SYS SECURITY 系统安全 浅谈企业信息安全漏洞管理 ◆陈斯迅 摘要:随着企业中的信息化应用越来越普遍,信息化设备和信息系统日益增多,使得企业的信息 安全漏洞也逐渐增加,增加了信息安全风险,而信息安全漏洞是信息安全事件产生的重要因素,本文 探讨了企业信息安全漏洞管理,论述了漏洞发现、修复、残余漏洞的处理措施等管理内容,通过对漏 洞的管理提升企业的信息安全总体水平。 关键词:信息安全;漏洞;网络;信息系统 一、前言 企业中的信息安全来自各个方面,信息化设备和信息系 统遭到来自网络的远程攻击是其中的一个重要方面,从技术 的角度来说,受到远程攻击的系统和设备都具有自身的信息 安全漏洞,随着信息化在企业中的应用越来越多,信息系统 时企业的经营管理、生产运行等各方面都起到重要支撑作用, 尤其对于大型企业来说,企业内部网络规模较大,各种软硬 件设备在不同部门和机构管理和运行,不利于统一安全防护, 而信息安全漏洞则不断被发现,其中部分漏洞难以及时整改, 给企业信息化应片j带来了巨大隐患。 二、信息安全漏洞介绍 2.1漏洞管理的意义 漏洞是指威胁源可以攻击或触发的信息系统、系统安全 流程、内部控制或实施中的弱点 。同时由于集成电路及软 件程序设计的日趋复杂,使得几乎所有的信息化设备和信息 系统中都包含信息安全漏洞,只是部分漏洞暂时没有被发现, 一个在网络上可以被远程攻击的信息化设备,重要原因在于 设备的软硬件程序上存在着信息安全漏洞,所以及时发现和 修复信息化设备的漏洞,是信息安全管理的一项重要内容。 2.2公开的漏洞平台介绍。 由于漏洞给信息安全带来了极大威胁,为了预防漏洞被 利用,国内外都有专门机构进行漏洞公开披露。 2.2.1 CVE 全称为的公共漏洞和暴露(Common Vulnerabilities& Exposures)。其成员包括了各种各样的有关信息安全的组织, 包括:商业安全1 具厂商,学术界,研究机构,政府机构还 有一些卓越的安全专家。通过开放和合作式的讨论,决定哪 些漏洞和暴露要包含进CVE,并且确定每个条目的公共名称 和描述。 2.2.2 CNVD 国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)是由国家计算机网络应急技术处理协 调中心(中文简称国家互联应急中心,英文简称CNCERT) 联合同内重要信息系统单位、基础电信运营商、网络安全厂 68 信息系统__『程f 20I8.3.20 商、软件厂商和互联网企业建立的信息安全漏洞信息共享知 识库。建立CNVD的主要目标即与国家政府部门、重要信息 系统用户、运营商、主要安全厂商、软件厂商、科研机构、 公共互联网用户等共同建立软件安全漏洞统一收集验证、预 警发布及应急处置体系,切实提升我国在安全漏洞方面的整 体研究水平和及时预防能力,进而提高我国信息系统及国产 软件的安全性。 三、企业漏洞管理的重要意义 根据漏洞增长情况,CVE在2015年公开漏洞89l6条, CNNVD公开漏洞7754条,CNVD公开漏洞8061条。以国内 某企业为例,由于21个独立信息系统,分布在不同部门管理, 随着业务的不断发展,由不同的信息系统开发商建设,公司 在全国各地都有分支机构,信息硬件资产包括150台服务器, 75台网络设备和6000台办公电脑分布在不同地域。由于企 业的软硬件系统由不同部门的不同人员管理,如何统一检查 和及时修复软硬件资产的安全漏洞,成为信息安全防护的重 要T作。CVE等公开漏洞披露平台面向的是所有软硬件系统 的漏洞,而这些漏}同的数量对于一个企业来说过于庞大,有 时难以识别哪些漏洞会对自身产生影响。所以对企业自身的 漏洞管理平台来说,首先要建立对内部软硬件资产的管理。 四、企业信息系统漏洞管理解决方案 4.1信息化设备的统一管理 信息安全风险所面临的对象包括所有信息化设备和人 员,针对信息安全漏洞而言,主要面临着网络上的威胁,所 以企业需建立一个人员、设备和网络地址的对应关系表是信 息安全管理的基础,同时由于漏洞会涉及到具体的设备芯片、 操作系统、数据库、web软件服务器、巾间件等软硬件设施, 所以需要进一步统计所有的软硬件信息,建立一个信息化设 备数据库,并以此为基础建立企业信息安伞漏洞库。 4.2漏洞修复技术支持 由于信息安全的威胁日益增大,有很多企业将信息安 全技术支持作为一项业务进行外包,但是漏洞的修复作为信 SYS SECURITY墨 室全- >> 息安全工作中的一个重要部分很难作为一个业务进行外包, 因为信息安全漏洞涉及到所有信息化设备及信息系统,对于 windows操作系统等广泛使用的产品,可以通过官方发布的 补丁和解决方案对漏洞进行自行修复或者外包给第三方,但 是对于一些专有设备或者没有得到源代码的定制开发的信息 系统,如果发现有信息安全漏洞,只有通过原厂商来进行修 复,所以在设备或系统的运维服务协议中明确厂商的信息安 全支持责任是漏洞能够及时被修复的基础。 