《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 專家談之:針對大、中型網(wǎng)絡(luò)的漏洞管理

專家談之:針對大,、中型網(wǎng)絡(luò)的漏洞管理

2008-08-28
作者:李晨

安全漏洞帶來的挑戰(zhàn)

??? 隨著國家信息安全" title="信息安全">信息安全風(fēng)險評估和國家安全等級保護(hù)工作的逐步展開和深入,,信息安全建設(shè)和評估工作在一些行業(yè)中正在緊張地進(jìn)行中,。在實(shí)際的網(wǎng)絡(luò)安全建設(shè)過程中,,都會涉及到安全漏洞的風(fēng)險分析及管理,,也就再所難免的會涉及到漏洞檢測" title="漏洞檢測">漏洞檢測類產(chǎn)品的選型及部署,。但是我們發(fā)現(xiàn),,在網(wǎng)絡(luò)安全建設(shè)中使用的傳統(tǒng)漏洞檢測類產(chǎn)品,由于只能單單完成檢測而不能實(shí)現(xiàn)真正意義上的漏洞修復(fù)和管理,,已經(jīng)不能滿足日益變化的安全漏洞形勢,。在進(jìn)行安全建設(shè)的過程中需要一套有效的管理機(jī)制并通過一定安全技術(shù)手段輔助自動完成整個過程,才能有效地對漏洞進(jìn)行動態(tài)地管理,,實(shí)現(xiàn)對漏洞風(fēng)險管理" title="風(fēng)險管理">風(fēng)險管理的閉環(huán),。

安全漏洞的管理方式

??? 目前,從技術(shù)和管理兩個角度來看,,漏洞問題已經(jīng)有了較為成熟的解決方案,。漏洞管理就是這樣一套能夠有效避免由漏洞攻擊導(dǎo)致的安全問題的解決方案,它從漏洞的整個生命周期著手,,在周期的不同階段采取不同的措施,,是一個循環(huán)、周期執(zhí)行的工作流程,。一個相對完整的漏洞管理過程包含以下步驟:

1.對用戶網(wǎng)絡(luò)中的資產(chǎn)進(jìn)行自動發(fā)現(xiàn)并按照資產(chǎn)重要性進(jìn)行分類,;

2.自動周期性地對網(wǎng)絡(luò)資產(chǎn)的漏洞進(jìn)行評估并將結(jié)果自動發(fā)送和保存;

3.采用業(yè)界權(quán)威的分析模型對漏洞評估的結(jié)果進(jìn)行定性和定量的風(fēng)險分析,,并根據(jù)資產(chǎn)重要性給出可操作性強(qiáng)的漏洞修復(fù)方案,;

4.根據(jù)漏洞修復(fù)方案,對網(wǎng)絡(luò)資產(chǎn)中存在的漏洞進(jìn)行合理的修復(fù)或者調(diào)整網(wǎng)絡(luò)的整體安全策略進(jìn)行規(guī)避,;

5.對修復(fù)完畢的漏洞進(jìn)行修復(fù)確認(rèn),;

6.定期重復(fù)上述步驟1-5。

?? ?漏洞管理能夠?qū)︻A(yù)防已知安全漏洞的攻擊起到很好的作用,,做到真正的“未雨綢繆”,。相對于傳統(tǒng)的漏洞掃描產(chǎn)品而言,漏洞管理產(chǎn)品能夠?yàn)橛脩魩砀嗟膬r值,。

?? ?漏洞管理產(chǎn)品從漏洞生命周期出發(fā),,提供一套有效的漏洞管理工作流程,,實(shí)現(xiàn)了由漏洞掃描到漏洞管理的轉(zhuǎn)變,實(shí)現(xiàn)了“治標(biāo)”到“治本”的飛躍,。

??? 通過漏洞管理產(chǎn)品,,集中、及時找出漏洞并詳細(xì)了解漏洞相關(guān)信息,,不需要用戶每天去關(guān)注不同廠商的漏洞公告,因?yàn)楦鱾€廠商的漏洞公告不會定期發(fā)布,,即使發(fā)布了漏洞公告絕大多數(shù)用戶也不能夠及時地獲得相關(guān)信息,。

