一种多方联动信息系统漏洞应对方案.docVIP

一种多方联动的信息系统漏洞应对方案 　　【摘要】随着信息系统的发展，其中的威胁形式也越来越多样化，漏洞威胁作为其中一种影响范围广、威胁程度高的形式被越来越多地关注。常规的应对漏洞威胁是采用补丁的方式，这样有一定的不足。本文提出一种多方联动的漏洞威胁应对方式，综合利用各方资源，加强信息系统的安全性。 　　【关键词】信息系统；漏洞；多方联动；补丁；监测 　　1引言 　　当前针对漏洞这种安全威胁所采取应对措施的各个环节还相对孤立，没有衔接成为一个整体，漏洞发现、漏洞分析、漏洞补丁的发布等各个部分各自为战，彼此之间缺乏联系，从漏洞发现到最后由此漏洞导致的重要安全威胁被消除，期间的时间跨度较大，使本来就不容乐观的安全形势更加严峻。参与漏洞处理的各个组织之间缺乏有效的交流，漏洞库组织、安全公司、爱好者团体之间交流甚少，甚至故意制造技术壁垒，这也严重影响了漏洞应对的效率。本文提出一种多方联动的漏洞威胁应对方案，旨在提高各种资源的利用率，联合漏洞库、补丁发布组织、安全组织、爱好者团体等漏洞参与环节，缩短从漏洞发现到漏洞应对措施的成功实施的时间。 　　2整体框架 　　当前对漏洞的定义为：在一个信息系统的硬件、软件或固件的需求、设计、实现、配置、运行等过程中有意留下或无意中产生的一个或若干个缺陷，它会导致该信息系统处于风险之中。漏洞所带来的威胁不是来自于漏洞本身，而是由于漏洞所引起的信息泄露、未经授权的访问和篡改等风险。有些漏洞被利用后，攻击者可以绕过安全机制和授权机制，达到其非法入侵的目的。 　　现有技术条件下，对漏洞的发现和研究尚未达到完全自动的程度，主要手段仍是手动测试和构造半自动化的测试程序。同时针对不同的文件格式，其漏洞发现和修补的途径也差异甚大，对网络协议和各种文件格式的漏洞发掘已经取得一部分研究成果，根据补丁前后的文件比对进而对漏洞进行利用的逆向工程技术也日益丰富，由于不同类型的漏洞的处理方法差异较大，也导致了各个组织之间各有所长，在缓冲区溢出、SQL注入、目录遍历、远程代码执行等不同的方面都存在较为擅长的组织。 　　这种情况导致了一批分布于漏洞处理各个领域的研究单位、安全公司、爱好者团体的出现和发展，使这一领域的气氛非常活跃，但是在某种程度上也阻碍了经验的交流和成果的转化。针对这种情况，借鉴现有的杀毒软件的模式，提出一种新的漏洞应对方案，扬长避短，综合各方优势，做到对各种漏洞带来的威胁及时地响应。 　　本方案设计为三个主要的部分：漏洞信息获取、分析和处理；涉及到三个主要的参与方：漏洞信息源、分析中心、最终用户。其中，信息源提供有关漏洞的相关信息，如漏洞的来源，影响的应用程序、系统或者网络协议，漏洞的触发条件，在可能的情况下还要提供漏洞利用的shellcode或者exploit代码等。分析中心负责对信息源提供的漏洞信息进行分类整理，分析其安全威胁等级，所属分类，有无补丁，有无相应的exploit代码，并设置相应的特征码以便发送给最终用户进行威胁应对。用户部分则是根据分析中心得到的特征码匹配网络上收到的信息和本地文件内容，若存在一致的部分，则说明有可能是漏洞利用者故意发送的触发漏洞的代码或者制造的文件，需要提高警惕。 　　本方案的三个部分之间需要交互联系，分析中心从信息源处获得漏洞的信息并综合分析处理，然后将结果送到最终用户，接受最终用户的反馈，最终用户也可在程序或者协议出现异常的时候，将场景保存发送给分析中心，分析中心利用人员和数据量上的优势进行分析处理，同时将此信息分发至各漏洞研究和应对组织，尽量把漏洞堵在未造成危害的状态。其结构示意如图1。 　　3分块功能划分 　　3.1信息源 　　信息源处于整个方案的设计中的最前端，是方案能够正常运行的第一步，从信息源处得到的漏洞信息是原始的数据，在漏洞信息获取的过程中，应当秉持“宁滥勿缺”的原则，尽可能多的搜集各漏洞库的漏洞信息，以交由分析中心进行分析处理。 　　目前相对较大的漏洞库，国外的有美国国家漏洞库（NVD），美国国土安全部的US-CERT Vulnerability Notes Database，开源的Open Source Vulnerability Database，Symantec公司的SecurityFocus Vulnerability Database，VeriSign公司的iDefense Vulnerability Advisories，这些漏洞库大都遵循CVE（Common Vulnerability and Exposures）标准且有各自不同的更新方式，其中的内容详细全面，是很有价值的漏洞库参考。 　　国内的漏洞库主要是中国国家漏洞库、国家安全漏洞库、国家信息安全漏洞共享平台和绿盟公司的绿盟科技漏洞库，这些漏洞库也都更新及时，分