當風險遭遇現(xiàn)實 如何保證信息安全

申請免費試用、咨詢電話：400-8352-114

讓我們先從一個案例說起。在某石油生產(chǎn)商的遠程站點隔離區(qū)（De-Militarize Zone，DMZ）中，系統(tǒng)服務器警報陡然響起。分析師們在研究后得出結論：漏洞掃描程序發(fā)現(xiàn)了重大的安全漏洞。IT部門經(jīng)過幾個回合的電子郵件和電話交流后，在幾分鐘內(nèi)掌握了需要的信息。

當時的情況是：出現(xiàn)漏洞問題的是報表轉(zhuǎn)發(fā)系統(tǒng)，報表在轉(zhuǎn)發(fā)之前將會接受其他程序的復核。該系統(tǒng)沒有包含過分敏感的信息，而且相對孤立，并未與任何重要的流程捆綁，所以其漏洞不會影響到鄰近系統(tǒng)。由于該系統(tǒng)位于遠程站點，要為該系統(tǒng)打補丁得派一位IT人員乘飛機專程跑一趟。這家石油公司認為，派專人專程去打補丁不僅麻煩，從費用上說也不合算。因此IT部門的解決方案是：將此次漏洞警報記錄下來，在下次遠程站點進行日常維護時，再讓人順便解決這個問題。

從這件案例中，我們得到的結論是：為了實現(xiàn)有效的漏洞管理，IT部門必須在考慮商業(yè)價值的前提下，合理運用風險管理原則和邏輯。

如今的系統(tǒng)漏洞可謂是層出不窮，令人防不勝防，比如企業(yè)自行開發(fā)的應用程序所包含的漏洞，基礎設施中存在的缺陷（如安全保護措施不夠完備的無線網(wǎng)絡）等等?，F(xiàn)在的網(wǎng)絡犯罪手段已經(jīng)從嘮嘮叨叨、技術落后的網(wǎng)絡“蠕蟲”進化到了無影無形、技術先進、目標明確的惡意軟件。

IT部門必須與業(yè)務單位通力合作，將企業(yè)的安全漏洞控制在可接受的風險程度以內(nèi)，創(chuàng)建將企業(yè)計算環(huán)境作為整體來處理的業(yè)務流程，并且選擇合適的技術平臺來支持這些流程。

有效的流程

有效的漏洞管理程序必須合理地對技術、商業(yè)智能和流程進行平衡。

必要的技術包括漏洞掃描軟件，如邁克菲公司（McAfee）的FoundScan、夸利斯公司（Qualys）的QualysScan或泰納寶網(wǎng)絡安全公司（Tenable Network Security）的Nessus；應用程序掃描軟件，如惠普公司（Hewlett-Packard）的WebInspect和國際商業(yè)機器公司（IBM）的AppScan；以及配置和補丁管理工具。然而，如果沒有幾個重要的漏洞管理流程領軍的話，這些工具只是游兵散勇，起不了太大作用。

維護網(wǎng)絡安全的一個重要流程是減少受攻擊面。受攻擊面這個術語指的是應用程序或系統(tǒng)整體在各種攻擊面前所暴露的風險程度。企業(yè)經(jīng)常綜合使用網(wǎng)絡設計演習（network design exercise）、訪問管理和配置管理等幾大手段來減少受攻擊面。例如，為了減少某系統(tǒng)的受攻擊面，可以只將那些必需的服務暴露在網(wǎng)絡上，禁用或刪除不必要的軟件，并限制經(jīng)授權可登錄系統(tǒng)的用戶數(shù)量。

有效的漏洞管理計劃還能幫助企業(yè)改善整體的安全狀況和風險承受能力。通過對漏洞和事故數(shù)據(jù)的匯總整理，IT部門可以提高系統(tǒng)的安全性。通過數(shù)據(jù)中顯示的趨勢和相關性，便可了解內(nèi)部活動和外部事件是如何影響企業(yè)風險狀況的。這種數(shù)據(jù)分析有助于評估實施的項目（如打補丁和系統(tǒng)維護）究竟起了多大作用，同時確定哪些領域還需要更多投入。

漏洞管理計劃的另一個好處，是能幫助企業(yè)達成合規(guī)任務。各種技術標準、業(yè)務框架、法規(guī)（如薩班斯·奧克斯利法案（Sarbanes-Oxley））及針對特定行業(yè)的框架（如健康保險流通與責任法案(HIPAA)和污染控制指數(shù)(PCI)）等，都推動了企業(yè)加強控制并提交有關管理成果的報告。有效的漏洞管理計劃不僅可以幫助企業(yè)證明自己的控制措施滿足合規(guī)要求，還能在出現(xiàn)合規(guī)問題時為管理層敲響警鐘。在成熟的漏洞管理程序中，各種工具和數(shù)據(jù)相關性能夠提取多樣化的統(tǒng)計信息（如缺省密碼長度、過期時限及復雜度要求等），并將這些信息納入到合規(guī)報告中。