通過漏洞管理產(chǎn)品將網(wǎng)絡(luò)資產(chǎn)按照重要性進(jìn)行分類,自動周期升級并對網(wǎng)絡(luò)資產(chǎn)進(jìn)行評估,,最后自動將風(fēng)險評估結(jié)果自動發(fā)送給相關(guān)責(zé)任人,,大大降低人工維護(hù)成本。

??? 漏洞管理產(chǎn)品根據(jù)評估結(jié)果定性,、定量分析網(wǎng)絡(luò)資產(chǎn)風(fēng)險,,反映用戶網(wǎng)絡(luò)安全問題,并把問題的重要性和優(yōu)先級進(jìn)行分類,,方便用戶有效地落實(shí)漏洞修補(bǔ)和風(fēng)險規(guī)避的工作流程,,并為補(bǔ)丁管理產(chǎn)品提供相應(yīng)的接口。

??? 漏洞管理產(chǎn)品能夠提供完整的漏洞管理機(jī)制,,方便管理者跟蹤,、記錄和驗(yàn)證評估的成效。

分布式漏洞管理方案

??? 綠盟科技極光遠(yuǎn)程安全評估" title="安全評估">安全評估系統(tǒng)(V5)之漏洞管理系列產(chǎn)品,,基于最新“漏洞管理”工作流程,,把漏洞管理的循環(huán)過程劃分為漏洞預(yù)警、漏洞檢測,、風(fēng)險管理,、漏洞修復(fù)、漏洞審計(jì)五個階段,,在國內(nèi)首創(chuàng)了Open VM工作流程平臺,。基于這個開放平臺,,極光將漏洞管理理念貫穿于整個產(chǎn)品實(shí)現(xiàn)過程,,實(shí)現(xiàn)了Open VM的絕大部分過程;同時,,極光產(chǎn)品通過多種二次開發(fā)接口與其他安全產(chǎn)品協(xié)作來完全實(shí)現(xiàn)Open VM的整個工作流程,。

圖1 開放漏洞管理Open VM過程圖

對于電信運(yùn)營商、金融,、政府,、軍工,、電力以及一些規(guī)模較大的傳統(tǒng)企業(yè),由于其組織結(jié)構(gòu)復(fù)雜,、分布點(diǎn)多,、數(shù)據(jù)相對分散等原因,采用的網(wǎng)絡(luò)拓?fù)浣Y(jié)果大多為樹形拓?fù)浠蛘呋旌闲屯負(fù)?。對于一些大?guī)模和分布式網(wǎng)絡(luò)用戶建議使用分布式部署方式,。在大型網(wǎng)絡(luò)中多臺極光系統(tǒng)共同工作時,極光的分布部署支持能力可以使得各系統(tǒng)間的數(shù)據(jù)能共享并匯總,,方便用戶對分布式網(wǎng)絡(luò)進(jìn)行集中管理,。同時通過與WSUS補(bǔ)丁服務(wù)器的聯(lián)動,能夠自動的進(jìn)行漏洞修復(fù),。極光支持用戶進(jìn)行兩級和兩級以上的分布式,、分層部署。使用兩級分布式部署結(jié)構(gòu)拓?fù)淙缦聢D所示:

?

?????????????

圖2 極光遠(yuǎn)程安全評估系統(tǒng)分布式部署結(jié)構(gòu)圖

分布式部署的漏洞掃描網(wǎng)絡(luò)如果不能按照合理的工作流程使用,,將可能會收效甚微,。綠盟科技建議在漏洞掃描過程中啟用面向漏洞管理的工作流程,并在實(shí)際使用過程中逐步完善:

將資產(chǎn)與風(fēng)險相結(jié)合

對所有信息資產(chǎn)設(shè)備進(jìn)行資產(chǎn)的風(fēng)險管理,。通過資產(chǎn)管理" title="資產(chǎn)管理">資產(chǎn)管理與用戶組織結(jié)構(gòu)或網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的緊密結(jié)合,,掌握風(fēng)險分布情況、定位風(fēng)險,,以實(shí)施風(fēng)險降低或規(guī)避措施,。

