大、中型网络的漏洞管理.docxVIP

PAGE 1 PAGE 1 大、中型网络的漏洞管理  目前，从技术和管理两个角度来看，漏洞问题已经有了较为成熟的解决方案。漏洞管理就是这样一套能够有效避免由漏洞攻击导致的安全问题的解决方案，它从漏洞的整个生命周期着手，在周期的不同阶段采取不同的措施，是一个循环、周期执行的工作流程。  　　安全漏洞带来的挑战  　　随着国家信息安全风险评估和国家安全等级保护工作的逐步绽开和深入，信息安全建设和评估工作在一些行业中正在紧急地进行中。在实际的网络安全建设过程中，都会涉及到安全漏洞的风险分析及管理，也就再所难免的会涉及到漏洞检测类产品的选型及部署。但是我们发觉，在网络安全建设中使用的传统漏洞检测类产品，由于只能单单完成检测而不能实现真正意义上的漏洞修复和管理，已经不能满意日益变化的安全漏洞形势。在进行安全建设的过程中需要一套有效的管理机制并通过一定安全技术手段辅助自动完成整个过程，才能有效地对漏洞进行动态地管理，实现对漏洞风险管理的闭环。  　　安全漏洞的管理方式  　　目前，从技术和管理两个角度来看，漏洞问题已经有了较为成熟的解决方案。漏洞管理就是这样一套能够有效避免由漏洞攻击导致的安全问题的解决方案，它从漏洞的整个生命周期着手，在周期的不同阶段采取不同的措施，是一个循环、周期执行的工作流程。一个相对完整的漏洞管理过程包含以下步骤：  　　1.对用户网络中的资产进行自动发觉并根据资产重要性进行分类；  　　2.自动周期性地对网络资产的漏洞进行评估并将结果自动发送和保存；  　　3.采用业界权威的分析模型对漏洞评估的结果进行定性和定量的风险分析，并依据资产重要性给出可操作性强的漏洞修复方案；  　　4.依据漏洞修复方案，对网络资产中存在的漏洞进行合理的修复或者调整网络的整体安全策略进行规避；  　　5.对修复完毕的漏洞进行修复确认；  　　6.定期重复上述步骤1-5。  　　漏洞管理能够对预防已知安全漏洞的攻击起到很好的作用，做到真正的“未雨绸缪”。相对于传统的漏洞扫描产品而言，漏洞管理产品能够为用户带来更多的价值。  　　漏洞管理产品从漏洞生命周期动身，供应一套有效的漏洞管理工作流程，实现了由漏洞扫描到漏洞管理的转变，实现了“治标”到“治本”的飞跃。  　　通过漏洞管理产品，集中、准时找出漏洞并具体了解漏洞相关信息，不需要用户每天去关注不同厂商的漏洞公告，因为各个厂商的漏洞公告不会定期发布，即使发布了漏洞公告绝大多数用户也不能够准时地获得相关信息。  　　通过漏洞管理产品将网络资产根据重要性进行分类，自动周期升级并对网络资产进行评估，最终自动将风险评估结果自动发送给相关责任人，大大降低人工维护成本。  　　漏洞管理产品依据评估结果定性、定量分析网络资产风险，反映用户网络安全问题，并把问题的重要性和优先级进行分类，便利用户有效地落实漏洞修补和风险规避的工作流程，并为补丁管理产品供应相应的接口。  　　漏洞管理产品能够供应完整的漏洞管理机制，便利管理者跟踪、记录和验证评估的成效。  　　分布式漏洞管理方案  　　绿盟科技极光远程安全评估系统（V5）之漏洞管理系列产品，基于最新“漏洞管理”工作流程，把漏洞管理的循环过程划分为漏洞预警、漏洞检测、风险管理、漏洞修复、漏洞审计五个阶段，在国内首创了OpenVM工作流程平台。基于这个开放平台，极光将漏洞管理理念贯穿于整个产品实现过程，实现了OpenVM的绝大部分过程；同时，极光产品通过多种二次开发接口与其他安全产品协作来完全实现OpenVM的整个工作流程。  图1开放漏洞管理OpenVM过程图  　　对于电信运营商、金融、政府、军工、电力以及一些规模较大的传统企业，由于其组织结构复杂、分布点多、数据相对分散等原因，采用的网络拓扑结果大多为树形拓扑或者混合型拓扑。对于一些大规模和分布式网络用户建议使用分布式部署方式。在大型网络中多台极光系统共同工作时，极光的分布部署支持能力可以使得各系统间的数据能共享并汇总，便利用户对分布式网络进行集中管理。同时通过与WSUS补丁服务器的联动，能够自动的进行漏洞修复。极光支持用户进行两级和两级以上的分布式、分层部署。使用两级分布式部署结构拓扑如下图所示：  　　图2极光远程安全评估系统分布式部署结构图  　　分布式部署的漏洞扫描网络假如不能根据合理的工作流程使用，将可能会收效甚微。绿盟科技建议在漏洞扫描过程中启用面向漏洞管理的工作流程，并在实际使用过程中逐步完善：  　　将资产与风险相结合  　　对全部信息资产设备进行资产的风险管理。通过资产管理与用户组