當(dāng)風(fēng)險遭遇現(xiàn)實 如何保證信息安全

申請免費試用、咨詢電話：400-8352-114

讓我們先從一個案例說起。在某石油生產(chǎn)商的遠程站點隔離區(qū)（De-Militarize Zone，DMZ）中，系統(tǒng)服務(wù)器警報陡然響起。分析師們在研究后得出結(jié)論：漏洞掃描程序發(fā)現(xiàn)了重大的安全漏洞。IT部門經(jīng)過幾個回合的電子郵件和電話交流后，在幾分鐘內(nèi)掌握了需要的信息。

當(dāng)時的情況是：出現(xiàn)漏洞問題的是報表轉(zhuǎn)發(fā)系統(tǒng)，報表在轉(zhuǎn)發(fā)之前將會接受其他程序的復(fù)核。該系統(tǒng)沒有包含過分敏感的信息，而且相對孤立，并未與任何重要的流程捆綁，所以其漏洞不會影響到鄰近系統(tǒng)。由于該系統(tǒng)位于遠程站點，要為該系統(tǒng)打補丁得派一位IT人員乘飛機專程跑一趟。這家石油公司認為，派專人專程去打補丁不僅麻煩，從費用上說也不合算。因此IT部門的解決方案是：將此次漏洞警報記錄下來，在下次遠程站點進行日常維護時，再讓人順便解決這個問題。

從這件案例中，我們得到的結(jié)論是：為了實現(xiàn)有效的漏洞管理，IT部門必須在考慮商業(yè)價值的前提下，合理運用風(fēng)險管理原則和邏輯。

如今的系統(tǒng)漏洞可謂是層出不窮，令人防不勝防，比如企業(yè)自行開發(fā)的應(yīng)用程序所包含的漏洞，基礎(chǔ)設(shè)施中存在的缺陷（如安全保護措施不夠完備的無線網(wǎng)絡(luò)）等等?，F(xiàn)在的網(wǎng)絡(luò)犯罪手段已經(jīng)從嘮嘮叨叨、技術(shù)落后的網(wǎng)絡(luò)“蠕蟲”進化到了無影無形、技術(shù)先進、目標(biāo)明確的惡意軟件。

IT部門必須與業(yè)務(wù)單位通力合作，將企業(yè)的安全漏洞控制在可接受的風(fēng)險程度以內(nèi)，創(chuàng)建將企業(yè)計算環(huán)境作為整體來處理的業(yè)務(wù)流程，并且選擇合適的技術(shù)平臺來支持這些流程。

有效的流程

有效的漏洞管理程序必須合理地對技術(shù)、商業(yè)智能和流程進行平衡。

必要的技術(shù)包括漏洞掃描軟件，如邁克菲公司（McAfee）的FoundScan、夸利斯公司（Qualys）的QualysScan或泰納寶網(wǎng)絡(luò)安全公司（Tenable Network Security）的Nessus；應(yīng)用程序掃描軟件，如惠普公司（Hewlett-Packard）的WebInspect和國際商業(yè)機器公司（IBM）的AppScan；以及配置和補丁管理工具。然而，如果沒有幾個重要的漏洞管理流程領(lǐng)軍的話，這些工具只是游兵散勇，起不了太大作用。

維護網(wǎng)絡(luò)安全的一個重要流程是減少受攻擊面。受攻擊面這個術(shù)語指的是應(yīng)用程序或系統(tǒng)整體在各種攻擊面前所暴露的風(fēng)險程度。企業(yè)經(jīng)常綜合使用網(wǎng)絡(luò)設(shè)計演習(xí)（network design exercise）、訪問管理和配置管理等幾大手段來減少受攻擊面。例如，為了減少某系統(tǒng)的受攻擊面，可以只將那些必需的服務(wù)暴露在網(wǎng)絡(luò)上，禁用或刪除不必要的軟件，并限制經(jīng)授權(quán)可登錄系統(tǒng)的用戶數(shù)量。

有效的漏洞管理計劃還能幫助企業(yè)改善整體的安全狀況和風(fēng)險承受能力。通過對漏洞和事故數(shù)據(jù)的匯總整理，IT部門可以提高系統(tǒng)的安全性。通過數(shù)據(jù)中顯示的趨勢和相關(guān)性，便可了解內(nèi)部活動和外部事件是如何影響企業(yè)風(fēng)險狀況的。這種數(shù)據(jù)分析有助于評估實施的項目（如打補丁和系統(tǒng)維護）究竟起了多大作用，同時確定哪些領(lǐng)域還需要更多投入。

漏洞管理計劃的另一個好處，是能幫助企業(yè)達成合規(guī)任務(wù)。各種技術(shù)標(biāo)準(zhǔn)、業(yè)務(wù)框架、法規(guī)（如薩班斯·奧克斯利法案（Sarbanes-Oxley））及針對特定行業(yè)的框架（如健康保險流通與責(zé)任法案(HIPAA)和污染控制指數(shù)(PCI)）等，都推動了企業(yè)加強控制并提交有關(guān)管理成果的報告。有效的漏洞管理計劃不僅可以幫助企業(yè)證明自己的控制措施滿足合規(guī)要求，還能在出現(xiàn)合規(guī)問題時為管理層敲響警鐘。在成熟的漏洞管理程序中，各種工具和數(shù)據(jù)相關(guān)性能夠提取多樣化的統(tǒng)計信息（如缺省密碼長度、過期時限及復(fù)雜度要求等），并將這些信息納入到合規(guī)報告中。