掃描策略管理

在明確了虛擬掃描網(wǎng)絡(luò)中涉及的漏洞管理的資產(chǎn)范圍之后,需要進(jìn)一步明確漏洞掃描策略和漏洞掃描周期,。

在信息資產(chǎn)管理的基礎(chǔ)上,,需要對不同的信息資產(chǎn)定義不同的安全策略,根據(jù)信息資產(chǎn)的設(shè)備類型,、應(yīng)用類型,、重要程度的不同來定義不同掃描策略(或者采用極光的自動模板匹配功能)。針對不同的信息資產(chǎn)組定義極光的定時升級,、定時掃描的周期,、臨時檢測策略和結(jié)果自動發(fā)送等相關(guān)策略(如對重要的網(wǎng)絡(luò)資產(chǎn)需要兩周甚至每周進(jìn)行定時掃描并將相應(yīng)的結(jié)果發(fā)送給對應(yīng)資產(chǎn)的管理人員,每季度對網(wǎng)絡(luò)中的資產(chǎn)進(jìn)行臨時抽檢),。

漏洞掃描和漏洞分析

在執(zhí)行掃描任務(wù)之前需要首先明確掃描網(wǎng)絡(luò)中不同設(shè)備的角色:

部署在總部掃描管理節(jié)點(diǎn)主要用來對總部的信息資產(chǎn)進(jìn)行定時周期性掃描(每兩周或每周),;

部署在分支的掃描子節(jié)點(diǎn)主要用來對分支的信息資產(chǎn)進(jìn)行定時周期性掃描(每兩周或每周)。

漏洞分析需要明確報告發(fā)送策略,,制定不同的掃描設(shè)備在虛擬掃描網(wǎng)絡(luò)中的角色和掃描結(jié)果自動上傳分析策略,。

漏洞修補(bǔ)和驗(yàn)證

在漏洞掃描結(jié)果基礎(chǔ)上需要對網(wǎng)絡(luò)資產(chǎn)存在的漏洞風(fēng)險進(jìn)行綜合的分析,主要從資產(chǎn)的重要性、漏洞的危害,、漏洞對資產(chǎn)的威脅三個角度進(jìn)行綜合衡量,,然后制定漏洞修補(bǔ)方案。

漏洞修補(bǔ)的工作可以由人工操作打補(bǔ)丁,、人工安全配置增強(qiáng),、補(bǔ)丁管理系統(tǒng)自動分發(fā)安裝(通過將極光與WSUS聯(lián)動自動完成補(bǔ)丁修復(fù))等方式來完成。

在漏洞修補(bǔ)之后,,通過極光掃描設(shè)備所特有的漏洞管理功能對漏洞進(jìn)行修補(bǔ)有效性的驗(yàn)證,。

結(jié)束語

每年都有數(shù)以千計(jì)的網(wǎng)絡(luò)安全漏洞被發(fā)現(xiàn)和公布,再加上攻擊者手段的不斷變化,,用戶的網(wǎng)絡(luò)安全狀況也在隨著被公布安全漏洞的增加在日益嚴(yán)峻,。因此,安全評估對于絕大多數(shù)用戶都是不容忽視的,,用戶必須比攻擊者更早掌握自己網(wǎng)絡(luò)安全漏洞并且做好適當(dāng)?shù)男扪a(bǔ),,才能夠有效地預(yù)防入侵事件的發(fā)生,。

依托國內(nèi)最權(quán)威的中文漏洞知識庫和已在國際上享有盛名的綠盟科技安全研究機(jī)構(gòu),,極光遠(yuǎn)程安全評估系統(tǒng)漏洞管理系列近期通過了西海岸實(shí)驗(yàn)室的國際權(quán)威認(rèn)證,成為國際領(lǐng)先的六家漏洞管理產(chǎn)品之一,,它能夠定期和持續(xù)地給用戶提供可靠的安全評估服務(wù),,并且提供完整的漏洞管理機(jī)制;能夠有效地降低用戶網(wǎng)絡(luò)風(fēng)險,,更大限度地保證用戶網(wǎng)絡(luò)安全性和穩(wěn)定性,。

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。