专家谈针对大、中型网络的漏洞管理

　　安全漏洞带来的挑战

　　随着国家信息安全风险评估和国家安全等级保护工作的逐步展开和深入，信息安全建设和评估工作在一些行业中正在紧张地进行中。在实际的网络安全建设过程中，都会涉及到安全漏洞的风险分析及管理，也就再所难免的会涉及到漏洞检测类产品的选型及部署。但是我们发现，在网络安全建设中使用的传统漏洞检测类产品，由于只能单单完成检测而不能实现真正意义上的漏洞修复和管理，已经不能满足日益变化的安全漏洞形势。在进行安全建设的过程中需要一套有效的管理机制并通过一定安全技术手段辅助自动完成整个过程，才能有效地对漏洞进行动态地管理，实现对漏洞风险管理的闭环。

　　安全漏洞的管理方式

　　目前，从技术和管理两个角度来看，漏洞问题已经有了较为成熟的解决方案。漏洞管理就是这样一套能够有效避免由漏洞攻击导致的安全问题的解决方案，它从漏洞的整个生命周期着手，在周期的不同阶段采取不同的措施，是一个循环、周期执行的工作流程。一个相对完整的漏洞管理过程包含以下步骤：

　　1.对用户网络中的资产进行自动发现并按照资产重要性进行分类;

　　2.自动周期性地对网络资产的漏洞进行评估并将结果自动发送和保存;

　　3.采用业界权威的分析模型对漏洞评估的结果进行定性和定量的风险分析，并根据资产重要性给出可操作性强的漏洞修复方案;

　　4.根据漏洞修复方案，对网络资产中存在的漏洞进行合理的修复或者调整网络的整体安全策略进行规避;

　　5.对修复完毕的漏洞进行修复确认;

　　6.定期重复上述步骤1-5。

　　漏洞管理能够对预防已知安全漏洞的攻击起到很好的作用，做到真正的“未雨绸缪”。相对于传统的漏洞扫描产品而言，漏洞管理产品能够为用户带来更多的价值。

　　漏洞管理产品从漏洞生命周期出发，提供一套有效的漏洞管理工作流程，实现了由漏洞扫描到漏洞管理的转变，实现了“治标”到“治本”的飞跃。

　　通过漏洞管理产品，集中、及时找出漏洞并详细了解漏洞相关信息，不需要用户每天去关注不同厂商的漏洞公告，因为各个厂商的漏洞公告不会定期发布，即使发布了漏洞公告绝大多数用户也不能够及时地获得相关信息。

　　通过漏洞管理产品将网络资产按照重要性进行分类，自动周期升级并对网络资产进行评估，最后自动将风险评估结果自动发送给相关责任人，大大降低人工维护成本。

　　漏洞管理产品根据评估结果定性、定量分析网络资产风险，反映用户网络安全问题，并把问题的重要性和优先级进行分类，方便用户有效地落实漏洞修补和风险规避的工作流程，并为补丁管理产品提供相应的接口。

　　漏洞管理产品能够提供完整的漏洞管理机制，方便管理者跟踪、记录和验证评估的成效。

　　分布式漏洞管理方案

　　绿盟科技极光远程安全评估系统(V5)之漏洞管理系列产品，基于最新“漏洞管理”工作流程，把漏洞管理的循环过程划分为漏洞预警、漏洞检测、风险管理、漏洞修复、漏洞审计五个阶段，在国内首创了Open VM工作流程平台。基于这个开放平台，极光将漏洞管理理念贯穿于整个产品实现过程，实现了Open VM的绝大部分过程;同时，极光产品通过多种二次开发接口与其他安全产品协作来完全实现Open VM的整个工作流程。

图1 开放漏洞管理Open VM过程图

　　对于电信运营商、金融、政府、军工、电力以及一些规模较大的传统企业，由于其组织结构复杂、分布点多、数据相对分散等原因，采用的网络拓扑结果大多为树形拓扑或者混合型拓扑。对于一些大规模和分布式网络用户建议使用分布式部署方式。在大型网络中多台极光系统共同工作时，极光的分布部署支持能力可以使得各系统间的数据能共享并汇总，方便用户对分布式网络进行集中管理。同时通过与WSUS补丁服务器的联动，能够自动的进行漏洞修复。极光支持用户进行两级和两级以上的分布式、分层部署。使用两级分布式部署结构拓扑如下图所示：

图2 极光远程安全评估系统分布式部署结构图

　　分布式部署的漏洞扫描网络如果不能按照合理的工作流程使用，将可能会收效甚微。绿盟科技建议在漏洞扫描过程中启用面向漏洞管理的工作流程，并在实际使用过程中逐步完善：

　　将资产与风险相结合

　　对所有信息资产设备进行资产的风险管理。通过资产管理与用户组织结构或网络拓扑结构的紧密结合，掌握风险分布情况、定位风险，以实施风险降低或规避措施。

　　扫描策略管理

　　在明确了虚拟扫描网络中涉及的漏洞管理的资产范围之后，需要进一步明确漏洞扫描策略和漏洞扫描周期。

　　在信息资产管理的基础上，需要对不同的信息资产定义不同的安全策略，根据信息资产的设备类型、应用类型、重要程度的不同来定义不同扫描策略(或者采用极光的自动模板匹配功能)。针对不同的信息资产组定义极光的定时升级、定时扫描的周期、临时检测策略和结果自动发送等相关策略(如对重要的网络资产需要两周甚至每周进行定时扫描并将相应的结果发送给对应资产的管理人员，每季度对网络中的资产进行临时抽检)。

　　漏洞扫描和漏洞分析

　　在执行扫描任务之前需要首先明确扫描网络中不同设备的角色：

　　部署在总部扫描管理节点主要用来对总部的信息资产进行定时周期性扫描(每两周或每周);

　　部署在分支的扫描子节点主要用来对分支的信息资产进行定时周期性扫描(每两周或每周)。

　　漏洞分析需要明确报告发送策略，制定不同的扫描设备在虚拟扫描网络中的角色和扫描结果自动上传分析策略。

　　漏洞修补和验证

　　在漏洞扫描结果基础上需要对网络资产存在的漏洞风险进行综合的分析，主要从资产的重要性、漏洞的危害、漏洞对资产的威胁三个角度进行综合衡量，然后制定漏洞修补方案。

　　漏洞修补的工作可以由人工操作打补丁、人工安全配置增强、补丁管理系统自动分发安装(通过将极光与WSUS联动自动完成补丁修复)等方式来完成。

　　在漏洞修补之后，通过极光扫描设备所特有的漏洞管理功能对漏洞进行修补有效性的验证。

　　结束语

　　每年都有数以千计的网络安全漏洞被发现和公布，再加上攻击者手段的不断变化，用户的网络安全状况也在随着被公布安全漏洞的增加在日益严峻。因此，安全评估对于绝大多数用户都是不容忽视的，用户必须比攻击者更早掌握自己网络安全漏洞并且做好适当的修补，才能够有效地预防入侵事件的发生。

　　依托国内最权威的中文漏洞知识库和已在国际上享有盛名的绿盟科技安全研究机构，极光远程安全评估系统漏洞管理系列近期通过了西海岸实验室的国际权威认证，成为国际领先的六家漏洞管理产品之一，它能够定期和持续地给用户提供可靠的安全评估服务，并且提供完整的漏洞管理机制;能够有效地降低用户网络风险，更大限度地保证用户网络安全性和稳定性。