然而，我們觀察到，雖然一些企業(yè)在安全工具和掃描軟件的全面部署上砸下了很多錢，但似曾相識的糟糕結(jié)果還是月復(fù)一月、年復(fù)一年地不斷重現(xiàn)。

那么，我們要怎樣做才能打破徒勞無功的宿命呢？以下便是至關(guān)重要的幾個步驟。

第1步： 對收集的數(shù)據(jù)進行整合

漏洞管理程序的有效性很大程度上不僅取決于所使用的技術(shù)，還取決于各組件的整合程度。漏洞識別系統(tǒng)（如漏洞掃描軟件、系統(tǒng)策略及設(shè)備配置審計工具等）為數(shù)據(jù)收集提供了基礎(chǔ)工具，但將收集到的數(shù)據(jù)與變更管理軟件緊密地整合到一起也是必要的。

配置管理、補丁管理以及身份和訪問管理工具不僅可以將系統(tǒng)維護流程自動化，同時還能讓人們實時監(jiān)控系統(tǒng)和設(shè)備狀態(tài)。將這些產(chǎn)品和漏洞識別工具整合到一起，企業(yè)便可對整體環(huán)境的漏洞和風(fēng)險有一個全面的了解。不過，說歸說，要將系統(tǒng)維護工具和漏洞識別系統(tǒng)整合起來談何容易。

整合工作的關(guān)鍵，是要確定哪些因素對漏洞管理計劃至關(guān)重要。我們建議采用自上而下的辦法。企業(yè)應(yīng)該列出一個實際使用的系統(tǒng)和數(shù)據(jù)的清單。關(guān)鍵的利益相關(guān)者應(yīng)當(dāng)對系統(tǒng)狀態(tài)進行審查，并評估IT組織部署變更的業(yè)務(wù)能力，為實現(xiàn)更高的安全水準(zhǔn)提出更高層次的問題。比如說，企業(yè)在某個特定區(qū)域部署了多少Windows系統(tǒng)？Apache系統(tǒng)的漏洞出在什么地方？當(dāng)IT團隊回答諸如此類的問題時，他們應(yīng)該收集到必要的相關(guān)信息。

只有這些問題得到解答后，才可考慮采用其他附加技術(shù)。

第2步：制定優(yōu)先級

在IT組織中，優(yōu)先級的重要性顯而易見，但往往只有真正出現(xiàn)問題了，它才會引起人們的重視。毫無疑問，在部署漏洞管理時，優(yōu)先級的排列必須一目了然。這通常意味著對資產(chǎn)進行分組，以提高數(shù)據(jù)收集效率，或是對責(zé)任人進行分組，以便使報告更具相關(guān)性和可操作性。各組通常是根據(jù)區(qū)域、職能或技術(shù)來歸類的。在確定安全狀況時，資產(chǎn)分組應(yīng)該與業(yè)務(wù)功能保持一致。各組必須規(guī)模適當(dāng)，易于管理，同時責(zé)任明確。

在減少受攻擊面的問題上，責(zé)任人應(yīng)包括IT經(jīng)理、數(shù)據(jù)中心負責(zé)人以及其他負責(zé)維護系統(tǒng)安全和完整性的IT人員。在處理企業(yè)范圍內(nèi)的安全問題時，責(zé)任人通常包括安全組織的成員、內(nèi)部審計員以及業(yè)務(wù)單位。以合規(guī)為導(dǎo)向的責(zé)任人應(yīng)當(dāng)配合那些專門負責(zé)合規(guī)執(zhí)行和報告的人員。

第3步：不斷完善

要想持續(xù)地完善系統(tǒng)，企業(yè)必須了解單個因素如何影響漏洞管理程序目標(biāo)的實現(xiàn)。上表列出了7個與漏洞管理目標(biāo)相關(guān)的因素。

在確定安全狀況或合規(guī)水平時，高質(zhì)量的數(shù)據(jù)至關(guān)重要。如果說有漏不報會造成虛假安全感的話，那么低質(zhì)量數(shù)據(jù)就可能會導(dǎo)致誤報，也就是說明明不存在漏洞卻發(fā)出警報。當(dāng)減少受攻擊面成為當(dāng)務(wù)之急時，IT部門應(yīng)該經(jīng)常收集數(shù)據(jù)，但在確定安全狀況時，就不必那么頻繁地收集數(shù)據(jù)了。

要了解安全狀況、漏洞削減項目的成效以及與合規(guī)相關(guān)的活動，就應(yīng)當(dāng)對趨勢有所掌握。趨勢信息可以顯示IT組織的風(fēng)險狀況如何隨時間的推移而變化，外部事件（如漏洞和補丁發(fā)布）如何影響企業(yè)的安全狀況。（信息周刊）