專家談之：針對大、中型網絡的漏洞管理

【賽迪網-IT技術報道】

安全漏洞帶來的挑戰

隨著國家信息安全風險評估和國家安全等級保護工作的逐步展開和深入，信息安全建設和評估工作在一些行業中正在緊張地進行中。在實際的網絡安全建設過程中，都會涉及到安全漏洞的風險分析及管理，也就再所難免的會涉及到漏洞檢測類產品的選型及部署。但是我們發現，在網絡安全建設中使用的傳統漏洞檢測類產品，由於只能單單完成檢測而不能實現真正意義上的漏洞修復和管理，已經不能滿足日益變化的安全漏洞形勢。在進行安全建設的過程中需要一套有效的管理機制並通過一定安全技術手段輔助自動完成整個過程，才能有效地對漏洞進行動態地管理，實現對漏洞風險管理的閉環。

安全漏洞的管理方式

目前，從技術和管理兩個角度來看，漏洞問題已經有了較為成熟的解決方案。漏洞管理就是這樣一套能夠有效避免由漏洞攻擊導致的安全問題的解決方案，它從漏洞的整個生命週期著手，在週期的不同階段採取不同的措施，是一個循環、週期執行的工作流程。一個相對完整的漏洞管理過程包含以下步驟：

1.對用戶網絡中的資產進行自動發現並按照資產重要性進行分類；

2.自動週期性地對網絡資產的漏洞進行評估並將結果自動發送和保存；

3.採用業界權威的分析模型對漏洞評估的結果進行定性和定量的風險分析，並根據資產重要性給出可操作性強的漏洞修復方案；

4.根據漏洞修復方案，對網絡資產中存在的漏洞進行合理的修復或者調整網絡的整體安全策略進行規避；

5.對修復完畢的漏洞進行修復確認；

6.定期重複上述步驟1-5。

漏洞管理能夠對預防已知安全漏洞的攻擊起到很好的作用，做到真正的「未雨綢繆」。相對於傳統的漏洞掃瞄產品而言，漏洞管理產品能夠為用戶帶來更多的價值。

漏洞管理產品從漏洞生命週期出發，提供一套有效的漏洞管理工作流程，實現了由漏洞掃瞄到漏洞管理的轉變，實現了「治標」到「治本」的飛躍。

通過漏洞管理產品，集中、及時找出漏洞並詳細瞭解漏洞相關信息，不需要用戶每天去關注不同廠商的漏洞公告，因為各個廠商的漏洞公告不會定期發佈，即使發佈了漏洞公告絕大多數用戶也不能夠及時地獲得相關信息。

通過漏洞管理產品將網絡資產按照重要性進行分類，自動週期升級並對網絡資產進行評估，最後自動將風險評估結果自動發送給相關責任人，大大降低人工維護成本。

漏洞管理產品根據評估結果定性、定量分析網絡資產風險，反映用戶網絡安全問題，並把問題的重要性和優先級進行分類，方便用戶有效地落實漏洞修補和風險規避的工作流程，並為補丁管理產品提供相應的接口。

漏洞管理產品能夠提供完整的漏洞管理機制，方便管理者跟蹤、記錄和驗證評估的成效。

分佈式漏洞管理方案

綠盟科技極光遠程安全評估系統（V5）之漏洞管理系列產品，基於最新「漏洞管理」工作流程，把漏洞管理的循環過程劃分為漏洞預警、漏洞檢測、風險管理、漏洞修復、漏洞審計五個階段，在國內首創了Open VM工作流程平台。基於這個開放平台，極光將漏洞管理理念貫穿於整個產品實現過程，實現了Open VM的絕大部分過程；同時，極光產品通過多種二次開發接口與其他安全產品協作來完全實現Open VM的整個工作流程。

對於電信運營商、金融、政府、軍工、電力以及一些規模較大的傳統企業，由於其組織結構複雜、分佈點多、資料相對分散等原因，採用的網絡拓撲結果大多為樹形拓撲或者混合型拓撲。對於一些大規模和分佈式網絡用戶建議使用分佈式部署方式。在大型網絡中多台極光系統共同工作時，極光的分佈部署支持能力可以使得各系統間的資料能共享並匯總，方便用戶對分佈式網絡進行集中管理。同時通過與WSUS補丁伺服器的聯動，能夠自動的進行漏洞修復。極光支持用戶進行兩級和兩級以上的分佈式、分層部署。使用兩級分佈式部署結構拓撲如下圖所示：

分佈式部署的漏洞掃瞄網絡如果不能按照合理的工作流程使用，將可能會收效甚微。綠盟科技建議在漏洞掃瞄過程中啟用面向漏洞管理的工作流程，並在實際使用過程中逐步完善：

將資產與風險相結合

對所有信息資產設備進行資產的風險管理。通過資產管理與用戶組織結構或網絡拓撲結構的緊密結合，掌握風險分佈情況、定位風險，以實施風險降低或規避措施。

掃瞄策略管理

在明確了虛擬掃瞄網絡中涉及的漏洞管理的資產範圍之後，需要進一步明確漏洞掃瞄策略和漏洞掃瞄週期。

在信息資產管理的基礎上，需要對不同的信息資產定義不同的安全策略，根據信息資產的設備類型、應用類型、重要程度的不同來定義不同掃瞄策略（或者採用極光的自動模板匹配功能）。針對不同的信息資產組定義極光的定時升級、定時掃瞄的週期、臨時檢測策略和結果自動發送等相關策略（如對重要的網絡資產需要兩周甚至每週進行定時掃瞄並將相應的結果發送給對應資產的管理人員，每季度對網絡中的資產進行臨時抽檢）。

漏洞掃瞄和漏洞分析

在執行掃瞄任務之前需要首先明確掃瞄網絡中不同設備的角色：

部署在總部掃瞄管理節點主要用來對總部的信息資產進行定時週期性掃瞄（每兩周或每週）；

部署在分支的掃瞄子節點主要用來對分支的信息資產進行定時週期性掃瞄（每兩周或每週）。

漏洞分析需要明確報告發送策略，制定不同的掃瞄設備在虛擬掃瞄網絡中的角色和掃瞄結果自動上傳分析策略。

漏洞修補和驗證

在漏洞掃瞄結果基礎上需要對網絡資產存在的漏洞風險進行綜合的分析，主要從資產的重要性、漏洞的危害、漏洞對資產的威脅三個角度進行綜合衡量，然後制定漏洞修補方案。

漏洞修補的工作可以由人工操作打補丁、人工安全配置增強、補丁管理系統自動分發安裝（通過將極光與WSUS聯動自動完成補丁修復）等方式來完成。

在漏洞修補之後，通過極光掃瞄設備所特有的漏洞管理功能對漏洞進行修補有效性的驗證。

結束語

每年都有數以千計的網絡安全漏洞被發現和公佈，再加上攻擊者手段的不斷變化，用戶的網絡安全狀況也在隨著被公佈安全漏洞的增加在日益嚴峻。因此，安全評估對於絕大多數用戶都是不容忽視的，用戶必須比攻擊者更早掌握自己網絡安全漏洞並且做好適當的修補，才能夠有效地預防入侵事件的發生。

依托國內最權威的中文漏洞知識庫和已在國際上享有盛名的綠盟科技安全研究機構，極光遠程安全評估系統漏洞管理系列近期通過了西海岸實驗室的國際權威認證，成為國際領先的六家漏洞管理產品之一，它能夠定期和持續地給用戶提供可靠的安全評估服務，並且提供完整的漏洞管理機制；能夠有效地降低用戶網絡風險，更大限度地保證用戶網絡安全性和穩定性。

(