当风险遭遇现实 如何保证信息安全

申请免费试用、咨询电话：400-8352-114

让我们先从一个案例说起。在某石油生产商的远程站点隔离区（De-Militarize Zone，DMZ）中，系统服务器警报陡然响起。分析师们在研究后得出结论：漏洞扫描程序发现了重大的安全漏洞。IT部门经过几个回合的电子邮件和电话交流后，在几分钟内掌握了需要的信息。

当时的情况是：出现漏洞问题的是报表转发系统，报表在转发之前将会接受其他程序的复核。该系统没有包含过分敏感的信息，而且相对孤立，并未与任何重要的流程捆绑，所以其漏洞不会影响到邻近系统。由于该系统位于远程站点，要为该系统打补丁得派一位IT人员乘飞机专程跑一趟。这家石油公司认为，派专人专程去打补丁不仅麻烦，从费用上说也不合算。因此IT部门的解决方案是：将此次漏洞警报记录下来，在下次远程站点进行日常维护时，再让人顺便解决这个问题。

从这件案例中，我们得到的结论是：为了实现有效的漏洞管理，IT部门必须在考虑商业价值的前提下，合理运用风险管理原则和逻辑。

如今的系统漏洞可谓是层出不穷，令人防不胜防，比如企业自行开发的应用程序所包含的漏洞，基础设施中存在的缺陷（如安全保护措施不够完备的无线网络）等等。现在的网络犯罪手段已经从唠唠叨叨、技术落后的网络“蠕虫”进化到了无影无形、技术先进、目标明确的恶意软件。

IT部门必须与业务单位通力合作，将企业的安全漏洞控制在可接受的风险程度以内，创建将企业计算环境作为整体来处理的业务流程，并且选择合适的技术平台来支持这些流程。

有效的流程

有效的漏洞管理程序必须合理地对技术、商业智能和流程进行平衡。

必要的技术包括漏洞扫描软件，如迈克菲公司（McAfee）的FoundScan、夸利斯公司（Qualys）的QualysScan或泰纳宝网络安全公司（Tenable Network Security）的Nessus；应用程序扫描软件，如惠普公司（Hewlett-Packard）的WebInspect和国际商业机器公司（IBM）的AppScan；以及配置和补丁管理工具。然而，如果没有几个重要的漏洞管理流程领军的话，这些工具只是游兵散勇，起不了太大作用。

维护网络安全的一个重要流程是减少受攻击面。受攻击面这个术语指的是应用程序或系统整体在各种攻击面前所暴露的风险程度。企业经常综合使用网络设计演习（network design exercise）、访问管理和配置管理等几大手段来减少受攻击面。例如，为了减少某系统的受攻击面，可以只将那些必需的服务暴露在网络上，禁用或删除不必要的软件，并限制经授权可登录系统的用户数量。

有效的漏洞管理计划还能帮助企业改善整体的安全状况和风险承受能力。通过对漏洞和事故数据的汇总整理，IT部门可以提高系统的安全性。通过数据中显示的趋势和相关性，便可了解内部活动和外部事件是如何影响企业风险状况的。这种数据分析有助于评估实施的项目（如打补丁和系统维护）究竟起了多大作用，同时确定哪些领域还需要更多投入。

漏洞管理计划的另一个好处，是能帮助企业达成合规任务。各种技术标准、业务框架、法规（如萨班斯·奥克斯利法案（Sarbanes-Oxley））及针对特定行业的框架（如健康保险流通与责任法案(HIPAA)和污染控制指数(PCI)）等，都推动了企业加强控制并提交有关管理成果的报告。有效的漏洞管理计划不仅可以帮助企业证明自己的控制措施满足合规要求，还能在出现合规问题时为管理层敲响警钟。在成熟的漏洞管理程序中，各种工具和数据相关性能够提取多样化的统计信息（如缺省密码长度、过期时限及复杂度要求等），并将这些信息纳入到合规报告中。

然而，我们观察到，虽然一些企业在安全工具和扫描软件的全面部署上砸下了很多钱，但似曾相识的糟糕结果还是月复一月、年复一年地不断重现。

那么，我们要怎样做才能打破徒劳无功的宿命呢？以下便是至关重要的几个步骤。

第1步： 对收集的数据进行整合

漏洞管理程序的有效性很大程度上不仅取决于所使用的技术，还取决于各组件的整合程度。漏洞识别系统（如漏洞扫描软件、系统策略及设备配置审计工具等）为数据收集提供了基础工具，但将收集到的数据与变更管理软件紧密地整合到一起也是必要的。

配置管理、补丁管理以及身份和访问管理工具不仅可以将系统维护流程自动化，同时还能让人们实时监控系统和设备状态。将这些产品和漏洞识别工具整合到一起，企业便可对整体环境的漏洞和风险有一个全面的了解。不过，说归说，要将系统维护工具和漏洞识别系统整合起来谈何容易。

整合工作的关键，是要确定哪些因素对漏洞管理计划至关重要。我们建议采用自上而下的办法。企业应该列出一个实际使用的系统和数据的清单。关键的利益相关者应当对系统状态进行审查，并评估IT组织部署变更的业务能力，为实现更高的安全水准提出更高层次的问题。比如说，企业在某个特定区域部署了多少Windows系统？Apache系统的漏洞出在什么地方？当IT团队回答诸如此类的问题时，他们应该收集到必要的相关信息。

只有这些问题得到解答后，才可考虑采用其他附加技术。

第2步：制定优先级

在IT组织中，优先级的重要性显而易见，但往往只有真正出现问题了，它才会引起人们的重视。毫无疑问，在部署漏洞管理时，优先级的排列必须一目了然。这通常意味着对资产进行分组，以提高数据收集效率，或是对责任人进行分组，以便使报告更具相关性和可操作性。各组通常是根据区域、职能或技术来归类的。在确定安全状况时，资产分组应该与业务功能保持一致。各组必须规模适当，易于管理，同时责任明确。

在减少受攻击面的问题上，责任人应包括IT经理、数据中心负责人以及其他负责维护系统安全和完整性的IT人员。在处理企业范围内的安全问题时，责任人通常包括安全组织的成员、内部审计员以及业务单位。以合规为导向的责任人应当配合那些专门负责合规执行和报告的人员。

第3步：不断完善

要想持续地完善系统，企业必须了解单个因素如何影响漏洞管理程序目标的实现。上表列出了7个与漏洞管理目标相关的因素。

在确定安全状况或合规水平时，高质量的数据至关重要。如果说有漏不报会造成虚假安全感的话，那么低质量数据就可能会导致误报，也就是说明明不存在漏洞却发出警报。当减少受攻击面成为当务之急时，IT部门应该经常收集数据，但在确定安全状况时，就不必那么频繁地收集数据了。

要了解安全状况、漏洞削减项目的成效以及与合规相关的活动，就应当对趋势有所掌握。趋势信息可以显示IT组织的风险状况如何随时间的推移而变化，外部事件（如漏洞和补丁发布）如何影响企业的安全状况。（信息周刊）