信息安全漏洞闭环管理探讨论文.docVIP

信息安全漏洞闭环管理探讨论文 　　 　　摘要:信息安全漏洞是信息安全中最为常见的威胁之一对于信息安全漏洞威胁的解决通常采用漏洞发现和漏洞修补的方式来解决但在实际中存在诸多的问题本文研究分析了信息安全漏洞在管理上存在的问题分析了当前最新的安全漏洞闭环管理理念并指出了其中一些不足和可行的改进 　　 　　关键词:信息安全；漏洞；管理 　　 　　1绪论 　　 　　在计算机世界漏洞通常是三个因素的交集：即系统的脆弱性或缺陷攻击者可能访问的缺陷以及攻击者利用缺陷的能力[1]在本文中我们主要关注的是IT软件或IT设备中内嵌操作系统应软件编写缺陷而可能被攻击者利用的安全漏洞对于安全漏洞的认识和对其防护企业和组织已不陌生但是在具体实践中仍存在一些实际操作的问题本文将针对国内外安全界针对安全漏洞管理提出的新思路进行研究和分析对其中存在问题进行阐述并提出相应可行的技术应对措施 　　 　　2漏洞管理目前存在的问题 　　 　　国外权威机构、相关国家机构和安全人员对安全漏洞的管理很早就提出了相关的理念流程和管理思路例如ParkForeman将漏洞管理分为漏洞识别、周期性实践分类、修复和减轻安全漏洞[2]ISO组织和美国NIST组织在ISO/IECFIDIS27005：[3]和NISTSP80030[4]标准中亦提出类似的漏洞管理流程但是目前在企业中针对安全漏洞的安全防护和安全管理多采用购买安全厂家的漏洞扫描产品进行漏洞扫描根据扫描结果进行手工加固的方式在这种实践模式中往往存在以下三个问题 　　 　　2.1漏洞处置反应缓慢 　　 　　从漏洞的公布到补丁的发布往往存在一个时间窗口期而这个窗口期对于企业和组织而言是一个潜在而致命的时间窗在这个时间窗内攻击者往往早于漏洞存在方研究出切实可行的攻击技术并开发出具体攻击执行工具此外由于地下社区的存在攻击工具很快将得以普及并被各类攻击者用于发起对漏洞的攻击利用在这种情况下企业和组织在仅依靠单纯漏洞扫描产品的情况下是束手无策的 　　 　　2.2漏洞管理流程没有量化 　　 　　漏洞管理是一个安全管理流程因此它不是应用、软件和服务需要企业和组织结合自身实际情况来建立和维护在此过程中企业和组织通常只关注了漏洞扫描发现和漏洞加固环节自身而对流程中涵盖的执行的优先性、效率性、有效性和量化管控没有进行关注 　　 　　2.3漏洞修补的困难性 　　 　　事实上在实践中企业和组织往往可以获得全面的漏洞扫描报告但是这类报告并没有帮助解决诸如：漏洞危害程度和业务危害程度关联性、漏洞修补优先性、漏洞修补对业务影响性的实际问题因此管理者在漏洞修改环节中往往依采取两种方式：①仅根据扫描报告就进行加固对业务安全可能带来连带附加影响②对漏洞以可能影响业务安全运行的理由采取放任不管的方式以上两种方式显然都不是最佳的漏洞加固实践方式 　　 　　3新的漏洞管理研究 　　 　　根据以上面临的问题和客户的实际需求信息安全界已开展了一些积极的研究美国独立研究机构Gartner在年提出了一个新的漏洞管理解决框架流程图将漏洞管理分成3个管理阶段其中阶段1定义计划和目标完成漏洞管理的范围、流程和方法做出详细的规定阶段2漏洞评估完成扫描目标、范围、设备部署等评估模型以及漏洞评估流程的执行阶段三漏洞修补则执行漏洞修补重扫和验证、漏洞的持续监控和漏洞管理度量一些安全研究人员和安全厂家提出在漏洞管理过程中引入安全威胁情报通过威胁情报来驱动漏洞管理以往威胁情报仅停留在研究机构而最终用户在引入威胁情报后将让用户以更好的安全事件提高看待风险的视觉成为高效率和成功的安全管理过程[6]在此过程中企业和组织用户和第三方建立安全威胁情报共享机制将安全情报威胁通告纳入到自身的安全漏洞管理并通过其在最短时间内获知漏洞披露（如漏洞技术原理）、漏洞利用（如利用代码的出现）和漏洞热度（如漏洞关注度、可能/具体影响范围）等情报以上情报的获知将降低企业和机构对漏洞知晓的盲期确认加固的优先性减少遭受漏洞攻击的可能性此外由于互联网社区的广泛存在还有一些研究机构提出将专业漏洞修补社区的情报信息将以整理和提炼之后将其作为漏洞加固/修补的威胁情报对外提供[7]帮助企业和组织解决在实际修补时担心加固方法的可操作性以及加固对业务正常运行风险影响的诸多问题另外一些研究方向认为完整的漏洞管理在技术环节的实现上除了传统的安全漏洞扫描评估工具/系统外还应将威胁情报、资产管理、业务漏洞安全分析、漏洞运维管理、评估度量一并纳入形成一整套的威胁漏洞管理平台国外安全分析师OliverRochford和NeilMacDonald[8]提出具备以上齐备功能的威胁和漏洞管理平台（ThreatVulnerabilityManagementPlatform）将传统“如何发现漏洞”的漏洞安全管理模式变为“怎样解决漏洞”