產進行梳理，只需問網絡管理員提供即可。

當然也會存在有企業的資產清單中信息不齊全的情況，有些只記錄了IP地址和物理地址等簡單信息，網絡拓撲等信息都是很久之前老的版本。因此，我們需要采用工具來解決這個問題。

4.2工具收集

工具收集是輔助人工梳理資產的手段之一，本文推薦一款開源免費的網絡掃描和主機檢測的工具，可以在百度中搜索“Nmap”就能下載到，也有很多詳細的使用教程，本文則簡單舉例：

（1） 主機發現，意義在于檢測網絡中主機的存活，可在WINDOWS下用CMD命令Nmap –A 192.168.1.0/24檢測該C網段；

（2） 端口發現，意義在于檢測目標主機開放了哪些服務端口，可用CMD命令Nmap –p 1-65535 –Pn 192.168.10.1來實現（1和2可寫成一條命令）。

服務器版本探測，若不想登錄到服務器上查看版本?？捎妙愃苭hatweb或Nmap這樣開源的Web應用程序指紋識別工具來探測，簡單舉例：

（1） 服務器版本探測，可用Nmap來實現，Nmap –sV –p 1-65535 10.0.10.1或者指定端口、添加IP段或列表；

（2） 網站中間件的探測，可用whatweb來探測，命令whatweb www.123.com或者跟著檢測列表。

4.3比對整合

前文列舉的人工梳理和工具協助收集的辦法，將兩個途徑獲取的信息進行比對，信息不一致找系統管理員確認，如此方法一般就能基本摸清楚企業資產的信息。若有條件，大可以用python等主流的語言編寫一些探測工具，將這些方法固化下來。

比對完成之后將全新的資產進行整合，一般用Excel表格記錄即可，也可以采用宏命令來實現對資產的整合。當然，若有資產管理平臺是最好的。

5 漏洞管理

5.1潛伏期

安全漏洞的存在是信息系統在被開發時就存在，只是還未被安全人員發現。同時官方發布的新系統版本也會引入一些新的漏洞，所以漏洞是一直潛伏著，等著被發覺。

5.2公開期

漏洞被發現后，很快就會在官方或者權威的漏洞發布平臺公布出來。漏洞依據危害程度和被利用的難度可分為：危險、高危、中危、低危等級別。漏洞的修復一般是整改、規避或者是接受，應考慮到加固成本，業務影響等因素。

5.3識別期

漏洞識別是漏洞管理的重要一步，安全漏洞識別頻率最好為至少每季度開展一次，通過漏洞掃描工具或滲透測試，分別對服務器、前端Web等信息資產進行漏洞識別。

漏洞掃描工具的漏洞庫應更新為最新版本，根據漏洞庫與設備所開放的端口服務版本及指紋進行匹配；滲透測試過程中可在安全網站上找到新出漏洞的利用代碼，或漏洞poc工具進行檢查。另外一種方式為代碼審計，通過對系統或應用源代碼安全檢測，發現漏洞；最后一個當然是高級安全人員的手工測試。

漏洞識別之后是整理這些安全漏洞，結合信息安全資產進行一對多或多對多等方式進行關聯，將漏洞掃描（識別）報告交給系統管理員處置。

5.4處置期

安全漏洞的處置，第一步是將發現的漏洞進行歸檔管理，從掃描器中導出漏洞報表，因漏洞識別工具的差異性，會存在如.doc、.csv和.html等形式的報告，有些掃描報告不方便直觀閱讀，如采用國外的掃描器，漏洞報告是全英文，還需要人工翻譯成中文，對于漏洞批量管理會存在一定局限性，目前也沒有一個漏洞掃描工具是可關聯前一次的掃描結果。

漏洞掃描結果需要和信息資產進行關聯，所以需要轉化成符合企業實際漏洞管理需要的文檔格式。一般情況下企業采用Excel表格進行儲存和管理，那么需要將各種格式的轉化成一個標準的格式，采用工具或腳本自動化生成就很有必要了。推薦一個好的方法，寫一個宏腳本，根據企業用的掃描工具的報告格式生成一個通用的Excel表。

下面介紹下漏洞管理和漏洞跟蹤：

（1）應用主機漏洞跟蹤管理

圖2為漏洞信息匯總表，該表中應包括資產名稱、IP地址、漏洞信息等等，漏洞處置跟蹤表包括但不限于IP、端口、漏洞等，如圖2與圖3適用于應用主機漏洞管理。

圖2 安全漏洞信息匯總表

圖3 安全漏洞跟蹤表

（2）Web漏洞跟蹤管理

Web漏洞的方式類似于應用主機漏洞跟蹤表，圖4上的字段僅提供了一個參考，表頭的內容根據實際需要而定，統計表的好處在于方便維護，另外一個是方便生成數據透視圖或餅圖、條形圖等。

圖4 Web安全漏洞跟蹤表

最后一步分為三小步來完成，一則為將漏洞發給系統維護人員去修復；二是將反饋的漏洞整改的信息填入表內；三為定期或定量開展復查，確保漏洞已被修復。

5.5人才培養

本文中提到的人才培養，指的是專職安全人員培養和企業內其他員工安全意識的培養。安全是個動態的過程，管理和技術作為有效實現手段，事前有預防、事中有策略、事后可溯源。

作為企業專職安全人員能清楚的分辨漏洞的危害性，對漏洞的處置優先級較為明確，對漏洞管理辦法和一些安全管理的制度建設起到重要作用。加強普通員工的安全意識，避免企業因為安全意識疏忽給系統引入了其他安全漏洞。

5.6管理差距優化

羅馬非一日建成的，企業漏洞管理也是一個從無到有的過程。所以本文的主導思想在于，呼吁企業高層領導重視信息安全，不要忽略一個小的安全漏洞，因為一個小漏洞在適合的場景下有可能演變為一個嚴重的漏洞，科學高效地開展漏洞管理才是硬道理。

對于安全漏洞管理，借助漏洞生命周期和管理的經驗，可以寫成一個漏洞管理系統，系統包括信息資產，漏洞信息等，對已經修復的漏洞、整改超時的漏洞、緊急的漏洞分別進行標記和提醒，漏洞管理系統的字段可參見我們前邊漏出處置的表字段，可采取多線程模式，支持多人同時登錄管理，漏洞信息關聯等等。當企業漏洞管理初見成效時，應及時制定漏洞管理辦法，建立問責機制。

6 結束語

本文重點講述的是漏洞的管理，力求將管理的方法分享給大家，希望對一些還未建立漏洞管理的企業起到拋磚引玉的作用。

最后對如何有效地進行漏洞管理總結如下：

（1） 明確信息資產；

（2） 對漏洞進行跟蹤管理；

（3） 信息安全人才培養，信息安全意識宣貫；

（4） 優化漏洞管理方法、制定安全管理制度。

[1]付俊，馮運波 ,楊光華 ,張峰，粟栗.信息安全漏洞全生命周期管理[J].電信工程技術與標準化，2012.

[2]吳世忠.信息安全漏洞分析回顧與展望[J].清華大學學報(自然科學版)，2009.

[3]蔣誠.信息安全漏洞等級定義標準及應用[J].信息安全與通信保密，2007.