(国网新疆电力有限公司信息通信公司 新疆乌鲁木齐 830000)
摘要:近几年来,令网络管理人员谈虎色变的网络安全问题莫过于蠕虫。而系统漏洞作为网络安全的头号大敌,可谓万恶的根本。但要想在第一时间把每个漏洞都被及时修补好,基本是不可能的,即便可能做到,所需要的各种资源也是企业无法承受的。打补丁不能盲目,不是每个补丁都需要在第一时间修补;不是每个补丁都可以随便打上。因为,漏洞的修补是需要策略的。
关键词:安全技术,电力行业,漏洞修补
1、明确漏洞真相
漏洞所造成的安全问题具备一定的时效性,也具备很强的规律性。通过分析漏洞的生命周期,我们方可把握漏洞法则,寻找漏洞真相。从信息安全这个层面看,是先有漏洞和对漏洞进行攻击的可能性,才有补丁。漏洞是攻击者攻击的目标,而打补丁正是对漏洞的修补过程。
对于漏洞的定义,英汉双解计算机词典的解释如下:在计算机安全学中,漏洞是存在于一个系统内的弱点或缺陷,系统对一个特定的威胁攻击或危险事件的敏感性,或进行攻击的威胁作用的可能性。操作系统厂商微软对漏洞也给出了明确的定义:漏洞是可以在攻击过程中利用的弱点,可以是软件、硬件、程序缺点、功能设计或者配置不当。
由于漏洞所造成安全问题具备一定的时效性,也就是说,每一个漏洞都存在一个和产品类似的生命周期的概念。只有我们对漏洞生命周期的概念进行研究并且分析出其内在的一些规律,才能真正达到解决漏洞危害的目的。漏洞生命周期:简单而言,漏洞从客观存在到被发现、利用,再到大规模危害和之后的逐渐消失,这期间存在一个时间周期,这个周期称之为是漏洞生命周期。漏洞生命周期对于漏洞的管理有着极其重要的意义,下图是一个大家都较为熟悉的漏洞生命周期示意图。
图1 漏洞生命周期示意图
2、打补丁要讲方法论
要从根本上有效地解决目前利用漏洞进行攻击的问题,就需要我们基于漏洞生命周期、漏洞法则的研究,结合人为管理方式,建立一套有效的漏洞管理工作流程,并通过漏洞管理类的自动化产品辅助执行漏洞管理的过程。自动化工具能够提高整个过程的准确性、缩短漏洞识别和修补的周期。
一个较为完善的漏洞管理过程至少应该包括漏洞预警、漏洞检测、漏洞分析、漏洞修补与安全策略和修补跟踪几个阶段,同时在实际过程中,时刻要将漏洞的风险和资产相关联。
(1)漏洞预警:能够及时获得最新的漏洞通告信息,对于没有补丁程序的漏洞要给出临时的解决方案,要求提供漏洞管理产品的厂商应该有基础的漏洞研究和跟踪能力,能够及时准确的将最新漏洞信息传达给网管人员。该过程可以通过定制专业的安全服务厂商的安全通告来获得。
(2)漏洞检测:检测之前需要对网络中的资产进行发现和跟踪,并且通过简便的方式展示,以便更快、更准确地识别、修补漏洞。必须周期性地对用户的网络中的所有网络资产进行检测,要求漏洞管理工具在保证一定的检测速度的前提下,要有较高的准确性,这里需要注意的是并不是检测到的漏洞越多越好,有些产品的误报率很高,要对漏洞的有效性进行验证和分析,必须支持国际上大多数的漏洞标准(CVE、CERT、BugTraq等)。基于软件的解决方案大多需要人工进行维护,自动化能力较差。该过程可以通过购买专业的漏洞管理设备或专业的安全服务来完成。
(3)漏洞分析:在漏洞检测之后需要通过具体的报告和数据来对资产的风险进行统计分析,清楚地显示漏洞的分布情况、详细描述和解决方案。其中特别需要注意的是要对网络中的资产的风险进行分类,以便对后续的漏洞修补工作进行优先级的划分。该过程可以通过漏洞管理设备或专业安全服务来自动完成。
(4)漏洞修补与安全策略:通过统计分析的结果制定切实可行的漏洞修补方案并通知终端用户,可以通过文件服务器来提供最新的漏洞修补程序供终端用户下载和安装。特别需要注意的就是从合法的来源获取补丁程序,并且要对补丁进行测试,来保证安装补丁不会影响业务系统正常运行,还要有补丁回滚能力。该过程可以通过操作系统厂商或者第三方厂商的补丁管理软件或专业安全服务来完成。
(5)漏洞审计:在每次漏洞修补之后监控终端用户是否及时地安装了漏洞修补程序。该过程能够通过漏洞管理设备或专业安全服务完成。
3、要补的不仅是漏洞本身
现实生活中人们对补丁这个东西都已经是不太陌生了,大多数情况下,厂商公布了补丁之后也都会及时地将补丁及时安装。对于绝大多数网络管理人员来说,打补丁其实已经是日常工作中的家常便饭了,而且整个打补丁的过程大多数都遵循这样一个非正式的通用模式,这个模式大致包括以下几个过程:(1)专业安全研究人员或者组织研究并发现一个漏洞;(2)该漏洞被提交给相关厂商,等待确认并为开发补丁争取时间;(3)厂商对漏洞进行确认并且发布补丁程序;
(4)网络管理人员通过安全厂商或者软件厂商通告知晓该漏洞;(5)网络管理人员寻找、下载并且安装补丁;(6)网络管理人员将该漏洞和补丁尽可能通告相关人员;(7)假定该漏洞已经被补丁修补。
从个人用户的角度来说,采取这些措施应该能够有效地降低因漏洞带来的安全风险,打补丁在终端用户的安全防护方面起到了重要的作用。但是对于企业级用户而言,尤其是当他们的网络拥有了一定规模,同时网络中又有关键业务流存在时,这样的过程和方法是否依然能够奏效呢?
事实证明,这种传统的方法在对付企业中漏洞带来的安全风险时,还存在着很多局限性。
参考资料
[1]http://www.qualys.com/research/rnd/vulnlaws/ The Laws of Vulnerabilities Presentation
[2]http://www.qualys.com/research/rnd/vulnlaws/ The Laws of Vulnerabilities White Paper
[3]http://www.microsoft.com/china/technet/content/library/security.mspx 指南 修补程序管理过程
论文作者:高阳,米尔阿力木江,常春雷,李坤源,尹蕊
论文发表刊物:《电力设备》2017年第32期
论文发表时间:2018/4/16
标签:漏洞论文; 补丁论文; 过程论文; 生命周期论文; 网络论文; 厂商论文; 管理人员论文; 《电力设备》2017年第32期论文;