信息安全毕业论文

信息安全漏洞闭环管理探讨论文

时间:2020-10-28 18:35:55 信息安全毕业论文 我要投稿

信息安全漏洞闭环管理探讨论文

  摘要:信息安全漏洞是信息安全中最为常见的威胁之一。对于信息安全漏洞威胁的解决通常采用漏洞发现和漏洞修补的方式来解决,但在实际中存在诸多的问题。本文研究分析了信息安全漏洞在管理上存在的问题,分析了当前最新的安全漏洞闭环管理理念,并指出了其中一些不足和可行的改进。

信息安全漏洞闭环管理探讨论文

  关键词:信息安全;漏洞;管理

  1绪论

  在计算机世界,漏洞通常是三个因素的交集:即系统的脆弱性或缺陷,攻击者可能访问的缺陷以及攻击者利用缺陷的能力[1]。在本文中我们主要关注的是IT软件或IT设备中内嵌操作系统应软件编写缺陷而可能被攻击者利用的安全漏洞。对于安全漏洞的认识和对其防护,企业和组织已不陌生,但是在具体实践中仍存在一些实际操作的问题。本文将针对国内外安全界针对安全漏洞管理提出的新思路进行研究和分析,对其中存在问题进行阐述并提出相应可行的技术应对措施。

  2漏洞管理目前存在的问题

  国外权威机构、相关国家机构和安全人员对安全漏洞的管理很早就提出了相关的理念,流程和管理思路。例如ParkForeman将漏洞管理分为漏洞识别、周期性实践分类、修复和减轻安全漏洞[2]。ISO组织和美国NIST组织在ISO/IECFIDIS27005:2008[3]和NISTSP800-30[4]标准中亦提出类似的漏洞管理流程。但是目前在企业中针对安全漏洞的安全防护和安全管理多采用购买安全厂家的漏洞扫描产品进行漏洞扫描,根据扫描结果进行手工加固的方式。在这种实践模式中,往往存在以下三个问题。

  2.1漏洞处置反应缓慢

  从漏洞的公布到补丁的发布往往存在一个时间窗口期,而这个窗口期对于企业和组织而言是一个潜在而致命的时间窗。在这个时间窗内,攻击者往往早于漏洞存在方研究出切实可行的攻击技术并开发出具体攻击执行工具。此外由于地下社区的存在,攻击工具很快将得以普及并被各类攻击者用于发起对漏洞的攻击利用。在这种情况下,企业和组织在仅依靠单纯漏洞扫描产品的情况下,是束手无策的。

  2.2漏洞管理流程没有量化

  漏洞管理是一个安全管理流程,因此它不是应用、软件和服务,需要企业和组织结合自身实际情况来建立和维护。在此过程中,企业和组织通常只关注了漏洞扫描发现和漏洞加固环节自身,而对流程中涵盖的执行的优先性、效率性、有效性和量化管控没有进行关注。

  2.3漏洞修补的困难性

  事实上,在实践中,企业和组织往往可以获得全面的漏洞扫描报告,但是这类报告并没有帮助解决诸如:漏洞危害程度和业务危害程度关联性、漏洞修补优先性、漏洞修补对业务影响性的实际问题。因此管理者在漏洞修改环节中往往依采取两种方式:①仅根据扫描报告就进行加固,对业务安全可能带来连带附加影响。②对漏洞以可能影响业务安全运行的理由采取放任不管的方式。以上两种方式显然都不是最佳的漏洞加固实践方式。

  3新的漏洞管理研究

  根据以上面临的问题和客户的实际需求,信息安全界已开展了一些积极的研究。美国独立研究机构Gartner在2015年提出了一个新的漏洞管理解决框架流程图,将漏洞管理分成3个管理阶段。其中阶段1定义计划和目标完成漏洞管理的范围、流程和方法做出详细的规定。阶段2漏洞评估完成扫描目标、范围、设备部署等评估模型以及漏洞评估流程的执行。阶段三漏洞修补则执行漏洞修补重扫和验证、漏洞的持续监控和漏洞管理度量。一些安全研究人员和安全厂家提出在漏洞管理过程中引入安全威胁情报,通过威胁情报来驱动漏洞管理。以往,威胁情报仅停留在研究机构,而最终用户在引入威胁情报后,将让用户以更好的安全事件提高看待风险的视觉,成为高效率和成功的安全管理过程[6]。在此过程中,企业和组织用户和第三方建立安全威胁情报共享机制,将安全情报威胁通告纳入到自身的安全漏洞管理,并通过其在最短时间内获知漏洞披露(如漏洞技术原理)、漏洞利用(如利用代码的出现)和漏洞热度(如漏洞关注度、可能/具体影响范围)等情报。以上情报的获知将降低企业和机构对漏洞知晓的盲期,确认加固的优先性,减少遭受漏洞攻击的可能性。此外,由于互联网社区的广泛存在,还有一些研究机构提出将专业漏洞修补社区的情报信息将以整理和提炼,之后将其作为漏洞加固/修补的威胁情报对外提供[7]。帮助企业和组织解决在实际修补时担心加固方法的可操作性以及加固对业务正常运行风险影响的诸多问题。另外一些研究方向认为完整的漏洞管理在技术环节的实现上除了传统的安全漏洞扫描评估工具/系统外,还应将威胁情报、资产管理、业务漏洞安全分析、漏洞运维管理、评估度量一并纳入,形成一整套的威胁漏洞管理平台。国外安全分析师OliverRochford和NeilMacDonald[8]提出具备以上齐备功能的威胁和漏洞管理平台(ThreatVulnerabilityManagementPlat-form)将传统“如何发现漏洞”的漏洞安全管理模式变为“怎样解决漏洞”的模式并将在今后成为企业和组织安全中心的5大安全管控子平台之一。