然而，我們觀察到，雖然一些企業(yè)在安全工具和掃描軟件的全面部署上砸下了很多錢，但似曾相識的糟糕結果還是月復一月、年復一年地不斷重現(xiàn)。

那么，我們要怎樣做才能打破徒勞無功的宿命呢？以下便是至關重要的幾個步驟。

第1步： 對收集的數(shù)據(jù)進行整合

漏洞管理程序的有效性很大程度上不僅取決于所使用的技術，還取決于各組件的整合程度。漏洞識別系統(tǒng)（如漏洞掃描軟件、系統(tǒng)策略及設備配置審計工具等）為數(shù)據(jù)收集提供了基礎工具，但將收集到的數(shù)據(jù)與變更管理軟件緊密地整合到一起也是必要的。

配置管理、補丁管理以及身份和訪問管理工具不僅可以將系統(tǒng)維護流程自動化，同時還能讓人們實時監(jiān)控系統(tǒng)和設備狀態(tài)。將這些產(chǎn)品和漏洞識別工具整合到一起，企業(yè)便可對整體環(huán)境的漏洞和風險有一個全面的了解。不過，說歸說，要將系統(tǒng)維護工具和漏洞識別系統(tǒng)整合起來談何容易。

整合工作的關鍵，是要確定哪些因素對漏洞管理計劃至關重要。我們建議采用自上而下的辦法。企業(yè)應該列出一個實際使用的系統(tǒng)和數(shù)據(jù)的清單。關鍵的利益相關者應當對系統(tǒng)狀態(tài)進行審查，并評估IT組織部署變更的業(yè)務能力，為實現(xiàn)更高的安全水準提出更高層次的問題。比如說，企業(yè)在某個特定區(qū)域部署了多少Windows系統(tǒng)？Apache系統(tǒng)的漏洞出在什么地方？當IT團隊回答諸如此類的問題時，他們應該收集到必要的相關信息。

只有這些問題得到解答后，才可考慮采用其他附加技術。

第2步：制定優(yōu)先級

在IT組織中，優(yōu)先級的重要性顯而易見，但往往只有真正出現(xiàn)問題了，它才會引起人們的重視。毫無疑問，在部署漏洞管理時，優(yōu)先級的排列必須一目了然。這通常意味著對資產(chǎn)進行分組，以提高數(shù)據(jù)收集效率，或是對責任人進行分組，以便使報告更具相關性和可操作性。各組通常是根據(jù)區(qū)域、職能或技術來歸類的。在確定安全狀況時，資產(chǎn)分組應該與業(yè)務功能保持一致。各組必須規(guī)模適當，易于管理，同時責任明確。

在減少受攻擊面的問題上，責任人應包括IT經(jīng)理、數(shù)據(jù)中心負責人以及其他負責維護系統(tǒng)安全和完整性的IT人員。在處理企業(yè)范圍內(nèi)的安全問題時，責任人通常包括安全組織的成員、內(nèi)部審計員以及業(yè)務單位。以合規(guī)為導向的責任人應當配合那些專門負責合規(guī)執(zhí)行和報告的人員。

第3步：不斷完善

要想持續(xù)地完善系統(tǒng)，企業(yè)必須了解單個因素如何影響漏洞管理程序目標的實現(xiàn)。上表列出了7個與漏洞管理目標相關的因素。

在確定安全狀況或合規(guī)水平時，高質(zhì)量的數(shù)據(jù)至關重要。如果說有漏不報會造成虛假安全感的話，那么低質(zhì)量數(shù)據(jù)就可能會導致誤報，也就是說明明不存在漏洞卻發(fā)出警報。當減少受攻擊面成為當務之急時，IT部門應該經(jīng)常收集數(shù)據(jù)，但在確定安全狀況時，就不必那么頻繁地收集數(shù)據(jù)了。

要了解安全狀況、漏洞削減項目的成效以及與合規(guī)相關的活動，就應當對趨勢有所掌握。趨勢信息可以顯示IT組織的風險狀況如何隨時間的推移而變化，外部事件（如漏洞和補丁發(fā)布）如何影響企業(yè)的安全狀況。（信息周刊）