4-3漏洞检查及情报搜集 由于信息安全漏洞是不断被发现的,漏洞的检查T作也 是不断进行的,漏洞检查比较有效的方式是使用专业的漏洞 扫描设备,厂商会根据主流漏洞发布平台增加漏洞检测脚本, 同时根据漏洞平台上得到的漏洞信息进行漏洞检查。漏洞检 查的方式可以使用两种方法结合使用,一方面定期对企业内 部网络进行全面扫描,可以确保漏洞检查不留死角。另一方 面,需要建立情况搜集机制,针对近期重点的漏洞结合企 业信息化设备的信息进行重点检查,例如针对wannerery病 毒的爆发,要及时对网络中具有windows操作系统是否安装 MS17—010补丁(对应的漏洞为CNNVD一201703—726等7项 漏洞)。威胁信息一方面来自于政府部门发布的信息安全预 警通知,另一方面也来自于漏洞平台上的漏洞预警通知,通 过情报搜集的漏洞有很多是最新发现的,由于厂商的漏洞检 查脚本需要更新周期,不一定能够使用漏洞扫描平台及时发 现,可以根据漏洞描述信息对信息化设备数据库中的信息进 行匹配,如果疑似有漏洞的设备,可以暂时进行断网处理。 4.4残余漏洞管理 根据信息安全风险的定义,信息安全风险是有资产、威 胁、脆弱性组成的 ,通常企业的信息安全都会存在残余风 险,而本文中所说的信息安全漏洞,正是信息资产的脆弱性, 造成残余风险的一个重要原因,是信息安全漏洞无法修复。 在实际工作中,经常会发现信息化设备的漏洞无法修复,同 时需要继续运行的情景。对于很多设备和系统,厂商无法及 时提供漏洞解决方案,或者是已经不支持所使用的软硬件版 本,例如某信息系统所使用的是windows2003版的操作系统, 但是微软公司已经不在对该版本的操作系统提供技术支持, 但该信息系统暂时无法移植到更高版本的操作系统,又对公 司业务有重要的作用,服务器不能进行断网处理。对于此类 问题,我们力求采取一定措施,降低其风险。通常的方法有 以下几种。 4.4.1关闭服务或端口 找到该漏洞对应于操作系统上启动的具体服务和端口, 通常服务器上启用的服务都有对应的网络端口,通过测试确 定该服务是否是必须的,如果不是可以将该服务直接关闭, 或者该服务只对本机提供服务,则从系统自带的防火墙上屏 蔽该服务对应的端口。例如,oracle数据库的服务对应的主 要端口号是1521,通常只为本地的应用程序提供支持,普通 用户访问数据实际上是通过web服务(通常使用的是80端 口),不直接访问数据库程序,所以可以把1521端口使用 系统自带防火墙进行屏蔽,不影响本机使用,而其他IP地址 的主机无法访问该端口。 4.42限制端口的IP地址 如果该端口需要远程访问,但是针对的用户有限,可以 通过设置白名单的方式只允许特点用户访问,例如windows 服务器通常需要开放远程服务,默认端口号为3389,但是只 有管理员需要使用远程服务,所以可以通过防火墙的设置仅 允许特定的IP地址访问该服务器的3389端口,从而降低了 信息安全风险。 4.4.3限制访问相关权限网页的IP地址 企业信息系统网站一般赋予不同用户以不同权限,一般 通过用户名和密码的方式对用户加以限制,但是由于不同权 限的网页内容通常使用相同的端口号(默认为8O),无法防 止一些没有权限的用户进行非法攻击,面对这样的问题,我 们可以根据不同用户的IP地址通过web服务器进行访问控 制,只允许用户访问和自己权限对应的网页。 4.4.4对无法解决的漏洞实施管理 仍然存在一些残余漏洞通过以上的方法难以解决,或者 问题的解决过程需要一定周期,所以需要在这段时间内持续 做好信息安全的防护。一方面需要把未能解决得漏洞记录在 信息安全漏洞平台,确保在信息系统或者硬件设备下一次更 新改造中能够整改这项漏洞;另一方面,把该系统作为重点 监测对象,通过人侵检测等设备监控来自网络的攻击行为。 五、结语 通过建立企业信息化设备数据为基础的信息安全漏洞数 据库,同时通过公共漏洞平台查询、风险信息搜集,结合漏 洞检查:[具等方式,完成漏洞修复,通过防火墙和入侵检测 等丁具对残余漏洞进行有效监控与防护的措施,可以在很大 程度上防御来自网络的信息安全攻击事件。但是,需要了解 到并不是所有的漏洞都会公布在公开的漏洞平台上的,即使 我们能够确保所有公开漏洞被及时修复,我们的信息资产仍 然包含着隐藏的脆弱性。面对这种潜在风险,一方面我们需 要专业队伍定期对我们的系统进行渗透测试,发现潜在的漏 洞,另一方面,我们需要做好数据的存储加密和数据备份工 作,降低我们在遇到信息安全事件时企业的损失。凹 参考文献 [1]Kissel R.Glossary of Key Information Security Terms,NIST IlL 7298 National Institute of Standards and Technology,U S.Department of Commerce,201 1. [2]吴世忠,江常青等信息安全保障机械工业出版社,2014,66— 67 (作者单位:中国石油管道公司科技信息处) 信息系统工程I 2018.3 20 69