  4当前安全漏洞管理的不足和解决思路

  从以上研究分析可以看到,当前的新的安全了漏洞管理已较好的覆盖了漏洞管理的所有环节。但是在安全加固方面还是存在一点问题。从加固的实际情况来看,企业和组织目前更为关心的`是加固是否会对业务正常运行造成影响,是否会因加固而带来业务安全的风险问题。因此作为新的的漏洞安全管理解决框架中应增加用户业务环境补丁加固验证的技术手段和能力,通过该技术手段/能力有效的解决前面用户关注对系统和对业务的风险影响。在补丁修复中理论上作为最佳的补丁加固验证方式自然是在与真实业务环境完全一致的测试/备份环境中进行。但实际情况中存在两个问题:①企业和组织方尤其是中小型机构受限于投资预算,完全不具备此类环境。②即便是大型机构也不太可能对所有业务系统都设立测试/备份系统。因此需要另辟蹊径。从目前来看,采取虚拟化技术是一种较为可行的解决思路。这里尝试给出以下的设计实现方式。在该方式中,利用虚拟化备份技术(本地虚拟化化,或云虚拟化)来实现对业务系统操作系统、业务软件、数据库的整机虚拟化备份。然后在虚拟化备份上进行补丁加固并验证其对业务运行的安全影响。整个验证流程可以分成以下六个步骤:步骤1:威胁漏洞管理平台向补丁加固验证系统下发验证任务;步骤2:补丁加固验证系统对业务系统进行镜像仿真,仿真后在镜像系统上进行补丁加固;步骤3:威胁漏洞管理平台向漏洞扫描系统下发补丁加固重验证任务;步骤4:漏洞扫描系统对补丁加固验证系统上的加固后镜像进行漏洞扫描并向威胁漏洞管理平台反馈扫描结果;步骤5:威胁漏洞管理平台根据验证结果向补丁加固验证系统发出删除镜像恢复初始指令。整体的流程如图2所示。以上方式在实际实现中还有若干问题需要考虑并解决。这些问题包括:

  (1)由于企业和组织的业务环境不尽相同,涉及业务主机、操作系统、业务软件、数据库、中间件等软硬件。因此需要考虑补丁加固验证系统对业务系统进行镜像仿真的支持情况。此外如果业务系统庞大,则还需考虑仿真系统的仿真容量和运行性能;

  (2)业务系统的正常运行不仅是业务软硬件还涉及业务数据流。因此仅仿真操作系统、业务软件和后台数据库等并进行加固并不能模拟业务运行的真实情况;

  (3)一般情况下,对业务流的真实仿真较难实现,因此对于需要考虑业务安全并稳定运行的全面验证测试情况下,仍需要考虑如何引入表征真实应用访问的数据流进行测试。在引入业务流的在实际情况下,可能涉及到企业和组织内部的多个部门,并需要进行多部门的沟通和协调。

  5结束语

  信息安全漏洞是骇客攻击利用的主要对象之一,因此建设并实现漏洞安全管理是信息安全管理体系中重要的内容之一。信息安全业界目前对漏洞管理已形成一致的看法,即漏洞管理不仅需要常规的安全扫描,还需要嵌入资产管理、业务安全关联分析、运维度量并结合最新的安全威胁情报和可行的补丁加固与验证环节与内容最终形成一个整体统一的威胁漏洞闭环管理。但是在具体实现中还存在一些具体的技术实现难题,我们仍还需要继续对其进行关注,开展广泛的理论研究和实践。

【信息安全漏洞闭环管理探讨论文】相关文章:

药学实验中心信息管理探讨论文08-05

探讨财会信息管理06-18

闭环管理下的供电企业教育培训论文10-13

事业单位档案信息安全管理探讨论文09-15

管理会计信息化探讨论文08-04

关于网络信息安全技术管理探讨论文07-26

物资管理信息化探讨03-22

浅谈涉密企业档案信息化管理探讨论文11-23

信息时代财务会计管理策略探讨论文11-20